使用Telnet/SSH去管理远程设备

一、案例拓扑图

二、为什么我们需要远程登陆？

很多情况下，你也许不能在设备前使用console线来管理，这时就需要通过telnet或SSH访问其CLI远程管理它，为了能够远程访问，必须先设置虚拟类型终端（VTY）；

三、telnet和ssh

1. Telnet：基于TCP协议，端口号23，是一组提供远程登录方法的程序，所有传输的信息（包括用户名和密码）都是明文的；
2. SSH：基于TCP协议，端口号22，使用RSA算法对所有传输的信息（包括用户名和密码）进行加密，另一个优点是其传输的数据是经过压缩的，所以可以加快传输的速度，目前SSH存在两种版本（版本1和版本2），版本1有一些加密算法存在漏洞，并且已经被破解，攻击者可以插入数据，版本2修复了这些漏洞，并且版本2可以兼容版本1；

四、实战目的：

配置sw1，使之能够通过telnet/SSH访问，并且限制只有PC1的IP地址才能够管理。

五、实验步骤

1.首先确保管理客户端能够ping通交换机；
2.先在交换机上配置telnet，并配置密码，使PC能够通过telnet去管理交换机；
3.在交换机上配置，使客户端需要输入用户和密码才能访问到设备；
4.配置ACL，并在vty中调用，限制只有某个IP地址可以访问该设备；

5.在设备上启用SSH协议，并配置客户端通过SSH访问并管理设备；

六、配置命令

1.Telnet配置规则（只需密码）

在PC上（把router当做PC）配置

Router>enable
Router#configure terminal
Router(config)#hostname PC
PC(config)#interface fastEthernet 0/0
PC(config-if)#ip address  10.10.10.1 255.255.255.0
PC(config-if)#no shutdown
PC(config-if)#end
PC#write memory

在交换机SW1上配置
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#enable secret cisco
SW1(config)#enable password cisco  
SW1(config)#interface vlan 1
SW1(config-if)#ip address 10.10.10.254 255.255.255.0
SW1(config-if)#no shutdown                 
SW1(config-if)#exit
SW1(config)#line console 0
SW1(config-line)#password cisco
SW1(config-line)#login

SW1(config-line)#exit
SW1(config)#line vty 0 4
SW1(config-line)#password cisco
SW1(config-line)#login                         打开远程登录

SW1(config-line)#end
SW1#write memory

在PC上测试
PC#telnet 10.10.10.254
Trying 10.10.10.254 ...Open

User Access Verification

Password:
SW1>enable
Password:
SW1#

2.Telnet配置规则（需要用户名和密码）

在交换机SW1上配置

SW1#erase startup-config
SW1#reload
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#enable secret cisco
SW1(config)#enable password cisco  
SW1(config)#interface vlan 1
SW1(config-if)#ip address 10.10.10.254 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#line console 0
SW1(config-line)#password cisco
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#username cisco password cisco
SW1(config)#line vty 0 4
SW1(config-line)#login local             配置登录时，使用本地用户名和密码进行验证

SW1(config-line)#access-class 101 in
SW1(config-line)#exit
SW1(config)#access-list 101 permit ip host 10.10.10.1 any

在PC上测试

PC#telnet 10.10.10.254
Trying 10.10.10.254 ...Open

User Access Verification

Username: cisco
Password:
SW1>en
SW1>enable
Password:
SW1#

3.SSH配置规则

交换机SW1上的配置

SW1#erase startup-config
SW1#reload
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#enable secret cisco
SW1(config)#enable password cisco  
SW1(config)#interface vlan 1
SW1(config-if)#ip address 10.10.10.254 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#line console 0
SW1(config-line)#password cisco
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#ip domain-name cisco.com
SW1(config)#crypto key generate rsa
SW1(config)#ip ssh version 1
SW1(config)#username cisco password cisco          配置本地用户名和密码

SW1(config)#line vty 0 4
SW1(config-line)#login local
SW1(config-line)#transport input none
SW1(config-line)#transport input ssh               允许ssh 访问进入
SW1(config-line)#transport output telnet           允许用telnet去访问其他设备

SW1(config-line)#end
SW1#write memory

在PC上测试

PC#ssh -l cisco -v 1 10.10.10.254
Open
Password:

SW1>enable
Password:
SW1#

七、总结

在远程管理设备上配置telnet可以限制只有某个ip能登陆，ssh则没有此功能。