Logo

菜单

设备开局与多方式登录管理(Console / Telnet / SSH)

Administrator
Administrator
发布于 2026-03-05 / 2 阅读
0
0

设备开局与多方式登录管理(Console / Telnet / SSH)

#Huawei数通

1. 概述

华为 VRP5 设备在首次部署(即“开局”)时,需完成初始配置并启用远程管理方式。本节将详细介绍通过 ConsoleTelnetSSH 三种方式登录设备的配置方法、安全考量及适用场景。

2. 登录方式对比与适用场景

登录方式

安全性

默认状态

依赖条件

适用场景

Console

高(物理直连)

启用

串口线 + 终端软件(如 SecureCRT、PuTTY)

首次配置、设备故障恢复

Telnet

低(明文传输)

禁用

IP 连通性、VTY 用户配置

内网临时调试(不推荐生产环境)

SSH

高(加密传输)

禁用

IP 连通性、RSA 密钥、VTY 用户配置

标准远程管理方式(推荐)

注意:VRP5 默认仅允许 Console 登录;Telnet/SSH 需手动启用并配置用户认证。

3. Console 登录配置

Console 是设备出厂默认启用的管理接口,无需额外配置即可使用。

3.1 连接要求

  • 使用专用 Console 线(RJ45 转 DB9 或 USB 转串口)

  • 终端软件设置:

    • 波特率:9600

    • 数据位:8

    • 停止位:1

    • 校验位:无

    • 流控:无

3.2 首次登录

设备加电后,终端将显示启动日志,最终进入用户视图:

<Huawei>

此时可直接执行命令(默认拥有 3 级权限)。

4. Telnet 登录配置

⚠️ 警告:Telnet 传输用户名、密码及所有命令均为明文,存在严重安全风险,仅建议在隔离的测试环境中使用。

4.1 启用 Telnet 服务

<Huawei> system-view
[Huawei] telnet server enable

4.2 配置管理接口 IP

[Huawei] interface Vlanif 1
[Huawei-Vlanif1] ip address 192.168.1.1 255.255.255.0
[Huawei-Vlanif1] quit

若为路由器,可配置物理接口(如 GigabitEthernet0/0/0)IP。

4.3 配置 VTY 用户(AAA 认证)

[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound telnet
[Huawei-ui-vty0-4] quit
​
[Huawei] aaa
[Huawei-aaa] local-user admin password cipher MyPass123
[Huawei-aaa] local-user admin service-type telnet
[Huawei-aaa] local-user admin level 3
[Huawei-aaa] quit

4.4 客户端连接

在 PC 上执行:

telnet 192.168.1.1

输入用户名 admin 和密码 MyPass123 即可登录。

5. SSH 登录配置(推荐)

SSH 提供加密通道,是生产环境的标准远程管理协议。

5.1 生成 RSA 密钥对

[Huawei] rsa local-key-pair create

系统将自动生成公私钥(过程需数秒)。

5.2 启用 SSH 服务

[Huawei] stelnet server enable

注意:VRP5 中 SSH 服务命令为 stelnet,而非 ssh server enable

5.3 配置管理接口 IP(同 Telnet 步骤)

[Huawei] interface Vlanif 1
[Huawei-Vlanif1] ip address 192.168.1.1 255.255.255.0
[Huawei-Vlanif1] quit

5.4 配置 VTY 用户(支持 SSH)

[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
[Huawei-ui-vty0-4] quit

[Huawei] aaa
[Huawei-aaa] local-user admin password cipher MyPass123
[Huawei-aaa] local-user admin service-type ssh
[Huawei-aaa] local-user admin level 3
[Huawei-aaa] quit

5.5 客户端连接(以 OpenSSH 为例)

ssh admin@192.168.1.1

首次连接会提示确认服务器公钥指纹,输入 yes 后输入密码即可登录。

6. 多方式共存与安全建议

  • VTY 接口可同时支持多种协议

    [Huawei-ui-vty0-4] protocol inbound all   # 同时支持 Telnet 和 SSH

    但出于安全考虑,应禁用 Telnet,仅启用 SSH。

  • 最佳实践

    1. 首次配置必须通过 Console 完成。

    2. 配置完成后立即启用 SSH,并禁用 Telnet。

    3. 使用强密码策略,避免使用默认用户名。

    4. 限制 VTY 登录源 IP(通过 ACL):

      [Huawei] acl 2000
[Huawei-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255
[Huawei-acl-basic-2000] quit
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] acl 2000 inbound

7. 故障排查要点

问题现象

可能原因

检查命令

无法 Telnet/SSH

服务未启用

display telnet server status``display stelnet server status

登录被拒绝

用户名/密码错误或服务类型未配置

display local-user

IP 不通

接口未配置 IP 或未 up

display ip interface brief

SSH 提示“Algorithm negotiation fail”

客户端与设备加密算法不兼容

升级客户端或使用兼容模式(如 PuTTY)

8. 总结

设备开局阶段应优先通过 Console 完成基础配置,随后启用 SSH 作为标准远程管理方式,避免使用 Telnet。合理配置 AAA 用户、VTY 权限及访问控制列表(ACL),可显著提升设备管理安全性。后续章节将介绍配置文件管理、用户权限细化及日志监控等内容。

用户账户与 AAA 安全认证体系配
认识 VRP5 系统架构与 CLI...

评论