实验目的： 

           掌握交换机的vty线路配置，实现telnet方式对交换机的远程管理。

实验背景：

           在设备机房对交换机进行了初次配置后, 你希望以后在办公室或出差时也可以对设备进行远程管理。现要在交换机上做适当配置。

技术原理：

华为交换机（VRP 系统）Telnet 技术原理

           telnet 是远程控制交换机、路由器等网络设备的常用协议 (端口号为 23)，为管理员远程集中管理和维护网络设备提供便利。在二层交换机中，IP 地址仅用于远程登录管理交换机，对于交换机的运行不是必需，但是若没有配置管理 IP 地址，则交换机只能采用控制端口 console 进行本地配置和管理。

           配置交换机（服务端）的管理 IP 地址，保证计算机（客户端）的 IP 地址与交换机管理 IP 地址在同一个网段（即 “网络可达”）。

           默认情况下，交换机的所有端口均属于 VLAN1，VLAN1 是交换机自动创建和管理的。二层交换机无法直接在物理端口配置 IP，管理 IP 必须配置在 VLAN 对应的三层逻辑接口 Vlanif 上，每个 VLAN 对应的 Vlanif 接口仅有一个有效管理地址，且该 Vlanif 接口默认处于关闭状态，需要手动配置 IP 地址激活（或手动启用）。

           华为设备上的权限等级从 0～15，默认 Telnet 方式下为 1；最高权限为 15。(user privilege level [0-15])

           vty (Virtual Teletype Terminal，虚拟终端) 线路：为每一个远程用户登陆网络设备而开放的虚拟线路，默认未开启认证功能，这意味着我们必须为其配置认证方式和登录密码方可登录。

           密码配置的 cipher 关键字不可用于设置明文。例如：当设置 set authentication password cipher Admin@123，再用 password encryption aes 命令开启全局密码加密，则可在配置里看到 set authentication password cipher %@%@%@%@这一条，其中 %@%@%@%@就是明文 Admin@123 经过 AES 算法加密后的密文。

           相当于在不开启全局密码加密的情况下，直接设置 set authentication password cipher %@%@******%@%@，这密文在备份配置恢复时，可以直接拷贝使用。可知设置密码使用 cipher 关键字时，后面直接输入密文字符串也可生效（设备可直接识别验证）。

           基于对安全的考虑，华为总是默认关闭 telnet 服务，并且只有配置了远程登陆密码才能使用。同时还要配置特权权限（或提升用户权限等级），否则不能进入系统配置视图执行核心配置操作。

一、华为交换机核心命令行操作模式

模式类别	华为交换机模式标识	核心用途
用户模式	<Huawei>	基础查询（如查看设备状态、简单信息），无配置权限，操作不会影响设备运行
特权模式	[Huawei]	详细信息查询（如日志、接口统计）、设备调试、配置文件管理，可进入各类配置模式
全局配置模式	[Huawei]system-view 执行后进入 [Huawei]（注：华为无单独 “全局配置模式” 标识，system-view 进入的配置视图即为全局配置层级）	配置设备全局参数（如主机名、系统时间、全局路由策略），可向下进入各类具体配置视图
端口模式	[Huawei-GigabitEthernet0/0/1]（以千兆电口 0/0/1 为例，接口编号格式为槽位/子卡/端口）	配置具体端口参数（如 IP 地址、端口速率、VLAN、链路类型）

配置交换机时，要注意交换机端口的单双工模式的匹配，如果链路一端设置的是全双工，另一端是自动协商，则会造成响应差和髙出错率，丢包现象会很严重。通常应保证两端设置为相同的模式。

线路配置模式下设置密码时，只有passwod命令，没有secret命令，默认为明文显示，需启用密码加密功能(全局)。启用后，配置内所有密码都将被以密文形式显示。

实验设备：S5700 1台；PC 2台；配置线；直通线

实验拓扑：

华为交换机（VRP 系统）实验步骤

• 进入配置模式 ( system-view)

  进入 VLAN 1 三层逻辑接口模式 (interface Vlanif 1)

  配置交换机管理 IP 地址 (ip address IP submask)

  退出接口模式并选择 vty 线路配置模式 (quit && user-interface vty [0-4] [0-4])

  配置 vty 线路登录密码 (set authentication password [simple/cipher] ******)

  激活物理端口 (interface GigabitEthernet 0/0/1 && undo shutdown)

  开启 Telnet 服务 (telnet server enable)

  将两台 PC 与交换机连接，同时保证其 IP 地址与交换机管理 IP 地址在同一个网段

  保存交换机配置 (save)

一、PC0 网络参数设置

1. IP 地址：192.168.1.2
2. 子网掩码：255.255.255.0
3. 网关：192.168.1.1（对应交换机管理 IP）
4. 首选 DNS（可选，实验环境可留空）：无需额外配置

二、PC1 网络参数设置

1. IP 地址：192.168.1.3
2. 子网掩码：255.255.255.0
3. 网关：192.168.1.1（对应交换机管理 IP）
4. 首选 DNS（可选，实验环境可留空）：无需额外配置

三、PC0（超级终端，连接交换机 Console 口）配置步骤

# 1. 进入系统视图
<Huawei> system-view

# 2. 配置管理VLAN和接口
[Huawei] vlan 1
[Huawei-vlan1] quit
[Huawei] interface Vlanif 1
[Huawei-Vlanif1] ip address 192.168.1.1 255.255.255.0
[Huawei-Vlanif1] quit

# 3. 创建Telnet登录用户（关键步骤）
[Huawei] aaa  # 进入AAA认证视图
[Huawei-aaa] local-user admin password cipher Admin@123  # 创建用户
[Huawei-aaa] local-user admin privilege level 15  # 设置权限级别
[Huawei-aaa] local-user admin service-type telnet  # 指定服务类型为Telnet
[Huawei-aaa] quit

# 4. 配置VTY线路（0-4）
[Huawei] user-interface vty 0 4  # 一次性配置所有VTY线路
[Huawei-ui-vty0-4] authentication-mode aaa  # 使用AAA认证（关键！）
[Huawei-ui-vty0-4] protocol inbound telnet  # 允许Telnet协议
[Huawei-ui-vty0-4] user privilege level 15  # 设置权限级别
[Huawei-ui-vty0-4] idle-timeout 15 0  # 设置超时时间（可选）
[Huawei-ui-vty0-4] quit

# 5. 启用Telnet服务器
[Huawei] telnet server enable  # 启用Telnet服务

# 6. 保存配置
[Huawei] quit
<Huawei> save

四、PC0（命令提示符 CMD 下）操作步骤

1. 验证链路连通性：ping 192.168.1.1
2. （等待 ping 结果，显示 “请求超时” 以外的连通提示即为链路通）
3. 远程 Telnet 登录交换机：telnet 192.168.1.1
4. 输入密码：cisco0（输入时不显示明文，直接输入后回车）
5. 登录成功，进入华为交换机用户模式，显示标识：<Huawei>

五、PC1（命令提示符 CMD 下）操作步骤

1. 验证链路连通性：ping 192.168.1.1
2. （等待 ping 结果，显示 “请求超时” 以外的连通提示即为链路通）
3. 远程 Telnet 登录交换机：telnet 192.168.1.1
4. 输入密码：cisco1（输入时不显示明文，直接输入后回车）
5. 登录成功，进入华为交换机特权模式，执行命令查看在线用户：display users（显示正在使用中的控制台和所有连接中的 vty 线路）