华为S 交换机配置远程登陆

新版本华为交换机开局远程登录那些坑（Telnet、SSHHTTP避坑
指南）
关于华为设备远程登录配置开启的通⽤习惯
1、HTTP/HTTPS相关服务
http secure-server enable
http server enable
2、Telnet服务
telnet server enable
3、SSH服务
stelnet server enable
ssh user admin authentication-type password
在V200R019C10以及之前的版本呢，都习惯的按照上⾯的去开启对应的http、telnet、ssh服务，剩下的只要⽤户名服务类型对了，等级对了，VTY允许了就没任何问题，但是华为最近出了⼀个智选系列的设备（⽆华为那个LOG的），包括华为设备新版本V2R20以及以后的，这个系列要注意（⽬前暂时只发现交换机）
可以看到这个版本是V200R021版本，http的服务都是没问题的，但怎么都打不开WEB，通过display tcp status⼀看，没有侦听对应的端⼝号
包括Telnet、以及SSH也是，默认情况下没有指定任何接⼝，也就是不能从任何接⼝登录设备，必须指定接⼝或者all才能访问。

设置VTY用户界面AAA验证方式：system-viewuser-interfacevty 0 4Authentication-mode aaaquitaaalocal-user user-name password cipher passwordlocal-user user-name service-type ssh配置VTY用户密码验证方式system-viewuser-interfacevty numberauthentication-mode passwordset authenticationpassword【cipher password】配置VTY用户优先级system-viewuser-interface vty interface-numberuser privilege lever level配置VTY用户通过STelnet方式登录1、配置VTY 用户界面的用户级别和验证方式system-viewuser-interfacevty 0 4Authentication-mode aaaquitaaalocal-user user-name password cipher passwordlocal-user user-name service-type ssh2、配置VTY 用户界面支持SSH 协议system-viewuser-interfacevty 0 4authentication-modeaaaprotocol inboundssh3、配置ssh用户并指定服务方式system-viewssh user user-name #创建ssh用户rsa local-key-pair create或dsa local-key-pair create #产生RSA或DSA密钥对ssh user user-name authentication-type{password|rsa|password-rsa|all |dsa | password-dsa }#配置SSH 用户的认证方式ssh user username service-type { stelnet | all } #配置Stelnet用户服务方式为说telnet或all4、使能Stelnet服务器功能system-viewstelnet server enable。

利用华为交换机配置SSH登录SSH是在传统的Telnet协议之基础上发展起来的一种安全的远程登录协议。

相比于Telnet，SSH无论是在认证方式或者数据传输的安全性上，都有很大的提高。

步骤一、生成本地密钥对[Huawei]rsa local-key-pair createThe key name will be: Huawei_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,it will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys...............................++++++...++++++..++++++++......++++++++步骤二、配置VTY用户界面[Huawei]user-interface vty 0 4[Huawei-ui-vty0-4]authentication-mode aaa[Huawei-ui-vty0-4]protocol inbound ssh[Huawei-ui-vty0-4]quit步骤三、创建SSH用户，并配置用户的认证方式为password[Huawei]ssh user shxke authentication-type password步骤四、配置SSH用户的用户名和密码[Huawei]aaa[Huawei-aaa]local-user shxke password cipher shxke Info: Add a new user.[Huawei-aaa]local-user shxke privilege level 3 [Huawei-aaa]local-user shxke service-type ssh[Huawei-aaa]quit步骤五、使能STelent功能，并配置用户的服务类型为STelnet [Huawei]stelnet server enableInfo: Succeeded in starting the Stelnet server. [Huawei]ssh user shxke service-type stelnet配置完成。

华为S5700交换机开启telnet远程登陆配置⼀、配置S5700交换机。

1.交换机开启Telnet服务<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname LSW1[LSW1]telnet server enable //使能telnet服务。

2.配置登陆IP地址[LSW1]vlan 666 //新建管理VLAN[LSW1-vlan666]quit[LSW1]interface Vlanif 666 //配置IP地址[LSW1-Vlanif666]ip address 192.168.1.254 24[LSW1-Vlanif666]quit3.配置g0/0/1端⼝属性[LSW1]interface GigabitEthernet 0/0/1[LSW1-GigabitEthernet0/0/1]port link-type trunk[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 40944.配置VTY⽤户界⾯的终端属性[LSW1]user-interface vty 0 4 //配置Telnet，同时配置5个⽤户[LSW1-ui-vty0-4]authentication-mode aaa //认证模式是AAA[LSW1-ui-vty0-4]user privilege level 15 //⽤户等级[LSW1-ui-vty0-4]protocol inbound telnet[LSW1-ui-vty0-4]quit5.配置登录验证⽅式[LSW1]aaa[LSW1-aaa]local-user admin123 password cipher admin123* //设置⽤户名和密码[LSW1-aaa]local-user admin123 privilege level 15//设置⽤户权利等级[LSW1-aaa]local-user admin123 service-type telnet //设置这个admin123⽤户⽤来Telnet6.保存配置<LSW1>save1⼆、配置S3700交换机1.新建VLAN（此VLAN在S5700有定义）<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sysname LSW2[LSW2]vlan 666[LSW2-vlan666]quit2.配置e0/0/1和e0/0/2端⼝属性[LSW2]interface Ethernet 0/0/1[LSW2-Ethernet0/0/1]port link-type trunk[LSW2-Ethernet0/0/1]port trunk allow-pass vlan 2 to 4094[LSW2-Ethernet0/0/1]quit[LSW2]interface Ethernet 0/0/2[LSW2-Ethernet0/0/2]port link-type access[LSW2-Ethernet0/0/2]port default vlan 666[LSW2-Ethernet0/0/2]quit3.保存配置<LSW2>save1三、配置电脑1.查看是否开启Telnet服务，（控制⾯板->卸载程序->左侧的“打开或关闭window功能”）。

system-view //进入系统试图telnet server enable //打开Telnet服务//以下为配置VTY界面user-interface maximum-vty 8 //配置VTY用户界面user-interface vty 0 7 //进入VTY用户界面protocol inbound telnetauthentication-mode aaa //配置用户为AAA认证模式quit //退出系统试图//以下为配置AAA认证属性aaa //进入AAA视图模式local-user admin password irreversible-cipher hauwei@nei //设置admin用户密码为huawei@hauweilocal-user admin service-type telnet //设置用户admin服务方式为Telnet local-user admin privilege level 3 //设置用户admin权限级别为3quit //退出AAA试图模式命令详解：Quidway]user-interface vty 0 4 ；进入虚拟终端[S3026-ui-vty0-4]authentication-mode password ；设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ；设置口令[S3026-ui-vty0-4]user privilege level 3一、第一句的意思是：进入到vty 终端，在华为的交换机里，vty就是人家用telnet远程进入到你交换机的界面，最多有五个，所以说你可以vty 0 vty 1 vty... vty 4交换机最多可以允许五个人同时在线进到交换机里去配置命令的。

vty0 4 就是说把这五个界面一起配置了，这五个界面进去的话，都是使用以下的配置。

第1章产品介绍1.1 产品简介随着Internet市场的不断发展，用户对通信的需求已从传统的电话、传真、电报等低速业务逐渐向高速的Internet接入、可视电话、视频点播（Video On Dem and，VOD）等宽带业务领域延伸。

用户对上网速率的需求也越来越高，以太网接入因其成本低、使用简单、速度高而倍受市场的关注。

面对迅猛发展的宽带网络建设需求，华为公司根据不同的客户类型需求，推出了Quidway系列以太网交换机。

Quidway S3500系列以太网交换机是华为公司自主开发的L2/L3层以太网交换机，提供线速的二层、三层交换功能及IP路由功能。

目前包含的型号为：l S3526以太网交换机l S3526 FS以太网交换机l S3526 FM以太网交换机l S3526E以太网交换机l S3526E FS以太网交换机l S3526E FM以太网交换机S3526/S3526E以太网交换机提供24个10/100Base-TX固定以太网端口、1个Console口及2个千兆扩展模块插槽，支持1000Base-SX、1000Base-LX、1000Base-T、1000Base-ZX、1000Base-LX GL接口模块及堆叠模块，可以实现上行连接或交换机的堆叠。

& 说明：S3526和S3526E以太网交换机在软件功能、提供的插槽、端口范围，从总体上是一样的。

因此，为提高可读性，在本手册中，除非特别说明，对于S3526/S3526E所共有的功能，将只用S3526代表，而不提及S3526/ S3526E。

S3526 FS/S3526E FS与S3526 FM/S3526E FM以太网交换机的区别仅在于它们提供的固定光端口属性不同：S3526 FS/S3526E FS以太网交换机提供12个百兆单模光端口，S3526 FM/S3526E FM以太网交换机提供12个百兆多模光端口。

除此之外它们还分别提供4个扩展模块插槽及1个Console口。

华为交换机S5700设置远程sshtelnet登录AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是⽹络安全的⼀种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于⽤户进⾏认证、授权、计费的，⽽NAC⽅案是基于接⼊设备接⼝进⾏认证的,在实际应⽤中，可以使⽤AAA的⼀种或两种服务如果是⼀台刚初始化过的华为交换机，需要输⼊两次相同的密码作为登录交换机的登录密码交换机上有console 端⼝ MEth管理端⼝ usb端⼝通过串⼝线配置S5700 的管理IP地址，串⼝线接在交换机的console⼝，ip设置完成后⽹线接在ETH⼝：<Quidway> system-view[Quidway] interface MEth 0/0/1[Quidway] interface MEth 0/0/1[Quidway-MEth0/0/1]ip address x.x.x.x 255.255.255.0 ///设置MEth管理端⼝的ip地址[Quidway-MEth0/0/1]quit[Quidway]ip route-static 0.0.0.0 0.0.0.0 x.x.x.x（gateway）[Quidway-MEth0/0/1]display ip interface MEth 0/0/1 ///查看MEth管理端⼝的配置信息[Quidway]添加⽤户,设置ssh telent远程登录<Quidway> system-view ///进⼊系统配置模式[Quidway]aaa ///进⼊AAA模式[Quidway-aaa]local-user chy password cipher qaz123456 ///设置本地⽤户名和密码 cipher加密[Quidway-aaa]local-user chy service-type ssh telnet ///设置⽤户设置登录ssh telnet服务[Quidway-aaa]display ssh server status ///查看ssh服务是否⽣效[Quidway-aaa]display telnet server status ///查看telnet服务是否⽣效[Quidway-aaa]local-user chy privilege level 15 ///设置⽤户级别[Quidway-aaa]q ///退出AAA模式设置vty 0 4远程登陆的虚拟端⼝VTY是路由器的远程登陆的虚拟端⼝，0 4表⽰可以同时打开5个会话，line vty 0 4是进⼊VTY端⼝，对VTY端⼝进⾏配置，⽐如说配置密码，或者ACL.[Quidway]user-interface vty 0 4 ///进⼊vty 0 4远程虚拟端⼝[Quidway-ui-vty0-4]authentication-mode aaa ///为虚拟⽤户终端配置AAA⾝份验证模式[Quidway-ui-vty0-4]user privilege level 15 ///为虚拟⽤户终端配置⽤户级别[Quidway-ui-vty0-4]protocol inbound all ///为虚拟⽤户终端配置使⽤的协议，all即都⽀持[Quidway-ui-vty0-4]protocol inbound telnet ///为虚拟⽤户终端配置telnet协议，即可以使⽤telnet远程登录[Quidway-ui-vty0-4]protocol inbound ssh ///为虚拟⽤户终端配置ssh协议，即⽤户可以使⽤ssh远程登录[Quidway]ssh user chy authentication-type password ///为chy⽤户设置ssh认证为password，此命令对设置单⼀⽤户设置来说⽐较实⽤[Quidway]ssh authentication-type default password ///设置ssh默认的认证⽅式为密码认证，对设置多个⽤户来说很实⽤[Quidway]ssh user chy service-type stelnet ///为chy⽤户设置ssh认证服务类型为stelnet[Quidway]display ssh user-information chy ///查看ssh服务chy⽤户的配置信息[Quidway]q ///退出系统设置视图<Quidway>save ///保存设置配置登陆IP地址<Quidway> system-view //进⼊系统配置模式[Quidway]interface Vlanif 1 //进⼊三层 vlanif 接⼝[Quidway-Vlanif1]ip address 192.168.0.1 255.255.255.0 //配置管理 IP 地址创建web登录管理账号[Quidway]http server enable ///系统视图下开启http服务[Quidway]http secure-server enable ///系统视图下开启http安全服务即https[Quidway]aaa //系统视图下进⼊aaa模式[Quidway-aaa]local-user admin privilege level 15 ///配置 http 登录名权限[Quidway-aaa]local-user admin service-type http /// 开启 http 登录服务[Quidway-aaa]quit /// 退出aaa模式创建vlan<Quidway>system-view ///进⼊系统配置模式[Quidway]vlan 10 ///创建vlan 10[Quidway-vlan10]quit ///退出系统配置模式[Quidway]interface Vlanif 10 ///进⼊配置vlan 10的模式[Quidway-Vlanif10]ip address 192.168.0.1 255.255.255.0 ///为vlan 10配置IP地址和掩码[Quidway-vlan10]quit ///退出系统配置模式[Quidway-GigabitEthernet0/0/2] ///进⼊端⼝2[Quidway-GigabitEthernet0/0/2]port link-type access ///端⼝类型设置为access[Quidway-GigabitEthernet0/0/2]port default vlan 10 ///将port加⼊到我们创建好的vlan 10[Quidway-GigabitEthernet0/0/2]display vlan ///查看配置的vlan信息[Quidway]q ///退出系统设置视图批量创建vlan<Quidway>system-view ///进⼊系统配置模式[Quidway]vlan batch 2 to 19 ///批量创建vlan 2-19 ，系统都会有⼀个默认的vlan 1 [Quidway]display vlan ///查看vlan信息[Quidway]q ///退出系统设置视图批量删除vlan<Quidway>system-view ///进⼊系统配置模式[Quidway]undo vlan batch 2 to 19 ///批量删除vlan 2-19 ，系统都会有⼀个默认的vlan 1[Quidway]display vlan ///查看vlan信息[Quidway]q ///退出系统设置视图批量把端⼝加⼊到vlan 10<Quidway>system-view ///进⼊系统配置模式[Quidway]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/6///将1⼝到6⼝添加到port-group，此处系统默认的给1⼝到6⼝添加到1个组⾥了。