一、远程登录协议概述

在企业网络管理中，远程登录交换机进行配置是最常见的操作之一。华为交换机支持多种远程登录方式，其中SSH和Telnet是最常用的两种协议。

Telnet：

• 基于TCP 23端口
• 采用明文传输，安全性低
• 配置简单，适合内网测试环境

SSH：

• 基于TCP 22端口
• 采用加密传输，安全性高
• 适合生产环境使用
• 支持密码认证和密钥认证

二、Telnet远程登录配置

Telnet

基础配置步骤

1. 进入系统视图

   <Huawei> system-view

1. 配置VTY用户界面

   [Huawei] user-interface vty 0 4
   [Huawei-ui-vty0-4] authentication-mode password
   [Huawei-ui-vty0-4] set authentication password cipher Huawei@123
   [Huawei-ui-vty0-4] protocol inbound telnet
   [Huawei-ui-vty0-4] idle-timeout 15 0

1. 配置管理IP地址

   [Huawei] interface vlanif 1
   [Huawei-Vlanif1] ip address 192.168.1.1 24
   [Huawei-Vlanif1] quit

1. 启用Telnet服务

   [Huawei] telnet server enable

高级安全配置（可选）

1. ACL限制访问源

   [Huawei] acl 2000
   [Huawei-acl-basic-2000] rule permit source 192.168.1.100 0
   [Huawei-acl-basic-2000] rule deny source any
   [Huawei-acl-basic-2000] quit
   
   [Huawei] user-interface vty 0 4
   [Huawei-ui-vty0-4] acl 2000 inbound

1. 配置用户级别

   [Huawei-ui-vty0-4] user privilege level 3

三、SSH远程登录配置

ssh

基础配置步骤

1. 生成RSA密钥对

   <Huawei> system-view
   [Huawei] rsa local-key-pair create

1. 配置VTY用户界面

   [Huawei] user-interface vty 0 4
   [Huawei-ui-vty0-4] authentication-mode aaa
   [Huawei-ui-vty0-4] protocol inbound ssh

1. 配置AAA认证

   [Huawei] aaa
   [Huawei-aaa] local-user admin password cipher Huawei@123
   [Huawei-aaa] local-user admin privilege level 3
   [Huawei-aaa] local-user admin service-type ssh
   [Huawei-aaa] quit

1. 配置SSH用户

   [Huawei] ssh user admin authentication-type password
   [Huawei] ssh user admin service-type stelnet

1. 启用SSH服务

   [Huawei] stelnet server enable

高级安全配置（可选）

1. 配置SSH版本

   [Huawei] ssh server compatible-ssh1x disable  # 仅支持SSH2.0

1. 配置密钥认证

   # 生成密钥对
   [Huawei] dsa local-key-pair create
   
   # 配置SSH用户使用密钥认证
   [Huawei] ssh user admin authentication-type rsa

1. 配置SSH访问控制

   [Huawei] acl 2001
   [Huawei-acl-basic-2001] rule permit source 192.168.1.100 0
   [Huawei-acl-basic-2001] quit
   
   [Huawei] ssh server acl 2001

四、配置验证与排错

Telnet验证

1. 检查Telnet服务状态

   [Huawei] display telnet server status

1. 测试远程登录

   C:> telnet 192.168.1.1

SSH验证

1. 检查SSH服务状态

   [Huawei] display ssh server status

1. 查看SSH用户信息

   [Huawei] display ssh user-information

1. 测试SSH连接

   # Linux/Mac
   $ ssh admin@192.168.1.1
   
   # Windows (使用PuTTY)

常见问题排查

1. 连接被拒绝
2. 检查服务是否启用（stelnet/telnet server enable）
3. 检查防火墙设置
4. 检查ACL是否限制访问
5. 认证失败
6. 检查用户名/密码是否正确
7. 检查用户服务类型是否包含ssh/telnet
8. 检查用户权限级别
9. 协议不匹配
10. 检查VTY界面配置的protocol inbound
11. 检查客户端与服务端协议版本

五、安全提议

1. 生产环境推荐使用SSH，禁用Telnet

   [Huawei] undo telnet server enable

1. 定期更换密码，使用复杂密码策略

   [Huawei-aaa] local-user admin password cipher NewPassword@2023

1. 限制访问源IP，只允许管理终端访问
2. 启用日志功能，记录登录事件

   [Huawei] info-center enable
   [Huawei] user-interface vty 0 4
   [Huawei-ui-vty0-4] shell logging userlog

1. 配置登录超时，防止会话长期挂起

   [Huawei-ui-vty0-4] idle-timeout 10 0