為方便管理網(wǎng)絡(luò)設(shè)備，一般都會(huì)在網(wǎng)絡(luò)設(shè)備上設(shè)置管理IP地址，管理員可以用使用Telnet或STelnet命令進(jìn)行遠(yuǎn)程登錄，以便對(duì)多臺(tái)本地或遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備進(jìn)行配置、監(jiān)控和維護(hù)。管理員不需要為每一臺(tái)設(shè)備都連接一個(gè)終端進(jìn)行本地配置，而且本地配置還需相應(yīng)的配置線和相應(yīng)串口配置接口，部署起來也比較繁瑣。而通過遠(yuǎn)程登錄管理，可以在一個(gè)終端上對(duì)多臺(tái)設(shè)備進(jìn)行遠(yuǎn)程管理和配置，極大地提高了管理員操作的靈活性。

但在日常使用中，因?qū)elnet和STelnet原理和使用方式不正確，導(dǎo)致出現(xiàn)無法遠(yuǎn)程登錄、管理權(quán)限不足和不能正常使用等故障。筆者曾遇到同事出于安全原因?qū)β酚善鞯倪h(yuǎn)程管理進(jìn)行了復(fù)雜配置后，導(dǎo)致其他對(duì)路由器和Telnet功能不熟悉的同事無法正常遠(yuǎn)程管理的故障。通過排除故障，也讓筆者了解到使用Telnet或STelnet需要把握的一些細(xì)節(jié)，不然會(huì)造成使用上面的不便。

故障現(xiàn)象

單位購買了數(shù)臺(tái)華為AR1220S路由器，為方便管理，啟用了路由器的遠(yuǎn)程管理功能。啟用路由器遠(yuǎn)程管理功能是由同事A配置完成的，但同事A在配置完成后，并未很好地完善數(shù)據(jù)資料就出差了，僅留下了端口IP地址、遠(yuǎn)程登錄用戶名密碼和部分設(shè)置參數(shù)。

故障一：同事B告訴筆者無法遠(yuǎn)程登錄路由器（假設(shè)路由器接口A的IP地址為：10.1.1.1，路由器接口B的地址 為 ：20.0.0.1）。 同 事 B 使用telnet 20.0.0.1命令遠(yuǎn)程登錄路由器失敗。

故障二：在可以遠(yuǎn)程登錄路由器后，同事B告訴筆者對(duì)路由器無法進(jìn)行遠(yuǎn)程管理，因?yàn)槁酚善魈崾緎ystem-view命令無法識(shí)別和接收。

針對(duì)兩個(gè)故障，筆者進(jìn)行了分析和詢問其他同事，同事C告訴筆者，前一天他有遠(yuǎn)程登錄和管理過，沒有調(diào)整過遠(yuǎn)程管理功能的相關(guān)參數(shù)，也沒有出現(xiàn)過以上兩個(gè)故障現(xiàn)象。

故障排除

而路由器因不在本地，所以無法使用串口進(jìn)行本地配置管理，但前一天同事C有遠(yuǎn)程登錄管理過，說明還是在操作使用方面出現(xiàn)了問題。

1.使用Telnet 20.0.0.1命令，發(fā)現(xiàn)提示無法登錄遠(yuǎn)程主機(jī)，使用ping 20.0.0.1命令，發(fā)現(xiàn)無法Ping通。后經(jīng)檢查，原來是客戶端的IP地址端為10.1.1.x地址，因?yàn)闆]有配置網(wǎng)關(guān)，且配置了20.0.0.1地址的物理接口連接外網(wǎng)，也就是說該接口未啟用，導(dǎo)致無法Ping通。在配置了網(wǎng)關(guān)后，使用telnet 10.1.1.1命令，發(fā)現(xiàn)提示還是無法登錄遠(yuǎn)程主機(jī)，使用ping 10.1.1.1命令，發(fā)現(xiàn)可以Ping通10.1.1.1。針對(duì)出現(xiàn)的問題，筆者記起同事A為確保使用安全，對(duì)Telnet的訪問設(shè)置了訪問控制策略，僅限幾個(gè)IP地址可以遠(yuǎn)程訪問管理，而筆者的客戶端的IP地址不在這幾個(gè)IP地址范圍內(nèi)。

2.修改管理終端的IP地址，使其IP地址可以對(duì)路由器進(jìn)行遠(yuǎn)程訪問管理，使用ping 10.1.1.1命令，發(fā)現(xiàn)可以Ping通路由器管理接口IP地址。再次使用telnet 10.0.0.1命令登錄路由器，發(fā)現(xiàn)仍然提示無法登錄遠(yuǎn)程主機(jī)（如圖1）。

圖1 遠(yuǎn)程登錄路由器失敗

3.查看同事A留下的配置參數(shù)，發(fā)現(xiàn)同事A不僅對(duì)Telnet的訪問設(shè)置了訪問控制，還修改了Telnet默認(rèn)的訪問端口，將默認(rèn)的23端口修改為了1025端口。筆者使用telnet 10.0.0.1 1025命令來登錄路由器，登錄成功。

4.登錄成功并輸入密碼后，使用system-view命令，發(fā)現(xiàn)無法進(jìn)入系統(tǒng)模式（如圖 2）。

圖2 無法進(jìn)入系統(tǒng)模式

5.使用display users命令，發(fā)現(xiàn)在線管理用戶有2個(gè)，使用display tcp status和display telnet server status命令，可以看到Telnet的連接端口和連接路由器的客戶端IP地址（如圖 3）。

圖3 Telnet相關(guān)配置參數(shù)和在線管理用戶

6.通過查看到的信息，看到路由器中有VTY 0和VTY 1兩個(gè)用戶，判斷這2個(gè)用戶擁有不同的權(quán)限，其中VTY 0用戶的權(quán)限較高，VTY 1用戶的權(quán)限較低，而筆者使用的是VTY 1用戶，因?yàn)樵谶M(jìn)入遠(yuǎn)程管理時(shí)，沒有要求輸入用戶名，而如果使用VTY 0用戶需要輸入用戶名和密碼，因?yàn)閂TY 0用戶采用的是aaa驗(yàn)證方式。如果要能配置管理路由器，需要使用VTY 0用戶登錄，但是VTY 0用戶一直保持在線，那么即使使用VTY 1用戶登錄，也是無法配置管理路由器，因?yàn)閂TY 1的權(quán)限不夠高。

后經(jīng)了解，原來同事C為配置管理方便，一直使用VTY 0用戶遠(yuǎn)程登錄，后同事C將VTY 0用戶下線后，筆者使用VTY 0用戶才成功登錄并可以配置管理路由器。

7.成功登錄路由器后，使 用display currentconfiguration命令，看到路由器中有VTY 0和VTY 1兩個(gè)用戶，其中VTY 0使用的是aaa驗(yàn)證方式且設(shè)置其idle-timeout時(shí)間為30分鐘，權(quán)限為level 3（level 3為最高權(quán)限，可配置管理路由器），VTY 1使用的是密碼驗(yàn)證方式，權(quán)限為level 1（level 1為普通權(quán)限，可以查看配置內(nèi)容，卻無法管理配置路由器)，idle-timeout為默認(rèn)的5分鐘。

也終于知道如果要遠(yuǎn)程管理路由器，不僅要用合法的IP地址，還需要知道的Telnet的1025端口，還需要使用高權(quán)限的用戶才可以。

經(jīng)驗(yàn)總結(jié)

對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理配置，除使用管理系統(tǒng)外，最常用的是使用Telnet和STelnet命令實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程維護(hù)。Telnet配置相對(duì)簡(jiǎn)單，但是在傳輸過程采用的是TCP明文傳輸，存在很大的安全隱患，除了在局域網(wǎng)外，一般很少使用了。而使用STelnet相對(duì)較多，但是配置相對(duì)復(fù)雜，可以將其看成是使用了雙向認(rèn)證且對(duì)傳輸數(shù)據(jù)進(jìn)行加密的Telnet服務(wù)。

1.在使用Telnet和STelnet這兩個(gè)命令時(shí)，為提高其安全性，可以采取以下幾項(xiàng)措施：

（1）在網(wǎng)絡(luò)設(shè)備對(duì)遠(yuǎn)程管理功能配置訪問控制列表，保證只有符合安全策略的IP地址才能登錄網(wǎng)絡(luò)設(shè)備。

（2）可以更改Telnet默認(rèn)的管理端口，如可以更改為1025端口（在華為網(wǎng)絡(luò)設(shè)備上可以使用Telnet server port xxx命令修改Telnet端口，xxx為端口號(hào)，其取值范圍為23或1025～55535）。

（3）可修改用戶在線時(shí)間，為確保安全，一般可以將默認(rèn)的5分鐘更改30秒至1分鐘，確保在管理員長(zhǎng)時(shí)間離開時(shí)或未對(duì)路由器進(jìn)行操作時(shí)，能及時(shí)退出當(dāng)前用戶。

（4）可以對(duì)不同的用戶進(jìn)行權(quán)限設(shè)定，驗(yàn)證方式可選aaa驗(yàn)證方式或密碼驗(yàn)證方式。

2.在使用Telnet和STelnet這2個(gè)命令時(shí)，還需要注意以下幾個(gè)方面：

（1）Telnet缺少安全的認(rèn)證方式，傳輸過程采用明文傳輸，安全性不夠高，特別是在公共網(wǎng)絡(luò)環(huán)境中，不建議使用。

（2）網(wǎng)絡(luò)設(shè)備的任何接口在配置了IP地址都可以作為管理IP地址，前提是這個(gè)接口的IP地址同管理終端之間網(wǎng)絡(luò)可達(dá)且物理接口在正常工作中。

（3）如果有多個(gè)不同用戶且權(quán)限不同，那么建議將權(quán)限高的用戶設(shè)置在前，權(quán)限低的用戶設(shè)置在后。因?yàn)槟阍谑褂肨elnet遠(yuǎn)程登錄時(shí)，網(wǎng)絡(luò)設(shè)備要求登錄用戶要按照0、1、2……的順序登錄，也就是說如果用戶要對(duì)網(wǎng)絡(luò)設(shè)備配置管理，當(dāng)用戶首次遠(yuǎn)程登錄時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)首先要求用戶使用VTY 0用戶登錄，而不會(huì)使用其他的用戶。當(dāng)用戶VTY 0保持在線，用戶再次遠(yuǎn)程登錄時(shí)，網(wǎng)絡(luò)設(shè)備才會(huì)使用VTY 1用戶登錄，只有VTY 0用戶下線后，網(wǎng)絡(luò)設(shè)備才會(huì)要求用戶使用VTY 0登錄。

舉一個(gè)例子，路由器中有VTY 0、1、2等 3 個(gè)用戶，其中用戶VTY 0和VTY 1用戶權(quán)限低，VTY 2用戶權(quán)限高，如果用戶要配置管理路由器，那么就需要Telnet路由器3次，第一次使用VTY 0用戶登錄，第二次使用VTY 1用戶登錄，且要保持用戶VTY 0和VTY 1用戶同時(shí)在線時(shí)，才可以使用VTY 2進(jìn)行登錄管理配置，這樣在配置時(shí)，就需要知道3個(gè)用戶名和3個(gè)登錄密碼，還需要VTY 0和VTY 1兩個(gè)用戶保持在線，在網(wǎng)絡(luò)不是很穩(wěn)定的情況下，使用極為不便。也有同事說在計(jì)算機(jī)終端上使用Telnet命令可以攜帶用戶名參數(shù)登錄方式進(jìn)行登錄（具體命令為：Telnet IP地址 端口號(hào) –l用戶名），但是筆者做過實(shí)驗(yàn)，即便是Telnet命令攜帶了用戶名也是無法跳過VTY 0和VTY 1兩個(gè)用戶直接使用VTY 2用戶進(jìn)行登錄的。