网络系统建设与运维(初级)-实验 5.6 STelnet登录管理

6STelnet登录管理项目背景在运维过程中，Telnet登录管理可以实现远程登录管理，但是在Telnet通信过程中，所有通信信息都是明文方式传送，包括远程登录的用户名和密码，缺乏安全性。STelnet登录结合SSH这一安全协议，可避免Telnet登录的安全隐患，提供在不安全的网络中提供安全的远程登录。本案例中，管理员通过Console口搭建STelnet登录环境，并进行登录测试。项目目的通过本项目可以掌握如下知识点和技能点。熟悉远程登录的过程。掌握SSH用户认证方式为Password认证的STelnet登录配置。掌握SSH用户认证方式为RSA认证的STelnet登录配置。项目拓扑图1.STelnet登录拓扑拓扑说明：1.组织教学实验时，本地维护终端可以跟远程维护终端是同一台PC。2.教学实验时为简单起见，待维护设备可与远程维护终端在同一个网段，实际运维过程中，远程维护终端可通过互联网进行远程登录维护（前提是三层可达）。项目规划本项目的主要任务是熟悉Telnet登录操作并掌握Telnet环境搭建过程。项目前期准备工作准备console线。熟悉Telnet客户端使用，包括Windows命令提示符和第三方软件（譬如PuTTY）。项目任务使用终端仿真软件通过Console口登录设备。配置设备名称、IPv4编址。配置VTY用户界面，包括用户级别、认证方式和支持SSH协议等。AAA视图下创建用于STelnet登录的用户。使能Stelnet服务器，创建RSA本地密钥。配置SSH用户认证方式为“password”认证方式，并测试登录。配置SSH用户认证方式为“rsa”认证方式，并测试登录。项目实施项目准备工作准备工具console线。熟悉STelnet客户端使用，包括Windows命令提示符和第三方软件（譬如PuTTY）。项目任务使用终端仿真软件通过Console口登录设备（该部分操作请参考上一实验“Console口登录管理”，此处不再赘述）配置设备名称为R1，配置接口GE0/0/0的IP地址。<Huawei>system-view[Huawei]sysnameR1[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress24配置VTY用户界面。1）配置Telnet最大登录数目（该数目在不同版本和不同形态间有差异，具体以设备为准），缺省情况下Telnet用户最大数目为5）[R1]user-interfacemaximum-vty152）进入VTY用户界面视图，配置验证方式为AAA方式。[R1]user-interfacevty014[R1-ui-vty0-14]authentication-modeaaa3）设置用户级别为level3（默认为0），VTY用户界面支持STelnet协议。[R1-ui-vty0-14]protocolinboundssh[R1-ui-vty0-14]userprivilegelevel3创建STelnet登录的两个本地用户，用户名为分别为“huawei01”和“huawei02”，密码为“huawei123”，用户级别为“level3”，业务类型为“ssh”。[R1]aaa[R1-aaa]local-userhuawei01passwordcipherhuawei123[R1-aaa]local-userhuawei01privilegelevel3[R1-aaa]local-userhuawei02passwordcipherhuawei123[R1-aaa]local-userhuawei02privilegelevel3[R1-aaa]local-userhuawei01service-typessh[R1-aaa]local-userhuawei02service-typessh使能STelnet服务器，并创建RSA本地密钥1）使能STelnet服务器[R1]stelnetserverenable2）创建RSA本地密钥。[R1][R1]rsalocal-key-paircreateThekeynamewillbe:Host%RSAkeysdefinedforHostalreadyexist.Confirmtoreplacethem?(y/n)[n]:yTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,Itwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:Generatingkeys.............++++++++++++.........++++++++++++.................++++++++.....................++++++++3）查看本地密钥对中的公钥部分。[R1]displayrsalocal-key-pairpublic=====================================================TimeofKeypaircreated:2020-05-0511:16:46-08:00Keyname:HostKeytype:RSAencryptionKey=====================================================Keycode:30470240E11A43C68C4B0DF5236B115C41015514024B1471256EBDCE862CEB50052AB10D010B1439304E768C2FB6844FEF2237FEC7BD0E84AD350D0F24BC8496EE2F5EC90203010001=====================================================TimeofKeypaircreated:2020-05-0511:16:49-08:00Keyname:ServerKeytype:RSAencryptionKey=====================================================Keycode:30670260B5FE13BDBAA84E09BB355BA0CA9FD405D4927B10CF01BDFDBE232946C8FCE39F146B779AC306FDB8F22622144D70544ECAEE5424D1C2CB6169710F1A4F50697E6540D40465060AB4D9ACDD5B337C4F8EC2F918EEB4FEAD50B3541BED171BB5F90203010001配置SSH用户“huawei01”认证方式为“password”认证，并测试登录。1）配置SSH用户认证方式为“password”方式。[R1]sshuserhuawei01authentication-typepassword2）查看SSH服务器全局配置信息[R1]displaysshserverstatusSSHversion :1.99SSHconnectiontimeout :60secondsSSHserverkeygeneratinginterval :0hoursSSHAuthenticationretries :3timesSFTPServer:DisableStelnetserver :Disable3）使用客户端（如Putty）进行登录测试。PuTTY键盘设置和会话设置。图2使用PuTTY键盘设置图3PuTTY会话设置（SSH登录）单击“打开”按钮，首次登录时，在弹出的安全警告界面选择信任主机“是(Y)”。图4首次登录时选择信任STelnet服务器，并存储密钥在随后出现的登录界面输入用户名、密码，即可成功登录。图5PuTTY登录界面（STelnet）执行【displaysshserversession】查看SSH服务器与客户端连接的会话信息。[R1]displaysshserversession-------------------------------------------------------------------------------------ConnVerEncryStateAuth-typeUsername-------------------------------------------------------------------------------------VTY02.0AESrunpasswordhuawei01-------------------------------------------------------------------------------------执行【displaysshuser-informationusername】查看指定SSH用户的信息，其中“username”是上一步骤中观察到的用户名，本例中为“huawei01”。[R1]displaysshuser-informationhuawei------------------------------------------------------------------------------------UsernameAuth-typeUser-public-key-name------------------------------------------------------------------------------------huawei01passwordnull------------------------------------------------------------------------------------配置SSH用户“huawei02”认证方式为“rsa”认证，并测试登录。1）配置SSH用户“huawei01”的认证方式为“rsa”认证[R1]sshuserhuawei02authentication-typersa2）在远程维护终端运行puttygen.exe。用于生成公用密钥、私用密钥两个文件，供后续使用。如图6所示，选取“RSA”，点击“生成”，进入密钥生成状态，此时只要将鼠标在空白处进行移动，就可以看到密钥不断的生成。图6puttygen生成密钥参数设置图7puttygen密钥对生成完毕密钥生成后如图7所示，点击“保存公钥”，文件名为“public.pub”。然后再点击“保存私钥”，在弹出的对话框中（如图8），选择“是”，保存文件名为“private.ppk”。图8保存私钥时提示是否需要密码保护3）在远程维护终端运行sshkey.exe。将生成的公有密钥转化为设备所需要的字符串。打开上一个程序所生成的SSH所需的公有密钥文件public.pub，然后点击“Convert”即可看到生成前后的公钥，如图9所示。图9SSHKEY转换客户端公钥4）在R1上编辑输入远程维护终端上产生的RSA公钥，RSA公钥字符串复制图9中转换后的16进制字符串。[R1]rsapeer-public-keyhuawei02[R1-rsa-public-key]public-key-codebegin[R1-rsa-key-code]30820108028201010098579C66804A3D6827BCBF8724EFBC[R1-rsa-key-code]ADC48E891ED5E1689B864BD7E57A361C10ABCE6C46C7677F[R1-rsa-key-code]9248B7572294784FBB2DB50F629670BA0DA1DCF78C0A2804[R1-rsa-key-code]4D1F29ACBD84C6F28458ABED0CC8290F825A76DEC35A1D50[R1-rsa-key-code]70CE7E496BBFED3B9A93D7C91A96FB598D7[R1-rsa-key-code]B38749A5477AA9E699249201033C54C4464E5BAAB981DA24[R1-rsa-key-code]BDE97641C05801490B96A644F6354DDF00503ED987DD8050[R1-rsa-key-code]D248188CC09B4BC411BDC89CE42348A96567C5769F91C745[R1-rsa-key-code]B5F7DDB8058AA6CEF6254AEEE4E67D2D6439E28163B4D830[R1-rsa-key-code]166FFC113DF8046AEFB077D8C34CA3A16D2A49EE8A281E33[R1-rsa-key-code]ADE61E69DB14C2D524D673EE8BF9DEB193ECED4EDF7F75EA[R1-rsa-key-code]E5020125[R1-rsa-key-code]public-key-codeend[R1-rsa-public-key]peer-public-keyend5）在R1上为SSH用户huawei02绑定STelnet客户端的RSA公钥。[R1]sshuserhuawei02assignrsa-keyhuawei026）远程维护终端上测试登录。通过putty软件登录设备，输入设备的IP地址，选择协议类型为SSH，设置键盘参数。该部分参数同password方式，如图2，图3所示。在putty软件上，按“SSH——认证”打开认证选择界面，单击“浏览”按钮选择步骤7保存的私钥文件“private.ppk”。图10puttySTelnet登录（RSA方式）单击按钮“打开”，即可出现登录界面，输入用户名“huawei02”即可成功登录，如图11所示。图11putty通过STelnet登录设备（RSA认证）执行【displaysshserversession】查看SSH服务器与客户端连接的会话信息。[R1]displaysshserversession-------------------------------------------------------------------------------------ConnVerEncryStateAuth-typeUsername-------------------------------------------------------------------------------------VTY02.0AESrunrsahuawei02-------------------------------------------------------------------------------------执行【displaysshuser-informationusername】查看指定SSH用户的信息，其中“username”是上一步骤中观察到的用户名，本例中为“huawei02”。[R1]displaysshuser-information-------------------------------------------------------------------------------UsernameAuth-typeUser-public-key-name-------------------------------------------------------------------------------huawei02rsahuawei02-------------------------------------------------------------------------------配置文件[R1]displaycurrent-configuration[V200R003C00]#sysnameR1##superpasswordlevel3cipher%$%$:N>:G8oX"7n#e3'aT@/;,8.:%$%$##rsapeer-public-keyhuawei02public-key-codebegin308201070282010098579C66804A3D6827BCBF8724EFBCADC48E891ED5E1689B864BD7E57A361C10ABCE6C46C7677F9248B7572294784FBB2DB50F629670BA0DA1DCF78C0A28044D1F29ACBD84C6F28458ABED0CC8290F825A76DEC35A1D5070CE7E496BBFED3B9A93D7C91A96FB598D7B38749A5477AA9E699249201033C54C4464E5BAAB981DA24BDE97641C05801490B96A644F6354DDF00503ED987DD8050D248188CC09B4BC411BDC89CE42348A96567C5769F91C745B5F7DDB8058AA6CEF6254AEEE4E67D2D6439E28163B4D830166FFC113DF8046AEFB077D8C34CA3A16D2A49EE8A281E33ADE61E69DB14C2D524D673EE8BF9DE