你有没有试过为了改个交换机配置,大冬天往机房跑了三趟?或者盯着密密麻麻的命令行界面直冒冷汗?别慌!今天咱们就聊聊华为交换机的telnet配置,保准让你从此坐在办公室就能搞定机房设备。
一、telnet是啥?凭啥比网页登录牛?
简单说,telnet就像给你的交换机开了个后门。不用插console线,不用接显示器和键盘,只要网络通,随时随地都能管理设备。对比其他管理方式:
| 登录方式 | 需要设备 | 安全性 | 方便程度 |
|---|---|---|---|
| Console线 | 电脑+串口线 | 高 | 极低 |
| Web界面 | 浏览器 | 中 | 中等 |
| Telnet | 能上网就行 | 低 | 极高 |
去年给学校机房配了telnet,现在学生交作业再也不用排队等老师开机房了。不过要注意,这玩意传输是明文的,千万别在公网用!
二、配置三步走,错了算我的
跟着我做,保证一次成功:
- 给交换机喂个IP地址
markdown复制[Huawei] interface Vlanif 1 [Huawei-Vlanif1] ip address 192.168.1.254 24
(重点:Vlanif 1是默认管理接口,别瞎改)
- 开通telnet服务
markdown复制[Huawei] telnet server enable [Huawei] user-interface vty 0 4 [Huawei-ui-vty0-4] authentication-mode aaa
(坑点:vty线路数要看设备型号,老设备可能只支持0-3)
- 设置登录账号密码
markdown复制[Huawei] aaa [Huawei-aaa] local-user admin password irreversible-cipher Hello123 [Huawei-aaa] local-user admin service-type telnet [Huawei-aaa] local-user admin privilege level 15
(血泪教训:密码必须包含大小写+数字,不然过不了等保测评)
三、连不上的八大原因排查
要是按步骤做了还连不上,挨个检查这些地方:
- 交换机防火墙没放行telnet(执行
firewall packet-filter default permit) - 电脑和交换机不在同一网段(ping下192.168.1.254通不通)
- VTY线路数超限(试试vty 0 15扩大连接数)
- AAA认证模式配错(必须用aaa不能用password)
- 特权级别不够(level 15才有完整权限)
- 服务类型漏配(除了telnet还要加ssh/web)
- 系统版本太旧(升级到V200R019C00SPC300)
- 网线接错口(管理口通常标黄色)
上周帮客户调试就遇到个奇葩问题:所有配置都对,最后发现是交换机的telnet端口被改成2323了。所以记住,默认是23端口!
四、高玩必备的安全加固
虽然配置好了,但这样裸奔可不行。加这三道保险:
- 改默认端口
markdown复制[Huawei] telnet server port 50023
(别用1024以下端口,容易被扫描)
- 设置ACL白名单
markdown复制[Huawei] acl 2000 [Huawei-acl-basic-2000] rule permit source 192.168.1.100 0 [Huawei-ui-vty0-4] acl 2000 inbound
(只允许运维电脑的IP连接)
- 开启登录失败锁定
markdown复制[Huawei] login block-on-failure retry 3 block-time 300
(输错3次密码锁5分钟,防暴力破解)
五、十年网工的血泪忠告
从无数坑里爬出来的经验之谈:
- 先配console密码再开telnet(防止把自己锁外面)
- 定期备份配置(用
save config.cfg导出到FTP) - 重要操作双人验证(两人各持一半密码)
- 日志服务器必须配(出事能查操作记录)
最惨痛的经历:给银行机房配telnet时手抖输了undo service telnet,结果全市ATM机断网半小时。现在养成了改配置前先display current-configuration的好习惯。
说到底,telnet就像把双刃剑——用好了是神器,用砸了变凶器。记住安全与便利永远是对冤家,下次配置时多花五分钟做加固,可能就避免五小时的故障排查。现在就去给你的交换机穿件"防弹衣"吧,别等中招了才后悔!
