剛上架一臺交換機時，一項最基本的配置就是Telnet遠程登錄，以便通過遠程登錄方便地對交換機進行管理和操作，只要配好Telnet服務，后續一些其它配置都可以直接通過遠程登錄來進行，而不必在現場進行，那今天就帶大家來熟悉一下華三交換機基本的Telnet配置吧。

Telnet協議

Telnet 協議是TCP/IP協議簇的一員，是Internet遠程登錄服務的標準協議和主要方式。它是屬于應用層的協議，采用客戶端/服務器模型，使用TCP 23號端口為用戶提供在本地主機上登錄遠程設備的服務。

步驟1、配置Telnet遠程登錄

1、本地PC連到交換機配置口

第一次配置交換機時，只能能通過交換機的Console口進行本地配置，默認Console口登錄到命令行界面時沒有密碼且擁有全部權限。要連接到交換機，你只需要在PC上裝好需要的超級終端軟件（SecureCRT或Xshell等），然后通過一條串口轉USB的線將PC連接到交換機的Console口上，然后設置好接口屬性即可建立連接，進入命令行后可以進行相關Telnet配置。

1）、連線

首先將PC連通過Console線連到交換機上，Console線一端接PC的串口或USB，另一端接交換機的Console口（RJ45接口的居多）。

2）、建立連接

在PC上通過終端軟件（如Xshell、SecureCRT等，這里用的是Xshell）建立連接。首先打開Xshell，新建會話，選擇連接類型為串口（Serial），如下圖所示：

然后點擊左邊 Serial連接屬性，選擇使用端口號COM3（如果不知道自己使用的是哪個端口，可以在PC上打開設備管理器在端口中即可看到，一般均使用COM3），設置波特率為9600（大多數設備都是這個值），如下圖所示，都設置好后，點擊確定：

確認好連接屬性后，會彈出會話框，在會話框里選擇你剛剛新建的會話，然后點擊連接即可

如果設置沒問題的話，一般就可以直接進入交換機的操作系統如下，默認沒有認證密碼，可以直接進入命令行進行管理和配置，如果沒有進入命令行就要自己回頭檢查一下之前的配置有沒有問題或者交換機之前有沒有做過什么訪問限制（必要的話可以重置交換機，如有些時候之前交換機命令行設置了密碼，現在已經無從考證，只要簡單的重置就可以恢復默認狀態，進入時就不需要密碼了）。

2、配置接口管理IP

進入命令行后就可以進行相關配置了，要遠程訪問設備，首先要配置一個接口IP用來進行遠程連接，對于一般的二層接入交換機，不能像路由器一樣直接配置接口IP，只能在虛擬VLAN接口上配一個管理IP，用來進行遠程登錄，在華三交換機上配置管理IP的命令可參考以下幾條命令，華三的操作系統為Comware，V表示設備的操作系統版本，目前主要的版本為V3、V5、V7三個，不同版本命令有所變動，注意區分，同時各命令需要在指定視圖下執行。

1）、新建管理VLAN（系統視圖）

V3/V5/V7：vlan

2）、進入VLAN虛擬接口視圖（系統視圖）（如指定VLAN不存在需要新建）

V3/V5/V7：interface vlan-interface

3）、為虛擬接口配置IP地址（VLAN虛擬接口視圖）

V3/V5/V7：ip address

注：V3版本中需要先將配置管理地址的VLAN設置為管理VLAN后，才能配置IP地址，否則會報錯，如下圖所示，其它版本則不用，V7版本中已經取消了這條命令。

V3版本中配置管理VLAN的命令如下（系統視圖）：

management-vlan

3、開啟Telnet服務器（系統視圖）

要使用Telnet服務，還要在系統視圖下開啟Telnet服務器服務，只要在系統視圖下使用以下命令即可：

V5/V7：telnet server enable

注：V3版本版本中沒有此條命令，也不需要配置，telnet在配置好認證后默認啟用。

4、配置認證方式

配好管理IP之后，就要對登錄的用戶進行認證配置，以保證設備的安全性，具體配置驗證方式可以參考以下命令：

1）、進入虛擬終端視圖（系統視圖）

V3：user-interface vty <0-4>

V5：user-interface vty <0-15>

V7：user-interface vty <0-63>

配置驗證方式首先要進入VTY視圖下，這里0 4表示允許0-4共5個用戶同時登錄，V5中最多允許16個用戶同時登錄，V7中最多允許64個。

2）、設置認證方式（虛擬終端視圖）

V3/V5/V7：authentication-mode [none|password|scheme]

然后要在 authentication-mode 里設置認證方式，一般華三交換機為用戶登錄提供三種認證方式分別為none、password、scheme。其中none為無密碼認證，即不需要密碼就可登錄，實際中一般不用；password為通過密碼進行認證登錄，登錄時只需正確輸入設置好的密碼就能進入命令行界面，相對安全一點；scheme為AAA認證，使用用戶名/密碼組合進行認證，是一種更安全的認證方式，但登錄時需要輸入對應的用戶名和密碼才能進入命令行界面，相對麻煩一點。

3）、設置密碼在配置文件中的顯示格式（虛擬終端視圖下）

V3：set authentication password [cipher|simple]

V5：set authentication password [cipher|hash|simple]

V7：set authentication password [hash|simple]

接著要使用set authentication password設置密碼在配置文件中的顯示格式，V3/V5中提供了simple和cipher兩種加密類型，simple為以明文表示，不推薦，cipher為用密文表示，安全性較高；V7中則提供了simple和hash兩種表示方法，也是一種明文表示，一種加密表示，只是算法不同，hash的安全性更高。

4）、設置登錄用戶權限等級（虛擬終端視圖下）

V3/V5：user privilege level <0-3>

V7：user-role level-<0-15>

最后要設置認證用戶的權限等級，不通權限可進行的操作不同，V3/V5中權限等級為0-3共四個等級，最高為3；V7中設置了0-15共16個權限等級，最高為15；一般給管理員設置的賬戶，設成為最高即可。

5）、配置VTY用戶界面支持的協議（虛擬終端視圖下）

V3/V5/V7：protocol inbound [ssh|telnet|all]

注：一般H3C交換機已經默認同時支持telnet和ssh協議，所以不需要再進行配置。

6）、其他可選配置（虛擬終端視圖下）

V3/V5/V7：

idle-timeout <0-35791> 用戶連接超時分鐘數

screen-length <0-512> 配置終端屏幕顯示行數

history-command max-size <0-256> 配置終端歷史命令緩存區大小

5、創建本地用戶

最后如果你選擇了schme認證方式，則需要創建至少一個本地用戶，并設置密碼和權限，具體配置可參考以下命令：

1）、創建本地用戶（系統視圖下）

V3/V5/V7：local-user

2）、為本地用戶設置密碼并選擇加密類型（本地用戶視圖下）

V3：password [cipher|simple]

V5：password [cipher|hash|simple]

V7：password [hash|simple]

3）、選擇本地用戶可以使用的服務（[ ] 內為可選項）（本地用戶視圖下）

V3：service-type telnet [telnet|terminal|ftp|ssh|lan-access]

V5：service-type telnet [telnet|terminal|ftp|ssh| web|portal|lan-access]

V7：service-type telnet [telnet|terminal|ftp|ssh|http|https|pad]

這里根據需要選擇telnet即可。

4）、設置超時登錄時間（本地用戶視圖下）

V3：attribute idle-cut <60-7200> （second）

V5/V7:authorization-attribute idle-cut <1-120> （minute）

5）、設置用戶的權限等級（本地用戶視圖下）

V3：level <0-3>

V5：authorization-attribute level 3 <0-3>

V7：authorization-attribute user-role level-<0-15>

步驟2、不同認證方式配置演示

下面就以一臺H3C 5120（V5）對不同的認證方式做演示，以便大家熟悉一下實際的配置。

1、無密碼認證（none）

如果選擇了none驗證方法，無須配置密碼，只要配置一下用戶權限，然后在全局開啟一下telnet服務器服務即可，當然實際盡量避免用這種驗證方法，安全性太低。配置如下：

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]telnet server enable

配置好之后退出登錄，通過遠程PC訪問交換機可以看到，不需要密碼即可直接進入交換機CLI命令行，如下圖所示：

2、密碼認證（password）

如果選擇了密碼認證，則要配置一個登錄密碼，并選擇密碼加密方式，一般推薦密文加密cipher，其他版本還提供了hash算法等加密類型，可以提供相對較高的安全性。然后再配一下通過用戶界面登錄后的用戶級別即可。

配置如下：

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode password

[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]telnet server enable

配置好之后退出登錄，通過遠程PC訪問交換機可以看到，要先輸入預設的密碼才可進入交換機CLI命令行，如下圖所示：

注：這里輸入的密碼默認不會顯示出來。

注：配置了明文密碼，在配置文件中的密碼配置信息會以明文形式顯示；若配置了密文密碼，配置文件中的密碼配置信息會以密文形式顯示，若同時配置了明文密碼和密文密碼，只有密文密碼會生效。

3、用戶名+密碼組合認證（scheme）

如果你選擇了scheme認證方法，則系統默認采用本地用戶數據庫中的用戶信息進行驗證，因此需要配置一個本地用戶，并設置其用戶名，登錄密碼和用戶級別，然后為本地用戶選擇服務類型，即Telnet，如果你創建的本地用戶登錄信也想用在其它認證，還可以選擇其它服務類型如terminal。

配置如下：

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode scheme

[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]local-user admin

[H3C 5120-luser-admin]password cipher abcd

[H3C 5120-luser-admin]service-type telnet

[H3C 5120-luser-admin]authorization-attribute idle-cut 5

[H3C 5120-luser-admin]authorization-attribute level 3

[H3C 5120-luser-admin]quit

[H3C 5120]telnet server enable

配置好之后退出登錄，通過遠程PC訪問交換機，可以看到需要輸入本地用戶名和密碼，才能進入命令行，如下圖所示：

注：當本地用戶的用戶級別與其登錄時所用用戶界面中的用戶級別不同時，系統優先采用前者作為登錄后的實際用戶級別。

其他注意事項

1、簡單回顧一下配置telnet的流程（V5為例）：

1）、通過Console線連接到交換機，進入命令行。

2）、為交換機配置管理IP：

interface vlan-interface

ip address

3）、在交換機上全局開啟Telnet服務器服務：

telnet server enable

4）、設置登錄認證方式：

user-interface vty <0-15>

authentication-mode [none|scheme|password]

set authentication password [cipher|simple]

user privilege level

5）、創建本地用戶（僅scheme認證方式需要）

local-user

password [cipher|simple]

authorization-attribute level <0-3>

service-type telnet

authorization-attribute idle-cut <60-7200>

2、華三交換機默認開啟了Web頁面登錄支持，Web頁面的登錄也使用Telnet協議，所以配置了Telnet之后，也可以通過Web頁面登錄交換機，直接在瀏覽器地址欄輸入交換機管理IP地址，然后在登錄頁面使用相同的認證密碼即可訪問，如下圖所示，不過普通交換機一般使用命令行配置更為方便。

3、華三交換機操作系統版本不同，命令稍微有所區別，這里只列出了目前常見的三個版本的命令，如果有出入，大家可以自行通過幫助命令核準。