华为HCIA-Routing & Switching之路-4
实验-5-配置telnet远程管理密码认证
在工作中,有时候我们的网络拓扑很大,实际中根据业务需求可能大到路由器之间不在一个城市,当出现业务需求改变或者其它软件问题时,我们就可以通过telnet技术在我们所在的城市来远程管理别的城市里的路由器(如图一1)
假如我们现在在海南,我举了一个距离极远的例子漠河,如果漠河的业务需求改便或者设备软件有些问题要重新配置,我们就可以在海南用R2设备使用telnet技术来远程管理R1设备。那么,在远程管理的过程中,自然不能是任何人都能远程登录并管理,得是有相关技术人员才可以,那么就要用到telnet远程管理密码认证技术。配置如下:
R1配置:
<Huawei> undo ter mo
Info: Current terminal monitor is off.
<Huawei> sys //进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei] sysname R1 //重命名为R1
[R1] int g0/0/0 //进入g0/0/0接口
[R1-GigabitEthernet0/0/0] ip address 192.168.1.1 24 //绑定一个ip地址,假设为192.168.1.1,掩码为24位
[R1-GigabitEthernet0/0/0] q //退出接口
[R1] user-interface vty 0 4 //进入远程虚拟终端管理配置,华为设备一共可以同时最多打开五个虚拟终端,即0、1、2、3、4
//若只开启其某一个,则可以使用user-interface vty 0或user-interface vty 1等命令
[R1-ui-vty0-4] auth //tab补全出现下面的命令 "authentication-mode"
[R1-ui-vty0-4] authentication-mode password //选择密码认证模式为 password 方式
[R1-ui-vty0-4] set authentication password cipher 1234 //设置密码为1234,加上"cipher"表示密码以密文形式加密
[R1-ui-vty0-4] user privilege level 3 //设置用户等级为3,最高级别,可以为所欲为,现在有些设备最高级别是15,最低级别是1,还有级别2,管理权限随级别增加而增加
[R1-ui-vty0-4] idle-timeout 1 1 //配置超时时间为1分1秒,即1分1秒过去了没有操作就会自己断开连接
[R1-ui-vty0-4] //Ctrl+z返回
<R1>save //save保存作的修改,下面会有一个提示是否保存,输入y回车等待一下即可
R2配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[R2-GigabitEthernet0/0/0] //Ctrl+z
<R2>telnet 192.168.1.1 //使用telnet 命令连接R1 的接口
Trying 192.168.1.1 ...
Press CTRL+K to abort
Connected to 192.168.1.1 ...
Login authentication
Password: //要求你输入密码,因为采用密文加密,所以你输的字符看不到
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2021-01-19 12:28:28.
<R1> //进入R1路由器的用户视图了,可以对R1进行任何更改
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 0.
Info: The connection was closed by the remote host.
<R2> //1分1秒未操作,超时后自动断开回R2的用户视图,如果需要提前断开,q命令即可
R2登录R1成功实验图:
实验-6-配置telnet远程管理aaa认证
上面说了telnet远程管理密码认证,这个实验就是在密码认证的基础上更进一步,做安全性更高的aaa认证。
拓扑图需求:
R2配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[R2-GigabitEthernet0/0/0]q
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa //选择密码认证模式为 aaa 方式
[R2-ui-vty0-4]q
[R2]aaa //进入aaa认证配置
[R2-aaa]local-user xiaoming password cipher 1234 //创建一个名为xiaoming密码为1234(加密)的本地用户
Info: Add a new user. //提示创建成功
[R2-aaa]local-user xiaoming privilege level 3 //设置用户等级为3
[R2-aaa]local-user xiaoming service-type telnet //将用户xiaoming 绑定到telnet服务,以便能使用telnet命令远程登录
[R2-aaa] //Ctrl+z
<R2>save //保存配置
R1配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[R1-GigabitEthernet0/0/0]
<R1>telnet 192.168.1.1
Trying 192.168.1.1 ...
Press CTRL+K to abort
Connected to 192.168.1.1 ...
Login authentication
Username:xiaoming //输入账户
Password: //输入密码,加密不可见
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2021-01-19 12:53:44.
<R2> //进入R2用户视图,开始为所欲为,需退出,q命令即可
R1登录R2实验成功图:
实验-7-配置基本静态路由
路由的基本知识
本实验是配置静态路由,那需要了解一些路由的基本认识:
- 路由是指导报文转发的路径信息,通过路由可以确认转发IP报文的路径。
- 路由设备是依据路由转发报文到目的网段的网络设备,最常见的路由设备就是路由器。
- 路由设备工作原理是维护着一张路由表,保存着路由信息,再根据报文需求向不同网络转发报文。
- 路由表中的路由条目包含明确的出接口以及下一跳,这两项信息指导IP报文转发到相应的下一跳设备上。
- 路由器依据路由表进行路由转发,为实现路由转发,路由器需要发现路由,常见的路由获取方式有直连路由、静态路由和动态路由。
- 直连路由由设备自动生成指向本地直连网络;静态路由由网络管理员手工配置的路由条目;动态路由由路由器运行动态路由协议自动学习到路由信息。
- 数据通信是双向的,因此要关注报文的传输是往返都需要路由的(往返路由)。
本实验就是学习如何配置静态路由,在设备中我们可以使用display ip routing-table命令查看本设备的路由表条目信息。
路由表中各个内容都有其自己的含义
| 标识 | 含义 |
|---|---|
| Destination / Mask | 表示此路由的目的网络地址与网络掩码 |
| Proto(Protocol) | 表示该路由的协议类型 |
| Pre(Preference) | 表示此路由的路由协议优先级,数值越小,优先级越高,可以在配置路由时手动配置数值 |
| Cost | 路由开销,开销最小的是最佳路由 |
| NextHop | 表示对于本路由器而言,到达该路由指向的目的网络的下一跳地址 |
| Interface | 表示此路由的出接口,指明数据将从本路由器的哪个接口转发出去 |
路由协议优先级在默认的情况下优先级 直连>静态>动态
静态路由的应用场景:
静态路由由网络管理员手动配置,配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络。
静态路由的配置格式:
[Huawei] ip route-static 目的网段 掩码 下一跳接口地址
实验
拓扑需求:
R1配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[[R1]]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 //给接口g0/0/0绑定IP地址
[R1-GigabitEthernet0/0/0]q
//写一条静态路由进路由表,告诉路由器如果报文想要去192.168.2.0网段,则转发报文至地址192.168.1.2,即走路由器R2的 g0/0/0 接口
[R1]ip route-static 192.168.2.0 24 192.168.1.2
//再写一条静态路由进路由表,告诉路由器如果报文想要去192.168.3.0网段,则转发报文至地址192.168.1.2,即也走路由器R2的 g0/0/0 接口
[R1]ip route-static 192.168.3.0 24 192.168.1.2
[R1]
<R1>save
R2配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.2 24 //给接口 g0/0/0 绑定IP地址
[R2-GigabitEthernet0/0/0]int g0/0/1 //进入接口 g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.1 24 //给接口 g0/0/1 绑定IP地址
[R2-GigabitEthernet0/0/1]q
//写一条静态路由进路由表,告诉路由器如果报文想要去192.168.3.0网段,则转发报文至地址192.168.2.2,即走路由器R3的 g0/0/1接口
[R2]ip route-static 192.168.3.0 24 192.168.2.2
[R2] //Ctrl+z
<R2>save
R3配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R3
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip add 192.168.2.2 24 //给接口 g0/0/1 绑定IP地址
[R3-GigabitEthernet0/0/1]int g0/0/2 //进入接口 g0/0/2
[R3-GigabitEthernet0/0/2]ip add 192.168.3.2 24 //给接口 g0/0/2 绑定IP地址
[R3-GigabitEthernet0/0/2]
//写一条静态路由进路由表,告诉路由器如果报文想要去192.168.1.0网段,则转发报文至地址192.168.2.1,即走路由器R2的 g0/0/1接口
[R3]ip route-static 192.168.1.0 24 192.168.2.1
<R3>save
R5配置:
<Huawei>undo ter mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R5
[R5]int g0/0/2
[R5-GigabitEthernet0/0/2]ip add 192.168.3.1 24 //给接口 g0/0/2 绑定IP地址
[R5-GigabitEthernet0/0/2]q
//写一条静态路由进路由表,告诉路由器如果报文想要去192.168.2.0网段,则转发报文至地址192.168.3.2,即走路由器R3的 g0/0/2接口
[R5]ip route-static 192.168.2.0 24 192.168.3.2
//再写一条静态路由进路由表,告诉路由器如果报文想要去192.168.1.0网段,则转发报文至地址192.168.3.2,即也走路由器R3的 g0/0/2接口
[R5]ip route-static 192.168.1.0 24 192.168.3.2
[R5]
<R5>save
实验成功截图:
使用R1去PingR3的接口地址,能通信则成功。
本实验注意事项
上面在路由的基本知识里说过数据通信是双向的,因此要关注报文的传输是往返都需要路由信息(往返路由)。这个知识点在本实验中就涉及到了。如果我们把报文从R1到R5看作是一个方向,那么在R1中我们指明了若要去192.168.2.0网段和192.168.3.0网段该怎么走,在R2中指明了要去往192.168.3.0网段该怎么走。假设数据通信是不是双向的,那么就已经完成了配置,但是我们都知道Ping命令的报文机制,它是有来有回的,就像任何的数据通信一样是双向的。所以我们需要在R5上也写静态路由,告诉R5,如果有数据要去往192.168.2.0网段和192.168.1.0网段该怎么走,告诉R3如果有数据要去往192.168.1.0网段该怎么走。那为啥不用在R3和R2上分别配置去往192.168.3.0网段和192.168.1.0网段的静态路由信息呢?因为通过拓扑图得知,R3直连R5,R2直连R1,即他们本来就在此网段下,属于直连路由,前面说过直连路由由设备自动生成指向本地直连网络,所以不用配置多此一举。这一段有点长,好好理解会更加能明白"数据通信是双向的"这一理念在网络拓扑图里的实现。
最后在不同的路由器里配置完成后使用display ip routing-table命令即可查看我们配置的各种路由信息。
实验-8-静态路由实现通信
此实验是老师留的课后作业,原来是准备用作OSPF实验的,改成了静态路由实验。实现方式和实验-7-配置基本静态路由一样。具体配置方法就不写了。拓扑图需求贴出,以后也可以自己再当作业练手:
注意:
- 图中各个接口地址都已经给出,按照需求配置即可
- 最终要求 PC1 能 Ping 通 PC2
- PC的IP地址配置需要将PC拖拽至拓扑图,右键启动后双击设备,找到IPv4配置,输入IP地址等信息,再点击右下角的应用即可。Ping 命令在命令行里输入。(IPv6的相关知识在HCIP里涉及一部分)
额外补充
- 我们实验中所讲的所有路由设备和我们家庭里使用的路由器设备虽然工作原理差不多,但还是有区别的,不能搞混。
- save保存命令和telnet连接命令只能在用户视图使用。
- telnet远程管理的各种认证模式和密码配置等操作是在被登录设备上进行配置,登陆设备只需要在能保持联通的情况下远程使用telnet命令登录即可,不能配置错了设备。
- 在华为设备的操作界面中,我们可以提前建立一个文本,把命令提前敲好,再一起复制粘贴到操作界面中,不要有错误即可。操作系统会逐一执行命令。
- 写静态路由进路由表就很像我们生活中高速公路上的出口指示牌,指示我们想要去的出口该怎么走。
实际中我们自然不会像图中那样一条线缆直接联通R1和R2,中间肯定还有其它的路由器等设备保证两者联通,在实验中,图中两接口的地址也需要保证在同一个网段下才能通信,实际中也不会如此简单,此处只是简化 ↩︎