1.网络设备登录与管理的基础知识和实验案例（干货一）

提示文章写完后目录可以自动生成如何生成可参考右边的帮助文档文章目录前言一、网络通信基本概念、网络参考模型二、华为VRP系统概述VRP系统架构命令结构VRP常见操作模式和命令行视图快捷操作编辑命令行VRP文件系统VRP存储设备基础命令文件操作基本配置操作运行、启动、候选配置库VRP版本升级注意事项三、登录和管理方式常见管理方式用户界面用户级别和命令级别配置命令等级命令行方式的本地登录命令行方式的远程登录四、实验案例实验目的1.使用SSH和Telnet远程登录设备2.设置远程登录密码3.配置设备时钟4.修改远程登录用户访问级别限制用户权限5.保存配置并设置为下次启动的配置文件。ENSP拓扑图基础互联配置1.ensp中cloud配置2.S3700交换机配置3.AR201路由器配置4.USG6000V防火墙配置telnet登录网络设备和配置登录密码1.telnet登录S3700交换机的相关配置2.telnet登录AR201路由器的相关配置3.telnet登录USG6000V路由器的相关配置4.telnet登录AR201路由器和S3700交换机时使用aaa认证ssh登录网络设备和配置登录密码1.了解ssh访问的基本流程可以大致了解2.ssh登录S3700交换机的相关配置3.ssh登录AR201路由器的相关配置4.ssh登录USG6000V防护墙的相关配置配置设备时钟这里以USG6000V为例**注意时钟在用户视图下配置**修改远程登录用户访问级别限制用户权限这里以USG6000V的ssh登录方式为例保存配置并设置为下次启动的配置文件这里以USG6000V为例五、附件前言用户对设备的常见管理方式主要有命令行、Web网管、基于SNMP或Netconf协议对设备统一纳管等3种方式。本文只讨论命令行方式。用户登录网络设备后使用网络设备的VRP系统实现对设备的操作和管理。其中用户级别1-15级对应设备命令级别1-4级分别为参观级、监控级、配置级和管理级。登录方式有console登录和远程登录。本文基于ensp模拟软件进行实验。实验内容包括登录网络设备使用VRP系统进行基本操作修改用户级别限制用户权限设置网络设备时间。一、网络通信基本概念、网络参考模型本文不赘述。详见华为HCIA-DATACOM官方课件已上传至本文附件。二、华为VRP系统概述华为VRPVersatile Routing Platform是华为网络设备的通用操作系统平台广泛应用于路由器、交换机等产品。VRP提供统一的用户界面和管理功能支持多种网络协议和业务特性。VRP系统架构VRP采用模块化设计主要分为控制平面、转发平面和管理平面控制平面处理路由协议、信令等控制功能。转发平面负责数据包的快速转发。管理平面提供用户配置、监控和维护接口。命令结构VRP常见操作模式和命令行视图用户视图登录后的默认模式可执行基本查询和切换至其他视图。Huaweidisplay version# 查看设备版本信息Huaweisystem-view# 进入系统视图系统视图配置全局参数如接口、路由协议等。[Huawei]interface GigabitEthernet0/0/1# 进入接口配置视图接口视图配置特定接口参数如IP地址、速率等。快捷操作编辑命令行VRP文件系统VRP存储设备基础命令设备命名[Huawei]sysname Router1# 将设备名称改为Router1查看历史输入命令Huaweidis history-command接口IP配置[Huawei-GigabitEthernet0/0/1]ipaddress192.168.1.124保存配置[Huawei]save# 将当前配置保存至启动文件配置用户会话超时时间[Huawei]idle-timeout minutes[seconds]关于这条命令可以在aaa视图中使用也可以进入console接口视图中使用也可以进入VTY接口视图中使用即需要根据具体情形使用。比如[Huawei]user-interface console 0[Huawei-ui-console0]idle-timeout 0设置用户会话用不超时。文件操作查看当前位置Huaweipwd列出文件夹和文件Huaweidir进入某个文件夹Huaweicd查看文件详细内容Huaweimore创建文件夹Huaweimkdir保存当前配置到一个文件Huaweisave test.cfg文件重命名Huaweirenametest.cfg test123.cfg移动文件Huaweimove test.cfg flash:删除文件夹Huaweirmdir复制文件Huaweicopy删除文件Huaweidelete恢复删除的文件Huaweiundelete永久删除文件Huaweidelete /unreserved彻底删除回收站中的文件Huaweireset recycle-bin##常用诊断与维护命令查看接口状态display interface GigabitEthernet0/0/1测试连通性ping192.168.1.2查看路由表displayiprouting-table基本配置操作配置设备名称sysname name查看当前运行的配置文件dis current-configuration查看历史输入命令dis history-command查看保存的配置dis saved-configuration查看通过save保存的配置查看候选配置display configuration candidate 用于VRP8版本以上有commit功能的设备清空配置reset saved-configuration清空后要reboot重启设备Leaf 1reset saved-configurationWarning: The action will delete the saved configuration on the device.The configuration will be erased to reconfigure.Continue? [Y/N]:y //继续清空配置么是Leaf 1rebootslot 1:Next startup system software: flash:/CE5810EI-V200R005C10SPC800.ccNext startup saved-configuration file: NULLNext startup paf file: defaultNext startup patch package: NULLWarning: The current configuration will be saved to the next startup saved-configuration file.Continue? [Y/N]:n //当前配置将会保存到下次的启动文件中去否Warning: The system will reboot. Continue? [Y/N]:y //是的继续重启设备保存的是请空前的配置还是清空后的配置呢当前运行的配置清空某个设备接口的配置clearconfiguration int G/0/0/2 清空以后接口会shutdown需要undo shutdown查看本次和下次启动加载的系统软件、配置文件、补丁文件、PAF文件dis startup[Huawei]dis startupMainBoard:Startup system software: nullNext startup system software: nullBackup system software for next startup: nullStartup saved-configuration file: flash:/vrpcfg.zipNext startup saved-configuration file: flash:/vrpcfg.zipStartup license file: nullNext startup license file: nullStartup patch package: nullNext startup patch package: nullStartup voice-files: nullNext startup voice-files: null设置系统时钟设置时钟的时候Time-zone-name可以随意指定名字。重点是后面相较于UTC的偏移量。比如北京时区是比UTC时间快了8个小时那么设置就是clock timezone bj或者随意知道你个名字 add 8(或者写作08:00或者写全为08:00:00)UTC偏移量是一个物理学术语用于表示某一时区与协调世界时UTC之间的时间差其研究目的在于对时间概念进行重新定义。该偏移量通常以时分秒格式记录如08:00表示超前UTC八小时。该偏移量用于标识特定地区的时间规则 [1]。UTC偏移量通过ZoneOffset类实现时区偏移的表达其数据包含特定时区的历史及未来规则变更。受夏令时政策影响部分地区的偏移量会季节性调整例如巴黎时区冬季采用01:00夏令时切换为02:00。时区规则数据库由IANA维护通过ZoneRulesProvider实现更新 [1]。1986年4月中国中央有关部门发出“在全国范围内实行夏时制的通知”具体做法是每年从四月中旬第一个星期日的凌晨2时整北京时间将时钟拨快一小时即将表针由2时拨至3时夏令时开始到九月中旬第一个星期日的凌晨2时整北京夏令时再将时钟拨回一小时即将表针由2时拨至1时夏令时结束。从1986年到1991年的六个年度除1986年因是实行夏时制的第一年从5月4日开始到9月14日结束外其它年份均按规定的时段施行。在夏令时开始和结束前几天新闻媒体均刊登有关部门的通告。1992年起夏令时暂停实行。运行、启动、候选配置库VRP版本升级上传新版本镜像至设备存储如Flash。可以利用FTP上传如何配置FTP见本博客其它文章。指定启动文件并重启设备注意需要在用户视图而不是系统视图中执行。startup system-software newvrp.cc # 指定新版本文件 startup saved-configuration xxx.cfg 指定下次启动的配置文件 startup patch xxx.pat 指定下次启动时加载的补丁文件 dis startup 查看下次启动信息 reboot # 重启生效注意事项配置变更后需执行save命令保存配置否则重启后丢失。特权密码需妥善管理默认用户名为admin。不同VRP版本如VRP5、VRP8命令可能存在差异需参考对应版本文档。三、登录和管理方式常见管理方式除了命令行和Web网管方式外还有基于SNMP或NetConf协议对设备进行统一纳管不在本文讨论范围内。用户界面用户级别和命令级别配置命令等级在用户视图、系统视图、接口视图、协议视图等不同视图下有各种命令可以修改这些命令的级别为0-3的数字。参照前面用户级别和命令级别的关系可以限制用户对命令的使用权限。命令行方式的本地登录如果用户PC是笔记本电脑或者没有串口的电脑则需要使用USB转串口的转接线。先按照说明书安装好随线光盘的驱动再将转接线的USB-DB9孔插头插入PC机的USB口中RJ-45插头插入设备的Console口中。‌DB9是一种物理连接器硬件接口而RS-232是一种串行通信标准协议规范。‌两者本质不同但DB9是RS-232标准最常见的物理接口实现形式。在PC上打开终端仿真软件新建连接设置连接的接口以及通信参数与交换机Console口缺省配置相同。以putty为例之后便可以进入命令行界面。命令行方式的远程登录四、实验案例本地登录设备并且使用命令行不再演示。实验目的1.使用SSH和Telnet远程登录设备2.设置远程登录密码3.配置设备时钟4.修改远程登录用户访问级别限制用户权限5.保存配置并设置为下次启动的配置文件。ENSP拓扑图PC分别采用SSH和TELNET登录交换机、防火墙、路由器等设备完成远程登录密码设置设备时钟设置修改用户访问级别以及保存配置等操作。PC使用安装ensp的主机电脑通过ENSP CLOUD接入ENSP的模拟局域网。由于本文属于专栏系列第一篇文章尚未涉及路由和交换知识因此使用交换机构建小型局域网确保PC与交换机、防火墙、路由器等设备互通。基础互联配置1.ensp中cloud配置这里主要是将ensp中cloud桥接至电脑主机的网卡相当于将电脑主机通过cloud接入ensp中的模拟网络。2.S3700交换机配置[Huawei]int Vlanif 1[Huawei-Vlanif1]ip address 192.168.56.2此时主机PC中能够ping通该交换机。3.AR201路由器配置interface Ethernet0/0/0undo portswitchip address 192.168.56.3 255.255.255.0注意这里由于AR201路由器的特殊性需要先将二层接口转变为三层接口才能配置IP地址。至于二层接口和三层接口的区别详见本博客专栏的后续文章。同样主机pc能ping通该路由器4.USG6000V防火墙配置用户名为admin初始密码为Admin123初次使用需要修改可修改为Huawei123[USG6000V1]int GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.56.4 24由于防火墙的特性还需要将接口加入安全区域同时允许pingfirewall zone untrustadd interface GigabitEthernet1/0/0int GigabitEthernet 1/0/0service-manage ping permit由于ensp存在一些莫名的bug如果上述操作仍然不能ping通防火墙则需要重启防火墙设备即可。如果还存在问题在运行ensp软件的windows主机上使用arp -d *命令清除所有arp缓存再ping即可。如果还不行在ensp中删除防火墙然后重新添加防火墙设备并且配置。并且要记住勾选或者直接在防火墙中勾选如果还不行就请检查cloud的设置出入接口的映射关系重新配置即可。注意要删除cloud然后重新配置。避免之前的cloud错误配置有影响如果还是不行1.选择Virtualbox目录下的\drivers\vboxsup\VBoxSup.inf旧版本是VBoxDrv.inf右键选择安装2.打开注册表编辑器3.打开路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSup#旧版本是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxDrv4.双击Start那一项并把值设置为2然后确认。5.以管理员权限打开CMD执行bcdedit /set hypervisorlaunchtype off如果usg6000v有时还是启动#号这可能是因为ensp是基于virtualbox的然后我们在ensp中用cloud的时候又桥接都了virtualbox的网卡这里面会存在一些莫名的问题。这个时候我们需要在cloud中重新桥接网卡桥接到vmnet8的网卡就可以避免这个问题。当然这个时候ip网段要从192.168.56.x改到192.168.101.x网段telnet登录网络设备和配置登录密码1.telnet登录S3700交换机的相关配置首先在交换机上查看telnet服务是否开启[Huawei]dis telnet server statusTELNET IPv4 server :EnableTELNET IPv6 server :EnableTELNET server port :23如果服务器没有开启需要用telnet server enable 来开启telnet服务其次配置vty虚拟接口user-interface vty 0 4authentication-mode passwordset authentication password cipher csdnprotocol inbound telnet其中protocol inbound telnet有些设备是默认开启的。最后在运行ensp的本地PC电脑上使用putty软件进行登录2.telnet登录AR201路由器的相关配置首先在路由器上查看telnet服务是否开启键入dis telnet server status结果同前述telnet登录S3700交换机不再罗列。如果服务器没有开启需要用telnet server enable 来开启telnet服务其次配置vty虚拟接口user-interface vty 0 4authentication-mode passwordset authentication password cipher csdnprotocol inbound telnet其中protocol inbound telnet有些设备是默认开启的。最后在运行ensp的本地PC电脑上使用putty软件进行登录IP地址改为AR201路由器的IP地址192.168.56.3登录结果同前述telnet登录S3700交换机不再罗列。3.telnet登录USG6000V路由器的相关配置首先在防火墙上查看telnet服务是否开启[USG6000V1]dis telnet server status2026-03-27 02:44:12.420TELNET IPv4 server :DisableTELNET IPv6 server :DisableTELNET server port :23TELNET server source address :0.0.0.0ACL4 number :0ACL6 number :0由于服务器没有开启需要用telnet server enable 来开启telnet服务[USG6000V1]telnet server enable这里默认只开启IPV4协议下的telnet server没有开启IPV6的。开启IPV6协议下的需要键入[USG6000V1]telnet ipv6 server enable其次配置vty虚拟接口。首先进入vty虚拟接口并且dis出详细内容user-interface vty 0 4authentication-mode aaaprotocol inbound ssh可以看出防火墙默认是使用aaa登录这个时候我们需要在aaa中配置用户。具体配置如下user-interface vty 0 4protocol inbound all其中protocol inbound all表示既允许SSH登录也允许telnet登录。进入aaa配置如下manager-user csdnservice-type telnetlevel 3password cipher Huawei123其中防火墙的密码规则如下The password you entered does not meet the minimum complexity requirement.The password must contain three types of characters from the following four groups: Uppercase letters ; Lowercase letters ; Numerals 0-9; Symbols (all characters not defined as letters or numerals), such as !,$,#, and %. The password cannot contain more than two identical characters in a row.同时由于防火墙特性需要在接口上放行telnet流量。[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit最后在运行ensp的本地PC电脑上使用putty软件进行登录IP地址改为USG6000V防火墙的IP地址192.168.56.4输入用户名csdn密码Huawei1234.telnet登录AR201路由器和S3700交换机时使用aaa认证这里aaa认证的配置命令和USG6000V防火墙的配置命令是不一致的需要看设备的型号查询相关手册。但是AR201路由器和S3700交换机的配置命令则是类似的具体如下user-interface vty 0 4authentication-mode aaaaaalocal-user csdn password cipher Huawei123local-user csdn privilege level 3local-user csdn service-type telnet**aaa认证的优势在于可以自定义新的用户名和密码。**不使用aaa认证的时候只能用默认的用户名是adminssh登录网络设备和配置登录密码1.了解ssh访问的基本流程可以大致了解先了解对称加密算法和非对称加密算法。1对称加密算法Symmetric Key Encryption‌核心原理‌加密和解密使用‌同一个密钥‌也称为私钥或共享密钥。‌常见算法‌‌DES‌、3DES‌、‌AES‌、‌SM4‌中国国家标准2非对称加密算法Asymmetric Key Encryption‌核心原理‌使用一对密钥——‌公钥Public Key和私钥Private Key‌。公钥可公开用于加密或验证签名。私钥保密用于解密或生成签名。用公钥加密的数据只能用对应的私钥解密。3SSH基本流程‌SSH的工作流程是一个严谨的多阶段安全连接过程核心包括TCP连接建立、版本与算法协商、密钥交换、身份认证和会话交互五个阶段‌。1TCP连接建立客户端通过TCP协议连接服务器的SSH端口默认为22。完成三次握手后建立基础网络连接。2SSH协议版本协商服务器主动发送其支持的SSH版本信息如 SSH-2.0-OpenSSH_8.9。客户端比对自身支持的版本选择双方兼容的最高版本进行后续通信。3密钥与算法协商‌算法列表交换‌双方各自发送支持的算法列表包括公钥算法如RSA、ECC加密算法如AES-256消息认证码MAC算法压缩算法‌确定最终算法组合‌根据优先级匹配出共同支持的最优算法集。‌4密钥交换Diffie-Hellman‌使用‌非对称加密‌中的DH算法生成共享的‌会话密钥‌。即使被监听攻击者也无法推导出会话密钥确保前向安全性。这里面DH算法的核心思想是双方交换公共参数以后选取一个参数作为私钥各自生成公钥传递给对方。双方再基于收到的公钥进行计算后能够得出相同的共享密钥用于对会话数据进行加密。这里由于共享会话密钥没有进行直接传输因此不会被窃取。即使传输的DH公钥被窃取窃取者也无法计算出会话密钥✅ 此阶段完成后所有后续通信将使用‌对称加密‌如AES进行高效加密传输。5用户身份认证客户端需向服务器证明身份常见方式有a. ‌密码认证‌客户端用服务器公钥加密用户密码并发送。服务器用私钥解密后与 /etc/shadow 中的哈希值比对验证。b. ‌公钥认证推荐‌客户端声明使用的公钥并用对应私钥对一段随机数据签名。服务器查找 ~/.ssh/authorized_keys用公钥验证签名是否有效。6) 交互式会话建立认证成功后客户端请求启动shell会话。服务器返回成功响应双方进入加密通道。用户可执行命令、传输文件或转发端口所有数据均通过会话密钥加密传输。2.ssh登录S3700交换机的相关配置首先在交换机上查看ssh服务是否开启[Huawei]dis ssh server statusSSH version :1.99SSH connection timeout :60 secondsSSH server key generating interval :0 hoursSSH authentication retries :3 timesSFTP server :DisableStelnet server :DisableScp server :Disable如果服务器没有开启需要用stelnet server enable 来开启stelnet服务其次配置vty虚拟接口这个时候认证模式用password是不能配置ssh协议的需要用aaauser-interface vty 0 4authentication-mode aaaprotocol inbound ssh进一步配置aaaaaalocal-user csdn password cipher Huawei123local-user csdn privilege level 3local-user csdn service-type ssh最后ssh的特殊性还要再创建ssh用户。ssh user csdn authentication-type passwordssh user csdn service-type stelnet最后在运行ensp的本地PC电脑上使用putty软件进行登录这个时候会提示这个时候相当于获取到了服务器的公钥后续会用这个公钥对用户密码进行加密再传递给服务器服务器再用私钥对加密的用户密码进行验证从而完成用户验证。这里我们勾选是。最后输入用户名csdn和密码Huawei123即可。3.ssh登录AR201路由器的相关配置AR201路由器和S3700交换机的主要配置过程也一样。首先用stelnet server enable 来开启stelnet服务其次配置vty虚拟接口这个时候认证模式用password是不能配置ssh协议的需要用aaauser-interface vty 0 4authentication-mode aaaprotocol inbound ssh进一步配置aaaaaalocal-user csdn password cipher Huawei123local-user csdn privilege level 3local-user csdn service-type ssh最后ssh的特殊性还要再创建ssh用户。ssh user csdn authentication-type password注意这里AR201路由器上没有这条命令ssh user csdn service-type stelnet最后在运行ensp的本地PC电脑上使用putty软件进行登录操作同前。主要展示如下4.ssh登录USG6000V防护墙的相关配置[firewall]dis ssh server status2026-03-27 07:08:53.450SSH version :2.0SSH connection timeout :60 secondsSSH server key generating interval :0 hoursSSH authentication retries :3 timesSFTP IPv4 server :DisableSFTP IPv6 server :DisableSTELNET IPv4 server :EnableSTELNET IPv6 server :EnableSCP IPv4 server :DisableSCP IPv6 server :DisableSSH server source :0.0.0.0ACL4 number :0ACL6 number :0首先用stelnet server enable 来开启stelnet服务。其次配置vty虚拟接口这个时候认证模式用password是不能配置ssh协议的需要用aaauser-interface vty 0 4authentication-mode aaaprotocol inbound ssh进一步配置aaaaaamanager-user csdnpassword cipher Huawei123service-type sshlevel 3最后ssh的特殊性还要再创建ssh用户。[firewall]ssh user csdn service-type stelnetssh user csdn authentication-type password同时由于防护墙的特殊性还需要为接口配置允许ssh协议[firewall-GigabitEthernet1/0/0]service-manage ssh permit最后在运行ensp的本地PC电脑上使用putty软件进行登录。此时会报出一个错误是因为Putty版本问题我这里是0.74版本。解决办法见https://forum.huawei.com/enterprise/cn/zh/thread/blog/580934798275395584?blogId580934798275395584【原创】关于使用putty软件通过SSH方式登录时出现“Signature from server’s host key is invalid”错误的解决方法然后即可进入这里也可以直接用windows自带的powershell访问ssh服务器配置设备时钟这里以USG6000V为例注意时钟在用户视图下配置以前述telnet或者sshstelnet登录网络设备后命令如下clock timezone csdn add 8clock datetime 15:43:54 2026-03-27dis clock2026-03-27 15:43:55.630 08:002026-03-27 15:43:5508:00FridayTime Zone(csdn) : UTC08:00修改远程登录用户访问级别限制用户权限这里以USG6000V的ssh登录方式为例[firewall-aaa]manager-user csdn[firewall-aaa-manager-user-csdn]level 0修改为最低级别即参观级别。此时putty通过ssh登录防火墙后会发现连sys命令都使用不了。保存配置并设置为下次启动的配置文件这里以USG6000V为例五、附件见文章开头上传资源。