- 配置允许远程接入设备的用户IP地址。不在ACL范围内的网段将不能对设备进行Telnet和SSH方式的远程访问。
<sysname>system-view [sysname] acl 2000 [sysname-acl-basic-2000] rule permit source x.x.x.x x.x.x.x [sysname-acl-basic-2000] quit
x.x.x.x x.x.x.x为允许远程接入设备的IP地址范围。
- 配置VTY管理员界面连接数限制。对同时远程登录到设备上的会话数进行限制,可以防止大量的会话数连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
<sysname>system-view [sysname] user-interface maximum-vty 5
- 配置Telnet/SSH登录。
-
设置Telnet方式登陆设备的管理员的账号和密码,管理员级别为3级,该账号的最大允许接入数为1个。并应用ACL2000,配置允许远程接入设备的用户IP地址。
<sysname>system-view [sysname] user-interface vty 0 4 [sysname-ui-vty0-4] authentication-mode aaa [sysname-ui-vty0-4] protocol inbound telnet [sysname-ui-vty0-4] acl 2000 inbound [sysname-ui-vty0-4] quit [sysname] aaa [sysname-aaa] local-user admin1 password irreversible-cipher ********* [sysname-aaa] local-user admin1 service-type telnet [sysname-aaa] local-user admin1 level 3 [sysname-aaa] local-user admin1 access-limit 1
-
设置SSH方式登陆设备的管理员的账号和密码。使用SSH方式登录可以提高信息传输的安全性,建议使用SSH方式登录设备。
# 创建SSH方式登陆设备的管理员的账号和密码,管理员级别为3级,该账号的最大允许接入数为1个。
<sysname> system-view [sysname] user-interface vty 0 4 [sysname-ui-vty0-4] authentication-mode aaa [sysname-ui-vty0-4] protocol inbound ssh [sysname-ui-vty0-4] quit [sysname] ssh user admin1 [sysname] ssh user admin1 authentication-type password [sysname] aaa [sysname-aaa] local-user admin1 password cipher ********* [sysname-aaa] local-user admin1 service-type ssh [sysname-aaa] local-user admin1 level 3 [sysname-aaa] local-user admin1 access-limit 1
# 启用设备上的STelnet服务。
<sysname> system-view [sysname] stelnet server enable
# 配置SSH用户admin1客户端服务方式STelnet/SFTP。
[sysname] ssh user admin1 service-type stelnet
-
父主题:
设备登录安全