1. 实验环境准备第一次接触网络设备管理的朋友可能会觉得交换机配置很神秘其实用模拟器就能轻松上手。华为eNSPEnterprise Network Simulation Platform是我最推荐的网络实验工具它完美模拟了真实设备的环境又不用担心搞坏硬件。下面我会带大家从零开始用最通俗的方式搭建Telnet管理环境。先说说为什么选择Telnet。作为最传统的远程管理协议Telnet就像设备的远程控制台虽然现在SSH更安全但学习阶段用Telnet更容易理解底层原理。我建议新手先用Telnet摸清门道等熟练了再过渡到SSH。实验需要准备eNSP最新版本官网免费下载一台S5700交换机模拟器内置一台PC用模拟器的Cloud设备替代直连网线模拟器里拖拽就能生成安装eNSP时有个常见坑点一定要同时安装Wireshark和VirtualBox这三个组件是联动的。我遇到过不少学员因为漏装导致设备启动失败的情况。2. 基础网络搭建2.1 创建拓扑结构打开eNSP后我们先从左侧设备栏拖出两个关键设备S5700交换机在交换机分类里Cloud云设备代表外网PC用自动连线工具连接交换机的GigabitEthernet 0/0/1口和Cloud的Ethernet口。这里有个细节真实环境中我们会用Console线首次配置但模拟器里可以直接用网线连接更便捷。右键点击交换机选择启动等设备指示灯变绿。如果卡在####启动界面通常是VirtualBox没装好需要检查虚拟网卡设置。2.2 IP地址规划就像小区要有门牌号网络设备也得有IP才能通信。我们采用最简单的方案交换机VLAN1接口192.168.1.1/24管理PC192.168.1.2/24这个配置的妙处在于VLAN1是交换机的默认虚拟接口/24掩码表示前24位是网络号两个IP在同一网段就能直接通信在Cloud设备上配置IP的步骤右键Cloud选择设置在绑定信息里添加UDP端口勾选本地连接对应的网卡在PC上配置静态IP控制面板→网络共享中心3. 交换机基础配置3.1 初始化命令行操作双击启动的交换机会进入令人望而生畏的CLI界面。别担心我们只需要几个基础命令Huawei system-view # 进入系统视图 [Huawei] sysname SW1 # 修改设备名 [SW1] interface vlanif 1 # 进入VLAN接口 [SW1-Vlanif1] ip address 192.168.1.1 24 # 配置IP [SW1-Vlanif1] quit这里有个实用技巧按Tab键可以自动补全命令比如输入int v后按Tab会自动补全为interface vlanif。如果输错命令系统会贴心地给出相似命令提示。3.2 测试网络连通性配置完别急着下一步先验证基础网络是否通畅[SW1] ping 192.168.1.2如果显示Reply from 192.168.1.2说明物理层和数据链路层都正常。如果超时建议检查防火墙是否关闭网卡绑定是否正确IP配置是否输入错误我遇到过最奇葩的情况是Windows Defender拦截了模拟器的网络通信临时关闭防火墙就解决了。4. Telnet服务配置4.1 开启Telnet功能现在进入核心环节让交换机支持远程登录[SW1] telnet server enable # 全局开启服务 [SW1] user-interface vty 0 4 # 开放5个虚拟终端 [SW1-ui-vty0-4] authentication-mode password # 设置密码验证 [SW1-ui-vty0-4] set authentication password cipher Huawei123 # 设置密码 [SW1-ui-vty0-4] user privilege level 15 # 最高权限 [SW1-ui-vty0-4] protocol inbound telnet # 允许Telnet协议注意几个关键点cipher表示密码会加密存储privilege level 15相当于管理员权限vty 0 4表示同时允许5个会话0到44.2 创建管理账号虽然密码验证能用但企业环境更推荐账号密码方式[SW1] aaa # 进入认证视图 [SW1-aaa] local-user admin password cipher Admin123 [SW1-aaa] local-user admin service-type telnet [SW1-aaa] local-user admin privilege level 15 [SW1-aaa] quit这种方式的优势在于可以设置账号有效期方便权限分级管理支持审计日志记录5. 远程登录验证5.1 从PC端登录测试在Windows电脑上打开命令提示符telnet 192.168.1.1输入刚才设置的用户名admin和密码Admin123看到提示符就成功了。第一次登录可能会报错通常是以下原因交换机未保存配置用save命令网络延迟多试几次端口被占用重启模拟器5.2 常见故障排查如果登录失败可以分段检查检查交换机Telnet服务状态[SW1] display telnet server status查看VTY线路配置[SW1] display user-interface vty 0验证账号信息[SW1] display local-user有个特别实用的调试技巧在交换机上开启终端监控功能可以实时看到登录请求[SW1] terminal monitor [SW1] terminal debugging [SW1] debugging telnet packet6. 安全加固建议虽然实验环境无所谓但真实场景下Telnet的安全隐患必须重视。分享几个我常用的加固措施6.1 ACL访问控制只允许特定IP管理设备[SW1] acl 2000 [SW1-acl-basic-2000] rule permit source 192.168.1.2 0 [SW1-acl-basic-2000] quit [SW1] user-interface vty 0 4 [SW1-ui-vty0-4] acl 2000 inbound6.2 登录超时设置防止会话被长期占用[SW1-ui-vty0-4] idle-timeout 5 0 # 5分钟无操作自动断开6.3 日志记录记录所有登录行为[SW1] info-center enable [SW1] info-center loghost 192.168.1.100 # 指定日志服务器7. 实验扩展练习掌握基础配置后可以尝试这些进阶实验配置多层级管理权限不同账号不同权限实现Telnet over VLAN跨网段管理结合AAA服务器实现集中认证配置登录欢迎信息使用header命令有次我给企业做培训发现他们所有交换机都用默认密码。后来我们批量修改时就用Telnet配合Python脚本自动化完成效率比手动操作高了十倍不止。