排查遠(yuǎn)程管理失敗故障

為方便管理網(wǎng)絡(luò)設(shè)備，一般都會在網(wǎng)絡(luò)設(shè)備上設(shè)置管理IP地址，管理員可以用使用Telnet或STelnet命令進(jìn)行遠(yuǎn)程登錄，以便對多臺本地或遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備進(jìn)行配置、監(jiān)控和維護(hù)。管理員不需要為每一臺設(shè)備都連接一個終端進(jìn)行本地配置，而且本地配置還需相應(yīng)的配置線和相應(yīng)串口配置接口，部署起來也比較繁瑣。而通過遠(yuǎn)程登錄管理，可以在一個終端上對多臺設(shè)備進(jìn)行遠(yuǎn)程管理和配置，極大地提高了管理員操作的靈活性。

但在日常使用中，因?qū)elnet和STelnet原理和使用方式不正確，導(dǎo)致出現(xiàn)無法遠(yuǎn)程登錄、管理權(quán)限不足和不能正常使用等故障。筆者曾遇到同事出于安全原因?qū)β酚善鞯倪h(yuǎn)程管理進(jìn)行了復(fù)雜配置后，導(dǎo)致其他對路由器和Telnet功能不熟悉的同事無法正常遠(yuǎn)程管理的故障。通過排除故障，也讓筆者了解到使用Telnet或STelnet需要把握的一些細(xì)節(jié)，不然會造成使用上面的不便。

故障現(xiàn)象

單位購買了數(shù)臺華為AR1220S路由器，為方便管理，啟用了路由器的遠(yuǎn)程管理功能。啟用路由器遠(yuǎn)程管理功能是由同事A配置完成的，但同事A在配置完成后，并未很好地完善數(shù)據(jù)資料就出差了，僅留下了端口IP地址、遠(yuǎn)程登錄用戶名密碼和部分設(shè)置參數(shù)。

故障一：同事B告訴筆者無法遠(yuǎn)程登錄路由器（假設(shè)路由器接口A的IP地址為：10.1.1.1，路由器接口B的地址 為 ：20.0.0.1）。 同 事 B 使用telnet 20.0.0.1命令遠(yuǎn)程登錄路由器失敗。

故障二：在可以遠(yuǎn)程登錄路由器后，同事B告訴筆者對路由器無法進(jìn)行遠(yuǎn)程管理，因?yàn)槁酚善魈崾緎ystem-view命令無法識別和接收。

針對兩個故障，筆者進(jìn)行了分析和詢問其他同事，同事C告訴筆者，前一天他有遠(yuǎn)程登錄和管理過，沒有調(diào)整過遠(yuǎn)程管理功能的相關(guān)參數(shù)，也沒有出現(xiàn)過以上兩個故障現(xiàn)象。

故障排除

而路由器因不在本地，所以無法使用串口進(jìn)行本地配置管理，但前一天同事C有遠(yuǎn)程登錄管理過，說明還是在操作使用方面出現(xiàn)了問題。

1.使用Telnet 20.0.0.1命令，發(fā)現(xiàn)提示無法登錄遠(yuǎn)程主機(jī)，使用ping 20.0.0.1命令，發(fā)現(xiàn)無法Ping通。后經(jīng)檢查，原來是客戶端的IP地址端為10.1.1.x地址，因?yàn)闆]有配置網(wǎng)關(guān)，且配置了20.0.0.1地址的物理接口連接外網(wǎng)，也就是說該接口未啟用，導(dǎo)致無法Ping通。在配置了網(wǎng)關(guān)后，使用telnet 10.1.1.1命令，發(fā)現(xiàn)提示還是無法登錄遠(yuǎn)程主機(jī)，使用ping 10.1.1.1命令，發(fā)現(xiàn)可以Ping通10.1.1.1。針對出現(xiàn)的問題，筆者記起同事A為確保使用安全，對Telnet的訪問設(shè)置了訪問控制策略，僅限幾個IP地址可以遠(yuǎn)程訪問管理，而筆者的客戶端的IP地址不在這幾個IP地址范圍內(nèi)。

2.修改管理終端的IP地址，使其IP地址可以對路由器進(jìn)行遠(yuǎn)程訪問管理，使用ping 10.1.1.1命令，發(fā)現(xiàn)可以Ping通路由器管理接口IP地址。再次使用telnet 10.0.0.1命令登錄路由器，發(fā)現(xiàn)仍然提示無法登錄遠(yuǎn)程主機(jī)（如圖1）。

圖1 遠(yuǎn)程登錄路由器失敗

3.查看同事A留下的配置參數(shù)，發(fā)現(xiàn)同事A不僅對Telnet的訪問設(shè)置了訪問控制，還修改了Telnet默認(rèn)的訪問端口，將默認(rèn)的23端口修改為了1025端口。筆者使用telnet 10.0.0.1 1025命令來登錄路由器，登錄成功。

4.登錄成功并輸入密碼后，使用system-view命令，發(fā)現(xiàn)無法進(jìn)入系統(tǒng)模式（如圖 2）。

圖2 無法進(jìn)入系統(tǒng)模式

5.使用display users命令，發(fā)現(xiàn)在線管理用戶有2個，使用display tcp status和display telnet server status命令，可以看到Telnet的連接端口和連接路由器的客戶端IP地址（如圖 3）。

圖3 Telnet相關(guān)配置參數(shù)和在線管理用戶

6.通過查看到的信息，看到路由器中有VTY 0和VTY 1兩個用戶，判斷這2個用戶擁有不同的權(quán)限，其中VTY 0用戶的權(quán)限較高，VTY 1用戶的權(quán)限較低，而筆者使用的是VTY 1用戶，因?yàn)樵谶M(jìn)入遠(yuǎn)程管理時，沒有要求輸入用戶名，而如果使用VTY 0用戶需要輸入用戶名和密碼，因?yàn)閂TY 0用戶采用的是aaa驗(yàn)證方式。如果要能配置管理路由器，需要使用VTY 0用戶登錄，但是VTY 0用戶一直保持在線，那么即使使用VTY 1用戶登錄，也是無法配置管理路由器，因?yàn)閂TY 1的權(quán)限不夠高。

后經(jīng)了解，原來同事C為配置管理方便，一直使用VTY 0用戶遠(yuǎn)程登錄，后同事C將VTY 0用戶下線后，筆者使用VTY 0用戶才成功登錄并可以配置管理路由器。

7.成功登錄路由器后，使 用display currentconfiguration命令，看到路由器中有VTY 0和VTY 1兩個用戶，其中VTY 0使用的是aaa驗(yàn)證方式且設(shè)置其idle-timeout時間為30分鐘，權(quán)限為level 3（level 3為最高權(quán)限，可配置管理路由器），VTY 1使用的是密碼驗(yàn)證方式，權(quán)限為level 1（level 1為普通權(quán)限，可以查看配置內(nèi)容，卻無法管理配置路由器)，idle-timeout為默認(rèn)的5分鐘。

也終于知道如果要遠(yuǎn)程管理路由器，不僅要用合法的IP地址，還需要知道的Telnet的1025端口，還需要使用高權(quán)限的用戶才可以。

經(jīng)驗(yàn)總結(jié)

對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理配置，除使用管理系統(tǒng)外，最常用的是使用Telnet和STelnet命令實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程維護(hù)。Telnet配置相對簡單，但是在傳輸過程采用的是TCP明文傳輸，存在很大的安全隱患，除了在局域網(wǎng)外，一般很少使用了。而使用STelnet相對較多，但是配置相對復(fù)雜，可以將其看成是使用了雙向認(rèn)證且對傳輸數(shù)據(jù)進(jìn)行加密的Telnet服務(wù)。

1.在使用Telnet和STelnet這兩個命令時，為提高其安全性，可以采取以下幾項(xiàng)措施：

（1）在網(wǎng)絡(luò)設(shè)備對遠(yuǎn)程管理功能配置訪問控制列表，保證只有符合安全策略的IP地址才能登錄網(wǎng)絡(luò)設(shè)備。

（2）可以更改Telnet默認(rèn)的管理端口，如可以更改為1025端口（在華為網(wǎng)絡(luò)設(shè)備上可以使用Telnet server port xxx命令修改Telnet端口，xxx為端口號，其取值范圍為23或1025～55535）。

（3）可修改用戶在線時間，為確保安全，一般可以將默認(rèn)的5分鐘更改30秒至1分鐘，確保在管理員長時間離開時或未對路由器進(jìn)行操作時，能及時退出當(dāng)前用戶。

（4）可以對不同的用戶進(jìn)行權(quán)限設(shè)定，驗(yàn)證方式可選aaa驗(yàn)證方式或密碼驗(yàn)證方式。

2.在使用Telnet和STelnet這2個命令時，還需要注意以下幾個方面：

（1）Telnet缺少安全的認(rèn)證方式，傳輸過程采用明文傳輸，安全性不夠高，特別是在公共網(wǎng)絡(luò)環(huán)境中，不建議使用。

（2）網(wǎng)絡(luò)設(shè)備的任何接口在配置了IP地址都可以作為管理IP地址，前提是這個接口的IP地址同管理終端之間網(wǎng)絡(luò)可達(dá)且物理接口在正常工作中。

（3）如果有多個不同用戶且權(quán)限不同，那么建議將權(quán)限高的用戶設(shè)置在前，權(quán)限低的用戶設(shè)置在后。因?yàn)槟阍谑褂肨elnet遠(yuǎn)程登錄時，網(wǎng)絡(luò)設(shè)備要求登錄用戶要按照0、1、2……的順序登錄，也就是說如果用戶要對網(wǎng)絡(luò)設(shè)備配置管理，當(dāng)用戶首次遠(yuǎn)程登錄時，網(wǎng)絡(luò)設(shè)備會首先要求用戶使用VTY 0用戶登錄，而不會使用其他的用戶。當(dāng)用戶VTY 0保持在線，用戶再次遠(yuǎn)程登錄時，網(wǎng)絡(luò)設(shè)備才會使用VTY 1用戶登錄，只有VTY 0用戶下線后，網(wǎng)絡(luò)設(shè)備才會要求用戶使用VTY 0登錄。

舉一個例子，路由器中有VTY 0、1、2等 3 個用戶，其中用戶VTY 0和VTY 1用戶權(quán)限低，VTY 2用戶權(quán)限高，如果用戶要配置管理路由器，那么就需要Telnet路由器3次，第一次使用VTY 0用戶登錄，第二次使用VTY 1用戶登錄，且要保持用戶VTY 0和VTY 1用戶同時在線時，才可以使用VTY 2進(jìn)行登錄管理配置，這樣在配置時，就需要知道3個用戶名和3個登錄密碼，還需要VTY 0和VTY 1兩個用戶保持在線，在網(wǎng)絡(luò)不是很穩(wěn)定的情況下，使用極為不便。也有同事說在計算機(jī)終端上使用Telnet命令可以攜帶用戶名參數(shù)登錄方式進(jìn)行登錄（具體命令為：Telnet IP地址 端口號 –l用戶名），但是筆者做過實(shí)驗(yàn)，即便是Telnet命令攜帶了用戶名也是無法跳過VTY 0和VTY 1兩個用戶直接使用VTY 2用戶進(jìn)行登錄的。