排查遠程管理失敗故障

為方便管理網(wǎng)絡(luò)設(shè)備，一般都會在網(wǎng)絡(luò)設(shè)備上設(shè)置管理IP地址，管理員可以用使用Telnet或STelnet命令進行遠程登錄，以便對多臺本地或遠端的網(wǎng)絡(luò)設(shè)備進行配置、監(jiān)控和維護。管理員不需要為每一臺設(shè)備都連接一個終端進行本地配置，而且本地配置還需相應(yīng)的配置線和相應(yīng)串口配置接口，部署起來也比較繁瑣。而通過遠程登錄管理，可以在一個終端上對多臺設(shè)備進行遠程管理和配置，極大地提高了管理員操作的靈活性。

但在日常使用中，因?qū)elnet和STelnet原理和使用方式不正確，導(dǎo)致出現(xiàn)無法遠程登錄、管理權(quán)限不足和不能正常使用等故障。筆者曾遇到同事出于安全原因?qū)β酚善鞯倪h程管理進行了復(fù)雜配置后，導(dǎo)致其他對路由器和Telnet功能不熟悉的同事無法正常遠程管理的故障。通過排除故障，也讓筆者了解到使用Telnet或STelnet需要把握的一些細節(jié)，不然會造成使用上面的不便。

故障現(xiàn)象

單位購買了數(shù)臺華為AR1220S路由器，為方便管理，啟用了路由器的遠程管理功能。啟用路由器遠程管理功能是由同事A配置完成的，但同事A在配置完成后，并未很好地完善數(shù)據(jù)資料就出差了，僅留下了端口IP地址、遠程登錄用戶名密碼和部分設(shè)置參數(shù)。

故障一：同事B告訴筆者無法遠程登錄路由器（假設(shè)路由器接口A的IP地址為：10.1.1.1，路由器接口B的地址 為 ：20.0.0.1）。 同 事 B 使用telnet 20.0.0.1命令遠程登錄路由器失敗。

故障二：在可以遠程登錄路由器后，同事B告訴筆者對路由器無法進行遠程管理，因為路由器提示system-view命令無法識別和接收。

針對兩個故障，筆者進行了分析和詢問其他同事，同事C告訴筆者，前一天他有遠程登錄和管理過，沒有調(diào)整過遠程管理功能的相關(guān)參數(shù)，也沒有出現(xiàn)過以上兩個故障現(xiàn)象。

故障排除

而路由器因不在本地，所以無法使用串口進行本地配置管理，但前一天同事C有遠程登錄管理過，說明還是在操作使用方面出現(xiàn)了問題。

1.使用Telnet 20.0.0.1命令，發(fā)現(xiàn)提示無法登錄遠程主機，使用ping 20.0.0.1命令，發(fā)現(xiàn)無法Ping通。后經(jīng)檢查，原來是客戶端的IP地址端為10.1.1.x地址，因為沒有配置網(wǎng)關(guān)，且配置了20.0.0.1地址的物理接口連接外網(wǎng)，也就是說該接口未啟用，導(dǎo)致無法Ping通。在配置了網(wǎng)關(guān)后，使用telnet 10.1.1.1命令，發(fā)現(xiàn)提示還是無法登錄遠程主機，使用ping 10.1.1.1命令，發(fā)現(xiàn)可以Ping通10.1.1.1。針對出現(xiàn)的問題，筆者記起同事A為確保使用安全，對Telnet的訪問設(shè)置了訪問控制策略，僅限幾個IP地址可以遠程訪問管理，而筆者的客戶端的IP地址不在這幾個IP地址范圍內(nèi)。

2.修改管理終端的IP地址，使其IP地址可以對路由器進行遠程訪問管理，使用ping 10.1.1.1命令，發(fā)現(xiàn)可以Ping通路由器管理接口IP地址。再次使用telnet 10.0.0.1命令登錄路由器，發(fā)現(xiàn)仍然提示無法登錄遠程主機（如圖1）。

圖1 遠程登錄路由器失敗

3.查看同事A留下的配置參數(shù)，發(fā)現(xiàn)同事A不僅對Telnet的訪問設(shè)置了訪問控制，還修改了Telnet默認的訪問端口，將默認的23端口修改為了1025端口。筆者使用telnet 10.0.0.1 1025命令來登錄路由器，登錄成功。

4.登錄成功并輸入密碼后，使用system-view命令，發(fā)現(xiàn)無法進入系統(tǒng)模式（如圖 2）。

圖2 無法進入系統(tǒng)模式

5.使用display users命令，發(fā)現(xiàn)在線管理用戶有2個，使用display tcp status和display telnet server status命令，可以看到Telnet的連接端口和連接路由器的客戶端IP地址（如圖 3）。

圖3 Telnet相關(guān)配置參數(shù)和在線管理用戶

6.通過查看到的信息，看到路由器中有VTY 0和VTY 1兩個用戶，判斷這2個用戶擁有不同的權(quán)限，其中VTY 0用戶的權(quán)限較高，VTY 1用戶的權(quán)限較低，而筆者使用的是VTY 1用戶，因為在進入遠程管理時，沒有要求輸入用戶名，而如果使用VTY 0用戶需要輸入用戶名和密碼，因為VTY 0用戶采用的是aaa驗證方式。如果要能配置管理路由器，需要使用VTY 0用戶登錄，但是VTY 0用戶一直保持在線，那么即使使用VTY 1用戶登錄，也是無法配置管理路由器，因為VTY 1的權(quán)限不夠高。

后經(jīng)了解，原來同事C為配置管理方便，一直使用VTY 0用戶遠程登錄，后同事C將VTY 0用戶下線后，筆者使用VTY 0用戶才成功登錄并可以配置管理路由器。

7.成功登錄路由器后，使 用display currentconfiguration命令，看到路由器中有VTY 0和VTY 1兩個用戶，其中VTY 0使用的是aaa驗證方式且設(shè)置其idle-timeout時間為30分鐘，權(quán)限為level 3（level 3為最高權(quán)限，可配置管理路由器），VTY 1使用的是密碼驗證方式，權(quán)限為level 1（level 1為普通權(quán)限，可以查看配置內(nèi)容，卻無法管理配置路由器)，idle-timeout為默認的5分鐘。

也終于知道如果要遠程管理路由器，不僅要用合法的IP地址，還需要知道的Telnet的1025端口，還需要使用高權(quán)限的用戶才可以。

經(jīng)驗總結(jié)

對網(wǎng)絡(luò)設(shè)備進行遠程管理配置，除使用管理系統(tǒng)外，最常用的是使用Telnet和STelnet命令實現(xiàn)對網(wǎng)絡(luò)設(shè)備的遠程維護。Telnet配置相對簡單，但是在傳輸過程采用的是TCP明文傳輸，存在很大的安全隱患，除了在局域網(wǎng)外，一般很少使用了。而使用STelnet相對較多，但是配置相對復(fù)雜，可以將其看成是使用了雙向認證且對傳輸數(shù)據(jù)進行加密的Telnet服務(wù)。

1.在使用Telnet和STelnet這兩個命令時，為提高其安全性，可以采取以下幾項措施：

（1）在網(wǎng)絡(luò)設(shè)備對遠程管理功能配置訪問控制列表，保證只有符合安全策略的IP地址才能登錄網(wǎng)絡(luò)設(shè)備。

（2）可以更改Telnet默認的管理端口，如可以更改為1025端口（在華為網(wǎng)絡(luò)設(shè)備上可以使用Telnet server port xxx命令修改Telnet端口，xxx為端口號，其取值范圍為23或1025～55535）。

（3）可修改用戶在線時間，為確保安全，一般可以將默認的5分鐘更改30秒至1分鐘，確保在管理員長時間離開時或未對路由器進行操作時，能及時退出當前用戶。

（4）可以對不同的用戶進行權(quán)限設(shè)定，驗證方式可選aaa驗證方式或密碼驗證方式。

2.在使用Telnet和STelnet這2個命令時，還需要注意以下幾個方面：

（1）Telnet缺少安全的認證方式，傳輸過程采用明文傳輸，安全性不夠高，特別是在公共網(wǎng)絡(luò)環(huán)境中，不建議使用。

（2）網(wǎng)絡(luò)設(shè)備的任何接口在配置了IP地址都可以作為管理IP地址，前提是這個接口的IP地址同管理終端之間網(wǎng)絡(luò)可達且物理接口在正常工作中。

（3）如果有多個不同用戶且權(quán)限不同，那么建議將權(quán)限高的用戶設(shè)置在前，權(quán)限低的用戶設(shè)置在后。因為你在使用Telnet遠程登錄時，網(wǎng)絡(luò)設(shè)備要求登錄用戶要按照0、1、2……的順序登錄，也就是說如果用戶要對網(wǎng)絡(luò)設(shè)備配置管理，當用戶首次遠程登錄時，網(wǎng)絡(luò)設(shè)備會首先要求用戶使用VTY 0用戶登錄，而不會使用其他的用戶。當用戶VTY 0保持在線，用戶再次遠程登錄時，網(wǎng)絡(luò)設(shè)備才會使用VTY 1用戶登錄，只有VTY 0用戶下線后，網(wǎng)絡(luò)設(shè)備才會要求用戶使用VTY 0登錄。

舉一個例子，路由器中有VTY 0、1、2等 3 個用戶，其中用戶VTY 0和VTY 1用戶權(quán)限低，VTY 2用戶權(quán)限高，如果用戶要配置管理路由器，那么就需要Telnet路由器3次，第一次使用VTY 0用戶登錄，第二次使用VTY 1用戶登錄，且要保持用戶VTY 0和VTY 1用戶同時在線時，才可以使用VTY 2進行登錄管理配置，這樣在配置時，就需要知道3個用戶名和3個登錄密碼，還需要VTY 0和VTY 1兩個用戶保持在線，在網(wǎng)絡(luò)不是很穩(wěn)定的情況下，使用極為不便。也有同事說在計算機終端上使用Telnet命令可以攜帶用戶名參數(shù)登錄方式進行登錄（具體命令為：Telnet IP地址 端口號 –l用戶名），但是筆者做過實驗，即便是Telnet命令攜帶了用戶名也是無法跳過VTY 0和VTY 1兩個用戶直接使用VTY 2用戶進行登錄的。