刚接手防火墙路由器等通信设备 第一时间就要摸清VTY所有用户

公司预算通过，明年年初就要上新防火墙；或者刚入职一家有一定规模的企业，从上任网工移交过来，一样地第一时间就要封锁VTY所有用户。因为用户通过Telnet或SSH方式登录设备实现本地或远程维护时，可以根据用户使用需求以及对设备安全的考虑来配置VTY， 除对VTY类型用户界面呼入呼出进行限制的ACL号、用户名和口令及用户界面的验证方式外其他参数设备均有缺省值，用户可以结合实际需求和安全性考虑选择配置。

一、设置通过账号和密码登陆VTY界面

1、进入VTY用户界面视图

[Huawei]user-interface vty ? //通过命令后面加？学习起来更方便

INTEGER The first user terminal interface to be configured //默认是5，可通过user-interface maximum-vty修改数值

[Huawei]user-interface vty 0 4 //同时对5个虚拟终端配置，也可以单独配置

[Huawei-ui-vty0-4]

2、设置用户验证方式为AAA 验证（即通过账号和密码登陆）

[Huawei-ui-vty0-4]authentication-mode ? //两种配置模式

aaa AAA authentication none Login without checking //aaa需要用户名+密码

password Authentication through the password of a user terminal interface //password 只需输入密码

[Huawei-ui-vty0-4]authentication-mode aaa

3、设置登陆的账号和密码

[Huawei-ui-vty0-4]q

[Huawei]aaa

[Huawei-aaa]local-user ? //用户名称规则，跟系统冲突的符号不可用。最长64位

STRING User name, in form of 'user@domain'. Can use wildcard '*',while displaying and modifying, such as*@isp,user@*,*@*.Can not include invalid character / \ : * ? " | @ '

[Huawei-aaa]local-user toutiao.com ?

access-limit Set access limit of user(s)

ftp-directory Set user(s) FTP directory permitted

idle-timeout Set the timeout period for terminal user(s)

password Set password

privilege Set admin user(s) level

service-type Service types for authorized user(s)

state Activate/Block the user(s)

[Huawei-aaa]local-user toutiao.com password ? //创建一个用户名为tuotiao.com 命令不完整

cipher User password with cipher text //密文命令cipher

[Huawei-aaa]local-user toutiao.com password simple kbxiaowangguan //明文密码KB小网管小写拼音全拼，密文命令cipher

4、设置账号的使用类型为Telnet 或SSH

[Huawei-aaa]local-user toutiao.com service-type telnet

或

[Huawei-aaa]local-user toutiao.com service-type ssh

二、设置只通过密码登陆VTY

1、置用户验证方式为密码验证

[Huawei-ui-vty0-4]authentication-mode password //以密码身份验证模式，无需用户名

2、设置登陆密码

[Huawei-ui-vty0-4]set authentication password cipher ?

STRING/ Plain text/cipher text password

[Huawei-ui-vty0-4]set authentication password cipher kbxiaowangguan

三、设置直接登陆VTY （此模式不安全）

[Huawei-ui-vty0-4]authentication-mode none //模拟器的初始状态就是这样，无密码。实际工作中不可使用此模式

四、配置VTY 用户界面的用户优先级

缺省情况下， VTY 用户界面对应的默认命令访问级别是0，实际工作基本1-2人管理权限，都是设为为最高级15。

[Huawei-ui-vty0-4]user privilege level ?

INTEGER Set a priority

[Huawei-ui-vty0-4]user privilege level 15

五、设置用户超时断连时间

[Huawei-ui-vty0-4]idle-timeout ? //默认是10分钟

INTEGER Set the number of minutes before a terminal user times out(default: 10minutes)

[Huawei-ui-vty0-4]idle-timeout 5 //闲置超时时间为5分钟

六、配置VTY 用户界面的最大个数

VTY 用户界面最大个数是指登录设备的Telnet 用户和SSH 用户的总和。

当配置VTY 用户界面最大个数为0 时，任何用户（包括网管用户）都无法通过VTY 登录到设备。

如果要配置的VTY 类型用户界面的最大个数小于当前在线用户的数量，则系统提示配置失败。如果要配置的VTY 类型用户界面的最大个数大于当前最多可以登录用户的数量，就必须为新增加的用户界面配置验证方式。

[Huawei]user-interface maximum-vty ? //默认是5，最大可以设置成15。从VTY 0至VTY 14

INTEGER The maximum number of VTY users, the default value is 5

七 、配置VTY 用户界面的基于ACL 的登录限制

[Huawei-ui-vty0-4]acl ?

INTEGER Apply basic or advanced ACL

ipv6 Filter IPv6 addresses

[Huawei-ui-vty0-4]acl 2000 ?

inbound Filter login connections from the current user interface

outbound Filter logout connections from the current user interface

八、查看VTY 用户界面信息

[Huawei]display user-interface vty 04

Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int 38 VTY 4 - 15 - N -

+ : Current UI is active.

F : Current UI is active and work in async mode.

Idx : Absolute index of UIs.

Type : Type and relative index of UIs.

Privi: The privilege of UIs.

ActualPrivi: The actual privilege of user-interface.

Auth : The authentication mode of UIs.

A: Authenticate use AAA.

N: Current UI need not authentication.

P: Authenticate use current UI's password.

Int : The physical location of UIs.