如何在思科交换机上配置Telnet远程登录

1、Telnet协议 Telnet 协议是TCP/IP协议簇的一员，是Internet远程登录服务的标准协议和主要方式。它是属于应用层的协议，采用客户端/服务器模型，使用TCP- 23号端口为用户提供在本地主机上登录远程设备的服务

1、本地PC连到交换机配置口 第一次配置交换机时，只能通过交换机的Console口进行本地配置，默认Console口登录到命令行界面时没有密码且拥有全部权限。要连接到交换机，你只需要在PC上装好需要的超级终端软件（SecureCRT或Xshell等），然后通过一条串口转USB的线将PC连接到交换机的Console口上，然后设置好接口属性即可建立连接，进入命令行后可以进行相关Telnet配置。

1）、连线 首先将PC连通过Console线连到交换机上，如下图所示，Console线一端接PC的串口或USB，另一端接交换机的Console口（RJ45接口的居多），我这里用的是USB转RJ45的线。

2）、建立连接 在PC上通过终端软件（如Xshell、SecureCRT等，这里用的是Xshell）建立连接。 首先打开Xshell， 新建会话，选择连接类型为 串口（Serial）：

然后点击左边 Serial连接属性，选择使用串口号 COM3（如果不知道自己使用的是哪个端口，可以在PC上打开设备管理器在端口中即可看到，一般均使用COM3），设置 波特率为9600（大多数设备都是这个值），如下图所示，都设置好后，点击 确定：

确认好连接属性后，会弹出会话框，在会话框里选择你刚刚新建的会话，然后点击 连接即可。

如果设置没问题的话，一般就可以直接进入交换机的操作系统如下，默认Console口没有认证密码，可以直接进入命令行进行管理和配置，如果没有进入命令行就要自己回头检查一下之前的配置有没有问题或者交换机之前有没有做过什么访问限制（必要的话可以重置交换机，如有些时候之前交换机命令行设置了密码，现在已经无从考证，只要简单的重置就可以恢复默认状态，进入时就不需要密码了）。

2、配置接口管理IP进入命令行后就可以进行相关配置了，要远程访问设备，首先要配置一个接口IP用来进行远程连接，对于一般的二层接入交换机，不能像路由器一样直接配置接口IP，只能在虚拟VLAN接口上配一个管理IP，用来进行远程登录，配置命令如下。

1）、创建虚拟VLAN用于配置接口IP（全局配置模式下） Switch(config)# vlan <vlan-id> 2）、进入VLAN接口配置模式（全局配置模式下） Switch(config)# interface vlan <vlan-id> 3）、配置接口IP地址（VLAN接口配置模式下） Switch(config-if)# ip address <ip-addr> <subnet-mask> 4）、激活当前虚拟接口（VLAN接口配置模式下） Switch(config-if)# no shutdown

2、配置远程登录（适用版本Version 12.2 SE的大多数版本）思科交换机Telnet远程登录认证支持三种方式：无认证、密码认证、用户名+密码组合认证，可以根据需要配置相应的认证方式。在配置认证时有两种认证方式可供选择，一种是 tacacs方式，默认用终端线路设置的密码进行登录认证，另一种是 local方式，使用本地数据库的用户数据进行登录认证，开启认证情况下默认选取的认证方式为tacacs。认证方式要在虚拟线路终端模式下配置。

1）、无认证方式 进入虚拟线路终端模式 （全局配置模式下） ： Switch(config)# line vty <0-15> 要配置认证方式，首先要进入虚拟线路终端配置模式，其中line vty为虚拟线路终端模式的关键词，后边为要启用的线路终端号，可以启用其中一条或多条，一般一共有16条线路，也就是说可以支持16台设备通过不同线路同时登录到设备。 取消远程登录认证 （虚拟线路终端配置模式下） ： Switch(config-line)# no login 进入虚拟线路终端配置模式后，输入no login即可取消远程登录认证，这样无需密码就可以从远程登录到设备命令行。

2）、密码认证（即为tacas认证方式） 设置虚拟终端线路号并进入虚拟线路终端配置模式（全局配置模式）：Switch(config)# line vty <0-15> 开启认证，默认使用虚拟终端中的密码登录（虚拟线路终端配置模式）： Switch(config-line)# login 进入虚拟线路终端配置模式后，选择 login就会开启密码认证，远程登录时直接使用虚拟线路配置模式中设置好的密码来进行登录验证。 配置虚拟终端密码（虚拟终端线路配置模式）： Switch(config-line)# password <password> 选择 login认证方式后，必须在虚拟线路配置模式中设置一个密码用来进行远程登录验证。 注：有些版本中没有tacacs项，直接使用login就表示默认使用密码认证方式。

3）、本地用户名+密码组合认证方式 设置虚拟终端线路号并进入虚拟线路终端配置模式（全局配置模式下）：Switch(config)# line vty <0-15> 配置密码校检模式使用本地数据库校检（虚拟线路终端配置模式）： Switch(config-line)# login local 进入虚拟线路终端配置模式后，选择 login local就会开启本地用户认证模式，远程登录时会使用本地数据库中存储的用户和密码信息来进行登录验证。

3、创建本地用户（全局配置模式下） 在配置用户名+密码组合登录认证的情况下，至少要配置一个本地用户并设置密码用来通过Telnet远程登录设备，思科交换机配置本地用户的命令如下，可以用一条命令同时配置用户名和密码，密码则有两种模式可选，分别是明文密码和密文密码： 1）、配置明文密码： Switch(config)# user <user-name> [privilege <0-15>] password <password> 2）、配置密文密码： Switch(config)# user <user-name> [privilege <0-15>] secret <password>

如果配置了明文密码，配置文件中密码会以明文方式显示，如果使用了密文密码，配置文件中会对密码信息进行加密处理。如我们这里配置用户登录密码为明文密码 admin，然后通过命令 show run 可以在配置文件看到对应的配置信息中用户密码以明文 admin 显示，如下图所示：

而如果配置用户登录密码为密文密码 admin，则可以看到配置文件中密码 admin被进行了加密处理，在配置文件中以密文表示，如下图所示，这样会增加配置信息的安全性：

注：不能同时给同一个用户配置一个明文密码和一个密文密码，否则会报错，如下图已经给 admin 用户配置了密文密码 admin 后，再给其配置一个明文密码就会报错：

注：给同一个用户名多次配置不同的密码（同一类型的密码），不会报错，但后配置的密码会自动覆盖前一个密码，最终只有最后一次配置的密码会生效。

4、配置特权模式密码（全局模式下）可能是出于安全性考虑，思科交换机上如果开启了Telnet服务，就必须同时配置特权模式的密码，不管是无认证方式登录还是有认证方式下都需要配置，否则登录到命令行后只能进入用户模式，进入特权模式时会提示 “No password set”，所以配置完认证模式后不要忘了配置特权模式密码。如下图所示，就是分别配置了无认证方式登录、密码登录和用户名+密码登录后未配置特权模式密码的报错情况，如果真的发生这种情况，远程登录就修改不了了，只能通过交换机Console口登录到命令行去重新修改配置了，Console口默认拥有最大权限的。

配置特权模式密码需在全局视图下进行，命令如下： Switch(config)# enable [secret|password] <password> 其中enable关键字表示特权模式，后边可以选择设置的密码类型， secret表示密码用密文表示， password表示密码用明文表示，后边直接跟你要设置的字符串密码就好。一般推荐用secret，安全性较高，password 和 secret的区别之前已经讲过，就不再赘述了。

同样如果配置了明文密码，配置文件中密码会以明文方式显示，如果使用了密文密码，配置文件中会对密码信息进行加密处理。 如我们给交换机特权模式配置 password密码 admin，然后用 show run命令查看配置文件可以在配置信息里看到直接以明文形式表示的密码 admin。

而如果给交换机特权模式配置 secret密码同样为 admin，然后用 show run命令查看配置文件可以在配置信息里看到特权模式的密码 admin变成了一段经过加密的密文字符串。

如果给交换机特权模式同时配置了 password 形式的密码和 secret 形式的密码，不会报错，但是只有secret形式的密码会生效，这里跟用户名密码配置略有不同。 如下图所示，我们给交换机特权模式同时配置了 password形式的密码 admin和 secret形式的密码 abcd，在登录特权模式时你就会发现第一次输入admin是无效的，abcd才是有效的特权模式密码。

5、设置交换机的默认网关（全局配置模式下） 二层交换机配置了管理IP地址后，在管理地址的同网段内，设备可通过管理IP地址来远程访问交换机，但若要跨网段去登录连接到另一个网段的二层交换机，则必须给二层交换机配置指定默认网关，双方的二层交换机都要配置指定默认网关地址。企业局域网中一般会用到多个VLAN和网段，一般不同地址段的路由都是在上层设备上做通了的，而一般二层交换机只要将网关指向汇聚/核心层的三层设备的网管IP就可以了，具体全网路由互通则交由上层设备通过静态/动态路由实现，关于上层路由打通还请大家自己查阅路由交换相关资料，这里就不详细说明了。 配置默认网关命令如下： Switch(config)# ip default-gateway <gateway-ip>

1、进行Telnet远程登录 远程登录比较简单，如果配置正确的话，可以直接在客户端通过命令行或终端程序通过管理IP地址即可登录到设备命令行，使用以下命令即可： telnet <ip-addr>

这里用一台思科C2960G做演示，依次将它配置为无认证、密码认证和用户名+密码认证，来测试不同认证方式并且熟悉一下telnet的配置流程。

1、配置无认证登录 首先我们配置无认证登录，配置如下： C2960# conf t C2960(config)# vlan X C2960(config-vlan)# exit C2960(config)# int vlan X C2960(config-if)# ip address 10.100.X.25 255.255.255.0 C2960(config-if)# no shutdown C2960(config-if)# exit C2960(config-if)# line vty 0 4 C2960(config-if)# no login C2960(config-if)# exit C2960(config)# enable secret admin C2960(config)# ip default-gateway 10.100.X.126

配置好之后退出登录，通过远程PC使用 telnet 10.100.X.25访问交换机可以看到，不需要密码即可直接进入交换机CLI命令行，但是要输入特权模式密码才可以进入全局配置模式，如下图所示：

2、密码认证登录 如果配置密码认证，则需要开启认证并配置相应虚拟终端认证密码，具体配置如下： C2960# conf t C2960(config)# vlan X C2960(config-vlan)# exit C2960(config)# int vlan X C2960(config-if)# ip address 10.100.X.25 255.255.255.0 C2960(config-if)# no shutdown C2960(config-if)# exit C2960(config-if)# line vty 0 4 C2960(config-if)# login C2960(config-if)# password admin C2960(config-if)# exit C2960(config)# enable secret admin C2960(config)# ip default-gateway 10.100.X.126

同样配置好之后退出登录，通过远程PC使用 telnet 10.100.X.25访问交换机可以看到，这时要先输入密码才可直接进入交换机CLI命令行，当然也要输入特权模式密码才可以进入全局配置模式，如下图所示：

3、本地用户认证登录 如果配置本地用户认证，则需要开启本地数据库认证，这时就不需要配置相应虚拟终端认证密码了，但要至少配置一个本地用户并设置用户密码用来进行登录认证，具体配置如下： C2960# conf t C2960(config)# vlan X C2960(config-vlan)# exit C2960(config)# int vlan X C2960(config-if)# ip address 10.100.X.25 255.255.255.0 C2960(config-if)# no shutdown C2960(config-if)# exit C2960(config-if)# line vty 0 4 C2960(config-if)# login local C2960(config-if)# exit C2960(config)# username admin secret admin C2960(config)# enable secret admin

同样配置好之后退出登录，通过远程PC使用 telnet 10.100.X.25访问交换机可以看到，这时要先输入正确的本地用户名及密码才可直接进入交换机CLI命令行，同时也要输入特权模式密码才可以进入全局配置模式，如下图所示：

1、简单回顾一下思科交换机配置telnet的流程： 1）、通过Console线连接到交换机，进入命令行。 2）、为交换机配置虚拟接口和管理IP。 创建虚拟VLAN用于配置接口IP（全局配置模式下）: Switch(config)# vlan <vlan-id> 进入VLAN接口配置模式（全局配置模式下）: Switch(config)# interface vlan <vlan-id> 配置接口IP地址（VLAN接口配置模式下）: Switch(config-if)# ip address <ip-addr> <mask> 激活当前虚拟接口（VLAN接口配置模式下）: Switch(config-if)# no shutdown 3）、设置登录认证方式： 设置虚拟终端线路号并进入虚拟线路终端配置模式（全局配置模式下）： Switch(config)# line vty <0-15> 配置认证方式为无认证（虚拟线路终端配置模式下）： Switch(config-line)# no login 配置认证方式为密码认证（虚拟线路终端配置模式下）： Switch(config-line)# login（login tacacs） 配置认证方式为本地用户认证（虚拟线路终端配置模式下）： Switch(config-line)# login local 配置虚拟线路登录认证密码： Switch(config-line)# password <password> 4）、 创建本地用户并设置权限和密码（全局配置模式下，仅本地认证方式需要） Switch(config)# user <user-name> [privilege <0-15>] password|secret <password> 5）、配置特权模式登录密码（全局配置模式下）： Switch(config)# enable password|secret <password> 6）、 配置默认网关（全局配置模式下）： Switch(config)# ip default-gateway <gateway-ip>

2、思科交换机操作系统版本不同，命令有一些区别，这里的配置命令适用于大多数V 12.2 SE 系统版本的交换机，这里测试用的交换机版本为V 12.2(35)SE，但以上的版本如12.2(53r)SE命令有所不同，但条件有限没办法一一测试，但配置流程仍可作为参考，具体差异可以自己再探索一下。

本篇教程主要介绍了下思科交换机的Telnet服务配置流程及相关命令，并不适用于所有版本，还请大家有选择地参考，如果有其它问题希望大家多多指出，希望本教程能帮到你们，谢谢各位拜读！ By 看星星的小王子 2018.1.16