排查远程管理失败故障

为方便管理网络设备，一般都会在网络设备上设置管理IP地址，管理员可以用使用Telnet或STelnet命令进行远程登录，以便对多台本地或远端的网络设备进行配置、监控和维护。管理员不需要为每一台设备都连接一个终端进行本地配置，而且本地配置还需相应的配置线和相应串口配置接口，部署起来也比较繁琐。而通过远程登录管理，可以在一个终端上对多台设备进行远程管理和配置，极大地提高了管理员操作的灵活性。

但在日常使用中，因对Telnet和STelnet原理和使用方式不正确，导致出现无法远程登录、管理权限不足和不能正常使用等故障。笔者曾遇到同事出于安全原因对路由器的远程管理进行了复杂配置后，导致其他对路由器和Telnet功能不熟悉的同事无法正常远程管理的故障。通过排除故障，也让笔者了解到使用Telnet或STelnet需要把握的一些细节，不然会造成使用上面的不便。

故障现象

单位购买了数台华为AR1220S路由器，为方便管理，启用了路由器的远程管理功能。启用路由器远程管理功能是由同事A配置完成的，但同事A在配置完成后，并未很好地完善数据资料就出差了，仅留下了端口IP地址、远程登录用户名密码和部分设置参数。

故障一：同事B告诉笔者无法远程登录路由器（假设路由器接口A的IP地址为：10.1.1.1，路由器接口B的地址 为 ：20.0.0.1）。 同 事 B 使用telnet 20.0.0.1命令远程登录路由器失败。

故障二：在可以远程登录路由器后，同事B告诉笔者对路由器无法进行远程管理，因为路由器提示system-view命令无法识别和接收。

针对两个故障，笔者进行了分析和询问其他同事，同事C告诉笔者，前一天他有远程登录和管理过，没有调整过远程管理功能的相关参数，也没有出现过以上两个故障现象。

故障排除

而路由器因不在本地，所以无法使用串口进行本地配置管理，但前一天同事C有远程登录管理过，说明还是在操作使用方面出现了问题。

1.使用Telnet 20.0.0.1命令，发现提示无法登录远程主机，使用ping 20.0.0.1命令，发现无法Ping通。后经检查，原来是客户端的IP地址端为10.1.1.x地址，因为没有配置网关，且配置了20.0.0.1地址的物理接口连接外网，也就是说该接口未启用，导致无法Ping通。在配置了网关后，使用telnet 10.1.1.1命令，发现提示还是无法登录远程主机，使用ping 10.1.1.1命令，发现可以Ping通10.1.1.1。针对出现的问题，笔者记起同事A为确保使用安全，对Telnet的访问设置了访问控制策略，仅限几个IP地址可以远程访问管理，而笔者的客户端的IP地址不在这几个IP地址范围内。

2.修改管理终端的IP地址，使其IP地址可以对路由器进行远程访问管理，使用ping 10.1.1.1命令，发现可以Ping通路由器管理接口IP地址。再次使用telnet 10.0.0.1命令登录路由器，发现仍然提示无法登录远程主机（如图1）。

图1 远程登录路由器失败

3.查看同事A留下的配置参数，发现同事A不仅对Telnet的访问设置了访问控制，还修改了Telnet默认的访问端口，将默认的23端口修改为了1025端口。笔者使用telnet 10.0.0.1 1025命令来登录路由器，登录成功。

4.登录成功并输入密码后，使用system-view命令，发现无法进入系统模式（如图 2）。

图2 无法进入系统模式

5.使用display users命令，发现在线管理用户有2个，使用display tcp status和display telnet server status命令，可以看到Telnet的连接端口和连接路由器的客户端IP地址（如图 3）。

图3 Telnet相关配置参数和在线管理用户

6.通过查看到的信息，看到路由器中有VTY 0和VTY 1两个用户，判断这2个用户拥有不同的权限，其中VTY 0用户的权限较高，VTY 1用户的权限较低，而笔者使用的是VTY 1用户，因为在进入远程管理时，没有要求输入用户名，而如果使用VTY 0用户需要输入用户名和密码，因为VTY 0用户采用的是aaa验证方式。如果要能配置管理路由器，需要使用VTY 0用户登录，但是VTY 0用户一直保持在线，那么即使使用VTY 1用户登录，也是无法配置管理路由器，因为VTY 1的权限不够高。

后经了解，原来同事C为配置管理方便，一直使用VTY 0用户远程登录，后同事C将VTY 0用户下线后，笔者使用VTY 0用户才成功登录并可以配置管理路由器。

7.成功登录路由器后，使 用display currentconfiguration命令，看到路由器中有VTY 0和VTY 1两个用户，其中VTY 0使用的是aaa验证方式且设置其idle-timeout时间为30分钟，权限为level 3（level 3为最高权限，可配置管理路由器），VTY 1使用的是密码验证方式，权限为level 1（level 1为普通权限，可以查看配置内容，却无法管理配置路由器)，idle-timeout为默认的5分钟。

也终于知道如果要远程管理路由器，不仅要用合法的IP地址，还需要知道的Telnet的1025端口，还需要使用高权限的用户才可以。

经验总结

对网络设备进行远程管理配置，除使用管理系统外，最常用的是使用Telnet和STelnet命令实现对网络设备的远程维护。Telnet配置相对简单，但是在传输过程采用的是TCP明文传输，存在很大的安全隐患，除了在局域网外，一般很少使用了。而使用STelnet相对较多，但是配置相对复杂，可以将其看成是使用了双向认证且对传输数据进行加密的Telnet服务。

1.在使用Telnet和STelnet这两个命令时，为提高其安全性，可以采取以下几项措施：

（1）在网络设备对远程管理功能配置访问控制列表，保证只有符合安全策略的IP地址才能登录网络设备。

（2）可以更改Telnet默认的管理端口，如可以更改为1025端口（在华为网络设备上可以使用Telnet server port xxx命令修改Telnet端口，xxx为端口号，其取值范围为23或1025～55535）。

（3）可修改用户在线时间，为确保安全，一般可以将默认的5分钟更改30秒至1分钟，确保在管理员长时间离开时或未对路由器进行操作时，能及时退出当前用户。

（4）可以对不同的用户进行权限设定，验证方式可选aaa验证方式或密码验证方式。

2.在使用Telnet和STelnet这2个命令时，还需要注意以下几个方面：

（1）Telnet缺少安全的认证方式，传输过程采用明文传输，安全性不够高，特别是在公共网络环境中，不建议使用。

（2）网络设备的任何接口在配置了IP地址都可以作为管理IP地址，前提是这个接口的IP地址同管理终端之间网络可达且物理接口在正常工作中。

（3）如果有多个不同用户且权限不同，那么建议将权限高的用户设置在前，权限低的用户设置在后。因为你在使用Telnet远程登录时，网络设备要求登录用户要按照0、1、2……的顺序登录，也就是说如果用户要对网络设备配置管理，当用户首次远程登录时，网络设备会首先要求用户使用VTY 0用户登录，而不会使用其他的用户。当用户VTY 0保持在线，用户再次远程登录时，网络设备才会使用VTY 1用户登录，只有VTY 0用户下线后，网络设备才会要求用户使用VTY 0登录。

举一个例子，路由器中有VTY 0、1、2等 3 个用户，其中用户VTY 0和VTY 1用户权限低，VTY 2用户权限高，如果用户要配置管理路由器，那么就需要Telnet路由器3次，第一次使用VTY 0用户登录，第二次使用VTY 1用户登录，且要保持用户VTY 0和VTY 1用户同时在线时，才可以使用VTY 2进行登录管理配置，这样在配置时，就需要知道3个用户名和3个登录密码，还需要VTY 0和VTY 1两个用户保持在线，在网络不是很稳定的情况下，使用极为不便。也有同事说在计算机终端上使用Telnet命令可以携带用户名参数登录方式进行登录（具体命令为：Telnet IP地址 端口号 –l用户名），但是笔者做过实验，即便是Telnet命令携带了用户名也是无法跳过VTY 0和VTY 1两个用户直接使用VTY 2用户进行登录的。