講稿17山石網(wǎng)科

1、Telnet魏亞紅2013/08/19目錄1Telnet介紹及工作過程2Telnet命令、選項(xiàng)協(xié)商、操作方式3Hillstone配置介紹Telnet介紹Telnet是位于OSI模型的第7層-應(yīng)用層上的一種協(xié)議，是一個(gè)通過創(chuàng)建虛擬終端提供連接到遠(yuǎn)程主機(jī)終端仿真的TCP/IP協(xié)議。 Telnet提供遠(yuǎn)程登錄功能，使得用戶在本地主機(jī)上運(yùn)行Telnet客戶端，就可登錄到遠(yuǎn)端的Telnet服務(wù)器. 在本地輸入的命令可以在服務(wù)器上運(yùn)行，服務(wù)器把結(jié)果返回到本地，如同直接在服務(wù)器控制臺(tái)上操作. 這樣就可以在本地遠(yuǎn)程操作和控制服務(wù)器。Telnet提供了三種基本服務(wù)：Telnet定義一個(gè)網(wǎng)絡(luò)虛擬終端（NVT）為遠(yuǎn)

2、程系統(tǒng)提供一個(gè)標(biāo)準(zhǔn)接口，客戶機(jī)程序不必詳細(xì)了解遠(yuǎn)程系統(tǒng)，他們只需構(gòu)造使用標(biāo)準(zhǔn)接口的程序。Telnet包括一個(gè)允許客戶機(jī)和服務(wù)器協(xié)商選項(xiàng)的機(jī)制，而且它還提供一組標(biāo)準(zhǔn)選項(xiàng)。Telnet對(duì)稱處理連接的兩端，即Telnet不強(qiáng)迫客戶機(jī)從鍵盤輸入，也不強(qiáng)迫客戶機(jī)在屏幕上顯示輸出。網(wǎng)絡(luò)虛擬終端NVT：NVT是一種通用的字符終端，客戶和服務(wù)器用它來建立數(shù)據(jù)表示和解釋的一致性。而NVT ASCII碼則是用來替代ASCII碼在客戶和服務(wù)器間傳輸?shù)木幋a形式。NVT ASCII碼的構(gòu)成：NVT ASCII代表7位的ASCII字符集，網(wǎng)間協(xié)議族都使用NVT ASCII ,每個(gè)7位的字符都以8位格式發(fā)送，最高位為0。行

3、結(jié)束符以兩個(gè)字符CR（回車）和緊接著的LF（換行）這樣的序列表示，以rn表示。單獨(dú)的一個(gè)CR也是以兩個(gè)字符序列來表示，它們是CR和緊接著的NUL（字節(jié)0），表示為r0。3Telnet工作過程Telnet遠(yuǎn)程登錄服務(wù)分為以下4個(gè)過程：本地與遠(yuǎn)程主機(jī)建立連接。該過程實(shí)際上是建立一個(gè)TCP連接，用戶必須知道遠(yuǎn)程主機(jī)的IP地址或域名。將本地終端上輸入的用戶名和口令及以后輸入的任何命令或字符以NVT（Net Virtual Terminal）格式傳送到遠(yuǎn)程主機(jī)。該過程實(shí)際上是從本地主機(jī)向遠(yuǎn)程主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)包。將遠(yuǎn)程主機(jī)輸出的NVT格式的數(shù)據(jù)轉(zhuǎn)化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令

4、執(zhí)行結(jié)果。最后，本地終端對(duì)遠(yuǎn)程主機(jī)進(jìn)行撤消連接。該過程是撤銷一個(gè)TCP連接。4Telnet命令Telnet通信的兩個(gè)方向都采用帶內(nèi)信令方式。字節(jié)0 xff叫做IAC（interpret as command，意思是“作為命令來解釋”），該字節(jié)后是命令字節(jié)。以下是Telnet命令集：5選項(xiàng)協(xié)商Telnet連接雙方首先進(jìn)行交互的信息是選項(xiàng)協(xié)商數(shù)據(jù)，選項(xiàng)協(xié)商是對(duì)稱的，即任何一方都可以主動(dòng)發(fā)送選項(xiàng)協(xié)商請(qǐng)求給對(duì)方。選項(xiàng)協(xié)商請(qǐng)求包括下面4種：WILL：發(fā)送方本身將激活（enable）選項(xiàng)DO：發(fā)送方想叫接收方激活選項(xiàng)WONT：發(fā)送方本身想禁止選項(xiàng)DONT：發(fā)送方想讓接收方禁止選項(xiàng)Telnet規(guī)定，對(duì)于激活

5、選項(xiàng)請(qǐng)求（WILL和DO），有權(quán)同意或者不同意；而對(duì)于選項(xiàng)失效請(qǐng)求（WONT和DONT），必須同意，因此4種請(qǐng)求會(huì)組合出6種情況：6子選項(xiàng)協(xié)商有些選項(xiàng)不是僅僅用“激活”或者“禁止”就能表達(dá)的，例如指定終端類型。為了處理這種選項(xiàng)，定義了子選項(xiàng)協(xié)商機(jī)制。例如： A ： B ： B ： A ：7Telnet選項(xiàng)代碼操作方式對(duì)于大多數(shù)Telnet的服務(wù)器進(jìn)程和客戶進(jìn)程，共有4種操作方式：半雙工：客戶端在接收用戶輸入之前，必須從服務(wù)器進(jìn)程獲得GO AHEAD (GA) 命令?，F(xiàn)在已很少使用。一次一個(gè)字符：客戶端把用戶輸入的每個(gè)字符都單獨(dú)發(fā)送給服務(wù)器，服務(wù)器回顯字符給客戶端，是目前大多數(shù)Telnet程序的

6、默認(rèn)方式。SUPPRESS GO AHEAD選項(xiàng)和ECHO選項(xiàng)必須同時(shí)有效。準(zhǔn)行方式（kludge line mode): 用戶每鍵入一行信息，客戶端向服務(wù)器發(fā)送一次。當(dāng)SUPPRESS GO AHEAD和ECHO兩個(gè)選項(xiàng)其中之一無效時(shí)采用此模式。行方式：類似準(zhǔn)行方式，糾正了準(zhǔn)行方式的缺點(diǎn)，較新的Telnet程序支持這種方式。8配置管理員登錄限制管理員使用某一賬戶登錄設(shè)備時(shí)，密碼輸入錯(cuò)誤次數(shù)超過設(shè)定次數(shù)時(shí)，系統(tǒng)會(huì)在指定時(shí)間內(nèi)禁止使用該賬戶登錄設(shè)備。接入方式包括：Telnet、SSH、WebUI.該功能目前只是CLI支持，WebUI不支持。命令關(guān)鍵字介紹： SG-6000(config)# ad

7、min max-login-failure Maximum count of login (default: 3 times) attempts before user is locked out SG-6000(config)# admin lockout-duration Specifies the duration (default: 2 minutes) to lock out the local account配置密碼錯(cuò)誤時(shí)的重試次數(shù)，在全局配置模式下，使用以下命令： admin max-login-failure timesMax-login-failure是密碼輸入錯(cuò)誤時(shí)的重試次

8、數(shù)，單位 times ，取值范圍1到256，默認(rèn)值是3。配置超時(shí)時(shí)間，在全局配置模式下，使用以下命令： admin lockout-duration time Lockout-duration是超時(shí)時(shí)間，單位minute，取值范圍1到65535，默認(rèn)值是2。恢復(fù)系統(tǒng)默認(rèn)配置，在全局配置模式下，使用以下命令： no admin max-login-failure | lockout-duration 9配置Telnet管理接口用戶可以對(duì) Telnet 的以下幾點(diǎn)進(jìn)行配置：Telnet 端口號(hào)。使用Telnet方式連接設(shè)備時(shí)，使用的端口號(hào)必須與此處配置的端口號(hào)一致。超時(shí)時(shí)間。如果已經(jīng)建立的 Tel

9、net 連接在超時(shí)時(shí)間內(nèi)未發(fā)送Telnet請(qǐng)求，系統(tǒng)將斷開此次Telnet連接。Telnet 最大登錄次數(shù)。命令關(guān)鍵字介紹： SG-6000(config)# telnet authorization-try-count Configure Telnet login authorization try count port Configure Telnet service port timeout Configure Telnet idle timeout配置Telnet 超時(shí)時(shí)間，在全局配置模式下，使用以下命令： telnet timeout timeout-valuetimeout-val

10、ue 指定Telnet超時(shí)時(shí)間，單位為分鐘。范圍是1到60分鐘。默認(rèn)值是10分鐘。配置 Telnet 端口號(hào)，在全局配置模式下，使用以下命令： telnet port port-numberport-number 指定Telnet 端口號(hào)。范圍是1到65535。默認(rèn)值是23。配置Telnet 最大登錄次數(shù)，在全局配置模式下，使用以下命令： telnet authorization-try-count count-numbercount-number 指定最大連接次數(shù)。范圍是1 到10 次。默認(rèn)為3 次。在全局配置模式下，使用該命令 no 的形式恢復(fù)Telnet 默認(rèn)登錄次數(shù)： no telnet authorization-try-count | port | timeout 10注意事項(xiàng)11telnet命令配置最大登錄次數(shù)與admin login-control命令配置密碼錯(cuò)誤次數(shù)的差異：telnet命令配置的最大登錄次數(shù)，當(dāng)連續(xù)失敗登錄次數(shù)超出該值，系統(tǒng)斷開此次telnet連接，但立刻又可以重新開啟telnet連接。admin login-control命令配置的密碼錯(cuò)誤次數(shù)，當(dāng)連續(xù)失敗登錄次數(shù)超出該值，系統(tǒng)斷開此次telnet連接，而且在配置的超時(shí)時(shí)間（lock-interval）內(nèi)，禁止該賬