Однажды, работая в одной не самой мелкой компании России, мне принесли новенький коммутатор Huawei, чтобы заменить им устаревшее устройство другого производителя на одном объекте в Санкт-Петербурге. Я тогда впервые держал сетевой девайс Huawei в руках, но более или менее знал синтаксис, так что распаковал коробку и за час накинул необходимые настройки. Казалось, все было сделано верно, я не переживал и спокойно отдал настроенный коммутатор с красивой наклейкой “Кронштадт” в руки инженеру, который должен был установить его куда положено. И вот на следующий день раздается звонок, я поднимаю трубку и мы начинаем модернизацию. Инженер устанавливает в стойку наш коммутатор, переключает в него аплинки, проходит время загрузки, и после успешного ping я пытаюсь зайти на коммутатор, используя Telnet. И… Ничего.
”Connection refused by remote host”.
Ping успешен, а доступа нет. Делать было нечего. Очевидно, нужно проверять конфигурацию, но консольного кабеля у инженера не оказалось. Фиаско! Пришлось возвращать все как было и ехать во всем вооружении в Кронштадт мне самому, когда снега выпало по колено. Еще и за собственный счет, ведь кто как не я ответственнен за конфигурацию!
Официальная документация гласит, что протокол Telnet имеет язвимости безопасности и рекомендует использовать STelnet V2. STelnet это альтернативное название SSH.
Huawei не просто рекомендует не использовать Telnet, но принудительно выключает его по умолчанию. Такую строчку вы найдете, применив display current-configuration:
telnet server disable
Поэтому если вы привыкли работать с другими вендорами и идете по скользкому пути игнорирования рекомендаций безопасности, то, настраивая сетевое устройство Huawei, убедитесь, что применили, как минимум, три команды:
telnet server enable
!
aaa
local-user username service-type telnet
quit
!
user-interface vty 0 4
protocol inbound all
quit
quit
!
save all
Это убережет вас от многих приключений! Конечно, в Кронштадте красиво, но ветер в феврале такой, что на чердаке, куда я взбирался с консольным кабелем, под ногами во множестве хрустели закоченевшие грызуны и укоризненно напоминали об одном:
telnet server disable
Теперь немного еще полезных команд по настройке Telnet и небольших пояснений зачем они нужны.
system-view
user-interface maximum-vty ?
INTEGER<0-15> The maximum number of VTY users, the default value is 5
Позволяет назначить максимальное количество одновременных outofband сессий. По умолчанию их пять: от 0 до 4. Давайте применим максимальное количество 15 и посмотрим что получится:
user-interface maximum-vty 15
Info: VTY0-14 VTYs are available, and VTY 16 to VTY 20 are reserved for the NMS.
Нам сообщили, что теперь для использования доступны линии с 0 по 14. Проверим так ли это:
Да, все верно! Но ведь вы заметили сообщение, что линии с 16 по 20 зарезервированы для NMS? Под NMS (Network Management System) подразумевается сторонняя система управления сетью, то есть сетевой контроллер с присущими ему Northbound и Southbound APIs. Например, если вы с помощью Postman отправите URL (Uniform Resource Locator) запрос на контроллер, то, надо думать, контроллером будет использована одна из этих линий для выполнения запроса. Но это тема уже другой статьи!
Надеюсь, информация была полезной для вас и спасибо за прочтение!
P.S. Если с вами случалось нечто подобное, то поделитесь, пожалуйста - будет интересно почитать)
