全网独一份!华为、华三、中兴、锐捷、迈普、烽火六厂商远程登录配置速查手册
远程设备登入是网络运维日常高频操作,二者安全等级差距显著:Telnet 传输数据无加密,明文极易泄露账号密码;SSH 采用加密传输机制,生产业务环境优先选用 SSH 协议。但老旧硬件、临时调试场景仍大量依赖 Telnet,因此两种登录方式的部署配置都需要熟练掌握。
本文整理华为、华三 、中兴、锐捷、迈普、烽火六大主流网络厂商配置方案,每一套脚本均完整包含服务开启、管理员账号新建、ACL 源 IP 访问管控、VTY 虚拟终端绑定四大核心模块。
配置思路(通用)
各大厂商网络设备的 Telnet、SSH 远程管理配置,底层部署逻辑高度统一。
1. 启用 Telnet 或 SSH 服务
2. 创建本地账号(用户名 + 密码 + 权限级别)
3. 配置 ACL,限制允许登录的源 IP
4. 进入 VTY 线路,绑定协议和 ACL
5. 配置认证方式(AAA 或 local)
一、华为(HUAWEI,VRP系统)
Telnet 配置
# 进入系统视图
<Huawei> system-view
# 启用 Telnet 服务
[Huawei] telnet server enable
# 创建本地用户
[Huawei] aaa
[Huawei-aaa] local-user admin password irreversible-cipher Admin@123
# 创建用户 admin,密码 Admin@123,irreversible-cipher 表示密码不可逆加密存储
[Huawei-aaa] local-user admin privilege level 15
# 赋予最高权限级别 15(0~15,15 为最高,可执行所有命令)
[Huawei-aaa] local-user admin service-type telnet
# 指定该用户只允许通过 Telnet 方式登录
[Huawei-aaa] quit
# 配置 ACL,限制允许登录的源 IP(只允许 192.168.1.0/24 网段)
[Huawei] acl number 2000
[Huawei-acl-basic-2000] rule 5 permit source192.168.1.0 0.0.0.255
# 允许 192.168.1.0/24 的主机,反掩码写法
[Huawei-acl-basic-2000] rule 100 deny source any
# 其余全部拒绝(兜底规则,防止遗漏)
[Huawei-acl-basic-2000] quit
# 进入 VTY 线路,绑定 ACL 和认证方式
[Huawei] user-interface vty 04# 进入 VTY 0~4 共 5 条线路
[Huawei-ui-vty0-4] acl 2000 inbound # 入方向绑定 ACL 2000,限制源 IP
[Huawei-ui-vty0-4] authentication-mode aaa # 认证方式使用 AAA(本地账号)
[Huawei-ui-vty0-4] protocol inbound telnet # 只允许 Telnet 协议登录
[Huawei-ui-vty0-4] quit
SSH 配置
# 生成 RSA 密钥对(SSH 依赖密钥,必须先生成)
[Huawei] rsa local-key-pair create # 生成 RSA 密钥对
# 提示输入密钥长度时,输入 2048(推荐)
# 启用 STELNET(华为叫 STelnet,即 SSH over Telnet)
[Huawei] stelnet server enable# 开启 SSH 服务
# 创建 SSH 用户
[Huawei] aaa
[Huawei-aaa] local-user sshuser password irreversible-cipher Ssh@2024
[Huawei-aaa] local-user sshuser privilege level 15
[Huawei-aaa] local-user sshuser service-type ssh
# 注意:service-type 改为 ssh,不能混用
[Huawei-aaa] quit
# 用于创建SSH用户并定义其认证方式与服务类型,确保通过加密协议实现安全的远程管理
[Huawei]ssh user sshuser
[Huawei]ssh user sshuser authentication-type password
[Huawei]ssh user sshuser service-type stelnet
# VTY 绑定 SSH
[Huawei] user-interface vty 04
[Huawei-ui-vty0-4] acl 2000 inbound
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh# 只允许 SSH 登录(去掉 Telnet)
[Huawei-ui-vty0-4] quit
验证命令:
display ssh server status # 查看 SSH 服务状态
display ssh user-information # 查看已配置的 SSH 用户
display users # 查看当前在线用户
二、华三(H3C,Comware系统)
Telnet 配置
# 进入系统视图
<H3C> system-view
# 启用 Telnet 服务
[H3C] telnet server enable # 开启 Telnet 服务
# 创建本地用户
[H3C] local-user admin
[H3C-luser-manage-admin] password simple Admin@123
# 设置密码,simple 表示明文输入(存储时会加密)
[H3C-luser-manage-admin] authorization-attribute user-role network-admin
# 赋予 network-admin 角色(H3C 用角色控制权限,network-admin 为最高)
[H3C-luser-manage-admin] service-type telnet # 允许 Telnet 登录
[H3C-luser-manage-admin] quit
# 配置 ACL
[H3C] acl basic 2000
[H3C-acl-ipv4-basic-2000] rule 5 permit source192.168.1.0 0.0.0.255
[H3C-acl-ipv4-basic-2000] rule 100 deny
[H3C-acl-ipv4-basic-2000] quit
# VTY 线路配置
[H3C] line vty 04# 进入 VTY 0~4
[H3C-line-vty0-4] authentication-mode scheme # 认证方式:本地账号认证
[H3C-line-vty0-4] acl ipv4 2000 inbound # 绑定 ACL
[H3C-line-vty0-4] protocol inbound telnet # 限定协议为 Telnet
[H3C-line-vty0-4] quit
SSH 配置
# 生成本地密钥
[H3C] public-key local create rsa # 生成 RSA 密钥对,建议 2048 位
# 启用 SSH 服务
[H3C]ssh server enable# 开启 SSH 服务端
# 创建 SSH 用户
[H3C] local-user sshuser
[H3C-luser-manage-sshuser] password simple Ssh@2024
[H3C-luser-manage-sshuser] authorization-attribute user-role network-admin
[H3C-luser-manage-sshuser] service-type ssh# 允许 SSH 登录
[H3C-luser-manage-sshuser] quit
# VTY 绑定 SSH
[H3C] line vty 04
[H3C-line-vty0-4] authentication-mode scheme
[H3C-line-vty0-4] acl ipv4 2000 inbound
[H3C-line-vty0-4] protocol inbound ssh # 改为 SSH 协议
[H3C-line-vty0-4] quit
验证命令:
display ssh server # 查看 SSH 服务状态
display local-user # 查看本地用户列表
display line vty 04 # 查看 VTY 线路配置
三、中兴(ZTE,ZXR10系统)
Telnet 配置
# 进入全局配置模式
ZTE>enable
ZTE# configure terminal
# 启用 Telnet 服务(中兴默认启用,但可以明确开启)
ZTE(config)# service telnet # 确保 Telnet 服务开启
# 创建本地用户
ZTE(config)# username admin privilege 15 password Admin@123
# 创建用户 admin,权限 15(最高),设置密码
# 配置 ACL,限制登录源 IP
ZTE(config)# ip access-list standard LOGIN-ACL
ZTE(config-std-nacl)# permit 192.168.1.0 0.0.0.255
# 允许 192.168.1.0/24 网段
ZTE(config-std-nacl)# deny any
# 其余拒绝
ZTE(config-std-nacl)# exit
# 进入 VTY 线路
ZTE(config)# line vty 0 4
ZTE(config-line)# login local # 使用本地账号认证
ZTE(config-line)# access-class LOGIN-ACL in
# 绑定 ACL,in 表示对入方向的连接进行过滤
ZTE(config-line)# transport input telnet # 只允许 Telnet 协议
ZTE(config-line)# exit
SSH 配置
# 生成密钥
ZTE(config)# crypto key generate rsa modulus 2048
# 生成 2048 位 RSA 密钥,SSH 服务依赖此密钥
# 启用 SSH
ZTE(config)# ip ssh version 2 # 强制使用 SSHv2(更安全)
ZTE(config)# ip ssh server enable # 开启 SSH 服务
# 创建 SSH 用户(与 Telnet 账号相同方式)
ZTE(config)# username sshuser privilege 15 password Ssh@2024
# VTY 绑定 SSH
ZTE(config)# line vty 0 4
ZTE(config-line)# login local
ZTE(config-line)# access-class LOGIN-ACL in
ZTE(config-line)# transport input ssh # 改为 SSH 协议
ZTE(config-line)# exit
验证命令:
show ipssh # 查看 SSH 服务状态和版本
show users # 查看当前登录用户
show running-config | include username # 查看用户配置
四、锐捷(Ruijie,RGOS系统)
Telnet 配置
# 进入特权模式和全局配置
Ruijie>enable
Ruijie# configure terminal
# 启用 Telnet 服务
Ruijie(config)# service telnet # 开启 Telnet 服务
# 创建本地账号
Ruijie(config)# username admin privilege 15 password Admin@123
# 本地用户 admin,最高权限,设置密码
# 配置 ACL
Ruijie(config)# ip access-list standard LOGIN-ACL
Ruijie(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Ruijie(config-std-nacl)# exit
# VTY 线路配置
Ruijie(config)# line vty 0 4
Ruijie(config-line)# login local # 本地认证
Ruijie(config-line)# access-class LOGIN-ACL in
# 绑定 ACL,仅允许特定 IP 段登录
Ruijie(config-line)# transport input telnet # 限定 Telnet 协议
Ruijie(config-line)# exit
SSH 配置
# 生成 RSA 密钥
Ruijie(config)# crypto key generate rsa # 生成密钥,按提示选择 2048 位
# 启用 SSH 服务
Ruijie(config)# ip ssh version 2 # 使用 SSHv2
Ruijie(config)# ip ssh server enable # 注:部分版本默认开启,不需要显式配置
# 用户创建同上,service-type 无需单独指定,锐捷本地用户默认支持 SSH
# VTY 绑定 SSH
Ruijie(config)# line vty 0 4
Ruijie(config-line)# login local
Ruijie(config-line)# access-class LOGIN-ACL in
Ruijie(config-line)# transport input ssh # 限定 SSH 协议
Ruijie(config-line)# exit
验证命令:
show ipssh # 查看 SSH 运行状态
show line vty # 查看 VTY 线路状态
show users # 当前在线用户
五、迈普(Maipu,MyPowerOS系统)
迈普的命令风格与思科/锐捷类似,CLI 操作习惯基本一致。
Telnet 配置
# 进入特权和全局配置
maipu>enable
maipu# configure terminal
# 启用 Telnet
maipu(config)# service telnet # 开启 Telnet 服务
# 创建本地用户
maipu(config)# username admin privilege 15 password Admin@123
# 创建管理用户,权限 15
# 配置 ACL
maipu(config)# ip access-list standard LOGIN-ACL
maipu(config-std-nacl)# permit 192.168.1.0 0.0.0.255
maipu(config-std-nacl)# exit
# VTY 配置
maipu(config)# line vty 0 4
maipu(config-line)# login local # 本地账号认证
maipu(config-line)# access-class LOGIN-ACL in
maipu(config-line)# transport input telnet
maipu(config-line)# exit
SSH 配置
# 生成密钥
maipu(config)# crypto key generate rsa modulus 2048
# 启用 SSH
maipu(config)# ip ssh server enable
maipu(config)# ip ssh version 2
# VTY 绑定 SSH
maipu(config)# line vty 0 4
maipu(config-line)# login local
maipu(config-line)# access-class LOGIN-ACL in
maipu(config-line)# transport input ssh
maipu(config-line)# exit
验证命令:
show ipssh # SSH 服务状态
show users # 在线用户
show running-config line vty # 查看 VTY 配置
六、烽火(FiberHome,F-engineOS系统)
烽火的命令行风格因产品系列不同,部分接近华为,部分接近思科。以下以主流的 NE 系列为参考。
Telnet 配置
# 进入系统视图
<FiberHome> system-view
# 启用 Telnet 服务
[FiberHome] telnet server enable# 开启 Telnet 服务
# 创建本地用户
[FiberHome] aaa
[FiberHome-aaa] local-user admin password cipher Admin@123
# cipher 表示密文存储
[FiberHome-aaa] local-user admin privilege level 15
# 权限级别 15
[FiberHome-aaa] local-user admin service-type telnet
[FiberHome-aaa] quit
# 配置 ACL
[FiberHome] acl number 2000
[FiberHome-acl-basic-2000] rule 5 permit source192.168.1.0 0.0.0.255
[FiberHome-acl-basic-2000] rule 100 deny source any
[FiberHome-acl-basic-2000] quit
# VTY 绑定
[FiberHome] user-interface vty 04
[FiberHome-ui-vty0-4] acl 2000 inbound
[FiberHome-ui-vty0-4] authentication-mode aaa
[FiberHome-ui-vty0-4] protocol inbound telnet
[FiberHome-ui-vty0-4] quit
SSH 配置
# 生成密钥
[FiberHome] rsa local-key-pair create # 生成 RSA 密钥
# 启用 SSH
[FiberHome] stelnet server enable# 开启 SSH 服务
# 创建 SSH 用户
[FiberHome] aaa
[FiberHome-aaa] local-user sshuser password cipher Ssh@2024
[FiberHome-aaa] local-user sshuser privilege level 15
[FiberHome-aaa] local-user sshuser service-type ssh
[FiberHome-aaa] quit
# VTY 绑定 SSH
[FiberHome] user-interface vty 04
[FiberHome-ui-vty0-4] acl 2000 inbound
[FiberHome-ui-vty0-4] authentication-mode aaa
[FiberHome-ui-vty0-4] protocol inbound ssh
[FiberHome-ui-vty0-4] quit
验证命令:
display ssh server status
display users
display acl 2000
各厂商配置对比速查
厂家 | 命令风格 | 用户创建位置 | 启用 SSH 命令 | VTY 进入方式 |
华为 | VRP | aaa 视图下 | stelnet server enable | user-interface vty 0 4 |
华三 | Comware | local-user | ssh server enable | line vty 0 4 |
中兴 | ZXR10 | username 全局 | ip ssh server enable | line vty 0 4 |
锐捷 | RGOS | username 全局 | ip ssh server enable | line vty 0 4 |
迈普 | MyPowerOS | username 全局 | ip ssh server enable | line vty 0 4 |
烽火 | F-engineOS | aaa 视图下 | stelnet server enable | user-interface vty 0 4 |
几个容易出错的地方
1. Telnet 和 SSH 不要混在同一个 VTY 上
# 错误做法(两个协议都放进去,安全性差)
protocol inbound all
# 正确做法:生产环境只开 SSH
protocol inbound ssh
2. 配置ACL一定要加兜底 deny,不然等于没限制
# 只写 permit,没有 deny,其他 IP 照样能登
rule 5 permit source192.168.1.0 0.0.0.255
# 兜底拒绝必须加
rule 100 deny source any
3. SSH 密钥生成前,服务 enable 了也没用
SSH 服务依赖密钥,不生成密钥就 enable,连接会直接报错。顺序是:先生成密钥 → 再 enable 服务。
4. 权限级别别给低了
华为/烽火的 privilege level 不到 15,很多命令看不到,display 都可能受限。运维账号给 15,只读账号可以给 3。
总结
远程登录这件事,配对了是工具,配错了是漏洞。
建议生产环境的原则:
- 只开 SSH,关掉 Telnet
- ACL 限制到具体的运维 IP 段,不要放 any
- 密码复杂度达标,定期轮换
- VTY 空闲超时配上(idle-timeout 10 0 — 空闲 10 分钟自动断开)
记得把整套配置模板存好,之后新装交换机、路由器,稍微改下 IP 和密码就能直接上线。
文章内容对你有帮助的话,麻烦点赞收藏,方便后续回看或转发给身边需要的网工伙伴,非常感谢大家的支持!