本文檔將詳細介紹在華為 eNSP 仿真環境中，實現路由器 DHCP 服務器功能、AAA 認證以及 TELNET 遠程登錄配置的完整步驟，適用于華為 VRP 系統路由器。

一、配置目標

1. 路由器作為 DHCP 服務器，為局域網內的設備自動分配 IP 地址、子網掩碼、網關和 DNS 服務器地址。

1. 借助 AAA（認證、授權、記賬）框架，基于本地用戶數據庫，對 TELNET 遠程登錄進行身份認證，保證只有授權用戶能夠管理路由器。

1. 成功實現 TELNET 遠程登錄功能，并與 AAA 認證相結合，提高遠程管理的安全性。

二、配置前提

1. 路由器已完成初始化操作，不存在沖突配置，且至少擁有 1 個 LAN 接口（例如 GigabitEthernet 0/0/0）用于連接局域網。

1. 局域網內的設備（如 PC）已設置為自動獲取 IP 地址模式。

1. 華為 eNSP 軟件已正確安裝并能正常運行，相關網絡設備已添加到拓撲圖中并成功啟動。

三、分步配置

1. 基礎接口配置（必做）

首先要為路由器的 LAN 接口配置 IP 地址，該地址不僅會作為 DHCP 分配的網關，還會為 TELNET 遠程登錄提供訪問地址。

配置命令：

<Huawei> system-view // 進入系統視圖[Huawei] interface GigabitEthernet 0/0/0 // 進入LAN接口（根據實際接口進行調整）[Huawei-GigabitEthernet0/0/0] ip address 192.168.2.1 255.255.255.0 // 配置接口IP地址和子網掩碼[Huawei-GigabitEthernet0/0/0] undo shutdown // 開啟接口（接口默認處于關閉狀態）[Huawei-GigabitEthernet0/0/0] quit // 返回系統視圖

說明：

• 所配置的接口 IP 地址（192.168.2.1）將作為 DHCP 分配給客戶端的默認網關，必須與后續配置的 DHCP 地址池處于同一網段。

• 若接口處于關閉（shutdown）狀態，DHCP 服務和 TELNET 遠程登錄都無法正常工作，因此務必確保接口已開啟。

2. DHCP 服務器配置

為了讓局域網設備能夠自動獲取 IP 地址，需要定義 DHCP 地址池并設置相關關鍵參數，如 IP 地址范圍、網關、DNS 服務器等。

配置命令：

// 步驟1：創建DHCP地址池（地址池名稱可自定義，此處以“lan-pool”為例）[Huawei] ip pool lan-pool[Huawei-ip-pool-lan-pool] network 192.168.2.0 mask 255.255.255.0 // 配置可分配的IP地址范圍及子網掩碼[Huawei-ip-pool-lan-pool] gateway-list 192.168.2.1 // 指定默認網關（即路由器LAN接口的IP地址）[Huawei-ip-pool-lan-pool] dns-list 8.8.8.8 114.114.114.114 // 配置DNS服務器地址（可填寫公網或內網DNS）[Huawei-ip-pool-lan-pool] lease day 7 // 設置IP地址租約時間為7天（默認租約時間可根據需求調整）[Huawei-ip-pool-lan-pool] quit // 返回系統視圖// 步驟2：啟用DHCP服務[Huawei] dhcp enable // 全局啟用DHCP服務，這是DHCP功能生效的必要條件// 步驟3：（可選）排除不參與自動分配的IP地址[Huawei] ip pool lan-pool[Huawei-ip-pool-lan-pool] excluded-ip-address 192.168.2.2 192.168.2.10 // 排除192.168.2.2到192.168.2.10的IP地址[Huawei-ip-pool-lan-pool] quit // 返回系統視圖

參數說明：

• network 192.168.2.0 mask 255.255.255.0：表示可分配的 IP 地址范圍是 192.168.2.1 到 192.168.2.255（扣除排除的 IP 地址后）。

• gateway-list：必須與 LAN 接口的 IP 地址保持一致，否則局域網設備將無法訪問網關，進而無法與外部網絡通信。

• dns-list：建議填寫公網 DNS 服務器地址（如 8.8.8.8），以保證局域網設備能夠正常解析域名。

• 若網絡中沒有需要排除的 IP 地址，可省略排除 IP 地址的相關配置命令。

3. AAA 配置（認證基礎）

AAA（認證、授權、記賬）用于對 TELNET 登錄進行身份驗證，此處采用本地用戶數據庫（無需依賴遠程服務器，適用于小型網絡環境）。

配置命令：

// 步驟1：進入AAA視圖[Huawei] aaa// 步驟2：創建本地用戶（用于TELNET認證）[Huawei-aaa] local-user admin password cipher 123456 // 創建用戶名為admin，密碼為123456（cipher表示密碼加密存儲）[Huawei-aaa] local-user admin privilege level 15 // 設置該用戶的權限級別為15（最高級別，擁有所有操作權限）[Huawei-aaa] local-user admin service-type telnet // 指定該用戶僅允許通過TELNET方式登錄// 步驟3：返回系統視圖[Huawei-aaa] quit

4. TELNET 配置（結合 AAA 認證）

TELNET（Telecommunication Network）是一種基于TCP/IP 協議的遠程登錄協議，用于在本地計算機（客戶端）和遠程設備（服務器 / 網絡設備）之間建立文本交互連接，實現對遠程設備的控制和管理。Telnet協議允許用戶在遠程計算機上打開一個命令行界面，就像是直接坐在計算機前操作一樣，通常用于管理網絡設備和服務器，它通常運行在 TCP 23端口，并通過 文本界面 提供操作功能。

TELNET 協議雖然因安全性問題逐漸被 SSH 替代，但在特定場景下仍有其應用價值，以下是其主要應用場景及特點分析：

1. 老舊設備的遠程管理

• 適用場景：早期網絡設備（如老式路由器、交換機、防火墻）或嵌入式系統（如工業控制設備、打印機），由于硬件或固件限制，僅支持 TELNET 協議，不支持 SSH。
• 特點：這些設備通常部署在封閉網絡（如內網）中，安全性風險較低，TELNET 的簡單性（無需復雜加密）成為其保留的理由。
• 示例：部分工廠的工業控制設備，因系統老舊，管理員需通過 TELNET 登錄調試參數。

2. 簡單的本地網絡管理

• 適用場景：在小型局域網（LAN）中，對設備進行臨時配置或故障排查，且網絡環境相對安全（無外部攻擊風險）。
• 特點：TELNET 協議實現簡單，客戶端工具（如 Windows 自帶的telnet命令、PuTTY）易獲取，適合快速臨時操作。
• 示例：家庭路由器的本地管理（通過telnet 192.168.1.1登錄配置端口映射）。

3. 協議調試與學習

• 適用場景：網絡協議學習、調試簡單的 TCP 服務（如 HTTP、SMTP 的基礎交互）。
• 特點：TELNET 本質是基于 TCP 的文本交互工具，可模擬客戶端向任意 TCP 端口發送文本數據，幫助理解協議交互過程。
• 示例：通過telnet example.com 80手動發送 HTTP 請求（如GET / HTTP/1.1），觀察服務器返回的原始響應，學習 HTTP 協議細節。

4. 特定 legacy 系統維護

• 適用場景：運行老舊操作系統的服務器（如早期的 UNIX、Linux 系統），或依賴 TELNET 的傳統業務系統（如某些銀行、政企的內部系統）。
• 特點：這些系統因歷史原因未升級，TELNET 是其遠程訪問的唯一方式，需在嚴格的安全隔離環境（如物理隔離網絡）中使用。

5. 嵌入式設備的輕量控制

• 適用場景：資源受限的嵌入式設備（如物聯網傳感器、小型網關），因硬件性能有限（CPU、內存小），無法支持 SSH 的加密計算，TELNET 的低資源消耗成為優勢。
• 特點：僅在設備本地或信任網絡中使用，避免暴露在公網。

TELNET 的局限性與替代方案

盡管有上述場景，TELNET 的明文傳輸缺陷使其在公網或安全敏感場景中被嚴格禁止，替代方案主要為：

• SSH：通過加密傳輸數據，支持身份認證，是目前主流的遠程管理協議（如路由器、服務器的ssh命令）。
• Web 管理界面：圖形化界面（Web UI），適合非專業用戶遠程配置設備（如家用路由器的瀏覽器管理頁面）。

TELNET 用于遠程登錄路由器，需要配置虛擬終端線路（VTY）并關聯 AAA 認證，以確保遠程訪問的安全性。

配置命令：

// 步驟1：進入VTY線路配置視圖（華為設備通常有0-4共5條線路，支持多個用戶同時登錄）[Huawei] user-interface vty 0 4// 步驟2：設置認證方式為AAA認證[Huawei-ui-vty0-4] authentication-mode aaa // 登錄時采用AAA認證方式// 步驟3：（可選）設置登錄后自動進入特權模式[Huawei-ui-vty0-4] user privilege level 15// 步驟4：（可選）設置超時時間（無操作時自動斷開連接）[Huawei-ui-vty0-4] idle-timeout 5 0 // 5分鐘內無操作則自動斷開連接（單位：分 秒）// 步驟5：返回用戶視圖[Huawei-ui-vty0-4] quit[Huawei] save // 保存配置，防止設備重啟后配置丟失

四、配置驗證

1. 驗證 DHCP 功能

在局域網的 PC 上進行如下操作：

• 確保 PC 已設置為自動獲取 IP 地址。

• 查看 PC 的 IP 配置信息：在 Windows 系統的命令提示符中輸入ipconfig，在 Linux 系統的終端中輸入ifconfig。若配置成功，應顯示以下信息：

• • IP 地址：192.168.2.11-254（排除的 IP 地址除外）

• • 子網掩碼：255.255.255.0

• • 默認網關：192.168.2.1

• • DNS 服務器：8.8.8.8（與配置的 DNS 服務器地址一致）

2. 驗證 TELNET 與 AAA 認證

從 PC 遠程登錄路由器：

• 在 PC 的命令提示符中輸入telnet 192.168.2.1（路由器 LAN 接口的 IP 地址）。

• 當提示輸入用戶名和密碼時，輸入之前創建的用戶名admin和密碼123456，若能成功登錄路由器，則說明配置生效。

• 驗證用戶權限：登錄后嘗試執行一些高級操作命令（如system-view進入系統視圖等），若能正常執行，則表明用戶權限設置正確。

3. 驗證 AAA 配置

• 錯誤驗證：使用錯誤的用戶名或密碼進行 TELNET 登錄，此時應無法登錄成功，提示認證失敗，說明 AAA 認證已生效。

• 查看本地用戶配置：在路由器的用戶視圖下輸入display aaa local-user，確認本地用戶的配置信息是否正確。

五、實戰操作?

1、DHCP配置

1.1 接口配置

ensp搭建PC1使用DHCP方式獲取IP地址，配置路由器G0/0/0接口為DHCP接口（接口地址池）

1.1.1 路由器配置過程

sys
dhcp enable   #全局啟用設備上的DHCP功能，啟用后可提供DHCP服務
interface GigabitEthernet 0/0/0
ip address 192.168.1.1 255.255.255.0   #為配置DHCP服務的接口設置網關地址
dhcp select interface   #配置接口基于[接口地址池]提供DHCP服務
dhcp server dns-list 192.168.1.2   #配置 DHCP 服務器分配給客戶端的 DNS服務器地址dhcp server excluded-ip-address 192.168.1.2   #排除DNS的IP地址192.168.1.2，該地址將不會分配給DHCP客戶端dhcp server lease day 3   #設置DHCP租期3天

1.1.2 接口地址池配置結果驗證

?PC1設置DHCP方式獲得IP，并通過? ipconfig /renew? 重新獲取IP地址，如下圖所示：

1.2 全局地址池配置

1.2.1 路由器配置過程?

sys
dhcp enable   #全局啟用設備上的DHCP功能，啟用后可提供DHCP服務
ip pool test   #創建 DHCP 地址池，名稱：test
network 192.168.0.0 mask 24   #為地址池配置了網絡192.168.0.0子網掩碼255.255.255.0（即/24）
gateway-list 192.168.0.1   #為地址池配置默認網關：192.168.0.1
lease day 10   #設置 DHCP 租期為10天
quit
int g0/0/0
dhcp select global   #設置（全局）模式，將該接口作為DHCP服務器
ip address 192.168.0.1 255.255.255.0   #為該接口設置網關地址#若想配置DNS服務器，則可如下設置
ip pool test   #進入test地址池
dns-list ?#IP_ADDR<x.x.x.x>  IP address#
dns-list 192.168.0.2   #或者設置dns-list 8.8.8.8 114.114.114.114
excluded-ip-address 192.168.0.2   #排除目標在dhcp范圍
dis this

1.2.2 全局地址池配置結果驗證?

2、Telnet基礎配置?

認證模式	描述
AAA	AAA認證
Password	登陸時只通過密碼實現認證

?在簡單網絡中，使用路由器模擬配置Telent服務，通過PC終端進行訪問。

2.1 配置端口并測試互通?

AR1和AR2分別配置同網段內不同的IP地址，并Ping測試互通

?2.2 AR2路由器配置開啟telent服務?

sys
int g0/0/0
ip address 192.168.0.10 24
quser-interface vty 0 4
#user-interface:  #進入用戶界面配置模式vty：  #指代虛擬終端接口，用于遠程登陸0 4 ：  #表示配置 VTY 0 到 VTY 4 ，即支持 5個并發遠程登陸會話（編號從0到4）
#authentication-mode password   #設置 VTY 用戶登錄認證的方法為密碼認證
#
Please configure the login password (maximum length 16):admin123
#部分版本會自動提示并設置密碼，設置后會立即生效
#set authentication password cipher admin123   #部分版本需要使用如此命令單獨設置密碼admin123
q
sysname AR2   #給路由器重命名

2.3 配置效果：?

路由器AR1重命名為AR1，使用telnet連接AR2?

sysname AR1
q
telnet 192.168.0.10
#Press CTRL_] to quit telnet modeTrying 192.168.0.20 ...Connected to 192.168.0.10 ...Login authentication
Password:
#

?3、Telnet配置AAA

3.1 配置接口并互通測試?

AR1和AR2分別配置同網段內不同的IP地址，并Ping測試互通

3.2 在AR2上配置AAA

?配置AAA,創建test用戶，指定登陸方式為telnet，并設置5個虛擬登錄重點連接AAA

q
aaa   #進入AAA配置
local-user test password cipher admin123   #創建一個新的用戶test并設置密碼admin23
#
Info:Add a new user.
#local-user test service-type telnet   #設置新用戶test的登陸方式為telnet
local-user test privilege level 0   #設置test用戶的登陸等級為0，最低模式
q
user-interface vty 0 4   #配置遠程登陸的5個虛擬終端線
authentication-mode aaa   #在終端接口中應用AAA配置

---

用戶權限等級劃分 ：?

等級	說明
0	用戶模式，權限最低，只能執行基本的查看命令，例如 ping 和 quit 。
1-2	通常用于只允許部分基本命令的用戶，屬于受限權限。
3-14	可自定義權限等級，具體授權命令根據管理員設定。
15	最高權限，可以執行所有配置和管理命令，進入 系統視圖 進行配置

---

3.3 在AAA中創建域，并關聯用戶

?在AAA中創建域test，并將test用戶關聯到域test中，如果沒有給test用戶指定域，則會默認自動歸屬到默認域（default）。

aaa   #進入AAA配置
dis this   #查看AAA配置好的域內有用戶test和admin兩個賬號并有不同的密碼和服務連接方式domain test   #AAA內創建新的域test
qlocal-user test@test password cipher admin123   #將test用戶加入到test域內
quser-interface vty 0 4   #配置遠程登陸5個虛擬終端接口
authentication-mode aaa
domain test   #加入test域
dis domain name test   #查看域配置狀況

六、注意事項

1. TELNET 協議的缺陷：TELNET 協議在傳輸數據時采用明文方式，存在密碼泄露的風險，在實際生產環境中，建議使用更安全的 SSH 協議（需進行額外的加密算法配置）。
2. DHCP 安全：為了防止惡意 DHCP 服務器攻擊局域網，可在交換機上配置 DHCP Snooping 功能（需交換機支持該功能）。
3. AAA 擴展：如果網絡規模較大或對安全性有更高要求，可將 AAA 認證與遠程 RADIUS/TACACS + 服務器對接（需要額外配置服務器的 IP 地址和密鑰等信息）。
4. 配置保存：每次配置完成后，務必執行save命令保存配置，以免設備重啟后配置丟失。

通過以上配置步驟，可在華為 eNSP 環境中實現路由器的 DHCP 自動分配 IP 地址、AAA 身份認證以及 TELNET 遠程管理功能，滿足小型網絡的基本管理需求。