一、简介¶

本章介绍了eNSP软件的操作方法、华为VRP通用路由平台的基本操作方法、IP基础设置、Telnet、Stelnet、FTP的操作实例

二、认识eNSP¶

2.1 eNSP介绍¶

1、eNSP作为一款网络仿真工具平台，可模拟华为企业级路由器和交换机的大部分特性，可模拟PC终端、集线器等。通过真实网卡实现与真实网络设备的对接，并且还可以模拟接口抓包，直观感受各种协议的报文交互过程。 2、eNSP使用图形化操作界面，支持拓扑创建、修改、删除、保存等操作；支持设备拖拽、接口连线操作，通过不同颜色直观反映设备与接口的运行状态。 3、eNSP支持单机版本和多机版本，单机部署指只在一台主机上完成组网，多机部署指Server端分布式部署在多台服务器上。多机组网场景最大可模拟200台设备组网规模。

2.2 eNSP安装¶

参考小爱人的博客-CSDN博客_ensp安装教程进行安装

2.3 eNSP界面介绍¶

2.3.1 区域1-主菜单¶

1、"文件"菜单用于拓扑图文件的打开、新建、保存、打印等操作。 2、"编辑"菜单用于撤销、恢复、复制、粘贴等操作。 3、"视图"菜单用于对拓扑图进行缩放和控制左右侧工具栏区的显示。 4、"工具"菜单用于打开调色板工具添加的图形、启动或停止设备、进行数据抓包和各项的设置。 5、"帮助"菜单用于查看帮助文档、检测是否有可用更新、查看软件版本和版权信息。 6、"设置-界面设置"选项卡中可以设置拓扑中的元素显示效果，如显示设备标签和型号、是否显示背景图等；还可以设置"工作区域大小"，即设置工作区的宽度和长度。 7、"设置-CLI设置"选项卡中设置命令中信息保存方式。当选中"记录日志"时，设置命令行的显示行数和保存位置。当命令行界面内容行数超过"显示行数"中的设置值时，系统将自动保存超过行数的内容到"保存路径"中指定的位置。 8、"设置-字体设置"选项卡中可以设置命令行界面和拓扑描述框的字体、字体颜色、背景色等参数。 9、"设置-服务器设置"选项卡中可以设置服务器端参数。 10、"设置-工具设置"选项卡中可以指定"引用工具"的具体路径。

2.3.2 区域2-工具栏¶

1、提供常用的工具，如新建拓扑、打印等。 2、在工具栏区域最右边有4个按钮，第1个是华为论坛的链接按钮，点击后进入华为官方论坛,进行各种提问和参与论坛;第2个是华为官网;第3个是"设置"按钮，可进行界面的设置、字体的设置等；第4个是"帮助文档"按钮，其中详细介绍了当前版本的eNSP支持的所以设备特性、各种功能以及如何配置服务器和用户端等。

2.3.3 区域3-网络设备区¶

提供设备和网线，供选择到工作区。

2.3.4 区域4-工作区¶

在此区域中可以灵活创建网络拓扑。

2.3.5 区域5-设备接口区¶

1、在此区域中可以显示拓扑中的设备和设备已连接的接口，可以通过观察指示灯了解接口运行状态。 2、浅灰色表示设备未启动或接口处于物理DOWN状态；深灰色表示设备已启动或接口处于物理UP状态；黑色表示接口正在采集报文。在处于物理UP状态的接口名上单击鼠标右键，可启动/停止接口报文采集。

2.4 网络设备配置¶

2.4.1 选择设备¶

将主界面左侧设备直接拖至工作区。每台设备都带有默认名称，通过单击可以对其进行修改。还可以使用工具栏中的文本按钮和调色板按钮在拓扑中任意位置添加描述或图形标识。

2.4.2 配置设备¶

1、在拓扑中的设备图标上单击鼠标右键，在弹出的快捷菜单中选择"设置"命令,打开设备接口配置；在"视图"选项卡中，可查看设备面板及可使用的接口卡。在设备电源关闭的状态下直接将接口卡拖至上方面板相应槽位即可添加接口卡；删除也一样，直接拖出去即可删除。 2、在"配置"选项卡中，可以设置设备的串口号，串口号范围在2000-65535，默认从起始数字2000开始使用。可以自行更换串口号并点击"应用"按钮生效。 3、在模拟PC上单击鼠标右键，在弹出的快捷菜单中选择"设置"命令，打开设置的对话框。在"基础配置"选项卡中配置设置的基础参数，如IP地址、子网掩码和MAC地址等；在"命令行"选项卡中可以输入ping命令，测试连通性。

2.4.3 设备连接¶

1、根据设备接口的不同可以灵活选择线缆的类型。 2、当线缆仅一端连接了设备，此时希望取消连接时，在工作区单击鼠标右键或者按"esc"键即可。选择"Auto"可以自动识别接口卡选择相应线缆。

2.4.4 配置导入¶

在设备未启动的状态下，在设备上单击鼠标右键，在快捷菜单中选择"导入设备配置"命令，可以选择设备配置文件(.cfg或.zip格式)并导入到设备中。

2.4.5 设备启动¶

选择需要启动的设备后，可以通过单击工具栏中的"启动设备"按钮或者选择该设备的右键菜单的"启动"命令来启动设备。

2.4.6 设备和拓扑保存¶

完成配置后可以单击工具栏中的"保存"按钮来保存拓扑图，并导出设备的配置文件。在设备上单击鼠标右键，在快捷菜单上选择"导出设备配置"命令。

2.5 扩展功能介绍¶

2.5.1 样例加载¶

在工具栏中单击"打开"按钮，可弹出eNSP附带的验证各种网络协议特性的典型实验案例。

2.5.2 数据抓包¶

设备运行时，在设备接口处单击鼠标右键，在快捷菜单中可选择"数据抓包"命令。

2.5.3 支持与真实PC进行桥接¶

通过虚拟设备接口与真实网卡的绑定，实现虚拟设备与真实设备的对接。

2.5.4 支持使用第三方软件登录eNSP模拟设备¶

在eNSP软件的接口视图中，设备名称后面会显示一个串口号，该端口号即使用第三方工具时需要设置的串口号。

三、熟悉VRP基本操作¶

3.1 VRP介绍¶

VRP(Versatile Routing Platform,通用路由平台)是华为公司数据通信产品的通用网络操作系统平台，拥有一致的网络界面、用户界面和管理界面。在VRP操作系统中，用户通过命令行对设备下发各种命令来实现对设备的配置与日常维护操作。

3.2 命令行视图的切换¶

1、启动设备，登录设备成功后进入用户视图。在用户视图只能使用参观和监控级命令，如使用display version命令显示系统软件版本及硬件等信息。 2、在用户视图下使用system-vew命令可以切换到系统视图。在系统视图下可以配置接口、协议等，使用quit命令可以切换到用户视图。 3、在系统视图下使用相应命令可进入其他视图，如使用interface命令进入接口视图，在接口视图下可以使用ip address命令配置接口IP地址、子网掩码。 4、无论在什么视图下，可以使用return命令(或<Ctrl+Z>)直接退回到用户视图。

3.3 命令行帮助和快捷键的使用¶

3.3.1 命令行帮助¶

命令行接口提供了基本的命令编辑功能，支持多行编辑，每条命令的最大长度为256个字符。

3.3.1.1 完全帮助¶

在任意命令视图下，输入"?"获取该命令视图下所有命令及其简单描述。

3.3.1.2 部分帮助¶

输入一字符串，其后紧接"?",列出以该字符串开头的所有关键字。如在系统视图下列出以"rou"字符串开头的所有关键字。如在系统视图下列出"rou"字符串开头的所有命令及其简单阐述。

3.3.2 快捷键使用¶

1、退格键<BackSpace>表示删除光标位置的前一个字符 2、左光标键或<Ctrl+B>表示光标向左移动一个字符位置 3、右光标键或<Ctrl+F>表示光标向右移动一个字符位置 4、删除键<Delete>表示删除光标位置字符 5、上下光标键表示显示历史命令 6、当用户输入不完整的关键字后按下<Tab>键，系统自动执行部分帮助，将命令补全。 7、可以通过display hotkey命令来查看已定义、未定义和系统保留快捷键的情况。

3.4 修改设备名称和设置时钟的方法¶

3.4.1 修改设备名称¶

在系统视图下，使用sysname命令修改当前路由器名称

3.4.2 设置时钟¶

clock datatime命令用于设置当前时间和日期，如在用户视图下，clock datatime 11:14:23 2022-1-19；clock timezone命令用于设置所在的时区，如在用户视图下，clock timezone BJ add 8:00:00。 说明:系统默认为伦敦时间，而北京处于+8时区，时间偏移量增加了8，因此在配置时需要加上偏移量8，才能得到预期的北京时区。

3.5 设置标题信息的方法¶

3.5.1 设置登录时的标题文本¶

在系统视图下，使用header login命令可设置登录时的标题文本，如header login information "hello"。login参数为用户在登录路由器认证过程中激活终端连接时显示的标题信息，是在用户在连接到路由器并进行登录验证以及开始配置时，系统所显示的一段提示信息。

3.5.2 设置登录成功后的标题文本¶

在系统视图下，使用header shell命令可设置登录成功后的标题文本信息，如header shell information "Welcome to Huawei cerification lab"。shell参数为当用户成功登录到路由器上，已经建立了会话时显示的标题信息。 注意:通常情况下，登录标语信息用于警告非法登录或说明信息！！！

3.6 查看路由器基本信息的方法¶

1、使用display version命令查看路由器信息 2、使用display current-configuration命令查看路由器当前配置 3、使用display interface GigabitEthernet 0/0/0命令查看路由器GE0/0/0接口的状态信息

四、熟悉常用的IP相关命令¶

4.1 路由器命名方法¶

路由器主机名为默认的主机名为Huawei。要更改主机名，必须要进入系统模式。在系统模式下，system-view命令用户可以配置系统参数以及通过该视图进入其他的功能配置视图。

4.2 配置路由器IP地址方法¶

1、从系统视图进入接口视图，在该视图下配置接口相关的物理属性、链路层特性及IP地址等重要参数。使用interface GE0/0/0命令进入路由器相应的接口视图GE0/0/0。在路由器接口视图下配置路由器接口IP地址和掩码。(华为设备上的物理接口默认都处于开启状态) 2、配置完成后，使用display ip interface brief命令查看接口与IP相关摘要信息。"Physical"为UP,即接口的物理状态处于正常启动的状态；"Protocol"为UP，即接口的链路状态处于正常启动的状态。

4.3 测试IP地址连通性方法¶

使用Ping命令测试设备之间的连通性，若返回内容包含"Reply from"字样则代表连通正常；若返回内容包含"Request time out"字样则代表连通失败。

4.4 查看设备配置¶

1、使用display ip routing-table命令查看IPv4路由表的信息。其中，"Route Flags"为路由标记，"R"表示该路由为迭代路由，"D"表示该路由下发到FIB表。"Routing Table:Public"表示此路由表是全局路由表，如果是VPN实例路由表，则显示VPN实例的名称，如Routing Tables:ABC."Destinations"表示目的网络/主机的总数。"Routes"表示路由的总数。"Destination/Mask"表示目的网络/主机的地址和掩码长度，"Proto"表示接收此路由的路由协议，"Direct"表示直连路由，"Pre"表示此路由的优先级，"Cost"表示接收此路由的路由开销值。"NextHop"表示此路由的下一跳地址，"Interface"表示此路由下一跳的出接口。

4.5 抓包方法¶

1、方法一：在接口上单击鼠标右键，在弹出的快捷菜单中选择"开始抓包"命令，如果不需要继续抓包，可在接口的快捷菜单中选择"停止抓包"命令。 2、方法二：单击界面上方工具栏的"数据抓包"按钮，这时会出现当前可抓取的接口列表。在"选择设备"栏中选择设备，再"选择接口"栏中选择接口，单击"开始抓包"按钮。如果不需要继续抓包，单击"停止抓包"按钮。

五、配置通过Telnet登录系统¶

5.1 Telnet介绍¶

Telnet(Telecommunication Network Protocol)起源于ARPANET，是最早的Internet应用之一。

5.2 Telnet用途¶

Telnet通常用于在远程登录应用中，以便对本地或远端运行的网络设备进行配置、监控和维护。如网络中有多台设备需要配置和管理，用户无需为每一台设备都连接一个用户终端进行本地配置，可以通过Telnet方式在一台设备上对多台设备进行管理或配置。如果网络中需要管理或配置的设备不在本地时，也可以通过Telnet方式实现对网络中设备的远程维护，极大地提高了用户操作的灵活性。

5.3 Telnet实验¶

5.3.1 实验目的¶

1、理解Telnet的应用场景 2、掌握Telnet的基本配置 3、掌握Telnet密码验证的配置 4、掌握Telnet用户级别的修改方法

5.3.2 实验内容¶

本实验模拟公司网络场景。路由器R1是公司机房的一台设备，公司员工的办公区与机房不在同一个楼层，路由器R2和R3模拟员工主机，通过交换机S1与机房设备相连。为了方便用户管理，现需要在路由器R1上配置Telnet使用户能在办公区远程管理机房设备。为了提高安全性，Telnet需要密码认证，只有网络管理员能对设备进行配置和管理，普通用户仅能监控设备。

5.3.3 实验拓扑¶

配置通过Telnet登录系统拓扑

5.3.4 实验编址¶

设备	接口	IP地址	子网掩码	默认网关
R1(AR2220)	GE0/0/0	10.1.1.254	255.255.255.0	N/A
R2(AR2220)	GE0/0/0	10.1.1.1	255.255.255.0	10.1.1.254
R3(AR2220)	GE0/0/0	10.1.1.2	255.255.255.0	10.1.1.254

5.3.5 实验步骤¶

5.3.5.1 基本配置¶

根据实验编址进行相应的基本配置，并使用Ping命令检测各直连链路的连通性。

5.3.5.2 配置Telnet的密码验证¶

1、在R1上配置Telnet验证方式为密码验证方式，密码为huawei,并设置验证密码以密文方式存储，在配置文件中以加密的方式显示密码。

[R1]user-interface vty 0 4  
[R1-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei

2、在用户设备R2和R3上使用Telnet连接R1。

<R2>telnet 10.1.1.254
  Press CTRL_] to quit telnet mode
  Trying 10.1.1.254 ...
  Connected to 10.1.1.254 ...

Login authentication

Password:
<R1>

<R3>telnet 10.1.1.254
  Press CTRL_] to quit telnet mode
  Trying 10.1.1.254 ...
  Connected to 10.1.1.254 ...

Login authentication

Password:
<R1>

3、登录成功后，可以继续使用display users命令查看已经登录的用户信息。

<R1>display users 
  User-Intf    Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag
+ 0   CON 0   00:00:00                                   pass                   
  Username : Unspecified

  129 VTY 0   00:00:42  TEL    10.1.1.1                  pass                   
  Username : Unspecified

  130 VTY 1   00:01:18  TEL    10.1.1.2                  pass                   
  Username : Unspecified

5.3.5.3 配置Telnet区分不同用户的权限¶

1、在R1上配置Telnet的用户级别为1(监控级)。普通员工仅能使用密码登录设备，只能使用display等命令监控设备

[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei
[R1-ui-vty0-4]set authentication password cipher huawei 
[R1-ui-vty0-4]user privilege level 1

2、配置完成后，将R2模拟成普通用户设备，测试到R1的Telnet连接。

<R2>telnet 10.1.1.254
  Press CTRL_] to quit telnet mode
  Trying 10.1.1.254 ...
  Connected to 10.1.1.254 ...

Login authentication

Password:
<R1>
<R1>sys
    ^
Error: Unrecognized command found at '^' position.

3、管理员使用自己单独的用户名和密码登录设备，拥有设备的配置和管理权限。这里要将VTY用户界面的认证模式修改成AAA认证，这样才能使用本地的用户名和密码进行认证。(默认情况下，设备的AAA认证功能是开启的，所以只需要为管理员在本地配置相应的用户名和密码即可)这里AAA视图下配置的本地用户名admin和密文密码hello,并且将该用户级别修改为3(管理级)

[R1]aaa
[R1-aaa]local-user admin password cipher hello privilege level 3    
[R1-aaa]local-user admin service-type telnet
[R1-aaa]quit
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa

4、配置完成后，将R3模拟成管理员用户设备，测试到R1的Telnet连接

<R3>telnet 10.1.1.254
  Press CTRL_] to quit telnet mode
  Trying 10.1.1.254 ...
  Connected to 10.1.1.254 ...

Login authentication

Username:admin
Password:
<R1>
<R1>system-view 
Enter system view, return user view with Ctrl+Z.
[R1]

5.4 思考¶

5.4.1 Telnet是基于TCP协议还是UDP协议的应用？为什么？¶

答:Telnet是基于TCP协议的应用，因为TCP协议是面向连接的、可靠的、基于字节流的传输层通信协议。

5.4.2 Telnet应用安全吗？为什么？¶

答:不安全，Telnet报文传输是明文，容易泄密。单纯提供Telnet服务容易招致主机IP地址欺骗、路由欺骗等恶意攻击。

六、配置通过STelnet登录系统¶

6.1 STelnet介绍¶

STelnet是Secure Telnet的简称。在一个传统不安全的网络环境中，服务器通过对用户端的认证及双向的数据加密，为网络终端访问提供安全的Telnet服务。

6.2 SSH协议介绍¶

1、SSH(Secure Shell)是一个网络安全协议，通过对网络数据的加密，使其能够在一个不安全的网络环境中，提供安全的远程登录和其他安全网络服务。 2、SSH特性可以提供安全的信息保障和强大的认证功能，以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。SSH数据加密传输，认证机制更加安全，可以代替Telnet，已经被广泛使用。 3、SSH基于TCP协议22号端口传输数据，支持Password认证。用户端向服务器发出Password认证请求，将用户名和密码加密后发送服务器；服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败的消息。 4、SFTP是SSH File Transfer Protocol的简称，在一个传统不安全的网络环境中，服务器通过对用户端的认证及双向的数据加密，为网络文件传输提供了安全的服务。

6.3 STelnet实验¶

6.3.1 实验目的¶

1、理解SSH的应用场景 2、理解SSH协议的原理 3、掌握配置SSH Password认证的方法 4、掌握SFTP的配置

6.3.2 实验内容¶

使用路由器R1模拟PC，作为SSH的Client;路由器R2作为SSH的Server,模拟远程用户端R1通过SSH协议远程登录到路由器R2作为SSH的Server,模拟远程用户R1通过SSH协议远程登录到路由器R2上进行各种配置。本实验通过Password认证方式来实现。

6.3.3 实验拓扑¶

配置通过STelnet登录系统拓扑

6.3.4 实验编址¶

设备	接口	IP地址	子网掩码	默认网关
R1(AR2220)	GE0/0/0	10.1.1.1	255.255.255.0	N/A
R2(AR2220)	GE0/0/0	10.1.1.2	255.255.255.0	N/A

6.3.5 实验步骤¶

6.3.5.1 基本配置¶

根据实验编制表进行相应的基本配置，并使用Ping命令检测各直连链路的连通性。

6.3.5.2 配置SSH Server¶

1、成功完成SSH登录的首要操作是配置并产生本地RSA密钥对。在进行其他SSH配置之前先要完成生成本地密钥对，生成的密钥对将保存在设备中，重启后不会丢失。 2、在R2上使用rsa local-key-pair create命令来生成本地RSA主机密钥对

[R2]rsa local-key-pair create
The key name will be: Host
% RSA keys defined for Host already exist.    #提示已经被主机定义
Confirm to replace them? (y/n)[n]:y           #询问确认是否要替代它们
The range of public key size is (512 ~ 2048). #提示公共密钥规格范围是512-2048
NOTES: If the key modulus is greater than 512,#提示如果密钥规格范围大于512将花                                      费一些时间来创造
       It will take a few minutes.
Input the bits in the modulus[default = 512]:512 #提示输入密钥位数(默认512)
Generating keys...
...............++++++++++++
.....++++++++++++
........++++++++
................................................................................
......++++++++

3、配置完成后，使用display rsa local-key-pair public命令来查看本地密钥对中的公钥部分信息。

[R2]dis rsa local-key-pair public 

=====================================================
Time of Key pair created: 2022-01-19 17:24:01-08:00  #描述公钥生成的时间
Key name: Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
  0240
    E448E723 741673CA 0D433621 9D2C9AE4 29179A3E
    BF8AF731 AC76E461 BB9E5C94 D94CDED2 E59A76A2
    4F628E28 7B7742FE EF4C6304 131BFD3B 99E8D3AB
    7D78FC65 
  0203
    010001

=====================================================
Time of Key pair created: 2022-01-19 17:24:09-08:00
Key name: Server                                       #描述公钥的名称
Key type: RSA encryption Key                           #描述公钥的类型
=====================================================
Key code:
3067
  0260
    AD405DCA 37565311 5201D611 C25B633C AC6AADA8
    1F01E71B 0FA6324B C74800AF 7B7B6254 83991C4C
    334D265C 94C6D608 69AB48A4 DE16A575 25808DEC
    59964465 DF39135C CBCF283A 50A13119 FD8FBEFD
    32D5E598 50904A27 7EEA3964 4503E8F1 
  0203
    010001

4、在R2上配置VTY用户界面，设置用户的验证方式为AAA授权认证方式。

[R2]user-interface vty 0 4  
[R2-ui-vty0-4]authentication-mode aaa

5、指定VTY类型用户界面只支持SSH协议，设备将自动禁止Telnet功能。

[R2-ui-vty0-4]protocol inbound ssh

6、使用Local-user命令创建本地用户和用户口令，并以密文方式显示用户口令，指定用户名为huawei,密码为huawei。并创建用户优先级。

[R2]aaa 
[R2-aaa]local-user huawei password cipher huawei
Info: Add a new user.
[R2-aaa]local-user huawei privilege level 3

7、配置本地用户的接入类型为SSH

[R2-aaa]local-user huawei service-type ssh

8、使用ssh user命令新建SSH用户，用户名为huawei,指定SSH用户的认证方式为Password，即密码认证方式(默认就是密码认证方式)。

[R2]ssh user huawei authentication-type password
 Authentication type setted, and will be in effect next time #提示设置完成

9、开启设备的SSH服务器功能(默认情况下处于关闭状态)

[R2]stelnet server enable 
Info: Succeeded in starting the STELNET server.

10、配置完成后，使用display ssh user-information huawei命令在SSH服务器端查看SSH用户的配置信息。如果不在命令末尾指定SSH用户，则可以查看SSH服务器端所有的SSH用户配置信息。

[R2]display ssh user-information huawei
 ---------------------------------------------------------------------------

 Username         Auth-type          User-public-key-name
 ---------------------------------------------------------------------------
 huawei           password           null                           
 ---------------------------------------------------------------------------

11、使用display ssh server status命令，可以查看SSH服务器全局配置信息。

[R2]display ssh server status 
 SSH version                         :1.99  
 SSH connection timeout              :60 seconds
 SSH server key generating interval  :0 hours
 SSH Authentication retries          :3 times
 SFTP Server                         :Disable
 Stelnet server                      :Enable

6.3.5.3 配置SSH Client¶

1、当SSH用户端第一次登录SSH服务器时，用户端还没有保存SSH服务器的RSA公钥，会对服务器的RSA有效性公钥检查失败，从而导致登录服务器失败。因此当用户端R1首次登录时，需要开启SSH用户端首次认证功能，不对SSH服务器的RSA公钥进行有效性检查。

[R1]ssh client first-time enable

2、登录测试

[R1]stelnet 10.1.1.2
Please input the username:huawei
Trying 10.1.1.2 ...
Press CTRL+K to abort
Connected to 10.1.1.2 ...
The server is not authenticated. Continue to access it? (y/n)[n]:y
#提示服务器没有被认证，询问是否需要继续访问，这里选择Y
Jan 19 2022 19:08:59-08:00 R1 %%01SSH/4/CONTINUE_KEYEXCHANGE(l)[1]:The server ha
d not been authenticated in the process of exchanging keys. When deciding whethe
r to continue, the user chose Y. 
[R1]
Save the server's public key? (y/n)[n]:y
#这里提示是否保存服务器的公钥，这里选择Y
The server's public key will be saved with the name 10.1.1.2. Please wait...

Jan 19 2022 19:09:05-08:00 R1 %%01SSH/4/SAVE_PUBLICKEY(l)[2]:When deciding wheth
er to save the server's public key 10.1.1.2, the user chose Y. 
[R1]
Enter password:
<R2>

3、R1远程登录R2成功后，使用display ssh server session命令查看SSH服务器端的当前会话连接信息。

<R2>display ssh server session
 --------------------------------------------------------------------
 Conn   Ver   Encry     State  Auth-type        Username
 --------------------------------------------------------------------
 VTY 0  2.0   AES       run    password         huawei                          
 --------------------------------------------------------------------

4、如果想要退出登录，使用quit命令即可。

6.3.5.4 配置SFTP Server与Client¶

1、在R2进入AAA视图，创建一个名称为huawei2的用户，并配置密码为huawei2,以密文方式显示。同时设置该用户优先级为3(管理级)。

[R2]aaa
[R2-aaa]local-user huawei2 password cipher huawei2 privilege level 3 
Info: Add a new user.

2、配置本地用户的接入类型为SSH

[R2-aaa]local-user huawei2 service-type ssh

3、指定FTP用户的可访问目录。默认为空，如果不配置，FTP用户将无法登录。

[R2-aaa]local-user huawei2 ftp-directory flash:

4、使用ssh user命令新建SSH用户，用户名为huawei2,指定SSH用户的认证方式为Password,即密码认证方式。(认证方式默认就是密码认证方式)

[R2]ssh user huawei2 authentication-type password

5、使用sftp server enable命令开启SFTP服务器功能

[R2]sftp server enable 
Info: Succeeded in starting the SFTP server.

6、配置完成后使用命令display ssh server status查看SSH服务器的配置信息

[R2]display ssh server status 
 SSH version                         :1.99  
 SSH connection timeout              :60 seconds
 SSH server key generating interval  :0 hours
 SSH Authentication retries          :3 times
 SFTP Server                         :Enable
 Stelnet server                      :Enable

7、测试是否能够成功登录到SSH服务器上，在R1系统视图上使用sftp 10.1.1.2命令连接SSH服务器，并输入用户名huawei2和口令huawei2

[R1]sftp 10.1.1.2
Please input the username:huawei2
Trying 10.1.1.2 ...
Press CTRL+K to abort
Enter password:
sftp-client>

8、在R2上使用命令display ssh server session命令查看SSH会话连接信息

<R2>display ssh server session 
 --------------------------------------------------------------------
 Conn   Ver   Encry     State  Auth-type        Username
 --------------------------------------------------------------------
 VTY 0  2.0   AES       run    password         huawei2                         
 --------------------------------------------------------------------

9、退出直接quit命令即可

6.4 思考¶

6.4.1 开启SSH用户端首次认证功能有什么缺陷？¶

答:开启SSH客户端首次认证功能时，不对SSH服务器的RSA公钥进行有效性检查。当客户端主机需要与服务器建立连接时，第三方攻击者冒充真正的服务器，与客户端进行数据交互，窃取客户端主机的安全信息，并利用这些信息去登录真正的服务器，获取服务器资源，或对服务器进行攻击。

6.4.2 如果不能开启SSH用户端首次认证功能如何在用户端远程成功登录？¶

答:如果不开启，可用拷贝粘贴方式将服务器上RSA公钥配置到客户端保存。具体操作如下： 1、在R2上使用display rsa local-key-pair public命令查看客户端的公钥并复制下来

<R2>display rsa local-key-pair public 

=====================================================
Time of Key pair created: 2022-01-19 20:06:50-08:00
Key name: Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
  0240
    AEC7A020 03EC2D1B C79A5032 456A2265 8BEB4681
    CD3906E4 B9BFE28F 956514FD BBA36E0F 91029C81
    132695EB 902BFB92 64173FBF CCA5C7A9 7B36C6E3
    230A1CD1 
  0203
    010001
#以上公钥复制，留作备用
=====================================================
Time of Key pair created: 2022-01-19 20:06:53-08:00
Key name: Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
  0260
    B9548A95 ED65D885 721DDCBD EB2C469F 949C5FCF
    2D6E1B4F CC34D9F4 8BFA751D 29D23EAE 33AB153B
    2E8A7570 5B2D78F1 64061447 90E68852 2849D676
    A7785DE3 45FD1561 77983A94 E3E85F09 4CBFC403
    123CAE42 53985EF4 762CB696 C6A71807 
  0203
    010001

2、在R1上rsa peer-public-key 10.1.1.2 命令用来进入RSA公共密钥视图，并指定RSA公共密钥名称；同时使用public-key-code begin 命令用来进入公共密钥编辑视图，把上面复制的密钥粘贴进去后，使用public-key-code end 命令关闭公共密钥编辑视图，最后使用peer-public-key end命令关闭RSA公共密钥视图。

[R1]rsa peer-public-key 10.1.1.2    #这里10.1.1.2代表的是公钥名字，不是地址
[R1-rsa-public-key]public-key-code begin 
Enter "RSA key code" view, return last view with "public-key-code end".
[R1-rsa-key-code]3047
[R1-rsa-key-code]
[R1-rsa-key-code]  0240
[R1-rsa-key-code]
[R1-rsa-key-code]    AEC7A020 03EC2D1B C79A5032 456A2265 8BEB4681
[R1-rsa-key-code]
[R1-rsa-key-code]    CD3906E4 B9BFE28F 956514FD BBA36E0F 91029C81
[R1-rsa-key-code]
[R1-rsa-key-code]    132695EB 902BFB92 64173FBF CCA5C7A9 7B36C6E3
[R1-rsa-key-code]
[R1-rsa-key-code]    230A1CD1 
[R1-rsa-key-code]
[R1-rsa-key-code]  0203
[R1-rsa-key-code]
[R1-rsa-key-code]    010001
[R1-rsa-key-code]public-key-code end 
[R1-rsa-public-key]peer-public-key end

3、使用ssh client assign命令在SSH客户端上指定要连接的SSH服务器端的主机公钥名称

[R1]ssh client 10.1.1.2 assign rsa-key 10.1.1.2 
#前面10.1.1.2代表SSH服务器的地址(或名字)，后面的10.1.1.2代表公钥名字

七、配置通过FTP进行文件操作¶

7.1 FTP介绍¶

1、FTP(File Transfer Protocol,文件传输协议)是在TCP/IP网络和Internet上最早使用的协议之一，在TCP/IP协议族中属于应用层协议，是文件传输的Internet标准。其主要功能是向用户提供本地和远程主机之间的文件传输协议，尤其是在进行版本升级、日志下载和配置保存等业务操作时。 2、FTP采用C/S(Client/Server)结构。FTP Server能够提供远程用户端访问和操作的功能，用户可以通过主机或者其他设备上的FTP用户端程序登录到服务器上，进行文件的上传、下载和目录访问等操作。

7.2 FTP实验¶

7.2.1 实验目的¶

1、理解FTP的应用场景 2、掌握操作FTP服务器的常见命令 3、掌握保存文件到FTP的方法 4、掌握获取FTP服务器文件到本地的方法 5、掌握配置路由器为FTP服务器的方法

7.2.2 实验内容¶

本实验模拟企业网络。PC-1为FTP用户端设备，需要访问FTP Server,从服务器上下载或上传文件。出于安全角度考虑，为防止服务器被病毒文件感染，不允许用户端直接上传文件到Server。网络管理员在R1上设置了限制，使员工不能上传文件到Server,但是可以从Server下载文件。R1也需要作为用户端从Server下载更新文件，同时配置R1作为FTP服务器，员工可上传文件到R1上，经过管理员的检测后由R1再上传到FTP Server。

7.2.3 实验拓扑¶

配置通过FTP进行文件操作拓扑

7.2.4 实验编址¶

设备	接口	IP地址	子网掩码	默认网关
PC-1	Ethernet0/0/0	10.0.1.1	255.255.255.0	10.0.1.254
FTP Server	Ethernet0/0/0	10.0.2.1	255.255.255.0	10.0.2.254
R1(AR2220)	GE0/0/0	10.0.1.254	255.255.255.0	N/A
R1(AR2220)	GE0/0/1	10.0.2.254	255.255.255.0	N/A

7.2.5 实验步骤¶

7.2.5.1 基本配置¶

根据实验编址表进行相应的基本配置，并使用Ping命令检测各直连链路的连通性。

7.2.5.2 配置路由器为FTP Client¶

1、在本地电脑上创建一个文件夹FTP-Huawei作为FTP服务器的文件夹，在该文件夹下再创建子文件夹Config,并创建测试文件test.txt 2、创建完成后，设置FTP服务器的文件为刚才的主文件夹目录，并启动FTP Server。

设置FTP服务器文件根目录

3、在R1上使用ftp命令连接服务器。登录时默认需要输入用户名和密码，由于服务器上没有设置用户名和密码，每次在R1上输入时等同于创建该用户名和密码，本次使用用户名为10.0.2.1，密码hauwei

<R1>ftp 10.0.2.1 21
Trying 10.0.2.1 ...

Press CTRL+K to abort
Error: Failed to connect to the remote host.

<R1>ftp 10.0.2.1 21
Trying 10.0.2.1 ...

Press CTRL+K to abort
Connected to 10.0.2.1.
220 FtpServerTry FtpD for free 
User(10.0.2.1:(none)):10.0.2.1
331 Password required for 10.0.2.1 .
Enter password:
230 User 10.0.2.1 logged in , proceed

[R1-ftp]

4、登录成功后，使用ls命令查看FTP服务器文件夹状态

[R1-ftp]ls
200 Port command okay.
150 Opening ASCII NO-PRINT mode data connection for ls -l.
Config
226 Transfer finished successfully. Data connection closed.
FTP: 8 byte(s) received in 0.140 second(s) 57.14byte(s)/sec.

5、登录成功后，使用cd命令进入文件夹Config

[R1-ftp]cd Config
250 "/Config" is current directory.

6、进入文件夹Config后，使用dir命令查看详细的文件属性

[R1-ftp]dir
200 Port command okay.
150 Opening ASCII NO-PRINT mode data connection for ls -l.
-rwxrwxrwx  1 10.0.2.1  nogroup            0 Jan 20  2022 test.txt
226 Transfer finished successfully. Data connection closed.
FTP: 68 byte(s) received in 0.020 second(s) 3.40Kbyte(s)/sec.

7、使用get命令下载test.txt到本地路由器

[R1-ftp]get test.txt 
200 Port command okay.
150 Sending test.txt (0 bytes). Mode STREAM Type BINARY
226 Transfer finished successfully. Data connection closed.
FTP: 0 byte(s) received in 0.140 second(s) 0.00byte(s)/sec.

8、使用put命令上传test.txt到FTP服务器，命名为new.txt

[R1-ftp]put test.txt new.txt
200 Port command okay.
150 Opening BINARY data connection for new.txt
226 Transfer finished successfully. Data connection closed.
FTP: 0 byte(s) sent in 0.110 second(s) 0.00byte(s)/sec.

7.2.5.3 配置路由器为FTP Server¶

1、在上面的步骤中，路由器作为FTP Client已经成功从FTP Server上获取和上传了文件。 2、打开路由器R1的FTP服务器功能

<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]ftp server enable 
Info: Succeeded in starting the FTP server

3、设置FTP登录用户名为ftp,密码为huawei,设置文件夹目录"flash:"。配置FTP用户可访问的目录为"fash",用户优先级为15，服务类型为ftp.

[R1]aaa
[R1-aaa]local-user ftp password cipher huawei privilege level 15 
Info: Add a new user.
[R1-aaa]local-user ftp service-type ftp 
[R1-aaa]local-user ftp ftp-directory flash:

4、配置完成后，在本地创建测试文件test-user.txt,并设置用户终端信息。配置服务器地址为10.0.1.254，用户名为ftp,密码为huawei,然后单击"登录"按钮。

在PC-1上设置FTP服务器

5、在R1上使用dir查看目录下的文件

<R1>dir
Directory of flash:/

  Idx  Attr     Size(Byte)  Date        Time(LMT)  FileName 
    0  drw-              -  Jan 20 2022 01:12:35   dhcp
    1  -rw-        121,802  May 26 2014 09:20:58   portalpage.zip
    2  -rw-              0  Jan 20 2022 01:56:24   test.txt
    3  -rw-             15  Jan 20 2022 02:24:33   test-user.txt.txt
    4  -rw-          2,263  Jan 20 2022 01:12:29   statemach.efs
    5  -rw-        828,482  May 26 2014 09:20:58   sslvpn.zip

1,090,732 KB total (784,460 KB free)

7.3 思考¶

7.3.1 默认情况下，FTP服务器监听端口号是21，能否在路由器上变更此端口号？有什么好处？¶

答:(1)如果FTP服务未使能，用户可以变更FTP服务器监听端口号。如果变更端口号前FTP服务已经启动，则不能变更成功。需执行undo ftp server命令关闭FTP服务，再进行端口号变更。 (2)如果使用标准的监听端口号，可能会有攻击者不断访问此端口，导致带宽和服务器性能的下降，造成其他正常用户无法访问。所以可以重新配置FTP服务器的监听端口号，攻击者不知道FTP监听端口号的更改，有效防止了攻击者对FTP服务器的攻击。