【51CTO.com 独家特稿】作为一名网管员,在路由器、交换机上进行命令配置,可以说是最为平常的工作,其目的都是通过命令的执行和参数的调整,让路由器和交换机能够以网管员的要求去运行。这几乎是网络管理员每天都要进行的操作,那管理网络设备都有哪几种方式,哪种管理方式更简单,哪种方式更高效?这其实主要是根据网络管理员的实际使用情况进行选择。下面就对网络路由和交换设备的管理模式进行简单的总结。
图1 使用SSH方式管理的网络拓扑
一、使用SSH(Secure Shell Protocol,安全外壳协议)方式进行管理。
1、Cisco网络设备的SSH配置
如图1所示为使用SSH方式管理网络设备的拓扑图,Cisco 4506和Cisco 3750通过Trunk线连接,远程PC通过SSH方式对Cisco 4506进行管理,其中Cisco 4506是通过端口3/1,和Cisco 3750的G1/0/25端口相连,两个端口都是光口。PC的IP地址为10.10.20.3/24,并和Cisco 3750的G1/0/1端口相连。Cisco 4506和Cisco 3750上的主要配置如下所示。
在Cisco 4506上的配置:
- interface GigabitEthernet3/1
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.1 255.255.255.0
在Cisco 3750上的配置:
- interface GigabitEthernet1/0/1
- switchport access vlan 20
- switchport mode access
- interface GigabitEthernet1/0/25
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.2 255.255.255.0
由以上配置可以看出,Cisco 4506和Cisco 3750的管理Vlan的IP地址分别是10.10.20.1/24和10.10.20.2/24,Cisco 3750的G1/0/1端口位于VLAN 20中,并和电脑PC相连。这种情况下,Cisco 4506和Cisco 3750的三层Vlan20端口,和3750的G1/0/1其实都位于二层VLAN 20中。
要在PC上,通过SSH方式管理Cisco 4506交换机,还需要在4506上进行如下配置:
- Switcher(config)# hostname Cisco 4506
- Cisco 4506 (config)# ip domain-name domainname.com
- //为交换机设置一个域名,也可以认为这个交换机是属于这个域
- Cisco 4506 (config)# crypto key generate rsa
- //此命令是产生一对RSA密钥,同时启用SSH,如果你删除了RSA密钥,就会自动禁用该SSH服务
- Cisco 4506 (config)# aaa new-model
- //启用认证,授权和审计(AAA)
- Cisco 4506 (config)#username cisco password cisco
- //配置用户名和密码
- Cisco 4506 (config)# ip ssh time-out 60
- //配置SSH的超时周期
- Cisco 4506 (config)# ip ssh authentication-retries 2
- //配置允许SSH验证的次数
- Cisco 4506 (config)# line vty 0 15
- Cisco 4506 (config-line)# transport input SSH
- //在虚拟终端连接中应用SSH
需要注意的是,在运行上面的配置命令前,要先确认你的交换机和路由器是不是支持SSH功能。一般在交换机或路由器的Enable模式下通过命令show ip ssh就可以查看,如在图1的Cisco 4506中执行如下命令:
- Cisco 4506#sh ip ssh
- SSH Disabled - version 1.99
- %Please create RSA keys to enable SSH.
- Authentication timeout: 120 secs; Authentication retries: 3
由上面的输出可以看出,Cisco 4506支持SSH功能,只是还没有启用而已。
而在Cisco 3750上执行如上命令后会得到如下显示:
- Cisco3750#sh ip ssh
- ^
- % Invalid input detected at '^' marker.
由上面的输出可以看出,图1中的3750并不支持SSH功能。
图2 虚拟终端上的参数配置
配置完上面的命令后,就可以在电脑PC上测试你的配置。首先,要在PC上安装有SSH终端客户端程序,如SecureCRT,然后在SecureCRT中进行相应的设置,如图2所示,然后点击"Connect"按钮,按提示输入用户名cisco及密码cisco,即可进入到Cisco 4506交换机的配置界面。
2、H3C网络设备的SSH配置
H3C网络设备SSH的配置,在原理上和在思科设备上的配置一样,只是在命令上有差别而已,下面就以H3C S3100-52TP-SI交换机为例,说明如何在H3C交换机上配置SSH。
- <H3C-S3100> system-view
- [H3C-S3100] public-key local create rsa
- //生成RSA密钥对
- [H3C-S3100] public-key local create dsa
- //生成DSA密钥对
- [H3C-S3100] ssh server enable
- //启动SSH服务器
- [H3C-S3100] user-interface vty 0 4
- [H3C-S3100-ui-vty0-4] authentication-mode scheme
- //设置SSH客户端登录用户界面的认证方式为AAA认证
- [H3C-S3100-ui-vty0-4] protocol inbound ssh
- //设置H3C-S3100上远程用户登录协议为SSH
- [H3C-S3100] local-user admin
- [H3C-S3100-luser-admin] password simple 12345
- [H3C-S3100-luser-admin] service-type ssh level 3
- //创建本地用户admin,登录密码为12345,并设置用户访问的命令级别为3,即管理级用户
- [H3C-S3100] ssh user admin authentication-type password
- //指定SSH用户admin的认证方式为password
配置完上面的命令后,也可以使用SecureCRT,用SSH方式登录到H3C S3100-52TP-SI交换机上,输入用户名和密码后,就可以进行管理和配置。
3、SSH是建立在应用层和传输层基础上的安全协议,也是为解决Telnet的安全隐患而开发的一个协议。因为使用Telnet,在网络上是通过明文传送口令和数据的,"中间人"很容易截获这些口令和数据。而SSH是基于成熟的公钥密码体系,把所有的传输数据都进行加密,保证在数据传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式,解决传输中数据加密和身份认证的问题,能有效防止网络嗅探和IP地址欺骗等攻击。它也能为远程登录会话和其他网络服务提供安全协议,可以有效防止远程管理过程中的信息泄露问题。使用SSH,还有一个额外的好处就是数据的传输是经过压缩的,所以可以加快传输的速度。SSH还可以为FTP和PPP的使用提供一个安全的"通道"。
SSH协议已经历了SSH1和SSH2两个版本,它们使用了不同的协议来实现,二者互不兼容。SSH2无论是在安全上、功能上,还是在性能上都比SSH1有很大优势,所以目前使用最多的还是SSH2。#p#
二、使用WEB方式管理网络设备
H3C的路由、交换设备对WEB的管理支持比较好。但在用WEB方式进行管理配置之前,先要对路由、交换设备进行相应的配置。下面就以H3C S3100-8C-SI设备为例说明其相关配置,网络拓扑图如图3所示。
图3 管理H3C交换机的网络拓扑图
1、使用一条Console线,把电脑的串口和H3C S3100交换机的Console口相连,配置交换机管理VLAN的IP地址。
- <H3C> system-view
- [H3C] interface Vlan-interface 2
- //进入管理VLAN
- [H3C-Vlan-interface2] undo ip address
- //取消管理VLAN原有的IP地址
- [H3C-Vlan-interface2] ip address 10.10.2.1 255.255.255.0
- //配置以太网交换机管理VLAN的IP地址为10.10.2.1
2、通过Console口,在交换机H3C S3100上配置欲登录的WEB管理用户的用户名和认证口令。添加以太网交换机的Web用户,用户级别设为3,即管理级别的用户。
- [H3C] local-user admin
- //设置用户的用户名为admin
- [H3C-luser-admin] service-type telnet level 3
- //设置用户级别为3
- [H3C-luser-admin] password simple admin
- //设置用户admin的密码为admin
3、配置交换机到网关的静态路由
- [H3C] ip route-static 0.0.0.0 0.0.0.0 10.10.2.254
- //网关的IP地址为10.10.2.254
- [H3C] undo ip http shutdown
- //执行此命令确保http服务运行
配置完上面的命令后,就可以在管理PC的浏览器中输入http://10.10.2.1,按回车键后,就可以看到如图4所示的,H3C交换机WEB管理登录界面,输入用户名和密码,并选择WEB管理界面的语言后回车,就可以看到如图5所示的管理界面,根据管理界面中的语言提示,就可以对交换机H3C S3100中的各项参数进行配置。
图4 H3C交换机WEB管理登入界面
需要注意的是,管理PC和H3C交换机的管理IP的10.10.2.1/24之间必须有可达路由,若路由不可达,那无论在管理PC的浏览器中输入怎样的IP地址也不能登录到H3C交换机的WEB管理界面。要验证在管理PC中到交换机的路由可达性,可以在管理PC的"命令行"中执行"ping 10.10.2.1"命令,若能ping成功的话,一般来说在管理PC和H3C交换机之间的路由是没有问题的。
图5 H3C交换机的管理配置界面#p#
三、使用Telnet方式管理网络设备
这种管理模式需要在路由、交换设备上配置的命令,比用SSH管理方式配置的命令更少。下面还是以图1的拓扑图为例,对交换机进行相应的配置,以便用户通过管理PC,用Telnet方式能够对Cisco 4506进行管理配置。
Cisco 4506和Cisco 3750上的管理VLAN 20的配置,和PC的IP地址,及其与3750相连端口的配置和"一"中用SSH方式管理的配置都一样,如下所示。
在Cisco 4506上的配置:
- interface GigabitEthernet3/1
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.1 255.255.255.0
在Cisco 3750上的配置:
- interface GigabitEthernet1/0/1
- switchport access vlan 20
- switchport mode access
- interface GigabitEthernet1/0/25
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.2 255.255.255.0
要用Telnet方式管理设备,同时还要在Cisco 4506上进行如下的配置:
- line vty 0 15
- password 7 525E0305E3595551E4
- login
在Cisco 4506和Cisco 3750上配置完以上的命令后,也可以使用电脑PC中的SecureCRT软件,Telnet到4506上对其进行管理和配置,在SecureCRT中,需要配置的参数也只有Cisco 4506的IP地址10.10.20.1/24,如图6所示:
图6 在SecureCRT虚拟终端软件上的参数配置
当然,也可以直接在电脑PC的"命令行"中,执行命令"telnet 10.10.20.1",同样可以Telnet到Cisco 4506交换机上,对其进行管理和配置。#p#
四、使用电脑的串口管理网络设备
图7 Cisco 3750的正面视图
如图7所示的是Cisco 3750的正面视图,一般交换机的电口和光口都位于交换机的正面,这种部署方便以后在设备上,进行网线和光缆的拔插。而管理配置交换机的Console口一般位于交换机的背面,如图8所示。
图8 Cisco 3750背面视图及通过Console口配置交换机
通过Console口直接连接到路由器,或交换机上,对其进行本地管理配置,也是一种安全、可靠的配置维护方式。当网络设备初次上电、与外部网络连接中断或出现其它异常情况时,通常采用这种方式配置网络设备。
将管理PC 的串口与网络设备的Console口连接,然后在管理PC 上运行终端仿真程序,如Windows系统中的超级终端,或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接,选择实际连接网络设备时,使用的管理PC上的串口,并配置终端通信的参数。默认情况下的参数都是:9600 波特、8 位数据位、1 位停止位、无校验、无流控。
最后,对路由器或交换机进行上电自检,系统会自动进行配置。自检结束后,系统会提示用户键入回车,直到出现命令行提示符,然后就可以键入命令,配置网络设备,或者查看其运行状态等。
另外,还可以通过配置以下参数,使通过Console口的管理更加安全和符合个性化的需求:
- line console 0
- exec-timeout 0 0
- password 7 12130F0501595C517E
- logging synchronous
- login
命令"exec-timeout 0 0"表示永不超时。若把此命令中的最后一个"0"改为"10",则表示通过Console口登录后,无操作10秒后就会超时登出。这时若还想登入到交换机,就必须重新输入密码再次进行登录。这种功能可以避免因管理人员短时间离开,回来时还需要重新输入密码。尤其是在密码很复杂的情况下,使用这种命令更有效。但这种功能也存在不安全的因素,所以还是需要按需配置。
命令"logging synchronous"的功能是设置,在输入命令时不会被系统日志消息打断,即阻止烦人的控制台信息来打断你当前的输入,从而使输入的命令更加连续,显得更为易读。
命令"password 7 12130F0501595C517E"的功能,是配置管理PC在通过Console口登录交换机时,必须通过输入密码才能登入,这也是为了防止其他非授权的用户通过Console口访问路由器或者交换机。
五、总结
1、从安全角度考虑。首先,使用串口管理网络设备,是最安全的方式,因为它是用电脑和设备直接相连,而不是通过远程登录到设备上。配置的命令和关键性的口令只在设备和电脑之间直接传输,而不会通过其它的网络设备,这也从根本上杜绝了一些"中间人"的攻击。其次,若是使用SSH方式远程登录管理网络设备,也是比较安全的方式,因为SSH协议对所有的数据都进行了加密处理,而不是以明文的方式在网络上传输,若是对安全性要求很高的话,还可以结合SSH使用专门的认证服务器,结合公钥和私钥体制,也可以消除"中间人"的攻击威胁。最后,WEB管理方式和远程Telnet管理方式一般来说是最不安全的方式,不过WEB方式若是通过HTTPS方式进行管理的话,安全性基本和SSH方式一致。但是用HTTP方式管理,管理用户的电脑和网络设备之间所传输的数据也都是没经过加密的,不推荐使用这种方式。Telnet方式也是不安全的管理方式,目前在很多软件中默认都是不支持Telnet功能的,因为它给用户带来了很多潜在的威胁,像Windows 7默认安装完成后,是不能使用Telnet功能,这也是微软给用户考虑细致、周到的地方。若是用户的网络存在很多的安全风险和漏洞,就一定不要使用Telnet方式管理网络设备。
2、从易用性角度考虑。首先,WEB管理方式对网络设备进行管理,全都是以窗口界面进行操作,比较直观、容易理解和掌握。不过,WEB方式提供的可配置操作命令比较少,一般只有很少一部分常用的操作命令可以通过WEB方式操作完成,绝大部分的命令还得以命令行的方式进行配置。所以,一般很少能看到网络高手通过WEB方式,对网络设备进行管理配置,他们都是飞速的敲着各种命令,从而让网络设备以他们的要求去运行。
其次,若用户的网络环境非常安全的话,比如是一个小型,或中型的局域网,没有和外界的Internet进行连通的话,使用Telnet方式管理网络设备也是非常方便的。因为它需要在网络设备上配置的命令比较少,而且在管理PC上不需要安装特别的终端软件,基本上在Linux系统和Windows系统上都支持Telnet功能,这样就可以在网络中的任何一台PC上对所有的网络设备进行远程管理。最后,虽然WEB管理和Telnet方式易用,但是在目前复杂度不断提高的各种网络环境中,还是推荐用户使用SSH方式对网络设备进行配置,因为安全问题往往就发生在一些不严谨的操作规程当中,一个很小的安全问题很可能会导致全网的崩溃。所以,安全无小事!这句话同样适用于网络管理工作。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】