图解:管理路由和交换设备的四种模式

原创
网络
作为一名网管员,在路由器、交换机上进行命令配置,可以说是最为平常的工作,其目的都是通过命令的执行和参数的调整,让路由器和交换机能够以网管员的要求去运行。

【51CTO.com 独家特稿】作为一名网管员,在路由器、交换机上进行命令配置,可以说是最为平常的工作,其目的都是通过命令的执行和参数的调整,让路由器和交换机能够以网管员的要求去运行。这几乎是网络管理员每天都要进行的操作,那管理网络设备都有哪几种方式,哪种管理方式更简单,哪种方式更高效?这其实主要是根据网络管理员的实际使用情况进行选择。下面就对网络路由和交换设备的管理模式进行简单的总结。

图1  使用SSH方式管理的网络拓扑

一、使用SSH(Secure Shell Protocol,安全外壳协议)方式进行管理。

1、Cisco网络设备的SSH配置

如图1所示为使用SSH方式管理网络设备的拓扑图,Cisco 4506和Cisco 3750通过Trunk线连接,远程PC通过SSH方式对Cisco 4506进行管理,其中Cisco 4506是通过端口3/1,和Cisco 3750的G1/0/25端口相连,两个端口都是光口。PC的IP地址为10.10.20.3/24,并和Cisco 3750的G1/0/1端口相连。Cisco 4506和Cisco 3750上的主要配置如下所示。

在Cisco 4506上的配置:

  1. interface GigabitEthernet3/1  
  2.  switchport trunk encapsulation dot1q  
  3.  switchport trunk allowed vlan 20,30-300  
  4.  switchport mode trunk  
  5. interface Vlan20  
  6.  ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置:

  1. interface GigabitEthernet1/0/1  
  2.  switchport access vlan 20  
  3.  switchport mode access  
  4. interface GigabitEthernet1/0/25  
  5.  switchport trunk encapsulation dot1q  
  6.  switchport trunk allowed vlan 20,30-300  
  7.  switchport mode trunk  
  8. interface Vlan20  
  9.  ip address 10.10.20.2 255.255.255.0 

由以上配置可以看出,Cisco 4506和Cisco 3750的管理Vlan的IP地址分别是10.10.20.1/24和10.10.20.2/24,Cisco 3750的G1/0/1端口位于VLAN 20中,并和电脑PC相连。这种情况下,Cisco 4506和Cisco 3750的三层Vlan20端口,和3750的G1/0/1其实都位于二层VLAN 20中。

要在PC上,通过SSH方式管理Cisco 4506交换机,还需要在4506上进行如下配置:

  1. Switcher(config)# hostname Cisco 4506  
  2. Cisco 4506 (config)# ip domain-name domainname.com  
  3.     //为交换机设置一个域名,也可以认为这个交换机是属于这个域  
  4. Cisco 4506 (config)# crypto key generate rsa  
  5.     //此命令是产生一对RSA密钥,同时启用SSH,如果你删除了RSA密钥,就会自动禁用该SSH服务  
  6. Cisco 4506 (config)# aaa new-model  
  7.     //启用认证,授权和审计(AAA)  
  8. Cisco 4506 (config)#username cisco password cisco  
  9.     //配置用户名和密码  
  10. Cisco 4506 (config)# ip ssh time-out 60  
  11.     //配置SSH的超时周期  
  12. Cisco 4506 (config)# ip ssh authentication-retries 2  
  13.     //配置允许SSH验证的次数  
  14. Cisco 4506 (config)# line vty 0 15  
  15. Cisco 4506 (config-line)# transport input SSH  
  16.     //在虚拟终端连接中应用SSH 

需要注意的是,在运行上面的配置命令前,要先确认你的交换机和路由器是不是支持SSH功能。一般在交换机或路由器的Enable模式下通过命令show ip ssh就可以查看,如在图1的Cisco 4506中执行如下命令:

  1. Cisco 4506#sh ip ssh       
  2.     SSH Disabled - version 1.99  
  3. %Please create RSA keys to enable SSH.  
  4. Authentication timeout: 120 secs; Authentication retries: 3 

由上面的输出可以看出,Cisco 4506支持SSH功能,只是还没有启用而已。

而在Cisco 3750上执行如上命令后会得到如下显示:

  1. Cisco3750#sh ip ssh  
  2.                   ^  
  3. % Invalid input detected at '^' marker. 

由上面的输出可以看出,图1中的3750并不支持SSH功能。

图2  虚拟终端上的参数配置

配置完上面的命令后,就可以在电脑PC上测试你的配置。首先,要在PC上安装有SSH终端客户端程序,如SecureCRT,然后在SecureCRT中进行相应的设置,如图2所示,然后点击"Connect"按钮,按提示输入用户名cisco及密码cisco,即可进入到Cisco 4506交换机的配置界面。

2、H3C网络设备的SSH配置

H3C网络设备SSH的配置,在原理上和在思科设备上的配置一样,只是在命令上有差别而已,下面就以H3C S3100-52TP-SI交换机为例,说明如何在H3C交换机上配置SSH。

  1. <H3C-S3100> system-view  
  2. [H3C-S3100] public-key local create rsa  
  3.   //生成RSA密钥对  
  4. [H3C-S3100] public-key local create dsa  
  5.   //生成DSA密钥对    
  6. [H3C-S3100] ssh server enable  
  7.     //启动SSH服务器  
  8. [H3C-S3100] user-interface vty 0 4  
  9. [H3C-S3100-ui-vty0-4] authentication-mode scheme  
  10.     //设置SSH客户端登录用户界面的认证方式为AAA认证  
  11. [H3C-S3100-ui-vty0-4] protocol inbound ssh  
  12.     //设置H3C-S3100上远程用户登录协议为SSH  
  13. [H3C-S3100] local-user admin  
  14. [H3C-S3100-luser-admin] password simple 12345  
  15. [H3C-S3100-luser-admin] service-type ssh level 3  
  16.     //创建本地用户admin,登录密码为12345,并设置用户访问的命令级别为3,即管理级用户  
  17. [H3C-S3100] ssh user admin authentication-type password  
  18.     //指定SSH用户admin的认证方式为password 

配置完上面的命令后,也可以使用SecureCRT,用SSH方式登录到H3C S3100-52TP-SI交换机上,输入用户名和密码后,就可以进行管理和配置。

3、SSH是建立在应用层和传输层基础上的安全协议,也是为解决Telnet的安全隐患而开发的一个协议。因为使用Telnet,在网络上是通过明文传送口令和数据的,"中间人"很容易截获这些口令和数据。而SSH是基于成熟的公钥密码体系,把所有的传输数据都进行加密,保证在数据传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式,解决传输中数据加密和身份认证的问题,能有效防止网络嗅探和IP地址欺骗等攻击。它也能为远程登录会话和其他网络服务提供安全协议,可以有效防止远程管理过程中的信息泄露问题。使用SSH,还有一个额外的好处就是数据的传输是经过压缩的,所以可以加快传输的速度。SSH还可以为FTP和PPP的使用提供一个安全的"通道"。

SSH协议已经历了SSH1和SSH2两个版本,它们使用了不同的协议来实现,二者互不兼容。SSH2无论是在安全上、功能上,还是在性能上都比SSH1有很大优势,所以目前使用最多的还是SSH2。#p#

二、使用WEB方式管理网络设备

H3C的路由、交换设备对WEB的管理支持比较好。但在用WEB方式进行管理配置之前,先要对路由、交换设备进行相应的配置。下面就以H3C S3100-8C-SI设备为例说明其相关配置,网络拓扑图如图3所示。

图3  管理H3C交换机的网络拓扑图

1、使用一条Console线,把电脑的串口和H3C S3100交换机的Console口相连,配置交换机管理VLAN的IP地址。

  1. <H3C> system-view  
  2. [H3C] interface Vlan-interface 2  
  3. //进入管理VLAN      
  4. [H3C-Vlan-interface2] undo ip address  
  5.       //取消管理VLAN原有的IP地址  
  6. [H3C-Vlan-interface2] ip address 10.10.2.1 255.255.255.0  
  7.       //配置以太网交换机管理VLAN的IP地址为10.10.2.1 

2、通过Console口,在交换机H3C S3100上配置欲登录的WEB管理用户的用户名和认证口令。添加以太网交换机的Web用户,用户级别设为3,即管理级别的用户。

  1. [H3C] local-user admin  
  2. //设置用户的用户名为admin  
  3. [H3C-luser-admin] service-type telnet level 3  
  4. //设置用户级别为3  
  5. [H3C-luser-admin] password simple admin  
  6. //设置用户admin的密码为admin 

3、配置交换机到网关的静态路由

  1. [H3C] ip route-static 0.0.0.0 0.0.0.0 10.10.2.254  
  2. //网关的IP地址为10.10.2.254  
  3. [H3C] undo ip http shutdown  
  4. //执行此命令确保http服务运行 

配置完上面的命令后,就可以在管理PC的浏览器中输入http://10.10.2.1,按回车键后,就可以看到如图4所示的,H3C交换机WEB管理登录界面,输入用户名和密码,并选择WEB管理界面的语言后回车,就可以看到如图5所示的管理界面,根据管理界面中的语言提示,就可以对交换机H3C S3100中的各项参数进行配置。

图4  H3C交换机WEB管理登入界面

需要注意的是,管理PC和H3C交换机的管理IP的10.10.2.1/24之间必须有可达路由,若路由不可达,那无论在管理PC的浏览器中输入怎样的IP地址也不能登录到H3C交换机的WEB管理界面。要验证在管理PC中到交换机的路由可达性,可以在管理PC的"命令行"中执行"ping 10.10.2.1"命令,若能ping成功的话,一般来说在管理PC和H3C交换机之间的路由是没有问题的。

图5  H3C交换机的管理配置界面#p#

三、使用Telnet方式管理网络设备

这种管理模式需要在路由、交换设备上配置的命令,比用SSH管理方式配置的命令更少。下面还是以图1的拓扑图为例,对交换机进行相应的配置,以便用户通过管理PC,用Telnet方式能够对Cisco 4506进行管理配置。

Cisco 4506和Cisco 3750上的管理VLAN 20的配置,和PC的IP地址,及其与3750相连端口的配置和"一"中用SSH方式管理的配置都一样,如下所示。

在Cisco 4506上的配置:

  1. interface GigabitEthernet3/1  
  2.  switchport trunk encapsulation dot1q  
  3.  switchport trunk allowed vlan 20,30-300  
  4.  switchport mode trunk  
  5. interface Vlan20  
  6.  ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置:

  1. interface GigabitEthernet1/0/1  
  2.  switchport access vlan 20  
  3.  switchport mode access  
  4. interface GigabitEthernet1/0/25  
  5.  switchport trunk encapsulation dot1q  
  6.  switchport trunk allowed vlan 20,30-300  
  7.  switchport mode trunk  
  8. interface Vlan20  
  9.  ip address 10.10.20.2 255.255.255.0 

要用Telnet方式管理设备,同时还要在Cisco 4506上进行如下的配置:

  1. line vty 0 15  
  2.  password  7  525E0305E3595551E4  
  3.  login 

在Cisco 4506和Cisco 3750上配置完以上的命令后,也可以使用电脑PC中的SecureCRT软件,Telnet到4506上对其进行管理和配置,在SecureCRT中,需要配置的参数也只有Cisco 4506的IP地址10.10.20.1/24,如图6所示:

图6  在SecureCRT虚拟终端软件上的参数配置

当然,也可以直接在电脑PC的"命令行"中,执行命令"telnet 10.10.20.1",同样可以Telnet到Cisco 4506交换机上,对其进行管理和配置。#p#

四、使用电脑的串口管理网络设备

图7 Cisco 3750的正面视图

如图7所示的是Cisco 3750的正面视图,一般交换机的电口和光口都位于交换机的正面,这种部署方便以后在设备上,进行网线和光缆的拔插。而管理配置交换机的Console口一般位于交换机的背面,如图8所示。

图8  Cisco 3750背面视图及通过Console口配置交换机

通过Console口直接连接到路由器,或交换机上,对其进行本地管理配置,也是一种安全、可靠的配置维护方式。当网络设备初次上电、与外部网络连接中断或出现其它异常情况时,通常采用这种方式配置网络设备。

将管理PC 的串口与网络设备的Console口连接,然后在管理PC 上运行终端仿真程序,如Windows系统中的超级终端,或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接,选择实际连接网络设备时,使用的管理PC上的串口,并配置终端通信的参数。默认情况下的参数都是:9600 波特、8 位数据位、1 位停止位、无校验、无流控。

最后,对路由器或交换机进行上电自检,系统会自动进行配置。自检结束后,系统会提示用户键入回车,直到出现命令行提示符,然后就可以键入命令,配置网络设备,或者查看其运行状态等。

另外,还可以通过配置以下参数,使通过Console口的管理更加安全和符合个性化的需求:

  1. line console 0  
  2.  exec-timeout 0 0  
  3.  password 7 12130F0501595C517E  
  4.  logging synchronous  
  5.  login 

命令"exec-timeout 0 0"表示永不超时。若把此命令中的最后一个"0"改为"10",则表示通过Console口登录后,无操作10秒后就会超时登出。这时若还想登入到交换机,就必须重新输入密码再次进行登录。这种功能可以避免因管理人员短时间离开,回来时还需要重新输入密码。尤其是在密码很复杂的情况下,使用这种命令更有效。但这种功能也存在不安全的因素,所以还是需要按需配置。

命令"logging synchronous"的功能是设置,在输入命令时不会被系统日志消息打断,即阻止烦人的控制台信息来打断你当前的输入,从而使输入的命令更加连续,显得更为易读。

命令"password 7 12130F0501595C517E"的功能,是配置管理PC在通过Console口登录交换机时,必须通过输入密码才能登入,这也是为了防止其他非授权的用户通过Console口访问路由器或者交换机。

五、总结

1、从安全角度考虑。首先,使用串口管理网络设备,是最安全的方式,因为它是用电脑和设备直接相连,而不是通过远程登录到设备上。配置的命令和关键性的口令只在设备和电脑之间直接传输,而不会通过其它的网络设备,这也从根本上杜绝了一些"中间人"的攻击。其次,若是使用SSH方式远程登录管理网络设备,也是比较安全的方式,因为SSH协议对所有的数据都进行了加密处理,而不是以明文的方式在网络上传输,若是对安全性要求很高的话,还可以结合SSH使用专门的认证服务器,结合公钥和私钥体制,也可以消除"中间人"的攻击威胁。最后,WEB管理方式和远程Telnet管理方式一般来说是最不安全的方式,不过WEB方式若是通过HTTPS方式进行管理的话,安全性基本和SSH方式一致。但是用HTTP方式管理,管理用户的电脑和网络设备之间所传输的数据也都是没经过加密的,不推荐使用这种方式。Telnet方式也是不安全的管理方式,目前在很多软件中默认都是不支持Telnet功能的,因为它给用户带来了很多潜在的威胁,像Windows 7默认安装完成后,是不能使用Telnet功能,这也是微软给用户考虑细致、周到的地方。若是用户的网络存在很多的安全风险和漏洞,就一定不要使用Telnet方式管理网络设备。

2、从易用性角度考虑。首先,WEB管理方式对网络设备进行管理,全都是以窗口界面进行操作,比较直观、容易理解和掌握。不过,WEB方式提供的可配置操作命令比较少,一般只有很少一部分常用的操作命令可以通过WEB方式操作完成,绝大部分的命令还得以命令行的方式进行配置。所以,一般很少能看到网络高手通过WEB方式,对网络设备进行管理配置,他们都是飞速的敲着各种命令,从而让网络设备以他们的要求去运行。

其次,若用户的网络环境非常安全的话,比如是一个小型,或中型的局域网,没有和外界的Internet进行连通的话,使用Telnet方式管理网络设备也是非常方便的。因为它需要在网络设备上配置的命令比较少,而且在管理PC上不需要安装特别的终端软件,基本上在Linux系统和Windows系统上都支持Telnet功能,这样就可以在网络中的任何一台PC上对所有的网络设备进行远程管理。最后,虽然WEB管理和Telnet方式易用,但是在目前复杂度不断提高的各种网络环境中,还是推荐用户使用SSH方式对网络设备进行配置,因为安全问题往往就发生在一些不严谨的操作规程当中,一个很小的安全问题很可能会导致全网的崩溃。所以,安全无小事!这句话同样适用于网络管理工作。

【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】 

责任编辑:佟健 来源: 51CTO.com
相关推荐

2022-01-05 08:30:31

BIONIO AIO

2018-12-05 16:25:14

2013-12-01 15:34:25

2011-06-01 17:35:35

Android Activity

2023-11-06 07:50:00

RabbitMQ交换机

2011-03-30 15:05:41

MRTG监控

2019-10-22 14:06:13

Docker软件Linux

2012-05-10 15:44:22

Windows 8磁盘

2019-10-23 05:08:55

docker网络模式网络协议

2016-09-06 16:53:55

2016-09-27 10:51:43

2022-03-15 11:01:39

KubernetesLinux平滑升级

2010-06-09 10:04:59

UML类图

2010-07-14 09:15:30

云计算模式

2023-02-09 10:39:15

gRPC通信模式

2017-08-01 23:44:25

数据分析数据科学数据

2018-10-26 08:40:20

2010-04-15 10:45:57

IE9渲染引擎

2019-03-08 10:36:13

云计算公共云云服务

2022-03-09 14:09:50

安全智能设备验证
点赞
收藏

51CTO技术栈公众号