圖解:管理路由和交換設備的四種模式
原創【51CTO.com 獨家特稿】作為一名網管員,在路由器、交換機上進行命令配置,可以說是最為平常的工作,其目的都是通過命令的執行和參數的調整,讓路由器和交換機能夠以網管員的要求去運行。這幾乎是網絡管理員每天都要進行的操作,那管理網絡設備都有哪幾種方式,哪種管理方式更簡單,哪種方式更高效?這其實主要是根據網絡管理員的實際使用情況進行選擇。下面就對網絡路由和交換設備的管理模式進行簡單的總結。
圖1 使用SSH方式管理的網絡拓撲
一、使用SSH(Secure Shell Protocol,安全外殼協議)方式進行管理。
1、Cisco網絡設備的SSH配置
如圖1所示為使用SSH方式管理網絡設備的拓撲圖,Cisco 4506和Cisco 3750通過Trunk線連接,遠程PC通過SSH方式對Cisco 4506進行管理,其中Cisco 4506是通過端口3/1,和Cisco 3750的G1/0/25端口相連,兩個端口都是光口。PC的IP地址為10.10.20.3/24,并和Cisco 3750的G1/0/1端口相連。Cisco 4506和Cisco 3750上的主要配置如下所示。
在Cisco 4506上的配置:
- interface GigabitEthernet3/1
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.1 255.255.255.0
在Cisco 3750上的配置:
- interface GigabitEthernet1/0/1
- switchport access vlan 20
- switchport mode access
- interface GigabitEthernet1/0/25
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.2 255.255.255.0
由以上配置可以看出,Cisco 4506和Cisco 3750的管理Vlan的IP地址分別是10.10.20.1/24和10.10.20.2/24,Cisco 3750的G1/0/1端口位于VLAN 20中,并和電腦PC相連。這種情況下,Cisco 4506和Cisco 3750的三層Vlan20端口,和3750的G1/0/1其實都位于二層VLAN 20中。
要在PC上,通過SSH方式管理Cisco 4506交換機,還需要在4506上進行如下配置:
- Switcher(config)# hostname Cisco 4506
- Cisco 4506 (config)# ip domain-name domainname.com
- //為交換機設置一個域名,也可以認為這個交換機是屬于這個域
- Cisco 4506 (config)# crypto key generate rsa
- //此命令是產生一對RSA密鑰,同時啟用SSH,如果你刪除了RSA密鑰,就會自動禁用該SSH服務
- Cisco 4506 (config)# aaa new-model
- //啟用認證,授權和審計(AAA)
- Cisco 4506 (config)#username cisco password cisco
- //配置用戶名和密碼
- Cisco 4506 (config)# ip ssh time-out 60
- //配置SSH的超時周期
- Cisco 4506 (config)# ip ssh authentication-retries 2
- //配置允許SSH驗證的次數
- Cisco 4506 (config)# line vty 0 15
- Cisco 4506 (config-line)# transport input SSH
- //在虛擬終端連接中應用SSH
需要注意的是,在運行上面的配置命令前,要先確認你的交換機和路由器是不是支持SSH功能。一般在交換機或路由器的Enable模式下通過命令show ip ssh就可以查看,如在圖1的Cisco 4506中執行如下命令:
- Cisco 4506#sh ip ssh
- SSH Disabled - version 1.99
- %Please create RSA keys to enable SSH.
- Authentication timeout: 120 secs; Authentication retries: 3
由上面的輸出可以看出,Cisco 4506支持SSH功能,只是還沒有啟用而已。
而在Cisco 3750上執行如上命令后會得到如下顯示:
- Cisco3750#sh ip ssh
- ^
- % Invalid input detected at '^' marker.
由上面的輸出可以看出,圖1中的3750并不支持SSH功能。
圖2 虛擬終端上的參數配置
配置完上面的命令后,就可以在電腦PC上測試你的配置。首先,要在PC上安裝有SSH終端客戶端程序,如SecureCRT,然后在SecureCRT中進行相應的設置,如圖2所示,然后點擊"Connect"按鈕,按提示輸入用戶名cisco及密碼cisco,即可進入到Cisco 4506交換機的配置界面。
2、H3C網絡設備的SSH配置
H3C網絡設備SSH的配置,在原理上和在思科設備上的配置一樣,只是在命令上有差別而已,下面就以H3C S3100-52TP-SI交換機為例,說明如何在H3C交換機上配置SSH。
- <H3C-S3100> system-view
- [H3C-S3100] public-key local create rsa
- //生成RSA密鑰對
- [H3C-S3100] public-key local create dsa
- //生成DSA密鑰對
- [H3C-S3100] ssh server enable
- //啟動SSH服務器
- [H3C-S3100] user-interface vty 0 4
- [H3C-S3100-ui-vty0-4] authentication-mode scheme
- //設置SSH客戶端登錄用戶界面的認證方式為AAA認證
- [H3C-S3100-ui-vty0-4] protocol inbound ssh
- //設置H3C-S3100上遠程用戶登錄協議為SSH
- [H3C-S3100] local-user admin
- [H3C-S3100-luser-admin] password simple 12345
- [H3C-S3100-luser-admin] service-type ssh level 3
- //創建本地用戶admin,登錄密碼為12345,并設置用戶訪問的命令級別為3,即管理級用戶
- [H3C-S3100] ssh user admin authentication-type password
- //指定SSH用戶admin的認證方式為password
配置完上面的命令后,也可以使用SecureCRT,用SSH方式登錄到H3C S3100-52TP-SI交換機上,輸入用戶名和密碼后,就可以進行管理和配置。
3、SSH是建立在應用層和傳輸層基礎上的安全協議,也是為解決Telnet的安全隱患而開發的一個協議。因為使用Telnet,在網絡上是通過明文傳送口令和數據的,"中間人"很容易截獲這些口令和數據。而SSH是基于成熟的公鑰密碼體系,把所有的傳輸數據都進行加密,保證在數據傳輸時不被惡意破壞、泄露和篡改。SSH還使用了多種加密和認證方式,解決傳輸中數據加密和身份認證的問題,能有效防止網絡嗅探和IP地址欺騙等攻擊。它也能為遠程登錄會話和其他網絡服務提供安全協議,可以有效防止遠程管理過程中的信息泄露問題。使用SSH,還有一個額外的好處就是數據的傳輸是經過壓縮的,所以可以加快傳輸的速度。SSH還可以為FTP和PPP的使用提供一個安全的"通道"。
SSH協議已經歷了SSH1和SSH2兩個版本,它們使用了不同的協議來實現,二者互不兼容。SSH2無論是在安全上、功能上,還是在性能上都比SSH1有很大優勢,所以目前使用最多的還是SSH2。#p#
二、使用WEB方式管理網絡設備
H3C的路由、交換設備對WEB的管理支持比較好。但在用WEB方式進行管理配置之前,先要對路由、交換設備進行相應的配置。下面就以H3C S3100-8C-SI設備為例說明其相關配置,網絡拓撲圖如圖3所示。
圖3 管理H3C交換機的網絡拓撲圖
1、使用一條Console線,把電腦的串口和H3C S3100交換機的Console口相連,配置交換機管理VLAN的IP地址。
- <H3C> system-view
- [H3C] interface Vlan-interface 2
- //進入管理VLAN
- [H3C-Vlan-interface2] undo ip address
- //取消管理VLAN原有的IP地址
- [H3C-Vlan-interface2] ip address 10.10.2.1 255.255.255.0
- //配置以太網交換機管理VLAN的IP地址為10.10.2.1
2、通過Console口,在交換機H3C S3100上配置欲登錄的WEB管理用戶的用戶名和認證口令。添加以太網交換機的Web用戶,用戶級別設為3,即管理級別的用戶。
- [H3C] local-user admin
- //設置用戶的用戶名為admin
- [H3C-luser-admin] service-type telnet level 3
- //設置用戶級別為3
- [H3C-luser-admin] password simple admin
- //設置用戶admin的密碼為admin
3、配置交換機到網關的靜態路由
- [H3C] ip route-static 0.0.0.0 0.0.0.0 10.10.2.254
- //網關的IP地址為10.10.2.254
- [H3C] undo ip http shutdown
- //執行此命令確保http服務運行
配置完上面的命令后,就可以在管理PC的瀏覽器中輸入http://10.10.2.1,按回車鍵后,就可以看到如圖4所示的,H3C交換機WEB管理登錄界面,輸入用戶名和密碼,并選擇WEB管理界面的語言后回車,就可以看到如圖5所示的管理界面,根據管理界面中的語言提示,就可以對交換機H3C S3100中的各項參數進行配置。
圖4 H3C交換機WEB管理登入界面
需要注意的是,管理PC和H3C交換機的管理IP的10.10.2.1/24之間必須有可達路由,若路由不可達,那無論在管理PC的瀏覽器中輸入怎樣的IP地址也不能登錄到H3C交換機的WEB管理界面。要驗證在管理PC中到交換機的路由可達性,可以在管理PC的"命令行"中執行"ping 10.10.2.1"命令,若能ping成功的話,一般來說在管理PC和H3C交換機之間的路由是沒有問題的。
圖5 H3C交換機的管理配置界面#p#
三、使用Telnet方式管理網絡設備
這種管理模式需要在路由、交換設備上配置的命令,比用SSH管理方式配置的命令更少。下面還是以圖1的拓撲圖為例,對交換機進行相應的配置,以便用戶通過管理PC,用Telnet方式能夠對Cisco 4506進行管理配置。
Cisco 4506和Cisco 3750上的管理VLAN 20的配置,和PC的IP地址,及其與3750相連端口的配置和"一"中用SSH方式管理的配置都一樣,如下所示。
在Cisco 4506上的配置:
- interface GigabitEthernet3/1
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.1 255.255.255.0
在Cisco 3750上的配置:
- interface GigabitEthernet1/0/1
- switchport access vlan 20
- switchport mode access
- interface GigabitEthernet1/0/25
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.2 255.255.255.0
要用Telnet方式管理設備,同時還要在Cisco 4506上進行如下的配置:
- line vty 0 15
- password 7 525E0305E3595551E4
- login
在Cisco 4506和Cisco 3750上配置完以上的命令后,也可以使用電腦PC中的SecureCRT軟件,Telnet到4506上對其進行管理和配置,在SecureCRT中,需要配置的參數也只有Cisco 4506的IP地址10.10.20.1/24,如圖6所示:
圖6 在SecureCRT虛擬終端軟件上的參數配置
當然,也可以直接在電腦PC的"命令行"中,執行命令"telnet 10.10.20.1",同樣可以Telnet到Cisco 4506交換機上,對其進行管理和配置。#p#
四、使用電腦的串口管理網絡設備
圖7 Cisco 3750的正面視圖
如圖7所示的是Cisco 3750的正面視圖,一般交換機的電口和光口都位于交換機的正面,這種部署方便以后在設備上,進行網線和光纜的拔插。而管理配置交換機的Console口一般位于交換機的背面,如圖8所示。
圖8 Cisco 3750背面視圖及通過Console口配置交換機
通過Console口直接連接到路由器,或交換機上,對其進行本地管理配置,也是一種安全、可靠的配置維護方式。當網絡設備初次上電、與外部網絡連接中斷或出現其它異常情況時,通常采用這種方式配置網絡設備。
將管理PC 的串口與網絡設備的Console口連接,然后在管理PC 上運行終端仿真程序,如Windows系統中的超級終端,或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接,選擇實際連接網絡設備時,使用的管理PC上的串口,并配置終端通信的參數。默認情況下的參數都是:9600 波特、8 位數據位、1 位停止位、無校驗、無流控。
最后,對路由器或交換機進行上電自檢,系統會自動進行配置。自檢結束后,系統會提示用戶鍵入回車,直到出現命令行提示符,然后就可以鍵入命令,配置網絡設備,或者查看其運行狀態等。
另外,還可以通過配置以下參數,使通過Console口的管理更加安全和符合個性化的需求:
- line console 0
- exec-timeout 0 0
- password 7 12130F0501595C517E
- logging synchronous
- login
命令"exec-timeout 0 0"表示永不超時。若把此命令中的最后一個"0"改為"10",則表示通過Console口登錄后,無操作10秒后就會超時登出。這時若還想登入到交換機,就必須重新輸入密碼再次進行登錄。這種功能可以避免因管理人員短時間離開,回來時還需要重新輸入密碼。尤其是在密碼很復雜的情況下,使用這種命令更有效。但這種功能也存在不安全的因素,所以還是需要按需配置。
命令"logging synchronous"的功能是設置,在輸入命令時不會被系統日志消息打斷,即阻止煩人的控制臺信息來打斷你當前的輸入,從而使輸入的命令更加連續,顯得更為易讀。
命令"password 7 12130F0501595C517E"的功能,是配置管理PC在通過Console口登錄交換機時,必須通過輸入密碼才能登入,這也是為了防止其他非授權的用戶通過Console口訪問路由器或者交換機。
五、總結
1、從安全角度考慮。首先,使用串口管理網絡設備,是最安全的方式,因為它是用電腦和設備直接相連,而不是通過遠程登錄到設備上。配置的命令和關鍵性的口令只在設備和電腦之間直接傳輸,而不會通過其它的網絡設備,這也從根本上杜絕了一些"中間人"的攻擊。其次,若是使用SSH方式遠程登錄管理網絡設備,也是比較安全的方式,因為SSH協議對所有的數據都進行了加密處理,而不是以明文的方式在網絡上傳輸,若是對安全性要求很高的話,還可以結合SSH使用專門的認證服務器,結合公鑰和私鑰體制,也可以消除"中間人"的攻擊威脅。最后,WEB管理方式和遠程Telnet管理方式一般來說是最不安全的方式,不過WEB方式若是通過HTTPS方式進行管理的話,安全性基本和SSH方式一致。但是用HTTP方式管理,管理用戶的電腦和網絡設備之間所傳輸的數據也都是沒經過加密的,不推薦使用這種方式。Telnet方式也是不安全的管理方式,目前在很多軟件中默認都是不支持Telnet功能的,因為它給用戶帶來了很多潛在的威脅,像Windows 7默認安裝完成后,是不能使用Telnet功能,這也是微軟給用戶考慮細致、周到的地方。若是用戶的網絡存在很多的安全風險和漏洞,就一定不要使用Telnet方式管理網絡設備。
2、從易用性角度考慮。首先,WEB管理方式對網絡設備進行管理,全都是以窗口界面進行操作,比較直觀、容易理解和掌握。不過,WEB方式提供的可配置操作命令比較少,一般只有很少一部分常用的操作命令可以通過WEB方式操作完成,絕大部分的命令還得以命令行的方式進行配置。所以,一般很少能看到網絡高手通過WEB方式,對網絡設備進行管理配置,他們都是飛速的敲著各種命令,從而讓網絡設備以他們的要求去運行。
其次,若用戶的網絡環境非常安全的話,比如是一個小型,或中型的局域網,沒有和外界的Internet進行連通的話,使用Telnet方式管理網絡設備也是非常方便的。因為它需要在網絡設備上配置的命令比較少,而且在管理PC上不需要安裝特別的終端軟件,基本上在Linux系統和Windows系統上都支持Telnet功能,這樣就可以在網絡中的任何一臺PC上對所有的網絡設備進行遠程管理。最后,雖然WEB管理和Telnet方式易用,但是在目前復雜度不斷提高的各種網絡環境中,還是推薦用戶使用SSH方式對網絡設備進行配置,因為安全問題往往就發生在一些不嚴謹的操作規程當中,一個很小的安全問題很可能會導致全網的崩潰。所以,安全無小事!這句話同樣適用于網絡管理工作。
【51CTO.com獨家特稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
