成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

圖解:管理路由和交換設備的四種模式

原創
網絡
作為一名網管員,在路由器、交換機上進行命令配置,可以說是最為平常的工作,其目的都是通過命令的執行和參數的調整,讓路由器和交換機能夠以網管員的要求去運行。

【51CTO.com 獨家特稿】作為一名網管員,在路由器、交換機上進行命令配置,可以說是最為平常的工作,其目的都是通過命令的執行和參數的調整,讓路由器和交換機能夠以網管員的要求去運行。這幾乎是網絡管理員每天都要進行的操作,那管理網絡設備都有哪幾種方式,哪種管理方式更簡單,哪種方式更高效?這其實主要是根據網絡管理員的實際使用情況進行選擇。下面就對網絡路由和交換設備的管理模式進行簡單的總結。

圖1  使用SSH方式管理的網絡拓撲

一、使用SSH(Secure Shell Protocol,安全外殼協議)方式進行管理。

1、Cisco網絡設備的SSH配置

如圖1所示為使用SSH方式管理網絡設備的拓撲圖,Cisco 4506和Cisco 3750通過Trunk線連接,遠程PC通過SSH方式對Cisco 4506進行管理,其中Cisco 4506是通過端口3/1,和Cisco 3750的G1/0/25端口相連,兩個端口都是光口。PC的IP地址為10.10.20.3/24,并和Cisco 3750的G1/0/1端口相連。Cisco 4506和Cisco 3750上的主要配置如下所示。

在Cisco 4506上的配置:

  1. interface GigabitEthernet3/1  
  2.  switchport trunk encapsulation dot1q  
  3.  switchport trunk allowed vlan 20,30-300  
  4.  switchport mode trunk  
  5. interface Vlan20  
  6.  ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置:

  1. interface GigabitEthernet1/0/1  
  2.  switchport access vlan 20  
  3.  switchport mode access  
  4. interface GigabitEthernet1/0/25  
  5.  switchport trunk encapsulation dot1q  
  6.  switchport trunk allowed vlan 20,30-300  
  7.  switchport mode trunk  
  8. interface Vlan20  
  9.  ip address 10.10.20.2 255.255.255.0 

由以上配置可以看出,Cisco 4506和Cisco 3750的管理Vlan的IP地址分別是10.10.20.1/24和10.10.20.2/24,Cisco 3750的G1/0/1端口位于VLAN 20中,并和電腦PC相連。這種情況下,Cisco 4506和Cisco 3750的三層Vlan20端口,和3750的G1/0/1其實都位于二層VLAN 20中。

要在PC上,通過SSH方式管理Cisco 4506交換機,還需要在4506上進行如下配置:

  1. Switcher(config)# hostname Cisco 4506  
  2. Cisco 4506 (config)# ip domain-name domainname.com  
  3.     //為交換機設置一個域名,也可以認為這個交換機是屬于這個域  
  4. Cisco 4506 (config)# crypto key generate rsa  
  5.     //此命令是產生一對RSA密鑰,同時啟用SSH,如果你刪除了RSA密鑰,就會自動禁用該SSH服務  
  6. Cisco 4506 (config)# aaa new-model  
  7.     //啟用認證,授權和審計(AAA)  
  8. Cisco 4506 (config)#username cisco password cisco  
  9.     //配置用戶名和密碼  
  10. Cisco 4506 (config)# ip ssh time-out 60  
  11.     //配置SSH的超時周期  
  12. Cisco 4506 (config)# ip ssh authentication-retries 2  
  13.     //配置允許SSH驗證的次數  
  14. Cisco 4506 (config)# line vty 0 15  
  15. Cisco 4506 (config-line)# transport input SSH  
  16.     //在虛擬終端連接中應用SSH 

需要注意的是,在運行上面的配置命令前,要先確認你的交換機和路由器是不是支持SSH功能。一般在交換機或路由器的Enable模式下通過命令show ip ssh就可以查看,如在圖1的Cisco 4506中執行如下命令:

  1. Cisco 4506#sh ip ssh       
  2.     SSH Disabled - version 1.99  
  3. %Please create RSA keys to enable SSH.  
  4. Authentication timeout: 120 secs; Authentication retries: 3 

由上面的輸出可以看出,Cisco 4506支持SSH功能,只是還沒有啟用而已。

而在Cisco 3750上執行如上命令后會得到如下顯示:

  1. Cisco3750#sh ip ssh  
  2.                   ^  
  3. % Invalid input detected at '^' marker. 

由上面的輸出可以看出,圖1中的3750并不支持SSH功能。

圖2  虛擬終端上的參數配置

配置完上面的命令后,就可以在電腦PC上測試你的配置。首先,要在PC上安裝有SSH終端客戶端程序,如SecureCRT,然后在SecureCRT中進行相應的設置,如圖2所示,然后點擊"Connect"按鈕,按提示輸入用戶名cisco及密碼cisco,即可進入到Cisco 4506交換機的配置界面。

2、H3C網絡設備的SSH配置

H3C網絡設備SSH的配置,在原理上和在思科設備上的配置一樣,只是在命令上有差別而已,下面就以H3C S3100-52TP-SI交換機為例,說明如何在H3C交換機上配置SSH。

  1. <H3C-S3100> system-view  
  2. [H3C-S3100] public-key local create rsa  
  3.   //生成RSA密鑰對  
  4. [H3C-S3100] public-key local create dsa  
  5.   //生成DSA密鑰對    
  6. [H3C-S3100] ssh server enable  
  7.     //啟動SSH服務器  
  8. [H3C-S3100] user-interface vty 0 4  
  9. [H3C-S3100-ui-vty0-4] authentication-mode scheme  
  10.     //設置SSH客戶端登錄用戶界面的認證方式為AAA認證  
  11. [H3C-S3100-ui-vty0-4] protocol inbound ssh  
  12.     //設置H3C-S3100上遠程用戶登錄協議為SSH  
  13. [H3C-S3100] local-user admin  
  14. [H3C-S3100-luser-admin] password simple 12345  
  15. [H3C-S3100-luser-admin] service-type ssh level 3  
  16.     //創建本地用戶admin,登錄密碼為12345,并設置用戶訪問的命令級別為3,即管理級用戶  
  17. [H3C-S3100] ssh user admin authentication-type password  
  18.     //指定SSH用戶admin的認證方式為password 

配置完上面的命令后,也可以使用SecureCRT,用SSH方式登錄到H3C S3100-52TP-SI交換機上,輸入用戶名和密碼后,就可以進行管理和配置。

3、SSH是建立在應用層和傳輸層基礎上的安全協議,也是為解決Telnet的安全隱患而開發的一個協議。因為使用Telnet,在網絡上是通過明文傳送口令和數據的,"中間人"很容易截獲這些口令和數據。而SSH是基于成熟的公鑰密碼體系,把所有的傳輸數據都進行加密,保證在數據傳輸時不被惡意破壞、泄露和篡改。SSH還使用了多種加密和認證方式,解決傳輸中數據加密和身份認證的問題,能有效防止網絡嗅探和IP地址欺騙等攻擊。它也能為遠程登錄會話和其他網絡服務提供安全協議,可以有效防止遠程管理過程中的信息泄露問題。使用SSH,還有一個額外的好處就是數據的傳輸是經過壓縮的,所以可以加快傳輸的速度。SSH還可以為FTP和PPP的使用提供一個安全的"通道"。

SSH協議已經歷了SSH1和SSH2兩個版本,它們使用了不同的協議來實現,二者互不兼容。SSH2無論是在安全上、功能上,還是在性能上都比SSH1有很大優勢,所以目前使用最多的還是SSH2。#p#

二、使用WEB方式管理網絡設備

H3C的路由、交換設備對WEB的管理支持比較好。但在用WEB方式進行管理配置之前,先要對路由、交換設備進行相應的配置。下面就以H3C S3100-8C-SI設備為例說明其相關配置,網絡拓撲圖如圖3所示。

圖3  管理H3C交換機的網絡拓撲圖

1、使用一條Console線,把電腦的串口和H3C S3100交換機的Console口相連,配置交換機管理VLAN的IP地址。

  1. <H3C> system-view  
  2. [H3C] interface Vlan-interface 2  
  3. //進入管理VLAN      
  4. [H3C-Vlan-interface2] undo ip address  
  5.       //取消管理VLAN原有的IP地址  
  6. [H3C-Vlan-interface2] ip address 10.10.2.1 255.255.255.0  
  7.       //配置以太網交換機管理VLAN的IP地址為10.10.2.1 

2、通過Console口,在交換機H3C S3100上配置欲登錄的WEB管理用戶的用戶名和認證口令。添加以太網交換機的Web用戶,用戶級別設為3,即管理級別的用戶。

  1. [H3C] local-user admin  
  2. //設置用戶的用戶名為admin  
  3. [H3C-luser-admin] service-type telnet level 3  
  4. //設置用戶級別為3  
  5. [H3C-luser-admin] password simple admin  
  6. //設置用戶admin的密碼為admin 

3、配置交換機到網關的靜態路由

  1. [H3C] ip route-static 0.0.0.0 0.0.0.0 10.10.2.254  
  2. //網關的IP地址為10.10.2.254  
  3. [H3C] undo ip http shutdown  
  4. //執行此命令確保http服務運行 

配置完上面的命令后,就可以在管理PC的瀏覽器中輸入http://10.10.2.1,按回車鍵后,就可以看到如圖4所示的,H3C交換機WEB管理登錄界面,輸入用戶名和密碼,并選擇WEB管理界面的語言后回車,就可以看到如圖5所示的管理界面,根據管理界面中的語言提示,就可以對交換機H3C S3100中的各項參數進行配置。

圖4  H3C交換機WEB管理登入界面

需要注意的是,管理PC和H3C交換機的管理IP的10.10.2.1/24之間必須有可達路由,若路由不可達,那無論在管理PC的瀏覽器中輸入怎樣的IP地址也不能登錄到H3C交換機的WEB管理界面。要驗證在管理PC中到交換機的路由可達性,可以在管理PC的"命令行"中執行"ping 10.10.2.1"命令,若能ping成功的話,一般來說在管理PC和H3C交換機之間的路由是沒有問題的。

圖5  H3C交換機的管理配置界面#p#

三、使用Telnet方式管理網絡設備

這種管理模式需要在路由、交換設備上配置的命令,比用SSH管理方式配置的命令更少。下面還是以圖1的拓撲圖為例,對交換機進行相應的配置,以便用戶通過管理PC,用Telnet方式能夠對Cisco 4506進行管理配置。

Cisco 4506和Cisco 3750上的管理VLAN 20的配置,和PC的IP地址,及其與3750相連端口的配置和"一"中用SSH方式管理的配置都一樣,如下所示。

在Cisco 4506上的配置:

  1. interface GigabitEthernet3/1  
  2.  switchport trunk encapsulation dot1q  
  3.  switchport trunk allowed vlan 20,30-300  
  4.  switchport mode trunk  
  5. interface Vlan20  
  6.  ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置:

  1. interface GigabitEthernet1/0/1  
  2.  switchport access vlan 20  
  3.  switchport mode access  
  4. interface GigabitEthernet1/0/25  
  5.  switchport trunk encapsulation dot1q  
  6.  switchport trunk allowed vlan 20,30-300  
  7.  switchport mode trunk  
  8. interface Vlan20  
  9.  ip address 10.10.20.2 255.255.255.0 

要用Telnet方式管理設備,同時還要在Cisco 4506上進行如下的配置:

  1. line vty 0 15  
  2.  password  7  525E0305E3595551E4  
  3.  login 

在Cisco 4506和Cisco 3750上配置完以上的命令后,也可以使用電腦PC中的SecureCRT軟件,Telnet到4506上對其進行管理和配置,在SecureCRT中,需要配置的參數也只有Cisco 4506的IP地址10.10.20.1/24,如圖6所示:

圖6  在SecureCRT虛擬終端軟件上的參數配置

當然,也可以直接在電腦PC的"命令行"中,執行命令"telnet 10.10.20.1",同樣可以Telnet到Cisco 4506交換機上,對其進行管理和配置。#p#

四、使用電腦的串口管理網絡設備

圖7 Cisco 3750的正面視圖

如圖7所示的是Cisco 3750的正面視圖,一般交換機的電口和光口都位于交換機的正面,這種部署方便以后在設備上,進行網線和光纜的拔插。而管理配置交換機的Console口一般位于交換機的背面,如圖8所示。

圖8  Cisco 3750背面視圖及通過Console口配置交換機

通過Console口直接連接到路由器,或交換機上,對其進行本地管理配置,也是一種安全、可靠的配置維護方式。當網絡設備初次上電、與外部網絡連接中斷或出現其它異常情況時,通常采用這種方式配置網絡設備。

將管理PC 的串口與網絡設備的Console口連接,然后在管理PC 上運行終端仿真程序,如Windows系統中的超級終端,或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接,選擇實際連接網絡設備時,使用的管理PC上的串口,并配置終端通信的參數。默認情況下的參數都是:9600 波特、8 位數據位、1 位停止位、無校驗、無流控。

最后,對路由器或交換機進行上電自檢,系統會自動進行配置。自檢結束后,系統會提示用戶鍵入回車,直到出現命令行提示符,然后就可以鍵入命令,配置網絡設備,或者查看其運行狀態等。

另外,還可以通過配置以下參數,使通過Console口的管理更加安全和符合個性化的需求:

  1. line console 0  
  2.  exec-timeout 0 0  
  3.  password 7 12130F0501595C517E  
  4.  logging synchronous  
  5.  login 

命令"exec-timeout 0 0"表示永不超時。若把此命令中的最后一個"0"改為"10",則表示通過Console口登錄后,無操作10秒后就會超時登出。這時若還想登入到交換機,就必須重新輸入密碼再次進行登錄。這種功能可以避免因管理人員短時間離開,回來時還需要重新輸入密碼。尤其是在密碼很復雜的情況下,使用這種命令更有效。但這種功能也存在不安全的因素,所以還是需要按需配置。

命令"logging synchronous"的功能是設置,在輸入命令時不會被系統日志消息打斷,即阻止煩人的控制臺信息來打斷你當前的輸入,從而使輸入的命令更加連續,顯得更為易讀。

命令"password 7 12130F0501595C517E"的功能,是配置管理PC在通過Console口登錄交換機時,必須通過輸入密碼才能登入,這也是為了防止其他非授權的用戶通過Console口訪問路由器或者交換機。

五、總結

1、從安全角度考慮。首先,使用串口管理網絡設備,是最安全的方式,因為它是用電腦和設備直接相連,而不是通過遠程登錄到設備上。配置的命令和關鍵性的口令只在設備和電腦之間直接傳輸,而不會通過其它的網絡設備,這也從根本上杜絕了一些"中間人"的攻擊。其次,若是使用SSH方式遠程登錄管理網絡設備,也是比較安全的方式,因為SSH協議對所有的數據都進行了加密處理,而不是以明文的方式在網絡上傳輸,若是對安全性要求很高的話,還可以結合SSH使用專門的認證服務器,結合公鑰和私鑰體制,也可以消除"中間人"的攻擊威脅。最后,WEB管理方式和遠程Telnet管理方式一般來說是最不安全的方式,不過WEB方式若是通過HTTPS方式進行管理的話,安全性基本和SSH方式一致。但是用HTTP方式管理,管理用戶的電腦和網絡設備之間所傳輸的數據也都是沒經過加密的,不推薦使用這種方式。Telnet方式也是不安全的管理方式,目前在很多軟件中默認都是不支持Telnet功能的,因為它給用戶帶來了很多潛在的威脅,像Windows 7默認安裝完成后,是不能使用Telnet功能,這也是微軟給用戶考慮細致、周到的地方。若是用戶的網絡存在很多的安全風險和漏洞,就一定不要使用Telnet方式管理網絡設備。

2、從易用性角度考慮。首先,WEB管理方式對網絡設備進行管理,全都是以窗口界面進行操作,比較直觀、容易理解和掌握。不過,WEB方式提供的可配置操作命令比較少,一般只有很少一部分常用的操作命令可以通過WEB方式操作完成,絕大部分的命令還得以命令行的方式進行配置。所以,一般很少能看到網絡高手通過WEB方式,對網絡設備進行管理配置,他們都是飛速的敲著各種命令,從而讓網絡設備以他們的要求去運行。

其次,若用戶的網絡環境非常安全的話,比如是一個小型,或中型的局域網,沒有和外界的Internet進行連通的話,使用Telnet方式管理網絡設備也是非常方便的。因為它需要在網絡設備上配置的命令比較少,而且在管理PC上不需要安裝特別的終端軟件,基本上在Linux系統和Windows系統上都支持Telnet功能,這樣就可以在網絡中的任何一臺PC上對所有的網絡設備進行遠程管理。最后,雖然WEB管理和Telnet方式易用,但是在目前復雜度不斷提高的各種網絡環境中,還是推薦用戶使用SSH方式對網絡設備進行配置,因為安全問題往往就發生在一些不嚴謹的操作規程當中,一個很小的安全問題很可能會導致全網的崩潰。所以,安全無小事!這句話同樣適用于網絡管理工作。

【51CTO.com獨家特稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】 

責任編輯:佟健 來源: 51CTO.com
相關推薦

2022-01-05 08:30:31

BIONIO AIO

2018-12-05 16:25:14

2011-06-01 17:35:35

Android Activity

2013-12-01 15:34:25

2023-11-06 07:50:00

RabbitMQ交換機

2011-03-30 15:05:41

MRTG監控

2019-10-23 05:08:55

docker網絡模式網絡協議

2012-05-10 15:44:22

Windows 8磁盤

2019-10-22 14:06:13

Docker軟件Linux

2016-09-06 16:53:55

2016-09-27 10:51:43

2022-03-15 11:01:39

KubernetesLinux平滑升級

2017-08-01 23:44:25

數據分析數據科學數據

2010-07-14 09:15:30

云計算模式

2023-02-09 10:39:15

gRPC通信模式

2010-06-09 10:04:59

UML類圖

2018-10-26 08:40:20

2012-10-24 11:29:15

云計算管理平臺

2011-06-30 14:45:52

外鏈

2017-07-27 14:01:51

大數據數據分析類型模式
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 精品日韩在线 | 欧美精品久久久久久 | 亚洲福利在线观看 | 国产成人艳妇aa视频在线 | 一级特黄视频 | 亚洲综合日韩精品欧美综合区 | 久草在线影 | 婷婷色国产偷v国产偷v小说 | 999久久久| 国产福利在线视频 | 成人三级在线播放 | 欧美一区不卡 | 日韩在线观看一区 | 国产亚洲一区二区三区 | 国产色婷婷精品综合在线手机播放 | 午夜在线免费观看 | h视频免费在线观看 | 亚洲日本欧美日韩高观看 | 免费欧美| 日韩久久精品视频 | 成在线人视频免费视频 | 91av在线电影 | 日韩在线免费视频 | 亚洲一区二区视频 | 精品一二三 | 中文字幕三区 | 95国产精品 | 免费一级片 | 狠狠av | 国产精品日韩欧美一区二区三区 | 国产精品久久影院 | 国产一区二区三区四区五区加勒比 | 中文字幕亚洲一区二区三区 | 国产成人福利在线观看 | 亚洲成人精品久久 | 91久久国产综合久久91精品网站 | 成在线人视频免费视频 | 欧美大片一区二区 | 91性高湖久久久久久久久_久久99 | 亚洲成人免费 | 国产精品性做久久久久久 |