目录
一、远程管理交换机
1.1Telnet和SSH介绍
方式一:Telnet
应用层协议,基于传输层TCP,默认端口号:23号,采用的是明文密码方式,不安全,一般用于内网管理
方式二:SSH
应用层协议,基于传输层TCP,默认端口号:22号,采用的是密文密码方式,相对安全一些;经常用于跨互联网管理,也常用于远程管理Linux操作系统
1.2实现的思路
通过网络的方式进行管理设备,设备就必须配置IP地址,由于交换机上的接口都是交换接口,无法在这些接口上配置IP,直接为交换机的虚接口配置IP地址,默认情况下,交换机的默认虚接口就是Vlan 1 接口
1.3Telnet配置步骤
第一步:配置交换机虚拟接口IP和子网掩码并开启接口
Switch>en
Switch#conf t
Switch(config)#hostname SW1
#交换机默认虚接口就是Vlan 1
SW1(config)#int vlan 1
#配置IP:ip address ip地址 子网掩码
SW1(config-if)#ip address 192.168.100.100 255.255.255.0
#接口默认是关闭的,需要手动开启
SW1(config-if)#no shutdown
第二步:配置设备的连接终端(telnet的虚接口vty)
设备的连接终端,设备的连接终端是VTY终端,总共有16个终端(0~15)
一般情况下开启0~4即可,并设置密码,并应用生效
VTY是一个虚拟终端连接,属于telnet的虚接口,如果想用telnet远程连接管理网络设备,需要提前在交换机配置VTY, 简单理解VTY就是远程登录的接口.
SW1#
SW1#conf t
#进入vty 0~4终端
SW1(config)#line vty 0 4
#设置vty的密码
SW1(config-line)#password 123321
SW1(config-line)#login //使应用生效,直接使用密码登录
SW1(config-line)#
第三步:为主机配置IP地址和子网掩码(同网段)
为主机配置IP地址和子网掩码,此时需要配置在同一个网段(网络地址,子网掩码一致)才能直接进行通信
第四步:设置交换机enable密码
如果不设置enable密码直接登录,登录成功后输入en会报如下错误
SW1>en
% No password set. //表示需要设置特权模式密码
设置特权模式密码;需要在交换机中配置
SW1>en
SW1#conf t
SW1(config)#enable password 123321 //方式一:设置明文密码
SW1(config)#
SW1(config)#enable secret 123456 //方式二:设置密文密码
第五步:使用Telnet连接
方式一:使用命令提示符
telnet +交换机虚拟接口IP
C:\>telnet 192.168.100.100
Trying 192.168.100.100 ...Open
User Access Verification
Password: //密码是隐藏的,这是VTY的密码,输对直接登录成功
SW1>
方式二:点击Telnet/ssh Client
选择协议和输入交换机虚拟地址
输入密码完成登录
(选择)创建本地用户和密码,并应用到VTY
SW1#config t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#username zhangsan password 123456
SW1(config)#line vty 0 4
SW1(config-line)#login local //使用账号密码进行登录
1.4enable密码同时配置明文和密文密码问题
同时配置了明文密码和密文密码,安全级别高的密文密码生效
查看当前配置文件信息
SW1#show running-config
1.5注意事项
Login和login local都是使配置生效,但login是直接使用密码进行登录
Login local 表示使用本地账号进行登陆
1.6Telnet总结
1.为交换机虚拟接口vlan 1配置IP和子网掩码,并开启接口
2.为交换机配置设备连接终端vty 一般开启0~4
可以先创建用户和密码,再进入vty 0 4 再使用login local使用本地账户登录vty
也可以先进入vty 0 4直接配置password 明文密码 再使用login直接使用密码登录
3.为交换机配置enable密码,可以配置password明文,或者secret密文密码
如果不配置enalbe密码,远程登录vty后进入en会提示未设置密码
4.为主机配置ip和子网掩码,确保和交换机处于同一网段,使用命令Telnet远程登录交换机
二、SSH配置
创建对应的密钥对,进行密钥对加密
2.1配置SSH前先重启交换机或者删除之前的配置。
SW1#erase startup-config #(删除NVRAM中的内容)
SW1#reload #重启交换机
2.2具体配置步骤
第一步:为交换机虚拟接口配置IP子网掩码
Switch>en
Switch#config t
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.100.99 255.255.255.0
Switch(config-if)#no shutdown查看交换机是否支持ssh协议
Switch#show ip ssh
默认认证超时120s 默认认证次数3次,使用ssh v2版本
第二步:配置SSH包括交换机改名,设置域名,密钥对,长度等
配置SSH(交换机改名、设置域名、设置密钥对、设置key长度、配置超时时间和可输错密码次数)
针对ssh连接需要设置一个域名,设置域名时不能用默认主机名
Switch#
Switch#config t
Switch(config)#hostname SW1 //设置交换机名称
SW1(config)#ip domain-name test.com //设置域名
SW1(config)#crypto key generate rsa //设置密钥对
How many bits in the modulus [512]: 2048 //key长度360~2048 默认512 2的次方
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
SW1(config)#ip ssh time-out 60 //配置超时时间
*Mar 1 0:7:2.936: %SSH-5-ENABLED: SSH 1.99 has been enabled
SW1(config)#ip ssh auth
SW1(config)#ip ssh authentication-retries 5 //配置可输入失败的次数
第三步:创建本地用户和密码并进入VTP应用生效
SW1(config)#username wangwu password 123321 //ssh严格要求有用户名密码
SW1(config)#line vty 0 4 //进入VTP 0 4
SW1(config-line)#login local //应用生效
第四步:配置enable密码
SW1(config-line)#exit
SW1(config)#enable secret 123456
SW1(config)#
第五步:为主机配置IP和网关并设置同一网段
2.3 SSH总结:
第一步:
为交换机虚拟接口配置IP和网关
第二步:
配置SSH(交换机改名、设置域名、设置密钥对、设置key长度、配置超时时间和可输错密码次数)设置域名时不能用默认主机名,key长度设置建议为2048
默认认证超时120s 默认认证次数3次
第三步:
创建本地用户和密码并进入VTP应用生效
SSH必须强制创建本地账户和密码
第四步:
配置enable密码,可以配置password明文,或者secret密文密码;如果不配置enalbe密码,Telnet和ssh远程登录vty后进入en都会提示未设置密码
第五步:
为主机配置IP和网关并设置同一网段,查看效果