【51CTO.com 獨(dú)家特稿】作為一名網(wǎng)管員，在路由器、交換機(jī)上進(jìn)行命令配置，可以說(shuō)是最為平常的工作，其目的都是通過(guò)命令的執(zhí)行和參數(shù)的調(diào)整，讓路由器和交換機(jī)能夠以網(wǎng)管員的要求去運(yùn)行。這幾乎是網(wǎng)絡(luò)管理員每天都要進(jìn)行的操作，那管理網(wǎng)絡(luò)設(shè)備都有哪幾種方式，哪種管理方式更簡(jiǎn)單，哪種方式更高效？這其實(shí)主要是根據(jù)網(wǎng)絡(luò)管理員的實(shí)際使用情況進(jìn)行選擇。下面就對(duì)網(wǎng)絡(luò)路由和交換設(shè)備的管理模式進(jìn)行簡(jiǎn)單的總結(jié)。

圖1  使用SSH方式管理的網(wǎng)絡(luò)拓?fù)?/p>

一、使用SSH(Secure Shell Protocol，安全外殼協(xié)議)方式進(jìn)行管理。

1、Cisco網(wǎng)絡(luò)設(shè)備的SSH配置

如圖1所示為使用SSH方式管理網(wǎng)絡(luò)設(shè)備的拓?fù)鋱D，Cisco 4506和Cisco 3750通過(guò)Trunk線連接，遠(yuǎn)程PC通過(guò)SSH方式對(duì)Cisco 4506進(jìn)行管理，其中Cisco 4506是通過(guò)端口3/1，和Cisco 3750的G1/0/25端口相連，兩個(gè)端口都是光口。PC的IP地址為10.10.20.3/24，并和Cisco 3750的G1/0/1端口相連。Cisco 4506和Cisco 3750上的主要配置如下所示。

在Cisco 4506上的配置：

interface GigabitEthernet3/1  
 switchport trunk encapsulation dot1q  
 switchport trunk allowed vlan 20,30-300  
 switchport mode trunk  
interface Vlan20  
 ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置：

interface GigabitEthernet1/0/1  
 switchport access vlan 20  
 switchport mode access  
interface GigabitEthernet1/0/25  
 switchport trunk encapsulation dot1q  
 switchport trunk allowed vlan 20,30-300  
 switchport mode trunk  
interface Vlan20  
 ip address 10.10.20.2 255.255.255.0 

由以上配置可以看出，Cisco 4506和Cisco 3750的管理Vlan的IP地址分別是10.10.20.1/24和10.10.20.2/24，Cisco 3750的G1/0/1端口位于VLAN 20中，并和電腦PC相連。這種情況下，Cisco 4506和Cisco 3750的三層Vlan20端口，和3750的G1/0/1其實(shí)都位于二層VLAN 20中。

要在PC上，通過(guò)SSH方式管理Cisco 4506交換機(jī)，還需要在4506上進(jìn)行如下配置：

Switcher(config)# hostname Cisco 4506  
Cisco 4506 (config)# ip domain-name domainname.com  
    //為交換機(jī)設(shè)置一個(gè)域名，也可以認(rèn)為這個(gè)交換機(jī)是屬于這個(gè)域  
Cisco 4506 (config)# crypto key generate rsa  
    //此命令是產(chǎn)生一對(duì)RSA密鑰，同時(shí)啟用SSH，如果你刪除了RSA密鑰，就會(huì)自動(dòng)禁用該SSH服務(wù)  
Cisco 4506 (config)# aaa new-model  
    //啟用認(rèn)證，授權(quán)和審計(jì)（AAA）  
Cisco 4506 (config)#username cisco password cisco  
    //配置用戶名和密碼  
Cisco 4506 (config)# ip ssh time-out 60  
    //配置SSH的超時(shí)周期  
Cisco 4506 (config)# ip ssh authentication-retries 2  
    //配置允許SSH驗(yàn)證的次數(shù)  
Cisco 4506 (config)# line vty 0 15  
Cisco 4506 (config-line)# transport input SSH  
    //在虛擬終端連接中應(yīng)用SSH 

需要注意的是，在運(yùn)行上面的配置命令前，要先確認(rèn)你的交換機(jī)和路由器是不是支持SSH功能。一般在交換機(jī)或路由器的Enable模式下通過(guò)命令show ip ssh就可以查看，如在圖1的Cisco 4506中執(zhí)行如下命令：

Cisco 4506#sh ip ssh       
    SSH Disabled - version 1.99  
%Please create RSA keys to enable SSH.  
Authentication timeout: 120 secs; Authentication retries: 3 

由上面的輸出可以看出，Cisco 4506支持SSH功能，只是還沒(méi)有啟用而已。

而在Cisco 3750上執(zhí)行如上命令后會(huì)得到如下顯示：

Cisco3750#sh ip ssh  
                  ^  
% Invalid input detected at '^' marker. 

由上面的輸出可以看出，圖1中的3750并不支持SSH功能。

圖2  虛擬終端上的參數(shù)配置

配置完上面的命令后，就可以在電腦PC上測(cè)試你的配置。首先，要在PC上安裝有SSH終端客戶端程序，如SecureCRT，然后在SecureCRT中進(jìn)行相應(yīng)的設(shè)置，如圖2所示，然后點(diǎn)擊"Connect"按鈕，按提示輸入用戶名cisco及密碼cisco，即可進(jìn)入到Cisco 4506交換機(jī)的配置界面。

2、H3C網(wǎng)絡(luò)設(shè)備的SSH配置

H3C網(wǎng)絡(luò)設(shè)備SSH的配置，在原理上和在思科設(shè)備上的配置一樣，只是在命令上有差別而已，下面就以H3C S3100-52TP-SI交換機(jī)為例，說(shuō)明如何在H3C交換機(jī)上配置SSH。

<H3C-S3100> system-view  
[H3C-S3100] public-key local create rsa  
  //生成RSA密鑰對(duì)  
[H3C-S3100] public-key local create dsa  
  //生成DSA密鑰對(duì)    
[H3C-S3100] ssh server enable  
    //啟動(dòng)SSH服務(wù)器  
[H3C-S3100] user-interface vty 0 4  
[H3C-S3100-ui-vty0-4] authentication-mode scheme  
    //設(shè)置SSH客戶端登錄用戶界面的認(rèn)證方式為AAA認(rèn)證  
[H3C-S3100-ui-vty0-4] protocol inbound ssh  
    //設(shè)置H3C-S3100上遠(yuǎn)程用戶登錄協(xié)議為SSH  
[H3C-S3100] local-user admin  
[H3C-S3100-luser-admin] password simple 12345  
[H3C-S3100-luser-admin] service-type ssh level 3  
    //創(chuàng)建本地用戶admin，登錄密碼為12345，并設(shè)置用戶訪問(wèn)的命令級(jí)別為3，即管理級(jí)用戶  
[H3C-S3100] ssh user admin authentication-type password  
    //指定SSH用戶admin的認(rèn)證方式為password 

配置完上面的命令后，也可以使用SecureCRT，用SSH方式登錄到H3C S3100-52TP-SI交換機(jī)上，輸入用戶名和密碼后，就可以進(jìn)行管理和配置。

3、SSH是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議，也是為解決Telnet的安全隱患而開發(fā)的一個(gè)協(xié)議。因?yàn)槭褂肨elnet，在網(wǎng)絡(luò)上是通過(guò)明文傳送口令和數(shù)據(jù)的，"中間人"很容易截獲這些口令和數(shù)據(jù)。而SSH是基于成熟的公鑰密碼體系，把所有的傳輸數(shù)據(jù)都進(jìn)行加密，保證在數(shù)據(jù)傳輸時(shí)不被惡意破壞、泄露和篡改。SSH還使用了多種加密和認(rèn)證方式，解決傳輸中數(shù)據(jù)加密和身份認(rèn)證的問(wèn)題，能有效防止網(wǎng)絡(luò)嗅探和IP地址欺騙等攻擊。它也能為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全協(xié)議，可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。使用SSH，還有一個(gè)額外的好處就是數(shù)據(jù)的傳輸是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣?。SSH還可以為FTP和PPP的使用提供一個(gè)安全的"通道"。

SSH協(xié)議已經(jīng)歷了SSH1和SSH2兩個(gè)版本，它們使用了不同的協(xié)議來(lái)實(shí)現(xiàn)，二者互不兼容。SSH2無(wú)論是在安全上、功能上，還是在性能上都比SSH1有很大優(yōu)勢(shì)，所以目前使用最多的還是SSH2。#p#

二、使用WEB方式管理網(wǎng)絡(luò)設(shè)備

H3C的路由、交換設(shè)備對(duì)WEB的管理支持比較好。但在用WEB方式進(jìn)行管理配置之前，先要對(duì)路由、交換設(shè)備進(jìn)行相應(yīng)的配置。下面就以H3C S3100-8C-SI設(shè)備為例說(shuō)明其相關(guān)配置，網(wǎng)絡(luò)拓?fù)鋱D如圖3所示。

圖3  管理H3C交換機(jī)的網(wǎng)絡(luò)拓?fù)鋱D

1、使用一條Console線，把電腦的串口和H3C S3100交換機(jī)的Console口相連，配置交換機(jī)管理VLAN的IP地址。

<H3C> system-view  
[H3C] interface Vlan-interface 2  
//進(jìn)入管理VLAN      
[H3C-Vlan-interface2] undo ip address  
      //取消管理VLAN原有的IP地址  
[H3C-Vlan-interface2] ip address 10.10.2.1 255.255.255.0  
      //配置以太網(wǎng)交換機(jī)管理VLAN的IP地址為10.10.2.1 

2、通過(guò)Console口，在交換機(jī)H3C S3100上配置欲登錄的WEB管理用戶的用戶名和認(rèn)證口令。添加以太網(wǎng)交換機(jī)的Web用戶，用戶級(jí)別設(shè)為3，即管理級(jí)別的用戶。

[H3C] local-user admin  
//設(shè)置用戶的用戶名為admin  
[H3C-luser-admin] service-type telnet level 3  
//設(shè)置用戶級(jí)別為3  
[H3C-luser-admin] password simple admin  
//設(shè)置用戶admin的密碼為admin 

3、配置交換機(jī)到網(wǎng)關(guān)的靜態(tài)路由

[H3C] ip route-static 0.0.0.0 0.0.0.0 10.10.2.254  
//網(wǎng)關(guān)的IP地址為10.10.2.254  
[H3C] undo ip http shutdown  
//執(zhí)行此命令確保http服務(wù)運(yùn)行 

配置完上面的命令后，就可以在管理PC的瀏覽器中輸入http://10.10.2.1，按回車鍵后，就可以看到如圖4所示的，H3C交換機(jī)WEB管理登錄界面，輸入用戶名和密碼，并選擇WEB管理界面的語(yǔ)言后回車，就可以看到如圖5所示的管理界面，根據(jù)管理界面中的語(yǔ)言提示，就可以對(duì)交換機(jī)H3C S3100中的各項(xiàng)參數(shù)進(jìn)行配置。

圖4  H3C交換機(jī)WEB管理登入界面

需要注意的是，管理PC和H3C交換機(jī)的管理IP的10.10.2.1/24之間必須有可達(dá)路由，若路由不可達(dá)，那無(wú)論在管理PC的瀏覽器中輸入怎樣的IP地址也不能登錄到H3C交換機(jī)的WEB管理界面。要驗(yàn)證在管理PC中到交換機(jī)的路由可達(dá)性，可以在管理PC的"命令行"中執(zhí)行"ping 10.10.2.1"命令，若能ping成功的話，一般來(lái)說(shuō)在管理PC和H3C交換機(jī)之間的路由是沒(méi)有問(wèn)題的。

圖5  H3C交換機(jī)的管理配置界面#p#

三、使用Telnet方式管理網(wǎng)絡(luò)設(shè)備

這種管理模式需要在路由、交換設(shè)備上配置的命令，比用SSH管理方式配置的命令更少。下面還是以圖1的拓?fù)鋱D為例，對(duì)交換機(jī)進(jìn)行相應(yīng)的配置，以便用戶通過(guò)管理PC，用Telnet方式能夠?qū)isco 4506進(jìn)行管理配置。

Cisco 4506和Cisco 3750上的管理VLAN 20的配置，和PC的IP地址，及其與3750相連端口的配置和"一"中用SSH方式管理的配置都一樣，如下所示。

在Cisco 4506上的配置：

interface GigabitEthernet3/1  
 switchport trunk encapsulation dot1q  
 switchport trunk allowed vlan 20,30-300  
 switchport mode trunk  
interface Vlan20  
 ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置：

interface GigabitEthernet1/0/1  
 switchport access vlan 20  
 switchport mode access  
interface GigabitEthernet1/0/25  
 switchport trunk encapsulation dot1q  
 switchport trunk allowed vlan 20,30-300  
 switchport mode trunk  
interface Vlan20  
 ip address 10.10.20.2 255.255.255.0 

要用Telnet方式管理設(shè)備，同時(shí)還要在Cisco 4506上進(jìn)行如下的配置：

line vty 0 15  
 password  7  525E0305E3595551E4  
 login 

在Cisco 4506和Cisco 3750上配置完以上的命令后，也可以使用電腦PC中的SecureCRT軟件，Telnet到4506上對(duì)其進(jìn)行管理和配置，在SecureCRT中，需要配置的參數(shù)也只有Cisco 4506的IP地址10.10.20.1/24，如圖6所示：

圖6  在SecureCRT虛擬終端軟件上的參數(shù)配置

當(dāng)然，也可以直接在電腦PC的"命令行"中，執(zhí)行命令"telnet 10.10.20.1"，同樣可以Telnet到Cisco 4506交換機(jī)上，對(duì)其進(jìn)行管理和配置。#p#

四、使用電腦的串口管理網(wǎng)絡(luò)設(shè)備

圖7 Cisco 3750的正面視圖

如圖7所示的是Cisco 3750的正面視圖，一般交換機(jī)的電口和光口都位于交換機(jī)的正面，這種部署方便以后在設(shè)備上，進(jìn)行網(wǎng)線和光纜的拔插。而管理配置交換機(jī)的Console口一般位于交換機(jī)的背面，如圖8所示。

圖8  Cisco 3750背面視圖及通過(guò)Console口配置交換機(jī)

通過(guò)Console口直接連接到路由器，或交換機(jī)上，對(duì)其進(jìn)行本地管理配置，也是一種安全、可靠的配置維護(hù)方式。當(dāng)網(wǎng)絡(luò)設(shè)備初次上電、與外部網(wǎng)絡(luò)連接中斷或出現(xiàn)其它異常情況時(shí)，通常采用這種方式配置網(wǎng)絡(luò)設(shè)備。

將管理PC 的串口與網(wǎng)絡(luò)設(shè)備的Console口連接，然后在管理PC 上運(yùn)行終端仿真程序，如Windows系統(tǒng)中的超級(jí)終端，或者使用SecureCRT應(yīng)用程序。然后在終端仿真程序上建立新連接，選擇實(shí)際連接網(wǎng)絡(luò)設(shè)備時(shí)，使用的管理PC上的串口，并配置終端通信的參數(shù)。默認(rèn)情況下的參數(shù)都是：9600 波特、8 位數(shù)據(jù)位、1 位停止位、無(wú)校驗(yàn)、無(wú)流控。

最后，對(duì)路由器或交換機(jī)進(jìn)行上電自檢，系統(tǒng)會(huì)自動(dòng)進(jìn)行配置。自檢結(jié)束后，系統(tǒng)會(huì)提示用戶鍵入回車，直到出現(xiàn)命令行提示符，然后就可以鍵入命令，配置網(wǎng)絡(luò)設(shè)備，或者查看其運(yùn)行狀態(tài)等。

另外，還可以通過(guò)配置以下參數(shù)，使通過(guò)Console口的管理更加安全和符合個(gè)性化的需求：

line console 0  
 exec-timeout 0 0  
 password 7 12130F0501595C517E  
 logging synchronous  
 login 

命令"exec-timeout 0 0"表示永不超時(shí)。若把此命令中的最后一個(gè)"0"改為"10"，則表示通過(guò)Console口登錄后，無(wú)操作10秒后就會(huì)超時(shí)登出。這時(shí)若還想登入到交換機(jī)，就必須重新輸入密碼再次進(jìn)行登錄。這種功能可以避免因管理人員短時(shí)間離開，回來(lái)時(shí)還需要重新輸入密碼。尤其是在密碼很復(fù)雜的情況下，使用這種命令更有效。但這種功能也存在不安全的因素，所以還是需要按需配置。

命令"logging synchronous"的功能是設(shè)置，在輸入命令時(shí)不會(huì)被系統(tǒng)日志消息打斷，即阻止煩人的控制臺(tái)信息來(lái)打斷你當(dāng)前的輸入，從而使輸入的命令更加連續(xù)，顯得更為易讀。

命令"password 7 12130F0501595C517E"的功能，是配置管理PC在通過(guò)Console口登錄交換機(jī)時(shí)，必須通過(guò)輸入密碼才能登入，這也是為了防止其他非授權(quán)的用戶通過(guò)Console口訪問(wèn)路由器或者交換機(jī)。

五、總結(jié)

1、從安全角度考慮。首先，使用串口管理網(wǎng)絡(luò)設(shè)備，是最安全的方式，因?yàn)樗怯秒娔X和設(shè)備直接相連，而不是通過(guò)遠(yuǎn)程登錄到設(shè)備上。配置的命令和關(guān)鍵性的口令只在設(shè)備和電腦之間直接傳輸，而不會(huì)通過(guò)其它的網(wǎng)絡(luò)設(shè)備，這也從根本上杜絕了一些"中間人"的攻擊。其次，若是使用SSH方式遠(yuǎn)程登錄管理網(wǎng)絡(luò)設(shè)備，也是比較安全的方式，因?yàn)镾SH協(xié)議對(duì)所有的數(shù)據(jù)都進(jìn)行了加密處理，而不是以明文的方式在網(wǎng)絡(luò)上傳輸，若是對(duì)安全性要求很高的話，還可以結(jié)合SSH使用專門的認(rèn)證服務(wù)器，結(jié)合公鑰和私鑰體制，也可以消除"中間人"的攻擊威脅。最后，WEB管理方式和遠(yuǎn)程Telnet管理方式一般來(lái)說(shuō)是最不安全的方式，不過(guò)WEB方式若是通過(guò)HTTPS方式進(jìn)行管理的話，安全性基本和SSH方式一致。但是用HTTP方式管理，管理用戶的電腦和網(wǎng)絡(luò)設(shè)備之間所傳輸?shù)臄?shù)據(jù)也都是沒(méi)經(jīng)過(guò)加密的，不推薦使用這種方式。Telnet方式也是不安全的管理方式，目前在很多軟件中默認(rèn)都是不支持Telnet功能的，因?yàn)樗o用戶帶來(lái)了很多潛在的威脅，像Windows 7默認(rèn)安裝完成后，是不能使用Telnet功能，這也是微軟給用戶考慮細(xì)致、周到的地方。若是用戶的網(wǎng)絡(luò)存在很多的安全風(fēng)險(xiǎn)和漏洞，就一定不要使用Telnet方式管理網(wǎng)絡(luò)設(shè)備。

2、從易用性角度考慮。首先，WEB管理方式對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理，全都是以窗口界面進(jìn)行操作，比較直觀、容易理解和掌握。不過(guò)，WEB方式提供的可配置操作命令比較少，一般只有很少一部分常用的操作命令可以通過(guò)WEB方式操作完成，絕大部分的命令還得以命令行的方式進(jìn)行配置。所以，一般很少能看到網(wǎng)絡(luò)高手通過(guò)WEB方式，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理配置，他們都是飛速的敲著各種命令，從而讓網(wǎng)絡(luò)設(shè)備以他們的要求去運(yùn)行。

其次，若用戶的網(wǎng)絡(luò)環(huán)境非常安全的話，比如是一個(gè)小型，或中型的局域網(wǎng)，沒(méi)有和外界的Internet進(jìn)行連通的話，使用Telnet方式管理網(wǎng)絡(luò)設(shè)備也是非常方便的。因?yàn)樗枰诰W(wǎng)絡(luò)設(shè)備上配置的命令比較少，而且在管理PC上不需要安裝特別的終端軟件，基本上在Linux系統(tǒng)和Windows系統(tǒng)上都支持Telnet功能，這樣就可以在網(wǎng)絡(luò)中的任何一臺(tái)PC上對(duì)所有的網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理。最后，雖然WEB管理和Telnet方式易用，但是在目前復(fù)雜度不斷提高的各種網(wǎng)絡(luò)環(huán)境中，還是推薦用戶使用SSH方式對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置，因?yàn)榘踩珕?wèn)題往往就發(fā)生在一些不嚴(yán)謹(jǐn)?shù)牟僮饕?guī)程當(dāng)中，一個(gè)很小的安全問(wèn)題很可能會(huì)導(dǎo)致全網(wǎng)的崩潰。所以，安全無(wú)小事！這句話同樣適用于網(wǎng)絡(luò)管理工作。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】