admin 管理员组

文章数量: 887016

这里写目录标题

  • 0 摘要
  • 1 交换机与路由器
    • 1.1 接口默认状态
    • 1.2作用及区别
  • 2 远程管理路由器
    • 2.1 实验目标
    • 2.2 配置IP地址
      • 2.2.1 为PC配置IP地址
      • 2.2.2 为路由器配置IP地址
      • 2.2.3 验证是否连通
    • 2.3 远程管理路由器设置
  • 3 远程管理交换机
    • 3.1 实验目标
    • 3.2 配置IP地址
      • 3.2.1 为PC配置IP地址
      • 3.2.2 为路由器配置IP地址
      • 3.2.3 为交换机配置管理IP地址
      • 3.2.3 为交换机指定网关
      • 3.2.4 验证是否连通及分析网关的作用
    • 3.3 为交换机开放远程管理端口
    • 3.4 PC远程管理交换机
  • 参考文章

0 摘要

本节首先简要介绍了交换机与路由器的接口默认状态及作用的区别。然后用Cisco Packet Tracer软件搭建了2个简单局域网,详细介绍了交换机及路由器,使用Telnet/ssh两种远程管理方式,login与login local两种验证方式进行远程管理的过程。

1 交换机与路由器

1.1 接口默认状态

(1)交换机接口默认已开启。
(2)路由器接口默认都是管理down(人工shutdown)。

1.2作用及区别

(1)路由器,连接不同的局域网,其上的各个端口必须连接不同网段。专门用来隔离网络。
(2)交换机,连接同一网段内的设备。交换机隔离不了网段。交换机连交换机,无论连多少个,都属于同一个网段。

2 远程管理路由器

2.1 实验目标

在PacketTracer平台上构建如下局域网,并实现如下目标:

(1)为各个设备配置IP、子网掩码、网关等。
(2)实现各个设备间能互相ping通。
(3)实现远程管理路由器。

2.2 配置IP地址

2.2.1 为PC配置IP地址

选中设备→桌面→IP地址管理。为设备配置IP地址、子网掩码、网关等参数。

2.2.2 为路由器配置IP地址

(1)进入路由器命令行,命令提示是否采用配置对话窗口的形式,该形式是傻瓜模式,类似其他软件的安装向导,只能他问我答,不够灵活。输入no进入,工作模式及命令与交换机相似。

en									#进入特权模式
conf t								#进去全局配置模式
do show ip int b					#查看接口状态
int f0/0							#进入接口配置模式,接口为f0/0
ip add 10.1.1.254 255.255.255.0		#为接口f0/0配置ip
no shutdown							#开启接口
do show ip int b					#查看接口状态
end
show run							#显示running-config文件信息
write								#保存配置

2.2.3 验证是否连通

(1)打开PC1((10.1.1.1)的命令窗口,ping一下10.1.1.2,验证PC2是否联通10.1.1.2;
(2)打开PC1((10.1.1.1)的命令窗口,ping一下10.1.1.254,验证网关是否联通;

2.3 远程管理路由器设置

(1)路由器打开telnet远程管理端口。打开路由器telnet端口,并设置telnet密码和特权密码。

en
conf t
line vty 0 ?			#对于2811路由器,回馈?位置可以填1-15.
line vty 0 4			#进入虚拟终端配置模式。为该设备开启5个虚拟终端(虚拟console口),允许5个人同时控制
transport input ?		#查看该接口输入端口类型,可以写telnet/ssh/none/all
transport input telnet	#限制虚拟端口仅开放telnet端口,若无该条命令,虚拟端口默认打开telnet端口。
password 123456			#与console配置模式一样配置telnet远程登录密码
login                   #需要登录验证
exit					#退出到全局配置模式
enable password 654321	#配置特权密码(采用远程控制时,如果没有设置特权密码则无法进入特权模式)

(2)PC端telnet路由器。打开PC端的cmd命令行,进入用户模式→进入特权模式及其他模式可以远程配置路由器。

Telnet 10.1.1.254
→Password				#提示输入用户密码	
→Router					#进入路由器用户模式
en						#尝试进入特权模式
→Password				#提示输入特权密码	

(3)限制路由器开放ssh端口。由于telnet语言都是以明文传输的,因此Telnet不安全,容易被别人截获密码。因此采用ssh对路由器进行远程管理,因为ssh采用非对称加密算法能保证信息安全的三要素。进入路由器命令行设置。

line vty 0 4			#进入虚拟console口配置模式
transport input ?		#查看该接口输入端口类型
transport input ssh		#限制接口仅开放ssh端口
password 123456			#配置ssh远程登录密码
login                   #需要登录验证
exit					#退出到全局配置模式
enable password 654321	#配置特权密码(采用远程控制时,如果没有设置特权密码则无法进入特权模式)

(4)生成密钥。由于ssh采用了非对称加密算法,需要生成秘钥

conf t						#进入全局配置模式
hostname r1					#生成秘钥需要有自定义名字
ip domain-name r1.zz.com	#生成秘钥需要有域名,此域名类似网站访问的那个域名,并不是公司域的那个域名,与公司的域无关。
crypto key generate rsa		#用RSA生成密钥,crypto(密码)与安全相关的配置,key与秘钥相关,generate生成秘钥,ras算法类型。

(5)PC端采用ssh远程管理路由器。实际工作中PC端不带ssh客户端,需要下载SSH客户端(xshell、security),PacketTracer仿真平台的PC设备自带ssh。进入PC端cmd窗口。

ssh /?								#查看ssh命令用法,实际需要根据所安装的客户端查看对应命令
→Usage: SSH -l username target		#提示需要输入设备名及IP地址。
ssh -l r1 10.1.1.254				#采用ssh端口远程控制路由器,后续提示输入密码与Telnet端口一致

注意:
这里ssh的用法仅限于这个PacketTracer软件。现实中的用法一般为ssh 用户名@ip地址。

(6)设置实名认证。登录时需要账号及密码,为明确对网络设备的远程修改来源于哪位工程师,需要为不同工程师配置不同账户及密码,以追溯责任。进入路由器命令行

line vty 0 3					#进入虚拟console口配置模式
no password						#删除之前配置的密码
no login						#该命令表示无需密码即可远程管理路由器,不能停留太长时间
login local 					#采用本地账号数据库账号进行登录
exit							#退出到全局配置模式,设置本地账号数据库
username 用户名1 password 密码1	#设置第一个账户密码
username 用户名2 password 密码2	#设置第二个账户密码
do show run						#强制查看运行配置文件

(7)PC通过实名认证方式登录路由器。打开PC端cmd窗口

ssh -l 用户名1 10.1.1.254		#以用户名1的身份登录配置路由器

tips:
路由器也有自己的日志,上面可以记录每个工程师做的配置。若是公司单独配置一个日志服务器,备份所有设备的日志,即使工程师在本地删除日志,日志服务器上也有备份。

3 远程管理交换机

3.1 实验目标

在PacketTracer平台上构建以下两个局域网,并使用如下目标:

(1)为各个设备配置IP、子网掩码、网关等。
(2)实现各个设备间能互相ping通。
(3)实现远程管理同网段的交换机及跨网段管理交换机。

3.2 配置IP地址

3.2.1 为PC配置IP地址

选中设备→桌面→IP地址管理。为设备配置IP地址、子网掩码、网关等参数。

3.2.2 为路由器配置IP地址

(1)进入路由器命令行,命令提示是否采用配置对话窗口的形式,该形式是傻瓜模式,类似其他软件的安装向导,只能他问我答,不够灵活。输入no进入,工作模式及命令与交换机相似。

(2)型号2811路由器有两个接口,刚好连接两个交换机,需要分别针对两个接口配置IP地址。需要看着图配。

en									#进入特权模式
conf t								#进去全局配置模式
do show ip int b					#查看接口状态
int f0/0							#进入接口配置模式,接口为f0/0
ip add 10.1.1.254 255.255.255.0		#为接口f0/0配置ip
no shutdown							#开启接口
do show ip int b					#查看接口状态
exit
int f0/1							#进入接口配置模式,接口为f0/1
ip add 20.1.1.254 255.255.255.0		#为接口f0/1配置ip
no shutdown							#开启接口
do show ip int b					#查看接口状态
show run							#显示running-config文件信息
write								#保存配置

3.2.3 为交换机配置管理IP地址

交换机的接口属于2层接口,无法配置IP,对于企业级交换机而言,为方便工程师远程管理,企业级交换机常内置一个虚拟接口Vlan,该接口属于3层接口,可配置管理IP。
分别选中交换机进行配置→命令行。

en							#进入特权模式
conf t						#进入全局配置模式
do show ip int b			#查看接口列表
int vlan 1					#进入虚拟接口配置模式
ip add IP 子网掩码			#配置IP及子网掩码
no shut						#开启接口
do show ip int b			#查看接口列表
do write					#保存配置

3.2.3 为交换机指定网关

由于需要跨网段管理交换机,那么交换机回报时,也需要指定网关,否则无法与另一个网段的PC连通

en							#进入特权模式
conf t						#进入全局配置模式
ip default-gateway 网关		#设置网关,在全局配置模式下
do show run					#显示running-config文件信息
do write					#保存配置

3.2.4 验证是否连通及分析网关的作用

  • PC间ping通
    (1)打开PC1(10.1.1.1)的命令窗口,ping一下10.1.1.2,验证PC2是否联通10.1.1.2,可以ping通;
    (2)在PC1(10.1.1.1)的命令窗口,ping一下20.1.1.1,请问此时能否ping通。注意,需要分析ping的过程,PC1首先将20.1.1.1与自己的网段做对比,若处于同一网段,则通过交换机连目标IP,若不属于同一个网段,则找网关。由于PC1未指定网关,因此ping不通。
    (3)给PC1(10.1.1.1)和10.1.1.2指定网关10.1.1.254;请问此时是否能ping通。仍然从ping的过程去分析:PC1指定了网关,将数据包发给了20.1.1.1,20.1.1.1需要给PC1(10.1.1.1)回包,回包成功,才能ping通。由于20.1.1.1未指定网关,因此无法给PC1(10.1.1.1)回包,ping不通。
    (4)给20.1.1.1和20.1.1.2指定网关20.1.1.254.此时,PC间就可以互相ping通。
  • pc可以ping通同网段的交换机
    (1)在PC1(10.1.1.1)的命令窗口,ping一下10.1.1.253,可以ping通。
    (2)在20.1.1.1的命令窗口,ping一下20.1.1.253,可以ping通。
  • pc可以ping通不同网段的交换机
    (1)在PC1(10.1.1.1)的命令窗口,ping一下20.1.1.253,可以ping通

3.3 为交换机开放远程管理端口

为两个局域网的两个交换机均设置远程管理。

en
conf t								#进入全局配置模式
enable password 654321				#配置特权密码(采用远程控制时,如果没有设置特权密码则无法访问)
username 用户名1 password 密码1		#设置第一个账户密码
username 用户名2 password 密码2		#设置第二个账户密码
line vty 0 3						#进入虚拟终端配置模式。
login local 						#采用本地账号数据库账号进行登录
transport input all					#接口开放telnet和ssh端口
exit 
ho 主机名
ip domain-name sw1.zz.com			#用RSA生成密钥,生成秘钥需要有域名,不需要与公司域名相同。
crypto key generate rsa				#crypto与安全相关的配置,key与秘钥相关,generate生成秘钥,ras算法类型。

3.4 PC远程管理交换机

打开PC端cmd窗口

ssh -l 用户名 交换机IP		#以用户名的身份登录配置交换机
telnet 交换机IP

参考文章

[1] 第28节 构建简单局域网并实现远程管理路由器与交换机——基于PacketTracer仿真

本文标签: 远程管理 路由 交换机 器及 Tracer