这里写目录标题
0 摘要
本节首先简要介绍了交换机与路由器的接口默认状态及作用的区别。然后用Cisco Packet Tracer软件搭建了2个简单局域网,详细介绍了交换机及路由器,使用Telnet/ssh两种远程管理方式,login与login local两种验证方式进行远程管理的过程。
1 交换机与路由器
1.1 接口默认状态
(1)交换机接口默认已开启。
(2)路由器接口默认都是管理down(人工shutdown)。
1.2作用及区别
(1)路由器,连接不同的局域网,其上的各个端口必须连接不同网段。专门用来隔离网络。
(2)交换机,连接同一网段内的设备。交换机隔离不了网段。交换机连交换机,无论连多少个,都属于同一个网段。
2 远程管理路由器
2.1 实验目标
在PacketTracer平台上构建如下局域网,并实现如下目标:
(1)为各个设备配置IP、子网掩码、网关等。
(2)实现各个设备间能互相ping通。
(3)实现远程管理路由器。
2.2 配置IP地址
2.2.1 为PC配置IP地址
选中设备→桌面→IP地址管理。为设备配置IP地址、子网掩码、网关等参数。
2.2.2 为路由器配置IP地址
(1)进入路由器命令行,命令提示是否采用配置对话窗口的形式,该形式是傻瓜模式,类似其他软件的安装向导,只能他问我答,不够灵活。输入no进入,工作模式及命令与交换机相似。
en #进入特权模式
conf t #进去全局配置模式
do show ip int b #查看接口状态
int f0/0 #进入接口配置模式,接口为f0/0
ip add 10.1.1.254 255.255.255.0 #为接口f0/0配置ip
no shutdown #开启接口
do show ip int b #查看接口状态
end
show run #显示running-config文件信息
write #保存配置
2.2.3 验证是否连通
(1)打开PC1((10.1.1.1)的命令窗口,ping一下10.1.1.2,验证PC2是否联通10.1.1.2;
(2)打开PC1((10.1.1.1)的命令窗口,ping一下10.1.1.254,验证网关是否联通;
2.3 远程管理路由器设置
(1)路由器打开telnet远程管理端口。打开路由器telnet端口,并设置telnet密码和特权密码。
en
conf t
line vty 0 ? #对于2811路由器,回馈?位置可以填1-15.
line vty 0 4 #进入虚拟终端配置模式。为该设备开启5个虚拟终端(虚拟console口),允许5个人同时控制
transport input ? #查看该接口输入端口类型,可以写telnet/ssh/none/all
transport input telnet #限制虚拟端口仅开放telnet端口,若无该条命令,虚拟端口默认打开telnet端口。
password 123456 #与console配置模式一样配置telnet远程登录密码
login #需要登录验证
exit #退出到全局配置模式
enable password 654321 #配置特权密码(采用远程控制时,如果没有设置特权密码则无法进入特权模式)
(2)PC端telnet路由器。打开PC端的cmd命令行,进入用户模式→进入特权模式及其他模式可以远程配置路由器。
Telnet 10.1.1.254
→Password #提示输入用户密码
→Router #进入路由器用户模式
en #尝试进入特权模式
→Password #提示输入特权密码
(3)限制路由器开放ssh端口。由于telnet语言都是以明文传输的,因此Telnet不安全,容易被别人截获密码。因此采用ssh对路由器进行远程管理,因为ssh采用非对称加密算法能保证信息安全的三要素。进入路由器命令行设置。
line vty 0 4 #进入虚拟console口配置模式
transport input ? #查看该接口输入端口类型
transport input ssh #限制接口仅开放ssh端口
password 123456 #配置ssh远程登录密码
login #需要登录验证
exit #退出到全局配置模式
enable password 654321 #配置特权密码(采用远程控制时,如果没有设置特权密码则无法进入特权模式)
(4)生成密钥。由于ssh采用了非对称加密算法,需要生成秘钥
conf t #进入全局配置模式
hostname r1 #生成秘钥需要有自定义名字
ip domain-name r1.zz.com #生成秘钥需要有域名,此域名类似网站访问的那个域名,并不是公司域的那个域名,与公司的域无关。
crypto key generate rsa #用RSA生成密钥,crypto(密码)与安全相关的配置,key与秘钥相关,generate生成秘钥,ras算法类型。
(5)PC端采用ssh远程管理路由器。实际工作中PC端不带ssh客户端,需要下载SSH客户端(xshell、security),PacketTracer仿真平台的PC设备自带ssh。进入PC端cmd窗口。
ssh /? #查看ssh命令用法,实际需要根据所安装的客户端查看对应命令
→Usage: SSH -l username target #提示需要输入设备名及IP地址。
ssh -l r1 10.1.1.254 #采用ssh端口远程控制路由器,后续提示输入密码与Telnet端口一致
注意:
这里ssh的用法仅限于这个PacketTracer软件。现实中的用法一般为ssh 用户名@ip地址。
(6)设置实名认证。登录时需要账号及密码,为明确对网络设备的远程修改来源于哪位工程师,需要为不同工程师配置不同账户及密码,以追溯责任。进入路由器命令行
line vty 0 3 #进入虚拟console口配置模式
no password #删除之前配置的密码
no login #该命令表示无需密码即可远程管理路由器,不能停留太长时间
login local #采用本地账号数据库账号进行登录
exit #退出到全局配置模式,设置本地账号数据库
username 用户名1 password 密码1 #设置第一个账户密码
username 用户名2 password 密码2 #设置第二个账户密码
do show run #强制查看运行配置文件
(7)PC通过实名认证方式登录路由器。打开PC端cmd窗口
ssh -l 用户名1 10.1.1.254 #以用户名1的身份登录配置路由器
tips:
路由器也有自己的日志,上面可以记录每个工程师做的配置。若是公司单独配置一个日志服务器,备份所有设备的日志,即使工程师在本地删除日志,日志服务器上也有备份。
3 远程管理交换机
3.1 实验目标
在PacketTracer平台上构建以下两个局域网,并使用如下目标:
(1)为各个设备配置IP、子网掩码、网关等。
(2)实现各个设备间能互相ping通。
(3)实现远程管理同网段的交换机及跨网段管理交换机。
3.2 配置IP地址
3.2.1 为PC配置IP地址
选中设备→桌面→IP地址管理。为设备配置IP地址、子网掩码、网关等参数。
3.2.2 为路由器配置IP地址
(1)进入路由器命令行,命令提示是否采用配置对话窗口的形式,该形式是傻瓜模式,类似其他软件的安装向导,只能他问我答,不够灵活。输入no进入,工作模式及命令与交换机相似。
(2)型号2811路由器有两个接口,刚好连接两个交换机,需要分别针对两个接口配置IP地址。需要看着图配。
en #进入特权模式
conf t #进去全局配置模式
do show ip int b #查看接口状态
int f0/0 #进入接口配置模式,接口为f0/0
ip add 10.1.1.254 255.255.255.0 #为接口f0/0配置ip
no shutdown #开启接口
do show ip int b #查看接口状态
exit
int f0/1 #进入接口配置模式,接口为f0/1
ip add 20.1.1.254 255.255.255.0 #为接口f0/1配置ip
no shutdown #开启接口
do show ip int b #查看接口状态
show run #显示running-config文件信息
write #保存配置
3.2.3 为交换机配置管理IP地址
交换机的接口属于2层接口,无法配置IP,对于企业级交换机而言,为方便工程师远程管理,企业级交换机常内置一个虚拟接口Vlan,该接口属于3层接口,可配置管理IP。
分别选中交换机进行配置→命令行。
en #进入特权模式
conf t #进入全局配置模式
do show ip int b #查看接口列表
int vlan 1 #进入虚拟接口配置模式
ip add IP 子网掩码 #配置IP及子网掩码
no shut #开启接口
do show ip int b #查看接口列表
do write #保存配置
3.2.3 为交换机指定网关
由于需要跨网段管理交换机,那么交换机回报时,也需要指定网关,否则无法与另一个网段的PC连通
en #进入特权模式
conf t #进入全局配置模式
ip default-gateway 网关 #设置网关,在全局配置模式下
do show run #显示running-config文件信息
do write #保存配置
3.2.4 验证是否连通及分析网关的作用
- PC间ping通
(1)打开PC1(10.1.1.1)的命令窗口,ping一下10.1.1.2,验证PC2是否联通10.1.1.2,可以ping通;
(2)在PC1(10.1.1.1)的命令窗口,ping一下20.1.1.1,请问此时能否ping通。注意,需要分析ping的过程,PC1首先将20.1.1.1与自己的网段做对比,若处于同一网段,则通过交换机连目标IP,若不属于同一个网段,则找网关。由于PC1未指定网关,因此ping不通。
(3)给PC1(10.1.1.1)和10.1.1.2指定网关10.1.1.254;请问此时是否能ping通。仍然从ping的过程去分析:PC1指定了网关,将数据包发给了20.1.1.1,20.1.1.1需要给PC1(10.1.1.1)回包,回包成功,才能ping通。由于20.1.1.1未指定网关,因此无法给PC1(10.1.1.1)回包,ping不通。
(4)给20.1.1.1和20.1.1.2指定网关20.1.1.254.此时,PC间就可以互相ping通。 - pc可以ping通同网段的交换机
(1)在PC1(10.1.1.1)的命令窗口,ping一下10.1.1.253,可以ping通。
(2)在20.1.1.1的命令窗口,ping一下20.1.1.253,可以ping通。 - pc可以ping通不同网段的交换机
(1)在PC1(10.1.1.1)的命令窗口,ping一下20.1.1.253,可以ping通
3.3 为交换机开放远程管理端口
为两个局域网的两个交换机均设置远程管理。
en
conf t #进入全局配置模式
enable password 654321 #配置特权密码(采用远程控制时,如果没有设置特权密码则无法访问)
username 用户名1 password 密码1 #设置第一个账户密码
username 用户名2 password 密码2 #设置第二个账户密码
line vty 0 3 #进入虚拟终端配置模式。
login local #采用本地账号数据库账号进行登录
transport input all #接口开放telnet和ssh端口
exit
ho 主机名
ip domain-name sw1.zz.com #用RSA生成密钥,生成秘钥需要有域名,不需要与公司域名相同。
crypto key generate rsa #crypto与安全相关的配置,key与秘钥相关,generate生成秘钥,ras算法类型。
3.4 PC远程管理交换机
打开PC端cmd窗口
ssh -l 用户名 交换机IP #以用户名的身份登录配置交换机
telnet 交换机IP