管理路由和交换设备的四种模式-SSH
作为一名网管员,在路由器、交换机上进行命令配置,可以说是最为平常的工作,其目的都是通过命令的执行和参数的调整,让路由器和交换机能够以网管员的要求去运行。这几乎是网络管理员每天都要进行的操作,那管理网络设备都有哪几种方式,哪种管理方式更简单,哪种方式更高效?这其实主要是根据网络管理员的实际使用情况进行选择。下面就对网络路由和交换设备的管理模式进行简单的总结。
图1 使用SSH方式管理的网络拓扑
一、使用SSH(Secure Shell Protocol,安全外壳协议)方式进行管理。
1、Cisco网络设备的SSH配置
如图1所示为使用SSH方式管理网络设备的拓扑图,Cisco 4506和Cisco 3750通过Trunk线连接,远程PC通过SSH方式对Cisco 4506进行管理,其中Cisco 4506是通过端口3/1,和Cisco 3750的G1/0/25端口相连,两个端口都是光口。PC的IP地址为10.10.20.3/24,并和Cisco 3750的G1/0/1端口相连。Cisco 4506和Cisco 3750上的主要配置如下所示。
在Cisco 4506上的配置:
- interface GigabitEthernet3/1
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.1 255.255.255.0
在Cisco 3750上的配置:
- interface GigabitEthernet1/0/1
- switchport access vlan 20
- switchport mode access
- interface GigabitEthernet1/0/25
- switchport trunk encapsulation dot1q
- switchport trunk allowed vlan 20,30-300
- switchport mode trunk
- interface Vlan20
- ip address 10.10.20.2 255.255.255.0
由以上配置可以看出,Cisco 4506和Cisco 3750的管理Vlan的IP地址分别是10.10.20.1/24和10.10.20.2/24,Cisco 3750的G1/0/1端口位于VLAN 20中,并和电脑PC相连。这种情况下,Cisco 4506和Cisco 3750的三层Vlan20端口,和3750的G1/0/1其实都位于二层VLAN 20中。
要在PC上,通过SSH方式管理Cisco 4506交换机,还需要在4506上进行如下配置:
- Switcher(config)# hostname Cisco 4506
- Cisco 4506 (config)# ip domain-name domainname.com
- //为交换机设置一个域名,也可以认为这个交换机是属于这个域
- Cisco 4506 (config)# crypto key generate rsa
- //此命令是产生一对RSA密钥,同时启用SSH,如果你删除了RSA密钥,就会自动禁用该SSH服务
- Cisco 4506 (config)# aaa new-model
- //启用认证,授权和审计(AAA)
- Cisco 4506 (config)#username cisco password cisco
- //配置用户名和密码
- Cisco 4506 (config)# ip ssh time-out 60
- //配置SSH的超时周期
- Cisco 4506 (config)# ip ssh authentication-retries 2
- //配置允许SSH验证的次数
- Cisco 4506 (config)# line vty 0 15
- Cisco 4506 (config-line)# transport input SSH
- //在虚拟终端连接中应用SSH
需要注意的是,在运行上面的配置命令前,要先确认你的交换机和路由器是不是支持SSH功能。一般在交换机或路由器的Enable模式下通过命令show ip ssh就可以查看,如在图1的Cisco 4506中执行如下命令:
- Cisco 4506#sh ip ssh
- SSH Disabled - version 1.99
- %Please create RSA keys to enable SSH.
- Authentication timeout: 120 secs; Authentication retries: 3
由上面的输出可以看出,Cisco 4506支持SSH功能,只是还没有启用而已。
而在Cisco 3750上执行如上命令后会得到如下显示:
- Cisco3750#sh ip ssh
- ^
- % Invalid input detected at '^' marker.
由上面的输出可以看出,图1中的3750并不支持SSH功能。
图2 虚拟终端上的参数配置
配置完上面的命令后,就可以在电脑PC上测试你的配置。首先,要在PC上安装有SSH终端客户端程序,如SecureCRT,然后在SecureCRT中进行相应的设置,如图2所示,然后点击"Connect"按钮,按提示输入用户名cisco及密码cisco,即可进入到Cisco 4506交换机的配置界面。
2、H3C网络设备的SSH配置
H3C网络设备SSH的配置,在原理上和在思科设备上的配置一样,只是在命令上有差别而已,下面就以H3C S3100-52TP-SI交换机为例,说明如何在H3C交换机上配置SSH。
- <H3C-S3100> system-view
- [H3C-S3100] public-key local create rsa
- //生成RSA密钥对
- [H3C-S3100] public-key local create dsa
- //生成DSA密钥对
- [H3C-S3100] ssh server enable
- //启动SSH服务器
- [H3C-S3100] user-interface vty 0 4
- [H3C-S3100-ui-vty0-4] authentication-mode scheme
- //设置SSH客户端登录用户界面的认证方式为AAA认证
- [H3C-S3100-ui-vty0-4] protocol inbound ssh
- //设置H3C-S3100上远程用户登录协议为SSH
- [H3C-S3100] local-user admin
- [H3C-S3100-luser-admin] password simple 12345
- [H3C-S3100-luser-admin] service-type ssh level 3
- //创建本地用户admin,登录密码为12345,并设置用户访问的命令级别为3,即管理级用户
- [H3C-S3100] ssh user admin authentication-type password
- //指定SSH用户admin的认证方式为password
配置完上面的命令后,也可以使用SecureCRT,用SSH方式登录到H3C S3100-52TP-SI交换机上,输入用户名和密码后,就可以进行管理和配置。
3、SSH是建立在应用层和传输层基础上的安全协议,也是为解决Telnet的安全隐患而开发的一个协议。因为使用Telnet,在网络上是通过明文传送口令和数据的,"中间人"很容易截获这些口令和数据。而SSH是基于成熟的公钥密码体系,把所有的传输数据都进行加密,保证在数据传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式,解决传输中数据加密和身份认证的问题,能有效防止网络嗅探和IP地址欺骗等攻击。它也能为远程登录会话和其他网络服务提供安全协议,可以有效防止远程管理过程中的信息泄露问题。使用SSH,还有一个额外的好处就是数据的传输是经过压缩的,所以可以加快传输的速度。SSH还可以为FTP和PPP的使用提供一个安全的"通道"。
SSH协议已经历了SSH1和SSH2两个版本,它们使用了不同的协议来实现,二者互不兼容。SSH2无论是在安全上、功能上,还是在性能上都比SSH1有很大优势,所以目前使用最多的还是SSH2。