图解：管理路由和交换设备的四种模式(1)

图解：管理路由和交换设备的四种模式(1)

51CTO.com 独家特稿】作为一名网管员，在路由器、交换机上进行命令配置，可以说是最为平常的工作，其目的都是通过命令的执行和参数的调整，让路由器和交换机能够以网管员的要求去运行。这几乎是网络管理员每天都要进行的操作，那管理网络设备都有哪几种方式，哪种管理方式更简单，哪种方式更高效？这其实主要是根据网络管理员的实际使用情况进行选择。下面就对网络路由和交换设备的管理模式进行简单的总结。

图1  使用SSH方式管理的网络拓扑

一、使用SSH(Secure Shell Protocol，安全外壳协议)方式进行管理。

1、Cisco网络设备的SSH配置

如图1所示为使用SSH方式管理网络设备的拓扑图，Cisco 4506和Cisco 3750通过Trunk线连接，远程PC通过SSH方式对Cisco 4506进行管理，其中Cisco 4506是通过端口3/1，和Cisco 3750的G1/0/25端口相连，两个端口都是光口。PC的IP地址为10.10.20.3/24，并和Cisco 3750的G1/0/1端口相连。Cisco 4506和Cisco 3750上的主要配置如下所示。

在Cisco 4506上的配置：

interface GigabitEthernet3/1  
 switchport trunk encapsulation dot1q  
 switchport trunk allowed vlan 20,30-300  
 switchport mode trunk  
interface Vlan20  
 ip address 10.10.20.1 255.255.255.0 

在Cisco 3750上的配置：

interface GigabitEthernet1/0/1  
 switchport access vlan 20  
 switchport mode access  
interface GigabitEthernet1/0/25  
 switchport trunk encapsulation dot1q  
 switchport trunk allowed vlan 20,30-300  
 switchport mode trunk  
interface Vlan20  
 ip address 10.10.20.2 255.255.255.0 

由以上配置可以看出，Cisco 4506和Cisco 3750的管理Vlan的IP地址分别是10.10.20.1/24和10.10.20.2/24，Cisco 3750的G1/0/1端口位于VLAN 20中，并和电脑PC相连。这种情况下，Cisco 4506和Cisco 3750的三层Vlan20端口，和3750的G1/0/1其实都位于二层VLAN 20中。

要在PC上，通过SSH方式管理Cisco 4506交换机，还需要在4506上进行如下配置：

Switcher(config)# hostname Cisco 4506  
Cisco 4506 (config)# ip domain-name domainname.com  
    //为交换机设置一个域名，也可以认为这个交换机是属于这个域  
Cisco 4506 (config)# crypto key generate rsa  
    //此命令是产生一对RSA密钥，同时启用SSH，如果你删除了RSA密钥，就会自动禁用该SSH服务  
Cisco 4506 (config)# aaa new-model  
    //启用认证，授权和审计AAA）  
Cisco 4506 (config)#username cisco password cisco  
    //配置用户名和密码  
Cisco 4506 (config)# ip ssh time-out 60  
    //配置SSH的超时周期  
Cisco 4506 (config)# ip ssh authentication-retries 2  
    //配置允许SSH验证的次数  
Cisco 4506 (config)# line vty 0 15  
Cisco 4506 (config-line)# transport input SSH  
    //在虚拟终端连接中应用SSH 

需要注意的是，在运行上面的配置命令前，要先确认你的交换机和路由器是不是支持SSH功能。一般在交换机或路由器的Enable模式下通过命令show ip ssh就可以查看，如在图1的Cisco 4506中执行如下命令：

Cisco 4506#sh ip ssh       
    SSH Disabled - version 1.99  
%Please create RSA keys to enable SSH.  
Authentication timeout: 120 secs; Authentication retries: 3 

由上面的输出可以看出，Cisco 4506支持SSH功能，只是还没有启用而已。

而在Cisco 3750上执行如上命令后会得到如下显示：

Cisco3750#sh ip ssh  
                  ^  
% Invalid input detected at '^' marker. 

由上面的输出可以看出，图1中的3750并不支持SSH功能。

图2  虚拟终端上的参数配置

配置完上面的命令后，就可以在电脑PC上测试你的配置。首先，要在PC上安装有SSH终端客户端程序，如SecureCRT，然后在SecureCRT中进行相应的设置，如图2所示，然后点击"Connect"按钮，按提示输入用户名cisco及密码cisco，即可进入到Cisco 4506交换机的配置界面。

2、H3C网络设备的SSH配置

H3C网络设备SSH的配置，在原理上和在思科设备上的配置一样，只是在命令上有差别而已，下面就以H3C S3100-52TP-SI交换机为例，说明如何在H3C交换机上配置SSH。

<H3C-S3100> system-view  
[H3C-S3100] public-key local create rsa  
  //生成RSA密钥对  
[H3C-S3100] public-key local create dsa  
  //生成DSA密钥对    
[H3C-S3100] ssh server enable  
    //启动SSH服务器  
[H3C-S3100] user-interface vty 0 4  
[H3C-S3100-ui-vty0-4] authentication-mode scheme  
    //设置SSH客户端登录用户界面的认证方式为AAA认证  
[H3C-S3100-ui-vty0-4] protocol inbound ssh  
    //设置H3C-S3100上远程用户登录协议为SSH  
[H3C-S3100] local-user admin  
[H3C-S3100-luser-admin] password simple 12345  
[H3C-S3100-luser-admin] service-type ssh level 3  
    //创建本地用户admin，登录密码为12345，并设置用户访问的命令级别为3，即管理级用户  
[H3C-S3100] ssh user admin authentication-type password  
    //指定SSH用户admin的认证方式为password 

配置完上面的命令后，也可以使用SecureCRT，用SSH方式登录到H3C S3100-52TP-SI交换机上，输入用户名和密码后，就可以进行管理和配置。

3、SSH是建立在应用层和传输层基础上的安全协议，也是为解决Telnet的安全隐患而开发的一个协议。因为使用Telnet，在网络上是通过明文传送口令和数据的，"中间人"很容易截获这些口令和数据。而SSH是基于成熟的公钥密码体系，把所有的传输数据都进行加密，保证在数据传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式，解决传输中数据加密和身份认证的问题，能有效防止网络嗅探和IP地址欺骗等攻击。它也能为远程登录会话和其他网络服务提供安全协议，可以有效防止远程管理过程中的信息泄露问题。使用SSH，还有一个额外的好处就是数据的传输是经过压缩的，所以可以加快传输的速度。SSH还可以为FTP和PPP的使用提供一个安全的"通道"。

SSH协议已经历了SSH1和SSH2两个版本，它们使用了不同的协议来实现，二者互不兼容。SSH2无论是在安全上、功能上，还是在性能上都比SSH1有很大优势，所以目前使用最多的还是SSH2。