实验三-交换机的带内和带外管理.doc

1、实验三 交换机的带内和带外管理 实验三 交换机带内管理和带外管理 【实验目的】 1、 熟悉带内管理和带外管理的区别 2、 掌握带内管理和带外管理的实现方式 3、 灵活使用带内管理和带外管理的方式交换机 【引入案例】 A单位要进行网络升级改造，购置了一批全新的网络设备，其中交换机的数量最多，这些新的交换机将分布在各楼层、各片区，网络中心的管理员负责它们的安装、调试以及日后的管理和维护。面对数量众多且物理位置相距较远的交换机，网管人员必须找到一种省时、便捷的网络管理方式。 【案例分析】 交换机是网络中除终端计算机外使用数量最多，分布范围最广的网络设备，特别是像A单位这种比较

2、大型的内部网络，交换机的维护管理工作更是频繁。如果每台交换机都需要人工到现场进行配置管理，网管人员的工作量之巨大可想而知，而当交换机出现故障，更不能及时排除。实际上，我们可以使用Telnet、Web等方式对交换机进行远程管理，也就是交换机的带内管理。我们只需要在交换机上把带内管理模式配置好，网管人员只需坐在控制机房，通过远程登录就可以对遍布各个角落的交换机管理配置。 【基本原理】 交换机的管理方式可以分为带内管理和带外管理两种管理模式。所谓带内管理，是指管理控制信息与数据业务信息通过同一个信道传送。使用带内管理，可以通过交换机的以太网端口对设备进行远程管理配置，目前我们使用的网络管理手段基

3、本上都是带内管理。 在带外管理模式中，网络的管理控制信息与用户数据业务信息在不同的信道传送。带内管理和带外管理的最大区别在于，带内管理的管理控制信息占用业务带宽，其管理方式是通过网络来实施的，当网络中出现故障时，无论是数据传输还是管理控制都无法正常进行，这是带内管理最大的缺陷；而带外管理是设备为管理控制提供了专门的带宽，不占用设备的原有网络资源，不依托于设备自身的操作系统和网络接口。简单地说，交换机的带外管理就是不通过交换机的以太网口进行管理的方式，而带内管理的管理信息则需要通过交换机的以太网口来传送。 从交换机的访问方式来说，通过Telnet、Web、SNMP方式对交换机进行远程管理都属

4、于带内管理，而通过交换机的Console口对它进行管理的方式属于带外管理。 一、通过Console口进行本地登录 一般来说，交换机设备开箱启封后，网络管理员为了统一管理和将交换机性能发挥到最佳状态，都会首先使用设备的console口来对设备进行一些必要的初始配置。因此，通过交换机的console口本地登录是登录交换机的最基本的方式，也是配置通过其他方式登录交换机的基础。用户终端的通信参数配置要和交换机Console口的配置保持一致，才能通过Console口登录到以太网交换机上。用户登录到交换机上后，可以对Console口登录方式的公共属性和认证方式进行相关的配置。 Console口登录方

5、式的认证方式有None、Password、Scheme三种，不同的认证方式下，需要配置不同的Console口登录方式的属性。其中，Console口登录方式的公共属性都有设备出厂默认值，用户可以根据需要选择配置，包括Console口的传输速率、校验方式、停止位和数据位等。 H3C S3100系列以太网交换机支持两种用户界面：AUX用户界面、VTY用户界面。配置Console口登录方式必须在AUX用户界面视图下进行。 二、通过Telnet进行登录 只要以太网交换机支持Telnet功能，用户就可以通过Telnet方式对交换机进行远程管理和维护。交换机和Telnet用户端都要进行相应的配置，才能

6、实现远程登录交换机。 与Console口登录方式类似，Telnet登录方式也有None、Password、Scheme三种，不同的认证方式下，需要配置不同的Telnet登录方式的属性，用户可以根据需要选择配置，包括VTY用户界面、VTY用户终端属性等配置。 配置Telnet登录方式需要在VTY用户界面视图下进行。 三、通过Web网管登录 采用web方式登录的管理者则可以通过图形界面与交换机进行交互，比较直观但也会占用较多网络资源。它利用支持Web网管登录的以太网交换机提供内置的WEB Server，用户可以通过终端登录到交换机上，以WEB方式直观地管理和维护以太网交换机。与Telnet

7、登录方式类似，交换机和WEB网管终端都要进行相应的配置，才能保证通过WEB网管方式正常登录交换机。其中，交换机需要配置VLAN接口的IP地址，保证交换机与WEB网管终端之间路由可达，并配置WEB网管的用户名和认证口令以及用户登录后访问的命令级别；而WEB网管终端则需要安装IE浏览器进行WEB网管登录。 【命令介绍】 一、通过Telnet远程登录交换机。 1．设置登录用户的认证方式 authentication-mode { none | password | scheme } 〖视图〗用户界面视图 〖参数〗 l none：不需要认证。 l password：进行口令认证。 l

8、 scheme：进行本地或远端用户名和口令认证。 〖例〗在VTY用户界面视图下，设置通过VTY0登录交换机的Telnet用户不需要进行认证。 [H3C-ui-vty0] authentication-mode none 2．设置/取消从用户界面登录后可以访问的命令级别 user privilege level level undo user privilege level 〖视图〗用户界面视图 〖参数〗 l level：从用户界面登录后可以访问的命令级别，取值范围为0～3。 缺省情况下，从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别

9、为0级。 命令级别共分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3，说明如下： 访问级（0级）：用于网络诊断等功能的命令。包括ping、tracert、telnet等命令，执行该级别命令的结果不能被保存到配置文件中。 监控级（1级）：用于系统维护、业务故障诊断等功能的命令。包括debugging、terminal等命令，执行该级别命令的结果不能被保存到配置文件中。 系统级（2级）：用于业务配置的命令。包括路由等网络层次的命令，用于向用户提供网络服务。 管理级（3级）：关系到系统的基本运行、系统支撑模块功能的命令，这些命令对业务提供支撑作用。包括文件系统、、XModem

10、下载、用户管理命令、级别设置命令等。 〖例〗在VTY用户界面视图下，设置从VTY0用户界面登录后可以访问的命令级别为1。 [H3C-ui-vty0] user privilege level 1 3．配置用户界面支持的协议 protocol inbound { all | telnet } 〖视图〗VTY用户界面视图 〖参数〗 l all：支持所有的协议。 l telnet：支持Telnet协议。 〖例〗配置VTY0用户界面只支持Telnet协议 . [H3C-ui-vty0] protocol inbound telnet 4．配置/取消配置屏幕上一屏中能够显示的信

11、息的行数 screen-length screen-length undo screen-length 〖视图〗用户界面视图 〖参数〗 l screen-length：屏幕分屏显示的行数，取值范围为0～512。缺省情况下，screen-length 的值为24行，取值为0表示关闭分屏显示功能。 〖例〗在VTY用户界面视图下，设置终端屏幕的一屏行数为20行。 [H3C-ui-vty0] screen-length 20 5．设置/取消设置当前用户视图历史命令缓冲区的大小 history-command max-size value undo history-command

12、 max-size 〖视图〗用户界面视图 〖参数〗 l value：历史缓冲区的大小，取值范围为0～256。缺省情况下，历史命令缓冲区的大小为10，即可存放10条历史命令。 〖例〗设置VTY0用户界面历史命令缓冲区的大小为20，即可以保存20条历史命令。 [H3C-ui-vty0] history-command max-size 20 6．配置/取消配置用户超时断开连接的时间 idle-timeout minutes [ seconds ] undo idle-timeout 〖视图〗用户界面视图 〖参数〗 l minutes：分钟数，取值范围为0～35791。sec

13、onds：秒数，取值范围为0～59。缺省情况下，用户超时断开连接的时间为10分钟。设置idle-timeout 0即关闭超时中断连接功能。 〖例〗设置VTY0用户界面的超时断开连接时间为1分钟。 [H3C-ui-VTY0] idle-timeout 1 如果在所设定的时间内用户没有对交换机执行任何操作，则交换机将断开与该用户的连接。 7．设置/取消本地认证的口令 set authentication password { cipher | simple } password undo set authentication password 〖视图〗用户界面视图 〖参数〗 l

14、cipher：设置本地认证口令以密文方式存储。 l simple：设置本地认证口令以明文方式存储 l password：口令字符串。如果验证方式是simple，则password必须是明文口令。如果验证方式是cipher，则用户在设置password时有两种方式： （1）一种是输入小于等于16字符的明文口令，系统会自动转化为24位的密文形式； （2）另一种是直接输入24字符的密文口令，这种方式要求用户必须知道其对应的明文形式。如：明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!”。 〖例〗在VTY用户界面视图下，设置VTY0的本地认证明文口令为123

15、 [H3C-ui-VTY0] set authentication password simple 123 二、通过WEB方式远程登录交换机 1．设置/取消设置某用户登录类型及登录后可以访问的命令级别 service-type { ftp | telnet | [ level level ] } undo service-type { ftp | telnet } 〖视图〗本地用户视图 〖参数〗 l ftp：指定用户为ftp类型。 l telnet：指定用户为Telnet类型。 l level level：指定Telnet用户可以访问的命令级别。level为整数，取值范围

16、0～3，缺省级别为0级。与用户界面命令级别一样，本地用户命令级别也分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3。 〖例〗在系统视图下，设置本地用户名为abc，登录后可以访问命令级别为0级的命令。 [H3C] local-user abc [H3C-luser-abc] service-type telnet level 0 2．设置/取消设置本地用户的密码。 password { simple | cipher } password undo password 〖视图〗本地用户视图 〖参数〗 l simple：表示密码为明文。 l cipher：表示密码

17、为密文。 l password：表示设置的密码， 〖例〗设置用户admin的密码采用明文方式，密码为123456。 [H3C] local-user admin [H3C-luser-admin] password simple 123456 3．关闭/取消关闭WEB Server,关闭/取消关闭HTTP服务对应的TCP 80端口 ip http shutdown undo ip http shutdown 〖视图〗系统视图 〖例〗在系统视图下，关闭WEB Server。 [H3C] ip http shutdown 缺省情况下，WEB Server处于启动状态。 三、

18、为接口配置IP地址。 1．为/取消以太网端口或VLAN接口配置IP地址和掩码。 ip address ip-address mask undo ip address [ ip-address mask ] 〖视图〗以太网端口视图/VLAN接口视图 〖参数〗 l ip-address：管理VLAN接口的IP地址。 l mask：管理VLAN接口IP地址的掩码，点分十进制格式或以整数形式表示的长度，当用整数形式时，取值范围为0～32。 〖例〗在系统视图下，为当前管理VLAN 1的接口配置IP地址为192.168.10.2，掩码255.255.255.0。 [H3C] inter

19、face Vlan-interface 1 [H3C-Vlan-interface1] ip address 192.168.10.2 255.255.255.0 【解决方案】 1．案例描述 A单位的交换机由于是新购置的设备，里面只有默认的出厂设置，而Telnet、Web等登录方式的前提是先要交换机开启一些相关的服务。因此，网管人员可以通过交换机console口登录，对新开箱启封的交换机进行一些初始的配置，包括配置好Telnet、Web等登录方式所需环境。这样，即使把交换机安装在物理位置相对较远的地方，网管人员也能用远程登录的方式对交换机进行后续的管理和维护。如果日后发生网络故障，某台

20、交换机与外界网络完全中断，无法对其实行带内管理，可以考虑采用带外管理的方式，不使用设备的网络接口，也就是通过交换机的console口对其进行配置管理。因此，针对本案例，网管人员可以先通过交换机的Console口登录交换机，配置好Telnet登录方式所需环境，就可以实现远程登录的方式来管理交换机。 2．拓扑图 （1）通过Console口登录交换机。 图2.1 （2）通过Telnet远程登录交换机。 图2.2 【实验设备】二层交换机1台，PC机1台，配置电缆1根，标准网线1根。 说明：本实验二层交换机选择H3C LS-S3100-16C-SI-AC。 【实施步骤】 步骤

21、1 用交换机的console口登录交换机作初始配置 1．按拓扑图 建立本地配置环境，将配置电缆的RJ-45端口接入以太网交换机的console口，配置电缆另一端的串口则接入PC机（或终端）的串口。Console口是一种线设备端口。 2．在PC机（或终端）上运行终端仿真程序，如Windows XP的超级终端，选择与交换机相连的串口，设置终端通信参数：传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图所示。 图2.3 新建连接 图2.4 选择连接端口 图2.5 端口参数设置 3．打开交换机电源，交换机会进行设备自检，完成后会在屏幕提示用户输入回车键

22、敲入回车键后就可以看到命令行提示符，此时证明交换机登录成功，即可以输入相关的命令配置交换机。 图2.6 进入配置界面 步骤2 配置Telnet的登录方式（认证方式为Password）。 1．进入系统视图。 system-view 2．进入交换机vlan1接口视图配置交换机的IP地址。 [H3C]interface vlan-interface 1 [H3C--Vlan-interface1] ip address 10.16.1.1 255.255.255.0 [H3C--Vlan-interface1] quit 3．进入VTY0用户

23、界面视图。S3100系列以太网交换机支持两种用户界面：AUX用户界面和VTY用户界面。AUX（Auxiliary）用户界面是系统为通过Console口登录方式提供的视图；VTY（Virtual Type Terminal，虚拟类型终端）用户界面是系统为通过VTY方式登录提供的视图，对设备进行Telnet访问属于VTY登录方式。 在H3C系列以太网交换机中，AUX口和Console口是同一个端口，以下称为Console口，与其对应的用户界面类型只有AUX用户界面类型。 [H3C] user-interface vty 0 4．设置登录用户的认证方式为Password认证。 [H3C

24、ui-vty0] authentication-mode password 5．设置本地验证的口令为明文的123456。 [H3C-ui-vty0] set authentication password simple 123456 6．由于本案例使用Telnet登录是为了实现管理员的日常管理，因此设置从用户界面登录后可以访问的命令级别为最高级别的管理级（对应的数字标识为3）。 [H3C-ui-vty0] user privilege level 3 7．配置用户界面支持Telnet协议。 [H3C-ui-vty0] protocol inbound telnet 8

25、．完成以上的基本配置后，只要保证终端与所要配置的交换机之间的路由可达就可以在终端运行“telnet 10.16.1.1”命令，并输入相应的口令，即可远程登录该交换机。 【试试看】 通过WEB网管登录 1、配置交换机的VLAN1接口IP。 2、在交换机上配置网管的用户名和认证口令。（配置WEB用户名为admin,用户级别设为3）。 3、保证交换机与PC机路由可达。 4、在PC机通过IE浏览器登陆交换机，在地址栏输入：http://（ip地址）。 5、输入用户名和密码，点击登陆，进入WEB网管主页面。 【工程项目】 B公司一直采用带内管理方式管理公司内部的交换机。小王是B公司新招的网管，上班的第一天，小王想用Telnet登录某台交换机C进行日常维护，却发现交换机C的Telnet登录采用password的认证方式。经询问，上一任网管辞职时没有留下任何的备份文件，公司里也没有人知道登录密码。小王现在该如何才能登录交换机C，并实现用自己设置的密码进行Telnet登录以便日后的正常管理呢？（假设交换机C的console口登录的认证方式为none。）