网络实验实验一原理及步骤.doc

1、 原理 一. 交换机管理方式 交换机管理可分为带外管理与带内管理两种方式。带外管理指通过交换机的Console口进行管理，带内管理是指通过Telnet、Web等其它方式进行的管理。 下面就对常用的几种管理方式进行介绍： 1. 通过Console口配置 第一步：如下图所示，建立本地配置环境，只需将微机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。 图1-1-1 通过Console口配置交换机 第二步：在微机上运行超级终端程序(开始->程序->附件->通信->超级终端)。设备终端通信参数：波特率为9600b/s、8位

2、数据位、1位停止位、无校验和无流量控制。单击“确定”按钮进入下一步。 第三步：如果已经将线缆按要求连接好，并且交换机已经启动，此时按Enter键，将进入交换机的用户视图；否则启动交换机，超级终端会自动显示交换机的整个启动过程。 第四步：键入命令，配置以太网交换机或查看以太网交换机的运行状态。需要帮助可以随时键入“？”。 2. 通过Telnet配置 如果用户已经通过Console口正确配置以太网交换机某VLAN接口的IP地址，并已指定与终端相连的以太网端口属于该VLAN，这时就可以利用Telnet登录到以太网交换机，然后对以太网交换机进行配置。在通过Telnet登

3、录以太网交换机之前，需要通过Console口在交换机上配置欲登录的Telnet用户名和认证口令。 3. 通过Web配置 如果用户已经通过Console口正确配置以太网交换机某VLAN接口的IP地址，并已指定与终端相连的以太网端口属于该VLAN，这时就可以利用Web登录到以太网交换机，然后对以太网交换机进行配置。在通过Web登录以太网交换机之前，需要通过Console口在交换机上配置欲登录的Web用户名和认证口令。 4. 通过专用的管理软件 对一些交换机设备厂商来说，其在提供硬件设备的基础上，也会提供相应的管理软件，如华为3Com的Quidview管理软件，对其设备进行综

4、合的管理，如锐捷会提供StarView相关软件来进行设备的统一管理，利用这些管理平台，可以有效的对设备厂商旗下的设备进行综合管理，这将大大减少因设备的多样性而造成的设备管理方式不统一和管理不便的问题。 5. 通过SSH配置 SSH(Secure Shell，安全外壳)是一个用于在非安全网络中提供安全的远程登录以及其他安全网络服务的协议。当用户通过非安全的网络环境远程登录到交换机时，每次发送数据前，SSH都会自动对数据进行加密，当数据到达目的地时，SSH自动对加密数据进行解密，以此提供安全的信息保障。除此之外，SSH还提供强大的认证功能，以保护交换机不受诸如DNS和IP欺骗等攻击。

5、 SSH采用客户端—服务器模式。设备支持SSH服务器功能，可以接受多个SSH客户端的连接。同时，设备还支持作为SSH客户端，允许与支持SSH服务器功能的设备建立SSH连接，从而实现从本地设备通过SSH登录到远程设备上。此外，SSH还支持其他功能，比如可以对传输的数据进行压缩，从而加快传输的速度。又可以代替Telnet，或为FTP提供安全的“通道”。 6. 通过FTP/SFTP配置 交换机设备也可通过FTP/SFTP的方式进行访问配置，SFTP指安全的FTP协议，通常交换设备都可作为FTP服务端，而PC端可以运行FTP客户端，通过FTP协议来进行交换机设备的升级与备份及相关的

6、文件传输工作。SFTP对文件的传输进行加密的配置工作，其是在SSH基础上发展起来的，较FTP有较高的安全性。 7. 通过远程控制Console口配置路由器交换机 通过远程访问一台网络设备控制器，该网络设备控制器与多台网络设备相连接，可以实现对连接的路由器、交换机等设备进行配置，如中软吉大的TDMS。 二. 交换机命令分级 以太网交换机通常都采用命令分级的方式，来实现为不同的用户分配不同的权限，以实现交换机自身的安全机制，防止未授权用户的非法侵入。如某些用户只能浏览交换机的基本配置信息，某些用户可以对交换机进行基本的配置，某些用户可以对交换机进行一些高级的配置，某些用户可

7、以对交换机系统本身进行诸如升级等操作。 下面简单介绍一下中软吉大 TSWITCH 3224C交换机的命令行分级保护方式。 TSWITCH系列以太网交换机命令行系统划分为普通用户级（1级）和特权用户级（15级）2个级别，但是用户可以为每个模式的命令划分15 个授权级别(1-15)。通过给不同的级别设置口令，就可以通过不同的授权级别使用不同的命令集合。简介如下： (1) 普通用户级(命令级别1)：包含的命令用于网络诊断及查询基础的系统配置信息。包括ping、tracert、show命令等，该级别命令不能被保存到配置文件中。 (2) 特权用户级(命令级别15)

8、包含的命令关系到系统的基本运行、系统支撑的模块，这些命令对业务提供支撑作用。包括文件系统、TFTP下载、用户管理命令、级别设置命令等。 在特权用户级别口令没有设置的情况下，进入特权级别亦不需要口令校验。为了安全起见，我们提醒您最好为特权用户级别设置口令。 三. VTY简介 VTY是Virtual Type Terminal的缩写，可译为虚拟类型终端，是设备管理的一种方式。VTY工作在设备的LINE线路下，当用户使用Telnet或SSH连接到设备时，实际上就是连接到设备的VTY口。 通过命令可以增加或减少VTY的数目。一般来说，VTY最大数目可以增加到32

9、 可以对不同的VTY设置登录密码，并验证登录。 不同的线路上，可以配置不同的协议，例如在VTY0上配置Telnet，在VTY1上配置SSH，这样当SSH用户登录时，系统会让VTY0空闲，而使用VTY1进行连接。 步骤 实验说明：本练习每组3人。主机A、B、C作为一组，主机D、E、F作为一组。现仅以主机A、B、C所在组为例，其它组的操作参考主机A、B、C所在组的操作，教师登录到TDMS管理平台，一键恢复各组的实验环境，待设备恢复完成后，将各组的实验环境切换到【网络结构一】。学生机恢复虚拟快照一。 1. 各主机根据拓扑结构配置IP地址信息。 2. 主机A通过

10、TDMS访问并配置交换机。 主机A点击实验平台“工具区”的【TDMS】工具，连接到中软吉大网络设备控制器上，主机A右键点击交换机1，选择【设备连接】可以连接到交换机上进行相关配置及查询。主机B、C同样方式连接到中软吉大网络设备控制器上，主机B、C右键点击交换机1，选择【实时观摩】，实时观看主机A的操作，在实验结束前，不要退出观摩窗口。主机D参照主机A的操作，主机E、F分别参照主机B、C的操作。 3. 通过Telnet访问交换机。 (1) 配置交换机支持Telnet用户登录。 主机A进入特权模式。 Switch>enable 主机A进入全局配置模式

11、 Switch#config 配置telnet用户不需要line密码验证。 Switch_config#aaa authentication login default none (2) 配置Telnet用户的特权口令。 主机A配置Telnet用户配置交换机的特权口令。 配置用户登录进入特权模式不需要密码验证。 Switch_config#aaa authentication enable default none (3) 配置管理VLAN。 主机A进入配置管理VLAN，并为管理VLAN配置IP地址，如：172.16.

12、10.252。 Switch_config#interface vlan 1 Switch_config_v1#ip address 172.16.10.252 255.255.255.0 Switch_config_v1#exit Switch_config#exit 【注】另一组配置交换机2的IP地址为172.16.10.250。 (4) Telnet登录。 主机B与主机C在工具栏上选择“命令行”，输入：telnet 172.16.10.252。 成功登录交换机后显示信息如下： Welc

13、ome to JLCSS TSWITCH 3424C Ethernet Switch Switch> 主机B与主机C使用如下命令进入系统视图： Switch>enable Switch#config 主机B修改交换机名称为“TRY”。 Switch_config#hostname TRY 出现如下提示符： TRY_config# 通过如上信息可以分析出：主机B与主

14、机C进入了系统视图，并且主机B可以修改交换机名称，说明此时主机B与主机C具有了交换机的写权限。 (5) 主机B保存当前配置。 TRY_config#write (6) 查询当前配置信息。 主机A、C查询当前配置信息。 TRY_config#show running-config 显示信息形式如下： …… hostname TRY …… aaa authentication login default none aaa authentication enable default none

15、…… interface VLAN1 ip address 172.16.10.252 255.255.255.0 …… 由如上信息可以分析出：VLAN 1为管理VLAN，管理VLAN的接口IP地址信息为172.16.10.252/24；telnet用户不需要line密码验证；用户登录进入特权模式不需要密码验证；支持的远程访问协议Telnet。 4. 通过SSH访问交换机。 主机A配置SSH访问交换机。 TRY_config#ip sshd enable 配置交换机ssh服务认证超时时间，单位：秒。 TRY_config#i

16、p sshd timeout 600 配置交换机ssh服务重认证次数。 TRY_config#ip sshd auth-retries 3 查看ssh配置信息。 TRY_config#show ip sshd 显示信息如下： …… ssh deamon parameters sshd is running …… timeout 600 authentication-retries 3 …… 由以上信息可以分析出：交换机的ssh服务已经开

17、启；超时时间为600秒；允许认证次数为3次。 启动【SecureCRT】对交换机的ssh服务进行验证： 主机B与主机C启动SecureCRT，首次使用secureCRT工具时会提示设置存储数据的文件夹，如图： 图1-1-1 首次启动SecureCRT 选择默认路径确定，在提示是否设置SecureCRT为当前默认的Telnet程序对话框上选择“不”并选择不再提示此信息。在主机名处填入访问ssh服务的IP地址，即前面所配置的管理VLAN1的IP地址：172.16.10.252。其他选项可以为默认，连接即可。注意请不要保存快速连接会话。 图1-1

18、2 SecureCRT启动界面 选择“只接受一次”选项。 图1-1-3 SSH配置主机密匙界面 接着会弹出要求输入用户名及密码的对话框，由于之前的配置没有要求对用户名密码进行认证，所以此处不需要填写，点击“确定”即可。 随后会出现如下标识符： TRY> 主机B修改交换机名称为“user”。 TRY>enable TRY#config TRY_config#hostname user 显示信息如下： user_config# 主机B查询当前配置信息。 user_config#

19、show running-config 显示信息如下： …… aaa authentication login default none aaa authentication enable default none …… interface VLAN1 ip address 172.16.10.252 255.255.255.0 ! vlan 1 …… ip sshd auth-retries 3 ip sshd timeout 600 ip sshd enable …… 如上信息可以分析出：远程用户登录密码为空，从当前命令级别切换到特权级别的密码为空， VLAN 1为管理VLAN，管理VLAN的接口IP地址信息为172.16.10.252/24；支持的远程访问协议为ssh，ssh方式访问超时时间为600秒，ssh登录认证次数最多为3次。