《网络运维管理》/实验五:远程管理网络设备 《网络运维管理》——实验指导书 实验五:远程管理网络设备 实验简介 前期我们在对网络设备进行配置时,是直接进入设备的命令行界面进行操作的。但是,在实际 的园区网管理工作中,对于部署在园区内部各个地方的网络设备,管理员通常是通过远程登录的方 式,实现对网络中设备(例如交换机、路由器等)的远程维护及管理,从而极大地方便了用户的操 作。本实验讲解如何远程登录网络设备并进行远程管理 实验目的 1、掌握通过 Telnet远程登录网络设备的方法; 2、掌握通过SSH远程登录网络设备的方法; 三、实验理论 1.用户界面 11简介 华为网络设备支持的用户界面有 Console用户界面和VTY用户界面。 每个用户界面有对应的用户界面视图。用户界面(User- interface)视图是系统提供的一种命令 行视图,用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口,从而达到统一管理各 种用户界面的目的 12目前系统支持的用户界面 (1) Console(CON)界面 Console用户界面,用来管理和监控通过 Console口登录的用户。 控制口( Console Port)是一种通信串行端口,由设备的主控板提供。一块主控板提供一个 Console口,端口类型为EATA-232DCE。用户终端(即管理机)的串行端口可以与设备 Console 口直接连接,实现对设备的本地访问 (2)VTY界面 VTY( Virtual Type Terminal)用户界面,用来管理和监控通过 Telnet或SSH方式登录的用户。 虚拟类型终端(Ⅵ /irtualτypeτ erminal)是一种虚拟线路端口。用户通过终端与设备建立 Telnet 或SSH连接后,即建立了一条VTY,即用户可以通过VTY方式登录设备进行本地或远程访问。最 多支持15个用户同时通过VTY方式访问设备。 13用户界面的编号 当用户登录设备时,系统会根据此用户的登录方式,自动分配一个当前空闲且编号最小的相应 类型的用户界面给这个用户。用户界面的编号有两种方式:相对编号方式和绝对编号方式。 (1)相对编号方式 相对编号方式的形式是:用户界面类型+编号 河南中医药大学信息技术学院网络与信息系统科研工作室 第1页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 《网络运维管理》—— 实验指导书 实验五:远程管理网络设备 一、实验简介 前期我们在对网络设备进行配置时,是直接进入设备的命令行界面进行操作的。但是,在实际 的园区网管理工作中,对于部署在园区内部各个地方的网络设备,管理员通常是通过远程登录的方 式,实现对网络中设备(例如交换机、路由器等)的远程维护及管理,从而极大地方便了用户的操 作。本实验讲解如何远程登录网络设备并进行远程管理。 二、实验目的 1、掌握通过 Telnet 远程登录网络设备的方法; 2、掌握通过 SSH 远程登录网络设备的方法; 三、实验理论 1. 用户界面 1.1 简介 华为网络设备支持的用户界面有 Console 用户界面和 VTY 用户界面。 每个用户界面有对应的用户界面视图。用户界面(User-interface)视图是系统提供的一种命令 行视图,用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口,从而达到统一管理各 种用户界面的目的。 1.2 目前系统支持的用户界面 (1)Console(CON)界面 Console 用户界面,用来管理和监控通过 Console 口登录的用户。 控制口(Console Port)是一种通信串行端口,由设备的主控板提供。一块主控板提供一个 Console 口,端口类型为 EIA/TIA-232 DCE。用户终端(即管理机)的串行端口可以与设备 Console 口直接连接,实现对设备的本地访问。 (2)VTY 界面 VTY(Virtual Type Terminal)用户界面,用来管理和监控通过 Telnet 或 SSH 方式登录的用户。 虚拟类型终端(Virtual Type Terminal)是一种虚拟线路端口。用户通过终端与设备建立 Telnet 或 SSH 连接后,即建立了一条 VTY,即用户可以通过 VTY 方式登录设备进行本地或远程访问。最 多支持 15 个用户同时通过 VTY 方式访问设备。 1.3 用户界面的编号 当用户登录设备时,系统会根据此用户的登录方式,自动分配一个当前空闲且编号最小的相应 类型的用户界面给这个用户。用户界面的编号有两种方式:相对编号方式和绝对编号方式。 (1)相对编号方式 相对编号方式的形式是:用户界面类型+编号
《网络运维管理》/实验五:远程管理网络设备 此种编号方式只能唯一指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相 对编号方式遵守的规则如下 控制口的编号:CON0。 虚拟线路的编号:第一个为VTY0,第二个为VTY1,依此类推 (2)绝对编号方式 绝对编号可以唯一的指定一个用户界面或一组用户界面 绝对编号的起始编号是0,并按照CON、VTY的顺序依次分配。 每个主控板上cON口只有一个,但VTY类型的用户界面有20个(其中0~14用户提供 给普通 Telnet/ssh用户的用户接口,16~20是预留给网管用户的接口),可以在系统视图下 使用 user-interface maximum-vty命令设置最大用户界面个数,其缺省值为5 14用户界面的用户验证 配置用户界面的用户验证方式后,用户登录设备时,网络设备对用户的身份进行验证 对用户的验证有两种方式: password验证和AAA验证。这两种验证方式分别描述如下 (1) Password验证:只需要口令,不需要用户名。 (2)AAA验证:需要用户提供用户名和口令,对 Telnet用户一般采用AAA验证 15用户界面的用户优先级 系统支持对登录用户进行分级管理。与命令的优先级一样,用户的优先级分为16个级别 级别标识为0~15,标识越高则优先级越高。用户所能访问命令的级别由用户的级别决定 如果对用户采用 password验证,登录到设备的用户所能访问的命令级别由登录时的用户 界面级别决定;如果对用户采用AAA验证,登录到设备的用户所能访问的命令级别由AAA配 置信息中本地用户的优先级级别决定 2.用户登录 可以把园区网中的网络设备看作是服务器,用户可通过 Console口、 Telnet、 STelnet或 者Web方式登录该设备,从而实现对设备的配置与管理 21用户登录的不同方式 用户对设备的管理方式有命令行方式和Web网管方式。 ·命令行方式:通过 Console口、 Telnet或 STelnet方式登录设备后,使用设备提供的命令 行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。 ·Web网管方式:通过HTTP或Https方式登录设备,设备内置一个Web服务器,用户 从终端通过Web浏览器登录到设备,使用设备提供的图形界面,从而非常直观地管理和 维护设备。此种方式必须确保设备上已经加载了Web网页文件 Web网管方式虽然是通过图形界面直观地管理设备,便于用户操作,但提供的是对设备 日常维护及管理的基本功能,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行 方式 22 Console囗概述 网络设备的主控板提供一个 Console口(接口类型为EATA232DCE)。通过将用户终 端(即管理机)的串行接口与设备 Console口直接连接,登录设备,实现对设备的本地配置。 河南中医药大学信息技术学院网络与信息系统科研工作室
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 此种编号方式只能唯一指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相 对编号方式遵守的规则如下: 控制口的编号:CON 0。 虚拟线路的编号:第一个为 VTY 0,第二个为 VTY 1,依此类推。 (2)绝对编号方式 绝对编号可以唯一的指定一个用户界面或一组用户界面。 绝对编号的起始编号是 0,并按照 CON、VTY 的顺序依次分配。 每个主控板上 CON 口只有一个,但 VTY 类型的用户界面有 20 个(其中 0~14 用户提供 给普通 Telnet/SSH 用户的用户接口,16~20 是预留给网管用户的接口),可以在系统视图下 使用 user-interface maximum-vty 命令设置最大用户界面个数,其缺省值为 5。 1.4 用户界面的用户验证 配置用户界面的用户验证方式后,用户登录设备时,网络设备对用户的身份进行验证。 对用户的验证有两种方式:password 验证和 AAA 验证。这两种验证方式分别描述如下: (1)Password 验证:只需要口令,不需要用户名。 (2)AAA 验证:需要用户提供用户名和口令,对 Telnet 用户一般采用 AAA 验证。 1.5 用户界面的用户优先级 系统支持对登录用户进行分级管理。与命令的优先级一样,用户的优先级分为 16 个级别, 级别标识为 0~15,标识越高则优先级越高。用户所能访问命令的级别由用户的级别决定。 如果对用户采用 password 验证,登录到设备的用户所能访问的命令级别由登录时的用户 界面级别决定;如果对用户采用 AAA 验证,登录到设备的用户所能访问的命令级别由 AAA 配 置信息中本地用户的优先级级别决定。 2. 用户登录 可以把园区网中的网络设备看作是服务器,用户可通过 Console 口、Telnet、STelnet 或 者 Web 方式登录该设备,从而实现对设备的配置与管理。 2.1 用户登录的不同方式 用户对设备的管理方式有命令行方式和 Web 网管方式。 命令行方式:通过 Console 口、Telnet 或 STelnet 方式登录设备后,使用设备提供的命令 行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。 Web 网管方式:通过 HTTP 或 HTTPS 方式登录设备,设备内置一个 Web 服务器,用户 从终端通过 Web 浏览器登录到设备,使用设备提供的图形界面,从而非常直观地管理和 维护设备。此种方式必须确保设备上已经加载了 Web 网页文件。 Web 网管方式虽然是通过图形界面直观地管理设备,便于用户操作,但提供的是对设备 日常维护及管理的基本功能,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行 方式。 2.2 Console 口概述 网络设备的主控板提供一个 Console 口(接口类型为 EIA/TIA-232 DCE)。通过将用户终 端(即管理机)的串行接口与设备 Console 口直接连接,登录设备,实现对设备的本地配置
《网络运维管理》/实验五:远程管理网络设备 23 Telnet概述 Telnet协议在 TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。以 服务器喀户端( Server/ Client)模式工作, Telnet客户端向 Telnet服务器发起请求, Telnet服务器 提供 Telnet服务。网络设备支持 Telnet客户端和 Telnet服务器功能,既可以作为 Telnet服务器, 也提供 Telnet客户端服务。 24 STelnet概述 Telnet传输过程采用TCP协议进行明文传输,缺少安全的认证方式,容易招致DoS( Denial of service)、主机地址欺骗和路由欺騙等恶意攻击,存在很大的安全隐患 相对于 Telnet, STelnet基于SsH2协议,客户端和服务器端之间经过协商,建立安全连接, 客户端可以像操作 Telnet一样登录服务器端。SSH通过以下措施实现在不安全网络上提供安全的 远程登录: 支持RSA( Revest-Shamir-Adleman Algorithn)认证方式。客户端需要创建一对密钥(公用 密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的 公用密钥,与报文中携带的客户端公用密钥进行比较。如果两个公用密钥不一致,服务器断开与客 户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报 文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器 使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证 支持用加密算法DEs( Data Encryption Standard)、3DES、AES128( Advanced Encryption Standard128)对用户名密码以及传输数据进行加密 网络设备支持SSH服务器功能,可以接收多个SsH客户端的连接。同时,设备还支持SSH 客户端功能,可以与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH 登录到远程设备。设备作为SSH服务器端时,支持SSH2和SSH1两个版本。设备作为SSH客 户端时,只支持SSH2版本 SSH支持本地连接和广域网连接。 25命令行界面下不同登录方式的对比 表5-0-1列出了在命令行界面下, Console口、 Telnet和 STelnet三种登录方式的对比 表50-1命令行界面下不同登录方式的对比 登录方式 优点 缺点 应用场景 说明 使用专门的不能远程登录当对设备进行第一次通过 Console口进行本地登录是登 Console通信维护设备 配置时,可以通过录设备最基本的方式,也是其他登录 线缆连接,保 Console口登录设备方式的基础 证可以对设备 进行配置。 缺省情况下,用户可以直接通过 Conso|e口 有效控制 当用户无法进行远程 Console口本地登录设备,不需要 登录设备时,可通过|P地址 Console口进行本地 河南中医药大学信息技术学院网络与信息系统科研工作室 第3页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 2.3 Telnet 概述 Telnet 协议在 TCP/IP 协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。以 服务器/客户端(Server/Client)模式工作,Telnet 客户端向 Telnet 服务器发起请求,Telnet 服务器 提供 Telnet 服务。网络设备支持 Telnet 客户端和 Telnet 服务器功能,既可以作为 Telnet 服务器, 也提供 Telnet 客户端服务。 2.4 STelnet 概述 Telnet 传输过程采用 TCP 协议进行明文传输,缺少安全的认证方式,容易招致 DoS(Denial of Service)、主机 IP 地址欺骗和路由欺骗等恶意攻击,存在很大的安全隐患。 相对于 Telnet,STelnet 基于 SSH2 协议,客户端和服务器端之间经过协商,建立安全连接, 客户端可以像操作 Telnet 一样登录服务器端。SSH 通过以下措施实现在不安全网络上提供安全的 远程登录: 支持 RSA(Revest-Shamir-Adleman Algorithm)认证方式。客户端需要创建一对密钥(公用 密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的 公用密钥,与报文中携带的客户端公用密钥进行比较。如果两个公用密钥不一致,服务器断开与客 户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报 文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器 使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证。 支持用加密算法 DES(Data Encryption Standard)、3DES、AES128(Advanced Encryption Standard 128)对用户名密码以及传输数据进行加密。 网络设备支持 SSH 服务器功能,可以接收多个 SSH 客户端的连接。同时,设备还支持 SSH 客户端功能,可以与支持 SSH 服务器功能的设备建立 SSH 连接,从而实现从本地设备通过 SSH 登录到远程设备。设备作为 SSH 服务器端时,支持 SSH2 和 SSH1 两个版本。设备作为 SSH 客 户端时,只支持 SSH2 版本。 SSH 支持本地连接和广域网连接。 2.5 命令行界面下不同登录方式的对比 表 5-0-1 列出了在命令行界面下,Console 口、Telnet 和 STelnet 三种登录方式的对比。 表 5-0-1 命令行界面下不同登录方式的对比 登录方式 优点 缺点 应用场景 说明 Console 口 登录 使用专门的 Console 通信 线缆连接,保 证可以对设备 有效控制。 不能远程登录 维护设备。 当对设备进行第一次 配置时,可以通过 Console 口登录设备 进行配置。 当用户无法进行远程 登录设备时,可通过 Console 口进行本地 登录。 通过 Console 口进行本地登录是登 录设备最基本的方式,也是其他登录 方式的基础。 缺省情况下,用户可以直接通过 Console 口本地登录设备,不需要 IP 地址
《网络运维管理》/实验五:远程管理网络设备 便于对设备进传输过程采用可将用户终端(即管缺省情况下,用户不能通过 Telnet 行远程管理和TcP协议进行理机)连接到网络方式直接登录设备,若需要通过 维护,不需要明文传输,存上,使用 Telnet方 Telnet方式登录,可先通过 Console 每一台设备在安全隐患。式登录设备,进行本口本地登录设备,并完成以下配置: 都连接一个管 地或远程的配置。应·确保终端和登录的设备之间路由可 Telnet登录理终端,方便 用在对安全性要求不达(缺省情况下,设备上没有配置 了用户的 J操 高的网络。 P地址)。 ·配置 Telnet服务器功能及参数 配置 Telnet用户登录的用户界 面。 STelnet协议实配置较复杂。如果网络对于安全性缺省情况下,用户不能通过 STelnet 现在不安全网 要求较高,可以通过方式直接登录设备。若需要通过 络上提供安全 STelnet方式登录设| STelnet方式登录设备,可以先通过 的远程登录, 备。 STelnet基于 Console口本地登录或 Telnet远程 保证了数据的 SSH(Secure 登录设备,并完成以下配置: STelnet s登完整性和可靠 shel)协议,提供·确保终端和登录的设备之间路由可 性,保证了数 安全的信息保障和强达(缺省情况下,设备上没有配置 据的安全传 大认证功能,保护设1P地址) 备不受P欺骗等攻·配置 STelnet服务器功能及参 ·配置SSH用户登录的用户界面 ·配置SSH用户 26Wb网管概述 为了方便用户对设备的维护和使用,网络设备通常支持Web网管功能。设备内置一个Web 服务器,与设备相连的终端(即管理机)可以通过Web浏览器访问设备。 管理机可以通过HTTP或Https从终端登录至设备,实现通过图形化界面对设备进行管 理和维护。配置Https和HTTP方式,需要在作为服务器的设备上部署SSL策略,并加载 数字证书,数字证书主要用来实现客户端对服务器端身份的验证。用户可以直接使用设备提供 的SSL证书和默认的SSL策略 如果需要通过HTTP或Https方式登录设备,需要完成以下配置: (1)确保网络设备已加载了Web网页文件 (2)配置使能Http/httPs服务(缺省情况下,HTTP及Https服务功能未使能)。 (3)配置HTTP用户(华为设备提供默认的HTTP用户,用户名:admin,密码: admin@huawei.com 注意:由于eNsP是仿真平台,因此eNSP中提供的部分网络设备不支持Web登录方式。 四、实验过程 河南中医药大学信息技术学院网络与信息系统科研工作室 第4页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 Telnet 登录 便于对设备进 行远程管理和 维护,不需要 为每一台设备 都连接一个管 理终端,方便 了用户的操 作。 传输过程采用 TCP 协议进行 明文传输,存 在安全隐患。 可将用户终端(即管 理机)连接到网络 上,使用 Telnet 方 式登录设备,进行本 地或远程的配置。应 用在对安全性要求不 高的网络。 缺省情况下,用户不能通过 Telnet 方式直接登录设备,若需要通过 Telnet 方式登录,可先通过 Console 口本地登录设备,并完成以下配置: 确保终端和登录的设备之间路由可 达(缺省情况下,设备上没有配置 IP 地址)。 配置 Telnet 服务器功能及参数。 配置 Telnet 用户登录的用户界 面。 STelnet 登 录 STelnet 协议实 现在不安全网 络上提供安全 的远程登录, 保证了数据的 完整性和可靠 性,保证了数 据的安全传 输。 配置较复杂。 如果网络对于安全性 要求较高,可以通过 STelnet 方式登录设 备。STelnet 基于 SSH(Secure Shell)协议,提供 安全的信息保障和强 大认证功能,保护设 备不受 IP 欺骗等攻 击。 缺省情况下,用户不能通过 STelnet 方式直接登录设备。若需要通过 STelnet 方式登录设备,可以先通过 Console 口本地登录或 Telnet 远程 登录设备,并完成以下配置: 确保终端和登录的设备之间路由可 达(缺省情况下,设备上没有配置 IP 地址)。 配置 STelnet 服务器功能及参数。 配置 SSH 用户登录的用户界面。 配置 SSH 用户。 2.6 Web 网管概述 为了方便用户对设备的维护和使用,网络设备通常支持 Web 网管功能。设备内置一个 Web 服务器,与设备相连的终端(即管理机)可以通过 Web 浏览器访问设备。 管理机可以通过 HTTP 或 HTTPS 从终端登录至设备,实现通过图形化界面对设备进行管 理和维护。配置 HTTPS 和 HTTP 方式,需要在作为服务器的设备上部署 SSL 策略,并加载 数字证书,数字证书主要用来实现客户端对服务器端身份的验证。用户可以直接使用设备提供 的 SSL 证书和默认的 SSL 策略。 如果需要通过 HTTP 或 HTTPS 方式登录设备,需要完成以下配置: (1)确保网络设备已加载了 Web 网页文件。 (2)配置使能 HTTP/HTTPS 服务(缺省情况下,HTTP 及 HTTPS 服务功能未使能)。 (3)配置 HTTP 用户(华为设备提供默认的 HTTP 用户,用户名:admin,密码: admin@huawei.com)。 注意:由于 eNSP 是仿真平台,因此 eNSP 中提供的部分网络设备不支持 Web 登录方式。 四、实验过程
《网络运维管理》/实验五:远程管理网络设备 任务一:通过 Telnet和SSH方式登录交换机 【任务介绍】 对交换机进行配置,使得用户终端可以通过 Telnet方式或SSH方式登录交换机。 步骤1:网络规划 (1)拓扑规划 SW-1 Host-M 图5-1-1任务一的拓扑 表51-1网络拓扑说明 序号 设备名称 设备类型 规格型号 SW-1 交换机 S3700 2+sM用户终端(管理机)本地实体机 将eNSP中的云设备与本地计算机(实体机)上的虚拟网卡绑定以后,可以实现本地主机与 eNsP中模拟的网络设备(例如交换机、路由器)之间的通信。所以此处使用本地实体机作为管理 机 点击【保存】按钮,保存刚刚建立好的网络拓扑。 (2)交换机接囗与VAN 表51-2交换机接口及vLAN规划表 序号交换机 接口 VLAN ID PVID 备注 SW-1 Ethernet 0/0/1 1000 配置成管理VLAN 说明:当用户远程管理交换机时,需要在交换机上设置ⅥLANF接口并配置P地址作为设备 管理伊P。通过管理伊可以 Telnet到交换机上进行管理操作。但是,若交换机上其他接口相连的用 户也加入ⅥLANF接口所对应的ⅥLAN,并配置相应的|P地址,则也可以访问该交换机,从而增 加了交换机的不安全因素。 这种情况下可以将ⅥLANF接口对应的ⅥAN设置为管理LAN(使用 management-vlan命 令)。管理ⅥLAN只允许Tunk和 Hybrid类型接口加入,不允许 Access类型和Dot1 q-tunnel类型 接口加入。由于 Access类型和Dot1 g-tunnel类型通常用于连接用户,限制这两种类型接口加入管 (3)IP地址 表51-3伊P地址规划表 设备接口名称 P地址/子网掩码 备注 Host-M(虚拟网卡) 10.0255.253/24 本地主机新增的虚拟网卡 SW-1 VLANIF1000 100.255254124 SW1的虚拟接口 说明 河南中医药大学信息技术学院网络与信息系统科研工作室 第5页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 任务一:通过 Telnet 和 SSH 方式登录交换机 【任务介绍】 对交换机进行配置,使得用户终端可以通过 Telnet 方式或 SSH 方式登录交换机。 步骤 1:网络规划 (1)拓扑规划 表 5-1-1 网络拓扑说明 序号 设备名称 设备类型 规格型号 1 SW-1 交换机 S3700 2 Host-M 用户终端(管理机) 本地实体机 将 eNSP 中的云设备与本地计算机(实体机)上的虚拟网卡绑定以后,可以实现本地主机与 eNSP 中模拟的网络设备(例如交换机、路由器)之间的通信。所以此处使用本地实体机作为管理 机。 点击【保存】按钮,保存刚刚建立好的网络拓扑。 (2)交换机接口与 VLAN 表 5-1-2 交换机接口及 VLAN 规划表 序号 交换机 接口 VLAN ID PVID 备注 1 SW-1 Ethernet 0/0/1 1000 1000 配置成管理 VLAN 说明:当用户远程管理交换机时,需要在交换机上设置 VLANIF 接口并配置 IP 地址作为设备 管理 IP。通过管理 IP 可以 Telnet 到交换机上进行管理操作。但是,若交换机上其他接口相连的用 户也加入 VLANIF 接口所对应的 VLAN,并配置相应的 IP 地址,则也可以访问该交换机,从而增 加了交换机的不安全因素。 这种情况下可以将 VLANIF 接口对应的 VLAN 设置为管理 VLAN(使用 management-vlan 命 令)。管理 VLAN 只允许 Trunk 和 Hybrid 类型接口加入,不允许 Access 类型和 Dot1q-tunnel 类型 接口加入。由于 Access 类型和 Dot1q-tunnel 类型通常用于连接用户,限制这两种类型接口加入管 (3)IP 地址 表 5-1-3 IP 地址规划表 序号 设备接口名称 IP 地址 /子网掩码 备注 1 Host-M(虚拟网卡) 10.0.255.253 /24 本地主机新增的虚拟网卡 2 SW-1 VLANIF1000 10.0.255.254 /24 SW-1 的虚拟接口 说明: 图 5-1-1 任务一的拓扑
《网络运维管理》/实验五:远程管理网络设备 此处保留本地主机上原有的虚拟网卡,通过 VirtualBox新增一个虚拟网卡 因为Host-M与SW-1直接相连,即Host-M的虚拟网卡与SW-1的 VLANIF1000(虚拟接 口)处于同一个广播域内,所以它们的IP地址属于同一网段 本任务可以不考虑本地主机上实体网卡的P地址配置。 (4)登录用户及密码 表314用户及密码规划表 序号 用户名 密码 对应登录方式 user tel abc@123 telnet user ssh SSH 步骤2:配置本地主机上的虚拟网卡 (1)查看本地主机的虚拟网卡 本任务中,通过本地机(实体机)的虚拟网卡与eNSP中的云设备绑定,实现本地主机对 eNSP中网络设备的访问。本书中,本地主机安装的是 Windows10(64位)操作系统。点击 屏幕左下角的【开始】→【设置】→【网络和 Interne】→【以太网】→【更改适配器选项】, 打开【网络连接】窗口,可以看到本地主机上的网卡信息。其中【 VirtualBox Host-Only Network #2】就是虚拟网卡,如同5-1-2所示。 网络连接 个 络和 nternet》网络连接 搜素”网络连接 Virtual Box Host-Only Network 以太网 以太网2 网络2 网络电缆被拔出 e Realtek pcle gbe Family contr TAP-Windows Adapter V9 3个项目 图5-1-2本地机中的虚拟网卡 提醒: 1.安装eNSP之前,必须先安装虚拟化软件 VirtualBox。该虚拟网卡是在安装 VirtualBox软件时,自动安装在本地主机上的。此处虚拟网卡名字后面的“#2”是 老师计算机上的配置,学生机的实际情况可能有所不同。 (2)增加一个新的虚拟网卡 启动Ⅵ irtual Box软件,点击右上方的【全局工具】,如图5-1-3所示,然后在点击【创建】 即可创建新的虚拟网卡,如图5-1-4所示。注意不要启用虚拟网卡的DHCP服务器 河南中医药大学信息技术学院网络与信息系统科研工作室 第6页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第6页 此处保留本地主机上原有的虚拟网卡,通过 VirtualBox 新增一个虚拟网卡; 因为 Host-M 与 SW-1 直接相连,即 Host-M 的虚拟网卡与 SW-1 的 VLANIF1000(虚拟接 口)处于同一个广播域内,所以它们的 IP 地址属于同一网段; 本任务可以不考虑本地主机上实体网卡的 IP 地址配置。 (4)登录用户及密码 表 3-1-4 用户及密码规划表 序号 用户名 密码 对应登录方式 1 user_tel abc@123 telnet 2 user_ssh abc@123 SSH 步骤 2:配置本地主机上的虚拟网卡 (1)查看本地主机的虚拟网卡 本任务中,通过本地机(实体机)的虚拟网卡与 eNSP 中的云设备绑定,实现本地主机对 eNSP 中网络设备的访问。本书中,本地主机安装的是 Windows 10(64 位)操作系统。点击 屏幕左下角的【开始】→【设置】→【网络和 Internet】→【以太网】→【更改适配器选项】, 打开【网络连接】窗口,可以看到本地主机上的网卡信息。其中【VirtualBox Host-Only Network #2】就是虚拟网卡,如同 5-1-2 所示。 提醒: 1. 安装 eNSP 之前,必须先安装虚拟化软件 VirtualBox。该虚拟网卡是在安装 VirtualBox 软件时,自动安装在本地主机上的。此处虚拟网卡名字后面的“#2”是 老师计算机上的配置,学生机的实际情况可能有所不同。 (2)增加一个新的虚拟网卡 启动 VirtualBox 软件,点击右上方的【全局工具】,如图 5-1-3 所示,然后在点击【创建】 即可创建新的虚拟网卡,如图 5-1-4 所示。注意不要启用虚拟网卡的 DHCP 服务器。 图 5-1-2 本地机中的虚拟网卡
《网络运维管理》/实验五:远程管理网络设备 Oracle VM VirtualBox管理器 管理(F控制M)帮助(H 备份[系统快]() 新建(x)设置(s)清除启动(T) 虚拟电脑工具)全局工具(G) 图。gE, WLAN_AC-…)‖名称 生成时司 当前状态 图5-1-3在 VirtualBox软件界面中单击【全局工具】 Oracle VM VirtualBox管理器 管理(F帮助(H 回主机网络管理器(H) 虚拟电脑工具M)全局工具(G) Pv4网络掩码PV6网络掩码DHCP服务器 Virtual Box Host-Only Ethernet Adapter #2 192168.56.1/24 口启用 Virtual Box Host-Only Ethernet Adapter #3 192168871/24 □启用 图5-1-4在 Virtual Box中创建新的虚拟网卡 提醒: 1.安装 VirtualBox时自动安装的虚拟网卡(此处指 VirtualBox Host-Only Network #2),其|P地址是192168561/24,如果改动该网卡信息,可能会造成eNSP 中的路由器等设备无法正常启动,因此本项目保持原虚拟网卡不变,新增一个虚拟 网卡 2.新创建的虚拟网卡会顺序编号,并被自动分配一个192168*0/24网段的P地 址,例如此处为19216887.1/24 (3)修改虚拟网卡的IP地址 根据P地址的规划,将虚拟机网卡【 VirtualBox Host-Only Network#3】的P地址修改为 100255253,子网掩码为2552552550,由于 Host-M的虚拟网卡IP和SW1的管理IP在同 网段,因此此处可不配置默认网关的|P地址 (4)重启计算机 此处必须重启计算机,否则在配置eNSP中的 Cloud(云)设备时,不显示新增加的虚拟网卡。 步骤3:将管理机接入eNSP网络 (1)在eNSP中部署交换机设备和coud设备 启动eNSP,新建网络拓扑,添加1台S3700交换机并将其命名为SⅥ1。添加一个 Cloud设 备并将其命名为Coud-1,如图3-1-5所示。注意,由于此时尚未配置 Cloud-1,所以交换机SW 1与 Cloud-1暂时无法连接 河南中医药大学信息技术学院网络与信息系统科研工作室 第7页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第7页 提醒: 1. 安装 VirtualBox 时自动安装的虚拟网卡(此处指 VirtualBox Host-Only Network #2),其 IP 地址是 192.168.56.1 /24,如果改动该网卡信息,可能会造成 eNSP 中的路由器等设备无法正常启动,因此本项目保持原虚拟网卡不变,新增一个虚拟 网卡。 2. 新创建的虚拟网卡会顺序编号,并被自动分配一个 192.168.*.0 /24 网段的 IP 地 址,例如此处为 192.168.87.1/24。 (3)修改虚拟网卡的 IP 地址 根据 IP 地址的规划,将虚拟机网卡【VirtualBox Host-Only Network #3】的 IP 地址修改为 10.0.255.253,子网掩码为 255.255.255.0,由于 Host-M 的虚拟网卡 IP 和 SW-1 的管理 IP 在同一 网段,因此此处可不配置默认网关的 IP 地址。 (4)重启计算机 此处必须重启计算机,否则在配置 eNSP 中的 Cloud(云)设备时,不显示新增加的虚拟网卡。 步骤 3:将管理机接入 eNSP 网络 (1)在 eNSP 中部署交换机设备和 cloud 设备 启动 eNSP,新建网络拓扑,添加 1 台 S3700 交换机并将其命名为 SW-1。添加一个 Cloud 设 备并将其命名为 Cloud-1,如图 3-1-5 所示。注意,由于此时尚未配置 Cloud-1,所以交换机 SW- 1 与 Cloud-1 暂时无法连接。 图 5-1-3 在 VirtualBox 软件界面中单击【全局工具】 图 5-1-4 在 VirtualBox 中创建新的虚拟网卡
《网络运维管理》/实验五:远程管理网络设备 (2)配置eNSP中的 Cloud设备 eNSP中提供了一种特殊的设备: Cloud. cloud仿佛是一座桥梁,将Ⅵ irtualBox中的虚 拟机或本地实体机接入到eNsP的仿真网络中,实现网络通信。 Cloud具体配置方式如下: SW-1 Cloud-1 图5-1-5在eNsP中部署交换机设备和云设备 双击C|oud设备图标,打开O配置窗口,如图5-1-6所示。 E Cloud-1 已X 瑞口类型 □开放C口 N,端口类型端口编号UCP满口号嫩口开放状态绑定信息 端口映射表 口类型 hernet N,入镧口编号出口编号囗类型 入端口编号 口向通 图5-1-6双击打开 Cloud设备的|o配置窗口 首先添加一个UDP端口。绑定信息】下拉框中选择“UDP”,【端口类型】选择“ Ethernet”, 然后单击右侧的【增加】按钮,即可在端口列表中显示第一个端口信息,如图5-1-7所示。 E Cloud-1 X UDP 警告:请勿绑定公网网卡,否则可能会引起网络瘫痪 寸端湍口:0 满口类型: Ethernet√口开放P端囗 (300035000) 增加 N.端口类型端口编号UDP口号粥口开放状态绑定信息 1 Ethenet Intemal 图5-1-7在|O配置窗口中绑定UDP端口 接下来添加本地机上的虚拟网卡接口。在【绑定信息】下拉框中选择“ Virtual Box host 河南中医药大学信息技术学院网络与信息系统科研工作室
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第8页 (2)配置 eNSP 中的 Cloud 设备 eNSP 中提供了一种特殊的设备:Cloud。Cloud 仿佛是一座桥梁,将 VirtualBox 中的虚 拟机或本地实体机接入到 eNSP 的仿真网络中,实现网络通信。Cloud 具体配置方式如下: 双击 Cloud 设备图标,打开 IO 配置窗口,如图 5-1-6 所示。 首先添加一个 UDP 端口。在【绑定信息】下拉框中选择“UDP”,【端口类型】选择“Ethernet”, 然后单击右侧的【增加】按钮,即可在端口列表中显示第一个端口信息,如图 5-1-7 所示。 接下来添加本地机上的虚拟网卡接口。在【绑定信息】下拉框中选择“VirtualBox Host- 图 5-1-5 在 eNSP 中部署交换机设备和云设备 图 5-1-6 双击打开 Cloud 设备的 IO 配置窗口 图 5-1-7 在 IO 配置窗口中绑定 UDP 端口
《网络运维管理》/实验五:远程管理网络设备 Only Network#3-旧P;10.0.255253”,【端口类型】选择“ Ethernet”,然后单击右侧的【增加】按 Cloud-1 0配置 端口创建 绑定信息: VirtuaLbox Host-Only Network#3-1P:1002 监听端口 对P alBox Host-Only Network #3 .IP: 10.0.255.253 端口类型 (3000035000) 加 N,端口类型端口编号UDP端囗号端瑞口开放状态绑定信息 theme 4972 Vita Box Host-Only Network =3-IP: 10.0.255.253 图5-1-8在|O配置窗口中绑定虚拟网卡接口 钮,即可在端口列表中显示第二个端口信息,如图5-1-8所示。 在下方的【端口映射设置】中,将【入端口编号】和【出端口编号】分别设置为1和2,【端口 类型】保持不变,并将【双向通道】的复选框中打上对勾,然后单击【增加】,则右侧的【端口映射 表】中可显示出端口映射信息,如图5-1-9所示。关闭该窗口。 端口映射设置 端口映射表 端口类型 Ethernet №o,入端口编号出端口编号端口类型 团戏句通道 增加 图3-1-9设置端口映射 (3)完成SW-1与 Cloud-1之间的连接 Cloud配置结束后,就可以将交换机SW1的 Ethernet0/0/1与Coud-1的 Ethernet0/0/1接 口连接,完成后的网络拓扑,如图5-1-10所示。点击【保存】按钮,保存刚刚建立好的网络拓扑。 Ethernet 0/0/1 Ethernet 0/0/1 SW-1 Cloud-1 图5-1-10 Cloud设备与交换机连接 步骤4:配置交换机SW-1的管理VLAN及I地址 ∥/进入系统视图,关闭信息中心,修改设备名称为SW-1 system-view Enter system view, return user view with Ctrl+Z 河南中医药大学信息技术学院网络与信息系统科研工作室
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第9页 Only Network #3- IP:10.0.255.253”,【端口类型】选择“Ethernet”,然后单击右侧的【增加】按 钮,即可在端口列表中显示第二个端口信息,如图 5-1-8 所示。 在下方的【端口映射设置】中,将【入端口编号】和【出端口编号】分别设置为 1 和 2,【端口 类型】保持不变,并将【双向通道】的复选框中打上对勾,然后单击【增加】,则右侧的【端口映射 表】中可显示出端口映射信息,如图 5-1-9 所示。关闭该窗口。 (3)完成 SW-1 与 Cloud-1 之间的连接 Cloud 配置结束后,就可以将交换机 SW-1 的 Ethernet 0/0/1 与 Cloud-1 的 Ethernet 0/0/1 接 口连接,完成后的网络拓扑,如图 5-1-10 所示。点击【保存】按钮,保存刚刚建立好的网络拓扑。 步骤 4:配置交换机 SW-1 的管理 VLAN 及 IP 地址 //进入系统视图,关闭信息中心,修改设备名称为 SW-1 system-view Enter system view, return user view with Ctrl+Z. 图 5-1-8 在 IO 配置窗口中绑定虚拟网卡接口 图 3-1-9 设置端口映射 图 5-1-10 Cloud 设备与交换机连接
《网络运维管理》/实验五:远程管理网络设备 [Huaweijundo info-center enable Info: Information center is disabled [Huawei]sysname SW-1 ∥/创建VLAN1000,并将其设置为管理VLAN,并配置 VLANIF1000的IP地址 [SW-1-vlan 1000]management-vlan [SW-1-vlan 1000]quit ISW-1Jinterface vlanif 1000 [SW-1-Vlanif1000Jip address 10.0.255 254 24 [SW-1-Vlanif 1000]quit ∥/将 Ethernet/0/1接口设置为 Trunk模式并划入VLAN1000,其PVID值设置为1000 [SW-1]interface Ethernet/0/1 [SW-1-Etherneto/0/1]port link-type trunk [SW-1-Ethernetoyo/1]port trunk pvid vlan 1000 [SW-1-Etherneto/0/ 1]port trunk allow-pass vlan 1000 [SW-1-Etherneto/0/1]quit 提醒 1.配置二层交换机的管理|P时,包括3步:创建管理ⅥLAN、配置管理ⅥLAN的 VLANIF接口P地址、在管理ⅦLAN中添加接口并且该接口必须连接一个已经启动 的设备; 2.因为此处LAN1000被配置成管理ⅥLAN,所以 Ethernets/0/1接口需要设置成 Trunk或 Hybrid模式 3. Ethernet/0/1的PVD值设置为1000,是为了 Host-M发出的数据帧进入SW-1 时被添加上ⅥLAN1000标记,从而能够访问SW-1的ⅥLANF接口。 步骤5:在SW-1上进行 Telnet登录相关配置 当用户通过 Telnet协议登录交换机时,需要在交换机上启用 Telnet服务,设置用户认证方 式(此处为AAA认证)并创建用户及登录密码。具体操作命令如下: ∥/启动 Telnet服务 SW-1]telnet server enable Info: The Telnet server has been enabled ∥/进入虛拟终端(vty)视图,并进行相关配置,此处默认有0~4共5个虚拟终端 [Sw-1]user-interface vty 0 4 ∥/设置用户登录验证方式为aa [SW-1-ui-vtyo-4 ]authentication-mode aaa ∥/配置vTY用户界面支持 Telnet协议。 [SW-1-ui-vtyo-4 ]quit 河南中医药大学信息技术学院网络与信息系统科研工作室 第10页
《网络运维管理》 / 实验五:远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第10页 [Huawei]undo info-center enable Info: Information center is disabled. [Huawei]sysname SW-1 //创建 VLAN1000,并将其设置为管理 VLAN,并配置 VLANIF1000 的 IP 地址 [SW-1]vlan 1000 [SW-1-vlan1000]management-vlan [SW-1-vlan1000]quit [SW-1]interface vlanif 1000 [SW-1-Vlanif1000]ip address 10.0.255.254 24 [SW-1-Vlanif1000]quit //将 Ethernet0/0/1 接口设置为 Trunk 模式并划入 VLAN1000,其 PVID 值设置为 1000 [SW-1]interface Ethernet0/0/1 [SW-1-Ethernet0/0/1]port link-type trunk [SW-1-Ethernet0/0/1]port trunk pvid vlan 1000 [SW-1-Ethernet0/0/1]port trunk allow-pass vlan 1000 [SW-1-Ethernet0/0/1]quit 提醒: 1. 配置二层交换机的管理 IP 时,包括 3 步:创建管理 VLAN、配置管理 VLAN 的 VLANIF 接口 IP 地址、在管理 VLAN 中添加接口并且该接口必须连接一个已经启动 的设备; 2. 因为此处 VLAN1000 被配置成管理 VLAN,所以 Ethernet0/0/1 接口需要设置成 Trunk 或 Hybrid 模式; 3. Ethernet0/0/1 的 PVID 值设置为 1000,是为了 Host-M 发出的数据帧进入 SW-1 时被添加上 VLAN1000 标记,从而能够访问 SW-1 的 VLANIF 接口。 步骤 5:在 SW-1 上进行 Telnet 登录相关配置 当用户通过 Telnet 协议登录交换机时,需要在交换机上启用 Telnet 服务,设置用户认证方 式(此处为 AAA 认证)并创建用户及登录密码。具体操作命令如下: //启动 Telnet 服务 [SW-1]telnet server enable Info: The Telnet server has been enabled. //进入虚拟终端(vty)视图,并进行相关配置,此处默认有 0~4 共 5 个虚拟终端。 [SW-1]user-interface vty 0 4 //设置用户登录验证方式为 aaa [SW-1-ui-vty0-4]authentication-mode aaa //配置 VTY 用户界面支持 Telnet 协议。 [SW-1-ui-vty0-4]protocol inbound telnet [SW-1-ui-vty0-4]quit