實(shí)驗(yàn)三 交換機(jī)的帶內(nèi)和帶外管理.doc

實(shí)驗(yàn)三 交換機(jī)帶內(nèi)管理和帶外管理【實(shí)驗(yàn)?zāi)康摹?、 熟悉帶內(nèi)管理和帶外管理的區(qū)別2、 掌握帶內(nèi)管理和帶外管理的實(shí)現(xiàn)方式3、 靈活使用帶內(nèi)管理和帶外管理的方式交換機(jī)【引入案例】A單位要進(jìn)行網(wǎng)絡(luò)升級改造，購置了一批全新的網(wǎng)絡(luò)設(shè)備，其中交換機(jī)的數(shù)量最多，這些新的交換機(jī)將分布在各樓層、各片區(qū)，網(wǎng)絡(luò)中心的管理員負(fù)責(zé)它們的安裝、調(diào)試以及日后的管理和維護(hù)。面對數(shù)量眾多且物理位置相距較遠(yuǎn)的交換機(jī)，網(wǎng)管人員必須找到一種省時(shí)、便捷的網(wǎng)絡(luò)管理方式。【案例分析】交換機(jī)是網(wǎng)絡(luò)中除終端計(jì)算機(jī)外使用數(shù)量最多，分布范圍最廣的網(wǎng)絡(luò)設(shè)備，特別是像A單位這種比較大型的內(nèi)部網(wǎng)絡(luò)，交換機(jī)的維護(hù)管理工作更是頻繁。如果每臺交換機(jī)都需要人工到現(xiàn)場進(jìn)行配置管理，網(wǎng)管人員的工作量之巨大可想而知，而當(dāng)交換機(jī)出現(xiàn)故障，更不能及時(shí)排除。實(shí)際上，我們可以使用Telnet、Web等方式對交換機(jī)進(jìn)行遠(yuǎn)程管理，也就是交換機(jī)的帶內(nèi)管理。我們只需要在交換機(jī)上把帶內(nèi)管理模式配置好，網(wǎng)管人員只需坐在控制機(jī)房，通過遠(yuǎn)程登錄就可以對遍布各個(gè)角落的交換機(jī)管理配置。【基本原理】交換機(jī)的管理方式可以分為帶內(nèi)管理和帶外管理兩種管理模式。所謂帶內(nèi)管理，是指管理控制信息與數(shù)據(jù)業(yè)務(wù)信息通過同一個(gè)信道傳送。使用帶內(nèi)管理，可以通過交換機(jī)的以太網(wǎng)端口對設(shè)備進(jìn)行遠(yuǎn)程管理配置，目前我們使用的網(wǎng)絡(luò)管理手段基本上都是帶內(nèi)管理。在帶外管理模式中，網(wǎng)絡(luò)的管理控制信息與用戶數(shù)據(jù)業(yè)務(wù)信息在不同的信道傳送。帶內(nèi)管理和帶外管理的最大區(qū)別在于，帶內(nèi)管理的管理控制信息占用業(yè)務(wù)帶寬，其管理方式是通過網(wǎng)絡(luò)來實(shí)施的，當(dāng)網(wǎng)絡(luò)中出現(xiàn)故障時(shí)，無論是數(shù)據(jù)傳輸還是管理控制都無法正常進(jìn)行，這是帶內(nèi)管理最大的缺陷；而帶外管理是設(shè)備為管理控制提供了專門的帶寬，不占用設(shè)備的原有網(wǎng)絡(luò)資源，不依托于設(shè)備自身的操作系統(tǒng)和網(wǎng)絡(luò)接口。簡單地說，交換機(jī)的帶外管理就是不通過交換機(jī)的以太網(wǎng)口進(jìn)行管理的方式，而帶內(nèi)管理的管理信息則需要通過交換機(jī)的以太網(wǎng)口來傳送。從交換機(jī)的訪問方式來說，通過Telnet、Web、SNMP方式對交換機(jī)進(jìn)行遠(yuǎn)程管理都屬于帶內(nèi)管理，而通過交換機(jī)的Console口對它進(jìn)行管理的方式屬于帶外管理。一、通過Console口進(jìn)行本地登錄一般來說，交換機(jī)設(shè)備開箱啟封后，網(wǎng)絡(luò)管理員為了統(tǒng)一管理和將交換機(jī)性能發(fā)揮到最佳狀態(tài)，都會首先使用設(shè)備的console口來對設(shè)備進(jìn)行一些必要的初始配置。因此，通過交換機(jī)的console口本地登錄是登錄交換機(jī)的最基本的方式，也是配置通過其他方式登錄交換機(jī)的基礎(chǔ)。用戶終端的通信參數(shù)配置要和交換機(jī)Console口的配置保持一致，才能通過Console口登錄到以太網(wǎng)交換機(jī)上。用戶登錄到交換機(jī)上后，可以對Console口登錄方式的公共屬性和認(rèn)證方式進(jìn)行相關(guān)的配置。Console口登錄方式的認(rèn)證方式有None、Password、Scheme三種，不同的認(rèn)證方式下，需要配置不同的Console口登錄方式的屬性。其中，Console口登錄方式的公共屬性都有設(shè)備出廠默認(rèn)值，用戶可以根據(jù)需要選擇配置，包括Console口的傳輸速率、校驗(yàn)方式、停止位和數(shù)據(jù)位等。H3C S3100系列以太網(wǎng)交換機(jī)支持兩種用戶界面：AUX用戶界面、VTY用戶界面。配置Console口登錄方式必須在AUX用戶界面視圖下進(jìn)行。二、通過Telnet進(jìn)行登錄只要以太網(wǎng)交換機(jī)支持Telnet功能，用戶就可以通過Telnet方式對交換機(jī)進(jìn)行遠(yuǎn)程管理和維護(hù)。交換機(jī)和Telnet用戶端都要進(jìn)行相應(yīng)的配置，才能實(shí)現(xiàn)遠(yuǎn)程登錄交換機(jī)。與Console口登錄方式類似，Telnet登錄方式也有None、Password、Scheme三種，不同的認(rèn)證方式下，需要配置不同的Telnet登錄方式的屬性，用戶可以根據(jù)需要選擇配置，包括VTY用戶界面、VTY用戶終端屬性等配置。配置Telnet登錄方式需要在VTY用戶界面視圖下進(jìn)行。三、通過Web網(wǎng)管登錄采用web方式登錄的管理者則可以通過圖形界面與交換機(jī)進(jìn)行交互，比較直觀但也會占用較多網(wǎng)絡(luò)資源。它利用支持Web網(wǎng)管登錄的以太網(wǎng)交換機(jī)提供內(nèi)置的WEB Server，用戶可以通過終端登錄到交換機(jī)上，以WEB方式直觀地管理和維護(hù)以太網(wǎng)交換機(jī)。與Telnet登錄方式類似，交換機(jī)和WEB網(wǎng)管終端都要進(jìn)行相應(yīng)的配置，才能保證通過WEB網(wǎng)管方式正常登錄交換機(jī)。其中，交換機(jī)需要配置VLAN接口的IP地址，保證交換機(jī)與WEB網(wǎng)管終端之間路由可達(dá)，并配置WEB網(wǎng)管的用戶名和認(rèn)證口令以及用戶登錄后訪問的命令級別；而WEB網(wǎng)管終端則需要安裝IE瀏覽器進(jìn)行WEB網(wǎng)管登錄?！久罱榻B】一、通過Telnet遠(yuǎn)程登錄交換機(jī)。1設(shè)置登錄用戶的認(rèn)證方式authentication-mode none | password | scheme 視圖用戶界面視圖參數(shù)l none：不需要認(rèn)證。l password：進(jìn)行口令認(rèn)證。l scheme：進(jìn)行本地或遠(yuǎn)端用戶名和口令認(rèn)證。例在VTY用戶界面視圖下，設(shè)置通過VTY0登錄交換機(jī)的Telnet用戶不需要進(jìn)行認(rèn)證。 H3C-ui-vty0 authentication-mode none2設(shè)置/取消從用戶界面登錄后可以訪問的命令級別user privilege level levelundo user privilege level視圖用戶界面視圖參數(shù)l level：從用戶界面登錄后可以訪問的命令級別，取值范圍為03。缺省情況下，從AUX用戶界面登錄后可以訪問的命令級別為3級，從VTY用戶界面登錄后可以訪問的命令級別為0級。命令級別共分為訪問、監(jiān)控、系統(tǒng)、管理4個(gè)級別，分別對應(yīng)標(biāo)識0、1、2、3，說明如下：訪問級（0級）：用于網(wǎng)絡(luò)診斷等功能的命令。包括ping、tracert、telnet等命令，執(zhí)行該級別命令的結(jié)果不能被保存到配置文件中。監(jiān)控級（1級）：用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等功能的命令。包括debugging、terminal等命令，執(zhí)行該級別命令的結(jié)果不能被保存到配置文件中。系統(tǒng)級（2級）：用于業(yè)務(wù)配置的命令。包括路由等網(wǎng)絡(luò)層次的命令，用于向用戶提供網(wǎng)絡(luò)服務(wù)。管理級（3級）：關(guān)系到系統(tǒng)的基本運(yùn)行、系統(tǒng)支撐模塊功能的命令，這些命令對業(yè)務(wù)提供支撐作用。包括文件系統(tǒng)、FTP、TFTP、XModem下載、用戶管理命令、級別設(shè)置命令等。例在VTY用戶界面視圖下，設(shè)置從VTY0用戶界面登錄后可以訪問的命令級別為1。 H3C-ui-vty0 user privilege level 13配置用戶界面支持的協(xié)議protocol inbound all | telnet 視圖VTY用戶界面視圖參數(shù)l all：支持所有的協(xié)議。l telnet：支持Telnet協(xié)議。例配置VTY0用戶界面只支持Telnet協(xié)議 .H3C-ui-vty0 protocol inbound telnet4配置/取消配置屏幕上一屏中能夠顯示的信息的行數(shù)screen-length screen-lengthundo screen-length視圖用戶界面視圖參數(shù)l screen-length：屏幕分屏顯示的行數(shù)，取值范圍為0512。缺省情況下，screen-length 的值為24行，取值為0表示關(guān)閉分屏顯示功能。例在VTY用戶界面視圖下，設(shè)置終端屏幕的一屏行數(shù)為20行。 H3C-ui-vty0 screen-length 205設(shè)置/取消設(shè)置當(dāng)前用戶視圖歷史命令緩沖區(qū)的大小history-command max-size valueundo history-command max-size視圖用戶界面視圖參數(shù)l value：歷史緩沖區(qū)的大小，取值范圍為0256。缺省情況下，歷史命令緩沖區(qū)的大小為10，即可存放10條歷史命令。例設(shè)置VTY0用戶界面歷史命令緩沖區(qū)的大小為20，即可以保存20條歷史命令。 H3C-ui-vty0 history-command max-size 206配置/取消配置用戶超時(shí)斷開連接的時(shí)間idle-timeout minutes seconds undo idle-timeout視圖用戶界面視圖參數(shù)l minutes：分鐘數(shù)，取值范圍為035791。seconds：秒數(shù)，取值范圍為059。缺省情況下，用戶超時(shí)斷開連接的時(shí)間為10分鐘。設(shè)置idle-timeout 0即關(guān)閉超時(shí)中斷連接功能。例設(shè)置VTY0用戶界面的超時(shí)斷開連接時(shí)間為1分鐘。H3C-ui-VTY0 idle-timeout 1如果在所設(shè)定的時(shí)間內(nèi)用戶沒有對交換機(jī)執(zhí)行任何操作，則交換機(jī)將斷開與該用戶的連接。7設(shè)置/取消本地認(rèn)證的口令set authentication password cipher | simple passwordundo set authentication password視圖用戶界面視圖參數(shù)l cipher：設(shè)置本地認(rèn)證口令以密文方式存儲。l simple：設(shè)置本地認(rèn)證口令以明文方式存儲l password：口令字符串。如果驗(yàn)證方式是simple，則password必須是明文口令。如果驗(yàn)證方式是cipher，則用戶在設(shè)置password時(shí)有兩種方式：（1）一種是輸入小于等于16字符的明文口令，系統(tǒng)會自動轉(zhuǎn)化為24位的密文形式；（2）另一種是直接輸入24字符的密文口令，這種方式要求用戶必須知道其對應(yīng)的明文形式。如：明文“123456”對應(yīng)的密文是“OUM!K%F+$Q=QMAF41!”。例在VTY用戶界面視圖下，設(shè)置VTY0的本地認(rèn)證明文口令為123。H3C-ui-VTY0 set authentication password simple 123二、通過WEB方式遠(yuǎn)程登錄交換機(jī)1設(shè)置/取消設(shè)置某用戶登錄類型及登錄后可以訪問的命令級別service-type ftp | telnet | level level undo service-type ftp | telnet 視圖本地用戶視圖參數(shù)l ftp：指定用戶為ftp類型。l telnet：指定用戶為Telnet類型。l level level：指定Telnet用戶可以訪問的命令級別。level為整數(shù)，取值范圍03，缺省級別為0級。與用戶界面命令級別一樣，本地用戶命令級別也分為訪問、監(jiān)控、系統(tǒng)、管理4個(gè)級別，分別對應(yīng)標(biāo)識0、1、2、3。例在系統(tǒng)視圖下，設(shè)置本地用戶名為abc，登錄后可以訪問命令級別為0級的命令。H3C local-user abcH3C-luser-abc service-type telnet level 02設(shè)置/取消設(shè)置本地用戶的密碼。password simple | cipher passwordundo password視圖本地用戶視圖參數(shù)l simple：表示密碼為明文。l cipher：表示密碼為密文。l password：表示設(shè)置的密碼，例設(shè)置用戶admin的密碼采用明文方式，密碼為123456。H3C local-user adminH3C-luser-admin password simple 1234563關(guān)閉/取消關(guān)閉WEB Server,關(guān)閉/取消關(guān)閉HTTP服務(wù)對應(yīng)的TCP 80端口ip http shutdownundo ip http shutdown視圖系統(tǒng)視圖例在系統(tǒng)視圖下，關(guān)閉WEB Server。H3C ip http shutdown缺省情況下，WEB Server處于啟動狀態(tài)。三、為接口配置IP地址。1為/取消以太網(wǎng)端口或VLAN接口配置IP地址和掩碼。ip address ip-address maskundo ip address ip-address mask 視圖以太網(wǎng)端口視圖/VLAN接口視圖參數(shù)l ip-address：管理VLAN接口的IP地址。l mask：管理VLAN接口IP地址的掩碼，點(diǎn)分十進(jìn)制格式或以整數(shù)形式表示的長度，當(dāng)用整數(shù)形式時(shí)，取值范圍為032。例在系統(tǒng)視圖下，為當(dāng)前管理VLAN 1的接口配置IP地址為，掩碼。 H3C interface Vlan-interface 1H3C-Vlan-interface1 ip address 【解決方案】1案例描述A單位的交換機(jī)由于是新購置的設(shè)備，里面只有默認(rèn)的出廠設(shè)置，而Telnet、Web等登錄方式的前提是先要交換機(jī)開啟一些相關(guān)的服務(wù)。因此，網(wǎng)管人員可以通過交換機(jī)console口登錄，對新開箱啟封的交換機(jī)進(jìn)行一些初始的配置，包括配置好Telnet、Web等登錄方式所需環(huán)境。這樣，即使把交換機(jī)安裝在物理位置相對較遠(yuǎn)的地方，網(wǎng)管人員也能用遠(yuǎn)程登錄的方式對交換機(jī)進(jìn)行后續(xù)的管理和維護(hù)。如果日后發(fā)生網(wǎng)絡(luò)故障，某臺交換機(jī)與外界網(wǎng)絡(luò)完全中斷，無法對其實(shí)行帶內(nèi)管理，可以考慮采用帶外管理的方式，不使用設(shè)備的網(wǎng)絡(luò)接口，也就是通過交換機(jī)的console口對其進(jìn)行配置管理。因此，針對本案例，網(wǎng)管人員可以先通過交換機(jī)的Console口登錄交換機(jī)，配置好Telnet登錄方式所需環(huán)境，就可以實(shí)現(xiàn)遠(yuǎn)程登錄的方式來管理交換機(jī)。2拓?fù)鋱D（1）通過Console口登錄交換機(jī)。圖2.1 （2）通過Telnet遠(yuǎn)程登錄交換機(jī)。圖2.2【實(shí)驗(yàn)設(shè)備】二層交換機(jī)1臺，PC機(jī)1臺，配置電纜1根，標(biāo)準(zhǔn)網(wǎng)線1根。說明：本實(shí)驗(yàn)二層交換機(jī)選擇H3C LS-S3100-16C-SI-AC?！緦?shí)施步驟】步驟1 用交換機(jī)的console口登錄交換機(jī)作初始配置1按拓?fù)鋱D 建立本地配置環(huán)境，將配置電纜的RJ-45端口接入以太網(wǎng)交換機(jī)的console口，配置電纜另一端的串口則接入PC機(jī)（或終端）的串口。Console口是一種線設(shè)備端口。2在PC機(jī)（或終端）上運(yùn)行終端仿真程序，如Windows XP的超級終端，選擇與交換機(jī)相連的串口，設(shè)置終端通信參數(shù)：傳輸速率為9600bit/s、8位數(shù)據(jù)位、1位停止位、無校驗(yàn)和無流控，如圖所示。圖2.3 新建連接圖2.4 選擇連接端口圖2.5 端口參數(shù)設(shè)置3打開交換機(jī)電源，交換機(jī)會進(jìn)行設(shè)備自檢，完成后會在屏幕提示用戶輸入回車鍵，敲入回車鍵后就可以看到命令行提示符，此時(shí)證明交換機(jī)登錄成功，即可以輸入相關(guān)的命令配置交換機(jī)。圖2.6 進(jìn)入配置界面步驟2 配置Telnet的登錄方式（認(rèn)證方式為Password）。1進(jìn)入系統(tǒng)視圖。system-view2進(jìn)入交換機(jī)vlan1接口視圖配置交換機(jī)的IP地址。H3Cinterface vlan-interface 1H3C-Vlan-interface1 ip address H3C-Vlan-interface1 quit3進(jìn)入VTY0用戶界面視圖。S3100系列以太網(wǎng)交換機(jī)支持兩種用戶界面：AUX用戶界面和VTY用戶界面。AUX（Auxiliary）用戶界面是系統(tǒng)為通過Console口登錄方式提供的視圖；VTY（Virtual Type Terminal，虛擬類型終端）用戶界面是系統(tǒng)為通過VTY方式登錄提供的視圖，對設(shè)備進(jìn)行Telnet訪問屬于VTY登錄方式。在H3C系列以太網(wǎng)交換機(jī)中，AUX口和Console口是同一個(gè)端口，以下稱為Console口，與其對應(yīng)的用戶界面類型只有AUX用戶界面類型。H3C user-interface vty 04設(shè)置登錄用戶的認(rèn)證方式為Password認(rèn)證。H3C-ui-vty0 authentication-mode pass