#交换设备
交换机的基本配置
目标
- 掌握思科设备的命令行基础
- 会对交换机进行基本配置
- 会通过telent和ssh对交换机进行远程管理
一、思科设备命令基础
1.进入设备的命令行界面
- 设备支持命令行
- 去查看设备上的接口,是否有console
- 需要有console线
- 需要超级终端软件进行连接
- putty
- secret CRT
- xshell
2.命令行基础
-
思科设备上的命令模式
-
如何进入
-
用户模式:查看统计信息(用的非常少),用“>"表示
-
用户模式切换到特权模式
-
enable en #命令可以简写
-
-
特权模式:查看并修改设备的配置(查看居多),用“#”表示
-
特权模式却换到全局模式
-
configure terminal conf t #简写
-
-
全局模式:针对设备的整体配置参数,用“(config)#”表示
-
切换到接口(某一个)模式:(用模拟器,将鼠标移动到交换机的地方不动,就会显示)
-
intrface fastethernet0/1 #进入0/1接口 int f0/1 #简写
-
-
接口模式:针对设备的接口修改配置,用“(config-if)#"表示
-
-
进入对应模式,只能逐级进入
-
如何返回
- 返回对应模式,一级一级返回,使用exit,
-
如果想要快速返回到特权模式,则使用end
当命令输错时
Switch#ded
Translating "ded"...domain server (255.255.255.255) #系统会进行域名解析
快速中止按 Ctrl+shift+6
#永久不进行域名解析,按一下操作
Switch(config)#no if domain-lookup
3.常见配置
- 给交换机配置一个主机名(进入全局模式,输入hostname空格加主机名)
Switch>en #进入特权模式
Switch#conf t #进入全局模式
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW1 #将交换机主机名设置为“SW1”
SW1(config)#
-
查看交换机内部的mac表
- 在特权模式下查看(show mac-address-table)
SW1#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 00d0.bc48.17a3 DYNAMIC Fa0/2
1 00e0.b094.24ed DYNAMIC Fa0/1
-
交换机学习的是信息的源mac地址,首次使用,当主机A发送数据后,交换机记录主机A的mac地址和端口,而后广播出去,当B接受到并回应时,交换机又记录了B的mac地址和对应端口号
-
配置交换机的双工模式(全局模式–接口模式)
SW1#conf t 进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#int f0/1 进入0/1接口 SW1(config-if)#duplex ? 显示该语法的使用方式 auto Enable AUTO duplex configuration #自适应 full Force full duplex operation #全双工 half Force half-duplex operation #半双工 SW1(config-if)#duplex half #配置为半双工 SW1#show int f0/1 sw #查看端口 SW1#show int f0/1 switchport #这不是简写 SW1#show int f0/1 #查看端口 FastEthernet0/1 is up, line protocol is up (connected) Hardware is Lance, address is 0005.5e12.7701 (bia 0005.5e12.7701) BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 100Mb/s #这里显示了当前端口的模式,half:半双工模式 input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:08, output 00:00:05, output hang never
-
设置接口速率
SW1#conf t Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#int f0/1 SW1(config-if)#speed 10 #设置接口速率为10m
- 如果两个主机对应的接口速率不同则网络会出现延迟
-
配置console接口的密码
SW1#conf t Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#line console 0 #进入console 0接口 SW1(config-line)#password ? 7 Specifies a HIDDEN password will follow LINE The UNENCRYPTED (cleartext) line password SW1(config-line)#password 1234 #设置console口的密码为1234 SW1(config-line)#login #应用当前设置
-
查看当前配置文件
SW1#show running-config
-
查看保存配置文件(NVRAM)
SW1#show startup-config #是查看保存了的配置文件,不是当前已经生效的配置文件
-
保存当前配置文件
SW1#copy running-config startup-config
SW1#write #保存当前配置文件
4.交换机密码恢复
-
拔掉交换机插头,插上电源同时按住MODE建
-
出现“swith”界面提示后,松开按键,初始化Flash
Switch:flash_init #初始化flash
-
将config.text文件改成config.old,完成后启动交换机
-
Switch:rename flash:config.text flash:config.old Switch:boot #重新启动
-
-
重新启动后,把配置文件的名字改回来
Switch# rename flash:config.old flash:config.text
-
该完名字后,使用使用命令即可查看这个保存的配置文件内容,可以看到之前的密码
Switch#show startup-config
- 在这一步,我们已经饶过了原来设置的密码,进入了交换机,而且知道了原来的密码内容
-
-
手动加载配置文件(将保存的配置文件复制到当前的配置文件中去)
- 如果想要之前配置的一些内容就需要这一步
Switch#copy flash:config.text system:running-config #将保存配置文件复制到当前运行的配置文件
-
进入全局模式配置密码
二、通过远程管理方式连接交换机(telnet ssh)
1.telnet
- 是应用层协议,基于传输层TCP,默认端口号23,采用明文密码传输
- 不是太安全,一般用于内网管理
思路
-
1.1既然是通过网路的方式管理设备,设备就必须配置IP地址,由于交换机上的接口都是交换接口,是不允许配置IP地址的,直接为交换机的虚接口配置IP地址:(vlan1)接口
#配置IP地址 Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname SW1 #设定交换机的主机名 SW1(config)#int vlan 1 #进入vlan1虚接口 SW1(config-if)#ip address 192.168.100.100 255.255.255.0 #为当前vlan1接口配置IP地址和子网掩码 SW1(config-if)#no shutdown #打开这个虚接口
-
1.2配置设备的连接终端,并设置密码
#配置设备的连接终端 SW1#conf t #进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#line vty 0? #查看vty接口一共有几个可用 <0-15> #一共有16个接口可用 SW1(config)#line vty 0 4 #进入0-4的终端接口 SW1(config-line)#password 1234 #设置密码为1234 SW1(config-line)#login #应用
解释
- 这里的vty,代表交换机的虚拟终端接口,交换机上一共有5个vty口,所以line是进入,vty 0 4 进入这5个口,进一步设置,有些交换机只有这5条线路可用,还有的交换机产品有很多这样的接口
最后使用pc,打开桌面的telnet,输入交换机的IP地址,点击连接
连接成功,输入密码,进入用户模式
当进入特权模式时,显示没有设置密码,则先要在交换机设置特权模式密码
-
2.创建用户名和密码,配置设备的连接密码并应用(第二种方法)
SW1#conf t Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#username heheda password 1234 SW1(config)#line vty 0 4 SW1(config-line)#login local #表示使用用户名密码登录,前面已经设置过密码了
-
login:表示直接使用密码登录
-
login local:使用账号密码登录
-
设置特权模式密码(当同时设置明文和密文密码,则只有密文密码生效)
- 设置特权模式密码(必须设置,不然主机不能进入到交换机的特权模式)
SW1(config)#enable password 123 #设置明文密码
SW1(config)#enable secret 456 #设置密文密码,现在只有这个会生效,因为更安全
SW1(config)#enable password secret 456 #查看当前配置文件
2.ssh
- 是应用层协议,基于传输层TCP,,默认端口22,采用密文密码方式
- 相对来讲比较安全,常用跨越互联网管理、远程管理Linux操作系统
步骤:
Switch#conf t #进入特权模式
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int vlan 1 #进入vlan接口
Switch(config-if)#ip add 192.168.100.100 255.255.255.0 #设置IP地址和子网掩码
Switch(config-if)#no shutdown #应用
……
Switch# #返回特权模式
Switch(config)#hostname SW1 #设置主机名为SW1
必须创建主机名,因为创建域名的时候不允许使用默认的主机名
SW1(config)#ip domain-name heheda.com #创建域名
SW1(config)#crypto key generate rsa #创建密钥对
The name for the keys will be: SW1.heheda
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes. #创建的密钥长度在360~2048之间
How many bits in the modulus [512]: 2048 #默认的长度为512,输入2048更安全
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
SW1(config)#ip ssh time-out 120 #配置超时的时间
*Mar 1 0:6:47.166: %SSH-5-ENABLED: SSH 1.99 has been enabled
SW1(config)#ip ssh authentication-retries 5 #配置认证的次数
SW1(config)#username heheda2 password 123 #创建用户名密码
SW1(config)#line vty 0 4
SW1(config-line)#login local #设置用户名密码登录
SW1(config-line)#exit #退出到全局模式
SW1(config)#enable secret 123 #设置特权模式密码(密文)
SW1(config)#show running-config #检查当前配置文件
通过主机的SSH协议访问并设置交换机
三、华为设备配置登录密码
1.用户界面的概念(VTY Console)
- 我认为用户界面的概念类似于用户组的概念:如果某用户属于VTY0 4,我在VTY0 4内设置了某种权限,那么所有属于VTY0 4的用户的权限都一样
2.配置telnet
- 以华为路由器为例,设置telnet登录方式,密码为huawei
1. password模式
- 只需要输入密码即可(不安全)
<Huawei>sys #进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR3 #设置设备名称
[AR3]user-interface vty 0 4 # 进入用户界面准备设置认证模式
[AR3-ui-vty0-4]authentication-mode password #设置认证方式,
Please configure the login password (maximum length 16):huawei #设置密码
[AR3-ui-vty0-4]user privilege level 1 #设置用户权限等级,只有用户等级大于3才可以进入系统视图
2. AAA模式
- 需要同时输入用户名和密码
- 配置具有aaa模式的用户
- 设置用户名、密码、权限等级
- 用户视图设置aaa认证模式
[AR3]aaa #进入aaa视图,注册aaa模式的用户
[AR3-aaa]local-user admin password cipher huawei privilege level 3 #设置 用户名 密码 权限
[AR3-aaa]local-user admin service-type telnet #设置用户的登录类型
[AR3]q
[AR3]user-interface vty 0 4 # 进入前5个用户界面准备设置认证模式
[AR3-ui-vty0-4]authentication-mode aaa #设置这属于这5个用户界面的用户。认证模式为aaa
3.配置console口密码
- 配置串口密码,以防止黑客通过串口直连的方式违规接入交换机
1.配置password认证方式
[Huawei]user-interface console 0 #进入console接口
[Huawei-ui-console0]set authentication username huawei password cipher admin123 #以密文的方式存储密码
2.配置aaa认证方式
[Huawei]user-interface console 0 # 进入console视图
[Huawei-ui-console0]authentication-mode aaa #设置aaa模式认证
[Huawei-ui-console0]q
[Huawei]aaa #进入aaa视图
[Huawei-aaa]local-user admin password cipher admin123 #设置一个用户
[Huawei-aaa]local-user admin service-type terminal #用户的登录类型为console
4.配置思路
四、通过stelnet远程管理设备(华为)
- 由于telnet使用明文传输,用户在登录时,其用户名密码都是以明文传输,并不安全,因此可以使用stelnet
- stelnet是基于ssh协议进行通讯
配置步骤
1.配置生成本地RSA密钥对
rsa local-key-pair create
dis rsa local-key-pair public #查看本地密钥对中的公钥信息
2.配置用户的验证方式为AAA
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh #指定vty界面支持ssh协议,设备自动禁止telnet功能
3.在aaa界面设置用户信息,新建用户
aaa
local-user huawei1 password cipher 123456 #进入aaa界面,添加用户
local-user huawei1 service-type ssh #设置该用户的接入类型为ssh
local-user huawei1 privilege level 3 #配置用户权限
4.新建ssh用户、设置认证方式
ssh user huawei1 authentication-type password #新建ssh用户,名为huawei1,指定认证方式为密码
stelnet server enable #开启ssh服务
dis ssh user-information huawei1 #查看huawei1的用户信息
dis ssh server status #查看ssh服务状态
5.在用户端,配置用户端ssh首次登录认证
- 因为用户在第一次登录的时候没有公钥信息,所以会登录失败,所以在用户端将ssh首次认证功能开启,首次登录时不对用户端的公钥进行检查
sys
ssh client frist-time enable