【交换篇】05. 远程 SSH 访问 ❀ C3750-E ❀ CISCO 交换机

        【简介】要想远程管理访问交换机，就必须为交换机配置IP地址和子网掩码，还要配置默认网关。这与主机设备上配置IP地址信息非常相似。

---

  SVI 交换机虚拟接口

        交换机虚拟接口（Switch Virtual Interface，SVI）代表一个由交换端口构成的VLAN（其实就是通常所说的VLAN接口），以便于实现系统中路由和桥接的功能。一个交换机虚拟接口对应一个VLAN，当需要路由虚拟局域网之间的流量或桥接VLAN之间不可路由的协议，以及提供IP主机到交换机的连接的时候，就需要为相应的虚拟局域网配置相应的交换机虚拟接口，其实SVI就是指通常所说的VLAN接口，只不过它是虚拟的，用于连接整个VLAN，所以通常也把这种接口称为逻辑三层接口，也是三层接口。

        SVI 接口是当在interface vlan全局配置命令后面键入具体的VLAN ID时创建的。可以用no interface vlan vlan_id全局配置命令来删除对应的SVI接口，只是不能删除VLAN 1的SVI接口（VLAN 1），因为VLAN 1接口是默认已创建的，用于远程交换机管理。应当为所有VLAN配置SVI接口，以便在VLAN间路由通信。也就是SVI接口的用途就是为VLAN间提供通信路由。一个VLAN仅可以有一个SVI。在你希望在VLAN之间进行路由，或者在VLAN间进行非路由协议的fallback桥接，或者提供IP主机连接到交换机时，就需要为VLAN配置一个SVI。

        默认情况下，SVI是为默认VLAN（通常是VLAN 1）而创建的，以允许进行远程交换机管理。其他的SVI必须明确配置。所以说，SVI接口可以同时是该交换机的管理接口和下层设备的网关接口（路由连接口）。SVI提供到系统的IP主机连接。在三层模式中，可以配置通过SVI的路由。

  配置管理接口

        在交换机的管理 SVI 上通过 VLAN 接口配置模式配置 IP 地址和子网掩码。        

        这里创建了VLAN 99，为 SVI 分配了 IP 地址 172.16.2.1，no shutdown 命令将启用接口。        

        在全局配置模式下，设置 vlan 99 的名称，方便区分各个 VLAN。        

        这里将第24号接口加入 vlan 99中。

  配置默认网关

        如果要通过未直接连接的网络远程管理交换机，则应当为交换机配置默认网关。默认网关是在同一个管理 VLAN 网络中与交换机连接的第一个三层设备（如路由器）。交换机将目的IP地址位于本网络之外的IP数据包转发到默认网关。        

        这里测试时将交换机与飞塔防火墙连接，防火墙的接口 IP 地址为 172.16.2.2，交换机的默认网关设置的就是这个 IP 。        

        最后在特权模式下复制运行配置文件到启动配置文件，下次重启交换机时这些配置会自动运行（相当于保存设置）。

  检验配置

        用 show ip interface brief 命令，查看虚拟接口和物理接口的状态。        

        可以看到接口VLAN99已经配置了IP地址，并且接口处于up/up状态，正常运转。如果接口不是up/up状态，就要查找原因了。再用 show vlan brief  命令查看VLAN接口分配置情况。        

        可以看到接口 24 是分配给 VLAN 99 的。

  SSH 访问设置

        安全外壳 (SSH) 是一种提供远程设备的安全（加密）管理连接的协议。建议用 SSH 替代 Telnet 来管理连接，因为 Telnet 的协议比较老，对登录身份验证（用户名和密码）和通信设备之间的数据都采用不安全的明文传输，而SSH通过在设备进行身份证（用户名和密码）时以及在通信设备之间传输数据时提供强加密，确保远程连接的安全。

        不是所有的IOS版本都支持SSH访问，只有IOS文件名时含有"K9"的才可以，可以使用 show version 命令查看交换机的IOS。        

         使用 ip domain-name 全局配置模式命令配置网络的 IP 域名，这里设置的是常用的cisco.com。

         使用 crypto key generate rsa 全局配置模式命令在交换机上启用 SSH 服务器并生成 RSA 密钥对。当生成 RSA 密钥时，系统会提示输入模数长度，思科建议模数大小至少为1024位。模数长度越长越安全，但生成和使用模数的时间也越长。       

        SSH 服务器可以对用户进行本地身份验证，使用 username 和password 全局配置模式命令创建用户名和密码，这里设置的用户名是admin ，密码是meigang。

        使用 transport input ssh 线路配置模式命令启用 vty 线路上的 SSH 协议。该配置将阻止除 SSH 之外的连接（如Telnet)，并将交换机限制为仅受 SSH 连接。

        使用 line vty 全局配置模式命令，然后使用login local 线路配置模式命令来要求从本地用户数据库进行 SSH 连接的本地身份验证。        

        由于 SSH 安全等级比较高，就算登录了设备，进入特权模式的时候仍然需要特权模式密码，使用 enable secret 全局配置模式命令来进行密码设置，这里设置的密码是 cisco 。

  SSH 访问检验

        交换机设置完成后，我们把笔记本的网线接入到交换机的第 24 口，并修改笔记本网卡的IP地址。

        ① 交换机第24口归属于VLAN99，而VLAN99的IP地址是172.16.2.1，这里将笔记本的IP地址设置同网段的172.16.2.8，这样笔记本就可以通过网卡访问交换机了。

        ② 打开仿终端软件 SecureCRT，新建连接 Session。

        ③ 协议这里选择 SSH2。

        ④ 访问的主机名输入交换机的IP地址，172.16.2.1，用户名输入admin（用户名和密码在交换机上设置）。

        ⑤ FTP协议默认就SFTP好了，这里用不上。

        ⑥ 输入Session名称。

        ⑦ 双击刚刚建立的 Session 名称，连接成功后会出现 Host Key 提示，点击接受并保存按钮。

        ⑧ 输入登录密码 meigang，并点击保存。

        ⑨ 显示出交换机用户模式信息。

        ⑩ 进入特权模式时会再次要求输入密码，这里输入我们前面设置的密码 cisco， 这样交换机就可以通过 SSH 正常访问了。        

        ⑪ 使用特权模式命令 show ip ssh 和show ssh，可以查看当前 SSH 的状态和设置。

  外网远程访问

        交换机的默认网关是 172.16.2.2，那么交换机的上一层接口（飞塔防火墙）的接口也就设置为 172.16.2.2，当我们从外网远程边接到飞塔防火墙后，就可以象刚才一样，直接用 SSH 通过 172.16.2.2 接口访问 172.16.2.1 这个防火墙地址了。

        ① 以飞塔防火墙为例，使用 FortiClient 客户端通过 SSL VPN 远程连接到防火墙。

        ② SSL VPN 连接成功后，可以访问防火墙本身的 172.16.2.2 接口， 同样也就可以访问下一层的交换机接口 172.16.2.1 。

        ③ 打开 SecureCRT，就可以通过 172.16.2.1 这个 IP 地址用 SSH 的方式远程访问交换机了。

---