一、通过远程连接管理设备

使用的协议：telnet、ssh

1.1 telnet介绍

telnet是应用层协议，基于传输层TCP的23号端口采用明文密码方式，不是太安全。一般用于内网管理。

1.2 SSH介绍

SSH是Secure Shell缩写，建立在应用层的安全协议，基于传输层TCP的22号端口，采用密文密码方式，相对来讲比较安全，经常用于跨越互联网管理，也常用于远程管理Linux服务器

1.3 Telnet远程管理思路

1.配置IP地址

既然是通过网络的方式管理设备，设备必须配置IP地址，由于交换机上的接口都是交换接口，无法在接口上配置IP，交换接口不允许配置IP地址，所以直接为交换机的虚接口VLAN 1 配置IP地址，默认情况下交换机的默认虚接口就是VLAN 1。所有交换接口都默认属于VLAN 1

Switch#

Switch#conf

Switch#

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int vlan 1                               //进入虚接口vlan 1

Switch(config-if)#ip address 192.168.10.2 255.255.255.0    //配置IP地址和子网掩码

Switch(config-if)#no shutdown                      //开启接口，默认是关闭的

Switch(config-if)#

%LINK-5-CHANGED: Interface Vlan1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

2.配置设备连接终端（vty终端）

设置对应的密码或用户名

方式一：进入虚拟终端后可以直接设置密码使用password命令

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#

Switch(config)#line vty 0 4

Switch(config-line)#password 123456

Switch(config-line)#login //直接使用密码登录

Switch(config-line)#end

Switch#

方式二：先创建用户名和密码，再进入虚终端应用生效·

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

/* 此处设置密码既可以password创建明文密码，又可以使用secret创建密文密码 */

Switch(config)#username zhangsan password 123456

Switch(config)#line vty 0 4

Switch(config-line)#login local //使用账户和密码进行登录

Switch(config-line)#end

Switch#

3.配置特权模式密码

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

/* 此处设置密码既可以password创建明文密码，又可以使用secret创建密文密码 */

Switch(config)#enable password 123456

//Switch(config)#enable secret 456123

Switch(config)#

如果不设置特权模式密码，远程登陆后无法进入特权模式

如果既设置了password又配置了secret密码，生效的是secret，安全级别更高

1.4 补充VTY介绍

line进入行模式的命令，Console、AUX、VTY、TTY……都是行模式的接口，需要用line配置。VTY是虚拟终端口，使用Telnet时进入的就是对方的VTY口。

路由器上有5个VTY口，分别0、1、2、3、4，如果想同时配置这5口，就line vty 0 4

术语“ vty ”英文全称为Virtual teletype，既虚拟终端，用于获取对设备的Telnet 或 SSH访问，VTY 仅用于设备的入站连接，这些连接都是虚拟的，没有与之关联的硬件。

抽象的“ 0 4 ”表示设备可以同时允许 5 个虚拟连接，可能是 Telnet 或 SSH。在某种程度上，我们可以说 5 (0 – 4) 是路由器或交换机的连接端口，事实上，我们可能有多达 16 个（0 – 15）的连接端口。

1.5 思科设备telnet连接认证方式

no login 不认证

1.6 总结:Telnet配置流程

给设备配置IP 给设备配置IP
进入虚拟终端直接配置密码在设备中创建本地用户和密码
配置enable密码配置enable密码
进入虚拟终端应用生效login 进入虚拟终端应用生效login local

1.7 SSH配置思路

1.给交换机虚接口VLAN 1设置IP

Switch>en

Switch#

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int vlan 1

Switch(config-if)#ip address 192.168.10.2 255.255.255.0

Switch(config-if)#no shutdown

Switch(config-if)#

%LINK-5-CHANGED: Interface Vlan1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

2.配置SSH

先查看设备是否支持ssh

Switch#show ip ssh

SSH Disabled - version 1.99

%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.

Authentication timeout: 120 secs; Authentication retries: 3

/* 提示使用ssh V2版本，默认超时120s 登录失败次数3次 */

Switch#

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

/*针对于ssh连接需要设置一个域名，设置域名之前，不能使用默认主机名 */

Switch(config)#hostname sw1

sw1(config)#

/ * 配置一个域名 * /

sw1(config)#ip domain-name test.com

sw1(config)#

/* 创建密钥对 */

sw1(config)#crypto key generate rsa

The name for the keys will be: sw1.test.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]: 2048 /*密钥长度默认是512，这里使用2048 */

% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

/* 可以选配设置默认超时、失败认证次数不配就会使用默认的*/

sw1(config)#ip ssh time-out 100 /* 超时时间 */

sw1(config)#

sw1(config)#ip ssh authentication-retries 5 /* 认证次数 */

3.创建本地用户名和密码

/* ssh严格要求用户名和密码方式认证登录*/

sw1(config)#username zhaoliu secret 123456

4.配置特权模式密码

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

/* 此处设置密码既可以password创建明文密码，又可以使用secret创建密文密码 */

Switch(config)#enable password 123456

//Switch(config)#enable secret 456123

Switch(config)#

如果不设置特权模式密码，远程登陆后无法进入特权模式