带外管理交换机的配置方法

交换机的配置与管理实验目标●掌握交换机基本信息的配置管理。

实验背景●某公司新进一批交换机，在投入网络以后要进行初始配置与管理，你作为网络管理员，对交换机进行基本的配置与管理。

技术原理●交换机的管理方式基本分为两种：带内管理和带外管理。

●通过交换机的Console端口管理交换机属于带外管理；这种管理方式不占用交换机的网络端口，第一次配置交换机必须利用Console端口进行配置。

●通过Telnet、拨号等方式属于带内管理。

●交换机的命令行操作模式主要包括：●用户管理模式Switch>●特权管理模式Switch#●全局配置模式Switch(config)#●接口配置模式Switch(config-if)#●线路配置模式●VLAN配置模式一、基本配置：如何通过console配置交换机【学习目标】1．能通过PC机连接到交换机的Console口2．能进入交换机的不同配置模式3．了解不同模式下的命令4．能更改交换机的名称实验步骤：●新建Packet Tracer拓扑图●了解交换机命令行1、切换不同模式并了解不同模式下的命令：●进入特权模式(en)●进入全局配置模式(conf t)●进入交换机端口配置模式(int f0/1)●返回到上级模式(exit)●从全局以下模式返回到特权模式(end或者快捷键ctrl+z)2、常用快捷操作命令●帮助信息(如? 、co?、copy?)●命令简写(如conf t)●命令自动补全(Tab)●快捷键(ctrl+c中断测试,ctrl+z退回到特权视图)●Reload重启。

(在特权模式下)3、基本命令●查看交换机信息（show）●设置交换机名称(hostname X)实验设备Switch_2960 1台；PC 1台；配置线；PC console端口Switch>enableSwitch#conf tSwitch(config)#hostname XSwitch(config)#interface fa 0/1Switch(config-if)#end使用tab键，命令简写，帮助命令？二、高级配置：端口配置和密码设置1．能通过命令进入交换机的端口配置模式2．能打开与关闭交换机的端口3．能根据系统的需要选择交换机端口的工作模式和类型4、能设置进入特权模式的en密码、telnet远程登录tel密码和console配置con密码实验步骤：●新建Packet Tracer拓扑图●了解交换机端口配置命令行●进入端口配置模式●修改交换机名称(hostname X)●设置交换机端口的启用和禁用（shutdown，no shutdown）●配置交换机端口参数(speed,duplex)●查看交换机版本信息(show version)●查看当前生效的配置信息(show running-config)●查看保存在NVRAM中的启动配置信息(show startup-config)●查看端口信息Switch#show interface●查看交换机的MAC地址表Switch#show mac-address-table●选择某个端口Switch(config)# interface type mod/port (type表示端口类型，通常有ethernet、Fastethernet、Gigabitethernet)（mod表示端口所在的模块，port表示在该模块中的编号）例如interface fastethernet0/1●选择多个端口Switch(config)#interface range type mod/startport-endport●设置端口通信速度Switch(config-if)#speed [10/100/auto]●设置端口单双工模式Switch(config-if)#duplex [half/full/auto]●交换机、路由器中有很多密码，设置对这些密码可以有效的提高设备的安全性。

XX电信DCN交换机带外网管建设方案目录第一章需求分析 (3)1.1需求概述 (3)1.2需求分析 (3)1.3系统建设目标 (5)第二章带外网管系统方案 (7)2.1 方案论证 (7)2.2 DCN交换机集中管理方案 (8)2.3 网络中央管理系统 (9)2.4 带外网管运维结构图 (10)2.5 设备清单及预算 (11)第三章运维管理系统规划 (12)3.1 管理权限划分 (12)3.2 设备分组管理 (13)3.3 安全审计功能 (14)3.4 日志管理 (14)3.5 故障管理 (15)3.6 故障告警 (15)第四章带外网管安全策略 (16)4.1 数据加密系统 (16)4.2 身份认证系统 (21)4.3 IP地址过滤技术 (25)第五章带外网管系统介绍 (26)5.1 控制台服务器 (27)5.2 网络中央管理器 (30)第六章设备安装及系统调试 (33)6.1 设备安装 (33)6.2 系统调试 (33)6.3 技术培训 (33)第七章技术培训及售后服务 (34)7.1 技术支持 (34)7.2 售后服务 (35)第一章需求分析1.1需求概述DCN运维专网作为XX电信网络系统、数据业务系统、各类应用系统运维支撑平台，为网络系统、数据业务系统以及各类应用系统提供技术保障服务。

目前XX电信机房有8个DCN交换机机柜，共计安装60多台DCN网管交换机设备。

目前运维管理人员通过内部网络远程登陆方式或者直接到机房用笔记本串口直接连接交换机Console端口进行管理，鉴于现行管理模式过于分散无法实现管理过程的集中记录，同时也不利于DCN网络系统的安全。

因此XX电信运维管理中心规划建立一套DCN网管交换机带外网管系统，运维管理人员通过带外网管系统对DCN网管交换机设备进行集中管理和维护，带外网管系统对运维管理人员的管理权限和管理范围进行严格的界定，对运维管理人员的管理过程进行集中记录。

1.2需求分析1）DCN设备集中管理运维管理人员在网管中心直接使用个人电脑或着带外管理终端设备登陆带外网管系统对机房内部所有DCN网管交换机设备的Console 端口进行集中管理，而无须运维管理人员携带笔记本亲自到机房对DCN网管交换机进行直接配置或管理。

迈普交换配置详细说明-CAL-FENGHAI.-(YICAI)-Company One1一、如何从console进入交换机带外管理即通过Console进行管理，通常情况下，在首次配置交换机或者无法进行带内管理时，用户会使用带外管理方式。

例如：用户希望通过远程Telnet来访问交换机时，必须首先通过Console给交换机配置一个IP地址。

用户用Console管理的步骤如下：第一、搭建环境：通过串口线连接图 1-1 交换机Console管理配置环境按照图 1-1所示，将PC的串口（RS-232接口）和交换机随机提供的串口线连接，下面是连接中用到的设备说明：设备名称说明PC机有完好的键盘和RS-232串口，并且安装了终端仿真程序，如Windows 系统自带超级终端等。

串口线一端与PC机的RS-232串口相连；另一端与交换机的Console相连。

交换机有完好的Console。

第二、进入超级终端：连接成功后，打开Windows 系统自带超级终端。

下面是打开Windows XP 自带超级终端的示例。

1）点击超级终端：图 1-2打开超级终端一2）在“名称”处填入打开超级终端的名称，例如把它定义为“Switch”：图 1-3打开超级终端二3）在“连接时使用”处，选择PC机使用的RS-232串口，如连接的是串口1，则选择串口1，点击确定按钮：图 1-4 打开超级终端三4）出现COM1属性，波特率选择“9600”，数据位选择“8”，奇偶校验选择“无”，停止位选择“1”，数据流控制选择“无”；或者直接点击“还原默认值”后，点击确定按钮：图1-5 打开超级终端四5）出现超级终端的配置界面：图 1-6 打开超级终端五第三、进入交换机CLI界面：打开交换机的电源开关。

在超级终端的配置界面上出现了如下提示，进入到交换机的CLI配置方式：switch>二、配置模式介绍图 1-11 交换机的Shell 配置模式一般用户模式用户进入CLI 界面，首先进入的就是一般用户模式，提示符为“Switch>”，符号“>”为一般用户模式的提示符。

TELNET远程管理交换机配置一组网需求：1．PC通过telnet登陆交换机并对其进行管理；2．分别应用帐号+密码方式、仅密码方式以及radius认证方式；3．只允许192.1.1.0/24网段的地址的PC TELNET访问。

二组网图：作为telnet登陆主机的PC与Switch A之间通过局域网互连（也可以直连），PC可以ping通Switch A。

三配置步骤：1H3C S3100-SI S5100系列交换机TELNET配置流程账号+密码方式登陆1．配置TELNET登陆的ip地址<SwitchA>system-view[SwitchA]vlan 2[SwitchA-vlan2]port Ethernet 1/0/1[SwitchA-vlan2]quit[SwitchA]management-vlan 2[SwitchA]interface vlan 2[SwitchA-Vlan-interface2]ip address 192.168.0.1 242．进入用户界面视图[SwitchA]user-interface vty 0 43．配置本地或远端用户名+口令认证方式[SwitchA-ui-vty0-4]authentication-mode scheme4．配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 35．添加TELNET管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为” admin”[SwitchA]local-user huawei[SwitchA-luser-huawei]service-type telnet level 3[SwitchA-luser-huawei]password simple admin仅密码方式登陆1．配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2．进入用户界面视图[SwitchA]user-interface vty 0 43．设置认证方式为密码验证方式[SwitchA-ui-vty0-4]authentication-mode password4．设置登陆验证的password为明文密码”huawei”[SwitchA-ui-vty0-4]set authentication password simple huawei 5．配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 3TELNET RADIUS验证方式配置1．配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2．进入用户界面视图[SwitchA]user-interface vty 0 43．配置远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-mode scheme4．配置RADIUS认证方案，名为”cams”[SwitchA]radius scheme cams5．配置RADIUS认证服务器地址192.168.0.31[SwitchA-radius-cams]primary authentication 192.168.0.31 1812 6．配置交换机与认证服务器的验证口令为”huawei”[SwitchA-radius-cams]key authentication huawei7．送往RADIUS的报文不带域名[SwitchA-radius-cams]user-name-format without-domain8．创建（进入）一个域，名为”huawei”[SwitchA]domain huawei9．在域”huawei”中引用名为”cams”的认证方案[SwitchA-isp-huawei]radius-scheme cams10．将域”huawei”配置为缺省域[SwitchA]domain default enable HuaweiTELNET访问控制配置1．配置访问控制规则只允许192.1.1.0/24网段登录[SwitchA]acl number 2000[SwitchA-acl-basic-2000]rule deny source any[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.2552．配置只允许符合ACL2000的IP地址登录交换机[SwitchA]user-interface vty 0 4[SwitchA-ui-vty0-4]acl 2000 inbound3．补充说明：●TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置；●TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。