配置交换机的远程访问

如何远程登录交换机我们知道，可以用CONSOLE线来进行电脑和交换机之间的直接连接来进行访问，但是现实工作中绝大部分时间不是这样的。

比方说我身处一家大公司，公司的分公司比较多，遍布祖国各地，这都需要我来管理。

这时我就离各分公司的交换机很遥远，如果分公司的交换机需要管理，怎么办？弄一根超长的CONSOLE线？还是说经常跑来跑去到各分公司进行管理？恐怕老总不会给你报销车费的。

这都不现实，因此我们就要学习另一种管理交换机的方法——远程管理。

使用远程登录服务恐怕各位都十分熟悉了，就是TE LNE T服务。

为了实现远程登录，必须为交换机设置一个IP地址才行，注意：这里设置的IP地址只是为了远程管理，在本地局域网中并没有什么特别的含义。

在交换机中，这个IP 地址的接口是一个虚拟的接口，称为VLAN ，因为本身交换机并不存在这个接口，使用TE LNET登录还是使用原来的网线接口。

而交换机在工作时，本身就连接着许多的网线，就给远程管理提供了条件。

换句话说，只要交换机连接到因特网，那么你在世界上任何一台联网的电脑上都可以登录管理。

下面就来看看怎么设置这个虚拟接口的IP地址。

交换机中默认的VLAN接口称为VLAN 1 ，注意：这里的 1 并不是说使用真实的第 1 接口，与硬件接口没有任何关系，无论用交换机的哪个接口都是可以登录VLAN 1 的。

首先要来到此虚拟接口下，才能设置此接口的参数，大家还记不记得如何进入全局模式呢？在全局模式下键入 interface vlan 1 回车，此时来到接口模式，注意接口模式下的提示符又变了：（config-i f）# ，其中的 i f就是 interface 的缩写。

在接口模式下设置 IP地址，键入：ip address ***.***.***.*** ###.###.###.### ，前面的*是IP地址，后面的#是子网掩码，注意这里的 IP地址的网段要设置成我们管理地的网段，比如管理方局域网的网段为192.168.1.0/24 这个网段，那么这里设置交换机的 IP地址时，也要设置成 192.168.1.0/24 这个网段。

TELNET远程管理交换机配置一组网需求：1．PC通过telnet登陆交换机并对其进行管理；2．分别应用帐号+密码方式、仅密码方式以及radius认证方式；3．只允许192.1.1.0/24网段的地址的PC TELNET访问。

二组网图：作为telnet登陆主机的PC与Switch A之间通过局域网互连（也可以直连），PC可以ping通Switch A。

三配置步骤：1H3C S3100-SI S5100系列交换机TELNET配置流程账号+密码方式登陆1．配置TELNET登陆的ip地址<SwitchA>system-view[SwitchA]vlan 2[SwitchA-vlan2]port Ethernet 1/0/1[SwitchA-vlan2]quit[SwitchA]management-vlan 2[SwitchA]interface vlan 2[SwitchA-Vlan-interface2]ip address 192.168.0.1 242．进入用户界面视图[SwitchA]user-interface vty 0 43．配置本地或远端用户名+口令认证方式[SwitchA-ui-vty0-4]authentication-mode scheme4．配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 35．添加TELNET管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为” admin”[SwitchA]local-user huawei[SwitchA-luser-huawei]service-type telnet level 3[SwitchA-luser-huawei]password simple admin仅密码方式登陆1．配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2．进入用户界面视图[SwitchA]user-interface vty 0 43．设置认证方式为密码验证方式[SwitchA-ui-vty0-4]authentication-mode password4．设置登陆验证的password为明文密码”huawei”[SwitchA-ui-vty0-4]set authentication password simple huawei 5．配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 3TELNET RADIUS验证方式配置1．配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2．进入用户界面视图[SwitchA]user-interface vty 0 43．配置远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-mode scheme4．配置RADIUS认证方案，名为”cams”[SwitchA]radius scheme cams5．配置RADIUS认证服务器地址192.168.0.31[SwitchA-radius-cams]primary authentication 192.168.0.31 1812 6．配置交换机与认证服务器的验证口令为”huawei”[SwitchA-radius-cams]key authentication huawei7．送往RADIUS的报文不带域名[SwitchA-radius-cams]user-name-format without-domain8．创建（进入）一个域，名为”huawei”[SwitchA]domain huawei9．在域”huawei”中引用名为”cams”的认证方案[SwitchA-isp-huawei]radius-scheme cams10．将域”huawei”配置为缺省域[SwitchA]domain default enable HuaweiTELNET访问控制配置1．配置访问控制规则只允许192.1.1.0/24网段登录[SwitchA]acl number 2000[SwitchA-acl-basic-2000]rule deny source any[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.2552．配置只允许符合ACL2000的IP地址登录交换机[SwitchA]user-interface vty 0 4[SwitchA-ui-vty0-4]acl 2000 inbound3．补充说明：●TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置；●TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。

作为telnet登陆主机的PC与Switch A之间通过局域网互连（也可以直连），PC可以ping通Switch A。

三配置步骤：1 H3C S3100-SI S5100系列交换机TELNET配置流程账号+密码方式登陆1．配置TELNET登陆的ip地址<SwitchA>system-view[SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1[SwitchA-vlan2]quit[SwitchA]management-vlan 2 //3100是二层交换机，只支持一个管理ip ，所以你想配置一个ip之前首先要确定管理vlan（Management-vlan）如果你已经给vlan1配置了ip 那么就不能再配置i p了,否则会出现提示：Vlan-interface must be the same as Management-vlan[SwitchA]interface vlan 2[SwitchA-Vlan-interface2]ip address 192.168.0.1 242．进入用户界面视图[SwitchA]user-interface vty 0 43．配置本地或远端用户名+口令认证方式[SwitchA-ui-vty0-4]authentication-mode scheme4．配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 35．添加TELNET管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为”admin”[SwitchA]local-user huawei[SwitchA-luser-huawei]service-type telnet level 3[SwitchA-luser-huawei]password simple admin仅密码方式登陆1．配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2．进入用户界面视图[SwitchA]user-interface vty 0 43．设置认证方式为密码验证方式[SwitchA-ui-vty0-4]authentication-mode password4．设置登陆验证的password为明文密码”huawei”[SwitchA-ui-vty0-4]set authentication password simple huawei5．配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 3TELNET RADIUS验证方式配置1．配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2．进入用户界面视图[SwitchA]user-interface vty 0 43．配置远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-mode scheme4．配置RADIUS认证方案，名为”cams”[SwitchA]radius scheme cams5．配置RADIUS认证服务器地址192.168.0.31 [SwitchA-radius-cams]primary authentication 192.168.0.31 18126．配置交换机与认证服务器的验证口令为”huawei”[SwitchA-radius-cams]key authentication huawei7．送往RADIUS的报文不带域名[SwitchA-radius-cams]user-name-format without-domain8．创建（进入）一个域，名为”huawei”[SwitchA]domain huawei9．在域”huawei”中引用名为”cams”的认证方案[SwitchA-isp-huawei]radius-scheme cams10．将域”huawei”配置为缺省域[SwitchA]domain default enable HuaweiTELNET访问控制配置1．配置访问控制规则只允许192.1.1.0/24网段登录[SwitchA]acl number 2000[SwitchA-acl-basic-2000]rule deny source any[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.2552．配置只允许符合ACL2000的IP地址登录交换机[SwitchA]user-interface vty 0 4[SwitchA-ui-vty0-4]acl 2000 inbound3．补充说明：l TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置；l TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。

交换机的Telnet远程登陆配置2.3 交换机的Telnet远程登录配置预备知识：使⽤Console⼝配置交换机虽然不占⽤⽹络带宽，但由于要使⽤专⽤配置线缆，⽽配置线缆较短，⼀般1.5到3⽶，所以对于要配置分散在不同楼、不同楼层或不在同⼀区域的交换机时变得⿇烦，⼯作效率也不⾼，这种⽅式适⽤于⾸次对交换机配置。

⽽带内管理只需要配置好交换机后，在任何⼀台能连接到设备的终端计算机上即可对⽹络上的任何交换机进⾏配置管理，对于管理⼤中型⽹络，这种管理⽅式能⼤⼤提⾼⼯作效率。

使⽤Telnet远程登录对交换机进⾏配置就是最常⽤的带内管理⽅式的⼀种，这种管理⽅式⾸先需要通过Console⼝连接到交换机，配置交换机的远程管理地址，然后进⼊vty线路配置模式配置远程登录密码并开启远程登录功能。

由于是远程登录管理交换机，所以出于安全考虑，交换机必须要配置特权⽤户密码才能进⾏远程登录。

配置好交换机后可使⽤⽹络中的任何⼀台与设备连通的计算机⾥的telnet程序连接到交换机进⾏管理。

⼀、实训⽬的1、了解TELNET远程登录的作⽤2、掌握TELNET远程登录的配置命令⼆、应⽤环境某校园⽹上的交换机分布在各栋楼的不同楼层⾥，由于经常需要进⾏⽹络配置，使⽤CONSOLE⼝对交换机进⾏配置需要到该交换机前进⾏配置，⼀次⼩的配置改动就要到多栋楼的不同楼层进⾏配置，降低了管理效率。

交换机的TELNET远程登录允许管理员从⽹络上的任意终端登录并进⾏管理，登录时只需要输⼊登录⽤户名和密码就可以像使⽤console ⼝⼀样管理交换机，从⽽提⾼管理效率。

三、实训要求1.设备要求：1)两台2950-24交换机和⼀台PC机。

2)⼀条交叉双绞线、⼀条直通双绞线、⼀条配置线。

2.实训拓扑图3.配置要求：4.实训效果：使⽤PC的终端分别能成功TELNET远程登录到交换机Switch1和Switch2。

四、实训步骤1、添加设备并连接好⽹络。

2、设备PC机IP地址并通过终端连接到交换机。

远程配置方式我们上面就已经介绍过交换机除了可以通过Console端口与计算机直接连接外，还可以通过交换机的普通端口进行连接。

如果是堆栈型的，也可以把几台交换机堆在一起进行配置，因为这时实际上它们是一个整体，一般只有一台具有网管能力。

这时通过普通端口对交换机进行管理时，就不再使用超级终端了，而是以Telnet或Web浏览器的方式实现与被管理交换机的通信。

因为我们在前面的本地配置方式中已为交换机配置好了IP地址，我们可通过IP地址与交换机进行通信，不过要注意，同样只有是网管型的交换机才具有这种管理功能。

因为这种远程配置方式中又可以通过两种不同的方式来进行，所以我们也就分别介绍。

1、Telnet方式Telnet协议是一种远程访问协议，可以用它登录到远程计算机、网络设备或专用TCP／IP网络。

Windows 95／98及其以后的Windows系统、UNIX／Linux等系统中都内置有Telnet客户端程序，我们就可以用它来实现与远程交换机的通信。

在使用Telnet连接至交换机前，应当确认已经做好以下准备工作：·在用于管理的计算机中安装有TCP／IP协议，并配置好了IP地址信息。

·在被管理的交换机上已经配置好IP地址信息。

如果尚未配置IP地址信息，则必须通过Console端口进行设置。

·在被管理的交换机上建立了具有管理权限的用户帐户。

如果没有建立新的帐户，则Cisco交换机默认的管理员帐户为”Admin“。

在计算机上运行Telnet客户端程序（这个程序在Windows 系统中与UNIX、Linux系统中都有，而且用法基本是是兼容的，特别是在Windows 2000系统中的Telnet程序），并登录至远程交换机。

如果我们前面已经设置交换机的IP地址为：61.159.62.182，下面只介绍进入配置界面的方法，至于如何配置那是比较多的，要视具体情况而定，不作具体介绍。

进入配置界面步骤很简单，只需简单的两步：第1步：单击”开始“按钮选择”运行“菜单项，然后在对话框中按”telnet 61.159.62.182“格式输入登录（当然也可先不输入IP地址，在进入telnet主界面后再进行连接，但是这样会多了一步，直接在后面输入要连接的IP的地址更好些），如图8所示。

交换机的telnet远程登录配置实验报告13计网一班2014.10.18实验3 交换机的telnet远程登录配置一、实验目的1) 掌握交换机命令行各种操作模式的区别,以及模式之间的切换2) 掌握交换机的全局基本配置3) 掌握交换机端口的常用基本配置参数4) 查看交换机系统和配置信息和当前交换机的工作状态二、背景描述第一次在设备机房对交换机进行了初次配置后，你希望以后在办公室或出差时也可以对设备进行远程管理。

现要在交换机上做适当配置。

三、实验设备Switch_2960 1 台；PC 1 台；直连线；配置线四、实验拓扑图拓扑图五、实验步骤及配置内容1. 交换机命令行操作模式的进入（1）通过计算机的终端设备对交换机进行配置：Switch>enable 进入特权模式Switch#configure terminal 进入全局配置模式Switch(config)#Switch(config)# interface vlan 1默认情况下，交换机的所有端口都处于vlan 1中 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdown 开启vlan 1的状态Switch(config-if)#exit 返回上一级模式（2）配置进入特权模式的登录密码Switch(config)# enable password 123456（3）配置telnet远程登录密码Switch(config)#line vty 0 4进入线程配置模式Switch(config-line)#password jsj配置Telnet的密码Switch(config-line)#login启用Telnet的用户名密码验证Switch(config-line)#end（4）查看交换机的配置信息Switch#show running-confighostname Switch!enable password 123456interface FastEthernet0/1interface FastEthernet0/2………………interface Vlan1ip address 192.168.1.1 255.255.255.0line vty 0 4password jsjlogin（5）设置PC1的IP地址（6）进入PC1的命令提示符进入到交换机的配置命令下，和之前通过console口对交换机进行配置是一样的。

交换机的Telnet远程登陆配置
技术原理
1、配置交换机的管理IP地址（计算机的IP地址与交换机管理IP地址在同一个网段）：
2、在2层交换机中，IP地址仅用于远程登录管理交换机，对于交换机的运行不是必需，但是若没有配置管理IP地址，则交换机只能采用控制端口console进行本地配置和管理。

3、默认情况下，交换机的所有端口均属于VLAN1，VLAN1是交换机自动创建和管理的。

每个VLAN只有一个活动的管理地址，因此对2层交换机设置管理地址之前，首先应选择VLAN1接口，然后再利用IP address配置命令设置管理IP地址。

实验步骤
1、新建Packet Tracer拓扑图
实验设备
Switch_2960 1台；PC 1台；直连线；配置线
实验设备配置PC0设置
192.168.1.2
255.255.255.0
192.168.1.1 PC1设置
192.168.1.3
255.255.255.0
192.168.1.1
实验验证。