作为一名网管员，在路由器、交换机上进行命令配置，可以说是最为平常的工作，其目的都是通过命令的执行和参数的调整，让路由器和交换机能够以网管员的要求去运行。这几乎是网络管理员每天都要进行的操作，那管理网络设备都有哪几种方式，哪种管理方式更简单，哪种方式更高效？这其实主要是根据网络管理员的实际使用情况进行选择。下面就对网络路由和交换设备的管理模式进行简单的总结。

 

498)this. width=498;" border="1" height="468>"

图1 使用SSH方式管理的网络拓扑

一、使用SSH(Secure Shell Protocol，安全外壳协议)方式进行管理。

1、Cisco网络设备的SSH配置

如图1所示为使用SSH方式管理网络设备的拓扑图，Cisco 4506和Cisco 3750通过Trunk线连接，远程PC通过SSH方式对Cisco 4506进行管理，其中Cisco 4506是通过端口3/1，和Cisco 3750的G1/0/25端口相连，两个端口都是光口。PC的IP地址为10.10.20.3/24，并和Cisco 3750的G1/0/1端口相连。Cisco 4506和Cisco 3750上的主要配置如下所示。

在Cisco 4506上的配置：

interface GigabitEthernet3/1switchport trunk encapsulation dot1qswitchport trunk allowed vlan 20,30-300switchport mode trunkinterface Vlan20ip address 10.10.20.1 255.255.255.0

在Cisco 3750上的配置：

interface GigabitEthernet1/0/1switchport access vlan 20switchport mode accessinterface GigabitEthernet1/0/25switchport trunk encapsulation dot1qswitchport trunk allowed vlan 20,30-300switchport mode trunkinterface Vlan20ip address 10.10.20.2 255.255.255.0

由以上配置可以看出，Cisco 4506和Cisco 3750的管理Vlan的IP地址分别是10.10.20.1/24和10.10.20.2/24，Cisco 3750的G1/0/1端口位于VLAN 20中，并和电脑PC相连。这种情况下，Cisco 4506和Cisco 3750的三层Vlan20端口，和3750的G1/0/1其实都位于二层VLAN 20中。

要在PC上，通过SSH方式管理Cisco 4506交换机，还需要在4506上进行如下配置：

Switcher(config)# hostname Cisco 4506Cisco 4506 (config)# ip domain-name domainname.com//为交换机设置一个域名，也可以认为这个交换机是属于这个域Cisco 4506 (config)# crypto key generate rsa//此命令是产生一对RSA密钥，同时启用SSH，如果你删除了RSA密钥，就会自动禁用该SSH服务Cisco 4506 (config)# aaa new-model//启用认证，授权和审计（AAA）Cisco 4506 (config)#username cisco password cisco//配置用户名和密码Cisco 4506 (config)# ip ssh time-out 60//配置SSH的超时周期Cisco 4506 (config)# ip ssh authentication-retries 2//配置允许SSH验证的次数Cisco 4506 (config)# line vty 0 15Cisco 4506 (config-line)# transport input SSH//在虚拟终端连接中应用SSH

需要注意的是，在运行上面的配置命令前，要先确认你的交换机和路由器是不是支持SSH功能。一般在交换机或路由器的Enable模式下通过命令show ip ssh就可以查看，如在图1的Cisco 4506中执行如下命令：

Cisco 4506#sh ip sshSSH Disabled - version 1.99%Please create RSA keys to enable SSH.Authentication timeout: 120 secs; Authentication retries: 3

由上面的输出可以看出，Cisco 4506支持SSH功能，只是还没有启用而已。

而在Cisco 3750上执行如上命令后会得到如下显示：

Cisco3750#sh ip ssh^% Invalid input detected at "^" marker.

由上面的输出可以看出，图1中的3750并不支持SSH功能。

498)this. width=498;" border="1" height="457>"

图2 虚拟终端上的参数配置

配置完上面的命令后，就可以在电脑PC上测试你的配置。首先，要在PC上安装有SSH终端客户端程序，如SecureCRT，然后在SecureCRT中进行相应的设置，如图2所示，然后点击"Connect"按钮，按提示输入用户名cisco及密码cisco，即可进入到Cisco 4506交换机的配置界面。

2、H3C网络设备的SSH配置

H3C网络设备SSH的配置，在原理上和在思科设备上的配置一样，只是在命令上有差别而已，下面就以H3C S3100-52TP-SI交换机为例，说明如何在H3C交换机上配置SSH。

system-view[H3C-S3100] public-key local create rsa//生成RSA密钥对[H3C-S3100] public-key local create dsa//生成DSA密钥对[H3C-S3100] ssh server enable//启动SSH服务器[H3C-S3100] user-interface vty 0 4[H3C-S3100-ui-vty0-4] authentication-mode scheme//设置SSH客户端登录用户界面的认证方式为AAA认证[H3C-S3100-ui-vty0-4] protocol inbound ssh//设置H3C-S3100上远程用户登录协议为SSH[H3C-S3100] local-user admin[H3C-S3100-luser-admin] password simple 12345[H3C-S3100-luser-admin] service-type ssh level 3//创建本地用户admin，登录密码为12345，并设置用户访问的命令级别为3，即管理级用户[H3C-S3100] ssh user admin authentication-type password//指定SSH用户admin的认证方式为password

配置完上面的命令后，也可以使用SecureCRT，用SSH方式登录到H3C S3100-52TP-SI交换机上，输入用户名和密码后，就可以进行管理和配置。

SSH协议已经历了SSH1和SSH2两个版本，它们使用了不同的协议来实现，二者互不兼容。SSH2无论是在安全上、功能上，还是在性能上都比SSH1有很大优势，所以目前使用最多的还是SSH2。

二、使用WEB方式管理网络设备

H3C的路由、交换设备对WEB的管理支持比较好。但在用WEB方式进行管理配置之前，先要对路由、交换设备进行相应的配置。下面就以H3C S3100-8C-SI设备为例说明其相关配置，网络拓扑图如图3所示。

498)this. width=498;" border="1" height="94>"

图3 管理H3C交换机的网络拓扑图

1、使用一条Console线，把电脑的串口和H3C S3100交换机的Console口相连，配置交换机管理VLAN的IP地址。

system-view[H3C] interface Vlan-interface 2//进入管理VLAN[H3C-Vlan-interface2] undo ip address//取消管理VLAN原有的IP地址[H3C-Vlan-interface2] ip address 10.10.2.1 255.255.255.0//配置以太网交换机管理VLAN的IP地址为10.10.2.1

2、通过Console口，在交换机H3C S3100上配置欲登录的WEB管理用户的用户名和认证口令。添加以太网交换机的Web用户，用户级别设为3，即管理级别的用户。

[H3C] local-user admin//设置用户的用户名为admin[H3C-luser-admin] service-type telnet level 3//设置用户级别为3[H3C-luser-admin] password simple admin//设置用户admin的密码为admin

3、配置交换机到网关的静态路由

[H3C] ip route-static 0.0.0.0 0.0.0.0 10.10.2.254//网关的IP地址为10.10.2.254[H3C] undo ip http shutdown//执行此命令确保http服务运行

配置完上面的命令后，就可以在管理PC的浏览器中输入http://10.10.2.1，按回车键后，就可以看到如图4所示的，H3C交换机WEB管理登录界面，输入用户名和密码，并选择WEB管理界面的语言后回车，就可以看到如图5所示的管理界面，根据管理界面中的语言提示，就可以对交换机H3C S3100中的各项参数进行配置。

498)this. width=498;" border="1" height="176>"

图4 H3C交换机WEB管理登入界面

需要注意的是，管理PC和H3C交换机的管理IP的10.10.2.1/24之间必须有可达路由，若路由不可达，那无论在管理PC的浏览器中输入怎样的IP地址也不能登录到H3C交换机的WEB管理界面。要验证在管理PC中到交换机的路由可达性，可以在管理PC的"命令行"中执行"ping 10.10.2.1"命令，若能ping成功的话，一般来说在管理PC和H3C交换机之间的路由是没有问题的。

498)this. width=498;" border="1" height="463>"

图5 H3C交换机的管理配置界面

三、使用Telnet方式管理网络设备

这种管理模式需要在路由、交换设备上配置的命令，比用SSH管理方式配置的命令更少。下面还是以图1的拓扑图为例，对交换机进行相应的配置，以便用户通过管理PC，用Telnet方式能够对Cisco 4506进行管理配置。

Cisco 4506和Cisco 3750上的管理VLAN 20的配置，和PC的IP地址，及其与3750相连端口的配置和"一"中用SSH方式管理的配置都一样，如下所示。

在Cisco 4506上的配置：

interface GigabitEthernet3/1switchport trunk encapsulation dot1qswitchport trunk allowed vlan 20,30-300switchport mode trunkinterface Vlan20ip address 10.10.20.1 255.255.255.0

在Cisco 3750上的配置：

interface GigabitEthernet1/0/1switchport access vlan 20switchport mode accessinterface GigabitEthernet1/0/25switchport trunk encapsulation dot1qswitchport trunk allowed vlan 20,30-300switchport mode trunkinterface Vlan20ip address 10.10.20.2 255.255.255.0

要用Telnet方式管理设备，同时还要在Cisco 4506上进行如下的配置：

line vty 0 15password 7 525E0305E3595551E4login

在Cisco 4506和Cisco 3750上配置完以上的命令后，也可以使用电脑PC中的SecureCRT软件，Telnet到4506上对其进行管理和配置，在SecureCRT中，需要配置的参数也只有Cisco 4506的IP地址10.10.20.1/24，如图6所示：

498)this. width=498;" border="1" height="300>"

图6 在SecureCRT虚拟终端软件上的参数配置

当然，也可以直接在电脑PC的"命令行"中，执行命令"telnet 10.10.20.1"，同样可以Telnet到Cisco 4506交换机上，对其进行管理和配置。

四、使用电脑的串口管理网络设备

498)this. width=498;" border="1" height="89>"

图7 Cisco 3750的正面视图

如图7所示的是Cisco 3750的正面视图，一般交换机的电口和光口都位于交换机的正面，这种部署方便以后在设备上，进行网线和光缆的拔插。而管理配置交换机的Console口一般位于交换机的背面，如图8所示。

498)this. width=498;" border="1" height="252>"

图8 Cisco 3750背面视图及通过Console口配置交换机

通过Console口直接连接到路由器，或交换机上，对其进行本地管理配置，也是一种安全、可靠的配置维护方式。当网络设备初次上电、与外部网络连接中断或出现其它异常情况时，通常采用这种方式配置网络设备。

将管理PC 的串口与网络设备的Console口连接，然后在管理PC 上运行终端仿真程序，如Windows系统中的超级终端，或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接，选择实际连接网络设备时，使用的管理PC上的串口，并配置终端通信的参数。默认情况下的参数都是：9600 波特、8 位数据位、1 位停止位、无校验、无流控。

最后，对路由器或交换机进行上电自检，系统会自动进行配置。自检结束后，系统会提示用户键入回车，直到出现命令行提示符，然后就可以键入命令，配置网络设备，或者查看其运行状态等。

另外，还可以通过配置以下参数，使通过Console口的管理更加安全和符合个性化的需求：

line console 0exec-timeout 0 0password 7 12130F0501595C517Elogging synchronouslogin

命令"exec-timeout 0 0"表示永不超时。若把此命令中的最后一个"0"改为"10"，则表示通过Console口登录后，无操作10秒后就会超时登出。这时若还想登入到交换机，就必须重新输入密码再次进行登录。这种功能可以避免因管理人员短时间离开，回来时还需要重新输入密码。尤其是在密码很复杂的情况下，使用这种命令更有效。但这种功能也存在不安全的因素，所以还是需要按需配置。

命令"logging synchronous"的功能是设置，在输入命令时不会被系统日志消息打断，即阻止烦人的控制台信息来打断你当前的输入，从而使输入的命令更加连续，显得更为易读。

命令"password 7 12130F0501595C517E"的功能，是配置管理PC在通过Console口登录交换机时，必须通过输入密码才能登入，这也是为了防止其他非授权的用户通过Console口访问路由器或者交换机。

五、总结

1、从安全角度考虑。

首先，使用串口管理网络设备，是最安全的方式，因为它是用电脑和设备直接相连，而不是通过远程登录到设备上。配置的命令和关键性的口令只在设备和电脑之间直接传输，而不会通过其它的网络设备，这也从根本上杜绝了一些"中间人"的攻击。其次，若是使用SSH方式远程登录管理网络设备，也是比较安全的方式，因为SSH协议对所有的数据都进行了加密处理，而不是以明文的方式在网络上传输，若是对安全性要求很高的话，还可以结合SSH使用专门的认证服务器，结合公钥和私钥体制，也可以消除"中间人"的攻击威胁。最后，WEB管理方式和远程Telnet管理方式一般来说是最不安全的方式，不过WEB方式若是通过HTTPS方式进行管理的话，安全性基本和SSH方式一致。但是用HTTP方式管理，管理用户的电脑和网络设备之间所传输的数据也都是没经过加密的，不推荐使用这种方式。Telnet方式也是不安全的管理方式，目前在很多软件中默认都是不支持Telnet功能的，因为它给用户带来了很多潜在的威胁，像Windows 7默认安装完成后，是不能使用Telnet功能，这也是微软给用户考虑细致、周到的地方。若是用户的网络存在很多的安全风险和漏洞，就一定不要使用Telnet方式管理网络设备。

2、从易用性角度考虑。

首先，WEB管理方式对网络设备进行管理，全都是以窗口界面进行操作，比较直观、容易理解和掌握。不过，WEB方式提供的可配置操作命令比较少，一般只有很少一部分常用的操作命令可以通过WEB方式操作完成，绝大部分的命令还得以命令行的方式进行配置。所以，一般很少能看到网络高手通过WEB方式，对网络设备进行管理配置，他们都是飞速的敲着各种命令，从而让网络设备以他们的要求去运行。

其次，若用户的网络环境非常安全的话，比如是一个小型，或中型的局域网，没有和外界的Internet进行连通的话，使用Telnet方式管理网络设备也是非常方便的。因为它需要在网络设备上配置的命令比较少，而且在管理PC上不需要安装特别的终端软件，基本上在Linux系统和Windows系统上都支持Telnet功能，这样就可以在网络中的任何一台PC上对所有的网络设备进行远程管理。最后，虽然WEB管理和Telnet方式易用，但是在目前复杂度不断提高的各种网络环境中，还是推荐用户使用SSH方式对网络设备进行配置，因为安全问题往往就发生在一些不严谨的操作规程当中，一个很小的安全问题很可能会导致全网的崩溃。