交换机带内管理和带外管理ppt课件.ppt

《交换机带内管理和带外管理ppt课件.ppt》由会员分享，可在线阅读，更多相关《交换机带内管理和带外管理ppt课件.ppt（31页珍藏版）》请在三一办公上搜索。

1、交换机带内管理和带外管理,【引入案例】,A单位要进行网络升级改造，购置了一批全新的网络设备，其中交换机的数量最多，这些新的交换机将分布在各楼层、各片区，网络中心的管理员负责它们的安装、调试以及日后的管理和维护。面对数量众多且物理位置相距较远的交换机，网管人员必须找到一种省时、便捷的网络管理方式。,【案例分析】,交换机是网络中除终端计算机外使用数量最多，分布范围最广的网络设备，特别是像A单位这种比较大型的内部网络，交换机的维护管理工作更是频繁。如果每台交换机都需要人工到现场进行配置管理，网管人员的工作量之巨大可想而知，而当交换机出现故障，更不能及时排除。实际上，我们可以使用Telnet、Web等

2、方式对交换机进行远程管理，也就是交换机的带内管理。我们只需要在交换机上把带内管理模式配置好，网管人员只需坐在控制机房，通过远程登录就可以对遍布各个角落的交换机管理配置。,【基本原理】,交换机的管理方式可以分为带内管理和带外管理两种管理模式。所谓带内管理，是指管理控制信息与数据业务信息通过同一个信道传送。使用带内管理，可以通过交换机的以太网端口对设备进行远程管理配置，目前我们使用的网络管理手段基本上都是带内管理。在带外管理模式中，网络的管理控制信息与用户数据业务信息在不同的信道传送。带内管理和带外管理的最大区别在于，带内管理的管理控制信息占用业务带宽，其管理方式是通过网络来实施的，当网络中出现故

3、障时，无论是数据传输还是管理控制都无法正常进行，这是带内管理最大的缺陷；而带外管理是设备为管理控制提供了专门的带宽，不占用设备的原有网络资源，不依托于设备自身的操作系统和网络接口。,从交换机的访问方式来说，通过Telnet、Web、SNMP方式对交换机进行远程管理都属于带内管理，而通过交换机的Console口对它进行管理的方式属于带外管理。一、通过Console口进行本地登录通过交换机的console口本地登录是登录交换机的最基本的方式，也是配置通过其他方式登录交换机的基础。用户终端的通信参数配置要和交换机Console口的配置保持一致，才能通过Console口登录到以太网交换机上。用户登录到

4、交换机上后，可以对Console口登录方式的公共属性和认证方式进行相关的配置。,Console口登录方式的认证方式有None、Password、Scheme三种，不同的认证方式下，需要配置不同的Console口登录方式的属性。其中，Console口登录方式的公共属性都有设备出厂默认值，用户可以根据需要选择配置，包括Console口的传输速率、校验方式、停止位和数据位等。Tips:H3C S3100系列以太网交换机支持两种用户界面：AUX用户界面、VTY用户界面。配置Console口登录方式必须在AUX用户界面视图下进行。二、通过Telnet进行登录只要以太网交换机支持Telnet功能，用户就可

5、以通过Telnet方式对交换机进行远程管理和维护。交换机和Telnet用户端都要进行相应的配置，才能实现远程登录交换机。,与Console口登录方式类似，Telnet登录方式也有None、Password、Scheme三种，不同的认证方式下，需要配置不同的Telnet登录方式的属性。用户可以根据需要选择配置，包括VTY用户界面、VTY用户终端属性等配置。Tips:配置Telnet登录方式必须在VTY用户界面视图下进行。三、通过Web网管登录采用web方式登录的管理者则可以通过图形界面与交换机进行交互，比较直观但也会占用较多网络资源。,与Telnet登录方式类似，交换机和WEB网管终端都要进行相

6、应的配置，才能保证通过WEB网管方式正常登录交换机。其中，交换机需要配置VLAN接口的IP地址，保证交换机与WEB网管终端之间路由可达，并配置WEB网管的用户名和认证口令；而WEB网管终端则需要安装IE浏览器进行WEB网管登录。,【命令介绍】,一、通过Telnet远程登录交换机。1、authentication-mode none | password | scheme 【用途】设置登录用户的认证方式。,【视图】用户界面视图【参数】none：不需要认证。password：进行口令认证。scheme：进行本地或远端用户名和口令认证。【例】在VTY用户界面视图下，设置通过VTY0登录交换机的Tel

7、net用户不需要进行认证。 H3C-ui-vty0 authentication-mode none2、user privilege level levelundo user privilege level,【用途】user privilege level level用来设置从用户界面登录后可以访问的命令级别。undo user privilege level命令用来恢复缺省情况。【视图】用户界面视图【参数】level：从用户界面登录后可以访问的命令级别，取值范围为03。缺省情况下，从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别为0级。命令级别共分为访

8、问、监控、系统、管理4个级别，分别对应标识0、1、2、3，说明如下：,访问级（0级）：用于网络诊断等功能的命令。包括ping、tracert、telnet等命令，执行该级别命令的结果不能被保存到配置文件中。监控级（1级）：用于系统维护、业务故障诊断等功能的命令。包括debugging、terminal等命令，执行该级别命令的结果不能被保存到配置文件中。系统级（2级）：用于业务配置的命令。包括路由等网络层次的命令，用于向用户提供网络服务。管理级（3级）：关系到系统的基本运行、系统支撑模块功能的命令，这些命令对业务提供支撑作用。包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设

9、置命令等。【例】在VTY用户界面视图下，设置从VTY0用户界面登录后可以访问的命令级别为1。 H3C-ui-vty0 user privilege level 1,3、protocol inbound all | telnet 【用途】配置用户界面支持的协议。【视图】VTY用户界面视图【参数】all：支持所有的协议。telnet：支持Telnet协议。【例】配置VTY0用户界面只支持Telnet协议 .H3C-ui-vty0 protocol inbound telnet4、screen-length screen-lengthundo screen-length【用途】screen-leng

10、th用来配置屏幕上一屏中能够显示的信息的行数。undo screen-length用来恢复终端屏幕上一屏中能够显示的终端信息的行数为缺省值。,【视图】用户界面视图【参数】screen-length：屏幕分屏显示的行数，取值范围为0512。缺省情况下，screen-length 的值为24行，取值为0表示关闭分屏显示功能。【例】在VTY用户界面视图下，设置终端屏幕的一屏行数为20行。 H3C-ui-vty0 screen-length 205、history-command max-size valueundo history-command max-size【用途】history-comman

11、d max-size命令用来设置当前用户视图历史命令缓冲区的大小。undo history-command max-size命令用来恢复缺省情况。,【视图】用户界面视图【参数】value：历史缓冲区的大小，取值范围为0256。缺省情况下，历史命令缓冲区的大小为10，即可存放10条历史命令。【例】设置VTY0用户界面历史命令缓冲区的大小为20，即可以保存20条历史命令。 H3C-ui-vty0 history-command max-size 206、idle-timeout minutes seconds undo idle-timeout【用途】idle-timeout命令用来配置用户超时断

12、开连接的时间，如果在所设定的时间内用户没有对交换机执行任何操作，则交换机将断开与该用户的连接。undo idle-timeout命令用来恢复超时断开连接的缺省值。,【视图】用户界面视图【参数】minutes：分钟数，取值范围为035791。seconds：秒数，取值范围为059。缺省情况下，用户超时断开连接的时间为10分钟。设置idle-timeout 0即关闭超时中断连接功能。【例】设置VTY0用户界面的超时断开连接时间为1分钟。H3C-ui-VTY0 idle-timeout 17、set authentication password cipher | simple passwordun

13、do set authentication password,【用途】set authentication password命令用来设置本地认证的口令。undo set authentication password命令用来取消本地认证的口令。【视图】用户界面视图【参数】cipher：设置本地认证口令以密文方式存储。simple：设置本地认证口令以明文方式存储password：口令字符串。如果验证方式是simple，则password必须是明文口令。如果验证方式是cipher，则用户在设置password时有两种方式：（1）一种是输入小于等于16字符的明文口令，系统会自动转化为24位的密文形式

14、；（2）另一种是直接输入24字符的密文口令，这种方式要求用户必须知道其对应的明文形式。如：明文“123456”对应的密文是“OUM!K%F+$Q=QMAF41!”。,【例】在VTY用户界面视图下，设置VTY0的本地认证明文口令为123。H3C-ui-VTY0 set authentication password simple 123二、通过WEB方式远程登录交换机1、service-type ftp | lan-access | telnet | terminal * level level undo service-type ftp | lan-access | telnet | term

15、inal * 【用途】service-type命令用来设置某用户登录类型及登录后可以访问的命令级别。undo service-type命令用来取消对用户登录类型的设置。【视图】本地用户视图【参数】ftp：指定用户为ftp类型。,lan-access：指定用户为lan-access类型（主要指以太网接入用户，比如802.1x用户）。telnet：指定用户为Telnet类型。terminal：授权用户可以使用terminal服务（即从Console口登录）。level level：指定Telnet、termina用户可以访问的命令级别。level为整数，取值范围03，缺省级别为0级。与用户界面命令

16、级别一样，本地用户命令级别也分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3。【例】在系统视图下，设置本地用户名为abc，登录后可以访问命令级别为0级的命令。H3C local-user abcH3C-luser-abc service-type telnet level 0,2、ip http shutdownundo ip http shutdown【用途】ip http shutdown命令用来关闭WEB Server,关闭HTTP服务对应的TCP 80端口。undo ip http shutdown命令用来启动WEB Server，打开关闭HTTP服务对应的TCP 80端

17、口。缺省情况下，WEB Server处于启动状态。【视图】系统视图【例】在系统视图下，关闭WEB Server。H3C ip http shutdown三、为接口配置IP地址。1、ip address ip-address mask undo ip address ip-address mask 【用途】ip address命令用来给以太网端口或VLAN接口配置IP地址和掩码。undo ip address命令用来删除以太网端口或管理VLAN接口的IP地址和掩码。,【视图】以太网端口视图/VLAN接口视图【参数】ip-address：管理VLAN接口的IP地址。mask：管理VLAN接口IP地

18、址的掩码，点分十进制格式或以整数形式表示的长度，当用整数形式时，取值范围为032。【例1】在系统视图下，为当前管理VLAN 1的接口配置IP地址为192.168.10.2，掩码255.255.255.0。 H3C interface Vlan-interface 1H3C-Vlan-interface1 ip address 192.168.10.2 255.255.255.0,【解决方案】,一、案例描述A单位的交换机由于是新购置的设备，里面只有默认的出厂设置，而Telnet、Web等登录方式的前提是先要交换机开启一些相关的服务。因此，网管人员可以通过交换机console口登录，对新开箱启封的

19、交换机进行一些初始的配置，包括配置好Telnet、Web等登录方式所需环境。这样，即使把交换机安装在物理位置相对较远的地方，网管人员也能用远程登录的方式对交换机进行后续的管理和维护因此，针对本案例，网管人员可以先通过交换机的Console口登录交换机，配置好Telnet登录方式所需环境，就可以实现远程登录的方式来管理交换机。,二、拓扑图1、通过Console口登录交换机。,2、通过Telnet远程登录交换机。,【实验设备】H3C S3100系列交换机【实施过程】一、用交换机的console口登录交换机作初始配置1、按拓扑图 建立本地配置环境，将配置电缆的RJ-45端口接入以太网交换机的cons

20、ole口，配置电缆另一端的串口则接入PC机（或终端）的串口。Console口是一种线设备端口。2、在PC机（或终端）上运行终端仿真程序，如Windows XP的超级终端，选择与交换机相连的串口，设置终端通信参数：传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图所示。,新建连接,选择连接端口,端口参数设置,3、打开交换机电源，交换机会进行设备自检，完成后会在屏幕提示用户输入回车键，敲入回车键后就可以看到命令行提示符，此时证明交换机登录成功，即可以输入相关的命令配置交换机。,进入配置界面,二、Telnet登录方式的配置（认证方式为Password）。1、进入系统视图。sy

21、stem-view2、进入交换机vlan1接口视图配置交换机的IP地址。H3Cinterface vlan-interface 1H3C-Vlan-interface1 ip address 10.16.1.1 255.255.255.0H3C-Vlan-interface1 quit3、进入VTY0用户界面视图。S3100系列以太网交换机支持两种用户界面：AUX用户界面和VTY用户界面。AUX（Auxiliary）用户界面是系统为通过Console口登录方式提供的视图；VTY（Virtual Type Terminal，虚拟类型终端）用户界面是系统为通过VTY方式登录提供的视图，对设备进行T

22、elnet访问属于VTY登录方式。,Tips: 在H3C系列以太网交换机中，AUX口和Console口是同一个端口，以下称为Console口，与其对应的用户界面类型只有AUX用户界面类型。H3C user-interface vty 04、设置登录用户的认证方式为Password认证。H3C-ui-vty0 authentication-mode password5、设置本地验证的口令为明文的123456。H3C-ui-vty0 set authentication password simple 1234566、由于本案例使用Telnet登录是为了实现管理员的日常管理，因此设置从用户界面登录

23、后可以访问的命令级别为最高级别的管理级（对应的数字标识为3）。H3C-ui-vty0 user privilege level 3,7、配置用户界面支持Telnet协议。H3C-ui-vty0 protocol inbound telnet8、完成以上的基本配置后，只要保证终端与所要配置的交换机之间的路由可达就可以在终端运行“telnet 10.16.1.1”命令，并输入相应的口令，即可远程登录该交换机。如图所示：,【工程项目】,B公司一直采用带内管理方式管理公司内部的交换机。小王是B公司新招的网管，上班的第一天，小王想用Telnet登录某台交换机C进行日常维护，却发现交换机C的Telnet登录采用password的认证方式。经询问，上一任网管辞职时没有留下任何的备份文件，公司里也没有人知道登录密码。小王现在该如何才能登录交换机C并实现用自己的密码Telnet登录？（假设交换机C的console口登录的认证方式为none。）,