管理交换机

文章目录

• 本地管理交换机
• • 物理交换机如何本地管理
  • ensp上的虚拟交换机如何本地管理
  • 认证模式的三种方式
• 远程管理交换机
• • 配置通过Telnet登录设备
  • [配置通过STelnet登录设备 --推荐的方式](#配置通过STelnet登录设备 --推荐的方式)
  • 检查配置结果
  • 使用Cloud管理多个交换机时
• 华为官网配置信息

本地管理交换机

当交换机首次使用时，需要使用交换机的Console端口，用串口线一端连电脑，另一端直连交换机，来配置交换机远程登录信息及密码。

Console端口是(用户本地端口)用来针对本地路由器或者交换机配置密码账号的。

认证模式有三种:None(不验证)，就是没有账号密码直接进去的。

password(密码验证)，通过输入密码进去。

AAA(账号密码认证)，通过输入设置的账号密码进入。

配置AAA或者password时，都要记得给他加上权限不然无法操作。

物理交换机如何本地管理

以华为交换机S3700型号为例，其物理Console端口如下：

物理交换机的实际 配置线（反转线），带有超级终端和COM口的电脑 ，电脑上的COM接口在机箱后面，接显示器接口的旁边，上面有9根针。如果是没有COM口的笔记本时，请自行买COM转USB的线。 交换机的console口：设备前面面板上有一个接口，有标注"console" 配置线：（一头类似网线水晶头，另一头比较大，上面有9个孔）。

物理交换机的实操中，RJ45水晶头侧插入到交换机的Console端口，如果使用的台式主机，可以直接把另一端的9孔 COM口，插入到

电脑主机的COM接口上。

上图台式电脑主机上的COM口，右侧是COM接口放大后的图。

如果是笔记本电脑，目前大多数笔记本电脑是不带COM接口的，所以需要另外一条 COM 转 USB 线，

如上上图中的右侧一端为9针COM口，一端为USB接口。将左右两根线的9口COM口接入到9针COM口，组成一根线，就可以在无COM接口的笔记本上使用了。

接下来查看电脑上识别出的COM编号。

cmd 命令栏中 输入 control ，然后自动打开控制面板，从里面 找到 设备管理器，点击进入，对于win11系统可能会自动多出一个端口栏，然后从里面可以看到此时连接了console线的端口号，如左图的是 COM3。这里win11系统没有显示端口一栏可能是，没有连接console线的缘故。如果连接了Console线，还是没有端口一栏，可以查看 USE链接器管理器 一栏，看这一栏里是否显示了连接了console线的端口号。

然后根据上方获取的COM号。

然后 通过SecureCRT 或者Xshell 以串口的方式连接，如下：

以xshell为例：

之后如果正常的话，会在xshell的会话列表里看到

以SecureCRT为例：

ensp上的虚拟交换机如何本地管理

如上图 PC7 通过串口连线交换机的Console来本地管理交换机。

点击 连接后，如果连接成功的话，会在命令行这里 显示 <Huawei>,这台交换机之前改为名称故而显示的是<LSW1>,也就是直接进入到交换机的用户视图。

由于我们没有物理的交换机，那么Console端口的管理配置都在eNSP上演示了。

认证模式的三种方式

1. None(不验证),也是出厂默认的认证模式，就是没有账号密码直接进去的。就像刚才之间点击连接 就直接进入到交换机的用户视图下。
2. Password(密码验证)，通过输入密码进去,不需要账号，只需要密码。
   [HUAWEI] dis user-interface console 0 // 查看用户界面信息
   
   [LSW1-ui-console0] dis th //查看console 0 口，已执行过的配置命令

	<HUAWEI> system-view								//从用户视图进入系统视图
	[HUAWEI] sysname LSW1								//修改设备名称
	[LSW1] user-interface console 0						//进入Console用户界面
	[LSW1-ui-console0] authentication-mode password     //配置Console用户界面的认证方式为Password
	[LSW1-ui-console0] set authentication password cipher YsHsjx_202403    //配置登录密码为YsHsjx_202403。
	[LSW1-ui-console0] user privilege level 4 //缺省情况下，Console口用户界面下用户的级别是3。

[LSW1-ui-console0] authentication-mode password //如果是Console口，并且想要使用password 认证方式，此条命令一定要执行，否则后续命令设置的密码不生效

[LSW1-ui-console0] set authentication password cipher YsHsjx_202403 //其中的cipher 表示其后的具体密码会以密文的方式被保存

删除password认证模式及密码

[LSW1]user-interface console 0
[LSW1-ui-console0]dis th //查看console口 已执行过的配置命令
[LSW1-ui-console0]undo set authentication password  //撤销密码设置
[LSW1-ui-console0]undo authentication-mode  //撤销认证模式设置
[LSW1-ui-console0]dis th //再次查看配置是否已撤销

4. AAA(账号密码认证)，通过输入设置的账号密码进入。

实际场景中建议使用AAA认证。

<LSW1> system-view
[LSW1] user-interface console 0    //进入Console用户界面
[LSW1-ui-console0] authentication-mode aaa    //配置认证方式为AAA
[LSW1-ui-console0] quit

[LSW1] aaa
[LSW1-aaa] local-user admin123 password cipher YsHsjx_202404    //创建本地用户admin123，登录密码为YsHsjx_202404
[LSW1-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[LSW1-aaa] local-user admin123 service-type terminal    //配置本地用户admin123的接入类型为终端用户，即Console用户

cipher:表示对用户口令采用可逆算法进行了加密，非法用户可以通过对应的解密算法解密密文后得到明文密码，安全性较低。
irreversible-cipher:表示对用户密码采用不可逆算法进行了加密，使非法用户无法通过解密算法特殊处理后得到明文密码，为用户提供更好的

安全保障

这里发现S3700交换机 只能使用 cipher，识别不到irreversible-cipher。

注意：

实际场景中建议使用AAA认证。

如果用户通过Console口登录设备再进行Console用户界面配置，所配置的属性需退出当前登录，再次通过Console口登录才会生效。

为充分保证设备安全，请定期修改密码。

远程管理交换机

VTY端口是(虚拟终端端口)是用来登录远程设备的。

远程登录技术(Telnet)，要路由器或者交换机远程登录时必须要提前配置VTY端口才可以进行登录。

远程登录技术(sTelnet即ssh),ssh协议就是sTelnet,目前使用的sTelnet v2 ,sTelnet是密文传输，较安全，而Telnet是明文传输，不安全。

认证模式有三种:None(不验证)，就是没有账号密码直接进去的。

password(密码验证)，通过输入密码进去。

AAA(账号密码认证)，通过输入设置的账号密码进入。

配置AAA或者password时，都要记得给他加上权限不然无法操作。

由于没有物理交换机，就只能在eNsp上模拟远程登录。

建议是用使用ssh登录技术，加 AAA密码认证，来远程登录交换机。

下面只以ssh登录+AAA密码认证方式进行讲解：

1.查看电脑上的virtualBox Host-Only Network网卡IP及掩码.

2.搭建拓扑图：

下面就可以配置交换机的远程登录的配置了。

配置通过Telnet登录设备

远程管理需要通过IP地址访问网络设备，交换机的接口，默认无法设置IP地址，需要使用交换机默认自带的虚接口 vlanif 1.

通过命令：[SW]dis interface brief 可以看到 vlanif 1 虚接口。

1.开启Telnet功能

<Huawei>
<Huawei> u t m		//关闭终端监控
<Huawei>system-view //进入系统视图 
[Huawei]sysname SW  //修改交换机设备的主机名
[Huawei]telnet server enable //开启Telnet服务器功能

注意： 可以通过 [SW]dis telnet server status 查看telnet的服务状态

如果想关闭telnet功能的话，通过 [Huawei]undo telnet server enable就行 ,它没有 telnet server disable的命令

2.进入虚接口配置IP地址

[SW]interface Vlanif 1   //进入虚接口vlan 1 配置
[SW-Vlanif1]ip address 192.168.56.2 24  //设置IP地址和掩码，IP地址要和主机的virtual Box Host-only network网卡的IP处于同一网段。
[SW-Vlanif1]dis th
#
interface Vlanif1
 ip address 192.168.56.2 255.255.255.0
#

3.配置VTY用户界面的支持协议类型。

远程管理需要配置VTY接口

vty是虚拟用户终端接口，是一种网络设备远程连接方式

vty 0 4 表示可同时打开5个会话，也是默认的打开会话数 。而 vty 0 14 表示可同时打开15个会话，也是设备支持的的最大同时打开会话数

[SW] user-interface vty 0 4  //表示可同时打开5个会话，并批量进入vty0-4 接口视图，vty 0 4是默认的存在的
[SW-ui-vty0-4] protocol inbound telnet    //指定VTY用户界面所支持的协议为Telnet，因为默认协议绑定就是telnet这里也可以不用执行此命令

注意： 在 [SW-ui-vty0-4] 视图执行的配置，会同时作用于 vty 0，vty 1，vty 2，vty 3，vty 4。相当于批处理。

另外：user-interface con 0 //用于设置本地管理

user-interface vty 0 4 //用于设置远程管理，表示同时打开会话数是5.

这两个都是系统默认自带的。所以直接 user-interface vty 0 5 是会报错的，具体如何增加同时打开会话数后边讲解。

4.配置VTY用户界面的认证方式为Password

[SW-ui-vty0-4] authentication-mode password    //配置认证方式为password，默认就是password，可以不执行
[SW-ui-vty0-4] set authentication password cipher YsHsjx_202403    //配置登录密码为YsHsjx_202403
[SW-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15,默认级别为0

level级别及对应功能如下：

5.使用主机上的xshell进行远程连接

6. 配置VTY用户界面的认证方式为AAA

为不影响 vty 0 4的password认证方式，这里采用增加虚拟终端用户的方式，在新增的虚拟终端用户上使用AAA认证。

[SW]user-interface vty 0 6 //直接这样不行，会报错。
[SW]user-interface maximum-vty ?
  INTEGER<0-15>  The maximum number of VTY users, the default value is 5
[SW]user-interface maximum-vty 7 //调整会话数关键点是这一步，设置最大终端同时打开的（会话数）连接数为7

[SW-ui-console0]dis th
#
user-interface maximum-vty 7
user-interface con 0
user-interface vty 0 4
 user privilege level 15
 set authentication password cipher 32JQ/FFC4>LjWa)3Y^n5%R~#
user-interface vty 5 6 //可以看到额外的终端用户在这里看到了
#
return

[SW]user-interface vty 5 6
[SW-ui-vty5-6] authentication-mode aaa    //配置认证方式为AAA
[SW-ui-vty5-6] quit
[SW] aaa
[SW-aaa] local-user admin123 password cipher abcd@123    //创建本地用户admin123，登录密码为abcd@123
[SW-aaa] local-user admin123 service-type telnet    //配置本地用户admin123的接入类型为Telnet方式
[SW-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y

通过上面也可以看出 通过telnet登录时，虚拟终端按照顺序优先使用 vty 0,vty 1,vty 3，vty 4, vty 5。只要当前打开的会话数小于5.就不会出现使用账号登录的情况。

配置通过STelnet登录设备 --推荐的方式

Telnet协议存在安全风险，推荐使用STelnet登录设备。登录设备前，需要确保终端PC和设备之间路由可达。

使用STelnet V1协议存在安全风险，建议使用STelnet V2登录设备。

即通过SSH2协议远程登录：

1. 开启STelnet服务器功能

//先 查询STelnet服务器功能是否开启
[SW]dis ssh server status 
 SSH version                         :1.99
 SSH connection timeout              :60 seconds //连接超时时间
 SSH server key generating interval  :0 hours
 SSH authentication retries          :3 times
 SFTP server                         :Disable  //如果需要网交换机上上传文件需要开启sftp
 Stelnet server                      :Disable //Disable 表示未开启
 Scp server                          :Disable
 
[SW] stelnet server enable    //使能设备的STelnet服务器功能，即开启ssh服务功能
[SW]dis ssh server status //再次查看发现 Stelnet server :Enable 了

2. 为了方便，在以上Telnet基础上，再增加虚拟终端的同时在线数。

[SW] user-interface maximum-vty 9
[SW]user-interface console 0
[SW-ui-console0]dis th
#
user-interface maximum-vty 9
user-interface con 0
user-interface vty 0 4
 user privilege level 15
 set authentication password cipher 32JQ/FFC4>LjWa)3Y^n5%R~#
user-interface vty 5 6
 authentication-mode aaa
user-interface vty 7 8  //本次修改修改为最大会话数为9时，自动新增的。
#

3. 通过STelnet登录设备需配置用户界面支持的协议是SSH，必须设置VTY用户界面认证方式为AAA认证。

[SW]user-interface vty 7 8 //使用新增的虚拟用户终端接口
[SW-ui-vty7-8] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
[SW-ui-vty7-8] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH
[SW-ui-vty7-8] user privilege level 15    //配置VTY用户界面的级别为15
[SW-ui-vty7-8] quit

4. 配置SSH用户认证方式为Password。
   4.1.创建SSH用户

[SW] ssh user ssh123    //创建SSH用户ssh123
[SW] ssh user ssh123 service-type stelnet    //配置SSH用户的服务方式为STelnet
[SW] ssh user ssh123 authentication-type password    //配置SSH用户认证方式为password

4.2 .使用Password认证方式时，需要在AAA视图下配置与SSH用户同名的本地用户。

[SW] aaa
[SW-aaa] local-user ssh123 password cipher YsHsjx_202403    //创建与SSH用户同名的本地用户和对应的登录密码
[SW-aaa] local-user ssh123 privilege level 15    //配置本地用户级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[SW-aaa] local-user ssh123 service-type ssh    //配置本地用户的服务方式为SSH
[SW-aaa] quit

5.在服务器端生成RSA本地密钥对

[SW]rsa local-key-pair create
The key name will be: SW_Host
% RSA keys defined for SW_Host already exist. //默认已有RSA本地密钥对
Confirm to replace them? [y/n]:y  //键入y就是替换已有的RSA密钥
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 512]:2048 //这样的安全些
Generating keys...
....++++++++++++
..........................++++++++++++
.++++++++
............................................................................++++
++++

6.使用xshell进行远程连接

用户名和密码没问题的话，接下来会弹出，密钥协商的接口，选择 全部接受（交换机服务器端发送过来的RSA的公钥，以后发送数据就用RSA的公钥加密，然后交换机服务器端使用对应的私钥解密），下次就不再提示了。只要交换机服务端的RSA密钥没有替换，本地保存的RSA公钥，会一直存在于本机上。

如果 9个vty users 都同时在线的话，是 5个telnet 方式 ，password认证的会话。 2个telnet方式，aaa认证的会话。 2个ssh方式，password认证的会话。

检查配置结果

执行display ssh user-information [ username ]命令，在SSH服务器端查看SSH用户信息。如果不指定SSH用户，则可以查看SSH服务器端所有的SSH用户信息。

执行display ssh server status命令，查看SSH服务器的全局配置信息。

执行display ssh server session命令，在SSH服务器端查看与SSH客户端连接的会话信息。

使用Cloud管理多个交换机时

此再增加一个SW2交换机要连接到Cloud时提示为，无可用端口。

此时 在Cloud上双击鼠标左键，会打开一下Cloud配置界面。

配置完毕后，然后关闭此页面。

然后 给 SW2的vlanif 1 配置一个192.68.56.3的ip，只要和SW的不重复就行。其他管理就和SW上的配置方式一样了。

华为官网配置信息

https://support.huawei.com/enterprise/zh/doc/EDOC1100333467/5a7baebd