cisco交换机设置telnet安全访问

liketdlte

      前段时间有读者想让用一个实例了解一下交换机的基础管理任务，正好昨天有读者发来一个设备安全访问的需求实验，借此实验整理一下，让大家理解实际工程中网络设备的最基础的管理与配置方法：

    网络设备特备是在运维管理当中一般是采用telnet或者SSH的远程登录，除非是大型故障，或者设备升级安装，新设备初期配置，需要网络管理员在机房通过serial串口线在超级终端登录。（现在华为等公司的设备已经具备了ZTP零配置自动上线功能，配置文件通过U盘或者DHCP中继获取，升级并部署交换机，也可以依靠python脚本实现自动化部署）

      所以所设备后期的远程telnet和SSH是非常重要的一步，一般在中大型网络当中肯定会开启telnet，但是为了保证网络设备的安全不可能让所有的用户都能telnet到设备当中，除了对设备设置对应的用户名和密码，同时需要设置ACL进行访问控制限制！

      实验需求：为了保证 设备的访问安全，只允许VLAN 40 网段内的主机可以telnet到设备，其他的网段都不能管理设备，只能进行以太网通信

      实验拓扑：（现在cisco的环境下配置，使用模拟器会和真机有着很大的差异，有一些钱东西和实际是有差异的）

      在虚拟机中同种设备要用翻转双绞线（一端568A另一端是568B）,这也是课本教的，在实际的产品当中目前的设备已经具备了自动翻转的功能，一般直接采用两端都是568B的直连双绞线。

     实验的第一步便是IP地址规划，IP地址规划是网络工程师做项目规划中最为关键的一步，一般的原则：可扩展，可汇总，易管理，易维护，在复杂的网络设计中要清楚的规划出，设备管理网段，用户网段，服务器网段，设备网关，用户网关，辅助三层设备测试用的loopbck地址等！（相关IP地址规划以后会详细整理）

    首先IP地址规划如下表：

      为什么要用VLAN1作为设备的管理VLAN：利用trunk的native VLAN（本征VLAN,华为是private VLAN）特性实现透传，方便配置和管理！

      工程标准建议：标准的工程项目IP地址的规划一般要留足够的可扩展性，一般用于后期扩展，设备的管理地址一般用最大的可用网段，用户网段从最小开始分配，中间没用上的用于日后扩展，而设备的互联设备上联端口用编号最大的接口，设备下联端口用接口最小的地址，一般IP地址的规划设备互联上联IP用奇数，下联IP用偶数等！（要让一切有规律可循！）

      按照IP地址规划，进行电脑PC的IP的设置，注意网关地址，网关的作用（设备的远程管理时依靠IP的，VLAN40管理五台设备肯定要进行跨网段传输，因此王冠必不可少！）

这里只展示PC1的设置：其他请自行设定：

配置交换机SWA:

SA>en

SA#

SA#config t

SA(config)#

SA(config)#interface vlan 1

//设定VLAN1为二层交换机网络管理VLAN

SA(config-if)#ip add 192.168.255.1 255.255.255.0

//配置二层交换机管理地址

SA(config-if)#no shutdown

//不配置此部网不通

SA(config-if)#exit

SA(config)#ip default-gateway 192.168.255.254

   //注意这是二层交换机的管理VLAN的网关，用户VLAN 10的网关在汇聚层设备，很少把用户网关放在接入层！

     //这一条网关配置命令在实际设备中早已经没有的，一般是使用默认路由IP route 0.0.0.0 0.0.0.0 192.168.255.254替代，理解默认路由与网关，这两者其实实现的功能是一样的！

SA(config)#vlan 10

SA(config-vlan)#exit

SA(config)#

SA(config)#interface range fa0/1-23

SA(config-if-range)#switchport access vlan 10  

//此时会自动启用（no shutdown）SVI接口 vlan10

SA(config-if-range)#exit

SA(config)#interface fa0/24

SA(config-if)#switchport mode trunk

SA(config-if)#exit

SA(config)#access-list 1 permit 192.168.40.0 0.0.0.255 //配置ACL

SA(config)#line vty 0 4

SA(config-line)#password lsksdn  //设置telnet密码：lsksdn

SA(config-line)#login

SA(config-line)#access-class 1 in  //只允许vlan 40 telnet该交换机

SA(config-line)#exit

SA(config)#enable secret lsksdn  //设置特权用户密码，不配置telnet开启失败

SA(config)#end

SA#wr

Building configuration...

      注意：当第一个配置完成后，其他的是可以刷模板的，实际的工程项目对于需要相同配置的，为了减少手工配置的出错，目前都是采用刷模板的方法。

将第一个交换机SWA的配置变成模板，直接在SWB交换机上配置：

en

config t

interface vlan 1

ip add 192.168.255.2 255.255.255.0

no shutdown

exit

ip default-gateway 192.168.255.254

vlan 10

exit

interface range fa0/1-23

switchport access vlan 10

exit

interface fa0/24

switchport mode trunk

exit

access-list 1 permit 192.168.40.0 0.0.0.255

line vty 0 4

password lsksdn  

login

access-class 1 in  

exit

enable secret lsksdn  

end

      只需要把上述的标黄部位直接更改为交换机对应的VLAN和管理IP，直接复制到CLI命令行当中！

   最后配置;交换机SR:

SR>enable

SR#configure terminal

SR(config)#

SR(config)#interface vlan 1

SR(config-if)#ip add 192.168.255.254255.255.255.0

SR(config-if)#vlan 10

SR(config-vlan)#vlan 20

SR(config-vlan)#vlan 30

SR(config-vlan)#vlan 40

SR(config-vlan)#exit

SR(config)#

//把四个用户网段VLAN 10 20 30 40 的网关全部放在汇聚层！这也是实际工程习惯！

SR(config)#interface vlan 10

SR(config-if)#ip add 192.168.10.254255.255.255.0

SR(config-if)#exit

SR(config)#interface vlan 20

SR(config-if)#ip add 192.168.20.254255.255.255.0

SR(config-if)#exit

SR(config)#interface vlan 30

SR(config-if)#ip add 192.168.30.254255.255.255.0

SR(config-if)#exit

SR(config)#interface vlan 40

SR(config-if)#ip add 192.168.40.254255.255.255.0

SR(config-if)#exit

SR(config)#ip routing

//cisco模拟器的三层交换机不会自动开启路由功能，需要手动开启

SR(config)#

SR(config)#interface range fa0/1-4

SR(config-if-range)#switchport mode access

(激活二层端口，在二层交换机上没用，三层交换机必须配置，否则trunk失败，图中的只有汇聚采用了cisco三层)

SR(config-if-range)#switchport mode trunk

SR(config-if-range)#

SR(config-if-range)#exit

SR(config)#access-list 1 permit192.168.40.0 0.0.0.255 //配置ACL

SR(config)#line vty 0 4

SR(config-line)#password lsksdn  //设置telnet密码：lsksdn

SR(config-line)#login

SR(config-line)#access-class 1 in  //只允许vlan 40 telnet该交换机

SR(config-line)#exit

SR(config)#enable secret lsksdn  //设置特权用户密码，不配置telnet开启失败

SR(config)#end

SR#wr

Building configuration...

[OK]

SR#

配置完成后开始测试：（首先测试网关和设备的互通性），大部分网络故障都是网关不通！

接下测试设备的telnet管理，看是否达到了需求：

获实验原文件和配置文档，点击阅读原文，百度云盘获取密码：ma6r

当cisco packet tracert打开本文的test实验没有内容的时候，注意先打开packet tracer软件，再选择文件打开就可以了：

文章写作能力有限，请各位理解！

计算机网络通信技术分享

技术交流QQ群：568183614

作者技术交流QQ号：2535619127

LSKSDN ∣让兴趣成为生存技能

淼渺淼渺

感谢楼主分享