演示：telnet和SSH的配置路由器交换机

第九章实施网络管理与应用功能第九章本章关键价值：思科的路由器、交换机除了具备强大的路由交换能力以外，最引世界关注的应该是其强大的IOS特性，可以通过这些IOS特性来实现网络管理、网络基础架构、应用交付等。本章主要以描述思科网络设备IOS特性中的网络管理与应用交付为核心，其中包括：Telnet、SSH、SDM管理、CDP、DHCP、DNS、NAT等，以及这些技术知识点在CCNA认证中所对应的相关试题分析。并且专项分析和实施了CCNA（200-120）新增的考点：流量分析NetFlow、简单网络管理协议（SNMP）、思科的高可用性服务，如GLBP、VRRP、HSRP等。

任务9.1配置思科IOS的管理功能特性

本节将描述IOS的管理功能特性，Telnet的远程管理，SSH如何代替Telnet，配置登录路由器和交换机，为路由器和交换机配置正确的网络管理地址，配置使用SDM图形化管理路由器，分析该部分的试题。

任务9.1.1理解并取证：Telnet远程管理协议的工作原理

Telnet协议是TCP/IP协议簇中的一员，用于Internet远程登录服务的标准协议和主要实现方式。它使用TCP协议的23号端口完成工作，为用户提供在本地计算机上完成配置远程主机、路由器、交换机等网络设备的能力。思科的IOS系统集成了Telnet功能，在本地计算机上使用Telnet程序连接到远程设备，本地终端可以在Telnet程序中输入指令，这些指令会在路由器、交换机上运行，给人的感觉就像直接在网络设备的控制台上输入一样。要开始一个Telnet会话，必须输入用户名和密码来登录网络设备。Telnet远程登录服务分为以下几个过程，如图9.1所示。用户Telnet路由器时，首先完成的是源主机到路由器23号端口的TCP三次握手，当三次握手完成后，才正式地将在源主机上输入的Telnet的密码与指令传送到路由器，并让其执行。Telnet传送指令到路由器时，没有经过任何加密或安全措施，而且是用户从键盘上输入一个字符，就传递一个字符，所以安全性不高，利用协议分析器可以轻松地获得用户通过Telnet输入的指令。任务9.1.1图9.1Telnet远程登录服务的4个过程任务9.1.2演示：思科路由器的Telnet远程管理

演示目标：完成在思科路由器上Telnet的配置，并分析Telnet的数据帧。演示环境：演示步骤：要学会配置路由器上的Telnet服务，首先需要理解Telnet的线序。可以使用showline指令查看路由器上的各种线路序号，如图9.2所示。任务9.1.2图9.2路由器上的各种线路序号CTY：指示控制终端（Console）线路。AUX：辅助控制终端的线路。VTY：Telnet专用的线路，共有5条，物理的线序计数是2~6。任务9.1.2

注意：“*”表示该线路正在被使用。要配置Telnet，首先要进入属于Telnet的线路。有两种方式可以进入，其中一种是通过逻辑线序linevty04进入；另一种是通过物理线序line26进入，通过这两种方式都可以配置Telnet，如下所示。

任务9.1.2开始正式配置路由器上的Telnet服务。在进入Telnet的线路模式后，配置Telnet的指令如下。然后可以在主机的命令提示符CMD方式下，发起Telnet指令，进行Telnet登录。

Router(config-line)#login *指示Telnet的登录验证Router(config-line)#passwordccna *配置Telnet的登录密码Router(config)#enablepasswordccna2*配置路由器的使能用户的密码

使用协议分析器取证Telnet的数据帧。在主机开始Telnet到目标路由器R1（）之前开启协议分析器，然后再完成Telnet登录，当密码输入完成后，停止协议分析器，可以看到如图9.3所示的数据帧结构。可以看到Telnet的TCP三次握手与各个密码的输入情况，可以看出Telnet的指令是逐个传递的，而且没有经过任何加密保护。

任务9.1.2图9.3取证Telnet的数据帧任务9.1.2

注意：通过上述步骤的演示，可以得出一个结论——就Telnet服务而言，它的安全性非常脆弱，因为登录的验证密码没有经过任何保护，这样很容易被非法用户所窃取。那么有什么方式可以安全地替代Telnet服务呢？任务9.1.3理解并取证：SSH远程管理协议的工作原理

SSH（SecureShell）默认的连接端口是22，可以对所有传输的数据进行加密。它是代替Telnet进行安全远程操作的一种很好的方式。当然，事实上它不止能代替Telnet进行安全的工作，还能为FTP等应用服务提供安全的传输通道。第一阶段：（基于口令的安全验证）只要用户知道自己的账号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证正在连接的服务器就是用户想连接的服务器，可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

第二阶段：思科路由器如果配置了SSH，那么就会在设备上产生一对非对称式的密钥，即一把私钥和一把公钥。私钥是不可公开的，所以设备要保密私钥；公钥是可公开的，设备可以将自己的公钥发送给SSH客户端，SSH客户端拿着公钥来加密数据，所以数据在传送的过程中是保密的，这样就免除了“中间者的攻击或窃取”。被公钥加密的数据被传送到路由器上时，路由器可以利用自己的私钥来解密数据，这样就保证了数据在传递过程中的安全性，如图9.4所示。任务9.1.3图9.4SSH的工作原理示意图SSH与Telnet的比较：SSH比Telnet具有更好的安全性。SSH还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。任务9.1.4演示：思科路由器SSH的远程管理

演示目标：在路由器上配置SSH服务，并取证SSH比Telnet的安全性高。演示环境：如图9.4所示。演示步骤：

在思科路由器上配置SSH。配置指令如下：路由器R1的SSH配置：

R1(config)#linevty04*进入VTY线路模式R1(config-line)#loginlocal*对远程SSH的用户采取本地安全数据库认证R1(config-line)#transportinputssh*允许SSH传入R1(config)#ipdomain-name*使用SSH必须为路由器配置域名，这里的域名是R1(config)#usernameccnapasswordccna*建立一个路由器的本地安全数据库，用户名为ccna，密码为ccnaR1(config)#enablepasswordccna*为路由器配置enable的密码R1(config)#cryptokeygeneratersa*生成路由器的公钥和私钥对任务9.1.4路由器会有如下提示：Thenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:建立密钥对模数的长度，保持默认就可以了%Generating512bitRSAkeys，keyswillbenon-exportable...[OK]路由器提示：SSH1.99被正式启动。*May1913:51:27.707:%SSH-5-ENABLED:SSH1.99hasbeenenabled

实现SSH客户端的登录。目前，Windows还没有提供专用的SSH客户端软件，所以需要第三方软件进行支持。而PuTTY就是一款非常好的第三方SSH客户端软件，如图9.5所示。

图9.5PuTTYConfiguration任务9.1.4利用协议分析器分析SSH的数据帧。在上SSH连接到路由器（）以前打开的协议分析器，然后完成整个SSH的过程，再暂停协议分析器，可以得到如图9.6所示的数据帧和如图9.7所示的被SSH加密后的效果。图9.6协议分析器分析SSH的数据帧图9.7被SSH加密后的效果任务9.1.5演示：思科交换机的Telnet与SSH管理

演示目标：配置思科交换机的Telnet和SSH功能。演示环境：演示背景：完成主机Telnet二层交换机S1的配置。在完成这个配置的过程中，请思考：二层交换机将会把被用作远程主机登录的IP地址配置在什么地方？演示步骤：

为交换机配置网络管理IP地址和Telnet，具体配置如下。交换机S1的Telnet配置：

任务9.1.5S1(config)#interfacefastEthernet0/1S1(config-if)#noshutdown*激活交换机连接计算机的物理接口S1(config-if)#exitS1(config)#interfacevlan1*配置交换机的网络管理接口S1(config-if)#ipaddress*为网络管理接口配置IP地址S1(config-if)#noshutdown*激活该管理接口S1(config-if)#exitS1(config)#enablepasswordccnapass*设置交换机使能账户的密码，这与路由器一样S1(config)#linevty04*进入VTY线路，这与路由器一样S1(config-line)#login*对Telnet进行登录配置，这与路由器一样S1(config-line)#passwordccnagood*设置Telnet的密码，这与路由器一样S1(config-line)#exit任务9.1.5当完成上述关于交换机Telnet的配置后，在主机上使用telnet指令来完成远程登录交换机S1，如图9.9所示为Telnet登录的过程，第一个提示要求输入的密码为Telnet的验证密码；第二个提示要求输入的密码为交换机的使能账户Enable的密码。图9.9验证Telnet交换机S1的结果任务9.1.5现在来总结配置路由器Telnet与交换机Telnet的区别。对比路由器与交换机的配置过程来看，对其Telnet本身而言，两者的配置没有任何差异；两者的差异出现在网络基础配置部分，因为路由器本身是一个三层设备，所以，只要在路由器的任意一个接口上配置了IP地址，该地址就可以用作Telnet的目标地址；这与交换机（二层交换机）不同，二层交换机的任何物理接口都工作在ISO模型的第二层（数据链路层），工作在第二层的网络接口是不允许配置三层IP地址的，为了完成远程管理的目的，二层交换机有一个管理接口（事实上，是一个逻辑接口），在默认情况下是VLAN1，可以被用来配置第三层的IP地址，用于完成远程管理任务，此时，从网络管理角度讲，整个二层交换机被看成是一个IP节点，类似于一台计算机。记住：只是从网络管理角度讲是这样的，该接口不能被用作路由网关，只能作为网络管理使用。如果二层交换机需要被跨子网管理，那么还可以使用ipdefault-gatewa