配置通过管理VLAN实现远程管理设备示例

组网图形

图1 配置通过管理VLAN实现远程管理设备组网图

组网需求

• 配置思路
• 操作步骤
• 配置文件

组网需求

如图1所示，用户希望安全地登录到Switch进行远程管理，Switch上没有空闲管理网口。

配置思路

用户可以通过管理网口或管理VLAN的VLANIF接口远程登录到设备进行管理。设备上没有空闲的管理网口，需要采用管理VLAN实现。同时，为了用户安全登录，采用STelnet登录方式。配置思路如下：

1. 在Switch上配置管理VLAN，并将接口加入VLAN。
   
2. 在Switch上配置VLANIF并指定IP地址。
   
3. 在Switch上开启STelnet服务功能，并配置SSH用户。
   
4. 用户PC以STelnet方式登录Switch。
   

• 用户PC上需要安装登录SSH服务器的软件以及密钥对生成软件、公钥转换软件。
• 为充分保证设备安全，请用户定期修改密码。

操作步骤

1. 配置管理VLAN，并将接口加入VLAN# 在Switch上创建VLAN10，并指定为管理VLAN，然后将接口GE0/0/1以Tagged方式加入VLAN10。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan 10

[Switch-vlan10] management-vlan

[Switch-vlan10] quit

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

[Switch-GigabitEthernet0/0/1] quit

1. 配置VLANIF接口及其IP地址# 在Switch上创建VLANIF10，并配置其IP地址为10.10.10.2/24。

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.10.10.2 24

[Switch-Vlanif10] quit

1. 启用STelnet服务，并配置SSH用户

1. 在Switch上生成本地密钥对

[Switch] rsa local-key-pair create

The key name will be: Switch_Host

The range of public key size is (2048 ~ 2048).

NOTES: If the key modulus is greater than 512,

it will take a few minutes.

Input the bits in the modulus[default = 2048]:     //按Enter键

Generating keys...

...................+++++

........................++

....++++

...........++

1. 配置SSH用户
   # 在Switch上配置VTY用户界面。

[Switch] user-interface vty 0 14

[Switch-ui-vty0-14] authentication-mode aaa

[Switch-ui-vty0-14] protocol inbound ssh

[Switch-ui-vty0-14] quit

1. # 在Switch上新建用户名为client001的SSH用户，且认证方式为password。

[Switch] aaa

[Switch-aaa] local-user client001 password irreversible-cipher YsHsjx_202206

[Switch-aaa] local-user client001 privilege level 3

[Switch-aaa] local-user client001 service-type ssh

[Switch-aaa] quit

[Switch] ssh user client001 authentication-type password

1. 开启STelnet服务功能
   # 在Switch上开启STelnet服务功能。

[Switch] ssh server-source -i Vlanif 10

[Switch] stelnet server enable

1. # 配置SSH用户client001的服务方式为STelnet

[Switch] ssh user client001 service-type stelnet

1. 
   PC和Switch之间通过其他设备相连，中间设备上需要透传管理VLAN10，并且存在10.1.1.1/24到10.10.10.2/24的路由表项。
2. 验证配置结果配置完成后，用户PC即可采用password认证方式登录Switch。
   # 在用户PC上运行putty软件，出现如图2所示对话框，输入Switch的IP地址10.10.10.2，选择协议类型为SSH。
   图2 配置通过管理VLAN实现远程管理设备组网图
   
   # 点击“Open”，Switch上出现如下界面，输入用户名和密码，并按Enter键。

login as: client001

SSH server: User Authentication

Using keyboard-interactive authentication.

Password:

Info: The max number of VTY users is 10, and the number

     of current VTY users on line is 1.

     The current login time is 2014-02-25 05:45:41+00:00.

<Switch>

1. 至此，用户PC已成功登录到Switch，可以对Switch进行远程管理。

配置文件

Switch的配置文件

#

sysname Switch

#

vlan batch 10

#

vlan 10

management-vlan

#

aaa

local-user client001 password irreversible-cipher 1a1aEqZEVTq=/@T2XM0q0W{Ec[Fs2@&4YII@-=(lbr[K>4Dq76]3#BgqMOAxu^%$$

local-user client001 privilege level 3

local-user client001 service-type ssh

#

interface Vlanif10

ip address 10.10.10.2 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 10

#

stelnet server enable

ssh user client001

ssh user client001 authentication-type password

ssh user client001 service-type stelnet

#

user-interface vty 0 14

authentication-mode aaa

#

return