河南中医药大学：《网络运维管理》实验指导【2019级信管】网络运维管理-实验05-远程管理网络设备

《网络运维管理》/实验五:远程管理网络设备 《网络运维管理》——实验指导书 实验五:远程管理网络设备 实验简介 前期我们在对网络设备进行配置时,是直接进入设备的命令行界面进行操作的。但是,在实际 的园区网管理工作中,对于部署在园区内部各个地方的网络设备,管理员通常是通过远程登录的方 式,实现对网络中设备(例如交换机、路由器等)的远程维护及管理,从而极大地方便了用户的操 作。本实验讲解如何远程登录网络设备并进行远程管理 实验目的 1、掌握通过 Telnet远程登录网络设备的方法; 2、掌握通过SSH远程登录网络设备的方法; 三、实验理论 1.用户界面 11简介 华为网络设备支持的用户界面有 Console用户界面和VTY用户界面。 每个用户界面有对应的用户界面视图。用户界面(User- interface)视图是系统提供的一种命令 行视图,用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口,从而达到统一管理各 种用户界面的目的 12目前系统支持的用户界面 (1) Console(CON)界面 Console用户界面,用来管理和监控通过 Console口登录的用户。 控制口( Console Port)是一种通信串行端口,由设备的主控板提供。一块主控板提供一个 Console口,端口类型为EATA-232DCE。用户终端(即管理机)的串行端口可以与设备 Console 口直接连接,实现对设备的本地访问 (2)VTY界面 VTY( Virtual Type Terminal)用户界面,用来管理和监控通过 Telnet或SSH方式登录的用户。 虚拟类型终端(Ⅵ /irtualτypeτ erminal)是一种虚拟线路端口。用户通过终端与设备建立 Telnet 或SSH连接后,即建立了一条VTY,即用户可以通过VTY方式登录设备进行本地或远程访问。最 多支持15个用户同时通过VTY方式访问设备。 13用户界面的编号 当用户登录设备时,系统会根据此用户的登录方式,自动分配一个当前空闲且编号最小的相应 类型的用户界面给这个用户。用户界面的编号有两种方式:相对编号方式和绝对编号方式。 (1)相对编号方式 相对编号方式的形式是:用户界面类型+编号 河南中医药大学信息技术学院网络与信息系统科研工作室 第1页

《网络运维管理》 / 实验五：远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 《网络运维管理》—— 实验指导书 实验五：远程管理网络设备 一、实验简介 前期我们在对网络设备进行配置时，是直接进入设备的命令行界面进行操作的。但是，在实际 的园区网管理工作中，对于部署在园区内部各个地方的网络设备，管理员通常是通过远程登录的方 式，实现对网络中设备（例如交换机、路由器等）的远程维护及管理，从而极大地方便了用户的操 作。本实验讲解如何远程登录网络设备并进行远程管理。 二、实验目的 1、掌握通过 Telnet 远程登录网络设备的方法； 2、掌握通过 SSH 远程登录网络设备的方法； 三、实验理论 1. 用户界面 1.1 简介 华为网络设备支持的用户界面有 Console 用户界面和 VTY 用户界面。 每个用户界面有对应的用户界面视图。用户界面（User-interface）视图是系统提供的一种命令 行视图，用来配置和管理所有工作在异步交互方式下的物理接口和逻辑接口，从而达到统一管理各 种用户界面的目的。 1.2 目前系统支持的用户界面 （1）Console（CON）界面 Console 用户界面，用来管理和监控通过 Console 口登录的用户。 控制口（Console Port）是一种通信串行端口，由设备的主控板提供。一块主控板提供一个 Console 口，端口类型为 EIA/TIA-232 DCE。用户终端（即管理机）的串行端口可以与设备 Console 口直接连接，实现对设备的本地访问。 （2）VTY 界面 VTY（Virtual Type Terminal）用户界面，用来管理和监控通过 Telnet 或 SSH 方式登录的用户。 虚拟类型终端（Virtual Type Terminal）是一种虚拟线路端口。用户通过终端与设备建立 Telnet 或 SSH 连接后，即建立了一条 VTY，即用户可以通过 VTY 方式登录设备进行本地或远程访问。最 多支持 15 个用户同时通过 VTY 方式访问设备。 1.3 用户界面的编号 当用户登录设备时，系统会根据此用户的登录方式，自动分配一个当前空闲且编号最小的相应 类型的用户界面给这个用户。用户界面的编号有两种方式：相对编号方式和绝对编号方式。 （1）相对编号方式 相对编号方式的形式是：用户界面类型＋编号

《网络运维管理》/实验五:远程管理网络设备 此种编号方式只能唯一指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相 对编号方式遵守的规则如下 控制口的编号:CON0。 虚拟线路的编号:第一个为VTY0,第二个为VTY1,依此类推 (2)绝对编号方式 绝对编号可以唯一的指定一个用户界面或一组用户界面 绝对编号的起始编号是0,并按照CON、VTY的顺序依次分配。 每个主控板上cON口只有一个,但VTY类型的用户界面有20个(其中0~14用户提供 给普通 Telnet/ssh用户的用户接口,16~20是预留给网管用户的接口),可以在系统视图下 使用 user-interface maximum-vty命令设置最大用户界面个数,其缺省值为5 14用户界面的用户验证 配置用户界面的用户验证方式后,用户登录设备时,网络设备对用户的身份进行验证 对用户的验证有两种方式: password验证和AAA验证。这两种验证方式分别描述如下 (1) Password验证:只需要口令,不需要用户名。 (2)AAA验证:需要用户提供用户名和口令,对 Telnet用户一般采用AAA验证 15用户界面的用户优先级 系统支持对登录用户进行分级管理。与命令的优先级一样,用户的优先级分为16个级别 级别标识为0~15,标识越高则优先级越高。用户所能访问命令的级别由用户的级别决定 如果对用户采用 password验证,登录到设备的用户所能访问的命令级别由登录时的用户 界面级别决定;如果对用户采用AAA验证,登录到设备的用户所能访问的命令级别由AAA配 置信息中本地用户的优先级级别决定 2.用户登录 可以把园区网中的网络设备看作是服务器,用户可通过 Console口、 Telnet、 STelnet或 者Web方式登录该设备,从而实现对设备的配置与管理 21用户登录的不同方式 用户对设备的管理方式有命令行方式和Web网管方式。 ·命令行方式:通过 Console口、 Telnet或 STelnet方式登录设备后,使用设备提供的命令 行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。 ·Web网管方式:通过HTTP或Https方式登录设备,设备内置一个Web服务器,用户 从终端通过Web浏览器登录到设备,使用设备提供的图形界面,从而非常直观地管理和 维护设备。此种方式必须确保设备上已经加载了Web网页文件 Web网管方式虽然是通过图形界面直观地管理设备,便于用户操作,但提供的是对设备 日常维护及管理的基本功能,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行 方式 22 Console囗概述 网络设备的主控板提供一个 Console口(接口类型为EATA232DCE)。通过将用户终 端(即管理机)的串行接口与设备 Console口直接连接,登录设备,实现对设备的本地配置。 河南中医药大学信息技术学院网络与信息系统科研工作室

《网络运维管理》 / 实验五：远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 此种编号方式只能唯一指定某种类型的用户界面中的一个或一组，而不能跨类型操作。相 对编号方式遵守的规则如下： 控制口的编号：CON 0。 虚拟线路的编号：第一个为 VTY 0，第二个为 VTY 1，依此类推。 （2）绝对编号方式 绝对编号可以唯一的指定一个用户界面或一组用户界面。 绝对编号的起始编号是 0，并按照 CON、VTY 的顺序依次分配。 每个主控板上 CON 口只有一个，但 VTY 类型的用户界面有 20 个（其中 0～14 用户提供 给普通 Telnet/SSH 用户的用户接口，16～20 是预留给网管用户的接口），可以在系统视图下 使用 user-interface maximum-vty 命令设置最大用户界面个数，其缺省值为 5。 1.4 用户界面的用户验证 配置用户界面的用户验证方式后，用户登录设备时，网络设备对用户的身份进行验证。 对用户的验证有两种方式：password 验证和 AAA 验证。这两种验证方式分别描述如下： （1）Password 验证：只需要口令，不需要用户名。 （2）AAA 验证：需要用户提供用户名和口令，对 Telnet 用户一般采用 AAA 验证。 1.5 用户界面的用户优先级 系统支持对登录用户进行分级管理。与命令的优先级一样，用户的优先级分为 16 个级别， 级别标识为 0～15，标识越高则优先级越高。用户所能访问命令的级别由用户的级别决定。 如果对用户采用 password 验证，登录到设备的用户所能访问的命令级别由登录时的用户 界面级别决定；如果对用户采用 AAA 验证，登录到设备的用户所能访问的命令级别由 AAA 配 置信息中本地用户的优先级级别决定。 2. 用户登录 可以把园区网中的网络设备看作是服务器，用户可通过 Console 口、Telnet、STelnet 或 者 Web 方式登录该设备，从而实现对设备的配置与管理。 2.1 用户登录的不同方式 用户对设备的管理方式有命令行方式和 Web 网管方式。  命令行方式：通过 Console 口、Telnet 或 STelnet 方式登录设备后，使用设备提供的命令 行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。  Web 网管方式：通过 HTTP 或 HTTPS 方式登录设备，设备内置一个 Web 服务器，用户 从终端通过 Web 浏览器登录到设备，使用设备提供的图形界面，从而非常直观地管理和 维护设备。此种方式必须确保设备上已经加载了 Web 网页文件。 Web 网管方式虽然是通过图形界面直观地管理设备，便于用户操作，但提供的是对设备 日常维护及管理的基本功能，如果需要对设备进行较复杂或精细的管理，仍然需要使用命令行 方式。 2.2 Console 口概述 网络设备的主控板提供一个 Console 口（接口类型为 EIA/TIA-232 DCE）。通过将用户终 端（即管理机）的串行接口与设备 Console 口直接连接，登录设备，实现对设备的本地配置

《网络运维管理》/实验五:远程管理网络设备 23 Telnet概述 Telnet协议在 TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。以 服务器喀户端( Server/ Client)模式工作, Telnet客户端向 Telnet服务器发起请求, Telnet服务器 提供 Telnet服务。网络设备支持 Telnet客户端和 Telnet服务器功能,既可以作为 Telnet服务器, 也提供 Telnet客户端服务。 24 STelnet概述 Telnet传输过程采用TCP协议进行明文传输,缺少安全的认证方式,容易招致DoS( Denial of service)、主机地址欺骗和路由欺騙等恶意攻击,存在很大的安全隐患 相对于 Telnet, STelnet基于SsH2协议,客户端和服务器端之间经过协商,建立安全连接, 客户端可以像操作 Telnet一样登录服务器端。SSH通过以下措施实现在不安全网络上提供安全的 远程登录: 支持RSA( Revest-Shamir-Adleman Algorithn)认证方式。客户端需要创建一对密钥(公用 密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的 公用密钥,与报文中携带的客户端公用密钥进行比较。如果两个公用密钥不一致,服务器断开与客 户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报 文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器 使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证 支持用加密算法DEs( Data Encryption Standard)、3DES、AES128( Advanced Encryption Standard128)对用户名密码以及传输数据进行加密 网络设备支持SSH服务器功能,可以接收多个SsH客户端的连接。同时,设备还支持SSH 客户端功能,可以与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH 登录到远程设备。设备作为SSH服务器端时,支持SSH2和SSH1两个版本。设备作为SSH客 户端时,只支持SSH2版本 SSH支持本地连接和广域网连接。 25命令行界面下不同登录方式的对比 表5-0-1列出了在命令行界面下, Console口、 Telnet和 STelnet三种登录方式的对比 表50-1命令行界面下不同登录方式的对比 登录方式 优点 缺点 应用场景 说明 使用专门的不能远程登录当对设备进行第一次通过 Console口进行本地登录是登 Console通信维护设备 配置时,可以通过录设备最基本的方式,也是其他登录 线缆连接,保 Console口登录设备方式的基础 证可以对设备 进行配置。 缺省情况下,用户可以直接通过 Conso|e口 有效控制 当用户无法进行远程 Console口本地登录设备,不需要 登录设备时,可通过|P地址 Console口进行本地 河南中医药大学信息技术学院网络与信息系统科研工作室 第3页

《网络运维管理》 / 实验五：远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 2.3 Telnet 概述 Telnet 协议在 TCP/IP 协议族中属于应用层协议，通过网络提供远程登录和虚拟终端功能。以 服务器/客户端（Server/Client）模式工作，Telnet 客户端向 Telnet 服务器发起请求，Telnet 服务器 提供 Telnet 服务。网络设备支持 Telnet 客户端和 Telnet 服务器功能，既可以作为 Telnet 服务器， 也提供 Telnet 客户端服务。 2.4 STelnet 概述 Telnet 传输过程采用 TCP 协议进行明文传输，缺少安全的认证方式，容易招致 DoS（Denial of Service）、主机 IP 地址欺骗和路由欺骗等恶意攻击，存在很大的安全隐患。 相对于 Telnet，STelnet 基于 SSH2 协议，客户端和服务器端之间经过协商，建立安全连接， 客户端可以像操作 Telnet 一样登录服务器端。SSH 通过以下措施实现在不安全网络上提供安全的 远程登录： 支持 RSA（Revest-Shamir-Adleman Algorithm）认证方式。客户端需要创建一对密钥（公用 密钥和私用密钥），并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的 公用密钥，与报文中携带的客户端公用密钥进行比较。如果两个公用密钥不一致，服务器断开与客 户端的连接。如果两个公用密钥一致，客户端继续使用自己本地密钥对的私用密钥部分，对特定报 文进行摘要运算，将所得的结果（即数字签名）发送给服务器，向服务器证明自己的身份。服务器 使用预先配置的该客户端的公用密钥，对客户端发送过来的数字签名进行验证。 支持用加密算法 DES（Data Encryption Standard）、3DES、AES128（Advanced Encryption Standard 128）对用户名密码以及传输数据进行加密。 网络设备支持 SSH 服务器功能，可以接收多个 SSH 客户端的连接。同时，设备还支持 SSH 客户端功能，可以与支持 SSH 服务器功能的设备建立 SSH 连接，从而实现从本地设备通过 SSH 登录到远程设备。设备作为 SSH 服务器端时，支持 SSH2 和 SSH1 两个版本。设备作为 SSH 客 户端时，只支持 SSH2 版本。 SSH 支持本地连接和广域网连接。 2.5 命令行界面下不同登录方式的对比 表 5-0-1 列出了在命令行界面下，Console 口、Telnet 和 STelnet 三种登录方式的对比。 表 5-0-1 命令行界面下不同登录方式的对比 登录方式 优点 缺点 应用场景 说明 Console 口 登录 使用专门的 Console 通信 线缆连接，保 证可以对设备 有效控制。 不能远程登录 维护设备。 当对设备进行第一次 配置时，可以通过 Console 口登录设备 进行配置。 当用户无法进行远程 登录设备时，可通过 Console 口进行本地 登录。 通过 Console 口进行本地登录是登 录设备最基本的方式，也是其他登录 方式的基础。 缺省情况下，用户可以直接通过 Console 口本地登录设备，不需要 IP 地址

《网络运维管理》/实验五:远程管理网络设备 便于对设备进传输过程采用可将用户终端(即管缺省情况下,用户不能通过 Telnet 行远程管理和TcP协议进行理机)连接到网络方式直接登录设备,若需要通过 维护,不需要明文传输,存上,使用 Telnet方 Telnet方式登录,可先通过 Console 每一台设备在安全隐患。式登录设备,进行本口本地登录设备,并完成以下配置: 都连接一个管 地或远程的配置。应·确保终端和登录的设备之间路由可 Telnet登录理终端,方便 用在对安全性要求不达(缺省情况下,设备上没有配置 了用户的 J操 高的网络。 P地址)。 ·配置 Telnet服务器功能及参数 配置 Telnet用户登录的用户界 面。 STelnet协议实配置较复杂。如果网络对于安全性缺省情况下,用户不能通过 STelnet 现在不安全网 要求较高,可以通过方式直接登录设备。若需要通过 络上提供安全 STelnet方式登录设| STelnet方式登录设备,可以先通过 的远程登录, 备。 STelnet基于 Console口本地登录或 Telnet远程 保证了数据的 SSH(Secure 登录设备,并完成以下配置: STelnet s登完整性和可靠 shel)协议,提供·确保终端和登录的设备之间路由可 性,保证了数 安全的信息保障和强达(缺省情况下,设备上没有配置 据的安全传 大认证功能,保护设1P地址) 备不受P欺骗等攻·配置 STelnet服务器功能及参 ·配置SSH用户登录的用户界面 ·配置SSH用户 26Wb网管概述 为了方便用户对设备的维护和使用,网络设备通常支持Web网管功能。设备内置一个Web 服务器,与设备相连的终端(即管理机)可以通过Web浏览器访问设备。 管理机可以通过HTTP或Https从终端登录至设备,实现通过图形化界面对设备进行管 理和维护。配置Https和HTTP方式,需要在作为服务器的设备上部署SSL策略,并加载 数字证书,数字证书主要用来实现客户端对服务器端身份的验证。用户可以直接使用设备提供 的SSL证书和默认的SSL策略 如果需要通过HTTP或Https方式登录设备,需要完成以下配置: (1)确保网络设备已加载了Web网页文件 (2)配置使能Http/httPs服务(缺省情况下,HTTP及Https服务功能未使能)。 (3)配置HTTP用户(华为设备提供默认的HTTP用户,用户名:admin,密码: admin@huawei.com 注意:由于eNsP是仿真平台,因此eNSP中提供的部分网络设备不支持Web登录方式。 四、实验过程 河南中医药大学信息技术学院网络与信息系统科研工作室 第4页

《网络运维管理》 / 实验五：远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 Telnet 登录 便于对设备进 行远程管理和 维护，不需要 为每一台设备 都连接一个管 理终端，方便 了用户的操 作。 传输过程采用 TCP 协议进行 明文传输，存 在安全隐患。 可将用户终端（即管 理机）连接到网络 上，使用 Telnet 方 式登录设备，进行本 地或远程的配置。应 用在对安全性要求不 高的网络。 缺省情况下，用户不能通过 Telnet 方式直接登录设备，若需要通过 Telnet 方式登录，可先通过 Console 口本地登录设备，并完成以下配置：  确保终端和登录的设备之间路由可 达（缺省情况下，设备上没有配置 IP 地址）。  配置 Telnet 服务器功能及参数。  配置 Telnet 用户登录的用户界 面。 STelnet 登 录 STelnet 协议实 现在不安全网 络上提供安全 的远程登录， 保证了数据的 完整性和可靠 性，保证了数 据的安全传 输。 配置较复杂。 如果网络对于安全性 要求较高，可以通过 STelnet 方式登录设 备。STelnet 基于 SSH（Secure Shell）协议，提供 安全的信息保障和强 大认证功能，保护设 备不受 IP 欺骗等攻 击。 缺省情况下，用户不能通过 STelnet 方式直接登录设备。若需要通过 STelnet 方式登录设备，可以先通过 Console 口本地登录或 Telnet 远程 登录设备，并完成以下配置：  确保终端和登录的设备之间路由可 达（缺省情况下，设备上没有配置 IP 地址）。  配置 STelnet 服务器功能及参数。  配置 SSH 用户登录的用户界面。  配置 SSH 用户。 2.6 Web 网管概述 为了方便用户对设备的维护和使用，网络设备通常支持 Web 网管功能。设备内置一个 Web 服务器，与设备相连的终端（即管理机）可以通过 Web 浏览器访问设备。 管理机可以通过 HTTP 或 HTTPS 从终端登录至设备，实现通过图形化界面对设备进行管 理和维护。配置 HTTPS 和 HTTP 方式，需要在作为服务器的设备上部署 SSL 策略，并加载 数字证书，数字证书主要用来实现客户端对服务器端身份的验证。用户可以直接使用设备提供 的 SSL 证书和默认的 SSL 策略。 如果需要通过 HTTP 或 HTTPS 方式登录设备，需要完成以下配置： （1）确保网络设备已加载了 Web 网页文件。 （2）配置使能 HTTP/HTTPS 服务（缺省情况下，HTTP 及 HTTPS 服务功能未使能）。 （3）配置 HTTP 用户（华为设备提供默认的 HTTP 用户，用户名：admin，密码： admin@huawei.com）。 注意：由于 eNSP 是仿真平台，因此 eNSP 中提供的部分网络设备不支持 Web 登录方式。 四、实验过程

《网络运维管理》/实验五:远程管理网络设备 任务一:通过 Telnet和SSH方式登录交换机 【任务介绍】 对交换机进行配置,使得用户终端可以通过 Telnet方式或SSH方式登录交换机。 步骤1:网络规划 (1)拓扑规划 SW-1 Host-M 图5-1-1任务一的拓扑 表51-1网络拓扑说明 序号 设备名称 设备类型 规格型号 SW-1 交换机 S3700 2+sM用户终端(管理机)本地实体机 将eNSP中的云设备与本地计算机(实体机)上的虚拟网卡绑定以后,可以实现本地主机与 eNsP中模拟的网络设备(例如交换机、路由器)之间的通信。所以此处使用本地实体机作为管理 机 点击【保存】按钮,保存刚刚建立好的网络拓扑。 (2)交换机接囗与VAN 表51-2交换机接口及vLAN规划表 序号交换机 接口 VLAN ID PVID 备注 SW-1 Ethernet 0/0/1 1000 配置成管理VLAN 说明:当用户远程管理交换机时,需要在交换机上设置ⅥLANF接口并配置P地址作为设备 管理伊P。通过管理伊可以 Telnet到交换机上进行管理操作。但是,若交换机上其他接口相连的用 户也加入ⅥLANF接口所对应的ⅥLAN,并配置相应的|P地址,则也可以访问该交换机,从而增 加了交换机的不安全因素。 这种情况下可以将ⅥLANF接口对应的ⅥAN设置为管理LAN(使用 management-vlan命 令)。管理ⅥLAN只允许Tunk和 Hybrid类型接口加入,不允许 Access类型和Dot1 q-tunnel类型 接口加入。由于 Access类型和Dot1 g-tunnel类型通常用于连接用户,限制这两种类型接口加入管 (3)IP地址 表51-3伊P地址规划表 设备接口名称 P地址/子网掩码 备注 Host-M(虚拟网卡) 10.0255.253/24 本地主机新增的虚拟网卡 SW-1 VLANIF1000 100.255254124 SW1的虚拟接口 说明 河南中医药大学信息技术学院网络与信息系统科研工作室 第5页

《网络运维管理》 / 实验五：远程管理网络设备 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 任务一：通过 Telnet 和 SSH 方式登录交换机 【任务介绍】 对交换机进行配置，使得用户终端可以通过 Telnet 方式或 SSH 方式登录交换机。 步骤 1：网络规划 （1）拓扑规划 表 5-1-1 网络拓扑说明 序号 设备名称 设备类型 规格型号 1 SW-1 交换机 S3700 2 Host-M 用户终端（管理机） 本地实体机 将 eNSP 中的云设备与本地计算机（实体机）上的虚拟网卡绑定以后，可以实现本地主机与 eNSP 中模拟的网络设备（例如交换机、路由器）之间的通信。所以此处使用本地实体机作为管理 机。 点击【保存】按钮，保存刚刚建立好的网络拓扑。 （2）交换机接口与 VLAN 表 5-1-2 交换机接口及 VLAN 规划表 序号 交换机 接口 VLAN ID PVID 备注 1 SW-1 Ethernet 0/0/1 1000 1000 配置成管理 VLAN 说明：当用户远程管理交换机时，需要在交换机上设置 VLANIF 接口并配置 IP 地址作为设备 管理 IP。通过管理 IP 可以 Telnet 到交换机上进行管理操作。但是，若交换机上其他接口相连的用 户也加入 VLANIF 接口所对应的 VLAN，并配置相应的 IP 地址，则也可以访问该交换机，从而增 加了交换机的不安全因素。 这种情况下可以将 VLANIF 接口对应的 VLAN 设置为管理 VLAN（使用 management-vlan 命 令）。管理 VLAN 只允许 Trunk 和 Hybrid 类型接口加入，不允许 Access 类型和 Dot1q-tunnel 类型 接口加入。由于 Access 类型和 Dot1q-tunnel 类型通常用于连接用户，限制这两种类型接口加入管 （3）IP 地址 表 5-1-3 IP 地址规划表 序号 设备接口名称 IP 地址 /子网掩码 备注 1 Host-M（虚拟网卡） 10.0.255.253 /24 本地主机新增的虚拟网卡 2 SW-1 VLANIF1000 10.0.255.254 /24 SW-1 的虚拟接口 说明： 图 5-1-1 任务一的拓扑