在不使用串行连接时,需要可访问的 IP 地址来管理交换机。要设置IP地址,请输入以下命令。此示例使用VLAN 1、默认VLAN和IP 192.168.0.250 /24。
console> enable console# configure console(config)# interface vlan 1 console(config-if)#ip address 192.168.0.250 255.255.255.0
console(config)# interface out-of-band console(config-if)# ip address 192.168.0.250 255.255.255.0
如果可用,建议使用OOB接口管理交换机。OOB 接口独立于交换芯片,可直接到达 CPU。如果生产网络出现问题,仍可通过OOB接口访问交换机。
建议在使用 VLAN 管理网络时,创建一个单独的 VLAN 专用于管理。这会将管理流量与数据流量分离。这不仅有助于提高性能,也可提高一点安全性。您可以通过任何可达的 VLAN IP 地址管理交换机。
如果从外部网络管理交换机,则必须为交换机分配可用于访问其他网络的默认网关。以下命令使用192.168.0.1作为默认网关地址。
console(config)# ip default-gateway 192.168.0.1
要管理交换机,需要提供用户名和密码。要使用 telnet 或 SSH 管理交换机,最佳实践是启用密码。输入以下命令以配置登录访问。这是一个用户名为Dell,密码为MYPASSWORD的示例。启用密码示例使用 ENP@$$w0rd
。这些只是示例,密码应遵守组织适用的安全策略。
console> enable console# configure console(config)# username Dell password MYPASSWORD privilege 15 console(config)# enable password ENP@$$w0rd
默认允许的管理协议为Telnet和HTTP。Telnet 和 SSH 通过 PuTTY 等工具提供基于命令行的管理。HTTP 和 HTTPS 通过 Web 浏览器提供基于 UI 的管理。可运行所有四个协议,也可一个协议都不运行。禁用上述所有选项后,仍可选择串行控制台。
出于安全考虑,建议禁用 Telnet 和 HTTP,并启用 SSH 和 HTTPS。Telnet 和 HTTP 通过纯文本传输数据包,这意味着如果一个人正在捕获流量,他们可以在管理交换机时读取通过交换机推送的所有功能命令。SSH 和 HTTPS 对流量进行加密,从而增强了数据包安全性。
要启用 SSH 和 HTTPS,请输入以下命令。SSH 和 HTTPS 需要生成 DSA 和 RSA 密钥。HTTPS 需要创建证书。
console(config)# crypto key generate dsa console(config)# crypto key generate rsa console(config)# ip ssh server console(config)# crypto certificate 1 generate console(config-crypto-cert)# key-generate console(config-crypto-cert)# exit console(config)# ip http secure-server
要禁用 Telnet 和 HTTP,请输入以下命令:
console(config)# ip telnet server disable console(config)# no ip http server
当对配置感到满意时,必须保存它,以便在交换机重新启动时保持配置。输入以下命令以保存配置:
console# write memory This operation may take a few minutes. Management interfaces will not be available during this time. Are you sure you want to save? (y/n) y