9.企业网络模型介绍
远程管理设备
设备一般会放在数据中心或者机房,如果都是通过console接口来配置,很不方便,所以,在生产环境中,设备一般都是远程管理,可以是命令行,也可以是web图形界面。如果是使用命令行来管理设备,使用的telnet或者SSH协议,如果使用web图形界面,使用的 http或者https协议。为了安全,一般都是使用SSH或HTTPS这些加密的协议。
Telnet提供了一个交互式操作界面,允许终端远程登录到任何可以充当Telnet服务器的设备。Telnet用户可以像通过Console口本地登录一样对设备进行操作。远端Telnet服务器和终端之间无需直连,只需保证两者之间可以互相通信即可。通过使用Telnet,用户可以方便的实现对设备进行远程管理和维护。
Telnet以客户端/服务器模式运行。Telnet基于TCP协议,服务器端口号默认是23,服务器通过该端口与客户端建立Telnet连接。
在配置Telnet登录用户界面时,必须配置认证方式,否则用户无法成功登录设备。
Telnet认证有两种模式:AAA模式,密码模式。
1. 当配置用户界面的认证方式为AAA时,用户登录设备时需要首先输入登录用户名和密码才能登录。
2. 当配置用户界面的认证方式为password时,用户登录设备时需要首先输入登录密码才能登录。
VTY(Virtual Type Terminal)是网络设备用来管理和监控通过Telnet方式登录的用户的界面。网络设备为每个Telnet用户分配一个VTY界面。缺省情况下,ARG3系列路由器支持的Telnet用户最大数目为5个,VTY0 4的含义是VTY0,VTY1,VTY2,VTY3,VTY4。
如果需要增加Telnet用户的登录数量,可以使用user-interface maximum-vty命令来调整
VTY界面的数量。
实验拓扑:
配置密码验证方式登录: 1、服务器配置:
[server]user-interface vty 0 4
[server-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei123
[server-ui-vty0-4]user privilege level 15 (默认为0级别)
2、客户端配置:
打开计算机cmd命令行:
C:\Users\liqingru>telnet 192.168.154.100
也可以使用Xshell
配置AAA验证方式登录:首先配置登录方式:
[server]user-interface vty 0 4
[server-ui-vty0-4]authentication-mode aaa
然后配置AAA,添加用户并授权
[server]aaa
[server-aaa]local-user lisi password cipher huawei123 Info: Add a new user.
[server-aaa]local-user lisi service-type telnet
[server-aaa]local-user lisi privilege level 15
客户端使用Xshell登录:
因为telnet是明文传输,所以不安全,不建议在公共网络中使用,我们可以选择加密的 SSH协议。SSH协议使用TCP的22号端口。
配置AAA验证方式的SSH登录:首先配置登录方式及进入协议:
[server]user-interface vty 0 4
[server-ui-vty0-4]authentication-mode aaa
[server-ui-vty0-4]protocol inbound ssh 然后配置AAA,添加用户并授权
[server]aaa
[server-aaa]local-user zhangsan password cipher huawei123
[server-aaa]local-user zhangsan service-type ssh [server-aaa]local-user zhangsan privilege level 15 开启SSH服务并设置SSH用户及验证方式:
[server]stelnet server enable
Info: Succeeded in starting the STELNET server.
[server]ssh user zhangsan authentication-type password 客户端登录:使用Xshell登录
配置DHCP
在大型企业网络中,一般会有大量的主机等终端设备。每个终端都需要配置IP地址等网络参数才能接入网络。在小型网络中,终端数量很少,可以手动配置IP地址。但是在大中型
网络中,终端数量很多,手动配置IP地址工作量大,而且配置时容易导致IP地址冲突等错
误。DHCP(Dynamic Host Configuration Protocol)可以为网络终端动态分配IP地址,解决了手工配置IP地址时的各种问题。
DHCP工作过程:
1. DHCP客户端初次接入网络时,会发送DHCP发现报文(DHCP Discover),用于查找和定位DHCP服务器。
2. DHCP服务器在收到DHCP发现报文后,发送DHCP提供报文(DHCP Offer),此报文中包含IP地址等配置信息。
3. 在DHCP客户端收到服务器发送的DHCP提供报文后,会发送DHCP请求报文(DHCP
Request),另外在DHCP客户端获取IP地址并重启后,同样也会发送DHCP请求报文,用于确认分配的IP地址等配置信息。DHCP客户端获取的IP地址租期快要到期时,也发送
DHCP请求报文向服务器申请延长IP地址租期。
4. 收到DHCP客户端发送的DHCP请求报文后,DHCP服务器会回复DHCP确认报文
(DHCP ACK)。客户端收到DHCP确认报文后,会将获取的IP地址等信息进行配置和使用。
5. 如果DHCP服务器收到DHCP-REQUEST报文后,没有找到相应的租约记录,则发送
DHCP-NAK报文作为应答,告知DHCP客户端无法分配合适IP地址。
6. DHCP客户端通过发送DHCP释放报文(DHCP Release)来释放IP地址。收到DHCP释放报文后,DHCP服务器可以把该IP地址分配给其他DHCP客户端。
申请到IP地址后,DHCP客户端中会保存三个定时器,分别用来控制租期更新,租期重绑定和租期失效。DHCP服务器为DHCP客户端分配IP地址时会指定三个定时器的值。如果 DHCP服务器没有指定定时器的值,DHCP客户端会使用缺省值,缺省租期为1天。默认情况下,还剩下50%的租期时,DHCP客户端开始租约更新过程,DHCP客户端向分配IP地址的服务器发送DHCP请求报文来申请延长IP地址的租期。DHCP服务器向客户端发送DHCP 确认报文,给予DHCP客户端一个新的租期。
DHCP客户端发送DHCP请求报文续租时,如果DHCP客户端没有收到DHCP服务器的
DHCP应答报文。默认情况下,重绑定定时器在租期剩余12.5%的时候超时,超时后,
DHCP客户端会认为原DHCP服务器不可用,开始重新发送DHCP请求报文。网络上任何一台DHCP服务器都可以应答DHCP确认或DHCP非确认报文。如果收到DHCP确认报文,
DHCP客户端重新进入绑定状态,复位租期更新定时器和重绑定定时器。如果收到DHCP非确认报文,DHCP客户端进入初始化状态。此时,DHCP客户端必须立刻停止使用现有IP地址,重新申请IP地址。
租期定时器是地址失效进程中的最后一个定时器,超时时间为IP地址的租期时间。如果 DHCP客户端在租期失效定时器超时前没有收到服务器的任何回应,DHCP客户端必须立刻停止使用现有IP地址,发送DHCP Release报文,并进入初始化状态。然后,DHCP客户端重新发送DHCP发现报文,申请IP地址。
ARG3系列路由器和X7系列交换机都可以作为DHCP服务器,为主机等设备分配IP地址。DHCP服务器的地址池是用来定义分配给主机的IP地址范围,有两种形式。
1. 接口地址池为连接到同一网段的主机或终端分配IP地址。可以在服务器的接口下执行dhcp select interface命令,配置DHCP服务器采用接口地址池的DHCP服务器模式为客户端分配IP地址。
2. 全局地址池为所有连接到DHCP服务器的终端分配IP地址。可以在服务器的接口下执行dhcp select global命令,配置DHCP服务器采用全局地址池的DHCP服务器模式为客户端分配IP地址。
接口地址池的优先级比全局地址池高。配置了全局地址池后,如果又在接口上配置了地址池,客户端将会从接口地址池中获取IP地址。在X7系列交换机上,只能在VLANIF逻辑接口上配置接口地址池。配置DHCP接口地址池:
dhcp enable命令用来使能DHCP功能。在配置DHCP服务器时,必须先执行dhcp enable 命令,才能配置DHCP的其他功能并生效。
dhcp select interface命令用来关联接口和接口地址池,为连接到接口的主机提供配置信息。在本示例中,接口GigabitEthernet 0/0/0被加入接口地址池中。 dhcp server dns-list命令用来指定接口地址池下的DNS服务器地址。
dhcp server excluded-ip-address命令用来配置接口地址池中不参与自动分配的IP地址范围。
dhcp server lease命令用来配置DHCP服务器接口地址池中IP地址的租用有效期限功能。缺省情况下,接口地址池中IP地址的租用有效期限为1天验证配置信息:使用display ip pool命令
配置DHCP全局地址池:
ip pool命令用来创建全局地址池。
network命令用来配置全局地址池下可分配的网段地址。
gateway-list命令用来配置DHCP服务器全局地址池的出口网关地址。
lease命令用来配置DHCP全局地址池下的地址租期。缺省情况下,IP地址租期是1天。
dhcp select global命令用来使能接口的DHCP服务器功能。
- 原文作者:老鱼干🦈
- 原文链接://www.tinyfish.top:80/post/network/9.%E8%BF%9C%E7%A8%8B%E7%AE%A1%E7%90%86%E8%AE%BE%E5%A4%87/
- 版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议. 进行许可,非商业转载请注明出处(作者,原文链接),商业转载请联系作者获得授权。