配置公司网络设备远程管理方案

学习目标

·了解Telnet和SSH远程管理的概念与原理

·熟练掌握交换机Telnet和SSH的配置

任务引言

网络设备远程管理方式有多种，主要的有Telnet和SSH远程访问等。其中，SSH是远程管理最重要的方式，是网络远程登录服务标准协议和主要方式，可以从一台设备登录到另一台设备。对设置距离较远或不方便配置的设备有很大的帮助。Telnet是一种不安全的协议，因此密码会以明文的形式在网络上传递，任何嗅探流量的人都可以清晰地看到它。所以，SSH才是远程管理的首选。

知识引入

Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用Telnet程序，用它连接到服务器。终端使用者可以在Telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。在本地就能控制服务器。要开始一个Telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

使用Telnet协议进行远程登录时，需要满足以下条件:在本地计算机上必须装有包含Telnet协议的客户程序；必须知道远程主机的IP地址或域名；必须知道登录标识与口令。

Telnet远程登录服务分为以下4个过程:

①本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的IP地址或域名。

②将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT(Net Virtual Terminal)格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据包。

③将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果。

④最后，本地终端对远程主机进行撤销连接。该过程是撤销一个TCP连接。

SSH协议框架中最主要的部分是三个协议:传输层协议、用户认证协议和连接协议。同时，SSH协议框架中还为许多高层的网络安全应用协议提供扩展的支持。它们之间的层次关系如图3－5－1所示。

图3－5－1　SSH协议的层次结构示意图

在SSH的协议框架中，传输层协议(The Transport Layer Protocol)提供服务器认证、数据机密性、信息完整性等的支持；用户认证协议(The User Authentication Protocol)则为服务器提供客户端的身份鉴别；连接协议(The Connection Protocol)将加密的信息隧道复用成若干个逻辑通道，提供给更高层的应用协议使用；各种高层应用协议可以相对地独立于SSH基本体系之外，并依靠这个基本框架，通过连接协议使用SSH的安全机制。

SSH的工作方式是利用客户端－服务器模型来对两个远程系统进行身份验证，并对在它们之间传递的数据进行加密，如图3－5－2所示。

图3－5－2　SSH连接建立

SSH默认情况下在TCP端口22上运行(尽管可以根据需要更改)。主机(服务器)在端口22(或任何其他SSH分配的端口)上侦听传入的连接。如果验证成功，它将通过对客户端进行身份验证并打开正确的外壳环境来组织安全连接。

客户端必须通过与服务器启动TCP握手，确保安全的对称连接，验证服务器显示的身份是否与以前的记录(通常记录在RSA密钥存储文件中)匹配，并提供所需的用户凭据来开始SSH连接。验证连接。

建立连接有两个阶段:首先，两个系统都必须同意加密标准，以保护将来的通信；其次，用户必须对自己进行身份验证。如果凭据匹配，则授予用户访问权限。

SSH Version 1中，服务器端单纯地接受来自客户端的private key，如果在连接过程中取得private key后，攻击者就可能在既有的连接中插入一些攻击码，使得连接发生问题。

为了改进这个缺点，在SSH Version 2中，SSH服务器端不再重复产生server key，而是在与客户端搭建private key时，利用Diffie－Hellman的演算方式，共同确认来搭建private key，然后将该private key与public key组成一组加解密的金钥。同样，这组金钥也仅是在本次连接中有效。

通过这个机制可见，由于服务器端/客户端两者之间共同搭建了private key，若private key落入别人手中，由于服务器端还会确认连接的一致性，使攻击者没有机会插入有问题的攻击码，所以SSH Version 2是比较安全的。

工作任务——Telnet配置

【工作任务背景】

企业A总公司主要由3栋建筑物组成:建筑物A，放置网络设备，有交换机AccessSw1及各功能部门；建筑物B与建筑物C，分别放置交换机AccessSw2和AccessSw3。完成基础配置后，如果要更改配置，就需要到各个建筑物间去修改，非常不方便。于是公司决定在各交换机中配置Telnet服务，以便于网络设备的管理。拓扑图如图3－5－3所示。

图3－5－3　Telnet配置

【工作任务分析】

根据表3－5－1配置交换机管理IP地址，并为所有设备启用远程Telnet管理。配置成功后，则可以在PC1上通过Telnet远程登录到所有的交换机。

表3－5－1　交换机IP地址

【任务实现】

1.初始化设置，在所有网络设备上设置管理IP地址。

2.为所有交换机设置Telnet连接许可，允许通过VTY 0～4接口进行登录。创建本地用户“admin”，密码为“P＠ssw0rd123”。

3.配置PC1的主机IP地址，如图3－5－4所示。

4.在PC1上运行PuTTY软件，选择使用Telnet协议进行连接。测试交换机AccessSw1的Telnet登录。输入服务器地址192.168.99.251。连接成功后，提示输入用户名和登录口令即可登录。登录成功后，执行“show privilege”指令查看当前用户界面的管理等级，如图3－5－5所示。

图3－5－4　配置主机IP地址

图3－5－5　Telnet远程管理登录界面

工作任务——SSH配置

【工作任务背景】

使用Telnet协议远程控制网络设备时，其传输的数据和登录口令都是以明文的形式传输的，因此网络攻击者很容易得到用户的登录口令和数据。SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH协议是加密协议，用户窃取到的数据都是经过加密处理的密文，无法查看真正的数据。企业A总公司的网络设备已经部署了远程管理Telnet服务，综合考虑，于是公司决定在各交换机中替换原有的Telnet，配置SSH服务，以便于网络设备的安全管理。

【工作任务分析】

根据表3－5－2配置交换机管理IP地址，并为所有设备启用远程SSH管理。配置成功后，则可以在PC1上通过SSH远程登录到所有的交换机。

表3－5－2　交换机IP地址

【任务实现】

1.初始化设置，在所有网络设备上设置管理IP地址。

2.在交换机上启用SSH服务，首先需要创建SSH服务所需的密码。要创建密码，需要更改设备的主机名和域名。密码创建成功后，在交换机的VTY接口处设置SSH接入许可，最后创建SSH登录用户凭据。

3.配置PC1主机的IP地址，如图3－5－6所示。

4.在PC1上运行PuTTY软件，选择使用SSH协议进行连接。测试交换机AccessSw1的SSH登录。输入服务器地址“192.168.99.251”。首次连接会提示密钥信任信息，如图3－5－7所示。连接成功后，提示输入用户名和登录口令即可登录。登录成功后，执行“show privilege”指令查看当前用户界面的管理等级，如图3－5－8所示。

图3－5－6　配置主机IP地址

图3－5－7　提示SSH密钥信任

图3－5－8　SSH远程管理登录界面

问题探究

1.在Telnet和SSH配置中，用户名或密码的长度要求是什么。

2.如何删除Telnet和SSH配置?

3.如何为不同的Telnet和SSH用户授予不同的登录权限?

知识拓展(www.xing528.com)

为Telnet和SSH用户设置加密密码:

项目拓展

1.公司使用三台交换机作为核心交换机，请利用Telnet和SSH技术进行配置。详情见表3－5－3。

表3－5－3　交换机信息

2.配置一台交换机Telnet/SSH服务，要求密码为加密存储。

3.使用一台Windows Server安装NPS服务，为Telnet和SSH远程登录提供用户身份验证。

子任务六　公司内部访问限制

学习目标

·了解标准访问控制列表的概念

·掌握标准控制列表的配置方法

任务引言

在公司内部，有些部门是不允许其他部门访问的，如果做物理隔离，则被保护的部门对局域网的访问也会被限制。可以通过通信手段去限制，其中标准访问控制列表是重要的手段。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过交换机或路由器的出口。

知识引入

1.访问列表概述。

访问控制列表(Access Control，ACL)由匹配条件和采取的动作(允许或禁止)的语句组成。在对应的网络设备的接口中应用访问控制列表，则通过匹配数据包信息与访问表参数来决定允许数据包是通过还是拒绝。访问控制列表判断数据包的依据是源地址、目的地址、源端口、目的端口和协议等。

访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等。同时，ACL也是网络访问控制的基本安全手段。

2.访问列表类型。

访问列表可分为标准IP访问列表和扩展IP访问列表。

标准访问列表:其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问列表:它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3.ACL的相关特性。

每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL，并且每个方向上只能应用一个ACL。

ACL语句包括两个动作:一个是拒绝(deny)，即拒绝数据包通过，过滤掉数据包；一个是允许(permit)，即允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的ACL起作用。

在路由选择进行以后，应用在接口离开方向的ACL起作用。

每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。

工作任务——部门网络对外访问限制

【工作任务背景】

图3－6－1　公司网络拓扑图

企业A技术研究部的数据很重要，保密级别非常高。公司要求对该部门进行逻辑隔离，即在不影响其他部门通信的情况下，该部门的计算机不能被其他部门访问。实验拓扑图如图3－6－1所示。

【工作任务分析】

将PC1接入技术研发部，即交换机AccessSw1 VLAN30的端口，PC2为测试计算机，可以接到交换机的任何一个VLAN。按照总公司网络完成连线，当配置成功后，如果PC2在VLAN30和VLAN10的端口，PC2能ping通PC1；否则，PC2 ping不通PC1。更详细的参数要求参见表3－6－1。测试结果对照，参见表3－6－2。

表3－6－1　部门网络信息

表3－6－2　部门网络信息

在配置标准访问控制列表前，无论PC2接到哪个VLAN，都能ping通PC1，但配置相应ACL后，则除VLAN10和VLAN30外，PC2都ping不通PC1。

【任务实现】

1.在测试客户端上执行“netsh firewall set icmp 8 enable”放行ICMP访问，并进行初步测试。测试显示，当前网络设备未配置访问控制列表，主机之间是可以互通的，如图3－6－2和图3－6－3所示。

图3－6－2　PC1允许ICMP访问

图3－6－3　PC2 ping PC1

2.在CenterSw1网关设备上配置访问控制列表，仅允许192.168.30.0/24和192.168.10.0/24访问。

3.创建成功的ACL规则必须应用到指定的接口才能生效。

4.把客户端接入Fa0/5，把IP地址更改为“192.168.20.101”，ping PC1进行测试。如图3－6－4所示，网络无法ping通。

图3－6－4　测试PC1的连通性

5.把客户端接入Fa0/1，把IP地址更改为“192.168.10.101”，ping PC1进行测试。如图3－6－5所示，可以ping通PC1。

图3－6－5　测试PC1的连通性

6.当PC2位于不同的接口时，设置对应的IP地址进行测试。结果对比参见表3－6－3。

表3－6－3　测试结果对比

问题探究

1.能否将标准ACL绑定到其他VLAN的端口?为什么?

2.简述标准ACL的具体应用。

知识拓展

配置数字和命名标准访问控制列表。

说明:num为数字。应用举例:

项目拓展

请利用所学知识限制分公司销售部、市场调研部和行政部对财务部的访问，详细要求参见表3－6－4。

表3－6－4　部门VLAN信息