设置管理IP地址
不使用串行连接时,要管理交换机,需要可访问的IP地址。要设置IP地址,请输入以下命令。
此示例使用VLAN 1、默认VLAN和IP 192.168.0.250 /24。
console>enable
console#configure
console(config)#interface vlan 1
console(config-if)#ip address 192.168.0.250 255.255.255.0
注:在N3000和N4000交换机上,有一个带外端口可用于管理交换机。
下面是同一示例,但使用带外(OOB)接口。
console(config)#interface out-of-band
console(config-if)#ip address 192.168.0.250 255.255.255.0
如果可用,建议使用OOB接口管理交换机。OOB接口独立于硅开关,
直接到达CPU。如果生产网络出现问题,仍可通过OOB接口访问交换机。
注:将OOB接口插入独立管理网络,不要将其插回到交换机上的入站端口。
使用VLAN管理网络时,建议创建独立VLAN专用于管理。
这会将管理流量与数据流量分离。这不仅有助于提高性能,也可提高一点安全性。
您可以通过任何可达VLAN IP地址管理交换机。
如果从外部网络管理交换机,则必须为交换机分配一个默认网关,用于访问其它网络。
以下命令使用192.168.0.1作为默认网关地址。
console(config)#ip default-gateway 192.168.0.1
设置交换机上的登录访问
要管理交换机,您需要用户名和密码。要通过telnet或SSH管理交换机,则有一个启用密码是最佳做法。输入以下命令以配置登录访问。这是一个用户名为Dell,密码为MYPASSWORD的示例。启用密码示例使用ENP@$$w0rd。这只是示例,您应使用更复杂、很难猜测的凭据来保护您的交换机安全。
console>enable
console#configure
console(config)#username Dell password MYPASSWORD privilege 15
console(config)#enable password ENP@$$w0rd
注:您可在交换机上设置多个用户,以及不同的访问级别/访问权限级别。0为无访问权限,1为只读,15为读写。
选择Telnet、HTTP、SSH或HTTPS用于管理
默认允许的管理协议为Telnet和HTTP。Telnet和SSH通过Putty或Terraterm等工具提供基于命令行的管理。
HTTP和HTTPS通过Web浏览器提供基于GUI的管理。可运行所有四个协议,也可一个协议都不运行。如果全部被禁用,则可用的最后一个管理是串行。
出于安全目的,建议关闭Telnet和HTTP,并启用SSH和/或HTTPS。Telnet和HTTP以纯文本形式传输数据包,
意味着如果某人捕获流量,他可以在管理时读取通过交换机推送的所有函数命令。SSH和HTTPS加密数据包,增强数据包安全。
要启用SSH和HTTPS,输入以下命令。SSH和HTTPS要求您生成DSA和RSA密钥。HTTPS要求您创建证书。
console(config)#crypto key generate dsa
console(config)#crypto key generate rsa
console(config)#ip ssh server
console(config)#crypto certificate 1 generate
console(config-crypto-cert)#key-generate
console(config-crypto-cert)#exit
console(config)#ip http secure-server
要禁用Telnet和HTTPS,输入以下命令。
在通过HTTPS、SSH或串行连接管理交换机时,需要运行这些设置,因为禁用此服务将断开交换机的连接。
console(config)#ip telnet server disable
console(config)#no ip http server
保存配置
对配置满意后,必须保存它,这样在交换机重新引导时,会保留其配置。输入以下命令保存配置。
console#wr
此操作可能需要几分钟时间。
管理接口将在这段时间内不可用。
是否确定要保存?(y/n) y
注:有关配置特定管理选项的更多详细信息,请参阅《用户配置指南》和《CLI参考指南》。