任务二对交换机进行远程的管理（管理IP）

任务二对交换机进行远程的管理（管理IP）
任务环境
在一间有100台二层交换机的企业网中，管理员为了管理的方便，利用一台管理工作站就可以对这些交换机的实时监控与管理，实现统一远程管理，在TCP/IP网络中，因为设备之间的通信是通过IP地址来进行的，要实现管理工作站与各台交换机之间的通信，必须对每一台交换机配置管理IP。

作为一名交换机管理人员必须掌握配置的操作方法。

一、预备知识
在一个具有较多二层交换机的企业网中，如果每台交换机都要在现场使用专用配置线通过cosole口进行登录，则这样的工作量是很大的。

在TCP/IP网络中，为了实现交换机管理人员能够对交换机进行远程管理，就必须对交换机配置IP地址，管理人员可以利用这个IP地址登录与管理交换机，这个被用来管理交换机的IP就叫管理IP。

在二层和三层交换机中，管理IP是不同配置的。

因为二层交换机的端口是工作在第二层（数据链路层）的，不可以对端口配置IP地址，并且只可以在二层交换机上配置一个IP地址。

二层交换机有了管理IP之后，管理人员通过管理IP登录交换机的方式就有3种：
1.TELNET方式。

2.使用HTTP协议的WEB方式。

3.使用SNMP协议的网络管理软件。

对于二层交换机来说，这个IP是通过对交换机的交换虚拟接口（SVI）进行配置的，SVI(Switch virtual interface)是和某个VLAN 关联的IP 接口。

每个SVI 只能和一个VLAN 关联，如果SVI 是本交换机的管理接口，那么通过该接口交换机管理人员就可以管理该交换机。

可以通过interface vlan 接口配置命令来创建SVI，然后给SVI 分配IP 地址。

SVI的端口状态用no shutdown 命令来开启，用shutdown来关闭。

因为交换机中的vlan 1是默认的，并且所有端口默认状态下都是属于vlan1的。

所以在刚始实验时，我们一般对interface vlan 1的SVI口配置管理IP。

二、任务内容
对交换机的管理IP进行配置与测试
三、任务目的
1.理解管理IP的作用。

2.理解对交换机进行配置的多种方式，在此以telnet方式来对管理IP进行
验证。

3.理解二层交换机为什么只有一个属于三层的IP地址。

四、任务设备和拓朴
图1-10 管理IP实验拓朴图
五、任务步骤
1.按照拓朴图，连接好电脑与交换机。

2.设置好二台电脑的IP地址。

3.在其中的任一台电脑上，打开“超级终端”。

4.通过“超级终端”登录到交换机后，进行如下配置：
s2126s(config)#enable //进入特权用户配置模式，可以简写en
s2126s(config)#config terminal //进入全局配置模式,可以简写conf t
s2126s(config)#enable secret level 1 0 test1 //设置普通用户密码为test1
s2126s(config)#enable secret level 15 0 test1 //设置特权用户密码为test1
s2126s(config)#enable services telnet-server //启用这台交换机上的telnet服务s2126s(config)#int vlan 1 //进入VLAN1接口配置模式
s2126s(config-if)#ip add 192.168.1.1 255.255.255.0 //配置管理IP地址
s2126s(config-if)#no shut //开启这个VLAN1接口
s2126s(config-if)#exit //从接口配置模式返回到全模式。

六、测试结果
1、telnet方式：
在这二台电脑上，通过telnet 192.168.1.1 命令就可以登录这台交换机，如下图：输入普通用户密码和特权用户密码后就可以象在“超级终端”中配置一样了。

图1-11 telnet方式登录交换机
2、WEB方式：
使用WEB方式进行登录时，必须启动该交换机的HTTP服务。

该服务的启动命令如下：
s2126s(config)#enable services http-server //启用这台交换机上的telnet服务然后在PC机上，启动IE，在IE中输入管理IP。

打开如下图：
图1-12 WEB方式登录交换机
WebCLI通过HTML静态网页实现对交换机的管理。

它通过两种方式联合提供完整的CLI命令：
（1) 它提供了各个CLI级别的链接。

点击链接,将出现授权对话框,输入这个级别的CLI用户名和密码，将进入该级别的WebCLI管理界面。

图1-13 level 15的界面
（2) 进入到某级别的WebCLI管理界面后(如上图所示),上面有级别,模式,命令和结果四个信息栏。

可以在输入框中输入任意的CLI命令,点击”Command”按钮,将向交换机发出该CLI命令，命令执行后的结果将显示在下面的级别,模式,命令和结果信息栏中。

七、注意事项
1. 在上面的配置中，因为使用的SVI口是Internet vlan 1，所以这些PC机必须属于VLAN 1。

2. 二台PC机的IP必须与VLAN1的SVI接口的IP同属于一个子网，如果不在同一个子网就要通过三层设备，并且还要在交换机上设置默认网关。

如果该IP子网的网关是192.168.1.1，则设置该交换机默认网关的命令如下：s2126s(config)#ip default-gateway 192.168.1.1
3. 必须设置普通用户和特权用户密码，否则使用telnet时，因为交换机没有设置密码而导致不能登录。

没有设置普通户密码登录时，不能登录。

如下图：
图1-14 没有普通密码不能远程登录
设置了普通用户密码，但没有设置特权用户密码，可以登录，但不能正确的配置交换机，如下图：
图1-15 没有特权密码不能配置交换机
4. 必须启动交换机上的telnet服务，默认情况下，因为安全考虑，这个服务是关闭的。

没有启动telnet服务，登录时如下图：
图1-16 交换机没有启动telnet服务
八、练习与思考
可不可以把管理IP配置到其他vlan的SVI口，如果要配置到其他vlan的SVI口，比如：vlan 200的SVI口，应该如何配置？要注意哪些事项？请写出配置步骤与命令，并且验证成功。

原来管理IP属于vlan 1时的交换机配置信息如下：
Switch#sh run
System software version : 1.66(8) Build Dec 22 2006 Rel
Building configuration...
Current configuration : 213 bytes
!
version 1.0
!
hostname Switch
vlan 1
!
no logging console
enable secret level 1 5 %4G1X)sv4qH.Y*T7UC,tZ[V/3D+S(\W&
enable secret level 15 5 %4G1X)sv4qH.Y*T7UC,tZ[V/3D+S(\W&
!
interface vlan 1
no shutdown
ip address 192.168.1.1 255.255.255.0
!
end
如果要想把管理IP划分到vlan 200的SVI口，则必须先建立vlan 200，并且必须把准备远程管理交换机的PC机加入到vlan 200，同时也要配置int vlan 200端口的IP，不要忘记要开启该SVI口。

Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 200
Switch(config-vlan)#exit
Switch(config)#int vlan 200
Switch(config-if)#ip add 192.168.2.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#int fa0/13 //管理PC机所连接的端口号
Switch(config-if)#switchport access vlan 200
Switch(config-if)#exit。