目前远程维护交换机基本上用 SSH,现场才插 Console,那会儿把设备第一次上好电、改好管理 IP、建好账号之后,后续就不用挨个跑现场了。Telnet 在我目前环境里几乎只给内网老设备留着,外网和重大网段一律禁掉。说这么直白,是想把结论先放出来,下面按时间线倒着把整个流程和细节说清楚,方便你遇到同样问题能照着走。
现状和做法先交代清楚:生产环境里,日常维护走 SSH,命令行通过 SecureCRT、PuTTY 之类的 SSH 客户端连入。会话选 SSH2,输 IP、用户名、密码就上。设备那边必须先把 SSH 服务开了,生成密钥,配置 vty 只接受 ssh,这些配置都在设备的配置界面下完成并保存。平时如果要改策略、调端口、看日志,远端就能搞定;碰到设备死机、密码忘了或者需要做底层恢复,才走 Console 线去现场处理。Telnet 用得少,主要留在某些老旧子网或者测试环境,由于它传输是明文的,安全性比不上 SSH。
回溯到 SSH 是怎么配上的,这一步在整个流程中处于中后段,但技术要点不复杂。以锐捷交换机为例,操作顺序一般是:先在 Console 上登录进去(这一步是前提),然后在全局配置模式里开启 SSH 服务,生成密钥,设置 vty 行只允许 SSH 登录,建本地用户和特权密码,最后保存配置。典型的命令序列像这样:
Ruijie(config)#enable service ssh-server
Ruijie(config)#crypto key generate dsa
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login local
Ruijie(config-line)#transport input ssh
Ruijie(config-line)#end
Ruijie(config)#username password
Ruijie(config)#enable password
Ruijie#write
这些命令要按顺序做,生成密钥那步有时候需要一点时间,设备会提示完成。如果设备型号不同,关键命令词可能有差别,但核心是:开启 SSH 服务、生成密钥、限制 vty 接口只接受 ssh、建立本地账号、写入配置并保存。安全方面,用户名和密码请用复杂点的组合,关键场景下思考开启密钥认证或限制允许登录的管理网段,别让 SSH 成为新的攻击入口。
在启用 SSH 之后,具体登录的客户端配置也别忘记。常见做法是用 SecureCRT 建立一个会话,协议选 SSH2,Host 填设备管理 IP,Port 默认 22,然后连接时会提示输入用户名和密码。如果你用密钥认证,要在客户端导入私钥,并在设备上配置对应的公钥。设备端的密钥或口令一旦修改,记得把连接信息也更新,避免连不上。
在 SSH 之前,或者当你想保守但便捷地远程登录时,有人会用 Telnet。Telnet 的好处是简单,老系统、测试网和一些管理性不强的内部网仍在用。配置过程也比较直观:开启 telnet-server,设置 vty 行允许 telnet 登录,建本地账户和启用特权密码,最后保存。锐捷上典型命令列如:
Ruijie(config)#enable service telnet-server
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login local
Ruijie(config-line)#exit
Ruijie(config)#username password
Ruijie(config)#enable password
Ruijie#write
然后在本地用 CMD 输入 telnet <交换机IP> 即可按提示输入账号密码登录。要提醒的是,Telnet 会把账号密码和命令都以明文在网络中传输,如果你的管理链路可能被监听,就别用 Telnet。把它限定在受控的内网里面,配合强密码或访问控制列表会好一点。
再往前追根溯源,就是 Console 登录,那是每台交换机的“第一次见面礼”。Console 登录需要物理线:一端插设备的 Console 口,另一端接电脑,常见是 USB 转串口线以应对现代电脑没有串口的情况。连上后要在电脑上启动终端软件,列如 SecureCRT、超级终端或 PuTTY,选择 Serial(串口)连接,关键串口参数一般是 9600 波特率、8 数据位、1 停止位、无奇偶校验,也就是常说的 9600 8N1。有时候设备出厂默认不是 9600,或者厂家手册写了别的值,碰到无输出先核对下这几个参数。连接后一上电就能看到启动日志和命令行,没看到输出有几种可能:线没接好、接口选择错了、串口驱动没装、或者设备没上电。排查顺序别乱,用另外一台确定线没问题,再看电脑设备管理器里 COM 口号对不对,驱动问题目前常见于 USB 转串口的芯片驱动不兼容,装个通用驱动一般能解决。
Console 用场景很明确:新设备首次配置、设备密码忘了要恢复、远程无法连上只好现场排障、或者要进入引导模式修改启动参数。它的优点是稳定可靠,不受网络影响,能操作底层设置;缺点也明显,得有人在现场挨着机器动手,效率和便捷性差不少。说句老实话,有时一趟现场就是半天的事,不光是接线,还有公司安保、机房审批这些琐碎流程。
在实际项目里,工作流程一般像条时间线:先把新交换机接到机房、Console 登录做基础配置(设管理 IP、路由、走向、管理员账号、开 telnet/ssh 之类),确认能通过网管系统 ping 通后,把远程登录方式调好并保存。接下来日常维护就通过 SSH 远程执行配置或查看运行状态。如果哪天远端连不上,先测网络通达性、ACL、再看 SSH 服务是不是被误改,必要时再去现场用 Console 检查登录和系统状态。项目经验告知我,先把管理链路和访问策略弄稳,后面维护就顺手多了。
操作中的一些实用小技巧也一并说下:用 Console 时,确认终端软件的 Flow Control(流控制)设为 None,许多情况下如果设成硬件流控会导致无输出;如果设备没响应,试试重启设备并观察启动信息,看是否卡在某个引导阶段;做完关键配置后必定记得写配置到启动文件,锐捷上用 write,避免断电后配置丢失。远程做 SSH 管理时,思考把管理口和用户网隔开,给管理网段做 ACL 控制,只允许特定跳板机访问交换机,能降低被非法扫描和爆破的风险。还有,密码策略要严格,启用密钥认证和定期更换密码可以进一步增强安全。
遇到问题的排查顺序也有套路:远程连不上先 ping 管理 IP,看网络是否通;如果网络通但 SSH 无响应,确认服务是否开启、vty 配置是否限制了协议、ACL 有没有误阻;若连不上又看不到日志,去现场用 Console 检查配置文件和系统日志;在必要时把设备恢复到出厂或通过备份配置回滚。平常工作里多备份配置文件,多留一个能直接登录的本地账号,省得真到关键时刻手忙脚乱。
说点个人小感想:工具和方法不是神仙,都是为工作服务的。把基本流程走熟了,再去琢磨安全和自动化,会省不少事。明天早上八点,陈工继续出摊,聊点更实在的命令和操作技巧。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
