交换与路由技术课件 第10章 设备管理与维护

第10章设备管理与维护01设备发现02设备管理03设备维护CONTENT目录04项目实验设备发现01概述-网络设备发现的功能网络设备发现的重要性-定义:网络设备发现是识别和映射网络基础架构中存在的设备和接口的过程，是网络管理的第一步，也是成功监控解决方案的关键。网络设备发现的主要功能发现有效设备:

-确保网络中新增设备的IP地址有效，避免无效IP地址带来的安全风险，如未经授权的访问或威胁。检查端口:

-通过映射网络中的端口，识别并关闭未使用的开放端口，以防止潜在的安全漏洞和入侵者绕过安全系统。获得深入的可见性:

-提供对网络拓扑的全面了解，包括设备的存在、连接方式及交互方式。概述-网络设备发现如何工作网络设备发现流程1.发送请求:使用工具发送广播、多播或单播请求与设备通信。2.捕获响应:设备响应请求，工具捕获并记录这些响应。3.解析分析:提取设备信息（如IP地址、MAC地址），并进行识别和分析。4.构建清单:生成设备清单，记录设备属性（名称、型号、位置等）。5.进一步探测:使用其他协议或命令（如SSH、Ping）进行更深入的识别。常用协议与工具-协议:ARP,CDP,LLDP,SNMP-工具:SolarWinds,Nmap,OpenNMS基于LLDP的设备发现1.LLDP协议定义-LLDP（LinkLayerDiscoveryProtocol）:-准的链路层发现协议，定义于IEEE802.1ab。用于网络管理系统查询和判断链路通信状况。-作用:-补充传统网络管理系统的不足，提供详细的二层网络拓扑信息。-通过LLDP，本地设备可组织并发布信息给远端设备，并将远端信息以标准MIB格式保存。基于LLDP的设备发现2.LLDP基本实现原理（1）.工作原理:-启动:LLDP在设备上启动，使设备能够发送和接收LLDP数据单元（LLDPDUs）。-发送与接收:设备定期发送LLDPDUs到相邻设备，并接收来自相邻设备的LLDPDUs。-LLDPDU格式:包含设备标识、端口信息、系统能力及邻居设备信息。-信息广播与传递:LLDPDUs通过链路广播，相邻设备接收并解析后，将自己的信息加入并传递给下一个设备。-信息存储与更新:接收到的LLDP信息存储在本地数据库中，并根据需要更新，用于拓扑发现和管理。-信息使用:网络管理系统利用LLDP信息了解网络拓扑、监控设备状态和配置。基于LLDP的设备发现(2)

LLDP报文结构封装有LLDP数据单元LLDPDU（LLDPDataUnit）的以太网报文称为LLDP报文。各字段含义如下：—

DA（DestinationMACAddress）：目的MAC地址，为固定的组播MAC地址0x0180-C200-000E。—

SA（SourceMACAddress）：源MAC地址，为发送端的MAC地址。—

Type：报文类型，LLDP报文中该字段的值为0x88CC。—

LLDPDU：LLDP数据单元，LLDP信息交换的主体。—

FCS：帧检验序列。基于LLDP的设备发现（3）LLDP报文收发机制发送机制:-设备在LLDP功能启用时，周期性地向邻居设备发送LLDP报文。-当本地配置发生变化时，立即发送报文通知邻居设备。-为避免频繁变化导致大量报文发送，每次发送后需延迟一段时间。接收机制:-设备在接收LLDP报文时，对报文及其携带的TLV信息进行有效性检查。-通过检查后，将邻居信息保存到本地设备，并根据TTL值设置信息的老化时间。-如果收到的LLDPDU中的TTL值为零，立即老化该邻居信息。基于LLDP的设备发现3．LLDP基础配置基于LLDP的设备发现4.LLDPvsCDP:-厂商支持:-LLDP:开放标准，支持多个厂商设备。-CDP:思科专有，仅限思科设备。-跨平台支持:-LLDP:支持跨平台（Windows、Linux、MacOS）设备发现。-CDP:仅支持思科设备。-链路层支持:-LLDP:支持所有链路层（如以太网、令牌环等）。-CDP:仅支持以太网。-协议性质:-LLDP:基于国际标准，具备更好的可扩展性和互操作性。-CDP:高性能和可靠性，但为思科独有。-安全性:-LLDP:更安全，不泄漏设备敏感信息。-CDP:相对安全性较低。设备管理02设备本地管理控制台（Console）管理Console概述:-功能:通过串行接口与网络设备通信和管理，使用终端仿真软件进行配置。-端口:企业级网络设备具备Console端口，允许通过串口登录并进入命令行。主要应用场景:-设备初始化:出厂设备无可管理IP地址时，使用Console端口进行初始配置。-无远程配置:未设置远程登录时，Console端口为唯一管理方式。-其他场景:如华为设备上的RJ-45标准Console端口。设备本地管理3.连接所需设备和软件:-Console线缆:随设备附带，用于连接设备和计算机。-RS-232转接头:用于将串行接口转换为USB接口，便于笔记本电脑连接。-驱动程序:安装转接设备的驱动程序（可从设备官网获取）。-终端软件:SecureCRT是常用的终端仿真软件。设备远程管理1.VTY:定义:VTY(VirtualTeletype)是虚拟终端的缩写，用于远程管理和配置网络设备（如交换机、路由器）。功能:通过网络协议（如Telnet或SSH），管理员可从远程计算机连接到设备的终端接口，进行操作和配置。远程管理优势:地理分布:网络设备通常分布于不同地理位置，远程管理使得管理员无需物理接入设备，即可高效完成管理任务。设备远程管理2.Telnet定义:Telnet是一种基于TCP/IP的终端仿真协议，用于远程登录计算机系统并通过命令行进行操作。功能:允许用户通过网络在本地计算机上访问远程设备（如路由器、交换机、服务器）的命令行环境。使用特点:远程登录:用户可以通过Telnet协议远程配置和管理网络设备。端口:使用TCP端口23进行连接。明文传输:Telnet使用明文传输数据，缺乏加密保护，存在一定的安全风险。应用场景:最常用的远程管理协议:尽管安全性较低，但Telnet仍是最常用、最灵活的远程管理网络设备的协议之一。设备远程管理3.SSH远程管理SSH概述:-定义:SSH（SecureShell）是一种安全性较高的远程管理协议，端口号为22，用于替代Telnet协议。-功能:通过压缩和加密的数据传输，SSH有效防止远程管理过程中的信息泄露，确保安全性。安全性优势:-数据加密:SSH对传输的数据进行压缩和加密处理，避免敏感信息泄露。-端口:使用TCP端口22进行安全连接。认证机制:-RSA认证:使用非对称加密算法，需要公开密钥和私有密钥配对进行加解密。服务器验证用户的合法性和数字签名的有效性。-Password认证:基于“用户名+口令”的身份认证机制，通过AAA服务器分配的口令进行用户验证。SSH在网络设备中的应用:-客户端/服务器模式:和Telnet协议类似，SSH协议也采用客户端/服务器模式，广泛应用于路由器和交换机的远程管理配置。系统化设备管理系统化设备管理概述管理挑战与需求:-管理规模:随着网络规模扩展，设备数量增加，手动管理变得困难且耗时，需集中管理简化流程。-远程管理:网络跨地域时，远程监控和管理设备至关重要，需有效的远程管理工具。-实时监测:必须及时监测设备问题，如故障和过载，防止网络中断和数据丢失。-配置管理:自动化配置管理减少复杂性和人为错误，提升设备维护效率。系统化设备管理-SNMP基本实现方式:-部署网络管理系统:集中化管理，通过SNMP、Syslog协议收集并分析设备数据，系统可部署在服务器或云端。-自动化设备配置:自动更新设备软件、配置参数和固件，缩短维护时间，保证信息同步和设备正常运行。-实时监控与事件管理:通过SNMP、Syslog协议实时监控设备，及时发现并处理故障，发送通知提醒管理员。-日志管理:使用Syslog协议收集和分析设备日志，管理员可通过搜索、过滤和分类管理日志信息，追溯问题根因。效果与优势:-效率提升:提高管理效率，减少故障发生和处理时间。-成本降低:优化设备运行，降低运维成本。-可靠性:使用SNMP和Syslog等技术，确保管理质量和设备可靠性。系统化设备管理-SNMPSNMP协议定义与优势-定义:简单网络管理协议(SNMP)是一种标准化的网络管理协议，用于管理网络设备。它帮助管理员集中管理设备，提升管理效率，减少故障和数据损失的风险。-优势:-简单易用:通过简单的GET和SET操作，便于管理员获取和配置设备信息。-高度可扩展性:支持多种设备和厂商，通过管理信息库(MIB)屏蔽设备差异，实现自动化管理。-高效资源利用:使用UDP协议传输消息，低开销，更高效地利用网络带宽。SNMP的协议版本-SNMPv1:最初版本，功能简单，安全性较弱，仅使用团体字符串进行身份验证，无数据加密。-SNMPv2c:增强了性能和安全性，支持更多数据类型和更高效的访问，但仍未提供数据加密。-SNMPv3:最新版本，提供数据加密、身份验证和更多安全功能，优先选择使用。系统化设备管理-SNMP基于SNMP的网管系统组件-网络管理系统(NMS):中心管理者，运行在NMS服务器上，管理和监视网络设备。-SNMP代理(Agent):设备中的代理进程，维护信息数据并响应NMS请求，汇报设备状态。-管理信息库(MIB):存储设备变量的数据库，是NMS和SNMP代理的接口。-被管对象(ManagedObject):设备中的硬件或软件参数集合。系统化设备管理-SNMPSNMP基本操作-获取(Get):获取特定OID（对象标识符）的值。-设置(Set):设置特定OID的值。-获取所有(Get-Next,Get-Bulk):顺序或批量获取设备信息。-通知(Trap):设备发生事件时通知管理员。-步进(Walk):遍历设备的所有OID，获取所有管理信息。系统化设备管理-SNMP以华为网络设备举例，路由器和交换机等网络设备的SNMP常用详细配置如下：—

启用SNMP服务：

进入系统视图并启用SNMP服务。

[设备名称]system-view

[设备名称]snmp-agent—

配置SNMP版本：配置SNMP的版本，可以选择v1、v2c或v3。

[设备名称]snmp-agentsys-infoversionv2c—

配置SNMP团体名（Community）和权限：配置SNMP团体名，并设置团体名的权限（读/写）。

[设备名称]snmp-agentcommunityread<只读团体名>

[设备名称]snmp-agentcommunitywrite<读写团体名>—

配置SNMP管理主机：配置SNMP管理主机的IP地址和团体名。

[设备名称]snmp-agenttarget-hosttrapaddressudp-domain<管理主机IP地址>paramssecurityname<团体名>—

配置SNMPTrap通知：设置当发生特定事件时发送Trap通知给管理主机。系统化设备管理-SNMP

[设备名称]snmp-agenttrapenable—

配置SNMPTrap接收服务器：配置接收Trap通知的服务器IP地址和团体名。

[设备名称]snmp-agenttarget-hosttrapaddressudp-domain<接收服务器IP地址>paramssecurityname<团体名>—

配置SNMP轮询：配置SNMP轮询主机，以获取设备信息和性能指标。`

[设备名称]snmp-agenttarget-hostpollingaddressudp-domain<轮询主机IP地址>paramssecurityname<团体名>—

配置SNMP认证：配置SNMPv3的认证参数，包括认证协议、认证密钥等。

[设备名称]snmp-agentusm-userv3<用户名>authentication-mode<认证协议>authentication-key<认证密钥>—

配置SNMP加密：配置SNMPv3的加密参数，包括加密协议、加密密钥等。

[设备名称]snmp-agentusm-userv3<用户名>privacy-mode<加密协议>privacy-key<加密密钥>SNMP常用详细配置（续）系统化设备管理-Syslog1.Syslog的主要功能-日志收集:Syslog服务器从各种网络设备和应用程序接收、存储和管理日志信息。-日志记录:记录设备的运行状态和事件情况，帮助诊断和解决故障及处理安全事件。-警报和通知:配置报警规则，及时向管理员发送重要事件或错误的通知信息。-日志分析:集中管理和分析日志，提取有用的信息，以满足管理和诊断需求。通过Syslog，系统管理员能够更快速地检测和解决网络设备的问题，提升设备运行效率并降低运营风险。系统化设备管理-Syslog2.Syslog与SNMP的差异与选择-历史和背景:-Syslog:最早开发于UNIX系统，用于标准化日志管理，便于管理员追踪和诊断问题。-SNMP:出现于Syslog之后，作为网络管理协议，用于监控和管理网络设备的运行数据和配置。-功能差异:-Syslog:侧重于日志信息的收集、存储和分析，适用于事件记录和日志管理。-SNMP:主要用于获取设备的实时运行数据，适合设备状态监控和配置管理。-应用场景和优劣势:-Syslog:-优势:适合日志管理和故障排查，集中管理、存储和分析日志，适用于安全监控和事件追踪。-劣势:传输量小，可能丢失部分日志，不适合实时监控和大规模设备管理。-SNMP:-优势:适用于实时设备监控、性能监测和远程配置，提供全面的设备信息。-劣势:传输量大，对带宽有压力，日志管理和批量查询能力较弱。系统化设备管理-Syslog3.Syslog常用配置设备维护03网络设备操作系统镜像维护-网络设备操作系统维护(1).网络设备操作系统特点-专门设计与优化:用于管理和控制网络设备的操作系统，提供高级路由、转发、安全、监控、维护等功能。-常见操作系统:-CiscoIOS:Cisco路由器和交换机的操作系统，功能丰富，性能可靠。-JunosOS:Juniper路由器和交换机的操作系统，支持强大的网络管理和路由协议。-HuaweiVRP:华为路由器和交换机的操作系统，主流版本为VRP5，应用广泛。-AristaEOS:Arista交换机的操作系统，具备高度可扩展性和可编程性。-BrocadeADX:Brocade负载均衡交换机的操作系统，提供强大的负载均衡功能。网络设备操作系统镜像维护-网络设备操作系统维护（2）.网络设备操作系统维护的必要性-确保系统可靠性和稳定性:通过备份操作系统镜像文件，快速恢复系统，确保服务连续性。-提供安全补丁与修复:获取最新的安全补丁，修复漏洞，提升系统的安全性与防护能力。-支持新功能与兼容性增强:通过升级操作系统获取新功能，提高设备的兼容性和互操作性，适应复杂的网络环境。网络设备操作系统镜像维护-网络设备操作系统维护（4）.维护步骤备份配置:定期备份设备配置，确保数据安全。检查漏洞:监测安全漏洞，及时应用补丁。规划升级:制定详细的升级计划，包括备份和回滚策略。测试验证:在实验环境中测试升级，确保兼容性。执行升级:按照计划进行升级，监控升级过程。验证与监控:验证升级效果，监控设备状态。记录日志:记录维护过程，更新设备文档。网络设备操作系统镜像维护-VRP备份修复与升级VRP（VersatileRoutingPlatform）不支持直接进行OS镜像备份、恢复和升级。华为VRP是华为路由器和交换机的操作系统，它的备份、恢复和升级是通过配置文件和软件包的方式来进行（1）备份VRP镜像：

a.使用TFTP服务器将备份存储在外部设备上（例如PC）。

b.首先，登录设备并进入用户视图：

<HUAWEI>system-view

c.进入bootrom模式：

<HUAWEI>resetsaved-configuration

或

<HUAWEI>reset&&Y

d.进入bootrom模式后，使用`backupRom`命令进行备份操作。假设备份值为0x600000，并且备份文件名为backup.bin，命令如下：

[BootRom]backupRom0x6000000x800000backup.bin这将备份VRP镜像，备份文件名为backup.bin，大小为0x800000字节（根据实际情况进行调整）。网络设备操作系统镜像维护-VRP备份修复与升级（2）恢复VRP镜像文件：

a.检查设备是否有备份的VRP镜像文件。如果有，请将备份的镜像文件（通常以.bin为扩展名）复制到TFTP服务器。

b.进入bootrom模式：

<HUAWEI>resetsaved-configuration

<HUAWEI>reset&&Y

c.进入bootrom模式后，使用以下命令从TFTP服务器恢复VRP镜像文件：

[BootRom]restoreRomtftp00backup.bin

其中，00是TFTP服务器的IP地址，backup.bin是备份的VRP镜像文件名。

d.等待恢复过程完成，设备将自动重启并加载恢复的VRP镜像文件。网络设备操作系统镜像维护-VRP备份修复与升级（3）升级VRP镜像：

a.将待升级的VRP镜像文件放置在TFTP服务器上，并确保设备可以访问到该服务器。

b.进入系统视图：

<HUAWEI>system-view

c.使用TFTP命令下载升级文件并进行升级。假设升级文件名为upgrade.bin，命令如下：

[HUAWEI]tftp00gets9300-vrp5.binupgrade.bin

这将从TFTP服务器上下载VRP镜像文件s9300-vrp5.bin，并保存为upgrade.bin文件。

d.通过以下命令升级VRP镜像：

[HUAWEI]upgrade/tftp/upgrade.binall

e.系统会自动检查升级文件的正确性，并提示您需要重启设备来完成升级：

systemwillreboot,continue?[Y/N]y

f.在升级期间，请不要断电或重启设备，等待设备完成升级过程。网络设备操作系统镜像维护-配置实例实例场景，利用FTP备份或者升级VRP镜像文件需要准备的内容—FTP软件：FileZilla（或者其他FTP软件），这是一个免费软件，请读者可从互联网下载；真实设备：AR150路由器（真实设备，模拟器无法完成相应实验）。统配置文件维护系统配置-文件重要性以及重要文件系统配置文件的重要性-配置文件是网络设备（如路由器、交换机）的核心文件，包含网络参数、管理功能等关键信息。-丢失或损坏配置文件可能导致设备无法正常工作，甚至引发网络故障。-配置文件决定设备的性能、服务质量，并影响网络的稳定性和安全性。-备份和恢复配置文件是维护设备的常规任务，确保在故障或升级后能快速恢复。路由器和交换机的重要配置文件running-config：当前正在运行的配置文件，反映设备的实时配置状态。startup-config：设备启动时加载的配置文件，确保重启后具有所需配置。vlan.dat：交换机的VLAN数据库文件，包含VLAN配置信息。操作系统镜像文件：用于安装、升级或恢复设备操作系统的镜像文件。配置日志：记录配置更改历史，帮助检查配置变动和问题原因。线路协议信息：包含网络设备间的协议、距离、成本等信息。统配置文件维护系统配置-设备配置文件分类华为设备路由器的配置文件分类（1）当前配置-存储在设备内存中的配置。-更改路由器配置时即为更改当前配置。-注意：设备断电或重启后，内存中的配置信息将全部消失。（2）配置文件-保存在设备外部存储器中的文件，文件名格式通常为“*.cfg”或“*.zip”。-用户可将当前配置保存到配置文件中，设备重启时重新加载。-配置文件便于查看、备份和移植，可用于其他设备。-默认配置文件名为“vrpcfg.zip”，保存于设备外部存储器的根目录下。（3）下次启动的配置文件-可指定保存配置文件的名称，并指定下次启动时加载的配置文件。-默认情况下，下次启动的配置文件名为“vrpcfg.zip”。系统配置文件维护-保存当前配置保存当前配置的方式有两种——手动保存和自动保存。（1）手动保存配置用户可以使用save[configuration-file]命令随时将当前配置以手动方式保存到配置文件中。其中，参数configuration-file为指定的配置文件名，格式必须为“*.cfg”或“*.zip”。如果未指定配置文件名，则配置文件名默认为“vrpcfg.zip”。例如，需要将当前配置保存到文件名为“vrpcfg.zip”的配置文件中时，可进行如下操作。在用户视图，使用save命令，再输入y，进行确认，即可保存路由器的配置，如下所示。（2）自动保存配置自动保存配置功能可以有效降低用户因忘记保存配置而导致配置丢失的风险。自动保存功能分为周期性自动保存和定时自动保存两种方式。在周期性自动保存方式设备会根据用户设定的保存周期，自动完成配置保存操作；无论设备的当前配置相比配置文件是否有变化，设备都会进行自动保存操作。周期性自动保存的设置方法如下。首先执行autosaveintervalon命令，开启设备的周期性自动保存功能，然后执行autosaveintervaltime命令，设置自动保存周期。其中，time为指定的时间周期，单位为分钟，默认值为1440min(24h)。通过以下命令打开周期性自动保存功能，设置自动保存间隔为120min。系统配置文件维护-保存当前配置（2）自动保存