二层网管交换机有多种管理方法，本文会对二层网管交换机每一种管理方法进行讲解(本文主要讲解HTTP、HTTPS、Telnet、SSH、Console、SNMP管理方式)。

二层网管交换机可以通过业务接口、Console接口进行管理。

1.通过业务接口管理交换机

二层网管交换机可以通过业务口直接管理交换机，通过业务口可以使用HTTP、HTTPS、Telnet、SSH、SNMP管理交换机。

业务口默认管理IP：192.168.0.1

业务口默认管理用户名：admin

业务口默认管理密码：admin

本章介绍交换在出厂情况下，电脑如何通过业务口使用HTTP、HTTPS、Telnet、SSH管理交换机。

1.1.电脑连接方式

将电脑的网线连接到交换机的业务接口上，如下图所示：

1.2.HTTP、HTTPS管理

步骤一：在电脑上打开浏览器，输入或者(浏览器建议使用Chrome、Firefox、Edge或IE9以上的浏览器)。

步骤二：输入正确的用户名和密码。

注意：

1、如果使用HTTPS管理，浏览器会提示安全风险，在浏览器中点击“详细信息”à”继续转到网页”即可。(不同浏览器提示可能会略有不同)

2、如果输入正确用户名和密码之后，管理页面显示不全，可能是由于浏览器缓存原因造成，此时按Ctrl+F5刷新页面即可。

1.3.Telnet管理

步骤一：电脑上安装Telnet客户端软件(比如：Tera Term、SecrueCRT等，本章节以Tera Term为例)，在Telnet客户端软件上新建连接，选择Telnet协议，主机IP 192.168.0.1，端口号23。

步骤二：输入正确的用户名和密码。

注意：如果是比较早期的软件版本，需要先通过Console配置Telnet的登录方式(Console登录方式见第2章“通过Console接口管理交换机”)，具体配置如下：

TL-SG3210>enable

TL-SG3210#configure

TL-SG3210(config)#line vty 0 5

TL-SG3210(config-line)#login local

1.4.SSH管理

SSH管理功能在交换机上默认情况下是禁用的，需要先使用其他管理方式进入交换机开启该功能才可以进行SSH管理。

步骤一：电脑登录交换机的Web页面，“系统管理”à“安全管理”à“SSH配置”，启用SSH功能。

步骤二：电脑上安装SSH客户端软件(比如：Tera Term、SecrueCRT等，本章节以Tera Term为例)，在SSH客户端软件上新建连接，选择SSH协议，主机IP 192.168.0.1，端口号22。

步骤三：输入正确的用户名和密码。

1.5.SNMP管理

1.6.管理IP与管理VLAN设置

二层网管交换机不具备路由功能，只有一个VLAN能够管理交换机，默认出厂是VLAN1管理，如果需要修改管理VLAN或管理IP，在“系统设置”à“管理IP”中进行修改。

CLI配置举例：

设置管理VLAN

TL-SG3210> enable

TL-SG3210# configure

TL-SG3210(config)#vlan 2

TL-SG3210(config-vlan)#exit

TL-SG3210(config)#interface gigabitEthernet 1/0/1

TL-SG3210(config-if)#switchport access vlan 2

TL-SG3210(config-if)#exit

TL-SG3210(config)#ip management-vlan 2

修改管理IP

TL-SG3210(config)#interface vlan 2

TL-SG3210(config-if)#ip address 192.168.1.1 255.255.255.0

2.通过Console接口管理交换机

二层网管交换机可以通过Console接口进行管理，交换机出厂配置下，使用Console管理交换机不需要用户名和密码。

2.1.电脑连接方式

使用串口线进行连接(所有二层网管交换机均支持这种方式)，串口接电脑，RJ45接口接交换机的Console接口。

注意：连接电脑必须支持串口，如果电脑没有串口需要自行购买USB转串口线。

2.2.Console接口管理

步骤一：安装驱动。

1)如果电脑自带串口接口，不需要安装驱动。

2)如果使用USB转串口线，电脑上需要安装USB转串口线的驱动。

步骤二：电脑上安装串口通信客户端软件(比如：Tera Term、SecrueCRT等，本章节以Tera Term为例)，在串口通信客户端软件上新建连接，选择Serial，以及对应的通信端口(不同电脑的通信端口会不一样)。

步骤三：Serial Port相关设置中设置波特率：38400bps、数据位：8位、奇偶校验：无、停止位：1位、数据流控制：无。

步骤四：登录成功之后，直接在窗口中输入管理CLI命令即可。

3.管理安全

交换机在网络中直接连接了所有的网络终端，处于网络中的重要位置。企业网络环境中，管理员需要做一些管理安全上的策略对交换机进行保护。

3.1.分权限用户管理

交换机中用户分为4个级别，在实际应用过程中根据需求创建用户：

n管理员：可以设置和修改所有功能，包括创建和修改用户。

n操作员：可以设置和修改大部分功能，但不能创建和修改用户。(具体不可设置的功能参见用户手册和命令行手册)

n高级用户：不可备份和导入配置、不可创建和修改用户，可以设置和修改交换机大部分功能。(具体不可设置的功能参见用户手册和命令行手册)

n普通用户：仅可以查看交换机各个功能的配置情况。

Web配置举例：

系统管理à用户管理à用户配置

CLI配置举例：

需求：交换机中创建一个管理员，用户名test密码test1234567。

TL-SG3210>enable

TL-SG3210#configure

TL-SG3210(config)# user name test privilege admin password test1234567

注意：

1、如果忘记用户名和密码，可以通过Console口管理交换机，通过CLI创建一个管理员账户，重新管理交换机。

2、早期软件版本的交换机只有两种用户类型，管理员和受限用户。

3.2.创建特权模式密码

通过CLI管理，在特权模式下，用户可以设置交换机的所有功能，网络管理员可以根据网络安全需要启用CLI特权模式密码。

CLI配置举例：

需求：交换机中创建特权密码test1234567

TL-SG3210>enable

TL-SG3210#configure

TL-SG3210(config)#enable password test1234567

注意：

1、如果忘记了特权密码，希望进入特权模式，交换机就只能复位了；

2、早期软件版本的交换机，必须通过Console接口创建特权模式密码，才能通过Telnet或SSH进行特权模式管理。

3.3.设置Console口登录用户名密码认证

如果希望增加交换机的Console接口管理的安全性，则需要启用交换机的AAA认证，通过AAA功能给Console接口增加用户名和密码。

Web配置举例：

步骤一：网络安全àAAAà全局配置，启用AAA功能。

步骤二：网络安全àAAAà方法列表，查看“登录方法”，默认已经添加了local的认证方式，无需额外设置。

CLI配置举例：

“登录方法列表”出厂设置默认已经设置好了，CLI中只要启用AAA认证即可。

TL-SG3210>enable

TL-SG3210#configure

TL-SG3210(config)#aaa enable

注意：

1、如果启用了AAA认证，又忘记了密码，交换机就只能复位了。

2、早期软件版本的交换机不支持AAA认证，需要通过在Console接口中使用line命令配置Console接口的登录密码，具体配置过程如下：

TL-SG3210>enable

TL-SG3210#configure

TL-SG3210(config)#line console 0

TL-SG3210(config-line)#login local

3.4.终端管理权限控制

交换机可以针对IP、MAC和端口来限制管理交换机的用户属性。

Web配置举例：

需求：限制只有192.168.0.0/24网段的用户才能管理交换机。

系统管理à安全管理à安全配置选择限制类型、接入方式，以及允许访问交换机用户的IP地址。

CLI配置举例：

TL-SG3210>enable

TL-SG3210#configure

TL-SG3210(config)#user access-control ip-based 192.168.0.0 255.255.255.0 telnet ssh http