在《网络安全设备的三种管理模式(上)》中，我们分析了网络安全设备的重要性，并介绍了一种网络安全设备管理模式，即安全管理PC直接与安全设备进行连接。本文我们将继续介绍另外两种管理模式。

　　2、第二种模式：安全管理PC通过交换机管理安全设备

　　图4管理PC通过交换机连接到安全设备

　　如图4所示，安全设备位于VLAN2、VLAN3和VLAN4中。这时，安全管理PC对位于同一个VLAN中的安全设备进行管理时，只需把安全管理PC直接连接到交换机上，PC和安全设备就都位于同一网段中。在这种模式中，对安全设备的管理，就不能使用“第一种模式”中的用CONSOLE口管理的方法，因为安全管理PC和安全设备没有直接连接，而是通过交换机间接连接起来的。这种模式下，除了可以用“第一种模式”中的WEB方式对安全设备进行管理配置外，还可以用以下两种方式对安全设备进行管理配置：

　　(1)Telnet方式管理。用这种方式对安全设备进行管理时，必须首先安全管理PC和安全设备之间有由可达，并且可以用Telnet方式登录到安全设备上。在本例中，安全管理PC和安全设备位于同一个网段，所以满足用Telnet方式管理的条件。另外，还要在安全设备上进行如下配置，才能采用Telnet方式对其进行管理。

　　把一台电脑的串口连接到安全设备的CONSOLE口上。通过CONSOLE口配置远程用户用Telnet方式登录到安全设备上的用户名和口令，管理级别，以及所属服务等。

　　通过CONSOLE口配置提供Telnet服务的IP地址，端口号等。

　　在安全管理PC上的“命令行”中，执行Telnet到网络安全设备上的命令，然后输入用户名和口令，就可以登录到安全设备上进行管理配置了。

　　(2)SSH方式管理。当用户在一个不能安全的网络中时，却要远程登录到安全设备上。这时，SSH特性就可以提供安全的信息保障，以及认证功能，起到安全设备不受诸如IP地址欺诈、密码截取等。安全管理PC以SSH方式登录到安全设备之前，通常还要在安全设备上进行如下配置：

　　通过一台电脑连接到安全设备的CONSOLE口，或者通过WEB管理方式，登录到安全设备上。

　　在安全设备上配置SSH服务器的参数，如验证方式，验证重复的次数和兼容的SSH版本等。

　　在安全管理PC上运行SSH的终端软件，如SecureCRT应用程序。在程序中设置正确的连接参数，输入安全设备接口的IP地址，就可与安全设备建立起连接，然后对其进行配置管理。

　　3、第三种模式：通过安全中心服务器管理安全设备

　　图5通过安全中心服务器管理安全设备

　　如图5所示，与第一、二种管理模式相比，此种模式把“安全管理PC”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置，而不用再把安全管理PC逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中，除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外，其它的三种管理方式，WEB、Telnet和SSH在安全中心服务器上都可以使用。用安全中心服务器管理配置安全设备主要存在两种网络：

　　(1)安全中心服务器和安全设备管理接口的IP地址不在同一个网段。如图5所示，安全中心服务器位于VLAN13，IP地址为192.168.13.1/24。而漏洞扫描位于VLAN3中，IP地址为192.168.3.1，它和安全服务中心服务器的地址位于不同的子网中。如果要让安全服务中心服务器能访问到漏洞扫描，就必须在两台Cisco4510上添加三层配置，让两个VLAN间的数据能互相访问。在4510A和4510B上的配置如下所示：

　　Cisco4510A上的配置：

　　Cisco4510A(config)#intecevlan13

　　Cisco4510A(config-if)#ipaddress192.168.13.252255.255.255.0

　　//创建vlan13的SVI接口，并指定IP地址

　　Cisco4510A(config-if)#noshutdown

　　Cisco4510A(config-if)iphelper-address192.168.11.1

　　//配置DHCP中继功能

　　Cisco4510A(config-if)standby13priority150preempt

　　Cisco4510A(config-if)standby13ip192.168.13.254

　　//配置vlan13的HSRP参数

　　Cisco4510A(config)#intecevlan3

　　Cisco4510A(config-if)#ipaddress192.168.3.252255.255.255.0

　　//创建vlan3的SVI接口，并指定IP地址

　　Cisco4510A(config-if)#noshutdown

　　Cisco4510A(config-if)iphelper-address192.168.11.1

　　//配置DHCP中继功能

　　Cisco4510A(config-if)standby3priority150preempt

　　Cisco4510A(config-if)standby3ip192.168.3.254

　　//配置vlan3的HSRP参数

　　Cisco4510B上的配置：

　　Cisco4510B(config)#intecevlan13

　　Cisco4510B(config-if)#ipaddress192.168.13.253255.255.255.0

　　//创建vlan13的SVI接口，并指定IP地址

　　Cisco4510B(config-if)#noshutdown

　　Cisco4510B(config-if)iphelper-address192.168.11.1

　　//配置DHCP中继功能

　　Cisco4510B(config-if)standby13priority140preempt

　　Cisco4510B(config-if)standby13ip192.168.13.254

　　//配置vlan13的HSRP参数

　　Cisco4510B(config)#intecevlan3

　　Cisco4510B(config-if)#ipaddress192.168.3.253255.255.255.0

　　//创建vlan3的SVI接口，并指定IP地址

　　Cisco4510B(config-if)#noshutdown

　　Cisco4510B(config-if)iphelper-address192.168.11.1

　　//配置DHCP中继功能

　　Cisco4510B(config-if)standby3priority140preempt

　　Cisco4510B(config-if)standby3ip192.168.3.254

　　//配置vlan3的HSRP参数

　　因为4510和3560-E之间都是Trunk连接，所以在4510A和4510B上进行了如上配置后，安全中心服务器就能访问到漏洞扫描安全设备。在安全中心服务器的浏览器地址栏中输入，就能登录到漏洞扫描设备上，然后在WEB界面中就可以对其参数和性能进行配置。

　　(2)安全中心服务器和安全设备管理接口的IP地址都位于同一个网段中。这种网络中，安全中心服务器要对安全设备进行管理时，在由器或交换机上需要配置的命令就比较少。也就192.168.3.254是在图5中，只需把交换机上的配置命令进行简单的，把所有的安全设备的管理接口的IP地址和安全中心服务器地址配置到同一个VLAN中。这样在Cisco4510上就不用进行三层配置。然后在安全中心服务器的浏览器地址栏中输入安全设备的IP地址也能对各个安全设备进行管理配置。