- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (3.15 MB)
目 录
7.2.2 Isolate-user-vlan技术优点及应用场景
7.2.7 设置Isolate-user-vlan和Secondary VLAN间的映射关系
11.7.2 建立Isolate-user-vlan和Secondary VLAN间的映射关系
11.10.2 在VLAN内开启/关闭IGMP Snooping
11.10.7 开启/关闭全局IGMP Snooping查询器功能
11.10.8 在VLAN内开启/关闭IGMP Snooping查询器功能
|
如果您想? |
您可以查看 |
|
初识产品的大致形态、业务特性或者它在实际网络应用中的定位 |
“产品介绍” |
|
通过搭建Web环境来管理设备,同时想进一步熟悉其设置页面 |
|
|
通过Web设置页面来实现端口的基本功能,比如:端口属性、端口镜像、端口链路聚合等 |
“端口管理” |
|
通过Web设置页面来实现设备的高级业务功能,比如:VLAN规划、管理MAC地址表、SNMP、信息中心等 |
“设备管理” |
|
通过Web设置页面来实现设备根据特定的规则对数据包进行过滤 |
“ACL控制” |
|
通过Web设置页面来实现设备及网络环境的安全性,比如:防攻击、三元/四元绑定、802.1X等 |
“安全专区” |
|
通过Web设置页面来设置系统相关信息,比如:软件升级、用户管理、保存和恢复配置等 |
“系统管理” |
|
通过具体的举例来进一步理解设备的关键特性 |
“典型配置举例” |
|
通过命令行来统一管理设备(推荐您使用简单易用的Web设置页面来进行管理,命令行相对会比较的复杂) |
|
|
定位或排除使用设备过程中遇到的问题 |
|
|
获取设备重要的缺省出厂配置信息 |
本章节主要包含以下内容:
· 产品简介
· 业务特性
H3C S1600系列以太网交换机(以下简称S1600)是H3C公司自主开发研制的二层以太网交换机产品,具备丰富的业务特性和安全特性,主要定位于企业、酒店、智能楼宇等细分行业,可为用户提供高性能、低成本、可网管的安全解决方案。
S1600目前包含如下型号:
· S1626:提供24个10/100BASE-TX自协商的以太网端口、2个Combo口和一个Console口;
· S1626-PWR:提供24个10/100BASE-TX自协商的以太网端口、2个Combo口和一个Console口。24个以太网端口支持PoE功能;
· S1650:提供48个10/100BASE-T自协商的以太网端口、2个Combo口和一个Console口。
· 对于Combo口,光口(千兆SFP光模块接口)和电口(10/100/1000Base-T自适应以太网端口)不能同时使用。若同时使用,由于电口的优先级较高,电口有效,光口无效。
· 为简化描述,本手册以S1626为例进行介绍,S1626-PWR/S1650的页面显示请以实际为准。若S1626和S1626-PWR、S1650存在特性差异,则会在该特性描述处给出具体的说明。
表2-1 业务特性
|
项目 |
描述 |
|
VLAN |
· 最多支持512个符合IEEE 802.1q标准的VLAN · 最多支持26(S1626/S1626-PWR)/50(S1650)个基于端口的VLAN |
|
QoS |
· 支持802.1p、DSCP优先级 · 支持每端口4个优先级队列 · 支持WRR、HQ-WRR队列调度 |
|
端口 |
· 支持广播风暴抑制 · 支持端口流量控制 · 支持LLDP功能 · 支持端口节能 |
|
端口汇聚 |
· 支持6组端口汇聚组、每组最多8个端口 · 支持手工和静态LACP汇聚 |
|
端口镜像 |
支持基于端口的镜像 |
|
端口统计 |
支持端口报文流量和类型的统计 |
|
端口限速 |
支持对出入端口的报文流量进行限速 |
|
端口监控 |
支持WEB图表方式监控流量 |
|
PoE |
支持为对端设备远程供电(仅S1626-PWR) |
|
MAC地址表 |
· 支持MAC地址自动学习 · 支持手工设置MAC地址老化时间 · 最多支持8K MAC地址 |
|
组播 |
支持IGMP Snooping |
|
STP |
支持STP/RSTP |
|
SNMP |
支持SNMP代理 |
|
AAA |
· 支持Local认证 · 支持Radius |
|
ACL |
· 支持基于MAC的ACL · 支持基于IP的ACL · 支持将ACL应用到端口 · 支持将ACL应用到VLAN(S1626/S1626-PWR支持) |
|
设备管理 |
· 支持Web设置页面管理 · 支持Console口管理 · 支持Telnet远程管理 · 支持SNMP远程管理 · 支持管理PC控制 |
|
设备维护 |
· 支持调试信息输出 · 支持配置文件导入导出 · 支持Syslog(系统日志) · 支持Ping · 支持电缆诊断 |
|
设备IP地址分配 |
· 支持在管理VLAN接口上配置IP地址 · 支持在管理VLAN接口上通过DHCP方式获取IP地址 |
|
安全特性 |
· 支持isolate-user-vlan · 支持高级用户密码保护 · 支持防ARP欺骗 · 支持防ARP攻击 · 支持防MAC地址攻击 · 支持端口和MAC地址绑定 · 支持防蠕虫病毒 · 支持防DoS攻击 · 支持802.1x · 支持DHCP-Snooping · S1626/S1626-PWR支持IP/MAC/PORT/VLAN四元绑定,S1650支持IP/MAC/PORT三元绑定 |
本章节主要包含以下内容:
· 准备工作
完成硬件安装后(安装过程可参见《H3C S1600系列以太网交换机 快速入门》),在登录S1600的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。
请确认管理计算机已安装了以太网卡。
· 您需要将管理计算机的IP地址与S1600的IP地址(缺省为192.168.0. 234/255.255.255.0)设置在同一子网中。如果采用远程配置,请确保管理计算机和S1600路由可达。
· 请确认S1600的Http功能开启(缺省情况下开启Http服务器,具体配置请参见“11.14.5 2. 开启/关闭TELNET服务器”)。
· 请确认管理计算机能通过Http方式访问交换机(缺省情况下允许所有终端通过Http方式访问交换机,具体配置请参见“5.9 设置管理PC控制”或“11.14.6 设置管理PC控制”)。
· 请确认连接管理计算机进行Web设置的端口必须属于管理VLAN。缺省情况下,管理VLAN为VLAN 1,且S1600的每个端口均属于VLAN 1。
· 下文以Windows XP系统为例进行介绍,文中所示界面为示意图,请以实际界面为准。
操作步骤如下:
|
1. 单击屏幕左下角<开始>按钮进入[开始]菜单,选择[控制面板]。双击“网络连接”图标,再双击弹出的“本地连接”图标,弹出“本地连接 状态”窗口 |
|
|
2. 单击<属性>按钮,进入“本地连接属性”窗口 |
|
|
3. 选中“Internet协议(TCP/IP)”,单击<属性>按钮,进入“Internet协议(TCP/IP)属性”窗口。选择“使用下面的IP地址”单选按钮,输入IP地址(在192.168.0.1~192.168.0.254中选择除192.168.0.234之外的任意值)、子网掩码(255.255.255.0)及默认网关,确定后即可完成操作(此处假设S1600当前使用缺省IP地址) |
|
操作步骤如下:
|
1. 单击屏幕左下角<开始>按钮进入[开始]菜单,选择[运行],弹出“运行”对话框 |
|
|
2. 输入“ping 192.168.0.234(此处是S1600的IP地址)”,单击<确定>按钮。如果在弹出的对话框中显示了从S1600侧返回的回应,则表示网络连通;否则请检查网络连接 |
|
如果当前管理计算机使用代理服务器访问因特网,则必须禁止代理服务,操作步骤如下:
|
1. 在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口 |
|
|
2. 选择“连接”页签,并单击<局域网(LAN)设置>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
|
S1600 Web设置页面有两种类型的用户:普通用户和管理员。
· 普通用户:您可以查看数据,但不能对S1600进行任何配置。
· 管理员:您既可以查看数据,也可对S1600进行功能配置。
运行Web浏览器,在地址栏中输入http://192.168.0.234。回车后,输入用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。
图3-1 登录Web设置页面
S1600提供非常简便的Web设置页面,您可以通过该设置页面快速地完成所需功能的配置。本章将带领您先了解和熟悉Web设置页面。
本章节主要包含以下内容:
· 常用页面控件介绍
成功登录后,进入Web设置页面,如图4-1所示。
图4-1 Web设置页面示意图
当您想要设置某项功能时,可以单击导航栏中的菜单项,并选择相应的页签,即可开始设置。
|
控件 |
描述 |
|
|
文本框,用于输入文本 |
|
|
单选按钮,用于从多个选项中选择一项 |
|
|
复选框,用于选中指定的列表项。当您双击某复选框时,可选中所有的列表项 |
|
|
下拉列表框,用于选择相应的列表项 |
|
|
在“刷新速率”列表框中选择刷新频率后,页面的数据会自动根据该刷新频率进行更新 |
|
|
打开Web设置页面的在线帮助页面,提供当前页面操作时的帮助信息 |
|
|
提交输入的信息以及对当前系统提供信息的确认 |
|
|
取消当前的配置输入 |
|
|
新建当前页面的一个项目 |
|
|
选中当前页面的所有端口 |
|
|
刷新当前页面的配置 |
|
|
删除当前页面中所选择的项目 |
|
|
删除所对应的列表项 |
|
|
对指定的某些端口进行批量化配置 |
|
|
对指定的某些配置项进行批量化删除 |
|
|
删除所有当前页面已配置的项目 |
当您长时间没有操作Web设置页面时,系统超时并将注销本次登录,并返回到Web设置登录对话框(如图3-1所示)。
Web设置页面的超时时间缺省为5分钟。如果您需要修改该超时时间,相关操作请参见“5.3 设置Web参数及Telnet用户认证方式”。
本章节主要包含以下内容:
· 设置系统时间
· 恢复缺省配置
· 升级软件
· 故障维护
当您在设置页面上配置完所有项目后,请务必保存配置,否则未保存的配置信息会因为重新启动等操作而丢失。
页面向导:保存配置→保存配置
本页面为您提供如下主要功能:
|
· 单击<保存>按钮,确认后,您可保存当前S1600的配置信息 · 单击<备份>按钮,选择配置文件备份路径后,您可将S1600当前的配置保存到计算机,方便日后通过该文件(*.cfg)恢复配置 · 单击<浏览>按钮,选择之前备份过的文件(*.cfg),单击<恢复>按钮,确定后,您可将S1600恢复到之前的配置(S1600自动重新启动后,配置生效) |
|
页面向导:系统管理→系统信息
本页面为您提供如下主要功能:
|
· 查看系统相关信息,例如:S1600当前运行的软件版本、MAC地址、管理VLAN等 · 设置系统相关参数,例如:重新设置S1600 IP地址获取方式(静态设置或DHCP动态获取)、设置MAC地址老化时间等 |
|
表5-1 页面关键项描述
|
页面关键项 |
描述 |
|
软件版本/硬件版本/引导器版本 |
显示S1600当前运行软件的版本号、硬件版本号及引导器版本号 说明: 页面中的软件版本信息仅作参考,请以S1600加载软件版本后的最终显示为准 |
|
MAC地址 |
显示S1600的MAC地址 |
|
运行时间 |
显示S1600自上电后持续运行的时间 |
|
生产序列号 |
显示S1600的生产序列号。同时,您可单击“条码防伪查询”链接登录到H3C网站验证产品的真伪 |
|
管理VLAN |
显示S1600管理VLAN ID |
|
系统名称 |
自定义S1600的设备名称,便于您通过该名称对设备进行快速地定位 |
|
DHCP获取地址 |
DHCP采用“客户端/服务器”通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。在DHCP的典型应用中,一般包含一台服务器和多台客户端(如PC和便携机) 如果您想让S1600从网络上自动获取IP地址(若DHCP Server存在且网络正常连接),则可以开启DHCP Client功能 说明: · 开启DHCP Client功能后,您需要通过Console口下的display ip命令来查看自动分配到的IP地址 · 关闭DHCP Client功能后,您需要手动设置S1600的静态IP地址 |
|
本地IP地址 |
设置S1600的静态IP地址 |
|
本地子网掩码 |
设置S1600静态IP地址的子网掩码 |
|
网关IP地址 |
设置S1600的网关IP地址 |
|
MAC地址老化时间 |
设置S1600中动态MAC地址表项的老化时间 |
页面向导:系统管理→用户管理
本页面为您提供如下主要功能:
|
· 设置Web用户超时时间 · 开启/关闭Web登录验证码功能 · 管理Telnet用户登录 |
|
页面中关键项的含义如下表所示。
表5-2 页面关键项描述
|
页面关键项 |
描述 |
|
超时时间 |
设置Web设置页面的超时时间,缺省为5分钟 |
|
WEB登录验证码 |
当您关闭了Web登录验证码功能后,用户登录Web设置页面时则不再需要输入验证码 |
|
telnet管理 |
如果您想通过Telnet方式登录到S1600进行命令行管理,则必须选中“开启”选项,并设置相应的认证方式,单击<确定>按钮生效 S1600支持三种Telnet用户认证方式,如表5-3所示,您可以根据实际需求进行选择 |
表5-3 Telnet用户认证方式
|
认证方式 |
描述 |
|
none |
不认证,即Telnet登录到S1600时不提示验证,直接进入命令行管理 |
|
password |
本地认证,即Telnet登录到S1600时需要进行本地密码验证,验证成功后,方可进入命令行管理。最多允许创建2个Telnet用户(分别对应VTY0用户界面和VTY1用户界面)。用户创建后,您可尝试通过Telnet搭建配置环境来进行验证 说明: · 当您想创建1个Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“开启”,并设置Telnet用户登录密码,确认后即可完成创建 · 当您想删除已创建的Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“关闭”,确认后即可删除 · 当您想修改已创建Telnet用户的密码时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“修改密码”,并设置新密码,确认后即可完成修改 |
|
scheme |
S1600支持通过NTP服务器来自动获取系统时间和手工设置系统时间两种方式。
NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟。
对于网络中的各台设备来说,如果单依靠管理员手工修改系统时间,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
当S1600通过NTP成功获取到系统时间后,该时间会根据您选择的时区做相应的调整。
手工设置的系统时间不会与其他设备进行同步。当交换机重新启动后,手工设置的系统时间会恢复为缺省值(2000年1月1日0时0分0秒)。
页面向导:系统管理→系统时间
本页面为您提供如下主要功能:
|
· 手动设置S1600的当前时间或通过NTP服务器来保持时间自动同步 |
|
页面中关键项的含义如下表所示。
表5-4 页面关键项描述
|
页面关键项 |
描述 |
|
服务器设置 |
通过设置NTP服务器来保持S1600的当前时间与其同步 设置步骤: 1. 在“时区”下拉列表中选择相应的时区 2. 单击“服务器设置”单选按钮,输入正确的NTP服务器IP地址及自动更新间隔 3. 单击<确定>按钮完成设置 |
|
手动配置日期和时间 |
通过手动方式来设置S1600的当前时间 设置步骤: 1. 在“时区”下拉列表中选择相应的时区 2. 单击“手动配置日期和时间”单选按钮,设置当前的时间 3. 单击<确定>按钮完成设置 |
· 恢复出厂缺省配置后,当前的配置将会丢失。如果您希望保存当前配置信息,请进行备份。
· 恢复出厂缺省配置的过程中,请您不要对S1600进行其他操作,否则可能造成S1600不能正常工作。
页面向导:系统管理→恢复缺省配置
本页面为您提供如下主要功能:
|
· 将S1600恢复为出厂缺省配置(请慎用) |
|
当您选择<恢复配置,但保留管理IP>按钮来恢复S1600出厂缺省配置后,则可以继续使用当前的IP地址重新登录S1600进行设置和管理;当您选择<恢复缺省配置>按钮,则需要使用缺省的IP地址重新登录S1600进行设置和管理。
重新启动S1600之前,请您先保存当前配置。否则重新启动后,未保存的配置信息将会丢失。
页面向导:系统管理→重启动
本页面为您提供如下主要功能:
|
· 重新启动S1600 |
|
在升级过程中,请勿将S1600断电。
页面向导:系统管理→软件升级
本页面为您提供如下主要功能:
|
· 将S1600软件升级到最新版本,可使您的设备性能更稳定、功能更优越(单击<浏览>按钮,选择最新的版本文件,单击<确定>按钮,即可开始升级) |
|
页面向导:系统管理→故障维护
当S1600运行出现异常时,您可以分别单击页面中的<故障收集>和<配置导出>按钮,确认后,S1600可以自动把当前故障定位所需的各种信息及配置信息压缩成定位信息文件下载到本地。H3C技术支持人员可以根据该文件快速、准确地定位问题,从而可以更好地为您解决S1600的使用问题。
管理PC控制主要用于授权指定IP地址或者IP网段的主机按照特定的服务类型访问设备。
·
服务类型分为Telnet、Http和SNMP。
Telnet:是指可以通过支持Telnet协议的工具访问设备。
Http:是指可以通过Web管理页面访问设备。
SNMP:是指可以通过SNMP管理站访问设备。
· 如果不配置管理PC控制,所有路由可达的主机均可以通过Telnet、Http或SNMP方式连接并管理设备。
页面向导:系统管理→管理PC控制→管理PC控制
本页面为您提供如下主要功能:
|
· 显示所有管理PC的配置记录(主页面) · 删除单条管理PC的配置记录(单击主页面上待删除记录后面的<删除>按钮生效) · 批量删除管理PC的配置记录(在主页面勾选多条配置记录,单击<批量删除>按钮生效) |
|
|
· 新建管理PC配置(单击主页面上的<新建>按钮,进入相应页面。输入起始IP地址、结束IP地址并且勾选服务类型,单击<确定>按钮生效) |
|
|
· 修改管理PC配置(单击主页面上待修改管理PC的配置记录,进入相应页面。修改起始IP地址、结束IP地址或者重新勾选服务类型,单击<确定>按钮生效) |
|
如果您已经完成了所有配置项的设置以及保存操作,需要退出Web设置页面,可单击导航栏中的
,确认后即可退出。
本章节主要包含以下内容:
· 设置端口基本功能
· 设置PoE
· 设置链路聚合
· 诊断端口电缆
页面向导:端口管理→端口设置→端口设置
本页面为您提供如下主要功能:
|
· 显示S1600当前端口的属性状态(主页面) |
|
|
· 设置单个端口的属性(单击主页面上端口对应的表项,进入相应的设置页面) |
|
|
· 批量地设置指定端口的属性(单击主页面上的<批量配置>按钮,进入相应的设置页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
链接状态 |
端口的实际工作速率和模式,若未连接显示为“--” |
|
速率/双工 |
端口的双工模式存在三种情况: · 当您希望端口在发送报文的同时可以接收报文,可以将端口设置为全双工(full)属性; · 当您希望端口同一时刻只能发送报文或接收报文时,可以将端口设置为半双工(half)属性; · 当您设置端口为自协商(auto)状态时,端口的双工状态由本端口和对端端口自动协商而定 缺省情况下,端口的速率和双工模式均为自协商 |
|
优先级 |
端口的优先级别共0~7级,0为最低,7为最高 对于不带有802.1Q标签头的报文,S1600将使用端口的优先级作为该端口接收报文的802.1p优先级,然后根据该优先级查找本地优先级映射表,为报文标记本地优先级 缺省情况下,端口的优先级为0 |
|
流控 |
当S1600和对端交换机都开启了流量控制功能后,如果S1600发生拥塞: 1. S1600将向对端交换机发送流控帧,通知对端交换机暂时停止发送报文 2. 对端交换机在接收到该流控帧后,将暂停向S1600发送报文,从而避免了报文丢失现象的发生,保证了网络业务的正常运行 缺省情况下,端口流控处于关闭状态 |
|
开启/关闭 |
开启/关闭端口。如果某端口显示关闭,则不能转发数据 缺省情况下,端口处于开启状态 |
|
风暴抑制比 |
您可以在端口下设置其允许通过的最大广播/组播/未知单播报文流量。当端口上的广播/组播/未知单播流量超出您设置的值后,S1600将丢弃超出广播/组播/未知单播流量限制的报文,从而使端口广播/组播/未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行 缺省情况下为100%,表示不抑制 |
|
隔离状态(隔离) |
通过端口隔离特性,您可以将需要进行控制的端口加入到一个隔离组中(“开启”表示加入到隔离组;“关闭”表示退出隔离组),实现隔离组中的端口之间二层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案 缺省情况下,端口未加入到隔离组 说明: · 只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口的通信不会受到影响 · 当聚合组中的某个端口加入或离开隔离组时,该聚合组中的其它端口,均会自动加入或离开该隔离组 · 当聚合组中的某个端口离开聚合组时,该聚合组中的其他端口仍将处于隔离组中,即该聚合组中端口的隔离属性不受影响 · 当未隔离端口加入到已隔离的聚合组时,该端口为自动加入隔离组 · 端口隔离特性与以太网端口所属的VLAN无关 |
端口镜像是将被镜像端口的报文复制一份到监控端口,监控端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到监控端口的报文,进行网络监控和故障排除。
S1600提供本地端口镜像功能,即被镜像端口和监控端口在同一台设备上。
图6-1 本地端口镜像示意图
页面向导:端口管理→端口设置→端口镜像
本页面为您提供如下主要功能:
|
· 通过设置被镜像端口和监控端口实现S1600本地端口镜像 |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
监控端口(镜像端口) |
选择监控端口,“不镜像”表明关闭S1600的端口镜像功能 说明: · 若某端口被设为监控端口后,不能再设置为被镜像端口 · 仅当您设置了监控端口后,才能设置被镜像端口 · 对于已加入某个汇聚组的端口不允许设置为监控端口 |
|
镜像方向 |
选择被镜像端口,“不镜像”表明该端口不被镜像 镜像方向含义如下: · 镜像入端口:只有该端口接收的报文才被镜像到监控端口 · 镜像出端口:只有该端口发送的报文才被镜像到监控端口 · 镜像入和出端口:出入该端口的报文均被镜像到监控端口 |
页面向导:端口管理→端口设置→端口统计
本页面为您提供如下主要功能:
|
· 查看S1600各端口接收/发送的总数据包信息(主页面) |
|
|
· 查看S1600指定端口的接收/发送的各类错误包个数(单击主页面上端口对应的表项,即可进入相应的统计信息页面) |
|
页面中关键项的含义如下表所示。
表6-3 页面关键项描述
|
页面关键项 |
描述 |
|
刷新速率 |
您可选择刷新速率来定时自动更新当前页面的统计数据 |
|
清零/统计清零 |
您可单击该按钮来清空当前页面的统计数据 |
|
刷新/统计刷新 |
您可单击该按钮来立即更新当前页面的统计数据 |
表6-4 端口接收/发送的数据包描述
|
报文 |
描述 |
|
接收统计 |
|
|
总数据包 |
接收报文的总数量 |
|
总字节数 |
接收报文的总字节数 |
|
广播包 |
接收广播报文的总数量 |
|
多播包 |
接收多播报文的总数量 |
|
接收错误包 |
接收错误报文的总数量 |
|
Runts错误包 |
CRC正确,且数据帧长度小于64字节的报文数量 |
|
Giants错误包 |
CRC正确,且数据帧长度大于1518字节的报文数量 |
|
CRC错误包 |
CRC错误,且数据帧长度处于64~1518字节的报文数量 |
|
Frame错误包 |
数据帧长度处于64~1518字节,且报文的FCS(帧校验序列)的字节数为非整数的报文数量 |
|
Aborts错误包 |
接收到的非法报文总数,非法报文包括: · 报文碎片:长度小于64字节(长度可以为整数或非整数)且CRC校验错误的帧 · jabber帧:大于1518或1522字节,且CRC校验错误(报文字节可以为整数或非整数) · 符号错误帧:报文中至少包含1个错误的符号 · 长度错误帧:报文中802.3长度字段与报文实际长度(46~1500字节)不匹配 |
|
Ignored错误包 |
由于端口接收缓冲区不足等原因而丢弃的报文数量 |
|
发送统计 |
|
|
总数据包 |
发送报文的总数量 |
|
总字节数 |
发送报文的总字节数 |
|
广播包 |
发送广播报文的总数量 |
|
多播包 |
发送多播报文的总数量 |
|
发送错误包 |
发送错误报文的总数量 |
|
Aborts错误包 |
发送失败的报文总数,即报文已经开始发送,但由于各种原因(如冲突)而导致发送失败 |
|
Deferred错误包 |
第一次传输请求由于网络忙而延迟的报文数量 |
|
Collisions错误包 |
端口在报文传输过程中所产生冲突的报文数量 |
|
Late collisions错误包 |
延迟冲突帧的数量,延迟冲突帧是指帧的前512 bits已经被发送,由于检测到冲突,该帧被延迟发送 |
端口限速是指基于端口的速率限制,它采用令牌桶进行报文流量的控制。令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
端口限速支持入/出两个方向,为了方便描述,此处以出端口限速处理过程为例:
所有经由该端口发送的报文首先要经过令牌桶进行处理。当令牌桶中存有令牌时,报文可以根据该令牌进行发送;否则,报文将进入端口缓存进行拥塞管理。这样,就可以对通过该端口的报文流量进行控制,如图6-2所示。
页面向导:端口管理→端口设置→端口限速
本页面为您提供如下主要功能:
|
· 查看S1600各端口入/出端口限速状态(主页面。“--”表示未进行限速) |
|
|
· 设置单个端口的入/出端口限速(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量地设置指定端口的入/出端口限速(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
用户通过端口流量监控,能够以图形的方式来监控设备每个端口的当前流量以及指定端口一段时间内的流量变化。
流量监控由流量监控柱状图和流量监控折线图组成:
· 流量监控柱状图:用柱状图来显示各端口当前接收速率和发送速率的状态。
· 流量监控折线图:用折线波动方式显示指定端口的一段时间内的流量变化。
流量监控柱状图的高度是当前端口接收/发送速率相对于流量上限的比重乘以柱状图的最大高度。
流量监控折线图中最多显示120个抽样点。
页面向导:端口管理→端口设置→流量监控
本页面为您提供如下主要功能:
|
· 通过速率柱状图监控端口流量 · 在“流量上限”下拉框中选择柱状图的上限值,便可观察各端口接收/发送速率相对于该上限值所占的比重,当比重超过95%,柱状图边框会有红色预警 · 在“抽样间隔”下拉框中选择时间间隔,便可使页面按照该时间间隔刷新 · 鼠标滑到某端口柱状图上,便可出现黄色文本框,显示端口号,接收速率和发送速率。单击该柱状图,便可观察该端口速率折线图 · 单击页面上的<停止监控>按钮,流量监控暂停;单击<恢复监控>按钮,流量监控功能恢复 |
|
|
· 通过速率折线图监控端口流量 · 单击柱状图中的端口号或在“端口号”下拉框中选择指定的端口,便可实时观察该端口的速率变化 · 折线图底部显示接收速率和发送速率的当前值,峰值和均值 |
|
本配置仅S1626-PWR支持。
PoE是指设备通过以太网电口,利用双绞线对网络远端下挂的受电设备进行远程供电,实现供电和数据传输并行的机制。
PoE系统由PSE、PD、和PI三部分组成:
· PSE:由电源和PSE功能模块构成。可实现PD检测、PD功率信息获取、远程供电、供电监控、设备断电功能;
· PD:接受PSE供电的设备。分为标准PD和非标准PD,标准的PD是指符合802.3at标准的PD设备。常见的PD有IP电话、无线AP、网络摄像头等;
· PI:PSE/PD与网线的接口,也就是RJ-45接口。
· 可靠:集中式电源供电,备份方便,电源统一管理,安全性高;
· 连接简捷:网络终端不需要外接电源,只需要一根网线;
· 标准:符合802.3at标准,使用全球统一的电源接口;
· 应用前景广泛:可以用于IP电话、无线AP(Access Point)、便携设备充电器、刷卡机、网络摄像头、数据采集系统等。
表6-5 PoE机型供电特性参数
|
机型 |
输入电源 |
对外供电的电口数目 |
最长供电距离 |
每个电口提供的最大功率 |
整机最大PoE输出功率 |
|
S1626-PWR |
交流 |
24(端口1~端口24) |
100m |
30W |
154W |
设备PoE机型特点:
· 作为供电方设备,支持IEEE802.3at线路供电标准,也可以对一部分不符合802.3at标准的设备供电;
· 可通过3/5类双绞线的数据线(1、2、3、6)同时传递数据和电流;
· 可对每个PoE端口以及整个设备的供电情况进行统计,通过WEB进行显示;
· 在电源设备功率过载时,提供两种方式(自动方式和手动方式)对端口供电进行管理。
若S1626-PWR的受电设备支持LLDP功能并希望获取S1626-PWR的供电信息,可通过开启双方设备的LLDP功能实现。
页面向导:端口管理→PoE配置→PoE设置
本页面为您提供如下主要功能:
|
· 选择待配置的PoE端口(端口25、26不支持PoE配置) |
|
|
· 设置端口PoE供电的最大功率 |
|
|
· 设置端口PoE功能开启或关闭 |
|
|
· 设置端口PoE供电方式和端口供电优先级 |
|
页面中关键项的含义如下表所示。
表6-6 页面关键项描述
|
页面关键项 |
描述 |
|
供电级别 |
选择端口PoE供电的最大功率,选择中功率则端口最大提供25瓦的功率输出,选择高功率则端口提供最大30瓦的功率输出 |
|
PoE状态 |
选择开启或关闭端口PoE功能,缺省端口PoE处于开启状态 |
|
PoE模式 |
如果端口选择自动供电模式,则设备优先满足端口号小的端口供电 如果端口选择保证供电模式,则设备优先保证该端口的供电 |
页面向导:端口管理→PoE配置→PoE显示
本页面为您提供如下主要功能:
|
· 显示PoE设备软件版本及设备PoE供电状态信息 |
|
|
· 显示全部端口供电状态图示信息 |
|
|
· 显示选择端口供电状态信息 |
|
页面中关键项的含义如下表所示。
表6-7 页面关键项描述
|
页面关键项 |
描述 |
|
设备显示 |
显示PoE软件版本、设备PoE供电状态,当前设备最大功率、受电设备占用功率及设备剩余功率等 |
|
全部端口状态显示 |
显示端口PoE输出功率状态,根据颜色显示端口状态,绿色水线表示已使用功率占端口最大功率的比例 |
|
选择端口状态显示 |
选择指定端口显示端口PoE的供电状态,端口供电模式,最大功率和已使用功率 |
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
链路聚合可以实现出负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。
如图6-3所示,Device A与Device B之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路Link aggregation 1,这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。
聚合组
聚合组是一组以太网端口的集合。聚合组是随着聚合端口的创建而自动生成的,其编号与聚合端口编号相同。
聚合组中的成员端口在稳定时有下面两种状态:
· Selected状态:处于此状态的端口可以参与转发用户业务流量;在一个聚合组中,处于Selected状态的端口中的最小端口是聚合组的主端口,其他的作为成员端口。
· Standby状态:处于此状态的端口不能转发用户业务流量。
在聚合过程中可能会有短暂的unselected状态,只是一个中间状态,可以不关心。
聚合端口的速率、双工状态由其Selected成员端口决定:聚合端口的速率是Selected成员端口的速率之和,聚合端口的双工状态与Selected成员端口的双工状态一致。
LACP协议
基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU与对端交互信息。
启动某端口的LACP协议后,该端口将通过发送LACPDU向对端通告自己的系统LACP优先级、系统MAC、端口优先级、端口号和操作Key。对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组达成一致。
操作Key是在链路聚合时,聚合控制根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。
S1600支持以下两种链路聚合模式:
· 手工聚合
· 静态LACP聚合
链路聚合后,成员端口的基本配置和主端口的基本配置保持一致,即在同一个汇聚组中,能进行出/入负荷分担的成员端口具有相同的基本配置。基本配置包括:
· STP配置一致,包括:端口的STP开启/关闭、STP优先级、STP开销、是否开启环路保护和根保护、是否为边缘端口等。
· QoS配置一致。
· ACL配置一致。S1650不支持ACL配置同步。
· VLAN配置一致,包括:端口上允许通过的VLAN、端口缺省VLAN ID。
· 端口的链路类型一致。
手工聚合简介
手工聚合由用户手工配置,不允许系统自动添加或删除聚合组中的端口。聚合组中必须至少包含一个端口。
手工聚合端口的LACP协议处于关闭状态。
手工聚合组中的端口状态
在手工聚合组中,加入到聚合组中的端口将处于Selected状态。
手工聚合时,系统对端口的速率和双工设置未作限制。
静态LACP聚合简介
静态LACP模式由用户手工配置,不允许系统自动添加或删除聚合组中的端口。
静态LACP聚合端口的LACP协议为开启状态。
静态LACP聚合组中的端口状态
在静态聚合组中,系统按照以下原则设置端口处于Selected或者Standby状态:
· 当聚合组内有处于up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口作为该组的主端口。只有与主端口的速率、双工属性和链路状态一致的端口才允许成为Selected状态,其他端口均处于Standby状态。
· 与处于Selected状态的最小端口所连接的对端设备不同,或者连接的是同一个对端设备但端口在不同的聚合组内的将处于Standby状态。
· 因存在硬件限制而无法与主端口聚合的端口将处于Standby状态。
· 与主端口基本配置不同的端口将处于Standby状态。
页面向导:端口管理→链路聚合→链路聚合
本页面为您提供如下主要功能:
|
· 查看当前的链路聚合状态及设置聚合算法(主页面) |
|
|
· 创建新的链路聚合,有手工和静态LACP两种模式供您选择(单击主页面上的<新建>按钮,进入相应的页面) |
|
|
· 修改已创建的链路聚合(选中主页面上的某表项,双击它或单击<修改>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
聚合算法 |
端口汇聚一般有三种物理链路的分配算法: · 基于源MAC地址:表示汇聚组中各成员端口根据源MAC地址进行负荷分担 · 基于目的MAC地址:表示汇聚组中各成员端口根据目的MAC地址进行负荷分担 · 基于源MAC地址和目的MAC地址:表示汇聚组中各成员端口根据源MAC地址和目的MAC地址进行负荷分担 缺省情况下,S1600汇聚组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担 |
页面向导:端口管理→链路聚合→LACP端口设置
本页面为您提供如下主要功能:
|
· 显示当前所有端口的LACP参数状态(主页面) |
|
|
· 设置单个端口的LACP参数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量地设置指定端口的LACP参数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
优先级(LACP端口优先级) |
缺省情况下,LACP端口优先级为32768 |
|
聚合组 |
端口所属的聚合组,“--”表示该端口未加入聚合组 |
页面向导:端口管理→链路聚合→LACP全局设置
本页面为您提供如下主要功能:
|
· 设置系统LACP优先级,缺省为32768 |
|
在电缆诊断过程中,请不要插拔端口网线。
页面向导:端口管理→电缆诊断→电缆诊断
本页面为您提供如下主要功能:
|
· 当线路出现故障时,您可对端口所连接的电缆进行诊断,便于您检查网络中电缆的工作情况(在“端口”文本框中输入需要诊断的端口号,单击<确定>按钮,即可完成该端口的电缆诊断) |
|
诊断结果说明如下表所示。
表6-10 诊断结果描述
|
诊断信息 |
描述 |
|
状态 |
显示端口的连接状态 说明: 显示为“正常”表明端口已连接;显示为“开路”表明端口未连接;显示为“短路”表明某对差分线发生了短路 |
|
长度 |
· 当电缆状态为“正常”时,显示信息中不体现连接电缆的长度 · 当电缆状态为“短路”时,显示信息中的长度是指从本接口到异常位置的长度 |
本章节主要包含以下内容:
· 设置VLAN
· 设置QoS
· 设置STP
· 设置SNMP
· 设置信息中心
· 设置LLDP
传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:
· HUB是物理层设备,没有交换功能,接收到的报文会向除接收端口外的所有端口转发;
· 交换机是数据链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除接收端口之外的所有端口转发。
上述情况会造成以下的网络问题:
· 网络中可能存在着大量广播和未知单播报文,浪费网络资源。
· 网络中的主机收到大量并非以自身为目的地的报文,引起了严重的安全隐患。
解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器,因为路由器是依据目的IP地址对报文进行转发,不会转发链路层的广播报文。但是路由器的成本较高,而且端口较少,无法细致地划分网络,所以使用路由器隔离广播域有很大的局限性。
为了解决以太网交换机在局域网中无法限制广播的问题,VLAN技术应运而生。
VLAN的组成不受物理位置的限制,因此同一VLAN内的主机也无须放置在同一物理空间里。
如图7-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。同一VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互,而处在不同VLAN内的主机之间如果需要通信,则必须通过路由器或三层交换机等网络层设备才能够实现。
图7-1 VLAN组网示意图
与传统以太网相比,VLAN具有如下的优点:
· 控制广播域的范围:局域网内的广播报文被限制在VLAN内,节省了带宽,提高了网络处理能力。
· 增强了LAN的安全性:由于报文在数据链路层被VLAN划分的广播域所隔离,因此各个VLAN内的主机间不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。
· 灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
S1600支持以下两种VLAN功能模式:
· 802.1Q VLAN模式:由IEEE 802.1Q协议定义,通过识别报文中的Tag标记(包括802.1p优先级和VLAN ID等信息)来对报文进行处理。
· 基于端口的VLAN模式:根据端口所属的用户组来对报文进行处理,即属于同一个用户组的端口能互相通信,不同用户组的端口二层隔离。比如:一台网络服务器供4个用户访问使用,用户1和其他三个用户能互通但其他三个用户之间均隔离。此时,您就可以通过此模式来划分不同的用户组进行实现,即将用户1分别和其他三个用户划分到不同的用户组。
VLAN功能模式改变之后,之前所做的VLAN配置将丢失。
页面向导:设备管理→VLAN设置→高级
本页面为您提供如下主要功能:
|
· 选择S1600的VLAN功能模式(缺省情况下,VLAN功能模式为802.1Q VLAN) |
|
您需要先将S1600的VLAN功能模式设置为802.1Q VLAN模式,相关操作请参见“7.1.2 选择VLAN功能模式”。
(1) VLAN Tag
为使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,识别字段需要添加到数据链路层封装中。
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN Tag的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图7-2所示。
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文上层协议的类型字段,Data表示报文的具体内容。
IEEE 802.1Q协议规定,在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
图7-3 VLAN Tag的组成字段
如图7-3所示,VLAN Tag包含四个字段,分别是TPID、Priority、CFI和VLAN ID。
· TPID:用来标识本数据帧是带有VLAN Tag的数据帧。该字段长度为16bit,缺省取值为协议规定的0x8100。
· Priority:用来表示802.1p的优先级。该字段长度为3bit。
· CFI:用来标识MAC地址是否以标准格式进行封装。该字段长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。
· VLAN ID:用来标识该报文所属VLAN的编号。该字段长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。
(2) 端口链路类型
S1600支持的端口链路类型有三种:
· Access:端口只能属于1个VLAN,一般用于连接用户设备。缺省情况下,所有端口都属于Access端口;
· Trunk:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于网络设备之间连接;
· Hybrid:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。
Hybrid端口和Trunk端口的不同之处在于:
· Hybrid端口允许多个VLAN的报文发送时不带Tag标签;
· Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。
缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。
· Access端口的缺省VLAN就是它所属的VLAN;
· Trunk端口和Hybrid端口属于多个VLAN,需要配置缺省VLAN。
三种类型的端口可以共存在一台S1600上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:将Trunk切换为Hybrid端口时,需要先将Trunk端口设置为Access端口,再设置为Hybrid端口。
在配置了端口链路类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参见下表。
|
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
||
|
Access |
为报文打上端口缺省VLAN ID所对应的VLAN Tag |
· 当报文VLAN ID与端口缺省VLAN ID相同时,接收该报文 · 当报文VLAN ID与端口缺省VLAN ID不同时,丢弃该报文 |
删除报文的Tag后再转发 |
|
Trunk |
对比端口缺省VLAN ID是否在允许通过的VLAN ID中:是,给报文打上端口缺省VLAN ID所对应的VLAN Tag;否,丢弃该报文 |
· 当报文VLAN ID在允许通过的VLAN ID中时,则接收该报文 · 当报文VLAN ID不在允许通过的VLAN ID中时,则丢弃该报文 |
· 当报文VLAN ID与端口缺省VLAN ID相同时:去掉Tag,发送该报文 · 当报文VLAN ID与端口缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
|
Hybrid |
当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过“4. 设置Hybrid端口”配置端口在发送该VLAN的报文时是否携带Tag |
||
页面向导:设备管理→VLAN设置→802.1Q VLAN
本页面为您提供如下主要功能:
|
· 显示和查询S1600的VLAN信息及其所包含的端口(主页面。VLAN 1缺省包含所有的端口) |
|
|
· 新建VLAN(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入所需创建的VLAN,单击<确定>按钮生效) |
|
|
· 新建Access端口(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入VLAN,并选择需要加入该VLAN的端口,单击<确定>按钮生效) |
|
|
· 修改VLAN中的Access端口(单击主页面上VLAN对应的表项,进入相应的页面。重新指定需要加入该VLAN中端口,单击<确定>按钮生效) |
|
页面向导:设备管理→VLAN设置→Trunk端口
本页面为您提供如下主要功能:
|
· 显示S1600当前的Trunk端口信息(主页面) |
|
|
· 新建Trunk端口(单击主页面上的<新建>按钮,进入相应的页面。指定Trunk端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
|
· 修改Trunk端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
端口缺省VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。
页面向导:设备管理→VLAN设置→Hybrid端口
本页面为您提供如下主要功能:
|
· 显示S1600当前的Hybrid端口信息(主页面) |
|
|
· 新建Hybrid端口(单击主页面上的<新建>按钮,进入相应的页面。指定Hybrid端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
|
· 修改Hybrid端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
· 在“Tagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文带VLAN Tag;在“Untagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文不带VLAN Tag。
· 端口缺省的VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。
您需要先将S1600的VLAN功能模式设置为基于端口VLAN模式,相关操作请参见“7.1.2 选择VLAN功能模式”。
页面向导:设备管理→VLAN设置→基于端口VLAN
本页面为您提供如下主要功能:
|
· 显示和查询S1600当前的用户组信息(主页面) |
|
|
· 新建用户组(单击主页面上的<新建>按钮,进入相应的页面。设置用户组ID,即VLAN ID,并根据实际需求选择需要加入该用户组的端口,单击<确定>按钮生效) |
|
|
· 修改用户组(单击主页面上VLAN对应的表项,进入相应的页面。修改需要加入该用户组的端口,单击<确定>按钮生效) |
|
VLAN自动设置功能主要是配合H3C提供的VLAN设置工具使用的。当S1600的VLAN自动设置功能开启后,您可以通过VLAN设置工具来设置并获取酒店房间与S1600端口的对应关系,便于排查酒店布线结构。
· VLAN自动设置功能只允许在802.1Q VLAN模式下操作。
· 您可以在H3C网站下载VLAN设置工具,具体的操作请参见“12 附录 - VLAN设置工具”。
页面向导:设备管理→VLAN设置→VLAN自动设置
本页面为您提供如下主要功能:
|
· 开启/关闭S1600的VLAN自动设置功能、显示端口对应的房间号 |
|
页面中关键项的含义如下表所示。
表7-2 页面关键项描述
|
页面关键项 |
描述 |
|
VLAN自动设置功能 |
选择开启/关闭VLAN自动设置功能。仅当该功能开启后,您才可以通过酒店VLAN设置工具进行设置 缺省情况下,VLAN自动设置功能处于关闭状态 |
|
端口描述 |
显示端口对应的房间号。当您通过酒店VLAN设置工具进行设置后,端口描述将显示为“room+房间号” 缺省情况下,端口描述显示为“port+端口号” |
在园区网中,基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户互相二层隔离。VLAN是天然的隔离手段,于是很自然的想法是每个用户一个VLAN。如图7-4所示,Switch B和Switch C上分别接入三个用户,如果给每个用户划分一个VLAN,则需要占用Device A上的六个VLAN资源。
根据IEEE 802.1Q协议规定,设备最大可使用VLAN资源为4094个。对于核心层设备来说,如果每个用户一个VLAN,4094个VLAN远远不够。为解决VLAN资源紧缺的问题,Isolate-user-vlan应运而生。
支持Isolate-user-vlan功能后,可以将图7-4中的用户所在的VLAN(VLAN 10~15)配置为Secondary VLAN,将VLAN 2和VLAN 3配置为Isolate-user-vlan(如图7-5)。这样,Device A上只需配置VLAN 2和VLAN 3,节省了四个VLAN资源。
Isolate-user-vlan采用二层VLAN结构,它在同一台设备上设置Isolate-user-vlan和Secondary VLAN两类VLAN。
· Isolate-user-vlan用于上行,不同的Secondary VLAN关联到同一个Isolate-user-vlan。上行连接的设备只知道Isolate-user-vlan,而不必关心Secondary VLAN,简化了网络配置,节省了VLAN资源。
· Secondary VLAN用于连接用户,Secondary VLAN之间二层报文互相隔离。
· 一个Isolate-user-vlan可以和多个Secondary VLAN相对应。Isolate-user-vlan下面的Secondary VLAN对上行设备不可见。
Isolate-user-vlan主要应用在在园区网或企业网接入中,实现二层报文隔离的同时节省VLAN资源。
配置Isolate-user-vlan功能后,系统会自动对Isolate-user-vlan和Secondary VLAN所包含的端口进行配置同步。
· 对于上行端口,会将端口类型修改为Hybrid,并允许来自Secondary VLAN的报文以untagged方式通过。
· 对于下行端口,会将端口类型修改为Hybrid,并允许来自Isolate-user-vlan的报文以untagged方式通过。
Secondary VLAN到Isolate-user-vlan的同步,即下行端口在Secondary VLAN内学习到的动态MAC地址都同步至Isolate-user-vlan内。
Isolate-user-vlan设置主要包括三个步骤:
(1) 设置Isolate-user-vlan。
(2) 设置Secondary VLAN。
(3) 设置Isolate-user-vlan和Secondary VLAN间的映射关系。
· 不允许VLAN1、设置Guest VLAN或开启IGMP Snooping功能的VLAN为Isolate-user-vlan或Secondary VLAN。
· 不允许设置存在Trunk端口的VLAN为Isolate-user-vlan或Secondary VLAN。
页面向导:设备管理→用户隔离VLAN→用户隔离VLAN配置
本页面为您提供如下主要功能:
|
· 创建Isolate-user-vlan(选中“创建Isolate user vlan”单选框,并输入相应的VLAN值,单击<创建>按钮生效) · 删除Isolate-user-vlan(选中“删除Isolate user vlan”单选框,并选择需要删除的列表项,单击<删除>按钮生效) · 显示Isolate-user-vlan和Secondary VLAN的设置状态 |
|
页面向导:设备管理→用户隔离VLAN→用户隔离VLAN端口配置
本页面为您提供如下主要功能:
|
· 在Isolate-user-vlan中添加指定端口(选择已创建的Isolate-user-vlan,并指定相应的端口,单击<确定>按钮生效) |
|
页面向导:设备管理→VLAN设置→802.1Q VLAN
相关操作请参见“7.1.3 2. 创建/显示/维护VLAN”。
页面向导:设备管理→用户隔离VLAN→用户隔离VLAN端口配置
本页面为您提供如下主要功能:
|
· 在Secondary VLAN中添加指定端口(选择已创建的Secondary VLAN,并指定相应的端口,单击<确定>按钮生效) |
|
页面向导:设备管理→用户隔离VLAN→用户隔离VLAN关联配置
本页面为您提供如下主要功能:
|
· 建立Isolate-user-vlan和Secondary VLAN关联(选择相应的Isolate-user-vlan,并在列表框中选中需建立关联的Secondary VLAN,单击<建立关联>按钮生效) · 解除Isolate-user-vlan和Secondary VLAN关联(选择相应的Isolate-user-vlan,并在列表框中选中需解除关联的Secondary VLAN,单击<解除关联>按钮生效) |
|
S1600支持以下三种类型的MAC地址表项:
· 静态:手动添加,且该MAC地址表项不会被老化。当您添加后,该表项即为“已绑定”状态(组播MAC地址表项不支持绑定操作)。
· 动态:自动学习或手动添加,且该MAC地址表项会被老化。当您添加后,该表项处于“未绑定”状态;如果您对其执行了绑定操作,即成为静态表项(组播MAC地址表项不支持绑定操作)。
· 黑洞:手动添加,所有目的地址为该MAC地址的报文都会被丢弃(比如,处于安全考虑,可以屏蔽某个用户接收报文),且不支持绑定操作。
当您开启了指定端口的MAC地址过滤功能后,S1600会根据该端口下处于“绑定”状态的表项对报文进行过滤(即系统会丢弃和绑定表项不匹配的报文),从而可以有效地控制网络访问。
页面向导:设备管理→MAC设置→MAC显示
本页面为您提供如下主要功能:
|
· 显示和查询(通过MAC地址和VLAN的条件组合)设备所有的MAC地址表项信息(主页面) · 将指定的MAC地址表项进行绑定(选中主页面中需要绑定的表项,单击<绑定>按钮生效) |
|
|
· 添加新的MAC地址表项(单击主页面中的<添加>按钮,在弹出的对话框中设置MAC地址表项相关参数,单击<确认>按钮生效) |
|
|
· 修改静态或黑洞MAC地址表项(单击主页面中的相应MAC地址表项,即可对该表项进行修改操作) |
|
页面向导:设备管理→MAC设置→端口MAC显示
本页面为您提供如下主要功能:
|
· 显示指定端口下的MAC地址表项信息(主页面) · 将端口下未绑定的MAC地址表项进行绑定(选择相应的端口号,并选中该端口下未绑定的MAC地址表项,单击<绑定>按钮生效) |
|
|
· 修改端口下的静态或黑洞MAC地址表项(单击端口下相应的MAC地址表项,即可对该表项进行修改操作) |
|
页面向导:设备管理→MAC设置→端口MAC过滤
本页面为您提供如下主要功能:
|
· 显示各端口MAC地址过滤功能状态(主页面) |
|
|
· 开启指定端口的MAC地址过滤功能(单击主页面上端口对应的表项,选中“MAC过滤使能”复选框,单击<确定>按钮生效) · 添加指定端口的静态MAC地址表项(单击主页面上端口对应的表项,在“MAC地址”和“VLAN”文本框中输入相应的参数后,单击<添加>按钮生效) |
|
S1600支持简单的QoS功能,在网络拥塞发生时,系统会根据您设置的报文优先级信任模式和队列调度算法来控制报文的转发次序。
S1600支持两种报文优先级信任:802.1p优先级(COS)和DSCP。S1600会根据您选择的信任优先级将报文映射到指定的队列(共支持4个队列,队列1为最低优先级,队列4为最高优先级)。
802.1p优先级位于二层报文头部,适用于不需要分析三层报文头,而需要在二层环境下保证QoS的场合。
图7-6 带有802.1Q标签头的以太网帧
如图7-6所示,4个字节的802.1Q标签头包含了2个字节的TPID和2个字节的TCI,图7-7显示了802.1Q标签头的详细内容。
图7-7 802.1Q标签头
如图7-7所示,TCI中Priority字段就是802.1p优先级,也称为CoS优先级。它由3个bit组成,取值范围为0~7。
表7-3 802.1p优先级说明
|
802.1p优先级(十进制) |
802.1p优先级(二进制) |
关键字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
表7-4 802.1p优先级与队列的映射关系
|
802.1p优先级 |
队列 |
|
1、2 |
1 |
|
0、3 |
2 |
|
4、5 |
3 |
|
6、7 |
4 |
图7-8 DS域和ToS字节
RFC2474重新定义了IP报文头部的ToS域,称之为DS域,其中DSCP优先级用该域的前6个bit(0~5bit)表示,取值范围为0~63,后2个bit(6、7bit)是保留位。
表7-5 DSCP优先级说明
|
DSCP优先级(十进制) |
DSCP优先级(二进制) |
关键字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
表7-6 DSCP优先级与队列的映射关系
|
DSCP优先级 |
队列 |
|
0~15 |
1 |
|
16~31 |
2 |
|
32~47 |
3 |
|
48~63 |
4 |
S1600支持两种队列调算法:WRR和HQ-WRR。
HQ-WRR队列调度算法:建立在WRR的基础上,当4个队列占用的带宽超过了端口的转发能力,设备首先保证高优先级队列的报文优先转发出去,然后对其余3个队列实行WRR调度。下面仅以WRR队列调度为例进行描述。
图7-9 WRR队列调度示意图
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。
以端口有4个输出队列为例,WRR可为每个队列配置一个加权值(queue4~queue1对应的加权值依次为w4、w3、w2、w1)。对于一个100M的端口,如果配置它的WRR队列调度算法的加权值为8、4、2、1(依次对应w4、w3、w2、w1),这样可以保证最低优先级队列至少获得100Mbps*1/(8+4+2+1)的带宽,避免了低优先级队列中的报文可能长时间得不到服务的缺点。
页面向导:设备管理→QoS设置→QoS
本页面为您提供如下主要功能:
|
· 设置S1600报文优先级信任模式和队列调度算法 |
|
页面中关键项的含义如下表所示。
表7-7 页面关键项描述
|
页面关键项 |
描述 |
|
优先级类型选择 |
选择报文优先级信任模式 · COS:根据802.1p优先级将报文放入对应优先级的端口输出队列 · DSCP:根据DSCP优先级将报文放入对应优先级的端口输出队列 缺省情况下,S1600根据802.1p优先级将报文放入对应优先级的端口输出队列 |
|
调度模式 |
选择队列调度模式 缺省情况下,S1600采用WRR调度算法 举例:若队列1、队列2、队列3、队列4的权重比为1:2:4:8,且队列调度模式为WRR。那么,队列1、2、3、4的数据报文在某个端口发生拥塞的时,该端口会按照1:2:4:8的流量比例来发送报文;如果调度模式选择为HQ-WRR,S1600会首先保证队列4的报文优先发送出去,然后对其余3个队列实行WRR调度 |
|
权重 |
设置队列的优先级权重 |
S1600支持STP和RSTP两种模式来消除数据链路层物理环路。
STP是根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。
STP包含了两个含义,狭义的STP是指IEEE 802.1D中定义的STP协议,广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议(如RSTP协议)。
STP采用的协议报文是BPDU,也称为配置消息。
STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程。
BPDU在STP协议中分为两类:
· 配置BPDU:用于进行生成树计算和维护生成树拓扑的报文。
· TCN BPDU:当拓扑结构发生变化时,用于通知相关设备网络拓扑结构发生变化的报文。
(1) 根桥
树形的网络结构,必须要有树根,于是STP引入了根桥(Root Bridge)的概念。
根桥在全网中只有一个,而且根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的。
(2) 路径开销
路径开销是STP协议用于选择链路的参考值。STP协议通过计算路径开销,选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构。
(3) 端口角色
· Root(根端口):负责向根桥方向转发数据的端口。
· Designated(指定端口):负责向下游网段或交换机转发数据的端口。
· Blocking(阻塞端口):被对方的指定端口抑制的端口。
(4) 端口状态
· Forwarding:该状态下的端口可收发BPDU,也转发用户流量。
· Learning:这是一种过渡状态。在这种状态下,设备会根据收到的用户流量(但仍然不转发流量)构建MAC地址表。
· Listening:这是一种过渡状态。在这种状态下,完成根桥、根端口和指定端口的选择。
· Blocking:仅接收并处理BPDU报文,不转发用户流量。
· Disabled:STP处于关闭状态或物理链路断路。
STP通过在设备之间传递BPDU来确定网络的拓扑结构。配置消息中包含了足够的信息来保证设备完成生成树的计算过程,其中包含的几个重要信息如下:
· 根桥ID:由根桥的优先级和MAC地址组成;
· 指定桥ID:由指定桥的优先级和MAC地址组成;
· 指定端口ID:由指定端口的优先级和端口名称组成;
· Message Age:配置消息在网络中传播的生存期;
· Max Age:配置消息在交换机中能够保存的最大生存期;
· Hello Time:配置消息发送的周期;
· Forward Delay:端口状态迁移的延时。
为描述方便,在下面的描述及举例中仅考虑配置消息的其中四项内容:
· 根桥ID(以设备的优先级表示);
· 根路径开销;
· 指定桥ID(以设备的优先级表示);
· 指定端口ID(以端口名称表示)。
(1) STP算法实现的具体过程
· 初始状态
各台设备在初始时会生成以自己为根桥的BPDU报文消息,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口。
· 最优配置消息的选择
各台设备都向外发送自己的配置消息,同时也会收到其他设备发送的配置消息。
最优配置消息的选择过程如表7-8所示。
|
步骤 |
内容 |
|
1 |
每个端口收到配置消息后的处理过程如下: · 当端口收到的配置消息比本端口配置消息的优先级低时,设备会将接收到的配置消息丢弃,对该端口的配置消息不作任何处理 · 当端口收到的配置消息比本端口配置消息的优先级高时,设备就用接收到的配置消息中的内容替换该端口的配置消息中的内容 |
|
2 |
设备将所有端口的配置消息进行比较,选出最优的配置消息 |
配置消息的比较原则如下:
· 根桥ID较小的配置消息优先级高;
· 若根桥ID相同,则比较根路径开销,比较方法为:用配置消息中的根路径开销加上本端口对应的路径开销,假设两者之和为S,则S较小的配置消息优先级较高;
· 若根路径开销也相同,则依次比较以下配置消息优先级,优先级较高的为根桥:指定桥ID、指定端口ID、接收该配置消息的端口ID等。
· 根桥的选择
网络初始化时,网络中所有的STP设备都认为自己是“根桥”,根桥ID为自身的桥ID。通过交换配置消息,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥。
· 根端口、指定端口的选择
根端口、指定端口的选择过程如表7-9所示。
表7-9 根端口和指定端口的选择过程
|
步骤 |
内容 |
|
1 |
非根桥设备将接收最优配置消息的那个端口定为根端口 |
|
2 |
设备根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息: · 根桥ID替换为根端口的配置消息的根桥ID · 根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销 · 指定桥ID替换为自身设备的ID · 指定端口ID替换为自身端口ID |
|
3 |
设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较,并根据比较结果进行不同的处理: · 如果计算出来的配置消息优,则设备就将该端口定为指定端口,端口上的配置消息被计算出来的配置消息替换,并周期性向外发送 · 如果端口上的配置消息优,则设备不更新该端口配置消息并将此端口阻塞,该端口将不再转发数据,只接收但不发送配置消息 |
在拓扑稳定状态,只有根端口和指定端口转发流量,其他的端口都处于阻塞状态,它们只接收STP协议报文而不转发用户流量。
一旦根桥、根端口、指定端口选举成功,则整个树形拓扑就建立完毕了。
下面结合例子说明STP算法的计算过程。具体的组网如图7-10所示,Device A的优先级为0,Device B的优先级为1,Device C的优先级为2,各个链路的路径开销分别为5、10、4。
图7-10 STP算法计算过程组网图
各台设备的初始状态如表7-10所示。
|
设备 |
端口名称 |
端口的配置消息 |
|
Device A |
AP1 |
{0,0,0,AP1} |
|
AP2 |
{0,0,0,AP2} |
|
|
Device B |
BP1 |
{1,0,1,BP1} |
|
BP2 |
{1,0,1,BP2} |
|
|
Device C |
CP1 |
{2,0,2,CP1} |
|
CP2 |
{2,0,2,CP2} |
· 各台设备的比较过程及结果
各台设备的比较过程及结果如表7-11所示。
表7-11 各台设备的比较过程及结果
|
设备 |
比较过程 |
比较后端口的配置消息 |
|
Device A |
· 端口AP1收到Device B的配置消息{1,0,1,BP1},Device A发现本端口的配置消息{0,0,0,AP1}优于接收到的配置消息,就把接收到的配置消息丢弃 · 端口AP2收到Device C的配置消息{2,0,2,CP1},Device A发现本端口的配置消息{0,0,0,AP2}优于接收到的配置消息,就把接收到的配置消息丢弃 · Device A发现自己各个端口的配置消息中根桥和指定桥都是自己,则认为自己是根桥,各个端口的配置消息都不作任何修改,以后周期性的向外发送配置消息 |
AP1:{0,0,0,AP1} AP2:{0,0,0,AP2} |
|
Device B |
· 端口BP1收到来自Device A的配置消息{0,0,0,AP1},Device B发现接收到的配置消息优于本端口的配置消息{1,0,1,BP1},于是更新端口BP1的配置消息 · 端口BP2收到来自Device C的配置消息{2,0,2,CP2},Device B发现本端口的配置消息{1,0,1,BP2}优于接收到的配置消息,就把接收到的配置消息丢弃 |
BP1:{0,0,0,AP1} BP2:{1,0,1,BP2} |
|
· Device B对各个端口的配置消息进行比较,选出端口BP1的配置消息为最优配置消息,然后将端口BP1定为根端口,它的配置消息不作改变。 · Device B根据根端口BP1的配置消息和根端口的路径开销5,为BP2端口计算一个指定端口配置消息{0,5,1,BP2} · Device B使用计算出来的配置消息{0,5,1,BP2}和端口BP2上的配置消息进行比较,比较的结果是计算出来的配置消息较优,则Device B将端口BP2定为指定端口,它的配置消息被计算出来的配置消息替换,并周期性向外发送 |
根端口BP1: {0,0,0,AP1} 指定端口BP2: {0,5,1,BP2} |
|
|
Device C |
· 端口CP1收到来自Device A的配置消息{0,0,0,AP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP1},于是更新端口CP1的配置消息 · 端口CP2收到来自Device B端口BP2更新前的配置消息{1,0,1,BP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP2},于是更新端口CP2的配置消息 |
CP1:{0,0,0,AP2} CP2:{1,0,1,BP2} |
|
经过比较: · 端口CP1的配置消息被选为最优的配置消息,端口CP1就被定为根端口,它的配置消息不作改变 · 将计算出来的指定端口配置消息{0,10,2,CP2}和端口CP2的配置消息进行比较后,端口CP2转为指定端口,它的配置消息被计算出来的配置消息替换 |
根端口CP1: {0,0,0,AP2} 指定端口CP2: {0,10,2,CP2} |
|
|
· 接着端口CP2会收到Device B更新后的配置消息{0,5,1,BP2},由于收到的配置消息比原配置消息优,则Device C触发更新过程 · 同时端口CP1收到Device A周期性发送来的配置消息,比较后Device C不会触发更新过程 |
CP1:{0,0,0,AP2} CP2:{0,5,1,BP2} |
|
|
经过比较: · 端口CP2的根路径开销9(配置消息的根路径开销5+端口CP2对应的路径开销4)小于端口CP1的根路径开销10(配置消息的根路径开销0+端口CP1对应的路径开销10),所以端口CP2的配置消息被选为最优的配置消息,端口CP2就被定为根端口,它的配置消息就不作改变 · 将端口CP1的配置消息和计算出来的指定端口配置消息比较后,端口CP1被阻塞,端口配置消息不变,同时不接收从Device A转发的数据,直到新的情况触发生成树的计算,比如:从Device B到Device C的链路出现故障 |
阻塞端口CP1: {0,0,0,AP2} 根端口CP2: {0,5,1,BP2} |
经过上表的比较过程,此时以Device A为根桥的生成树就确定下来了,形状如图7-11所示。
为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂。
(2) STP的配置消息传递机制
· 当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的配置消息,并以Hello Time为周期定时向外发送。
· 接收到配置消息的端口如果是根端口,且接收的配置消息比该端口的配置消息优先级高,则设备将配置消息中携带的Message Age按照一定的原则递增,并启动定时器为这条配置消息计时,同时将此配置消息从设备的指定端口转发出去。
· 如果某条路径发生故障,则这条路径上的根端口不会再收到新的配置消息,旧的配置消息将会因为超时而被丢弃,设备重新生成以自己为根的配置消息并向外发送BPDU,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性。
(3) STP定时器
STP计算中,需要使用三个重要的时间参数:Forward Delay、Hello Time和Max Age。
· Forward Delay为交换机状态迁移的延迟时间。
链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路。
为此,生成树协议采用了一种状态迁移的机制,根端口和指定端口重新开始数据转发之前要经历一个中间状态,中间状态经过2倍的Forward Delay的延时后才能进入Forwarding状态,这个延时保证了新的配置消息已经传遍整个网络。
· Hello Time用于交换机检测链路是否存在故障。
交换机每隔Hello Time时间会向周围的交换机发送hello报文,以确认链路是否存在故障。
· Max Age是用来判断配置消息在交换机内保存时间是否“过时”的参数,交换机会将过时的配置消息丢弃。
RSTP是STP协议的优化版。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。
· RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。
· RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。
(1) 端口角色
RSTP的端口角色相对STP增加了Alternate端口、Backup端口,并取消了Blocking端口。
· Alternate端口:是根端口用于快速切换的替换端口。当根端口被阻塞后,Alternate端口将成为新的根端口。
· Backup端口:是被本设备指定端口阻塞的端口。
(2) 端口状态
RSTP的端口状态相对STP,把原来的五种状态减少为三种状态。
· Forwarding状态:既转发用户流量又接收/发送BPDU报文。
· Learning状态:不转发用户流量,只接收/发送BPDU报文。
· Discarding状态:不转发用户流量,只接收BPDU报文。
页面向导:设备管理→STP设置→STP全局设置
本页面为您提供如下主要功能:
|
· 设置S1600 STP的全局参数(比如:生成树功能状态、桥协议数据单元处理方式、STP端口默认的路径开销、STP定时器等) |
|
页面中关键项的含义如下表所示。
表7-12 页面关键项描述
|
页面关键项 |
描述 |
|
生成树状态 |
选择生成树功能全局状态 缺省情况下,生成树功能处于关闭状态 |
|
生成树模式 |
选择哪种模式来消除数据链路层物理环路,建议您使用缺省的RSTP模式 |
|
桥协议数据单元处理 |
选择BPDU报文处理方式 · 广播:当全局的STP功能处于关闭的状态时,则广播BPDU报文 · 过滤:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 缺省情况下,BPDU报文处理方式为广播 |
|
默认路径开销 |
选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样 · IEEE 802.1D-1998:端口的路径开销取值范围为1~65535 · IEEE 802.1T:端口的路径开销取值范围为1~200000000 缺省情况下,默认路径开销采用的是IEEE 802.1T 端口速率、路径开销标准及路径开销值对应表如表7-13所示 |
|
优先级 |
桥优先级的大小决定了本设备是否能够被选作生成树的树根。您可通过配置较小的桥优先级,可以达到指定某台设备成为生成树树根的目的 缺省情况下,桥优先级为32768 |
|
Hello Time |
选中Hello Time单选框,并在文本框中设置该定时器值 缺省情况下,Hello Time为2s |
|
Max Age |
选中Max Age单选框,并在文本框中设置该定时器值 缺省情况下,最大老化时间为20s |
|
Forward Delay |
选中Forward Delay单选框,并在文本框中设置该定时器值 缺省情况下,迁移延时为15s |
|
链路速率 |
双工状态 |
802.1D-1998 |
802.1t |
|
0 |
- |
65535 |
200000000 |
|
10 Mbit/s |
Half-Duplex/Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports |
100 95 95 95 |
2000000 1000000 666666 500000 |
|
100 Mbit/s |
Half-Duplex/Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports |
19 15 15 15 |
200000 100000 66666 50000 |
|
1000Mbit/s |
Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports |
4 3 3 3 |
20000 10000 6666 5000 |
页面向导:设备管理→STP设置→STP端口设置
本页面为您提供如下主要功能:
|
· 显示当前S1600所有端口的STP状态及相关参数(主页面) |
|
|
· 设置单个端口的STP状态及相关参数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量设置端口的STP状态及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
表7-14 页面关键项描述
|
页面关键项 |
描述 |
|
STP使能(STP) |
端口的STP功能状态 · 不改变:保持当前状态 · 关闭:关闭端口STP功能 · 开启:开启端口STP功能 缺省情况下,端口STP功能处于关闭状态 说明: |
|
边缘端口 |
边缘端口是指不直接与任何交换机连接,也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口,那么当该端口由阻塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间 · 不改变:保持当前状态 · 关闭:不设置端口为边缘端口 · 开启:设置端口为边缘端口 缺省情况下,不设置端口为边缘端口 |
|
根保护 |
网络中的合法根桥可能会由于维护人员的错误配置或网络中的恶意攻击,收到优先级更高的配置消息,这样当前根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞 设置了根保护功能的端口,一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为Discarding状态,不再转发报文(相当于将与此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态 · 不改变:保持当前状态 · 关闭:不设置端口根保护功能 · 开启:设置端口根保护功能 缺省情况下,端口的根保护功能处于关闭状态 |
|
默认路径开销 |
开启/关闭端口默认路径开销 · 不改变:保持当前状态 · 关闭:关闭端口默认路径开销后,您可以在本页面的“端口路径开销”文本框中指定端口路径开销 · 开启:开启端口默认路径开销后,不能手工设置端口路径开销值,则与“STP全局设置”页面中的默认路径开销相关,相关描述请参见“7.5.3 设置STP全局参数” 缺省情况下,端口默认路径开销处于开启状态 |
|
端口开销(端口路径开销) |
缺省情况下,端口路径开销为200,000,000 说明: 仅当端口默认路径开销处于关闭状态时,才可设置 |
|
优先级(端口优先级) |
缺省情况下,端口优先级为128 |
|
点对点 |
与所指定端口相连的链路类型 · 不改变:保持当前状态 · Force true:设置端口与一条点到点链路相连 · Force false:设置端口与一条共享链路相连 · Auto:设置端口自动建立链路 缺省情况下,端口自动建立链路 |
IGMP Snooping是运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组。
IGMP Snooping运行在数据链路层。当二层以太网交换机收到主机和路由器之间传递的IGMP报文时,IGMP Snooping分析IGMP报文所带的信息。当监听到主机发出的IGMP主机报告报文(IGMP host report message)时,交换机就将该主机加入到相应的组播MAC地址表中;当监听到主机发出的IGMP离开报文(IGMP leave message)时,交换机将在相应的组播表中删除该主机端口。通过不断地监控IGMP报文,交换机就可以在二层建立和维护组播MAC地址表。之后,交换机就可以根据该组播MAC地址表转发来自路由器的组播报文。
如图7-12所示,当二层交换机没有运行IGMP Snooping时,组播数据在二层被广播;当二层交换机运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。
图7-12 二层交换机运行IGMP Snooping前后的对比
如图7-13所示,Router A连接组播源,在Switch A和Switch B上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。
结合图7-13,介绍一下IGMP Snooping相关的端口概念:
· 路由器端口(Router Port):交换机上靠近三层组播设备一侧的端口,如Switch A和Switch B各自的Ethernet0/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。
· 成员端口(Member Port):又称组播组成员端口,表示交换机上靠近组播组成员一侧的端口,如Switch A的Ethernet0/2和Ethernet0/3端口,以及Switch B的Ethernet0/2端口。交换机将本设备上的所有成员端口都记录在组播转发表中。
表7-15 IGMP Snooping端口老化定时器
|
定时器 |
说明 |
超时前应收到的报文 |
超时后交换机的动作 |
|
路由器端口老化定时器 |
交换机为其上的每个路由器端口都启动一个定时器,其超时时间为路由器端口老化时间 |
IGMP通用查询报文或PIM Hello报文 |
将该端口从路由器端口列表中删除 |
|
成员端口老化定时器 |
当一个端口加入某组播组时,交换机为该端口启动一个定时器,其超时时间为成员端口老化时间 |
IGMP成员关系报告报文 |
将该端口从组播组的转发表中删除 |
运行了IGMP Snooping的交换机对不同IGMP动作的具体处理方式如下:
IGMP查询器定期向本地网段内的所有主机与路由器发送IGMP通用查询报文,以查询该网段有哪些组播组的成员。
在收到IGMP通用查询报文时,交换机会将其通过VLAN内除收到该查询报文端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:
· 如果该端口是路由器端口列表中已有的路由器端口,则重置该路由器端口的老化定时器。
· 如果该端口不是路由器端口列表中已有的路由器端口,则将其加入路由器端口列表,并启动该路由器端口的老化定时器。
以下情况,主机会向组播路由器发送IGMP成员关系报告报文:
· 当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。
· 如果主机要加入某个组播组,它会主动向组播路由器发送IGMP成员关系报告报文以声明加入该组播组。
在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:
· 如果该端口已存在于组播组转发表中,则重置该端口的成员端口老化定时器;
· 如果该端口不在组播组转发表中,则在组播组转发表中为该端口增加转发表项,并启动该端口的成员端口老化定时器。
运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除。
运行IGMPv2的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。
当从一个成员端口上收到IGMP离开组报文时,交换机会将该报文通过VLAN内的所有路由器端口转发出去,由于并不知道该报文的接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口对应的转发表项从转发表中删除,而是重置该成员端口的老化定时器。
当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。
对于IGMP离开组报文的接收端口,交换机在该成员端口的老化时间内:
· 如果从该端口收到了主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置该成员端口的老化定时器;
· 如果没有从该端口收到主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在该成员端口老化时间超时后,将转发表中该端口对应该组播组的转发表项删除。
页面向导:设备管理→IGSP设置→IGMP Snooping
本页面为您提供如下主要功能:
|
· 设置S1600 IGMP Snooping功能状态及相关的定时器等 |
|
页面中关键项的含义如下表所示。
表7-16 页面关键项描述
|
页面关键项 |
描述 |
|
当前状态 |
开启或关闭全局IGMP Snooping功能 缺省情况下,全局IGMP Snooping功能处于关闭状态 |
|
IGMP Querier状态 |
在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据 但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据 缺省情况下,IGMP Snooping查询器功能处于关闭状态 |
|
路由端口老化时间 |
缺省情况下,路由端口老化时间为105秒 |
|
普遍组查询最大响应时间 |
您可以根据网络的实际情况来修改发送IGMP组查询报文的时间间隔。 在收到IGMP查询报文(包括普遍组查询和特定组查询)后,主机会为其所加入的每个组播组都启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的IGMP查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的组播组发送IGMP成员关系报告报文 合理配置IGMP查询的最大响应时间,既可以使主机对IGMP查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞: · 对于IGMP普遍组查询报文来说,通过配置IGMP普遍组查询的最大响应时间来填充其最大响应时间字段 · 对于IGMP特定组查询报文来说,所配置的发送IGMP特定组查询报文的时间间隔将被填充到其最大响应时间字段。也就是说,IGMP特定组查询的最大响应时间从数值上与发送IGMP特定组查询报文的时间间隔相同 缺省情况下,普遍组查询最大响应时间为10秒;特定组查询最大响应时间为2秒 |
|
特定组查询最大响应时间 |
|
|
主机端口老化时间 |
缺省情况下,主机端口老化时间为260秒 |
|
未知组播丢弃 |
未知组播数据报文是指在组播转发表中不存在对应转发表项的那些组播数据报文。当S1600收到发往未知组播组的报文时,数据报文会在未知组播数据报文所属的VLAN内广播,这样会占用大量的网络带宽,影响转发效率。您可以通过开启交换机的未知组播丢弃功能来解决此问题 缺省情况下,未知组播丢弃功能处于关闭状态,即对未知组播数据报文进行广播 说明: 此功能在IGMP Snooping关闭的情况下也生效 |
当您在指定的VLAN内开启了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效。且在VLAN内开启IGMP Snooping之前,必须先开启全局IGMP Snooping。
页面向导:设备管理→IGSP设置→IGMP Snooping
本页面为您提供如下主要功能:
|
· 设置指定VLAN内的IGMP Snooping及IGMP Snooping查询器功能状态 |
|
页面中关键项的含义如下表所示。
表7-17 页面关键项描述
|
页面关键项 |
描述 |
|
选择VLAN ID |
选择需要开启IGMP Snooping功能或IGMP Snooping查询器功能对应的VLAN |
|
IGMP Snooping状态 |
开启或关闭指定VLAN的IGMP Snooping功能 缺省情况下,VLAN下的IGMP Snooping功能处于关闭状态 |
|
IGMP Querier状态 |
若您想在指定的VLAN内生效IGMP Snooping查询器功能,需要先开启全局IGMP Snooping查询器功能 缺省情况下,IGMP Snooping查询器功能处于关闭状态 |
当启动快速删除功能后,S1600从某端口收到离开某组播组的IGMP离开报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当S1600收到对该组播组的IGMP特定组查询报文时,S1600将不再向该端口转发。
比如:当端口下只有一个用户时,您可以通过开启端口从组播组中快速删除功能来节约带宽和资源。而在连接有多个接收者的端口上,如果未知组播报文丢弃功能同时开启的情况下,则不要再开启端口从组播组中快速删除功能。否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据。
页面向导:设备管理→IGSP设置→Fast Leave
本页面为您提供如下主要功能:
|
· 显示S1600所有端口的快速删除功能状态(主页面) |
|
|
· 设置单个端口的快速删除功能状态(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量设置端口的快速删除功能状态(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
SNMP用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。
SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。
SNMP分为NMS和Agent两部分:
· NMS是运行客户端程序的工作站。
· Agent是运行在网络设备(比如:交换机)上的服务器端软件。
NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型对MIB进行Read或Write操作,生成Response报文,并将报文返回给NMS。
Agent在设备发生异常情况或状态改变时(比如:设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。
目前,S1600中的SNMP Agent支持SNMP v1版本和SNMP v2c版本。
SNMP v1、SNMP v2c采用团体名(Community Name)认证,非交换机认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问交换机上的SNMP Agent。
在SNMP报文中用管理变量来描述交换机中的管理对象。为了唯一标识交换机中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如图7-14所示。每一个节点,都可以用从根开始的一条路径唯一地标识。
图7-14 MIB树结构
MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图7-14中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符。
页面向导:设备管理→SNMP设置→SNMP代理设置
本页面为您提供如下主要功能:
|
· 设置SNMP Agent的状态、系统信息等 · 设置团体名及访问模式 |
|
页面中关键项的含义如下表所示。
表7-18 页面关键项描述
|
页面关键项 |
描述 |
|
SNMP状态 |
开启/关闭SNMP Agent功能 缺省情况下,SNMP Agent功能处于关闭状态 |
|
最大包长度 |
设置SNMP Agent能接收/发送的SNMP消息包的大小 缺省情况下,SNMP Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
|
联系信息 |
如果交换机发生故障,维护人员可以利用系统维护联系信息,及时与生产厂商取得联系,便于快速地定位和解决问题 缺省情况下,系统维护联系信息为“R&D Hangzhou, Hangzhou H3C Technologies Co., Ltd.”;设备的物理位置信息为“Hangzhou China” |
|
物理位置信息 |
|
|
SNMP版本 |
只有开启了相应的SNMP版本,S1600才会处理对应版本的SNMP数据报文 缺省情况下,S1600同时开启SNMP v1版本和SNMP v2c版本 |
|
新建团体 |
选中“新建团体”复选框后,即可新建团体名和设置团体访问模式 · 团体名:您可以采用标准的团体名(public或private)或自定义团体名 · 访问模式:团体访问MIB对象的读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置 |
Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(比如:被管理设备重新启动等)。
在设置SNMP Trap功能前必须先完成SNMP Agent的相关配置。
页面向导:设备管理→SNMP设置→SNMP Trap设置
本页面为您提供如下主要功能:
|
· 设置S1600允许发送的Trap报文和Linkup、Linkdown Trap端口的状态(主页面) |
|
|
· 新建Trap目标主机(在主页面上单击<新建>按钮,进入相应的设置页面) |
|
表7-19 页面关键项描述
|
页面关键项 |
描述 |
|
SNMP Trap功能 |
开启/关闭SNMP Trap功能,缺省情况下处于开启状态 · Coldstart Trap:当设备重新启动时,发送冷启动Trap信息 · Warmstart Trap:当SNMP模块重新启动时,发送热启动Trap信息 · Linkup Trap:当端口由down状态变为up状态时,发送链路up的Trap信息 · Linkdown Trap:当端口由up状态变为down状态时,发送链路down的Trap信息 · Authentication Trap:SNMP模块认证失败时,发送认证失败的Trap信息 说明: 当“Linkup Trap”复选框选中时,表示允许所有端口发送Linkup Trap信息;当“Linkup Trap”复选框未选中时,表示禁止所有端口发送Linkup Trap信息。同理,“Linkdown Trap”复选框也一样 |
|
Linkup、Linkdown Trap端口使能设置 |
指定端口允许/禁止发送Linkup、Linkdown Trap信息 · 使能端口:允许端口发送Linkup、Linkdown Trap信息 · 未使能端口:禁止端口发送Linkup、Linkdown Trap信息 缺省情况下,允许所有端口发送Linkup、Linkdown Trap信息 |
|
目标主机IP地址 |
设置接收Trap消息的目标主机IP地址 |
|
端口号 |
设置接收Trap消息的UDP端口号 缺省情况下,接收Trap消息的UDP端口号为162 |
|
团体名 |
设置S1600与NMS交互时所使用的团体名 |
|
Trap版本 |
设置S1600与NMS交互时所使用SNMP版本号 · v1:代表SNMP v1版本 · v2c:代表SNMP v2c版本 缺省情况下,S1600与NMS交互时所使用SNMP版本号为SNMP v1版本 |
您可以通过SNMP典型组网配置举例来进一步加深理解。
信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,从而为网络管理员监控网络运行情况和诊断网络故障提供了强有力的支持。
信息中心共有三类信息:
· log类:日志类信息
· trap类:告警类信息
· debug类:调试类信息
S1600的Web设置页面支持log类和trap类信息的显示,便于您更直观地查看。
系统信息的信息级别值越小,紧急程度越高。
|
信息级别 |
数值 |
描述 |
|
Emergency |
0 |
极其严重的错误,需要立即采取措施解决 |
|
Alert |
1 |
需要立即采取措施解决的错误 |
|
Critical |
2 |
关键性错误,需要尽快采取措施解决 |
|
Error |
3 |
需关注但不关键的错误 |
|
Warning |
4 |
系统运行存在某种差错,某项功能会受到影响 |
|
Notice |
5 |
需要适当关注的事件信息 |
|
Informational |
6 |
不需要关注的提示信息 |
|
Debug |
7 |
调试过程产生的信息 |
表7-21 告警类信息级别列表
|
信息级别 |
数值 |
描述 |
|
Critical |
0 |
紧急信息 |
|
Major |
1 |
重要信息 |
|
Minor |
2 |
次要信息 |
|
Warning |
3 |
警告信息 |
|
Cleared |
5 |
告警恢复信息 |
|
Indeterminate |
6 |
不确定信息 |
页面向导:设备管理→LOG设置→日志设置
本页面为您提供如下主要功能:
|
· 开启/关闭信息中心 · 设置日志主机 |
|
页面中关键项的含义如下表所示。
表7-22 页面关键项描述
|
页面关键项 |
描述 |
|
日志使能 |
开启/关闭信息中心。缺省情况下,信息中心处于开启状态 说明: 只有开启了信息中心(选中“日志使能”复选框),系统才会向日志主机、控制台等方向输出系统信息 |
|
发送日志等级 |
仅不高于指定级别的日志信息才可发送到日志主机,日志等级的具体描述请参见表7-20 |
|
日志主机IP地址 |
设置日志主机的IP地址 |
页面向导:设备管理→LOG设置→日志信息
本页面为您提供如下主要功能:
|
· 通过“显示日志信息等级”下拉框来筛选您需要关注的日志信息 · 通过单击<下载>按钮将所有的日志信息保存到本地,方便查看 · 通过单击<清除>按钮删除所有的日志信息 |
|
页面向导:设备管理→LOG设置→告警信息
本页面为您提供如下主要功能:
|
· 通过“显示告警信息等级”下拉框来筛选您需要关注的告警信息 · 通过单击<下载>按钮将所有的告警信息保存到本地,方便查看 · 通过单击<清除>按钮删除所有的告警信息 |
|
目前,网络设备的种类日益繁多且各自的配置错综复杂,为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息,需要有一个标准的信息交流平台。
LLDP就是在这样的背景下产生的,它提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV,并封装在LLDPDU中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
(1) LLDP报文
封装有LLDPDU的报文称为LLDP报文,其封装格式有两种:Ethernet II和SNAP。
· Ethernet II格式封装的LLDP报文
图7-15 Ethernet II格式封装的LLDP报文
如图7-15所示,是以Ethernet II格式封装的LLDP报文,其中各字段的含义如下表所示。
表7-23 Ethernet II格式封装的LLDP报文字段含义
|
字段 |
描述 |
|
Destination MAC address |
目的MAC地址,为固定的组播MAC地址0x0180-C200-000E |
|
Source MAC address |
源MAC地址,为端口MAC地址或设备桥MAC地址(如果有端口地址则使用端口MAC地址,否则使用设备桥MAC地址) |
|
Type |
报文类型,为0x88CC |
|
Data |
数据内容,为LLDPDU |
|
FCS |
帧检验序列,用来对报文进行校验 |
· SNAP格式封装的LLDP报文
图7-16 SNAP格式封装的LLDP报文
如图7-16所示,是以SNAP格式封装的LLDP报文,其中各字段的含义如下表所示。
表7-24 SNAP格式封装的LLDP报文字段含义
|
字段 |
描述 |
|
Destination MAC address |
目的MAC地址,为固定的组播MAC地址0x0180-C200-000E |
|
Source MAC address |
源MAC地址,为端口MAC地址或设备桥MAC地址(如果有端口地址则使用端口MAC地址,否则使用设备桥MAC地址) |
|
Type |
报文类型,为0xAAAA-0300-0000-88CC |
|
Data |
数据内容,为LLDPDU |
|
FCS |
帧检验序列,用来对报文进行校验 |
(2) LLDPDU
LLDPDU就是封装在LLDP报文数据部分的数据单元。在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送。
图7-17 LLDPDU的封装格式
如图7-17所示,深蓝色的Chasis ID TLV、Port ID TLV、Time To Live TLV和End of LLDPDU TLV这四种TLV是每个LLDPDU都必须携带的,其余的TLV则为可选携带。每个LLDPDU最多可携带28种TLV
(3) TLV
TLV是组成LLDPDU的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1组织定义TLV、802.3组织定义TLV和LLDP-MED TLV。
基本TLV是网络设备管理基础的一组TLV,802.1组织定义TLV、802.3组织定义TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
· 基本TLV
在基本TLV中,有几种TLV对于实现LLDP功能来说是必选的,即必须在LLDPDU中发布,如下表所示。
|
TLV名称 |
说明 |
是否必须发布 |
|
Chassis ID |
发送设备的桥MAC地址 |
是 |
|
Port ID |
标识LLDPDU发送端的端口。如果LLDPDU中携带有LLDP-MED TLV,其内容为端口的MAC地址,没有端口MAC时使用桥MAC;否则,其内容为端口的名称 |
是 |
|
Time To Live |
本设备信息在邻居设备上的存活时间 |
是 |
|
End of LLDPDU |
LLDPDU的结束标识,是LLDPDU的最后一个TLV |
是 |
|
Port Description |
端口的描述 |
否 |
|
System Name |
设备的名称 |
否 |
|
System Description |
系统的描述 |
否 |
|
System Capabilities |
系统的主要功能以及已使能的功能项 |
否 |
|
Management Address |
管理地址,以及该地址所对应的接口号和OID |
否 |
· 802.1组织定义TLV
IEEE 802.1组织定义TLV的内容如下表所示。
表7-26 IEEE 802.1组织定义的TLV
|
TLV名称 |
说明 |
|
Port VLAN ID |
端口的PVID,一个LLDPDU中最多携带一个该类型TLV |
|
Port And Protocol VLAN ID |
端口的PPVID,一个LLDPDU中可携带多个互不重复的该类型TLV |
|
VLAN Name |
端口所属VLAN的名称,一个LLDPDU中可携带多个互不重复的该类型TLV |
|
Protocol Identity |
端口所支持的协议类型,一个LLDPDU中可携带多个互不重复的该类型TLV |
目前,H3C设备不支持发送Protocol Identity TLV,但可以接收该类型的TLV。
· 802.3组织定义TLV
IEEE 802.3组织定义TLV的内容如下表所示。
表7-27 IEEE 802.3组织定义的TLV
|
TLV名称 |
说明 |
|
MAC/PHY Configuration/Status |
端口支持的速率和双工状态、是否支持端口速率自动协商、是否已使能自动协商功能以及当前的速率和双工状态 |
|
Power Via MDI |
端口的供电能力,包括PoE的类型(PSE或PD)、PoE端口的远程供电模式、是否支持PSE供电、是否已使能PSE供电以及供电方式是否可控 |
|
Link Aggregation |
端口是否支持链路聚合以及是否已使能链路聚合 |
|
Maximum Frame Size |
端口支持的最大帧长度,取端口配置的MTU |
· LLDP-MED TLV
LLDP-MED TLV为VoIP提供了许多高级的应用,包括基本配置、网络策略配置、地址信息以及目录管理等,满足了语音设备的不同生产厂商在成本有效、易部署、易管理等方面的要求,并解决了在以太网中部署语音设备的问题,为语音设备的生产者、销售者以及使用者提供了便利。LLDP-MED TLV的内容如下表所示。
|
TLV名称 |
说明 |
|
LLDP-MED Capabilities |
网络设备所支持的LLDP-MED TLV类型 |
|
Network Policy |
网络设备或终端设备上端口的VLAN类型、VLAN ID以及二三层与具体应用类型相关的优先级等 |
|
Extended Power-via-MDI |
网络设备或终端设备的扩展供电能力,对Power Via MDI TLV进行了扩展 |
|
Hardware Revision |
终端设备的硬件版本 |
|
Firmware Revision |
终端设备的固件版本 |
|
Software Revision |
终端设备的软件版本 |
|
Serial Number |
终端设备的序列号 |
|
Manufacturer Name |
终端设备的制造厂商名称 |
|
Model Name |
终端设备的模块名称 |
|
Asset ID |
终端设备的资产标识符,以便目录管理和资产跟踪 |
|
Location Identification |
网络设备的位置标识信息,以供终端设备在基于位置的应用中使用 |
(4) 管理地址
管理地址是供网络管理系统标识网络设备并进行管理的地址。管理地址可以明确地标识一台设备,从而有利于网络拓扑的绘制,便于网络管理。管理地址被封装在LLDP报文的Management Address TLV中向外发布。
S1600不支持选择LLDPDU报文的TLV,默认支持以上所有TLV(仅不支持发送Protocol Identity TLV)。
LLDP有以下四种工作模式:
· TxRx:既发送也接收LLDP报文。
· Tx:只发送不接收LLDP报文。
· Rx:只接收不发送LLDP报文。
· Disable:既不发送也不接收LLDP报文。
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。
当端口工作在TxRx或Tx模式时,设备会周期性地向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,每发送一个LLDP报文后都需延迟一段时间后再继续发送下一个报文。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期缩短为1秒,并连续发送指定数量的LLDP报文后再恢复为正常的发送周期。
当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。
与LLDP 相关的协议规范有:
· IEEE 802.1AB-2005:Station and Media Access Control Connectivity Discovery
· ANSI/TIA-1057:Link Layer Discovery Protocol for Media Endpoint Devices
设备管理→LLDP设置→LLDP全局设置
本页面为您提供如下主要功能:
|
· 设置LLDP的全局参数(开启/关闭LLDP功能,设置LLDP报文发送周期) |
|
页面中关键项的含义如下表所示。
表7-29 页面关键项描述
|
页面关键项 |
描述 |
|
全局LLDP使能 |
开启或关闭LLDP全局功能 缺省情况下,LLDP处于全局开启状态 |
|
LLDP报文发送周期 |
LLDP报文发送的间隔时间 缺省情况下,每30秒发送1个LLDP报文 |
页面向导:设备管理→LLDP设置→LLDP端口设置
本页面为您提供如下主要功能:
|
· 选择待设置LLDP的端口 |
|
|
· 设置端口的LLDP状态及相关参数(LLDP收发模式,Trap发送功能,LLDP报文封装格式及端口轮询时间) |
|
页面中关键项的含义如下表所示。
表7-30 页面关键项描述
|
页面关键项 |
描述 |
|
端口LLDP状态 |
开启或关闭端口的LLDP功能 缺省情况下,端口LLDP处于开启状态 |
|
收发模式 |
LLDP报文的收发模式: · 不改变:保持当前状态 · 关闭:关闭端口LLDP功能 · TxRx:既发送也接收LLDP报文 · Tx:只发送不接收LLDP报文 · Rx:只接收不发送LLDP报文 缺省情况下,LLDP报文的收发模式为TxRx |
|
Trap发送功能 |
开启或关闭当端口邻居变化时发送Trap功能 · 不改变:保持当前状态 · 关闭:关闭发送Trap功能 · 开启:开启发送Trap功能 缺省情况下,关闭当端口邻居变化时发送Trap功能 |
|
LLDP报文封装格式 |
LLDP报文封装的格式 · 不改变:保持当前状态 · Ethernet II:端口按照Ethernet II发送LLDP报文 · SNAP:端口SNAP格式发送LLDP报文 缺省情况下,端口按照Ethernet II发送LLDP报文 |
|
端口轮询时间 |
开启或关闭端口轮询功能,开启后可设置轮询周期时间(1~30秒) 在使能了轮询功能后,端口将以轮询时间间隔周期性地查询本端口的相关配置是否发生改变,如果发生改变将触发LLDP报文的发送,以将本端口的配置变化迅速通知给其它设备 缺省情况下,关闭端口轮询功能 |
页面向导:设备管理→LLDP设置→LLDP全局显示
本页面为您提供如下主要功能:
|
· 显示LLDP全局统计信息 |
|
Chassis类型、Chassis ID等显示LLDP邻居发送的LLDP报文中的主要字段的信息。
页面向导:设备管理→LLDP设置→LLDP端口显示
本页面为您提供如下主要功能:
|
· 显示LLDP端口信息 |
|
当您希望某些端口在一些特殊的时间段(如晚上)被关闭或降低速率从而达到节能目的,那么您可以通过设置端口节能功能实现。端口节能功能是通过在特定的时间段内降低端口的功耗来实现,主要包括时间段设置和端口节能方案设置。
页面向导:设备管理→节能设置→时间段设置
本页面为您提供如下主要功能:
|
· 可显示所有已创建的时间段及它所包含的子时间段(主页面) · 删除已创建的时间段(在“时间段”下拉框中选择待删除的时间段,单击<删除时间段>按钮生效) · 删除全部已创建的时间段(单击<全部删除>按钮生效) · 删除当前被选中的时间段下的一条子时间段(单击待删除的子时间段后面的<删除>按钮生效) |
|
|
· 创建新的时间段(单击主页面上的<创建时间段>按钮,进入相应的页面。设置时间段相关参数,单击<确定>按钮生效) |
|
|
· 为指定的时间段添加子时间段(在主页面上的“时间段”下拉框中选择需要添加子时间段的时间段,单击<添加子时间段>按钮,进入相应的页面。设置相关参数,单击<确定>按钮生效) |
|
|
· 修改子时间段(在主页面上的“时间段”下拉框中选择待修改的时间段,单击要修改的子时间段表项进入修改子时间段页面,设置相关参数,单击<确定>按钮生效) |
|
页面中关键项的含义如下表所示。
表7-31 页面关键项描述
|
页面关键项 |
描述 |
|
|
时间段名称 |
输入时间段的名称,两条时间段名称不能相同(不区分大小写) |
|
|
周期时间段 |
起始时间 |
周期时间段的开始时间,格式为hh:mm,范围00:00~24:00 |
|
终止时间 |
周期时间段的结束时间,格式为hh:mm,范围00:00~24:00,终止时间必须大于起始时间 |
|
|
星期 |
表示该周期时间在每周几生效,可以设置星期一到星期日中的任意一天或多天 |
|
|
绝对时间段 |
起始时间 |
绝对时间段的开始时间,格式为YYYY-MM-DD hh:mm,默认起始时间为系统当前时间 起始时间和终止时间不能同时为空,当设置起始时间为空时,系统自动赋予起始时间值为1970-01-01 00:00 |
|
终止时间 |
绝对时间段的结束时间,格式为YYYY-MM-DD hh:mm,终止时间必须大于起始时间,终止时间默认为空 起始时间和终止时间不能同时为空,当设置终止时间为空时,系统自动赋予终止时间值为2035-12-31 23:59 |
|
· 只有当系统时钟在有效的周期时间段或绝对时间段内时,预定义的节能方案才进入激活状态。
· 如果一个时间段下定义了多个周期时间段,则有效时间段为这些周期时间段之和。
· 如果一个时间段下定义了多个绝对时间段,则有效时间段为这些绝对时间段之和。
· 如果一个时间段同时定义了绝对时间段和周期时间段,则有效时间段为同时满足绝对时间段和周期时间段的时间。例如,一个时间段定义了绝对时间段:从2004-01-01 00:00到2004-12-31 23:59,同时定义了周期时间段:每周三的12:00到14:00。则有效时间段为2004年内每周三的12:00到14:00。
设置端口节能功能后,若要使节能配置生效需要先配置系统时间,且每次设备重启后,必须在NTP成功获取到时间或者手动配置过系统时间后,节能配置才会生效。
页面向导:设备管理→节能设置→节能设置
本页面为您提供如下主要功能:
|
· 查看单个端口的节能配置,并设置该端口的节能方案(单击待设置的端口,选择时间段和节能配置项,单击<确定>按钮生效) |
|
|
· 批量设置指定端口的节能方案(单击主页面上的<批量配置>按钮,进入相应的设置页面) |
|
页面中关键项的含义如下表所示。
表7-32 页面关键项描述
|
页面关键项 |
描述 |
|
选择时间段 |
选择一条已创建的时间段。选择了时间段后会显示该时间段下的子时间段信息。创建时间段的操作请参见“7.10.1 设置时间段” |
|
关闭端口 |
关闭端口,使端口链路断开 说明: 在一个节能方案中,如果配置“关闭端口”,那么其他的节能配置项就不能再配置了 |
|
最低速率(10Mbps) |
设置端口的速率为10Mbps 说明: 如果端口不支持10Mbps速率(如只支持1000Mbps的光口),则该配置不会生效 |
|
解除绑定 |
单击<解除绑定>按钮,即可将当前端口与节能方案解除绑定 说明: 如果该条节能方案已生效,解除绑定操作会恢复该端口的相关配置为生效前的配置值 |
|
批量配置 |
单击<批量配置>按钮,进入端口批量配置页面,可批量设置端口的节能方案或解除端口的节能方案绑定 |
|
批量绑定 |
单击<批量绑定>按钮,即可将当前节能方案绑定到选中的端口上 说明: 如果被选中的端口已经绑定了该条时间段,那么新的节能方案会覆盖原来的方案 |
|
批量解绑 |
单击<批量解绑>按钮,即可将当前节能方案与选中的端口解除绑定 |
本章节主要包含以下内容:
· ACL简介
· 应用ACL到端口
随着网络规模的扩大和流量的增加,对网络安全的控制成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
当S1600接收到报文后,它会根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的操作(允许/禁止通过、限速、镜像等)来进行相应的处理。
S1600支持以下两种ACL:
· 基于MAC的ACL:根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息来制定规则,对数据进行相应的处理。
· 基于IP的ACL:根据报文的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如:TCP或UDP的源端口、目的端口等)来制定规则,对数据进行相应的处理。
一条ACL中可以包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。
S1600支持以下两种ACL规则优先级模式,即ACL匹配顺序。
表8-1 ACL匹配顺序
|
匹配顺序 |
描述 |
|
自定义排序 |
根据您设置规则的优先级进行匹配,数值越小,则优先级越高 |
|
自动排序 |
根据“深度优先”的顺序进行匹配: 1. 先比较规则中参数的个数,参数个数多的规则优先 2. 如果规则中参数个数相同,则比较源IP地址/源MAC地址范围,源IP地址/源MAC地址范围小(反掩码中“0”位的数量多)的规则优先 3. 如果规则中参数个数、源IP地址/源MAC地址范围相同,则比较目的IP地址/目的MAC地址范围,目的IP地址/目的MAC地址范围小(反掩码中“0”位的数量多)的规则优先 4. 如果规则中参数个数、源IP地址/源MAC地址、目的IP地址/目的MAC地址范围均相同,则先设置的规则优先 |
页面向导:ACL控制→基于MAC→基于MAC ACL
本页面为您提供如下主要功能:
|
· 显示所有已创建的基于MAC的ACL及ACL中的规则(主页面) · 删除已创建的基于MAC的ACL(在“ACL”下拉框中选择待删除的ACL,单击<删除ACL>按钮生效) · 批量删除某ACL下的规则(在“ACL”下拉框中选择相应的ACL,并选择需要删除的ACL规则,单击<删除规则>按钮生效) · 修改某ACL的描述信息(在“ACL”下拉框中选择相应的ACL,单击<修改描述>按钮即可进行修改) |
|
|
· 创建新的基于MAC的ACL(单击主页面上的<创建ACL>按钮,进入相应的页面。设置ACL相关参数,单击<确定>按钮生效) |
|
|
· 为指定的ACL添加规则(在主页面上的“ACL”下拉框中选择需要添加规则的ACL,单击<添加规则>按钮进入相应的页面。设置规则相关参数,单击<确定>按钮生效) |
|
|
· 在已创建的ACL基础上快速复制出新的ACL(单击主页面上<拷贝ACL>按钮,进入相应的页面。在“ACL”下拉框中选择拷贝源,然后设置新的ACL优先级和描述,单击<拷贝ACL>按钮生效) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
|
创建ACL |
ACL优先级 |
输入新ACL的优先级。输入的值越小,则优先级越高 说明: 基于MAC的ACL序号范围为4001~4100,最后三位为该ACL的优先级,且不能与基于IP的ACL的优先级重复 |
|
规则优先级模式 |
· 自定义:即自定义排序 · 自动:即自动排序 缺省情况下,S1600采用自定义排序 |
|
|
ACL描述 |
输入ACL的描述信息 |
|
|
添加规则 |
选择ACL |
选择已创建的ACL,并针对该ACL设置规则 |
|
优先级 |
设置规则的优先级,决定哪个已定义的规则优先匹配 当某ACL中存在多条规则时,优先匹配优先级编号小的规则 说明: 该优先级设置仅适用于“规则优先级模式”为“自定义”的模式下 |
|
|
源MAC地址/目的MAC地址 |
设置用于匹配报文的源MAC地址/目的MAC地址 说明: 若选中“任意”单选按钮,表示匹配任意源MAC地址/目的MAC地址的报文 |
|
|
反掩码 |
设置报文源MAC地址/目的MAC地址的哪些位匹配、哪些位忽略(比如:如果源MAC地址设置为00AB-2211-3300,且源MAC地址反掩码设置为0000-0000-00FF。那么,该源MAC地址的前5个字节是可用的,最后一个字节被忽略,即匹配范围为00AB-2211-3300~00AB-2211-33FF) |
|
|
VLAN ID |
设置用于匹配报文的VLAN ID |
|
|
CoS |
设置用于匹配报文的802.1p优先级 |
|
|
CoS反掩码 |
设置报文的802.1p优先级的哪些位匹配、哪些位忽略(比如:CoS为5,二进制表示为101;反掩码为3,二进制表示为011。那么,该CoS的最前位是可用的,后两位被忽略,即当报文的CoS为4、5、6、7时均被匹配) |
|
|
报文类型 |
设置用于匹配报文的数据帧类型,以十六进制表示,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域。您输入时不需要输入0x前导符号 |
|
|
操作 |
设置报文的处理方式: · 允许通过:允许匹配规则的报文通过 · 禁止通过:丢弃匹配规则的报文 · 重置优先级:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种 · 限速:设置匹配规则的报文的转发速率 · 镜像:将匹配规则的报文镜像到指定端口 缺省情况下,报文的处理方式为禁止通过 |
|
页面向导:ACL控制→基于IP→基于IP ACL
本页面为您提供如下主要功能:
|
· 显示所有已创建的基于IP的ACL及ACL中的规则(主页面) · 删除已创建的基于IP的ACL(在“ACL”下拉框中选择待删除的ACL,单击<删除ACL>按钮即生效) · 批量删除某ACL下的规则(在“ACL”下拉框中选择相应的ACL,并选择需要删除的ACL规则,单击<删除规则>按钮生效) · 修改某ACL的描述信息(在“ACL”下拉框中选择相应的ACL,单击<修改描述>按钮即可进行修改) |
|
|
· 创建新的基于IP的ACL(单击主页面上的<创建ACL>按钮,进入相应的页面。设置ACL相关参数,单击<确定>按钮生效) |
|
|
· 为指定的ACL添加规则(在主页面上的“ACL”下拉框中选择需要添加规则的ACL,单击<添加规则>按钮进入相应的页面。设置规则相关参数,单击<确定>按钮生效) |
|
|
· 在已创建的ACL基础上快速复制出新的ACL(单击主页面上<拷贝ACL>按钮,进入相应的页面。在“ACL名称”下拉框中选择拷贝源,然后设置新的ACL名称及其优先级、描述,单击<拷贝ACL>按钮生效) |
|
|
页面关键项 |
描述 |
|
|
创建ACL |
ACL优先级 |
输入新ACL的优先级。输入的值越小,则优先级越高 说明: 基于IP的ACL序号范围为3001~3100,最后三位为该ACL的优先级,且不能与基于MAC的ACL的优先级重复 |
|
规则优先级模式 |
· 自定义:即自定义排序 · 自动:即自动排序 缺省情况下,S1600采用自定义排序 |
|
|
ACL描述 |
输入ACL的描述信息 |
|
|
添加规则 |
选择ACL |
选择已创建的ACL,并针对该ACL设置规则 |
|
优先级 |
设置规则的优先级,决定哪个已定义的规则先被匹配 当某ACL中存在多条规则时,优先匹配优先级编号小的规则 说明: 该优先级设置仅适用于“规则优先级模式”为“自定义”的模式下 |
|
|
协议 |
选择用于匹配的协议 |
|
|
源端口 |
设置用于匹配TCP/UDP报文的源端口号 说明: · 若选中“任意”单选按钮,表示匹配任意源端口 · 仅当您选择TCP或UDP协议时,才可设置源端口 |
|
|
目的端口 |
设置用于匹配TCP/UDP报文的目的端口号 说明: · 若选中“任意”单选按钮,表示匹配任意目的端口 · 仅当您选择TCP或UDP协议时,才可设置目的端口 |
|
|
TCP Flags |
设置用于匹配TCP报文中的标志字段: · Urg:表示紧急数据序列号标志 · Ack:表示确认标志 · Psh:表示急迫标志 · Rst:表示复位标志 · Syn:表示同步序列号标志 · Fin:表示完成发送数据标志 说明: 仅当您选择TCP协议时,才可设置标志字段 |
|
|
源IP地址/目的IP地址 |
设置用于匹配报文的源IP地址/目的IP地址 说明: 若选中任意单选按钮,表示匹配任意源IP地址/目的IP地址的报文 |
|
|
反掩码 |
设置报文源IP地址/目的IP地址的哪些位匹配、哪些位忽略(比如:源IP地址为192.168.1.200,反掩码为0.0.0.255,表示仅匹配IP地址的前24位,后8位忽略。即匹配范围为192.168.1.0~192.168.1.255) |
|
|
符合IP优先级 |
设置用于匹配报文IP优先级 说明: IP报文头的ToS字段有8个bit,其中前3个bit表示的就是IP优先级,取值范围为0~7 |
|
|
符合DSCP |
设置用于匹配报文DSCP优先级 |
|
|
操作 |
设置报文的处理方式: · 允许:允许匹配规则的报文通过 · 禁止:丢弃匹配规则的报文 · 优先级:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种 · 限速:设置匹配规则的报文的转发速率 · 镜像:将匹配规则的报文镜像到指定端口 缺省情况下,报文的处理方式为禁止通过 |
|
在进行本操作之前,请先创建相应的ACL,相关操作请参见“8.2 设置基于MAC的ACL”和“8.3 设置基于IP的ACL”。
页面向导:ACL控制→端口绑定→创建端口ACL绑定
本页面为您提供如下主要功能:
|
· 将已定义的ACL应用到指定的端口(选择需要应用ACL的端口及相应的ACL,单击<确定>按钮生效) |
|
S1650不支持将一个ACL应用到多个端口(包括已形成聚合的端口),您需要使用拷贝ACL或手工方式创建相同的ACL,并将其一一应用到相应端口。
页面向导:ACL控制→端口绑定→删除端口ACL绑定
本页面为您提供如下主要功能:
|
· 删除指定端口的ACL绑定(选择相应的端口,在“ACL名称”列表框中选择需要删除绑定的ACL,单击<确定>按钮生效) |
|
|
· 删除所有端口上已应用了指定ACL的绑定(在“ACL名称”列表框中选择相应的ACL,单击<删除>按钮生效) |
|
页面向导:ACL控制→端口绑定→显示端口ACL绑定
本页面为您提供如下主要功能:
|
· 显示端口上ACL的应用情况(选择指定的端口后,即可在“基于MAC ACL”和“基于IP ACL”列表框中显示该端口上的ACL应用) |
|
· 在进行本操作之前,请先创建相应的ACL,相关操作请参见“8.2 设置基于MAC的ACL”和“8.3 设置基于IP的ACL”。
· 系统仅在802.1Q VLAN模式下才支持此特性,且当您在该模式下将ACL应用到VLAN 1后,如果此时将系统切换到基于端口的VLAN模式时,应用仍然生效。
· S1650不支持此特性。
页面向导:ACL控制→VLAN绑定→创建VLAN ACL绑定
本页面为您提供如下主要功能:
|
· 将已定义的ACL应用到指定的VLAN(选择需要应用ACL的VLAN及相应的ACL,单击<确定>按钮生效) |
|
页面向导:ACL控制→VLAN绑定→删除VLAN ACL绑定
本页面为您提供如下主要功能:
|
· 删除指定VLAN的ACL绑定(选择相应的VLAN,在“ACL名称”列表框中选择需要删除绑定的ACL,单击<确定>按钮生效) |
|
页面向导:ACL控制→VLAN绑定→显示VLAN ACL绑定
本页面为您提供如下主要功能:
|
· 显示VLAN上ACL的应用情况(选择指定的VLAN后,即可在“基于MAC ACL”和“基于IP ACL”列表框中显示该VLAN上的ACL应用) |
|
本章节主要包含以下内容:
· 设置防攻击
· 设置IP过滤
· 设置AAA
· 设置802.1X
ARP限速主要防止局域网内大量的ARP报文发往S1600的某一端口,导致交换机CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。
开启ARP限速后,如果端口通过的ARP报文超过了您设定的阈值,那么端口将会进入保护状态,并丢弃通过端口的所有ARP报文。在保护时间结束之后,端口会恢复ARP报文的转发,从而可以避免此类攻击对交换机正常工作造成影响。
页面向导:安全专区→防攻击→ARP限速
本页面为您提供如下主要功能:
|
· 显示端口的ARP限速功能状态和ARP报文的接收速率(主页面) |
|
|
· 设置单个端口的ARP限速功能状态和ARP报文的接收速率(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量设置端口的ARP限速功能状态和ARP报文的接收速率(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
端口ARP限速功能(保护功能) |
缺省情况下,端口ARP限速功能处于关闭状态 说明: 开启ARP限速功能后,缺省保护时间为5分钟,该时间不可更改,可通过保护操作恢复正常 |
|
端口ARP接收速率(速率) |
缺省情况下,端口接收ARP报文的速率为100 pps |
|
保护状态 |
显示端口对ARP报文的接收状态: · ----:未开启端口ARP限速功能 · 正常:未检测到ARP攻击,正常转发ARP报文 · 丢弃ARP:已检测到ARP攻击,丢弃这些ARP报文,并且显示剩余多少时间后,自动恢复正常转发ARP报文 |
|
保护操作 |
当端口受到ARP攻击时,手动恢复该端口正常转发ARP报文 · ----:端口未受到ARP攻击 · 恢复正常:端口正受到ARP攻击。单击“恢复正常”,则恢复该端口正常转发ARP报文 |
防蠕虫病毒攻击用于防止感染蠕虫病毒的计算机通过扫描其他正常计算机的漏洞,攻击并感染其他计算机,并在网络内大量传播,导致计算机或网络瘫痪。
开启防蠕虫病毒攻击功能后,S1600直接丢弃符合病毒特征信息的报文,从而保护正常计算机及网络设备。S1600缺省为用户定义了7种蠕虫病毒的特征信息,您也可以根据自己的需要定义新的蠕虫病毒。
页面向导:安全专区→防攻击→防蠕虫病毒攻击
本页面为您提供如下主要功能:
|
· 显示和设置所有防蠕虫病毒攻击项(包括系统缺省的和用户自定义的蠕虫病毒)的状态(主页面。缺省情况下,所有系统缺省的防蠕虫病毒攻击项均处于关闭状态) · 统计蠕虫病毒攻击的次数(仅当该蠕虫病毒防攻击功能开启后才会统计) |
|
|
· 添加新的防蠕虫病毒攻击项(单击主页面上的<新建>按钮,进入相应的页面。添加完成后,该新的蠕虫病毒防攻击功能自动开启) |
|
|
· 修改防蠕虫病毒攻击项(单击主页面上的某表项,进入相应的页面。重新设置相关参数后,单击<确定>按钮生效) |
|
S1600支持最多20条系统自带和用户自定义的病毒特征信息。
防DoS攻击功能用于防止某些计算机通过发送大量的服务请求,恶意消耗有限的服务器资源,导致其他计算机无法使用网络服务的情况。
页面向导:安全专区→防攻击→防DoS攻击
本页面为您提供如下主要功能:
|
· 显示和设置防DoS攻击项的状态(缺省情况下,所有防DoS攻击项都处于关闭状态。各类防DoS攻击项具体的含义可参考交换机的联机帮助) |
|
开启防DoS攻击选项,可能会造成局域网部分业务运行异常,请慎用。
防MAC地址攻击功能主要防止设备不断地学习局域网中大量无效的报文源MAC地址,使设备的MAC地址转发表过于庞大,导致其转发性能急剧下降。
S1600通过限制端口MAC地址学习数限制,从而达到防MAC地址攻击功能。
页面向导:安全专区→防攻击→防MAC地址攻击
本页面为您提供如下主要功能:
|
· 显示当前所有端口可学习的MAC地址数(主页面) |
|
|
· 设置单个端口可学习的MAC地址数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量设置指定端口可学习的MAC地址数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
设置了四元绑定并生效后,S1600会根据报文的源MAC地址、源IP地址、VLAN及接收报文的交换机端口号进行严格过滤,进一步加强了网络的安全性。
页面向导:安全专区→IP过滤→添加绑定
本页面为您提供如下主要功能:
|
· 通过搜索网络主机,获取四元绑定项(主页面。选中“搜索网络主机”单选框,并设置搜索条件,单击<确定>按钮进行搜索) |
|
|
· 通过搜索结果判断四元绑定项是否正确,最终将所有正确的绑定项一键绑定(搜索完毕后会自动跳转或单击主页面上的<查看搜索结果>按钮,选择相应的显示搜索结果单选框。单击<智能绑定>按钮,可绑定所有的表项,同时系统会将这些表项添加到四元绑定表中;单击<取消绑定>按钮,可取消所有表项的绑定,同时系统会将对应的表项从四元绑定表中删除) |
|
· 显示最近一次搜索结果:显示当前您所搜索到的四元绑定项信息;显示全部搜索结果:显示S1600学习到的和您所搜索到的所有四元绑定项信息。
· 如果搜索结果中出现了冲突项(比如:在同一VLAN内,相同的IP地址对应了不同的MAC地址或者端口号),系统会将该冲突项以红色显示,便于您快速地定位出冲突项的原因并可以及时做出相应的操作。
页面向导:安全专区→IP过滤→添加绑定
本页面为您提供如下主要功能:
|
· 手动添加四元绑定项(选中“手动添加绑定配置”单选框,并设置四元绑定相应的参数,单击<确定>按钮生效) |
|
一个MAC地址可以和多个IP地址绑定,但一个IP地址只能和一个MAC地址绑定。
页面向导:安全专区→IP过滤→添加绑定
本页面为您提供如下主要功能:
|
· 通过设备的DHCP Snooping功能来监听DHCP报文,获取四元绑定项(选中“自动添加”单选框,单击<确定>按钮跳转到“端口过滤”设置页面,设置相应端口连接到DHCP服务器,监听DHCP报文) |
|
页面向导:安全专区→IP过滤→四元绑定列表
本页面为您提供如下主要功能:
|
· 显示当前所有的四元绑定项(主页面) · 从所有的四元绑定项中过滤出您所需的绑定项(设置搜索条件,单击<查询>按钮即可) |
|
|
· 修改静态四元绑定项(单击需要修改的绑定表项,进入相应的页面) |
|
|
· 实现将四元绑定项导出为一个脚本文件供编辑(.cfg格式,您可以用记事本进行打开)、备份或导入一个已更新好的四元绑定脚本以快速完成设置(单击主页面上的<配置脚本>按钮,进入相应的页面) |
|
页面向导:安全专区→IP过滤→端口过滤设置
本页面为您提供如下主要功能:
|
· 设置端口过滤功能状态(包括端口IP过滤、ARP过滤等功能),并同时可查看该端口下的四元绑定项 |
|
页面中关键项的含义如下表所示。
表9-2 页面关键项描述
|
页面关键项 |
描述 |
|
连接DHCP服务器 |
设置端口是否连接DHCP服务器 · 是:表示此端口为信任端口,同时开启了设备的DHCP Snooping功能,它会通过监听DHCP报文,获取四元绑定项,并且生成的绑定项均为动态类型 · 否:表示此端口为非信任端口,它会直接丢弃DHCP报文 说明: 信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址 |
|
连接网关 |
设置端口是否连接到网关 · 是:表示此端口用于连接网关设备,且不能设置IP过滤功能 · 否:表示此端口不用于连接网关设备,同时可以设置IP过滤功能 说明: · 对于特殊的应用端口,例如路由器端口,建议开启连接网关功能 · 当您指定某端口用于连接网关时,则该端口的ARP限速功能将自动关闭 |
|
过滤IP |
设置端口过滤IP报文功能 · 是:表示此端口为非信任端口,仅当IP报文符合该端口下已生效的四元绑定项才允许通过,否则端口直接丢弃该报文 · 否:表示此端口为信任端口,不对IP报文进行检查 说明: · 开启端口IP过滤功能后,最多允许380条四元绑定项生效 · 页面表格中的IP区段显示“通过”表示该绑定项已生效;显示“丢弃”表示该绑定项未生效;显示“--”表示未开启端口过滤IP报文功能 |
|
过滤ARP |
设置端口过滤ARP报文功能 · 是:表示此端口为非信任端口,设备会严格按照该端口下已生效的四元绑定项进行ARP欺骗检查,除了发送给交换机的ARP报文外,所有和绑定项不匹配的ARP报文都被丢弃 · 否:表示此端口为信任端口,不进行ARP欺骗检查 说明: · 页面表格中ARP区段显示“通过”表示该绑定项已生效;显示“--”表示未开启端口过滤ARP报文功能 · 开启端口ARP过滤功能后,您可以通过“ARP欺骗定位”页面来查看设备所拦截到的攻击源信息(页面向导:安全专区→IP过滤→ARP欺骗定位) |
|
重绑定 |
在设置端口过滤IP报文功能时,如果当前某端口下存在未生效的四元绑定项且已生效的四元绑定项总数未超过380条时,您可以通过单击<重绑定>按钮来使该绑定项生效 |
|
解除绑定 |
在设置端口过滤IP报文功能时,您可以通过单击<解除绑定>按钮来使相应的绑定项不生效 |
|
删除 |
删除列表中被选中的一条或多条四元绑定表项 |
|
批量配置 |
单击<批量配置>按钮,即可批量设置端口的IP过滤和ARP过滤功能 |
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构,客户端运行于NAS上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图9-1所示。
图9-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
图9-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。
这三种安全服务功能的具体作用如下:
· 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
· 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
· S1600支持通过AAA对Telnet用户、Console用户以及Web用户信息进行统一管理。
· 目前,S1600的计费功能只适用于802.1x用户。
页面向导:安全专区→AAA→用户认证方案设置
本页面为您提供如下主要功能:
|
· 设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案 |
|
页面中关键项的含义如下表所示。
表9-3 页面关键项描述
|
页面关键项 |
描述 |
|
Telnet用户认证方案 / Terminal用户认证方案 / Web用户认证方案 |
· 不认证:访问S1600时,不需要认证便可以进行管理 · 本地认证:访问S1600时,需要本地认证成功后方可进行管理,且您需要通过“本地用户设置”页面对本地用户的配置和管理 · radius远程认证:访问S1600时,需要远程认证成功后方可进行管理。该认证方式相对于本地认证来说,便于对所有设备的登录用户进行统一管理和维护 · radius远程认证+本地认证:实现两种认证方案互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案 说明: · 当采用radius远程认证方案或radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在S1600上设置对应的Radius Client。有关Radius Client的相关描述和操作,可参见“9.3.4 设置Radius Client” · Web用户认证不支持radius远程认证方案或radius远程认证+本地认证方案 |
页面向导:安全专区→AAA→本地用户设置
本页面为您提供如下主要功能:
|
· 显示已创建的本地用户信息(主页面) |
|
|
· 新建本地用户(单击主页面中的<新建>按钮,在“添加本地用户”页面中设置新用户相关信息,单击<确定>按钮生效) |
|
|
· 修改本地用户(单击主页面中需要修改的本地用户表项,即可进入“修改本地用户”页面进行维护) |
|
Radius是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的Radius帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
· S1600支持Radius Client功能,负责传输用户信息到指定的Radius Server,然后根据从Radius Server返回的信息进行相应处理(比如:接受/拒绝用户接入)。
· Radius Server运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给Radius Client返回所有需要的信息(比如:接受/拒绝认证请求)。
Radius Client和Radius Server之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
当您配合iMC实现用户包月认证时,需要开启802.1X重认证功能,便于定时检测用户的有效状况。
Radius Client和Radius Server之间通过共享密钥来认证交互的消息,增强了安全性。Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。用户(Host)、Radius Client、Radius Server之间一种简要的交互流程如图9-2所示。
图9-2 Radius的基本消息交互流程(认证+计费)
当您想通过Radius方案来远程认证Telnet用户和Console用户时,Radius的基本消息交互流程中仅为认证步骤,即当Radius Server认证通过后,Radius Client会向Host返回认证成功信息,从而Host可以正常地登录设备进行配置和管理。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) Radius Client根据获取的用户名和口令,向Radius Server发送认证请求包(Access-Request)。
(3) Radius Server将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的授权信息以认证响应包(Access-Accept)的形式发送给Radius Client;如果认证失败,则返回Access-Reject响应包。
(4) Radius Client根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则Radius Client向Radius Server发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) Radius Server返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) Radius Client按实时计费间隔循环的向Radius Server发送实时计费请求包(Accounting-Request),Status-Type取值为interim-update。
(8) Radius Server返回实时计费响应包(Accounting-Response)。
(9) Radius Client向Radius Server发送计费结束请求包(Accounting-Request),Status-Type取值为stop。
(10) Radius Server返回计费结束响应包(Accounting-Response)。
(11) 用户访问资源结束。
页面向导:安全专区→AAA→Radius Client设置
本页面为您提供如下主要功能:
|
· 设置S1600作为Radius Client与Radius Server进行交互时的相关参数 |
|
· Radius Client支持设置主、从认证和计费服务器,即当主服务器因故障而导致其与S1600的通信中断时,S1600会主动地与从服务器交互报文。当主服务器恢复正常后,S1600却不会立即恢复与其通信,而是继续与从服务器通信;直到从服务器也出现故障后,S1600才能再恢复与主服务器交互报文。
· 当您配置主或从计费服务器后,802.1X用户必需要进行计费,如果计费失败用户不能访问资源。
· 当主计费服务器发生故障时,只有在计费开始请求阶段会切换到从计费服务器,同理,从从服务器切换到主服务器也是一样。因此当用户的计费开始请求成功后,如果计费服务器发生故障,需要用户重新认证后才能访问资源。
页面中关键项的含义如下表所示。
表9-4 页面关键项描述
|
页面关键项 |
描述 |
|
Radius方案 |
显示系统缺省的Radius方案:system |
|
服务器响应超时 |
设置Radius Server响应超时时长 如果在Radius请求报文(认证/授权请求或计费请求)传送出去一段时间后,S1600还没有得到Radius Server的响应,则有必要重传Radius请求报文,以保证用户确实能够得到Radius服务,这段时间被称为Radius Server响应超时时长 缺省情况下,Radius Server响应超时时长为3秒 说明: 当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留服务器响应超时为缺省值 |
|
请求报文最大重传次数 |
设置Radius请求报文最大重传次数 如果累计的传送次数超过最大传送次数而Radius Server仍旧没有响应,则S1600将认为本次认证失败 缺省情况下,Radius请求报文最大重传次数为3次 说明: 当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留Radius请求报文最大重传次数为缺省值 |
|
重启用户再认证功能 |
设置设备重启用户再认证功能 开启设备重启用户再认证功能后,S1600每次发生重启后,通过向Radius服务器发送Accouting-On报文,告知Radius服务器该设备已经重启,要求Radius 服务器强制该设备的用户下线,重新登录 缺省情况下,设备重启用户再认证功能处于关闭状态 说明: 本功能仅适用于Radiu认证/计费服务器为CAMS的情况 |
|
实时计费间隔 |
设置实时计费间隔 设置实时计费间隔以后,每隔设定的时间,S1600会向Radius服务器发送一次在线用户的计费信息 缺省情况下,实时计费间隔为12分钟 |
|
实时计费最大失败次数 |
设置实时计费最大失败次数 在S1600向Radius服务器发出的实时计费失败的次数超过所设定的最大值时,S1600将切断用户连接 缺省情况下,最多允许5次实时计费失败,5次之后将切断用户连接 |
|
状态 |
设置认证/计费服务器当前的工作状态 · active:处于工作状态 · block:处于待机状态 说明: 当主/从服务器状态不同时,系统优先使用状态为active的服务器;当主/从服务器状态相同时,系统优先使用主服务器 |
|
IP地址 |
设置认证/计费服务器的IP地址 说明: 当您设置了有效的认证/计费服务器的IP地址后,服务器工作状态则为active,否则为block |
|
端口号 |
设置认证/计费服务器的UDP端口号 缺省情况下,Radius认证服务器的UDP端口号为1812,Radius计费服务器的UDP端口号为1813 |
|
共享密钥 |
设置Radius认证报文、计费报文的共享密钥,此密钥需要与S1600对接的Radius认证/计费服务器侧设置的密钥一致 |
802.1X协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
使用802.1X的系统为典型的Client/Server体系结构,包括三个实体,如图9-3所示分别为:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。
图9-3 802.1X认证系统的体系结构
· 客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。
· 设备端是位于局域网段一端的另一个实体,用于对所连接的客户端进行认证。
· 认证服务器是为设备端提供认证服务的实体。
三个实体涉及如下三个基本概念:PAE、受控端口和端口受控方式。
(1) PAE
PAE是认证机制中负责执行算法和协议操作的实体。
· 设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地对受控端口的授权/非授权状态进行相应地控制。
· 客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
(2) 受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
· 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。
· 受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。
· 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
(3) 端口受控方式
· 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
· 基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源。
IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,在客户端和认证服务器之间交换认证信息。
图9-4 802.1x认证系统的工作机制
· 在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
· 在设备端PAE与Radius服务器之间,EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式,承载于Radius协议中;也可以由设备端PAE进行终结,而在设备端PAE与Radius服务器之间传送PAP协议报文或CHAP协议报文。
· 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据Radius服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
S1600支持EAP-MD5认证:验证客户端的身份,Radius服务器发送MD5加密字(EAP-Request/MD5 Challenge报文)给客户端,客户端用该加密字对口令部分进行加密处理。
图9-5 802.1x的认证过程(EAP-MD5)
认证过程如下:
· 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
· S1600收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
· 客户端程序响应S1600发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给S1600。S1600将客户端送上来的数据帧经过封包处理后(Radius Access-Request报文)送给Radius服务器进行处理。
· Radius服务器收到S1600转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过Radius Access-Challenge报文传送给S1600,由S1600传给客户端程序。
· 客户端程序收到由S1600传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过S1600传给Radius服务器。
· Radius服务器将加密后的口令信息(Radius Access-Request报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(Radius Access-Accept报文和EAP-Success报文)。
· S1600将端口状态改为授权状态,允许用户通过该端口访问网络。
· 客户端也可以发送EAPoL-Logoff报文给S1600,主动终止已认证状态,S1600将端口状态从授权状态改变成未授权状态。
802.1X认证过程中会启动多个定时器以控制接入用户、S1600以及Radius服务器之间进行合理、有序的交互。802.1X的定时器主要有以下几种:
· 握手定时器:此定时器是在用户认证成功后启动的,S1600以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果重试一定次数后仍然没有收到客户端的响应报文,就认为用户已经下线。
· 静默定时器:对用户认证失败以后,S1600需要静默一段时间(该时间由静默定时器设置)后,用户可以再重新发起认证,在静默期间,S1600不进行该用户的802.1X认证相关处理。
· 重认证超时定时器:每隔该定时器设置的时长,S1600会定期发起802.1X重认证。
· Radius服务器超时定时器:若在该定时器设置的时长内,Radius服务器未成功响应,S1600将向Radius服务器重发认证请求报文。
· 客户端认证超时定时器:当S1600向客户端发送了Request/Challenge请求报文后,S1600启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,S1600将重发该报文。
· 传送超时定时器:在客户端主动发起认证的情况下,当S1600向客户端发送单播Request/Identity请求报文后,S1600启动该定时器,若在该定时器设置的时长内,S1600没有收到客户端的响应,则S1600将重发认证请求报文;为了对不支持主动发起认证的802.1X客户端进行认证,S1600会在启动802.1X功能的端口不停地发送组播Request/Identity报文,发送的间隔为传送超时定时器值。
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上指定了授权给该用户的下发VLAN,则服务器发送给设备的授权信息中将含有下发的VLAN信息,设备根据用户认证上线的端口链路类型,按以下三种情况将端口加入下发VLAN中。
|
接入控制方式 |
Access端口 |
Trunk端口 |
Hybrid端口 |
|
基于端口号认证 |
端口离开用户配置的VLAN,加入下发的VLAN |
端口类型修改为access,并离开用户配置的VLAN,加入下发的VLAN |
端口类型修改为access,并离开用户配置的VLAN,加入下发的VLAN |
|
基于MAC地址认证 |
不支持VLAN下发 |
不支持VLAN下发 |
若端口上开启了MAC VLAN功能,则根据下发的VLAN创建基于用户MAC的VLAN,而端口的缺省VLAN ID不改变。 说明:当用户下线后,端口不会从下发的VLAN中删除。 若当前Hybrid端口上未开启MAC VLAN功能,不支持VLAN下发 |
|
如果设备不支持VLAN下发功能,即使服务器发送给设备的授权信息中含有下发的VLAN信息,设备也不处理下发的VLAN信息。 |
|||
· 对于Hybrid端口,不建议把服务器将要下发的VLAN配置为携带Tag的方式加入端口。
· S1650不支持基于MAC地址认证的VLAN下发功能。
Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。
· 端口的接入方式为基于端口号认证
端口配置Guest VLAN后,若在一定的时间内,该端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与“基于端口号认证”的端口加入服务器下发的VLAN类似,请参见表9-5。
当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN。
· 端口的接入方式为基于MAC地址认证
端口配置Guest VLAN,端口上用户认证触发后,未认证通过的用户被授权访问Guest VLAN里的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时,则该用户将仍然处于Guest VLAN内。当端口上处于Guest VLAN中的用户发起认证且成功时,该用户会离开Guest VLAN。
不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与“基于MAC地址认证”的端口加入服务器下发的VLAN类似,请参见表9-5。
S1650不支持基于MAC地址认证的Guest VLAN功能。
802.1X重认证是通过定时器或报文触发,对已经认证成功的用户进行一次重新认证。通过启用802.1X重认证功能,S1600可以定时检测用户的连接状况。当发现接入用户在一定时间内未响应重认证报文,则切断与该用户的连接。若用户希望再次连接,则必须通过客户端软件重新发起802.1X认证。
· 对于已经加入到某个汇聚组中的端口,则不允许在该端口上启动802.1x。
· 当802.1X用户在线时,如果更改了端口接入方式,则在线用户会被强制下线。
页面向导:安全专区→802.1X→802.1X端口设置
本页面为您提供如下主要功能:
|
· 显示所有端口的802.1X功能及相关参数的状态(主页面) |
|
|
· 设置单个端口的802.1X功能及相关参数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
· 批量设置指定端口的802.1X功能及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
端口802.1X功能(802.1X使能) |
端口的802.1X功能状态 · 开启:开启端口的802.1X功能 · 关闭:关闭端口的802.1X功能 缺省情况下,端口的802.1X功能处于关闭状态 说明: 必须同时开启全局和端口的802.1X特性后,802.1X的配置才能生效,相关操作请参见“9.4.3 设置802.1X全局参数” |
|
最大用户数 |
端口允许同时接入用户数量的最大值,缺省值为128 |
|
端口接入模式 |
· Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源 · Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源 · Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源 缺省情况下,端口接入控制模式为Auto |
|
端口接入方式 |
· 基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源 · 基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源 缺省情况下,端口的接入控制方式为基于MAC地址认证 |
|
端口重认证 |
· 关闭:关闭所有端口的重认证功能 · 开启:启用所有端口的重认证功能 缺省情况下,端口的重认证功能处于关闭状态 |
|
在线用户握手 |
· 关闭:关闭所有端口的在线用户握手功能 · 开启:启用所有端口的在线用户握手功能 缺省情况下,端口的在线用户握手功能处于开启状态 |
|
组播触发 |
· 关闭:关闭所有端口的组播触发功能 · 开启:启用所有端口的组播触发功能 缺省情况下,端口的组播触发功能处于开启状态 |
|
端口Guest VLAN功能 |
· 关闭:关闭端口的Guest VLAN功能 · 开启:开启端口的Guest VLAN功能 缺省情况下,端口的Guest VLAN功能处于关闭状态 说明: · 仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能 · 必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“9.4.3 设置802.1X全局参数” |
页面向导:安全专区→802.1X→802.1X全局设置
本页面为您提供如下主要功能:
|
· 设置全局的802.1X功能及相关参数的状态 |
|
页面中关键项的含义如下表所示。
表9-7 页面关键项描述
|
页面关键项 |
描述 |
|
设备802.1X功能 |
设置全局的802.1X功能状态 · 开启:启用全局的802.1X功能 · 关闭:关闭全局的802.1X功能 缺省情况下,全局的802.1X功能处于关闭状态 说明: 必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效,相关操作请参见“9.4.2 设置802.1X端口参数” |
|
Guest VLAN |
选中“Guest VLAN”复选框,表示开启全局的Guest VLAN功能,反之,关闭该功能 说明: · 仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能 · 必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“9.4.2 设置802.1X端口参数” |
|
Guest VLAN ID |
指定一个VLAN作为Guest VLAN |
|
最大用户数 |
设置所有端口允许同时接入用户数量的最大值,缺省值为128 |
|
端口接入模式 |
设置所有端口的接入控制模式 · 端口自设置:保持当前设置状态,您可以通过“9.4.2 设置802.1X端口参数”针对端口进行设置 · Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源 · Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源 · Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源 缺省情况下,端口接入控制模式为Auto |
|
端口接入方式 |
设置所有端口的接入控制方式 · 端口自设置:保持当前设置状态,您可以通过“9.4.2 设置802.1X端口参数”针对端口进行设置 · 基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源 · 基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源 缺省情况下,端口接入控制方式为基于MAC地址认证 |
|
端口重认证 |
设置所有端口的重认证状态 · 端口自设置:保持当前设置状态,您可以通过“9.4.2 设置802.1X端口参数”针对端口进行设置 · 关闭:关闭所有端口的重认证功能 · 开启:启用所有端口的重认证功能 缺省情况下,端口重认证功能处于关闭状态 |
|
定时器 |
设置802.1X的各定时器参数,建议用户使用缺省值 说明: 802.1X的各定时器的相关描述请参见“9.4.1 4. 802.1X的定时器” |
此典型配置案例中均在S1600缺省配置的基础上进行。如果您之前已经对设备做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。
本章节主要包含以下内容:
NMS通过SNMP v2c对SNMP Agent(S1626)进行监控管理,当SNMP Agent在故障或者出错的时候能够主动向NMS报告情况。
图10-1 SNMP典型组网配置示意图
|
1. 运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框 |
|
|
2. 在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
|
3. 单击“设备管理→SNMP设置→SNMP代理设置”。开启SNMP Agent功能,设置SNMP基本信息,包括版本号、团体名等。同时,设置S1600所处的位置信息和维护人员的联系信息,以方便维护。单击<确定>按钮生效 |
|
|
4. 单击“设备管理→SNMP设置→SNMP Trap设置” |
|
|
5. 单击<新建>按钮,设置允许向NMS(192.168.0.100/24)发送Trap报文,使用的团体名为public,版本为v2c。单击<确定>按钮生效 |
|
|
6. 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
在使用SNMP v2c版本的NMS上需要设置“只读团体名”和“读写团体名”。另外,还需要设置“超时”时间和“重试次数”。您可利用网管系统完成对S1626的查询和配置操作,详情请参考NMS的配套手册。
网管侧的配置必须和设备侧保持一致(比如:团体名),否则无法进行相应操作。
某企业需要阻止某些特定的主机(比如:192.168.0.118/24)访问外网,但又希望该主机可以访问内网中的其他服务器(比如:FTP服务器等),此时您可以通过配置ACL来实现。
为满足需求,以下面的组网配置方案为例进行说明:
· H3C S1626下接无管理交换机;
· 在S1626上定义一条基于IP的ACL,并在该ACL下设置两条子规则:一条是源IP地址为该主机的IP地址,操作为“禁止通过”;一条是源IP地址为该主机IP地址,目的IP地址为服务器的IP地址,操作为“允许通过”。将规则优先级设为“自动优先级模式”使“允许通过”的子规则为优先匹配。
· 将这条ACL应用到相应的端口,使其生效。
图10-2 ACL典型配置组网示意图
|
1. 运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框 |
|
|
2. 在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
|
3. 单击“ACL控制→定义ACL→基于IP ACL”,进入相应的设置页面 |
|
|
4. 单击<创建ACL>按钮,进入创建ACL的页面。选择“规则优先级模式”为自动,单击<确定>按钮,完成一条新ACL的创建(名称:ACL3001) |
|
|
5. 单击<添加规则>按钮,添加一条规则:源IP地址为该主机的IP地址、目的IP地址为FTP服务器的IP地址、操作为“允许通过” |
|
|
6. 单击<添加规则>按钮,添加另一条规则:源IP地址为此主机IP地址,操作为“禁止通过” |
|
|
7. 单击“ACL控制→端口绑定→创建端口ACL绑定”,并将“ACL3001”ACL应用到端口8 |
|
|
8. 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
某企业需要在局域网内实现四元绑定,预防内网病毒欺骗和恶意攻击,保证网络运行稳定。
为满足需求,以下面的组网配置方案为例进行说明:
· H3C S1626下接无管理交换机;
· 由于企业通常采用DHCP方式来配置用户端IP地址,所以建议通过DHCP监控方式在S1626上进行四元绑定。
图10-3 四元绑定典型配置组网示意图
|
1. 运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框 |
|
|
2. 在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
|
3. 单击“安全专区→IP过滤→添加绑定”,进入相应的设置页面。选择“自动添加(DHCP-Snooping)”单选按钮,单击<确定>按钮生效。此时,页面会自动跳转到“端口过滤设置”页面 |
|
|
4. 选择端口5,同时选中“连接DHCP服务器”该项的“是”单选按钮,单击<确定>按钮生效 |
|
|
5. 以端口10为例:选择端口10,并开启过滤IP和过滤ARP两项功能,单击<确定>按钮生效 |
|
|
6. 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
某企业为每个工作组划分不同的VLAN,为了节省汇聚交换机的VLAN资源,需要在汇聚交换机侧实现客户端VLAN屏蔽的方案。
为满足需求,以下面的组网配置方案为例进行说明:
· 汇聚交换机下接S1626;
· 在S1626上设置Isolate-user-vlan特性,实现如下:
(1) S1626_A
VLAN 500为Isolate-user-VLAN,包含上行端口25和两个Secondary VLAN:VLAN 101和VLAN 102,VLAN 101包含端口1,VLAN 102包含端口2;
(2) S1626_B
VLAN 600为Isolate-user-VLAN ,包含上行端口25和两个Secondary VLAN:VLAN 203和VLAN 204,VLAN 203包含端口3,VLAN 204包含端口4。
从汇聚交换机上看,下接的S1626_A、S1626_B都只有一个VLAN:VLAN 500和VLAN 600。
图10-4 Isolate-user-vlan典型组网配置示意图(一)
此例仅介绍S1626上的Isolate-user-vlan特性设置,且以S1626-A为例,S1626-B可参考设置。
|
1. 运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框 |
|
|
2. 在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
|
3. 单击“设备管理→VLAN设置→802.1Q VLAN”,进入相应的设置页面 |
|
|
4. 单击<新建>按钮,进入相应的设置页面。创建Secondary VLAN:VLAN 101和VLAN 102 |
|
|
5. 单击“设备管理→用户隔离VLAN→用户隔离VLAN配置”,进入相应的设置页面 |
|
|
6. 创建Isolate-user-VLAN:VLAN 500 |
|
|
7. 单击“设备管理→用户隔离VLAN→用户隔离VLAN端口配置”,进入相应的设置页面 |
|
|
8. 设置Isolate-user-VLAN:VLAN 500中加入端口25 |
|
|
9. 设置Secondary VLAN:VLAN 101和VLAN 102中分别加入端口1和端口2(以VLAN 101为例) |
|
|
10. 单击“设备管理→用户隔离VLAN→用户隔离VLAN关联配置”,进入相应的设置页面。将Isolate-user-VLAN和Secondary VLAN进行关联 |
|
|
11. 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
出于网络安全考虑,某酒店需要使用监控服务器对每间客房的上行流量进行监控,且酒店每间客房的客户均可以通过出口路由器上网,且互不干扰。
为满足需求,以下面的组网配置方案为例进行说明:
· 汇聚交换机下接S1626;
· 将汇聚交换机上与路由器相连的端口镜像到与监控服务器相连的端口;
· 为避免下行流量产生广播,使用汇聚交换机的MAC地址同步功能;
· 在S1626上运用Isolate-user-vlan功能。
图10-5 Isolate-user-vlan典型配置组网示意图(二)
(1) 汇聚交换机上的配置
此处仅介绍设置方法,具体的设置步骤请参见相应汇聚交换机的用户手册。
汇聚交换机:
· 创建所有客房所对应的VLAN(此处为:VLAN 201、VLAN 202、VLAN301、VLAN 302)及VLAN 1000;
· 将端口1设置为Hybrid端口,PVID为1000,且VLAN1和VLAN1000报文出端口时不带VLAN Tag;
· 将端口2~端口4设置为Trunk端口,PVID为1,且允许所有的VLAN通过;
· 设置端口2为监控端口,设置端口1为被镜像端口(监控其入端口和出端口数据);
· 将下行VLAN(VLAN 201、202、301、302)MAC地址同步到上行VLAN(VLAN 1000)。
(2) S1626上的配置
此例以S1626-A为例,S1626-B可参考设置。
|
1. 运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框 |
|
|
2. 在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
|
3. 单击“设备管理→VLAN设置→802.1Q VLAN”,进入相应的设置页面 |
|
|
4. 单击<新建>按钮,进入相应的设置页面。创建Secondary VLAN:VLAN 201和VLAN 202 |
|
|
5. 单击“设备管理→用户隔离VLAN→用户隔离VLAN配置”,进入相应的设置页面 |
|
|
6. 创建Isolate-user-VLAN:VLAN 1000 |
|
|
7. 单击“设备管理→用户隔离VLAN→用户隔离VLAN端口配置”,进入相应的设置页面 |
|
|
8. 设置Isolate-user-VLAN:VLAN 1000中加入端口25 |
|
|
9. 设置Secondary VLAN:VLAN 201和VLAN 202中分别加入端口1和端口2(以VLAN 201为例) |
|
|
10. 单击“设备管理→用户隔离VLAN→用户隔离VLAN关联配置”,进入相应的设置页面。将Isolate-user-VLAN和Secondary VLAN进行关联 |
|
|
11. 单击“设备管理→VLAN设置→Hybrid端口”,进入Hybrid端口设置页面 |
|
|
12. 单击端口“25”的链接,修改端口25的Tagged VLAN为201,202 |
|
|
13. 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
如果命令行所涉及的特性与Web界面相同,则该特性的功能介绍将不再赘述。您可通过本手册中的Web界面设置获取相关的信息。
本章主要介绍通过命令行对S1600进行配置前,如何搭建配置环境以及如何使用命令行。
S1600支持2个Telnet用户和1个Console口用户同时登录。
将管理计算机的串口通过配置电缆与S1600的Console口相连。
|
1. 打开管理计算机,在管理计算机Windows界面上选择[开始/(所有)程序/附件/通讯]菜单,单击“超级终端”。在“名称”文本框中输入新建连接的名称,如“switch”,单击<确定>按钮建立新的连接(以Windows XP的超级终端为例) |
|
|
2. 在“连接时使用”下拉列表框中选择进行连接的串口,单击<确定>按钮(注意选择的串口应与配置电缆实际连接的串口相一致) |
|
|
3. 在串口的属性对话框中设置相关参数(参数值如右图所示)。单击<确定>按钮 |
|
|
4. 在[超级终端]窗口中选择[文件/属性/设置] |
|
|
5. 选择终端仿真类型为自动检测,单击<确定>按钮,返回[超级终端]窗口 |
|
将S1600通电,终端上显示S1600的自检信息,自检结束后提示您键入回车。回车后会出现命令行提示符(如<H3C>),此时您就可以对S1600进行配置了,具体的配置命令请参考本书中以后各章节的内容。
通过终端Telnet到S1600需要具备如下条件:
· S1600的Telnet功能开启(缺省情况下开启Telnet服务器,具体配置请参见“11.14.5 2. 开启/关闭TELNET服务器”)。
· 在S1600上配置Telnet用户本地认证密码(缺省采用本地认证方式,具体配置请参见“5.3 设置Web参数及Telnet用户认证方式”或“11.2.3 3. 设置VTY用户认证”)。
· 请确认终端能通过Telnet方式访问交换机(缺省情况下允许所有终端通过Telnet方式访问交换机,具体配置请参见“5.9 设置管理PC控制”或“11.14.6 设置管理PC控制”)。
· 在S1600上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);
· 将与终端相连的以太网端口加入该管理VLAN(在VLAN视图下使用port命令);
· 如果终端和S1600在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和S1600必须路由可达。
(1) 将管理计算机的以太网口通过局域网与S1600的以太网端口连接。
(2) 在管理计算机上选择[开始/运行],并输入“telnet: 192.168.0.234(以S1600缺省的IP地址为例)”,单击<确定>按钮。
(3) 终端上显示“Password”字样,要求您输入登录密码。确认后出现命令行提示符(如<H3C>)。此时您就可以对S1600进行配置了,具体的配置命令请参考本书中以后各章节的内容。
当您通过Telnet方式配置S1600时,请不要删除管理VLAN接口,也不要修改管理VLAN接口的IP地址,否则会导致Telnet连接断开。
S1600向您提供一系列的配置命令以及命令行接口,以方便您配置和管理。命令行接口有如下特性:
· 配置命令分级保护,确保未授权用户无法侵入交换机;
· 您可以随时键入“?”以获得在线帮助;
· 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障;
· 提供类似Doskey的功能,可以执行某条历史命令;
· 命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。
命令行提供如下视图:
· 用户视图;
· 系统视图;
· 用户界面视图;
· VLAN视图;
· VLAN接口视图;
· 用户组视图;
· 以太网端口视图;
· ACL视图;
· RADIUS方案视图。
各命令视图的功能特性、进入各视图的命令等细则如下图所示,其中端口编号仅供举例参考。
表11-1 命令视图功能特性列表
|
视图 |
功能 |
提示符 |
进入命令 |
退出命令 |
|
用户视图 |
查看交换机的运行状态和统计信息,进行简单的系统管理 |
<H3C> |
与交换机建立连接即进入 |
quit断开与交换机连接 |
|
系统视图 |
配置、查看系统参数 |
[H3C] |
在用户视图下键入system-view |
quit返回用户视图 return返回用户视图 |
|
以太网端口视图 |
配置以太网端口参数 |
[H3C-Ethernet0/1] |
固定以太网端口视图:在系统视图下键入interface Ethernet0/1 |
quit返回系统视图 return返回用户视图 |
|
VLAN视图 |
配置VLAN参数 |
[H3C-Vlan1] |
在系统视图或以太网端口视图下键入vlan 1 |
|
|
VLAN接口视图 |
配置VLAN对应的IP接口参数 |
[H3C-Vlan-interface1] |
在系统视图、以太网端口视图或VLAN视图下键入interface vlan-interface 1 |
|
|
用户组视图 |
配置基于端口的VLAN参数 |
[H3C-UserGroup1] |
在系统视图下键入user-group 1 |
|
|
用户界面视图 |
配置用户界面参数 |
[H3C-Aux0] |
在系统视图下键入user-interface aux 0 |
|
|
[H3C-vty0] |
在系统视图下键入user-interface vty 0 |
|||
|
ACL视图 |
配置ACL参数 |
[H3C-Advanced-ACL3001] |
在系统视图下键入acl number 3001 |
|
|
RADIUS方案视图 |
配置RADIUS方案 |
[H3C-radius-system] |
在系统视图下键入 radius scheme system |
以下显示的内容均为示例,请以实际的显示情况为准。
通过命令行在线帮助,您可以查询命令信息以及快速输入命令。描述如下:
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
<H3C> ?
debugging Enable system debugging functions
display Display current system information
ping Ping function
quit Exit from current command view
reboot Reset switch
reset Reset operation
save Save current configuration
system-view Enter the system view
terminal Specify the terminal characteristics
undo Cancel current setting
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C> display ?
acl ACL
arp Display ARP information
controller Controller
current-configuration Current configuration
debugging Current setting of debugging switches
device Device
dhcp-snooping DHCP snooping
dhcp-statistics Display dhcp clinet information
dos-prevention dos-prevention
dot1x 802.1x status information
filter tcp udp filter
igmp-snooping IGMP snooping
info-center Information center status and configuration
information
interface Interface status and configuration information
ip IP status and configuration information
ipmacbind ip+mac+port+vlan bind
isolate Display isolate port
isolate-user-vlan Display isolate-user-VLAN characteristic
lacp LACP protocol
link-aggregation Ports aggregation mode
logbuffer Display logbuffer information
mac-address MAC address information
mirror display the mirroring port
---- More ----
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C> s?
save system-view
(4) 键入一命令,后接一字符串紧接<?>,列出命令以该字符串开头的所有关键字。
<H3C> display u?
user-group user-interface users
(5) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C> disp ¬按下<Tab>键
<H3C> display
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见下表。
表11-2 命令行常见错误信息表
|
英文错误信息 |
错误原因 |
|
Unrecognized command |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错误 |
|
|
参数值越界 |
|
|
Incomplete command |
输入命令不完整 |
|
Too many parameters |
输入参数太多 |
|
Ambiguous command |
输入命令不明确 |
|
Wrong parameter |
输入参数错误 |
命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如下所示。
表11-3 访问历史命令
|
操作 |
按键 |
结果 |
|
访问上一条历史命令 |
上光标键<↑> |
如果还有更早的历史命令,则取出上一条历史命令 |
|
访问下一条历史命令 |
下光标键<↓> |
如果还有更晚的历史命令,则取出下一条历史命令 |
用光标键对历史命令进行访问,在Windows NT的超级终端下是有效的,但对于Windows 9X的超级终端,<↑>、<↓>光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替<↑>、<↓>光标键达到同样目的。
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为254个字符,如下所示。
表11-4 编辑功能表
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标 |
|
退格键<Backspace> |
删除光标位置的前一个字符,光标前移 |
在一次显示信息超过一屏时,提供了暂停功能,这时您可以根据需要选择显示方式,如下所示。
表11-5 显示功能表
|
按键或命令 |
功能 |
|
暂停显示时键入回车键<Enter> |
显示下一行信息 |
|
暂停显示时键入空格键 |
显示下一屏信息 |
|
暂停显示时键入其他键 |
退出显示 |
S1600支持两个级别的用户:
· 普通用户:仅可以在用户视图下对S1600执行简单的查询操作;
· 管理用户:可以对S1600执行监控、配置、管理等操作。
缺省情况下,进入系统视图时不需要输入密码。但您可以在S1600系统视图下配置分级保护密码,使用户进入系统视图时进行身份验证。当进行身份验证时,如果在三次以内输入了正确的密码,则切换到管理用户,否则保持原普通用户级别不变。
表11-6 设置用户分级保护密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置分级保护密码 |
super password { cipher | simple } password |
cipher:在配置文件中以密文方式显示口令 simple:在配置文件中以明文方式显示口令 password:口令字符串。如果验证方式是simple,则password必须是明文口令,取值范围为1~12个字符的字符串;如果验证方式是cipher,则用户在设置password时有两种方式: · 一种是输入小于等于12字符的明文口令,系统会自动转化为24位的密文形式; · 另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:密文“_(TT8F]Y\5SQ=^Q`MAF4<1!!”对应的明文是“1234567” 注意: 不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令 |
|
删除分级保护密码 |
undo super password |
- |
AUX用户界面用于通过Console口对S1600进行访问。S1600只支持一个AUX用户界面。
表11-7 进入用户界面视图
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
表11-8 设置终端属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
设置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
· minutes:配置连接用户超时中断时间的分钟数,取值范围为0~35791 · seconds:配置连接用户超时中断时间的秒数,取值范围为0~59 · idle-timeout 0表示禁用超时中断连接功能 缺省情况下,在所有的用户界面上启用了超时断连功能,时间为5分钟。也就是说,如果5分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 |
|
恢复用户超时断连为缺省值 |
undo idle-timeout |
- |
当您设置了AUX用户认证功能后,则通过Console口登录到S1600时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。
表11-9 设置AUX用户认证
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
|
选择AUX用户认证方式 |
不认证 |
authentication-mode none |
cipher:设置本地认证口令以密文方式显示 simple:设置本地认证口令以明文方式显示 password:口令字符串。如果验证方式是simple,则password必须是明文口令;如果验证方式是cipher,则用户在设置password时有两种方式: · 一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式 · 另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!” 缺省情况下,AUX用户认证方式为不认证 说明: · undo set authentication password命令用于删除本地认证密码 · 当选择远程认证方式时,您需要架设Radius服务器来进行用户名和密码的维护。有关Radius的相关描述,可参见“9.3.4 设置Radius Client” 注意: 不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令 |
|
本地认证 |
authentication-mode password |
||
|
set authentication password { cipher | simple } password |
|||
|
undo set authentication password |
|||
|
远程认证 |
authentication-mode scheme |
||
VTY用户界面用于通过Telnet方式对S1600进行设置。S1600支持两个VTY用户界面,VTY0和VTY1。
表11-10 进入VTY界面视图
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
表11-11 设置终端属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置用户超时退出功能 |
idle-timeout minutes [ seconds ] |
· minutes:设置连接用户超时中断时间的可选取的分钟的取值,取值范围为0~35791 · seconds:设置连接用户超时中断时间的可选取的秒的取值,取值范围为0~59 · idle-timeout 0表示禁用超时中断连接功能 缺省情况下,VTY界面上启用了超时退出功能,时间为5分钟。也就是说,如果5分钟内某VTY界面没有用户进行操作,则该Telnet用户将被自动断开 |
|
恢复用户超时退出为缺省值 |
undo idle-timeout |
- |
当您设置了VTY用户认证功能后,则通过Telnet方式登录到S1600时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。
表11-12 设置VTY用户认证
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入VTY用户界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
|
选择VTY用户认证方式 |
不认证 |
authentication-mode none |
cipher:设置本地认证口令以密文方式显示 simple:设置本地认证口令以明文方式显示 password:口令字符串。如果验证方式是simple,则password必须是明文口令;如果验证方式是cipher,则用户在设置password时有两种方式: · 一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式 · 另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!” 缺省情况下,VTY用户认证方式为本地认证 说明: · undo set authentication password命令用于删除本地认证密码 · 当选择远程认证方式时,您需要架设Radius Server来进行用户名和密码的维护。有关Radius Client的相关描述和操作,可参见“9.3.4 设置Radius Client” 注意: 不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令 |
|
本地认证 |
authentication-mode password |
||
|
set authentication password { cipher | simple } password |
|||
|
undo set authentication password |
|||
|
远程认证 |
authentication-mode scheme |
||
表11-13 显示用户界面
|
操作 |
命令 |
说明 |
|
显示用户界面的使用信息 |
display users |
显示命令可在任意视图下执行 |
|
显示用户界面状态和配置信息 |
display user-interface |
例:显示用户界面的使用信息。
<H3C>display users
UI Delay Type IPaddress Username U
serlevel
1 VTY 0 00:00:00 TEL 192.200.200.158 admin 1
3 WEB 0 00:00:00 WEB 192.200.200.245 admin 1
00:00:22 WEB 192.200.200.158 admin 1
表11-14 display users显示信息描述表
|
字段 |
描述 |
|
F |
表示当前正在使用的用户界面,且工作在异步方式 |
|
UI |
第一列是用户界面的类型,可显示AUX、WEB、VTY 第二列是用户界面的相对编号 |
|
Delay |
表示用户自最近一次输入到现在的时间间隔,形式为“时:分:秒” |
|
Type |
用户类型 |
|
IPaddress |
显示起始连接位置,即接入的主机IP地址 |
|
Username |
登录S1600的用户名 |
|
Userlevel |
用户等级,0为普通用户、1为管理用户 |
S1600任何时刻只能有一个VLAN对应的VLAN接口可以设置IP地址,该VLAN即为管理VLAN。如果您想对S1600进行远程管理,必须设置S1600管理VLAN接口的IP地址。
在创建新的管理VLAN之前,该VLAN必须已经存在,且需要删除当前的管理VLAN接口。
表11-15 创建新的管理VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建新的管理VLAN |
management-vlan vlan-id |
vlan-id:VLAN的ID,取值范围为1~4094 缺省情况下,S1600的管理VLAN为VLAN 1 |
|
恢复管理VLAN为缺省配置 |
undo management-vlan |
- |
在配置本任务之前,您需要先创建管理VLAN,相关操作可参见“1. 创建新的管理VLAN”。
表11-16 创建/删除管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
删除管理VLAN接口 |
undo interface vlan-interface vlan-id |
- |
表11-17 设置VLAN接口描述
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口描述 |
description text |
text:描述管理VLAN接口的字符串,可以包含特殊字符,不包括空格,长度为1~80个字符 缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-Interface1 Interface” |
|
恢复管理VLAN接口缺省描述 |
undo description |
- |
表11-18 指定/删除管理VLAN接口的静态IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
指定管理VLAN接口的静态IP地址 |
ip address ip-address { ip-mask | ip-mask-length } |
· ip-address:管理VLAN接口的IP地址 · ip-mask:管理VLAN接口静态IP地址的掩码 · ip-mask-length:子网掩码的长度 缺省情况下,管理VLAN接口IP地址:192.168.0.234,子网掩码:255.255.255.0 |
|
删除管理VLAN接口的静态IP地址 |
undo ip address |
- |
例:为管理VLAN 20指定IP地址和掩码。
# 删除原来的管理VLAN接口。
<H3C> system-view
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
# 指定管理VLAN 20接口的IP地址和掩码。
[H3C-Vlan-interface20] ip address 192.168.0.55 24
表11-19 动态分配/取消动态分配管理VLAN接口的IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
动态分配管理VLAN接口的IP地址 |
ip address dhcp-alloc |
通过DHCP方式获取IP地址的同时可以动态获取网关,无需重新配置接口网关 |
|
恢复管理VLAN接口IP地址为动态分配前的静态IP地址 |
undo ip address dhcp-alloc |
- |
表11-20 指定/删除管理VLAN接口网关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
指定管理VLAN接口网关 |
ip gateway ip-address |
ip-address:网关的IP地址 缺省情况下,无网关IP地址 |
|
删除管理VLAN接口网关 |
undo ip gateway |
- |
例:为管理VLAN 20指定静态IP地址、掩码和网关。
# 删除原来的管理VLAN接口。
<H3C> system-view
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
# 为管理VLAN 20接口指定IP地址和掩码。
[H3C-Vlan-interface20] ip address 192.168.0.55 255.255.255.0
# 为管理VLAN 20接口指定网关。
[H3C-Vlan-interface20] ip gateway 192.168.0.1
· 管理VLAN接口的启用/禁用状态对属于该管理VLAN的以太网端口的启用/禁用状态没有影响。
· 缺省情况下,当管理VLAN接口对应VLAN下的所有以太网端口状态为Down时,则管理VLAN接口为Down(关闭)状态;当管理VLAN接口对应VLAN下至少有一个以太网端口处于Up状态时,管理VLAN接口为Up(开启)状态。
表11-21 开启/关闭管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
关闭管理VLAN接口 |
shutdown |
- |
|
开启管理VLAN接口 |
undo shutdown |
- |
在完成上述配置后,在任意视图下执行display命令可以显示配置后系统IP的运行情况,通过查看显示信息验证配置的效果。
表11-22 显示系统IP信息
|
操作 |
命令 |
说明 |
|
查看系统IP信息 |
display ip |
显示命令可在任意视图下执行 |
|
查看管理VLAN接口的相关信息 |
display interface vlan-interface [ vlan-id ] |
显示命令可在任意视图下执行 vlan-id:管理VLAN的ID,其取值范围为1~4094 |
表11-23 开启/关闭IP调试开关
|
操作 |
命令 |
说明 |
|
开启IP调试开关 |
debugging ip packet |
此命令需在用户视图下执行 缺省情况下,系统IP调试开关处于关闭状态 |
|
关闭IP调试开关 |
undo debugging ip packet |
- |
相关配置可参考命令display debugging、terminal debugging。
例:开启IP调试开关。
<H3C> debugging ip packet
<H3C> terminal debugging
Jan 1 02:18:59 0000 [IP]/7/Receiving:interface=Vlan-interface1, version=4, tos=0, pktlen=48, pktid=10378, offset=16384, ttl=128, protocol=6, checksum=22241 , s=222.222.222.193, d=222.222.222.221
表11-24 debugging ip packet命令显示域说明表
|
字段 |
描述 |
|
receiving/Sending |
正在接收/发送一个IP报文 |
|
interface |
VLAN虚接口 |
|
version |
协议版本号 |
|
tos |
服务类型 |
|
pktlen |
报文总长度 |
|
pktid |
报文标识 |
|
offset |
片偏移 |
|
ttl |
生存时间 |
|
protocol |
协议类型 |
|
checksum |
首部校验和 |
|
s |
源IP地址 |
|
d |
目的IP地址 |
表11-25 开启/关闭DHCP Snooping功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启DHCP Snooping功能 |
dhcp-snooping |
缺省情况下, DHCP Snooping功能处于关闭状态 |
|
关闭DHCP Snooping功能 |
undo dhcp-snooping |
- |
表11-26 设置DHCP Snooping信任端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
interface-number:端口号,采用“槽位编号/端口编号”的格式。S1600的槽位编号只能取0,S1626/S1626-PWR端口编号取值范围为1~26,S1650端口编号取值范围为1~50 |
|
设置端口为DHCP Snooping信任端口 |
dhcp-snooping trust |
缺省情况下,S1600的所有端口均为不信任端口 |
|
恢复端口为DHCP Snooping不信任端口 |
undo dhcp-snooping trust |
- |
表11-27 显示DHCP Snooping设置信息
|
操作 |
命令 |
说明 |
|
显示DHCP Snooping表信息 |
display dhcp-snooping |
显示命令可在任意视图下执行 |
|
显示DHCP Snooping状态及信任端口信息 |
display dhcp-snooping trust |
例:显示通过DHCP Snooping记录的用户IP地址和MAC地址信息。
<H3C> display dhcp-snooping
DHCP-Snooping is enabled.
The client binding table for all ports.
Type : B--ACL binded , N--Not binded
Type IP Address MAC Address Lease VLAN Interface
==== =============== =============== ========= ==== =================
B 192.168.1.10 000f-e200-0006 200 1 Ethernet0/10
--- 1 dhcp-snooping item(s) found ---
表11-28 通过DHCP方式获取IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口通过DHCP方式获取IP地址 |
ip address dhcp-alloc |
缺省情况下,管理VLAN接口不通过DHCP方式获取IP地址 |
|
取消管理VLAN接口通过DHCP方式获取IP地址 |
undo ip address dhcp-alloc |
取消了以DHCP方式获取IP地址后,如果原先已经配置了静态IP地址并进行了保存,则该静态IP地址立即生效 |
表11-29 显示DHCP Client获取的地址信息
|
操作 |
命令 |
说明 |
|
显示DHCP Client获取的地址信息 |
display dhcp-statistics |
显示命令可在任意视图下执行 |
例:设置并显示S1600通过DHCP方式获取IP地址。
# 进入管理VLAN接口。
<H3C> system-view
[H3C] interface vlan-interface 1
# 进入管理VLAN接口,并设置通过DHCP方式获取IP地址。
[H3C-Vlan-interface1] ip address dhcp-alloc
# 显示IP地址信息。
[H3C-Vlan-interface1] display dhcp-statistics
DHCP client statistic infomation:
Vlan-interface1
DHCP client: enabled
Current machine state: BOUND
Alloced IP: 192.168.1.100 255.255.255.0
Gateway IP: 192.168.1.1
Alloced lease: 86400 seconds,
T1 left: 43188 seconds,
T2 left: 75588 seconds,
Server IP: 192.168.1.1
从以上信息可以看到获得的IP地址是192.168.1.100,子网掩码是255.255.255.0,网关地址是192.168.1.1。
表11-30 开启/关闭DHCP Client调试开关
|
操作 |
命令 |
说明 |
|
开启DHCP Client的调试开关 |
debugging dhcp-alloc |
此命令需在用户视图下执行 缺省情况下,DHCP Client 的调试开关处于关闭状态 |
|
关闭DHCP Client的调试开关 |
undo debugging dhcp-alloc |
- |
相关配置可参考命令display debugging、terminal debugging。
如果您想对以太网端口进行配置,首先要进入以太网端口视图。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number interface description text |
interface-number:端口号,采用“槽位编号/端口编号”的格式。S1600的槽位编号只能取0,S1626/S1626-PWR端口编号取值范围为1~26,S1650端口编号取值范围为1~50 当您设置了以太网端口描述后,您便可通过interface description text命令直接使用该描述进入相应的端口视图 |
表11-32 设置以太网端口描述
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口描述 |
description text |
text:描述以太网端口的字符串,不包括空格 缺省情况下,以太网端口描述为空 |
|
删除以太网端口描述 |
undo description |
- |
表11-33 开启/关闭以太网端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
关闭以太网端口 |
shutdown |
缺省情况下,端口处于开启状态 |
|
开启以太网端口 |
undo shutdown |
- |
当端口工作在非自协商模式时,如果不能与对端建立正常连接,请尝试修改其端口网线类型(MDI/MDIX),如何设置网线类型请参见“11. 设置以太网端口网线类型”。
表11-34 设置以太网端口速率和双工状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口的速率 |
speed { 10 | 100 | 1000 | auto } |
· 10:当前端口速率为10Mbps · 100:当前端口速率为100Mbps · 1000:当前端口速率为1000Mbps · auto:当前端口速率为自协商方式 缺省情况下,端口的速率为自协商方式 |
|
设置以太网端口的双工状态 |
duplex { auto | full | half } |
· auto:当前端口双工状态为自协商方式 · full:当前端口双工状态为全双工状态 · half:当前端口双工状态为半双工状态 缺省情况下,端口的双工状态为自协商方式 |
表11-35 开启/关闭以太网端口的流量控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启以太网端口的流量控制 |
flow-control |
缺省情况下,以太网端口的流量控制处于关闭状态 |
|
关闭以太网端口流量控制 |
undo flow-control |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口的广播风暴抑制比例 |
broadcast-suppression pct |
pct:广播风暴的抑制百分比。可取的值为:5、10、20、100 缺省情况下,允许通过的广播流量为100%,即对广播流量不进行抑制 |
|
恢复以太网端口的广播风暴抑制比例为缺省值 |
undo broadcast-suppression |
- |
自环测试是用于检验以太网端口是否能正常工作。测试时端口将不能正确转发报文,在执行一定时间后,环回测试会自动结束。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口进行内环测试 |
loopback internal |
内环测试是在交换芯片内部建立自环,可定位芯片内与该端口相关的功能是否出现故障 |
|
设置以太网端口进行外环测试 |
loopback external |
外环检测是检查端口的硬件功能是否出现故障 · 端口必须处于UP的状态 · 需要插接自环头 |
· 在外环测试结束后,您务必将自环头拔下,以免造成网络故障。
· 使用loopback命令进行自环测试时,端口将禁止转发报文。经过一定时间后,自环测试将自动结束并上报自环测试结果。
· 如果您在端口上执行了shutdown命令后,则此端口不能进行自环测试。
· 在自环测试期间,请勿在端口上进行任何操作。
· 在外环测试前,您务必将端口的双工模式设置为全双工或者自协商。因为,半双工模式会导致测试出错。
表11-38 设置以太网端口链路类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口为Access端口 |
port link-type access |
缺省情况下,端口链路类型为Access |
|
设置端口为Hybrid端口 |
port link-type hybrid |
|
|
设置端口为Trunk端口 |
port link-type trunk |
|
|
恢复端口的链路类型为缺省值 |
undo port link-type |
- |
· 设置Hybrid端口的缺省VLAN ID
表11-39 设置Hybrid端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置Hybrid端口的缺省VLAN ID |
port hybrid pvid vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1 |
|
恢复Hybrid端口的缺省VLAN ID为缺省值 |
undo port hybrid pvid |
- |
· 设置Trunk端口的缺省VLAN ID
表11-40 设置Trunk端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置Trunk端口的缺省VLAN ID |
port trunk pvid vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1 |
|
恢复Trunk端口的缺省VLAN ID为缺省值 |
undo port trunk pvid |
- |
· 将Access端口加入到指定VLAN
表11-41 将Access端口加入到指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
将Access端口加入到指定VLAN |
port access vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为2~4094,且必须已经存在 缺省情况下,Access端口属于VLAN 1 |
|
将Access端口从指定VLAN删除 |
undo port access vlan |
- |
· 将Hybrid端口加入到指定VLAN
表11-42 将Hybrid端口加入到指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
将Hybrid端口加入到指定VLAN |
port hybrid vlan vlan-id-list { tagged | untagged } |
· vlan-id-list:vlan-id-list = vlan-id1 [ to vlan-id2 ],为此Hybrid端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在 · tagged:端口在转发指定的VLAN报文时将保留VLAN Tag · untagged:端口在转发指定的VLAN报文时将不保留VLAN Tag Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的集合 |
|
将Hybrid端口从指定VLAN中删除 |
undo port hybrid vlan vlan-id-list |
- |
· 将Trunk端口加入到指定VLAN
表11-43 将Trunk端口加入到指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
将Trunk端口加入到指定VLAN |
port trunk permit vlan { vlan-id-list | all } |
· vlan-id-list:vlan-id-list = vlan-id1 [ to vlan-id2 ],为此Trunk端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在 · all:将Trunk端口加入到所有VLAN中 Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合 |
|
将Trunk端口从指定VLAN中删除 |
undo port trunk permit vlan { vlan-id-list | all } |
- |
以太网端口的网线有直通网线及交叉网线,可以使用该命令对网线类型进行设置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口的网线类型 |
mdi { across | auto | normal } |
· across:连接网线类型为交叉网线 · auto:自动识别是直通网线还是交叉网线 · normal:连接网线类型为直通网线 缺省情况下,端口的网线类型为auto类型 |
|
恢复以太网端口网线类型的缺省值 |
undo mdi |
- |
表11-45 设置以太网端口隔离
|
操作 |
命令 |
说明 |
|
|
|
进入系统视图 |
system-view |
- |
|
|
|
将以太网端口加入到隔离组 |
在系统视图下操作 |
port isolate port-list |
两者必选其一 port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ Ethernetinterface-number [ to Ethernet interface-number ] }&<1-5>。&<1-5>表示前面的参数最多可以输入5次 缺省情况下,端口未加入到隔离组 |
|
|
在以太网端口视图下操作 |
interface Ethernet interface-number |
|||
|
port isolate |
||||
|
将以太网端口从隔离组中删除 |
在系统视图下操作 |
undo port isolate port-list |
- |
|
|
在以太网端口视图下操作 |
interface Ethernet interface-number |
|||
|
undo port isolate |
||||
|
显示隔离组中的端口信息 |
display isolate port |
显示命令可在任意视图下执行 |
||
表11-46 创建聚合组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建聚合组 |
link-aggregation group agg-id mode { manual | static } |
· agg-id:汇聚组ID,取值范围为1~6 · manual:手工聚合 · static:静态LACP聚合 |
|
删除聚合组 |
undo link-aggregation group agg-id |
- |
表11-47 将以太网端口加入到聚合组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
将以太网端口加入到聚合组 |
port link-aggregation group agg-id |
agg-id:已创建的汇聚组ID |
|
将以太网端口从聚合组中删除 |
undo port link-aggregation group |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置以太网端口聚合模式 |
link-aggregation mode { egress | ingress | both } |
· egress:聚合组中各成员端口根据目的MAC地址进行负荷分担 · ingress:聚合组中各成员端口根据源MAC地址进行负荷分担 · both:聚合组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担 缺省情况下,以太网端口聚合模式为both模式 |
|
恢复以太网端口聚合模式为缺省设置 |
undo link-aggregation mode |
- |
· 设置LACP系统优先级
表11-49 设置LACP系统优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置LACP系统优先级 |
lacp system-priority system-priority |
system-priority:LACP系统优先级,取值范围为0~65535 缺省情况下,LACP系统优先级为32768 |
|
恢复LACP系统优先级为缺省值 |
undo lacp system-priority |
- |
· 设置LACP端口优先级
表11-50 设置LACP端口优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
设置LACP端口优先级 |
lacp port-priority port-priority |
port-priority:LACP端口优先级,取值范围为0~65535 缺省情况下,LACP端口优先级为32768 |
|
恢复LACP端口优先级为缺省值 |
undo lacp port-priority |
- |
|
操作 |
命令 |
说明 |
|
显示以太网端口汇聚详细信息 |
display link-aggregation [ Ethernet interface-number ] |
显示命令可在任意视图下执行 |
|
显示所有汇聚组的摘要信息 |
display link-aggregation summary |
|
|
显示指定汇聚组的详细信息 |
display link-aggregation verbose [ agg-id ] |
|
|
显示本端系统的设备ID |
display lacp system-id |
例:显示汇聚端口组的相关信息。
<H3C> display link-aggregation summary
Aggregation Group Type:D -- Dynamic, S -- Static , M -- Manual
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Actor ID: 0x8000, 000f-e20f-5104
Aggregation Mode: both
AL AL Partner ID Select Standby Share Master
ID Type Ports Ports Type Port
--------------------------------------------------------------------------
1 M none 2 0 Shar Ethernet0/12
表11-52 display link-aggregation summary命令显示信息描述表
|
字段 |
描述 |
|
Aggregation Group Type |
汇聚组类型:S表示静态LACP聚合、M表示手工聚合 |
|
Loadsharing Type |
负载分担类型:Shar表示负载分担类型,NonS表示非负载分担类型 |
|
Actor ID |
本端设备ID |
|
AL ID |
汇聚组ID |
|
AL Type |
汇聚组类型,分为静态汇聚和手工汇聚 |
|
Partner ID |
对端设备ID,包括对端设备的系统优先级和系统MAC地址 |
|
Select Ports |
Selected端口数 |
|
Standby Ports |
Standby端口数 |
|
Share Type |
负载分担类型 |
|
Master Port |
汇聚组中端口号最小的端口 |
当设置了新的监控端口后,原来的监控端口将被自动取消,被镜像端口不变。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置监控端口 |
monitor-port Ethernet interface-number |
- |
|
删除监控端口 |
undo monitor-port |
- |
表11-54 设置被镜像端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置被镜像端口 |
mirroring-port Ethernet interface-number [ to Ethernet interface-number ] { inbound | outbound | both } |
· inbound:仅对端口接收的报文进行监控 · outbound:仅对端口发送的报文进行监控 · both:同时对端口接收和发送的报文进行监控 |
|
删除以太网被镜像端口 |
undo mirroring-port Ethernet interface-number [ to Ethernet interface-number ] { inbound | outbound | both } |
· inbound:只取消对端口接收报文的监控 · outbound:只取消对端口发送报文的监控 · both:同时取消对端口接收和发送报文的监控 |
|
操作 |
命令 |
说明 |
|
display mirror |
显示命令可在任意视图下可执行 |
表11-56 设置以太网端口限速
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口限速 |
line-rate { inbound | outbound } target-rate |
· inbound:对端口接收报文进行速率限制 · outbound:对端口发送报文进行速率限制 · target-rate:对端口发送或接收报文限制的总速率,端口级别取值范围为1~240。其中取值范围为1~28时,端口速率为:target-rate×64,即64Kbps、128Kbps、192Kbps……1.792Mbps;取值范围为29~127时,端口速率为:(target-rate-27)×1024,即2Mbps、3Mbps、4Mbps……100Mbps;取值范围为128~240时,(target-rate-115)×8×1024,即104Mbps、112Mbps、120Mbps……1000Mbps。 |
|
取消端口限速的设置 |
undo line-rate { inbound | outbound } |
· inbound:只取消对端口接收报文进行速率限制 · outbound:只取消对端口发送报文进行速率限制 |
表11-57 诊断以太网端口电缆状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
诊断端口的电缆状态 |
virtual-cable-test |
- |
例:对端口Ethernet0/4进行电缆诊断。
<H3C> system-view
[H3C] interface Ethernet0/4
[H3C-Ethernet0/4] virtual-cable-test
Cable pair 1 Status: OPEN Cable lenth: 1 metres +/- 0
Cable pair 2 Status: OPEN Cable lenth: 1 metres +/- 0
表11-58 电缆诊断说明
|
显示 |
说明 |
|
Cable pair 1 Status: |
FINE:表示已连接 OPEN:表示端口未连接 SHORT:表示短路 UNKNOWN:表示未知 NORMAL:表示正常 |
|
Cable lenth: |
端口连接电缆的长度(可能存在一定误差,结果仅供参考) |
表11-59 设置端口MAC地址过滤
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
开启端口MAC地址过滤功能 |
在系统视图下操作 |
mac port-binding port-list |
两者必选其一 port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ Ethernetinterface-number [ to Ethernet interface-number ] }。 缺省情况下,关闭端口MAC地址过滤功能 |
|
在以太网端口视图下操作 |
interface Ethernet interface-number |
||
|
mac port-binding |
|||
|
关闭端口MAC地址过滤功能 |
在系统视图下操作 |
undo mac port-binding port-list |
- |
|
在以太网端口视图下操作 |
interface Ethernet interface-number |
||
|
undo mac port-binding |
|||
表11-60 设置端口和MAC地址绑定
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置端口和MAC地址绑定 |
mac-address port-binding mac-address interface Ethernet interface-number vlan vlan-id |
· mac-address:需要和端口进行绑定的MAC地址 · vlan-id:该端口所属的VLAN |
|
取消端口和MAC地址绑定 |
undo mac-address port-binding mac-address interface Ethernet interface-number vlan vlan-id |
- |
表11-61 显示端口和MAC地址绑定状态
|
操作 |
命令 |
说明 |
|
显示端口和MAC地址绑定状态 |
display mac-address port-binding |
- |
表11-62 显示与维护以太网端口
|
操作 |
命令 |
说明 |
|
显示端口的状态信息 |
display interface Ethernet interface-number |
显示命令可在任意视图下执行 |
|
清除端口的统计信息 |
reset counters interface [ Ethernet interface-number ] |
此命令需在用户视图下执行 |
例:显示端口Ethernet 0/7的状态信息。
<H3C> display interface Ethernet0/7
Ethernet0/7 current state: DOWN
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0210-1847-0410
Media type is twisted pair
Port hardware type is 1000_BASE_T
Unknown-speed mode, unknown-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
Inbound line-rate is disabled
Outbound line-rate is disabled
Flow control is disabled
The Maximum Frame Length is 1518
Forbid jumbo frame to pass
Broadcast MAX-ratio: 100%
Priority: 0
PVID: 1
Mdi type: auto
Port link-type: access
Tagged VLAN ID: none
Untagged VLAN ID: 1
Input(total): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s) , 0 pause(s)
Input(error): 0 input error(s), 0 runt(s), 0 giant(s), 0 CRC
0 frame, 0 abort(s), 0 ignored, 0 Jabber(s)
Output(total): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s) , 0 pause(s)
Output(error): 0 output error(s), 0 abort(s), 0 deferred
0 collision(s), 0 late collision(s)
表11-63 display interface Ethernet命令显示信息描述表
|
字段 |
描述 |
|
Ethernet0/7 current state |
端口状态 |
|
IP Sending Frames' Format is |
帧格式 |
|
Hardware address is |
交换机MAC地址 |
|
The Maximum Transmit Unit is |
最大传输单元 |
|
Media type is |
端口连接线类型 |
|
Port hardware type is |
端口硬件类型 |
|
Link speed type is |
端口速率 |
|
link duplex type is |
端口双工模式 |
|
Inbound line-rate is |
入端口限速 |
|
Outbound line-rate is |
出端口限速 |
|
Flow control is |
流控 |
|
The Maximum Frame Length is |
最大帧长 |
|
Description |
端口描述 |
|
Broadcast MAX-ratio: |
广播风暴抑制率 |
|
Priority: |
端口优先级 |
|
PVID: |
端口VLAN ID |
|
Port link-type: |
端口类型,有access端口、hybrid端口、trunk端口三种 |
|
Tagged VLAN ID: |
该端口允许通过的VLAN ID,且在报文中带该VLAN ID的tag。 |
|
Untagged VLAN ID: |
该端口允许通过的VLAN ID,且在报文中不带该VLAN ID的tag |
|
Input(total): |
统计端口接收的正确报文总数和字节总数 |
|
Input(error): |
统计端口接收的错误报文总数和字节总数 |
|
Output(total): |
统计端口发送的正确报文总数和字节总数 |
|
Output(error): |
统计端口发送的错误报文总数和字节总数 |
· 当VLAN模式为802.1q VLAN且处于缺省状态时,在系统视图下新增用户组操作,系统会自动切换到基于端口的VLAN状态,相关操作请参见“11.6.2 1. 创建/删除用户组”。
· 802.1q VLAN的缺省状态为只存在VLAN 1,且所有端口为Access端口。
创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN视图。
缺省VLAN和管理VLAN不能被删除。
表11-64 创建/删除VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
vlan-id:VLAN的ID,取值范围为1~4094 缺省情况下,只存在VLAN 1,且VLAN 1中包含所有的端口 |
|
删除已创建的VLAN |
undo vlan { vlan-id [ to vlan-id ] | all } |
all:删除缺省VLAN和管理VLAN外的所有VLAN |
表11-65 设置VLAN描述
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
设置VLAN描述 |
description text |
text : 描述VLAN或VLAN接口的字符串,可以包含特殊字符,不包括空格,区分大小写 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001” |
|
恢复VLAN描述为缺省值 |
undo description |
- |
表11-66 将Access端口加入指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
将Access端口加入指定VLAN |
port Ethernet interface-number [ to Ethernet interface-number ] |
缺省情况下,所有端口都属于VLAN 1 |
|
将Access端口从VLAN中删除 |
undo port Ethernet interface-number [ to Ethernet interface-number ] |
- |
Trunk和Hybrid端口只能在以太网端口视图下将其加入VLAN或从VLAN中删除,而不能通过本命令实现,相关操作请参见“11.5.1 10. 将以太网端口加入到指定VLAN”。
|
操作 |
命令 |
说明 |
|
显示VLAN设置 |
display vlan [ vlan-id1 | [ to vlan-id2 ] | all ] |
· vlan-id1 to vlan-id2:指定要显示的VLAN ID范围 · all:显示所有VLAN的详细信息 如果指定了参数或关键字all,则显示指定VLAN或所有VLAN的详细信息;如果只执行display vlan,将显示已创建的所有VLAN列表 显示命令可在任意视图下执行 |
例:显示VLAN2的信息。
<H3C> display vlan 2
VLAN Type: static
Route Interface: not configured
Description: VLAN 0002
Tagged Ports: none
Untagged Ports:
Ethernet0/2
表11-68 display vlan命令显示信息描述表
|
字段 |
描述 |
|
VLAN ID |
VLAN编号 |
|
VLAN Type |
VLAN的类型:static表示静态配置;dynamic表示动态创建 |
|
Route Interface |
VLAN对应的VLAN接口是否已经具备作为路由转发接口的条件 |
|
Description |
VLAN的描述字符串 |
|
Tagged Ports |
标识该VLAN的报文在从哪些端口发送时需要携带Tag标记 |
|
Untagged Ports |
标识该VLAN的报文在从哪些端口发送时不需要携带Tag标记 |
· 当处于基于端口的VLAN模式时,执行新增VLAN或者改变端口为Trunk/Hybrid类型的操作,系统就会自动进入802.1q VLAN状态,相关操作请参见“11.6.1 设置802.1q VLAN”。
· 基于端口的VLAN模式的缺省状态为所有端口均属于用户组1。
表11-69 创建/删除用户组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建用户组 |
user-group group-id |
group-id:user-group的ID,S1626/S1626-PWR的取值范围为1~24,S1650的取值范围为1~48 创建用户组时,如果该用户组已存在,则直接进入该用户组视图;如果该用户组不存在,则首先创建用户组,然后进入用户组视图 缺省情况下,只存在用户组1,且用户组中包含所有的端口 |
|
删除用户组 |
undo user-group { group-id [ to group-id ] | all } |
删除用户组时,如果该用户组不存在,会出现“Error: VLAN(s) do(es) not exist.”的提示 |
表11-70 将以太网端口加入用户组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入用户组视图 |
user-group group-id |
- |
|
将以太网端口加入指定用户组 |
port Ethernet interface-number [ to Ethernet interface-number ] |
缺省情况下,所有端口都属于用户组1 |
|
将以太网端口从用户组中删除 |
undo port Ethernet interface-number [ to Ethernet interface-number ] |
- |
表11-71 显示用户组设置
|
操作 |
命令 |
说明 |
|
显示用户组设置 |
display user-group [ group-id | all ] |
all:显示全部用户组的相关信息 |
表11-72 创建和删除Isolate-user-vlan
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
vlan-id:指定Isolate-user-vlan所对应的VLAN |
|
设置该VLAN为Isolate-user-vlan |
isolate-user-vlan enable |
缺省情况下,无Isolate-user-vlan 说明: 设置Isolate-user-vlan后,您需要通过port命令添加相应的端口 |
|
取消该VLAN为Isolate-user-vlan |
undo Isolate-user-vlan enable |
- |
|
显示Isolate-user-vlan设置状态 |
display isolate-user-vlan [ isolate-user-vlan-id ] |
- |
表11-73 建立Isolate-user-vlan和Secondary VLAN间的映射关系
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
建立Isolate-user-vlan和Secondary VLAN间的映射关系 |
isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ] |
· isolate-user-vlan-id:指定已创建的Isolate-user-vlan · secondary-vlan-id:通过VLAN命令创建,并将相应的终端用户所连接的端口加入到该VLAN中 |
|
取消Isolate-user-vlan与所有Secondary VLAN间的映射关系 |
undo isolate-user-vlan isolate-user-vlan-id |
- |
|
取消Isolate-user-vlan和指定Secondary VLAN间的映射关系 |
undo isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ] |
- |
|
显示Isolate-user-vlan设置状态 |
display isolate-user-vlan [ isolate-user-vlan-id ] |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口的优先级 |
priority priority-level |
priority-level:端口优先级,取值范围为0~7。0表示优先级最低,7表示优先级最高 缺省情况下,以太网端口的优先级为0 |
|
恢复端口的优先级为缺省值 |
undo priority |
- |
表11-75 设置报文优先级信任模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置报文优先级信任模式 |
priority-trust { cos | dscp } |
· cos:根据802.1p优先级将报文放入对应优先级的端口输出队列 · dscp:根据dscp优先级将报文放入对应优先级的端口输出队列 缺省情况下,S1600信任报文的802.1p优先级 |
|
恢复报文优先级信任模式为缺省值 |
undo priority-trust |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置队列调度算法 |
queue-scheduler { hq-wrr queue1-weight queue2-weight queue3-weight | wrr queue1-weight queue2-weight queue3-weight queue4-weight } |
queue1-weight、queue2-weight、queue3-weight、 queue4-weight为队列1、2、3、4的权重,取值范围为1~31 缺省情况下,S1600采用WRR调度算法,且队列权重为1:2:4:8 |
|
恢复队列调度算法为缺省值 |
undo queue-scheduler |
- |
|
操作 |
命令 |
说明 |
|
显示队列调度模式及参数 |
display queue-scheduler |
显示命令可在任意视图下执行 |
|
显示报文优先级信任模式 |
display priority-trust |
表11-78 开启/关闭全局STP特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局STP特性 |
stp enable |
缺省情况下,全局STP特性处于关闭状态 |
|
关闭全局STP特性 |
stp disable |
|
|
恢复全局STP特性为缺省状态 |
undo stp |
表11-79 设置STP工作模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置STP工作模式 |
stp mode { stp | rstp } |
· stp:各个端口将向相连设备发送STP报文 · rstp:各个端口将向相连设备发送RSTP报文 缺省情况下,STP工作模式为rstp |
|
恢复STP的工作模式为缺省值 |
undo stp mode |
- |
表11-80 设置BPDU报文处理方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置BPDU报文处理方式 |
stp bpdu-handling { filter | flooding } |
· flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文 · filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 缺省情况下,BPDU报文处理方式为flooding |
|
恢复BPDU报文处理方式为缺省值 |
undo stp bpdu-handling |
- |
表11-81 设置缺省路径开销
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置缺省路径开销 |
stp pathcost-standard { dot1d-1998 | dot1t } |
选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样 · dot1d-1998:即IEEE 802.1D-1998标准,端口的路径开销取值范围为1~65535 · dot1t:即IEEE 802.1t标准,端口的路径开销取值范围为1~200000000 缺省情况下,缺省路径开销采用的是dot1t |
|
恢复缺省路径开销为缺省值 |
undo stp pathcost-standard |
- |
表11-82 设置桥优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置桥优先级 |
stp priority value |
value:取值范围为1~61440,步长为4096 缺省情况下,桥优先级为32768 |
|
恢复桥优先级为缺省值 |
undo stp priority |
- |
表11-83 设置STP定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置STP定时器 |
stp timer { forward-delay forward-delay-time | hello hello-time | max-age max-age -time } |
· forward-delay-time:状态迁移的延迟时间,单位为秒,取值范围为4~30,缺省值为15秒 · hello-time:用于检测链路是否存在故障,单位为秒,取值范围为1~10,缺省值为2秒 · max-age -time:用于判断配置消息在交换机内保存时间是否“过时”,单位为秒,取值范围为6~40,缺省值为20秒 |
|
恢复STP定时器为缺省值 |
undo stp timer { forward-delay | hello | max-age } |
- |
表11-84 开启/关闭端口STP特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下开启/关闭端口STP特性 |
stp interface interface-list { enable| disable } |
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list=interface-type interface-number [ to interface-type interface-number ] · enable:开启端口STP特性 · disable:关闭端口STP特性 缺省情况下,端口STP特性处于关闭状态 |
|
在以太网端口视图下开启/关闭端口STP特性 |
interface Ethernet interface-number |
- |
|
stp { enable| disable } |
- |
|
|
undo stp |
恢复该端口的STP特性为缺省值 |
表11-85 设置端口为边缘端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置端口为边缘端口 |
stp interface interface-list edged-port { enable| disable } |
· enable:开启端口为边缘端口 · disable:关闭端口为边缘端口 缺省情况下,所有端口均为非边缘端口 |
|
undo stp interface interface-list edged-port |
恢复指定端口的边缘端口设置为缺省值 |
|
|
在以太网端口视图下设置端口为边缘端口 |
interface Ethernet interface-number |
- |
|
stp edged-port { enable| disable } |
- |
|
|
undo stp edged-port |
恢复该端口的边缘端口设置为缺省值 |
表11-86 设置根保护
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置根保护功能 |
stp interface interface-list root-guard { enable| disable } |
· enable:开启根保护功能 · disable:关闭根保护功能 缺省情况下,根保护功能处于关闭状态 |
|
undo stp interface interface-list root-guard |
恢复指定端口的根保护功能为缺省值 |
|
|
在以太网端口视图下设置根保护功能 |
interface Ethernet interface-number |
- |
|
root-guard { enable| disable } |
- |
|
|
undo stp root-guard |
恢复该端口的根保护功能为缺省值 |
表11-87 设置端口路径开销
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
在系统视图下设置端口路径开销 |
设置端口采用缺省路径开销 |
stp interface interface-list default-pathcost enable |
enable:端口采用缺省路径开销。此时,如果全局缺省路径开销采用dot1d-1998,则端口开销值为65535;如果全局缺省路径开销采用dot1t,则端口开销值为200000000,相关操作请参见“11.9.1 4. 设置缺省路径开销” 缺省情况下,端口采用缺省路径开销 |
|
手工设置路径开销 |
stp interface interface-list cost value |
value:路径开销值。如果全局缺省路径开销采用dot1d-1998,取值范围为1~65535;如果全局缺省路径开销采用dot1t,取值范围为1~200000000 |
|
|
undo stp interface interface-list cost |
恢复指定端口的路径开销为缺省值 |
||
|
在以太网端口视图下设置端口路径开销 |
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口采用缺省路径开销 |
stp default-pathcost enable |
- |
|
|
手工设置路径开销 |
stp cost value |
- |
|
|
undo stp cost |
恢复该端口的路径开销为缺省值 |
||
表11-88 设置端口优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置端口优先级 |
stp interface interface-list port-priority value |
value:端口优先级,取值范围为0~240,缺省值为128 |
|
undo stp interface interface-list port-priority |
恢复指定端口的优先级为缺省值 |
|
|
在以太网端口视图下设置端口优先级 |
interface Ethernet interface-number |
- |
|
stp port-priority value |
- |
|
|
undo stp port-priority |
恢复该端口的优先级为缺省值 |
表11-89 设置端口是否与点对点链路相连
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置端口是否与点对点链路相连 |
stp interface interface-list point-to-point { force-true | force-false | auto } |
· force-true:设置端口与一条点到点链路相连 · force-false:设置端口与一条共享链路相连 · auto:设置端口自动建立链路 缺省情况下,端口自动建立链路 |
|
undo stp interface interface-list point-to-point |
恢复与指定端口相连的链路设置为缺省值 |
|
|
在以太网端口视图下设置端口是否与点对点链路相连 |
interface Ethernet interface-number |
- |
|
stp point-to-point { force-true | force-false | auto } |
- |
|
|
undo stp point-to-point |
恢复与该端口相连的链路设置为缺省值 |
表11-90 显示STP设置
|
操作 |
命令 |
说明 |
|
显示STP全局信息与端口的STP信息 |
display stp |
当全局STP特性开启时,显示STP全局参数状态与端口STP信息;当全局STP特性关闭后,仅显示STP全局参数状态 显示命令可以在任意视图下执行 |
|
显示端口STP的状态与统计信息 |
display stp interface interface-list [ brief ] |
显示命令可以在任意视图下执行 当选择brief参数时,仅显示简要信息,如:端口STP特性状态、端口状态及端口角色等 |
|
显示全局STP和端口STP的状态 |
display stp brief |
显示命令可以在任意视图下执行 |
|
显示根桥信息 |
display stp root |
显示命令可以在任意视图下执行 |
例:当全局STP特性关闭时,显示STP全局参数状态。
<H3C> display stp
STP Status :disabled
STP Mode :RSTP
Bpdu-handling :flooding
Pathcost-standard :dot1t
Priority :32768
Hello time(s) :2
Max-age(s) :20
Forward-delay(s) :15
表11-91 display stp命令信息描述表
|
字段 |
描述 |
|
STP Status |
显示全局STP使能状态 · disabled:关闭状态 · enabled:开启状态 |
|
STP Mode |
显示当前所使用的STP模式(STP或RSTP) |
|
Bpdu-handling |
显示BPDU报文处理方式: · flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文 · filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 |
|
Pathcost-standard |
显示计算端口缺省路径开销所使用的标准: · dot1d-1998:采用IEEE 802.1D-1998标准 · dot1t:采用IEEE 802.1t标准 |
|
Priority |
显示桥优先级 |
|
Hello time(s) |
显示配置消息发送的周期 |
|
Max-age(s) |
显示配置消息在交换机中能够保存的最大生存期 |
|
Forward-delay(s) |
显示端口状态迁移的延时 |
例:当全局STP特性开启时,显示STP全局信息及端口STP信息。
<H3C> display stp
-------[Global Info][Mode RSTP]-------
Bridge :32768.0023-8972-61c3
Bridge Times :Hello 2s MaxAge 20s FwDly 15s
Root Bridge :32768.0023-8972-61c3
RootPortId :0.0
Bpdu-handling :flooding
Pathcost-standard :dot1t
Time since last TC :0 days 0h:4m:17s
----[Port1(Ethernet0/1)][DISABLE]----
Port Protocol :Enabled
Port Role :Disabled
Port Priority :128
Port Cost(Dot1T) :Config=auto / Active=200000
Desg. Bridge/Port :32768.0023-8972-61c3 / 0.0
Port Edged :Disabled
Root Guard :Disabled
Point-to-point :Auto
表11-92 display stp命令信息描述表
|
字段 |
描述 |
|
Bridge |
网桥ID |
|
Bridge Times |
网桥相关的主要参数值,包括: · Hello:Hello time定时器值 · MaxAge:Max Age定时器值 · FwDly:Forward delay定时器值 |
|
Root Bridge |
根桥ID |
|
RootPortId |
根端口的端口ID |
|
Bpdu-handling |
显示BPDU报文处理方式: · flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文 · filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 |
|
Pathcost-standard |
显示计算端口缺省路径开销所使用的标准: · dot1d-1998:采用IEEE 802.1D-1998标准 · dot1t:采用IEEE 802.1t标准 |
|
Time since last TC |
最近一次拓扑变化的时间 |
|
Port Protocol |
显示端口STP使能状态 · Disabled:关闭状态 · Enabled:开启状态 |
|
Port Role |
显示端口角色,和生成树实例相对应。具体角色分为:Alternate、Backup、Root、Designated、Disabled |
|
Port Priority |
显示端口优先级 |
|
Port Cost(Dot1D) |
端口的路径开销。括号中的Dot1D表示当前设备的路径开销的计算方法,有dot1d-1998和dot1t两种计算方式;Config表示配置值;Active表示实际值 |
|
Desg. Bridge/Port |
端口的指定桥ID和端口ID |
|
Port Edged |
显示端口是否为边缘端口 · Disabled:非边缘端口 · Enabled:边缘端口 |
|
Root Guard |
显示端口根保护状态 · Disabled:关闭状态 · Enabled:开启状态 |
|
Point-to-point |
显示端口是否与点对点链路相连 · ForceTrue:与端口相连的是一条点到点链路 · ForceFalse:与端口相连的是一条共享链路 · Auto:端口自动建立链路 |
表11-93 开启/关闭全局IGMP Snooping
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启IGMP Snooping |
igmp-snooping enable |
缺省情况下,全局IGMP Snooping功能处于关闭状态 |
|
关闭IGMP Snooping |
igmp-snooping disable |
- |
表11-94 在VLAN内开启/关闭IGMP Snooping
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入相应的VLAN视图 |
vlan vlan-id |
vlan-id:需要开启IGMP Snooping功能对应的VLAN ID |
|
开启IGMP Snooping |
igmp-snooping enable |
缺省情况下,IGMP Snooping功能处于关闭状态 |
|
关闭IGMP Snooping |
igmp-snooping disable |
- |
表11-95 设置路由端口老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置路由端口老化时间 |
igmp-snooping router-aging-time seconds |
seconds:路由器端口超时时间,单位为秒,取值范围为1~1000 缺省情况下,端口老化时间为105秒 |
|
恢复路由端口老化时间为缺省值 |
undo igmp-snooping router-aging-time |
- |
表11-96 设置主机端口老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置主机端口老化时间 |
igmp-snooping host-aging-time seconds |
seconds:主机端口老化的时间,单位为秒,取值范围为200~1000 缺省情况下,组播组成员端口老化时间为260秒 |
|
恢复主机端口老化时间为缺省值 |
undo igmp-snooping host-aging-time |
- |
表11-97 设置IGMP查询和响应
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置IGMP普遍组查询的最大响应时间 |
igmp-snooping max-response-time seconds |
seconds:IGMP普遍组查询的最大响应时间,单位为秒,取值范围为1~25 缺省情况下,响应查询最大时间为10秒 |
|
设置IGMP特定组查询的时间间隔 |
igmp-snooping last-member-query-interval interval |
interval:发送IGMP特定组查询报文的时间间隔,单位为秒,取值范围为1~5 缺省情况下,发送IGMP特定组查询报文的时间间隔为2秒 |
|
恢复IGMP普遍组查询的最大响应时间为缺省值 |
undo igmp-snooping max-response-time |
- |
|
恢复IGMP特定组查询的时间间隔为缺省值 |
undo igmp-snooping last-member-query-interval |
- |
表11-98 开启/关闭端口从组播组中快速删除功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启端口从组播组中快速删除功能 |
igmp-snooping fast-leave |
- |
|
关闭端口从组播组中快速删除功能 |
undo igmp-snooping fast-leave |
- |
表11-99 开启/关闭未知组播报文丢弃功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启未知组播报文丢弃功能 |
unknown-multicast drop enable |
缺省情况下,未知组播报文丢弃功能处于关闭状态 |
|
关闭未知组播报文丢弃功能 |
undo unknown-multicast drop enable |
- |
表11-100 开启/关闭全局IGMP Snooping查询器功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启IGMP Snooping查询器功能 |
igmp-snooping querier enable |
缺省情况下,IGMP Snooping查询器功能处于关闭状态 |
|
关闭IGMP Snooping查询器功能 |
undo igmp-snooping querier enable |
- |
表11-101 在VLAN内开启/关闭IGMP Snooping查询器功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入相应的VLAN视图 |
vlan vlan-id |
vlan-id:需要开启IGMP Snooping查询器功能对应的VLAN ID |
|
开启IGMP Snooping查询器功能 |
igmp-snooping querier |
若您想在指定的VLAN内生效IGMP Snooping查询器功能,需要先开启全局IGMP Snooping查询器功能 缺省情况下,IGMP Snooping查询器功能处于关闭状态 |
|
关闭IGMP Snooping查询器功能 |
undo igmp-snooping querier |
- |
表11-102 显示IGMP Snooping信息
|
操作 |
命令 |
说明 |
|
显示当前IGMP Snooping的配置信息 |
display igmp-snooping configuration |
显示命令可在任意视图下执行 |
|
显示IGMP Snooping对收发包的统计信息 |
display igmp-snooping statistics |
|
|
显示VLAN下的IP组播组和MAC组播组信息 |
display igmp-snooping group [ vlan vlan-id ] |
|
|
清除IGMP Snooping统计信息 |
reset igmp-snooping statistics |
该命令需在用户视图下执行 |
例:显示IGMP Snooping对收发包的统计信息。
<H3C> display igmp-snooping statistics
Received IGMP general query packet(s) number:1.
Received IGMP specific query packet(s) number:0.
Received IGMP V1 report packet(s) number:0.
Received IGMP V2 report packet(s) number:3.
Received IGMP leave packet(s) number:0.
Received error IGMP packet(s) number:0.
Sent IGMP specific query packet(s) number:0.
上述信息表示IGMP Snooping收到:
· 1个IGMP通用查询报文
· 0个IGMP特定组查询报文
· 0个IGMPv1的报告报文
· 3个IGMPv2的报告报文
· 0个IGMP离开报文
· 0个IGMP错误报文
IGMP Snooping发送:
0个IGMP特定组查询报文
表11-103 开启/关闭IGMP Snooping调试开关
|
操作 |
命令 |
说明 |
|
开启IGMP Snooping调试开关 |
debugging igmp-snooping all |
all:全部调试信息 此命令需在用户视图下执行 缺省情况下,IGMP-Snooping调试信息开关处于关闭状态 |
|
关闭IGMP Snooping调试开关 |
undo debugging igmp-snooping all |
表11-104 开启/关闭SNMP Agent服务
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启SNMP Agent服务 |
snmp-agent |
缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent服务 |
|
关闭SNMP Agent服务 |
undo snmp-agent |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置团体名及访问权限 |
snmp-agent community { read | write } community-name |
· read:表明对MIB对象进行只读的访问 · write:表明对MIB对象进行读写的访问 · community-name:团体名字符串。字符串长度有效范围1~32 |
|
取消团体名及访问权限 |
undo snmp-agent community community-name |
- |
本任务用来设置SNMP Agent能接收/发送的SNMP消息包的最大长度。
表11-106 设置SNMP消息包的最大长度
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置SNMP消息包的最大长度 |
snmp-agent max-size byte-count |
· byte-count: Agent能接收/发送的SNMP消息包长度的最大值,取值范围为1500~64000,单位为字节 · 缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
|
恢复SNMP消息包的最大长度为缺省值 |
undo snmp-agent max-size |
- |
如果交换机发生故障,维护人员可以利用系统维护联系信息了解其生产厂商等信息,及时与生产厂商取得联系。您可以使用下面的命令来设置系统维护联系信息。
表11-107 设置系统信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置系统信息 |
snmp-agent sys-info { contact sysContact | location sysLocation | version { v1 | v2c | all } } |
· contact:设置系统维护联系信息 · sysContact:描述系统维护联系信息的字符串,字符串有效长度是1~80 · location:设置设备节点的物理位置,字符串有效长度是1~80 · sysLocation:设备节点的物理位置信息,字符串的有效长度是1~80 · version:设置系统启用的SNMP版本号 · v1:SNMPv1版本 · v2c:SNMPv2c版本 · all:SNMPv1、SNMPv2c 版本 缺省情况下,系统维护联系信息为“R&D Hangzhou, H3C Technologies co.,Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv2c |
|
取消当前设置的系统信息 |
undo snmp-agent sys-info [ contact | location | version { v1 | v2c | all } ] |
- |
表11-108 开启/关闭设备发送Trap信息功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启设备发送Trap信息功能 |
snmp-agent trap enable |
缺省情况下,Trap信息功能处于开启状态 |
|
关闭设备发送Trap信息功能 |
undo snmp-agent trap enable |
- |
表11-109 开启/关闭设备允许发送的Trap信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启设备允许发送的Trap信息 |
snmp-agent trap enable [ standard [ authentication | coldstart | linkdown | linkup | warmstart ]* ] |
· standard:发送SNMP标准的通知或Trap信息 · authentication:认证失败时,发送SNMP协议的认证失败的Trap信息 · coldstart:当设备重新启动时,发送SNMP协议的冷启动Trap信息 · linkdown:当端口由up状态变为down状态时,发送SNMP协议的链路down掉的Trap信息 · linkup:当端口由down状态变为up状态时,发送SNMP协议的链路up的Trap信息 · warmstart:当SNMP协议重新启动时,发送SNMP协议的热启动Trap报文 当选择linkup或linkdown时,表示允许所有端口发送Linkup或Linkdown Trap信息 此命令需要与snmp-agent target-host命令协同使用,使用snmp-agent target-host命令来指定哪些主机可以接收Trap信息。为了发送Trap信息,用户必须配置至少一条snmp-agent target-host命令,相关操作请参见“4. 设置Trap目标主机地址” 缺省情况下,S1600向NMS发送所有的Trap信息 |
|
关闭设备允许发送的Trap信息 |
undo snmp-agent trap enable [ standard [ authentication | coldstart | linkdown | linkup | warmstart ]* ] |
- |
在设置本任务之前,需要先开启设备发送Trap信息功能,相关操作请参见“1. 开启/关闭设备发送Trap信息功能”。
表11-110 开启/关闭指定端口发送LINK UP和LINK DOWN Trap信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启指定端口发送LINK UP和LINK DOWN Trap信息 |
enable snmp trap updown |
此命令需要与snmp-agent target-host命令协同使用,使用snmp-agent target-host命令来指定哪些主机可以接收Trap信息。为了发送Trap信息,用户必须配置至少一条snmp-agent target-host命令,相关操作请参见“4. 设置Trap目标主机地址” 缺省情况下,S1600允许向NMS发送端口Trap信息 |
|
关闭指定端口发送LINK UP和LINK DOWN Trap信息 |
undo enable snmp trap updown |
- |
表11-111 设置Trap目标主机地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Trap目标主机地址 |
snmp-agent target-host trap address udp-domain { ip-address } [ udp-port port-number ] params securityname security-string [ v1 | v2c ] |
· ip-address:接受Trap的主机的IPV4地址 · port-number:指定接收Trap报文的UDP端口号,取值范围为1~65535 · security-string:SNMP v1、SNMP v2c的团体名 · v1:代表SNMP v1版本 · v2c:代表SNMP v2c版本 |
|
取消Trap目标主机地址设置 |
undo snmp-agent target-host ip-address securityname security-string |
- |
表11-112 显示SNMP信息
|
操作 |
命令 |
说明 |
|
显示当前设备配置的团体名 |
display snmp-agent community [ read | write ] |
显示命令可以在任意视图下执行 |
|
显示当前设备节点的联系信息 |
display snmp-agent sys-info contact |
|
|
显示当前设备节点的物理位置信息 |
display snmp-agent sys-info location |
|
|
显示系统中运行的SNMP版本 |
display snmp-agent sys-info version |
|
|
显示系统Trap列表信息 |
display snmp-agent trap-list |
表11-113 设置基于MAC的ACL
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置基于MAC的ACL并进入相应的视图 |
acl number acl-number [ match-order { auto | config } ] |
acl-number:ACL的序号,取值范围为4001~4100,最后三位为该ACL的优先级 match-order:指定子规则的匹配顺序 · auto:自动排序 · config:自定义排序 缺省情况下,匹配顺序为config |
|
定义ACL的描述信息 |
description text |
text:ACL的描述信息,取值范围为1~32个字符。您可以通过此命令来描述ACL的具体用途、应用于哪些端口等信息,方便您对ACL进行区分和识别。同时,您可以通过undo description命令来取消对ACL的描述 |
|
定义子规则 |
rule rule-id { deny | permit | mirror-to Ethernet interface-number | new-priority priority | rate-limit rate } [ rule-string ] |
· rule-id:ACL子规则编号,即匹配顺序,取值范围为1~65535。此参数仅在子规则匹配顺序为config模式下时才能执行 · permit:允许匹配规则的报文通过 · deny:丢弃匹配规则的报文 · mirror-to:将匹配规则的报文镜像到指定端口 · priority:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种 · rate:限制匹配规则的报文的转发速率 · rule-string:ACL规则信息,具体参数说明如表11-114所示 您可以重复本步骤来创建多条ACL子规则 说明: 对于镜像到不同端口的规则最多允许添加3条 |
|
在已创建的ACL基础上快速复制出新的ACL |
acl copy old-acl-number to new-acl-number |
old-acl-number:原先已存在的ACL序号 new-acl-number:新的ACL序号 |
|
删除子规则 |
undo rule rule-id |
- |
|
删除ACL |
undo acl { all | number acl-number } |
此命令需在系统视图下执行 |
表11-114 二层ACL子规则信息
|
参数 |
作用 |
说明 |
|
source source-mac-addr source-mac-mask |
定义ACL子规则的源MAC地址信息 |
source-mac-addr / dest-mac-addr:源MAC地址或目的MAC地址,格式为H-H-H source-mac-mask / dest-mac-mask :源MAC地址/目的MAC地址的反掩码,格式为H-H-H。表示报文源MAC地址/目的MAC地址哪些位匹配,哪些位忽略(比如:如果源MAC地址设置为00AB-2211-3300,且源MAC地址反掩码设置为0000-0000-00FF,那么,该源MAC地址的前5个字节是可用的,最后一个字节被忽略,即匹配范围为00AB-2211-3300~00AB-2211-33FF) |
|
dest dest-mac-addr dest-mac-mask |
定义ACL子规则的目的MAC地址信息 |
|
|
cos cos-pri cos-mask |
定义ACL子规则的802.1p优先级 |
cos-pri:取值范围为0~7 cos-mask:802.1p优先级的反掩码,取值范围为0~7。表示报文的802.1p优先级哪些位匹配,哪些位忽略(比如:CoS为5,二进制表示为101;反掩码为3,二进制表示为011。那么,该CoS的最前位是可用的,后两位被忽略,即当报文的CoS为4、5、6、7时均被匹配) |
|
type protocol-type |
定义ACL子规则的以太网帧的协议类型 |
protocol-type:以十六进制表示,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域。您输入时不需要输入0x前导符号 |
|
vlan vlan-id |
定义ACL子规则的VLAN值 |
vlan-id:取值范围为1~4094 |
表11-115 设置基于IP的ACL
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置基于IP的ACL并进入相应的视图 |
acl number acl-number [ match-order { auto | config } ] |
acl-number:ACL的序号,取值范围为3001~3100,最后三位为该ACL的优先级 match-order:指定子规则的匹配顺序 · auto:自动排序 · config:自定义排序 缺省情况下,匹配顺序为config |
|
定义ACL的描述信息 |
description text |
text:ACL的描述信息,取值范围为1~32个字符。您可以通过此命令来描述ACL的具体用途、应用于哪些端口等信息,方便您对ACL进行区分和识别。同时,您可以通过undo description命令来取消对ACL的描述 |
|
定义子规则 |
rule [ rule-id ] { deny | permit | mirror-to Ethernet interface-number | new-priority priority | rate-limit rate } protocol [ rule-string ] |
· rule-id:ACL子规则编号,即匹配顺序,取值范围为1~65535。此参数仅在子规则匹配顺序为config模式下时才能执行 · permit:允许匹配规则的报文通过 · deny:丢弃匹配规则的报文 · mirror-to:将匹配规则的报文镜像到指定端口 · priority:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种 · protocol:IP承载的协议类型。用数字表示时,取值范围为1~255;用名字表示时,可以选取gre(47)、icmp(1)、igmp(2)、ip(255)、ipinip(4)、ospf(89)、tcp(6)、udp(17) · rule-string:ACL规则信息,具体参数说明如表11-116所示 您可以重复本步骤来创建多条ACL子规则 说明: 对于镜像到不同端口的规则最多允许添加3条 |
|
在已创建的ACL基础上快速复制出新的ACL |
acl copy old-acl-number to new-acl-number |
old-acl-number:原先已存在的ACL序号 new-acl-number:新的ACL序号 |
|
删除子规则 |
undo rule rule-id |
- |
|
删除ACL |
undo acl { all | number acl-number } |
此命令需在系统视图下执行 |
表11-116 高级ACL子规则信息
|
参数 |
作用 |
说明 |
|
source sour-addr sour-wildcard / destination dest-addr dest-wildcard |
定义ACL子规则的源IP地址或源目的IP地址信息 |
sour-addr sour-wildcard / dest-addr dest-wildcard:源IP地址或目的IP地址,点分十进制表示 sour-wildcard / dest-wildcard:源IP地址或目的IP地址的反掩码。表示报文源IP地址/目的IP地址哪些位匹配,哪些位忽略(比如:源IP地址为192.168.1.200,反掩码为0.0.0.255,表示仅匹配IP地址的前24位,后8位忽略。即匹配范围为192.168.1.0~192.168.1.255) |
|
source-port port / destination-port port |
定义ACL子规则的源端口或目的端口信息 |
port:TCP或UDP的端口号,取值范围为1~65535 仅当您选择协议类型为TCP或者UDP时,此参数才可以执行 |
|
tcp-flags |
定义ACL子规则的TCP标志位信息 |
TCP标志位的设置顺序为:Urg、Ack、Psh、Rst、Syn、Fin;各标志位可以设置的值为:1(该标志位已设置)、0(该标志位未设置)、X(该标志位忽略,即不匹配) 仅当您选择协议类型为TCP时,此参数才可以执行 |
|
precedence precedence |
IP优先级 |
取值范围为0~7 |
|
dscp dscp |
DSCP优先级 |
取值范围为0~63 |
表11-117 将已创建的ACL应用到指定端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
将已创建的ACL应用到指定端口 |
packet-filter Ethernet interface-number inbound { ip-group acl-number1 | link-group acl-number2 } |
· interface-number:需要应用ACL的指定端口 · acl-number1:已创建的基于IP的ACL · acl-number2:已创建的基于MAC的ACL |
|
删除ACL在端口上的应用 |
undo packet-filter Ethernet interface-number inbound { ip-group acl-number1 | link-group acl-number2 } |
- |
表11-118 应用ACL
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
将已创建的ACL应用到指定VLAN |
packet-filter vlan vlan-id inbound { ip-group acl-number1 | link-group acl-number2 } |
vlan-id:需要应用ACL的指定VLAN acl-number1:已创建的基于IP的ACL acl-number2:已创建的基于MAC的ACL |
|
删除ACL在VLAN上的应用 |
undo packet-filter vlan vlan-id inbound { ip-group acl-number1 | link-group acl-number2 } |
- |
表11-119 显示ACL设置信息
|
操作 |
命令 |
说明 |
|
显示ACL及其下的子规则设置信息 |
display acl { all | acl-number } |
· acl-number:显示指定的ACL设置信息 · all:显示所有的ACL设置信息 显示命令可以在任意视图下执行 |
|
显示ACL表项资源信息 |
您可以根据该命令的输出信息来了解ACL规则消耗的表项资源数,确认ACL无法下发的原因是否与表项资源耗尽有关 显示命令可以在任意视图下执行 |
|
|
显示ACL应用设置信息 |
display packet-filter { global | interface Ethernet interface-number | vlan vlan-id } |
global:显示所有ACL的应用设置信息 interface-number:显示指定端口的ACL应用设置信息 vlan-id:显示指定VLAN的ACL应用设置信息 |
例:显示ACL表项资源信息。
<H3C> display acl remaining entry
Resource Total Reserved Configured Remaining Start End
Type Number Number Number Number port name port name
----------------------------------------------------------------------------
RULE 512 62 0 450 E0/1 E0/26
表11-120 display acl remaining entry命令显示信息描述表
|
字段 |
描述 |
|
Resource Type |
ACL表项资源类型,Rule表示可以下发的规则数量 |
|
Total Number |
ACL表项资源的总数 |
|
Reserved Number |
系统ACL用去的资源数目 |
|
Configured Number |
用户定义的ACL占用的资源数目 |
|
Remaining Number |
剩余的ACL资源数目 |
|
Start Port Name End Port Name |
该表项所对应的起始端口号和结束端口号 |
表11-121 设置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启端口ARP报文限速功能 |
arp rate-limit enable |
缺省情况下,端口ARP报文限速功能处于关闭状态 |
|
设置端口ARP报文接收速率 |
arp rate-limit rate |
rate:端口ARP接收速率,单位为pps,取值范围为10~200 仅当开启端口ARP报文限速功能后,该速率设置才会生效 缺省情况下,端口ARP接收速率为100 pps |
|
关闭端口ARP报文限速功能 |
undo arp rate-limit enable |
- |
|
恢复端口ARP报文接收速率为缺省值 |
undo arp rate-limit |
- |
|
显示ARP报文限速功能设置状态 |
display arp detection statistics interface Ethernet interface-number |
显示命令可在任意视图下执行 |
表11-122 设置防蠕虫病毒攻击
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加蠕虫病毒特征信息 |
filter filter-name { tcp | udp } dest-port { enable| disable} |
· filter-name:蠕虫病毒名称 · tcp:基于TCP协议的蠕虫病毒 · udp:基于UDP协议dest-port 目的端口,0~65535 · enable:开启过滤病毒功能 · disable:关闭过滤病毒功能 |
|
删除蠕虫病毒特征信息 |
undo filter { tcp | udp} dest-port |
- |
|
显示防蠕虫病毒攻击状态 |
display filter |
显示命令可在任意视图下执行 |
表11-123 设置防DoS攻击
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置防DoS攻击 |
dos-prevention { land | tcp-check | smurf } { enable| disable} dos-prevention { ping-flood | syn-flood } { 64| 128 | disable } |
· land、smurf、ping-flood、syn-flood、tcp-check均为常见的DoS攻击项 · enable:开启该DoS攻击项的防御功能 · disable:关闭该DoS攻击项的防御功能 · 64/128:设置ping-flood或syn-flood的速率 缺省情况下,所有DoS攻击项的防御功能均处于关闭状态 |
|
显示防DoS攻击设置 |
display dos-prevention |
显示命令可在任意视图下执行 |
表11-124 设置防MAC地址攻击
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口MAC地址学习数限制 |
mac-address max-mac-count max-mac-count |
max-mac-count:MAC地址学习数,取值范围为0~8191,缺省值为8191。0表示关闭端口MAC地址学习;8191表示不限制MAC地址学习 |
|
恢复端口MAC地址学习数限制为缺省值 |
undo mac-address max-mac-count |
- |
当您开启防CPU攻击功能后,系统会自动对大量的经CPU处理的报文进行抑制(比如:组播攻击、ARP攻击等),确保系统资源不会被过量占用,从而可以避免此类攻击对交换机正常工作造成影响。
表11-125 设置防CPU攻击
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局防CPU攻击 |
system-guard enable |
缺省情况下,全局防CPU攻击功能处于开启状态 |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启端口防CPU攻击 |
system-guard permit |
当开启端口防CPU攻击功能后,如果该端口存在CPU攻击,则系统会自动对其进行限速 缺省情况下,端口防CPU攻击功能处于开启状态 说明: 仅当开启全局防CPU攻击功能后,端口防CPU攻击功能才生效 |
|
显示防CPU攻击状态信息 |
display system-guard state [ Ethernet interface-number ] |
显示命令可在任意视图下执行。如果端口不指定,则显示所有端口下的防CPU攻击状态信息 显示信息描述: · Global System-guard Status:显示全局防CPU攻击功能状态 · System-guard Status:显示端口防CPU攻击功能状态 · Attack Detect Status:显示端口是否存在CPU攻击(Normal:表示正常;Attack:表示存在攻击) · Attack Rate Limit:显示端口防CPU攻击限速状态。当端口防CPU攻击功能开启后,如果该端口存在CPU攻击,则系统会自动开启该端口的限速功能 |
|
关闭端口防CPU攻击 |
undo system-guard permit |
- |
|
关闭全局防CPU攻击 |
undo system-guard enable |
- |
表11-126 添加/删除四元绑定项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加四元绑定表项 |
ipmacbind ip-address mac-address [ Ethernet interface-number | vlan vlan-id ]* |
ip-address:源IP地址 mac-address:源MAC地址 如果端口或VLAN不指定,则绑定项应用于所有的端口或VLAN中 |
|
删除四元绑定项 |
undo ipmacbind { all | ip-address mac-address [ Ethernet interface-number | vlan vlan-id ]* } |
all:清空绑定表 |
表11-127 显示四元绑定表状态
|
操作 |
命令 |
说明 |
|
显示四元绑定表中的表项个数 |
display ipmacbind count |
显示命令可在任意视图下执行 |
|
显示四元绑定表中的表项信息 |
display ipmacbind |
表11-128 开启/关闭ARP过滤功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启ARP过滤功能 |
arp detection enable |
缺省情况下,ARP过滤功能处于关闭状态 |
|
关闭ARP过滤功能 |
undo arp detection enable |
- |
表11-129 设置ARP信任端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口为ARP信任端口 |
arp detection trust |
对于来自信任端口的所有ARP报文不进行检测,对来自其他端口的ARP报文则会根据四元绑定表进行严格检测 缺省情况下,所有端口均为ARP信任端口 |
|
取消端口为ARP信任端口 |
undo arp detection trust |
- |
表11-130 显示ARP过滤功能相关状态及ARP映射表
|
操作 |
命令 |
说明 |
|
显示ARP过滤功能相关状态及统计信息 |
display arp detection statistics interface Ethernet interface-number |
显示命令可在任意视图下执行 |
|
清空指定端口的ARP欺骗报文统计 |
reset arp detection statistics [ interface GigabitEthernet interface-number ] |
当您不指定端口参数时,则清空所有端口的ARP欺骗报文统计 此命令需要在用户视图下执行 |
|
显示ARP映射表 |
display arp [ ip-address ] |
显示命令可在任意视图下执行 |
表11-131 开启/关闭IP过滤功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启IP过滤功能 |
ipmacbind enable Ethernet interface-number [ to Ethernet interface-number ] |
缺省情况,所有端口的IP过滤功能处于关闭状态 |
|
关闭IP过滤功能 |
ipmacbind disable Ethernet interface-number [ to Ethernet interface-number ] |
- |
|
显示IP过滤功能状态 |
display ipmacbind |
显示命令可在任意视图下执行 |
表11-132 设置用户认证方案
|
操作 |
命令 |
描述 |
|
进入系统视图 |
system-view |
- |
|
设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案 |
aaa authentication { telnet | terminal } { local | none | radius-scheme radius-scheme-name [ local ] } aaa authentication web { local | none } |
· none:不认证 · local:本地认证。有关本地用户的相关配置操作请参见“2. 设置本地用户” · radius-scheme radius-scheme-name:Radius远程认证,radius-scheme-name值需要固定设置为system · radius-scheme radius-scheme-name local:本地认证和Radius远程认证互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案 缺省情况下,系统采用本地认证 说明: 当采用Radius远程认证方案或Radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在S1600上设置对应的Radius Client |
|
显示用户认证方案配置状态 |
display aaa |
显示命令可在任意视图下执行 |
|
恢复用户认证方案为缺省值 |
undo aaa authentication { telnet | terminal |web } |
- |
表11-133 设置本地用户
|
操作 |
命令 |
描述 |
|
进入系统视图 |
system-view |
- |
|
创建本地用户,并进入该用户视图 |
local-user user-name |
user-name:本地用户名,长度1~32个字符,区分大小写,且只能包含数字、大小写字母以及下划线 说明: · 当本地用户已存在时,则直接进入该用户视图 · 系统最多支持创建64个本地用户 · undo命令用来删除指定的本地用户,all表示删除所有的本地用户 |
|
undo local-user { user-name | all } |
||
|
指定该用户的服务类型 |
service-type { telnet | terminal | web} |
· telnet:用于Telnet登录 · terminal:用于Console登录 · web:用于Web登录 说明: · 一个用户可以拥有多种服务类型 · 系统最多允许创建4个Web服务类型的用户 · undo命令用来取消指定的服务类型 |
|
undo service-type { telnet | terminal | web} |
||
|
指定该用户的等级 |
level level |
level:用户等级,即配置管理权限。0为普通用户、1为管理用户。缺省情况下,用户级别为1 说明: undo命令用来恢复用户等级为缺省值 |
|
undo level |
||
|
设置该用户的使用状态 |
state { active | block } |
· active:允许用户登录 · block:禁止用户登录 缺省情况下,用户的使用状态为active |
|
设置本地用户密码 |
password { cipher | simple } password |
cipher:表示密码为密文显示 simple:表示密码为明文显示 password:表示设置的密码。明文密码可以是长度小于等于32的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!! 说明: undo命令用来删除本地用户密码 注意: 在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文;长度大于16且小于等于32的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理 |
|
undo password |
||
|
显示本地用户设置状态 |
display local-user service-type { telnet | terminal | web } |
此命令用于显示指定服务类型下的本地用户信息 显示命令可在任意视图下执行 |
|
display local-user state { active | block } |
此命令用于显示指定使用状态下的本地用户信息 显示命令可在任意视图下执行 |
|
|
display local-user user-name user-name |
此命令用于显示指定用户名下的本地用户信息 显示命令可在任意视图下执行 |
|
|
display local-user |
此命令用于显示所有的本地用户信息 显示命令可在任意视图下执行 |
S1600不支持创建新的Radius方案,系统缺省为system方案。
· 设置Radius认证/授权服务器参数
表11-134 设置Radius认证/授权服务器的IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置主Radius认证/授权服务器参数 |
primary authentication ip-address [ port-number ] |
ip-address:IP地址,缺省情况下为0.0.0.0 port-number:UDP端口号,取值范围为1~65535,缺省情况下为1812 |
|
设置从Radius认证/授权服务器参数 |
secondary authentication ip-address [ port-number ] |
|
|
恢复主Radius认证/授权服务器参数为缺省值 |
undo primary authentication |
- |
|
恢复从Radius认证/授权服务器参数为缺省值 |
undo secondary authentication |
- |
· 设置Radius认证/授权报文的共享密钥
表11-135 设置Radius认证/授权报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius认证/授权报文的共享密钥 |
key authentication string |
string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
|
恢复Radius认证/授权报文的共享密钥为缺省值 |
undo key authentication |
- |
· 设置Radius计费服务器参数
表11-136 设置Radius计费服务器参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置主Radius计费服务器参数 |
primary accounting ip-address [ port-number ] |
ip-address:IP地址,缺省情况下为0.0.0.0 port-number:UDP端口号,取值范围为1~65535,缺省情况下为1813 |
|
设置从Radius计费服务器参数 |
secondary accounting ip-address [ port-number ] |
|
|
恢复主Radius计费服务器参数为缺省值 |
undo primary accounting |
- |
|
恢复从Radius计费服务器参数为缺省值 |
undo secondary accounting |
- |
· 设置Radius计费报文的共享密钥
表11-137 设置Radius计费报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius计费报文的共享密钥 |
key accounting string |
string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
|
恢复Radius计费报文的共享密钥为缺省值 |
undo key accounting |
- |
· 设置Radius服务器响应超时时长
表11-138 设置Radius服务器响应超时时长
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius服务器响应超时时长 |
timer time |
time:超时时长,取值范围为1~10,缺省情况下为3秒 |
|
恢复Radius服务器响应超时时长为缺省值 |
undo timer |
- |
· 设置Radius报文超时重传次数的最大值
表11-139 设置Radius报文超时重传次数的最大值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius报文超时重传次数的最大值 |
retry retry-times |
retry-times:报文重传次数的最大值,取值范围为1~20,缺省情况下为3 |
|
恢复Radius报文超时重传次数的最大值为缺省值 |
undo retry |
- |
· 设置Radius认证/授权服务器及计费服务器状态
表11-140 设置Radius认证/授权服务器及计费服务器状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置主Radius认证/授权服务器状态 |
state primary authentication { active | block } |
· active:服务器处于工作状态 · block: 服务器处于待机状态 缺省情况下,认证/计费服务器均处于block状态 |
|
设置从Radius认证/授权服务器状态 |
state secondary authentication { active | block } |
|
|
设置主Radius计费服务器状态 |
state primary accounting { active | block } |
|
|
设置从Radius计费服务器状态 |
state secondary accounting { active | block } |
· 设置Radius重启用户再认证功能
表11-141 设置Radius重启用户再认证功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
开启Radius重启用户再认证功能 |
accounting-on enable |
缺省情况下,设备重启用户再认证功能处于关闭状态 |
|
恢复Radius重启用户再认证功能为缺省值 |
undo accounting-on enable |
- |
· 设置Radius实时计费间隔
表11-142 设置Radius实时计费间隔
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius实时计费间隔 |
timer realtime-accounting minutes |
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,且必须为3的倍数。 缺省情况下,实时计费间隔为12分钟 |
|
恢复Radius实时计费间隔为缺省值 |
undo timer realtime-accounting |
- |
· 设置Radius实时计费最大失败次数
表11-143 设置Radius实时计费最大失败次数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius实时计费最大失败次数 |
retry realtime-accounting retry-times |
retry-times:允许实时计费失败的最大次数,取值范围为1~255 缺省情况下,最多允许5次实时计费失败 |
|
恢复Radius实时计费最大失败次数为缺省值 |
undo retry realtime-accounting |
- |
· 显示Radius方案的设置信息
表11-144 显示Radius方案的设置信息
|
操作 |
命令 |
说明 |
|
显示Radius方案的设置信息 |
display radius [ radius-scheme-name ] |
radius-scheme-name:Radius方案名,S1600仅支持系统缺省的system方案 |
表11-145 开启/关闭全局802.1x功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局的802.1x特性 |
dot1x |
缺省情况下,全局的802.1x特性处于关闭状态 |
|
关闭全局的802.1x特性 |
undo dot1x |
- |
仅当开启了全局802.1x功能,端口的802.1x功能才能生效。
表11-146 开启/关闭端口802.1x功能
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
开启端口的802.1x特性 |
系统视图下 |
dot1x interface interface-list |
两者必选其一 缺省情况下,端口的802.1x特性均为关闭状态 |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x |
|||
|
关闭端口的802.1x特性 |
系统视图下 |
undo dot1x interface interface-list |
- |
|
端口视图下 |
interface Ethernet interface-number |
||
|
undo dot1x |
|||
表11-147 设置全局接入控制的模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置全局接入控制的模式 |
dot1x port-control { authorized-force | unauthorized-force | auto } |
缺省情况下,全局接入控制的模式为auto |
|
恢复全局接入控制的模式为缺省值 |
undo dot1x port-control { authorized-force | unauthorized-force | auto } |
- |
表11-148 设置端口接入控制的模式
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口接入控制的模式 |
系统视图下 |
dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ] |
两者必选其一 · auto:自动识别模式 · authorized-force:强制授权模式 · unauthorized-force:强制非授权模式 · 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口接入控制的模式为auto |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x port-control { authorized-force | unauthorized-force | auto } |
|||
|
恢复端口接入控制的模式为缺省值 |
系统视图下 |
undo dot1x port-control [ interface interface-list ] |
- |
|
端口视图下 |
interface Ethernet interface-number |
||
|
undo dot1x port-control |
|||
表11-149 设置全局接入控制的方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置全局接入控制的方式 |
dot1x port-method { macbased | portbased } |
缺省情况下,全局接入控制的方式为macbased |
|
恢复全局接入控制的方式为缺省值 |
undo dot1x port-method { macbased | portbased } |
- |
表11-150 设置端口接入控制的方式
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口接入控制的方式 |
系统视图下 |
dot1x port-method { macbased | portbased } [ interface interface-list ] |
两者必选其一 · macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证 · portbased:指示802.1x认证系统基于端口对接入用户进行认证 · 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口接入控制的方式为macbased |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x port- method { macbased | portbased } |
|||
|
恢复端口接入控制的方式为缺省值 |
系统视图下 |
undo dot1x port-method [ interface interface-list ] |
- |
|
端口视图下 |
interface Ethernet interface-number |
||
|
undo dot1x port-method |
|||
表11-151 设置802.1x用户的认证方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置802.1x用户的认证方法 |
dot1x authentication-method eap |
目前,S1600 802.1x用户的认证只支持EAP-MD5 缺省情况下,802.1x用户的认证方法EAP认证 |
|
恢复802.1x用户的认证方法为缺省值 |
undo dot1x authentication-method |
- |
一台S1600只能配置一个Guest VLAN。
表11-152 设置Guest VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启/关闭全局Guest VLAN功能 |
dot1x guest-vlan vlan-id |
vlan-id:Guest VLAN,且该VLAN必须已经存在 缺省情况下,全局Guest VLAN功能处于关闭状态 |
|
undo dot1x guest-vlan |
||
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启/关闭端口Guest VLAN功能 |
dot1x guest-vlan |
缺省情况下,端口Guest VLAN功能处于关闭状态 |
|
undo dot1x guest-vlan |
表11-153 设置802.1x的定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置802.1x的定时器 |
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | reauth-period reauth-period-value } |
· handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒 · quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒 · server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒 · supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒 · tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒 · reauth-period-value:重认证周期时间,取值范围为1~86400,单位为秒 缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒server-timeout-value为100秒supp-timeout-value为30秒,tx-period-value为30秒, reauth-period-value为3600秒 |
|
恢复802.1x的定时器为缺省值 |
undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | reauth-period } |
- |
表11-154 设置端口允许接入的用户最大数目
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口允许接入的用户最大数目 |
系统视图下 |
dot1x max-user user-number [ interface interface-list ] |
· user-number:端口可容纳接入用户数量的最大值,取值范围为1~128 · 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口上可容纳接入用户数量的最大值为128 |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x max-user user-number |
|||
|
恢复端口允许接入的用户最大数目为缺省值 |
系统视图下 |
undo dot1x max-user [ interface interface-list ] |
- |
|
端口视图下 |
interface Ethernet interface-number |
||
|
undo dot1x max-user |
|||
可以通过下面的命令来开启设备的在线用户握手功能。当802.1X用户认证通过以后,设备会定时(该时间间隔由命令dot1x timer handshake-period设置)向认证用户发送握手报文,如果设备连续多次没有收到客户端的响应报文,则会将用户置为下线状态。
表11-155 设置在线用户握手功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网接口视图 |
interface interface-type interface-number |
- |
|
开启在线用户握手功能 |
dot1x handshake |
可选 缺省情况下,在线用户握手功能处于开启状态 |
|
关闭在线用户握手功能 |
undo dot1x handshake |
- |
部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
可以通过下面的命令来开启设备的组播触发功能。若端口启动了802.1X的组播触发功能,则该端口会定期向客户端发送组播触发报文来启动认证,该功能用于支持不能主动发起认证的客户端。
表11-156 设置组播触发功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网接口视图 |
interface interface-type interface-number |
- |
|
开启组播触发功能 |
dot1x multicast-trigger |
可选 缺省情况下,组播触发功能处于开启状态 |
|
关闭组播触发功能 |
undo dot1x multicast-trigger |
|
表11-157 显示802.1x的相关信息
|
操作 |
命令 |
说明 |
|
显示802.1x的相关信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
sessions:显示802.1X的会话连接信息 statistics:显示802.1X的相关统计信息 |
例:显示802.1x所有的信息。
<H3C> display dot1x
Equipment 802.1X protocol is enabled
EAP authentication is enabled
Guest VLAN : 0100
Configure: Transmit Period 30 s
ReAuth Period 3600 s
Quiet Period 60 s
Supp Timeout 30 s
Server Timeout 100 s
Handshake period 15 s
The maximal retransmitting times 5
Total maximum used 802.1X resource number is 512
Total current used 802.1X resource number is 0
Ethernet0/1 is link-up
802.1X protocol is disabled
Handshake is enabled
The port is an authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
ReAuthenticate is disabled
Max on-line user number is 128
Guest VLAN is disabled
The port is not in guest vlan
Authenticate Success: 0, Failed: 0
EAPOL Packet: Tx 0, Rx 0
Send EAP Request/Identity Packet : 0
EAP Request Packet: 0
Received EAPOL Start Packet : 0
EAPOL LogOff Packet: 0
EAP Response/Identity Packet: 0
EAP Response Packet: 0
Error Packet: 0
Controlled User(s) amount to 0
Ethernet0/2 is link-up
802.1X protocol is disabled
Handshake is enabled
The port is an authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
ReAuthenticate is disabled
Max on-line user number is 128
Guest VLAN is disabled
The port is not in guest vlan
Authenticate Success: 0, Failed: 0
EAPOL Packet: Tx 0, Rx 0
Send EAP Request/Identity Packet : 0
EAP Request Packet: 0
Received EAPOL Start Packet : 0
EAPOL LogOff Packet: 0
EAP Response/Identity Packet: 0
EAP Response Packet: 0
Error Packet: 0
Controlled User(s) amount to 0
Ethernet0/3 is link-up
802.1X protocol is disabled
Handshake is enabled
The port is an authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
ReAuthenticate is disabled
Max on-line user number is 128
Guest VLAN is disabled
The port is not in guest vlan
Authenticate Success: 0, Failed: 0
EAPOL Packet: Tx 0, Rx 0
Send EAP Request/Identity Packet : 0
EAP Request Packet: 0
Received EAPOL Start Packet : 0
EAPOL LogOff Packet: 0
EAP Response/Identity Packet: 0
EAP Response Packet: 0
Error Packet: 0
Controlled User(s) amount to 0
表11-158 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Equipment 802.1X protocol is enabled |
802.1x特性已经开启 |
|
EAP authentication is enabled |
开启EAP认证 |
|
Guest VLAN |
Guest VLAN |
|
Transmit Period |
发送间隔定时器 |
|
ReAuth Period |
重认证周期 |
|
Quiet Period |
静默定时器设置的静默时长 |
|
Supp Timeout |
Supplicant认证超时定时器 |
|
Server Timeout |
Authentication Server超时定时器 |
|
Handshake Period |
802.1x的握手报文的发送时间间隔 |
|
The maximal retransmitting times |
交换机可重复向接入用户发送认证请求帧的次数 |
|
Total maximum used 802.1X resource number |
最多可接入用户数 |
|
Total current used 802.1X resource number |
当前在线接入用户数 |
|
Ethernet0/1 is link-up |
端口Ethernet0/1的状态为Up |
|
802.1X protocol is disabled |
该端口未开启802.1x协议 |
|
Handshake is enabled |
握手功能处于使能状态 |
|
The port is an authenticator |
该端口担当Authenticator作用 |
|
Authenticate Mode is auto |
端口接入控制的模式为auto |
|
Port Control Type is Mac-based |
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
|
802.1X Multicast-trigger is enabled |
802.1X组播触发功能处于使能状态 |
|
ReAuthenticate is disabled |
端口的802.1x重认证特性处于关闭状态 |
|
Max on-line user number is 128 |
本端口最多可容纳的接入用户数 |
|
Guest VLAN is disabled |
端口Guest VLAN功能关闭 |
|
The port is not in guest vlan |
端口没有在Guest VLAN中 |
|
Authenticate Success |
认证成功 |
|
EAPOL Packet |
EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
Send EAP Request/Identity Packet |
发送的EAP Request/Identity报文数 |
|
EAP Request Packet |
发送的EAP Request报文数 |
|
Received EAPOL Start Packet |
接收的EAPOL Start报文数 |
|
EAPOL LogOff Packet |
接收的EAPOL LogOff报文数 |
|
EAP Response/Identity Packet |
接收的EAP Response/Identity报文数 |
|
EAP Response Packet |
接收的EAP Response报文数 |
|
Error Packet |
接收的错误报文数 |
|
Controlled User(s) amount to |
该端口受控用户数目 |
|
… |
略 |
· 仅当端口802.1x接入控制的方式为MAC-based,端口的MAC-VLAN功能才能生效。
· S1650不支持MAC-VLAN功能。
表11-159 开启/关闭端口MAC-VLAN功能
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
开启端口的mac-vlan功能 |
端口视图 |
interface Ethernet interface-number |
说明:只有 hybrid端口才能开启mac-vlan功能。 缺省情况下,端口的mac-vlan功能为关闭状态 |
|
mac-vlan enable |
|||
|
关闭端口的mac-vlan功能 |
端口视图 |
interface Ethernet interface-number |
- |
|
undo mac-vlan enable |
|||
管理员根据实际情况可以人工添加、修改或删除地址表中的表项。可以删除与某个端口相关的所有地址表项,也可以选择删除某个地址表项(如动态表项、静态表项)。
表11-160 添加/修改/删除MAC地址表项
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
添加/修改MAC地址表项 |
系统视图下 |
mac-address { static | dynamic | blackhole } mac-address interfaceEthernet interface-number vlan vlan-id |
· blackhole:黑洞表项,所有源地址或目的地址为该MAC地址的报文都会被交换机丢弃 · static:静态表项,不会被老化掉 · dynamic:动态表项,会被老化掉 · mac-address:MAC地址,采用H-H-H的形式 · vlan-id:VLAN的ID,取值范围为1~4094 |
|
端口视图下 |
interface Ethernet interface-number |
||
|
mac-address { static | dynamic } mac-address vlan vlan-id |
|||
|
删除MAC地址表项 |
系统视图下 |
undo mac-address [ interface Ethernet interface-number | mac-address vlan vlan-id [ interface Ethernet interface-number ] ] |
- |
|
端口视图下 |
interface Ethernet interface-number |
||
|
undo mac-address mac-address vlan vlan-id |
|||
表11-161 设置MAC地址表老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置MAC地址表老化时间 |
mac-address timer { aging age | no-aging } |
· age:MAC地址表的老化时间,取值范围为10~1000000,单位为秒 · no-aging:不老化 缺省情况下,MAC地址表的老化时间为300秒 设置过长或者过短的老化时间,可能会引起不必要的网络故障,建议您使用缺省值 |
|
恢复MAC地址表老化时间为缺省值 |
undo mac-address timer aging |
- |
表11-162 显示MAC地址表信息
|
操作 |
命令 |
说明 |
|
显示MAC地址表信息 |
display mac-address [ mac-address [ vlan vlan-id ] | interface Ethernet interface-number | blackhole | aging-time | count ] |
· mac-address:MAC地址 · blackhole:黑洞表项 · count:数量,此参数用于显示MAC地址数量的命令 · aging-time:MAC地址表的老化时间 |
例:显示MAC地址为000a-eb7f-aaab的地址表项信息。
<H3C> display mac-address 000a-eb7f-aaab
Reading entire MAC table. Please wait...
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
000a-eb7f-aaab 1 Config static Ethernet0/1 NOAGED
--- 1 mac address(es) found ---
以上显示信息表示:MAC地址为000a-eb7f-aaab的报文将从Ethernet0/1端口转发,这个表项被设置为静态表项。
|
操作 |
命令 |
说明 |
|
显示已保存配置 |
display saved-configuration |
如果S1600上电之后工作不正常,可以执行此命令查看其已保存的配置,以定位问题所在 显示命令可在任意视图下执行 |
|
显示当前配置 |
display current-configuration |
当您完成一组配置后,需要验证配置是否正确时,可以执行此命令来查看当前生效的参数。对于某些参数,虽然您已经配置,但如果这些参数所在的功能没有生效,则不予显示。对于某些正在生效的配置参数,如果与缺省工作参数相同,也不显示 显示命令可在任意视图下执行 |
|
显示当前视图下已生效的配置 |
display this |
当您在某一视图下完成一组配置之后,需要验证是否配置成功,则可以执行display this命令来查看当前生效的参数 显示命令可在任意视图下执行 说明: · 对于已经生效的配置参数如果与缺省工作参数相同,则不显 · 对于某些参数,虽然您已经配置,但如果这些参数所在的功能没有生效,则不显示 · 在任意一个用户界面视图下执行此命令,将会显示所有用户界面下生效的配置 · 在任意一个VLAN视图下执行此命令,将会显示所有已创建的VLAN |
|
操作 |
命令 |
说明 |
|
保存当前配置 |
save |
· 为了使当前配置能够作为S1600下次上电启动时的已保存配置,需要使用此命令来保存当前配置到FLASH memory中 · 当完成一组配置并且已经达到预定功能时,建议用户将当前配置保存到FLASH memory中 · 此命令可以在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
恢复缺省配置 |
restore default |
执行该命令后,S1600会自动重新启动使其生效 |
|
操作 |
命令 |
说明 |
|
显示系统版本 |
display version |
显示命令可在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
重启交换机 |
reboot |
此命令可在用户视图下执行 |
表11-168 显示设备工作状态
|
操作 |
命令 |
说明 |
|
显示设备工作状态 |
display device |
显示命令可在任意视图下执行 |
例:显示设备工作状态。
<H3C> display device
SlotNo SubSNo PortNum FPGAVer CPLDVer Type
0 0 24 NULL NULL MAIN
表11-169 display device显示信息描述表
|
字段 |
描述 |
|
SlotNo |
槽位号 |
|
SubSNo |
子槽位号 |
|
PortNum |
端口号 |
|
FPGAVer |
FPGA版本号 |
|
CPLDVer |
CPLD版本号 |
|
Type |
设备类型 |
表11-170 显示设备CPU利用率的统计信息
|
操作 |
命令 |
说明 |
|
显示设备CPU利用率的统计信息 |
display cpu-usage |
显示命令可在任意视图下执行 |
例:显示设备CPU利用率的统计信息。
<H3C> display cpu-usage
CPU busy status:
38% in last 5 seconds
38% in last 1 minute
37% in last 5 minutes
表11-171 display cpu-usage显示信息描述表
|
字段 |
描述 |
|
38% in last 5 seconds |
设备启动后,会以5秒为周期计算并记录一次该5秒内的CPU的平均利用率。该字段显示的是最近一个5秒统计周期内CPU的平均利用率 |
|
38% in last 1 minute |
设备启动后,会以1分钟为周期计算并记录一次该1分钟内的CPU的平均利用率。该字段显示的是最近一个1分钟统计周期内CPU的平均利用率 |
|
37% in last 5 minutes |
设备启动后,会以5分钟为周期计算并记录一次该5分钟内的CPU的平均利用率。该字段显示的是最近一个5分钟统计周期内CPU的平均利用率 |
表11-172 显示设备内存的使用状况
|
操作 |
命令 |
说明 |
|
显示设备内存的使用状况 |
display memory-shortage information |
显示命令可在任意视图下执行 |
例:显示设备内存的使用状况。
<H3C> display memory-shortage information
Memory-shortage safety: 800(KB)
Memory-shortage limit: 100(KB)
Free memory: 2284(KB)
表11-173 display memory-shortage information显示信息描述表
|
字段 |
描述 |
|
Memory-shortage safety |
系统内存安全门限值,单位为KB |
|
Memory-shortage limit |
系统内存最低门限值,单位为KB |
|
Free memory |
系统未使用的内存大小,单位为KB |
表11-174 设置系统名
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置交换机系统名 |
sysname sysname |
sysname:字符串,长度为1~30个字符。S1600缺省的系统名为H3C 修改S1600的系统名将影响命令行接口的提示符,如S1600的系统名为H3C,用户视图下的提示符为<H3C> |
|
恢复交换机系统名为缺省名 |
undo sysname |
- |
仅当您开启了信息中心功能,交换机才会记录系统信息以及向日志主机、控制台等方向输出系统信息。
信息中心开启时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。
表11-175 开启/关闭信息中心
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启信息中心 |
info-center enable |
缺省情况下,信息中心处于开启状态 |
|
关闭信息中心 |
undo info-center enable |
- |
表11-176 向指定日志主机输出日志信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
向指定日志主机输出日志信息 |
info-center loghost ip host-ip-addr |
host-ip-addr:正确的日志主机的IP地址。如果您输入的是环回地址,系统将提示此地址无效 缺省情况下,S1600不向日志主机输出日志信息 |
|
设置信息中心的日志级别 |
info-center loghost level level |
您可以通过此命令来指定不高于某指定级别的日志信息才发送到日志主机 level:表示日志级别,取值范围为0~7,相关描述请参见表7-20。缺省情况下,级别为7 |
|
取消向日志主机输出日志信息 |
undo info-center loghost ip |
- |
|
恢复信息中心的日志级别为缺省值 |
undo info-center loghost level |
- |
表11-177 开启/关闭系统信息记录功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启日志信息记录功能 |
info-center logbuffer { enable | level level } |
· enable:记录日志信息,即写入到交换机的日志缓冲区中。缺省情况下,此功能处于开启状态 · level:指定高于某等级的日志信息才被记录,取值范围为0~7,相关描述请参见表7-20。缺省情况下,级别为7 |
|
开启告警信息记录功能 |
info-center trapbuffer enable |
enable:记录告警信息,即写入到交换机的告警缓冲区中。缺省情况下,此功能处于开启状态 |
|
取消日志信息记录功能 |
undo info-center logbuffer { enable | level } |
- |
|
取消告警信息记录功能 |
undo info-center trapbuffer enable |
- |
表11-178 开启/关闭系统信息记录功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启向控制台发送系统信息 |
info-center terminal logging { enable | level level } |
· enable:向控制台发送系统信息。缺省情况下,此功能处于开启状态 · level:指定高于某等级的系统信息才向控制台发送,取值范围为0~7,相关描述请参见表7-20。缺省情况下,级别为5 |
|
关闭向控制台发送系统信息 |
undo info-center terminal logging { enable | level } |
- |
为了能在控制台上观察到系统信息,您还需要开启控制台对相应信息的显示功能。
表11-179 开启/关闭控制台对系统信息的显示功能
|
操作 |
命令 |
说明 |
|
开启控制台对调试信息的显示功能 |
terminal debugging |
此命令需在用户视图下执行 缺省情况下,控制台对调试信息的显示功能处于禁用状态 |
|
开启控制台对日志信息的显示功能 |
terminal logging |
此命令需在用户视图下执行 缺省情况下,控制台对日志信息的显示功能处于开启状态 |
|
开启控制台对告警信息的显示功能 |
terminal trapping |
此命令需在用户视图下执行 缺省情况下,控制台对告警信息的显示功能处于开启状态 |
|
关闭系统信息的显示功能 |
undo terminal { debugging | logging | trapping } |
- |
|
操作 |
命令 |
说明 |
|
显示系统日志的配置及缓冲区记录的信息 |
display info-center |
显示命令可在任意视图下执行 |
|
显示交换机日志缓冲区记录的日志信息 |
display logbuffer [ size buffersize | level level ] display logbuffer reverse [ size buffersize | level level ] |
显示命令可在任意视图下执行 · buffersize:指定日志信息显示的条数 · level:指定日志信息显示的等级 · reverse:选中该关键字后,系统会将显示的日志信息进行逆向排序,即将最近发生的日志信息显示在前面,早期发生的日志信息显示在后面 |
|
显示交换机告警缓冲区记录的告警信息 |
display trapbuffer [ size buffersize ] display trapbuffer reverse [ size buffersize ] |
显示命令可在任意视图下执行 · buffersize:显示日志信息的条数 · reverse:选中该关键字后,系统会将显示的日志信息进行逆向排序,即将最近发生的日志信息显示在前面,早期发生的日志信息显示在后面 |
|
清除日志缓冲区内的信息 |
reset logbuffer |
此命令需在用户视图下执行 |
|
清除告警缓冲区内的信息 |
reset trapbuffer |
此命令需在用户视图下执行 |
例:显示系统日志的配置及缓冲区记录的信息。
<H3C> display info-center
Information Center: enabled
Terminal logging: enabled
level: 5 (Notice)
Log host:
IP:0.0.0.0
level: 7 (Debug)
Log buffer: enabled
level: 7 (Debug)
Trap buffer: enabled
表11-181 display info-center显示信息描述表
|
字段 |
描述 |
|
Information Center |
显示信息中心功能状态 |
|
Terminal logging |
显示向控制台发送系统信息的功能状态及系统信息级别 |
|
Log host |
显示日志主机的IP地址及日志级别 |
|
Log buffer |
显示日志信息记录功能状态及日志级别 |
|
Trap buffer |
显示告警信息记录功能状态 |
当您关闭了HTTP服务器后,将不能通过Web设置页面对S1600进行操作。
表11-182 开启/关闭HTTP服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭HTTP服务器 |
ip http shutdown |
缺省情况下,HTTP服务器处于开启状态 |
|
开启HTTP服务器 |
undo ip http shutdown |
- |
当您关闭了Telnet服务器后,将不能通过Telnet方式登录到S1600进行命令行操作。
表11-183 开启/关闭TELNET服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭Telnet服务器 |
ip telnet shutdown |
缺省情况下,Telnet服务器处于开启状态 |
|
开启Telnet服务器 |
undo ip telnet shutdown |
- |
表11-184 设置管理PC
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
新建管理PC配置 |
ip authorized-managers id id-number start-ip-address end-ip-address [ telnet | http | snmp | all ] |
· id-number:管理PC配置记录的ID · start-ip-address:管理PC网段的起始IP地址 · end-ip-address:管理PC网段的结束IP地址 · all:所有服务类型 |
|
删除单条管理PC记录 |
undo ip authorized-managers id id-number |
id-number:管理PC配置记录的ID |
|
删除所有管理PC记录 |
undo ip authorized-managers all |
all : 所有管理PC控制记录 |
表11-185 显示管理PC控制
|
操作 |
命令 |
说明 |
|
显示所有管理PC的配置记录 |
display ip authorized-managers |
显示命令可以在任意视图下执行 |
S1600提供了种类丰富的调试功能,对于S1600所支持的绝大部分协议和功能,系统都提供了相应的调试功能,可以帮助用户对错误进行诊断和定位。
调试信息的输出可以由两个开关控制:
· 协议调试开关,控制是否输出某协议的调试信息;
· 屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。
二者关系如下图所示:
用户可以通过debugging和terminal debugging命令来控制以上两种开关。
可以使用debugging命令来控制单个或全部协议调试开关。
表11-186 启用和禁用协议调试开关
|
操作 |
命令 |
说明 |
|
启用协议调试开关 |
debugging { all | module-name } |
· 此命令需在用户视图下执行 · all:表示启用或禁用全部调试开关 · module-name:指定协议模块名。可选模块名包括:arp、dhcp-alloc、drv、igmp-snooping、ip等。具体调试命令的使用和调试信息的格式介绍参见相关章节 · 缺省情况下,系统关闭全部调试开关 |
|
禁用协议调试开关 |
undo debugging { all | module-name } |
- |
相关配置可参考命令display debugging、terminal debugging。
由于调试信息的输出会影响系统的运行效率,请勿轻易启用调试开关,尤其慎用debugging all命令,在调试结束后,应禁用全部调试开关。
表11-187 启用/关闭终端显示功能
|
操作 |
命令 |
说明 |
|
启用终端显示调试信息功能 |
terminal debugging |
· 此命令需在用户视图下执行 · 缺省情况下,系统禁用终端显示功能 |
|
禁用终端显示调试信息功能 |
undo terminal debugging |
- |
如果用户需要在终端上显示调试信息,需要先执行terminal debugging命令。
|
操作 |
命令 |
说明 |
|
显示调试开关状态 |
display debugging |
在任意视图下均可执行 |
在以上各章节中,分别介绍了各相关命令的调试方法。以下几条命令在前面的章节中没有涉及,所以在此处补充介绍。
表11-189 arp调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用arp调试开关 |
debugging arp packet |
· 用户视图下执行 · 缺省情况下,系统禁用arp调试信息开关 |
|
禁用arp调试开关 |
undo debugging arp packet |
- |
例:启用arp调试开关。
<H3C> debugging arp packet
Sending:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,
arp_op = 1 , arp_spa = 192.168.0.233, arp_tpa = 192.168.0.55,
arp_sha = 08:F0:1F:00:BC:15, arp_tha = 00:00:00:00:00:00
receiving:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,
arp_op = 2 , arp_spa = 192.168.0.55, arp_tpa = 192.168.0.233,
arp_sha = 00:0D:88:F6:4B:A7, arp_tha = 08:F0:1F:00:BC:15
表11-190 debugging arp显示信息描述表
|
字段 |
描述 |
|
arp_hrd |
硬件类型 |
|
arp_pro |
协议类型 |
|
arp_hln |
硬件地址长度 |
|
arp_pln |
协议地址长度 |
|
arp_op |
判断报文是请求报文或回复报文 |
|
arp_spa |
发送者IP地址 |
|
arp_tpa |
目标IP地址 |
|
arp_sha |
发送者硬件地址 |
|
arp_tha |
目标硬件地址 |
表11-191 drv调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用drv调试开关 |
debugging drv packet |
· 用户视图下执行 · 缺省情况下,系统禁用drv调试信息开关 |
|
禁用drv调试开关 |
undo debugging drv packet |
- |
对于底层发送的报文,显示的调试信息包括源端口、报文长度以及报文的前40字节的内容;对于底层接收的报文,显示的调试信息包括目的端口、报文长度以及报文的前40字节的内容。
您可以使用ping命令测试本交换机与其他网络设备的连通性。ping命令可以在任意视图下使用。
|
操作 |
命令 |
说明 |
|
支持IP协议ping |
ping [-c count ] [ -s packetsize ] ip-address |
· 任意视图下执行 · count:ping的次数,取值范围为1~4294967295,缺省为5次 · ip-address:对端设备的IP地址 · packetsize:报文中数据字节数,取值范围为20~1472,缺省为56字节 |
例:检查网络连接及主机是否可达,设置ping的次数为8次,报文中数据字节数64字节。
<H3C>ping -c 8 -s 64 192.168.0.1
PING 192.168.0.100: 64 data bytes, press CTRL_C to break
Reply from 192.168.0.100: bytes=64 Sequence=1 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=2 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=3 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=4 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=5 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=6 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=7 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=8 ttl=64 time < 10 ms
--- 192.168.0.100 ping statistics ---
8 packet(s) transmitted
8 packet(s) received
0.0 % packet loss
round-trip min/avg/max = 0/0/0 ms
命令执行结果输出包括:
· 对每一ping报文的响应情况,如果超时仍没有收到响应报文,则输出“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。
· 最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、最大和平均值。
· 您需要从H3C网站(http://www.h3c.com)获取VLAN设置工具,详细获取路径如下:首页>服务>软件下载>交换机产品>H3C S1600 系列以太网交换机,单击对应型号交换机的链接进入工具下载界面下载软件。
· 在运行VLAN设置工具前,需要在计算机上先安装“WinPcap”软件,该软件为开源软件,请用户自行下载。
VLAN设置工具是和S1600的VLAN自动设置功能配合使用的。当S1600的VLAN自动设置功能开启后(详细设置请参见“7.1.5 VLAN自动设置”),您可以通过VLAN设置工具来设置并获取酒店房间与S1600端口的对应关系,便于排查酒店布线结构。
操作步骤如下:
(1) 进入酒店客房房间,将管理计算机与相应的网络接口相连;
(2) 双击“WinPcap”应用程序,根据向导完成该软件的安装;
(3)
双击
图标,打开“VLAN设置工具”应用程序,如图12-1所示;
图12-1 VLAN设置工具
(4) 选择对应的计算机网卡,单击<搜索设备>按钮,若网络连接正常,即可搜索到与该计算机相连接的S1600设备,并显示其相关信息,包括:S1600的型号、IP地址、房间对应的端口号等;
(5) 在“房间号”文本框中输出入当前的房间号,单击<设置房间>按钮,即可将房间对应的端口加入到房间号对应的VLAN中。
· 单击<保存设置>按钮,即可对当前的设置进行保存。
· 单击<清空信息>按钮,即可清空页面中的“配置信息”列表框。
本手册只介绍简单的故障处理方法,如仍不能排除,请及时拨打热线(400-810-0504)联系我们,我们将会在最短的时间内帮您解决问题。
表13-1 故障排除
|
常见问题 |
故障排除 |
|
Power灯不亮 |
1. 请检查电源线连接正确 2. 请检查电源线插头是否插紧 |
|
端口指示灯不亮 |
1. 请检查网线与S1600的以太网端口连接正确 2. 请更换好的网线 |
|
不能通过Web设置页面登录和管理S1600 |
1. Ping S1600的管理IP地址(S1600缺省为192.168.0.234)来检查管理计算机与S1600是否连通。若不通: · 如果是本地配置,请检查管理计算机的IP地址是否与S1600处于在同一网段 · 如果是远程配置,请确保管理计算机和S1600路由可达 2. S1600允许同时登录的用户数已经达到最大值(最多允许5个不同IP地址的用户使用同一帐号登录),请稍后再试 3. 通过观察指示灯的状态来检查线缆连接的正确性 4. 确认管理计算机所连接的S1600端口处于打开状态,且属于管理VLAN 5. 请检查Web浏览器是否设置代理服务器或拨号连接,若有,请取消设置 6. 配置完管理计算机的本地网络地址后,请尝试禁用、启用本地网络 |
|
网络掉线 |
1. 询问您的网络服务供应商线路是否在存在问题 2. 检查网络物理连接,观察S1600的端口指示灯是否正常,或采取更换好的网线、尝试使用S1600其它端口、升级计算机网卡驱动等 3. 请检查您网络中的客户端是否存在病毒(常见的为ARP攻击或者ARP欺骗),并确认S1600是否已经做了IP/MAC绑定,每台客户端是否也已绑定了网关地址 |
表14-1列出了S1600的一些重要的缺省配置信息,供您参考。
表14-1 S1600缺省配置
|
选项 |
缺省配置 |
|
|
系统 |
登录Web的用户名/密码 |
admin/admin |
|
IP地址 |
IP地址:192.168.0.234 子网掩码:255.255.255.0 |
|
|
MAC地址表项老化时间 |
300秒 |
|
|
端口 |
端口状态 |
启用 |
|
端口速率 |
自协商 |
|
|
端口双工模式 |
自协商 |
|
|
端口优先级 |
0 |
|
|
流量控制 |
关闭 |
|
|
广播风暴抑制 |
100% |
|
|
端口汇聚 |
端口不汇聚 |
|
|
端口镜像 |
不镜像 |
|
|
端口限速 |
不限速 |
|
|
端口链路类型 |
Access |
|
|
VLAN |
管理VLAN |
VLAN 1 |
|
VLAN功能模式 |
802.1Q VLAN |
|
|
MAC绑定 |
无绑定项 |
|
|
QoS |
优先级类型 |
COS |
|
调度模式 |
WRR |
|
|
队列权重 |
队列1、队列2、队列3、队列4的权重比为1:2:4:8 |
|
|
STP |
全局STP功能 |
关闭 |
|
端口STP功能 |
关闭 |
|
|
安全专区 |
防ARP攻击 |
关闭 |
|
防蠕虫病毒攻击 |
关闭 |
|
|
防DOS攻击 |
关闭 |
|
|
防MAC地址攻击 |
不限制 |
|
|
防ARP欺骗 |
关闭 |
|
|
四元绑定 |
绑定项为空 |
|
|
全局802.1X功能 |
关闭 |
|
|
端口802.1X功能 |
关闭 |
|
|
SNMP |
SNMP Agent |
关闭 |
|
SNMP Trap |
开启 |
|
表15-1 术语表
|
术语 |
英文全称 |
中文名称 |
含义 |
|
1000Base-T |
- |
- |
1000Mbit/s基带以太网规范,使用四对5类双绞线连接,可提供高达1000Mbit/s的传输速率 |
|
100Base-TX |
- |
- |
100Mbit/s基带以太网规范,使用两对5类双绞线连接,提供最大100Mbit/s的传输速率 |
|
10Base-T |
- |
- |
10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,提供最大10Mbit/s传输速率 |
|
Auto-Negotiation |
- |
自协商 |
使交换机等设备两端按照最大的性能来自动协商工作速率和双工模式 |
|
ACL |
Access Control List |
访问控制列表 |
通过配置对报文的匹配规则和处理操作来实现包过滤的功能 |
|
ARP |
Address Resolution Protocol |
地址解析协议 |
用于将网络层的IP地址解析为数据链路层的物理地址 |
|
BPDU |
Bridge Protocol Data Unit |
桥协议数据单元 |
STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程 |
|
Broadcast |
- |
广播 |
指在IP子网内广播报文,所有在子网内部的主机都将收到这些报文 |
|
CFI |
Canonical Format Indicator |
准格式指示位 |
标识MAC地址是否以标准格式进行封装 |
|
CLI |
Command Line Interface |
命令行接口 |
可通过超级终端连接设备串行接口来管理,也能telnet远程登录管理,在初始化配置时,往往要用到前者 |
|
CoS |
Class of Service |
服务等级 |
封装在以太网报头的一个3位域内,可以将报文分为8个级别。取值范围:0~7 |
|
CRC |
Cyclic Redundancy Check |
循环冗余校验 |
一种检验数据帧正确性的技术 |
|
CSMA/CD |
Carrier Sense Multiple Access with Collision Detection |
载波侦听多路访问/冲突检测 |
使用载波侦听机制和冲突检测的网络控制协议。在发送数据之前进行侦听,确保线路空闲,减少冲突机会;边发送边检测,当检测到线路上已经有数据在传输,就停止发送当前需要发送的数据,等待一个随机时间后再发送 |
|
Data-link Layer |
- |
数据链路层 |
位于ISO/OSI参考模型第二层,负责在节点间的线路上通过检测、流量控制和重发等一系列手段无差错地传送以帧为单位的数据,使得从它的上一层(网络层)看起来是一条无差错的链路 |
|
DSCP |
Differentiated Services Code Point |
差分服务编码点 |
封装在IP报文头的一个6位域中,可以将报文分为64个级别。取值范围:0~63 |
|
DHCP |
Dynamic Host Configuration Protocol |
动态主机配置协议 |
为网络中的主机动态分配IP地址、子网掩码、网关等信息 |
|
FCS |
Frame Check Sequence |
帧校验序列 |
以太网帧域,占4个字节,存储CRC校验和值 |
|
Full Duplex |
- |
全双工 |
全双工是指接收与发送数据时使用两个相互独立的通道,可同时进行,互不干扰 |
|
Half Duplex |
- |
半双工 |
半双工是指接收与发送共用一个通道,同一时刻只能发送或只能接收,所以半双工可能会产生冲突 |
|
HTTP |
Hypertext Transfer Protocol |
超文本传输协议 |
超文本传输协议定义了信息如何被格式化、如何被传输,以及在各种命令下服务器和浏览器所采取的响应。该协议主要用于从WWW服务器传输超文本到本地浏览器 |
|
IGMP |
Internet Group Management Protocol |
互联网组管理协议 |
TCP/IP协议族中负责IP组播成员管理的协议,用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系 |
|
IGMP Querier |
Internet Group Management Protocol Querier |
IGMP查询器 |
在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据 |
|
IGMP-Snooping |
Internet Group Management Protocol Snooping |
IGMP侦听 |
运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组 |
|
IP |
Internet Protocol |
网际协议 |
网际协议是开放系统互联模型(OSI model)的一个主要协议,也是TCP/IP协议中完整的一部分。它主要的任务有两个:一是寻址,二是管理分割数据片 |
|
LACP |
Link Aggregation Control Protocol |
链路汇聚控制协议 |
一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路汇聚控制协议数据单元)与对端交互信息 |
|
LAN |
Local Area Network |
局域网 |
局域网是指将位于相对有限区域(例如,一幢建筑物)内的一组计算机、打印机和其他设备连接起来的通讯网络。LAN 允许任何连接的设备都能与其上的其他设备交互 |
|
LLDP |
Link Layer Discovery Protocol |
链路层发现协议 |
LLDP提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV,并封装在LLDPDU中发布给与自己直连的邻居 |
|
LLDPDU |
Link Layer Discovery Protocol Data Unit |
链路层发现协议数据单元 |
LLDPDU就是封装在LLDP报文数据部分的数据单元。在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送 |
|
MDI/MDI-X |
- |
- |
MDI/MDI-X自适应技术使不同的设备(如集线器-集线器或集线器-交换机)可以利用常规的UTP或STP电缆实现背靠背的级联 |
|
Multicast |
- |
组播 |
组播是点到多点的传输方式,在IP网络中将报文发送到网络中的某个组播组。通常,IPTV等直播节目都使用组播方式 |
|
MTU |
Maximum Transmission Unit |
最大传输单元 |
- |
|
NAS |
Network Access Server |
网络接入服务器 |
本地用户接入远程网络的设备 |
|
OID |
Object Identifier |
对象标识 |
- |
|
PD |
Powered Device |
受电设备 |
接受PSE供电的设备 |
|
PI |
Power Interface |
电源接口 |
PSE/PD与网线的接口,也就是RJ-45接口 |
|
PoE |
Power over Ethernet |
以太网供电 |
PoE是指设备通过以太网电口,利用双绞线对外接PD进行远程供电 |
|
PSE |
Power-Sourcing Equipment |
供电设备 |
供电设备由电源和PSE功能模块构成。可实现PD检测、PD功率信息获取、远程供电、供电监控、设备断电功能 |
|
PVID |
Port VLAN ID |
端口VLAN标识符 |
缺省VLAN ID |
|
QoS |
Quality of Service |
服务质量 |
服务质量是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行 |
|
RADIUS |
Remote Authentication Dial-In User Service |
远程认证拨号用户服务 |
一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中 |
|
SFP |
Small form Factor Pluggable |
小封装可插拔 |
一种光接口类型,支持光模块热插拔 |
|
SNAP |
Subnetwork Access Protocol |
子网访问协议 |
- |
|
SNMP |
Simple Network Management Protocol |
简单网络管理协议 |
用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告 |
|
STP |
Spanning Tree Protocol |
生成树协议 |
根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生 |
|
TCI |
Tag Control Information |
标签控制信息 |
- |
|
TCP |
Transmission Control Protocol |
传输控制协议 |
一种面向连接的、可靠的传输层协议 |
|
TLV |
Type/Length/Value |
类型/长度/值 |
TLV是组成LLDPDU的单元,每个TLV都代表一个信息 |
|
TTL |
Time To Live |
生存时间 |
- |
|
TPID |
Tag Protocol Identifier |
标签协议标识符 |
标识本数据帧是带有VLAN Tag的数据帧 |
|
UTP |
Unshielded Twisted Pair |
非屏蔽双绞线 |
非屏蔽双绞线。双绞线外部没有屏蔽介质 |
|
UDP |
User Datagram Protocol |
用户数据报协议 |
一种面向无连接的、不可靠的传输层协议 |
|
VLAN |
Virtual Local Area Network |
虚拟局域网 |
虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术 |
|
VID |
VLAN ID |
VLAN标识符 |
- |
|
WRR |
Weighted Round Robin |
加权循环调度 |
用户可以根据需要定义每个队列占用整个端口的带宽权重,每个端口队列按照定义的权重进行报文的轮循转发,保证每个队列都有发送报文的机会 |
|
HQ-WRR |
High Queue-WRR |
高优先级队列优先-加权轮循调度 |
HQ-WRR调度模式在WRR的基础上,在输出队列中选择某个队列为高优先级队列。如果各个队列的占用的带宽超过了端口的能力,交换机首先保证高优先级队列的报文优先发送出去,然后对其余队列实行WRR调度 |
|
WAN |
Wide Area Network |
广域网 |
指的是能在一定的地理区域内为用户服务的数据通信网络,此网络通常使用由公共设备商提供的传输设备。帧中继和X.25都是广域网的例子 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
