选择区域语言: EN CN HK

H3C S2126T以太网交换机 用户手册-5W101

01-正文

本章节下载  (2.51 MB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S2100/S2126T/Configure/User_Manual/H3C_S2126T_UM-5W101/201107/720329_30005_0.htm

01-正文

  录

1 您想了解什么?

2 产品介绍

2.1 产品简介

2.2 业务特性

3 登录Web设置页面

3.1 准备工作

3.1.1 计算机要求

3.1.2 建立网络连接

3.1.3 取消代理服务器

3.2 Web设置页面用户类型

3.3 登录S2126TWeb设置页面

4 熟悉Web设置页面

4.1 Web设置页面介绍

4.2 常用页面控件介绍

4.3 Web设置页面超时处理

5 系统管理

5.1 保存和恢复配置信息

5.2 查看和设置系统信息

5.3 设置Web参数及Telnet用户认证方式

5.4 设置系统时间

5.4.1 通过NTP服务器自动获取系统时间

5.4.2 手工设置系统时间

5.5 恢复缺省配置

5.6 重新启动S2126T

5.7 升级软件

5.8 故障维护

5.9 设置管理PC控制

5.10 退出Web设置页面

6 端口管理

6.1 设置端口基本功能

6.1.1 设置端口属性

6.1.2 设置本地端口镜像

6.1.3 端口统计

6.1.4 端口限速

6.1.5 端口流量监控

6.2 设置链路聚合

6.2.1 链路聚合简介

6.2.2 链路聚合模式

6.2.3 设置链路聚合

6.2.4 设置LACP参数

6.3 诊断端口电缆

7 设备管理

7.1 设置VLAN

7.1.1 VLAN简介

7.1.2 选择VLAN功能模式

7.1.3 设置802.1Q VLAN模式下的功能

7.1.4 设置基于端口VLAN模式下的功能

7.1.5 VLAN自动设置

7.2 设置Isolate-user-vlan

7.2.1 Isolate-user-vlan产生背景

7.2.2 Isolate-user-vlan技术优点及应用场景

7.2.3 Isolate-user-vlan技术特性

7.2.4 Isolate-user-vlan设置步骤

7.2.5 设置Isolate-user-vlan

7.2.6 设置Secondary VLAN

7.2.7 设置Isolate-user-vlan和Secondary VLAN间的映射关系

7.3 管理MAC地址表及设置MAC地址过滤

7.3.1 全局管理MAC地址表信息

7.3.2 在端口下管理MAC地址表信息

7.3.3 设置MAC地址过滤

7.4 设置QoS

7.4.1 报文优先级信任模式简介

7.4.2 队列调度简介

7.4.3 设置报文优先级信任及队列调度

7.5 设置STP

7.5.1 STP简介

7.5.2 RSTP简介

7.5.3 设置STP全局参数

7.5.4 设置端口STP参数

7.6 设置IGMP Snooping

7.6.1 IGMP Snooping原理

7.6.2 IGMP Snooping基本概念

7.6.3 IGMP Snooping工作机制

7.6.4 设置IGMP Snooping

7.6.5 设置端口从组播组中快速删除功能

7.7 设置SNMP

7.7.1 SNMP简介

7.7.2 设置SNMP Agent

7.7.3 设置SNMP Trap功能

7.8 设置信息中心

7.8.1 设置信息中心状态及日志主机

7.8.2 查看日志信息

7.8.3 查看告警信息

7.9 设置端口节能

7.9.1 设置时间段

7.9.2 设置端口节能方案

8 安全专区

8.1 设置防MAC地址攻击

8.2 设置AAA

8.2.1 AAA简介

8.2.2 设置用户认证方案

8.2.3 设置本地用户

8.2.4 设置Radius Client

8.3 设置802.1x

8.3.1 802.1x简介

8.3.2 设置802.1x端口参数

8.3.3 设置802.1x全局参数

9 典型配置举例

9.1 SNMP典型组网配置举例

9.1.1 组网需求

9.1.2 组网图

9.1.3 设置步骤

9.2 Isolate-user-vlan典型配置举例

9.2.1 组网需求

9.2.2 组网分析

9.2.3 组网图

9.2.4 设置步骤

10 附录 - 命令行设置

10.1 登录S2126T

10.1.1 通过Console口搭建配置环境

10.1.2 通过Telnet搭建配置环境

10.1.3 命令行使用指导

10.2 用户设置

10.2.1 设置用户分级保护密码

10.2.2 设置AUX用户

10.2.3 设置VTY用户

10.2.4 显示用户界面

10.3 系统IP设置

10.3.1 系统IP设置

10.3.2 系统IP显示和调试

10.4 设置DHCP Client功能

10.5 以太网端口设置

10.5.1 以太网端口基本设置

10.5.2 设置以太网端口聚合

10.5.3 设置以太网端口镜像

10.5.4 设置以太网端口限速

10.5.5 诊断以太网端口电缆状态

10.5.6 设置端口和MAC地址绑定

10.5.7 显示与维护以太网端口

10.6 VLAN设置

10.6.1 设置802.1q VLAN

10.6.2 设置基于端口的VLAN

10.7 设置Isolate-user-vlan

10.7.1 创建和删除Isolate-user-vlan

10.7.2 建立Isolate-user-vlan和Secondary VLAN间的映射关系

10.8 QoS设置

10.8.1 设置以太网端口优先级

10.8.2 设置报文优先级信任模式

10.8.3 设置队列调度算法

10.8.4 显示QoS设置

10.9 STP设置

10.9.1 设置STP全局参数

10.9.2 设置端口STP参数

10.9.3 显示STP设置

10.10 IGMP Snooping设置

10.10.1 开启/关闭全局IGMP Snooping

10.10.2 在VLAN内开启/关闭IGMP Snooping

10.10.3 设置老化定时器

10.10.4 设置IGMP查询和响应

10.10.5 开启/关闭端口从组播组中快速删除功能

10.10.6 开启/关闭未知组播报文丢弃功能

10.10.7 开启/关闭全局IGMP Snooping查询器功能

10.10.8 在VLAN内开启/关闭IGMP Snooping查询器功能

10.10.9 IGMP Snooping的显示和调

10.11 SNMP设置

10.11.1 设置SNMP基本功能

10.11.2 设置SNMP Trap基本功能

10.11.3 显示SNMP信息

10.12 安全专区设置

10.12.1 设置防攻击

10.12.2 设置AAA

10.12.3 设置802.1x

10.13 系统管理

10.13.1 MAC地址表管理

10.13.2 配置管理

10.13.3 设备管理

10.13.4 信息中心

10.13.5 服务器管理

10.13.6 设置管理PC控制

10.14 系统调试

10.14.1 系统调试功能简介

10.14.2 启用/禁用协议调试开关

10.14.3 启用/关闭终端显示调试信息功能

10.14.4 显示调试开关状态

10.14.5 启用/禁用各命令调试开关

10.14.6 网络连通性调试

11 附录 - VLAN设置工具

12 附录 - 故障排除

13 附录 - 缺省配置

14 附录  - 产品术语

 


1 您想了解什么?

 如果您想?

您可以查看

初识产品的大致形态、业务特性或者它在实际网络应用中的定位

产品介绍

通过搭建Web环境来管理设备,同时想进一步熟悉其设置页面

登录Web设置页面”和“熟悉Web设置页面

通过Web设置页面来实现端口的基本功能,比如:端口属性、端口镜像、端口链路聚合等

端口管理

通过Web设置页面来实现设备的高级业务功能,比如:VLAN规划、管理MAC地址表、SNMP、信息中心等

设备管理

通过Web设置页面来实现设备及网络环境的安全性,比如:防攻击、802.1x等

安全专区

通过Web设置页面来设置系统相关信息,比如:软件升级、用户管理、保存和恢复配置等

系统管理

通过具体的举例来进一步理解设备的关键特性

典型配置举例

通过命令行来统一管理设备(推荐您使用简单易用的Web设置页面来进行管理,命令行相对会比较的复杂)

附录 - 命令行设置

定位或排除使用设备过程中遇到的问题

附录 - 故障排除

获取设备重要的缺省出厂配置信息

附录 - 缺省配置

 


2 产品介绍

本章节主要包含以下内容:

l              产品简介

l              业务特性

2.1  产品简介

H3C S2126T以太网交换机(以下简称S2126T)是H3C公司自主开发研制的二层以太网交换机产品,主要定位为企业网和城域网桌面接入级的百兆交换机。

S2126T提供24个10/100Base-TX自协商的以太网端口、2个千兆Combo口(即光口和电口复用)和一个Console口。

对于Combo口,光口(千兆SFP光模块接口)和电口(10/100/1000Base-T自适应以太网端口)不能同时使用。若同时使用,由于电口的优先级较高,电口有效,光口无效。

 

2.2  业务特性

表2-1 业务特性

项目

描述

VLAN

l      最多支持512个符合IEEE 802.1q标准的VLAN

l      最多支持26个基于端口的VLAN

QoS

l      支持802.1p、DSCP优先级

l      支持每端口4个优先级队列

l      支持WRR、HQ-WRR队列调度

端口

l      支持广播风暴抑制

l      支持端口流量控制

l      支持端口节能

端口汇聚

l      支持6组端口汇聚组、每组最多8个端口

l      支持手工和静态LACP汇聚

端口镜像

支持基于端口的镜像

端口统计

支持端口报文流量和类型的统计

端口限速

支持对出入端口的报文流量进行限速

端口监控

支持WEB图表方式监控流量

MAC地址表

l      支持MAC地址自动学习

l      支持手工设置MAC地址老化时间

l      最多支持8K MAC地址

组播

支持IGMP Snooping

STP

支持STP/RSTP

SNMP

支持SNMP代理

AAA

l      支持Local认证

l      支持Radius

设备管理

l      支持Web设置页面管理

l      支持Console口管理

l      支持Telnet远程管理

l      支持SNMP远程管理

l      支持管理PC控制

设备维护

l      支持调试信息输出

l      支持配置文件导入导出

l      支持Syslog(系统日志)

l      支持Ping

l      支持电缆诊断

设备IP地址分配

l      支持在管理VLAN接口上配置IP地址

l      支持在管理VLAN接口上通过DHCP方式获取IP地址

安全特性

l      支持isolate-user-vlan

l      支持高级用户密码保护

l      支持防MAC地址攻击

l      支持端口和MAC地址绑定

l      支持802.1x认证和计费

l      支持用户认证

l      支持系统CPU防攻击功能

 


3 登录Web设置页面

本章节主要包含以下内容:

l              准备工作

l              Web设置页面用户类型

l              登录S2126TWeb设置页面

3.1  准备工作

完成硬件安装后(安装过程可参见《H3C S2126T以太网交换机 快速入门》),在登录S2126T的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。

3.1.1  计算机要求

请确认管理计算机已安装了以太网卡。

3.1.2  建立网络连接

1. 设置管理计算机的IP地址(本地管理)

l    您需要将管理计算机的IP地址与S2126T的IP地址(缺省为192.168.0.234/255.255.255.0)设置在同一子网中。如果采用远程配置,请确保管理计算机和S2126T路由可达。

l    请确认S2126T的Http功能开启(缺省情况下开启Http服务器,具体配置请参见“10.13.5  1. 开启/关闭HTTP服务器”)。

l    请确认管理计算机能通过Http方式访问S2126T缺省情况下允许所有终端通过Http方式访问交换机,具体配置请参见“5.9  设置管理PC控制”或“10.13.6  设置管理PC控制”)。

l    请确认连接管理计算机进行Web设置的端口必须属于管理VLAN。缺省情况下,管理VLAN为VLAN 1,且S2126T的每个端口均属于VLAN 1。

l    下文以Windows XP系统为例进行介绍,文中所示界面为示意图,请以实际界面为准。

 

操作步骤如下:

(1)      单击屏幕左下角<开始>按钮进入[开始]菜单,选择[控制面板]。双击“网络连接”图标,再双击弹出的“本地连接”图标,弹出“本地连接 状态”窗口

(2)      单击<属性>按钮,进入“本地连接属性”窗口

(3)      选中“Internet协议(TCP/IP)”,单击<属性>按钮,进入“Internet协议(TCP/IP)属性”窗口。选择“使用下面的IP地址”单选按钮,输入IP地址(在192.168.0.1~192.168.0.254中选择除192.168.0.234之外的任意值)、子网掩码(255.255.255.0)及默认网关,确定后即可完成操作(此处假设S2126T当前使用缺省IP地址)

 

2. 确认管理计算机和S2126T之间的网络连通

操作步骤如下:

(1)      单击屏幕左下角<开始>按钮进入[开始]菜单,选择[运行],弹出“运行”对话框

(2)      输入“ping 192.168.0.234(此处是S2126T的IP地址)”,单击<确定>按钮。如果在弹出的对话框中显示了从S2126T侧返回的回应,则表示网络连通;否则请检查网络连接

 

 

3.1.3  取消代理服务器

如果当前管理计算机使用代理服务器访问因特网,则必须禁止代理服务,操作步骤如下:

(1)      在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口

(2)      选择“连接”页签,并单击<局域网(LAN)设置>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮

 

 

3.2  Web设置页面用户类型

S2126T Web设置页面有两种类型的用户:普通用户和管理员。

l              普通用户:您可以查看数据,但不能对S2126T进行任何配置。

l              管理员:您既可以查看数据,也可对S2126T进行功能配置。

您可通过“8.2.3  设置本地用户”来设置Web设置页面用户类型。

 

3.3  登录S2126TWeb设置页面

运行Web浏览器,在地址栏中输入http://192.168.0.234。回车后,输入用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。

图3-1 登录Web设置页面

 

为了安全起见,首次登录后,建议您修改缺省的登录密码,修改方法请参见“8.2.3  设置本地用户”。

 


4 熟悉Web设置页面

S2126T提供非常简便的Web设置页面,您可以通过该设置页面快速地完成所需功能的配置。本章将带领您先了解和熟悉Web设置页面。

本章节主要包含以下内容:

l              Web设置页面介绍

l              常用页面控件介绍

l              Web设置页面超时处理

4.1  Web设置页面介绍

成功登录后,进入Web设置页面,如图4-1所示。

图4-1 Web设置页面示意图

 

当您想要设置某项功能时,可以单击导航栏中的菜单项,并选择相应的页签,即可开始设置。

 

4.2  常用页面控件介绍

表4-1 常用页面控件介绍

控件

描述

文本框,用于输入文本

单选按钮,用于从多个选项中选择一项

复选框,用于选中指定的列表项。当您双击某复选框时,可选中所有的列表项

下拉列表框,用于选择相应的列表项

在“刷新速率”列表框中选择刷新频率后,页面的数据会自动根据该刷新频率进行更新

打开Web设置页面的在线帮助页面,提供当前页面操作时的帮助信息

提交输入的信息以及对当前系统提供信息的确认

取消当前的配置输入

新建当前页面的一个项目

选中当前页面的所有端口

刷新当前页面的配置

删除当前页面中所选择的项目

删除所对应的列表项

对指定的某些端口进行批量化配置

对指定的某些配置项进行批量化删除

删除所有当前页面已配置的项目

 

4.3  Web设置页面超时处理

当您长时间没有操作Web设置页面时,系统超时并将注销本次登录,并返回到Web设置登录对话框(如图3-1所示)。

Web设置页面的超时时间缺省为5分钟。如果您需要修改该超时时间,相关操作请参见“5.3  设置Web参数及Telnet用户认证方式”。

 


5 系统管理

本章节主要包含以下内容:

l              保存和恢复配置信息

l              查看和设置系统信息

l              设置Web参数及Telnet用户认证方式

l              设置系统时间

l              恢复缺省配置

l              重新启动S2126T

l              升级软件

l              故障维护

l              退出Web设置页面

5.1  保存和恢复配置信息

当您在设置页面上配置完所有项目后,请务必保存配置,否则未保存的配置信息会因为重新启动等操作而丢失。

 

页面向导:保存配置→保存配置

本页面为您提供如下主要功能:

l      单击<保存>按钮,确认后,您可保存当前S2126T的配置信息

l      单击<备份>按钮,选择配置文件备份路径后,您可将S2126T当前的配置保存到计算机,方便日后通过该文件(*.cfg)恢复配置

l      单击<浏览>按钮,选择之前备份过的文件(*.cfg),单击<恢复>按钮,确定后,您可将S2126T恢复到之前的配置(S2126T自动重新启动后,配置生效)

 

5.2  查看和设置系统信息

页面向导:系统管理→系统信息

本页面为您提供如下主要功能:

l      查看系统相关信息,例如:S2126T当前运行的软件版本、MAC地址、管理VLAN等

l      设置系统相关参数,例如:重新设置S2126T IP地址获取方式(静态设置或DHCP动态获取)、设置MAC地址老化时间等

 

页面中关键项的含义如下表所示。

表5-1 页面关键项描述

页面关键项

描述

软件版本/硬件版本/引导器版本

显示S2126T当前运行软件的版本号、硬件版本号及引导器版本号

说明:

页面中的软件版本信息仅作参考,请以S2126T加载软件版本后的最终显示为准

MAC地址

显示S2126T的MAC地址

运行时间

显示S2126T自上电后持续运行的时间

生产序列号

显示S2126T的生产序列号。同时,您可单击“条码防伪查询”链接登录到H3C网站验证产品的真伪

管理VLAN

显示S2126T管理VLAN ID

系统名称

自定义S2126T的设备名称,便于您通过该名称对设备进行快速地定位

DHCP获取地址

DHCP采用“客户端/服务器”通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。在DHCP的典型应用中,一般包含一台服务器和多台客户端(如PC和便携机)

如果您想让S2126T从网络上自动获取IP地址(若DHCP Server存在且网络正常连接),则可以开启DHCP Client功能

说明:

l      开启DHCP Client功能后,您需要通过Console口下的display ip命令来查看自动分配到的IP地址

l      关闭DHCP Client功能后,您需要手动设置S2126T的静态IP地址

本地IP地址

设置S2126T的静态IP地址

本地子网掩码

设置S2126T静态IP地址的子网掩码

网关IP地址

设置S2126T的网关IP地址

MAC地址老化时间

设置S2126T中动态MAC地址表项的老化时间

 

5.3  设置Web参数及Telnet用户认证方式

页面向导:系统管理→用户管理

本页面为您提供如下主要功能:

l      设置Web用户超时时间

l      开启/关闭Web登录验证码功能

l      管理Telnet用户登录

 

页面中关键项的含义如下表所示。

表5-2 页面关键项描述

页面关键项

描述

超时时间

设置Web设置页面的超时时间,缺省为5分钟

WEB登录验证码

当您关闭了Web登录验证码功能后,用户登录Web设置页面时则不再需要输入验证码

telnet管理

如果您想通过Telnet方式登录到S2126T进行命令行管理,则必须选中“开启”选项,并设置相应的认证方式,单击<确定>按钮生效

S2126T支持三种Telnet用户认证方式,如表5-3所示,您可以根据实际需求进行选择

 

表5-3 Telnet用户认证方式

认证方式

描述

none

不认证,即Telnet登录到S2126T时不提示验证,直接进入命令行管理

password

本地认证,即Telnet登录到S2126T时需要进行本地密码验证,验证成功后,方可进入命令行管理。最多允许创建2个Telnet用户(分别对应VTY0用户界面和VTY1用户界面)。用户创建后,您可尝试通过Telnet搭建来进行验证

说明:

l      您想创建1个Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“开启”,并设置Telnet用户登录密码,确认后即可完成创建

l      当您想删除已创建的Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“关闭”,确认后即可删除

l      当您想修改已创建Telnet用户的密码时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“修改密码”,并设置新密码,确认后即可完成修改

scheme

通过S2126T的AAA功能模块设置Telnet用户认证方案进行认证,相关操作请参见“8.2  设置AAA

 

5.4  设置系统时间

S2126T支持通过NTP服务器来自动获取系统时间和手工设置系统时间两种方式。

5.4.1  通过NTP服务器自动获取系统时间

NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。

使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟。

对于网络中的各台设备来说,如果单依靠管理员手工修改系统时间,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。

当S2126T通过NTP成功获取到系统时间后,该时间会根据您选择的时区做相应的调整。

页面向导:系统管理→系统时间

本页面为您提供如下主要功能:

l      选择时区,单击“服务器设置”单选按钮,并指定相应的NTP服务器IP地址,单击<确定>按钮生效

 

5.4.2  手工设置系统时间

手工设置的系统时间不会与其他设备进行同步。当交换机重新启动后,手工设置的系统时间会恢复为缺省值(2000年1月1日0时0分0秒)

页面向导:系统管理→系统时间

本页面为您提供如下主要功能:

l      选择时区,单击“手工配置日期和时间”单选按钮,设置具体的时间参数,单击<确定>按钮生效

 

5.5  恢复缺省配置

l    恢复出厂缺省配置后,当前的配置将会丢失。如果您希望保存当前配置信息,请进行备份

l    恢复出厂缺省配置的过程中,请您不要对S2126T进行其他操作,否则可能造成S2126T不能正常工作。

 

页面向导:系统管理→恢复缺省配置

本页面为您提供如下主要功能:

l      将S2126T恢复为出厂缺省配置(请慎用)

 

当您选择<恢复配置,但保留管理IP>按钮来恢复S2126T出厂缺省配置后,则可以继续使用当前的IP地址重新登录S2126T进行设置和管理;当您选择<恢复缺省配置>按钮,则需要使用缺省的IP地址重新登录S2126T进行设置和管理。

 

5.6  重新启动S2126T

重新启动S2126T之前,请您先保存当前配置。否则重新启动后,未保存的配置信息将会丢失。

 

页面向导:系统管理→重启动

本页面为您提供如下主要功能:

l      重新启动S2126T

 

5.7  升级软件

在升级过程中,请勿将S2126T断电。

 

页面向导:系统管理→软件升级

本页面为您提供如下主要功能:

l      将S2126T软件升级到最新版本,可使您的设备性能更稳定、功能更优越(单击<浏览>按钮,选择最新的版本文件,单击<确定>按钮,即可开始升级)

 

5.8  故障维护

页面向导:系统管理→故障维护

当S2126T运行出现异常时,您可以分别单击页面中的<故障收集>和<配置导出>按钮,确认后,S2126T可以自动把当前故障定位所需的各种信息及配置信息压缩成定位信息文件下载到本地。H3C技术支持人员可以根据该文件快速、准确地定位问题,从而可以更好地为您解决S2126T的使用问题。

5.9  设置管理PC控制

管理PC控制主要用于授权指定IP地址或者IP网段的主机按照特定的服务类型访问设备。

l    服务类型分为Telnet、Http和SNMP。
Telnet:是指可以通过支持Telnet协议的工具访问设备。
Http:是指可以通过Web管理页面访问设备。
SNMP:是指可以通过SNMP管理站访问设备。

l    如果不配置管理PC控制,所有路由可达的主机均可以通过Telnet、Http或SNMP方式连接并管理设备。

 

页面向导:系统管理→管理PC控制→管理PC控制

本页面为您提供如下主要功能:

l      显示所有管理PC的配置记录(主页面)

l      删除单条管理PC的配置记录(单击主页面上待删除记录后面的<删除>按钮生效)

l      批量删除管理PC的配置记录(在主页面勾选多条配置记录,单击<批量删除>按钮生效)

l      新建管理PC配置(单击主页面上的<新建>按钮,进入相应页面。输入起始IP地址、结束IP地址并且勾选服务类型,单击<确定>按钮生效)

l      修改管理PC配置(单击主页面上待修改管理PC的配置记录,进入相应页面。修改起始IP地址、结束IP地址或者重新勾选服务类型,单击<确定>按钮生效)

 

5.10  退出Web设置页面

如果您已经完成了所有配置项的设置以及保存操作,需要退出Web设置页面,可单击导航栏中的,确认后即可退出。

 


6 端口管理

本章节主要包含以下内容:

l              设置端口基本功能

l              设置链路聚合

l              诊断端口电缆

6.1  设置端口基本功能

6.1.1  设置端口属性

页面向导:端口管理→端口设置→端口设置

本页面为您提供如下主要功能:

l      显示S2126T当前端口的属性状态(主页面)

l      设置单个端口的属性(单击主页面上端口对应的表项,进入相应的设置页面)

l      批量地设置指定端口的属性(单击主页面上的<批量配置>按钮,进入相应的设置页面)

 

页面中关键项的含义如下表所示。

表6-1 页面关键项描述

页面关键项

描述

链接状态

端口的实际工作速率和模式,若未连接显示为“--”

速率/双工

端口的双工模式存在三种情况:

l      当您希望端口在发送报文的同时可以接收报文,可以将端口设置为全双工(full)属性;

l      当您希望端口同一时刻只能发送报文或接收报文时,可以将端口设置为半双工(half)属性;

l      当您设置端口为自协商(auto)状态时,端口的双工状态由本端口和对端端口自动协商而定

缺省情况下,端口的速率和双工模式均为自协商

优先级

端口的优先级别共0~7级,0为最低,7为最高

对于不带有802.1Q标签头的报文,S2126T将使用端口的优先级作为该端口接收报文的802.1p优先级,然后根据该优先级查找本地优先级映射表,为报文标记本地优先级

缺省情况下,端口的优先级为0

流控

当S2126T和对端交换机都开启了流量控制功能后,如果S2126T发生拥塞:

(1)      S2126T将向对端交换机发送流控帧,通知对端交换机暂时停止发送报文

(2)      对端交换机在接收到该流控帧后,将暂停向S2126T发送报文,从而避免了报文丢失现象的发生,保证了网络业务的正常运行

缺省情况下,端口流控处于关闭状态

开启/关闭

开启/关闭端口。如果某端口显示关闭,则不能转发数据

缺省情况下,端口处于开启状态

风暴抑制比

您可以在端口下设置其允许通过的最大广播/组播/未知单播报文流量。当端口上的广播/组播/未知单播流量超出您设置的值后,S2126T将丢弃超出广播/组播/未知单播流量限制的报文,从而使端口广播/组播/未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行

缺省情况下为100%,表示不抑制

隔离状态(隔离)

通过端口隔离特性,您可以将需要进行控制的端口加入到一个隔离组中(“开启”表示加入到隔离组;“关闭”表示退出隔离组),实现隔离组中的端口之间二层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案

缺省情况下,端口未加入到隔离组

说明:

l      只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口的通信不会受到影响

l      当聚合组中的某个端口加入或离开隔离组时,该聚合组中的其它端口,均会自动加入或离开该隔离组

l      当聚合组中的某个端口离开聚合组时,该聚合组中的其他端口仍将处于隔离组中,即该聚合组中端口的隔离属性不受影响

l      当未隔离端口加入到已隔离的聚合组时,该端口为自动加入隔离组

l      端口隔离特性与以太网端口所属的VLAN无关

 

6.1.2  设置本地端口镜像

端口镜像是将被镜像端口的报文复制一份到监控端口,监控端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到监控端口的报文,进行网络监控和故障排除。

S2126T提供本地端口镜像功能,即被镜像端口和监控端口在同一台设备上。

图6-1 本地端口镜像示意图

 

页面向导:端口管理→端口设置→端口镜像

本页面为您提供如下主要功能:

l      通过设置被镜像端口和监控端口实现S2126T本地端口镜像

 

页面中关键项的含义如下表所示。

表6-2 页面关键项描述

页面关键项

描述

监控端口(镜像端口)

选择监控端口,“不镜像”表明关闭S2126T的端口镜像功能

说明:

l      若某端口被设为监控端口后,不能再设置为被镜像端口

l      仅当您设置了监控端口后,才能设置被镜像端口

l      对于已加入某个汇聚组的端口不允许设置为监控端口

镜像方向

选择被镜像端口,“不镜像”表明该端口不被镜像

镜像方向含义如下:

l      镜像入端口:只有该端口接收的报文才被镜像到监控端口

l      镜像出端口:只有该端口发送的报文才被镜像到监控端口

l      镜像入和出端口:出入该端口的报文均被镜像到监控端口

 

6.1.3  端口统计

页面向导:端口管理→端口设置→端口统计

本页面为您提供如下主要功能:

l      查看S2126T各端口接收/发送的总数据包信息(主页面)

l      查看S2126T指定端口的接收/发送的各类错误包个数(单击主页面上端口对应的表项,即可进入相应的统计信息页面)

 

页面中关键项的含义如下表所示。

表6-3 页面关键项描述

页面关键项

描述

刷新速率

您可选择刷新速率来定时自动更新当前页面的统计数据

清零/统计清零

您可单击该按钮来清空当前页面的统计数据

刷新/统计刷新

您可单击该按钮来立即更新当前页面的统计数据

 

表6-4 端口接收/发送的数据包描述

报文

描述

接收统计

总数据包

接收报文的总数量

总字节数

接收报文的总字节数

广播包

接收广播报文的总数量

多播包

接收多播报文的总数量

接收错误包

接收错误报文的总数量

Runts错误包

CRC正确,且数据帧长度小于64字节的报文数量

Giants错误包

CRC正确,且数据帧长度大于1518字节的报文数量

CRC错误包

CRC错误,且数据帧长度处于64~1518字节的报文数量

Frame错误包

数据帧长度处于64~1518字节,且报文的FCS(帧校验序列)的字节数为非整数的报文数量

Aborts错误包

接收到的非法报文总数,非法报文包括:

l      报文碎片:长度小于64字节(长度可以为整数或非整数)且CRC校验错误的帧

l      jabber帧:大于1518或1522字节,且CRC校验错误(报文字节可以为整数或非整数)

l      符号错误帧:报文中至少包含1个错误的符号

l      长度错误帧:报文中802.3长度字段与报文实际长度(46~1500字节)不匹配

Ignored错误包

由于端口接收缓冲区不足等原因而丢弃的报文数量

发送统计

总数据包

发送报文的总数量

总字节数

发送报文的总字节数

广播包

发送广播报文的总数量

多播包

发送多播报文的总数量

发送错误包

发送错误报文的总数量

Aborts错误包

发送失败的报文总数,即报文已经开始发送,但由于各种原因(如冲突)而导致发送失败

Deferred错误包

第一次传输请求由于网络忙而延迟的报文数量

Collisions错误包

端口在报文传输过程中所产生冲突的报文数量

Late collisions错误包

延迟冲突帧的数量,延迟冲突帧是指帧的前512 bits已经被发送,由于检测到冲突,该帧被延迟发送

 

6.1.4  端口限速

端口限速是指基于端口的速率限制,它采用令牌桶进行报文流量的控制。令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。

端口限速支持入/出两个方向,为了方便描述,此处以出端口限速处理过程为例:

所有经由该端口发送的报文首先要经过令牌桶进行处理。当令牌桶中存有令牌时,报文可以根据该令牌进行发送;否则,报文将进入端口缓存进行拥塞管理。这样,就可以对通过该端口的报文流量进行控制,如图6-2所示。

图6-2 端口限速处理过程示意图

 

页面向导:端口管理→端口设置→端口限速

本页面为您提供如下主要功能:

l      查看S2126T各端口入/出端口限速状态(主页面。“--”表示未进行限速)

l      设置单个端口的入/出端口限速(单击主页面上端口对应的表项,进入相应的页面)

l      批量地设置指定端口的入/出端口限速(单击主页面上的<批量配置>按钮,进入相应的页面)

 

6.1.5  端口流量监控

用户通过端口流量监控,能够以图形的方式来监控设备每个端口的当前流量以及指定端口一段时间内的流量变化。

流量监控由流量监控柱状图和流量监控折线图组成:

l              流量监控柱状图:用柱状图来显示各端口当前接收速率和发送速率的状态。

l              流量监控折线图:用折线波动方式显示指定端口的一段时间内的流量变化。

流量监控柱状图的高度是当前端口接收/发送速率相对于流量上限的比重乘以柱状图的最大高度。

流量监控折线图中最多显示120个抽样点。

 

页面向导:端口管理→端口设置→流量监控

本页面为您提供如下主要功能:

l      通过速率柱状图监控端口流量

l      在“流量上限”下拉框中选择柱状图的上限值,便可观察各端口接收/发送速率相对于该上限值所占的比重,当比重超过95%,柱状图边框会有红色预警

l      在“抽样间隔”下拉框中选择时间间隔,便可使页面按照该时间间隔刷新

l      鼠标滑到某端口柱状图上,便可出现黄色文本框,显示端口号,接收速率和发送速率。单击该柱状图,便可观察该端口速率折线图

l      单击页面上的<停止监控>按钮,流量监控暂停;单击<恢复监控>按钮,流量监控功能恢复

l      通过速率折线图监控端口流量

l      单击柱状图中的端口号或在“端口号”下拉框中选择指定的端口,便可实时观察该端口的速率变化

l      折线图底部显示接收速率和发送速率的当前值,峰值和均值

 

6.2  设置链路聚合

6.2.1  链路聚合简介

1. 链路聚合的作用

链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。

链路聚合可以实现出负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。

图6-3所示,Device A与Device B之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路Link aggregation 1,这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。

图6-3 链路聚合示意图

 

2. 链路聚合的基本概念

(1)        聚合组

聚合组是一组以太网端口的集合。聚合组是随着聚合端口的创建而自动生成的,其编号与聚合端口编号相同。

聚合组中的成员端口在稳定时有下面两种状态:

l              Selected状态:处于此状态的端口可以参与转发用户业务流量;在一个聚合组中,处于Selected状态的端口中的最小端口是聚合组的主端口,其他的作为成员端口。

l              Standby状态:处于此状态的端口不能转发用户业务流量。

在聚合过程中可能会有短暂的unselected状态,只是一个中间状态,可以不关心。

聚合端口的速率、双工状态由其Selected成员端口决定:聚合端口的速率是Selected成员端口的速率之和,聚合端口的双工状态与Selected成员端口的双工状态一致。

(2)        LACP协议

基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU与对端交互信息。

启动某端口的LACP协议后,该端口将通过发送LACPDU向对端通告自己的系统LACP优先级、系统MAC、端口优先级、端口号和操作Key。对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组达成一致。

操作Key是在链路聚合时,聚合控制根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。

 

6.2.2  链路聚合模式

S2126T支持以下两种链路聚合模式:

l              手工聚合

l              静态LACP聚合

链路聚合后,成员端口的基本配置和主端口的基本配置保持一致,即在同一个汇聚组中,能进行出/入负荷分担的成员端口具有相同的基本配置。基本配置包括:

l              STP配置一致,包括:端口的STP开启/关闭、STP优先级、STP开销、是否开启环路保护和根保护、是否为边缘端口等。

l              QoS配置一致。

l              VLAN配置一致,包括:端口上允许通过的VLAN、端口缺省VLAN ID。

l              端口的链路类型一致。

1. 手工聚合

(1)        手工聚合简介

手工聚合由用户手工配置,不允许系统自动添加或删除聚合组中的端口。聚合组中必须至少包含一个端口。

手工聚合端口的LACP协议处于关闭状态。

(2)        手工聚合组中的端口状态

在手工聚合组中,加入到聚合组中的端口将处于Selected状态。

手工聚合时,系统对端口的速率和双工设置未作限制。

 

2. 静态LACP聚合

(1)        静态LACP聚合简介

静态LACP模式由用户手工配置,不允许系统自动添加或删除聚合组中的端口。

静态LACP聚合端口的LACP协议为开启状态。

(2)        静态LACP聚合组中的端口状态

在静态聚合组中,系统按照以下原则设置端口处于Selected或者Standby状态:

l              当聚合组内有处于up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口作为该组的主端口。只有与主端口的速率、双工属性和链路状态一致的端口才允许成为Selected状态,其他端口均处于Standby状态。

l              与处于Selected状态的最小端口所连接的对端设备不同,或者连接的是同一个对端设备但端口在不同的聚合组内的将处于Standby状态。

l              因存在硬件限制而无法与主端口聚合的端口将处于Standby状态。

l              与主端口基本配置不同的端口将处于Standby状态。

6.2.3  设置链路聚合

对于处于以下情况的端口不能加入聚合组:

l    开启了802.1x功能的端口

l    镜像监控端口

l    开启了MAC地址过功能的端口

 

页面向导:端口管理→链路聚合→链路聚合

本页面为您提供如下主要功能:

l      查看当前的链路聚合状态及设置聚合算法(主页面)

l      创建新的链路聚合,有手工和静态LACP两种模式供您选择(单击主页面上的<新建>按钮,进入相应的页面)

l      修改已创建的链路聚合(选中主页面上的某表项,双击它或单击<修改>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表6-5 页面关键项描述

页面关键项

描述

聚合算法

端口汇聚一般有三种物理链路的分配算法:

l      基于源MAC地址:表示汇聚组中各成员端口根据源MAC地址进行负荷分担

l      基于目的MAC地址:表示汇聚组中各成员端口根据目的MAC地址进行负荷分担

l      基于源MAC地址和目的MAC地址:表示汇聚组中各成员端口根据源MAC地址和目的MAC地址进行负荷分担

缺省情况下,S2126T汇聚组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担

 

6.2.4  设置LACP参数

1. 设置端口LACP参数

页面向导:端口管理→链路聚合→LACP端口设置

本页面为您提供如下主要功能:

l      显示当前所有端口的LACP参数状态(主页面)

l      设置单个端口的LACP参数(单击主页面上端口对应的表项,进入相应的页面)

l      批量地设置指定端口的LACP参数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表6-6 页面关键项描述

页面关键项

描述

优先级(LACP端口优先级)

缺省情况下,LACP端口优先级为32768

聚合组

端口所属的聚合组,“--”表示该端口未加入聚合组

 

2. 设置全局LACP参数

页面向导:端口管理→链路聚合→LACP全局设置

本页面为您提供如下主要功能:

l      设置系统LACP优先级,缺省为32768

 

6.3  诊断端口电缆

在电缆诊断过程中,请不要插拔端口网线。

 

页面向导:端口管理→电缆诊断→电缆诊断

本页面为您提供如下主要功能:

l      当线路出现故障时,您可对端口所连接的电缆进行诊断,便于您检查网络中电缆的工作情况(在“端口”文本框中输入需要诊断的端口号,单击<确定>按钮,即可完成该端口的电缆诊断)

 

诊断结果说明如下表所示。

表6-7 诊断结果描述

诊断信息

描述

状态

显示端口的连接状态

说明:

显示为“正常”表明端口已连接;显示为“开路”表明端口未连接;显示为“短路”表明某对差分线发生了短路

长度

l      当电缆状态为“正常”时,显示信息中不体现连接电缆的长度

l      当电缆状态为“短路”时,显示信息中的长度是指从本接口到异常位置的长度

 


7 设备管理

本章节主要包含以下内容:

l              设置VLAN

l              置Isolate-user-vlan

l              管理MAC地址表及设置MAC地址过滤

l              设置QoS

l              设置STP

l              设置IGMP Snooping

l              设置SNMP

l              设置信息中心

7.1  设置VLAN

7.1.1  VLAN简介

1. VLAN概述

传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:

l              HUB是物理层设备,没有交换功能,接收到的报文会向除接收端口外的所有端口转发;

l              交换机是数据链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除接收端口之外的所有端口转发。

上述情况会造成以下的网络问题:

l              网络中可能存在着大量广播和未知单播报文,浪费网络资源。

l              网络中的主机收到大量并非以自身为目的地的报文,引起了严重的安全隐患。

解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器,因为路由器是依据目的IP地址对报文进行转发,不会转发链路层的广播报文。但是路由器的成本较高,而且端口较少,无法细致地划分网络,所以使用路由器隔离广播域有很大的局限性。

为了解决以太网交换机在局域网中无法限制广播的问题,VLAN技术应运而生。

VLAN的组成不受物理位置的限制,因此同一VLAN内的主机也无须放置在同一物理空间里。

图7-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。同一VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互,而处在不同VLAN内的主机之间如果需要通信,则必须通过路由器或三层交换机等网络层设备才能够实现。

图7-1 VLAN组网示意图

 

2. VLAN的优点

与传统以太网相比,VLAN具有如下的优点:

l              控制广播域的范围:局域网内的广播报文被限制在VLAN内,节省了带宽,提高了网络处理能力。

l              增强了LAN的安全性:由于报文在数据链路层被VLAN划分的广播域所隔离,因此各个VLAN内的主机间不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。

l              灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。

3. VLAN功能模式

S2126T支持以下两种VLAN功能模式:

l              802.1Q VLAN模式:由IEEE 802.1Q协议定义,通过识别报文中的Tag标记(包括802.1p优先级和VLAN ID等信息)来对报文进行处理。

l              基于端口的VLAN模式:根据端口所属的用户组来对报文进行处理,即属于同一个用户组的端口能互相通信,不同用户组的端口二层隔离。比如:一台网络服务器供4个用户访问使用,用户1和其他三个用户能互通但其他三个用户之间均隔离。此时,您就可以通过此模式来划分不同的用户组进行实现,即将用户1分别和其他三个用户划分到不同的用户组。

7.1.2  选择VLAN功能模式

VLAN功能模式改变之后,之前所做的VLAN配置将丢失。

 

页面向导:设备管理→VLAN设置→高级

本页面为您提供如下主要功能:

l      选择S2126T的VLAN功能模式(缺省情况下,VLAN功能模式为802.1Q VLAN)

 

7.1.3  设置802.1Q VLAN模式下的功能

您需要先将S2126T的VLAN功能模式设置为802.1Q VLAN模式,相关操作请参见“7.1.2  选择VLAN功能模式”。

 

1. 简介

(1)        VLAN Tag

为使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,识别字段需要添加到数据链路层封装中。

IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN Tag的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图7-2所示。

图7-2 传统以太网帧封装格式

 

其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文上层协议的类型字段,Data表示报文的具体内容。

IEEE 802.1Q协议规定,在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。

图7-3 VLAN Tag的组成字段

 

图7-3所示,VLAN Tag包含四个字段,分别是TPID、Priority、CFI和VLAN ID。

l              TPID:用来标识本数据帧是带有VLAN Tag的数据帧。该字段长度为16bit,缺省取值为协议规定的0x8100。

l              Priority:用来表示802.1p的优先级。该字段长度为3bit。

l              CFI:用来标识MAC地址是否以标准格式进行封装。该字段长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。

l              VLAN ID:用来标识该报文所属VLAN的编号。该字段长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。

(2)        端口链路类型

S2126T支持的端口链路类型有三种:

l              Access:端口只能属于1个VLAN,一般用于连接用户设备。缺省情况下,所有端口都属于Access端口;

l              Trunk:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于网络设备之间连接;

l              Hybrid:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。

Hybrid端口和Trunk端口的不同之处在于:

l              Hybrid端口允许多个VLAN的报文发送时不带Tag标签;

l              Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。

缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。

l              Access端口的缺省VLAN就是它所属的VLAN;

l              Trunk端口和Hybrid端口属于多个VLAN,需要配置缺省VLAN。

三种类型的端口可以共存在一台S2126T上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:将Trunk切换为Hybrid端口时,需要先将Trunk端口设置为Access端口,再设置为Hybrid端口。

 

在配置了端口链路类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参见下表。

表7-1 端口收发报文的处理

端口类型

对接收报文的处理

对发送报文的处理

当接收到的报文不带Tag时

当接收到的报文带有Tag时

Access

为报文打上端口缺省VLAN ID所对应的VLAN Tag

l      当报文VLAN ID与端口缺省VLAN ID相同时,接收该报文

l      当报文VLAN ID与端口缺省VLAN ID不同时,丢弃该报文

删除报文的Tag后再转发

Trunk

对比端口缺省VLAN ID是否在允许通过的VLAN ID中:是,给报文打上端口缺省VLAN ID所对应的VLAN Tag;否,丢弃该报文

l      当报文VLAN ID在允许通过的VLAN ID中时,则接收该报文

l      当报文VLAN ID不在允许通过的VLAN ID中时,则丢弃该报文

l      当报文VLAN ID与端口缺省VLAN ID相同时:去掉Tag,发送该报文

l      当报文VLAN ID与端口缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文

Hybrid

当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过“4. 设置Hybrid端口”配置端口在发送该VLAN的报文时是否携带Tag

 

2. 创建/显示/维护VLAN

页面向导:设备管理→VLAN设置→802.1Q VLAN

本页面为您提供如下主要功能:

l      显示和查询S2126T的VLAN信息及其所包含的端口(主页面。VLAN 1缺省包含所有的端口)

l      新建VLAN(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入所需创建的VLAN,单击<确定>按钮生效)

l      新建Access端口(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入VLAN,并选择需要加入该VLAN的端口,单击<确定>按钮生效)

l      修改VLAN中的Access端口(单击主页面上VLAN对应的表项,进入相应的页面。重新指定需要加入该VLAN中端口,单击<确定>按钮生效)

 

3. 设置Trunk端口

页面向导:设备管理→VLAN设置→Trunk端口

本页面为您提供如下主要功能:

l      显示S2126T当前的Trunk端口信息(主页面)

l      新建Trunk端口(单击主页面上的<新建>按钮,进入相应的页面。指定Trunk端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效)

l      修改Trunk端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效)

 

端口缺省VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。

 

4. 设置Hybrid端口

页面向导:设备管理→VLAN设置→Hybrid端口

本页面为您提供如下主要功能:

l      显示S2126T当前的Hybrid端口信息(主页面)

l      新建Hybrid端口(单击主页面上的<新建>按钮,进入相应的页面。指定Hybrid端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效)

l      修改Hybrid端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效)

 

l    在“Tagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文带VLAN Tag;在“Untagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文不带VLAN Tag。

l    端口缺省的VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。

 

7.1.4  设置基于端口VLAN模式下的功能

您需要先将S2126T的VLAN功能模式设置为基于端口VLAN模式,相关操作请参见“7.1.2  选择VLAN功能模式”。

 

页面向导:设备管理→VLAN设置→基于端口VLAN

本页面为您提供如下主要功能:

l      显示和查询S2126T当前的用户组信息(主页面)

l      新建用户组(单击主页面上的<新建>按钮,进入相应的页面。设置用户组ID,即VLAN ID,并根据实际需求选择需要加入该用户组的端口,单击<确定>按钮生效)

l      修改用户组(单击主页面上VLAN对应的表项,进入相应的页面。修改需要加入该用户组的端口,单击<确定>按钮生效)

 

7.1.5  VLAN自动设置

VLAN自动设置功能主要是配合H3C提供的VLAN设置工具使用的。当S2126T的VLAN自动设置功能开启后,您可以通过VLAN设置工具来设置并获取酒店房间与S2126T端口的对应关系,便于排查酒店布线结构。

l    VLAN自动设置功能只允许在802.1Q VLAN模式下操作。

l    您可以在H3C网站下载VLAN设置工具,具体的操作请参见“11 附录 - VLAN设置工具”。

 

页面向导:设备管理→VLAN设置→VLAN自动设置

本页面为您提供如下主要功能:

l      开启/关闭S2126T的VLAN自动设置功能、显示端口对应的房间号

 

页面中关键项的含义如下表所示。

表7-2 页面关键项描述

页面关键项

描述

VLAN自动设置功能

选择开启/关闭VLAN自动设置功能。仅当该功能开启后,您才可以通过酒店VLAN设置工具进行设置

缺省情况下,VLAN自动设置功能处于关闭状态

端口描述

显示端口对应的房间号。当您通过酒店VLAN设置工具进行设置后,端口描述将显示为“room+房间号”

缺省情况下,端口描述显示为“port+端口号”

 

7.2  设置Isolate-user-vlan

7.2.1  Isolate-user-vlan产生背景

在园区网中,基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户互相二层隔离。VLAN是天然的隔离手段,于是很自然的想法是每个用户一个VLAN。如图7-4所示,Switch B和Switch C上分别接入三个用户,如果给每个用户划分一个VLAN,则需要占用Device A上的六个VLAN资源。

图7-4 扁平的网络组网图

 

根据IEEE 802.1Q协议规定,设备最大可使用VLAN资源为4094个。对于核心层设备来说,如果每个用户一个VLAN,4094个VLAN远远不够。为解决VLAN资源紧缺的问题,Isolate-user-vlan应运而生。

支持Isolate-user-vlan功能后,可以将图7-4中的用户所在的VLAN(VLAN 10~15)配置为Secondary VLAN,将VLAN 2和VLAN 3配置为Isolate-user-vlan(如图7-5)。这样,Device A上只需配置VLAN 2和VLAN 3,节省了四个VLAN资源。

图7-5 Isolate-user-vlan功能示意图

 

7.2.2  Isolate-user-vlan技术优点及应用场景

Isolate-user-vlan采用二层VLAN结构,它在同一台设备上设置Isolate-user-vlan和Secondary VLAN两类VLAN。

l              Isolate-user-vlan用于上行,不同的Secondary VLAN关联到同一个Isolate-user-vlan。上行连接的设备只知道Isolate-user-vlan,而不必关心Secondary VLAN,简化了网络配置,节省了VLAN资源。

l              Secondary VLAN用于连接用户,Secondary VLAN之间二层报文互相隔离。

l              一个Isolate-user-vlan可以和多个Secondary VLAN相对应。Isolate-user-vlan下面的Secondary VLAN对上行设备不可见。

Isolate-user-vlan主要应用在在园区网或企业网接入中,实现二层报文隔离的同时节省VLAN资源。

7.2.3  Isolate-user-vlan技术特性

1. Isolate-user-vlan配置同步

配置Isolate-user-vlan功能后,系统会自动对Isolate-user-vlan和Secondary VLAN所包含的端口进行配置同步。

l              对于上行端口,会将端口类型修改为Hybrid,并允许来自Secondary VLAN的报文以untagged方式通过。

l              对于下行端口,会将端口类型修改为Hybrid,并允许来自Isolate-user-vlan的报文以untagged方式通过。

2. Isolate-user-vlanMAC地址同步

Secondary VLANIsolate-user-vlan的同步,即下行端口在Secondary VLAN内学习到的动态MAC地址都同步至Isolate-user-vlan内。

7.2.4  Isolate-user-vlan设置步骤

Isolate-user-vlan设置主要包括三个步骤:

(1)        设置Isolate-user-vlan。

(2)        设置Secondary VLAN。

(3)        设置Isolate-user-vlan和Secondary VLAN间的映射关系。

l    不允许VLAN1、设置Guest VLAN或开启IGMP Snooping功能的VLAN为Isolate-user-vlan或Secondary VLAN。

l    不允许设置存在Trunk端口的VLAN为Isolate-user-vlan或Secondary VLAN。

 

7.2.5  设置Isolate-user-vlan

1. 创建/删除/显示Isolate-user-vlan

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN配置

本页面为您提供如下主要功能:

l      创建Isolate-user-vlan(选中“创建Isolate user vlan”单选框,并输入相应的VLAN值,单击<创建>按钮生效)

l      删除Isolate-user-vlan(选中“删除Isolate user vlan”单选框,并选择需要删除的列表项,单击<删除>按钮生效)

l      显示Isolate-user-vlan和Secondary VLAN的设置状态

 

2. Isolate-user-vlan中添加指定端口

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN端口配置

本页面为您提供如下主要功能:

l      在Isolate-user-vlan中添加指定端口(选择已创建的Isolate-user-vlan,并指定相应的端口,单击<确定>按钮生效)

 

7.2.6  设置Secondary VLAN

1. 创建/删除Secondary VLAN

页面向导:设备管理→VLAN设置→802.1Q VLAN

相关操作请参见“7.1.3  2. 创建/显示/维护VLAN”。

2. 在Secondary VLAN中添加指定端口

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN端口配置

本页面为您提供如下主要功能:

l      在Secondary VLAN中添加指定端口(选择已创建的Secondary VLAN,并指定相应的端口,单击<确定>按钮生效)

 

7.2.7  设置Isolate-user-vlan和Secondary VLAN间的映射关系

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN关联配置

本页面为您提供如下主要功能:

l      建立Isolate-user-vlan和Secondary VLAN关联(选择相应的Isolate-user-vlan,并在列表框中选中需建立关联的Secondary VLAN,单击<建立关联>按钮生效)

l      解除Isolate-user-vlan和Secondary VLAN关联(选择相应的Isolate-user-vlan,并在列表框中选中需解除关联的Secondary VLAN,单击<解除关联>按钮生效)

 

7.3  管理MAC地址表及设置MAC地址过滤

S2126T支持以下三种类型的MAC地址表项:

l              静态:手动添加,且该MAC地址表项不会被老化。当您添加后,该表项即为“已绑定”状态(组播MAC地址表项不支持绑定操作)。

l              动态:自动学习或手动添加,且该MAC地址表项会被老化。当您添加后,该表项处于“未绑定”状态;如果您对其执行了绑定操作,即成为静态表项(组播MAC地址表项不支持绑定操作)。

l              黑洞:手动添加,所有目的地址为该MAC地址的报文都会被丢弃(比如,处于安全考虑,可以屏蔽某个用户接收报文),且不支持绑定操作。

当您开启了指定端口的MAC地址过滤功后,S2126T会根据该端口下处于“绑定”状态的表项对报文进行过滤(即系统会丢弃和绑定表项不匹配的报文),从而可以有效地控制网络访问。

 

7.3.1  全局管理MAC地址表信息

页面向导:设备管理→MAC设置→MAC显示

本页面为您提供如下主要功能:

l      显示和查询(通过MAC地址和VLAN的条件组合)设备所有的MAC地址表项信息(主页面)

l      将指定的MAC地址表项进行绑定(选中主页面中需要绑定的表项,单击<绑定>按钮生效)

l      添加新的MAC地址表项(单击主页面中的<添加>按钮,在弹出的对话框中设置MAC地址表项相关参数,单击<确认>按钮生效)

l      修改静态或黑洞MAC地址表项(单击主页面中的相应MAC地址表项,即可对该表项进行修改操作)

 

7.3.2  在端口下管理MAC地址表信息

页面向导:设备管理→MAC设置→端口MAC显示

本页面为您提供如下主要功能:

l      显示指定端口下的MAC地址表项信息(主页面)

l      将端口下未绑定的MAC地址表项进行绑定(选择相应的端口号,并选中该端口下未绑定的MAC地址表项,单击<绑定>按钮生效)

l      修改端口下的静态或黑洞MAC地址表项(单击端口下相应的MAC地址表项,即可对该表项进行修改操作)

 

7.3.3  设置MAC地址过滤

页面向导:设备管理→MAC设置→端口MAC过滤

本页面为您提供如下主要功能:

l      显示各端口MAC地址过滤功能状态(主页面)

l      开启指定端口的MAC地址过滤功能(单击主页面上端口对应的表项,选中“MAC过滤使能”复选框,单击<确定>按钮生效)

l      添加指定端口的静态MAC地址表项(单击主页面上端口对应的表项,在“MAC地址”和“VLAN”文本框中输入相应的参数后,单击<添加>按钮生效)

 

7.4  设置QoS

S2126T支持简单的QoS功能,在网络拥塞发生时,系统会根据您设置的报文优先级信任模式和队列调度算法来控制报文的转发次序。

7.4.1  报文优先级信任模式简介

S2126T支持两种报文优先级信任:802.1p优先级(COS)和DSCP。S2126T会根据您选择的信任优先级将报文映射到指定的队列(共支持4个队列,队列1为最低优先级,队列4为最高优先级)。

1. 802.1p优先级

802.1p优先级位于二层报文头部,适用于不需要分析三层报文头,而需要在二层环境下保证QoS的场合。

图7-6 带有802.1Q标签头的以太网帧

 

图7-6所示,4个字节的802.1Q标签头包含了2个字节的TPID和2个字节的TCI,图7-7显示了802.1Q标签头的详细内容。

图7-7 802.1Q标签头

 

图7-7所示,TCI中Priority字段就是802.1p优先级,也称为CoS优先级。它由3个bit组成,取值范围为0~7。

表7-3 802.1p优先级说明

802.1p优先级(十进制)

802.1p优先级(二进制)

关键字

0

000

best-effort

1

001

background

2

010

spare

3

011

excellent-effort

4

100

controlled-load

5

101

video

6

110

voice

7

111

network-management

 

表7-4 802.1p优先级与队列的映射关系

802.1p优先级

队列

1、2

1

0、3

2

4、5

3

6、7

4

 

2. DSCP优先级

图7-8 DS域和ToS字节

 

RFC2474重新定义了IP报文头部的ToS域,称之为DS域,其中DSCP优先级用该域的前6个bit(0~5bit)表示,取值范围为0~63,后2个bit(6、7bit)是保留位。

表7-5 DSCP优先级说明

DSCP优先级(十进制)

DSCP优先级(二进制)

关键字

46

101110

ef

10

001010

af11

12

001100

af12

14

001110

af13

18

010010

af21

20

010100

af22

22

010110

af23

26

011010

af31

28

011100

af32

30

011110

af33

34

100010

af41

36

100100

af42

38

100110

af43

8

001000

cs1

16

010000

cs2

24

011000

cs3

32

100000

cs4

40

101000

cs5

48

110000

cs6

56

111000

cs7

0

000000

be(default)

 

表7-6 DSCP优先级与队列的映射关系

DSCP优先级

队列

0~15

1

16~31

2

32~47

3

48~63

4

 

7.4.2  队列调度简介

S2126T支持两种队列调算法:WRR和HQ-WRR。

HQ-WRR队列调度算法:建立在WRR的基础上,当4个队列占用的带宽超过了端口的转发能力,设备首先保证高优先级队列的报文优先转发出去,然后对其余3个队列实行WRR调度。下面仅以WRR队列调度为例进行描述。

 

图7-9 WRR队列调度示意图

 

WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。

以端口有4个输出队列为例,WRR可为每个队列配置一个加权值(queue4~queue1对应的加权值依次为w4、w3、w2、w1)。对于一个100M的端口,如果配置它的WRR队列调度算法的加权值为8、4、2、1(依次对应w4、w3、w2、w1),这样可以保证最低优先级队列至少获得100Mbps*1/(8+4+2+1)的带宽,避免了低优先级队列中的报文可能长时间得不到服务的缺点。

7.4.3  设置报文优先级信任及队列调度

页面向导:设备管理→QoS设置→QoS

本页面为您提供如下主要功能:

l      设置S2126T报文优先级信任模式和队列调度算法

 

页面中关键项的含义如下表所示。

表7-7 页面关键项描述

页面关键项

描述

 

优先级类型选择

选择报文优先级信任模式

l      COS:根据802.1p优先级将报文放入对应优先级的端口输出队列

l      DSCP:根据DSCP优先级将报文放入对应优先级的端口输出队列

缺省情况下,S2126T根据802.1p优先级将报文放入对应优先级的端口输出队列

 

调度模式

选择队列调度模式

缺省情况下,S2126T采用WRR调度算法

举例:若队列1、队列2、队列3、队列4的权重比为1:2:4:8,且队列调度模式为WRR。那么,队列1、2、3、4的数据报文在某个端口发生拥塞的时,该端口会按照1:2:4:8的流量比例来发送报文;如果调度模式选择为HQ-WRR,S2126T会首先保证队列4的报文优先发送出去,然后对其余3个队列实行WRR调度

 

权重

设置队列的优先级权重

 

7.5  设置STP

S2126T支持STP和RSTP两种模式来消除数据链路层物理环路。

7.5.1  STP简介

1. STP的用途

STP是根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。

STP包含了两个含义,狭义的STP是指IEEE 802.1D中定义的STP协议,广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议(如RSTP协议)。

2. STP的协议报文

STP采用的协议报文是BPDU,也称为配置消息。

STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程。

BPDU在STP协议中分为两类:

l              配置BPDU:用于进行生成树计算和维护生成树拓扑的报文。

l              TCN BPDU:当拓扑结构发生变化时,用于通知相关设备网络拓扑结构发生变化的报文。

3. STP的基本概念

(1)        根桥

树形的网络结构,必须要有树根,于是STP引入了根桥(Root Bridge)的概念。

根桥在全网中只有一个,而且根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的。

(2)        路径开销

路径开销是STP协议用于选择链路的参考值。STP协议通过计算路径开销,选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构。

(3)        端口角色

l              Root(根端口):负责向根桥方向转发数据的端口。

l              Designated(指定端口):负责向下游网段或交换机转发数据的端口。

l              Blocking(阻塞端口):被对方的指定端口抑制的端口。

(4)        端口状态

l              Forwarding:该状态下的端口可收发BPDU,也转发用户流量。

l              Learning:这是一种过渡状态。在这种状态下,设备会根据收到的用户流量(但仍然不转发流量)构建MAC地址表。

l              Listening:这是一种过渡状态。在这种状态下,完成根桥、根端口和指定端口的选择。

l              Blocking:仅接收并处理BPDU报文,不转发用户流量。

l              Disabled:STP处于关闭状态或物理链路断路。

4. STP的基本原理

STP通过在设备之间传递BPDU来确定网络的拓扑结构。配置消息中包含了足够的信息来保证设备完成生成树的计算过程,其中包含的几个重要信息如下:

l              根桥ID:由根桥的优先级和MAC地址组成;

l              根路径开销:到根桥的最短路径开销;

l              指定桥ID:由指定桥的优先级和MAC地址组成;

l              指定端口ID:由指定端口的优先级和端口名称组成;

l              Message Age:配置消息在网络中传播的生存期;

l              Max Age:配置消息在交换机中能够保存的最大生存期;

l              Hello Time:配置消息发送的周期;

l              Forward Delay:端口状态迁移的延时。

为描述方便,在下面的描述及举例中仅考虑配置消息的其中四项内容:

l    根桥ID(以设备的优先级表示);

l    根路径开销;

l    指定桥ID(以设备的优先级表示);

l    指定端口ID(以端口名称表示)。

 

(1)        STP算法实现的具体过程

l              初始状态

各台设备在初始时会生成以自己为根桥的BPDU报文消息,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口。

l              最优配置消息的选择

各台设备都向外发送自己的配置消息,同时也会收到其他设备发送的配置消息。

最优配置消息的选择过程如表7-8所示。

表7-8 最优配置消息的选择过程

步骤

内容

1

每个端口收到配置消息后的处理过程如下:

l      当端口收到的配置消息比本端口配置消息的优先级低时,设备会将接收到的配置消息丢弃,对该端口的配置消息不作任何处理

l      当端口收到的配置消息比本端口配置消息的优先级高时,设备就用接收到的配置消息中的内容替换该端口的配置消息中的内容

2

设备将所有端口的配置消息进行比较,选出最优的配置消息

 

配置消息的比较原则如下:

l    根桥ID较小的配置消息优先级高;

l    若根桥ID相同,则比较根路径开销,比较方法为:用配置消息中的根路径开销加上本端口对应的路径开销,假设两者之和为S,则S较小的配置消息优先级较高;

l    若根路径开销也相同,则依次比较以下配置消息优先级,优先级较高的为根桥:指定桥ID、指定端口ID、接收该配置消息的端口ID等。

 

l              根桥的选择

网络初始化时,网络中所有的STP设备都认为自己是“根桥”,根桥ID为自身的桥ID。通过交换配置消息,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥。

l              根端口、指定端口的选择

根端口、指定端口的选择过程如表7-9所示。

表7-9 根端口和指定端口的选择过程

步骤

内容

1

非根桥设备将接收最优配置消息的那个端口定为根端口

2

设备根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息:

l      根桥ID替换为根端口的配置消息的根桥ID

l      根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销

l      指定桥ID替换为自身设备的ID

l      指定端口ID替换为自身端口ID

3

设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较,并根据比较结果进行不同的处理:

l      如果计算出来的配置消息优,则设备就将该端口定为指定端口,端口上的配置消息被计算出来的配置消息替换,并周期性向外发送

l      如果端口上的配置消息优,则设备不更新该端口配置消息并将此端口阻塞,该端口将不再转发数据,只接收但不发送配置消息

 

在拓扑稳定状态,只有根端口和指定端口转发流量,其他的端口都处于阻塞状态,它们只接收STP协议报文而不转发用户流量。

 

一旦根桥、根端口、指定端口选举成功,则整个树形拓扑就建立完毕了。

下面结合例子说明STP算法的计算过程。具体的组网如图7-10所示,Device A的优先级为0,Device B的优先级为1,Device C的优先级为2,各个链路的路径开销分别为5、10、4。

图7-10 STP算法计算过程组网图

 

l              各台设备的初始状态

各台设备的初始状态如表7-10所示。

表7-10 各台设备的初始状态

设备

端口名称

端口的配置消息

Device A

AP1

{0,0,0,AP1}

AP2

{0,0,0,AP2}

Device B

BP1

{1,0,1,BP1}

BP2

{1,0,1,BP2}

Device C

CP1

{2,0,2,CP1}

CP2

{2,0,2,CP2}

 

l              各台设备的比较过程及结果

各台设备的比较过程及结果如表7-11所示。

表7-11 各台设备的比较过程及结果

设备

比较过程

比较后端口的配置消息

Device A

l      端口AP1收到Device B的配置消息{1,0,1,BP1},Device A发现本端口的配置消息{0,0,0,AP1}优于接收到的配置消息,就把接收到的配置消息丢弃

l      端口AP2收到Device C的配置消息{2,0,2,CP1},Device A发现本端口的配置消息{0,0,0,AP2}优于接收到的配置消息,就把接收到的配置消息丢弃

l      Device A发现自己各个端口的配置消息中根桥和指定桥都是自己,则认为自己是根桥,各个端口的配置消息都不作任何修改,以后周期性的向外发送配置消息

AP1:{0,0,0,AP1}

AP2:{0,0,0,AP2}

Device B

l      端口BP1收到来自Device A的配置消息{0,0,0,AP1},Device B发现接收到的配置消息优于本端口的配置消息{1,0,1,BP1},于是更新端口BP1的配置消息

l      端口BP2收到来自Device C的配置消息{2,0,2,CP2},Device B发现本端口的配置消息{1,0,1,BP2}优于接收到的配置消息,就把接收到的配置消息丢弃

BP1:{0,0,0,AP1}

BP2:{1,0,1,BP2}

l      Device B对各个端口的配置消息进行比较,选出端口BP1的配置消息为最优配置消息,然后将端口BP1定为根端口,它的配置消息不作改变。

l      Device B根据根端口BP1的配置消息和根端口的路径开销5,为BP2端口计算一个指定端口配置消息{0,5,1,BP2}

l      Device B使用计算出来的配置消息{0,5,1,BP2}和端口BP2上的配置消息进行比较,比较的结果是计算出来的配置消息较优,则Device B将端口BP2定为指定端口,它的配置消息被计算出来的配置消息替换,并周期性向外发送

根端口BP1:

{0,0,0,AP1}

指定端口BP2:

{0,5,1,BP2}

Device C

l      端口CP1收到来自Device A的配置消息{0,0,0,AP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP1},于是更新端口CP1的配置消息

l      端口CP2收到来自Device B端口BP2更新前的配置消息{1,0,1,BP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP2},于是更新端口CP2的配置消息

CP1:{0,0,0,AP2}

CP2:{1,0,1,BP2}

经过比较:

l      端口CP1的配置消息被选为最优的配置消息,端口CP1就被定为根端口,它的配置消息不作改变

l      将计算出来的指定端口配置消息{0,10,2,CP2}和端口CP2的配置消息进行比较后,端口CP2转为指定端口,它的配置消息被计算出来的配置消息替换

根端口CP1:

{0,0,0,AP2}

指定端口CP2:

{0,10,2,CP2}

l      接着端口CP2会收到Device B更新后的配置消息{0,5,1,BP2},由于收到的配置消息比原配置消息优,则Device C触发更新过程

l      同时端口CP1收到Device A周期性发送来的配置消息,比较后Device C不会触发更新过程

CP1:{0,0,0,AP2}

CP2:{0,5,1,BP2}

经过比较:

l      端口CP2的根路径开销9(配置消息的根路径开销5+端口CP2对应的路径开销4)小于端口CP1的根路径开销10(配置消息的根路径开销0+端口CP1对应的路径开销10),所以端口CP2的配置消息被选为最优的配置消息,端口CP2就被定为根端口,它的配置消息就不作改变

l      将端口CP1的配置消息和计算出来的指定端口配置消息比较后,端口CP1被阻塞,端口配置消息不变,同时不接收从Device A转发的数据,直到新的情况触发生成树的计算,比如:从Device B到Device C的链路出现故障

阻塞端口CP1:

{0,0,0,AP2}

根端口CP2:

{0,5,1,BP2}

 

经过上表的比较过程,此时以Device A为根桥的生成树就确定下来了,形状如图7-11所示。

图7-11 计算得到的生成树

 

为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂。

 

(2)        STP的配置消息传递机制

l              当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的配置消息,并以Hello Time为周期定时向外发送。

l              接收到配置消息的端口如果是根端口,且接收的配置消息比该端口的配置消息优先级高,则设备将配置消息中携带的Message Age按照一定的原则递增,并启动定时器为这条配置消息计时,同时将此配置消息从设备的指定端口转发出去。

l              如果某条路径发生故障,则这条路径上的根端口不会再收到新的配置消息,旧的配置消息将会因为超时而被丢弃,设备重新生成以自己为根的配置消息并向外发送BPDU,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性。

(3)        STP定时器

STP计算中,需要使用三个重要的时间参数:Forward Delay、Hello Time和Max Age。

l              Forward Delay为交换机状态迁移的延迟时间。

链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路。

为此,生成树协议采用了一种状态迁移的机制,根端口和指定端口重新开始数据转发之前要经历一个中间状态,中间状态经过2倍的Forward Delay的延时后才能进入Forwarding状态,这个延时保证了新的配置消息已经传遍整个网络。

l              Hello Time用于交换机检测链路是否存在故障。

交换机每隔Hello Time时间会向周围的交换机发送hello报文,以确认链路是否存在故障。

l              Max Age是用来判断配置消息在交换机内保存时间是否“过时”的参数,交换机会将过时的配置消息丢弃。

7.5.2  RSTP简介

RSTP是STP协议的优化版。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。

l    RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。

l    RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。

 

(1)        端口角色

RSTP的端口角色相对STP增加了Alternate端口、Backup端口,并取消了Blocking端口。

l              Alternate端口:是根端口用于快速切换的替换端口。当根端口被阻塞后,Alternate端口将成为新的根端口。

l              Backup端口:是被本设备指定端口阻塞的端口。

(2)        端口状态

RSTP的端口状态相对STP,把原来的五种状态减少为三种状态。

l              Forwarding状态:既转发用户流量又接收/发送BPDU报文。

l              Learning状态:不转发用户流量,只接收/发送BPDU报文。

l              Discarding状态:不转发用户流量,只接收BPDU报文。

7.5.3  设置STP全局参数

页面向导:设备管理→STP设置→STP全局设置

本页面为您提供如下主要功能:

l      设置S2126T STP的全局参数(比如:生成树功能状态、桥协议数据单元处理方式、STP端口默认的路径开销、STP定时器等)

 

页面中关键项的含义如下表所示。

表7-12 页面关键项描述

页面关键项

描述

生成树状态

选择生成树功能全局状态

缺省情况下,生成树功能处于关闭状态

生成树模式

选择哪种模式来消除数据链路层物理环路,建议您使用缺省的RSTP模式

桥协议数据单元处理

选择BPDU报文处理方式

l      广播:当全局的STP功能处于关闭的状态时,则广播BPDU报文

l      过滤:当全局的STP功能处于关闭的状态时,则过滤BPDU报文

缺省情况下,BPDU报文处理方式为广播

默认路径开销

选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样

l      IEEE 802.1D-1998:端口的路径开销取值范围为1~65535

l      IEEE 802.1T:端口的路径开销取值范围为1~200000000

缺省情况下,默认路径开销采用的是IEEE 802.1T

说明:

端口速率、路径开销标准及路径开销值对应表表7-13所示

优先级

桥优先级的大小决定了本设备是否能够被选作生成树的树根。您可通过配置较小的桥优先级,可以达到指定某台设备成为生成树树根的目的

缺省情况下,桥优先级为32768

Hello Time

选中Hello Time单选框,并在文本框中设置该定时器值

缺省情况下,Hello Time2s

Max Age

选中Max Age单选框,并在文本框中设置该定时器值

缺省情况下,最大老化时间为20s

Forward Delay

选中Forward Delay单选框,并在文本框中设置该定时器值

缺省情况下,迁移延时为15s

 

表7-13 端口速率与路径开销值对应表

链路速率

双工状态

802.1D-1998

802.1t

0

-

65535

200000000

10 Mbit/s

Half-Duplex/Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

100

95

95

95

2000000

1000000

666666

500000

100 Mbit/s

Half-Duplex/Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

19

15

15

15

200000

100000

66666

50000

1000Mbit/s

Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

4

3

3

3

20000

10000

6666

5000

 

7.5.4  设置端口STP参数

页面向导:设备管理→STP设置→STP端口设置

本页面为您提供如下主要功能:

l      显示当前S2126T所有端口的STP状态及相关参数(主页面)

l      设置单个端口的STP状态及相关参数(单击主页面上端口对应的表项,进入相应的页面)

l      批量设置端口的STP状态及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表7-14 页面关键项描述

页面关键项

描述

STP使能(STP

端口的STP功能状态

l      不改变:保持当前状态

l      关闭:关闭端口STP功能

l      开启:开启端口STP功能

缺省情况下,端口STP功能处于关闭状态

说明:

必须同时开启全局和端口的STP功能后,STP才能生效,相关操作请参见“7.5.3  设置STP全局参数

边缘端口

边缘端口是指不直接与任何交换机连接,也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口,那么当该端口由阻塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间

l      不改变:保持当前状态

l      关闭:不设置端口为边缘端口

l      开启:设置端口为边缘端口

缺省情况下,不设置端口为边缘端口

根保护

网络中的合法根桥可能会由于维护人员的错误配置或网络中的恶意攻击,收到优先级更高的配置消息,这样当前根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞

设置了根保护功能的端口,一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为Discarding状态,不再转发报文(相当于将与此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态

l      不改变:保持当前状态

l      关闭:不设置端口根保护功能

l      开启:设置端口根保护功能

缺省情况下,端口的根保护功能处于关闭状态

默认路径开销

开启/关闭端口默认路径开销

l      不改变:保持当前状态

l      关闭:关闭端口默认路径开销后,您可以在本页面的“端口路径开销”文本框中指定端口路径开销

l      开启:开启端口默认路径开销后,不能手工设置端口路径开销值,则与“STP全局设置”页面中的默认路径开销相关,相关描述请参见“7.5.3  设置STP全局参数

缺省情况下,端口默认路径开销处于开启状态

端口开销(端口路径开销)

缺省情况下,端口路径开销为200,000,000

说明:

仅当端口默认路径开销处于关闭状态时,才可设置

优先级(端口优先级)

缺省情况下,端口优先级为128

点对点

与所指定端口相连的链路类型

l      不改变:保持当前状态

l      Force true:设置端口与一条点到点链路相连

l      Force false:设置端口与一条共享链路相连

l      Auto:设置端口自动建立链路

缺省情况下,端口自动建立链路

 

7.6  设置IGMP Snooping

7.6.1  IGMP Snooping原理

IGMP Snooping是运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组。

IGMP Snooping运行在数据链路层。当二层以太网交换机收到主机和路由器之间传递的IGMP报文时,IGMP Snooping分析IGMP报文所带的信息。当监听到主机发出的IGMP主机报告报文(IGMP host report message)时,交换机就将该主机加入到相应的组播MAC地址表中;当监听到主机发出的IGMP离开报文(IGMP leave message)时,交换机将在相应的组播表中删除该主机端口。通过不断地监控IGMP报文,交换机就可以在二层建立和维护组播MAC地址表。之后,交换机就可以根据该组播MAC地址表转发来自路由器的组播报文。

图7-12所示,当二层交换机没有运行IGMP Snooping时,组播数据在二层被广播;当二层交换机运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。

图7-12 二层交换机运行IGMP Snooping前后的对比

 

7.6.2  IGMP Snooping基本概念

1. IGMP Snooping相关端口

图7-13所示,Router A连接组播源,在Switch A和Switch B上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。

图7-13 IGMP Snooping相关端口

 

结合图7-13,介绍一下IGMP Snooping相关的端口概念:

l              路由器端口(Router Port):交换机上靠近三层组播设备一侧的端口,如Switch A和Switch B各自的Ethernet0/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。

l              成员端口(Member Port):又称组播组成员端口,表示交换机上靠近组播组成员一侧的端口,如Switch A的Ethernet0/2和Ethernet0/3端口,以及Switch B的Ethernet0/2端口。交换机将本设备上的所有成员端口都记录在组播转发表中。

2. IGMP Snooping端口老化定时器

表7-15 IGMP Snooping端口老化定时器

定时器

说明

超时前应收到的报文

超时后交换机的动作

路由器端口老化定时器

交换机为其上的每个路由器端口都启动一个定时器,其超时时间为路由器端口老化时间

IGMP通用查询报文或PIM Hello报文

将该端口从路由器端口列表中删除

成员端口老化定时器

当一个端口加入某组播组时,交换机为该端口启动一个定时器,其超时时间为成员端口老化时间

IGMP成员关系报告报文

将该端口从组播组的转发表中删除

 

7.6.3  IGMP Snooping工作机制

运行了IGMP Snooping的交换机对不同IGMP动作的具体处理方式如下:

1. 通用组查询

IGMP查询器定期向本地网段内的所有主机与路由器发送IGMP通用查询报文,以查询该网段有哪些组播组的成员。

在收到IGMP通用查询报文时,交换机会将其通过VLAN内除收到该查询报文端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:

l              如果该端口是路由器端口列表中已有的路由器端口,则重置该路由器端口的老化定时器。

l              如果该端口不是路由器端口列表中已有的路由器端口,则将其加入路由器端口列表,并启动该路由器端口的老化定时器。

2. 报告成员关系

以下情况,主机会向组播路由器发送IGMP成员关系报告报文:

l              当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。

l              如果主机要加入某个组播组,它会主动向组播路由器发送IGMP成员关系报告报文以声明加入该组播组。

在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:

l              如果该端口已存在于组播组转发表中,则重置该端口的成员端口老化定时器;

l              如果该端口不在组播组转发表中,则在组播组转发表中为该端口增加转发表项,并启动该端口的成员端口老化定时器。

3. 离开组播组

运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除。

运行IGMPv2的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。

当从一个成员端口上收到IGMP离开组报文时,交换机会将该报文通过VLAN内的所有路由器端口转发出去,由于并不知道该报文的接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口对应的转发表项从转发表中删除,而是重置该成员端口的老化定时器。

当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。

对于IGMP离开组报文的接收端口,交换机在该成员端口的老化时间内:

l              如果从该端口收到了主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置该成员端口的老化定时器;

l              如果没有从该端口收到主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在该成员端口老化时间超时后,将转发表中该端口对应该组播组的转发表项删除。

7.6.4  设置IGMP Snooping

1. 设置IGMP Snooping全局参数

页面向导:设备管理→IGSP设置→IGMP Snooping

本页面为您提供如下主要功能:

l      设置S2126T IGMP Snooping功能状态及相关的定时器等

 

页面中关键项的含义如下表所示。

表7-16 页面关键项描述

页面关键项

描述

当前状态

开启或关闭全局IGMP Snooping功能

缺省情况下,全局IGMP Snooping功能处于关闭状态

IGMP Querier状态

在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据

但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据

缺省情况下,IGMP Snooping查询器功能处于关闭状态

路由端口老化时间

缺省情况下,路由端口老化时间为105秒

普遍组查询最大响应时间

您可以根据网络的实际情况来修改发送IGMP组查询报文的时间间隔。

在收到IGMP查询报文(包括普遍组查询和特定组查询)后,主机会为其所加入的每个组播组都启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的IGMP查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的组播组发送IGMP成员关系报告报文

合理配置IGMP查询的最大响应时间,既可以使主机对IGMP查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞:

l      对于IGMP普遍组查询报文来说,通过配置IGMP普遍组查询的最大响应时间来填充其最大响应时间字段

l      对于IGMP特定组查询报文来说,所配置的发送IGMP特定组查询报文的时间间隔将被填充到其最大响应时间字段。也就是说,IGMP特定组查询的最大响应时间从数值上与发送IGMP特定组查询报文的时间间隔相同

缺省情况下,普遍组查询最大响应时间为10秒;特定组查询最大响应时间为2秒

特定组查询最大响应时间

主机端口老化时间

缺省情况下,主机端口老化时间为260秒

未知组播丢弃

未知组播数据报文是指在组播转发表中不存在对应转发表项的那些组播数据报文。当S2126T收到发往未知组播组的报文时,数据报文会在未知组播数据报文所属的VLAN内广播,这样会占用大量的网络带宽,影响转发效率。您可以通过开启交换机的未知组播丢弃功能来解决此问题

缺省情况下,未知组播丢弃功能处于关闭状态,即对未知组播数据报文进行广播

说明:

此功能在IGMP Snooping关闭的情况下也生效

 

2. 在VLAN内设置IGMP Snooping

当您在指定的VLAN内开启了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效。且在VLAN内开启IGMP Snooping之前,必须先开启全局IGMP Snooping

页面向导:设备管理→IGSP设置→IGMP Snooping

本页面为您提供如下主要功能:

l      设置指定VLAN内的IGMP Snooping及IGMP Snooping查询器功能状态

 

页面中关键项的含义如下表所示。

表7-17 页面关键项描述

页面关键项

描述

选择VLAN ID

选择需要开启IGMP Snooping功能或IGMP Snooping查询器功能对应的VLAN

IGMP Snooping状态

开启或关闭指定VLAN的IGMP Snooping功能

缺省情况下,VLAN下的IGMP Snooping功能处于关闭状态

 

IGMP Querier状态

若您想在指定的VLAN内生效IGMP Snooping查询器功能,需要先开启全局IGMP Snooping查询器功

缺省情况下,IGMP Snooping查询器功能处于关闭状态

 

7.6.5  设置端口从组播组中快速删除功能

当启动快速删除功能后,S2126T从某端口收到离开某组播组的IGMP离开报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当S2126T收到对该组播组的IGMP特定组查询报文时,S2126T将不再向该端口转发。

比如:当端口下只有一个用户时,您可以通过开启端口从组播组中快速删除功能来节约带宽和资源。而在连接有多个接收者的端口上,如果未知组播报文丢弃功能同时开启的情况下,则不要再开启端口从组播组中快速删除功能。否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据。

页面向导:设备管理→IGSP设置→Fast Leave

本页面为您提供如下主要功能:

l      显示S2126T所有端口的快速删除功能状态(主页面)

l      设置单个端口的快速删除功能状态(单击主页面上端口对应的表项,进入相应的页面)

l      批量设置端口的快速删除功能状态(单击主页面上的<批量配置>按钮,进入相应的页面)

 

7.7  设置SNMP

7.7.1  SNMP简介

SNMP用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。

SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。

1. SNMP的工作机制

SNMP分为NMS和Agent两部分:

l              NMS是运行客户端程序的工作站。

l              Agent是运行在网络设备(比如:交换机)上的服务器端软件。

NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型对MIB进行Read或Write操作,生成Response报文,并将报文返回给NMS。

Agent在设备发生异常情况或状态改变时(比如:设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。

2. SNMP的版本

目前,S2126T中的SNMP Agent支持SNMP v1版本和SNMP v2c版本。

SNMP v1、SNMP v2c采用团体名(Community Name)认证,非交换机认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问交换机上的SNMP Agent。

3. MIB

在SNMP报文中用管理变量来描述交换机中的管理对象。为了唯一标识交换机中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如图7-14所示。每一个节点,都可以用从根开始的一条路径唯一地标识。

图7-14 MIB树结构

 

MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图7-14中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符。

7.7.2  设置SNMP Agent

请确认SNMP NMS工作站能通过SNMP方式访问S2126T(缺省情况下允许所有终端通过SNMP方式访问交换机,具体配置请参见“5.9  设置管理PC控制”)。

 

页面向导:设备管理→SNMP设置→SNMP代理设置

本页面为您提供如下主要功能:

l      设置SNMP Agent的状态、系统信息等

l      设置团体名及访问模式

 

页面中关键项的含义如下表所示。

表7-18 页面关键项描述

页面关键项

描述

SNMP状态

开启/关闭SNMP Agent功能

缺省情况下,SNMP Agent功能处于关闭状态

最大包长度

设置SNMP Agent能接收/发送的SNMP消息包的大小

缺省情况下,SNMP Agent能接收/发送的SNMP消息包长度的最大值为1500字节

联系信息

如果交换机发生故障,维护人员可以利用系统维护联系信息,及时与生产厂商取得联系,便于快速地定位和解决问题

缺省情况下,系统维护联系信息为“R&D Hangzhou, Hangzhou H3C Technologies Co., Ltd.”;设备的物理位置信息为“Hangzhou China”

物理位置信息

SNMP版本

只有开启了相应的SNMP版本,S2126T才会处理对应版本的SNMP数据报文

缺省情况下,S2126T同时开启SNMP v1版本和SNMP v2c版本

新建团体

选中“新建团体”复选框后,即可新建团体名和设置团体访问模式

l      团体名:您可以采用标准的团体名(public或private)或自定义团体名

l      访问模式:团体访问MIB对象的读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置

 

7.7.3  设置SNMP Trap功能

Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(比如:被管理设备重新启动等)。

在设置SNMP Trap功能前必须先完成SNMP Agent的相关配置。

 

页面向导:设备管理→SNMP设置→SNMP Trap设置

本页面为您提供如下主要功能:

l      设置S2126T允许发送的Trap报文和Linkup、Linkdown Trap端口的状态(主页面)

l      新建Trap目标主机(在主页面上单击<新建>按钮,进入相应的设置页面)

 

页面中关键项的含义如下表所示。

表7-19 页面关键项描述

页面关键项

描述

SNMP Trap功能

开启/关闭SNMP Trap功能,缺省情况下处于开启状态

l      Coldstart Trap:当设备重新启动时,发送冷启动Trap信息

l      Warmstart Trap:当SNMP模块重新启动时,发送热启动Trap信息

l      Linkup Trap:当端口由down状态变为up状态时,发送链路up的Trap信息

l      Linkdown Trap:当端口由up状态变为down状态时,发送链路down的Trap信息

l      Authentication Trap:SNMP模块认证失败时,发送认证失败的Trap信息

说明:

当“Linkup Trap”复选框选中时,表示允许所有端口发送Linkup Trap信息;当“Linkup Trap”复选框未选中时,表示禁止所有端口发送Linkup Trap信息。同理,“Linkdown Trap”复选框也一样

Linkup、Linkdown Trap端口使能设置

指定端口允许/禁止发送Linkup、Linkdown Trap信息

l      使能端口:允许端口发送Linkup、Linkdown Trap信息

l      未使能端口:禁止端口发送Linkup、Linkdown Trap信息

缺省情况下,允许所有端口发送Linkup、Linkdown Trap信息

目标主机IP地址

设置接收Trap消息的目标主机IP地址

端口号

设置接收Trap消息的UDP端口号

缺省情况下,接收Trap消息的UDP端口号为162

团体名

设置S2126T与NMS交互时所使用的团体名

Trap版本

设置S2126T与NMS交互时所使用SNMP版本号

l      v1:代表SNMP v1版本

l      v2c:代表SNMP v2c版本

缺省情况下,S2126T与NMS交互时所使用SNMP版本号为SNMP v1版本

 

您可以通过SNMP典型组网配置举例来进一步加深理解。

 

7.8  设置信息中心

信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,从而为网络管理员监控网络运行情况和诊断网络故障提供了强有力的支持。

1. 系统信息分类

信息中心共有三类信息:

l              log类:日志类信息

l              trap类:告警类信息

l              debug类:调试类信息

S2126T的Web设置页面支持log类和trap类信息的显示,便于您更直观地查看。

 

2. 系统信息等级

系统信息的信息级别值越小,紧急程度越高。

表7-20 日志类和调试类信息级别列表

信息级别

数值

描述

Emergency

0

极其严重的错误,需要立即采取措施解决

Alert

1

需要立即采取措施解决的错误

Critical

2

关键性错误,需要尽快采取措施解决

Error

3

需关注但不关键的错误

Warning

4

系统运行存在某种差错,某项功能会受到影响

Notice

5

需要适当关注的事件信息

Informational

6

不需要关注的提示信息

Debug

7

调试过程产生的信息

 

表7-21 告警类信息级别列表

信息级别

数值

描述

Critical

0

紧急信息

Major

1

重要信息

Minor

2

次要信息

Warning

3

警告信息

Cleared

5

告警恢复信息

Indeterminate

6

不确定信息

 

7.8.1  设置信息中心状态及日志主机

页面向导:设备管理→LOG设置→日志设置

本页面为您提供如下主要功能:

l      开启/关闭信息中心

l      设置日志主机

 

页面中关键项的含义如下表所示。

表7-22 页面关键项描述

页面关键项

描述

日志使能

开启/关闭信息中心。缺省情况下,信息中心处于开启状态

说明:

只有开启了信息中心(选中“日志使能”复选框),系统才会向日志主机、控制台等方向输出系统信息

发送日志等级

仅不高于指定级别的日志信息才可发送到日志主机,日志等级的具体描述请参见表7-20

日志主机IP地址

设置日志主机的IP地址

 

7.8.2  查看日志信息

页面向导:设备管理→LOG设置→日志信息

本页面为您提供如下主要功能:

l      通过“显示日志信息等级”下拉框来筛选您需要关注的日志信息

l      通过单击<下载>按钮将所有的日志信息保存到本地,方便查看

l      通过单击<清除>按钮删除所有的日志信息

 

7.8.3  查看告警信息

页面向导:设备管理→LOG设置→告警信息

本页面为您提供如下主要功能:

l      通过“显示告警信息等级”下拉框来筛选您需要关注的告警信息

l      通过单击<下载>按钮将所有的告警信息保存到本地,方便查看

l      通过单击<清除>按钮删除所有的告警信息

 

7.9  设置端口节能

当您希望某些端口在一些特殊的时间段(如晚上)被关闭或降低速率从而达到节能目的,那么您可以通过设置端口节能功能实现。端口节能功能是通过在特定的时间段内降低端口的功耗来实现,主要包括时间段设置和端口节能方案设置。

7.9.1  设置时间段

页面向导:设备管理→节能设置→时间段设置

本页面为您提供如下主要功能:

l      可显示所有已创建的时间段及它所包含的子时间段(主页面)

l      删除已创建的时间段(在“时间段”下拉框中选择待删除的时间段,单击<删除时间段>按钮生效)

l      删除全部已创建的时间段(单击<全部删除>按钮生效)

l      删除当前被选中的时间段下的一条子时间段(单击待删除的子时间段后面的<删除>按钮生效)

l      创建新的时间段(单击主页面上的<创建时间段>按钮,进入相应的页面。设置时间段相关参数,单击<确定>按钮生效)

l      为指定的时间段添加子时间段(在主页面上的“时间段”下拉框中选择需要添加子时间段的时间段,单击<添加子时间段>按钮,进入相应的页面。设置相关参数,单击<确定>按钮生效)

l      修改子时间段(在主页面上的“时间段”下拉框中选择待修改的时间段,单击要修改的子时间段表项进入修改子时间段页面,设置相关参数,单击<确定>按钮生效)

 

页面中关键项的含义如下表所示。

表7-23 页面关键项描述

页面关键项

描述

时间段名称

输入时间段的名称,两条时间段名称不能相同(不区分大小写)

周期时间段

起始时间

周期时间段的开始时间,格式为hh:mm,范围00:00~24:00

终止时间

周期时间段的结束时间,格式为hh:mm,范围00:00~24:00,终止时间必须大于起始时间

星期

表示该周期时间在每周几生效,可以设置星期一到星期日中的任意一天或多天

绝对时间段

起始时间

绝对时间段的开始时间,格式为YYYY-MM-DD hh:mm,默认起始时间为系统当前时间

起始时间和终止时间不能同时为空,当设置起始时间为空时,系统自动赋予起始时间值为1970-01-01 00:00

终止时间

绝对时间段的结束时间,格式为YYYY-MM-DD hh:mm,终止时间必须大于起始时间,终止时间默认为空

起始时间和终止时间不能同时为空,当设置终止时间为空时,系统自动赋予终止时间值为2035-12-31 23:59

 

l    只有当系统时钟在有效的周期时间段或绝对时间段内时,预定义的节能方案才进入激活状态。

l    如果一个时间段下定义了多个周期时间段,则有效时间段为这些周期时间段之和。

l    如果一个时间段下定义了多个绝对时间段,则有效时间段为这些绝对时间段之和。

l    如果一个时间段同时定义了绝对时间段和周期时间段,则有效时间段为同时满足绝对时间段和周期时间段的时间。例如,一个时间段定义了绝对时间段:从2004-01-01 00:00到2004-12-31 23:59,同时定义了周期时间段:每周三的12:00到14:00。则有效时间段为2004年内每周三的12:00到14:00。

 

7.9.2  设置端口节能方案

设置端口节能功能后,若要使节能配置生效需要先配置系统时间,且每次设备重启后,必须在NTP成功获取到时间或者手动配置过系统时间后,节能配置才会生效。

 

页面向导:设备管理→节能设置→节能设置

本页面为您提供如下主要功能:

l      查看单个端口的节能配置,并设置该端口的节能方案(单击待设置的端口,选择时间段和节能配置项,单击<确定>按钮生效)

l      批量设置指定端口的节能方案(单击主页面上的<批量配置>按钮,进入相应的设置页面)

 

页面中关键项的含义如下表所示。

表7-24 页面关键项描述

页面关键项

描述

选择时间段

选择一条已创建的时间段。选择了时间段后会显示该时间段下的子时间段信息。创建时间段的操作请参见“7.9.1  设置时间段

关闭端口

关闭端口,使端口链路断开

说明:

在一个节能方案中,如果配置“关闭端口”,那么其他的节能配置项就不能再配置了

最低速率(10Mbps)

设置端口的速率为10Mbps

说明:

如果端口不支持10Mbps速率(如只支持1000Mbps的光口),则该配置不会生效

解除绑定

单击<解除绑定>按钮,即可将当前端口与节能方案解除绑定。

说明:

如果该条节能方案已生效,解除绑定操作会恢复该端口的相关配置为生效前的配置值

批量配置

单击<批量配置>按钮,进入端口批量配置页面,可批量设置端口的节能方案或解除端口的节能方案绑定

批量绑定

单击<批量绑定>按钮,即可将当前节能方案绑定到选中的端口上

说明:

如果被选中的端口已经绑定了该条时间段,那么新的节能方案会覆盖原来的方案

批量解绑

单击<批量解绑>按钮,即可将当前节能方案与选中的端口解除绑定

 


8 安全专区

本章节主要包含以下内容:

l              设置防MAC地址攻击

l              设置AAA

l              设置802.1x

8.1  设置防MAC地址攻击

防MAC地址攻击功能主要防止设备不断地学习局域网中大量无效的报文源MAC地址,使设备的MAC地址转发表过于庞大,导致其转发性能急剧下降。

S2126T通过限制端口MAC地址学习数限制,从而达到防MAC地址攻击功能。

页面向导安全专区→防攻击→防MAC地址攻击

本页面为您提供如下主要功能:

l      显示当前所有端口可学习的MAC地址数(主页面)

l      设置单个端口可学习的MAC地址数(单击主页面上端口对应的表项,进入相应的页面)

l      批量设置指定端口可学习的MAC地址数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

8.2  设置AAA

8.2.1  AAA简介

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

AAA一般采用客户机/服务器结构,客户端运行于NAS上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图8-1所示。

图8-1 AAA基本组网结构示意图

 

当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。

图8-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。

这三种安全服务功能的具体作用如下:

l              认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;

l              授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;

l              计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。

当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。

l    S2126T支持通过AAA对Telnet用户、Console用户以及Web用户信息进行统一管理。

l    目前,S2126T的计费功能只适用于802.1x用户。

 

8.2.2  设置用户认证方案

页面向导安全专区→AAA用户认证方案设置

本页面为您提供如下主要功能:

l      设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案

 

页面中关键项的含义如下表所示。

表8-1 页面关键项描述

页面关键项

描述

Telnet用户认证方案 / Terminal用户认证方案 / Web用户认证方案

l      不认证:访问S2126T时,不需要认证便可以进行管理

l      本地认证:访问S2126T时,需要本地认证成功后方可进行管理,且您需要通过“本地用户设置”页面对本地用户的配置和管理

l      radius远程认证:访问S2126T时,需要远程认证成功后方可进行管理。该认证方式相对于本地认证来说,便于对所有设备的登录用户进行统一管理和维护

l      radius远程认证+本地认证:实现两种认证方案互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案

说明:

l      当采用radius远程认证方案或radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在S2126T上设置对应的Radius Client。有关Radius Client的相关描述和操作,可参见“8.2.4  设置Radius Client

l      Web用户认证不支持radius远程认证方案和radius远程认证+本地认证方案

 

8.2.3  设置本地用户

页面向导安全专区→AAA本地用户设置

本页面为您提供如下主要功能:

l      显示已创建的本地用户信息(主页面)

l      新建本地用户(单击主页面中的<新建>按钮,在“添加本地用户”页面中设置新用户相关信息,单击<确定>按钮生效)

l      修改本地用户(单击主页面中需要修改的本地用户表项,即可进入“修改本地用户”页面进行维护)

 

8.2.4  设置Radius Client

Radius是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的Radius帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。

1. 客户端/服务器模式

l              S2126T支持Radius Client功能,负责传输用户信息到指定的Radius Server,然后根据从Radius Server返回的信息进行相应处理(比如:接受/拒绝用户接入)。

l              Radius Server运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给Radius Client返回所有需要的信息(比如:接受/拒绝认证请求)。

2. 安全和认证机制

Radius Client和Radius Server之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。

当您配合iMC实现用户包月认证时,需要开启802.1x重认证功能,便于定时检测用户的有效状况。

 

3. Radius的基本消息交互流程

Radius Client和Radius Server之间通过共享密钥来认证交互的消息,增强了安全性。Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。用户(Host)、Radius Client、Radius Server之间一种简要的交互流程如图8-2所示。

图8-2 Radius的基本消息交互流程(认证+计费)

 

当您想通过Radius方案来远程认证Telnet用户和Console用户时,Radius的基本消息交互流程中仅为认证步骤,即当Radius Server认证通过后,Radius Client会向Host返回认证成功信息,从而Host可以正常地登录设备进行配置和管理。

 

基本交互步骤如下:

(1)        用户输入用户名和口令。

(2)        Radius Client根据获取的用户名和口令,向Radius Server发送认证请求包(Access-Request)。

(3)        Radius Server将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的授权信息以认证响应包(Access-Accept)的形式发送给Radius Client;如果认证失败,则返回Access-Reject响应包。

(4)        Radius Client根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则Radius Client向Radius Server发送计费开始请求包(Accounting-Request),Status-Type取值为start。

(5)        Radius Server返回计费开始响应包(Accounting-Response)。

(6)        用户开始访问资源。

(7)        Radius Client按实时计费间隔循环的向Radius Server发送实时计费请求包(Accounting-Request),Status-Type取值为interim-update。

(8)        Radius Server返回实时计费响应包(Accounting-Response)。

(9)        Radius Client向Radius Server发送计费结束请求包(Accounting-Request),Status-Type取值为stop。

(10)    Radius Server返回计费结束响应包(Accounting-Response)。

(11)    用户访问资源结束。

页面向导安全专区→AAA→Radius Client设置

本页面为您提供如下主要功能:

l      设置S2126T作为Radius Client与Radius Server进行交互时的相关参数

 

l    Radius Client支持设置主、从认证和计费服务器,即当主服务器因故障而导致其与S2126T的通信中断时,S2126T会主动地与从服务器交互报文。当主服务器恢复正常后,S2126T却不会立即恢复与其通信,而是继续与从服务器通信;直到从服务器也出现故障后,S2126T才能再恢复与主服务器交互报文。

l    当您配置主或从计费服务器后,802.1X用户必需要进行计费,如果计费失败用户不能访问资源。

l    当主计费服务器发生故障时,只有在计费开始请求阶段会切换到从计费服务器,同理,从从服务器切换到主服务器也是一样。因此当用户的计费开始请求成功后,如果计费服务器发生故障,需要用户重新认证后才能访问资源。

 

页面中关键项的含义如下表所示。

表8-2 页面关键项描述

页面关键项

描述

Radius方案

显示系统缺省的Radius方案:system

服务器响应超时

设置Radius Server响应超时时长

如果在Radius请求报文(认证/授权请求或计费请求)传送出去一段时间后,S2126T还没有得到Radius Server的响应,则有必要重传Radius请求报文,以保证用户确实能够得到Radius服务,这段时间被称为Radius Server响应超时时长

缺省情况下,Radius Server响应超时时长为3秒

说明:

当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留服务器响应超时为缺省值

请求报文最大重传次数

设置Radius请求报文最大重传次数

如果累计的传送次数超过最大传送次数而Radius Server仍旧没有响应,则S2126T将认为本次认证失败

缺省情况下,Radius请求报文最大重传次数为3次

说明:

当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留Radius请求报文最大重传次数为缺省值

重启用户再认证功能

设置设备重启用户再认证功能

开启设备重启用户再认证功能后,S2126T每次发生重启后,通过向Radius服务器发送Accouting-On报文,告知Radius服务器该设备已经重启,要求Radius 服务器强制该设备的用户下线,重新登录。

缺省情况下,设备重启用户再认证功能处于关闭状态

说明:

本功能仅适用于Radiu认证/计费服务器为CAMS的情况

实时计费间隔

设置实时计费间隔

设置实时计费间隔以后,每隔设定的时间,S2126T会向Radius服务器发送一次在线用户的计费信息。

缺省情况下,实时计费间隔为12分钟

实时计费最大失败次数

设置实时计费最大失败次数

在S2126T向Radius服务器发出的实时计费失败的次数超过所设定的最大值时,S2126T将切断用户连接。

缺省情况下,最多允许5次实时计费失败,5次之后将切断用户连接

状态

设置认证/计费服务器当前的工作状态

l      active:处于工作状态

l      block:处于待机状态

说明:

当主/从服务器状态不同时,系统优先使用状态为active的服务器;当主/从服务器状态相同时,系统优先使用主服务器

IP地址

设置认证/计费服务器的IP地址

说明:

当您设置了有效的认证/计费服务器的IP地址后,服务器工作状态则为active,否则为block

端口号

设置认证/计费服务器的UDP端口号

缺省情况下,Radius认证服务器的UDP端口号为1812,Radius计费服务器的UDP端口号为1813

共享密钥

设置Radius认证报文、计费报文的共享密钥,此密钥需要与S2126T对接的Radius认证/计费服务器侧设置的密钥一致

 

8.3  设置802.1x

8.3.1  802.1x简介

802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。

1. 802.1x的体系结构

使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图8-3所示分别为:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。

图8-3 802.1x认证系统的体系结构

 

l              客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。

l              设备端是位于局域网段一端的另一个实体,用于对所连接的客户端进行认证。

l              认证服务器是为设备端提供认证服务的实体。

三个实体涉及如下三个基本概念:PAE、受控端口和端口受控方式。

(1)        PAE

PAE是认证机制中负责执行算法和协议操作的实体。

l              设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地对受控端口的授权/非授权状态进行相应地控制。

l              客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。

(2)        受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。

l              非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。

l              受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。

l              受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。

(3)        端口受控方式

l              基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。

l              基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源。

2. 802.1x的工作机制

IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,在客户端和认证服务器之间交换认证信息。

图8-4 802.1x认证系统的工作机制

 

l              在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。

l              在设备端PAE与Radius服务器之间,EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式,承载于Radius协议中;也可以由设备端PAE进行终结,而在设备端PAE与Radius服务器之间传送PAP协议报文或CHAP协议报文。

l              当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据Radius服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。

3. 802.1x的认证过程

S2126T支持EAP-MD5认证:验证客户端的身份,Radius服务器发送MD5加密字(EAP-Request/MD5 Challenge报文)给客户端,客户端用该加密字对口令部分进行加密处理。

图8-5 802.1x的认证过程(EAP-MD5)

 

认证过程如下:

l              当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

l              S2126T收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。

l              客户端程序响应S2126T发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给S2126T。S2126T将客户端送上来的数据帧经过封包处理后(Radius Access-Request报文)送给Radius服务器进行处理。

l              Radius服务器收到S2126T转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过Radius Access-Challenge报文传送给S2126T,由S2126T传给客户端程序。

l              客户端程序收到由S2126T传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过S2126T传给Radius服务器。

l              Radius服务器将加密后的口令信息(Radius Access-Request报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(Radius Access-Accept报文和EAP-Success报文)。

l              S2126T将端口状态改为授权状态,允许用户通过该端口访问网络。

l              客户端也可以发送EAPoL-Logoff报文给S2126T,主动终止已认证状态,S2126T将端口状态从授权状态改变成未授权状态。

4. 802.1x的定时器

802.1x认证过程中会启动多个定时器以控制接入用户、S2126T以及Radius服务器之间进行合理、有序的交互。802.1x的定时器主要有以下几种:

l              握手定时器:此定时器是在用户认证成功后启动的,S2126T以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果重试一定次数后仍然没有收到客户端的响应报文,就认为用户已经下线。

l              静默定时器:对用户认证失败以后,S2126T需要静默一段时间(该时间由静默定时器设置)后,用户可以再重新发起认证,在静默期间,S2126T不进行该用户的802.1x认证相关处理。

l              重认证超时定时器:每隔该定时器设置的时长,S2126T会定期发起802.1x重认证。

l              Radius服务器超时定时器:若在该定时器设置的时长内,Radius服务器未成功响应,S2126T将向Radius服务器重发认证请求报文。

l              客户端认证超时定时器:当S2126T向客户端发送了Request/Challenge请求报文后,S2126T启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,S2126T将重发该报文。

l              传送超时定时器:在客户端主动发起认证的情况下,当S2126T向客户端发送单播Request/Identity请求报文后,S2126T启动该定时器,若在该定时器设置的时长内,S2126T没有收到客户端的响应,则S2126T将重发认证请求报文;为了对不支持主动发起认证的802.1x客户端进行认证,S2126T会在启动802.1x功能的端口不停地发送组播Request/Identity报文,发送的间隔为传送超时定时器值。

5. Guest VLAN功能

Guest VLAN功能用来允许未认证用户访问某些特定资源。

在实际应用中,如果用户在没有安装802.1x客户端的情况下,需要访问某些资源;或者在用户未认证的情况下升级802.1x客户端,这些情况可以通过开启Guest VLAN功能来解决。

Guest VLAN的功能开启后:

l              S2126T将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,仍有端口尚未返回响应报文,则S2126T将该端口加入到Guest VLAN中;

l              属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,则不需要进行802.1x认证。

6. 802.1x重认证功能

802.1x重认证是通过定时器或报文触发,对已经认证成功的用户进行一次重新认证。通过启用802.1x重认证功能,S2126T可以定时检测用户的连接状况。当发现接入用户在一定时间内未响应重认证报文,则切断与该用户的连接。若用户希望再次连接,则必须通过客户端软件重新发起802.1x认证。

8.3.2  设置802.1x端口参数

l    对于已经加入到某个汇聚组中的端口,则不允许在该端口上启动802.1x。

l    当802.1x用户在线时,如果更改了端口接入方式,则在线用户会被强制下线。

 

页面向导安全专区→802.1x→802.1x端口设置

本页面为您提供如下主要功能:

l      显示所有端口的802.1x功能及相关参数的状态(主页面)

l      设置单个端口的802.1x功能及相关参数(单击主页面上端口对应的表项,进入相应的页面)

l      批量设置指定端口的802.1x功能及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表8-3 页面关键项描述

页面关键项

描述

端口802.1x功能(802.1x使能)

端口的802.1x功能状态

l      开启:开启端口的802.1x功能

l      关闭:关闭端口的802.1x功能

缺省情况下,端口的802.1x功能处于关闭状态

说明:

必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效,相关操作请参见“8.3.3  设置802.1x全局参数

最大用户数

端口允许同时接入用户数量的最大值,缺省值为128

端口接入模式

l      Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源

l      Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源

l      Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源

缺省情况下,端口接入控制模式为Auto

端口接入方式

l      基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源

l      基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源

缺省情况下,端口的接入控制方式为基于MAC地址认证

端口重认证

l      关闭:关闭所有端口的重认证功能

l      开启:启用所有端口的重认证功能

缺省情况下,端口的重认证功能处于关闭状态

在线用户握手

l      关闭:关闭所有端口的在线用户握手功能

l      开启:启用所有端口的在线用户握手功能

缺省情况下,端口的在线用户握手功能处于开启状态

组播触发

l      关闭:关闭所有端口的组播触发功能

l      开启:启用所有端口的组播触发功能

缺省情况下,端口的组播触发功能处于开启状态

端口Guest VLAN功能

l      关闭:关闭端口的Guest VLAN功能

l      开启:开启端口的Guest VLAN功能

缺省情况下,端口的Guest VLAN功能处于关闭状态

说明:

l      仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能

l      必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“8.3.3  设置802.1x全局参数

 

8.3.3  设置802.1x全局参数

页面向导安全专区→802.1x→802.1x全局设置

本页面为您提供如下主要功能:

l      设置全局的802.1x功能及相关参数的状态

 

页面中关键项的含义如下表所示。

表8-4 页面关键项描述

页面关键项

描述

设备802.1x功能

设置全局的802.1x功能状态

l      开启:启用全局的802.1x功能

l      关闭:关闭全局的802.1x功能

缺省情况下,全局的802.1x功能处于关闭状态

说明:

必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效,相关操作请参见“8.3.2  设置802.1x端口参数

Guest VLAN

选中“Guest VLAN”复选框,表示开启全局的Guest VLAN功能,反之,关闭该功能

说明:

l      仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能

l      必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“8.3.2  设置802.1x端口参数

Guest VLAN ID

指定一个VLAN作为Guest VLAN

最大用户数

设置所有端口允许同时接入用户数量的最大值,缺省值为128

端口接入模式

设置所有端口的接入控制模式

l      端口自设置:保持当前设置状态,您可以通过“8.3.2  设置802.1x端口参数”针对端口进行设置

l      Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源

l      Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源

l      Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源

缺省情况下,端口接入控制模式为Auto

端口接入方式

设置所有端口的接入控制方式

l      端口自设置:保持当前设置状态,您可以通过“8.3.2  设置802.1x端口参数”针对端口进行设置

l      基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源

l      基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源

缺省情况下,端口接入控制方式为基于MAC地址认证

端口重认证

设置所有端口的重认证状态

l      端口自设置:保持当前设置状态,您可以通过“8.3.2  设置802.1x端口参数”针对端口进行设置

l      关闭:关闭所有端口的重认证功能

l      开启:启用所有端口的重认证功能

缺省情况下,端口重认证功能处于关闭状态

定时器

设置802.1x的各定时器参数,建议用户使用缺省值

说明:802.1x的各定时器的相关描述请参见“8.3.1  4. 802.1x的定时器

 


9 典型配置举例

此典型配置案例中均在S2126T缺省配置的基础上进行。如果您之前已经对设备做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。

 

本章节主要包含以下内容:

l              SNMP典型组网配置举例

l              Isolate-user-vlan典型配置举例

9.1  SNMP典型组网配置举例

9.1.1  组网需求

NMS通过SNMP v2c对SNMP Agent(S2126T)进行监控管理,当SNMP Agent在故障或者出错的时候能够主动向NMS报告情况。

9.1.2  组网图

图9-1 SNMP典型组网配置示意图

 

9.1.3  设置步骤

1. S2126T上的配置

(1)      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S2126T缺省的IP地址),按回车后出现登录对话框

(2)      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

(3)      单击“设备管理→SNMP设置→SNMP代理设置”。开启SNMP Agent功能,设置SNMP基本信息,包括版本号、团体名等。同时,设置S2126T所处的位置信息和维护人员的联系信息,以方便维护。单击<确定>按钮生效

(4)      单击“设备管理→SNMP设置→SNMP Trap设置”

(5)      单击<新建>按钮,设置允许向NMS(192.168.0.100/24)发送Trap报文,使用的团体名为public,版本为v2c。单击<确定>按钮生效

(6)      单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 

2. NMS上的配置

在使用SNMP v2c版本的NMS上需要设置“只读团体名”和“读写团体名”。另外,还需要设置“超时”时间和“重试次数”。您可利用网管系统完成对S2126T的查询和配置操作,详情请参考NMS的配套手册。

网管侧的配置必须和设备侧保持一致(比如:团体名),否则无法进行相应操作。

 

9.2  Isolate-user-vlan典型配置举例

9.2.1  组网需求

某企业为每个工作组划分不同的VLAN,为了节省汇聚交换机的VLAN资源,需要在汇聚交换机侧实现客户端VLAN屏蔽的方案。

9.2.2  组网分析

为满足需求,以下面的组网配置方案为例进行说明:

l              汇聚交换机下接S2126T;

l              在S2126T上设置Isolate-user-vlan特性,实现如下:

(1)        S2126T_A

VLAN 500为Isolate-user-VLAN,包含上行端口25和两个Secondary VLAN:VLAN 101和VLAN 102,VLAN 101包含端口1,VLAN 102包含端口2;

(2)        S2126T_B

VLAN 600为Isolate-user-VLAN ,包含上行端口25和两个Secondary VLAN:VLAN 203和VLAN 204,VLAN 203包含端口3,VLAN 204包含端口4。

从汇聚交换机上看,下接的S2126T_A、S2126T_B都只有一个VLAN:VLAN 500和VLAN 600。

9.2.3  组网图

图9-2 Isolate-user-vlan典型组网配置示意图(一)

 

9.2.4  设置步骤

此例仅介绍S2126T上的Isolate-user-vlan特性设置,且以S2126T-A为例,S2126T-B可参考设置。

 

(1)      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S2126T缺省的IP地址),按回车后出现登录对话框

(2)      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

(3)      单击“设备管理→VLAN设置→802.1Q VLAN”,进入相应的设置页面

(4)      单击<新建>按钮,进入相应的设置页面。创建Secondary VLAN:VLAN 101和VLAN 102

(5)      单击“设备管理→用户隔离VLAN→用户隔离VLAN配置”,进入相应的设置页面

(6)      创建Isolate-user-VLAN:VLAN 500

(7)      单击“设备管理→用户隔离VLAN→用户隔离VLAN端口配置”,进入相应的设置页面

(8)      设置Isolate-user-VLAN:VLAN 500中加入端口25

(9)      设置Secondary VLAN:VLAN 101和VLAN 102中分别加入端口1和端口2(以VLAN 101为例)

(10)  单击“设备管理→用户隔离VLAN→用户隔离VLAN关联配置”,进入相应的设置页面。将Isolate-user-VLAN和Secondary VLAN进行关联

(11)  单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 


10 附录 - 命令行设置

如果命令行所涉及的特性与Web界面相同,则该特性的功能介绍将不再赘述。您可通过本手册中的Web界面设置获取相关的信息。

 

10.1  登录S2126T

本章主要介绍通过命令行对S2126T进行配置前,如何搭建配置环境以及如何使用命令行。

S2126T支持2个Telnet用户和1个Console口用户同时登录。

 

10.1.1  通过Console口搭建配置环境

1. 连接S2126T到管理计算机

将管理计算机的串口通过配置电缆与S2126T的Console口相连。

2. 配置终端参数

(1)      打开管理计算机,在管理计算机Windows界面上选择[开始/(所有)程序/附件/通讯]菜单,单击“超级终端”。在“名称”文本框中输入新建连接的名称,如“switch”,单击<确定>按钮建立新的连接(以Windows XP的超级终端为例)

(2)      在“连接时使用”下拉列表框中选择进行连接的串口,单击<确定>按钮(注意选择的串口应与配置电缆实际连接的串口相一致)

(3)      在串口的属性对话框中设置相关参数(参数值如右图所示)。单击<确定>按钮

(4)      在[超级终端]窗口中选择[文件/属性/设置]

(5)      选择终端仿真类型为自动检测,单击<确定>按钮,返回[超级终端]窗口

 

将S2126T通电,终端上显示S2126T的自检信息,自检结束后提示您键入回车。回车后会出现命令行提示符(如<H3C>),此时您就可以对S2126T进行配置了,具体的配置命令请参考本书中以后各章节的内容。

10.1.2  通过Telnet搭建配置环境

1. 准备工作

通过终端Telnet到S2126T需要具备如下条件:

l              S2126T的Telnet功能开启(缺省情况下开启Telnet服务器,具体配置请参见“10.13.5  2. 开启/关闭TELNET服务器”)。

l              在S2126T上配置Telnet用户本地认证密码(缺省采用本地认证方式,具体配置请参见“5.3  设置Web参数及Telnet用户认证方式”或“10.2.3  3. 设置VTY用户认证”)。

l              请确认终端能通过Telnet方式访问S2126T(缺省情况下允许所有终端通过Telnet方式访问交换机,具体配置请参见“5.9  设置管理PC控制”或“10.13.6  设置管理PC控制”)。

l              在S2126T上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);

l              将与终端相连的以太网端口加入该管理VLAN(在VLAN视图下使用port命令);

l              如果终端和S2126T在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和S2126T必须路由可达。

2. 搭建配置环境

(1)        将管理计算机的以太网口通过局域网与S2126T的以太网端口连接。

(2)        在管理计算机上选择[开始/运行],并输入“telnet: 192.168.0.234(以S2126T缺省的IP地址为例)”,单击<确定>按钮。

(3)        终端上显示“Password”字样,要求您输入登录密码。确认后出现命令行提示符(如<H3C>)。此时您就可以对S2126T进行配置了,具体的配置命令请参考本书中以后各章节的内容。

当您通过Telnet方式配置S2126T时,请不要删除管理VLAN接口,也不要修改管理VLAN接口的IP地址,否则会导致Telnet连接断开。

 

10.1.3  命令行使用指导

S2126T向您提供一系列的配置命令以及命令行接口,以方便您配置和管理。命令行接口有如下特性:

l              配置命令分级保护,确保未授权用户无法侵入交换机;

l              您可以随时键入“?”以获得在线帮助

l              提供种类丰富、内容详尽的调试信息,帮助诊断网络故障;

l              提供类似Doskey的功能,可以执行某条历史命令;

l              命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。

1. 命令行视图

命令行提供如下视图:

l              用户视图;

l              系统视图;

l              用户界面视图;

l              VLAN视图;

l              VLAN接口视图;

l              用户组视图;

l              以太网端口视图;

l              RADIUS方案视图。

各命令视图的功能特性、进入各视图的命令等细则如下图所示,其中端口编号仅供举例参考。

表10-1 命令视图功能特性列表

视图

功能

提示符

进入命令

退出命令

用户视图

查看交换机的运行状态和统计信息,进行简单的系统管理

<H3C>

与交换机建立连接即进入

quit断开与交换机连接

系统视图

配置、查看系统参数

[H3C]

在用户视图下键入system-view

quit返回用户视图

return返回用户视图

以太网端口视图

配置以太网端口参数

[H3C-Ethernet0/1]

固定以太网端口视图:在系统视图下键入interface Ethernet0/1

quit返回系统视图

return返回用户视图

VLAN视图

配置VLAN参数

[H3C-Vlan1]

在系统视图或以太网端口视图下键入vlan 1

VLAN接口视图

配置VLAN对应的IP接口参数

[H3C-Vlan-interface1]

在系统视图、以太网端口视图或VLAN视图下键入interface vlan-interface 1

用户组视图

配置基于端口的VLAN参数

[H3C-UserGroup1]

在系统视图下键入user-group 1

用户界面视图

配置用户界面参数

[H3C-Aux0]

在系统视图下键入user-interface aux 0

[H3C-vty0]

在系统视图下键入user-interface vty 0

RADIUS方案视图

配置RADIUS方案

[H3C-radius-system]

在系统视图下键入

radius scheme system

 

2. 命令行在线帮助

以下显示的内容均为示例,请以实际的显示情况为准。

 

通过命令行在线帮助,您可以查询命令信息以及快速输入命令。描述如下:

(1)        在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。

<H3C> ?

  debugging    Enable system debugging functions

  display      Display current system information

  ping         Ping function

  quit         Exit from current command view

  reboot       Reset switch

  reset        Reset operation

  save         Save current configuration

  system-view  Enter the system view

  terminal     Specify the terminal characteristics

  undo         Cancel current setting

(2)        键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。

<H3C> display ?

  aaa                    AAA information

  arp                    Display ARP information

  controller             Controller

  current-configuration  Current configuration

  debugging              Current setting of debugging switches

  device                 Device

  dhcp-statistics        Display dhcp clinet information

  dot1x                  802.1x status information

  igmp-snooping          IGMP snooping

  info-center            Information center status and configuration

                         information

  interface              Interface status and configuration information

  ip                     IP status and configuration information

  isolate                Display isolate port

  isolate-user-vlan      Display isolate-user-VLAN characteristic

  lacp                   LACP protocol

  link-aggregation       Ports aggregation mode

  local-user             Local user(s) information

  logbuffer              Display logbuffer information

  mac-address            MAC address information

  mirror                 display the mirroring port

  priority-trust         Priority trust mode

  queue-scheduler        Queue scheduling configuration information

  ---- More ----                                                           

(3)        键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。

<H3C> s?

   save   system-view

(4)        键入一命令,后接一字符串紧接<?>,列出命令以该字符串开头的所有关键字。

<H3C> display u?

   user-group   user-interface   users

(5)        键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。

<H3C> disp  ¬按下<Tab>键

<H3C> display

3. 命令行错误信息

所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见下表。

表10-2 命令行常见错误信息表

英文错误信息

错误原因

Unrecognized command

没有查找到命令

没有查找到关键字

参数类型错误

参数值越界

Incomplete command

输入命令不完整

Too many parameters

输入参数太多

Ambiguous command

输入命令不明确

Wrong parameter

输入参数错误

 

4. 历史命令

命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如下所示。

表10-3 访问历史命令

操作

按键

结果

访问上一条历史命令

上光标键<↑>

如果还有更早的历史命令,则取出上一条历史命令

访问下一条历史命令

下光标键<↓>

如果还有更晚的历史命令,则取出下一条历史命令

 

用光标键对历史命令进行访问,在Windows NT的超级终端下是有效的,但对于Windows 9X的超级终端,<↑>、<↓>光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替<↑>、<↓>光标键达到同样目的。

 

5. 编辑特性

命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为254个字符,如下所示。

表10-4 编辑功能表

按键

功能

普通按键

若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标

退格键<Backspace>

删除光标位置的前一个字符,光标前移

 

6. 显示特性

在一次显示信息超过一屏时,提供了暂停功能,这时您可以根据需要选择显示方式,如下所示。

表10-5 显示功能表

按键或命令

功能

暂停显示时键入回车键<Enter>

显示下一行信息

暂停显示时键入空格键

显示下一屏信息

暂停显示时键入其他键

退出显示

 

10.2  用户设置

10.2.1  设置用户分级保护密码

S2126T支持两个级别的用户:

l              普通用户:仅可以在用户视图下对S2126T执行简单的查询操作;

l              管理用户:可以对S2126T执行监控、配置、管理等操作。

缺省情况下,进入系统视图时不需要输入密码。但您可以在S2126T系统视图下配置分级保护密码,使用户进入系统视图时进行身份验证。当进行身份验证时,如果在三次以内输入了正确的密码,则切换到管理用户,否则保持原普通用户级别不变。

表10-6 设置用户分级保护密码

操作

命令

说明

进入系统视图

system-view

-

设置分级保护密码

super password { cipher | simple }  password

cipher:在配置文件中以密文方式显示口令

simple:在配置文件中以明文方式显示口令

password:口令字符串。如果验证方式是simple,则password必须是明文口令,取值范围为1~12个字符的字符串;如果验证方式是cipher,则用户在设置password时有两种方式:

l      一种是输入小于等于12字符的明文口令,系统会自动转化为24位的密文形式;

l      另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:密文“_(TT8F]Y\5SQ=^Q`MAF4<1!!”对应的明文是“1234567”

注意:

不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令

删除分级保护密码

undo super password

-

 

10.2.2  设置AUX用户

AUX用户界面用于通过Console口对S2126T进行访问。S2126T只支持一个AUX用户界面。

1. 进入AUX用户界面视图

表10-7 进入用户界面视图

操作

命令

说明

进入系统视图

system-view

-

进入用户界面视图

user-interface aux number

number:需要配置的用户界面的编号,可选值为0

 

2. 设置终端属性

表10-8 设置终端属性

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux number

number:需要配置的用户界面的编号,可选值为0

设置用户超时断连功能

idle-timeout minutes [ seconds ]

l      minutes:配置连接用户超时中断时间的分钟数,取值范围为0~35791

l      seconds:配置连接用户超时中断时间的秒数,取值范围为0~59

l      idle-timeout 0表示禁用超时中断连接功能

缺省情况下,在所有的用户界面上启用了超时断连功能,时间为5分钟。也就是说,如果5分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

恢复用户超时断连为缺省值

undo idle-timeout

-

 

3. 设置AUX用户认证

当您设置了AUX用户认证功能后,则通过Console口登录到S2126T时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。

表10-9 设置AUX用户认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux number

number:需要配置的用户界面的编号,可选值为0

选择AUX用户认证方式

不认证

authentication-mode none

cipher:设置本地认证口令以密文方式显示

simple:设置本地认证口令以明文方式显示

password:口令字符串。如果验证方式是simple,则password必须是明文口令;如果验证方式是cipher,则用户在设置password时有两种方式:

l      一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式

l      另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!”

缺省情况下,AUX用户认证方式为不认证

说明:

l      undo set authentication password命令用于删除本地认证密码

l      当选择远程认证方式时,您需要架设Radius服务器来进行用户名和密码的维护。有关Radius的相关描述,可参见“8.2.4  设置Radius Client

注意:

不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令

本地认证

authentication-mode password

set authentication password   { cipher | simple }  password

undo set authentication password

远程认证

authentication-mode scheme

 

10.2.3  设置VTY用户

VTY用户界面用于通过Telnet方式对S2126T进行设置。S2126T支持两个VTY用户界面,VTY0和VTY1。

1. 进入VTY界面视图

表10-10 进入VTY界面视图

操作

命令

说明

进入系统视图

system-view

-

进入VTY界面视图

user-interface vty number

number:需要配置的用户界面的编号,可选值为0、1

 

2. 设置终端属性

表10-11 设置终端属性

操作

命令

说明

进入系统视图

system-view

-

进入VTY界面视图

user-interface vty number

number:需要配置的用户界面的编号,可选值为0、1

设置用户超时退出功能

idle-timeout minutes [ seconds ]

l      minutes:设置连接用户超时中断时间的可选取的分钟的取值,取值范围为0~35791

l      seconds:设置连接用户超时中断时间的可选取的秒的取值,取值范围为0~59

l      idle-timeout 0表示禁用超时中断连接功能

缺省情况下,VTY界面上启用了超时退出功能,时间为5分钟。也就是说,如果5分钟内某VTY界面没有用户进行操作,则该Telnet用户将被自动断开

恢复用户超时退出为缺省值

undo idle-timeout

-

 

3. 设置VTY用户认证

当您设置了VTY用户认证功能后,则通过Telnet方式登录到S2126T时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。

表10-12 设置VTY用户认证

操作

命令

说明

进入系统视图

system-view

-

进入VTY用户界面视图

user-interface vty number

number:需要配置的用户界面的编号,可选值为0、1

选择VTY用户认证方式

不认证

authentication-mode none

cipher:设置本地认证口令以密文方式显示

simple:设置本地认证口令以明文方式显示

password:口令字符串。如果验证方式是simple,则password必须是明文口令;如果验证方式是cipher,则用户在设置password时有两种方式:

l      一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式

l      另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!”

缺省情况下,VTY用户认证方式为本地认证

说明:

l      undo set authentication password命令用于删除本地认证密码

l      当选择远程认证方式时,您需要架设Radius Server来进行用户名和密码的维护。有关Radius Client的相关描述和操作,可参见“8.2.4  设置Radius Client

注意:

不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令

本地认证

authentication-mode password

set authentication password  { cipher | simple } password

undo set authentication password

远程认证

authentication-mode scheme

 

10.2.4  显示用户界面

表10-13 显示用户界面

操作

命令

说明

显示用户界面的使用信息

display users

显示命令可在任意视图下执行

显示用户界面状态和配置信息

display user-interface

 

例:显示用户界面的使用信息。

<H3C>display users

      UI      Delay     Type IPaddress        Username                         U

serlevel

  1   VTY 0   00:00:00  TEL  192.200.200.158  admin                            1

  3   WEB 0   00:00:00  WEB  192.200.200.245  admin                            1

              00:00:22  WEB  192.200.200.158  admin                            1

表10-14 display users显示信息描述表

字段

描述

F

表示当前正在使用的用户界面,且工作在异步方式

UI

第一列是用户界面的类型,可显示AUX、WEB、VTY

第二列是用户界面的相对编号

Delay

表示用户自最近一次输入到现在的时间间隔,形式为“时:分:秒”

Type

用户类型

IPaddress

显示起始连接位置,即接入的主机IP地址

Username

登录S2126T的用户名

Userlevel

用户等级,0为普通用户、1为管理用户

 

10.3  系统IP设置

S2126T任何时刻只能有一个VLAN对应的VLAN接口可以设置IP地址,该VLAN即为管理VLAN。如果您想对S2126T进行远程管理,必须设置S2126T管理VLAN接口的IP地址。

10.3.1  系统IP设置

1. 创建新的管理VLAN

在创建新的管理VLAN之前,该VLAN必须已经存在,且需要删除当前的管理VLAN接口。

 

表10-15 创建新的管理VLAN

操作

命令

说明

进入系统视图

system-view

-

创建新的管理VLAN

management-vlan vlan-id

vlan-id:VLAN的ID,取值范围为1~4094

缺省情况下,S2126T的管理VLAN为VLAN 1

恢复管理VLAN为缺省配置

undo management-vlan

-

 

2. 创建/删除管理VLAN接口

在配置本任务之前,您需要先创建管理VLAN,相关操作可参见“1. 创建新的管理VLAN”。

 

表10-16 创建/删除管理VLAN接口

操作

命令

说明

进入系统视图

system-view

-

创建并进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

删除管理VLAN接口

undo interface vlan-interface vlan-id

-

 

3. 设置管理VLAN接口描述

表10-17 设置VLAN接口描述

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

设置管理VLAN接口描述

description text

text:描述管理VLAN接口的字符串,可以包含特殊字符,不包括空格,长度为1~80个字符

缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-Interface1 Interface”

恢复管理VLAN接口缺省描述

undo description

-

 

4. 指定/删除管理VLAN接口的静态IP地址

表10-18 指定/删除管理VLAN接口的静态IP地址

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

指定管理VLAN接口的静态IP地址

ip address ip-address { ip-mask | ip-mask-length }

l      ip-address:管理VLAN接口的IP地址

l      ip-mask:管理VLAN接口静态IP地址的掩码

l      ip-mask-length:子网掩码的长度

缺省情况下,管理VLAN接口IP地址:192.168.0.234,子网掩码:255.255.255.0

删除管理VLAN接口的静态IP地址

undo ip address

-

 

 

例:为管理VLAN 20指定IP地址和掩码。

# 删除原来的管理VLAN接口。

<H3C> system-view

[H3C] undo interface vlan-interface 1

# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。

[H3C] vlan 20

[H3C-Vlan20] quit

[H3C] management-vlan 20

[H3C] interface vlan-interface 20

# 指定管理VLAN 20接口的IP地址和掩码。

[H3C-Vlan-interface20] ip address 192.168.0.55 24

5. 动态分配/取消动态分配管理VLAN接口的IP地址

表10-19 动态分配/取消动态分配管理VLAN接口的IP地址

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

动态分配管理VLAN接口的IP地址

ip address dhcp-alloc

通过DHCP方式获取IP地址的同时可以动态获取网关,无需重新配置接口网关

恢复管理VLAN接口IP地址为动态分配前的静态IP地址

undo ip address dhcp-alloc

-

 

6. 指定/删除管理VLAN接口网关

表10-20 指定/删除管理VLAN接口网关

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

指定管理VLAN接口网关

ip gateway ip-address

ip-address:网关的IP地址

缺省情况下,无网关IP地址

删除管理VLAN接口网关

undo ip gateway

-

 

例:为管理VLAN 20指定静态IP地址、掩码和网关。

# 删除原来的管理VLAN接口。

<H3C> system-view

[H3C] undo interface vlan-interface 1

# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。

[H3C] vlan 20

[H3C-Vlan20] quit

[H3C] management-vlan 20

[H3C] interface vlan-interface 20

# 为管理VLAN 20接口指定IP地址和掩码。

[H3C-Vlan-interface20] ip address 192.168.0.55 255.255.255.0

# 为管理VLAN 20接口指定网关。

[H3C-Vlan-interface20] ip gateway 192.168.0.1

7. 开启/关闭管理VLAN接口

l    管理VLAN接口的启用/禁用状态对属于该管理VLAN的以太网端口的启用/禁用状态没有影响。

l    缺省情况下,当管理VLAN接口对应VLAN下的所有以太网端口状态为Down时,则管理VLAN接口为Down(关闭)状态;当管理VLAN接口对应VLAN下至少有一个以太网端口处于Up状态时,管理VLAN接口为Up(开启)状态。

 

表10-21 开启/关闭管理VLAN接口

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

关闭管理VLAN接口

shutdown

-

开启管理VLAN接口

undo shutdown

-

 

10.3.2  系统IP显示和调试

1. 显示系统IP信息

在完成上述配置后,在任意视图下执行display命令可以显示配置后系统IP的运行情况,通过查看显示信息验证配置的效果。

表10-22 显示系统IP信息

操作

命令

说明

查看系统IP信息

display ip

显示命令可在任意视图下执行

查看管理VLAN接口的相关信息

display interface vlan-interface [ vlan-id ]

显示命令可在任意视图下执行

vlan-id:管理VLAN的ID,其取值范围为1~4094

 

2. 开启/关闭IP调试开关

表10-23 开启/关闭IP调试开关

操作

命令

说明

开启IP调试开关

debugging ip packet

此命令需在用户视图下执行

缺省情况下,系统IP调试开关处于关闭状态

关闭IP调试开关

undo debugging ip packet

-

 

相关配置可参考命令display debuggingterminal debugging

例:开启IP调试开关。

<H3C> debugging ip packet

<H3C> terminal debugging

Jan  1 02:18:59 0000 [IP]/7/Receiving:interface=Vlan-interface1, version=4, tos=0, pktlen=48, pktid=10378, offset=16384, ttl=128, protocol=6, checksum=22241 , s=222.222.222.193, d=222.222.222.221

表10-24 debugging ip packet命令显示域说明表

字段

描述

receiving/Sending

正在接收/发送一个IP报文

interface

VLAN虚接口

version

协议版本号

tos

服务类型

pktlen

报文总长度

pktid

报文标识

offset

片偏移

ttl

生存时间

protocol

协议类型

checksum

首部校验和

s

源IP地址

d

目的IP地址

 

10.4  设置DHCP Client功能

1. 通过DHCP方式获取IP地址

表10-25 通过DHCP方式获取IP地址

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

设置管理VLAN接口通过DHCP方式获取IP地址

ip address dhcp-alloc

缺省情况下,管理VLAN接口不通过DHCP方式获取IP地址

取消管理VLAN接口通过DHCP方式获取IP地址

undo ip address dhcp-alloc

取消了以DHCP方式获取IP地址后,如果原先已经配置了静态IP地址并进行了保存,则该静态IP地址立即生效

 

2. 显示DHCP Client获取的地址信息

表10-26 显示DHCP Client获取的地址信息

操作

命令

说明

显示DHCP Client获取的地址信息

display dhcp-statistics

显示命令可在任意视图下执行

 

例:设置并显示S2126T通过DHCP方式获取IP地址。

# 进入管理VLAN接口。

<H3C> system-view

[H3C] interface vlan-interface 1

# 进入管理VLAN接口,并设置通过DHCP方式获取IP地址。

[H3C-Vlan-interface1] ip address dhcp-alloc

# 显示IP地址信息。

[H3C-Vlan-interface1] display dhcp-statistics

DHCP client statistic infomation:

Vlan-interface1

DHCP client: enabled

Current machine state:  BOUND

Alloced IP:  192.168.1.100  255.255.255.0

Gateway IP:  192.168.1.1

Alloced lease:  86400  seconds,

T1 left:  43188  seconds,

T2 left:  75588  seconds,

Server IP:  192.168.1.1

从以上信息可以看到获得的IP地址是192.168.1.100,子网掩码是255.255.255.0,网关地址是192.168.1.1。

3. 开启/关闭DHCP Client调试开关

表10-27 开启/关闭DHCP Client调试开关

操作

命令

说明

开启DHCP Client的调试开关

debugging dhcp-alloc

此命令需在用户视图下执行

缺省情况下,DHCP Client 的调试开关处于关闭状态

关闭DHCP Client的调试开关

undo debugging dhcp-alloc

-

 

相关配置可参考命令display debuggingterminal debugging

10.5  以太网端口设置

10.5.1  以太网端口基本设置

1. 进入以太网端口视图

如果您想对以太网端口进行配置,首先要进入以太网端口视图。

表10-28 进入以太网端口视图

操作

命令

说明

 

进入系统视图

system-view

-

 

进入以太网端口视图

interface Ethernet interface-number

interface description text

interface-number:端口号,采用“槽位编号/端口编号”的格式。S2126T的槽位编号只能取0,S2126T端口编号取值范围为1~26

当您设置了以太网端口描述后,您便可通过interface description text命令直接使用该描述进入相应的端口视图

 

2. 设置以太网端口描述

表10-29 设置以太网端口描述

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口描述

description text

text:描述以太网端口的字符串,不包括空格

缺省情况下,以太网端口描述为空,长度为1~80个字符

删除以太网端口描述

undo description

-

 

3. 开启/关闭以太网端口

表10-30 开启/关闭以太网端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

关闭以太网端口

shutdown

缺省情况下,端口处于开启状态

开启以太网端口

undo shutdown

-

 

4. 设置以太网端口速率和双工状态

当端口工作在非自协商模式时,如果不能与对端建立正常连接,请尝试修改其端口网线类型(MDI/MDIX),如何设置网线类型请参见“11. 设置以太网端口网线类型”。

 

表10-31 设置以太网端口速率和双工状态

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口的速率

speed { 10 | 100 | 1000 | auto }

l      10:当前端口速率为10Mbps

l      100:当前端口速率为100Mbps

l      1000:当前端口速率为1000Mbps

l      auto:当前端口速率为自协商方式

缺省情况下,端口的速率为自协商方式

设置以太网端口的双工状态

duplex { auto | full | half }

l      auto:当前端口双工状态为自协商方式

l      full:当前端口双工状态为全双工状态

l      half:当前端口双工状态为半双工状态

缺省情况下,端口的双工状态为自协商方式

 

5. 开启/关闭以太网端口的流量控制

表10-32 开启/关闭以太网端口的流量控制

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

开启以太网端口的流量控制

flow-control

缺省情况下,以太网端口的流量控制处于关闭状态

关闭以太网端口流量控制

undo flow-control

-

 

6. 设置以太网端口广播风暴抑制

表10-33 设置以太网端口广播风暴抑制

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口的广播风暴抑制比例

broadcast-suppression pct

pct:广播风暴的抑制百分比。可取的值为:5、10、20、100

缺省情况下,允许通过的广播流量为100%,即对广播流量不进行抑制

恢复以太网端口的广播风暴抑制比例为缺省值

undo broadcast-suppression

-

 

7. 设置以太网端口的自环测试

自环测试是用于检验以太网端口是否能正常工作。测试时端口将不能正确转发报文,在执行一定时间后,环回测试会自动结束。

表10-34 设置以太网端口的自环测试

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口进行内环测试

loopback internal

内环测试是在交换芯片内部建立自环,可定位芯片内与该端口相关的功能是否出现故障

设置以太网端口进行外环测试

loopback external

外环检测是检查端口的硬件功能是否出现故障

l      端口必须处于UP的状态

l      需要插接自环头

 

l    在外环测试结束后,您务必将自环头拔下,以免造成网络故障。

l    使用loopback命令进行自环测试时,端口将禁止转发报文。经过一定时间后,自环测试将自动结束并上报自环测试结果。

l    如果您在端口上执行了shutdown命令后,则此端口不能进行自环测试。

l    在自环测试期间,请勿在端口上进行任何操作。

l    在外环测试前,您务必将端口的双工模式设置为全双工或者自协商。因为,半双工模式会导致测试出错。

 

8. 设置以太网端口链路类型

表10-35 设置以太网端口链路类型

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置端口为Access端口

port link-type access

缺省情况下,端口链路类型为Access

设置端口为Hybrid端口

port link-type hybrid

设置端口为Trunk端口

port link-type trunk

恢复端口的链路类型为缺省值

undo port link-type

-

 

 

9. 设置以太网端口的缺省VLAN ID

l              设置Hybrid端口的缺省VLAN ID

表10-36 设置Hybrid端口的缺省VLAN ID

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置Hybrid端口的缺省VLAN ID

port hybrid pvid vlan vlan-id

vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1

恢复Hybrid端口的缺省VLAN ID为缺省值

undo port hybrid pvid

-

 

l              设置Trunk端口的缺省VLAN ID

表10-37 设置Trunk端口的缺省VLAN ID

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置Trunk端口的缺省VLAN ID

port trunk pvid vlan vlan-id

vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1

恢复Trunk端口的缺省VLAN ID为缺省值

undo port trunk pvid

-

 

10. 将以太网端口加入到指定VLAN

l              将Access端口加入到指定VLAN

表10-38 将Access端口加入到指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将Access端口加入到指定VLAN

port access vlan vlan-id

vlan-idIEEE802.1q中定义的VLAN ID,取值范围为24094,且必须已经存在

缺省情况下,Access端口属于VLAN 1

将Access端口从指定VLAN删除

undo port access vlan

-

 

l              将Hybrid端口加入到指定VLAN

表10-39 将Hybrid端口加入到指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将Hybrid端口加入到指定VLAN

port hybrid vlan vlan-id-list { tagged | untagged }

l      vlan-id-listvlan-id-list = vlan-id1 [ to vlan-id2 ],为此Hybrid端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在

l      tagged:端口在转发指定的VLAN报文时将保留VLAN Tag

l      untagged:端口在转发指定的VLAN报文时将不保留VLAN Tag

Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的集合

将Hybrid端口从指定VLAN中删除

undo port hybrid vlan vlan-id-list

-

 

l              将Trunk端口加入到指定VLAN

表10-40 将Trunk端口加入到指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将Trunk端口加入到指定VLAN

port trunk permit vlan { vlan-id-list | all }

l      vlan-id-listvlan-id-list = vlan-id1 [ to vlan-id2 ],为此Trunk端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在

l      all:将Trunk端口加入到所有VLAN中

Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合

将Trunk端口从指定VLAN中删除

undo port trunk permit vlan { vlan-id-list | all }

-

 

11. 设置以太网端口网线类型

以太网端口的网线有直通网线及交叉网线,可以使用该命令对网线类型进行设置。

表10-41 设置以太网端口网线类型

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口的网线类型

mdi { across | auto | normal }

l      across:连接网线类型为交叉网线

l      auto:自动识别是直通网线还是交叉网线

l      normal:连接网线类型为直通网线

缺省情况下,端口的网线类型为auto类型

恢复以太网端口网线类型的缺省值

undo mdi

-

 

12. 设置以太网端口隔离

表10-42 设置以太网端口隔离

操作

命令

说明

 

进入系统视图

system-view

-

 

将以太网端口加入到隔离组

在系统视图下操作

port isolate port-list

两者必选其一

port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ Ethernetinterface-number [ to Ethernet interface-number ] }&<1-5>。&<1-5>表示前面的参数最多可以输入5次

缺省情况下,端口未加入到隔离组

在以太网端口视图下操作

interface Ethernet interface-number

port isolate

将以太网端口从隔离组中删除

在系统视图下操作

undo port isolate port-list

-

在以太网端口视图下操作

interface Ethernet interface-number

undo port isolate

显示隔离组中的端口信息

display isolate port

显示命令可在任意视图下执行

 

10.5.2  设置以太网端口聚合

1. 创建聚合组

表10-43 创建聚合组

操作

命令

说明

进入系统视图

system-view

-

创建聚合组

link-aggregation group agg-id mode { manual | static }

l      agg-id:汇聚组ID,取值范围为1~6

l      manual:手工聚合

l      static:静态LACP聚合

缺省情况下,采用手工聚合。当采用静态LACP聚合时,您可以通过4. 设置LACP特性来设置LACP的相关参数

删除聚合组

undo link-aggregation group agg-id

-

 

2. 将以太网端口加入到聚合组

表10-44 将以太网端口加入到聚合组

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将以太网端口加入到聚合组

port link-aggregation group agg-id

agg-id:已创建的汇聚组ID

将以太网端口从聚合组中删除

undo port link-aggregation group

-

 

3. 设置以太网端口汇聚模式

表10-45 设置以太网端口汇聚模式

操作

命令

说明

进入系统视图

system-view

-

设置以太网端口聚合模式

link-aggregation mode { egress | ingress | both }

l      egress:聚合组中各成员端口根据目的MAC地址进行负荷分担

l      ingress:聚合组中各成员端口根据源MAC地址进行负荷分担

l      both:聚合组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担

缺省情况下,以太网端口聚合模式为both模式

恢复以太网端口聚合模式为缺省设置

undo link-aggregation mode

-

 

4. 设置LACP特性

l              设置LACP系统优先级

表10-46 设置LACP系统优先级

操作

命令

说明

进入系统视图

system-view

-

设置LACP系统优先级

lacp system-priority system-priority

system-priority:LACP系统优先级,取值范围为0~65535

缺省情况下,LACP系统优先级为32768

恢复LACP系统优先级为缺省值

undo lacp system-priority

-

 

l              设置LACP端口优先级

表10-47 设置LACP端口优先级

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

设置LACP端口优先级

lacp port-priority port-priority

port-priority:LACP端口优先级,取值范围为0~65535

缺省情况下,LACP端口优先级为32768

恢复LACP端口优先级为缺省值

undo lacp port-priority

-

 

5. 显示以太网端口汇聚设置

表10-48 显示以太网端口汇聚设置

操作

命令

说明

显示以太网端口汇聚详细信息

display link-aggregation [ Ethernet interface-number ]

显示命令可在任意视图下执行

显示所有汇聚组的摘要信息

display link-aggregation summary

显示指定汇聚组的详细信息

display link-aggregation verbose [ agg-id ]

显示本端系统的设备ID

display lacp system-id

 

例:显示汇聚端口组的相关信息。

<H3C> display link-aggregation summary

Aggregation Group Type:D -- Dynamic, S -- Static , M -- Manual

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing

Actor ID: 0x8000, 000f-e20f-5104

Aggregation Mode: both

 

  AL  AL   Partner ID            Select Standby   Share Master

  ID  Type                       Ports  Ports     Type  Port

--------------------------------------------------------------------------

  1   M    none                  2      0         Shar  Ethernet0/12

表10-49 display link-aggregation summary命令显示信息描述表

字段

描述

Aggregation Group Type

汇聚组类型:S表示静态LACP聚合、M表示手工聚合

Loadsharing Type

负载分担类型:Shar表示负载分担类型,NonS表示非负载分担类型

Actor ID

本端设备ID

AL ID

汇聚组ID

AL Type

汇聚组类型,分为静态汇聚和手工汇聚

Partner ID

对端设备ID,包括对端设备的系统优先级和系统MAC地址

Select Ports

Selected端口数

Standby Ports

Standby端口数

Share Type

负载分担类型

Master Port

汇聚组中端口号最小的端口

 

 

10.5.3  设置以太网端口镜像

1. 设置监控端口

当设置了新的监控端口后,原来的监控端口将被自动取消,被镜像端口不变。

 

表10-50 设置监控端口

操作

命令

说明

进入系统视图

system-view

-

设置监控端口

monitor-port Ethernet interface-number

-

删除监控端口

undo monitor-port

-

 

2. 设置被镜像端口

表10-51 设置被镜像端口

操作

命令

说明

进入系统视图

system-view

-

设置被镜像端口

mirroring-port Ethernet interface-number [ to Ethernet interface-number ] { inbound | outbound | both }

l      inbound仅对端口接收的报文进行监控

l      outbound仅对端口发送的报文进行监控

l      both同时对端口接收和发送的报文进行监控

删除以太网被镜像端口

undo mirroring-port Ethernet interface-number [ to Ethernet interface-number ] { inbound | outbound | both }

l      inbound只取消对端口接收报文的监控

l      outbound只取消对端口发送报文的监控

l      both同时取消对端口接收和发送报文的监控

 

3. 显示以太网端口镜像状态

表10-52 显示以太网端口镜像状态

操作

命令

说明

显示以太网端口镜像状态

display mirror

显示命令可在任意视图下可执行

 

10.5.4  设置以太网端口限速

表10-53 设置以太网端口限速

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口限速

line-rate { inbound | outbound } target-rate

l      inbound:对端口接收报文进行速率限制

l      outbound:对端口发送报文进行速率限制

l      target-rate:对端口发送或接收报文限制的总速率,端口级别取值范围为1~240。其中取值范围为1~28时,端口速率为:target-rate×64,即64Kbps、128Kbps、192Kbps……1.792Mbps;取值范围为29~127时,端口速率为:(target-rate-27)×1024,即2Mbps、3Mbps、4Mbps……100Mbps;取值范围为128~240时,(target-rate-115)×8×1024,即104Mbps、112Mbps、120Mbps……1000Mbps。

取消端口限速的设置

undo line-rate { inbound | outbound }

l      inbound只取消对端口接收报文进行速率限制

l      outbound只取消对端口发送报文进行速率限制

 

10.5.5  诊断以太网端口电缆状态

表10-54 诊断以太网端口电缆状态

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

诊断端口的电缆状态

virtual-cable-test

-

 

例:对端口Ethernet0/4进行电缆诊断。

<H3C> system-view

[H3C] interface Ethernet0/4

[H3C-Ethernet0/4] virtual-cable-test

Cable pair 1  Status: OPEN            Cable lenth: 1 metres  +/- 0

Cable pair 2  Status: OPEN            Cable lenth: 1 metres  +/- 0

表10-55 电缆诊断说明

显示

说明

Cable pair 1  Status:

FINE:表示已连接

OPEN:表示端口未连接

SHORT:表示短路

UNKNOWN:表示未知

NORMAL:表示正常

Cable lenth:

端口连接电缆的长度(可能存在一定误差,结果仅供参考)

 

10.5.6  设置端口和MAC地址绑定

1. 设置端口MAC地址过滤

操作

命令

说明

 

进入系统视图

system-view

-

 

开启端口MAC地址过滤功能

在系统视图下操作

mac port-binding port-list

两者必选其一

port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ Ethernetinterface-number [ to Ethernet interface-number ] }。

缺省情况下,关闭端口MAC地址过滤功能

在以太网端口视图下操作

interface Ethernet interface-number

mac port-binding

关闭端口MAC地址过滤功能

在系统视图下操作

undo mac port-binding port-list

-

在以太网端口视图下操作

interface Ethernet interface-number

undo mac port-binding

 

2. 设置端口和MAC地址绑定

表10-56 设置端口和MAC地址绑定

操作

命令

说明

进入系统视图

system-view

-

设置端口和MAC地址绑定

mac-address port-binding mac-address interface Ethernet interface-number vlan vlan-id

l      mac-address:需要和端口进行绑定的MAC地址

l      vlan-id:该端口所属的VLAN

取消端口和MAC地址绑定

undo mac-address port-binding mac-address interface Ethernet interface-number  vlan vlan-id

-

 

3. 显示端口和MAC地址绑定状态

表10-57 显示端口和MAC地址绑定状态

操作

命令

说明

显示端口和MAC地址绑定状态

display mac-address port-binding

-

 

10.5.7  显示与维护以太网端口

表10-58 显示与维护以太网端口

操作

命令

说明

显示端口的状态信息

display interface Ethernet interface-number

显示命令可在任意视图下执行

显示端口的概要信息

display brief interface

显示命令可在任意视图下执行

清除端口的统计信息

reset counters interface [ Ethernet interface-number ]

此命令需在用户视图下执行

 

例:显示端口Ethernet 0/7的状态信息。

<H3C> display interface Ethernet0/7

Ethernet0/7  current state: UP

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0808-0909-0101

Media type is twisted pair

Port hardware type is 100_BASE_TX

10Mbps-speed mode, full-duplex mode

Link speed type is autonegotiation, link duplex type is autonegotiation

Inbound line-rate is disabled

Outbound line-rate is disabled

Flow control is enabled

The Maximum Frame Length is 2048

Broadcast MAX-ratio: 100%

Priority: 0

PVID: 2

Mdi type: auto

Port link-type: access

 Tagged   VLAN ID: none

 Untagged VLAN ID: 2

Input(total):  0 packet(s), 0 byte(s)

        0 broadcast(s), 0 multicast(s), 0 pause(s)

Input(error):  0 input error(s), 0 runt(s), 0 giant(s), 0 CRC

        0 frame, 0 abort(s), 0 ignored, 0 Jabber(s)

Output(total):  0 packet(s), 0 byte(s)

        0 broadcast(s), 0 multicast(s), 0 pause(s)

Output(error):  0 output error(s), 0 abort(s), 0 deferred

        0 collision(s), 0 late collision(s)

 

表10-59 display interface Ethernet命令显示信息描述表

字段

描述

Ethernet0/7 current state

端口状态

IP Sending Frames' Format is

帧格式

Hardware address is

交换机MAC地址

The Maximum Transmit Unit is

最大传输单元

Media type is

端口连接线类型

Port hardware type is

端口硬件类型

Link speed type is

端口速率

link duplex type is

端口双工模式

Inbound line-rate is

入端口限速

Outbound line-rate is

出端口限速

Flow control is

流控

The Maximum Frame Length is

最大帧长

Description

端口描述

Broadcast MAX-ratio:

广播风暴抑制率

Priority:

端口优先级

PVID:

端口VLAN ID

Port link-type:

端口类型,有access端口、hybrid端口、trunk端口三种

Tagged VLAN ID:

该端口允许通过的VLAN ID,且在报文中带该VLAN ID的tag。

Untagged VLAN ID:

该端口允许通过的VLAN ID,且在报文中不带该VLAN ID的tag

Input(total):

统计端口接收的正确报文总数和字节总数

Input(error):

统计端口接收的错误报文总数和字节总数

Output(total):

统计端口发送的正确报文总数和字节总数

Output(error):

统计端口发送的错误报文总数和字节总数

 

 

10.6  VLAN设置

10.6.1  设置802.1q VLAN

l    当VLAN模式为802.1q VLAN且处于缺省状态时,在系统视图下新增用户组操作,系统会自动切换到基于端口的VLAN状态,相关操作请参见“10.6.2  1. 创建/删除用户组”。

l    802.1q VLAN的缺省状态为只存在VLAN 1,且所有端口为Access端口。

 

1. 创建/删除VLAN

创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN视图。

缺省VLAN和管理VLAN不能被删除。

 

表10-60 创建/删除VLAN

操作

命令

说明

进入系统视图

system-view

-

创建VLAN并进入VLAN视图

vlan vlan-id

vlan-id:VLAN的ID,取值范围为1~4094

缺省情况下,只存在VLAN 1,且VLAN 1中包含所有的端口

删除已创建的VLAN

undo vlan { vlan-id [ to vlan-id ] | all }

all:删除缺省VLAN和管理VLAN外的所有VLAN

 

2. 设置VLAN描述

表10-61 设置VLAN描述

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

设置VLAN描述

description text

text : 描述VLAN或VLAN接口的字符串,可以包含特殊字符,不包括空格,区分大小写

缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001”

恢复VLAN描述为缺省值

undo description

-

 

3. 将Access端口加入指定VLAN

表10-62 将Access端口加入指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

将Access端口加入指定VLAN

port Ethernet interface-number [ to Ethernet interface-number ]

缺省情况下,所有端口都属于VLAN 1

将Access端口从VLAN中删除

undo port Ethernet interface-number [ to Ethernet interface-number ]

-

 

Trunk和Hybrid端口只能在以太网端口视图下将其加入VLAN或从VLAN中删除,而不能通过本命令实现,相关操作请参见“10.5.1  10. 以太网端口加入到指定VLAN”。

 

4. 显示VLAN设置

表10-63 显示VLAN设置

操作

命令

说明

显示VLAN设置

display vlan [ vlan-id1 | [ to vlan-id2 ] | all ]

l      vlan-id1 to vlan-id2:指定要显示的VLAN ID范围

l      all:显示所有VLAN的详细信息

如果指定了参数或关键字all,则显示指定VLAN或所有VLAN的详细信息;如果只执行display vlan,将显示已创建的所有VLAN列表

显示命令可在任意视图下执行

 

例:显示VLAN2的信息。

<H3C> display vlan 2

 VLAN ID: 2

 VLAN Type: static

 Route Interface: not configured

 Description: VLAN 0002

 Tagged Ports: none

 Untagged Ports:

        Ethernet0/2

表10-64 display vlan命令显示信息描述表

字段

描述

VLAN ID

VLAN编号

VLAN Type

VLAN的类型:static表示静态配置;dynamic表示动态创建

Route Interface

VLAN对应的VLAN接口是否已经具备作为路由转发接口的条件

Description

VLAN的描述字符串

Tagged Ports

标识该VLAN的报文在从哪些端口发送时需要携带Tag标记

Untagged Ports

标识该VLAN的报文在从哪些端口发送时不需要携带Tag标记

 

10.6.2  设置基于端口的VLAN

l    当处于基于端口的VLAN模式时,执行新增VLAN或者改变端口为Trunk/Hybrid类型的操作,系统就会自动进入802.1q VLAN状态,相关操作请参见“10.6.1  设置802.1q VLAN”。

l    基于端口的VLAN模式的缺省状态为所有端口均属于用户组1。

 

1. 创建/删除用户组

表10-65 创建/删除用户组

操作

命令

说明

进入系统视图

system-view

-

创建用户组

user-group group-id

group-id:user-group的ID,取值范围为1~24

创建用户组时,如果该用户组已存在,则直接进入该用户组视图;如果该用户组不存在,则首先创建用户组,然后进入用户组视图

缺省情况下,只存在用户组1,且用户组中包含所有的端口

删除用户组

undo user-group { group-id [ to group-id ] | all }

删除用户组时,如果该用户组不存在,会出现“Error: VLAN(s) do(es) not exist.”的提示

 

2. 将以太网端口加入用户组

表10-66 将以太网端口加入用户组

操作

命令

说明

进入系统视图

system-view

-

进入用户组视图

user-group group-id

-

将以太网端口加入指定用户组

port Ethernet interface-number [ to Ethernet interface-number ]

缺省情况下,所有端口都属于用户组1

将以太网端口从用户组中删除

undo port Ethernet interface-number [ to Ethernet interface-number ]

-

 

3. 显示用户组设置

表10-67 显示用户组设置

操作

命令

说明

显示用户组设置

display user-group [ group-id | all ]

all:显示全部用户组的相关信息

 

 

10.7  设置Isolate-user-vlan

10.7.1  创建和删除Isolate-user-vlan

1. 创建和删除Isolate-user-vlan

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

vlan-id:指定Isolate-user-vlan所对应的VLAN

设置该VLAN为Isolate-user-vlan

isolate-user-vlan enable

缺省情况下,无Isolate-user-vlan

说明:

设置Isolate-user-vlan后,您需要通过port命令添加相应的端口

取消该VLAN为Isolate-user-vlan

undo Isolate-user-vlan enable

-

显示Isolate-user-vlan设置状态

display isolate-user-vlan [ isolate-user-vlan-id ]

-

 

10.7.2  建立Isolate-user-vlan和Secondary VLAN间的映射关系

1. 创建和删除Isolate-user-vlan

操作

命令

说明

进入系统视图

system-view

-

建立Isolate-user-vlan和Secondary VLAN间的映射关系

isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]

l      isolate-user-vlan-id:指定已创建的Isolate-user-vlan

l      secondary-vlan-id:通过VLAN命令创建,并将相应的终端用户所连接的端口加入到该VLAN中

取消Isolate-user-vlan与所有Secondary VLAN间的映射关系

undo isolate-user-vlan isolate-user-vlan-id

-

取消Isolate-user-vlan和指定Secondary VLAN间的映射关系

undo isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]

-

显示Isolate-user-vlan设置状态

display isolate-user-vlan [ isolate-user-vlan-id ]

-

 

10.8  QoS设置

10.8.1  设置以太网端口优先级

表10-68 设置以太网端口优先级

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置端口的优先级

priority priority-level

priority-level:端口优先级,取值范围为0~7。0表示优先级最低,7表示优先级最高

缺省情况下,以太网端口的优先级为0

恢复端口的优先级为缺省值

undo priority

-

 

10.8.2  设置报文优先级信任模式

表10-69 设置报文优先级信任模式

操作

命令

说明

进入系统视图

system-view

-

设置报文优先级信任模式

priority-trust { cos | dscp }

l      cos:根据802.1p优先级将报文放入对应优先级的端口输出队列

l      dscp:根据dscp优先级将报文放入对应优先级的端口输出队列

缺省情况下,S2126T信任报文的802.1p优先级

恢复报文优先级信任模式为缺省值

undo priority-trust

-

 

10.8.3  设置队列调度算法

表10-70 设置队列调度算法

操作

命令

说明

进入系统视图

system-view

-

设置队列调度算法

queue-scheduler { hq-wrr queue1-weight queue2-weight queue3-weight | wrr queue1-weight queue2-weight queue3-weight queue4-weight }

queue1-weight、queue2-weight、queue3-weight、 queue4-weight为队列1、2、3、4的权重,取值范围为1~31

缺省情况下,S2126T采用WRR调度算法,且队列权重为1:2:4:8

恢复队列调度算法为缺省值

undo queue-scheduler

-

 

10.8.4  显示QoS设置

表10-71 显示QoS设置

操作

命令

说明

显示队列调度模式及参数

display queue-scheduler

显示命令可在任意视图下执行

 

显示报文优先级信任模式

display priority-trust

 

 

10.9  STP设置

10.9.1  设置STP全局参数

1. 开启/关闭全局STP特性

表10-72 开启/关闭全局STP特性

操作

命令

说明

进入系统视图

system-view

-

开启全局STP特性

stp enable

缺省情况下,全局STP特性处于关闭状态

关闭全局STP特性

stp disable

恢复全局STP特性为缺省状态

undo stp

 

2. 设置STP工作模式

表10-73 设置STP工作模式