- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-网络
本章节下载: 06-网络 (2.16 MB)
目 录
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virtual Local Area Network,虚拟局域网)技术,这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通。这样,广播报文被限制在一个VLAN内,如下图所示。
图1-1 VLAN示意图
VLAN根据划分方式不同可以分为不同类型,Web界面目前只支持对基于端口的VLAN的配置。基于端口划分VLAN是VLAN最简单、最有效的划分方式。他按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文。
关于VLAN的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“VLAN”。
VLAN配置的推荐步骤有两种,两种配置方法也可结合起来使用。
· 方法一:修改VLAN中的端口,如下表所示。
· 方法二:修改端口所属的VLAN,如表1-2所示。
表1-1 VLAN配置步骤(方法一)
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建一个或多个VLAN |
|
|
2 |
必选 此步骤可以缩小在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围,即所有已配置VLAN的一个子集。在进入上述三个页签的页面前必须执行此步骤 |
|
|
3 |
必选 配置VLAN的Untagged、Tagged成员,或从VLAN中删除成员 |
表1-2 VLAN配置步骤(方法二)
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建一个或多个VLAN |
|
|
2 |
必选 配置端口为某VLAN的Untagged、Tagged成员,或将端口从某VLAN中删除,配置端口的连接类型和PVID |
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“创建”页签,进入VLAN的创建页面,如下图所示。
(3) 输入要创建的VLAN ID或VLAN ID范围。
(4) 单击<创建>按钮完成操作。
(1) 在导航栏中选择“网络 > VLAN”,默认进入“选择”页签的页面,如下图所示。
(2) 选择是希望显示所有已配置的VLAN,还是显示所有已配置VLAN的一个子集。如果希望显示所有已配置VLAN的一个子集,则还需要制定希望显示的VLAN范围。
(3) 单击<选择>按钮完成操作。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改VLAN”页签,进入修改VLAN的配置页面,如下图所示。
(3) 配置VLAN端口成员,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表1-3 修改VLAN中端口的详细配置
|
配置项 |
说明 |
|
|
请选择一个VLAN修改 |
设置要修改的VLAN 在下拉框中进行选择,可选的VLAN要先通过创建VLAN来创建,并且包含在选择的VLAN范围内 |
|
|
修改描述 |
设置修改VLAN的描述字符串 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,如“VLAN 0001” |
|
|
选择成员类型 |
Untagged |
设置VLAN中要修改的端口成员类型 在“Untagged”、“Tagged”和“非成员”前的单选按钮中进行选择: · Untagged:表示端口成员发送该VLAN报文时不带Tag标签 · Tagged:表示端口成员发送该VLAN报文时带Tag标签 · 非成员:表示从该VLAN中删除端口成员 |
|
Tagged |
||
|
非成员 |
||
|
选择要修改的端口 |
选择VLAN中要进行修改的端口,可以同时选择多个端口进行配置 在面板示意图中可点击选择要修改的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择
将Access端口配置为某VLAN的Tagged成员时,该端口会被修改为Hybrid端口 |
|
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签,进入修改端口的配置页面,如下图所示。
(3) 配置端口所属VLAN,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表1-4 修改端口所属VLAN的详细配置
|
配置项 |
说明 |
|
选择端口 |
选择要修改所属VLAN的端口,可以同时选择多个端口进行配置 在面板示意图中可点击选择要修改的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 |
|
选择操作类型 |
设置要进行的操作类型,包括: · Untagged:表示将端口设置为指定VLAN的Untagged成员,端口发送指定VLAN报文时将不带Tag标签 · Tagged:表示将端口设置为指定VLAN的Tagged成员,端口发送指定VLAN报文时将带Tag标签 · 非成员:表示将端口从指定VLAN中删除 · 连接类型:表示设置端口的连接类型 · PVID:表示设置端口的PVID |
|
VLAN IDs |
设置端口要加入或退出的VLAN ID 当操作类型选择Untagged、Tagged或非成员时,可以显示和配置此项
· 将Access端口配置为某VLAN的Untagged成员时,该VLAN必须已经存在 · 将Access端口配置为某VLAN的Tagged成员或将Trunk端口一次配置为多个VLAN的Untagged成员时,该端口会被修改为Hybrid端口 · 将Hybrid端口配置为某VLAN的Untagged或Tagged成员时,该VLAN必须是已经存在的静态VLAN |
|
连接类型 |
设置端口的连接类型,包括:Access、Hybrid、Trunk 当操作类型选择连接类型时,可以显示和配置此项
Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口 |
|
PVID |
设置端口的PVID,选中“删除”时表示将端口的PVID恢复为缺省值VLAN 1 当操作类型选择PVID时,可以显示和配置此项
Access端口的PVID必须是已经存在的VLAN |
|
删除 |
· Switch A与对端Switch B使用GigabitEthernet1/0/1相连。
· GigabitEthernet1/0/1为Trunk端口,缺省VLAN ID为100。
· 配置GigabitEthernet1/0/1,使该端口允许VLAN 2、VLAN 6到VLAN 50、VLAN 100的报文通过。
图1-6 VLAN配置组网图
(1) 配置GigabitEthernet1/0/1为Trunk端口,PVID为100。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择连接类型为“Trunk”。
· 选中“PVID”前的复选框,输入PVID为“100”。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
步骤4:单击<提交>按钮完成操作。
图1-7 配置GigabitEthernet1/0/1为Trunk端口(PVID为100)
(2) 创建VLAN 2、VLAN 6到VLAN 50、VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN IDs为“2,6-50,100”。
步骤4:单击<创建>按钮完成操作。
图1-8 创建VLAN 2、VLAN 6-50、VLAN 100
(3) 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员。
步骤1:单击“选择”页签。
步骤2:如下图所示,选中“显示所有已配置VLAN的一个子集”前的单选按钮,在输入框中输入“1-100”。
步骤3:单击<选择>按钮完成操作。
步骤4:单击“修改VLAN”页签。
步骤5:进行如下配置,如下图所示。
· 在“请选择一个VLAN修改”下拉框中选择“100 - VLAN 0100”。
· 选中“Untagged”前的单选按钮。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
步骤6:单击<应用>按钮,弹出配置进度对话框。
步骤7:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-10 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员
(4) 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6到VLAN 50的Tagged成员。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如下图所示。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
· 选择操作类型为“Tagged”。
· 输入VLAN IDs为“2,6-50”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-11 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6-50的Tagged成员
与Switch A上的配置相同,不再赘述。
配置VLAN时需要注意如下事项:
(1) VLAN1为系统缺省VLAN,用户不能手工创建和删除。
(2) 保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除。
(3) 不能在“删除”页面上删除设备上动态学习到的VLAN。
关于VLAN的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“VLAN”。
不同VLAN间的主机不能直接通信,需要通过路由器或三层交换机等网络层设备进行转发,设备提供VLAN虚接口实现对报文进行三层转发的功能。
VLAN虚接口是一种三层模式下的虚拟接口,主要用于实现VLAN间的三层互通。它不作为物理实体存在于设备上。每个VLAN对应一个VLAN虚接口,该VLAN虚接口可以为本VLAN内端口收到的报文进行网络层转发操作。通常情况下,由于VLAN能够隔离广播域,因此每个VLAN也对应一个IP网段,VLAN虚接口将作为该网段的网关对需要跨网段的报文进行基于IP地址的三层转发。
创建VLAN虚接口,可同时配置VLAN虚接口的IPv4地址和IPv6链路本地地址。如果不配置VLAN虚接口的IP地址,则只创建VLAN虚接口,再通过修改VLAN虚接口为其配置IP地址。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“创建”页签,进入VLAN虚接口的创建页面,如下图所示。
(3) 配置VLAN虚接口的信息,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表2-1 创建VLAN虚接口的详细配置
|
配置项 |
说明 |
|
|
请输入一个VLAN ID |
输入要创建的VLAN虚接口的ID,对应的VLAN必须已经创建 |
|
|
配置IPv4地址 |
DHCP |
设置VLAN虚接口获取IPv4地址的方式 · DHCP:表示通过DHCP协议自动获取IPv4地址 · BOOTP:表示通过BOOTP协议自动获取IPv4地址 · 手工:表示通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码长度 |
|
BOOTP |
||
|
手工 |
||
|
IPv4地址 |
设置VLAN虚接口的IPv4地址 VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
|
掩码长度 |
设置子网掩码长度(也可以输入点分十进制格式的掩码) VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
|
配置IPv6链路本地地址 |
自动 |
设置VLAN虚接口获取IPv6链路本地地址的方式 · 自动:表示设备根据链路本地地址前缀(FE80::/64)及接口的链路层地址,自动为接口生成链路本地地址 · 手工:表示通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
|
手工 |
||
|
IPv6地址 |
设置VLAN虚接口的IPv6链路本地地址 VLAN虚接口IPv6链路本地地址的获取方式选择“手工”时可用,输入的IPv6链路本地地址前缀必须为“FE80::/64” |
|
通过修改VLAN虚接口,可以为VLAN虚接口配置IPv4地址、IPv6链路本地地址,以及IPv6站点本地地址或全球单播地址;可以设置打开或关闭VLAN虚接口。
· 修改VLAN虚接口时,修改IPv4地址和状态、配置IPv6链路本地地址和状态、添加IPv6单播地址需要分别单击各自的<应用>按钮来提交配置。
· 修改当前登录使用的VLAN虚接口的IP地址会导致与设备的连接断开,可以使用修改后的IP地址重新登录。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“修改”页签,进入VLAN虚接口的修改页面,如下图所示。
(3) 配置VLAN虚接口的信息,详细配置如下表所示。
(4) 单击相应的<应用>按钮完成操作。
表2-2 修改VLAN虚接口的详细配置
|
配置项 |
说明 |
|
|
选择VLAN虚接口 |
设置要配置的VLAN虚接口 下拉框中可选的VLAN虚接口需通过创建VLAN虚接口来创建 |
|
|
修改IPv4地址和状态 |
DHCP |
设置VLAN虚接口获取IPv4地址的方式 · DHCP:表示通过DHCP协议自动获取IPv4地址 · BOOTP:表示通过BOOTP协议自动获取IPv4地址 · 手工:表示通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码(可以输入掩码长度或点分十进制格式的掩码) |
|
BOOTP |
||
|
手工 |
||
|
配置状态 |
配置打开(Up)或关闭(Down)VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再打开接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为Down时,VLAN虚接口为Down状态;只要VLAN虚接口下有一个以太网端口状态为Up,VLAN虚接口就为Up状态
· 关闭和打开VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 · 配置状态时,“修改IPv4地址”框和“修改IPv6地址”框中的VLAN虚接口的当前状态是同步变化的 |
|
|
修改IPv6地址和状态 |
自动 |
设置VLAN虚接口获取IPv6链路本地地址的方式 · 自动:表示设备根据链路本地地址前缀(FE80::/64)及接口的链路层地址,自动为接口生成链路本地地址 · 手工:表示通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
|
手工 |
||
|
配置状态 |
配置打开(Up)或关闭(Down)VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再打开接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为Down时,VLAN虚接口为Down状态;否则VLAN虚接口处于Up状态
· 关闭和打开VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 · 配置状态时,“修改IPv4地址”框和“修改IPv6地址”框中的VLAN虚接口的当前状态是同步变化的 |
|
|
添加IPv6单播地址 |
设置VLAN虚接口的IPv6站点本地地址或全球单播地址,以及前缀长度 输入的IPv6地址前缀不能为“FE80::/10”,即链路本地地址前缀 配置IPv6站点本地地址时,输入的IPv6地址前缀必须为“FEC0::/10” 如果该VLAN虚接口没有IPv6链路本地地址,则配置此参数后会自动生成链路本地地址 |
|
|
EUI64编码 |
设置采用EUI-64格式形成IPv6站点本地地址或全球单播地址 选中前面的复选框表示采用EUI-64格式形成;不选中则表示采用手工配置的IPv6站点本地地址或全球单播地址 |
|
配置VLAN虚接口时需要注意如下事项:
(1) 配置IPv6 VLAN虚接口时,当接口配置了IPv6站点本地地址或全局单播地址后,同时会自动生成链路本地地址。且与配置自动生成链路本地地址时生成的地址相同。此时如果手工指定接口的链路本地地址,则手工指定的有效。如果删除手工指定的链路本地地址,则接口的链路本地地址恢复为系统自动生成的地址。
(2) 配置IPv6 VLAN虚接口时,如果IPv6链路本地地址是在配置IPv6站点本地地址或全局单播地址时自动生成的,则在删除IPv6站点本地地址或全局单播地址时,生成的IPv6链路本地地址也会同时被删除。
(3) 配置IPv6链路本地地址时,手工指定方式的优先级高于自动生成方式。即,如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。
语音VLAN(即Voice VLAN)是为用户的语音数据流专门划分的VLAN。通过划分语音VLAN,并将连接语音设备的端口加入语音VLAN,可以为语音数据配置QoS(Quality of Service,服务质量)参数,提高语音数据报文优先级、保证通话质量。
关于语音VLAN的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“Voice VLAN”。
配置语音VLAN之前,须先创建对应的VLAN,并先配置好各端口的连接类型。VLAN 1缺省存在,无需创建,但VLAN 1不支持使能语音VLAN。端口连接类型的详细配置请参见“设备”。
自动模式下语音VLAN功能配置的推荐步骤如表3-1所示。
表3-1 自动模式下语音VLAN功能配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置语音VLAN的安全模式和老化时间 |
|
|
2 |
必选 设置端口上语音VLAN的工作模式为自动模式,并使能端口的语音VLAN功能 缺省情况下,端口上语音VLAN的工作模式为自动模式,且端口的语音VLAN功能是关闭的 |
|
|
3 |
可选 系统最多支持配置16个OUI地址 缺省情况下,系统已配有7个OUI地址 |
手动模式下语音VLAN功能配置的推荐步骤如表3-2所示。
表3-2 手动模式下语音VLAN功能配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置语音VLAN的安全模式和老化时间 |
|
|
2 |
将端口加入语音VLAN |
必选 需要注意的是,将Access端口加入语音VLAN后,语音VLAN会自动成为Access端口的缺省VLAN 详细配置请参见VLAN |
|
3 |
配置语音VLAN为Trunk或Hybid端口的缺省VLAN |
可选 当端口为Trunk或Hybid端口,且输入的语音流是Untagged语音流时,需要进行该项配置;当输入的语音流是Tagged语音流时,不能将语音VLAN设置为端口的缺省VLAN 详细配置请参见“设备” |
|
4 |
必选 设置端口上语音VLAN的工作模式为手动模式,并使能端口的语音VLAN功能 缺省情况下,端口上语音VLAN的工作模式为自动模式,且端口的语音VLAN功能是关闭的 |
|
|
5 |
可选 系统最多支持配置16个OUI地址 缺省情况下,系统已配有7个OUI地址 |
(1) 在导航栏中选择“网络 > 语音VLAN”。
(2) 单击“设置”页签,进入语音VLAN的设置页面,如下图所示。
(3) 配置全局语音VLAN功能,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表3-3 全局语音VLAN功能的详细配置
|
配置项 |
说明 |
|
语音VLAN安全模式 |
设置使能(Enable)或关闭(Disable)语音VLAN的安全模式 关闭安全模式,则语音VLAN的工作模式为普通模式 缺省情况下,语音VLAN安全模式处于使能状态 |
|
语音VLAN老化时间 |
设置语音VLAN的老化时间 老化时间只对自动模式下的端口有效。在自动模式下,系统会根据收到的语音报文的源MAC地址,来决定是否把该报文的入端口加入语音VLAN。在将入端口加入语音VLAN后,系统会同时启动老化定时器。经过老化时间后,如果设备没有收到任何来自该入端口的语音报文,系统会自动把该端口从语音VLAN中删除 |
(1) 在导航栏中选择“网络 > 语音VLAN”。
(2) 单击“端口设置”页签,进入语音VLAN的端口设置页面,如下图所示。
图3-2 语音VLAN端口设置
(3) 配置端口语音VLAN功能,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表3-4 端口语音VLAN功能的详细配置
|
配置项 |
说明 |
|
语音VLAN端口模式 |
设置端口上语音VLAN的工作模式 · Auto:表示自动模式 · Manual:表示手动模式 |
|
语音VLAN端口状态 |
设置使能(Enable)或关闭(Disable)端口的语音VLAN功能 |
|
语音VLAN ID |
当语音VLAN端口状态为Enable时,设置端口的语音VLAN ID |
|
选择端口 |
选择要进行配置的端口 可在面板示意图中点击选中要配置的端口,可选择一个或多个端口。选中端口的编号会显示在下方的端口列表中
当端口的语音VLAN工作在自动模式时,端口的连接类型必须是Trunk或Hybrid,且端口不属于语音VLAN,才能使能语音VLAN功能;否则,不能使能语音VLAN功能 |
(1) 在导航栏中选择“网络 > 语音VLAN”。
(2) 单击“添加OUI”页签,进入语音VLAN的OUI地址配置页面,如下图所示。
(3) 配置语音VLAN能识别的OUI地址,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表3-5 语音VLAN能识别的OUI地址的详细配置
|
配置项 |
说明 |
|
OUI地址 |
设置语音报文的源MAC地址 |
|
掩码 |
设置OUI地址的有效长度 |
|
描述 |
输入OUI地址的描述字符串 |
· 配置VLAN 2为语音VLAN,只允许语音报文通过。
· IP Phone类型为Untagged,接入端口是Hybrid类型端口GigabitEthernet1/0/1。
· 端口GigabitEthernet1/0/1工作在自动模式,如果它们在30分钟内没有收到语音流,就将相应的语音VLAN老化。
· 端口GigabitEthernet1/0/1允许OUI地址是0011-2200-0000、掩码是ffff-ff00-0000的语音报文通过,描述字符为test。
图3-4 自动模式下语音VLAN配置组网图
(1) 创建VLAN 2。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN IDs为“2”。
步骤4:单击<创建>按钮完成操作。
(2) 配置GigabitEthernet1/0/1为Hybrid端口。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择连接类型为“Hybrid”。
· 在面板示意图中点击选择端口“GE1/0/1”。
步骤4:单击<提交>按钮完成操作。
图3-6 配置端口为Hybrid端口
(3) 配置全局语音VLAN功能。
步骤1:在导航栏中选择“网络 > 语音VLAN”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择语音VLAN安全模式为“Enable”。(缺省情况下,语音VLAN安全模式处于使能状态,此步骤可以省略)
· 输入语音VLAN老化时间为“30”分钟。
步骤4:单击<应用>按钮完成操作。
(4) 配置端口GigabitEthernet1/0/1的语音VLAN功能。
步骤1:单击“端口设置”页签。
步骤2:进行如下配置,如下图所示。
· 选择语音VLAN端口模式为“Auto”。
· 选择语音VLAN端口状态为“Enable”。
· 输入语音VLAN ID为“2”。
· 在面板示意图中点击选择端口“GE1/0/1”。
步骤3:单击<应用>按钮完成操作。
图3-8 配置端口GigabitEthernet1/0/1的语音VLAN功能
(5) 配置语音VLAN能识别的OUI地址。
步骤1:单击“添加OUI”页签。
步骤2:进行如下配置,如下图所示。
· 输入OUI地址为“0011-2200-0000”。
· 选择掩码为“FFFF-FF00-0000”。
· 输入描述为“test”。
步骤3:单击<应用>按钮完成操作。
图3-9 配置语音VLAN能识别的OUI地址
(1) 完成上述配置后,会自动跳转到“显示OUI”页签的页面,示如下图所示。可以查看到新添加的OUI地址信息。
(2) 单击“显示”页签,进入语音VLAN的显示页面,如下图所示。可以查看到当前语音VLAN的状态信息。
· 配置VLAN 2为语音VLAN,只允许语音报文通过。
· IP Phone类型为Untagged,接入端口是Hybrid类型端口GigabitEthernet1/0/1。
· 端口GigabitEthernet1/0/1工作在手动模式,且允许OUI地址是0011-2200-0000、掩码是ffff-ff00-0000的语音报文通过,描述字符为test。
图3-12 手动模式下语音VLAN配置组网图
(1) 创建VLAN 2.
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN IDs为“2”。
步骤4:单击<创建>按钮完成操作。
(2) 配置GigabitEthernet1/0/1为Hybrid端口,缺省VLAN为2。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择连接类型为“Hybrid”。
· 选中“PVID”前的复选框,输入PVID为“2”。
· 在面板示意图中点击选择端口“GE1/0/1”。
步骤4:单击<提交>按钮完成操作。
图3-14 配置端口为Hybrid端口
(3) 配置VLAN 2为GigabitEthernet1/0/1的Untagged VLAN。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“修改端口”页签。
步骤3:进行如下配置,如下图所示。
· 在面板示意图中点击选择端口“GE1/0/1”。
· 选中“Untagged”前的单选按钮。
· 输入VLAN IDs为“2”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-15 配置VLAN 2为GigabitEthernet1/0/1的Untagged VLAN
(4) 配置端口GigabitEthernet1/0/1的语音VLAN功能。
步骤1:在导航栏中选择“网络 > 语音VLAN”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择语音VLAN端口模式为“Manual”。
· 选择语音VLAN端口状态为“Enable”。
· 输入语音VLAN ID为“2”。
· 在面板示意图中点击选择端口“GE1/0/1”。
步骤4:单击<应用>按钮完成操作。
图3-16 配置端口GigabitEthernet1/0/1的语音VLAN功能
(5) 配置语音VLAN能识别的OUI地址。
步骤1:单击“添加OUI”页签。
步骤2:进行如下配置,如下图所示。
· 输入OUI地址为“0011-2200-0000”。
· 选择掩码为“FFFF-FF00-0000”。
· 输入描述为“test”。
步骤3:单击<应用>按钮完成操作。
图3-17 配置语音VLAN能识别的OUI地址
(1) 完成上述配置后,会自动跳转到“显示OUI”页签的页面,示如下图所示。可以查看到新添加的OUI地址信息。
(2) 单击“显示”页签,进入语音VLAN的显示页面,如下图所示。可以查看到当前语音VLAN的状态信息。
配置语音VLAN时需要注意如下事项:
(1) 如果需要删除的某个VLAN已经运行了语音VLAN,则只有在关闭了语音VLAN功能后,才能够删除该VLAN。
(2) 自动模式下,语音VLAN特性只支持Hybrid端口对Tagged语音流进行处理。而协议VLAN特性要求Hybrid端口对报文进行Untagged处理。因此,如果用户将某个VLAN同时配置为语音VLAN和协议VLAN,则协议VLAN功能将不能与该端口进行绑定。
(3) 同一设备同一时刻只能有一个VLAN使能语音VLAN功能,且该VLAN必须是已经存在的静态VLAN。
(4) 如果端口已经使能LACP(Link Aggregation Control Protocol,链路汇聚控制协议),则不能使能语音VLAN功能。
(5) 当端口使能了语音VLAN并工作在手工模式时,必须手工将端口加入语音VLAN,才能保证语音VLAN功能生效。
· MAC地址模块中对于接口的相关配置,目前只能在二层以太网接口上进行。
· 本章节内容只涉及静态和动态地址表项的管理,不涉及组播MAC地址表项管理的内容。
为了转发报文,设备需要维护MAC地址表。MAC地址表的表项包含了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLAN ID。MAC地址表中的表项包括静态表项和动态表项,其中静态表项是由用户配置的;动态表项包括用户配置的以及设备学习得来的。静态表项不会被老化掉,而动态表项会被老化掉。
设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE)并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
在设备学习MAC地址时,用户手工配置的静态MAC地址表项不能被学习中获得的动态MAC地址覆盖,而动态MAC地址表项可以被静态MAC地址覆盖。
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
· 单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
· 广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。
图4-1 设备的MAC地址表项
(1) 在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,页面显示所有的MAC地址表项,如下图所示。
(2) 单击<新建>按钮,进入新建MAC地址表项的配置页面,如下图所示。
图4-3 MAC地址创建
(3) 配置MAC地址表项的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表4-1 新建MAC地址表项的详细配置
|
配置项 |
说明 |
|
MAC地址 |
设置待添加的MAC地址 |
|
类型 |
设置该MAC地址表项的类型,包括: · static:表示该表项是静态MAC地址表项,没有老化时间 · dynamic:表示该表项是动态MAC地址表项,有老化时间 · blackhole:表示该表项是黑洞MAC地址表项,没有老化时间
在MAC地址表项显示页面的列表中共有如下几种类型: · Config static:表示该表项是用户手工配置的静态表项 · Config dynamic:表示该表项是用户手工配置的动态表项 · Blackhole:表示该表项是黑洞表项 · Learned:表示该表项是设备学习得来的动态表项 · Other:表示该表项为除上述状态外的其他类型 |
|
VLAN ID |
设置该MAC地址表项所属的VLAN |
|
端口 |
设置该MAC地址表项所属的端口,黑洞表项不需要设置所属端口 |
(1) 在导航栏中选择“网络 > MAC地址”。
(2) 单击“设置”页签,进入MAC地址表项老化时间的配置页面,如下图所示。
(3) 配置MAC地址表项老化时间,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表4-2 增加MAC地址表项的详细配置
|
配置项 |
说明 |
|
不老化 |
设置MAC地址表项不会老化 |
|
老化时间 |
设置MAC地址表项的老化,并指定老化时间 |
用户通过Web网管设置MAC地址表功能。要求在VLAN1中的GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71。
创建静态MAC地址表项。
步骤1:在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入MAC地址为“00e0-fc35-dc71”。
· 选择类型为“static”。
· 选择VLAN ID为“1”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
图4-5 创建静态MAC地址表项
生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能。
与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的STP(Spanning Tree Protocol,生成树协议)到RSTP(Rapid Spanning Tree Protocol,快速生成树协议),再到最新的MSTP(Multiple Spanning Tree Protocol,多生成树协议)。本文将渐进式地对STP、RSTP和MSTP各自的特点及其关系进行介绍。
关于MSTP的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“MSTP”。
表5-1 MSTP配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置MST域的相关参数,以及生成树实例和VLAN的映射关系 缺省情况下,MST域的参数都有缺省值,且所有VLAN都映射到生成树实例0 |
|
|
2 |
必选 使能全局STP功能,并配置MSTP相关参数 缺省情况下,全局STP功能是否使能与设备的具体型号有关,请以设备的实际情况为准;MSTP相关参数都有缺省值 |
|
|
3 |
可选 使能端口MSTP功能,并配置MSTP相关参数 缺省情况下,端口MSTP功能处于使能状态,MSTP相关参数都有缺省值 |
|
|
4 |
可选 查看端口上实例0的生成树信息,以及端口所属的生成树实例、路径开销和优先级信息 |
(1) 在导航栏中选择“网络 > MSTP”,默认进入“MSTP域”页签的页面,如下图所示。
(2) 单击<修改>按钮,进入MSTP域的配置页面,如下图所示。
(3) 配置MSTP域的信息,详细配置如下表所示。
(4) 单击<激活>按钮完成操作。
表5-2 MSTP域的详细配置
|
配置项 |
说明 |
|
|
域名 |
设置MST域的域名 缺省情况下,MST域的域名为设备的桥MAC地址 |
|
|
修订级别 |
设置MST域的修订级别 |
|
|
手工设置 |
实例 |
设置手工添加生成树实例ID与VLAN ID的映射关系 单击<应用>按钮即可向下方的列表中添加一对实例ID与VLAN ID的映射关系 |
|
VLAN ID |
||
|
按模设置 |
模值 |
设置自动将4094个VLAN按模分配到相应的生成树实例中 |
(1) 在导航栏中选择“网络 > MSTP”。
(2) 单击“MSTP全局“页签,进入如下图所示的页面。
(3) 配置MSTP全局信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表5-3 MSTP全局的详细配置
|
配置项 |
说明 |
||
|
全局STP使能 |
设置是否使能全局STP功能 使能全局STP功能后,MSTP的其它配置才能生效 |
||
|
BPDU保护 |
设置是否使能全局BPDU保护功能 使能BPDU保护功能可以防止人为伪造配置消息恶意攻击设备,避免网络震荡 |
||
|
模式 |
设置STP的工作模式,包括STP、RSTP和MSTP · STP:在STP模式下,设备的各个端口将向外发送STP BPDU报文 · RSTP:在RSTP模式下,设备的各个端口将向外发送RSTP BPDU报文,当发现与运行STP的设备相连时,该端口会自动迁移到STP模式下工作 · MSTP:在MSTP模式下,设备的各个端口将向外发送MSTP BPDU报文,当发现与运行STP的设备相连时,该端口会自动迁移到STP模式下工作 |
||
|
最大跳数 |
设置MST域的最大跳数,该参数决定了MST域的规模 只有在域根上配置的该参数才会在域内生效,在非域根上的配置无效 |
||
|
路径开销标准 |
设置设备计算端口路径开销值时采用的标准(算法),包括Legacy、IEEE 802.1D-1998和IEEE 802.1T |
||
|
网络直径 |
网络中任意两台主机都通过特定的路径彼此相连,每条路径上都有一定数量的网络设备,网络直径就是设备最多的那条路径上的设备个数 设置网络直径后,无法配置定时器的值,因为设备会自动计算Forward Delay、Hello Time和Max Age
· 该参数只对CIST有效,对MSTI无效 · 网络直径和定时器不能同时配置 |
||
|
定时器 |
Forward Delay |
设置设备状态迁移的延迟时间 |
· 根桥Forward Delay、Hello Time和Max Age的取值需要满足一定关系,否则会引起网络频繁震荡。建议用户指定设备的网络直径,由设备自动计算Forward Delay、Hello Time和Max Age · 网络直径和定时器不能同时配置 |
|
Hello Time |
设置设备为检测链路故障,发送hello报文的周期 |
||
|
Max Age |
设置消息在设备内保存的最大时长 |
||
|
实例 |
实例ID |
设置设备在指定生成树实例中的角色或设备的桥优先级(桥优先级为设备能否被选为根桥的因素之一) 可选的角色包括: · Not Set:不配置,选择此项时可以设置设备的桥优先级 · Primary:配置为根桥,选择此项时不能设置设备的桥优先级 · Secondary:配置为备份根桥,选择此项时不能设置设备的桥优先级 |
|
|
根类型 |
|||
|
桥优先级 |
|||
|
TC保护功能 |
设置是否使能TC-BPDU报文攻击的保护功能 设备在接收到TC-BPDU报文后,会执行转发地址表项的刷新操作。在有人伪造TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的刷新操作给设备带来很大负担,给网络的稳定带来很大隐患。通过在设备上使能防止TC-BPDU报文攻击的保护功能,可以避免频繁地刷新转发地址表项
建议用户不要将此保护功能关闭 |
||
|
TC报文删除转发表项门限 |
设置设备在收到TC-BPDU报文后的一定时间内,允许收到TC-BPDU报文后立即刷新转发地址表项的最高次数 |
||
(1) 在导航栏中选择“网络 > MSTP”。
(2) 单击“端口设置”页签,进入如下图所示的页面。
(3) 配置MSTP端口的信息,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表5-4 MSTP端口的详细配置
|
配置项 |
说明 |
|
|
STP |
设置是否使能端口的STP功能 |
|
|
保护类型 |
设置端口上使能的保护类型 · Not Set:不使能任何保护类型 · Edged Port、Root Protection、Loop Protection:参见表5-5 |
|
|
实例 |
实例ID |
设置端口在不同生成树实例中的优先级和路径开销 · 端口优先级是确定该端口是否会被选为根端口的重要依据,同等条件下优先级高的端口将被选为根端口。在支持MSTP的设备上,端口可以在不同的生成树实例中拥有不同的优先级,同一端口可以在不同的生成树实例中担任不同的角色,从而使不同VLAN的数据沿不同的物理路径传播,实现按VLAN进行负载分担的功能。用户可以根据组网的实际需要来设置端口的优先级 · 路径开销是与端口相连的链路速率相关的参数,可以选择自动计算或手动设置路径开销。在支持MSTP的设备上,端口在不同的生成树实例中可以拥有不同的路径开销。设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发,从而实现按VLAN负载分担的功能 |
|
端口优先级 |
||
|
自动计算路径开销 |
||
|
手动设置路径开销 |
||
|
高级 |
点对点 |
设置端口是否与点到点链路相连 · Auto:将自动检测端口是否与点到点链路相连 · Force False:端口没有与点到点链路相连 · Force True:端口与点到点链路相连
当端口被设置为与点对点链路相连,则该端口在所有生成树实例上均被设置为与点对点链路相连。如果端口实际物理链路不是点对点链路,用户错误配置为强制点对点链路,则有可能会引入临时环路 |
|
传输限制 |
设置端口在每个Hello Time内发送MSTP报文的最大个数 如果配置的值过大,会占用过多的网络资源,建议使用缺省值 |
|
|
MSTP模式 |
设置是否将端口迁移到MSTP模式 如果在一个交换网络中,运行MSTP(或RSTP)的设备的端口连接着运行STP的设备,该端口会自动迁移到STP兼容模式下工作;但是此时如果运行STP协议的设备被拆离,该端口不能自动迁移到MSTP(或RSTP)模式下运行,仍然会工作在STP兼容模式下。此时可以通过执行此操作迫使其迁移到MSTP(或RSTP)模式下运行 |
|
|
请选择端口 |
在设置要配置MSTP功能的端口,可以同时选择多个端口进行配置 在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 |
|
表5-5 保护类型说明表
|
保护类型 |
说明 |
|
Edged Port |
边缘端口。接入层设备的一些端口会直连PC、文件服务器等不会产生配置消息的设备。在这些端口上使能这一功能可以实现端口的快速迁移 使能Edged Port功能时,建议同时使能BPDU保护功能,以防止边缘端口收到配置消息而引起的网络震荡 |
|
Root Protection |
根保护功能。由于维护人员的错误配置或网络中的恶意攻击,网络中可能会出现优先级更高的配置消息,这样会导致STP重新计算,从而引起网络拓扑结构的错误变动。Root Protection可以防止此类情况出现 |
|
Loop Protection |
环路保护功能。设备通过不断接收上游设备发送的配置消息来维持根端口及其他端口的状态。由于链路拥塞或单向链路故障,端口可能无法收到上游设备的配置消息。此时设备会重新选择根端口,阻塞端口可能会迁移到转发状态,在交换网络中形成环路。Loop Protection可以防止此类环路产生 |
(1) 在导航栏中选择“网络 > MSTP”。
(2) 单击“端口信息”页签。
(3) 在面板示意图中单击选中一个端口(当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,也可点击进行选择),页面下方会显示该端口上实例0的生成树信息(当全局STP使能时)或STP的状态和统计信息(当全局STP未使能时),以及该端口所属的生成树实例、路径开销和优先级,如下图所示,详细说明如表5-6所示。。
表5-6 端口上实例0的生成树信息的详细说明
|
字段 |
说明 |
|
[FORWARDING] |
端口处于Forwarding状态:学习MAC地址,转发用户流量 |
|
[LEARNING] |
端口处于Learning状态:学习MAC地址,不转发用户流量 |
|
[DISCARDING] |
端口处于Discarding状态:不学习MAC地址,不转发用户流量 |
|
[DOWN] |
端口处于关闭状态 |
|
Port Protocol |
端口是否使能STP协议 |
|
Port Role |
端口在生成树实例中的角色,包括:Alternate、Backup、Root、Designated、Master、Disabled |
|
Port Priority |
端口优先级 |
|
Port Cost(Legacy) |
端口的路径开销(括号中的内容表示当前设备的路径开销计算方法,包括Legacy、dot1d-1998和dot1t): · Config:表示配置值 · Active:表示实际值 |
|
Desg. Bridge/Port |
端口的指定桥ID和端口ID 对于不支持端口优先级的端口,这里显示的端口ID没有意义 |
|
Port Edged |
端口是否为边缘端口: · Config:表示配置值 · Active:表示实际值 |
|
Point-to-point |
端口是否与点对点链路相连: · Config:表示配置值 · Active:表示实际值 |
|
Transmit Limit |
端口每个Hello Time时间间隔发送报文的上限 |
|
Protection Type |
端口遇到异常情况启动保护的类型: · Root:表示根保护 · Loop:表示环路保护 · BPDU:表示BPDU保护 · None:表示无保护 |
|
MST BPDU Format |
端口发送MSTP报文的格式,取值为legacy和802.1s: · Config:表示配置值 · Active:表示实际值 |
|
Port Config- Digest-Snooping |
端口是否使能配置摘要侦听功能 |
|
Rapid transition |
边缘端口在实例0中是否快速迁移至转发状态 |
|
Num of Vlans Mapped |
端口在实例0中的VLAN计数 |
|
PortTimes |
端口相关的主要参数值: · Hello:表示Hello time定时器值 · MaxAge:表示Max Age定时器值 · FwDly:表示Forward delay定时器值 · MsgAge:表示Message Age定时器值 · RemHop:表示剩余跳数 |
|
BPDU Sent |
端口发送报文计数 |
|
BPDU Received |
端口接收报文计数 |
|
Protocol Status |
MSTP协议状态 |
|
Protocol Std. |
MSTP协议标准 |
|
Version |
MSTP协议版本 |
|
CIST Bridge-Prio. |
设备在CIST中的优先级 |
|
MAC address |
设备的MAC地址 |
|
Max age(s) |
BPDU的最大生存时间(单位为秒) |
|
Forward delay(s) |
端口状态迁移的延时(单位为秒) |
|
Hello time(s) |
根设备发送BPDU的周期(单位为秒) |
|
Max hops |
MST域中的最大跳数 |
配置MSTP使下图中不同VLAN的报文按照不同的生成树实例转发。具体配置为:
· 网络中所有设备属于同一个MST域;
· VLAN 10的报文沿着实例1转发,VLAN 20沿着实例2转发,VLAN 30沿着实例3转发,VLAN 40沿着实例0转发。
· Switch A和Switch B为汇聚层设备,Switch C和Switch D为接入层设备。VLAN 10、VLAN 20在汇聚层设备终结,VLAN 30在接入层设备终结,因此可以配置实例1和实例2的树根分别为Switch A和Switch B,实例3的树根为Switch C。
图5-6 MSTP配置组网图
图中链路上的说明“permit: ”表示该链路允许哪些VLAN的报文通过。
(1) 配置MSTP域。
步骤1:在导航栏中选择“网络 > MSTP”,默认进入“MSTP域”页签的页面。
步骤2:单击<修改>按钮,如下图所示。
步骤3:在修改MSTP域的页面进行如下配置,如下图所示。
· 输入域名为“example”。
· 输入修订级别为“0”。
· 选中“手工设置”前的单选按钮。
· 选择实例ID为“1”。
· 输入VLAN ID为“10”。
· 单击<应用>按钮将实例与VLAN的映射关系添加到列表中。
· 选择实例ID为“2”。
· 输入VLAN ID为“20”。
· 单击<应用>按钮将实例与VLAN的映射关系添加到列表中。
· 选择实例ID为“3”。
· 输入VLAN ID为“30”。
· 单击<应用>按钮将实例与VLAN的映射关系添加到列表中。
步骤4:单击<激活>按钮完成操作。
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络 > MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,如下图所示。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
· 选中“实例”前的复选框。
· 选择实例ID为“1”。
· 选择根类型为“Primary”。
步骤4:单击<确定>按钮完成操作。
图5-9 配置MSTP全局(Switch A)
(1) 配置MSTP域。(与Switch A上MSTP域的配置相同,不再赘述)
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络> MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,参见图5-9。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
· 选中“实例”前的复选框。
· 选择实例ID为“2”。
· 选择根类型为“Primary”。
步骤4:单击<确定>按钮完成操作。
(1) 配置MSTP域。(与Switch A上MSTP域的配置相同,不再赘述)
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络 > MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,参见图5-9。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
· 选中“实例”前的复选框。
· 选择实例ID为“3”。
· 选择根类型为“Primary”。
步骤4:单击<确定>按钮完成操作。
(1) 配置MSTP域。(与Switch A上MSTP域的配置相同,不再赘述)
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络 > MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,如下图所示。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
步骤4:单击<确定>按钮完成操作。
图5-10 配置MSTP全局(Switch D)
配置MSTP时需要注意如下事项:
(1) 只有两台设备上配置的MST域的域名相同、MST域内配置的所有生成树实例对应的VLAN映射表完全相同、MST域的修订级别相同,且设备之间有链路相通,这两台设备才属于同一个MST域。
(2) 在生成树根桥的选择过程中,如果设备的桥优先级取值相同,则MAC地址最小的那台设备将被选择为根。
(3) 在设备没有使能BPDU保护的情况下,如果被设置为边缘端口的端口上收到来自其它端口的BPDU报文,则该端口会重新变为非边缘端口。此时,只有重启端口才能将该端口恢复为边缘端口。
(4) 对于直接与终端相连的端口,请将该端口设置为边缘端口,同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全。
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
链路聚合可以实现出/入负载在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。
关于链路聚合和LACP的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“以太网链路聚合”。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建静态聚合接口,并配置其成员端口 创建静态聚合接口时,系统自动生成静态聚合组 缺省情况下,未配置任何链路聚合组 |
|
|
2 |
可选 查看已存在的链路聚合组的详细信息 |
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建动态聚合接口,并配置其成员端口 创建动态聚合接口时,系统自动生成动态聚合组,并使能LACP协议 缺省情况下,未配置任何链路聚合组 |
|
|
2 |
可选 设置端口LACP协议优先级和系统LACP协议优先级 改变LACP协议优先级将会影响到动态聚合组成员的Selected和Unselected状态 缺省情况下,端口和系统LACP协议优先级均为32768 |
|
|
3 |
可选 查看已存在的链路聚合组的详细信息 |
|
|
4 |
可选 查看已使能LACP协议的端口的详细信息,以及对端端口的详细信息 |
(1) 在导航栏中选择“网络 > 链路聚合”。
(2) 单击“创建”页签,进入如下图所示的页面。
(3) 配置链路聚合组的信息,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
输入链路聚合接口 |
设置链路聚合接口的ID,作为链路聚合接口组的标识,也是链路聚合组的标识 |
|
选择链路聚合接口类型 |
设置要创建的链路聚合接口的类型,包括: · 静态(LACP不使能) · 动态(LACP使能) |
|
为新建的聚合接口选择成员端口 |
在面板示意图中选择需要加入该聚合接口的成员端口,可以选择一个或多个端口 选择结果显示在页面下方的概要信息列表框中 |
(1) 在导航栏中选择“网络 > 链路聚合”,默认进入“显示”页签的页面,如下图所示。页面上方的列表中显示所有聚合接口的信息。
(2) 选中一条表项,在页面下方的列表中会显示该聚合接口中端口成员的详细信息,详细信息如表6-4所示。
|
标题项 |
说明 |
|
聚合接口 |
链路聚合接口的类型和ID Bridge-Aggregation表示二层聚合接口 |
|
链路类型 |
链路聚合接口的类型,包括: · Static:静态聚合接口 · Dynamic:动态聚合接口 |
|
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
|
被选中端口数 |
聚合组中正在使用(即可以收发用户的业务报文)的端口数量 |
|
备用端口数 |
聚合组中未在使用(即不能收发用户的业务报文)的端口数量 |
|
端口成员 |
选中聚合接口中的端口成员 |
|
状态 |
端口成员的选中状态 |
|
未选中原因 |
端口成员未选中(即未在使用)的原因 当端口成员的状态为选中时,显示为“--” |
(1) 在导航栏中选择“网络 > LACP”。
(2) 单击“设置”页签,进入如下图所示的页面。
图6-3 设置LACP协议优先级
(3) 在页面的“设置LACP激活端口参数”部分修改端口的LACP协议优先级,详细配置如下表所示。
(4) 单击此部分的<应用>按钮完成操作。
表6-5 LACP协议优先级的详细配置
|
配置项 |
说明 |
|
端口优先级 |
设置端口的LACP协议优先级 |
|
选择端口修改端口优先级 |
在面板示意图中选择需要修改LACP协议优先级的端口 未使能LACP协议的端口也可以修改其LACP协议优先级 |
|
系统优先级 |
设置系统的LACP协议优先级 |
(1) 在导航栏中选择“网络 > LACP”,默认进入“显示”页签的页面。页面上方的列表框中显示的是本设备上所有使能了LACP协议的端口的详细信息,详细说明如表6-6和所示。
(2) 选中某条表项。
(3) 单击<查看详情>按钮,在下方的列表中显示该端口的对端端口的详细信息。如下图所示,详细说明如表6-7所示。
图6-4 查看LACP端口信息
表6-6 使能了LACP协议的端口信息的详细说明
|
标题项 |
说明 |
|
端口 |
使能了LACP协议的端口的编号 |
|
LACP状态 |
端口上LACP协议的使能状态 |
|
端口优先级 |
端口的LACP协议优先级 |
|
状态 |
端口是否处于激活状态 如果处于激活状态,还将显示端口所属的聚合组 |
|
未选中原因 |
端口未在使用(即不能收发用户的业务报文)的原因,取值的具体说明请参见图6-4 |
|
对端端口 |
对端端口的编号 |
|
对端状态 |
对端端口的状态,用A~H表示 · A:LACP使能 · B:LACP短超时(不显示B表示LACP长超时) · C:发送端认为端口所在链路可聚合 · D:发送端认为端口所在链路处于同步状态 · E:发送端认为端口所在链路处于收集状态 · F:发送端认为端口所在链路处于分发状态 · G:发送端的接收状态机处于默认状态(没有收到报文、或者长时间内没有收到报文) · H:发送端的接收状态机处于超时状态 |
|
操作key |
本端端口的操作Key |
|
标题项 |
说明 |
|
单元 |
对端设备的成员编号 |
|
端口 |
对端端口的编号 |
|
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
|
对端端口优先级 |
对端端口的LACP协议优先级 |
|
对端操作key |
对端端口的操作Key |
· Switch A与Switch B通过各自的二层以太网端口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。
· Switch A和Switch B由三条物理链路连接。在Switch A和Switch B上把端口配置成链路聚合组,从而实现出/入负载在各成员端口中分担。
使用静态聚合组和动态聚合组均可以实现负载分担,下面将分别介绍这两种聚合组的配置方法,使用任何一种方法都可以实现需求。
(1) 方法一:配置静态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入二层接口为“1”。
· 选择链路聚合接口类型为“静态(LACP不使能)”。
· 在面板示意图上选中端口“GE1/0/1”、“GE1/0/2”、“GE1/0/3”。
步骤4:单击<应用>按钮完成操作。
(2) 方法二:配置动态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入二层接口为“1”。
· 选择链路聚合接口类型为“动态(LACP使能)”。
· 在面板示意图上选中端口“GE1/0/1”、“GE1/0/2”、“GE1/0/3”。
步骤4:单击<应用>按钮完成操作。
对链路聚合组进行配置时,需要注意如下事项:
(1) 在聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。在进行配置时,用户需要通过手工配置的方式保证各端口上的这些配置一致。
· 参考端口:当聚合组内有处于Up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于Up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 端口属性配置:包括端口速率、双工模式和链路状态的配置。
· 第二类配置:请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“以太网链路聚合”的介绍。
(2) 对于静态聚合组,用户要通过配置使同一链路上处在两台不同设备中的端口的Selected状态保持一致,否则聚合功能不能正常使用;对于动态聚合模式,系统两端会自动协商同一条链路上的两端端口在各自聚合组中的Selected状态,用户只需保证在一个系统中聚合在一起的端口的对端也同样聚合在一起,聚合功能即可正常使用
(3) 配置了MAC地址认证的端口、配置了端口安全模式的端口、配置了报文过滤功能的端口、配置了以太网帧过滤功能的端口、启用了IP Source Guard功能的端口以及使能了802.1X的端口都不能加入二层聚合组。
(4) 建议不要将镜像反射口加入聚合组,关于反射口的介绍请参见“设备”。
(5) 删除二层聚合接口时,系统会自动删除对应的聚合组,且该聚合组中的所有成员端口将全部离开该聚合组
(6) 由于没有负载分担资源而导致负载分担组成为非负载分担组时,可能出现下列两种情况:一种情况是,对端的Selected端口数与本端的Selected端口数不相同,此时不能保证流量的正确转发;另一种情况是,本端Selected端口的对端是Unselected端口,此时会导致上层协议和流量转发出现异常。请用户配置的时候避免上述情况的发生。
LLDP(Link Layer Discovery Protocol,链路层发现协议)是由IEEE 802.1AB定义的一种链路层发现协议,网络管理系统可以通过该协议快速掌握二层网络的拓扑及其变化情况。LLDP将本地设备的信息组织成TLV(Type/Length/Value,类型/长度/值)封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发送给直连的邻居,同时将邻居发来的LLDPDU以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
关于LLDP的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“二层技术配置指导”中的“LLDP”。
表7-1 LLDP配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 缺省情况下,端口LLDP功能处于使能状态 LLDP功能必须在全局和端口上同时使能后才能生效 |
|
|
2 |
可选 配置端口LLDP功能相关参数,包括:LLDP工作模式、报文封装格式、兼容CDP功能、轮询功能、Trap功能和LLDPDU发布的TLV属性等 缺省情况下: · LLDP工作模式为TxRx · 报文封装格式为ETHII · 兼容CDP功能的工作模式为Disable · 轮询、Trap功能处于关闭状态 · LLDP发布除Location Identification TLV之外的所有类型的TLV |
|
|
3 |
必选 设置使能全局的LLDP功能,并配置LLDP的全局参数 LLDP功能必须在全局和端口上同时使能后才能生效 缺省情况下,全局LLDP功能处于关闭状态 |
|
|
4 |
可选 查看指定端口的LLDP本地信息、邻居信息、统计信息和状态信息 · 本地信息是指当前设备要发送的LLDP信息,这些信息将被组织成TLV发送给邻居 · 邻居信息是指从邻居收到的LLDP信息,邻居将这些信息组织成TLV发送给当前设备 |
|
|
5 |
可选 查看全局的LLDP本地信息和统计信息 本地信息是指当前设备要发送的LLDP信息,这些信息将被组织成TLV发送给邻居 |
|
|
6 |
可选 查看全局的LLDP邻居信息,即从邻居收到的LLDP信息,邻居将这些信息组织成TLV发送给当前设备 |
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如下图所示。列表中显示的是端口LLDP功能的使能状态和工作模式。
(2) 在列表中选中接口名前的复选框。
(3) 单击列表下方<使能>按钮,可以使能这些端口的LLDP功能;单击列表下方的<去使能>按钮,可以关闭这些端口的LLDP功能。
Web提供了单个端口设置和批量端口设置两种方式来配置端口LLDP参数。
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图7-1所示。
(2) 在列表中单击端口对应的
图标,进入该端口LLDP参数的显示和配置页面,可以对该端口当前LLDP参数的配置信息进行查看和修改,如下图所示。
(3) 配置端口的LLDP参数,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表7-2 端口LLDP参数的详细配置
|
配置项 |
说明 |
|
|
接口名 |
显示当前配置的LLDP端口的名称 |
|
|
LLDP状态 |
显示当前配置的端口的LLDP功能的使能状态 批量端口设置时不显示此项 |
|
|
基本设置 |
LLDP工作模式 |
设置端口的LLDP工作模式,包括: · TxRx:既发送也接收LLDPDU · Tx:只发送不接收LLDPDU · Rx:只接收不发送LLDPDU · Disable:既不发送也不接收LLDPDU |
|
报文封装格式 |
设置端口LLDPDU的封装格式,包括: · ETHII:端口发送的LLDPDU采用Ethernet II格式封装,并且只有收到的LLDPDU封装格式为Ethernet II时,设备才会对其进行处理 · SNAP:端口发送的LLDPDU采用SNAP格式封装,并且只有收到的LLDPDU封装格式为SNAP时,设备才会对其进行处理
LLDP CDP报文的封装格式只能为SNAP,不能为Ethernet II |
|
|
兼容CDP工作模式 |
设置端口LLDP兼容CDP功能的工作模式,包括: · Disable:既不发送也不接收CDP报文 · TxRx:既发送也接收CDP报文
要使LLDP兼容CDP功能生效,必须在“全局设置”页签中使能LLDP兼容CDP功能,同时将端口下LLDP兼容CDP功能的工作模式配置为TxRx |
|
|
轮询时间间隔 |
设置端口使能轮询功能和轮询的时间间隔 不指定轮询时间间隔表示关闭端口的轮询功能 通过配置轮询功能,LLDP将以轮询时间间隔周期性地查询本设备的相关配置是否发生改变,如果发生改变将触发LLDPDU的发送,以将本设备的配置变化迅速通知给其他设备 |
|
|
Trap功能 |
设置端口LLDP Trap功能的使能状态 通过使能LLDP Trap功能,可以向网管工作站通告如发现新邻居、与原来邻居的通信链路发生故障等重要事件
发送Trap信息的时间间隔是指设备向网管系统发送Trap信息的最小时间间隔,通过在“全局设置”页签中调整“Trap信息发送间隔”,可以避免由于邻居信息频繁变化而导致Trap信息的频繁发送 |
|
|
基本TLV设置 |
端口描述 |
设置端口发布Port Description TLV |
|
系统性能 |
设置端口发布System Capabilities TLV |
|
|
系统描述 |
设置端口发布System Description TLV |
|
|
系统名称 |
设置端口发布System Name TLV |
|
|
管理地址 |
设置端口发布Management Address TLV,并指定发布的管理地址和管理地址在TLV中的封装形式(封装形式可以是数字或字符串) 如果不指定发布的管理地址,则发布的管理地址为端口允许通过且VLAN ID值最小的VLAN的主IP地址,若VLAN ID值最小的VLAN未配置主IP地址,则发布的管理地址值为127.0.0.1 |
|
|
DOT1 TLV设置 |
端口VLAN ID |
设置端口发布Port VLAN ID TLV |
|
协议VLAN ID |
设置端口发布Port And Protocol VLAN ID TLV,并指定要发布的VLAN ID 如果不指定要发布的VLAN ID,则使用协议所属最小VLAN |
|
|
VLAN名称 |
设置端口发布VLAN Name TLV,并指定要发布的VLAN ID 如果不指定要发布的VLAN ID,则使用端口所属的最小VLAN |
|
|
DOT3 TLV设置 |
链路聚合 |
设置端口发布Link Aggregation TLV |
|
MAC/PHY配置/状态 |
设置端口发布MAC/PHY Configuration/Status TLV |
|
|
最大帧长度 |
设置端口发布Maximum Frame Size TLV |
|
|
供电能力 |
设置端口发布Power Via MDI TLV |
|
|
MED TLV设置 |
LLDP-MED能力集 |
设置端口发布LLDP-MED Capabilities TLV |
|
资产信息 |
设置端口发布Hardware Revision TLV、Firmware Revision TLV、Software Revision TLV、Serial Number TLV、Manufacturer Name TLV、Model Name TLV和Asset ID TLV |
|
|
网络策略 |
设置端口发布Network Policy TLV |
|
|
扩展供电能力 |
设置端口发布Extended Power-via-MDI TLV |
|
|
紧急号码 |
设置端口发布Location Identification TLV封装紧急电话号码,并指定封装的紧急电话号码 |
|
|
普通地址 |
设置端口发布Location Identification TLV封装网络连接设备的普通地址信息,并指定设备类型(设备类型包括DHCP server、Switch和LLDP-MED Endpoint)、国家码和网络设备地址 配置网络设备地址时,先在下拉框中选择要指定地址信息类型,再在文本框中输入相应类型的信息,然后单击<添加>按钮,即可将信息添加到网络设备地址信息的列表框中;在网络设备地址信息的列表框中选中一条信息,单击<删除>按钮,即可将该条信息从列表框中删除。地址信息的类型包括language(语言)、province/state(州/省)、country(国家)、city(城市)、street(街)、house number(楼号)、name(名称)、postal/zip code(邮政编码)、room number(房号)、post office box(邮政信箱)和additional information(附加信息) |
|
|
网络设备地址 |
||
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图7-1 所示。
(2) 在列表中选中一个或多个端口。
(3) 单击<批量端口设置>,进入端口批量设置的页面,可以对所有选中端口的LLDP参数进行批量修改,如下图所示。
图7-3 批量修改端口LLDP参数
(4) 配置选中端口的LLDP参数,详细配置参见表7-2。
(5) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > LLDP”。
(2) 单击“全局设置”页签,进入如下图所示的页面。
(3) 配置全局LLDP功能,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表7-3 全局LLDP功能的详细配置
|
配置项 |
说明 |
|
全局LLDP功能 |
设置全局LLDP功能的使能状态 |
|
LLDP兼容CDP |
设置全局LLDP兼容CDP功能的使能状态
· 要使LLDP兼容CDP功能生效,必须在全局使能LLDP兼容CDP功能,同时在“端口设置”中将端口下LLDP兼容CDP功能的工作模式配置为TxRx · 由于CDP报文所携TTL TLV中TTL的最大值为255,而TTL=Min(65535,(TTL乘数×发送LLDP报文的时间间隔)),因此为保证LLDP兼容CDP功能的正常运行,应确保TTL乘数与发送LLDP报文的时间间隔的乘积不大于255 |
|
快速发送报文个数 |
设置LLDP快速发送报文的个数 |
|
TTL乘数 |
设置TTL乘数的值 LLDPDU中所携TTL TLV中TTL的值用来设置邻居信息在本地设备上的老化时间。由于TTL=Min(65535,(TTL乘数×发送LLDP报文的时间间隔)),因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间 |
|
Trap信息发送间隔 |
设置Trap信息的发送时间间隔 在端口上使能LLDP Trap功能后,设备会以一定的时间间隔发送Trap信息,从而将该间隔内检测到的拓扑变化情况通告给邻居。合理配置发送Trap信息的时间间隔,可以避免Trap信息的频繁发送 |
|
端口初始化延迟时间 |
设置端口初始化延迟时间 当端口上LLDP的工作模式发生变化时,端口将对协议状态机进行初始化操作,通过配置端口初始化的延迟时间,可以避免由于工作模式频繁改变而导致端口不断地进行初始化 |
|
LLDPDU发送延迟时间 |
设置LLDPDU发送延迟时间
LLDPDU发送延迟时间应小于TTL TLV的值,否则将导致当前设备的信息在邻居设备上老化后仍无法收到当前设备发送的LLDPDU |
|
LLDPDU发送间隔 |
设置LLDPDU发送时间间隔
LLDPDU发送间隔应小于TTL,否则将导致当前设备的信息在邻居设备上老化后仍无法收到当前设备发送的LLDPDU |
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图7-1所示。
(2) 在列表中单击端口的名称,在页面的下方可以显示该端口的相关信息,默认显示的是“本地信息”页签的内容,如下图所示,端口本地信息的详细说明如表7-4所示。
|
信息 |
说明 |
|
Port ID类型 |
· Interface alias:表示接口化名 · Port component:表示端口组件 · MAC address:表示MAC地址 · Network Address:表示网络地址 · Interface name:表示接口名称 · Agent circuit ID:表示代理巡回标识 · Locally assigned:表示本地配置 |
|
PoE的类型 |
· PSE:表示供电设备 · PD:表示受电设备
此信息的支持情况与设备的具体型号有关,请以设备的实际情况为准 |
|
PD的端口控制级别 |
· Unknown:表示级别未知 · Class0:表示级别1 · Class1:表示级别2 · Class2:表示级别3 · Class3:表示级别4 · Class4:表示级别5 |
|
媒体策略类型 |
· Unknown:表示类型未知 · voice:表示语音 · voiceSignaling:表示语音信号 · guestVoice:表示访客语音 · guestVoiceSignaling:表示访客语音信号 · softPhoneVoice:表示软体电话语音 · videoconferencing:表示视频会议 · streamingVideo:表示流视频 · videoSignaling:表示视频信号 |
|
PoE PSE供电来源 |
· Primary:表示主用电源 · Backup:表示备用电源 |
|
端口供电优先级 |
· Unknown:表示优先级未知 · Critical:表示优先级1级 · High:表示优先级2级 · Low:表示优先级3级 |
(3) 单击“邻居信息”页签,查看端口的LLDP邻居信息,如下图所示。端口邻居信息的详细说明如表7-5所示。
|
信息 |
说明 |
|
Chassis类型 |
Chassis ID类型 · Chassis component:表示底架组件 · Interface alias:表示接口化名 · Port component:表示端口组件 · MAC address:表示MAC地址 · Network address:表示网络地址 · Interface name:表示接口名称 · Locally assigned:表示本地配置 |
|
Chassis ID |
Chassis ID值 |
|
Port ID类型 |
端口ID类型: · Interface alias:表示接口化名 · Port component:表示端口组件 · MAC address:表示MAC地址 · Network Address:表示网络地址 · Interface name:表示接口名称 · Agent circuit ID:表示代理巡回标识 · Locally assigned:表示本地配置 |
|
Port ID |
端口ID值 |
|
系统支持的能力集 |
· Repeater:表示支持转发功能 · Bridge:表示支持交换功能 · Router:表示支持路由功能 |
|
系统使能的能力集 |
· Repeater:表示转发功能已使能 · Bridge:表示交换功能已使能 · Router:表示路由功能已使能 |
|
Auto-negotiation supported |
端口是否支持自协商 |
|
Auto-negotiation enabled |
端口是否已使能自协商 |
|
OperMau |
端口自适应的速率和双工状态 |
|
Link aggregation supported |
端口是否支持链路聚合 |
|
Link aggregation enabled |
端口是否已使能链路聚合 |
|
Aggregation port ID |
聚合端口的端口ID,0表示未使能链路聚合功能 |
|
Maximum frame Size |
端口支持的最大帧长度 |
|
Device class |
MED设备类型 · Connectivity device:表示网络连接设备 · Class I:表示一般终端设备,即所有需要LLDP发现服务的终端设备 · Class II:表示媒体终端设备,即具备媒体能力的终端设备,其能力包含了一般终端设备的能力,但该类设备支持媒体流 · Class III:表示通讯终端设备,即直接支持目标用户IP通讯系统的终端设备,其能力包含了一般终端设备和媒体终端设备的所有能力,但是该类设备直接被目标用户所使用 |
|
Media policy type |
媒体策略类型 · Unknown:表示类型未知 · voice:表示语音 · voiceSignaling:表示语音信号 · guestVoice:表示访客语音 · guestVoiceSignaling:表示访客语音信号 · softPhoneVoice:表示软体电话语音 · videoconferencing:表示视频会议 · streamingVideo:表示流视频 · videoSignaling:表示视频信号 |
|
Unknown Policy |
媒体策略类型是否未知 |
|
VLAN tagged |
媒体VLAN是否带Tag |
|
Media policy VlanID |
媒体VLAN的VLAN ID |
|
Media policy L2 priority |
二层优先级 |
|
Media policy Dscp |
DSCP的值 |
|
HardwareRev |
产品的硬件版本 |
|
FirmwareRev |
产品的固件版本 |
|
SoftwareRev |
产品的软件版本 |
|
SerialNum |
序列号 |
|
Manufacturer name |
制造厂商 |
|
Model name |
模块名称 |
|
Asset tracking identifier |
资产跟踪ID |
|
PoE PSE供电来源 |
· Primary:表示主用电源 · Backup:表示备用电源 |
|
端口供电优先级 |
· Unknown:表示未知 · Critical:表示优先级1级 · High:表示优先级2级 · Low:表示优先级3级 |
(4) 单击“统计信息”页签,查看端口的LLDP统计信息,如下图所示。
(5) 单击“状态信息”页签,查看端口的LLDP状态信息,如下图所示。
(1) 在导航栏中选择“网络 > LLDP”。
(2) 单击“全局信息”页签,进入如下图所示的页面。可以查看全局的LLDP本地信息和统计信息,详细说明如表7-6所示。
|
信息 |
说明 |
|
Chassis ID |
Chassis ID值 |
|
系统支持的能力集 |
· Repeater:表示支持转发功能 · Bridge:表示支持交换功能 · Router:表示支持路由功能 |
|
系统使能的能力集 |
· Repeater:表示转发功能已使能 · Bridge:表示交换功能已使能 · Router:表示路由功能已使能 |
|
设备类型 |
· Connectivity device:表示网络连接设备 · Class I:表示一般终端设备,即所有需要LLDP发现服务的终端设备 · Class II:表示媒体终端设备,即具备媒体能力的终端设备,其能力包含了一般终端设备的能力,但该类设备支持媒体流 · Class III:表示通讯终端设备,即直接支持目标用户IP通讯系统的终端设备,其能力包含了一般终端设备和媒体终端设备的所有能力,但是该类设备直接被目标用户所使用 |
(1) 在导航栏中选择“网络 > LLDP”。
(2) 单击“邻居信息”页签,进入如下图所示的页面。可以查看全局的LLDP邻居信息。
· NMS(Network Management System,网络管理系统)通过以太网与Switch A相连,Switch A通过GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与MED设备和Switch B相连。
· 通过在Switch A和Switch B上配置LLDP功能,使NMS可以对Switch A上的链路通信情况进行判断。
图7-11 LLDP基本功能配置组网图
(1) 使能端口GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP功能。(缺省情况下,端口的LLDP功能处于使能状态,此步骤可跳过)
(2) 配置端口GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP工作模式为Rx。
步骤1:在Switch A的导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:选中“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”前的复选框。
步骤3:单击<批量端口设置>按钮,如下图所示。
步骤4:如下图所示,在批量端口设置的页面选择LLDP工作模式为“Rx”。
步骤5:单击<确定>按钮完成操作。
图7-13 配置端口的LLDP工作模式为Rx
(3) 使能全局LLDP功能。
步骤1:单击“全局设置”页签。
步骤2:如下图所示,选择全局LLDP功能为“使能”。
步骤3:单击<确定>按钮完成操作。
(1) 使能端口GigabitEthernet1/0/1的LLDP功能。(缺省情况下,端口的LLDP功能处于使能状态,此步骤可跳过)
(2) 配置端口GigabitEthernet1/0/1的LLDP工作模式为Tx。
步骤1:在Switch B的导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:单击“GigabitEthernet1/0/1”对应的图标。
步骤3:如下图所示,选择LLDP工作模式为“Tx”。
步骤4:单击<确定>按钮完成操作。。
图7-15 配置端口的LLDP工作模式为Tx
(3) 使能全局LLDP功能。
步骤1:单击“全局设置”页签。
步骤2:参见图7-14,选择全局LLDP功能为“使能”。
步骤3:单击<确定>按钮完成操作。
(1) 在Switch A上查看GigabitEthernet1/0/2的状态信息。
步骤1:在Switch A的导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:在列表中单击接口名“GigabitEthernet1/0/2”。
步骤3:在页面下方单击<状态信息>页签,显示如下图所示的信息。
由此可见,端口GigabitEthernet1/0/2上连接了一个非MED邻居设备(即Switch B)。
(2) 将Switch A和Switch B间的链路断掉。
(3) 在Switch A上单击“状态信息”下的<刷新>按钮,再次查看GigabitEthernet1/0/2的状态信息,显示如下图所示的信息。
由此可见,端口GigabitEthernet1/0/2上已经没有任何邻居设备了。
· Switch A通过GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与两部Cisco的IP电话相连。
· 在Switch A上配置VLAN ID为2的Voice VLAN,通过在Switch A上配置LLDP兼容CDP功能使IP电话完成Voice VLAN的自动配置,以使语音数据流被限制在Voice VLAN内,与其它数据流区分开来。
图7-18 LLDP兼容CDP功能配置组网图
(1) 创建VLAN 2。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN ID为“2”。
步骤4:单击<>按钮完成操作。
(2) 配置GigabitEthernet1/0/1和GigabitEthernet1/0/2为Trunk端口。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择连接类型为“Trunk”。
· 在面板示意图中点击选中端口“GE1/0/1”和“GE1/0/2”。
步骤4:单击<提交>按钮完成操作。
(3) 配置GigabitEthernet1/0/1和GigabitEthernet1/0/2的语音VLAN功能。
步骤1:在导航栏中选择“网络 > 语音VLAN”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择语音VLAN端口模式为“Auto”。
· 选择语音VLAN端口状态为“Enable”。
· 输入语音VLAN ID为“2”。
· 在面板示意图中点击选中端口“GE1/0/1”和“GE1/0/2”。
步骤4:单击<应用>按钮完成操作。
(4) 使能GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP功能。(缺省情况下,端口的LLDP功能处于使能状态,此步骤可跳过)
(5) 配置GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP工作模式为TxRx,兼容CDP工作模式为TxRX。
步骤1:在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:选中“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”前的复选框。
步骤3:单击<批量端口设置>按钮,如下图所示。
步骤4:进行如下配置,如下图所示。
· 选择LLDP工作模式为“TxRx”。
· 选择兼容CDP工作模式为“TxRx”。
步骤5:单击<确定>按钮完成操作。
(6) 全局使能LLDP功能以及LLDP兼容CDP功能。
步骤1:单击“全局设置”页签。
步骤2:进行如下配置,如下图所示。
· 选择全局LLDP功能为“使能”。
· 选择LLDP兼容CDP功能为“使能”。
步骤3:单击<确定>按钮完成操作。
图7-24 全局使能LLDP功能以及LLDP兼容CDP功能
完成上述配置后,在Switch A上查看邻居信息,可以看到Switch A已发现了分别连接在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上的IP电话,并获取到了相关的设备信息。
配置LLDP时需要注意如下事项:
(1) LLDP功能必须在全局和端口同时使能才能生效。
(2) 为端口配置LLDPDU发布的TLV属性时,需要注意:
· 必须配置发布LLDP-MED能力集TLV,才能配置发布LLDP-MED其它类型的TLV;
· 必须禁止发布LLDP-MED其它类型的TLV,才能禁止发布LLDP-MED能力集TLV;
· 必须首先禁止发布LLDP-MED能力集TLV,才能禁止发布MAC/PHY配置/状态TLV;
· 配置发布LLDP-MED能力集TLV后,MAC/PHY配置/状态TLV也将自动发布。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
关于ARP协议的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“三层技术配置指导”中的“ARP”。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项。
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如下图所示。页面显示所有ARP表项的信息。
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图8-1所示。
(2) 单击<新建>按钮,进入新建静态ARP表项的配置页面,如下图所示。
(3) 配置静态ARP表项的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表8-1 静态ARP表项的详细配置
|
配置项 |
说明 |
|
|
IP地址 |
设置静态ARP表项的IP地址 |
|
|
MAC地址 |
设置静态ARP表项的MAC地址 |
|
|
高级选项 |
VLAN ID |
设置静态ARP表项所属的VLAN和端口
指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLAN ID对应的VLAN虚接口必须已经创建 |
|
端口 |
||
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图8-1所示。
(2) 删除ARP表项,详细配置如下表所示。
表8-2 删除ARP表项的详细配置
|
功能 |
配置方法 |
|
删除指定的ARP表项 |
在列表中选中指定ARP表项前的复选框,单击<删除选中>按钮 |
|
删除所有静态和动态ARP表项 |
单击<删除所有静态和动态表项>按钮 |
|
删除所有静态ARP表项 |
单击<删除所有静态表项>按钮 |
|
删除所有动态ARP表项 |
单击<删除所有动态表项>按钮 |
(1) 在导航栏中选择“网络 > ARP管理”。
(2) 单击“免费ARP”页签,进入如下图所示的页面。
图8-3 免费ARP
(3) 配置免费ARP功能,详细配置如下表所示。
表8-3 免费ARP功能的详细配置
|
配置项 |
说明 |
|
关闭学习免费ARP报文 |
设置是否关闭免费ARP报文学习功能 缺省情况下,免费ARP报文学习功能处于开启状态 |
|
收到非同一网段ARP请求时发送免费ARP报文 |
设置开启收到非同一网段ARP请求时发送免费ARP报文功能 缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文 |
· Switch A连接主机,通过接口GigabitEthernet1/0/1连接Router B。接口GigabitEthernet1/0/1属于VLAN 100。
· Router B的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加Switch A和Router B通信的安全性,可以在Switch A上配置静态ARP表项。
图8-4 静态ARP配置组网图
(1) 创建VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN ID为“100”。
步骤4:单击<创建>按钮完成操作。
(2) 将端口GigabitEthernet1/0/1加入到VLAN 100中。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如下图所示。
· 在设备面板示意图中选择端口“GE1/0/1”。
· 选择操作类型为“Untagged”。
· 输入VLAN IDs为“100”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 创建Vlan-interface100。
步骤1:在导航栏中选择“网络 > VLAN虚接口”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入VLAN ID为“100”。
· 选中“配置IPv4地址”前的复选框。
· 选中“手工”前的单选按钮。
· 输入IPv4地址为“192.168.1.2”。
· 选择掩码长度为“24 (255.255.255.0)”。
步骤4:单击<应用>按钮完成操作。
(4) 配置静态ARP表项。
步骤1:在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入IP地址为“192.168.1.1”。
· 输入MAC地址为“00e0-fc01-0000”。
· 选中“高级选项”前的复选框。
· 输入VLAN ID为“100”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
通过Web页面配置ARP Detection可以实现两个功能:用户合法性检查、ARP报文有效性检查。
关于ARP防攻击的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“安全配置指导”中的“ARP攻击防御”。
如果配置了报文有效性检查功能,则先进行报文有效性检查,然后进行ARP用户合法性检查。
(1) 在导航栏中选择“网络 > ARP防攻击”,默认进入“ARP Detection”页签的页面,如下图所示。
(2) 配置ARP Detection功能,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表9-1 ARP Detection的详细配置
|
配置项 |
说明 |
|
VLAN配置 |
设置要使能ARP Detection功能的VLAN 在“未使能VLAN”列表框中选中一个或多个VLAN,单击“<<”按钮,可以将选中的VLAN添加到“已使能VLAN”列表框中;在“已使能VLAN”列表框中选中一个或多个VLAN,单击“>>”按钮,可以将选中的VLAN添加到“未使能VLAN”列表框中 |
|
信任端口 |
设置ARP信任端口和非信任端口 在“非信任端口”列表框中选中一个或多个端口,单击“<<”按钮,可以将选中的端口添加到“信任端口”列表框中;在“信任端口”列表框中选中一个或多个端口,单击“>>”按钮,可以将选中的端口添加到“非信任端口”列表框中 |
|
报文检查 |
设置对ARP报文进行有效性检查的方式,包括: · 如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文 如果未配置任何ARP有效性检查方式,则不对ARP报文进行有效性检查 |
IGMP Snooping是Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组。
运行IGMP Snooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。
如下图所示,当二层设备没有运行IGMP Snooping时,组播数据在二层被广播;当二层设备运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。
图10-1 二层设备运行IGMP Snooping前后的对比
IGMP Snooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:
· 减少了二层网络中的广播报文,节约了网络带宽;
· 增强了组播信息的安全性;
· 为实现对每台主机的单独计费带来了方便。
关于IGMP Snooping的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“IP组播配置指导”中的“IGMP Snooping”。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,全局IGMP Snooping处于禁止状态 |
|
|
2 |
必选 在VLAN内使能IGMP Snooping,配置IGMP Snooping版本、查询器等功能 缺省情况下,VLAN内的IGMP Snooping处于禁止状态
· 在VLAN内配置IGMP Snooping之前,必须先在全局使能IGMP Snooping · 在VLAN内使能IGMP Snooping之后,不允许在该VLAN所对应的VLAN接口上再使能IGMP和PIM,反之亦然 · 在VLAN内使能了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效 |
|
|
3 |
可选 在指定VLAN内配置端口的最大组播组数和端口快速离开功能
· 在端口上配置IGMP Snooping之前,必须先全局使能组播路由或IGMP Snooping · 在VLAN内使能IGMP Snooping或者VLAN接口上使能IGMP的情况下,端口上的IGMP Snooping配置才生效 |
|
|
4 |
可选 |
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如下图所示。
(2) 选中IGMP Snooping“Enable”前的单选按钮。
(3) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图10-2所示。
(2) 在“VLAN配置”中单击要配置的VLAN对应的图标,进入该VLAN的IGMP Snooping配置页面,如下图所示。
(3) 配置VLAN内IGMP Snooping功能的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表10-2 VLAN内IGMP Snooping的详细配置
|
配置项 |
说明 |
|
VLAN ID |
显示当前要配置的VLAN的ID |
|
IGMP Snooping |
设置在该VLAN内使能(Enable)或禁止(Disable)IGMP Snooping 只有在此项选择“Enable”时,才能进行后面配置项的设置 |
|
版本 |
设置IGMP Snooping的版本,即设置IGMP Snooping可以处理的IGMP报文的版本 · 当IGMP Snooping的版本为2时,IGMP Snooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播 · 当IGMP Snooping的版本为3时,IGMP Snooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理 |
|
丢弃未知组播数据报文 |
设置使能(Enable)或禁止(Disable)丢弃未知组播数据报文功能 未知组播数据报文是指在IGMP Snooping转发表中不存在对应转发表项的那些组播数据报文: · 当使能丢弃未知组播数据报文功能时,交换机将丢弃所有收到的未知组播数据报文 · 当禁止丢弃未知组播数据报文功能时,交换机将在未知组播数据报文所属的VLAN内广播该报文 |
|
查询器 |
设置使能(Enable)或禁止(Disable)IGMP Snooping查询器功能 在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据 |
|
查询间隔 |
设置发送IGMP普遍组查询报文的时间间隔 |
|
通用查询报文源IP |
设置IGMP普遍组查询报文的源IP地址 |
|
特定组查询报文源IP |
设置IGMP特定组查询报文的源IP地址 |
(1) 在导航栏中选择“网络 > IGMP Snooping”。
(2) 单击“高级配置”页签,进入如下图所示的页面。
(3) 配置IGMP Snooping高级参数,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表10-3 IGMP Snooping高级参数的详细配置
|
配置项 |
说明 |
|
端口名称 |
设置要进行IGMP Snooping高级配置的端口,包括以太网接口和二层聚合接口 选择一个端口名称后,页面下方的列表中会显示该端口的高级参数配置信息
二层聚合接口与其各成员端口上的配置是相互独立的,但在成员端口上的配置只有当该端口退出聚合组后才会生效,二层聚合接口上的配置也不会参与聚合计算 |
|
VLAN ID |
设置在指定VLAN内配置端口快速离开功能或配置允许端口加入的组播组最大数量 只有当端口属于指定的VLAN时,端口上的IGMP Snooping高级参数配置才生效 |
|
最大组播组数 |
设置允许端口加入的组播组最大数量 通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量
在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMP Snooping转发表中删除,该端口上的主机需要重新加入组播组 |
|
端口快速离开 |
设置在指定端口上使能(Enable)或禁止(Disable)快速离开功能 端口快速离开是指当交换机从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当交换机收到对该组播组的IGMP特定组查询报文时,交换机将不再向该端口转发。在交换机上,如果端口下只连接有一个接收者,则可以通过使能端口快速离开功能以节约带宽和资源
在使能了端口快速离开功能后,当端口下有多个用户时,一个用户的离开会导致该端口下属于同一组播组的其它用户无法收到组播数据 |
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图10-2所示。
(2) 单击“显示表项”前的扩展按钮,可以查看IGMP Snooping组播表项的概要信息,如下图所示,表项信息的详细说明如表10-4所示
(3) 单击要查看的表项对应的
图标,进入该IGMP Snooping组播表项详细信息的显示页面,如下图所示,表项信息的详细说明如表10-4所示
表10-4 IGMP Snooping组播表项信息的详细说明
|
标题项 |
说明 |
|
VLAN ID |
组播表项所属VLAN的ID |
|
源地址 |
组播源地址,0.0.0.0表示所有组播源 |
|
组地址 |
组播组地址 |
|
路由器端口 |
所有路由器端口 |
|
成员端口 |
所有成员端口 |
· 如下图所示,Router A通过Ethernet1/2接口连接组播源(Source),通过Ethernet1/1接口连接Switch A。
· 组播源(Source)向组播组224.1.1.1发送组播数据,Host A是组播组224.1.1.1的接收者(Receiver)。
· Router A上运行IGMPv2,Switch A上运行版本2的IGMP Snooping。
· 为了防止Switch A在没有二层组播转发表项时将组播数据在VLAN内广播,在Switch A上使能丢弃未知组播数据报文的功能。
· 为了节约带宽和资源,在Switch A的GigabitEthernet1/0/3口上使能端口快速离开功能。
图10-7 IGMP Snooping配置组网图
在Router A上使能IP组播路由,在各接口上使能PIM-DM,并在接口Ethernet1/1上使能IGMP。具体配置过程略。
(1) 创建VLAN 100。
步骤1:在Switch A的导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如下图所示,输入VLAN ID为“100”。
步骤4:单击<创建>按钮完成操作。
图10-8 创建VLAN 100
(2) 将端口GigabitEthernet1/0/1到GigabitEthernet1/0/3添加到该VLAN 100中
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如下图所示。
· 在设备面板示意图中选中端口“GE1/0/1”、“GE1/0/2”和“GE1/0/3”。
· 选择操作类型为“Untagged”。
· 输入VLAN IDs为“100”。
步骤3:单击<应用>按钮完成操作。
图10-9 将端口添加到VLAN 100中
(3) 全局使能IGMP Snooping。
步骤1:在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面。
步骤2:如下图所示,选中IGMP Snooping“Enable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
(4) 在VLAN 100内使能IGMP Snooping和丢弃未知组播数据报文功能。
步骤1:单击VLAN 100对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中IGMP Snooping“Enable”前的单选按钮。
· 选择版本为“2”。
· 选中丢弃未知组播数据报文“Enable”前的单选按钮。
· 选中查询器“Disable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图10-11 在VLAN 100内配置IGMP Snooping
(5) 在端口GigabitEthernet1/0/3上使能端口快速离开功能。
步骤1:单击“高级配置”页签。
步骤2:进行如下配置,如下图所示。
· 选择端口名称为“GigabitEthernet1/0/3”。
· 输入VLAN ID为“100”。
· 选中端口快速离开“Enable”前的单选按钮。
(6) 单击<确定>按钮完成操作。
图10-12 在GigabitEthernet1/0/3上配置IGMP Snooping
在Switch A上查看IGMP Snooping组播表项的信息。
步骤1:在Switch A的导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面。
步骤2:单击“显示表项”前的扩展按钮,可以查看到IGMP Snooping组播表项概要信息,如下图所示。
图10-13 配置结果(IGMP Snooping组播表项概要信息)
步骤3:在概要信息表中单击VLAN 100的IGMP Snooping组播表项(0.0.0.0,224.1.1.1)对应的图标,可以查看到该IGMP Snooping组播表项的详细信息,如下图所示。
图10-14 配置结果(IGMP Snooping组播表项详细信息)
由此可见,Switch A上的端口GigabitEthernet1/0/3已经加入了组播组224.1.1.1。
在网络中路由器根据所收到的报文的目的地址选择一条合适的路径,并将报文转发到下一个路由器。路径中最后的路由器负责将报文转发给目的主机。路由就是报文在转发过程中的路径信息,用来指导报文转发。
路由表中保存了各种路由协议发现的路由。路由器通过路由表选择路由,把优选路由下发到FIB(Forwarding Information Base)表中,通过FIB指导报文转发。每个路由器中都至少保存着一张路由表和一张FIB表。
静态路由是一种特殊的路由,由管理员手工配置。配置静态路由后,去往指定目的地的数据报文将按照管理员指定的路径进行转发。静态路由配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络。其缺点是每当网络拓扑结构发生变化,都需要手工重新配置,不能自动适应。
关于路由表和静态路由的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“三层技术配置指导”中的“IP路由基础”和“静态路由”。
(1) 在导航栏中选择“网络 > IPv4路由”,默认进入“显示”页签的页面,如下图所示。
图11-1 IPv4路由显示
(2) IPv4激活路由表的详细说明如下表所示。
表11-1 IPv4激活路由表的详细说明
|
标题项 |
说明 |
|
目的IP地址 |
IPv4路由的目的IP地址和子网掩码 |
|
掩码 |
|
|
协议 |
发现该IPv4路由的路由协议 |
|
优先级 |
该IPv4路由的优先级 数值越小,优先级越高 |
|
下一跳 |
该IPv4路由下一跳IP地址 |
|
接口 |
该IPv4路由的出接口,即到该目的网段的数据包将从此接口发出 |
(1) 在导航栏中选择“网络 > IPv4路由”。
(2) 单击“创建”页签,进入IPv4静态路由配置页面,如下图所示。
图11-2 IPv4静态路由创建
(3) 配置IPv4静态路由的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表11-2 IPv4静态路由的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置IPv4数据报文的目的主机或目的网段,格式要求为点分十进制 |
|
掩码 |
设置目的主机或目的网段的掩码 可以输入掩码长度或点分十进制格式的掩码 |
|
优先级 |
设置本条静态路由的优先级,数值越小优先级越高 配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份 |
|
下一跳 |
设置IPv4数据报文要经过的下一个设备的IP地址,格式要求为点分十进制 |
|
接口 |
设置IPv4数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
(1) 在导航栏中选择“网络 > IPv6路由”。
(2) 默认进入“显示”页签的页面,如下图所示。
图11-3 IPv6路由显示
(3) 查看IPv6激活路由表的信息,详细说明如下表所示。
表11-3 IPv6激活路由表的详细说明
|
标题项 |
说明 |
|
目的IP地址 |
IPv6路由的目的IP地址和前缀长度 |
|
前缀长度 |
|
|
协议 |
发现该IPv6路由的路由协议 |
|
优先级 |
该IPv6路由的优先级 数值越小,优先级越高 |
|
下一跳 |
该IPv6路由下一跳IP地址 |
|
接口 |
该IPv6路由的出接口,即到该目的网段的数据包将从此接口发出 |
(1) 在导航栏中选择“网络 > IPv6路由”。
(2) 单击“创建”页签,进入IPv6静态路由配置页面,如下图所示。
图11-4 IPv6路由显示
(3) 配置IPv6静态路由的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表11-4 IPv6静态路由的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置IPv6数据报文的目的主机或目的网段,格式类似于X:X::X:X 目的IP地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
前缀长度 |
设置目的主机或目的网段的前缀长度 |
|
优先级 |
设置本条静态路由的优先级,数值越小优先级越高 配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份 |
|
下一跳 |
设置IPv6数据报文要经过的下一个设备的IP地址,格式要求和目的IP地址相同 |
|
接口 |
设置IPv6数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
Switch A、Switch B和Switch C各接口及主机的IP地址和掩码如下图所示。要求Switch A、Switch B和Switch C之间配置IPv4静态路由后,图中任意两台主机之间都能互通。
图11-5 IPv4静态路由配置组网图
采用如下的思路配置IPv4静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和Switch C的静态路由。
(3) 在Switch C上配置一条到Switch B的缺省路由。
(1) 在Switch A上配置到Switch B的缺省路由。
步骤1:在Switch A的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“0.0.0.0”。
· 输入掩码为“0”。
· 输入下一跳为“1.1.4.2”。
步骤4:单击<应用>按钮完成操作。
图11-6 在Switch A上配置到Switch B的缺省路由
(2) 在Switch B上配置到Switch A和Switch C的静态路由。
步骤1:在Switch B的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“1.1.2.0”。
· 输入掩码为“24”。
· 输入下一跳为“1.1.4.1”。
步骤4:单击<应用>按钮完成操作。
图11-7 在Switch B上配置到Switch A和Switch C的静态路由
步骤5:继续进行如下配置,参见上图。
· 输入目的IP地址为“1.1.3.0”。
· 输入掩码为“24”。
· 输入下一跳为“1.1.5.6”。
步骤6:单击<应用>按钮完成操作。
(3) 在Switch C上配置到Switch B的缺省路由。
步骤1:在Switch C的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“0.0.0.0”。
· 输入掩码为“0”。
· 输入下一跳为“1.1.5.5”。
步骤4:单击<应用>按钮完成操作。
图11-8 在Switch C上配置到Switch B的缺省路由
(1) 查看激活路由列表。
分别进入Switch A、Switch B和Switch C的IPv4路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
(2) 使用ping命令验证。
在Host A上使用ping命令验证Host B是否可达(假定主机安装的操作系统为Windows XP)。
C:\Documents and Settings\Administrator>ping 1.1.3.2
Pinging 1.1.3.2 with 32 bytes of data:
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Ping statistics for 1.1.3.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Switch A、Switch B和Switch C各接口及主机的IP地址和掩码如下图所示。要求Switch A、Switch B和Switch C之间配置IPv6静态路由协议后,图中任意两台主机之间都能互通。
图11-9 IPv6静态路由配置组网图
采用如下的思路配置IPv6静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和Switch C的静态路由。
(3) 在Switch C上配置一条到Switch B的缺省路由。
(1) 在Switch A上配置到Switch B的缺省路由。
步骤1:在Switch A的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“::”。
· 选择前缀长度为“0”。
· 输入下一跳为“4::2”。
步骤4:单击<应用>按钮完成操作。
图11-10 在Switch A上配置到Switch B的缺省路由
(2) 在Switch B上配置到Switch A和Switch C的静态路由。
步骤1:在Switch B的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“1::”。
· 选择前缀长度为“64”。
· 输入下一跳为“4::1”。
步骤4:单击<应用>按钮完成操作。
图11-11 在Switch B上配置到Switch A和Switch C的缺省路由
步骤5:继续进行如下配置,参见上图。
· 输入目的IP地址为“3::”。
· 选择前缀长度为“64”。
· 输入下一跳为“5::1”。
步骤6:单击<应用>按钮完成操作。
(3) 在Switch C上配置到Switch B缺省路由。
步骤1:在Switch C的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如下图所示。
· 输入目的IP地址为“::”。
· 选择前缀长度为“0”。
· 输入下一跳为“5::2”。
步骤4:单击<应用>按钮完成操作。
图11-12 在Switch C上配置到Switch B缺省路由
(1) 查看激活路由列表。
分别进入Switch A、Switch B和Switch C的IPv6路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
(2) 使用ping进行验证。
在Switch A上使用ping命令验证Host B是否可达。
<SwitchA> system-view
[SwitchA] ping ipv6 3::2
PING 3::2 : 56 data bytes, press CTRL_C to break
Reply from 3::2
bytes=56 Sequence=1 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=2 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=3 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=4 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=5 hop limit=254 time = 63 ms
--- 3::2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/62/63 ms
配置静态路由时需要注意如下事项:
(1) 如果在配置静态路由时没有指定优先级,就会使用缺省优先级。重新设置缺省优先级后,新设置的缺省优先级仅对新增的静态路由有效。Web界面目前不支持对缺省优先级的配置。
(2) 在配置静态路由时,如果先指定下一跳,然后再将该下一跳的地址配置为本地接口(如VLAN接口等)的IP地址,则该条静态路由不会生效。
(3) 在指定出接口时要注意:
· 对于NULL0和Loopback接口,配置了出接口就不再配置下一跳。
· 对于点到点接口,即使不知道对端地址,也可以在路由器配置时指定出接口。这样,即使对端地址发生了改变也无须改变该路由器的配置。如封装PPP协议的接口,通过PPP协商获取对端的IP地址,这时可以不指定下一跳,只需指定出接口即可。
· 对于NBMA、P2MP等接口,它们支持点到多点网络,这时除了配置IP路由外,还需在链路层建立二次路由,即IP地址到链路层地址的映射。通常情况下,建议在配置出接口时,同时配置下一跳IP地址。
· 在配置静态路由时,建议不要直接指定广播类型接口作为出接口(如VLAN接口等)。因为广播类型的接口,会导致出现多个下一跳,无法唯一确定下一跳。在某些特殊应用中,如果必须配置广播接口为出接口,则必须同时指定其对应的下一跳。
(4) 在IPv4/IPv6路由的“删除”页签的页面中,只能显示和删除IPv4/IPv6静态路由。
· 指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见VLAN虚接口和“设备”,本章不对DHCP客户端的配置进行介绍。
· 关于DHCP协议的详细介绍请参见《H3C WX3000E系列有线无线一体化交换机交换引擎 配置指导》的“三层技术-IP业务配置指导”中的“DHCP”。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如下图所示。
图12-1 DHCP典型应用
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
(1) 记录DHCP客户端IP地址与MAC地址的对应关系
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP客户端的MAC地址以及获取到的IP地址。
(2) 保证客户端从合法的服务器获取IP地址
在网络中如果有私自架设的DHCP服务器,则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
表12-1 DHCP服务器配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 启动全局DHCP服务 缺省情况下,全局DHCP服务处于关闭状态 |
|
|
2 |
二者至少选其一
· DHCP服务器和客户端在同一个子网内,直接进行DHCP报文交互时,DHCP服务器上配置的地址池需要与DHCP服务器接口IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 · DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上配置的地址池需要与DHCP中继接口的IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 |
|
|
3 |
可选 配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址 缺省情况下,接口工作在DHCP服务器模式
· 同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 · DHCP服务器只在IP地址为手工配置的接口上起作用 |
|
|
4 |
可选 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如下图所示。
(2) 在页面最上方选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
图12-2 DHCP服务器
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图12-2所示。
(2) 在“地址池”中选中“静态”前的单选按钮,显示的是所有静态地址池。
(3) 单击<新建>按钮,进入新建静态地址池的配置页面,如下图所示。
(4) 配置静态地址池的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
地址池名称 |
设置静态地址池的名称 |
|
IP地址 |
设置静态绑定的IP地址和子网掩码 静态绑定的IP地址不能是DHCP服务器的接口IP地址,否则会导致IP地址冲突,被绑定的客户端将无法正常获取到IP地址 输入的掩码可以是掩码长度或点分十进制格式的掩码 |
|
掩码 |
|
|
客户端MAC地址 |
设置地址池中静态绑定的客户端MAC地址或客户端ID,二选一
静态绑定的客户端ID要与待绑定客户端的ID一致,否则客户端无法成功获取IP地址 |
|
客户端ID |
|
|
客户端域名 |
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
网关地址 |
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则WINS服务器地址可以不配 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图12-2所示。
(2) 在“地址池”中选中“动态”前的单选按钮,显示的是所有动态地址池。
(3) 单击<新建>按钮,进入新建动态地址池的配置页面,如下图所示。
(4) 配置动态地址池的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
地址池名称 |
设置动态地址池的名称 |
|
|
IP地址 |
设置动态分配的IP地址范围,为一个IP网段 DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等)。否则,同一地址分配给两个客户端会造成IP地址冲突 输入的掩码可以是掩码长度或点分十进制格式的掩码 |
|
|
掩码 |
||
|
租用期限 |
不限制 |
设置DHCP地址池中动态分配的IP地址的租用有效期限 选择“不限制”,表示不限制IP地址的租用期限 |
|
天/小时/分 |
||
|
客户端域名 |
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
|
网关地址 |
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则可以不配置WINS服务器地址 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
|
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图12-2所示。
(2) 在“接口设置”中单击接口对应的
图标,进入接口DHCP服务器功能的配置页面,如下图所示。
(3) 选中DHCP服务器“启动”前的单选按钮。
(4) 单击<确定>按钮完成操作。
图12-5 DHCP服务器接口设置
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图12-2所示。
(2) 在“在用地址”中可以查看地址池中已被分配的IP地址信息,详细说明如下表所示。
|
标题项 |
说明 |
|
IP地址 |
已被分配的IP地址 |
|
客户端MAC地址/客户端ID |
该IP地址绑定的DHCP客户端MAC地址或客户端ID |
|
地址池名称 |
分配该IP地址的DHCP地址池名称 |
|
租约到期时间 |
该IP地址的租约到期时间 |
表12-5 DHCP中继配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 启动全局DHCP服务,配置DHCP的高级参数 缺省情况下,全局DHCP服务处于关闭状态 |
|
|
2 |
必选 为了提高可靠性,可以在一个网络中设置多个DHCP服务器,构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将客户端发来的DHCP报文转发给服务器组中的所有服务器 |
|
|
3 |
必选 配置接口工作在中继模式,并将接口与DHCP服务器组建立归属关系 缺省情况下,接口工作在DHCP服务器模式
· 同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 · 以太网子接口支持DHCP中继时,以太网子接口接收到的客户端报文中必须包含VLAN Tag,且VLAN Tag与子接口的VLAN ID一致,否则客户端报文将被丢弃 · DHCP中继只在IP地址为手工配置的接口上起作用 · 以太网子接口支持DHCP中继时,只能是子接口对子接口,也就是说客户端也必须使用子接口获取IP地址,此时如果是PC作为客户端则无法得到IP地址 |
|
|
4 |
可选 配置静态用户地址表项,查看静态和动态用户地址表项信息 当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系,生成DHCP中继的动态用户地址表项。同时,为满足用户采用合法固定IP地址访问外部网络的需求,DHCP中继也支持静态用户地址表项配置,即在DHCP中继上手工配置IP地址与MAC地址的绑定关系 缺省情况下,没有配置DHCP中继的静态用户地址表项 |
(1) 在导航栏中选择“网络 > DHCP”,单击“DHCP中继”页签,进入“DHCP中继”的页面。
(2) 在“DHCP服务”中单击<显示高级配置>按钮,展开DHCP中继的高级参数,如下图所示。
(3) 启动DHCP服务,并配置DHCP中继高级参数,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表12-6 DHCP服务和DHCP中继高级参数的详细配置
|
配置项 |
说明 |
|
DHCP服务 |
设置是否启动全局DHCP服务 |
|
伪服务器检测 |
设置是否启动DHCP中继伪服务器检测功能 如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器 启动伪DHCP服务器检测功能后,DHCP中继会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从日志信息中查找伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录 |
|
表项定时刷新 |
设置是否启动DHCP中继动态用户地址表项定时刷新功能和刷新的时间间隔 当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系。由于DHCP客户端释放该IP地址时,会给DHCP服务器发送单播DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的用户地址项不能被实时刷新。为了解决这个问题,可以启动表项定时刷新功能。这样,每隔指定时间,DHCP中继以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文: · 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉 · 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项 需要注意的是,当刷新时间间隔选择“Auto”时,表示根据表项的数目自动计算刷新时间间隔 |
|
刷新时间间隔 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图12-6。
(2) 在“服务器组”中单击<新建>按钮,进入新建DHCP服务器组的配置页面,如下图所示。
图12-7 新建DHCP服务器组
(3) 配置DHCP服务器组的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表12-7 DHCP服务器组的详细配置
|
配置项 |
说明 |
|
服务器组ID |
设置DHCP服务器组的ID 最多可以创建20个DHCP服务器组 |
|
IP地址 |
设置DHCP服务器组中服务器的IP地址 DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图12-6。
(2) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP中继功能的配置页面,如下图所示。
图12-8 DHCP中继接口设置
(3) 配置接口工作在DHCP中继模式,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表12-8 接口工作在DHCP中继模式的详细配置
|
配置项 |
说明 |
|
接口名称 |
显示要配置的接口的名称 |
|
DHCP中继 |
设置是否在接口上启动DHCP中继功能 如果设置关闭DHCP中继功能,则接口将启动DHCP服务器功能 |
|
地址匹配检查 |
设置是否在接口上启动地址匹配检查功能 启动地址匹配检查功能后,如果在DHCP中继的用户地址表中(包括DHCP中继动态记录的表项以及手工配置的用户地址表项)没有与主机IP地址和主机MAC地址匹配的表项,则该主机将不能通过DHCP中继访问外部网络。这样,可以防止非法主机静态配置一个IP地址并访问其他网络 |
|
服务器组ID |
设置将接口与DHCP服务器组建立归属关系,一个服务器组可以对应多个接口 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图12-6。
(2) 在“用户信息”中单击<用户信息>按钮,进入用户地址表项的显示页面,可以查看静态和动态用户地址表项,如下图所示。
(3) 单击<新建>按钮,进入新建静态用户地址表项的配置页面,如下图所示。
(4) 配置静态用户地址表项的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
IP地址 |
设置DHCP客户端的IP地址 |
|
MAC地址 |
设置DHCP客户端的MAC地址 |
|
接口名称 |
设置与DHCP客户端相连的三层接口
静态用户地址表项中的接口必须工作在DHCP中继模式,否则可能引起地址表项冲突 |
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,DHCP Snooping功能处于关闭状态 |
|
|
2 |
必选 配置接口的信任属性和DHCP Snooping支持Option 82的相关参数 缺省情况下,在启动DHCP Snooping功能后,设备的所有接口的信任属性均为不信任;DHCP Snooping不支持Option 82功能
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内 |
|
|
3 |
可选 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如下图所示的页面。
(3) 在“DHCP Snooping”中可以进行DHCP Snooping启动状态的配置。
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如下图所示的页面。
(3) 在“接口设置”中单击某接口对应的图标,进入接口DHCP Snooping功能的配置页面,如下图所示。
(4) 配置接口DHCP Snooping功能的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表12-11 接口DHCP Snooping功能的详细配置
|
配置项 |
说明 |
|
接口名称 |
显示要配置的接口的名称 |
|
信任属性 |
设置接口的信任属性为信任或非信任 |
|
添加Option 82选项 |
设置DHCP Snooping是否支持Option 82功能 |
|
Option 82选项策略 |
设置DHCP Snooping对包含Option 82的请求报文的处理策略,包括: · Drop:如果报文中带有Option 82,则丢弃该报文 · Keep:如果报文中带有Option 82,则保持该报文中的Option 82不变并进行转发 · Replace:如果报文中带有Option 82,则采用normal模式填充Option 82,替换报文中原有的Option 82,并进行转发 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图12-11所示的页面。
(3) 在“用户信息”中单击<用户信息>按钮,进入DHCP Snooping用户信息的显示页面,可以查看DHCP Snooping记录的IP地址和MAC地址的绑定信息,如下图所示。
(4) 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息,详细说明如下表所示。
表12-12 DHCP Snooping用户信息的详细说明
|
配置项 |
说明 |
|
IP地址 |
DHCP服务器为DHCP客户端分配的IP地址 |
|
MAC地址 |
DHCP客户端的MAC地址 |
|
类型 |
绑定类型,取值包括: · Dynamic:表示动态生成的IP地址和MAC地址绑定 · Static:表示静态配置的IP地址和MAC地址绑定,目前不支持静态配置 |
|
接口名称 |
与DHCP客户端连接的设备端口 |
|
VLAN |
与DHCP客户端连接的设备端口所属的VLAN |
|
租约剩余时间 |
绑定的租约剩余时间 |
常见的DHCP组网方式可分为两类:一种是DHCP服务器和客户端在同一个子网内,直接进行DHCP报文的交互;第二种是DHCP服务器和客户端处于不同的子网中,必须通过DHCP中继代理实现IP地址的分配。无论哪种情况下,DHCP服务器的配置都是相同的。
Switch B作为DHCP客户端,从DHCP服务器Switch A获取静态绑定的IP地址、域名服务器、网关地址等信息。
图12-14 静态绑定地址配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络管理 > DHCP > DHCP服务器”,默认进入“DHCP服务器”页签的页面。
步骤2:如下图所示,选中DHCP服务“启动”前的单选按钮,即可完成操作。
图12-15 启动DHCP服务
(2) 配置静态地址池。
步骤1:在“地址池”中单击<新建>按钮(默认选中“静态”前的单选按钮)。
步骤2:进行如下配置,如下图所示。
· 输入地址池名称为“static-pool”。
· 输入IP地址为“10.1.1.5”。
· 输入掩码为“255.255.255.128”。
· 输入客户端MAC地址为“000f-e200-0002”。
· 输入网关地址为“10.1.1.126”。
· 输入DNS服务器地址为“10.1.1.2”。
步骤3:单击<确定>按钮完成操作。
图12-16 配置静态地址池
(3) 配置接口Vlan-interface9工作在DHCP服务器模式。(缺省情况下,所有接口均工作在DHCP服务器模式。此步骤可以根据情况省略)
步骤1:在“接口设置”中单击Vlan-interface9对应的图标。
步骤2:如下图所示,选中DHCP服务器“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图12-17 配置接口工作在DHCP服务器模式
· 作为DHCP服务器的Switch A为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25。
· Switch A的两个接口Vlan-interface1和Vlan-interface9的地址分别为10.1.1.1/25和10.1.1.129/25。
· 10.1.1.0/25网段内的地址租用期限为10天12小时,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,WINS服务器地址为10.1.1.4/25,网关的地址为10.1.1.126/25。
· 10.1.1.128/25网段内的地址租用期限为5天,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,无WINS服务器地址,网关的地址为10.1.1.254/25。
· 10.1.1.0/25网段与10.1.1.128/25网段的域名后缀、DNS服务器地址相同,可以只配置10.1.1.0/24网段的域名后缀和DNS服务器地址,10.1.1.0/25网段与10.1.1.128/25网段继承10.1.1.0/24网段的配置。
在本例中,建议从Vlan-interface1接口申请IP地址的客户端数目不要超过122个;从Vlan-interface9接口申请IP地址的客户端数目不要超过124个。
图12-18 动态分配地址配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络管理 > DHCP > DHCP服务器”,默认进入“DHCP服务器”页签的页面。
步骤2:如下图所示,选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
图12-19 启动DHCP服务
(2) 配置DHCP地址池pool0的共有属性(地址池范围、客户端域名后缀、DNS服务器地址)。
步骤1:在“地址池”中选中“动态”前的单选按钮。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入地址池名称为“pool0”。
· 输入IP地址为“10.1.1.0”。
· 输入掩码为“255.255.255.0”。
· 输入客户端域名为“aabbcc.com”。
· 输入DNS服务器地址为“10.1.1.2”。
步骤4:单击<确定>按钮完成操作。
图12-20 配置DHCP地址池pool0的共有属性
(3) 配置DHCP地址池pool1的属性(地址池范围、网关、地址租用期限、WINS服务器地址)。
步骤1:单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入地址池名称为“pool1”。
· 输入IP地址为“10.1.1.0”。
· 输入掩码为“255.255.255.128”。
· 输入租用期限为“10”天“12”小时“0”分“0”秒。
· 输入网关地址为“10.1.1.126”。
· 输入WINS服务器地址为“10.1.1.4”。
步骤3:单击<确定>按钮完成操作。
图12-21 配置DHCP地址池pool1的属性
(4) 配置DHCP地址池pool2的属性(地址池范围、地址租用期限、网关)。
步骤1:单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入地址池名称为“pool2”。
· 输入IP地址为“10.1.1.128”。
· 输入掩码为“255.255.255.128”。
· 输入租用期限为“5”天“0”小时“0”分“0”秒。
· 输入网关地址为“10.1.1.254”。
步骤3:单击<确定>按钮完成操作。
图12-22 配置DHCP地址池pool2的属性
· 具有DHCP中继功能的Switch通过端口(属于VLAN1)连接到DHCP客户端所在的网络
· DHCP服务器的IP地址为10.1.1.1/24。
· 通过Switch转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。
图12-23 DHCP中继配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络 > DHCP”,进入“DHCP中继”页签的页面。
步骤2:如下图所示,选中DHCP服务“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图12-24 启动DHCP服务
(2) 配置DHCP服务器组。
步骤1:在“服务器组”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入服务器组ID为“1”。
· 输入IP地址为“10.1.1.1”。
步骤3:单击<确定>按钮完成操作。
图12-25 新建服务器组
(3) 配置接口Vlan-interface1工作在DHCP中继模式。
步骤1:在“接口设置”中单击Vlan-interface1对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中DHCP中继“启动”前的单选按钮。
· 选择服务器组ID为“1”。
步骤3:单击<确定>按钮完成操作。
图12-26 DHCP中继接口设置
由于DHCP中继所在接口的IP地址与DHCP服务器的IP地址不在同一网段,因此需要在DHCP服务器上通过静态路由或动态路由协议保证两者之间路由可达。
Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求:
· Switch B上启动DHCP Snooping功能,并支持Option 82功能;对包含Option 82的请求报文的处理策略为“Replace”。
· 与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。
图12-27 DHCP Snooping配置组网图
(1) 启动DHCP Snooping。
步骤1:在导航栏中选择“网络 > DHCP”。
步骤2:单击“DHCP Snooping”页签。
步骤3:如下图所示,选中DHCP Snooping“启动”前的单选按钮,即可完成操作。
(2) 配置接口GigabitEthernet1/0/1的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/1对应的图标。
步骤2:如下图所示,选中信任属性“信任”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图12-29 配置接口GigabitEthernet1/0/1的DHCP Snooping功能
(3) 配置接口GigabitEthernet1/0/2的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/2对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中信任属性“非信任”前的单选按钮。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图12-30 配置接口GigabitEthernet1/0/2的DHCP Snooping功能
(4) 配置接口GigabitEthernet1/0/3的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/3对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中信任属性“非信任”前的单选按钮。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图12-31 配置接口GigabitEthernet1/0/3的DHCP Snooping功能
服务管理模块提供了FTP、Telnet、SSH、SFTP、HTTP和HTTPS服务的管理功能,可以使用户只在需要使用相应的服务时启用服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将FTP、HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。
FTP(File Transfer Protocol,文件传输协议)协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,是IP网络上传输文件的通用协议。
Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
· 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
· 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
· 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
(1) 在导航栏中选择“网络 > 服务管理”,进入服务管理的配置页面,如下图所示。
(2) 配置各种服务的启用状态等信息,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
FTP服务 |
启用FTP服务 |
设置是否在设备上启用FTP服务 缺省情况下,FTP服务处于关闭状态 |
|
ACL |
设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务 单击“FTP服务”前的扩展按钮可以显示此配置项 |
|
|
Telnet服务 |
启用Telnet服务 |
设置是否在设备上启用Telnet服务 缺省情况下,Telnet服务处于关闭状态 |
|
SSH服务 |
启用SSH服务 |
设置是否在设备上启用SSH服务 缺省情况下,SSH服务处于关闭状态 |
|
SFTP服务 |
启用SFTP服务 |
设置是否在设备上启用SFTP服务 缺省情况下,SFTP服务处于关闭状态
启用SFTP服务的同时必须启用SSH服务 |
|
HTTP服务 |
启用HTTP服务 |
设置是否在设备上启用HTTP服务 缺省情况下,HTTP服务处于启用状态 |
|
端口号 |
设置HTTP服务的端口号 单击“HTTP服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务 单击“HTTP服务”前的扩展按钮可以显示此配置项 |
|
|
HTTPS服务 |
启用HTTPS服务 |
设置是否在设备上启用HTTPS服务 缺省情况下,HTTPS服务处于关闭状态 |
|
端口号 |
设置HTTPS服务的端口号 单击“HTTPS服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务 单击“HTTPS服务”前的扩展按钮可以显示此配置项 |
|
|
PKI域 |
设置HTTPS服务所使用的PKI域 可选的PKI域在“认证 > PKI”中配置,详细配置请参见“认证” |
|
通过使用Ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障。
Ping的成功执行过程为:
(1) 源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文。
(2) 目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文。
(3) 源设备在收到该应答报文后,显示相关的统计信息。
Ping的输出信息分为以下几种情况:
· Ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
· 如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和Ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(Time To Live,生存时间)、响应时间和Ping过程报文的统计信息。
Ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值。
通过使用Trace Route工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备。当网络出现故障时,用户可以使用该命令分析出现故障的网络节点。
Trace Route的执行过程为:
(1) 源设备发送一个TTL为1的报文给目的设备。
(2) 第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址。
(3) 源设备重新发送一个TTL为2的报文给目的设备。
(4) 第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址。
(5) 以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址。
Trace Route的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
Web目前不支持对IPv6地址进行Ping操作。
(1) 在导航栏中选择“网络 > 诊断工具”,默认进入“Ping”页签的页面,如下图所示。
(2) 在文本框中输入Ping操作的目的IP地址或者主机名。
(3) 单击<开始>按钮开始执行Ping操作。
(4) 在“信息”框中会显示Ping操作的输出结果,如下图所示。
图14-2 Ping操作结果
· Web目前不支持对IPv6地址进行Trace Route操作。
· 进行Trace Route操作前,需要先在中间设备上执行ip ttl-expires enable命令开启ICMP超时报文的发送功能,并且在目的设备上执行ip unreachables enable命令开启ICMP目的不可达报文发送功能。
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“Trace Route”页签,进入如下图所示的页面。
(3) 在文本框中输入Trace Route操作的目的IP地址或者主机名。
(4) 单击<开始>按钮开始执行Trace Route操作。
(5) 在“信息”框中会显示Trace Route操作的输出结果,如下图所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
