- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (1.58 MB)
· 建议使用以下浏览器访问Web:Internet Explorer 8及以上版本、Firefox 4及以上版本、Chrome 10及以上版本、Safari 5.1及以上版本、Opera 11.11及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
设备支持HTTP(Hypertext Transfer Protocol,超文本传输协议)和HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)两种Web访问方式。
设备出厂时已经缺省启用了HTTP和HTTPS服务,并且设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTP或HTTPS服务登录设备的Web界面。缺省的Web登录信息包括:
· 用户名:admin
· 密码:admin
· 用户角色:network-admin
· 设备管理用以太网口的IP地址:192.168.1.1
如果设备连入的网络中部署了DHCP服务器,则设备会自动从DHCP服务器获取IP地址。用户可以通过Console口登录到设备,并执行summary命令,以查看设备当前的IP地址。
<Sysname> summary
Select menu option: Summary
IP Method: DHCP
IP address: 10.153.96.86
Subnet mask: 255.255.255.0
Default gateway: 0.0.0.0
如果设备没有接入网络或设备接入的网络中没有部署DHCP服务器,用户可以通过设备管理用以太网口的缺省登录信息Web登录设备。
采用缺省登录信息Web登录设备的步骤如下:
(1) 连接设备和PC
用以太网线将PC和设备上的管理用以太网口相连。
(2) 为PC配置IP地址,保证其能与设备互通,将PC的IP地址设置为与设备IP地址在同一个网段。
(3) 启动浏览器
在PC上启动浏览器,在地址栏中输入设备地址,然后回车,进入设备的Web登录页面。通过HTTP方式访问Web时,输入的设备地址格式为“http://ip-address:80”(“http://”可以省略);通过HTTPS方式访问Web时,输入的设备地址格式为“https://ip-address:443”。其中,ip-address为设备的IP地址;80和443分别为HTTP服务和HTTPS服务的缺省端口号,可以省略。
(4) 输入登录信息
在登录页面中输入用户名admin、密码admin和验证码,选择Web网管的语言种类(目前支持中文和English两种),单击<登录>按钮即可登录Web。
(5) 修改登录信息
登录设备后,可以进入“网络 > IP > IP”页面修改设备的IP地址,通过点击页面左上角的“
”按钮修改用户admin的密码,以提高安全性;还可以进入“设备 > 维护 > 管理员”页面创建新的用户,以方便对设备进行管理。
同时通过Web登录设备的最大用户数为32。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。
在Web页面上单击左上角的<退出>按钮,即可退出Web。
需要注意的是:
· 退出Web时,系统不会自动保存当前配置。因此,建议用户在退出Web前先点击页面左上方的“
”按钮,或进入“设备 > 维护
> 配置文件”页面保存当前配置。
· 直接关闭浏览器不能使用户退出Web。
图2-1 Web页面布局
|
(1)标识和辅助区 |
(2)导航栏 |
|
(3)执行区 |
|
如上图所示,Web页面有以下几个功能区域:
· 标识和辅助区:该区域用来显示公司Logo、设备名称、当前登录用户信息,并提供语言切换、更改登录用户密码、保存当前配置、退出登录功能。点击“
”可以切换语言、更改登录用户密码;点击“”可以保存当前配置;点击“
”可以退出登录。
· 导航栏:以树的形式组织设备的Web功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在执行区中。
· 执行区:进行配置操作、信息查看、操作结果显示的区域。
根据执行区内容的不同,Web页面分为特性页面、表项显示页面和配置页面三种。
如图2-2所示,特性页面显示了该特性包含的表项的统计信息、该特性支持的主要功能等。
图2-2 特性页面示意图
如图2-3所示,表项显示页面用来显示表项的具体信息。点击标题项(如“MAC地址”),可以根据该标题项对表项信息进行升序或降序排列。
如图2-4所示,配置页面用来完成某项配置任务,如添加、修改一条表项。某项配置任务需要的所有配置均可在该页面上完成,不需要在页面之间跳转,以方便用户使用。如图2-4所示,在配置包过滤策略时需要创建并关联ACL,在包过滤策略的配置页面上点击“
”即可创建ACL,无需跳转到ACL的配置页面。
Web页面上常用的按钮、图标及其功能,如表2-1所示。
表2-1 Web常用按钮和图标
|
按钮和图标 |
功能说明 |
|
|
用于查看特性的联机帮助信息 |
|
|
用于查看某个功能或参数的在线帮助信息 |
|
|
点击该图标,可以进入下一级页面进行配置或查看当前配置信息 |
|
|
表项的统计计数 |
|
|
显示功能当前的开启/关闭状态,点击该按钮可以修改开启/关闭状态 |
|
|
用于刷新表项内容 |
|
|
· 表项显示页面上,用于添加一条表项 · 配置页面上,具有如下功能: ¡ 用于对当前表项的添加进行确认,并新增一条表项 ¡ 添加一个ACL或策略等,以避免配置过程中在页面之间进行跳转 |
|
|
在文本框中输入查询关键字,点击该按钮对表项进行简单查询 |
|
|
高级查询按钮,点击该按钮后可以输入多个条件对表项进行组合条件查询 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于显示当前表项的详情。进入详情页面后,可以对该表项进行修改 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于删除当前表项 |
|
|
表项显示页面上,选中一条或多条表项后,将在页面的最下端显示该图标 该图标用于删除被选中的一条或多条表项 |
|
|
用于选择显示表项中的哪些标题项 |
|
|
用于进入配置页面 |
Web页面上常用的操作包括保存当前配置、显示表项详情、重启设备等。
对设备执行配置操作后,建议及时保存当前配置,以免配置丢失。保存当前配置的方法有以下两种:
· 点击页面左上方标识和辅助区内的“”按钮保存配置。
· 进入“设备 > 维护 > 配置文件”页面,保存配置。
在表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示详情图标“
”。点击该图标进入详情页面后,不仅可以显示表项的详细信息,还可以对该表项进行修改。
执行某些操作(如配置IRF)后,需要重启设备才能使配置生效。重启设备的方法为:进入“设备 > 维护 > 重启”页面,点击重启设备按钮。
在重启设备前,建议先保存当前配置,以免配置丢失。
用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。所有配置操作的缺省用户角色要求为network-admin。查看操作的缺省用户角色为所有角色。
用户角色为network-admin的用户登录后,Web页面导航栏上的一级菜单包括概览、设备、网络、资源、QoS、安全、PoE和日志。点击一级菜单,会展开子菜单,子菜单由分类和特性名称组成。依次点击“一级菜单—>特性名称”可以进入相应的Web页面对该特性进行配置。
本系列设备暂不支持PoE功能。
显示系统日志、当前的CPU和内存利用率以及设备的序列号、硬件版本等系统信息。
设备菜单包含的特性及其支持的功能如表3-1所示。
|
分类 |
特性名称 |
功能 |
|
维护 |
系统设置 |
· 设置设备的信息,包括名称、位置和联系方式 · 查看和配置系统时间,包括手工指定和通过协议同步网络时间 |
|
管理员 |
· 创建、修改、删除角色 · 创建、修改、删除管理员,并指定管理员对应的角色,以控制管理员的访问权限 · 管理密码 |
|
|
配置文件 |
· 保存当前配置 · 导入/导出配置 · 查看当前配置 · 将设备恢复到出厂配置 |
|
|
文件系统 |
· 查看存储介质的基本信息 · 查看文件/文件夹的基本信息 · 删除文件 · 下载文件 |
|
|
软件更新 |
· 升级系统软件 · 查看系统软件列表,包括设备本地启动使用的软件列表、下次启动将使用的主用软件列表和备用软件列表 |
|
|
诊断 |
收集诊断信息,用于定位问题 |
|
|
重启 |
重启设备 |
|
|
关于 |
显示设备的基本信息,比如:设备名称、序列号、版本信息、电子标签、法律声明等 |
|
|
虚拟化 |
IRF |
· 组建IRF,包括配置设备的成员编号、优先级、域编号、绑定IRF端口、激活IRF端口配置等 · 查看IRF的拓扑信息 |
网络菜单包含的特性及其支持的功能如表3-2所示。
|
分类 |
特性名称 |
功能 |
|
探测工具 |
Ping |
· 测试IPv4网络中某主机的连通性 · 测试IPv6网络中某主机的连通性 |
|
Tracert |
· IPv4 Tracert · IPv6 Tracert |
|
|
接口 |
接口 |
· 查看设备支持的接口列表以及接口的主要属性(状态、IP地址、速率、双工模式、描述) · 删除逻辑接口、启用/禁用接口等 |
|
链路聚合 |
创建、修改、删除二层聚合组 |
|
|
风暴抑制 |
· 设置流量统计时间间隔 · 设置流量控制参数 · 显示接口流量监控信息 |
|
|
端口隔离 |
· 创建、修改隔离组 |
|
|
链路 |
VLAN |
· 基于端口划分VLAN · 创建VLAN接口 |
|
语音VLAN(暂不支持) |
· 语音VLAN添加端口 · 配置语音VLAN的自动模式或手动模式 · 配置语音VLAN的普通模式或安全模式 · 配置语音报文的QoS优先级 · 添加OUI地址 |
|
|
MAC |
· 创建和删除静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项 · 显示已有的MAC地址表项 |
|
|
STP |
· 全局和接口开启/关闭STP功能 · 配置STP、RSTP、PVST和MSTP工作模式 · 配置实例优先级 · 配置多生成树域 |
|
|
LLDP |
· 开启/关闭LLDP功能 · 修改LLDP工作模式 · 修改接口模式 · 配置LLDP发送的TLV类型 |
|
|
DHCP Snooping |
· 配置端口为信任或非信任端口 · 配置DHCP Snooping表项记录功能和表项备份机制 · DHCP Snooping端口设置,包括MAC地址检查、请求方向报文检查、接受DHCP报文限速和DHCP Snooping表项最大学习数 · 配置接口是否开启 Option 82功能。若开启该功能,则可以配置Option 82的处理方式,填充模式和填充内容 |
|
|
IP |
IP |
· 配置接口IP地址获取方式(DHCP或者手工配置) · 修改接口的IP地址和MTU值 · 创建LoopBack接口 |
|
ARP |
· 管理静态、动态ARP表项 · 配置ARP代理 · 配置免费ARP · 配置ARP攻击防御 |
|
|
DNS |
· 配置静态、动态域名解析 · 配置DNS代理 · 配置域名后缀 |
|
|
IPv6 |
IPv6 |
· 配置接口IPv6地址获取方式(手工指定、自动获取或自动生成) · 修改接口的IPv6地址 · 创建Loopback接口 |
|
ND |
· 管理静态、动态ND表项 · 配置STALE状态ND表项老化时间 · 配置链路本地ND表项资源占用最小化 · 配置跳数限制 · 配置RA前缀,包括前缀及长度,有效生命期和首选生命期等 · 配置接口的RA规则,包括是否抑制RA报文,RA报文最大和最小发布间隔,是否携带MTU选项,是否指定跳数限制,是否设置被管理地址标志位,是否设置其他信息标志位,路由器生存时间,邻居请求重传间隔,路由器优先级和保持邻居可达时间 · 在接口上开启普通ND代理和本地ND代理 · 设置接口的ND规则,包括动态表项数量限制和重复地址检测请求次数 |
|
|
DNS |
· 配置静态、动态IPv6域名解析 · 配置IPv6 DNS代理 · 配置IPv6域名后缀 |
|
|
镜像 |
端口镜像 |
· 配置本地镜像组 · 配置远程镜像组 |
|
路由 |
路由表 |
查看IPv4和IPv6路由表项,包括路由表的概要信息和统计信息 |
|
静态路由 |
· 查看IPv4和IPv6静态路由表项 · 创建、修改和删除IPv4、IPv6静态路由表项 |
|
|
RIP |
· 创建、修改和删除RIP实例 · 引入外部路由 · 配置接口运行的RIP版本 · 配置接口的验证方式 |
|
|
策略路由 |
· 创建、修改、删除IPv4策略路由和IPv6策略路由 · 对接口转发的报文应用策略 · 对本地发送的报文应用策略 |
|
|
组播 |
IGMP Snooping |
· 配置丢弃未知组播数据报文功能 · 配置IGMP查询器相关功能 · 配置端口快速离开功能 · 限制端口加入的组播组数量 |
|
MLD Snooping |
· 配置丢弃未知IPv6组播数据报文功能 · 配置MLD查询器相关功能 · 配置端口快速离开功能 · 限制端口加入的IPv6组播组数量 |
|
|
服务 |
DHCP |
· DHCP服务器功能 ¡ 配置DHCP服务 ¡ 配置接口工作在DHCP服务器模式 ¡ 配置DHCP地址池 ¡ 配置IP地址冲突检测功能 · DHCP中继功能 ¡ 配置DHCP服务 ¡ 配置接口工作在DHCP中继模式,指定对应的DHCP服务器地址 · 配置是否记录DHCP中继表项,中继表项定时刷新功能和刷新时间间隔 |
|
HTTP/HTTPS |
· 启用/禁用设备HTTP/HTTPS登录功能 · 配置登录用户连接的空闲超时时间 · 配置HTTP/HTTPS的服务端口号 · 使用ACL过滤登录用户 |
|
|
SSH |
· 开启Stelnet、SFTP、SCP服务器功能 · 配置设备发送的SSH报文的DSCP优先级 · 使用ACL过滤SSH用户 · 配置SFTP用户连接的空闲超时时间 |
|
|
FTP |
· 开启FTP服务器功能 · 配置设备发送的FTP报文的DSCP优先级 · 使用ACL过滤FTP用户 · 配置FTP连接的空闲超时时间 |
|
|
Telnet |
· 启用/禁用设备Telnet登录功能 · 配置IPv4/IPv6 Telnet报文的DSCP优先级 · 使用ACL过滤登录用户 |
|
|
NTP |
配置本地时钟作为参考时钟 |
|
|
SNMP |
· 开启SNMP功能 · 配置SNMP版本、团体名、组、用户等参数 · 开启Trap发送功能及配置相关参数 |
资源菜单包含的特性及其支持的功能如表3-3所示。
|
分类 |
特性名称 |
功能 |
|
ACL |
IPv4 |
· 创建基本或高级IPv4 ACL、基本或高级IPv6 ACL、二层ACL · 修改、删除在本页面和其他业务模块(如包过滤)页面创建的ACL |
|
IPv6 |
||
|
二层 |
||
|
时间段 |
时间段 |
创建、修改和删除时间段 |
|
SSL |
SSL |
· 创建、修改和删除SSL客户端策略 · 创建、修改和删除SSL服务器端策略 |
|
公钥 |
公钥 |
· 管理本地非对称密钥对 · 管理对端主机公钥 |
|
PKI |
PKI |
· 管理CA证书和本地证书 · 创建、修改和删除PKI域、PKI实体 |
|
证书访问控制 |
· 创建、修改和删除证书访问控制策略 · 创建、修改和删除证书属性组 |
QoS菜单包含的特性及其支持的功能如表3-4所示。
表3-4 QoS菜单包含的特性及其支持的功能
|
分类 |
特性名称 |
功能 |
|
QoS |
QoS 策略 |
创建、修改和删除基于接口的QoS策略、基于VLAN的QoS策略和基于全局的QoS策略 |
|
硬件队列 |
修改接口硬件队列设置 |
|
|
优先级映射 |
· 配置端口优先级和端口优先级信任模式 · 配置优先级映射表,包括应用和重置802.1p优先级到本地优先级映射表、DSCP到802.1p优先级映射表和DSCP到DSCP映射表 |
|
|
限速 |
创建、修改和删除接口限速 |
安全菜单包含的特性及其支持的功能如表3-5所示。
|
分类 |
特性名称 |
功能 |
|
包过滤 |
包过滤 |
· 创建、修改和删除基于接口的包过滤、基于VLAN的包过滤和基于全局的包过滤 · 配置包过滤缺省动作 |
|
IP Source Guard |
静态配置IPv4接口绑定表项 |
|
|
接入 |
802.1X |
· 开启和关闭802.1X功能 · 配置802.1X的认证方法 · 配置端口接入控制方式 · 配置端口的授权状态 · 配置端口的强制认证ISP域 |
|
MAC地址认证 |
· 开启和关于MAC地址认证功能 · 配置MAC地址认证的用户认证域 · 配置用户名格式 |
|
|
端口安全 |
· 开启和关闭端口安全功能 · 配置端口安全模式 · 配置入侵保护模式 · 配置NTK模式 · 配置安全MAC老化模式 |
|
|
Portal |
· 配置Portal认证服务器 · 配置Portal Web服务器 · 配置本地Portal Web服务器 · 创建免认证规则 · 创建接口策略 |
|
|
认证 |
ISP域 |
配置ISP域 |
|
RADIUS |
配置RADIUS方案 |
|
|
TACACS |
配置TACACS方案 |
|
|
本地认证 |
配置本地用户 |
日志菜单包含的特性及其支持的功能如表3-6所示。
|
分类 |
特性名称 |
功能 |
|
日志 |
系统日志 |
· 查看设备记录的日志信息 · 查询、统计、删除日志信息 |
|
设置 |
· 开启或关闭日志输出到日志缓冲区的功能,并配置日志缓冲区可存储的信息条数 · 配置日志主机的地址(或域名)、端口号 |
系统设置功能用来对设备的名称、位置等信息以及系统时间进行设置。
为了便于管理,并保证与其它设备协调工作,设备需要准确的系统时间。
系统时间的获取方式有:
· 手工配置。用户手工指定的时间即为当前的系统时间,不管是否同时修改了时区和夏令时。后续,设备使用内部晶体震荡器产生的时钟信号计时。如果用户没有手工配置系统时间,仅修改了时区或夏令时,设备会使用新时区和夏令时来调整系统时间。
· 自动同步。设备使用协议周期性地同步服务器的UTC(Coordinated Universal Time,国际协调时间)时间,并用同步得到的UTC时间和设备上配置的时区、夏令时参数进行运算,得出当前的系统时间。如果用户修改了时区或夏令时,设备会重新计算系统时间。该方式获取的时间比手工配置的时间更精准,推荐使用。
全球分为24个时区。请将设备的时区配置为当地地理时区。
在执行夏令时制的国家/地区需要配置夏令时。夏令时会相对非夏令时提前1小时,开始时间、结束时间和您所处国家/地区的夏令时要求一致即可。(如果夏令时开始时刻到达时,页面显示的系统时间没有加一,请刷新页面查看效果)
NTP支持服务器模式和对等体模式两种时钟源工作模式,如表4-1所示。在服务器模式中,设备只能作为客户端;在对等体模式中,设备只能作为主动对等体。
SNTP只支持服务器模式这一种时钟源工作模式。在该模式中,设备只能作为客户端,从NTP服务器获得时间同步,不能作为服务器为其他设备提供时间同步。
表4-1 NTP时钟源工作模式
|
模式 |
工作过程 |
时间同步方向 |
应用场合 |
|
服务器模式 |
客户端上需要手工指定NTP服务器的地址。客户端向NTP服务器发送NTP时间同步报文。NTP服务器收到报文后会自动工作在服务器模式,并回复应答报文 一个客户端可以配置多个时间服务器,如果客户端从多个时间服务器获取时间同步,则客户端收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步 |
客户端能够与NTP服务器的时间同步 NTP服务器无法与客户端的时间同步 |
该模式通常用于下级的设备从上级的时间服务器获取时间同步 |
|
对等体模式 |
主动对等体(Symmetric active peer)上需要手工指定被动对等体(Symmetric passive peer)的地址。主动对等体向被动对等体发送NTP时间同步报文。被动对等体收到报文后会自动工作在被动对等体模式,并回复应答报文 如果主动对等体可以从多个时间服务器获取时间同步,则主动对等体收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步 |
主动对等体和被动对等体的时间可以互相同步 如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步 |
该模式通常用于同级的设备间互相同步,以便在同级的设备间形成备份。如果某台设备与所有上级时间服务器的通信出现故障,则该设备仍然可以从同级的时间服务器获得时间同步 |
对于服务器模式:要使用身份验证功能,必须在服务器端和客户端上都开启身份验证功能,并配置相同的密钥ID和密钥,否则身份验证失败或无法进行身份验证。
对于对等体模式:要使用身份验证功能,必须在主动对等体和被动对等体上都开启身份验证功能,并配置相同的密钥ID和密钥,否则身份验证失败或无法进行身份验证。
管理员通过SSH、Telnet、FTP、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:
· 帐户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。
· 角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。
· 密码管理:对用户登录密码的设置、老化、更新以及用户登录状态等方面的管理。
为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的帐户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。
对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能以及可操作的系统资源,具体实现如下:
· 通过角色规则实现对系统功能的操作权限的控制。
· 通过资源控制策略实现对系统资源(接口、VLAN)的操作权限的控制。
一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。
对于登录Web页面的用户,系统实际支持的实体类型仅为Web菜单。Web菜单是指通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。
基于Web菜单的规则用来控制指定的Web菜单选项是否允许被操作。因为菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。
· 读权限:可查看指定菜单的配置信息和维护信息。
· 写权限:可配置指定菜单的相关功能和参数。
· 执行权限:可执行指定菜单的特定控件操作的功能,如Ping操作。
资源控制策略规定了用户对系统资源的操作权限。对于登录Web页面的用户而言,对接口/VLAN的操作是指创建接口/VLAN、配置接口/VLAN的属性、删除接口/VLAN和应用接口/VLAN。
资源控制策略需要与角色规则相配合才能生效。
系统预定义了多种角色,这些角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。
系统预定义的安全日志管理员(security-audit)角色,仅具有安全日志菜单的读、写、执行权限。由于目前Web页面不支持安全日志菜单,请不要赋予用户安全日志管理员角色。
根据用户登录方式的不同,为用户授权角色分为以下两类:
· 对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。
· 对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。
将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。
一个用户可同时拥有多个角色。拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
· 密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
当用户登录密码的使用时间超过老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口或AUX口登录设备)用户可自行修改密码。
在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口或AUX口登录设备)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于为用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,用户的当前登录密码,不会被记录到该用户的密码历史记录中。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口或AUX口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止该用户登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 不对该用户做禁止,允许其继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录。若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户帐号立即失效,系统不再允许使用该帐号的用户登录。
IRF(Intelligent Resilient Framework,智能弹性架构)是一种软件虚拟化技术。它的核心思想是将多台设备连接在一起,进行必要的配置后,虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。
IRF在网络中作为一个节点运行,能够简化网络拓扑、方便用户管理和维护。用户从任意成员设备的接口登录并配置IRF,IRF会将这些配置同步到所有成员设备,从而保证所有成员设备配置的一致性。
IRF虚拟化技术涉及如下基本概念:
IRF中每台设备都称为成员设备。成员设备按照功能不同,分为两种角色:
· 主用设备(简称为主设备):负责管理和控制整个IRF。
· 从属设备(简称为从设备):处理业务、转发报文的同时作为主设备的备份设备运行。当主设备故障时,系统会自动从从设备中选举一个新的主设备接替原主设备工作。
主设备和从设备均由角色选举产生。一个IRF中同时只能存在一台主设备,其它成员设备都是从设备。
成员编号是设备在IRF中的标识,IRF通过成员编号来管理成员设备。请先修改成员编号并确保编号在IRF中唯一,再加入IRF。否则,该设备不能加入IRF。修改后的成员编号,需要手工重启本设备后生效。
成员优先级是成员设备的一个属性,主要用于角色选举过程中确定成员设备的角色。优先级越高当选为主设备的可能性越大。
一种专用于IRF成员设备之间进行连接的逻辑接口,每台成员设备上有IRF-Port1和IRF-Port2。它需要和物理端口绑定之后才能生效。
与IRF端口绑定,用于IRF成员设备之间进行连接的物理接口。IRF物理端口用来转发IRF相关协商报文以及需要跨成员设备转发的业务报文。一个IRF端口可绑定多个IRF物理端口。
NS300系列交换机可以使用SFP+电缆或SFP+模块和光纤来实现IRF物理端口连接。SFP+模块与光纤的搭配适用于在距离很远的设备间进行IRF连接,使得应用更加灵活。
为了适应各种组网应用,同一个网络里可以部署多个IRF,IRF之间使用域编号以示区别。
两个(或多个)IRF各自已经稳定运行,通过物理连接和必要的配置,形成一个IRF,这个过程称为IRF合并。
以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。
链路捆绑是通过接口捆绑实现的,多个以太网接口捆绑在一起后形成一个聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,称为聚合接口。聚合组与聚合接口的编号是相同的,例如聚合组1对应于聚合接口1。
二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口。
聚合接口的速率和双工模式取决于对应聚合组内的选中端口:聚合接口的速率等于所有选中端口的速率之和,聚合接口的双工模式则与选中端口的双工模式相同。
聚合组内的成员端口具有以下两种状态:
· 选中(Selected)状态:此状态下的成员端口可以参与数据的转发,处于此状态的成员端口称为“选中端口”。
· 非选中(Unselected)状态:此状态下的成员端口不能参与数据的转发,处于此状态的成员端口称为“非选中端口”。
操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值,它是根据成员端口上的一些信息(包括该端口的速率、双工模式等)的组合自动计算生成的,这个信息组合中任何一项的变化都会引起操作Key的重新计算。在同一聚合组中,所有的选中端口都必须具有相同的操作Key。
属性类配置:包含的配置内容如http://press/data/infoblade/Comware V7平台中文/1.2.04 二层技术-以太网交换/1.2.04.02 以太网链路聚合/以太网链路聚合配置.htm - _Ref175022499所示。在聚合组中,只有与对应聚合接口的属性类配置完全相同的成员端口才能够成为选中端口。
|
配置项 |
内容 |
|
端口隔离 |
端口是否加入隔离组、端口所属的端口隔离组 |
|
VLAN配置 |
端口上允许通过的VLAN、端口缺省VLAN、VLAN报文是否带Tag配置 |
链路聚合分为静态聚合和动态聚合两种模式,处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组。
静态聚合和动态聚合工作时首先要选取参考端口,之后再确定成员端口的状态。
(1) 选择参考端口
参考端口从本端的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。
对于聚合组内处于up状态的端口,按照端口的高端口优先级->全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且属性类配置与对应聚合接口相同的端口作为参考端口;如果多个端口优先次序相同,首先选择原来的选中端口作为参考端口;如果此时多个优先次序相同的端口都是原来的选中端口,则选择其中端口号最小的端口作为参考端口;如果多个端口优先次序相同,且都不是原来的选中端口,则选择其中端口号最小的端口作为参考端口。
(2) 确定成员端口状态
静态聚合组内成员端口状态的确定流程如http://press/data/infoblade/Comware V7平台中文/1.2.04 二层技术-以太网交换/1.2.04.02 以太网链路聚合/以太网链路聚合配置.htm - _Ref251136306所示。
动态聚合模式通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)协议实现,动态聚合组内的成员端口可以收发LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元),本端通过向对端发送LACPDU通告本端的信息。当对端收到该LACPDU后,将其中的信息与所在端其他成员端口收到的信息进行比较,以选择能够处于选中状态的成员端口,使双方可以对各自接口的选中/非选中状态达成一致。
(1) 选择参考端口
参考端口从聚合链路两端处于up状态的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中。
· 首先,从聚合链路的两端选出设备ID(由系统的LACP优先级和系统的MAC地址共同构成)较小的一端:先比较两端的系统LACP优先级,优先级数值越小其设备ID越小;如果优先级相同再比较其系统MAC地址,MAC地址越小其设备ID越小。
· 其次,对于设备ID较小的一端,再比较其聚合组内各成员端口的端口ID(由端口优先级和端口的编号共同构成):先比较端口优先级,优先级数值越小其端口ID越小;如果优先级相同再比较其端口号,端口号越小其端口ID越小。端口ID最小、且属性类配置与对应聚合接口相同的端口作为参考端口。
(2) 确定成员端口的状态
在设备ID较小的一端,动态聚合组内成员端口状态的确定流程如http://press/data/infoblade/Comware V7平台中文/1.2.04 二层技术-以太网交换/1.2.04.02 以太网链路聚合/以太网链路聚合配置.htm - _Ref251136306所示
与此同时,设备ID较大的一端也会随着对端成员端口状态的变化,随时调整本端各成员端口的状态,以确保聚合链路两端成员端口状态的一致。
静态聚合和动态聚合的优点分别为:
· 静态聚合模式:一旦配置好后,端口的转发流量的状态就不会受网络环境的影响,比较稳定。
· 动态聚合模式:能够根据对端和本端的信息调整端口的转发流量的状态,比较灵活。
风暴抑制用于控制以太网上的报文风暴。配置该功能后,系统会按照配置的时间间隔统计端口收到的未知单播/组播/广播报文流量。如果某类报文流量超过上限阈值,系统会执行相应的控制动作,以及决定是否输出Trap和日志。控制动作包括:
· 无:在端口上不执行任何动作。
· 阻塞端口:端口将暂停转发该类报文(其它类型报文照常转发),端口处于阻塞状态,但仍会统计该类报文的流量。当该类报文的流量小于其下限阈值时,端口将自动恢复对此类报文的转发。
· 关闭端口:端口将被关闭,系统停止转发所有报文。当该类报文的流量小于其下限阈值时,端口状态不会自动恢复,需要手工启用接口或取消端口上流量阈值的配置来恢复。
为了实现端口间的二层隔离,可以将不同的端口加入不同的VLAN,但VLAN资源有限。采用端口隔离特性,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层隔离,而不关心这些端口所属VLAN,从而节省VLAN资源。
隔离组内的端口与未加入隔离组的端口之间二层流量双向互通。
VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。
VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。
在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。
端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。
· Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。
不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。
MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项分为以下几种:
· 动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。
· 静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
· 黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。
· 安全服务MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于转发指定MAC地址的报文,表项不老化。
MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:
· 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。
· 如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。
用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。
缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。
如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。
生成树协议运行于二层网络中,通过阻塞冗余链路构建出无数据环路的树型网络拓扑,并在设备或数据链路故障时,重新计算出新的树型拓扑。
生成树协议包括STP、RSTP和MSTP。
· STP:由IEEE制定的802.1D标准定义,是狭义的生成树协议。
· RSTP:由IEEE制定的802.1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时将大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。
· PVST:可以在每个VLAN内都拥有一棵生成树,能够有效地提高链路带宽的利用率。
· MSTP:由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
生成树的工作模式有以下几种:
· STP模式:设备的所有端口都将向外发送STP BPDU。如果端口的对端设备只支持STP,可选择此模式。
· RSTP模式:设备的所有端口都向外发送RSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是MSTP BPDU,则不会进行迁移。
· PVST模式:设备的所有端口都向外发送PVST BPDU,每个VLAN对应一棵生成树。进行PVST组网时,若网络中所有设备的生成树维护量(使能生成树协议的VLAN数×使能生成树协议的端口数)达到一定数量,会导致CPU负荷过重,不能正常处理报文,引起网络震荡。
· MSTP模式:设备的所有端口都向外发送MSTP BPDU。当端口收到对端设备发来的STP BPDU时,会自动迁移到STP模式;如果收到的是RSTP BPDU,则不会进行迁移。
MSTP把一个交换网络划分成多个域,这些域称为MST(Multiple Spanning Tree Regions,多生成树域)域。每个域内形成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(Multiple Spanning Tree Instance,多生成树实例)。CST(Common Spanning Tree,公共生成树)是一棵连接交换网络中所有MST域的单生成树。IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI 0,所有VLAN缺省都映射到MSTI 0上。CIST(Common and Internal Spanning Tree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树。
其中,对于属于同一MST域的设备具有下列特点:
· 都使能了生成树协议。
· 域名相同。
· VLAN与MSTI间映射关系的配置相同。
· MSTP修订级别的配置相同。
· 这些设备之间有物理链路连通。
生成树可能涉及到的端口角色有以下几种:
· 根端口(Root Port):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。
· 指定端口(Designated Port):负责向下游网段或设备转发数据的端口就称为指定端口。
· 替换端口(Alternate Port):是根端口或主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。
· 备份端口(Backup Port):是指定端口的备份端口。当指定端口失效后,备份端口将转换为新的指定端口。当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口。
· 主端口(Master Port):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路。主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色则是主端口。
STP只涉及根端口、指定端口和替换端口三种端口角色,RSTP的端口角色中新增了备份端口,MSTP涉及所有的端口角色。
RSTP和MSTP中的端口状态可分为三种,如表5-2所示。
表5-2 RSTP和MSTP中的端口状态
|
状态 |
描述 |
|
Forwarding |
该状态下的端口可以接收和发送BPDU,也转发用户流量 |
|
Learning |
是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量 |
|
Discarding |
该状态下的端口可以接收和发送BPDU,但不转发用户流量 |
STP定义了五种端口状态:Disabled、Blocking、Listening、Learning和Forwarding。其中Disabled、Blocking和Listening状态都对应RSTP/MSTP中的Discarding状态。
LLDP(Link Layer Discovery Protocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。
在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会以报文发送时间间隔为周期,向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,可以配置限制发送报文速率的令牌桶大小来作限速处理。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。
当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time To Live,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。
由于TTL=Min(65535,(TTL乘数×LLDP报文的发送间隔+1)),即取65535与(TTL乘数×LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间。
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。
如果开启了发送LLDP Trap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。
TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,链路层发现协议媒体终端发现) TLV。
基本TLV是网络设备管理基础的一组TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
开启本功能后,设备可以利用LLDP来接收、识别Cisco的IP电话发送的CDP报文,并向其回应CDP报文。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARP Detection功能,即根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。
DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失。如果DHCP Snooping与其他模块配合使用,则表项丢失会导致这些模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。
DHCP Snooping表项备份功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82包含两个子选项:Circuit ID和Remote ID。
支持Option 82功能是指设备接收到DHCP请求报文后,根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
具体的处理方式见表5-3。
表5-3 Option 82处理方式
|
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
|
收到的报文中带有Option 82 |
Drop |
丢弃报文 |
|
Keep |
保持报文中的Option 82不变并进行转发 |
|
|
Replace |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发 |
|
|
收到的报文中不带有Option 82 |
- |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发 |
IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
· 网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
· 主机号码字段(Host-id):用于区分一个网络内的不同主机。
IP地址分为5类,每一类地址范围如表5-4所示。目前大量使用的IP地址属于A、B、C三类。
表5-4 IP地址分类
|
地址类型 |
地址范围 |
说明 |
|
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址 127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
组播地址 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其它地址保留今后使用 |
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
接口获取IP地址有以下几种方式:
· 通过手动指定IP地址
· 通过DHCP分配得到IP地址
当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。
ARP表项分为两种:动态ARP表项、静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。
动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。
静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
· 普通代理ARP:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
· 本地代理ARP:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
在配置本地代理ARP时,用户也可以指定进行ARP代理的IP地址范围。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
启用了学习免费ARP报文功能后,设备会根据收到的免费ARP报文中携带的信息(发送端IP地址、发送端MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文中的发送端IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭学习免费ARP报文功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭学习免费ARP报文功能,以节省ARP表项资源。
开启回复免费ARP报文功能后,当设备收到非同一网段的ARP请求时发送免费ARP报文。关闭该功能后,设备收到非同一网段的ARP请求时不发送免费ARP报文。
用户可以配置某些接口定时发送免费ARP报文,以便及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
· 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
为了降低这种仿冒网关的ARP攻击所带来的影响,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
· 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上启用定时发送免费ARP功能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
不同设备支持配置的ARP攻击防御功能如下:
· 网关设备支持配置的功能包括:ARP黑洞路由、ARP源抑制、源MAC地址一致性检查、ARP主动确认、源MAC地址固定的ARP攻击检测、授权ARP和ARP扫描;
· 接入设备支持配置的功能包括:ARP报文限速、ARP网关保护、ARP过滤保护和ARP Detection。
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
· 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
· ARP黑洞路由功能:开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
· ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
使能严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:
· 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;
· 收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。
本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。
所谓授权ARP,就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。
使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
启用ARP扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
ARP扫描功能一般与ARP固化功能配合使用。ARP固化功能用来将当前的ARP动态表项(包括ARP扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。
建议在网吧这种环境稳定的小型网络中使用这两个功能。
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
建议用户在配置了ARP Detection或者发现有ARP泛洪攻击的情况下,使用ARP报文限速功能。
配置ARP报文限速功能后,如果用户开启了ARP限速日志功能,则当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。为防止过多的日志信息干扰用户工作,用户可以设定日志信息的发送时间间隔。当用户设定的时间间隔超时时,设备执行发送日志的操作。
在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
ARP过滤保护功能用来限制接口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:
· 如果相同,则认为此报文合法,继续进行后续处理;
· 如果不相同,则认为此报文非法,将其丢弃。
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
(1) 用户合法性检查
如果仅在VLAN上开启ARP Detection功能,则仅进行用户合法性检查。
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping表项的检查。只要符合任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
(2) ARP报文有效性检查
对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
· 源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;
· 目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃;
· IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
(3) ARP报文强制转发
对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
· 对于ARP请求报文,通过信任接口进行转发;
对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与地址之间的转换。IPv4 DNS提供域名和IPv4地址之间的转换,IPv6 DNS提供域名和IPv6地址之间的转换。
设备作为DNS客户端,当用户在设备上进行某些应用(如Telnet到一台设备或主机)时,可以直接使用便于记忆的、有意义的域名,通过域名系统将域名解析为正确的地址。
域名解析分为动态域名解析和静态域名解析两种。动态域名解析和静态域名解析可以配合使用。在解析域名时,首先采用静态域名解析(查找静态域名解析表),如果静态域名解析不成功,再采用动态域名解析。由于动态域名解析需要域名服务器的配合,会花费一定的时间,因而可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
使用动态域名解析时,需要手工指定域名服务器的地址。
动态域名解析通过向域名服务器查询域名和地址之间的对应关系来实现将域名解析为地址。
动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。例如,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。
使用域名后缀的时候,根据用户输入域名方式的不同,查询方式分成以下几种情况:
· 如果用户输入的域名中没有“.”,比如aabbcc,系统认为这是一个主机名,会首先加上域名后缀进行查询,如果所有加后缀的域名查询都失败,将使用最初输入的域名(如aabbcc)进行查询。
· 如果用户输入的域名中间有“.”,比如www.aabbcc,系统直接用它进行查询,如果查询失败,再依次加上各个域名后缀进行查询。
· 如果用户输入的域名最后有“.”,比如aabbcc.com.,表示不需要进行域名后缀添加,系统直接用输入的域名进行查询,不论成功与否都直接返回结果。就是说,如果用户输入的字符中最后一个字符为“.”,就只根据用户输入的字符进行查找,而不会去匹配用户预先设置的域名后缀,因此最后这个“.”,也被称为查询终止符。带有查询终止符的域名,称为FQDN(Fully Qualified Domain Name,完全合格域名)。
手工建立域名和地址之间的对应关系。当用户使用域名进行某些应用时,系统查找静态域名解析表,从中获取指定域名对应的地址。
DNS代理(DNS proxy)用来在DNS client和DNS server之间转发DNS请求和应答报文。局域网内的DNS client把DNS proxy当作DNS server,将DNS请求报文发送给DNS proxy。DNS proxy将该请求报文转发到真正的DNS server,并将DNS server的应答报文返回给DNS client,从而实现域名解析。
使用DNS proxy功能后,当DNS server的地址发生变化时,只需改变DNS proxy上的配置,无需改变局域网内每个DNS client的配置,从而简化了网络管理。
IPv6(Internet Protocol Version 6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation,下一代互联网协议),它是IETF(Internet Engineering Task Force,互联网工程任务组)设计的一套规范,是IPv4的升级版本。IPv6和IPv4之间最显著的区别为:地址的长度从32比特增加到128比特。
IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数。每个IPv6地址被分为8组,每组的16比特用4个十六进制数来表示,组和组之间用冒号隔开,比如:2001:0000:130F:0000:0000:09C0:876A:130B。
为了简化IPv6地址的表示,对于IPv6地址中的“0”可以有下面的处理方式:
· 每组中的前导“0”可以省略,即上述地址可写为2001:0:130F:0:0:9C0:876A:130B。
· 如果地址中包含一组或连续多组均为0的组,则可以用双冒号“::”来代替,即上述地址可写为2001:0:130F::9C0:876A:130B。
IPv6地址由两部分组成:地址前缀与接口标识。其中,地址前缀相当于IPv4地址中的网络号码字段部分,接口标识相当于IPv4地址中的主机号码部分。
地址前缀的表示方式为:IPv6地址/前缀长度。其中,前缀长度是一个十进制数,表示IPv6地址最左边多少位为地址前缀。
IPv6主要有三种类型的地址:单播地址、组播地址和任播地址。
· 单播地址:用来唯一标识一个接口,类似于IPv4的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的接口。
· 组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。
· 任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。
IPv6中没有广播地址,广播地址的功能通过组播地址来实现。
IPv6地址类型是由地址前面几位(称为格式前缀)来指定的,主要地址类型与格式前缀的对应关系如表5-5所示。
表5-5 IPv6地址类型与格式前缀的对应关系
|
地址类型 |
格式前缀(二进制) |
IPv6前缀标识 |
简介 |
|
|
单播地址 |
未指定地址 |
00...0 (128 bits) |
::/128 |
不能分配给任何节点。在节点获得有效的IPv6地址之前,可在发送的IPv6报文的源地址字段填入该地址,但不能作为IPv6报文中的目的地址 |
|
环回地址 |
00...1 (128 bits) |
::1/128 |
不能分配给任何物理接口。它的作用与在IPv4中的环回地址相同,即节点用来给自己发送IPv6报文 |
|
|
链路本地地址 |
1111111010 |
FE80::/10 |
用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上 |
|
|
全球单播地址 |
其他形式 |
- |
等同于IPv4公网地址,提供给网络服务提供商。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量 |
|
|
组播地址 |
11111111 |
FF00::/8 |
- |
|
|
任播地址 |
从单播地址空间中进行分配,使用单播地址的格式 |
- |
||
IPv6单播地址中的接口标识符用来唯一标识链路上的一个接口。目前IPv6单播地址基本上都要求接口标识符为64位。
不同接口的IEEE EUI-64格式的接口标识符的生成方法不同,分别介绍如下:
· 所有IEEE 802接口类型(例如,以太网接口、VLAN接口):IEEE EUI-64格式的接口标识符是从接口的链路层地址(MAC地址)变化而来的。IPv6地址中的接口标识符是64位,而MAC地址是48位,因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE(1111111111111110)。为了使接口标识符的作用范围与原MAC地址一致,还要将Universal/Local (U/L)位(从高位开始的第7位)进行取反操作。最后得到的这组数就作为EUI-64格式的接口标识符。
· Tunnel接口:IEEE EUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址,ISATAP隧道的接口标识符的高32位为0000:5EFE,其他隧道的接口标识符的高32位为全0。
· 其他接口类型(例如,Serial接口):IEEE EUI-64格式的接口标识符由设备随机生成。
IPv6全球单播地址可以通过下面几种方式配置:
· 采用EUI-64格式形成:当配置采用EUI-64格式形成IPv6地址时,接口的IPv6地址的前缀需要手工配置,而接口标识符则由接口自动生成;
· 手工配置:用户手工配置IPv6全球单播地址;
· 无状态自动配置:根据接收到的RA报文中携带的地址前缀信息及使用EUI-64功能生成的接口标识,自动为接口生成IPv6全球单播地址;
· 有状态获取地址:通过DHCPv6服务器自动获取IPv6地址。
一个接口上可以配置多个全球单播地址。
IPv6的链路本地地址可以通过两种方式获得:
· 自动生成:设备根据链路本地地址前缀(FE80::/10)及使用EUI-64功能生成的接口标识,自动为接口生成链路本地地址;
· 手工指定:用户手工配置IPv6链路本地地址。
每个接口只能有一个链路本地地址,为了避免链路本地地址冲突,推荐使用链路本地地址的自动生成方式。
配置链路本地地址时,手工指定方式的优先级高于自动生成方式。即如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。
IPv6邻居发现(Neighbor Discovery,ND)协议使用五种类型的ICMPv6消息(如表5-6所示),实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能。
表5-6 ND使用的ICMPv6消息
|
ICMPv6消息 |
类型号 |
作用 |
|
邻居请求消息NS(Neighbor Solicitation) |
135 |
获取邻居的链路层地址 |
|
验证邻居是否可达 |
||
|
进行重复地址检测 |
||
|
邻居通告消息NA(Neighbor Advertisement) |
136 |
对NS消息进行响应 |
|
节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息 |
||
|
路由器请求消息RS(Router Solicitation) |
133 |
节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置 |
|
路由器通告消息RA(Router Advertisement) |
134 |
对RS消息进行响应 |
|
在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息 |
||
|
重定向消息(Redirect) |
137 |
当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送 |
邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。
目前,静态邻居表项有两种配置方式:
· 配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址;
· 配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址。
对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:
· 采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息。
· 采用第二种方式配置静态邻居表项后,需要保证该二层端口属于指定的VLAN,且该VLAN已经创建了VLAN接口。
设备为同一链路上的主机发布RA报文,主机可以根据RA报文中的信息进行无状态自动配置等操作。设备可以抑制RA报文的发送,也可以周期性发送RA报文,相邻两次RA报文发送时间间隔是在最大时间间隔与最小时间间隔之间随机选取的一个值。最小时间间隔应该小于等于最大时间间隔的0.75倍。
RA报文中的参数和参数描述如表5-7所示。
表5-7 RA报文中的参数
|
参数 |
描述 |
|
地址前缀/前缀长度 |
主机根据该地址前缀/前缀长度生成对应的IPv6地址,完成无状态自动配置操作 |
|
有效生命期 |
表示前缀有效期。在有效生命期内,通过该前缀自动生成的地址可以正常使用;有效生命期过期后,通过该前缀自动生成的地址变为无效,将被删除 |
|
首选生命期 |
表示首选通过该前缀无状态自动配置地址的时间。首选生命期过期后,节点通过该前缀自动配置的地址将被废止。节点不能使用被废止的地址建立新的连接,但是仍可以接收目的地址为被废止地址的报文。首选生命期必须小于或等于有效生命期 |
|
不用于无状态配置标识 |
选择了该标识,则指定前缀不用于无状态地址配置 |
|
不是直连可达标识 |
选择了该标识,则表示该前缀不是当前链路上直连可达的 |
|
MTU |
发布链路的MTU,可以用于确保同一链路上的所有节点采用相同的MTU值 |
|
不指定跳数限制标识 |
选择了该标识,则表示RA消息中不带有本设备的跳数限制 |
|
被管理地址配置标志位(M flag) |
用于确定主机是否采用有状态自动配置获取IPv6地址 如果选择了该标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据自己的链路层地址及路由器发布的前缀信息生成IPv6地址 |
|
其他信息配置标志位(O flag) |
用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息 如果选择了其他信息配置标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息 |
|
路由器生存时间(Router Lifetime) |
用于设置发布RA消息的路由器作为主机的默认路由器的时间。主机根据接收到的RA消息中的路由器生存时间参数值,就可以确定是否将发布该RA消息的路由器作为默认路由器。发布RA消息中路由器生存时间为0的路由器不能作为默认路由器 |
|
邻居请求重传间隔(Retrans Timer) |
设备发送NS消息后,如果未在指定的时间间隔内收到响应,则会重新发送NS消息 |
|
配置路由优先级 ( Router Preference ) |
用于设置发布RA消息的路由器的路由器优先级,主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关 |
|
保持邻居可达时间(Reachable Time) |
当通过邻居可达性检测确认邻居可达后,在所设置的可达时间内,设备认为邻居可达;超过设置的时间后,如果需要向邻居发送报文,会重新确认邻居是否可达 |
如果NS请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理功能的设备就可以代答该请求,回应NA报文,这个过程称作ND代理(ND Proxy)。
ND Proxy功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
ND Proxy功能根据应用场景不同分为普通ND Proxy和本地ND Proxy。
普通ND Proxy的典型应用环境如图5-3所示。Device通过两个三层接口Int A和Int B连接两个网络,两个三层接口的IPv6地址不在同一个网段,接口地址分别为4:1::99/64、4:2::99/64。但是两个网络内的主机Host A和Host B的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。
图5-3 普通ND代理的典型应用环境
在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,此时的两台主机处于不同的广播域中,Host B无法收到Host A的NS请求报文,当然也就无法应答。
通过在Device上启用普通ND Proxy功能,可以解决此问题。在接口Int A和Int B上启用普通ND Proxy后,Router可以应答Host A的NS请求。同时,Device作为Host B的代理,把其它主机发送过来的报文转发给Host B。这样,实现Host A与Host B之间的通信。
本地ND Proxy的应用场景如图5-4所示。Host A属于VLAN 2,Host B属于VLAN 3,它们分别连接到端口Int A和Int C上。
图5-4 本地ND代理的应用场景
在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,因为连接两台主机处于不同的VLAN中,Host B无法收到Host A的NS请求报文。
通过在Device A上启用本地ND Proxy功能,可以解决此问题。在接口Int B上启用本地ND Proxy后,Device A会代替Host B回应NA,Host A发给Host B的报文就会通过Device A进行转发,从而实现Host A与Host B之间的通信。
端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文(称为镜像报文),以进行网络监控和故障排除。
在端口镜像中涉及以下概念:
(1) 源端口:设备上被监控的端口。源端口上的报文会被复制一份到目的端口。源端口所在的设备称为源设备。
(2) 目的端口:设备上与数据监测设备相连的端口,源端口上的报文将被复制一份到此端口。目的端口所在的设备称为目的设备。
(3) 镜像组:源端口和目的端口的组合,它分为:
· 本地镜像组:当源端口和目的端口位于同一设备时,端口所在镜像组称为本地镜像组。
· 远程镜像组:当源端口和目的端口位于不同设备时,源端口和目的端口所在的镜像组分别称为远程源镜像组和远程目的镜像组,镜像报文通过远程镜像VLAN在源设备与目的设备之间传输。
静态路由是一种特殊的路由,由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。静态路由不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,必须由管理员手工修改配置。
缺省路由是在没有找到匹配的路由表项时使用的路由。配置IPv4缺省路由时,指定目的地址为0.0.0.0/0;配置IPv6缺省路由时,指定目的地址为::/0。
RIP是一种基于距离矢量算法的协议,它通过UDP报文进行路由信息的交换,端口号为520。RIP主要用于规模较小的网络,比如校园网。大型网络一般不使用RIP。
RIP有两个版本:RIP-1和RIP-2。
· RIP-1是有类别路由协议,它只支持以广播方式发布协议报文。RIP-1报文无法携带掩码信息,而且不支持不连续子网。
· RIP-2是无类别路由协议,有两种报文传送方式:广播方式和组播方式,缺省将采用组播方式发送报文,使用的组播地址为224.0.0.9。当接口运行RIP-2广播方式时,也可接收RIP-1的报文。
有两种使能RIP的方式:启用网段和启用接口,启用接口的优先级高于启用网段。
在安全性要求较高的网络环境中,可以通过配置报文的认证方式来对RIP-2报文进行有效性检查和验证。RIP-2支持两种认证方式:简单认证和MD5认证。MD5认证包括RFC 2082和RFC 2453两种,具体情况请参见相应RFC文档。
RIP-1不支持认证。
与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(ACL规则)的报文,执行指定的操作(设置报文的下一跳)。
策略用来定义报文的匹配规则,以及对报文执行的操作。一个策略可以由一个或者多个节点组成。节点的构成如下:
· 每个节点由节点编号来标识。节点编号越小节点的优先级越高,优先级高的节点优先被执行。
· 每个节点的具体内容由报文匹配规则和执行操作来指定。报文匹配规则定义该节点的匹配规则,执行操作定义该节点的动作。
· 每个节点对报文的处理方式由匹配模式决定。匹配模式分为允许和拒绝两种。
应用策略后,系统将根据策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;如果报文不满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足策略中任何一个节点的匹配规则,则根据路由表来转发报文。
通过配置ACL规则用于匹配报文,用于执行后续操作。
设置报文转发的下一跳,并为其配置与Track项关联或是指定当前下一跳是否为直连下一跳。
策略路由通过与Track联动,增强了应用的灵活性和对网络环境变化的动态感知能力。
策略路由可以在配置报文的下一跳时与Track项关联,根据Track项的状态来动态地决定策略的可用性。策略路由配置仅在关联的Track项状态为Positive或NotReady时生效。
IGMP snooping(Internet Group Management Protocol snooping,互联网组管理协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的IGMP报文建立IGMP snooping转发表,并根据该表指导组播数据的转发。
IGMP snooping转发表的表项由VLAN、组播组地址、组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向组播组成员的端口。
MLD snooping(Multicast Listener Discovery snooping,组播侦听者发现协议窥探)运行在二层设备上,通过侦听三层设备与接收者主机间的MLD报文建立MLD snooping转发表,并根据该表指导IPv6组播数据的转发。
MLD snooping转发表的表项由VLAN、IPv6组播组地址、IPv6组播源地址和成员端口四个元素构成,其中成员端口是指二层设备上朝向IPv6组播组成员的端口。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出请求分配网络配置参数的申请,服务器返回为客户端分配的IP地址等配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机)。如果DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
在以下场合通常利用DHCP服务器来完成IP地址分配:
· 网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
· 网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,用户必须动态获得自己的IP地址。
· 网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
DHCP服务器通过地址池来保存为客户端分配的IP地址、租约时长、网关信息、域名后缀、DNS服务器地址、WINS服务器地址、NetBIOS节点类型和DHCP选项信息。服务器接收到客户端发送的请求后,选择合适的地址池,并将该地址池中的信息分配给客户端。
DHCP服务器在将IP地址分配给客户端之前,还需要进行IP地址冲突检测。
地址池的地址管理方式有以下几种:
· 静态绑定IP地址,即通过将客户端的硬件地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址;
· 动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。
在DHCP地址池中还可以指定这两种类型地址的租约时长。
DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:
(1) 如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址和其他网络参数分配给客户端。
(2) 如果不存在静态绑定的地址池,则按照以下方法选择地址池:
· 如果客户端与服务器在同一网段,则将DHCP请求报文接收接口的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
· 如果客户端与服务器不在同一网段,即客户端通过DHCP中继获取IP地址,则将DHCP请求报文中giaddr字段指定的IP地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。
DHCP服务器为客户端分配IP地址的优先次序如下:
(1) 与客户端MAC地址或客户端ID静态绑定的IP地址。
(2) DHCP服务器记录的曾经分配给客户端的IP地址。
(3) 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项(Requested IP Address),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。
(4) 按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。
(5) 如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
DHCP利用选项字段传递控制信息和网络配置参数,实现地址动态分配的同时,为客户端提供更加丰富的网络配置信息。
Web页面为DHCP服务器提供了灵活的选项配置方式,在以下情况下,可以使用Web页面DHCP选项功能:
· 随着DHCP的不断发展,新的DHCP选项会陆续出现。通过该功能,可以方便地添加新的DHCP选项。
· 有些选项的内容,RFC中没有统一规定。厂商可以根据需要定义选项的内容,如Option 43。通过DHCP选项功能,可以为DHCP客户端提供厂商指定的信息。
· Web页面只提供了有限的配置功能,其他功能可以通过DHCP选项来配置。例如,可以通过Option 4,IP地址1.1.1.1来指定为DHCP客户端分配的时间服务器地址为1.1.1.1。
· 扩展已有的DHCP选项。当前已提供的方式无法满足用户需求时(比如通过Web页面最多只能配置8个DNS服务器地址,如果用户需要配置的DNS服务器地址数目大于8,则Web页面无法满足需求),可以通过DHCP选项功能进行扩展。
常用的DHCP选项配置如表5-8所示。
表5-8 常用DHCP选项配置
|
选项编号 |
选项名称 |
推荐的选项填充类型 |
|
3 |
Router Option |
IP地址 |
|
6 |
Domain Name Server Option |
IP地址 |
|
15 |
Domain Name |
ASCII字符串 |
|
44 |
NetBIOS over TCP/IP Name Server Option |
IP地址 |
|
46 |
NetBIOS over TCP/IP Node Type Option |
十六进制数串 |
|
66 |
TFTP server name |
ASCII字符串 |
|
67 |
Bootfile name |
ASCII字符串 |
|
43 |
Vendor Specific Information |
十六进制数串 |
为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先对该地址进行探测。
DHCP服务器的地址探测是通过ping功能实现的,通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器发送目的地址为待分配地址的ICMP回显请求报文。如果在指定时间内收到回显响应报文,则认为存在地址冲突。DHCP服务器从地址池中选择新的IP地址,并重复上述操作。如果在指定时间内没有收到回显响应报文,则继续发送ICMP回显请求报文,直到发送的回显显示报文数目达到最大值。如果仍然没有收到回显响应报文,则将地址分配给客户端,从而确保客户端获得的IP地址唯一。
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
为了防止非法主机静态配置一个IP地址并访问外部网络,设备支持DHCP中继用户地址表项记录功能。
启用该功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。
本功能与其他IP地址安全功能(如ARP地址检查和授权ARP)配合,可以实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。
DHCP客户端释放动态获取的IP地址时,会向DHCP服务器单播发送DHCP-RELEASE报文,DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系,则会造成DHCP中继的用户地址表项无法实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。
DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间采用客户端获取到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:
· 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会删除动态用户地址表中对应的表项。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请到的IP地址。
如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。
为了方便用户对网络设备进行配置和维护,设备提供了Web登录功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
设备支持的Web登录方式有以下两种:
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。目前,设备支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备,从而实现了对设备的安全管理。
采用HTTPS登录时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户使用Web页面登录设备。
SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。
本设备可作为SSH服务器,为SSH客户端提供以下几种应用:
· Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务。
· Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务。
· Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。
SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。
设备作为SSH服务器时,利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。
FTP用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。本设备可作为FTP服务器,使用20端口传输数据,使用21端口传输控制消息。
设备可以开启Telnet服务器功能,以便用户能够通过Telnet登录到设备进行远程管理和监控。
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户通过Telnet访问设备。
NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。
NTP通过时钟层数来定义时钟的准确度。时钟层数的取值范围为1~15,取值越小,时钟准确度越高。
在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。
通过Web页面可以配置本地时钟作为参考时钟。
SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。
使用SNMP协议,网络的管理者(NMS)可以读取/设置设备(Agent)上参数的值,设备可以向NMS发送Trap信息,自动告知设备上发生的紧急事件。
MIB(Management Information Base,管理信息库)是被管理对象的集合,比如接口状态、CPU利用率等,这些被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
MIB以树状结构进行存储。树的每个节点都是一个被管理对象,它用从根开始的一条路径唯一地识别(OID)。例如,被管理对象internet可以用一串数字{1.3.6.1}唯一确定,这串数字是被管理对象的OID(Object Identifier,对象标识符)。
子树是MIB树上的一个分枝,是子树根节点和根节点下所有子节点的集合。子树可以用该子树根节点的OID来标识,例如,以private为根节点的子树的OID为private的OID——{1.3.6.1.4}。
MIB视图是MIB的子集合,将团体名/用户名与MIB视图绑定,可以限制NMS能够访问的MIB对象。当用户配置MIB视图包含某个MIB子树时,NMS可以访问该子树的所有节点;当用户配置MIB视图不包含某个MIB子树时,NMS不能访问该子树的所有节点。
子树掩码用来和子树OID共同来确定一个视图的范围。子树掩码用十六进制格式表示,转化成二进制后,每个比特位对应OID中的一个小节,其中,
· 1表示精确匹配,即要访问的节点OID与MIB对象子树OID对应小节的值必须相等;
· 0表示通配,即要访问的节点OID与MIB对象子树OID对应小节的值可以不相等。
例如:子树掩码为0xDB(二进制格式为11011011),子树OID为1.3.6.1.6.1.2.1,所确定的视图就包括子树OID为1.3.*.1.6.*.2.1(*表示可为任意数字)的子树下的所有节点。
· 若子树掩码的bit数目大于子树OID的小节数,则匹配时,子树掩码的第一位与子树OID的第一小节对齐,第二位与第二小节对齐,以此类推,子树掩码中多出的bit位将被忽略。
· 若子树掩码的bit数目小于子树OID的小节数,则匹配时,子树掩码的第一位与子树OID的第一小节对齐,第二位与第二小节对齐,以此类推,子树掩码中不足的bit位将自动设置为1。
· 如果没有指定子树掩码,则使用缺省子树掩码(全1)。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1和SNMPv2c使用团体名认证。只有设备和NMS上配置的团体名相同,NMS才可以访问设备。
· SNMPv3采用用户名认证机制,并且可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
用户在创建团体名的时候可以:
· 使用MIB视图限定NMS可以访问的节点。一个团体名只能绑定一个MIB视图。
¡ 当访问规则配置为只读时,表示NMS只能获取MIB视图中包含的MIB节点的值。
¡ 当访问规则配置为读写时,表示NMS可以读取和设置MIB视图中包含的MIB节点的值。
· 使用IPv4基本ACL和IPv6基本ACL来限制非法NMS访问设备:
¡ 当引用的ACL下配置了规则时,则只有规则中permit的NMS才能访问设备,其它NMS不允许访问设备。
¡ 当未引用ACL、引用的ACL不存在、或者引用的ACL下没有配置规则时,允许所有NMS访问设备。
用户在创建组的时候,可以使用MIB视图限定NMS可以访问的节点。只读视图、读写视图或通知视图,至少配置一个:
· 配置只读视图,表示NMS使用该组内的用户名访问设备时,只能获取只读视图中包含的MIB节点的值。一个组只能绑定一个只读视图。
· 配置读写视图,表示NMS使用该组内的用户名访问设备时,可以读取和设置读写视图中包含的MIB节点的值。一个组只能绑定一个读写视图。
· 配置通知视图,表示NMS使用该组内的用户名访问设备时,通知视图中的Trap节点会自动向NMS发送通告。一个组只能绑定一个只读视图。
用户在创建用户名的时候和组绑定,表示NMS使用该用户名访问设备时,只能访问组内限定的节点。
用户在创建组和用户的时候,均可以使用IPv4基本ACL和IPv6基本ACL来限制非法NMS访问设备。只有组和用户绑定的ACL均允许的NMS才能访问设备,组和用户绑定的ACL均遵循以下规则:
· 当引用的ACL下配置了规则时,则只有规则中permit的NMS才能访问设备,其它NMS不允许访问设备。
· 当未引用ACL、引用的ACL不存在、或者引用的ACL下没有配置规则时,允许所有NMS访问设备。
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL包括表6-1所列的几种类型,它们的主要区别在于规则制订依据不同:
表6-1 ACL分类
|
ACL分类 |
规则制定依据 |
|
|
IPv4 ACL |
基本ACL |
依据报文的源IPv4地址制订规则 |
|
高级ACL |
依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则 |
|
|
IPv6 ACL |
基本ACL |
依据报文的源IPv6地址制订规则 |
|
高级ACL |
依据报文的源/目的IPv6地址、源/目的端口号、优先级、承载的IPv6协议类型等三、四层信息制订规则 |
|
|
二层ACL |
依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
|
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,见表6-2:
表6-2 各类型ACL的“深度优先”排序法则
|
ACL分类 |
规则制定依据 |
|
|
IPv4 ACL |
基本ACL |
1. 先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先 2. 如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先 |
|
高级ACL |
1. 先比较协议范围,指定有IPv4承载的协议类型者优先 2. 如果协议范围相同,再比较源IPv4地址范围,较小者优先 3. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 4. 如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先 5. 如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先 |
|
|
IPv6 ACL |
基本ACL |
1. 先比较源IPv6地址的范围,较小者(即前缀较长者)优先 2. 如果源IPv6地址范围相同,再比较配置的先后次序,先配置者优先 |
|
高级ACL |
2. 如果协议范围相同,再比较源IPv6地址范围,较小者优先 3. 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 4. 如果目的IPv6地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先 5. 如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先 |
|
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。
时间段(Time Range)定义了一个时间范围。用户通过创建一个时间段并在某业务中将其引用,就可使该业务在此时间段定义的时间范围内生效。但如果一个业务所引用的时间段尚未配置或已被删除,该业务将不会生效。
譬如,当一个ACL规则只需在某个特定时间范围内生效时,就可以先配置好这个时间段,然后在配置该ACL规则时引用此时间段,这样该ACL规则就只能在该时间段定义的时间范围内生效。
时间段可分为以下两种类型:
· 周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。
· 绝对时间段:表示在指定时间范围内(如2011年1月1日8点至2011年1月3日18点)生效时间段。
每个时间段都以一个名称来标识,一个时间段内可包含一或多个周期时间段和绝对时间段。当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
SSL(Secure Sockets Layer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域,为应用层数据的传输提供安全性保证。
SSL提供的安全连接可以实现如下功能:
· 保证数据传输的机密性:利用对称密钥算法对传输的数据进行加密,并利用密钥交换算法,如RSA(Rivest Shamir and Adleman),加密传输对称密钥算法中使用的密钥。
· 验证数据源的身份:基于数字证书利用数字签名方法对SSL服务器和SSL客户端进行身份验证。SSL服务器和SSL客户端通过PKI(Public Key Infrastructure,公钥基础设施)提供的机制获取数字证书。
· 保证数据的完整性:消息传输过程中使用MAC(Message Authentication Code,消息验证码)来检验消息的完整性。
在非对称密钥算法中,加密和解密使用的密钥一个是对外公开的公钥,一个是由用户秘密保存的私钥。公钥和私钥一一对应,二者统称为非对称密钥对。设备支持的非对称密钥算法包括RSA(Rivest Shamir and Adleman)、DSA(Digital Signature Algorithm,数字签名算法)和ECDSA(Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法)等。
非对称密钥算法广泛应用于各种应用中,例如SSH(Secure Shell,安全外壳)、SSL(Secure Sockets Layer,安全套接字层)、PKI(Public Key Infrastructure,公钥基础设施)。为配合具体应用使用非对称密钥算法进行加/解密和数字签名,设备统一对自身及对端的密钥对进行了管理。
在本地设备上,可以生成RSA、DSA、ECDSA三种类型的本地非对称密钥。
在本地设备上,可以对本地非对称密钥对进行查看和导出操作,具体包括:
· 直接查看非对称密钥对中的公钥信息。记录下该主机公钥数据后,在对端主机上,可以通过文本粘贴的方式将记录的本地主机公钥导入到对端设备上。
· 按照指定格式将本地主机公钥导出到指定文件。将该文件上传到对端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到对端设备上。
· 按照指定格式将本地主机公钥导出到页面上显示。通过拷贝粘贴等方式将显示的主机公钥保存到文件中,并将该文件上传到对端主机上后,可以通过从公钥文件中导入的方式将本地主机公钥保存到对端设备上。
在如下几种情况下,建议用户销毁旧的非对称密钥对,并生成新的密钥对:
· 本地设备的私钥泄露。这种情况下,非法用户可能会冒充本地设备访问网络。
· 保存密钥对的存储设备出现故障,导致设备上没有公钥对应的私钥,无法再利用旧的非对称密钥对进行加/解密和数字签名。
· 本地证书到达有效期,需要删除对应的本地密钥对。
在本地设备上,可以对对端非对称密钥对的公钥进行导入、查看和删除操作。在某些应用(如SSH)中,为了实现本地设备对对端主机的身份验证,需要在本地设备上保存对端主机的RSA或DSA主机公钥。保存对端主机公钥是通过导入对端主机公钥的操作实现的。
导入对端主机公钥的方式有如下两种:
· 从公钥文件中获取:事先将对端主机的公钥文件保存到本地设备(例如,通过FTP或TFTP,以二进制方式将对端主机的公钥文件保存到本地设备),本地设备从该公钥文件中导入对端主机的公钥。导入公钥时,系统会自动将对端主机的公钥文件转换为PKCS(Public Key Cryptography Standards,公共密钥加密标准)编码形式。
· 文本输入:事先在对端主机上查看其公钥信息,并记录对端主机公钥的内容。在本地设备上采用手工输入的方式将对端主机的公钥数据导入到本地。手工输入对端主机公钥时,可以逐个字符输入,也可以一次拷贝粘贴多个字符。
PKI(Public Key Infrastructure,公钥基础设施)是一个利用公钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。
PKI系统以数字证书的形式分发和使用公钥。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务)提供各种安全服务。目前,设备的PKI系统可为安全协议SSL(Secure Sockets Layer,安全套接字层)提供证书管理机制。
数字证书是经CA(Certificate Authority,证书颁发机构)签名的、包含公钥及相关的用户身份信息的文件,它建立了用户身份信息与用户公钥的关联。CA对数字证书的签名保证了证书是可信任的。数字证书的格式遵循ITU-T X.509国际标准,目前最常用的为X.509 V3标准。数字证书中包含多个字段,包括证书签发者的名称、被签发者的名称(或者称为主题)、公钥信息、CA对证书的数字签名、证书的有效期等。
本文涉及两类证书:CA证书、本地证书。
· CA证书是CA持有的证书。若PKI系统中存在多个CA,则会形成一个CA层次结构,最上层的CA是根CA,它持有一个自签名的证书(即根CA对自己的证书签名),下一级CA证书分别由上一级CA签发。这样,从根CA开始逐级签发的证书就会形成多个可信任的链状结构,每一条路径称为一个证书链。
· 本地证书是本设备持有的证书,由CA签发。
由于用户名称的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书吊销,即废除公钥及相关的用户身份信息的绑定关系。在PKI系统中,可以通过发布CRL(Certificate Revocation List,证书吊销列表)的方式来公开证书的吊销信息。当一个或若干个证书被吊销以后,CA签发CRL来声明这些证书是无效的,CRL中会列出所有被吊销的证书的序列号。因此,CRL提供了一种检验证书有效性的方式。
一个PKI体系由终端PKI实体、CA、RA和证书/CRL发布点四类实体共同组成。
PKI实体是PKI服务的最终使用者,可以是个人、组织、设备或计算机中运行的进程。一份证书是一个公钥与一个实体身份信息的绑定。PKI实体的参数是PKI实体的身份信息,CA根据PKI实体提供的身份信息来唯一标识证书申请者。
一个有效的PKI实体参数中必须至少包括以下参数之一:
(1) DN(Distinguished Name,识别名),包含以下参数:
· 实体通用名。对于DN参数,实体的通用名必须配置。
· 实体所属国家代码,用标准的两字符代码表示。例如,“CN”是中国的合法国家代码,“US”是美国的合法国家代码
· 实体所在地理区域名称
· 实体所属组织名称
· 实体所属组织部门名称
· 实体所属州省
(2) FQDN(Fully Qualified Domain Name,完全合格域名),是PKI实体在网络中的唯一标识
(3) IP地址
CA是一个用于签发并管理数字证书的可信PKI实体。其作用包括:签发证书、规定证书的有效期和发布CRL。
RA是一个受CA委托来完成PKI实体注册的机构,它接收用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书,用于减轻CA的负担。建议在部署PKI系统时,RA与CA安装在不同的设备上,减少CA与外界的直接交互,以保护CA的私钥。
证书/CRL发布点用于对用户证书和CRL进行存储和管理,并提供查询功能。通常,证书/CRL发布点位于一个目录服务器上,该服务器可以采用LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议、HTTP等协议工作。其中,较为常用的是LDAP协议,它提供了一种访问发布点的方式。LDAP服务器负责将CA/RA服务器传输过来的数字证书或CRL进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书或者CRL。
设备基于PKI域管理证书,并为相关应用(比如SSL)基于PKI域提供证书服务。PKI域是一个本地概念,一个PKI域中包括了证书申请操作相关的信息,例如PKI实体名称、证书申请使用的密钥对、证书的扩展用途等。
导入证书是指,将PKI实体有关的CA证书、本地证书导入到PKI域中保存。如果设备所处的环境中没有证书的发布点、CA服务器不支持通过SCEP协议与设备交互、或者证书对应的密钥对由CA服务器生成,则可采用此方式获取证书。
证书导入之前:
· 需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中。
· 必须存在签发本地证书的CA证书链才能成功导入本地证书,这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书中携带的。因此,若设备和本地证书中都没有CA证书链,则需要首先执行导入CA证书的操作。
导入本地证书时:
· 如果用户要导入的本地证书中含有CA证书链,则可以通过导入本地证书的操作一次性将CA证书和本地证书均导入到设备。
· 如果要导入的本地证书中不含有CA证书链,但签发此本地证书的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书。
· 如果要导入的证书文件中包含了根证书,则需要确认该根证书的指纹信息是否与用户的预期一致。用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息。
· 如果导入的本地证书中包含了密钥对,则需要输入密钥对口令。用户需要联系CA服务器管理员取得口令的内容。导入过程中,系统首先根据查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对。若该PKI域中没有任何密钥对的配置或已有的密钥对的配置与证书中的密钥对不一致,则设备会根据证书中的密钥对的算法及证书的密钥用途,重新生成相应的密钥对配置。
导入CA证书时:
· 如果要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备。
· 如果要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备。
PKI域中已存在的CA证书、本地证书可以导出到文件中保存,导出的证书可以用于证书备份或供其它设备使用。
请求证书的过程就是PKI实体向CA自我介绍的过程。PKI实体向CA提供身份信息,以及相应的公钥,这些信息将成为颁发给该PKI实体证书的主要组成部分。设备可以为PKI实体生成证书申请信息,之后由用户通过带外方式(如电话、电子邮件等)将该信息发送给CA进行证书申请。
在请求本地证书之前,必须保证当前的PKI域中已经存在CA证书且指定了证书请求时使用的密钥对。
· PKI域中的CA证书用来验证获取到的本地证书的真实性和合法性。
· PKI域中指定的密钥对用于为PKI实体申请本地证书,其中的公钥和其他信息交由CA进行签名,从而产生本地证书。
生成证书申请时,如果本地不存在PKI域中所指定的密钥对,则系统会根据PKI域中指定的名字、算法和长度自动生成对应的密钥对。
通过应用证书访问控制策略,可以对安全应用中的用户访问权限进行进一步的控制,保证了与之通信的服务器端的安全性。例如,在HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)应用中,HTTPS服务器可以通过引用证书访问控制策略,根据自身的安全需要对客户端的证书合法性进行检测。
一个证书访问控制策略中可以定义多个访问控制规则,每一个访问控制规则都是一个动作与一个证书属性组的关联:
· 动作:表示与该规则匹配的证书是否有效。“允许”表示证书有效;“拒绝”表示证书无效。
· 证书属性组:一系列属性规则的集合,这些属性规则是对证书的颁发者名、主题名以及备用主题名进行过滤的匹配条件。
· 如果一个证书中的相应属性能够满足一条访问控制规则所关联的证书属性组中所有属性规则的要求,则认为该证书和该规则匹配。
· 如果访问控制规则关联的证书属性组不存在,或者该证书属性组没有配置任何属性,则认为所有证书都能够和该规则相匹配。
· 如果一个证书访问控制策略中有多个规则,则按照规则编号从小到大的顺序遍历所有规则,一旦证书与某一个规则匹配,则立即结束检测,不再继续匹配其它规则。
· 若遍历完所有规则后,证书没有与任何规则匹配,则该证书将因不能通过访问控制策略的检测而被认为无效。
· 若安全应用(如HTTPS)引用的证书访问控制策略不存在,则认为该应用中被检测的证书有效。
一个证书属性组中可以定义多个属性规则,每一个属性规则表示了一个证书属性的匹配条件,该匹配条件由属性、操作符、属性域、属性值组成。
不同类型的证书属性域与操作关键字的组合代表了不同的匹配条件,具体如下表所示:
|
操作符 |
DN属性域 |
FQDN//IP属性域 |
|
包含 |
DN中包含指定的属性值 |
任意一个FQDN/IP中包含了指定的属性值 |
|
不包含 |
DN中不包含指定的属性值 |
所有FQDN/IP中均不包含指定的属性值 |
|
等于 |
DN等于指定的属性值 |
任意一个FQDN/IP等于指定的属性值 |
|
不等于 |
DN不等于指定的属性值 |
所有FQDN/IP均不等于指定的属性值 |
证书属性与属性规则的匹配原则:
· 如果证书的相应属性中包含了属性规则里指定的属性域,且满足属性规则中定义的匹配条件,则认为该属性与属性规则相匹配。只有证书中的相应属性与某属性组中的所有属性规则都匹配,才认为该证书与此属性组匹配。
· 如果证书中的某属性中没有包含属性规则中指定的属性域,或者不满足属性规则中的匹配条件,则认为该证书与此属性组不匹配。
QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。
类用来定义一系列的规则来对报文进行分类。
流行为用来定义针对报文所做的QoS动作。
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。
QoS策略支持以下应用方式:
· 基于接口应用QoS策略:QoS策略对通过接口接收或发送的流量生效。接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文、RIP、BGP、LDP、RSVP、SSH等。
· 基于VLAN应用QoS策略:QoS策略对通过同一个VLAN内所有接口接收或发送的流量生效。基于VLAN应用的QoS策略不能应用在动态VLAN上,例如GVRP协议创建的VLAN。
· 基于全局应用QoS策略:QoS策略对所有流量生效。
拥塞是指当前供给资源相对于正常转发处理需要资源的不足,从而导致服务质量下降的一种现象。在分组交换以及多用户业务并存的复杂环境下,拥塞又是不可避免的,因此必须采用适当的方法来解决拥塞,通常采用队列的方式完成拥塞管理。下面是三种常用的队列:SP队列,WRR队列和WFQ队列。
图7-1 SP队列示意图
SP队列是针对关键业务类型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。优先队列将端口的8个输出队列分成8类,依次为7、6、5、4、3、2、1、0队列,它们的优先级依次降低。
在队列调度时,SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是:拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文将一直得不到服务。
图7-2 WRR队列示意图
WRR队列在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。以端口有8个输出队列为例,WRR可为每个队列配置一个加权值(依次为w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个100Mbps的端口,配置它的WRR队列的加权值为50、50、30、30、10、10、10、10(依次对应w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队列至少获得5Mbps的带宽,解决了采用SP调度时低优先级队列中的报文可能长时间得不到服务的问题。
WRR队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
WRR队列分为:
· 基本WRR队列:基本WRR队列包含多个队列,用户可以定制各个队列的权重,WRR按用户设定的参数进行加权轮询调度。
· 分组WRR队列:所有队列全部采用WRR调度,用户可以根据需要将输出队列划分为WRR优先级队列组1和WRR优先级队列组2。进行队列调度时,设备首先在优先级队列组1中进行轮询调度;优先级队列组1中没有报文发送时,设备才在优先级队列组2中进行轮询调度。
在分组WRR队列中,也可以配置队列加入SP分组,采用严格优先级调度算法。调度时先调度SP组,然后调度其他WRR优先组。
目前设备仅支持分组WRR队列,且分组WRR队列的输出队列仅存在于优先级队列组1中。
图7-3 WFQ队列示意图
WFQ能够按流的“会话”信息(协议类型、源和目的TCP或UDP端口号、源和目的IP地址、ToS域中的优先级位等)自动进行流分类,并且尽可能多地提供队列,以将每个流均匀地放入不同队列中,从而在总体上均衡各个流的延迟。在出队的时候,WFQ按流的优先级来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。
例如:接口中当前共有5个流,它们的优先级分别为0、1、2、3、4,则带宽总配额为所有(流的优先级+1)的和,即1+2+3+4+5=15。每个流所占带宽比例为:(自己的优先级数+1)/(所有(流的优先级+1)的和)。即每个流可得的带宽分别为:1/15,2/15,3/15,4/15,5/15。
WFQ和WRR队列调度算法类似,也可以分为基本WFQ队列和分组WFQ队列。在分组WFQ队列中,也可以配置队列加入SP分组,采用严格优先级调度算法。调度时先调度SP组,然后调度其他WFQ优先组。两者差异如下:WFQ支持带宽保证,可以保证端口流量拥塞时能够获得的最小队列带宽。
队列调度策略中的队列支持三种调度方式:SP、WRR、WFQ。在一个队列调度策略中支持SP和WRR、SP和WFQ的混合配置。混合配置时,SP、WRR分组、WFQ分组之间是严格优先级调度,调度优先级按队列号从大到小依次降低,WRR和WFQ分组内部按权重进行调度。以SP和WRR分组混合配置为例,调度关系如图所示。
图7-4 SP和WRR混合配置图
· 队列7(即图中的Q7,下同)优先级最高,该队列的报文优先发送。
· 队列6优先级次之,队列7为空时发送本队列的报文。
· 队列3、4、5之间按照权重轮询调度,在队列7、6为空时调度WRR分组1。
· 队列1、2之间按照权重轮询调度,在队列7、6、5、4、3为空时调度WRR分组2。
队列0优先级最低,其它队列的报文全部发送完毕后调度本队列。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。
如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。
按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。
根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。
在配置接口上的优先级模式时,用户可以选择下列信任模式:
· Untrust:不信任任何优先级。
· Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。
· DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
设备中提供了三张优先级映射表,分别802.1p优先级到本地优先级映射表、DSCP到802.1p优先级映射表和DSCP到DSCP映射表。如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。
限速是采用令牌桶进行流量控制。当令牌桶中存有令牌时,可以允许报文的突发性传输;当令牌桶中没有令牌时,报文必须等到桶中生成了新的令牌后才可以继续发送。这就限制了报文的流量不能大于令牌生成的速度,达到了限制流量,同时允许突发流量通过的目的。
评估流量时令牌桶的参数包括:
· 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常配置为CIR。
· 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常配置为CBS,突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走满足报文的转发的令牌;否则说明已经耗费太多令牌,流量超标了。
假如在设备的某个接口上配置了限速,所有经由该接口发送的报文首先要经过限速的令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以发送;否则,报文将进入QoS队列进行拥塞管理。这样,就可以对该接口的报文流量进行控制。
包过滤是指采用ACL规则对接口、VLAN或全局入方向的报文进行过滤,即对匹配上ACL规则的报文按照其中定义的匹配动作允许或拒绝通过,对未匹配上任何ACL规则的报文则按照指定的缺省动作进行处理。
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
设备上配置了IP Source Guard功能的接口接收到用户报文后,首先查找与该接口绑定的表项(简称为绑定表项),如果报文的信息与某绑定表项匹配,则转发该报文;若匹配失败,则丢弃该报文。IP Source Guard可以根据报文的源IP地址、源MAC地址和VLAN标签对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成如下几类绑定表项:
· IP绑定表项
· MAC绑定表项
· IP+MAC绑定表项
· IP+VLAN绑定表项
· MAC+VLAN绑定表项
· IP+MAC+VLAN绑定表项
静态配置IPv4接口绑定表项适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性。这类表项只在当前接口上生效。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。
802.1X系统中包括三个实体:。
· 客户端:请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端:局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口,并通过与认证服务器的交互来对所连接的客户端进行认证。
· 认证服务器端:用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。
在接入设备上,802.1X认证方法有三种方式:
· CHAP或PAP认证方法。在这种方式下,设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP或CHAP方法进行认证。CHAP以密文的方式传送密码,而PAP是以明文的方式传送密码。
· EAP认证方法。在这种方式下,设备端对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。
端口支持以下两种接入控制方式:
· 基于端口认证:只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 基于MAC认证:该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。
端口支持以下三种授权状态:
· 强制授权:表示端口始终处于授权状态,允许用户不经认证即可访问网络资源。
· 强制非授权:表示端口始终处于非授权状态。设备端不为通过该端口接入的客户端提供认证服务。
· 自动识别:表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户通过认证,则端口切换到授权状态,允许用户访问网络资源。
该功能开启后,设备会根据周期性重认证时间间隔定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。
该功能开启后,设备会根据周期发送握手请求报文时间间隔定期向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次没有收到客户端的响应报文,则会将用户置为下线状态。
在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:
· 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
· 组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。
802.1X Auth-Fail VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
在接入控制方式为基于端口认证的端口上配置Auth-Fail VLAN后,若该端口上有用户认证失败,则该端口会离开当前的VLAN被加入到Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。
当加入Auth-Fail VLAN的端口上有用户发起认证并失败,则该端口将会仍然处于Auth-Fail VLAN内;如果认证成功,则该端口会离开Auth-Fail VLAN,之后端口加入VLAN情况与认证服务器是否下发授权VLAN有关,具体如下:
若认证服务器下发了授权VLAN,则端口加入下发的授权VLAN中。用户下线后,端口会离开下发的授权VLAN,若端口上配置了Guest VLAN,则加入Guest VLAN,否则加入缺省VLAN。
若认证服务器未下发授权VLAN,则端口回到缺省VLAN中。用户下线后,端口仍在缺省VLAN中。
在接入控制方式为基于MAC认证的端口上配置Auth-Fail VLAN后,该端口上认证失败的用户将被授权访问Auth-Fail VLAN里的资源。
当Auth-Fail VLAN中的用户再次发起认证时,如果认证成功,则设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的授权VLAN中,或使其回到端口的缺省VLAN中;如果认证失败,则该用户仍然留在该Auth-Fail VLAN中。
802.1X Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则该端口会被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该端口仍然处于Guest VLAN内。
当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。
在接入控制方式为基于端口认证的端口上配置Guest VLAN后,若全局和端口上都使能了802.1X,端口授权状态为auto,且端口处于激活状态,则该端口就被立即加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。
在接入控制方式为基于MAC认证的端口上配置Guest VLAN后,端口上未认证的用户将被授权访问Guest VLAN里的资源。
802.1X Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源。目前,只采用RADIUS认证方式的情况下,在所有RADIUS认证服务器都不可达后,端口才会加入Critical VLAN。若采用了其它认证方式,则端口不会加入Critical VLAN。
根据端口的接入控制方式不同,Critical VLAN的生效情况有所不同。
在接入控制方式为基于端口认证的端口上配置Critical VLAN后,若该端口上有用户认证时,所有认证服务器都不可达,则该端口会被加入到Critical VLAN,之后所有在该端口接入的用户将被授权访问Critical VLAN里的资源。在用户进行重认证时,若所有认证服务器都不可达,且端口指定在此情况下强制用户下线,则该端口也会被加入到Critical VLAN。
已经加入Critical VLAN的端口上有用户发起认证时,如果所有认证服务器不可达,则端口仍然在Critical VLAN内;如果服务器可达且认证失败,且端口配置了Auth-Fail VLAN,则该端口将会加入Auth-Fail VLAN,否则回到端口的缺省VLAN中;如果服务器可达且认证成功,则该端口加入VLAN的情况与认证服务器是否下发VLAN有关,具体如下:
若认证服务器下发了授权VLAN,则端口加入下发的授权VLAN中。用户下线后,端口会离开下发的授权VLAN,若端口上配置了Guest VLAN,则加入Guest VLAN,否则加入缺省VLAN。
若认证服务器未下发授权VLAN,则端口回缺省VLAN中。用户下线后,端口仍在缺省VLAN中。
在接入控制方式为基于MAC认证的端口上配置Critical VLAN后,若该端口上有用户认证时,所有认证服务器都不可达,则端口将允许Critical VLAN通过,用户将被授权访问Critical VLAN里的资源。
当Critical VLAN中的用户再次发起认证时,如果所有认证服务器不可达,则用户仍然在Critical VLAN中;如果服务器可达且认证失败,且端口配置了Auth-Fail VLAN,则该用户将会加入Auth-Fail VLAN,否则回到端口的缺省VLAN中;如果服务器可达且认证成功,则设备会根据认证服务器是否下发授权VLAN决定将该用户加入下发的授权VLAN中,或使其回到端口的缺省VLAN中。
在端口上指定强制认证域为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用指定的认证域来进行认证、授权和计费,从而防止用户通过恶意假冒其它域账号从本端口接入网络。另外,管理员也可以通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性。
EAD(Endpoint Admission Defense,端点准入防御)作为一个网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强了对用户的集中管理,提升了网络的整体防御能力。但是在实际的应用过程中EAD客户端的部署工作量很大,例如,需要网络管理员手动为每一个EAD客户端下载、升级客户端软件,这在EAD客户端数目较多的情况下给管理员带来了操作上的不便。
802.1X认证支持的EAD快速部署功能就可以解决以上问题,它允许未通过认证的802.1X用户访问一个指定的IP地址段(称为Free IP),并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它即不需要用户安装任何客户端软件,也不需要用户手动输入用户名或密码。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。
该列表显示了MAC地址被设置为静默MAC的用户信息。
当用户认证失败时,该用户的MAC地址就会被设置为静默MAC。在静默时间内(可通过静默时间间隔设置),来自该列表中的静默MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
· MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码。
· 固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的认证域,可以通过以下两种配置实现:
· 在系统视图下指定一个认证域,该认证域对所有开启了MAC地址认证的端口生效。
· 在接口视图下指定该端口的认证域,不同的端口可以指定不同的认证域。
端口上接入的MAC地址认证用户将按照如下顺序选择认证域:端口上指定的认证域-->系统视图下指定的认证域-->系统缺省的认证域。
用来设置用户空闲超时的时间间隔。若设备在一个下线检测时间间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果在服务器超时时间间隔内设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
MAC地址认证的Guest VLAN功能允许用户在认证失败的情况下,访问某一特定VLAN中的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时,该端口仍然处于Guest VLAN内;认证成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
· 若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
MAC地址认证的Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源。目前,只采用RADIUS认证方式的情况下,在所有RADIUS认证服务器都不可达后,端口才会加入Critical VLAN。若采用了其它认证方式,则端口不会加入Critical VLAN。
端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,就可以开启端口的MAC地址认证延时功能。
开启端口的MAC地址认证延时功能之后,端口就不会在收到用户报文时立即触发MAC地址认证,而是会等待一定的延迟时间,若在此期间该用户一直未进行802.1X认证或未成功通过802.1X认证,则延迟时间超时后端口会对之前收到的用户报文进行MAC地址认证。
需要注意的是,开启了MAC地址认证延迟功能的接口上不建议同时配置端口安全的模式为macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt,否则MAC地址认证延迟功能不生效。
端口工作在单VLAN模式下时,在用户已上线,且没有被下发授权VLAN情况下,如果此用户在属于不同VLAN的相同端口再次接入,则,设备将让原用户下线,使得该用户能够在新的VLAN内重新开始认证。如果已上线用户被下发了授权VLAN,则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线。
端口工作在多VLAN模式下时,如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入,设备将能够允许用户的流量在新的VLAN内通过,且允许该用户的报文无需重新认证而在多个VLAN中转发。
对于接入IP电话类用户的端口,指定端口工作在MAC地址认证的多VLAN模式或为IP电话类用户授权VLAN,可避免IP电话终端的报文所携带的VLAN tag发生变化后,因用户流量需要重新认证带来语音报文传输质量受干扰的问题。
是否对MAC地址在线用户进行周期性重认证由认证服务器决定。重认证的目的是检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。认证服务器通过下发RADIUS属性来指定用户会话超时时长以及会话中止的动作类型,它们共同决定了如何对用户进行重认证。
· 当会话中止的动作类型为要求用户进行重认证时,端口会在用户会话超时时长到达后对该用户进行重认证;
· 当会话中止的动作类型为要求用户下线时,端口会在用户会话超时时长到达强制该用户下线;
· 当认证服务器未下发用户会话超时时长时,设备不会对用户进行重认证。
认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。
端口对用户进行重认证过程中,重认证服务器不可达时端口上的MAC地址认证用户状态由端口上选择的处理方式决定。在网络连通状况短时间内不良的情况下,合法用户是否会因为服务器不可达而被强制下线,需要结合实际的网络状态来调整。若配置为保持用户在线,当服务器在短时间内恢复可达,则可以避免用户频繁上下线;若配置为强制下线,当服务器可达性在短时间内不可恢复,则可避免用户在线状态长时间与实际不符。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· MAC地址未被端口学习到的用户报文。
· 未通过认证的用户报文。
如果打开授权失败用户下线功能,当下发的授权ACL、User Profile不存在或者ACL、User Profile下发失败时,将强制用户下线。
如果没有打开授权失败用户下线功能,当下发的授权ACL、User Profile不存在或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Porfile不生效。
当安全MAC地址的保持时间达到设置的安全MAC地址老化时长时,该安全MAC地址将被从安全MAC地址列表中删除。
安全MAC地址的老化时间间隔对所有端口学习到的安全MAC地址以及手工添加的地址均有效。当取值为0时,表示安全MAC地址不会被老化。
当入侵保护模式设置为暂时关闭端口模式,且端口收到非法报文时,系统暂时关闭端口的时长。
配置的OUI值只在端口安全模式为userLoginWithOUI时生效。在userLoginWithOUI模式下,端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符。
端口安全模式可大致分为以下两大类:
· 控制MAC学习类:无需认证,包括端口自动学习MAC地址和禁止MAC地址学习两种模式。
· 认证类:利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。
配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所采用的安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表8-1。
|
工作机制 |
NTK/入侵检测 |
|||
|
缺省情况 |
noRestrictions |
表示端口的安全功能关闭,端口处于无限制状态 |
无效 |
|
|
端口控制MAC地址学习 |
autoLearn |
端口可通过手工配置或自动学习MAC地址,这些地址将被添加到安全MAC地址表中,称之为安全MAC地址 当端口下的安全MAC地址数超过端口安全允许学习的最大安全MAC地址数后,端口模式会自动转变为Secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 该模式下,端口不会将自动学习到的MAC地址添加为MAC地址表中的动态MAC地址 |
可触发 |
|
|
Secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 |
|||
|
端口采用802.1X认证 |
userLogin |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
无效 |
|
|
userLoginSecure |
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
可触发 |
||
|
userLoginWithOUI |
该模式与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 此模式下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
|||
|
userLoginSecureExt |
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
|||
|
端口采用MAC地址认证 |
macAddressWithRadius |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
可触发 |
|
|
端口采用802.1X和MAC地址认证组合认证 |
macAddressOrUserLoginSecure |
端口同时处于userLoginSecure模式和macAddressWithRadius模式,且允许一个802.1X认证用户及多个MAC地址认证用户接入 此模式下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
可触发 |
|
|
macAddressElseUserLoginSecure |
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证。允许端口下一个802.1X认证用户及多个MAC地址认证用户接入 非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果000MAC地址认证失败再进行802.1X认证 |
|||
|
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
|
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
当设备检测到一个非法的用户通过端口试图访问网络时,入侵检测特性用于配置设备可能对其采取的安全措施,包括以下三种方式:
· 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。
· 永久关闭端口:表示将收到非法报文的端口永久关闭。
· 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过端口暂时关闭时长来设置。
Need To Know特性用来限制认证端口上出方向的报文转发,可支持以下三种限制方式:
· ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。
· ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。
· ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。
配置了Need To Know的端口在以上任何一种方式下都不允许目的MAC地址未知的单播报文通过。
安全MAC地址老化模式有以下两种方式:
· 固定时间老化方式,在该方式下,在安全MAC地址的老化时间到达后立即老化,不论该安全MAC地址是否还有流量产生。设备缺省采用该方式。
· 无流量老化方式,在该方式下,设备会定期检测(检测周期不可配)端口上的安全MAC地址是否有流量产生,若某安全MAC地址在配置的老化时间内没有任何流量产生,则才会被老化,否则该安全MAC地址不会被老化,并在下一个老化周期内重复该检测过程。下一个周期内若还有流量产生则继续保持该安全MAC地址的学习状态,该方式可有效避免非法用户通过仿冒合法用户MAC地址乘机在合法用户的安全MAC地址老化时间到达之后占用端口资源。
开启该功能后,指定端口上的Sticky MAC地址会立即被转换为动态类型的安全MAC地址,且将不能手工添加Sticky MAC地址。关闭该功能后,该端口上的动态类型的安全MAC地址会立即转换为Sticky MAC地址,且用户可以手工添加Sticky MAC地址。
动态类型的安全MAC地址不会被保存在配置文件中,设备重启之后会丢失。在不希望设备上保存重启之前端口上已有的Sticky MAC地址的情况下,可将其设置为动态类型的安全MAC地址。
802.1X用户或MAC地址认证用户通过本地认证或RADIUS认证时,本地设备或远程RADIUS服务器会把授权信息下发给用户。通过此功能可实现端口是否忽略这类下发的授权信息。
端口安全允许某个端口下有多个用户同时接入,但是允许的用户数不能超过规定的最大值。
配置端口允许的最大安全MAC地址数有两个作用:
· 控制端口允许接入网络的最大用户数。对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式,端口允许的最大用户数取该设置的值与相应模式下允许认证用户数的最小值;
· 控制autoLearn模式下端口能够添加的最大安全MAC地址数。
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。
Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:
· 可以不安装客户端软件,直接使用Web页面认证,使用方便。
· 可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。
· 支持多种组网型态,例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址,可跨三层认证方式可以跨网段对用户作认证。
Portal系统中包括五个实体:
· 认证客户端:用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。
· 接入设备:交换机、路由器等宽带接入设备的统称。
· Portal认证服务器:接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息。
· Portal Web服务器:负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
· AAA服务器:与接入设备进行交互,完成对用户的认证、授权和计费。
Portal认证服务器用于接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息。
在Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。
开启Portal认证服务器的可达性探测功能后,无论是否有接口上使能了Portal认证,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。
当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:
· 发送Trap信息:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。
· 发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
(1) 由Portal认证服务器周期性地(周期为Portal认证服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备。
(2) 接入设备在用户上线之后,即开启用户同步检测定时器,在收到用户同步报文后,将其中携带的用户列表信息与自己的用户列表信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal认证服务器,Portal认证服务器将删除这些用户信息;如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内,都未在该Portal认证服务器发送过来的用户同步报文中出现过,则认为Portal认证服务器上已不存在该用户,设备将强制该用户下线。
Portal Web服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
该功能用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时选择如下两个参数信息:用户的IP地址和初始访问的URL,且初始访问的URL为http://www/abc.com/welcome则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:
http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
在Portal认证的过程中,如果接入设备与Portal Web服务器的通信中断,将无法完成整个认证过程,因此必须对Portal Web服务器的可达性进行探测。
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。无论是否有接口上使能了Portal认证,开启了Portal Web服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测:接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。
· 探测参数
¡ 探测间隔:进行探测尝试的时间间隔。
¡ 探测次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
· 可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
¡ Trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。
¡ Log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
本地Portal Web服务器功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器的功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和AAA服务器。
认证客户端和内嵌本地Portal Web 服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
本地Portal Web服务器支持由用户自定义认证页面的内容,即允许用户编辑一套或多套认证页面的HTML文件,并将其压缩之后使用添加按钮将其上传到设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面)及其页面元素(认证页面需要应用的各种文件,如Logon.htm页面中的back.jpg),每个主索引页面可以引用若干页面元素。
此功能用于将设备中的一套自定义的认证页面文件设置为系统缺省的认证页面文件。从而本地Portal Web服务器可以根据不同的认证阶段向客户端推出对应的认证页面。如果没有设置缺省认证页面文件,则本地Portal Web服务器功能无法实现。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal Web服务器功能的正常使用和系统运行的稳定性。
(1) 文件名规范
主索引页面文件名不能自定义,必须使用中所列的固定文件名。
|
主索引页面 |
文件名 |
|
登录页面 |
logon.htm |
|
登录成功页面 |
logonSuccess.htm |
|
登录失败页面 |
logonFail.htm |
|
在线页面 用于提示用户已经在线 |
online.htm |
|
系统忙页面 用于提示系统忙或者该用户正在登录过程中 |
busy.htm |
|
下线成功页面 |
logoffSuccess.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。
(2) 页面请求规范
· 本地Portal Web服务器只能接受Get请求和Post请求。
· Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
· Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
(3) Post请求中的属性规范
· 认证页面中表单(Form)的编辑必须符合以下原则:
¡ 认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
¡ 用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
¡ 需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
¡ 登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
¡ 下线Post请求必须包含”PtButton”这个属性。
· 需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;”>
</form>
· 需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
(4) 页面文件压缩及保存规范
· 完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。
· 压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
· 压缩生成的Zip文件可以通过FTP或TFTP的二进制方式上传至设备,并保存在设备的根目录下。
Zip文件保存目录示例:
<Sysname> dir
Directory of flash:
0 -rw- 1405 Feb 28 2008 15:53:31 ssid2.zip
1 -rw- 1405 Feb 28 2008 15:53:20 ssid1.zip
2 -rw- 1405 Feb 28 2008 15:53:39 ssid3.zip
3 -rw- 1405 Feb 28 2008 15:53:44 ssid4.zip
2540 KB total (1319 KB free)
若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到设备指定的网站页面,则需要按照如下要求在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
· 将logon.htm文件中的Form的target值设置为“_blank”。
修改的脚本内容如下突出显示部分所示:
<form method=post action=logon.cgi target="_blank">
· logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
增加的脚本内容如下突出显示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
通过配置免认证规则可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
· 基于IP配置
免认证规则的匹配项包括IP地址、TCP/UDP端口号。
· 基于源配置
免认证规则的匹配项包括用户源MAC地址、用户源VLAN ID和用户源接口。
只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户才可以直接访问网络资源。
接口策略是指在接口下配置Portal认证的认证方式、引用的Portal Web服务器、用户认证时使用的认证域等认证信息。同时可以在接口下配置相应的扩展功能,如用户逃生功能、BAS-IP地址功能和用户探测功能等。
当接入设备探测到Portal认证服务器或者Portal Web服务器不可达时,可打开接口的网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能。
如果接口上同时开启了Portal认证服务器逃生功能和Portal Web服务器逃生功能,则当任意一个服务器不可达时,即放开接口控制,当两个服务器均恢复可达性后,再重新启动Portal认证功能。重新启动接口的Portal认证功能之后,未通过认证的用户需要通过认证之后才能访问网络资源,已通过认证的用户可继续访问网络资源。
配置此功能后,设备向Portal认证服务器上传通知类Portal协议报文时使用的源IP地址为设置的BAS-IP地址。
如果没有配置此功能,则设备向Portal认证服务器上传Portal协议报文时使用的源IP地址的选择分为一下两种情况:
· 对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IP地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。
· 对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IP地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。
IPv4探测类型为ARP请求或ICMP请求,IPv6探测类型IPv4探测类型为ARP请求或ICMP请求,IPv6探测类型为ND请求或ICMPv6请求。
ARP和ND方式的探测只适用于直接方式和二次地址分配方式的Portal认证。ICMP方式的探测适用于所有认证方式。
根据探测类型的不同,设备有以下两种探测机制:
· 当探测类型为ICMP/ICMPv6时,若设备发现在设定的闲置时间内接口上未收到某Portal用户的报文,则会向该用户以设置的探测间隔来周期性的发送探测报文。如果在指定探测次数之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
· 当探测类型为ARP/ND时,若设备发现在设定的闲置时间内接口上未收到某Portal用户的报文,则会向该用户发送ARP/ND请求报文。设备以设置的探测间隔定期检测用户ARP/ND表项是否被刷新过,如果在指定探测次数内用户ARP/ND表项被刷新过,则认为用户在线,且停止检测用户ARP/ND表项,重复这个过程,否则,强制其下线。
设备对用户的管理是基于ISP(Internet Service Provider,互联网服务提供者)域的,一个ISP域对应着一套实现AAA(Authentication、Authorization、Accounting,认证、授权、计费)的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
设备支持的认证方法包括:
· 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
· 本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
· 远端认证:认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS或TACACS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。
设备支持的授权方法包括:
· 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。
· 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
· 远端授权:授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。TACACS协议的授权和认证相分离,在认证成功后,TACACS授权信息通过授权报文进行交互。当远端服务器无效时,可配置备选授权方式完成授权。
设备支持的计费方法包括:
· 不计费:不对用户计费。
· 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
· 远端计费:计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。
每个用户都属于一个ISP域。为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,设备将用户划分为以下几个类型:
· LAN接入用户:例如802.1X认证用户。
· 登录用户:例如Telnet、FTP、终端接入用户(即从Console等接口登录的用户)。
· Portal用户。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备,因此系统中可以存在多个ISP域,其中包括一个缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。
用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X认证。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
· RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· RADIUS服务器:一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收接入设备发送的认证、授权、计费请求并进行相应的处理,然后给接入设备返回处理结果(如接受/拒绝认证请求)。
RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。
当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用RADIUS服务器进行认证、授权、计费,则作为RADIUS客户端的接入设备上需要配置相应的RADIUS服务器参数。
设备重启后,重启前的原在线用户可能会被RADIUS服务器认为仍然在线而短时间内无法再次登录。为了解决这个问题,需要开启Accounting-on功能。
开启了Accounting-on功能后,设备会在重启后主动向RADIUS服务器发送Accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。若设备发送Accounting-on报文后RADIUS服务器无响应,则会在按照一定的时间间隔尝试重发几次。分布式设备单板重启时,Accounting-on功能的实现需要和H3C IMC网管系统配合使用。
H3C的IMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。设备上开启接收session control报文的开关后,会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和H3C的IMC RADIUS服务器配合使用。
TACACS(Terminal Access Controller Access Control System,终端访问控制器控制系统协议)安全协议基于RFC 1492,提供了增强功能。该协议与RADIUS协议类似,采用客户端/服务器模式实现NAS与TACACS服务器之间的通信。
TACACS协议主要用于PPP(Point-to-Point Protocol,点对点协议)和VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到NAS设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为TACACS的客户端,将用户名和密码发给TACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作,TACACS服务器上会记录用户对设备执行过的命令。
当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用TACACS服务器进行认证、授权、计费,则作为TACACS客户端的接入设备上需要配置相应的TACACS服务器参数。
本地认证泛指由接入设备对用户进行认证、授权和计费,进行本地认证的用户的信息(包括用户名、密码和各种属性)配置在接入设备上。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上添加相应的用户条目。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。
为了简化用户的配置,增强用户的可管理性,引入了用户组的概念。用户组是一系列公共用户属性的集合,某些需要集中管理的公共属性可在用户组中统一配置和管理,属于该用户组的所有用户都可以继承这些属性。
设备产生的日志信息按严重性可划分为如表9-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
系统可以向日志缓冲区(logbuffer)、日志主机(loghost)等方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。
为了保证系统时间的准确性,设备从NTP服务器获取系统时间,并对NTP服务器的身份进行验证。
图10-1 系统时间配置组网图
(1) 配置NTP客户端Device
Device的系统时间在“设备 > 维护 > 系统设置”页面配置,配置步骤为:
· 在日期和时间页签下选择自动同步网络日期和时间,采用的协议为网络时间协议(NTP)。
· 勾选对时钟源进行身份验证。
· 指定身份验证密钥ID为100,验证模式为MD5,密钥值为aabbcc。
· 指定NTP服务器(即时钟源)的IP地址为10.1.1.2,并工作在服务器模式,添加身份验证密钥ID100。
(2) 配置NTP服务器
在NTP服务器上开启NTP服务,并配置身份验证功能。具体配置方法以采用的NTP服务器为准,配置过程略。
完成上述配置后,可以看到系统时钟处于同步状态,且设备的系统时间与NTP服务器上的系统时间保持一致。
在Switch上配置一个管理员帐户,用于用户采用HTTP方式登录Switch,具体要求如下:
· 用户使用管理员帐户登录时,Switch对其进行本地认证;
· 管理员帐户名称为webuser,密码为12345;
· 通过认证之后,用户被授予角色network-admin。
图10-2 管理员配置组网图
· 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 2。进入VLAN 2的详情页面,将与管理员PC相连的接口加入VLAN 2的Tagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.20/24。
(1) 配置管理员账户
管理员帐户在“设备 > 维护 > 管理员”页面配置,配置步骤为:
· 添加管理员。
· 配置用户名为webuser,密码为12345。
· 选择角色为network-admin。
· 指定可用的服务为HTTP。
(2) 开启HTTP和HTTPS服务
HTTP服务在“网络 > 服务 > HTTP/HTTPS”页面配置,配置步骤为:
· 开启HTTP登录服务。
· 开启HTTPS登录服务。
(1) 完成上述配置后,在管理员页面上可以看到已成功添加的管理员帐户。
(2) 用户在PC的Web浏览器地址栏中输入http://192.168.1.20并回车后,浏览器将显示Web登录页面。用户在该登录页面中输入管理员帐户名称、密码以及验证码后,即可成功登录设备的Web页面进行相关配置。
为了增加接入接口的数量,简化网络拓扑,使用Switch A和Switch B上的XGE1/0/15和XGE1/0/16组成IRF。
图10-3 IRF配置组网图
(1) Switch A的配置
# 在“设备 > 虚拟化 > IRF”页面配置IRF,配置步骤为:
· 基本配置:进入成员设备1的详情页面,将设备的新成员编号配置为2;为了让该设备当选为Master,将优先级配置为10。重启设备使新成员编号生效。
· 绑定IRF端口:进入IRF接口1的详情页面,将IRF接口1和物理接口XGE2/0/15和XGE2/0/16绑定。
# 激活IRF端口配置,激活时选择保存当前配置。
修改成员编号后,请先重启设备使新成员编号生效,再将IRF物理端口与IRF端口绑定。反之,绑定IRF端口的配置会丢失,无法形成IRF。
(2) Switch B的配置
# 在“设备 > 虚拟化 > IRF”页面配置IRF,配置步骤为:
· 基本配置:进入成员设备1的详情页面,将设备的新成员编号配置为3。重启设备使新成员编号生效。
· 绑定IRF端口:进入IRF接口2的详情页面,将IRF接口2和物理接口XGE3/0/15和XGE3/0/16绑定。
# 激活IRF端口配置,激活时选择保存当前配置。
# 将Switch A的接口XGE2/0/15和XGE2/0/16和Switch B的接口XGE3/0/15和XGE3/0/16相连。
相连后,Switch B会自动重启,和Switch A组成IRF。
登录Switch A的Web页面,在Switch A的“设备 > 虚拟化 > IRF”页面查看拓扑信息,可以看到:
· IRF中有成员设备2(Switch A)和成员设备3(Switch B),并互相形成邻居。
· IRF接口处于连接状态。
· Switch A与Switch B通过各自的二层以太网接口Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/3相互连接。
· 在Switch A和Switch B上分别配置二层静态链路聚合组,以提高链路的可靠性。
图10-4 以太网链路聚合配置组网图
(1) 配置以太网链路聚合
以太网链路聚合在“网络 > 接口 > 链路聚合”页面配置,配置步骤为:
· 在Switch A上添加二层聚合组10,指定聚合模式为静态聚合,将接口Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/3加入到该聚合组中。
· Switch B配置与Switch A相同。
(2) 配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
· 在Switch A上创建VLAN 10。进入VLAN 10的详情页面,将与Host A相连的接口Ten-GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,将接口Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
· Switch B配置与Switch A相同。
完成上述配置后,在链路聚合页面中可以看到Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/3已经加入到静态聚合组10。Host A能够Ping通Host B。Switch A与Switch B之间的一条链路故障后,Host A仍然能够Ping通Host B。
小区用户Host A、Host B、Host C分别与Switch的端口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3相连,Switch通过Ten-GigabitEthernet1/0/4端口与外部网络相连。现需要实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图10-5 端口隔离配置组网图
端口隔离在“网络 > 接口 > 端口隔离”页面配置,配置步骤为:
· 创建隔离组2。
· 进入隔离组2的详情页面,配置端口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3加入隔离组2的接口列表。
完成上述配置后,Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3实现二层隔离,Host A、Host B和Host C彼此之间不能ping通。
· Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
· 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
图10-6 VLAN配置组网图
(1) 配置Switch A
进入Switch A的“网络 > 链路 > VLAN”页面,进行如下配置:
· 在Switch A上创建VLAN 100和VLAN 200。
· 进入VLAN 100的详情页面,配置端口Ten-GigabitEthernet1/0/1加入VLAN 100的Untagged端口列表(Host A不识别VLAN Tag);配置端口Ten-GigabitEthernet1/0/3加入VLAN 100的Tagged端口列表(Switch B需判断报文所属VLAN)。
· 进入VLAN 200的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 200的Untagged端口列表(Host B不识别VLAN Tag);配置端口Ten-GigabitEthernet1/0/3加入VLAN 200的Tagged端口列表(Switch B需判断报文所属VLAN)。
(2) 配置Switch B
Switch B上进行与Switch A相同的VLAN配置,配置过程略。
完成上述配置后,Host A和Host C能够互相ping通,但是均不能ping通Host B和Host D。Host B和Host D能够互相ping通,但是均不能ping通Host A和Host C。
· 现有一台用户主机Host A,它的MAC地址为000f-e235-dc71,属于VLAN 1,连接Switch的端口Ten-GigabitEthernet1/0/1。为防止假冒身份的非法用户骗取数据,在Switch的MAC地址表中为该用户主机添加一条静态表项。
· 另有一台用户主机Host B,它的MAC地址为000f-e235-abcd,属于VLAN 1。由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在Switch上添加一条黑洞MAC地址表项,使该用户主机接收不到报文。
· 配置Switch的动态MAC地址表项老化时间为500秒。
图10-7 MAC地址配置组网图
MAC地址在“网络 > 链路 > MAC”页面配置,配置步骤为:
· 增加一条静态MAC地址表项,MAC地址为000f-e235-dc71,出接口为Ten-GigabitEthernet1/0/1,且该接口属于VLAN 1。
· 增加一条黑洞MAC地址表项,MAC地址为000f-e235-abcd,属于VLAN 1。
· 进入配置页面,配置动态MAC地址表项的老化时间为500秒。
完成上述配置后,在MAC地址表页面中可以看到已经创建的MAC地址表项,并且Host B无法Ping通Host A。
· 网络中所有设备都属于同一个MST域。Switch A和Switch B为汇聚层设备,Switch C和Switch D为接入层设备。
· 通过配置MSTP,使不同VLAN的报文按照不同的MSTI转发:VLAN 10的报文沿MSTI 1转发,VLAN 30沿MSTI 2转发。
图10-8 MSTP配置组网图
(1) 配置VLAN
VLAN在“网络 > 链路 > VLAN”页面配置。
· Switch A上的配置:
¡ 创建VLAN 10和VLAN 30。
¡ 进入VLAN 10的详情页面,将接口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
¡ 进入VLAN 30的详情页面,将接口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/3加入VLAN 30的Tagged端口列表。
· Switch B上的配置:
¡ 创建VLAN 10和VLAN 30。
¡ 进入VLAN 10的详情页面,将接口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
¡ 进入VLAN 30的详情页面,将接口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/3加入VLAN 30的Tagged端口列表。
· Switch C上的配置:
¡ 创建VLAN 10。
¡ 进入VLAN 10的详情页面,将接口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表。
· Switch D上的配置:
¡ 创建VLAN 30。
¡ 进入VLAN 30的详情页面,将接口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2加入VLAN 30的Tagged端口列表。
(2) 配置MSTP
MSTP在“网络 > 链路 > STP”页面配置,配置步骤为:
· Switch A~Switch D上开启STP功能,设置工作模式为MSTP。
· Switch A~Switch D上,在域设置页面,配置MST域的域名为Web,将VLAN 10、30分别映射到MSTI 1、2上,并配置MSTP的修订级别为0。
完成上述配置后,在生成树状态中可以看到各个接口的端口角色、端口状态等信息。
通过在Switch A和Switch B上配置LLDP功能,实现:
· Switch A可以发现Switch B,并获取Switch B的系统及配置等信息。
· Switch B不可以发现Switch A。
图10-9 LLDP配置组网图
LLDP在“网络 > 链路 > LLDP”页面配置。两台设备上的配置分别为:
· 在Switch A上全局开启LLDP功能。进入接口状态页面,在接口Ten-GigabitEthernet1/0/1上开启LLDP功能。在高级设置的接口设置页面,开启接口Ten-GigabitEthernet1/0/1的最近桥代理功能,并配置该接口的工作模式为只接收报文,使得Switch A能够发现邻居。
· 在Switch B上全局开启LLDP功能。进入接口状态页面,在接口Ten-GigabitEthernet1/0/1上开启LLDP功能。在高级设置的接口设置页面,开启接口Ten-GigabitEthernet1/0/1的最近桥代理功能,并配置该接口的工作模式为只发送报文,使得Switch B不能够发现邻居。
完成上述配置后,在Switch A的LLDP邻居页面中可以看到Switch B的信息,邻居关系建立;Switch B的LLDP邻居页面中没有邻居信息。
Switch B通过以太网端口Ten-GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口Ten-GigabitEthernet1/0/3连接到非法DHCP服务器,通过Ten-GigabitEthernet1/0/2连接到DHCP客户端。要求:
· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息,并将绑定关系保存在FTP服务器上的文件中。
图10-10 DHCP Snooping配置组网图
(1) 配置DHCP服务器Switch A(具体配置过程略)
(2) 配置FTP服务器
开启FTP服务,配置登录名为User,登录密码为Password。(具体配置过程略)
(3) 配置Switch B
DHCP Snooping功能在“网络 > 链路 > DHCP Snooping”页面配置,配置步骤为:
· 开启DHCP Snooping功能。
· 配置连接合法DHCP服务器的接口Ten-GigabitEthernet1/0/1为信任接口。
· 在连接DHCP客户端的接口Ten-GigabitEthernet1/0/2上开启表项记录功能。
· 在高级设置页面,配置DHCP Snooping设备的表项备份功能:将DHCP Snooping表项备份到远端服务器,URL地址为ftp://10.1.1.1/database.dhcp,指定访问远端服务器时使用的用户名为User,密码为Password。该URL地址表示远端服务器为FTP服务器、地址为10.1.1.1、备份文件名称为database.dhcp。
完成上述配置后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。在DHCP Snooping上可以查看到记录的DHCP Snooping表项,同时FTP服务器上的文件database.dhcp中也保存了对应的DHCP Snooping表项信息。
Switch通过下行口连接主机,通过接口Ten-GigabitEthernet1/0/1连接Device。接口Ten-GigabitEthernet1/0/1属于VLAN 10,IP地址为192.168.1.2/24。Device接口的IP地址为192.168.1.1/24,MAC地址为10e0-fc01-0001。
为了增加Switch和Device通信的安全性,可以在Switch上为Device配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址对应关系。
图10-11 添加静态ARP表项配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口Ten-GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的IP地址为192.168.1.2/24。
(2) 配置ARP表项
ARP在Switch的“网络 > IP > ARP”页面配置,配置步骤为:
· 添加静态ARP表项。
· 配置IP地址为192.168.1.1。
· 配置MAC地址为10-e0-fc-01-00-01。
· 指定报文转发的VLAN为10,接口为Ten-GigabitEthernet1/0/1。
完成上述配置后,在Switch上可以看到新增一条静态ARP表项。
为了避免记忆复杂的IP地址,Switch希望通过便于记忆的主机名访问某一主机。在Switch上手工配置IP地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。
在本例中,Switch访问的主机IP地址为10.1.1.2,主机名为host.com。
图10-12 静态DNS配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的IP地址为10.1.1.1/24。
(2) 配置静态域名解析
进入Switch的“网络 > IP > DNS”页面,配置静态域名解析:主机名为host.com,对应的IPv4地址为10.1.1.2。
完成上述配置后,在Switch上执行ping host.com命令,可以解析到host.com对应的IP地址为10.1.1.2,并能够ping通主机。
为了避免记忆复杂的IP地址,Switch希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。
在本例中:
· 域名服务器的IP地址是2.1.1.2/16,域名服务器上存在域名host.com和IP地址3.1.1.1的对应关系。
· Switch作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址。
· Switch上配置域名后缀com,以便简化访问主机时输入的域名。例如,通过输入host即可访问域名为host.com、IP地址为3.1.1.1/16的主机Host。
图10-13 动态DNS配置组网图
(1) 配置路由
在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(具体配置过程略)
(2) 配置域名服务器
在DNS server上添加域名host.com和IP地址3.1.1.1的映射关系。(具体配置过程略)
(3) 在Switch上配置动态域名解析
进入Switch的“网络 > IP > DNS”页面,配置域名服务器地址为2.1.1.2。在高级设置页面,配置域名后缀为com。
完成上述配置后,在Switch上执行ping host命令,可以解析到host对应的IP地址为3.1.1.1,并能够ping通主机。
Switch 的VLAN接口10通过EUI-64方式生成前缀为2001::/64的全球单播地址。
图10-14 IPv6地址静态配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口Ten-GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10。
(2) 配置IPv6地址
IPv6地址在Switch的“网络 > IPv6 > IPv6”页面设置。进入VLAN接口10的详情页面,配置接口地址为2001::,前缀长度为64,接口标识使用EUI-64方式生成。
完成上述配置后,在Switch上查看到VLAN接口10的IPv6全球单播地址为2001::5EDD:70FF:FEB1:86D0,同时VLAN接口10上会自动生成一个链路本地地址FE80::5EDD:70FF:FEB1:86D0。
如图10-15所示,Switch B通过ND消息发布前缀信息,Switch A使用无状态自动方式、根据Switch B发布的前缀信息生成全局单播IPv6地址。
图10-15 ND配置组网图
(1) 配置Switch B
# 进入“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表,并创建VLAN接口10。
# 进入“网络 > IPv6 > IPv6”页面。进入VLAN接口10的详情页面,配置接口地址为2001::1/64。
# ND在“网络 > IPv6 > ND”页面配置,配置步骤为:
· 在高级设置页面,添加RA前缀:指定RA前缀的发送接口为VLAN接口10、前缀地址为2001::1、前缀长度为64、有效生命期为2592000秒、首选生命期为604800秒,用于无状态地址配置。
· 在高级设置页面,修改接口上的RA参数设置:取消接口抑制RA消息发送功能,设置最大发布间隔为600秒、最小发布间隔为200秒、路由器生存时间为1800秒。
(2) 配置Switch A
# 进入“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表,并创建VLAN接口10。
# 进入“网络 > IPv6 > IPv6”页面。进入VLAN接口10的详情页面,配置VLAN接口10通过无状态自动配置生成全球单播地址。
完成上述配置后,可以看到Switch A的VLAN接口10上自动生成了全球单播地址2001::EDA:41FF:FE5A:2AC8,该地址前缀与Switch B发布的RA前缀相同。
· Switch通过端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2分别连接市场部和技术部,并通过端口Ten-GigabitEthernet1/0/3连接Server。
· 通过配置本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
图10-16 端口镜像配置组网图
端口镜像在“网络 > 镜像 > 端口镜像”页面配置,配置步骤为:
· 创建本地镜像组1。
· 配置本地镜像组1的源端口为Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2,并指定对双方向的流量都进行镜像。
· 配置本地镜像组1的目的端口为Ten-GigabitEthernet1/0/3。
完成上述配置后,用户可以通过Server监控所有进、出市场部和技术部的报文。
在Switch A、Switch B和Switch C上配置静态路由,实现主机之间的两两互通。
图10-17 IPv4静态路由配置组网图
IPv4静态路由在“网络 > 路由 > 静态路由”页面配置。三台交换机上的配置分别为:
· 在Switch A上创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0、掩码长度为0、下一跳地址为1.1.4.2,该路由用来匹配所有的目的IP地址。
· 在Switch B上创建到达Host A所在网段和Host C所在网段的两条IPv4静态路由表项:
¡ 到达Host A所在网段的路由:目的IP地址为1.1.2.0、掩码长度为24,、下一跳地址为1.1.4.1;
¡ 到达Host C所在网段的路由:目的IP地址为1.1.3.0、掩码长度为24、下一跳地址为1.1.5.6。
· 在Switch C上创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0、掩码长度为0、下一跳地址为1.1.5.5,该路由用来匹配所有的目的IP地址。
完成上述配置后,在任意一台主机上可以ping通另外两台主机。
在Switch A和Switch B上配置RIP,实现主机之间的互通。
图10-18 RIP配置组网图
# RIP在“网络 > 路由 > RIP”页面配置。两台交换机上的配置分别为:
· 在Switch A上开启RIP,新建RIP实例100,并通过指定网段地址1.1.1.0、网段掩码255.255.255.0和网段地址2.1.1.0、网段掩码255.255.255.0来添加网段1.1.1.0/24和2.1.1.0/24。
· 在Switch B上开启RIP,新建RIP实例100,并通过指定网段地址1.1.1.0、网段掩码255.255.255.0和网段地址10.1.1.0、网段掩码255.255.255.0来添加网段1.1.1.0/24和10.1.1.0/24。
完成上述配置后,在页面上可以看到已经创建的RIP实例及其相关信息,Host A和Host B之间可以相互ping通。
通过策略路由控制由Switch A产生的TCP报文的下一跳为1.1.2.2,其它类型报文仍然按照查找路由表的方式进行转发。
图10-19 IPv4本地策略路由配置组网图
IPv4本地策略路由在“网络 > 路由 > 策略路由”页面配置,在Switch A上的配置步骤为:
· 创建节点编号为5,匹配模式为允许的IPv4策略路由pbr。
· 创建IPv4高级ACL 3001,定义规则为允许IP协议类型为6(TCP)的报文通过。
· 指定策略路由pbr的报文匹配规则为IPv4 ACL 3001。
· 设置报文转发下一跳IP地址为1.1.2.2。
· 对本设备发送的IPv4报文应用策略pbr。
由于Telnet使用的是TCP协议,ping使用的是ICMP协议,完成上述配置后:
· 在Switch A上可以成功通过Telnet方式登录Switch B。
· 在Switch A上无法通过Telnet方式登录Switch C。
· 在Switch A上可以ping通Switch C。
· 如图10-20所示,在一个没有三层网络设备的纯二层网络中,组播源Source 1向组播组224.1.1.1发送组播数据,Host A和Host B都是该组播组的接收者,且都使用IGMPv2。
· 由于该网络中没有可运行IGMP的三层网络设备,因此由Switch A来充当IGMP查询器,并将其发出的IGMP查询报文的源IP地址配置为非0.0.0.0,以免影响各交换机上IGMP snooping转发表项的建立从而导致组播数据无法正常转发。
· 为防止交换机在没有相应转发表项时将组播数据在VLAN内广播,在所有交换机上都开启丢弃未知组播数据报文功能。
图10-20 IGMP Snooping配置组网图
IGMP Snooping在“网络 > 组播 > IGMP Snooping”页面配置。三台交换机上的配置分别为:
· 在Switch A的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能和充当IGMP查询器功能,然后将普遍组查询报文和特定组查询报文的源IP地址都配置为192.168.1.10。
· 在Switch B的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。
· 在Switch C的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。
完成上述配置,并且接收者申请加入组播组224.1.1.1之后,在页面上可以看到该组播组对应的IGMP snooping转发表项。
· 如图10-21所示,在一个没有三层网络设备的纯二层网络中,组播源Source 1向IPv6组播组FF1E::101发送IPv6组播数据,Host A和Host B都是该IPv6组播组的接收者,且都使用MLDv1。
· 由于该网络中没有可运行MLD的三层网络设备,因此由Switch A来充当MLD查询器。
· 为防止交换机在没有相应转发表项时将IPv6组播数据在VLAN内广播,在所有交换机上都开启丢弃未知IPv6组播数据报文功能。
图10-21 MLD Snooping配置组网图
MLD Snooping在“网络 > 组播 > MLD Snooping”页面配置。三台交换机上的配置分别为:
· 在Switch A的VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能和充当MLD查询器功能。
· 在Switch B的VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能。
· 在Switch C的VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能。
完成上述配置,并且接收者申请加入IPv6组播组FF1E::101之后,在页面上可以看到该IPv6组播组对应的MLD snooping转发表项。
DHCP客户端所在网段为10.10.1.0/24,DHCP服务器的IP地址为10.1.1.1/24。由于DHCP客户端和DHCP服务器不在同一网段,因此,需要在客户端所在网段设置DHCP中继设备,以便客户端可以从DHCP服务器申请到10.10.1.0/24网段的IP地址及相关配置信息。
图10-22 DHCP配置组网图
(1) 配置DHCP服务器Switch C
# 在“网络 > 链路 > VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 20。
· 进入VLAN 20的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 20的Tagged端口列表,并创建VLAN接口20,配置VLAN接口20的地址为10.1.1.1/24。
# 在“网络 > 服务 > DHCP”页面配置DHCP服务器功能,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口20工作在DHCP服务器模式。
· 在地址池页面,创建名称为pool1的地址池,配置该地址池动态分配的地址段为10.10.1.0/24,在地址池选项中配置网关地址为10.10.1.1。
· 在高级设置页面,配置冲突地址检查功能中的发送回显请求报文的最大数目为1,等待回显应答报文的超时时间为500毫秒。
(2) 配置DHCP中继Switch B
# 在“网络 > 链路 > VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 10和VLAN 20。
· 进入VLAN 10的详情页面,配置端口Ten-GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的地址为10.10.1.1/24。
· 进入VLAN 20的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 20的Tagged端口列表,并创建VLAN接口20,配置VLAN接口20的地址为10.1.1.2/24。
# 在“网络 > 服务 > DHCP”页面配置DHCP中继功能,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口10工作在DHCP中继模式,并指定DHCP服务器的IP地址为10.1.1.1。
· 在高级设置页面,开启中继用户信息记录功能和中继表项定时刷新功能,配置刷新时间间隔为100秒。
(3) 配置DHCP客户端Switch A
# 在“网络 > 链路 > VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 10。
· 进入VLAN 10的详情页面,配置端口Ten-GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表;并创建VLAN接口10。
# 在“网络 > IP > IP”页面配置DHCP客户端功能,配置步骤为:进入VLAN接口10的详情页面,配置VLAN接口10通过DHCP自动获取IP地址。
完成上述配置后,在DHCP服务器的已分配地址表中可以查看到已分配的IP地址;在DHCP中继表项中可以查看到对应的DHCP中继表项;在DHCP客户端上可以查看到获取的IP地址信息。
如图10-23所示,网络管理员需要通过Internet远程登录到校园网的网关设备(Switch)上对其进行管理。为了提高安全性,可将Switch配置为Stelnet服务器,并在Host上运行Stelnet客户端软件,在二者之间建立SSH连接。具体要求为:
· Switch通过SSH的password认证方式对客户端进行认证,认证过程在Switch本地完成。
· 网络管理员Host的登录用户名为client,密码为aabbcc,登录设备后可执行设备支持的所有操作。
图10-23 设备作为Stelnet服务器配置组网图
(1) 配置Stelnet服务器生成本地RSA、DSA、ECDSA密钥对
进入Switch的“资源 > 公钥 > 公钥”页面,添加本地RSA、DSA、ECDSA密钥对。
(2) 配置SSH服务器功能
进入Switch的“网络 > 服务 > SSH”页面,开启Stelnet服务。
(3) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 2。进入VLAN 2的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 2的Untagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.40/24。
(4) 配置管理员账户
管理员帐户在“设备 > 维护 > 管理员”页面配置,配置步骤为:
· 添加管理员。
· 配置用户名为client,密码为aabbcc。
· 选择角色为network-admin。
· 指定可用的服务为SSH。
Stelnet客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。
打开PuTTY.exe程序,在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。单击<Open>按钮。按提示输入用户名client及密码aabbcc,成功进入Switch的配置界面。
· Device A采用本地时钟作为参考时钟,使得自己的时钟处于同步状态。
· Device A作为时间服务器为Device B提供时间同步。
图10-24 NTP配置组网图
(1) 配置NTP服务器Device A
进入Device A的“网络 > 服务 > NTP”页面,配置步骤为:
· 开启NTP服务。
· 配置本地时钟的IP地址为127.127.1.0。
· 配置本地时钟所处的层数为2。
· 配置身份验证密钥:指定身份验证密钥ID为100,验证模式为MD5,密钥值为aabbcc。
(2) 配置NTP客户端Device B
系统时间在“设备 > 维护 > 系统设置”页面配置,配置步骤为:
· 在日期和时间页签下选择自动同步网络日期和时间,采用的协议为网络时间协议(NTP)。
· 勾选对时钟源进行身份验证。
· 指定身份验证密钥ID为100,验证模式为MD5,密钥值为aabbcc。
· 指定NTP服务器(即时钟源)的IP地址为1.0.1.11,并工作在服务器模式,添加身份验证密钥ID100。
完成上述配置后,Device B与Device A进行时间同步。此时Device B层数比Device A的层数大1,为3。
· NMS上运行SNMP v2c,需要对Device进行远程访问。
· 当Device上发生紧急事件时,能通过Trap信息自动上报给NMS。
图10-25 SNMP配置组网图
(1) 配置Device
进入Device的“网络 > 服务 > SNMP”页面,配置步骤为:
· 开启SNMP服务。
· 选择版本v2c。
· 新建团体readandwrite,具有读写属性,可访问缺省MIB视图下的所有节点。配置IPv4基本ACL,仅允许1.1.1.2/24使用团体名readandwrite来访问Device。
· 开启Trap功能,将目的主机设置为1.1.1.2,安全字为readandwrite,安全模型为v2c。
(2) 配置NMS
配置NMS使用的SNMP版本为v2c,读写团体名为readandwrite。具体配置请参考NMS的相关手册。
完成上述配置后,NMS上可获取MIB节点sysName的值,值为Device。当Device的接口被用户关闭时,NMS上可以收到linkDowm的Trap信息。
当三个部门访问Internet的流量发生拥塞时,要求按照2:1:1的比例依次调度管理部、研发部和市场部的流量。同时,保证发往Internet的所有数据总速率不得超过15Mbps。
图10-26 QoS配置组网图
(1) 配置QoS策略
QoS策略在“QoS > QoS > QoS策略”页面配置。在接口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3、Ten-GigabitEthernet1/0/4的入方向上应用QoS策略后,在策略详情中修改应用的策略,此处创建如下三个QoS策略:
· 创建IPv4 ACL 2001,添加一条允许源IP为192.168.1.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为0。
· 创建IPv4 ACL 2002,添加一条允许源IP为192.168.2.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为1。
· 创建IPv4 ACL 2003,添加一条允许源IP为192.168.3.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为2。
(2) 配置优先级映射
优先级信任模式在“QoS > QoS > 优先级映射”页面配置。具体配置为:指定在接口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3、Ten-GigabitEthernet1/0/4的优先级信任模式为信任Dot1p优先级。
优先级映射表在“QoS > QoS > 优先级映射”页面配置。具体配置为:将802.1p优先级到本地优先级映射表中,输入值为0、1、2对应的输出值分别改为0、1、2。
(3) 配置接口的硬件队列
接口的硬件队列在“QoS > QoS > 硬件队列”页面配置。进入接口Ten-GigabitEthernet1/0/1的详情页面,配置该接口的队列调度算法为WRR(byte-count),并将编号为0、1、2的队列的字节数分别修改为2、1、1。
(4) 配置接口限速
接口限速在“QoS > QoS > 限速”页面配置。具体配置为:在接口Ten-GigabitEthernet1/0/1的出方向上配置限速的CIR为15360千比特每秒。
完成上述配置后,可以在QoS策略页面查看策略的应用状态,也可以在硬件队列页面查看接口下队列的配置情况。
某公司要求,仅允许财务部在工作时间(每周工作日的8点到18点)访问财务数据库服务器。
图10-27 通过ACL进行包过滤配置组网图
包过滤在“安全 > 包过滤 > 包过滤”页面配置。配置步骤为:
· 创建接口的包过滤策略,在Switch的VLAN接口30的入方向上指定包过滤规则为IPv4 ACL。
· 创建IPv4高级ACL 3000,并创建周期时间段work,指定开始时间为08:00,结束时间为18:00,生效时间为每周一、周二、周三、周四和周五。允许协议类型为256(IP),源IP为192.168.2.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0,生效时间段为work的报文通过。
· 开启ACL规则的匹配统计功能。
完成上述配置后,在页面上可以看到已经创建的IPv4高级ACL的规则状态。在工作时间财务部主机可以ping通该服务器。
Host A、Host B分别与Device B的接口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/1相连;Host C与Device A的接口Ten-GigabitEthernet1/0/2相连。Device B接到Device A的接口Ten-GigabitEthernet1/0/1上。各主机均使用静态配置的IP地址。
要求通过在Device A和Device B上配置IPv4静态绑定表项,满足以下各项应用需求:
· Device A的接口Ten-GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
· Device A的接口Ten-GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
· Device B的接口Ten-GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。
· Device B的接口Ten-GigabitEthernet1/0/1上只允许Host B发送的IP报文通过。
图10-28 IP Source Guard IPv4静态绑定表项配置组网图
(1) 配置Device A
# 配置各接口的IP地址(略)
# IP Source Guard功能在“安全 > 包过滤 > IP Source Guard”页面配置,配置步骤为:
· 添加静态IPv4表项,接口为Ten-GigabitEthernet1/0/1,IP地址为192.168.0.1,MAC地址为00-01-02-03-04-06;
· 添加静态IPv4表项,接口为Ten-GigabitEthernet1/0/2,IP地址为192.168.0.3,MAC地址为00-01-02-03-04-05;
(2) 配置Device B
# 配置各接口的IP地址(略)
# IP Source Guard功能在“安全 > 包过滤 > IP Source Guard”页面配置,配置步骤为:
· 添加静态IPv4表项,接口为Ten-GigabitEthernet1/0/1,IP地址为192.168.0.2,MAC地址为00-01-02-03-04-07;
· 添加静态IPv4表项,接口为Ten-GigabitEthernet1/0/2,IP地址为192.168.0.1,MAC地址为00-01-02-03-04-06;
完成上述配置后,可分别在Device A和Device B的“安全 > 包过滤 > IP Source Guard”页面查看到对应的IP Source Guard表项。
用户通过Switch的端口Ten-GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 端口Ten-GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
· Switch对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为dm1X。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
图10-29 802.1X用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为802.1X。
· 指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为dm1X,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择802.1X。
(4) 在Switch上配置802.1X
802.1X认证在“安全 > 接入 > 802.1X”页面配置,配置步骤为:
· 开启Switch的802.1X认证功能。
· 在接口Ten-GigabitEthernet1/0/1上开启802.1X认证功能,指定接入控制方式为基于MAC认证的方式。
· 在接口Ten-GigabitEthernet1/0/1的高级设置页面上,指定授权状态为自动识别,端口的强制认证ISP域为dm1X。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案802.1X的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的dm1X的概要信息。
(3) 用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线,在“安全 > 接入 > 802.1X”页面中,可以查看接口Ten-GigabitEthernet1/0/1的当前用户数。
用户通过Switch的端口Ten-GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· Switch对802.1X用户采用本地认证,认证域为abc。
· 802.1X用户的认证名为dotuser,认证密码为12345。
· 端口Ten-GigabitEthernet1/0/1上只要有一个802.1X用户认证成功后,从该端口接入的其它用户无须认证就可使用网络资源。
图10-30 802.1X用户的本地认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置本地用户
本地用户在“安全 > 认证 > 本地认证”页面配置,配置步骤为:
· 添加用户,用户名为dotuser,密码为12345。
· 指定可用的服务为LAN接入。
(3) 配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为abc,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证方法为本地认证,授权方法为本地授权,计费方法为不计费。
(4) 配置802.1X
802.1X认证在“安全 > 接入 > 802.1X”页面配置,配置步骤为:
· 开启Switch的802.1X认证功能。
· 在接口Ten-GigabitEthernet1/0/1上开启802.1X认证功能,指定接入控制方式为基于端口认证的方式。
· 在接口Ten-GigabitEthernet1/0/1的高级设置页面上,指定授权状态为自动识别,端口的强制认证ISP域为abc。
(1) 完成上述配置后,在“安全 > 认证 > 本地认证”页面上可以看到已成功添加的本地用户,在“安全 > 认证 > ISP域”页面上可以看到已经成功添加的ISP域。
(2) 用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线,在“安全 > 接入 > 802.1X”页面中,可以查看到接口Ten-GigabitEthernet1/0/1上的当前用户数为1。
用户通过Switch的端口Ten-GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行MAC地址认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 所有用户都属于认证域2000,认证时采用固定用户名格式,用户名为aaa,密码为qaz123wdc。
· Switch对MAC地址认证用户进行认证时,采用RADIUS认证方式。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
图10-31 MAC地址认证用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为macauth。
· 指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为macauth,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择macauth。
(4) 在Switch上配置MAC地址认证
MAC地址认证在“安全 > 接入 > MAC地址认证”页面配置,配置步骤为:
· 开启Switch的MAC地址认证功能。
· 在接口Ten-GigabitEthernet1/0/1上开启MAC地址认证功能。
· 在高级设置页面上指定用户名格式为固定用户名格式,用户名和密码分别为aaa、qaz123wdc。
· 在高级设置页面上指定用户认证域为macauth。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案macauth的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的macauth的概要信息。
(3) 用户MAC地址认证成功上线后,在“安全 > 接入 > MAC地址认证”页面中,可以查看接口Ten-GigabitEthernet1/0/1的当前用户数。
用户通过Switch的端口Ten-GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行端口安全认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 端口Ten-GigabitEthernet1/0/1上同时允许一个802.1X用户以及一个与指定OUI值匹配的设备接入。
· Switch对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为portsec。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
· 添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。
图10-32 端口安全用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为portsec。
· 指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为portsec,并将该ISP域的状态设置为活动。
· 指定接入方式为LAN接入。
· 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择portsec。
(4) 在Switch上配置端口安全
802.1X认证在“安全 > 接入 > 端口安全”页面配置,配置步骤为:
· 开启Switch的端口安全认证功能。
· 在接口Ten-GigabitEthernet1/0/1的高级设置页面上指定端口安全模式为userLoginWithOUI。
· 在接口Ten-GigabitEthernet1/0/1的高级设置页面上的802.1X标签下,指定802.1X用户使用的端口的强制认证ISP域为portsec。
· 在高级设置页面上的认证OUIMAC中添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案portsec的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的portsec的概要信息。
(3) 802.1X用户上线后,在“安全 > 接入 > 端口安全”页面中,可以查看接口Ten-GigabitEthernet1/0/1的当前用户数为1。
· 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图10-33 配置Portal直接认证组网图
(1) 配置Portal server (略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为rs1。
· 指定主认证服务器IP地址为192.168.0.112,端口号为1812,共享密钥为radius。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为192.168.0.112,端口号为1813,共享密钥为radius。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
· 在高级设置页面上开启接收session-control报文功能。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为dm1,并将该ISP域的状态设置为活动。
· 指定接入方式为Portal。
· 指定Portal接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择rs1。
· 在高级设置页面上指定系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
(4) 在Switch上配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
在Switch A上创建VLAN 100。进入VLAN 100的详情页面,配置Vlan-interface的IP地址为2.2.2.1。
(5) 在Switch上配置Portal认证
Portal认证在“安全 > 接入 > Portal”页面配置,配置步骤为:
· 添加Portal认证服务器:名称为newpt,IP地址为192.168.0.111,共享密钥为portal,服务器监听端口号为50100。
· 添加Portal Web服务器:URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)。
· 添加接口策略:接口为Vlan-interface100,IPv4 Portal认证方式为直接认证,引用Portal Web服务器为newpt,BAS-IP地址为2.2.2.1。
(6) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案rs1的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的dm1的概要信息。
(3) 用户Portal认证成功上线后,在“安全 > 接入 > Portal”页面中,可以在“在线用户信息”中查看接口Vlan-intrerface100的当前用户数。
· 用户主机与接入设备Switch直接相连,采用二次地址分配方式的Portal认证。用户通过DHCP服务器获取IP地址,Portal认证前使用分配的一个私网地址;通过Portal认证后,用户申请到一个公网地址,才可以访问非受限互联网资源。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图10-34 配置Portal二次地址分配认证组网图
(1) 配置Portal server (略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为rs1。
· 指定主认证服务器IP地址为192.168.0.113,端口号为1812,共享密钥为radius。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为192.168.0.113,端口号为1813,共享密钥为radius。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
· 在高级设置页面上开启接收session-control报文功能。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为dm1,并将该ISP域的状态设置为活动。
· 指定接入方式为Portal。
· 指定Portal接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择rs1。
· 在高级设置页面上指定系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
(4) 在Switch上配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
在Switch A上创建VLAN 100。进入VLAN 100的详情页面,配置Vlan-interface的IP地址为20.20.20.1,从IP地址为10.0.0.1。
(5) 在Switch上配置DHCP中继
DHCP中继在“网络 > 服务 > DHCP”页面配置,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口100工作在DHCP中继模式,并指定DHCP服务器的IP地址为192.168.0.112。
· 在高级设置页面,开启记录中继用户信息功能。
(6) 在Switch上配置授权ARP
授权ARP在“网络 > IP > ARP”页面配置。在高级设置页面,进入ARP攻击防御页面,开启Vlan-interface100下的授权ARP功能。
(7) 在Switch上配置Portal认证
Portal认证在“安全 > 接入 > Portal”页面配置,配置步骤为:
· 添加Portal认证服务器:名称为newpt,IP地址为192.168.0.111,共享密钥为portal,服务器监听端口号为50100。
· 添加Portal Web服务器:URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)。
· 添加接口策略:接口为Vlan-interface100,IPv4 Portal认证方式为二次地址分配认证,引用Portal Web服务器为newpt,BAS-IP地址为20.20.20.1。
(8) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案rs1的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的dm1的概要信息。
(3) 用户Portal认证成功上线后,在“安全 > 接入 > Portal”页面中,可以在“在线用户信息”中查看接口Vlan-intrerface100的当前用户数。
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
· 配置Switch A采用可跨三层Portal认证。用户在未通过Portal认证前,只能访问Portal Web服务器;用户通过Portal认证后,可以访问非受限互联网资源。
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
图10-35 配置可跨三层Portal认证组网图
(1) 配置Portal server (略)
(2) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为rs1。
· 指定主认证服务器IP地址为192.168.0.112,端口号为1812,共享密钥为radius。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为192.168.0.112,端口号为1813,共享密钥为radius。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
· 在高级设置页面上开启接收session-control报文功能。
(3) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为dm1,并将该ISP域的状态设置为活动。
· 指定接入方式为Portal。
· 指定Portal接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择rs1。
· 在高级设置页面上指定系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
(4) 在Switch上配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
在Switch A上创建VLAN 4。进入VLAN 4的详情页面,配置Vlan-interface的IP地址为20.20.20.1。
(5) 在Switch上配置Portal认证
Portal认证在“安全 > 接入 > Portal”页面配置,配置步骤为:
· 添加Portal认证服务器:名称为newpt,IP地址为192.168.0.111,共享密钥为portal,服务器监听端口号为50100。
· 添加Portal Web服务器:URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)。
· 添加接口策略:接口为Vlan-interface4,IPv4 Portal认证方式为可跨三层认证,引用Portal Web服务器为newpt,BAS-IP地址为20.20.20.1。
(6) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案rs1的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的dm1的概要信息。
(3) 用户Portal认证成功上线后,在“安全 > 接入 > Portal”页面中,可以在“在线用户信息”中查看接口Vlan-intrerface4的当前用户数。
· 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· Switch同时承担Portal Web服务器和Portal认证服务器的职责。
· 采用RADIUS服务器作为认证/计费服务器。
· 配置本地Portal Web服务器使用HTTP协议,且HTTP服务侦听的TCP端口号为2331。
图10-36
(1) 在Switch上配置RADIUS方案
RADIUS方案在“安全 > 认证 > RADIUS”页面配置,配置步骤为:
· 添加RADIUS方案,名称为rs1。
· 指定主认证服务器IP地址为192.168.0.112,端口号为1812,共享密钥为radius。设置主认证服务器状态为活动。
· 指定主计费服务器IP地址为192.168.0.112,端口号为1813,共享密钥为radius。设置主计费服务器状态为活动。
· 指定发送给RADIUS服务器的用户名格式为不携带域名。
· 在高级设置页面上开启接收session-control报文功能。
(2) 在Switch上配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为dm1,并将该ISP域的状态设置为活动。
· 指定接入方式为Portal。
· 指定Portal接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择rs1。
· 在高级设置页面上指定系统缺省的ISP域为dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
(3) 在Switch上配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
在Switch A上创建VLAN 100。进入VLAN 100的详情页面,配置Vlan-interface的IP地址为2.2.2.1。
(4) 在Switch上配置Portal认证
Portal认证在“安全 > 接入 > Portal”页面配置,配置步骤为:
· 添加Portal Web服务器:URL为http://2.2.2.1:2331/portal。(Portal Web服务器的URL可配置为开启Portal认证的接口的IP地址或除127.0.0.1以外的Loopback接口的IP地址)。
· 添加本地Portal Web服务器:使用协议为HTTP协议,缺省认证页面文件为abc.zip(确保已上传到设备存储介质的根目录下),TCP端口号为2331。
· 添加接口策略:接口为Vlan-interface100,IPv4 Portal认证方式为直接认证,引用Portal Web服务器为newpt。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在“安全 > 认证 > RADIUS”页面上,可以看到已添加成功的RADIUS方案rs1的概要信息。
(2) 在“安全 > 认证 > ISP域”页面上,可以看到已添加成功的ISP域的dm1的概要信息。
(3) 用户Portal认证成功上线后,在“安全 > 接入 > Portal”页面中,可以在“在线用户信息”中查看接口Vlan-intrerface100的当前用户数。
要求使用TACACS服务器对登录Switch的SSH用户进行认证、授权、计费,具体需求如下:
· 由一台TACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为10.1.1.1/24。
· Switch与认证、授权、计费TACACS服务器交互报文时的共享密钥均为expert,向TACACS服务器发送的用户名中不带域名。
· SSH用户登录Switch时使用TACACS服务器上配置的用户名以及密码进行认证,认证通过后具有角色network-admin。
图10-37 SSH用户TACACS认证、授权和计费配置组网图
(1) 配置Stelnet服务器生成本地RSA、DSA、ECDSA密钥对
进入Switch的“资源 > 公钥 > 公钥”页面,添加本地RSA、DSA、ECDSA密钥对。
(2) 配置SSH服务器功能
进入Switch的“网络 > 服务 > SSH”页面,开启Stelnet服务。
(3) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 2。进入VLAN 2的详情页面,配置端口Ten-GigabitEthernet1/0/2加入VLAN 2的Tagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.40/24。
(4) 配置TACACS方案
TACACS方案在“安全 > 认证 > TACACS”页面配置,配置步骤为:
· 添加TACACS方案,名称为tac。
· 指定主认证服务器IP地址为10.1.1.1,端口号为49,共享密钥为expert。
· 指定主授权服务器IP地址为10.1.1.1,端口号为49,共享密钥为expert。
· 指定主计费服务器IP地址为10.1.1.1,端口号为49,共享密钥为expert。
· 指定发送给TACACS服务器的用户名格式为不携带域名。
(5) 配置ISP域
ISP域在“安全 > 认证 > ISP域”页面配置,配置步骤为:
· 添加ISP域,名称为bbb,并将该ISP域的状态设置为活动。
· 指定接入方式为登录用户。
· 指定登录用户AAA方案的认证、授权和计费的方法均为TACACS,方案都选择tac。
(6) 配置TACACS服务器
在TACACS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行,并指定授权给用户的角色为network-admin。具体配置方法请参考关于TACACS服务器的配置说明。
用户向Switch发起SSH连接,按照提示输入正确用户名及密码后,可成功登录Switch,并具有授权角色network-admin的操作权限。
用户不仅可以通过Web页面来管理设备,还可以通过CLI来管理设备。
· Web页面支持所有的功能。
· CLI作为Web配置方式的一种补充,在Web页面不可用时,可以通过CLI对设备进行基本配置和管理。
设备支持的命令行如表11-1所示。用户通过Console或Telnet方式登录设备后,就进入了用户视图。设备上的所有命令都是在用户视图下执行的。用户登录后能否使用这些命令行与用户的角色有关。缺省情况下,具有缺省用户角色的用户可以执行对应的命令,可以通过Web页面来修改执行该命令的用户角色。
Console和Telnet登录方式的详细介绍,请参见《H3C NS300系列以太网交换机 安装指导》。
|
命令形式 |
命令作用 |
|
initialize |
初始化设备 |
|
ipsetup dhcp |
配置VLAN接口1通过DHCP方式获取IPv4地址 |
|
ipsetup ip-address ip-address { mask-length | mask } [ default-gateway ipv4-gateway-address ] |
手工配置VLAN接口1的IPv4地址 |
|
ipsetup ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } [ default-gateway ipv6-gateway-address ] |
手工配置VLAN接口1的IPv6全球单播地址 |
|
ipsetup ipv6 auto |
配置VLAN接口1通过无状态自动配置功能生成IPv6全球单播地址 |
|
password |
修改用户的密码 |
|
ping host |
检查指定IPv4地址是否可达,并输出相应的统计信息 |
|
ping ipv6 host |
检查指定IPv6地址是否可达,并输出相应的统计信息 |
|
quit |
退出登录 |
|
reboot [ slot slot-number ] [ force ] |
重启成员设备 |
|
summary |
查看设备的概要信息,包括设备的IP地址(Vlan-interface1的IP地址)、网管、设备型号、使用的软件版本、启动软件包等基本信息 |
|
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] |
Telnet登录到远端设备,以便进行远程管理 |
|
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] |
IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理 |
|
upgrade { tftp-server | ipv6 ipv6-tftp-server } bootrom bootrom-filename upgrade { tftp-server | ipv6 ipv6-tftp-server } runtime boot boot-package system system-package [ feature feature-package&<1-30>] upgrade { tftp-server | ipv6 ipv6-tftp-server } runtime file ipe-filename |
将TFTP服务器上的指定文件下载到本地设备,并将其设置为设备下次启动时使用的软件 |
|
xtd-cli-mode undo xtd-cli-mode |
对设备进行调试 恢复缺省情况 |
initialize命令用来初始化设备。
【命令】
initialize
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
执行该命令设备会删除存储介质中保存的下次启动配置文件,并立即以出厂配置重启,请谨慎使用。
【举例】
# 初始化设备。
<Sysname> initialize
The startup configuration file will be deleted and the system will be rebooted.Continue? [Y/N]:y
Now rebooting, please wait...
ipsetup dhcp命令用来配置VLAN接口1通过DHCP方式获取IPv4地址。
【命令】
ipsetup dhcp
【缺省情况】
没有开启该功能。
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
VLAN接口1的IPv4地址的配置方式有两种:
· DHCP方式:通过DHCP协议动态获取IPv4地址。
· 手工配置方式:通过ipsetup ip-address命令手工配置IPv4地址。
不管使用哪种方式配置,新获取的IPv4地址均会覆盖当前的IPv4地址。
【举例】
# 配置VLAN接口1通过DHCP方式获取IP地址。
<Sysname> ipsetup dhcp
【相关命令】
· ipsetup ip-address
ipsetup ip-address命令用来手工配置VLAN接口1的IPv4地址。
【命令】
ipsetup ip-address ip-address { mask-length | mask } [ default-gateway ipv4-gateway-address ]
【缺省情况】
没有为VLAN接口1指定IPv4地址。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ip-address:接口的IPv4地址,为点分十进制格式。
mask-length:子网掩码长度,即掩码中连续“1”的个数,取值范围为1~31。
mask:接口IPv4地址相应的子网掩码,为点分十进制格式。
default-gateway ipv4-gateway-address:缺省网关的IPv4地址,为点分十进制格式。使用该参数,相当于配置IPv4地址的同时给设备配置了一条缺省路由。ipv4-gateway-address必须和ip-address在同一网段,ipv4-gateway-address才能生效。
【使用指导】
VLAN接口1的IPv4地址的配置方式有两种:
· DHCP方式:通过DHCP协议动态获取IPv4地址。
· 手工配置方式:通过ipsetup ip-address命令手工配置IPv4地址。
不管使用哪种方式配置,新获取的IPv4地址均会覆盖当前的IPv4地址。
【举例】
# 配置VLAN接口1的IPv4地址为192.168.1.2,缺省网关为192.168.1.1。
<Sysname> ipsetup ip-address 192.168.1.2 24 default-gateway 192.168.1.1
【相关命令】
· ipsetup dhcp
ipsetup ipv6 address命令用来手工配置VLAN接口1的IPv6全球单播地址。
【命令】
ipsetup ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } [ default-gateway ipv6-gateway-address ]
【缺省情况】
没有为VLAN接口1配置IPv6全球单播地址。
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:VLAN接口1的IPv6全球单播地址。
prefix-length:前缀长度,取值范围为1~128。
default-gateway ipv6-gateway-address:设备缺省网关的IPv6地址。使用该参数,相当于配置IPv6地址的同时给设备配置了一条缺省路由。ipv6-gateway-address必须和ipv6-address在同一网段,ipv6-gateway-address才能生效。
【使用指导】
VLAN接口1的IPv6全球单播地址的配置方式有两种:
· AUTO方式:通过无状态地址自动配置功能自动生成IPv6全球单播地址。
· 手工配置方式:通过ipsetup ipv6 address命令手工配置IPv6全球单播地址。
不管使用哪种方式配置,新获取的IPv6地址均会覆盖当前的IPv6地址。
【举例】
# 配置VLAN接口1的IPv6全球单播地址为2::2,前缀长度为64,缺省网关为2::3。
<Sysname> ipsetup ipv6 address 2::2 64 default-gateway 2::3
【相关命令】
· ipsetup ipv6 auto
ipsetup ipv6 auto命令用来配置VLAN接口1通过无状态自动配置功能生成IPv6全球单播地址。
【命令】
ipsetup ipv6 auto
【缺省情况】
没有开启该功能。
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
VLAN接口1的IPv6全球单播地址的配置方式有两种:
· AUTO方式:通过无状态地址自动配置功能自动生成IPv6全球单播地址。
· 手工配置方式:通过ipsetup ipv6 address命令手工配置IPv6全球单播地址。
不管使用哪种方式配置,新获取的IPv6地址均会覆盖当前的IPv6地址。
【举例】
# 配置VLAN接口1通过无状态自动配置方式生成全球单播地址。
<Sysname> ipsetup ipv6 auto
【相关命令】
· ipsetup ipv6 address
password命令用来修改用户的密码。
【命令】
password
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 修改用户aaa的密码。
<Sysname> password
Change password for user: aaa
Old password:
Enter new password:
Confirm :
The password has been successfully changed.
表11-2 password命令显示信息描述表
|
字段 |
描述 |
|
Change password for user |
为用户修改密码(此处请输入需要修改密码的用户的名称) |
|
Old password |
请输入旧密码 |
|
Enter new password |
请输入新密码 |
|
Confirm |
请再次输入新密码 |
|
The password has been successfully changed. |
密码设置成功 |
ping命令用来检查指定IPv4地址是否可达,并输出相应的统计信息。
【命令】
ping host
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
host:目的端的IPv4地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
【使用指导】
在执行命令过程中,键入<Ctrl+C>可终止ping操作。
【举例】
# 检查IPv4地址为1.1.2.2的设备是否可达。
<Sysname> ping 1.1.2.2
Ping 1.1.2.2 (1.1.2.2): 56 data bytes, press CTRL_C to break
56 bytes from 1.1.2.2: icmp_seq=0 ttl=254 time=2.137 ms
56 bytes from 1.1.2.2: icmp_seq=1 ttl=254 time=2.051 ms
56 bytes from 1.1.2.2: icmp_seq=2 ttl=254 time=1.996 ms
56 bytes from 1.1.2.2: icmp_seq=3 ttl=254 time=1.963 ms
56 bytes from 1.1.2.2: icmp_seq=4 ttl=254 time=1.991 ms
--- Ping statistics for 1.1.2.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.963/2.028/2.137/0.062 ms
表11-3 ping命令显示信息描述表
|
字段 |
描述 |
|
Ping 1.1.2.2 (1.1.2.2): 56 data bytes, press CTRL_C to break |
检查IP地址为1.1.2.2的设备是否可达。每个ICMP回显请求报文中的数据为56字节,按组合键Ctrl+C可以终止ping操作 |
|
56 bytes from 1.1.2.2: icmp_seq=0 ttl=254 time=4.685 ms |
收到IP地址为1.1.2.2的设备回复的ICMP响应报文,若超时仍没有收到ICMP响应报文,则不输出信息 · bytes表示ICMP响应报文中的数据字节数 · icmp_seq表示报文序号,用来判断报文是否有分组丢失、失序或重复 · ttl表示ICMP响应报文中的TTL值 · time表示响应时间 |
|
--- Ping statistics for 1.1.2.2 --- |
ping操作中收发数据的统计结果 |
|
5 packet(s) transmitted |
发送的ICMP回显请求报文数 |
|
5 packet(s) received |
收到的ICMP响应报文数 |
|
0.0% packet loss |
未响应请求报文占发送的总请求报文的百分比 |
|
round-trip min/avg/max/std-dev = 4.685/4.761/4.834/0.058 ms |
响应时间的最小值、平均值、最大值和标准方差,单位为毫秒 |
ping ipv6命令用来检查指定IPv6地址是否可达,并输出相应的统计信息。
【命令】
ping ipv6 host
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
host:目的端的IPv6地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
【使用指导】
在执行命令过程中,键入<Ctrl+C>可终止ping ipv6操作。
【举例】
# 检查IPv6地址为2001::2的设备是否可达。
<Sysname> ping ipv6 2001::2
Ping6(56 data bytes) 2001::1 --> 2001::2, press CTRL_C to break
56 bytes from 2001::2, icmp_seq=0 hlim=64 time=62.000 ms
56 bytes from 2001::2, icmp_seq=1 hlim=64 time=23.000 ms
56 bytes from 2001::2, icmp_seq=2 hlim=64 time=20.000 ms
56 bytes from 2001::2, icmp_seq=3 hlim=64 time=4.000 ms
56 bytes from 2001::2, icmp_seq=4 hlim=64 time=16.000 ms
--- Ping6 statistics for 2001::2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 4.000/25.000/62.000/20.000 ms
以上信息表明,目的端可达,源端发出的ICMPv6回显请求报文均能得到回应,报文往返时间的最小值、平均值、最大值和标准方差分别为4ms、25ms、62ms和20ms。
表11-4 ping ipv6命令显示信息描述表
|
字段 |
描述 |
|
Ping6 (56 data bytes) 2001::1 --> 2001::2, press CTRL_C to break |
从源地址2001::1给目的地址2001::2发送一个ICMPv6回显请求报文,每个ICMPv6回显请求报文中的数据为56字节,按组合键Ctrl+C可以终止IPv6 ping操作 |
|
56 bytes from 2001::2, icmp_seq=0 hlim=64 time=62.000 ms |
收到IPv6地址为2001::2的设备回复的ICMPv6响应报文,其中: · 数据字节数为56 · 报文序号为1 · hop limit值为64 · 响应时间是62ms |
|
--- Ping6 statistics for 2001::2 --- |
IPv6 ping操作中收发数据的统计结果 |
|
5 packet(s) transmitted |
发送的ICMPv6回显请求报文数 |
|
5 packet(s) received |
收到的ICMPv6响应报文数 |
|
0.0% packet loss |
未响应请求报文占发送的总请求报文的百分比 |
|
round-trip min/avg/max/ std-dev =4.000/25.000/62.000/20.000 ms |
响应时间的最小值、平均值、最大值和标准方差,单位为毫秒 |
quit命令用来退出登录。
【命令】
quit
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
如果当前是用户视图,执行quit后,会断开当前连接,退出系统。
【举例】
# 退出当前登录。
<Sysname> quit
reboot命令用来重启成员设备。
【命令】
reboot [ slot slot-number ] [ force ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:表示设备在IRF中的成员编号。不指定该参数时,会重启所有成员设备。
force:强制重启:
· 不指定该参数时,重启设备,系统会做一些保护性检查(如启动软件包是否存在,是否正在写存储介质等),若检查不通过则退出处理,不会重启设备;
· 指定该参数时,系统将不进行任何检查,直接执行重启操作。
【使用指导】
需要注意的是:
· 重新启动可能会导致业务中断,请谨慎使用该命令。
· 如果主用启动软件包损坏或者不存在,则不能通过reboot命令重启设备。此时,可以通过指定新的主用启动软件包再重启。
· 如果设备在准备重启时,用户正在进行文件操作,为了安全起见,系统将不会执行此次重启操作。
· 使用force参数时,系统在重启时不会做任何保护性措施。重启后,可能导致文件系统损坏,请谨慎使用该参数。建议在系统故障或无法正常重启时,才使用该参数。
【举例】
# 重启所有成员设备。
<Sysname> reboot
Start to check configuration with next startup configuration file, please wait.........DONE!
Current configuration may be lost after the reboot, save current configuration? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
This command will reboot the device. Continue? [Y/N]:y
Now rebooting, please wait...
# 强制重启所有设备。
<Sysname> reboot force
A forced reboot might cause the storage medium to be corrupted. Continue? [Y/N]:y
Now rebooting, please wait...
表11-5 reboot命令显示信息描述表
|
字段 |
描述 |
|
Start to check configuration with next startup configuration file, please wait.........DONE! Current configuration may be lost after the reboot, save current configuration? [Y/N]: |
检查当前配置是否和下次启动配置文件的内容一致。设备重启后,当前配置可能丢失,询问用户是否保存当前配置 |
|
Please input the file name(*.cfg)[flash:/startup.cfg] (To leave the existing filename unchanged, press the enter key) |
请输入保存当前配置的文件的名称,缺省为下次启动配置文件。如果将当前配置保存到下次启动配置文件,直接输入回车即可 |
|
flash:/startup.cfg exists, overwrite? [Y/N]: |
xx文件已存在,是否覆盖(需输入y才会保存当前配置) |
|
Validating file. Please wait |
正在检验文件的合法性,请等待 |
|
Saved the current configuration to mainboard device successfully. |
成功将当前配置保存到主设备 |
|
This command will reboot the device. Continue? [Y/N]: |
是否重启设备 |
|
A forced reboot might cause the storage medium to be corrupted. Continue? [Y/N]: |
执行强制重启可能会导致存储介质损坏,是否继续 |
|
Now rebooting, please wait |
系统正在重启,请稍候 |
summary命令用来查看设备的概要信息,包括设备的IP地址(Vlan-interface1的IP地址)、网管、设备型号、使用的软件版本、启动软件包等基本信息。
【命令】
summary
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 显示设备概要信息。
<Sysname> summary
Select menu option: Summary
IP Method: DHCP
IP address: 192.168.1.2
Subnet mask: 255.255.255.0
Default gateway:
IPv6 Method:
IPv6 link-local address:
IPv6 subnet mask length:
IPv6 global address:
IPv6 subnet mask length:
IPv6 default gateway:
Software images on slot 1:
Current software images:
flash:/s-cmw710-boot-r5105.bin
flash:/s-cmw710-system-r5105.bin
Main startup software images:
flash:/s-cmw710-boot-r5105.bin
flash:/s-cmw710-system-r5105 6.bin
Backup startup software images:
None
H3C Comware Platform Software
H3C Comware Software, Version 7.1.070, Release 5105
Copyright (c) 2004-2017 New H3C Tech. Co., Ltd. All rights reserved.
H3C NS316X uptime is 0 weeks, 0 days, 1 hour, 4 minutes
Slot 1:
Uptime is 0 weeks,0 days,1 hour,4 minutes
NS316X with 1 Processor
BOARD TYPE: NS316X
DRAM: 1024M bytes
FLASH: 512M bytes
PCB 1 Version: VER.B
Bootrom Version: 103
CPLD 1 Version: 002
Release Version: H3C NS316X-5105
Patch Version : None
Reboot Cause : ColdReboot
[SubSlot 0] 16SFP Plus
表11-6 summary命令显示信息描述表
|
字段 |
描述 |
|
Select menu option: Summary |
要显示的概要信息 |
|
IP Method |
IPv4地址的类型。取值为: · DHCP:表示该地址是通过DHCP协议动态获取的 · manul:表示该地址是手工配置的 |
|
IP address: |
VLAN接口1的IPv4地址 |
|
Subnet mask |
VLAN接口1的IPv4地址对应的子网掩码 |
|
Default gateway |
缺省IPv4网关 |
|
IPv6 Method |
IPv6地址类型。取值为: · auto:表示该地址是通过无状态自动配置功能获取的 · manul:表示该地址是手工配置的 |
|
IPv6 link-local address |
VLAN接口1的链路本地地址 |
|
IPv6 subnet mask length |
VLAN接口1的IPv6地址前缀的长度 |
|
IPv6 global address |
VLAN接口1的全球单播IPV6地址 |
|
IPv6 default gateway |
缺省IPv6网关 |
|
Software images on slot n: |
显示成员设备n的启动软件包信息 |
|
Current software images: |
当前设备启动时使用的启动软件包 |
|
Main startup software images: |
主用下次启动软件包(设备下次启动时优先使用的启动软件包) |
|
Backup startup software images: |
备用下次启动软件包(设备下次启动时,当主用下次启动软件包不可用时,使用该软件包) |
|
H3C Comware Platform Software |
设备上运行的Comware系统的信息: · H3C Comware Software, Version 7.1.070, Release 5105:表示设备上当前运行的软件版本的信息 · Copyright (c) 2004-2017 New H3C Tech. Co., Ltd. All rights reserved.:表示版权信息 · H3C NS316X uptime is 0 weeks, 0 days, 2 hours, 41 minutes:表示设备本次启动后运行的时长 |
telnet命令用于Telnet登录到远端设备,以便进行远程管理。
【命令】
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
remote-host:远端设备的IPv4地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
service-port:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
source:指定Telnet报文的源接口或源IPv4地址。不指定该参数时,使用路由出接口的主IP地址作为设备发送的Telnet报文的源IPv4地址。
· interface interface-type interface-number:指定源接口,发送的Telnet报文的源IPv4地址为该接口的地址。interface-type interface-number为接口类型和接口编号。
· ip ip-address:指定Telnet报文的源IPv4地址。
【使用指导】
用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
【举例】
# Telnet登录到远程主机(IP地址为1.1.1.2),并指定发送Telnet报文的源IP地址为1.1.1.1。
<Sysname> telnet 1.1.1.2 source ip 1.1.1.1
telnet ipv6命令用于IPv6组网环境下,Telnet登录到远程主机,以便进行远程管理。
【命令】
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
remote-host:远端设备的IPv6地址或主机名。其中,主机名为1~253个字符的字符串,不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”。
-i interface-type interface-number:Telnet报文的出接口。interface-type interface-number为接口类型和接口编号。当Telnet指定的服务端IPv6地址为链路本地地址时,需要指定该参数。
port-number:远端设备提供Telnet服务的TCP端口号,取值范围为0~65535,缺省值为23。
【使用指导】
用户可以使用<Ctrl+K>组合键或quit命令来中断本次Telnet登录。
【举例】
# Telnet登录到远程主机,IPv6地址为5000::1。
<Sysname> telnet ipv6 5000::1
upgrade命令用来将TFTP服务器上的指定文件下载到本地设备,并将其设置为设备下次启动时使用的软件。如果设备已经和其它设备组成了IRF,则执行该命令,会将指定文件下载到所有成员设备,并设置为所有成员设备下次启动时使用的软件。
【命令】
upgrade { tftp-server | ipv6 ipv6-tftp-server } bootrom bootrom-filename
upgrade { tftp-server | ipv6 ipv6-tftp-server } runtime boot boot-package system system-package [ feature feature-package&<1-30>]
upgrade { tftp-server | ipv6 ipv6-tftp-server } runtime file ipe-filename
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
tftp-server:表示TFTP服务器的主机名或IP地址。主机名可为1~253个字符的字符串。
ipv6-address:表示TFTP服务器的IPV6主机名或IPV6地址。主机名可为1~253个字符的字符串。
bootrom bootrom-filename:表示使用下载的文件更新Boot ROM程序。bootrom-filename表示TFTP服务器上的Boot ROM文件的名称。
runtime:表示使用下载的文件更新Comware系统。
boot boot-package:表示TFTP服务器上的Boot包的名称,以.bin作为后缀名,从存储介质名开始为1~63个字符的字符串(包括存储介质名在内),不区分大小写。
system system-package:表示TFTP服务器上的System包的名称,以.bin作为后缀名,从存储介质名开始为1~63个字符的字符串(包括存储介质名在内),不区分大小写。
feature feature-package:表示TFTP服务器上的Feature包的名称,以.bin作为后缀名,从存储介质名开始为1~63个字符的字符串(包括存储介质名在内),不区分大小写。feature-package&<1-30>表示前面的参数最多可以输入30次。
file ipe-filename:表示TFTP服务器上的IPE(Image Package Envelope,复合软件包套件)文件的名称,以.ipe作为后缀名,从存储介质名开始为1~63个字符的字符串(包括存储介质名在内),不区分大小写。
【使用指导】
设备启动的时候会先运行Boot ROM程序再运行Comware系统,它们是设备启动、运行的必备软件,为整个设备提供支撑、管理以及丰富的业务。
Comware系统中包含的软件按其功能可以分为:Boot软件包(简称Boot包)、System软件包(简称System包)、Feature软件包(简称Feature包)。设备必须具有Boot包和System包才能正常运行,Feature包可以根据用户需要选择安装。
Comware系统有以下两种发布形式:
· BIN文件:后缀为.bin的文件。一个BIN文件就是一个Boot/System/Feature软件包。要升级的BIN文件之间版本必须兼容才能升级成功。
· IPE文件:后缀为.ipe的文件。它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户使用IPE文件升级设备时,设备会自动将它解压缩成多个BIN文件,并使用这些BIN文件来升级设备,从而能够减少启动软件包之间的版本管理问题。
成功执行upgrade命令后,要使下载的Boot ROM程序或Comware软件生效,需要手工重启设备。
成功执行upgrade runtime命令后,系统会用命令中指定的软件包替换现有的软件包列表。如果命令行中没有指定Feature包,则更新后的软件包列表中不会有Feature包。
【举例】
# 将TFTP服务器根目录下的bootrom.bin文件下载到本地设备,并用其升级Boot ROM。
<Sysname> upgrade 192.168.8.2 bootrom bootrom.bin
The file flash:/bootrom.bin already exists.Overwrite?[Y/N]y
Verifying server file...
Downloading file boot.bin from remote TFTP server, please wait.................................................................... Done.
Successd to get file.
This command will upgrade the Boot ROM file on the specified board(s), Continue?
[Y/N]:y
Now Upgrade the Boot ROM of slot 1, please wait..........................Done.
Successd to Upgrade the Boot ROM!
# 将TFTP服务器根目录下的all.ipe文件下载到本地设备,并用其升级Comware系统。
<Sysname> upgrade 192.168.8.2 runtime file all.ipe
The file flash:/all.ipe already exists.Overwrite?[Y/N]y
Verifying server file...
Downloading file all.ipe from remote TFTP server, please wait............................................................................Done.
Successd to get file.
Verifying the IPE file and the images...................Done.
HP 1950-24G-2XG-2XGT images in IPE:
boot.bin
system.bin
This command will set the main startup software images. Continue? [Y/N]:y
Do you want to overwrite files without prompt? [Y/N]:y
Add images to slot 1.
File flash:/boot.bin already exists on slot 1.
File flash:/system.bin already exists on slot 1.
Decompressing file boot.bin to flash:/ boot.bin....................Done.
Decompressing file system.bin to flash:/system.bin..................................................................Done.
The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1.
# 将TFTP服务器根目录下的boot.bin、system.bin文件下载到本地设备,并用其升级Comware系统。
<Sysname> upgrade 192.168.8.2 runtime boot boot.bin system system.bin
The file flash:/boot.bin already exists.Overwrite?[Y/N]y
Verifying server file...
Downloading file boot.bin from remote TFTP server, please wait..............................................Done.
Successd to get file.
The file flash:/system.bin already exists.Overwrite?[Y/N]y
Verifying server file...
Downloading file system.bin from remote TFTP server, please wait.......................Done.
Successd to get file.
This command will set the main startup software images. Continue? [Y/N]:y
Do you want to overwrite files without prompt? [Y/N]:y
The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1.
表11-7 upgrade命令显示信息描述表
|
字段 |
描述 |
|
The file flash:/bootrom.bin already exists.Overwrite?[Y/N] |
从服务器下载相应文件到存储介质上时,存储介质已存在同名文件,提示用户是否覆盖 |
|
Verifying server file |
检查文件是否合法 |
|
Downloading file boot.bin from remote TFTP server, please wait................................Done. |
从服务器下载文件到存储介质,完成 |
|
Successd to get file. |
从服务器下载文件到存储介质成功 |
|
This command will upgrade the Boot ROM file on the specified board(s), Continue? [Y/N]: |
这个命令会升级所有成员设备的Boot ROM程序,是否继续 |
|
Now Upgrade the Boot ROM of slot 1, please wait..........................Done. |
正在升级指定成员设备的Boot ROM程序,如果升级完成,则提示Done |
|
Successd to Upgrade the Boot ROM! |
升级指定成员设备的Boot ROM程序成功。 |
|
Verifying the IPE file and the images...................Done. |
检查IPE文件是否合法。 |
|
images in IPE |
列出IPE文件中包含的所有BIN文件(启动软件包) |
|
This command will set the main startup software images. Continue? [Y/N]: |
这个命令将会将IPE文件中包含的所有BIN文件设置为主用下次启动软件包,是否继续 |
|
Do you want to overwrite files without prompt? [Y/N]: |
如果当前路径有同名文件,是否提示用户: · 如果输入y,则不提示,直接覆盖 · 如果输入n,则询问用户是否覆盖,再根据用户的确认信息决定是否覆盖 |
|
Add images to slot 1. |
将BIN文件添加到指定成员设备上 |
|
File flash:/boot.bin already exists on slot 1. |
指定的BIN文件在指定成员设备上已存在 |
|
Decompressing file boot.bin to flash:/ boot.bin....................Done. |
将IPE文件中的BIN文件解压到存储介质 |
|
The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1. |
指定的文件将用于下次启动软件包 所有通过检查的软件包将作为成员设备1的主用下次启动软件包 |
xtd-cli-mode命令用来对设备进行调试。
undo xtd-cli-mode命令用来恢复缺省情况。
【命令】
xtd-cli-mode
undo xtd-cli-mode
【缺省情况】
未对设备进行调试。
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
执行本命令并输入正确的密码后,可对设备进行调试。
本命令仅允许H3C工程师对设备进行维护时使用,用户无需使用该命令。
本命令仅对当前登录生效,用户重新登录后,本命令会恢复到缺省情况。
【举例】
# 对设备进行调试。
<Sysname> xtd-cli-mode
All commands can be displayed and executed in extended CLI mode. Switch to extended CLI mode? [Y/N]: y
Password:
Warning: Extended CLI mode is intended for developers to test the system. Before using commands in extended CLI mode, contact the Technical Support and make sure you know the potential impact on the device and the network.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
