• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S1600系列以太网交换机 用户手册-6W208

01-正文

本章节下载 01-正文  (3.15 MB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S1600/S1626/Configure/User_Manual/H3C_S1600_UM-6W208/201812/1135303_30005_0.htm

01-正文

  录

1 您想了解什么?

2 产品介绍

2.1 产品简介

2.2 业务特性

3 登录Web设置页面

3.1 准备工作

3.1.1 计算机要求

3.1.2 建立网络连接

3.1.3 取消代理服务器

3.2 Web设置页面用户类型

3.3 登录S1600 Web设置页面

4 熟悉Web设置页面

4.1 Web设置页面介绍

4.2 常用页面控件介绍

4.3 Web设置页面超时处理

5 系统管理

5.1 保存和恢复配置信息

5.2 查看和设置系统信息

5.3 设置Web参数及Telnet用户认证方式

5.4 设置系统时间

5.4.1 简介

5.4.2 选择系统时间设置方式

5.5 恢复缺省配置

5.6 重新启动S1600

5.7 升级软件

5.8 故障维护

5.9 设置管理PC控制

5.10 退出Web设置页面

6 端口管理

6.1 设置端口基本功能

6.1.1 设置端口属性

6.1.2 设置本地端口镜像

6.1.3 端口统计

6.1.4 端口限速

6.1.5 端口流量监控

6.2 设置PoE

6.2.1 PoE简介

6.2.2 设置PoE

6.2.3 显示设备PoE

6.3 设置链路聚合

6.3.1 链路聚合简介

6.3.2 链路聚合模式

6.3.3 设置链路聚合

6.3.4 设置LACP参数

6.4 诊断端口电缆

7 设备管理

7.1 设置VLAN

7.1.1 VLAN简介

7.1.2 选择VLAN功能模式

7.1.3 设置802.1Q VLAN模式下的功能

7.1.4 设置基于端口VLAN模式下的功能

7.1.5 VLAN自动设置

7.2 设置Isolate-user-vlan

7.2.1 Isolate-user-vlan产生背景

7.2.2 Isolate-user-vlan技术优点及应用场景

7.2.3 Isolate-user-vlan技术特性

7.2.4 Isolate-user-vlan设置步骤

7.2.5 设置Isolate-user-vlan

7.2.6 设置Secondary VLAN

7.2.7 设置Isolate-user-vlan和Secondary VLAN间的映射关系

7.3 管理MAC地址表及设置MAC地址过滤

7.3.1 全局管理MAC地址表信息

7.3.2 在端口下管理MAC地址表信息

7.3.3 设置MAC地址过滤

7.4 设置QoS

7.4.1 报文优先级信任模式简介

7.4.2 队列调度简介

7.4.3 设置报文优先级信任及队列调度

7.5 设置STP

7.5.1 STP简介

7.5.2 RSTP简介

7.5.3 设置STP全局参数

7.5.4 设置端口STP参数

7.6 设置IGMP Snooping

7.6.1 IGMP Snooping原理

7.6.2 IGMP Snooping基本概念

7.6.3 IGMP Snooping工作机制

7.6.4 设置IGMP Snooping

7.6.5 设置端口从组播组中快速删除功能

7.7 设置SNMP

7.7.1 SNMP简介

7.7.2 设置SNMP Agent

7.7.3 设置SNMP Trap功能

7.8 设置信息中心

7.8.1 设置信息中心状态及日志主机

7.8.2 查看日志信息

7.8.3 查看告警信息

7.9 设置LLDP

7.9.1 LLDP简介

7.9.2 LLDP工作机制

7.9.3 协议规范

7.9.4 设置LLDP

7.10 设置端口节能

7.10.1 设置时间段

7.10.2 设置端口节能方案

8 ACL控制

8.1 ACL简介

8.1.1 ACL类型

8.1.2 ACL规则优先级模式

8.2 设置基于MAC的ACL

8.3 设置基于IP的ACL

8.4 应用ACL到端口

8.4.1 创建端口ACL的绑定

8.4.2 删除端口ACL的绑定

8.4.3 显示端口ACL的绑定

8.5 应用ACL到VLAN

8.5.1 创建VLAN ACL的绑定

8.5.2 删除VLAN ACL的绑定

8.5.3 显示VLAN ACL的绑定

9 安全专区

9.1 设置防攻击

9.1.1 设置ARP限速

9.1.2 设置防蠕虫病毒攻击

9.1.3 设置防DoS攻击

9.1.4 设置防MAC地址攻击

9.2 设置IP过滤

9.2.1 设置四元绑定

9.2.2 设置端口过滤

9.3 设置AAA

9.3.1 AAA简介

9.3.2 设置用户认证方案

9.3.3 设置本地用户

9.3.4 设置Radius Client

9.4 设置802.1X

9.4.1 802.1X简介

9.4.2 设置802.1X端口参数

9.4.3 设置802.1X全局参数

10 典型配置举例

10.1 SNMP典型组网配置举例

10.1.1 组网需求

10.1.2 组网图

10.1.3 设置步骤

10.2 ACL典型组网配置举例

10.2.1 组网需求

10.2.2 组网分析

10.2.3 组网

10.2.4 设置步骤

10.3 四元绑定典型组网配置举例

10.3.1 组网需求

10.3.2 组网分析

10.3.3 组网图

10.3.4 设置步骤

10.4 Isolate-user-vlan典型配置举例

10.4.1 节省汇聚交换机的VLAN资源

10.4.2 配合汇聚交换机实现酒店监控服务

11 附录 - 命令行设置

11.1 登录S1600

11.1.1 通过Console口搭建配置环境

11.1.2 通过Telnet搭建配置环境

11.1.3 命令行使用指导

11.2 用户设置

11.2.1 设置用户分级保护密码

11.2.2 设置AUX用户

11.2.3 设置VTY用户

11.2.4 显示用户界面

11.3 系统IP设置

11.3.1 系统IP设置

11.3.2 系统IP显示和调试

11.4 DHCP设置

11.4.1 设置DHCP Snooping

11.4.2 设置DHCP Client功能

11.5 以太网端口设置

11.5.1 以太网端口基本设置

11.5.2 设置以太网端口聚合

11.5.3 设置以太网端口镜像

11.5.4 设置以太网端口限速

11.5.5 诊断以太网端口电缆状态

11.5.6 设置端口和MAC地址绑定

11.5.7 显示与维护以太网端口

11.6 VLAN设置

11.6.1 设置802.1q VLAN

11.6.2 设置基于端口的VLAN

11.7 设置Isolate-user-vlan

11.7.1 创建和删除Isolate-user-vlan

11.7.2 建立Isolate-user-vlan和Secondary VLAN间的映射关系

11.8 QoS设置

11.8.1 设置以太网端口优先级

11.8.2 设置报文优先级信任模式

11.8.3 设置队列调度算法

11.8.4 显示QoS设置

11.9 STP设置

11.9.1 设置STP全局参数

11.9.2 设置端口STP参数

11.9.3 显示STP设置

11.10 IGMP Snooping设置

11.10.1 开启/关闭全局IGMP Snooping

11.10.2 在VLAN内开启/关闭IGMP Snooping

11.10.3 设置老化定时器

11.10.4 设置IGMP查询和响应

11.10.5 开启/关闭端口从组播组中快速删除功能

11.10.6 开启/关闭未知组播报文丢弃功能

11.10.7 开启/关闭全局IGMP Snooping查询器功能

11.10.8 在VLAN内开启/关闭IGMP Snooping查询器功能

11.10.9 IGMP Snooping的显示和调试

11.11 SNMP设置

11.11.1 设置SNMP基本功能

11.11.2 设置SNMP Trap基本功能

11.11.3 显示SNMP信息

11.12 ACL设置

11.12.1 创建ACL

11.12.2 应用ACL

11.12.3 显示ACL设置信息

11.13 安全专区设置

11.13.1 设置防攻击

11.13.2 设置四元绑定项

11.13.3 设置ARP过滤

11.13.4 设置IP过滤

11.13.5 设置AAA

11.13.6 设置802.1x

11.13.7 设置MAC-VLAN

11.14 系统管理

11.14.1 MAC地址表管理

11.14.2 配置管理

11.14.3 设备管理

11.14.4 信息中心

11.14.5 服务器管理

11.14.6 设置管理PC控制

11.15 系统调试

11.15.1 系统调试功能简介

11.15.2 启用/禁用协议调试开关

11.15.3 启用/关闭终端显示调试信息功能

11.15.4 显示调试开关状态

11.15.5 启用/禁用各命令调试开关

11.15.6 网络连通性调试

12 附录 - VLAN设置工具

13 附录 - 故障排除

14 附录 - 缺省配置

15 附录 - 产品术语

 


1 您想了解什么?

如果您想?

您可以查看

初识产品的大致形态、业务特性或者它在实际网络应用中的定位

产品介绍

通过搭建Web环境来管理设备,同时想进一步熟悉其设置页面

登录Web设置页面”和“熟悉Web设置页面

通过Web设置页面来实现端口的基本功能,比如:端口属性、端口镜像、端口链路聚合等

端口管理

通过Web设置页面来实现设备的高级业务功能,比如:VLAN规划、管理MAC地址表、SNMP、信息中心等

设备管理

通过Web设置页面来实现设备根据特定的规则对数据包进行过滤

ACL控制

通过Web设置页面来实现设备及网络环境的安全性,比如:防攻击、三元/四元绑定、802.1X等

安全专区

通过Web设置页面来设置系统相关信息,比如:软件升级、用户管理、保存和恢复配置等

系统管理

通过具体的举例来进一步理解设备的关键特性

典型配置举例

通过命令行来统一管理设备(推荐您使用简单易用的Web设置页面来进行管理,命令行相对会比较的复杂)

附录 - 命令行设置

定位或排除使用设备过程中遇到的问题

附录 - 故障排除

获取设备重要的缺省出厂配置信息

附录 - 缺省配置

 


2 产品介绍

本章节主要包含以下内容:

·              产品简介

·              业务特性

2.1  产品简介

H3C S1600系列以太网交换机(以下简称S1600)是H3C公司自主开发研制的二层以太网交换机产品,具备丰富的业务特性和安全特性,主要定位于企业、酒店、智能楼宇等细分行业,可为用户提供高性能、低成本、可网管的安全解决方案。

S1600目前包含如下型号:

·              S1626:提供24个10/100BASE-TX自协商的以太网端口、2个Combo口和一个Console口;

·              S1626-PWR:提供24个10/100BASE-TX自协商的以太网端口、2个Combo口和一个Console口。24个以太网端口支持PoE功能;

·              S1650:提供48个10/100BASE-T自协商的以太网端口、2个Combo口和一个Console口。

说明

·          对于Combo口,光口(千兆SFP光模块接口)和电口(10/100/1000Base-T自适应以太网端口)不能同时使用。若同时使用,由于电口的优先级较高,电口有效,光口无效。

·          为简化描述,本手册以S1626为例进行介绍,S1626-PWR/S1650的页面显示请以实际为准。若S1626和S1626-PWR、S1650存在特性差异,则会在该特性描述处给出具体的说明。

 

2.2  业务特性

表2-1 业务特性

项目

描述

VLAN

·          最多支持512个符合IEEE 802.1q标准的VLAN

·          最多支持26(S1626/S1626-PWR)/50(S1650)个基于端口的VLAN

QoS

·          支持802.1p、DSCP优先级

·          支持每端口4个优先级队列

·          支持WRR、HQ-WRR队列调度

端口

·          支持广播风暴抑制

·          支持端口流量控制

·          支持LLDP功能

·          支持端口节能

端口汇聚

·          支持6组端口汇聚组、每组最多8个端口

·          支持手工和静态LACP汇聚

端口镜像

支持基于端口的镜像

端口统计

支持端口报文流量和类型的统计

端口限速

支持对出入端口的报文流量进行限速

端口监控

支持WEB图表方式监控流量

PoE

支持为对端设备远程供电(仅S1626-PWR)

MAC地址表

·          支持MAC地址自动学习

·          支持手工设置MAC地址老化时间

·          最多支持8K MAC地址

组播

支持IGMP Snooping

STP

支持STP/RSTP

SNMP

支持SNMP代理

AAA

·          支持Local认证

·          支持Radius

ACL

·          支持基于MAC的ACL

·          支持基于IP的ACL

·          支持将ACL应用到端口

·          支持将ACL应用到VLAN(S1626/S1626-PWR支持)

设备管理

·          支持Web设置页面管理

·          支持Console口管理

·          支持Telnet远程管理

·          支持SNMP远程管理

·          支持管理PC控制

设备维护

·          支持调试信息输出

·          支持配置文件导入导出

·          支持Syslog(系统日志)

·          支持Ping

·          支持电缆诊断

设备IP地址分配

·          支持在管理VLAN接口上配置IP地址

·          支持在管理VLAN接口上通过DHCP方式获取IP地址

安全特性

·          支持isolate-user-vlan

·          支持高级用户密码保护

·          支持防ARP欺骗

·          支持防ARP攻击

·          支持防MAC地址攻击

·          支持端口和MAC地址绑定

·          支持防蠕虫病毒

·          支持防DoS攻击

·          支持802.1x

·          支持DHCP-Snooping

·          S1626/S1626-PWR支持IP/MAC/PORT/VLAN四元绑定,S1650支持IP/MAC/PORT三元绑定

 


3 登录Web设置页面

本章节主要包含以下内容:

·              准备工作

·              Web设置页面用户类型

·              登录S1600 Web设置页面

3.1  准备工作

完成硬件安装后(安装过程可参见《H3C S1600系列以太网交换机 快速入门》),在登录S1600的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。

3.1.1  计算机要求

请确认管理计算机已安装了以太网卡。

3.1.2  建立网络连接

1. 设置管理计算机的IP地址(本地管理)

说明

·          您需要将管理计算机的IP地址与S1600的IP地址(缺省为192.168.0. 234/255.255.255.0)设置在同一子网中。如果采用远程配置,请确保管理计算机和S1600路由可达。

·          请确认S1600的Http功能开启(缺省情况下开启Http服务器,具体配置请参见“11.14.5  2. 开启/关闭TELNET服务器”)。

·          请确认管理计算机能通过Http方式访问交换机(缺省情况下允许所有终端通过Http方式访问交换机,具体配置请参见“5.9  设置管理PC控制”或“11.14.6  设置管理PC控制”)。

·          请确认连接管理计算机进行Web设置的端口必须属于管理VLAN。缺省情况下,管理VLAN为VLAN 1,且S1600的每个端口均属于VLAN 1。

·          下文以Windows XP系统为例进行介绍,文中所示界面为示意图,请以实际界面为准。

 

操作步骤如下:

1.      单击屏幕左下角<开始>按钮进入[开始]菜单,选择[控制面板]。双击“网络连接”图标,再双击弹出的“本地连接”图标,弹出“本地连接 状态”窗口

2.      单击<属性>按钮,进入“本地连接属性”窗口

3.      选中“Internet协议(TCP/IP)”,单击<属性>按钮,进入“Internet协议(TCP/IP)属性”窗口。选择“使用下面的IP地址”单选按钮,输入IP地址(在192.168.0.1~192.168.0.254中选择除192.168.0.234之外的任意值)、子网掩码(255.255.255.0)及默认网关,确定后即可完成操作(此处假设S1600当前使用缺省IP地址)

 

2. 确认管理计算机和S1600之间的网络连通

操作步骤如下:

1.      单击屏幕左下角<开始>按钮进入[开始]菜单,选择[运行],弹出“运行”对话框

2.      输入“ping 192.168.0.234(此处是S1600的IP地址)”,单击<确定>按钮。如果在弹出的对话框中显示了从S1600侧返回的回应,则表示网络连通;否则请检查网络连接

 

3.1.3  取消代理服务器

如果当前管理计算机使用代理服务器访问因特网,则必须禁止代理服务,操作步骤如下:

1.      在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口

2.      选择“连接”页签,并单击<局域网(LAN)设置>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮

裰矺㡰矵䒨矹絰矵診矵ˍˍ

 

3.2  Web设置页面用户类型

S1600 Web设置页面有两种类型的用户:普通用户和管理员。

·              普通用户:您可以查看数据,但不能对S1600进行任何配置。

·              管理员:您既可以查看数据,也可对S1600进行功能配置。

提示

您可通过“9.3.3  设置本地用户”来设置Web设置页面用户类型。

 

3.3  登录S1600 Web设置页面

运行Web浏览器,在地址栏中输入http://192.168.0.234。回车后,输入用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。

图3-1 登录Web设置页面

 

说明

为了安全起见,首次登录后,建议您修改缺省的登录密码,修改方法请参见“9.3.3  设置本地用户”。

 


4 熟悉Web设置页面

S1600提供非常简便的Web设置页面,您可以通过该设置页面快速地完成所需功能的配置。本章将带领您先了解和熟悉Web设置页面。

本章节主要包含以下内容:

·              Web设置页面介绍

·              常用页面控件介绍

·              Web设置页面超时处理

4.1  Web设置页面介绍

成功登录后,进入Web设置页面,如图4-1所示。

图4-1 Web设置页面示意图

 

提示

当您想要设置某项功能时,可以单击导航栏中的菜单项,并选择相应的页签,即可开始设置。

 

4.2  常用页面控件介绍

表4-1 常用页面控件介绍

控件

描述

文本框,用于输入文本

单选按钮,用于从多个选项中选择一项

复选框,用于选中指定的列表项。当您双击某复选框时,可选中所有的列表项

下拉列表框,用于选择相应的列表项

在“刷新速率”列表框中选择刷新频率后,页面的数据会自动根据该刷新频率进行更新

打开Web设置页面的在线帮助页面,提供当前页面操作时的帮助信息

提交输入的信息以及对当前系统提供信息的确认

取消当前的配置输入

新建当前页面的一个项目

选中当前页面的所有端口

刷新当前页面的配置

删除当前页面中所选择的项目

删除所对应的列表项

对指定的某些端口进行批量化配置

对指定的某些配置项进行批量化删除

删除所有当前页面已配置的项目

 

4.3  Web设置页面超时处理

当您长时间没有操作Web设置页面时,系统超时并将注销本次登录,并返回到Web设置登录对话框(如图3-1所示)。

说明

Web设置页面的超时时间缺省为5分钟。如果您需要修改该超时时间,相关操作请参见“5.3  设置Web参数及Telnet用户认证方式”。

 


5 系统管理

本章节主要包含以下内容:

·              保存和恢复配置信息

·              查看和设置系统信息

·              设置Web参数及Telnet用户认证方式

·              设置系统时间

·              恢复缺省配置

·              重新启动S1600

·              升级软件

·              故障维护

·              退出Web设置页面

5.1  保存和恢复配置信息

注意

当您在设置页面上配置完所有项目后,请务必保存配置,否则未保存的配置信息会因为重新启动等操作而丢失。

 

页面向导:保存配置→保存配置

本页面为您提供如下主要功能:

·          单击<保存>按钮,确认后,您可保存当前S1600的配置信息

·          单击<备份>按钮,选择配置文件备份路径后,您可将S1600当前的配置保存到计算机,方便日后通过该文件(*.cfg)恢复配置

·          单击<浏览>按钮,选择之前备份过的文件(*.cfg),单击<恢复>按钮,确定后,您可将S1600恢复到之前的配置(S1600自动重新启动后,配置生效)

 

5.2  查看和设置系统信息

页面向导:系统管理→系统信息

本页面为您提供如下主要功能:

·          查看系统相关信息,例如:S1600当前运行的软件版本、MAC地址、管理VLAN等

·          设置系统相关参数,例如:重新设置S1600 IP地址获取方式(静态设置或DHCP动态获取)、设置MAC地址老化时间等

 

页面中关键项的含义如下表所示。

表5-1 页面关键项描述

页面关键项

描述

软件版本/硬件版本/引导器版本

显示S1600当前运行软件的版本号、硬件版本号及引导器版本号

说明:

页面中的软件版本信息仅作参考,请以S1600加载软件版本后的最终显示为准

MAC地址

显示S1600的MAC地址

运行时间

显示S1600自上电后持续运行的时间

生产序列号

显示S1600的生产序列号。同时,您可单击“条码防伪查询”链接登录到H3C网站验证产品的真伪

管理VLAN

显示S1600管理VLAN ID

系统名称

自定义S1600的设备名称,便于您通过该名称对设备进行快速地定位

DHCP获取地址

DHCP采用“客户端/服务器”通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。在DHCP的典型应用中,一般包含一台服务器和多台客户端(如PC和便携机)

如果您想让S1600从网络上自动获取IP地址(若DHCP Server存在且网络正常连接),则可以开启DHCP Client功能

说明:

·          开启DHCP Client功能后,您需要通过Console口下的display ip命令来查看自动分配到的IP地址

·          关闭DHCP Client功能后,您需要手动设置S1600的静态IP地址

本地IP地址

设置S1600的静态IP地址

本地子网掩码

设置S1600静态IP地址的子网掩码

网关IP地址

设置S1600的网关IP地址

MAC地址老化时间

设置S1600中动态MAC地址表项的老化时间

 

5.3  设置Web参数及Telnet用户认证方式

页面向导:系统管理→用户管理

本页面为您提供如下主要功能:

·          设置Web用户超时时间

·          开启/关闭Web登录验证码功能

·          管理Telnet用户登录

 

页面中关键项的含义如下表所示。

表5-2 页面关键项描述

页面关键项

描述

超时时间

设置Web设置页面的超时时间,缺省为5分钟

WEB登录验证码

当您关闭了Web登录验证码功能后,用户登录Web设置页面时则不再需要输入验证码

telnet管理

如果您想通过Telnet方式登录到S1600进行命令行管理,则必须选中“开启”选项,并设置相应的认证方式,单击<确定>按钮生效

S1600支持三种Telnet用户认证方式,如表5-3所示,您可以根据实际需求进行选择

 

表5-3 Telnet用户认证方式

认证方式

描述

none

不认证,即Telnet登录到S1600时不提示验证,直接进入命令行管理

password

本地认证,即Telnet登录到S1600时需要进行本地密码验证,验证成功后,方可进入命令行管理。最多允许创建2个Telnet用户(分别对应VTY0用户界面和VTY1用户界面)。用户创建后,您可尝试通过Telnet搭建配置环境来进行验证

说明:

·          您想创建1Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“开启”,并设置Telnet用户登录密码,确认后即可完成创建

·          当您想删除已创建的Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“关闭”,确认后即可删除

·          当您想修改已创建Telnet用户的密码时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“修改密码”,并设置新密码,确认后即可完成修改

scheme

通过S1600的AAA功能模块设置Telnet用户认证方案进行认证,相关操作请参见“9.3  设置AAA

 

5.4  设置系统时间

5.4.1  简介

S1600支持通过NTP服务器来自动获取系统时间和手工设置系统时间两种方式。

1. 通过NTP服务器自动获取系统时间

NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。

使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟。

对于网络中的各台设备来说,如果单依靠管理员手工修改系统时间,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。

当S1600通过NTP成功获取到系统时间后,该时间会根据您选择的时区做相应的调整。

2. 手工设置系统时间

手工设置的系统时间不会与其他设备进行同步。当交换机重新启动后,手工设置的系统时间会恢复为缺省值(2000年1月1日0时0分0秒)。

5.4.2  选择系统时间设置方式

页面向导:系统管理→系统时间

本页面为您提供如下主要功能:

·          手动设置S1600的当前时间或通过NTP服务器来保持时间自动同步

 

页面中关键项的含义如下表所示。

表5-4 页面关键项描述

页面关键项

描述

服务器设置

通过设置NTP服务器来保持S1600的当前时间与其同步

设置步骤:

1.      在“时区”下拉列表中选择相应的时区

2.      单击“服务器设置”单选按钮,输入正确的NTP服务器IP地址及自动更新间隔

3.      单击<确定>按钮完成设置

手动配置日期和时间

通过手动方式来设置S1600的当前时间

设置步骤:

1.      在“时区”下拉列表中选择相应的时区

2.      单击“手动配置日期和时间”单选按钮,设置当前的时间

3.      单击<确定>按钮完成设置

 

5.5  恢复缺省配置

注意

·          恢复出厂缺省配置后,当前的配置将会丢失。如果您希望保存当前配置信息,请进行备份

·          恢复出厂缺省配置的过程中,请您不要对S1600进行其他操作,否则可能造成S1600不能正常工作。

 

页面向导:系统管理→恢复缺省配置

本页面为您提供如下主要功能:

·          将S1600恢复为出厂缺省配置(请慎用)

 

说明

当您选择<恢复配置,但保留管理IP>按钮来恢复S1600出厂缺省配置后,则可以继续使用当前的IP地址重新登录S1600进行设置和管理;当您选择<恢复缺省配置>按钮,则需要使用缺省的IP地址重新登录S1600进行设置和管理。

 

5.6  重新启动S1600

注意

重新启动S1600之前,请您先保存当前配置。否则重新启动后,未保存的配置信息将会丢失。

 

页面向导:系统管理→重启动

本页面为您提供如下主要功能:

·          重新启动S1600

 

5.7  升级软件

注意

在升级过程中,请勿将S1600断电。

 

页面向导:系统管理→软件升级

本页面为您提供如下主要功能:

·          将S1600软件升级到最新版本,可使您的设备性能更稳定、功能更优越(单击<浏览>按钮,选择最新的版本文件,单击<确定>按钮,即可开始升级)

 

5.8  故障维护

页面向导:系统管理→故障维护

当S1600运行出现异常时,您可以分别单击页面中的<故障收集>和<配置导出>按钮,确认后,S1600可以自动把当前故障定位所需的各种信息及配置信息压缩成定位信息文件下载到本地。H3C技术支持人员可以根据该文件快速、准确地定位问题,从而可以更好地为您解决S1600的使用问题。

5.9  设置管理PC控制

管理PC控制主要用于授权指定IP地址或者IP网段的主机按照特定的服务类型访问设备。

说明

·          服务类型分为Telnet、Http和SNMP。
Telnet:是指可以通过支持Telnet协议的工具访问设备。
Http:是指可以通过Web管理页面访问设备。
SNMP:是指可以通过SNMP管理站访问设备。

·          如果不配置管理PC控制,所有路由可达的主机均可以通过Telnet、Http或SNMP方式连接并管理设备。

 

页面向导:系统管理→管理PC控制→管理PC控制

本页面为您提供如下主要功能:

·          显示所有管理PC的配置记录(主页面)

·          删除单条管理PC的配置记录(单击主页面上待删除记录后面的<删除>按钮生效)

·          批量删除管理PC的配置记录(在主页面勾选多条配置记录,单击<批量删除>按钮生效)

·          新建管理PC配置(单击主页面上的<新建>按钮,进入相应页面。输入起始IP地址、结束IP地址并且勾选服务类型,单击<确定>按钮生效)

·          修改管理PC配置(单击主页面上待修改管理PC的配置记录,进入相应页面。修改起始IP地址、结束IP地址或者重新勾选服务类型,单击<确定>按钮生效)

 

5.10  退出Web设置页面

如果您已经完成了所有配置项的设置以及保存操作,需要退出Web设置页面,可单击导航栏中的,确认后即可退出。

 


6 端口管理

本章节主要包含以下内容:

·              设置端口基本功能

·              设置PoE

·              设置链路聚合

·              诊断端口电缆

6.1  设置端口基本功能

6.1.1  设置端口属性

页面向导:端口管理→端口设置→端口设置

本页面为您提供如下主要功能:

·          显示S1600当前端口的属性状态(主页面)

·          设置单个端口的属性(单击主页面上端口对应的表项,进入相应的设置页面)

·          批量地设置指定端口的属性(单击主页面上的<批量配置>按钮,进入相应的设置页面)

 

页面中关键项的含义如下表所示。

表6-1 页面关键项描述

页面关键项

描述

链接状态

端口的实际工作速率和模式,若未连接显示为“--”

速率/双工

端口的双工模式存在三种情况:

·          当您希望端口在发送报文的同时可以接收报文,可以将端口设置为全双工(full)属性;

·          当您希望端口同一时刻只能发送报文或接收报文时,可以将端口设置为半双工(half)属性;

·          当您设置端口为自协商(auto)状态时,端口的双工状态由本端口和对端端口自动协商而定

缺省情况下,端口的速率和双工模式均为自协商

优先级

端口的优先级别共0~7级,0为最低,7为最高

对于不带有802.1Q标签头的报文,S1600将使用端口的优先级作为该端口接收报文的802.1p优先级,然后根据该优先级查找本地优先级映射表,为报文标记本地优先级

缺省情况下,端口的优先级为0

流控

当S1600和对端交换机都开启了流量控制功能后,如果S1600发生拥塞:

1.      S1600将向对端交换机发送流控帧,通知对端交换机暂时停止发送报文

2.      对端交换机在接收到该流控帧后,将暂停向S1600发送报文,从而避免了报文丢失现象的发生,保证了网络业务的正常运行

缺省情况下,端口流控处于关闭状态

开启/关闭

开启/关闭端口。如果某端口显示关闭,则不能转发数据

缺省情况下,端口处于开启状态

风暴抑制比

您可以在端口下设置其允许通过的最大广播/组播/未知单播报文流量。当端口上的广播/组播/未知单播流量超出您设置的值后,S1600将丢弃超出广播/组播/未知单播流量限制的报文,从而使端口广播/组播/未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行

缺省情况下为100%,表示不抑制

隔离状态(隔离)

通过端口隔离特性,您可以将需要进行控制的端口加入到一个隔离组中(“开启”表示加入到隔离组;“关闭”表示退出隔离组),实现隔离组中的端口之间二层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案

缺省情况下,端口未加入到隔离组

说明:

·          只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口的通信不会受到影响

·          当聚合组中的某个端口加入或离开隔离组时,该聚合组中的其它端口,均会自动加入或离开该隔离组

·          当聚合组中的某个端口离开聚合组时,该聚合组中的其他端口仍将处于隔离组中,即该聚合组中端口的隔离属性不受影响

·          当未隔离端口加入到已隔离的聚合组时,该端口为自动加入隔离组

·          端口隔离特性与以太网端口所属的VLAN无关

 

6.1.2  设置本地端口镜像

端口镜像是将被镜像端口的报文复制一份到监控端口,监控端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到监控端口的报文,进行网络监控和故障排除。

S1600提供本地端口镜像功能,即被镜像端口和监控端口在同一台设备上。

图6-1 本地端口镜像示意图

 

页面向导:端口管理→端口设置→端口镜像

本页面为您提供如下主要功能:

·          通过设置被镜像端口和监控端口实现S1600本地端口镜像

 

页面中关键项的含义如下表所示。

表6-2 页面关键项描述

页面关键项

描述

监控端口(镜像端口)

选择监控端口,“不镜像”表明关闭S1600的端口镜像功能

说明:

·          若某端口被设为监控端口后,不能再设置为被镜像端口

·          仅当您设置了监控端口后,才能设置被镜像端口

·          对于已加入某个汇聚组的端口不允许设置为监控端口

镜像方向

选择被镜像端口,“不镜像”表明该端口不被镜像

镜像方向含义如下:

·          镜像入端口:只有该端口接收的报文才被镜像到监控端口

·          镜像出端口:只有该端口发送的报文才被镜像到监控端口

·          镜像入和出端口:出入该端口的报文均被镜像到监控端口

 

6.1.3  端口统计

页面向导:端口管理→端口设置→端口统计

本页面为您提供如下主要功能:

·          查看S1600各端口接收/发送的总数据包信息(主页面)

·          查看S1600指定端口的接收/发送的各类错误包个数(单击主页面上端口对应的表项,即可进入相应的统计信息页面)

 

页面中关键项的含义如下表所示。

表6-3 页面关键项描述

页面关键项

描述

刷新速率

您可选择刷新速率来定时自动更新当前页面的统计数据

清零/统计清零

您可单击该按钮来清空当前页面的统计数据

刷新/统计刷新

您可单击该按钮来立即更新当前页面的统计数据

 

表6-4 端口接收/发送的数据包描述

报文

描述

接收统计

总数据包

接收报文的总数量

总字节数

接收报文的总字节数

广播包

接收广播报文的总数量

多播包

接收多播报文的总数量

接收错误包

接收错误报文的总数量

Runts错误包

CRC正确,且数据帧长度小于64字节的报文数量

Giants错误包

CRC正确,且数据帧长度大于1518字节的报文数量

CRC错误包

CRC错误,且数据帧长度处于64~1518字节的报文数量

Frame错误包

数据帧长度处于64~1518字节,且报文的FCS(帧校验序列)的字节数为非整数的报文数量

Aborts错误包

接收到的非法报文总数,非法报文包括:

·          报文碎片:长度小于64字节(长度可以为整数或非整数)且CRC校验错误的帧

·          jabber帧:大于1518或1522字节,且CRC校验错误(报文字节可以为整数或非整数)

·          符号错误帧:报文中至少包含1个错误的符号

·          长度错误帧:报文中802.3长度字段与报文实际长度(46~1500字节)不匹配

Ignored错误包

由于端口接收缓冲区不足等原因而丢弃的报文数量

发送统计

总数据包

发送报文的总数量

总字节数

发送报文的总字节数

广播包

发送广播报文的总数量

多播包

发送多播报文的总数量

发送错误包

发送错误报文的总数量

Aborts错误包

发送失败的报文总数,即报文已经开始发送,但由于各种原因(如冲突)而导致发送失败

Deferred错误包

第一次传输请求由于网络忙而延迟的报文数量

Collisions错误包

端口在报文传输过程中所产生冲突的报文数量

Late collisions错误包

延迟冲突帧的数量,延迟冲突帧是指帧的前512 bits已经被发送,由于检测到冲突,该帧被延迟发送

 

6.1.4  端口限速

端口限速是指基于端口的速率限制,它采用令牌桶进行报文流量的控制。令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。

端口限速支持入/出两个方向,为了方便描述,此处以出端口限速处理过程为例:

所有经由该端口发送的报文首先要经过令牌桶进行处理。当令牌桶中存有令牌时,报文可以根据该令牌进行发送;否则,报文将进入端口缓存进行拥塞管理。这样,就可以对通过该端口的报文流量进行控制,如图6-2所示。

图6-2 端口限速处理过程示意图

 

页面向导:端口管理→端口设置→端口限速

本页面为您提供如下主要功能:

·          查看S1600各端口入/出端口限速状态(主页面。“--”表示未进行限速)

·          设置单个端口的入/出端口限速(单击主页面上端口对应的表项,进入相应的页面)

·          批量地设置指定端口的入/出端口限速(单击主页面上的<批量配置>按钮,进入相应的页面)

 

6.1.5  端口流量监控

用户通过端口流量监控,能够以图形的方式来监控设备每个端口的当前流量以及指定端口一段时间内的流量变化。

流量监控由流量监控柱状图和流量监控折线图组成:

·              流量监控柱状图:用柱状图来显示各端口当前接收速率和发送速率的状态。

·              流量监控折线图:用折线波动方式显示指定端口的一段时间内的流量变化。

说明

流量监控柱状图的高度是当前端口接收/发送速率相对于流量上限的比重乘以柱状图的最大高度。

流量监控折线图中最多显示120个抽样点。

 

页面向导:端口管理→端口设置→流量监控

本页面为您提供如下主要功能:

·          通过速率柱状图监控端口流量

·          在“流量上限”下拉框中选择柱状图的上限值,便可观察各端口接收/发送速率相对于该上限值所占的比重,当比重超过95%,柱状图边框会有红色预警

·          在“抽样间隔”下拉框中选择时间间隔,便可使页面按照该时间间隔刷新

·          鼠标滑到某端口柱状图上,便可出现黄色文本框,显示端口号,接收速率和发送速率。单击该柱状图,便可观察该端口速率折线图

·          单击页面上的<停止监控>按钮,流量监控暂停;单击<恢复监控>按钮,流量监控功能恢复

·          通过速率折线图监控端口流量

·          单击柱状图中的端口号或在“端口号”下拉框中选择指定的端口,便可实时观察该端口的速率变化

·          折线图底部显示接收速率和发送速率的当前值,峰值和均值

 

6.2  设置PoE

说明

本配置仅S1626-PWR支持。

 

6.2.1  PoE简介

PoE是指设备通过以太网电口,利用双绞线对网络远端下挂的受电设备进行远程供电,实现供电和数据传输并行的机制。

1. PoE系统组成

PoE系统由PSE、PD、和PI三部分组成:

·              PSE:由电源和PSE功能模块构成。可实现PD检测、PD功率信息获取、远程供电、供电监控、设备断电功能;

·              PD:接受PSE供电的设备。分为标准PD和非标准PD,标准的PD是指符合802.3at标准的PD设备。常见的PD有IP电话、无线AP、网络摄像头等;

·              PI:PSE/PD与网线的接口,也就是RJ-45接口。

2. PoE供电的优点

·              可靠:集中式电源供电,备份方便,电源统一管理,安全性高;

·              连接简捷:网络终端不需要外接电源,只需要一根网线;

·              标准:符合802.3at标准,使用全球统一的电源接口;

·              应用前景广泛:可以用于IP电话、无线AP(Access Point)、便携设备充电器、刷卡机、网络摄像头、数据采集系统等。

3. 设备PoE特性

表6-5 PoE机型供电特性参数

机型

输入电源

对外供电的电口数目

最长供电距离

每个电口提供的最大功率

整机最大PoE输出功率

S1626-PWR

交流

24(端口1~端口24)

100m

30W

154W

 

设备PoE机型特点:

·              作为供电方设备,支持IEEE802.3at线路供电标准,也可以对一部分不符合802.3at标准的设备供电;

·              可通过3/5类双绞线的数据线(1、2、3、6)同时传递数据和电流;

·              可对每个PoE端口以及整个设备的供电情况进行统计,通过WEB进行显示;

·              在电源设备功率过载时,提供两种方式(自动方式和手动方式)对端口供电进行管理。

说明

若S1626-PWR的受电设备支持LLDP功能并希望获取S1626-PWR的供电信息,可通过开启双方设备的LLDP功能实现。

 

6.2.2  设置PoE

页面向导:端口管理→PoE配置→PoE设置

本页面为您提供如下主要功能:

·          选择待配置的PoE端口(端口25、26不支持PoE配置)

·          设置端口PoE供电的最大功率

·          设置端口PoE功能开启或关闭

·          设置端口PoE供电方式和端口供电优先级

 

页面中关键项的含义如下表所示。

表6-6 页面关键项描述

页面关键项

描述

供电级别

选择端口PoE供电的最大功率,选择中功率则端口最大提供25瓦的功率输出,选择高功率则端口提供最大30瓦的功率输出

PoE状态

选择开启或关闭端口PoE功能,缺省端口PoE处于开启状态

PoE模式

如果端口选择自动供电模式,则设备优先满足端口号小的端口供电

如果端口选择保证供电模式,则设备优先保证该端口的供电

 

6.2.3  显示设备PoE

页面向导:端口管理→PoE配置→PoE显示

本页面为您提供如下主要功能:

·          显示PoE设备软件版本及设备PoE供电状态信息

·          显示全部端口供电状态图示信息

·          显示选择端口供电状态信息

 

页面中关键项的含义如下表所示。

表6-7 页面关键项描述

页面关键项

描述

设备显示

显示PoE软件版本、设备PoE供电状态,当前设备最大功率、受电设备占用功率及设备剩余功率等

全部端口状态显示

显示端口PoE输出功率状态,根据颜色显示端口状态,绿色水线表示已使用功率占端口最大功率的比例

选择端口状态显示

选择指定端口显示端口PoE的供电状态,端口供电模式,最大功率和已使用功率

 

6.3  设置链路聚合

6.3.1  链路聚合简介

1. 链路聚合的作用

链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。

链路聚合可以实现出负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。

图6-3所示,Device A与Device B之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路Link aggregation 1,这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。

图6-3 链路聚合示意图

聚合-E

 

2. 链路聚合的基本概念

聚合组

聚合组是一组以太网端口的集合。聚合组是随着聚合端口的创建而自动生成的,其编号与聚合端口编号相同。

聚合组中的成员端口在稳定时有下面两种状态:

·              Selected状态:处于此状态的端口可以参与转发用户业务流量;在一个聚合组中,处于Selected状态的端口中的最小端口是聚合组的主端口,其他的作为成员端口。

·              Standby状态:处于此状态的端口不能转发用户业务流量。

在聚合过程中可能会有短暂的unselected状态,只是一个中间状态,可以不关心。

聚合端口的速率、双工状态由其Selected成员端口决定:聚合端口的速率是Selected成员端口的速率之和,聚合端口的双工状态与Selected成员端口的双工状态一致。

LACP协议

基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU与对端交互信息。

启动某端口的LACP协议后,该端口将通过发送LACPDU向对端通告自己的系统LACP优先级、系统MAC、端口优先级、端口号和操作Key。对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组达成一致。

说明

操作Key是在链路聚合时,聚合控制根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。

 

6.3.2  链路聚合模式

S1600支持以下两种链路聚合模式:

·              手工聚合

·              静态LACP聚合

链路聚合后,成员端口的基本配置和主端口的基本配置保持一致,即在同一个汇聚组中,能进行出/入负荷分担的成员端口具有相同的基本配置。基本配置包括:

·              STP配置一致,包括:端口的STP开启/关闭、STP优先级、STP开销、是否开启环路保护和根保护、是否为边缘端口等。

·              QoS配置一致。

·              ACL配置一致。S1650不支持ACL配置同步。

·              VLAN配置一致,包括:端口上允许通过的VLAN、端口缺省VLAN ID。

·              端口的链路类型一致。

1. 手工聚合

手工聚合简介

手工聚合由用户手工配置,不允许系统自动添加或删除聚合组中的端口。聚合组中必须至少包含一个端口。

手工聚合端口的LACP协议处于关闭状态。

手工聚合组中的端口状态

在手工聚合组中,加入到聚合组中的端口将处于Selected状态。

说明

手工聚合时,系统对端口的速率和双工设置未作限制。

 

2. 静态LACP聚合

静态LACP聚合简介

静态LACP模式由用户手工配置,不允许系统自动添加或删除聚合组中的端口。

静态LACP聚合端口的LACP协议为开启状态。

静态LACP聚合组中的端口状态

在静态聚合组中,系统按照以下原则设置端口处于Selected或者Standby状态:

·              当聚合组内有处于up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口作为该组的主端口。只有与主端口的速率、双工属性和链路状态一致的端口才允许成为Selected状态,其他端口均处于Standby状态。

·              与处于Selected状态的最小端口所连接的对端设备不同,或者连接的是同一个对端设备但端口在不同的聚合组内的将处于Standby状态。

·              因存在硬件限制而无法与主端口聚合的端口将处于Standby状态。

·              与主端口基本配置不同的端口将处于Standby状态。

6.3.3  设置链路聚合

说明

对于处于以下情况的端口不能加入聚合组:

·          开启了802.1x功能的端口

·          镜像监控端口

·          开启了MAC地址过滤功能的端口

·          开启了IP地址过滤功能的端口

 

页面向导:端口管理→链路聚合→链路聚合

本页面为您提供如下主要功能:

·          查看当前的链路聚合状态及设置聚合算法(主页面)

·          创建新的链路聚合,有手工和静态LACP两种模式供您选择(单击主页面上的<新建>按钮,进入相应的页面)

·          修改已创建的链路聚合(选中主页面上的某表项,双击它或单击<修改>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表6-8 页面关键项描述

页面关键项

描述

聚合算法

端口汇聚一般有三种物理链路的分配算法:

·          基于源MAC地址:表示汇聚组中各成员端口根据源MAC地址进行负荷分担

·          基于目的MAC地址:表示汇聚组中各成员端口根据目的MAC地址进行负荷分担

·          基于源MAC地址和目的MAC地址:表示汇聚组中各成员端口根据源MAC地址和目的MAC地址进行负荷分担

缺省情况下,S1600汇聚组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担

 

6.3.4  设置LACP参数

1. 设置端口LACP参数

页面向导:端口管理→链路聚合→LACP端口设置

本页面为您提供如下主要功能:

·          显示当前所有端口的LACP参数状态(主页面)

·          设置单个端口的LACP参数(单击主页面上端口对应的表项,进入相应的页面)

·          批量地设置指定端口的LACP参数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表6-9 页面关键项描述

页面关键项

描述

优先级(LACP端口优先级)

缺省情况下,LACP端口优先级为32768

聚合组

端口所属的聚合组,“--”表示该端口未加入聚合组

 

2. 设置全局LACP参数

页面向导:端口管理→链路聚合→LACP全局设置

本页面为您提供如下主要功能:

·          设置系统LACP优先级,缺省为32768

 

6.4  诊断端口电缆

注意

在电缆诊断过程中,请不要插拔端口网线。

 

页面向导:端口管理→电缆诊断→电缆诊断

本页面为您提供如下主要功能:

·          当线路出现故障时,您可对端口所连接的电缆进行诊断,便于您检查网络中电缆的工作情况(在“端口”文本框中输入需要诊断的端口号,单击<确定>按钮,即可完成该端口的电缆诊断)

 

诊断结果说明如下表所示。

表6-10 诊断结果描述

诊断信息

描述

状态

显示端口的连接状态

说明:

显示为“正常”表明端口已连接;显示为“开路”表明端口未连接;显示为“短路”表明某对差分线发生了短路

长度

·          当电缆状态为“正常”时,显示信息中不体现连接电缆的长度

·          当电缆状态为“短路”时,显示信息中的长度是指从本接口到异常位置的长度

 


7 设备管理

本章节主要包含以下内容:

·              设置VLAN

·              设置Isolate-user-vlan

·              管理MAC地址表及设置MAC地址过滤

·              设置QoS

·              设置STP

·              设置IGMP Snooping

·              设置SNMP

·              设置信息中心

·              设置LLDP

7.1  设置VLAN

7.1.1  VLAN简介

1. VLAN概述

传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:

·              HUB是物理层设备,没有交换功能,接收到的报文会向除接收端口外的所有端口转发;

·              交换机是数据链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除接收端口之外的所有端口转发。

上述情况会造成以下的网络问题:

·              网络中可能存在着大量广播和未知单播报文,浪费网络资源。

·              网络中的主机收到大量并非以自身为目的地的报文,引起了严重的安全隐患。

解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器,因为路由器是依据目的IP地址对报文进行转发,不会转发链路层的广播报文。但是路由器的成本较高,而且端口较少,无法细致地划分网络,所以使用路由器隔离广播域有很大的局限性。

为了解决以太网交换机在局域网中无法限制广播的问题,VLAN技术应运而生。

VLAN的组成不受物理位置的限制,因此同一VLAN内的主机也无须放置在同一物理空间里。

图7-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。同一VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互,而处在不同VLAN内的主机之间如果需要通信,则必须通过路由器或三层交换机等网络层设备才能够实现。

图7-1 VLAN组网示意图

 

2. VLAN的优点

与传统以太网相比,VLAN具有如下的优点:

·              控制广播域的范围:局域网内的广播报文被限制在VLAN内,节省了带宽,提高了网络处理能力。

·              增强了LAN的安全性:由于报文在数据链路层被VLAN划分的广播域所隔离,因此各个VLAN内的主机间不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。

·              灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。

3. VLAN功能模式

S1600支持以下两种VLAN功能模式:

·              802.1Q VLAN模式:由IEEE 802.1Q协议定义,通过识别报文中的Tag标记(包括802.1p优先级和VLAN ID等信息)来对报文进行处理。

·              基于端口的VLAN模式:根据端口所属的用户组来对报文进行处理,即属于同一个用户组的端口能互相通信,不同用户组的端口二层隔离。比如:一台网络服务器供4个用户访问使用,用户1和其他三个用户能互通但其他三个用户之间均隔离。此时,您就可以通过此模式来划分不同的用户组进行实现,即将用户1分别和其他三个用户划分到不同的用户组。

7.1.2  选择VLAN功能模式

注意

VLAN功能模式改变之后,之前所做的VLAN配置将丢失。

 

页面向导:设备管理→VLAN设置→高级

本页面为您提供如下主要功能:

·          选择S1600的VLAN功能模式(缺省情况下,VLAN功能模式为802.1Q VLAN)

 

7.1.3  设置802.1Q VLAN模式下的功能

说明

您需要先将S1600的VLAN功能模式设置为802.1Q VLAN模式,相关操作请参见“7.1.2  选择VLAN功能模式”。

 

1. 简介

(1)      VLAN Tag

为使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,识别字段需要添加到数据链路层封装中。

IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN Tag的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图7-2所示。

图7-2 传统以太网帧封装格式

 

其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文上层协议的类型字段,Data表示报文的具体内容。

IEEE 802.1Q协议规定,在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。

图7-3 VLAN Tag的组成字段

 

图7-3所示,VLAN Tag包含四个字段,分别是TPID、Priority、CFI和VLAN ID。

·              TPID:用来标识本数据帧是带有VLAN Tag的数据帧。该字段长度为16bit,缺省取值为协议规定的0x8100。

·              Priority:用来表示802.1p的优先级。该字段长度为3bit。

·              CFI:用来标识MAC地址是否以标准格式进行封装。该字段长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。

·              VLAN ID:用来标识该报文所属VLAN的编号。该字段长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。

(2)      端口链路类型

S1600支持的端口链路类型有三种:

·              Access:端口只能属于1个VLAN,一般用于连接用户设备。缺省情况下,所有端口都属于Access端口;

·              Trunk:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于网络设备之间连接;

·              Hybrid:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。

Hybrid端口和Trunk端口的不同之处在于:

·              Hybrid端口允许多个VLAN的报文发送时不带Tag标签;

·              Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。

缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。

·              Access端口的缺省VLAN就是它所属的VLAN;

·              Trunk端口和Hybrid端口属于多个VLAN,需要配置缺省VLAN。

说明

三种类型的端口可以共存在一台S1600上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:将Trunk切换为Hybrid端口时,需要先将Trunk端口设置为Access端口,再设置为Hybrid端口。

 

在配置了端口链路类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参见下表。

表7-1 端口收发报文的处理

端口类型

对接收报文的处理

对发送报文的处理

当接收到的报文不带Tag时

当接收到的报文带有Tag时

Access

为报文打上端口缺省VLAN ID所对应的VLAN Tag

·          当报文VLAN ID与端口缺省VLAN ID相同时,接收该报文

·          当报文VLAN ID与端口缺省VLAN ID不同时,丢弃该报文

删除报文的Tag后再转发

Trunk

对比端口缺省VLAN ID是否在允许通过的VLAN ID中:是,给报文打上端口缺省VLAN ID所对应的VLAN Tag;否,丢弃该报文

·          当报文VLAN ID在允许通过的VLAN ID中时,则接收该报文

·          当报文VLAN ID不在允许通过的VLAN ID中时,则丢弃该报文

·          当报文VLAN ID与端口缺省VLAN ID相同时:去掉Tag,发送该报文

·          当报文VLAN ID与端口缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文

Hybrid

当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过“4. 设置Hybrid端口”配置端口在发送该VLAN的报文时是否携带Tag

 

2. 创建/显示/维护VLAN

页面向导:设备管理→VLAN设置→802.1Q VLAN

本页面为您提供如下主要功能:

·          显示和查询S1600的VLAN信息及其所包含的端口(主页面。VLAN 1缺省包含所有的端口)

·          新建VLAN(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入所需创建的VLAN,单击<确定>按钮生效)

·          新建Access端口(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入VLAN,并选择需要加入该VLAN的端口,单击<确定>按钮生效)

·          修改VLAN中的Access端口(单击主页面上VLAN对应的表项,进入相应的页面。重新指定需要加入该VLAN中端口,单击<确定>按钮生效)

 

3. 设置Trunk端口

页面向导:设备管理→VLAN设置→Trunk端口

本页面为您提供如下主要功能:

·          显示S1600当前的Trunk端口信息(主页面)

·          新建Trunk端口(单击主页面上的<新建>按钮,进入相应的页面。指定Trunk端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效)

·          修改Trunk端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效)

 

说明

端口缺省VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。

 

4. 设置Hybrid端口

页面向导:设备管理→VLAN设置→Hybrid端口

本页面为您提供如下主要功能:

·          显示S1600当前的Hybrid端口信息(主页面)

·          新建Hybrid端口(单击主页面上的<新建>按钮,进入相应的页面。指定Hybrid端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效)

·          修改Hybrid端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效)

 

说明

·          在“Tagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文带VLAN Tag;在“Untagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文不带VLAN Tag。

·          端口缺省的VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。

 

7.1.4  设置基于端口VLAN模式下的功能

说明

您需要先将S1600的VLAN功能模式设置为基于端口VLAN模式,相关操作请参见“7.1.2  选择VLAN功能模式”。

 

页面向导:设备管理→VLAN设置→基于端口VLAN

本页面为您提供如下主要功能:

·          显示和查询S1600当前的用户组信息(主页面)

·          新建用户组(单击主页面上的<新建>按钮,进入相应的页面。设置用户组ID,即VLAN ID,并根据实际需求选择需要加入该用户组的端口,单击<确定>按钮生效)

·          修改用户组(单击主页面上VLAN对应的表项,进入相应的页面。修改需要加入该用户组的端口,单击<确定>按钮生效)

 

7.1.5  VLAN自动设置

VLAN自动设置功能主要是配合H3C提供的VLAN设置工具使用的。当S1600的VLAN自动设置功能开启后,您可以通过VLAN设置工具来设置并获取酒店房间与S1600端口的对应关系,便于排查酒店布线结构。

说明

·          VLAN自动设置功能只允许在802.1Q VLAN模式下操作。

·          您可以在H3C网站下载VLAN设置工具,具体的操作请参见“12 附录 - VLAN设置工具”。

 

页面向导:设备管理→VLAN设置→VLAN自动设置

本页面为您提供如下主要功能:

·          开启/关闭S1600的VLAN自动设置功能、显示端口对应的房间号

 

页面中关键项的含义如下表所示。

表7-2 页面关键项描述

页面关键项

描述

VLAN自动设置功能

选择开启/关闭VLAN自动设置功能。仅当该功能开启后,您才可以通过酒店VLAN设置工具进行设置

缺省情况下,VLAN自动设置功能处于关闭状态

端口描述

显示端口对应的房间号。当您通过酒店VLAN设置工具进行设置后,端口描述将显示为“room+房间号”

缺省情况下,端口描述显示为“port+端口号”

 

7.2  设置Isolate-user-vlan

7.2.1  Isolate-user-vlan产生背景

在园区网中,基于用户安全和管理计费等方面的考虑,运营商一般要求接入用户互相二层隔离。VLAN是天然的隔离手段,于是很自然的想法是每个用户一个VLAN。如图7-4所示,Switch B和Switch C上分别接入三个用户,如果给每个用户划分一个VLAN,则需要占用Device A上的六个VLAN资源。

图7-4 扁平的网络组网图

 

根据IEEE 802.1Q协议规定,设备最大可使用VLAN资源为4094个。对于核心层设备来说,如果每个用户一个VLAN,4094个VLAN远远不够。为解决VLAN资源紧缺的问题,Isolate-user-vlan应运而生。

支持Isolate-user-vlan功能后,可以将图7-4中的用户所在的VLAN(VLAN 10~15)配置为Secondary VLAN,将VLAN 2和VLAN 3配置为Isolate-user-vlan(如图7-5)。这样,Device A上只需配置VLAN 2和VLAN 3,节省了四个VLAN资源。

图7-5 Isolate-user-vlan功能示意图

 

7.2.2  Isolate-user-vlan技术优点及应用场景

Isolate-user-vlan采用二层VLAN结构,它在同一台设备上设置Isolate-user-vlan和Secondary VLAN两类VLAN。

·              Isolate-user-vlan用于上行,不同的Secondary VLAN关联到同一个Isolate-user-vlan。上行连接的设备只知道Isolate-user-vlan,而不必关心Secondary VLAN,简化了网络配置,节省了VLAN资源。

·              Secondary VLAN用于连接用户,Secondary VLAN之间二层报文互相隔离。

·              一个Isolate-user-vlan可以和多个Secondary VLAN相对应。Isolate-user-vlan下面的Secondary VLAN对上行设备不可见。

Isolate-user-vlan主要应用在在园区网或企业网接入中,实现二层报文隔离的同时节省VLAN资源。

7.2.3  Isolate-user-vlan技术特性

1. Isolate-user-vlan配置同步

配置Isolate-user-vlan功能后,系统会自动对Isolate-user-vlan和Secondary VLAN所包含的端口进行配置同步。

·              对于上行端口,会将端口类型修改为Hybrid,并允许来自Secondary VLAN的报文以untagged方式通过。

·              对于下行端口,会将端口类型修改为Hybrid,并允许来自Isolate-user-vlan的报文以untagged方式通过。

2. Isolate-user-vlanMAC地址同步

Secondary VLANIsolate-user-vlan的同步,即下行端口在Secondary VLAN内学习到的动态MAC地址都同步至Isolate-user-vlan内。

7.2.4  Isolate-user-vlan设置步骤

Isolate-user-vlan设置主要包括三个步骤:

(1)      设置Isolate-user-vlan。

(2)      设置Secondary VLAN。

(3)      设置Isolate-user-vlan和Secondary VLAN间的映射关系。

注意

·          不允许VLAN1、设置Guest VLAN或开启IGMP Snooping功能的VLAN为Isolate-user-vlan或Secondary VLAN。

·          不允许设置存在Trunk端口的VLAN为Isolate-user-vlan或Secondary VLAN。

 

7.2.5  设置Isolate-user-vlan

1. 创建/删除/显示Isolate-user-vlan

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN配置

本页面为您提供如下主要功能:

·          创建Isolate-user-vlan(选中“创建Isolate user vlan”单选框,并输入相应的VLAN值,单击<创建>按钮生效)

·          删除Isolate-user-vlan(选中“删除Isolate user vlan”单选框,并选择需要删除的列表项,单击<删除>按钮生效)

·          显示Isolate-user-vlan和Secondary VLAN的设置状态

 

2. Isolate-user-vlan中添加指定端口

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN端口配置

本页面为您提供如下主要功能:

·          在Isolate-user-vlan中添加指定端口(选择已创建的Isolate-user-vlan,并指定相应的端口,单击<确定>按钮生效)

 

7.2.6  设置Secondary VLAN

1. 创建/删除Secondary VLAN

页面向导:设备管理→VLAN设置→802.1Q VLAN

相关操作请参见“7.1.3  2. 创建/显示/维护VLAN”。

2. 在Secondary VLAN中添加指定端口

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN端口配置

本页面为您提供如下主要功能:

·          在Secondary VLAN中添加指定端口(选择已创建的Secondary VLAN,并指定相应的端口,单击<确定>按钮生效)

 

7.2.7  设置Isolate-user-vlan和Secondary VLAN间的映射关系

页面向导:设备管理→用户隔离VLAN→用户隔离VLAN关联配置

本页面为您提供如下主要功能:

·          建立Isolate-user-vlan和Secondary VLAN关联(选择相应的Isolate-user-vlan,并在列表框中选中需建立关联的Secondary VLAN,单击<建立关联>按钮生效)

·          解除Isolate-user-vlan和Secondary VLAN关联(选择相应的Isolate-user-vlan,并在列表框中选中需解除关联的Secondary VLAN,单击<解除关联>按钮生效)

 

7.3  管理MAC地址表及设置MAC地址过滤

S1600支持以下三种类型的MAC地址表项:

·              静态:手动添加,且该MAC地址表项不会被老化。当您添加后,该表项即为“已绑定”状态(组播MAC地址表项不支持绑定操作)。

·              动态:自动学习或手动添加,且该MAC地址表项会被老化。当您添加后,该表项处于“未绑定”状态;如果您对其执行了绑定操作,即成为静态表项(组播MAC地址表项不支持绑定操作)。

·              黑洞:手动添加,所有目的地址为该MAC地址的报文都会被丢弃(比如,处于安全考虑,可以屏蔽某个用户接收报文),且不支持绑定操作。

说明

当您开启了指定端口的MAC地址过滤功能后,S1600会根据该端口下处于“绑定”状态的表项对报文进行过滤(即系统会丢弃和绑定表项不匹配的报文),从而可以有效地控制网络访问。

 

7.3.1  全局管理MAC地址表信息

页面向导:设备管理→MAC设置→MAC显示

本页面为您提供如下主要功能:

·          显示和查询(通过MAC地址和VLAN的条件组合)设备所有的MAC地址表项信息(主页面)

·          将指定的MAC地址表项进行绑定(选中主页面中需要绑定的表项,单击<绑定>按钮生效)

·          添加新的MAC地址表项(单击主页面中的<添加>按钮,在弹出的对话框中设置MAC地址表项相关参数,单击<确认>按钮生效)

·          修改静态或黑洞MAC地址表项(单击主页面中的相应MAC地址表项,即可对该表项进行修改操作)

 

7.3.2  在端口下管理MAC地址表信息

页面向导:设备管理→MAC设置→端口MAC显示

本页面为您提供如下主要功能:

·          显示指定端口下的MAC地址表项信息(主页面)

·          将端口下未绑定的MAC地址表项进行绑定(选择相应的端口号,并选中该端口下未绑定的MAC地址表项,单击<绑定>按钮生效)

·          修改端口下的静态或黑洞MAC地址表项(单击端口下相应的MAC地址表项,即可对该表项进行修改操作)

 

7.3.3  设置MAC地址过滤

页面向导:设备管理→MAC设置→端口MAC过滤

本页面为您提供如下主要功能:

·          显示各端口MAC地址过滤功能状态(主页面)

·          开启指定端口的MAC地址过滤功能(单击主页面上端口对应的表项,选中“MAC过滤使能”复选框,单击<确定>按钮生效)

·          添加指定端口的静态MAC地址表项(单击主页面上端口对应的表项,在“MAC地址”和“VLAN”文本框中输入相应的参数后,单击<添加>按钮生效)

 

 

7.4  设置QoS

S1600支持简单的QoS功能,在网络拥塞发生时,系统会根据您设置的报文优先级信任模式和队列调度算法来控制报文的转发次序。

7.4.1  报文优先级信任模式简介

S1600支持两种报文优先级信任:802.1p优先级(COS)和DSCP。S1600会根据您选择的信任优先级将报文映射到指定的队列(共支持4个队列,队列1为最低优先级,队列4为最高优先级)。

1. 802.1p优先级

802.1p优先级位于二层报文头部,适用于不需要分析三层报文头,而需要在二层环境下保证QoS的场合。

图7-6 带有802.1Q标签头的以太网帧

 

图7-6所示,4个字节的802.1Q标签头包含了2个字节的TPID和2个字节的TCI,图7-7显示了802.1Q标签头的详细内容。

图7-7 802.1Q标签头

 

图7-7所示,TCI中Priority字段就是802.1p优先级,也称为CoS优先级。它由3个bit组成,取值范围为0~7。

表7-3 802.1p优先级说明

802.1p优先级(十进制)

802.1p优先级(二进制)

关键字

0

000

best-effort

1

001

background

2

010

spare

3

011

excellent-effort

4

100

controlled-load

5

101

video

6

110

voice

7

111

network-management

 

表7-4 802.1p优先级与队列的映射关系

802.1p优先级

队列

1、2

1

0、3

2

4、5

3

6、7

4

 

2. DSCP优先级

图7-8 DS域和ToS字节

 

RFC2474重新定义了IP报文头部的ToS域,称之为DS域,其中DSCP优先级用该域的前6个bit(0~5bit)表示,取值范围为0~63,后2个bit(6、7bit)是保留位。

表7-5 DSCP优先级说明

DSCP优先级(十进制)

DSCP优先级(二进制)

关键字

46

101110

ef

10

001010

af11

12

001100

af12

14

001110

af13

18

010010

af21

20

010100

af22

22

010110

af23

26

011010

af31

28

011100

af32

30

011110

af33

34

100010

af41

36

100100

af42

38

100110

af43

8

001000

cs1

16

010000

cs2

24

011000

cs3

32

100000

cs4

40

101000

cs5

48

110000

cs6

56

111000

cs7

0

000000

be(default)

 

表7-6 DSCP优先级与队列的映射关系

DSCP优先级

队列

0~15

1

16~31

2

32~47

3

48~63

4

 

7.4.2  队列调度简介

S1600支持两种队列调算法:WRR和HQ-WRR。

说明

HQ-WRR队列调度算法:建立在WRR的基础上,当4个队列占用的带宽超过了端口的转发能力,设备首先保证高优先级队列的报文优先转发出去,然后对其余3个队列实行WRR调度。下面仅以WRR队列调度为例进行描述。

 

图7-9 WRR队列调度示意图

 

WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。

以端口有4个输出队列为例,WRR可为每个队列配置一个加权值(queue4~queue1对应的加权值依次为w4、w3、w2、w1)。对于一个100M的端口,如果配置它的WRR队列调度算法的加权值为8、4、2、1(依次对应w4、w3、w2、w1),这样可以保证最低优先级队列至少获得100Mbps*1/(8+4+2+1)的带宽,避免了低优先级队列中的报文可能长时间得不到服务的缺点。

7.4.3  设置报文优先级信任及队列调度

页面向导:设备管理→QoS设置→QoS

本页面为您提供如下主要功能:

·          设置S1600报文优先级信任模式和队列调度算法

 

页面中关键项的含义如下表所示。

表7-7 页面关键项描述

页面关键项

描述

优先级类型选择

选择报文优先级信任模式

·          COS:根据802.1p优先级将报文放入对应优先级的端口输出队列

·          DSCP:根据DSCP优先级将报文放入对应优先级的端口输出队列

缺省情况下,S1600根据802.1p优先级将报文放入对应优先级的端口输出队列

调度模式

选择队列调度模式

缺省情况下,S1600采用WRR调度算法

举例:若队列1、队列2、队列3、队列4的权重比为1:2:4:8,且队列调度模式为WRR。那么,队列1、2、3、4的数据报文在某个端口发生拥塞的时,该端口会按照1:2:4:8的流量比例来发送报文;如果调度模式选择为HQ-WRR,S1600会首先保证队列4的报文优先发送出去,然后对其余3个队列实行WRR调度

权重

设置队列的优先级权重

 

7.5  设置STP

S1600支持STP和RSTP两种模式来消除数据链路层物理环路。

7.5.1  STP简介

1. STP的用途

STP是根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。

STP包含了两个含义,狭义的STP是指IEEE 802.1D中定义的STP协议,广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议(如RSTP协议)。

2. STP的协议报文

STP采用的协议报文是BPDU,也称为配置消息。

STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程。

BPDU在STP协议中分为两类:

·              配置BPDU:用于进行生成树计算和维护生成树拓扑的报文。

·              TCN BPDU:当拓扑结构发生变化时,用于通知相关设备网络拓扑结构发生变化的报文。

3. STP的基本概念

(1)      根桥

树形的网络结构,必须要有树根,于是STP引入了根桥(Root Bridge)的概念。

根桥在全网中只有一个,而且根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的。

(2)      路径开销

路径开销是STP协议用于选择链路的参考值。STP协议通过计算路径开销,选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构。

(3)      端口角色

·              Root(根端口):负责向根桥方向转发数据的端口。

·              Designated(指定端口):负责向下游网段或交换机转发数据的端口。

·              Blocking(阻塞端口):被对方的指定端口抑制的端口。

(4)      端口状态

·              Forwarding:该状态下的端口可收发BPDU,也转发用户流量。

·              Learning:这是一种过渡状态。在这种状态下,设备会根据收到的用户流量(但仍然不转发流量)构建MAC地址表。

·              Listening:这是一种过渡状态。在这种状态下,完成根桥、根端口和指定端口的选择。

·              Blocking:仅接收并处理BPDU报文,不转发用户流量。

·              Disabled:STP处于关闭状态或物理链路断路。

4. STP的基本原理

STP通过在设备之间传递BPDU来确定网络的拓扑结构。配置消息中包含了足够的信息来保证设备完成生成树的计算过程,其中包含的几个重要信息如下:

·              根桥ID:由根桥的优先级和MAC地址组成;

·              根路径开销:到根桥的最短路径开销;

·              指定桥ID:由指定桥的优先级和MAC地址组成;

·              指定端口ID:由指定端口的优先级和端口名称组成;

·              Message Age:配置消息在网络中传播的生存期;

·              Max Age:配置消息在交换机中能够保存的最大生存期;

·              Hello Time:配置消息发送的周期;

·              Forward Delay:端口状态迁移的延时。

说明

为描述方便,在下面的描述及举例中仅考虑配置消息的其中四项内容:

·          根桥ID(以设备的优先级表示);

·          根路径开销;

·          指定桥ID(以设备的优先级表示);

·          指定端口ID(以端口名称表示)。

 

(1)      STP算法实现的具体过程

·              初始状态

各台设备在初始时会生成以自己为根桥的BPDU报文消息,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口。

·              最优配置消息的选择

各台设备都向外发送自己的配置消息,同时也会收到其他设备发送的配置消息。

最优配置消息的选择过程如表7-8所示。

表7-8 最优配置消息的选择过程

步骤

内容

1

每个端口收到配置消息后的处理过程如下:

·          当端口收到的配置消息比本端口配置消息的优先级低时,设备会将接收到的配置消息丢弃,对该端口的配置消息不作任何处理

·          当端口收到的配置消息比本端口配置消息的优先级高时,设备就用接收到的配置消息中的内容替换该端口的配置消息中的内容

2

设备将所有端口的配置消息进行比较,选出最优的配置消息

 

说明

配置消息的比较原则如下:

·          根桥ID较小的配置消息优先级高;

·          若根桥ID相同,则比较根路径开销,比较方法为:用配置消息中的根路径开销加上本端口对应的路径开销,假设两者之和为S,则S较小的配置消息优先级较高;

·          若根路径开销也相同,则依次比较以下配置消息优先级,优先级较高的为根桥:指定桥ID、指定端口ID、接收该配置消息的端口ID等。

 

·              根桥的选择

网络初始化时,网络中所有的STP设备都认为自己是“根桥”,根桥ID为自身的桥ID。通过交换配置消息,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥。

·              根端口、指定端口的选择

根端口、指定端口的选择过程如表7-9所示。

表7-9 根端口和指定端口的选择过程

步骤

内容

1

非根桥设备将接收最优配置消息的那个端口定为根端口

2

设备根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息:

·          根桥ID替换为根端口的配置消息的根桥ID

·          根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销

·          指定桥ID替换为自身设备的ID

·          指定端口ID替换为自身端口ID

3

设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较,并根据比较结果进行不同的处理:

·          如果计算出来的配置消息优,则设备就将该端口定为指定端口,端口上的配置消息被计算出来的配置消息替换,并周期性向外发送

·          如果端口上的配置消息优,则设备不更新该端口配置消息并将此端口阻塞,该端口将不再转发数据,只接收但不发送配置消息

 

说明

在拓扑稳定状态,只有根端口和指定端口转发流量,其他的端口都处于阻塞状态,它们只接收STP协议报文而不转发用户流量。

 

一旦根桥、根端口、指定端口选举成功,则整个树形拓扑就建立完毕了。

下面结合例子说明STP算法的计算过程。具体的组网如图7-10所示,Device A的优先级为0,Device B的优先级为1,Device C的优先级为2,各个链路的路径开销分别为5、10、4。

图7-10 STP算法计算过程组网图

 

·              各台设备的初始状态

各台设备的初始状态如表7-10所示。

表7-10 各台设备的初始状态

设备

端口名称

端口的配置消息

Device A

AP1

{0,0,0,AP1}

AP2

{0,0,0,AP2}

Device B

BP1

{1,0,1,BP1}

BP2

{1,0,1,BP2}

Device C

CP1

{2,0,2,CP1}

CP2

{2,0,2,CP2}

 

·              各台设备的比较过程及结果

各台设备的比较过程及结果如表7-11所示。

表7-11 各台设备的比较过程及结果

设备

比较过程

比较后端口的配置消息

Device A

·          端口AP1收到Device B的配置消息{1,0,1,BP1},Device A发现本端口的配置消息{0,0,0,AP1}优于接收到的配置消息,就把接收到的配置消息丢弃

·          端口AP2收到Device C的配置消息{2,0,2,CP1},Device A发现本端口的配置消息{0,0,0,AP2}优于接收到的配置消息,就把接收到的配置消息丢弃

·          Device A发现自己各个端口的配置消息中根桥和指定桥都是自己,则认为自己是根桥,各个端口的配置消息都不作任何修改,以后周期性的向外发送配置消息

AP1:{0,0,0,AP1}

AP2:{0,0,0,AP2}

Device B

·          端口BP1收到来自Device A的配置消息{0,0,0,AP1},Device B发现接收到的配置消息优于本端口的配置消息{1,0,1,BP1},于是更新端口BP1的配置消息

·          端口BP2收到来自Device C的配置消息{2,0,2,CP2},Device B发现本端口的配置消息{1,0,1,BP2}优于接收到的配置消息,就把接收到的配置消息丢弃

BP1:{0,0,0,AP1}

BP2:{1,0,1,BP2}

·          Device B对各个端口的配置消息进行比较,选出端口BP1的配置消息为最优配置消息,然后将端口BP1定为根端口,它的配置消息不作改变。

·          Device B根据根端口BP1的配置消息和根端口的路径开销5,为BP2端口计算一个指定端口配置消息{0,5,1,BP2}

·          Device B使用计算出来的配置消息{0,5,1,BP2}和端口BP2上的配置消息进行比较,比较的结果是计算出来的配置消息较优,则Device B将端口BP2定为指定端口,它的配置消息被计算出来的配置消息替换,并周期性向外发送

根端口BP1:

{0,0,0,AP1}

指定端口BP2:

{0,5,1,BP2}

Device C

·          端口CP1收到来自Device A的配置消息{0,0,0,AP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP1},于是更新端口CP1的配置消息

·          端口CP2收到来自Device B端口BP2更新前的配置消息{1,0,1,BP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP2},于是更新端口CP2的配置消息

CP1:{0,0,0,AP2}

CP2:{1,0,1,BP2}

经过比较:

·          端口CP1的配置消息被选为最优的配置消息,端口CP1就被定为根端口,它的配置消息不作改变

·          将计算出来的指定端口配置消息{0,10,2,CP2}和端口CP2的配置消息进行比较后,端口CP2转为指定端口,它的配置消息被计算出来的配置消息替换

根端口CP1:

{0,0,0,AP2}

指定端口CP2:

{0,10,2,CP2}

·          接着端口CP2会收到Device B更新后的配置消息{0,5,1,BP2},由于收到的配置消息比原配置消息优,则Device C触发更新过程

·          同时端口CP1收到Device A周期性发送来的配置消息,比较后Device C不会触发更新过程

CP1:{0,0,0,AP2}

CP2:{0,5,1,BP2}

经过比较:

·          端口CP2的根路径开销9(配置消息的根路径开销5+端口CP2对应的路径开销4)小于端口CP1的根路径开销10(配置消息的根路径开销0+端口CP1对应的路径开销10),所以端口CP2的配置消息被选为最优的配置消息,端口CP2就被定为根端口,它的配置消息就不作改变

·          将端口CP1的配置消息和计算出来的指定端口配置消息比较后,端口CP1被阻塞,端口配置消息不变,同时不接收从Device A转发的数据,直到新的情况触发生成树的计算,比如:从Device B到Device C的链路出现故障

阻塞端口CP1:

{0,0,0,AP2}

根端口CP2:

{0,5,1,BP2}

 

经过上表的比较过程,此时以Device A为根桥的生成树就确定下来了,形状如图7-11所示。

图7-11 计算得到的生成树

 

说明

为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂。

 

(2)      STP的配置消息传递机制

·              当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的配置消息,并以Hello Time为周期定时向外发送。

·              接收到配置消息的端口如果是根端口,且接收的配置消息比该端口的配置消息优先级高,则设备将配置消息中携带的Message Age按照一定的原则递增,并启动定时器为这条配置消息计时,同时将此配置消息从设备的指定端口转发出去。

·              如果某条路径发生故障,则这条路径上的根端口不会再收到新的配置消息,旧的配置消息将会因为超时而被丢弃,设备重新生成以自己为根的配置消息并向外发送BPDU,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性。

(3)      STP定时器

STP计算中,需要使用三个重要的时间参数:Forward Delay、Hello Time和Max Age。

·              Forward Delay为交换机状态迁移的延迟时间。

链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路。

为此,生成树协议采用了一种状态迁移的机制,根端口和指定端口重新开始数据转发之前要经历一个中间状态,中间状态经过2倍的Forward Delay的延时后才能进入Forwarding状态,这个延时保证了新的配置消息已经传遍整个网络。

·              Hello Time用于交换机检测链路是否存在故障。

交换机每隔Hello Time时间会向周围的交换机发送hello报文,以确认链路是否存在故障。

·              Max Age是用来判断配置消息在交换机内保存时间是否“过时”的参数,交换机会将过时的配置消息丢弃。

7.5.2  RSTP简介

RSTP是STP协议的优化版。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。

说明

·          RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。

·          RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。

 

(1)      端口角色

RSTP的端口角色相对STP增加了Alternate端口、Backup端口,并取消了Blocking端口。

·              Alternate端口:是根端口用于快速切换的替换端口。当根端口被阻塞后,Alternate端口将成为新的根端口。

·              Backup端口:是被本设备指定端口阻塞的端口。

(2)      端口状态

RSTP的端口状态相对STP,把原来的五种状态减少为三种状态。

·              Forwarding状态:既转发用户流量又接收/发送BPDU报文。

·              Learning状态:不转发用户流量,只接收/发送BPDU报文。

·              Discarding状态:不转发用户流量,只接收BPDU报文。

7.5.3  设置STP全局参数

页面向导:设备管理→STP设置→STP全局设置

本页面为您提供如下主要功能:

·          设置S1600 STP的全局参数(比如:生成树功能状态、桥协议数据单元处理方式、STP端口默认的路径开销、STP定时器等)

 

页面中关键项的含义如下表所示。

表7-12 页面关键项描述

页面关键项

描述

生成树状态

选择生成树功能全局状态

缺省情况下,生成树功能处于关闭状态

生成树模式

选择哪种模式来消除数据链路层物理环路,建议您使用缺省的RSTP模式

桥协议数据单元处理

选择BPDU报文处理方式

·          广播:当全局的STP功能处于关闭的状态时,则广播BPDU报文

·          过滤:当全局的STP功能处于关闭的状态时,则过滤BPDU报文

缺省情况下,BPDU报文处理方式为广播

默认路径开销

选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样

·          IEEE 802.1D-1998:端口的路径开销取值范围为1~65535

·          IEEE 802.1T:端口的路径开销取值范围为1~200000000

缺省情况下,默认路径开销采用的是IEEE 802.1T

说明:

端口速率、路径开销标准及路径开销值对应表表7-13所示

优先级

桥优先级的大小决定了本设备是否能够被选作生成树的树根。您可通过配置较小的桥优先级,可以达到指定某台设备成为生成树树根的目的

缺省情况下,桥优先级为32768

Hello Time

选中Hello Time单选框,并在文本框中设置该定时器值

缺省情况下,Hello Time2s

Max Age

选中Max Age单选框,并在文本框中设置该定时器值

缺省情况下,最大老化时间为20s

Forward Delay

选中Forward Delay单选框,并在文本框中设置该定时器值

缺省情况下,迁移延时为15s

 

表7-13 端口速率与路径开销值对应表

链路速率

双工状态

802.1D-1998

802.1t

0

-

65535

200000000

10 Mbit/s

Half-Duplex/Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

100

95

95

95

2000000

1000000

666666

500000

100 Mbit/s

Half-Duplex/Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

19

15

15

15

200000

100000

66666

50000

1000Mbit/s

Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

4

3

3

3

20000

10000

6666

5000

 

7.5.4  设置端口STP参数

页面向导:设备管理→STP设置→STP端口设置

本页面为您提供如下主要功能:

·          显示当前S1600所有端口的STP状态及相关参数(主页面)

·          设置单个端口的STP状态及相关参数(单击主页面上端口对应的表项,进入相应的页面)

·          批量设置端口的STP状态及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表7-14 页面关键项描述

页面关键项

描述

STP使能(STP

端口的STP功能状态

·          不改变:保持当前状态

·          关闭:关闭端口STP功能

·          开启:开启端口STP功能

缺省情况下,端口STP功能处于关闭状态

说明:

必须同时开启全局和端口的STP功能后,STP才能生效,相关操作请参见“7.5.3  设置STP全局参数

边缘端口

边缘端口是指不直接与任何交换机连接,也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口,那么当该端口由阻塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间

·          不改变:保持当前状态

·          关闭:不设置端口为边缘端口

·          开启:设置端口为边缘端口

缺省情况下,不设置端口为边缘端口

根保护

网络中的合法根桥可能会由于维护人员的错误配置或网络中的恶意攻击,收到优先级更高的配置消息,这样当前根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞

设置了根保护功能的端口,一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为Discarding状态,不再转发报文(相当于将与此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态

·          不改变:保持当前状态

·          关闭:不设置端口根保护功能

·          开启:设置端口根保护功能

缺省情况下,端口的根保护功能处于关闭状态

默认路径开销

开启/关闭端口默认路径开销

·          不改变:保持当前状态

·          关闭:关闭端口默认路径开销后,您可以在本页面的“端口路径开销”文本框中指定端口路径开销

·          开启:开启端口默认路径开销后,不能手工设置端口路径开销值,则与“STP全局设置”页面中的默认路径开销相关,相关描述请参见“7.5.3  设置STP全局参数

缺省情况下,端口默认路径开销处于开启状态

端口开销(端口路径开销)

缺省情况下,端口路径开销为200,000,000

说明:

仅当端口默认路径开销处于关闭状态时,才可设置

优先级(端口优先级)

缺省情况下,端口优先级为128

点对点

与所指定端口相连的链路类型

·          不改变:保持当前状态

·          Force true:设置端口与一条点到点链路相连

·          Force false:设置端口与一条共享链路相连

·          Auto:设置端口自动建立链路

缺省情况下,端口自动建立链路

 

7.6  设置IGMP Snooping

7.6.1  IGMP Snooping原理

IGMP Snooping是运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组。

IGMP Snooping运行在数据链路层。当二层以太网交换机收到主机和路由器之间传递的IGMP报文时,IGMP Snooping分析IGMP报文所带的信息。当监听到主机发出的IGMP主机报告报文(IGMP host report message)时,交换机就将该主机加入到相应的组播MAC地址表中;当监听到主机发出的IGMP离开报文(IGMP leave message)时,交换机将在相应的组播表中删除该主机端口。通过不断地监控IGMP报文,交换机就可以在二层建立和维护组播MAC地址表。之后,交换机就可以根据该组播MAC地址表转发来自路由器的组播报文。

图7-12所示,当二层交换机没有运行IGMP Snooping时,组播数据在二层被广播;当二层交换机运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。

图7-12 二层交换机运行IGMP Snooping前后的对比

 

7.6.2  IGMP Snooping基本概念

1. IGMP Snooping相关端口

图7-13所示,Router A连接组播源,在Switch A和Switch B上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。

图7-13 IGMP Snooping相关端口

 

结合图7-13,介绍一下IGMP Snooping相关的端口概念:

·              路由器端口(Router Port):交换机上靠近三层组播设备一侧的端口,如Switch A和Switch B各自的Ethernet0/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。

·              成员端口(Member Port):又称组播组成员端口,表示交换机上靠近组播组成员一侧的端口,如Switch A的Ethernet0/2和Ethernet0/3端口,以及Switch B的Ethernet0/2端口。交换机将本设备上的所有成员端口都记录在组播转发表中。

2. IGMP Snooping端口老化定时器

表7-15 IGMP Snooping端口老化定时器

定时器

说明

超时前应收到的报文

超时后交换机的动作

路由器端口老化定时器

交换机为其上的每个路由器端口都启动一个定时器,其超时时间为路由器端口老化时间

IGMP通用查询报文或PIM Hello报文

将该端口从路由器端口列表中删除

成员端口老化定时器

当一个端口加入某组播组时,交换机为该端口启动一个定时器,其超时时间为成员端口老化时间

IGMP成员关系报告报文

将该端口从组播组的转发表中删除

 

7.6.3  IGMP Snooping工作机制

运行了IGMP Snooping的交换机对不同IGMP动作的具体处理方式如下:

1. 通用组查询

IGMP查询器定期向本地网段内的所有主机与路由器发送IGMP通用查询报文,以查询该网段有哪些组播组的成员。

在收到IGMP通用查询报文时,交换机会将其通过VLAN内除收到该查询报文端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:

·              如果该端口是路由器端口列表中已有的路由器端口,则重置该路由器端口的老化定时器。

·              如果该端口不是路由器端口列表中已有的路由器端口,则将其加入路由器端口列表,并启动该路由器端口的老化定时器。

2. 报告成员关系

以下情况,主机会向组播路由器发送IGMP成员关系报告报文:

·              当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。

·              如果主机要加入某个组播组,它会主动向组播路由器发送IGMP成员关系报告报文以声明加入该组播组。

在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:

·              如果该端口已存在于组播组转发表中,则重置该端口的成员端口老化定时器;

·              如果该端口不在组播组转发表中,则在组播组转发表中为该端口增加转发表项,并启动该端口的成员端口老化定时器。

3. 离开组播组

运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除。

运行IGMPv2的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。

当从一个成员端口上收到IGMP离开组报文时,交换机会将该报文通过VLAN内的所有路由器端口转发出去,由于并不知道该报文的接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口对应的转发表项从转发表中删除,而是重置该成员端口的老化定时器。

当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。

对于IGMP离开组报文的接收端口,交换机在该成员端口的老化时间内:

·              如果从该端口收到了主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置该成员端口的老化定时器;

·              如果没有从该端口收到主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在该成员端口老化时间超时后,将转发表中该端口对应该组播组的转发表项删除。

7.6.4  设置IGMP Snooping

1. 设置IGMP Snooping全局参数

页面向导:设备管理→IGSP设置→IGMP Snooping

本页面为您提供如下主要功能:

·          设置S1600 IGMP Snooping功能状态及相关的定时器等

 

页面中关键项的含义如下表所示。

表7-16 页面关键项描述

页面关键项

描述

当前状态

开启或关闭全局IGMP Snooping功能

缺省情况下,全局IGMP Snooping功能处于关闭状态

IGMP Querier状态

在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据

但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据

缺省情况下,IGMP Snooping查询器功能处于关闭状态

路由端口老化时间

缺省情况下,路由端口老化时间为105秒

普遍组查询最大响应时间

您可以根据网络的实际情况来修改发送IGMP组查询报文的时间间隔。

在收到IGMP查询报文(包括普遍组查询和特定组查询)后,主机会为其所加入的每个组播组都启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的IGMP查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的组播组发送IGMP成员关系报告报文

合理配置IGMP查询的最大响应时间,既可以使主机对IGMP查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞:

·          对于IGMP普遍组查询报文来说,通过配置IGMP普遍组查询的最大响应时间来填充其最大响应时间字段

·          对于IGMP特定组查询报文来说,所配置的发送IGMP特定组查询报文的时间间隔将被填充到其最大响应时间字段。也就是说,IGMP特定组查询的最大响应时间从数值上与发送IGMP特定组查询报文的时间间隔相同

缺省情况下,普遍组查询最大响应时间为10秒;特定组查询最大响应时间为2秒

特定组查询最大响应时间

主机端口老化时间

缺省情况下,主机端口老化时间为260秒

未知组播丢弃

未知组播数据报文是指在组播转发表中不存在对应转发表项的那些组播数据报文。当S1600收到发往未知组播组的报文时,数据报文会在未知组播数据报文所属的VLAN内广播,这样会占用大量的网络带宽,影响转发效率。您可以通过开启交换机的未知组播丢弃功能来解决此问题

缺省情况下,未知组播丢弃功能处于关闭状态,即对未知组播数据报文进行广播

说明:

此功能在IGMP Snooping关闭的情况下也生效

 

2. 在VLAN内设置IGMP Snooping

当您在指定的VLAN内开启了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效。且在VLAN内开启IGMP Snooping之前,必须先开启全局IGMP Snooping

页面向导:设备管理→IGSP设置→IGMP Snooping

本页面为您提供如下主要功能:

·          设置指定VLAN内的IGMP Snooping及IGMP Snooping查询器功能状态

 

页面中关键项的含义如下表所示。

表7-17 页面关键项描述

页面关键项

描述

选择VLAN ID

选择需要开启IGMP Snooping功能或IGMP Snooping查询器功能对应的VLAN

IGMP Snooping状态

开启或关闭指定VLAN的IGMP Snooping功能

缺省情况下,VLAN下的IGMP Snooping功能处于关闭状态

IGMP Querier状态

若您想在指定的VLAN内生效IGMP Snooping查询器功能,需要先开启全局IGMP Snooping查询器功能

缺省情况下,IGMP Snooping查询器功能处于关闭状态

 

7.6.5  设置端口从组播组中快速删除功能

当启动快速删除功能后,S1600从某端口收到离开某组播组的IGMP离开报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当S1600收到对该组播组的IGMP特定组查询报文时,S1600将不再向该端口转发。

比如:当端口下只有一个用户时,您可以通过开启端口从组播组中快速删除功能来节约带宽和资源。而在连接有多个接收者的端口上,如果未知组播报文丢弃功能同时开启的情况下,则不要再开启端口从组播组中快速删除功能。否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据。

页面向导:设备管理→IGSP设置→Fast Leave

本页面为您提供如下主要功能:

·          显示S1600所有端口的快速删除功能状态(主页面)

·          设置单个端口的快速删除功能状态(单击主页面上端口对应的表项,进入相应的页面)

·          批量设置端口的快速删除功能状态(单击主页面上的<批量配置>按钮,进入相应的页面)

 

7.7  设置SNMP

7.7.1  SNMP简介

SNMP用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。

SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。

1. SNMP的工作机制

SNMP分为NMS和Agent两部分:

·              NMS是运行客户端程序的工作站。

·              Agent是运行在网络设备(比如:交换机)上的服务器端软件。

NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型对MIB进行Read或Write操作,生成Response报文,并将报文返回给NMS。

Agent在设备发生异常情况或状态改变时(比如:设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。

2. SNMP的版本

目前,S1600中的SNMP Agent支持SNMP v1版本和SNMP v2c版本。

SNMP v1、SNMP v2c采用团体名(Community Name)认证,非交换机认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问交换机上的SNMP Agent。

3. MIB

在SNMP报文中用管理变量来描述交换机中的管理对象。为了唯一标识交换机中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如图7-14所示。每一个节点,都可以用从根开始的一条路径唯一地标识。

图7-14 MIB树结构

SNMP-RMON(MIB树结构)

 

MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图7-14中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符。

7.7.2  设置SNMP Agent

说明

请确认SNMP NMS工作站能通过SNMP方式访问交换机(缺省情况下允许所有终端通过SNMP方式访问交换机,具体配置请参见“5.9  设置管理PC控制”)。

 

页面向导:设备管理→SNMP设置→SNMP代理设置

本页面为您提供如下主要功能:

·          设置SNMP Agent的状态、系统信息等

·          设置团体名及访问模式

 

页面中关键项的含义如下表所示。

表7-18 页面关键项描述

页面关键项

描述

SNMP状态

开启/关闭SNMP Agent功能

缺省情况下,SNMP Agent功能处于关闭状态

最大包长度

设置SNMP Agent能接收/发送的SNMP消息包的大小

缺省情况下,SNMP Agent能接收/发送的SNMP消息包长度的最大值为1500字节

联系信息

如果交换机发生故障,维护人员可以利用系统维护联系信息,及时与生产厂商取得联系,便于快速地定位和解决问题

缺省情况下,系统维护联系信息为“R&D Hangzhou, Hangzhou H3C Technologies Co., Ltd.”;设备的物理位置信息为“Hangzhou China”

物理位置信息

SNMP版本

只有开启了相应的SNMP版本,S1600才会处理对应版本的SNMP数据报文

缺省情况下,S1600同时开启SNMP v1版本和SNMP v2c版本

新建团体

选中“新建团体”复选框后,即可新建团体名和设置团体访问模式

·          团体名:您可以采用标准的团体名(public或private)或自定义团体名

·          访问模式:团体访问MIB对象的读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置

 

7.7.3  设置SNMP Trap功能

Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(比如:被管理设备重新启动等)。

说明

在设置SNMP Trap功能前必须先完成SNMP Agent的相关配置。

 

页面向导:设备管理→SNMP设置→SNMP Trap设置

本页面为您提供如下主要功能:

·          设置S1600允许发送的Trap报文和Linkup、Linkdown Trap端口的状态(主页面)

·          新建Trap目标主机(在主页面上单击<新建>按钮,进入相应的设置页面)

 

页面中关键项的含义如下表所示。

表7-19 页面关键项描述

页面关键项

描述

SNMP Trap功能

开启/关闭SNMP Trap功能,缺省情况下处于开启状态

·          Coldstart Trap:当设备重新启动时,发送冷启动Trap信息

·          Warmstart Trap:当SNMP模块重新启动时,发送热启动Trap信息

·          Linkup Trap:当端口由down状态变为up状态时,发送链路up的Trap信息

·          Linkdown Trap:当端口由up状态变为down状态时,发送链路down的Trap信息

·          Authentication Trap:SNMP模块认证失败时,发送认证失败的Trap信息

说明:

当“Linkup Trap”复选框选中时,表示允许所有端口发送Linkup Trap信息;当“Linkup Trap”复选框未选中时,表示禁止所有端口发送Linkup Trap信息。同理,“Linkdown Trap”复选框也一样

Linkup、Linkdown Trap端口使能设置

指定端口允许/禁止发送Linkup、Linkdown Trap信息

·          使能端口:允许端口发送Linkup、Linkdown Trap信息

·          未使能端口:禁止端口发送Linkup、Linkdown Trap信息

缺省情况下,允许所有端口发送Linkup、Linkdown Trap信息

目标主机IP地址

设置接收Trap消息的目标主机IP地址

端口号

设置接收Trap消息的UDP端口号

缺省情况下,接收Trap消息的UDP端口号为162

团体名

设置S1600与NMS交互时所使用的团体名

Trap版本

设置S1600与NMS交互时所使用SNMP版本号

·          v1:代表SNMP v1版本

·          v2c:代表SNMP v2c版本

缺省情况下,S1600与NMS交互时所使用SNMP版本号为SNMP v1版本

 

说明

您可以通过SNMP典型组网配置举例来进一步加深理解。

 

7.8  设置信息中心

信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,从而为网络管理员监控网络运行情况和诊断网络故障提供了强有力的支持。

1. 系统信息分类

信息中心共有三类信息:

·              log类:日志类信息

·              trap类:告警类信息

·              debug类:调试类信息

说明

S1600的Web设置页面支持log类和trap类信息的显示,便于您更直观地查看。

 

2. 系统信息等级

系统信息的信息级别值越小,紧急程度越高。

表7-20 日志类和调试类信息级别列表

信息级别

数值

描述

Emergency

0

极其严重的错误,需要立即采取措施解决

Alert

1

需要立即采取措施解决的错误

Critical

2

关键性错误,需要尽快采取措施解决

Error

3

需关注但不关键的错误

Warning

4

系统运行存在某种差错,某项功能会受到影响

Notice

5

需要适当关注的事件信息

Informational

6

不需要关注的提示信息

Debug

7

调试过程产生的信息

 

表7-21 告警类信息级别列表

信息级别

数值

描述

Critical

0

紧急信息

Major

1

重要信息

Minor

2

次要信息

Warning

3

警告信息

Cleared

5

告警恢复信息

Indeterminate

6

不确定信息

 

7.8.1  设置信息中心状态及日志主机

页面向导:设备管理→LOG设置→日志设置

本页面为您提供如下主要功能:

·          开启/关闭信息中心

·          设置日志主机

 

页面中关键项的含义如下表所示。

表7-22 页面关键项描述

页面关键项

描述

日志使能

开启/关闭信息中心。缺省情况下,信息中心处于开启状态

说明:

只有开启了信息中心(选中“日志使能”复选框),系统才会向日志主机、控制台等方向输出系统信息

发送日志等级

仅不高于指定级别的日志信息才可发送到日志主机,日志等级的具体描述请参见表7-20

日志主机IP地址

设置日志主机的IP地址

 

7.8.2  查看日志信息

页面向导:设备管理→LOG设置→日志信息

本页面为您提供如下主要功能:

·          通过“显示日志信息等级”下拉框来筛选您需要关注的日志信息

·          通过单击<下载>按钮将所有的日志信息保存到本地,方便查看

·          通过单击<清除>按钮删除所有的日志信息

 

7.8.3  查看告警信息

页面向导:设备管理→LOG设置→告警信息

本页面为您提供如下主要功能:

·          通过“显示告警信息等级”下拉框来筛选您需要关注的告警信息

·          通过单击<下载>按钮将所有的告警信息保存到本地,方便查看

·          通过单击<清除>按钮删除所有的告警信息

 

7.9  设置LLDP

7.9.1  LLDP简介

1. LLDP产生背景

目前,网络设备的种类日益繁多且各自的配置错综复杂,为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息,需要有一个标准的信息交流平台。

LLDP就是在这样的背景下产生的,它提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV,并封装在LLDPDU中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB的形式保存起来,以供网络管理系统查询及判断链路的通信状况。

2. LLDP基本概念

(1)      LLDP报文

封装有LLDPDU的报文称为LLDP报文,其封装格式有两种:Ethernet II和SNAP。

·              Ethernet II格式封装的LLDP报文

图7-15 Ethernet II格式封装的LLDP报文

 

图7-15所示,是以Ethernet II格式封装的LLDP报文,其中各字段的含义如下表所示。

表7-23 Ethernet II格式封装的LLDP报文字段含义

字段

描述

Destination MAC address

目的MAC地址,为固定的组播MAC地址0x0180-C200-000E

Source MAC address

源MAC地址,为端口MAC地址或设备桥MAC地址(如果有端口地址则使用端口MAC地址,否则使用设备桥MAC地址)

Type

报文类型,为0x88CC

Data

数据内容,为LLDPDU

FCS

帧检验序列,用来对报文进行校验

 

·              SNAP格式封装的LLDP报文

图7-16 SNAP格式封装的LLDP报文

 

图7-16所示,是以SNAP格式封装的LLDP报文,其中各字段的含义如下表所示。

表7-24 SNAP格式封装的LLDP报文字段含义

字段

描述

Destination MAC address

目的MAC地址,为固定的组播MAC地址0x0180-C200-000E

Source MAC address

源MAC地址,为端口MAC地址或设备桥MAC地址(如果有端口地址则使用端口MAC地址,否则使用设备桥MAC地址)

Type

报文类型,为0xAAAA-0300-0000-88CC

Data

数据内容,为LLDPDU

FCS

帧检验序列,用来对报文进行校验

 

(2)      LLDPDU

LLDPDU就是封装在LLDP报文数据部分的数据单元。在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送。

图7-17 LLDPDU的封装格式

 

图7-17所示,深蓝色的Chasis ID TLV、Port ID TLV、Time To Live TLV和End of LLDPDU TLV这四种TLV是每个LLDPDU都必须携带的,其余的TLV则为可选携带。每个LLDPDU最多可携带28种TLV

(3)      TLV

TLV是组成LLDPDU的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1组织定义TLV、802.3组织定义TLV和LLDP-MED TLV。

基本TLV是网络设备管理基础的一组TLV,802.1组织定义TLV、802.3组织定义TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。

·              基本TLV

在基本TLV中,有几种TLV对于实现LLDP功能来说是必选的,即必须在LLDPDU中发布,如下表所示。

表7-25 基本TLV

TLV名称

说明

是否必须发布

Chassis ID

发送设备的桥MAC地址

Port ID

标识LLDPDU发送端的端口。如果LLDPDU中携带有LLDP-MED TLV,其内容为端口的MAC地址,没有端口MAC时使用桥MAC;否则,其内容为端口的名称

Time To Live

本设备信息在邻居设备上的存活时间

End of LLDPDU

LLDPDU的结束标识,是LLDPDU的最后一个TLV

Port Description

端口的描述

System Name

设备的名称

System Description

系统的描述

System Capabilities

系统的主要功能以及已使能的功能项

Management Address

管理地址,以及该地址所对应的接口号和OID

 

·              802.1组织定义TLV

IEEE 802.1组织定义TLV的内容如下表所示。

表7-26 IEEE 802.1组织定义的TLV

TLV名称

说明

Port VLAN ID

端口的PVID,一个LLDPDU中最多携带一个该类型TLV

Port And Protocol VLAN ID

端口的PPVID,一个LLDPDU中可携带多个互不重复的该类型TLV

VLAN Name

端口所属VLAN的名称,一个LLDPDU中可携带多个互不重复的该类型TLV

Protocol Identity

端口所支持的协议类型,一个LLDPDU中可携带多个互不重复的该类型TLV

 

说明

目前,H3C设备不支持发送Protocol Identity TLV,但可以接收该类型的TLV。

 

·              802.3组织定义TLV

IEEE 802.3组织定义TLV的内容如下表所示。

表7-27 IEEE 802.3组织定义的TLV

TLV名称

说明

MAC/PHY Configuration/Status

端口支持的速率和双工状态、是否支持端口速率自动协商、是否已使能自动协商功能以及当前的速率和双工状态

Power Via MDI

端口的供电能力,包括PoE的类型(PSE或PD)、PoE端口的远程供电模式、是否支持PSE供电、是否已使能PSE供电以及供电方式是否可控

Link Aggregation

端口是否支持链路聚合以及是否已使能链路聚合

Maximum Frame Size

端口支持的最大帧长度,取端口配置的MTU

 

·              LLDP-MED TLV

LLDP-MED TLV为VoIP提供了许多高级的应用,包括基本配置、网络策略配置、地址信息以及目录管理等,满足了语音设备的不同生产厂商在成本有效、易部署、易管理等方面的要求,并解决了在以太网中部署语音设备的问题,为语音设备的生产者、销售者以及使用者提供了便利。LLDP-MED TLV的内容如下表所示。

表7-28 LLDP-MED TLV

TLV名称

说明

LLDP-MED Capabilities

网络设备所支持的LLDP-MED TLV类型

Network Policy

网络设备或终端设备上端口的VLAN类型、VLAN ID以及二三层与具体应用类型相关的优先级等

Extended Power-via-MDI

网络设备或终端设备的扩展供电能力,对Power Via MDI TLV进行了扩展

Hardware Revision

终端设备的硬件版本

Firmware Revision

终端设备的固件版本

Software Revision

终端设备的软件版本

Serial Number

终端设备的序列号

Manufacturer Name

终端设备的制造厂商名称

Model Name

终端设备的模块名称

Asset ID

终端设备的资产标识符,以便目录管理和资产跟踪

Location Identification

网络设备的位置标识信息,以供终端设备在基于位置的应用中使用

 

(4)      管理地址

管理地址是供网络管理系统标识网络设备并进行管理的地址。管理地址可以明确地标识一台设备,从而有利于网络拓扑的绘制,便于网络管理。管理地址被封装在LLDP报文的Management Address TLV中向外发布。

注意

S1600不支持选择LLDPDU报文的TLV,默认支持以上所有TLV(仅不支持发送Protocol Identity TLV)。

 

7.9.2  LLDP工作机制

1. LLDP的工作模式

LLDP有以下四种工作模式:

·              TxRx:既发送也接收LLDP报文。

·              Tx:只发送不接收LLDP报文。

·              Rx:只接收不发送LLDP报文。

·              Disable:既不发送也不接收LLDP报文。

当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。

2. LLDP报文的发送机制

当端口工作在TxRx或Tx模式时,设备会周期性地向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,每发送一个LLDP报文后都需延迟一段时间后再继续发送下一个报文。

当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期缩短为1秒,并连续发送指定数量的LLDP报文后再恢复为正常的发送周期。

3. LLDP报文的接收机制

当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。

7.9.3  协议规范

与LLDP 相关的协议规范有:

·              IEEE 802.1AB-2005:Station and Media Access Control Connectivity Discovery

·              ANSI/TIA-1057:Link Layer Discovery Protocol for Media Endpoint Devices

7.9.4  设置LLDP

1. 设置全局LLDP

设备管理→LLDP设置→LLDP全局设置

本页面为您提供如下主要功能:

·          设置LLDP的全局参数(开启/关闭LLDP功能,设置LLDP报文发送周期)

 

页面中关键项的含义如下表所示。

表7-29 页面关键项描述

页面关键项

描述

全局LLDP使能

开启或关闭LLDP全局功能

缺省情况下,LLDP处于全局开启状态

LLDP报文发送周期

LLDP报文发送的间隔时间

缺省情况下,每30秒发送1个LLDP报文

 

2. 设置LLDP端口

页面向导:设备管理→LLDP设置→LLDP端口设置

本页面为您提供如下主要功能:

·          选择待设置LLDP的端口

·          设置端口的LLDP状态及相关参数(LLDP收发模式,Trap发送功能,LLDP报文封装格式及端口轮询时间)

 

页面中关键项的含义如下表所示。

表7-30 页面关键项描述

页面关键项

描述

端口LLDP状态

开启或关闭端口的LLDP功能

缺省情况下,端口LLDP处于开启状态

收发模式

LLDP报文的收发模式:

·          不改变:保持当前状态

·          关闭:关闭端口LLDP功能

·          TxRx:既发送也接收LLDP报文

·          Tx:只发送不接收LLDP报文

·          Rx:只接收不发送LLDP报文

缺省情况下,LLDP报文的收发模式为TxRx

Trap发送功能

开启或关闭当端口邻居变化时发送Trap功能

·          不改变:保持当前状态

·          关闭:关闭发送Trap功能

·          开启:开启发送Trap功能

缺省情况下,关闭当端口邻居变化时发送Trap功能

LLDP报文封装格式

LLDP报文封装的格式

·          不改变:保持当前状态

·          Ethernet II:端口按照Ethernet II发送LLDP报文

·          SNAP:端口SNAP格式发送LLDP报文

缺省情况下,端口按照Ethernet II发送LLDP报文

端口轮询时间

开启或关闭端口轮询功能,开启后可设置轮询周期时间(1~30秒)

在使能了轮询功能后,端口将以轮询时间间隔周期性地查询本端口的相关配置是否发生改变,如果发生改变将触发LLDP报文的发送,以将本端口的配置变化迅速通知给其它设备

缺省情况下,关闭端口轮询功能

 

3. 显示全局LLDP

页面向导:设备管理→LLDP设置→LLDP全局显示

本页面为您提供如下主要功能:

·          显示LLDP全局统计信息

 

Chassis类型、Chassis ID等显示LLDP邻居发送的LLDP报文中的主要字段的信息。

4. 显示端口LLDP

页面向导:设备管理→LLDP设置→LLDP端口显示

本页面为您提供如下主要功能:

·          显示LLDP端口信息

 

7.10  设置端口节能

当您希望某些端口在一些特殊的时间段(如晚上)被关闭或降低速率从而达到节能目的,那么您可以通过设置端口节能功能实现。端口节能功能是通过在特定的时间段内降低端口的功耗来实现,主要包括时间段设置和端口节能方案设置。

7.10.1  设置时间段

页面向导:设备管理→节能设置→时间段设置

本页面为您提供如下主要功能:

·          可显示所有已创建的时间段及它所包含的子时间段(主页面)

·          删除已创建的时间段(在“时间段”下拉框中选择待删除的时间段,单击<删除时间段>按钮生效)

·          删除全部已创建的时间段(单击<全部删除>按钮生效)

·          删除当前被选中的时间段下的一条子时间段(单击待删除的子时间段后面的<删除>按钮生效)

·          创建新的时间段(单击主页面上的<创建时间段>按钮,进入相应的页面。设置时间段相关参数,单击<确定>按钮生效)

·          为指定的时间段添加子时间段(在主页面上的“时间段”下拉框中选择需要添加子时间段的时间段,单击<添加子时间段>按钮,进入相应的页面。设置相关参数,单击<确定>按钮生效)

·          修改子时间段(在主页面上的“时间段”下拉框中选择待修改的时间段,单击要修改的子时间段表项进入修改子时间段页面,设置相关参数,单击<确定>按钮生效)

 

页面中关键项的含义如下表所示。

表7-31 页面关键项描述

页面关键项

描述

时间段名称

输入时间段的名称,两条时间段名称不能相同(不区分大小写)

周期时间段

起始时间

周期时间段的开始时间,格式为hh:mm,范围00:00~24:00

终止时间

周期时间段的结束时间,格式为hh:mm,范围00:00~24:00,终止时间必须大于起始时间

星期

表示该周期时间在每周几生效,可以设置星期一到星期日中的任意一天或多天

绝对时间段

起始时间

绝对时间段的开始时间,格式为YYYY-MM-DD hh:mm,默认起始时间为系统当前时间

起始时间和终止时间不能同时为空,当设置起始时间为空时,系统自动赋予起始时间值为1970-01-01 00:00

终止时间

绝对时间段的结束时间,格式为YYYY-MM-DD hh:mm,终止时间必须大于起始时间,终止时间默认为空

起始时间和终止时间不能同时为空,当设置终止时间为空时,系统自动赋予终止时间值为2035-12-31 23:59

 

说明

·          只有当系统时钟在有效的周期时间段或绝对时间段内时,预定义的节能方案才进入激活状态。

·          如果一个时间段下定义了多个周期时间段,则有效时间段为这些周期时间段之和。

·          如果一个时间段下定义了多个绝对时间段,则有效时间段为这些绝对时间段之和。

·          如果一个时间段同时定义了绝对时间段和周期时间段,则有效时间段为同时满足绝对时间段和周期时间段的时间。例如,一个时间段定义了绝对时间段:从2004-01-01 00:00到2004-12-31 23:59,同时定义了周期时间段:每周三的12:00到14:00。则有效时间段为2004年内每周三的12:00到14:00。

 

7.10.2  设置端口节能方案

注意

设置端口节能功能后,若要使节能配置生效需要先配置系统时间,且每次设备重启后,必须在NTP成功获取到时间或者手动配置过系统时间后,节能配置才会生效。

 

页面向导:设备管理→节能设置→节能设置

本页面为您提供如下主要功能:

·          查看单个端口的节能配置,并设置该端口的节能方案(单击待设置的端口,选择时间段和节能配置项,单击<确定>按钮生效)

·          批量设置指定端口的节能方案(单击主页面上的<批量配置>按钮,进入相应的设置页面)

 

页面中关键项的含义如下表所示。

表7-32 页面关键项描述

页面关键项

描述

选择时间段

选择一条已创建的时间段。选择了时间段后会显示该时间段下的子时间段信息。创建时间段的操作请参见“7.10.1  设置时间段

关闭端口

关闭端口,使端口链路断开

说明:

在一个节能方案中,如果配置“关闭端口”,那么其他的节能配置项就不能再配置了

最低速率(10Mbps)

设置端口的速率为10Mbps

说明:

如果端口不支持10Mbps速率(如只支持1000Mbps的光口),则该配置不会生效

解除绑定

单击<解除绑定>按钮,即可将当前端口与节能方案解除绑定

说明:

如果该条节能方案已生效,解除绑定操作会恢复该端口的相关配置为生效前的配置值

批量配置

单击<批量配置>按钮,进入端口批量配置页面,可批量设置端口的节能方案或解除端口的节能方案绑定

批量绑定

单击<批量绑定>按钮,即可将当前节能方案绑定到选中的端口上

说明:

如果被选中的端口已经绑定了该条时间段,那么新的节能方案会覆盖原来的方案

批量解绑

单击<批量解绑>按钮,即可将当前节能方案与选中的端口解除绑定

 


8 ACL控制

本章节主要包含以下内容:

·              ACL简介

·              设置基于MAC的ACL

·              设置基于IP的ACL

·              应用ACL到端口

·              应用ACL到VLAN

8.1  ACL简介

随着网络规模的扩大和流量的增加,对网络安全的控制成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

当S1600接收到报文后,它会根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的操作(允许/禁止通过、限速、镜像等)来进行相应的处理。

8.1.1  ACL类型

S1600支持以下两种ACL:

·              基于MAC的ACL:根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息来制定规则,对数据进行相应的处理。

·              基于IP的ACL:根据报文的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如:TCP或UDP的源端口、目的端口等)来制定规则,对数据进行相应的处理。

8.1.2  ACL规则优先级模式

一条ACL中可以包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。

S1600支持以下两种ACL规则优先级模式,即ACL匹配顺序。

表8-1 ACL匹配顺序

匹配顺序

描述

自定义排序

根据您设置规则的优先级进行匹配,数值越小,则优先级越高

自动排序

根据“深度优先”的顺序进行匹配:

1.      先比较规则中参数的个数,参数个数多的规则优先

2.      如果规则中参数个数相同,则比较源IP地址/源MAC地址范围,源IP地址/源MAC地址范围小(反掩码中“0”位的数量多)的规则优先

3.      如果规则中参数个数、源IP地址/源MAC地址范围相同,则比较目的IP地址/目的MAC地址范围,目的IP地址/目的MAC地址范围小(反掩码中“0”位的数量多)的规则优先

4.      如果规则中参数个数、源IP地址/源MAC地址、目的IP地址/目的MAC地址范围均相同,则先设置的规则优先

 

8.2  设置基于MAC的ACL

页面向导:ACL控制→基于MAC→基于MAC ACL

本页面为您提供如下主要功能:

·          显示所有已创建的基于MAC的ACL及ACL中的规则(主页面)

·          删除已创建的基于MAC的ACL(在“ACL”下拉框中选择待删除的ACL,单击<删除ACL>按钮生效)

·          批量删除某ACL下的规则(在“ACL”下拉框中选择相应的ACL,并选择需要删除的ACL规则,单击<删除规则>按钮生效)

·          修改某ACL的描述信息(在“ACL”下拉框中选择相应的ACL,单击<修改描述>按钮即可进行修改)

·          创建新的基于MAC的ACL(单击主页面上的<创建ACL>按钮,进入相应的页面。设置ACL相关参数,单击<确定>按钮生效)

·          为指定的ACL添加规则(在主页面上的“ACL”下拉框中选择需要添加规则的ACL,单击<添加规则>按钮进入相应的页面。设置规则相关参数,单击<确定>按钮生效)

·          在已创建的ACL基础上快速复制出新的ACL(单击主页面上<拷贝ACL>按钮,进入相应的页面。在“ACL”下拉框中选择拷贝源,然后设置新的ACL优先级和描述,单击<拷贝ACL>按钮生效)

 

页面中关键项的含义如下表所示。

表8-2 页面关键项描述

页面关键项

描述

创建ACL

ACL优先级

输入新ACL的优先级。输入的值越小,则优先级越高

说明:

基于MAC的ACL序号范围为4001~4100,最后三位为该ACL的优先级,且不能与基于IP的ACL的优先级重复

规则优先级模式

·          自定义:即自定义排序

·          自动:即自动排序

缺省情况下,S1600采用自定义排序

ACL描述

输入ACL的描述信息

添加规则

选择ACL

选择已创建的ACL,并针对该ACL设置规则

优先级

设置规则的优先级,决定哪个已定义的规则优先匹配

当某ACL中存在多条规则时,优先匹配优先级编号小的规则

说明:

该优先级设置仅适用于“规则优先级模式”为“自定义”的模式下

源MAC地址/目的MAC地址

设置用于匹配报文的源MAC地址/目的MAC地址

说明:

若选中“任意”单选按钮,表示匹配任意源MAC地址/目的MAC地址的报文

反掩码

设置报文源MAC地址/目的MAC地址的哪些位匹配、哪些位忽略(比如:如果源MAC地址设置为00AB-2211-3300,且源MAC地址反掩码设置为0000-0000-00FF。那么,该源MAC地址的前5个字节是可用的,最后一个字节被忽略,即匹配范围为00AB-2211-3300~00AB-2211-33FF)

VLAN ID

设置用于匹配报文的VLAN ID

CoS

设置用于匹配报文的802.1p优先级

CoS反掩码

设置报文的802.1p优先级的哪些位匹配、哪些位忽略(比如:CoS为5,二进制表示为101;反掩码为3,二进制表示为011。那么,该CoS的最前位是可用的,后两位被忽略,即当报文的CoS为4、5、6、7时均被匹配)

报文类型

设置用于匹配报文的数据帧类型,以十六进制表示,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域。您输入时不需要输入0x前导符号

操作

设置报文的处理方式:

·          允许通过:允许匹配规则的报文通过

·          禁止通过:丢弃匹配规则的报文

·          重置优先级:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种

·          限速:设置匹配规则的报文的转发速率

·          镜像:将匹配规则的报文镜像到指定端口

缺省情况下,报文的处理方式为禁止通过

 

8.3  设置基于IP的ACL

页面向导:ACL控制→基于IP→基于IP ACL

本页面为您提供如下主要功能:

·          显示所有已创建的基于IP的ACL及ACL中的规则(主页面)

·          删除已创建的基于IP的ACL(在“ACL”下拉框中选择待删除的ACL,单击<删除ACL>按钮即生效)

·          批量删除某ACL下的规则(在“ACL”下拉框中选择相应的ACL,并选择需要删除的ACL规则,单击<删除规则>按钮生效)

·          修改某ACL的描述信息(在“ACL”下拉框中选择相应的ACL,单击<修改描述>按钮即可进行修改)

·          创建新的基于IP的ACL(单击主页面上的<创建ACL>按钮,进入相应的页面。设置ACL相关参数,单击<确定>按钮生效)

·          为指定的ACL添加规则(在主页面上的“ACL”下拉框中选择需要添加规则的ACL,单击<添加规则>按钮进入相应的页面。设置规则相关参数,单击<确定>按钮生效)

·          在已创建的ACL基础上快速复制出新的ACL(单击主页面上<拷贝ACL>按钮,进入相应的页面。在“ACL名称”下拉框中选择拷贝源,然后设置新的ACL名称及其优先级、描述,单击<拷贝ACL>按钮生效)

 

页面中关键项的含义如下表所示。

表8-3 页面关键项描述

页面关键项

描述

创建ACL

ACL优先级

输入新ACL的优先级。输入的值越小,则优先级越高

说明:

基于IP的ACL序号范围为3001~3100,最后三位为该ACL的优先级,且不能与基于MAC的ACL的优先级重复

规则优先级模式

·          自定义:即自定义排序

·          自动:即自动排序

缺省情况下,S1600采用自定义排序

ACL描述

输入ACL的描述信息

添加规则

选择ACL

选择已创建的ACL,并针对该ACL设置规则

优先级

设置规则的优先级,决定哪个已定义的规则先被匹配

当某ACL中存在多条规则时,优先匹配优先级编号小的规则

说明:

该优先级设置仅适用于“规则优先级模式”为“自定义”的模式下

协议

选择用于匹配的协议

源端口

设置用于匹配TCP/UDP报文的源端口号

说明:

·          若选中“任意”单选按钮,表示匹配任意源端口

·          仅当您选择TCP或UDP协议时,才可设置源端口

目的端口

设置用于匹配TCP/UDP报文的目的端口号

说明:

·          若选中“任意”单选按钮,表示匹配任意目的端口

·          仅当您选择TCP或UDP协议时,才可设置目的端口

TCP Flags

设置用于匹配TCP报文中的标志字段:

·          Urg:表示紧急数据序列号标志

·          Ack:表示确认标志

·          Psh:表示急迫标志

·          Rst:表示复位标志

·          Syn:表示同步序列号标志

·          Fin:表示完成发送数据标志

说明:

仅当您选择TCP协议时,才可设置标志字段

源IP地址/目的IP地址

设置用于匹配报文的源IP地址/目的IP地址

说明:

若选中任意单选按钮,表示匹配任意源IP地址/目的IP地址的报文

反掩码

设置报文源IP地址/目的IP地址的哪些位匹配、哪些位忽略(比如:源IP地址为192.168.1.200,反掩码为0.0.0.255,表示仅匹配IP地址的前24位,后8位忽略。即匹配范围为192.168.1.0~192.168.1.255)

符合IP优先级

设置用于匹配报文IP优先级

说明:

IP报文头的ToS字段有8个bit,其中前3个bit表示的就是IP优先级,取值范围为0~7

符合DSCP

设置用于匹配报文DSCP优先级

操作

设置报文的处理方式:

·          允许:允许匹配规则的报文通过

·          禁止:丢弃匹配规则的报文

·          优先级:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种

·          限速:设置匹配规则的报文的转发速率

·          镜像:将匹配规则的报文镜像到指定端口

缺省情况下,报文的处理方式为禁止通过

 

8.4  应用ACL到端口

说明

在进行本操作之前,请先创建相应的ACL,相关操作请参见“8.2  设置基于MAC的ACL”和“8.3  设置基于IP的ACL”。

 

8.4.1  创建端口ACL的绑定

页面向导ACL控制→端口绑定→创建端口ACL绑定

本页面为您提供如下主要功能:

·          将已定义的ACL应用到指定的端口(选择需要应用ACL的端口及相应的ACL,单击<确定>按钮生效)

 

说明

S1650不支持将一个ACL应用到多个端口(包括已形成聚合的端口),您需要使用拷贝ACL或手工方式创建相同的ACL,并将其一一应用到相应端口。

 

8.4.2  删除端口ACL的绑定

页面向导:ACL控制→端口绑定→删除端口ACL绑定

本页面为您提供如下主要功能:

·          删除指定端口的ACL绑定(选择相应的端口,在“ACL名称”列表框中选择需要删除绑定的ACL,单击<确定>按钮生效)

·          删除所有端口上已应用了指定ACL的绑定(在“ACL名称”列表框中选择相应的ACL,单击<删除>按钮生效)

 

8.4.3  显示端口ACL的绑定

页面向导:ACL控制→端口绑定→显示端口ACL绑定

本页面为您提供如下主要功能:

·          显示端口上ACL的应用情况(选择指定的端口后,即可在“基于MAC ACL”和“基于IP ACL”列表框中显示该端口上的ACL应用)

 

8.5  应用ACL到VLAN

说明

·          在进行本操作之前,请先创建相应的ACL,相关操作请参见“8.2  设置基于MAC的ACL”和“8.3  设置基于IP的ACL”。

·          系统仅在802.1Q VLAN模式下才支持此特性,且当您在该模式下将ACL应用到VLAN 1后,如果此时将系统切换到基于端口的VLAN模式时,应用仍然生效。

·          S1650不支持此特性。

 

8.5.1  创建VLAN ACL的绑定

页面向导ACL控制→VLAN绑定→创建VLAN ACL绑定

本页面为您提供如下主要功能:

·          将已定义的ACL应用到指定的VLAN(选择需要应用ACL的VLAN及相应的ACL,单击<确定>按钮生效)

 

8.5.2  删除VLAN ACL的绑定

页面向导:ACL控制→VLAN绑定→删除VLAN ACL绑定

本页面为您提供如下主要功能:

·          删除指定VLAN的ACL绑定(选择相应的VLAN,在“ACL名称”列表框中选择需要删除绑定的ACL,单击<确定>按钮生效)

 

8.5.3  显示VLAN ACL的绑定

页面向导:ACL控制→VLAN绑定→显示VLAN ACL绑定

本页面为您提供如下主要功能:

·          显示VLAN上ACL的应用情况(选择指定的VLAN后,即可在“基于MAC ACL”和“基于IP ACL”列表框中显示该VLAN上的ACL应用)

 


9 安全专区

本章节主要包含以下内容:

·              设置防攻击

·              设置IP过滤

·              设置AAA

·              设置802.1X

9.1  设置防攻击

9.1.1  设置ARP限速

ARP限速主要防止局域网内大量的ARP报文发往S1600的某一端口,导致交换机CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。

开启ARP限速后,如果端口通过的ARP报文超过了您设定的阈值,那么端口将会进入保护状态,并丢弃通过端口的所有ARP报文。在保护时间结束之后,端口会恢复ARP报文的转发,从而可以避免此类攻击对交换机正常工作造成影响。

页面向导安全专区→防攻击→ARP限速

本页面为您提供如下主要功能:

·          显示端口的ARP限速功能状态和ARP报文的接收速率(主页面)

·          设置单个端口的ARP限速功能状态和ARP报文的接收速率(单击主页面上端口对应的表项,进入相应的页面)

·          批量设置端口的ARP限速功能状态和ARP报文的接收速率(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表9-1 页面关键项描述

页面关键项

描述

端口ARP限速功能(保护功能)

缺省情况下,端口ARP限速功能处于关闭状态

说明:

开启ARP限速功能后,缺省保护时间为5分钟,该时间不可更改,可通过保护操作恢复正常

端口ARP接收速率(速率)

缺省情况下,端口接收ARP报文的速率为100 pps

保护状态

显示端口对ARP报文的接收状态:

·          ----:未开启端口ARP限速功能

·          正常:未检测到ARP攻击,正常转发ARP报文

·          丢弃ARP:已检测到ARP攻击,丢弃这些ARP报文,并且显示剩余多少时间后,自动恢复正常转发ARP报文

保护操作

当端口受到ARP攻击时,手动恢复该端口正常转发ARP报文

·          ----:端口未受到ARP攻击

·          恢复正常:端口正受到ARP攻击。单击“恢复正常”,则恢复该端口正常转发ARP报文

 

9.1.2  设置防蠕虫病毒攻击

防蠕虫病毒攻击用于防止感染蠕虫病毒的计算机通过扫描其他正常计算机的漏洞,攻击并感染其他计算机,并在网络内大量传播,导致计算机或网络瘫痪。

开启防蠕虫病毒攻击功能后,S1600直接丢弃符合病毒特征信息的报文,从而保护正常计算机及网络设备。S1600缺省为用户定义了7种蠕虫病毒的特征信息,您也可以根据自己的需要定义新的蠕虫病毒。

页面向导安全专区→防攻击→防蠕虫病毒攻击

本页面为您提供如下主要功能:

·          显示和设置所有防蠕虫病毒攻击项(包括系统缺省的和用户自定义的蠕虫病毒)的状态(主页面。缺省情况下,所有系统缺省的防蠕虫病毒攻击项均处于关闭状态)

·          统计蠕虫病毒攻击的次数(仅当该蠕虫病毒防攻击功能开启后才会统计)

·          添加新的防蠕虫病毒攻击项(单击主页面上的<新建>按钮,进入相应的页面。添加完成后,该新的蠕虫病毒防攻击功能自动开启)

·          修改防蠕虫病毒攻击项(单击主页面上的某表项,进入相应的页面。重新设置相关参数后,单击<确定>按钮生效)

 

说明

S1600支持最多20条系统自带和用户自定义的病毒特征信息。

 

9.1.3  设置防DoS攻击

防DoS攻击功能用于防止某些计算机通过发送大量的服务请求,恶意消耗有限的服务器资源,导致其他计算机无法使用网络服务的情况。

页面向导安全专区→防攻击→防DoS攻击

本页面为您提供如下主要功能:

·          显示和设置防DoS攻击项的状态(缺省情况下,所有防DoS攻击项都处于关闭状态。各类防DoS攻击项具体的含义可参考交换机的联机帮助)

 

注意

开启防DoS攻击选项,可能会造成局域网部分业务运行异常,请慎用。

 

9.1.4  设置防MAC地址攻击

防MAC地址攻击功能主要防止设备不断地学习局域网中大量无效的报文源MAC地址,使设备的MAC地址转发表过于庞大,导致其转发性能急剧下降。

S1600通过限制端口MAC地址学习数限制,从而达到防MAC地址攻击功能。

页面向导安全专区→防攻击→防MAC地址攻击

本页面为您提供如下主要功能:

·          显示当前所有端口可学习的MAC地址数(主页面)

·          设置单个端口可学习的MAC地址数(单击主页面上端口对应的表项,进入相应的页面)

·          批量设置指定端口可学习的MAC地址数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

9.2  设置IP过滤

9.2.1  设置四元绑定

设置了四元绑定并生效后,S1600会根据报文的源MAC地址、源IP地址、VLAN及接收报文的交换机端口号进行严格过滤,进一步加强了网络的安全性。

1. 搜索四元绑定项,并一键绑定

页面向导安全专区→IP过滤→添加绑定

本页面为您提供如下主要功能:

·          通过搜索网络主机,获取四元绑定项(主页面。选中“搜索网络主机”单选框,并设置搜索条件,单击<确定>按钮进行搜索)

·          通过搜索结果判断四元绑定项是否正确,最终将所有正确的绑定项一键绑定(搜索完毕后会自动跳转或单击主页面上的<查看搜索结果>按钮,选择相应的显示搜索结果单选框。单击<智能绑定>按钮,可绑定所有的表项,同时系统会将这些表项添加到四元绑定表中;单击<取消绑定>按钮,可取消所有表项的绑定,同时系统会将对应的表项从四元绑定表中删除)

 

说明

·          显示最近一次搜索结果:显示当前您所搜索到的四元绑定项信息;显示全部搜索结果:显示S1600学习到的和您所搜索到的所有四元绑定项信息。

·          如果搜索结果中出现了冲突项(比如:在同一VLAN内,相同的IP地址对应了不同的MAC地址或者端口号),系统会将该冲突项以红色显示,便于您快速地定位出冲突项的原因并可以及时做出相应的操作。

 

2. 手动添加四元绑定项

页面向导安全专区→IP过滤→添加绑定

本页面为您提供如下主要功能:

·          手动添加四元绑定项(选中“手动添加绑定配置”单选框,并设置四元绑定相应的参数,单击<确定>按钮生效)

 

说明

一个MAC地址可以和多个IP地址绑定,但一个IP地址只能和一个MAC地址绑定。

 

3. 自动添加四元绑定项

页面向导安全专区→IP过滤→添加绑定

本页面为您提供如下主要功能:

·          通过设备的DHCP Snooping功能来监听DHCP报文,获取四元绑定项(选中“自动添加”单选框,单击<确定>按钮跳转到“端口过滤”设置页面,设置相应端口连接到DHCP服务器,监听DHCP报文)

 

4. 显示四元绑定列表

页面向导安全专区→IP过滤→四元绑定列表

本页面为您提供如下主要功能:

·          显示当前所有的四元绑定项(主页面)

·          从所有的四元绑定项中过滤出您所需的绑定项(设置搜索条件,单击<查询>按钮即可)

·          修改静态四元绑定项(单击需要修改的绑定表项,进入相应的页面)

·          实现将四元绑定项导出为一个脚本文件供编辑(.cfg格式,您可以用记事本进行打开)、备份或导入一个已更新好的四元绑定脚本以快速完成设置(单击主页面上的<配置脚本>按钮,进入相应的页面)

 

9.2.2  设置端口过滤

页面向导安全专区→IP过滤→端口过滤设置

本页面为您提供如下主要功能:

·          设置端口过滤功能状态(包括端口IP过滤、ARP过滤等功能),并同时可查看该端口下的四元绑定项

 

页面中关键项的含义如下表所示。

表9-2 页面关键项描述

页面关键项

描述

连接DHCP服务器

设置端口是否连接DHCP服务器

·          是:表示此端口为信任端口,同时开启了设备的DHCP Snooping功能,它会通过监听DHCP报文,获取四元绑定项,并且生成的绑定项均为动态类型

·          否:表示此端口为非信任端口,它会直接丢弃DHCP报文

说明:

信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址

连接网关

设置端口是否连接到网关

·          是:表示此端口用于连接网关设备,且不能设置IP过滤功能

·          否:表示此端口不用于连接网关设备,同时可以设置IP过滤功能

说明:

·          对于特殊的应用端口,例如路由器端口,建议开启连接网关功能

·          当您指定某端口用于连接网关时,则该端口的ARP限速功能将自动关闭

过滤IP

设置端口过滤IP报文功能

·          是:表示此端口为非信任端口,仅当IP报文符合该端口下已生效的四元绑定项才允许通过,否则端口直接丢弃该报文

·          否:表示此端口为信任端口,不对IP报文进行检查

说明:

·          开启端口IP过滤功能后,最多允许380条四元绑定项生效

·          页面表格中的IP区段显示“通过”表示该绑定项已生效;显示“丢弃”表示该绑定项未生效;显示“--”表示未开启端口过滤IP报文功能

过滤ARP

设置端口过滤ARP报文功能

·          是:表示此端口为非信任端口,设备会严格按照该端口下已生效的四元绑定项进行ARP欺骗检查,除了发送给交换机的ARP报文外,所有和绑定项不匹配的ARP报文都被丢弃

·          否:表示此端口为信任端口,不进行ARP欺骗检查

说明:

·          页面表格中ARP区段显示“通过”表示该绑定项已生效;显示“--”表示未开启端口过滤ARP报文功能

·          开启端口ARP过滤功能后,您可以通过“ARP欺骗定位”页面来查看设备所拦截到的攻击源信息(页面向导:安全专区→IP过滤→ARP欺骗定位

重绑定

在设置端口过滤IP报文功能时,如果当前某端口下存在未生效的四元绑定项且已生效的四元绑定项总数未超过380条时,您可以通过单击<重绑定>按钮来使该绑定项生效

解除绑定

在设置端口过滤IP报文功能时,您可以通过单击<解除绑定>按钮来使相应的绑定项不生效

删除

删除列表中被选中的一条或多条四元绑定表项

批量配置

单击<批量配置>按钮,即可批量设置端口的IP过滤和ARP过滤功能

 

9.3  设置AAA

9.3.1  AAA简介

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

AAA一般采用客户机/服务器结构,客户端运行于NAS上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图9-1所示。

图9-1 AAA基本组网结构示意图

 

当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。

图9-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。

这三种安全服务功能的具体作用如下:

·              认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;

·              授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;

·              计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。

当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。

说明

·          S1600支持通过AAA对Telnet用户、Console用户以及Web用户信息进行统一管理。

·          目前,S1600的计费功能只适用于802.1x用户。

 

9.3.2  设置用户认证方案

页面向导安全专区→AAA用户认证方案设置

本页面为您提供如下主要功能:

·          设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案

 

页面中关键项的含义如下表所示。

表9-3 页面关键项描述

页面关键项

描述

Telnet用户认证方案 / Terminal用户认证方案 / Web用户认证方案

·          不认证:访问S1600时,不需要认证便可以进行管理

·          本地认证:访问S1600时,需要本地认证成功后方可进行管理,且您需要通过“本地用户设置”页面对本地用户的配置和管理

·          radius远程认证:访问S1600时,需要远程认证成功后方可进行管理。该认证方式相对于本地认证来说,便于对所有设备的登录用户进行统一管理和维护

·          radius远程认证+本地认证:实现两种认证方案互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案

说明:

·          当采用radius远程认证方案或radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在S1600上设置对应的Radius Client。有关Radius Client的相关描述和操作,可参见“9.3.4  设置Radius Client

·          Web用户认证不支持radius远程认证方案或radius远程认证+本地认证方案

 

9.3.3  设置本地用户

页面向导安全专区→AAA本地用户设置

本页面为您提供如下主要功能:

·          显示已创建的本地用户信息(主页面)

·          新建本地用户(单击主页面中的<新建>按钮,在“添加本地用户”页面中设置新用户相关信息,单击<确定>按钮生效)

·          修改本地用户(单击主页面中需要修改的本地用户表项,即可进入“修改本地用户”页面进行维护)

 

9.3.4  设置Radius Client

Radius是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的Radius帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。

1. 客户端/服务器模式

·              S1600支持Radius Client功能,负责传输用户信息到指定的Radius Server,然后根据从Radius Server返回的信息进行相应处理(比如:接受/拒绝用户接入)。

·              Radius Server运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给Radius Client返回所有需要的信息(比如:接受/拒绝认证请求)。

2. 安全和认证机制

Radius Client和Radius Server之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。

说明

当您配合iMC实现用户包月认证时,需要开启802.1X重认证功能,便于定时检测用户的有效状况。

 

3. Radius的基本消息交互流程

Radius Client和Radius Server之间通过共享密钥来认证交互的消息,增强了安全性。Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。用户(Host)、Radius Client、Radius Server之间一种简要的交互流程如图9-2所示。

图9-2 Radius的基本消息交互流程(认证+计费)

 

说明

当您想通过Radius方案来远程认证Telnet用户和Console用户时,Radius的基本消息交互流程中仅为认证步骤,即当Radius Server认证通过后,Radius Client会向Host返回认证成功信息,从而Host可以正常地登录设备进行配置和管理。

 

基本交互步骤如下:

(1)      用户输入用户名和口令。

(2)      Radius Client根据获取的用户名和口令,向Radius Server发送认证请求包(Access-Request)。

(3)      Radius Server将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的授权信息以认证响应包(Access-Accept)的形式发送给Radius Client;如果认证失败,则返回Access-Reject响应包。

(4)      Radius Client根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则Radius Client向Radius Server发送计费开始请求包(Accounting-Request),Status-Type取值为start。

(5)      Radius Server返回计费开始响应包(Accounting-Response)。

(6)      用户开始访问资源。

(7)      Radius Client按实时计费间隔循环的向Radius Server发送实时计费请求包(Accounting-Request),Status-Type取值为interim-update。

(8)      Radius Server返回实时计费响应包(Accounting-Response)。

(9)      Radius Client向Radius Server发送计费结束请求包(Accounting-Request),Status-Type取值为stop。

(10)   Radius Server返回计费结束响应包(Accounting-Response)。

(11)   用户访问资源结束。

页面向导安全专区→AAA→Radius Client设置

本页面为您提供如下主要功能:

·          设置S1600作为Radius Client与Radius Server进行交互时的相关参数

 

说明

·          Radius Client支持设置主、从认证和计费服务器,即当主服务器因故障而导致其与S1600的通信中断时,S1600会主动地与从服务器交互报文。当主服务器恢复正常后,S1600却不会立即恢复与其通信,而是继续与从服务器通信;直到从服务器也出现故障后,S1600才能再恢复与主服务器交互报文。

·          当您配置主或从计费服务器后,802.1X用户必需要进行计费,如果计费失败用户不能访问资源。

·          当主计费服务器发生故障时,只有在计费开始请求阶段会切换到从计费服务器,同理,从从服务器切换到主服务器也是一样。因此当用户的计费开始请求成功后,如果计费服务器发生故障,需要用户重新认证后才能访问资源。

 

页面中关键项的含义如下表所示。

表9-4 页面关键项描述

页面关键项

描述

Radius方案

显示系统缺省的Radius方案:system

服务器响应超时

设置Radius Server响应超时时长

如果在Radius请求报文(认证/授权请求或计费请求)传送出去一段时间后,S1600还没有得到Radius Server的响应,则有必要重传Radius请求报文,以保证用户确实能够得到Radius服务,这段时间被称为Radius Server响应超时时长

缺省情况下,Radius Server响应超时时长为3秒

说明:

当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留服务器响应超时为缺省值

请求报文最大重传次数

设置Radius请求报文最大重传次数

如果累计的传送次数超过最大传送次数而Radius Server仍旧没有响应,则S1600将认为本次认证失败

缺省情况下,Radius请求报文最大重传次数为3次

说明:

当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留Radius请求报文最大重传次数为缺省值

重启用户再认证功能

设置设备重启用户再认证功能

开启设备重启用户再认证功能后,S1600每次发生重启后,通过向Radius服务器发送Accouting-On报文,告知Radius服务器该设备已经重启,要求Radius 服务器强制该设备的用户下线,重新登录

缺省情况下,设备重启用户再认证功能处于关闭状态

说明:

本功能仅适用于Radiu认证/计费服务器为CAMS的情况

实时计费间隔

设置实时计费间隔

设置实时计费间隔以后,每隔设定的时间,S1600会向Radius服务器发送一次在线用户的计费信息

缺省情况下,实时计费间隔为12分钟

实时计费最大失败次数

设置实时计费最大失败次数

在S1600向Radius服务器发出的实时计费失败的次数超过所设定的最大值时,S1600将切断用户连接

缺省情况下,最多允许5次实时计费失败,5次之后将切断用户连接

状态

设置认证/计费服务器当前的工作状态

·          active:处于工作状态

·          block:处于待机状态

说明:

当主/从服务器状态不同时,系统优先使用状态为active的服务器;当主/从服务器状态相同时,系统优先使用主服务器

IP地址

设置认证/计费服务器的IP地址

说明:

当您设置了有效的认证/计费服务器的IP地址后,服务器工作状态则为active,否则为block

端口号

设置认证/计费服务器的UDP端口号

缺省情况下,Radius认证服务器的UDP端口号为1812,Radius计费服务器的UDP端口号为1813

共享密钥

设置Radius认证报文、计费报文的共享密钥,此密钥需要与S1600对接的Radius认证/计费服务器侧设置的密钥一致

 

9.4  设置802.1X

9.4.1  802.1X简介

802.1X协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。

1. 802.1X的体系结构

使用802.1X的系统为典型的Client/Server体系结构,包括三个实体,如图9-3所示分别为:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。

图9-3 802.1X认证系统的体系结构

 

·              客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。

·              设备端是位于局域网段一端的另一个实体,用于对所连接的客户端进行认证。

·              认证服务器是为设备端提供认证服务的实体。

三个实体涉及如下三个基本概念:PAE、受控端口和端口受控方式。

(1)      PAE

PAE是认证机制中负责执行算法和协议操作的实体。

·              设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地对受控端口的授权/非授权状态进行相应地控制。

·              客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。

(2)      受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。

·              非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。

·              受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。

·              受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。

(3)      端口受控方式

·              基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。

·              基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源。

2. 802.1x的工作机制

IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,在客户端和认证服务器之间交换认证信息。

图9-4 802.1x认证系统的工作机制

 

·              在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。

·              在设备端PAE与Radius服务器之间,EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式,承载于Radius协议中;也可以由设备端PAE进行终结,而在设备端PAE与Radius服务器之间传送PAP协议报文或CHAP协议报文。

·              当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据Radius服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。

3. 802.1x的认证过程

S1600支持EAP-MD5认证:验证客户端的身份,Radius服务器发送MD5加密字(EAP-Request/MD5 Challenge报文)给客户端,客户端用该加密字对口令部分进行加密处理。

图9-5 802.1x的认证过程(EAP-MD5)

 

认证过程如下:

·              当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

·              S1600收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。

·              客户端程序响应S1600发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给S1600。S1600将客户端送上来的数据帧经过封包处理后(Radius Access-Request报文)送给Radius服务器进行处理。

·              Radius服务器收到S1600转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过Radius Access-Challenge报文传送给S1600,由S1600传给客户端程序。

·              客户端程序收到由S1600传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过S1600传给Radius服务器。

·              Radius服务器将加密后的口令信息(Radius Access-Request报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(Radius Access-Accept报文和EAP-Success报文)。

·              S1600将端口状态改为授权状态,允许用户通过该端口访问网络。

·              客户端也可以发送EAPoL-Logoff报文给S1600,主动终止已认证状态,S1600将端口状态从授权状态改变成未授权状态。

4. 802.1X的定时器

802.1X认证过程中会启动多个定时器以控制接入用户、S1600以及Radius服务器之间进行合理、有序的交互。802.1X的定时器主要有以下几种:

·              握手定时器:此定时器是在用户认证成功后启动的,S1600以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果重试一定次数后仍然没有收到客户端的响应报文,就认为用户已经下线。

·              静默定时器:对用户认证失败以后,S1600需要静默一段时间(该时间由静默定时器设置)后,用户可以再重新发起认证,在静默期间,S1600不进行该用户的802.1X认证相关处理。

·              重认证超时定时器:每隔该定时器设置的时长,S1600会定期发起802.1X重认证。

·              Radius服务器超时定时器:若在该定时器设置的时长内,Radius服务器未成功响应,S1600将向Radius服务器重发认证请求报文。

·              客户端认证超时定时器:当S1600向客户端发送了Request/Challenge请求报文后,S1600启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,S1600将重发该报文。

·              传送超时定时器:在客户端主动发起认证的情况下,当S1600向客户端发送单播Request/Identity请求报文后,S1600启动该定时器,若在该定时器设置的时长内,S1600没有收到客户端的响应,则S1600将重发认证请求报文;为了对不支持主动发起认证的802.1X客户端进行认证,S1600会在启动802.1X功能的端口不停地发送组播Request/Identity报文,发送的间隔为传送超时定时器值。

5. 支持VLAN下发

802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上指定了授权给该用户的下发VLAN,则服务器发送给设备的授权信息中将含有下发的VLAN信息,设备根据用户认证上线的端口链路类型,按以下三种情况将端口加入下发VLAN中。

表9-5 不同类型的端口加入下发的VLAN

接入控制方式

Access端口

Trunk端口

Hybrid端口

基于端口号认证

端口离开用户配置的VLAN,加入下发的VLAN

端口类型修改为access,并离开用户配置的VLAN,加入下发的VLAN

端口类型修改为access,并离开用户配置的VLAN,加入下发的VLAN

基于MAC地址认证

不支持VLAN下发

不支持VLAN下发

若端口上开启了MAC VLAN功能,则根据下发的VLAN创建基于用户MAC的VLAN,而端口的缺省VLAN ID不改变。

说明:当用户下线后,端口不会从下发的VLAN中删除。

若当前Hybrid端口上未开启MAC VLAN功能,不支持VLAN下发  

如果设备不支持VLAN下发功能,即使服务器发送给设备的授权信息中含有下发的VLAN信息,设备也不处理下发的VLAN信息。

 

说明

·          对于Hybrid端口,不建议把服务器将要下发的VLAN配置为携带Tag的方式加入端口。

·          S1650不支持基于MAC地址认证的VLAN下发功能。

 

6. Guest VLAN功能

Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。

根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。

·              端口的接入方式为基于端口号认证

端口配置Guest VLAN后,若在一定的时间内,该端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与“基于端口号认证”的端口加入服务器下发的VLAN类似,请参见表9-5

当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN。

·              端口的接入方式为基于MAC地址认证

端口配置Guest VLAN,端口上用户认证触发后,未认证通过的用户被授权访问Guest VLAN里的资源。

当端口上处于Guest VLAN中的用户发起认证且失败时,则该用户将仍然处于Guest VLAN内。当端口上处于Guest VLAN中的用户发起认证且成功时,该用户会离开Guest VLAN。

不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与“基于MAC地址认证”的端口加入服务器下发的VLAN类似,请参见表9-5

说明

S1650不支持基于MAC地址认证的Guest VLAN功能。

 

7. 802.1X重认证功能

802.1X重认证是通过定时器或报文触发,对已经认证成功的用户进行一次重新认证。通过启用802.1X重认证功能,S1600可以定时检测用户的连接状况。当发现接入用户在一定时间内未响应重认证报文,则切断与该用户的连接。若用户希望再次连接,则必须通过客户端软件重新发起802.1X认证。

9.4.2  设置802.1X端口参数

注意

·          对于已经加入到某个汇聚组中的端口,则不允许在该端口上启动802.1x。

·          当802.1X用户在线时,如果更改了端口接入方式,则在线用户会被强制下线。

 

页面向导安全专区→802.1X→802.1X端口设置

本页面为您提供如下主要功能:

·          显示所有端口的802.1X功能及相关参数的状态(主页面)

·          设置单个端口的802.1X功能及相关参数(单击主页面上端口对应的表项,进入相应的页面)

·          批量设置指定端口的802.1X功能及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面)

 

页面中关键项的含义如下表所示。

表9-6 页面关键项描述

页面关键项

描述

端口802.1X功能(802.1X使能)

端口的802.1X功能状态

·          开启:开启端口的802.1X功能

·          关闭:关闭端口的802.1X功能

缺省情况下,端口的802.1X功能处于关闭状态

说明:

必须同时开启全局和端口的802.1X特性后,802.1X的配置才能生效,相关操作请参见“9.4.3  设置802.1X全局参数

最大用户数

端口允许同时接入用户数量的最大值,缺省值为128

端口接入模式

·          Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源

·          Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源

·          Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源

缺省情况下,端口接入控制模式为Auto

端口接入方式

·          基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源

·          基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源

缺省情况下,端口的接入控制方式为基于MAC地址认证

端口重认证

·          关闭:关闭所有端口的重认证功能

·          开启:启用所有端口的重认证功能

缺省情况下,端口的重认证功能处于关闭状态

在线用户握手

·          关闭:关闭所有端口的在线用户握手功能

·          开启:启用所有端口的在线用户握手功能

缺省情况下,端口的在线用户握手功能处于开启状态

组播触发

·          关闭:关闭所有端口的组播触发功能

·          开启:启用所有端口的组播触发功能

缺省情况下,端口的组播触发功能处于开启状态

端口Guest VLAN功能

·          关闭:关闭端口的Guest VLAN功能

·          开启:开启端口的Guest VLAN功能

缺省情况下,端口的Guest VLAN功能处于关闭状态

说明:

·          仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能

·          必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“9.4.3  设置802.1X全局参数

 

9.4.3  设置802.1X全局参数

页面向导安全专区→802.1X→802.1X全局设置

本页面为您提供如下主要功能:

·          设置全局的802.1X功能及相关参数的状态

 

页面中关键项的含义如下表所示。

表9-7 页面关键项描述

页面关键项

描述

设备802.1X功能

设置全局的802.1X功能状态

·          开启:启用全局的802.1X功能

·          关闭:关闭全局的802.1X功能

缺省情况下,全局的802.1X功能处于关闭状态

说明:

必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效,相关操作请参见“9.4.2  设置802.1X端口参数

Guest VLAN

选中“Guest VLAN”复选框,表示开启全局的Guest VLAN功能,反之,关闭该功能

说明:

·          仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能

·          必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“9.4.2  设置802.1X端口参数

Guest VLAN ID

指定一个VLAN作为Guest VLAN

最大用户数

设置所有端口允许同时接入用户数量的最大值,缺省值为128

端口接入模式

设置所有端口的接入控制模式

·          端口自设置:保持当前设置状态,您可以通过“9.4.2  设置802.1X端口参数”针对端口进行设置

·          Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源

·          Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源

·          Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源

缺省情况下,端口接入控制模式为Auto

端口接入方式

设置所有端口的接入控制方式

·          端口自设置:保持当前设置状态,您可以通过“9.4.2  设置802.1X端口参数”针对端口进行设置

·          基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源

·          基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源

缺省情况下,端口接入控制方式为基于MAC地址认证

端口重认证

设置所有端口的重认证状态

·          端口自设置:保持当前设置状态,您可以通过“9.4.2  设置802.1X端口参数”针对端口进行设置

·          关闭:关闭所有端口的重认证功能

·          开启:启用所有端口的重认证功能

缺省情况下,端口重认证功能处于关闭状态

定时器

设置802.1X的各定时器参数,建议用户使用缺省值

说明:

802.1X的各定时器的相关描述请参见“9.4.1  4. 802.1X的定时器

 


10 典型配置举例

说明

此典型配置案例中均在S1600缺省配置的基础上进行。如果您之前已经对设备做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。

 

本章节主要包含以下内容:

·              SNMP典型组网配置举例

·              ACL典型组网配置举例

·              四元绑定典型组网配置举例

·              Isolate-user-vlan典型配置举例

10.1  SNMP典型组网配置举例

10.1.1  组网需求

NMS通过SNMP v2c对SNMP Agent(S1626)进行监控管理,当SNMP Agent在故障或者出错的时候能够主动向NMS报告情况。

10.1.2  组网图

图10-1 SNMP典型组网配置示意图

 

10.1.3  设置步骤

1. S1626上的配置

1.      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框

2.      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

3.      单击“设备管理→SNMP设置→SNMP代理设置”。开启SNMP Agent功能,设置SNMP基本信息,包括版本号、团体名等。同时,设置S1600所处的位置信息和维护人员的联系信息,以方便维护。单击<确定>按钮生效

4.      单击“设备管理→SNMP设置→SNMP Trap设置”

5.      单击<新建>按钮,设置允许向NMS(192.168.0.100/24)发送Trap报文,使用的团体名为public,版本为v2c。单击<确定>按钮生效

6.      单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 

2. NMS上的配置

在使用SNMP v2c版本的NMS上需要设置“只读团体名”和“读写团体名”。另外,还需要设置“超时”时间和“重试次数”。您可利用网管系统完成对S1626的查询和配置操作,详情请参考NMS的配套手册。

说明

网管侧的配置必须和设备侧保持一致(比如:团体名),否则无法进行相应操作。

 

10.2  ACL典型组网配置举例

10.2.1  组网需求

某企业需要阻止某些特定的主机(比如:192.168.0.118/24)访问外网,但又希望该主机可以访问内网中的其他服务器(比如:FTP服务器等),此时您可以通过配置ACL来实现。

10.2.2  组网分析

为满足需求,以下面的组网配置方案为例进行说明:

·              H3C S1626下接无管理交换机;

·              在S1626上定义一条基于IP的ACL,并在该ACL下设置两条子规则:一条是源IP地址为该主机的IP地址,操作为“禁止通过”;一条是源IP地址为该主机IP地址,目的IP地址为服务器的IP地址,操作为“允许通过”。将规则优先级设为“自动优先级模式”使“允许通过”的子规则为优先匹配。

·              将这条ACL应用到相应的端口,使其生效。

10.2.3  组网图

图10-2 ACL典型配置组网示意图

 

10.2.4  设置步骤

1.      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框

2.      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

3.      单击“ACL控制→定义ACL→基于IP ACL”,进入相应的设置页面

4.      单击<创建ACL>按钮,进入创建ACL的页面。选择“规则优先级模式”为自动,单击<确定>按钮,完成一条新ACL的创建(名称:ACL3001)

5.      单击<添加规则>按钮,添加一条规则:源IP地址为该主机的IP地址、目的IP地址为FTP服务器的IP地址、操作为“允许通过”

6.      单击<添加规则>按钮,添加另一条规则:源IP地址为此主机IP地址,操作为“禁止通过”

7.      单击“ACL控制→端口绑定→创建端口ACL绑定”,并将“ACL3001”ACL应用到端口8

8.      单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 

10.3  四元绑定典型组网配置举例

10.3.1  组网需求

某企业需要在局域网内实现四元绑定,预防内网病毒欺骗和恶意攻击,保证网络运行稳定。

10.3.2  组网分析

为满足需求,以下面的组网配置方案为例进行说明:

·              H3C S1626下接无管理交换机;

·              由于企业通常采用DHCP方式来配置用户端IP地址,所以建议通过DHCP监控方式在S1626上进行四元绑定。

10.3.3  组网图

图10-3 四元绑定典型配置组网示意图

 

10.3.4  设置步骤

1.      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框

2.      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

3.      单击“安全专区→IP过滤→添加绑定”,进入相应的设置页面。选择“自动添加(DHCP-Snooping)”单选按钮,单击<确定>按钮生效。此时,页面会自动跳转到“端口过滤设置”页面

4.      选择端口5,同时选中“连接DHCP服务器”该项的“是”单选按钮,单击<确定>按钮生效

5.      以端口10为例:选择端口10,并开启过滤IP和过滤ARP两项功能,单击<确定>按钮生效

6.      单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 

10.4  Isolate-user-vlan典型配置举例

10.4.1  节省汇聚交换机的VLAN资源

1. 组网需求

某企业为每个工作组划分不同的VLAN,为了节省汇聚交换机的VLAN资源,需要在汇聚交换机侧实现客户端VLAN屏蔽的方案。

2. 组网分析

为满足需求,以下面的组网配置方案为例进行说明:

·              汇聚交换机下接S1626;

·              在S1626上设置Isolate-user-vlan特性,实现如下:

(1)      S1626_A

VLAN 500为Isolate-user-VLAN,包含上行端口25和两个Secondary VLAN:VLAN 101和VLAN 102,VLAN 101包含端口1,VLAN 102包含端口2;

(2)      S1626_B

VLAN 600为Isolate-user-VLAN ,包含上行端口25和两个Secondary VLAN:VLAN 203和VLAN 204,VLAN 203包含端口3,VLAN 204包含端口4。

从汇聚交换机上看,下接的S1626_A、S1626_B都只有一个VLAN:VLAN 500和VLAN 600。

3. 组网图

图10-4 Isolate-user-vlan典型组网配置示意图(一)

 

4. 设置步骤

说明

此例仅介绍S1626上的Isolate-user-vlan特性设置,且以S1626-A为例,S1626-B可参考设置。

 

1.      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框

2.      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

3.      单击“设备管理→VLAN设置→802.1Q VLAN”,进入相应的设置页面

4.      单击<新建>按钮,进入相应的设置页面。创建Secondary VLAN:VLAN 101和VLAN 102

5.      单击“设备管理→用户隔离VLAN→用户隔离VLAN配置”,进入相应的设置页面

6.      创建Isolate-user-VLAN:VLAN 500

7.      单击“设备管理→用户隔离VLAN→用户隔离VLAN端口配置”,进入相应的设置页面

8.      设置Isolate-user-VLAN:VLAN 500中加入端口25

9.      设置Secondary VLAN:VLAN 101和VLAN 102中分别加入端口1和端口2(以VLAN 101为例)

10.   单击“设备管理→用户隔离VLAN→用户隔离VLAN关联配置”,进入相应的设置页面。将Isolate-user-VLAN和Secondary VLAN进行关联

11.   单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 

10.4.2  配合汇聚交换机实现酒店监控服务

1. 组网需求

出于网络安全考虑,某酒店需要使用监控服务器对每间客房的上行流量进行监控,且酒店每间客房的客户均可以通过出口路由器上网,且互不干扰。

2. 组网分析

为满足需求,以下面的组网配置方案为例进行说明:

·              汇聚交换机下接S1626;

·              将汇聚交换机上与路由器相连的端口镜像到与监控服务器相连的端口;

·              为避免下行流量产生广播,使用汇聚交换机的MAC地址同步功能;

·              在S1626上运用Isolate-user-vlan功能。

3. 组网图

图10-5 Isolate-user-vlan典型配置组网示意图(二)

 

4. 设置步骤

(1)      汇聚交换机上的配置

此处仅介绍设置方法,具体的设置步骤请参见相应汇聚交换机的用户手册。

汇聚交换机:

·              创建所有客房所对应的VLAN(此处为:VLAN 201、VLAN 202、VLAN301、VLAN 302)及VLAN 1000;

·              将端口1设置为Hybrid端口,PVID为1000,且VLAN1和VLAN1000报文出端口时不带VLAN Tag;

·              将端口2~端口4设置为Trunk端口,PVID为1,且允许所有的VLAN通过;

·              设置端口2为监控端口,设置端口1为被镜像端口(监控其入端口和出端口数据);

·              将下行VLAN(VLAN 201、202、301、302)MAC地址同步到上行VLAN(VLAN 1000)。

(2)      S1626上的配置

说明

此例以S1626-A为例,S1626-B可参考设置。

 

1.      运行Web浏览器,在地址栏中输入:http://192.168.0.234(S1626缺省的IP地址),按回车后出现登录对话框

2.      在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面

3.      单击“设备管理→VLAN设置→802.1Q VLAN”,进入相应的设置页面

4.      单击<新建>按钮,进入相应的设置页面。创建Secondary VLAN:VLAN 201和VLAN 202

5.      单击“设备管理→用户隔离VLAN→用户隔离VLAN配置”,进入相应的设置页面

6.      创建Isolate-user-VLAN:VLAN 1000

7.      单击“设备管理→用户隔离VLAN→用户隔离VLAN端口配置”,进入相应的设置页面

8.      设置Isolate-user-VLAN:VLAN 1000中加入端口25

9.      设置Secondary VLAN:VLAN 201和VLAN 202中分别加入端口1和端口2(以VLAN 201为例)

10.   单击“设备管理→用户隔离VLAN→用户隔离VLAN关联配置”,进入相应的设置页面。将Isolate-user-VLAN和Secondary VLAN进行关联

11.   单击“设备管理→VLAN设置→Hybrid端口”,进入Hybrid端口设置页面

12.   单击端口“25”的链接,修改端口25的Tagged VLAN为201,202

13.   单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置

 


11 附录 - 命令行设置

说明

如果命令行所涉及的特性与Web界面相同,则该特性的功能介绍将不再赘述。您可通过本手册中的Web界面设置获取相关的信息。

 

11.1  登录S1600

本章主要介绍通过命令行对S1600进行配置前,如何搭建配置环境以及如何使用命令行。

说明

S1600支持2个Telnet用户和1个Console口用户同时登录。

 

11.1.1  通过Console口搭建配置环境

1. 连接S1600到管理计算机

将管理计算机的串口通过配置电缆与S1600的Console口相连。

2. 配置终端参数

1.      打开管理计算机,在管理计算机Windows界面上选择[开始/(所有)程序/附件/通讯]菜单,单击“超级终端”。在“名称”文本框中输入新建连接的名称,如“switch”,单击<确定>按钮建立新的连接(以Windows XP的超级终端为例)

2.      在“连接时使用”下拉列表框中选择进行连接的串口,单击<确定>按钮(注意选择的串口应与配置电缆实际连接的串口相一致)

3.      在串口的属性对话框中设置相关参数(参数值如右图所示)。单击<确定>按钮

4.      在[超级终端]窗口中选择[文件/属性/设置]

5.      选择终端仿真类型为自动检测,单击<确定>按钮,返回[超级终端]窗口

 

将S1600通电,终端上显示S1600的自检信息,自检结束后提示您键入回车。回车后会出现命令行提示符(如<H3C>),此时您就可以对S1600进行配置了,具体的配置命令请参考本书中以后各章节的内容。

11.1.2  通过Telnet搭建配置环境

1. 准备工作

通过终端Telnet到S1600需要具备如下条件:

·              S1600的Telnet功能开启(缺省情况下开启Telnet服务器,具体配置请参见“11.14.5  2. 开启/关闭TELNET服务器”)。

·              在S1600上配置Telnet用户本地认证密码(缺省采用本地认证方式,具体配置请参见“5.3  设置Web参数及Telnet用户认证方式”或“11.2.3  3. 设置VTY用户认证”)。

·              请确认终端能通过Telnet方式访问交换机(缺省情况下允许所有终端通过Telnet方式访问交换机,具体配置请参见“5.9  设置管理PC控制”或“11.14.6  设置管理PC控制”)。

·              在S1600上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);

·              将与终端相连的以太网端口加入该管理VLAN(在VLAN视图下使用port命令);

·              如果终端和S1600在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和S1600必须路由可达。

2. 搭建配置环境

(1)      将管理计算机的以太网口通过局域网与S1600的以太网端口连接。

(2)      在管理计算机上选择[开始/运行],并输入“telnet: 192.168.0.234(以S1600缺省的IP地址为例)”,单击<确定>按钮。

(3)      终端上显示“Password”字样,要求您输入登录密码。确认后出现命令行提示符(如<H3C>)。此时您就可以对S1600进行配置了,具体的配置命令请参考本书中以后各章节的内容。

说明

当您通过Telnet方式配置S1600时,请不要删除管理VLAN接口,也不要修改管理VLAN接口的IP地址,否则会导致Telnet连接断开。

 

11.1.3  命令行使用指导

S1600向您提供一系列的配置命令以及命令行接口,以方便您配置和管理。命令行接口有如下特性:

·              配置命令分级保护,确保未授权用户无法侵入交换机;

·              您可以随时键入“?”以获得在线帮助

·              提供种类丰富、内容详尽的调试信息,帮助诊断网络故障;

·              提供类似Doskey的功能,可以执行某条历史命令;

·              命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。

1. 命令行视图

命令行提供如下视图:

·              用户视图;

·              系统视图;

·              用户界面视图;

·              VLAN视图;

·              VLAN接口视图;

·              用户组视图;

·              以太网端口视图;

·              ACL视图;

·              RADIUS方案视图。

各命令视图的功能特性、进入各视图的命令等细则如下图所示,其中端口编号仅供举例参考。

表11-1 命令视图功能特性列表

视图

功能

提示符

进入命令

退出命令

用户视图

查看交换机的运行状态和统计信息,进行简单的系统管理

<H3C>

与交换机建立连接即进入

quit断开与交换机连接

系统视图

配置、查看系统参数

[H3C]

在用户视图下键入system-view

quit返回用户视图

return返回用户视图

以太网端口视图

配置以太网端口参数

[H3C-Ethernet0/1]

固定以太网端口视图:在系统视图下键入interface Ethernet0/1

quit返回系统视图

return返回用户视图

VLAN视图

配置VLAN参数

[H3C-Vlan1]

在系统视图或以太网端口视图下键入vlan 1

VLAN接口视图

配置VLAN对应的IP接口参数

[H3C-Vlan-interface1]

在系统视图、以太网端口视图或VLAN视图下键入interface vlan-interface 1

用户组视图

配置基于端口的VLAN参数

[H3C-UserGroup1]

在系统视图下键入user-group 1

用户界面视图

配置用户界面参数

[H3C-Aux0]

在系统视图下键入user-interface aux 0

[H3C-vty0]

在系统视图下键入user-interface vty 0

ACL视图

配置ACL参数

[H3C-Advanced-ACL3001]

在系统视图下键入acl number 3001

RADIUS方案视图

配置RADIUS方案

[H3C-radius-system]

在系统视图下键入

radius scheme system

 

2. 命令行在线帮助

说明

以下显示的内容均为示例,请以实际的显示情况为准。

 

通过命令行在线帮助,您可以查询命令信息以及快速输入命令。描述如下:

(1)      在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。

<H3C> ?

  debugging    Enable system debugging functions

  display      Display current system information

  ping         Ping function

  quit         Exit from current command view

  reboot       Reset switch

  reset        Reset operation

  save         Save current configuration

  system-view  Enter the system view

  terminal     Specify the terminal characteristics

  undo         Cancel current setting

(2)      键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。

<H3C> display ?

  acl                    ACL

  arp                    Display ARP information

  controller             Controller

  current-configuration  Current configuration

  debugging              Current setting of debugging switches

  device                 Device

  dhcp-snooping          DHCP snooping

  dhcp-statistics        Display dhcp clinet information

  dos-prevention         dos-prevention

  dot1x                  802.1x status information

  filter                 tcp udp filter

  igmp-snooping          IGMP snooping

  info-center            Information center status and configuration

                         information

  interface              Interface status and configuration information

  ip                     IP status and configuration information

  ipmacbind              ip+mac+port+vlan bind

  isolate                Display isolate port

  isolate-user-vlan      Display isolate-user-VLAN characteristic

  lacp                   LACP protocol

  link-aggregation       Ports aggregation mode

  logbuffer              Display logbuffer information

  mac-address            MAC address information

  mirror                 display the mirroring port

  ---- More ----                                

(3)      键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。

<H3C> s?

   save   system-view

(4)      键入一命令,后接一字符串紧接<?>,列出命令以该字符串开头的所有关键字。

<H3C> display u?

   user-group   user-interface   users

(5)      键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。

<H3C> disp  ¬按下<Tab>键

<H3C> display

3. 命令行错误信息

所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见下表。

表11-2 命令行常见错误信息表

英文错误信息

错误原因

Unrecognized command

没有查找到命令

没有查找到关键字

参数类型错误

参数值越界

Incomplete command

输入命令不完整

Too many parameters

输入参数太多

Ambiguous command

输入命令不明确

Wrong parameter

输入参数错误

 

4. 历史命令

命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如下所示。

表11-3 访问历史命令

操作

按键

结果

访问上一条历史命令

上光标键<↑>

如果还有更早的历史命令,则取出上一条历史命令

访问下一条历史命令

下光标键<↓>

如果还有更晚的历史命令,则取出下一条历史命令

 

说明

用光标键对历史命令进行访问,在Windows NT的超级终端下是有效的,但对于Windows 9X的超级终端,<↑>、<↓>光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替<↑>、<↓>光标键达到同样目的。

 

5. 编辑特性

命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为254个字符,如下所示。

表11-4 编辑功能表

按键

功能

普通按键

若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标

退格键<Backspace>

删除光标位置的前一个字符,光标前移

 

6. 显示特性

在一次显示信息超过一屏时,提供了暂停功能,这时您可以根据需要选择显示方式,如下所示。

表11-5 显示功能表

按键或命令

功能

暂停显示时键入回车键<Enter>

显示下一行信息

暂停显示时键入空格键

显示下一屏信息

暂停显示时键入其他键

退出显示

 

11.2  用户设置

11.2.1  设置用户分级保护密码

S1600支持两个级别的用户:

·              普通用户:仅可以在用户视图下对S1600执行简单的查询操作;

·              管理用户:可以对S1600执行监控、配置、管理等操作。

缺省情况下,进入系统视图时不需要输入密码。但您可以在S1600系统视图下配置分级保护密码,使用户进入系统视图时进行身份验证。当进行身份验证时,如果在三次以内输入了正确的密码,则切换到管理用户,否则保持原普通用户级别不变。

表11-6 设置用户分级保护密码

操作

命令

说明

进入系统视图

system-view

-

设置分级保护密码

super password { cipher | simple } password

cipher:在配置文件中以密文方式显示口令

simple:在配置文件中以明文方式显示口令

password:口令字符串。如果验证方式是simple,则password必须是明文口令,取值范围为1~12个字符的字符串;如果验证方式是cipher,则用户在设置password时有两种方式:

·          一种是输入小于等于12字符的明文口令,系统会自动转化为24位的密文形式;

·          另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:密文“_(TT8F]Y\5SQ=^Q`MAF4<1!!”对应的明文是“1234567”

注意:

不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令

删除分级保护密码

undo super password

-

 

11.2.2  设置AUX用户

AUX用户界面用于通过Console口对S1600进行访问。S1600只支持一个AUX用户界面。

1. 进入AUX用户界面视图

表11-7 进入用户界面视图

操作

命令

说明

进入系统视图

system-view

-

进入用户界面视图

user-interface aux number

number:需要配置的用户界面的编号,可选值为0

 

2. 设置终端属性

表11-8 设置终端属性

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux number

number:需要配置的用户界面的编号,可选值为0

设置用户超时断连功能

idle-timeout minutes [ seconds ]

·          minutes:配置连接用户超时中断时间的分钟数,取值范围为0~35791

·          seconds:配置连接用户超时中断时间的秒数,取值范围为0~59

·          idle-timeout 0表示禁用超时中断连接功能

缺省情况下,在所有的用户界面上启用了超时断连功能,时间为5分钟。也就是说,如果5分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

恢复用户超时断连为缺省值

undo idle-timeout

-

 

3. 设置AUX用户认证

当您设置了AUX用户认证功能后,则通过Console口登录到S1600时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。

表11-9 设置AUX用户认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux number

number:需要配置的用户界面的编号,可选值为0

选择AUX用户认证方式

不认证

authentication-mode none

cipher:设置本地认证口令以密文方式显示

simple:设置本地认证口令以明文方式显示

password:口令字符串。如果验证方式是simple,则password必须是明文口令;如果验证方式是cipher,则用户在设置password时有两种方式:

·          一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式

·          另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!”

缺省情况下,AUX用户认证方式为不认证

说明:

·          undo set authentication password命令用于删除本地认证密码

·          当选择远程认证方式时,您需要架设Radius服务器来进行用户名和密码的维护。有关Radius的相关描述,可参见“9.3.4  设置Radius Client

注意:

不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令

本地认证

authentication-mode password

set authentication password  { cipher | simple }  password

undo set authentication password

远程认证

authentication-mode scheme

 

11.2.3  设置VTY用户

VTY用户界面用于通过Telnet方式对S1600进行设置。S1600支持两个VTY用户界面,VTY0和VTY1。

1. 进入VTY界面视图

表11-10 进入VTY界面视图

操作

命令

说明

进入系统视图

system-view

-

进入VTY界面视图

user-interface vty number

number:需要配置的用户界面的编号,可选值为0、1

 

2. 设置终端属性

表11-11 设置终端属性

操作

命令

说明

进入系统视图

system-view

-

进入VTY界面视图

user-interface vty number

number:需要配置的用户界面的编号,可选值为0、1

设置用户超时退出功能

idle-timeout minutes [ seconds ]

·          minutes:设置连接用户超时中断时间的可选取的分钟的取值,取值范围为0~35791

·          seconds:设置连接用户超时中断时间的可选取的秒的取值,取值范围为0~59

·          idle-timeout 0表示禁用超时中断连接功能

缺省情况下,VTY界面上启用了超时退出功能,时间为5分钟。也就是说,如果5分钟内某VTY界面没有用户进行操作,则该Telnet用户将被自动断开

恢复用户超时退出为缺省值

undo idle-timeout

-

 

3. 设置VTY用户认证

当您设置了VTY用户认证功能后,则通过Telnet方式登录到S1600时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。

表11-12 设置VTY用户认证

操作

命令

说明

进入系统视图

system-view

-

进入VTY用户界面视图

user-interface vty number

number:需要配置的用户界面的编号,可选值为0、1

选择VTY用户认证方式

不认证

authentication-mode none

cipher:设置本地认证口令以密文方式显示

simple:设置本地认证口令以明文方式显示

password:口令字符串。如果验证方式是simple,则password必须是明文口令;如果验证方式是cipher,则用户在设置password时有两种方式:

·          一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式

·          另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。如:明文“123456”对应的密文是“OUM!K%F<+$[Q=^Q`MAF4<1!!”

缺省情况下,VTY用户认证方式为本地认证

说明:

·          undo set authentication password命令用于删除本地认证密码

·          当选择远程认证方式时,您需要架设Radius Server来进行用户名和密码的维护。有关Radius Client的相关描述和操作,可参见“9.3.4  设置Radius Client

注意:

不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令

本地认证

authentication-mode password

set authentication password { cipher | simple }  password

undo set authentication password

远程认证

authentication-mode scheme

 

11.2.4  显示用户界面

表11-13 显示用户界面

操作

命令

说明

显示用户界面的使用信息

display users

显示命令可在任意视图下执行

显示用户界面状态和配置信息

display user-interface

 

例:显示用户界面的使用信息。

<H3C>display users

      UI      Delay     Type IPaddress        Username                         U

serlevel

  1   VTY 0   00:00:00  TEL  192.200.200.158  admin                            1

  3   WEB 0   00:00:00  WEB  192.200.200.245  admin                            1

              00:00:22  WEB  192.200.200.158  admin                            1

表11-14 display users显示信息描述表

字段

描述

F

表示当前正在使用的用户界面,且工作在异步方式

UI

第一列是用户界面的类型,可显示AUX、WEB、VTY

第二列是用户界面的相对编号

Delay

表示用户自最近一次输入到现在的时间间隔,形式为“时:分:秒”

Type

用户类型

IPaddress

显示起始连接位置,即接入的主机IP地址

Username

登录S1600的用户名

Userlevel

用户等级,0为普通用户、1为管理用户

 

11.3  系统IP设置

S1600任何时刻只能有一个VLAN对应的VLAN接口可以设置IP地址,该VLAN即为管理VLAN。如果您想对S1600进行远程管理,必须设置S1600管理VLAN接口的IP地址。

11.3.1  系统IP设置

1. 创建新的管理VLAN

说明

在创建新的管理VLAN之前,该VLAN必须已经存在,且需要删除当前的管理VLAN接口。

 

表11-15 创建新的管理VLAN

操作

命令

说明

进入系统视图

system-view

-

创建新的管理VLAN

management-vlan vlan-id

vlan-id:VLAN的ID,取值范围为1~4094

缺省情况下,S1600的管理VLAN为VLAN 1

恢复管理VLAN为缺省配置

undo management-vlan

-

 

2. 创建/删除管理VLAN接口

说明

在配置本任务之前,您需要先创建管理VLAN,相关操作可参见“1. 创建新的管理VLAN”。

 

表11-16 创建/删除管理VLAN接口

操作

命令

说明

进入系统视图

system-view

-

创建并进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

删除管理VLAN接口

undo interface vlan-interface vlan-id

-

 

3. 设置管理VLAN接口描述

表11-17 设置VLAN接口描述

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

设置管理VLAN接口描述

description text

text:描述管理VLAN接口的字符串,可以包含特殊字符,不包括空格,长度为1~80个字符

缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-Interface1 Interface”

恢复管理VLAN接口缺省描述

undo description

-

 

4. 指定/删除管理VLAN接口的静态IP地址

表11-18 指定/删除管理VLAN接口的静态IP地址

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

指定管理VLAN接口的静态IP地址

ip address ip-address { ip-mask | ip-mask-length }

·          ip-address:管理VLAN接口的IP地址

·          ip-mask:管理VLAN接口静态IP地址的掩码

·          ip-mask-length:子网掩码的长度

缺省情况下,管理VLAN接口IP地址:192.168.0.234,子网掩码:255.255.255.0

删除管理VLAN接口的静态IP地址

undo ip address

-

 

例:为管理VLAN 20指定IP地址和掩码。

# 删除原来的管理VLAN接口。

<H3C> system-view

[H3C] undo interface vlan-interface 1

# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。

[H3C] vlan 20

[H3C-Vlan20] quit

[H3C] management-vlan 20

[H3C] interface vlan-interface 20

# 指定管理VLAN 20接口的IP地址和掩码。

[H3C-Vlan-interface20] ip address 192.168.0.55 24

5. 动态分配/取消动态分配管理VLAN接口的IP地址

表11-19 动态分配/取消动态分配管理VLAN接口的IP地址

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

动态分配管理VLAN接口的IP地址

ip address dhcp-alloc

通过DHCP方式获取IP地址的同时可以动态获取网关,无需重新配置接口网关

恢复管理VLAN接口IP地址为动态分配前的静态IP地址

undo ip address dhcp-alloc

-

 

6. 指定/删除管理VLAN接口网关

表11-20 指定/删除管理VLAN接口网关

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

指定管理VLAN接口网关

ip gateway ip-address

ip-address:网关的IP地址

缺省情况下,无网关IP地址

删除管理VLAN接口网关

undo ip gateway

-

 

例:为管理VLAN 20指定静态IP地址、掩码和网关。

# 删除原来的管理VLAN接口。

<H3C> system-view

[H3C] undo interface vlan-interface 1

# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。

[H3C] vlan 20

[H3C-Vlan20] quit

[H3C] management-vlan 20

[H3C] interface vlan-interface 20

# 为管理VLAN 20接口指定IP地址和掩码。

[H3C-Vlan-interface20] ip address 192.168.0.55 255.255.255.0

# 为管理VLAN 20接口指定网关。

[H3C-Vlan-interface20] ip gateway 192.168.0.1

7. 开启/关闭管理VLAN接口

说明

·          管理VLAN接口的启用/禁用状态对属于该管理VLAN的以太网端口的启用/禁用状态没有影响。

·          缺省情况下,当管理VLAN接口对应VLAN下的所有以太网端口状态为Down时,则管理VLAN接口为Down(关闭)状态;当管理VLAN接口对应VLAN下至少有一个以太网端口处于Up状态时,管理VLAN接口为Up(开启)状态。

 

表11-21 开启/关闭管理VLAN接口

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

关闭管理VLAN接口

shutdown

-

开启管理VLAN接口

undo shutdown

-

 

11.3.2  系统IP显示和调试

1. 显示系统IP信息

在完成上述配置后,在任意视图下执行display命令可以显示配置后系统IP的运行情况,通过查看显示信息验证配置的效果。

表11-22 显示系统IP信息

操作

命令

说明

查看系统IP信息

display ip

显示命令可在任意视图下执行

查看管理VLAN接口的相关信息

display interface vlan-interface [ vlan-id ]

显示命令可在任意视图下执行

vlan-id:管理VLAN的ID,其取值范围为1~4094

 

2. 开启/关闭IP调试开关

表11-23 开启/关闭IP调试开关

操作

命令

说明

开启IP调试开关

debugging ip packet

此命令需在用户视图下执行

缺省情况下,系统IP调试开关处于关闭状态

关闭IP调试开关

undo debugging ip packet

-

 

相关配置可参考命令display debuggingterminal debugging

例:开启IP调试开关。

<H3C> debugging ip packet

<H3C> terminal debugging

Jan  1 02:18:59 0000 [IP]/7/Receiving:interface=Vlan-interface1, version=4, tos=0, pktlen=48, pktid=10378, offset=16384, ttl=128, protocol=6, checksum=22241 , s=222.222.222.193, d=222.222.222.221

表11-24 debugging ip packet命令显示域说明表

字段

描述

receiving/Sending

正在接收/发送一个IP报文

interface

VLAN虚接口

version

协议版本号

tos

服务类型

pktlen

报文总长度

pktid

报文标识

offset

片偏移

ttl

生存时间

protocol

协议类型

checksum

首部校验和

s

源IP地址

d

目的IP地址

 

11.4  DHCP设置

11.4.1  设置DHCP Snooping

1. 开启/关闭DHCP Snooping功能

表11-25 开启/关闭DHCP Snooping功能

操作

命令

说明

进入系统视图

system-view

-

开启DHCP Snooping功能

dhcp-snooping

缺省情况下, DHCP Snooping功能处于关闭状态

关闭DHCP Snooping功能

undo dhcp-snooping

-

 

2. 设置DHCP Snooping信任端口

表11-26 设置DHCP Snooping信任端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

interface-number:端口号,采用“槽位编号/端口编号”的格式。S1600的槽位编号只能取0,S1626/S1626-PWR端口编号取值范围为1~26,S1650端口编号取值范围为1~50

设置端口为DHCP Snooping信任端口

dhcp-snooping trust

缺省情况下,S1600的所有端口均为不信任端口

恢复端口为DHCP Snooping不信任端口

undo dhcp-snooping trust

-

 

3. 显示DHCP Snooping设置信息      

表11-27 显示DHCP Snooping设置信息

操作

命令

说明

显示DHCP Snooping表信息

display dhcp-snooping

显示命令可在任意视图下执行

显示DHCP Snooping状态及信任端口信息

display dhcp-snooping trust

 

例:显示通过DHCP Snooping记录的用户IP地址和MAC地址信息。

<H3C> display dhcp-snooping

DHCP-Snooping is enabled.

The client binding table for all ports.

Type : B--ACL binded , N--Not binded

Type IP Address      MAC Address     Lease     VLAN Interface

==== =============== =============== ========= ==== =================

B    192.168.1.10    000f-e200-0006   200       1    Ethernet0/10

 

---   1 dhcp-snooping item(s) found   ---

 

11.4.2  设置DHCP Client功能

1. 通过DHCP方式获取IP地址

表11-28 通过DHCP方式获取IP地址

操作

命令

说明

进入系统视图

system-view

-

进入管理VLAN接口视图

interface vlan-interface vlan-id

vlan-id:管理VLAN的ID,取值范围为1~4094

设置管理VLAN接口通过DHCP方式获取IP地址

ip address dhcp-alloc

缺省情况下,管理VLAN接口不通过DHCP方式获取IP地址

取消管理VLAN接口通过DHCP方式获取IP地址

undo ip address dhcp-alloc

取消了以DHCP方式获取IP地址后,如果原先已经配置了静态IP地址并进行了保存,则该静态IP地址立即生效

 

2. 显示DHCP Client获取的地址信息

表11-29 显示DHCP Client获取的地址信息

操作

命令

说明

显示DHCP Client获取的地址信息

display dhcp-statistics

显示命令可在任意视图下执行

 

例:设置并显示S1600通过DHCP方式获取IP地址。

# 进入管理VLAN接口。

<H3C> system-view

[H3C] interface vlan-interface 1

# 进入管理VLAN接口,并设置通过DHCP方式获取IP地址。

[H3C-Vlan-interface1] ip address dhcp-alloc

# 显示IP地址信息。

[H3C-Vlan-interface1] display dhcp-statistics

DHCP client statistic infomation:

Vlan-interface1

DHCP client: enabled

Current machine state:  BOUND

Alloced IP:  192.168.1.100  255.255.255.0

Gateway IP:  192.168.1.1

Alloced lease:  86400  seconds,

T1 left:  43188  seconds,

T2 left:  75588  seconds,

Server IP:  192.168.1.1

从以上信息可以看到获得的IP地址是192.168.1.100,子网掩码是255.255.255.0,网关地址是192.168.1.1。

3. 开启/关闭DHCP Client调试开关

表11-30 开启/关闭DHCP Client调试开关

操作

命令

说明

开启DHCP Client的调试开关

debugging dhcp-alloc

此命令需在用户视图下执行

缺省情况下,DHCP Client 的调试开关处于关闭状态

关闭DHCP Client的调试开关

undo debugging dhcp-alloc

-

 

相关配置可参考命令display debuggingterminal debugging

11.5  以太网端口设置

11.5.1  以太网端口基本设置

1. 进入以太网端口视图

如果您想对以太网端口进行配置,首先要进入以太网端口视图。

表11-31 进入以太网端口视图

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

interface description text

interface-number:端口号,采用“槽位编号/端口编号”的格式。S1600的槽位编号只能取0,S1626/S1626-PWR端口编号取值范围为1~26,S1650端口编号取值范围为1~50

当您设置了以太网端口描述后,您便可通过interface description text命令直接使用该描述进入相应的端口视图

 

2. 设置以太网端口描述

表11-32 设置以太网端口描述

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口描述

description text

text:描述以太网端口的字符串,不包括空格

缺省情况下,以太网端口描述为空

删除以太网端口描述

undo description

-

 

3. 开启/关闭以太网端口

表11-33 开启/关闭以太网端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

关闭以太网端口

shutdown

缺省情况下,端口处于开启状态

开启以太网端口

undo shutdown

-

 

4. 设置以太网端口速率和双工状态

说明

当端口工作在非自协商模式时,如果不能与对端建立正常连接,请尝试修改其端口网线类型(MDI/MDIX),如何设置网线类型请参见“11. 设置以太网端口网线类型”。

 

表11-34 设置以太网端口速率和双工状态

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口的速率

speed { 10 | 100 | 1000 | auto }

·          10:当前端口速率为10Mbps

·          100:当前端口速率为100Mbps

·          1000:当前端口速率为1000Mbps

·          auto:当前端口速率为自协商方式

缺省情况下,端口的速率为自协商方式

设置以太网端口的双工状态

duplex { auto | full | half }

·          auto:当前端口双工状态为自协商方式

·          full:当前端口双工状态为全双工状态

·          half:当前端口双工状态为半双工状态

缺省情况下,端口的双工状态为自协商方式

 

5. 开启/关闭以太网端口的流量控制

表11-35 开启/关闭以太网端口的流量控制

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

开启以太网端口的流量控制

flow-control

缺省情况下,以太网端口的流量控制处于关闭状态

关闭以太网端口流量控制

undo flow-control

-

 

6. 设置以太网端口广播风暴抑制

表11-36 设置以太网端口广播风暴抑制

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口的广播风暴抑制比例

broadcast-suppression pct

pct:广播风暴的抑制百分比。可取的值为:5、10、20、100

缺省情况下,允许通过的广播流量为100%,即对广播流量不进行抑制

恢复以太网端口的广播风暴抑制比例为缺省值

undo broadcast-suppression

-

 

7. 设置以太网端口的自环测试

自环测试是用于检验以太网端口是否能正常工作。测试时端口将不能正确转发报文,在执行一定时间后,环回测试会自动结束。

表11-37 设置以太网端口的自环测试

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口进行内环测试

loopback internal

内环测试是在交换芯片内部建立自环,可定位芯片内与该端口相关的功能是否出现故障

设置以太网端口进行外环测试

loopback external

外环检测是检查端口的硬件功能是否出现故障

·          端口必须处于UP的状态

·          需要插接自环头

 

注意

·          在外环测试结束后,您务必将自环头拔下,以免造成网络故障。

·          使用loopback命令进行自环测试时,端口将禁止转发报文。经过一定时间后,自环测试将自动结束并上报自环测试结果。

·          如果您在端口上执行了shutdown命令后,则此端口不能进行自环测试。

·          在自环测试期间,请勿在端口上进行任何操作。

·          在外环测试前,您务必将端口的双工模式设置为全双工或者自协商。因为,半双工模式会导致测试出错。

 

8. 设置以太网端口链路类型

表11-38 设置以太网端口链路类型

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置端口为Access端口

port link-type access

缺省情况下,端口链路类型为Access

设置端口为Hybrid端口

port link-type hybrid

设置端口为Trunk端口

port link-type trunk

恢复端口的链路类型为缺省值

undo port link-type

-

 

9. 设置以太网端口的缺省VLAN ID

·              设置Hybrid端口的缺省VLAN ID

表11-39 设置Hybrid端口的缺省VLAN ID

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置Hybrid端口的缺省VLAN ID

port hybrid pvid vlan vlan-id

vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1

恢复Hybrid端口的缺省VLAN ID为缺省值

undo port hybrid pvid

-

 

·              设置Trunk端口的缺省VLAN ID

表11-40 设置Trunk端口的缺省VLAN ID

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置Trunk端口的缺省VLAN ID

port trunk pvid vlan vlan-id

vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1

恢复Trunk端口的缺省VLAN ID为缺省值

undo port trunk pvid

-

 

10. 将以太网端口加入到指定VLAN

·              将Access端口加入到指定VLAN

表11-41 将Access端口加入到指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将Access端口加入到指定VLAN

port access vlan vlan-id

vlan-idIEEE802.1q中定义的VLAN ID,取值范围为24094,且必须已经存在

缺省情况下,Access端口属于VLAN 1

将Access端口从指定VLAN删除

undo port access vlan

-

 

·              将Hybrid端口加入到指定VLAN

表11-42 将Hybrid端口加入到指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将Hybrid端口加入到指定VLAN

port hybrid vlan vlan-id-list { tagged | untagged }

·          vlan-id-listvlan-id-list = vlan-id1 [ to vlan-id2 ],为此Hybrid端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在

·          tagged:端口在转发指定的VLAN报文时将保留VLAN Tag

·          untagged:端口在转发指定的VLAN报文时将不保留VLAN Tag

Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的集合

将Hybrid端口从指定VLAN中删除

undo port hybrid vlan vlan-id-list

-

 

·              将Trunk端口加入到指定VLAN

表11-43 将Trunk端口加入到指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将Trunk端口加入到指定VLAN

port trunk permit vlan { vlan-id-list | all }

·          vlan-id-listvlan-id-list = vlan-id1 [ to vlan-id2 ],为此Trunk端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在

·          all:将Trunk端口加入到所有VLAN中

Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合

将Trunk端口从指定VLAN中删除

undo port trunk permit vlan { vlan-id-list | all }

-

 

11. 设置以太网端口网线类型

以太网端口的网线有直通网线及交叉网线,可以使用该命令对网线类型进行设置。

表11-44 设置以太网端口网线类型

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口的网线类型

mdi { across | auto | normal }

·          across:连接网线类型为交叉网线

·          auto:自动识别是直通网线还是交叉网线

·          normal:连接网线类型为直通网线

缺省情况下,端口的网线类型为auto类型

恢复以太网端口网线类型的缺省值

undo mdi

-

 

12. 设置以太网端口隔离

表11-45 设置以太网端口隔离

操作

命令

说明

 

进入系统视图

system-view

-

 

将以太网端口加入到隔离组

在系统视图下操作

port isolate port-list

两者必选其一

port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ Ethernetinterface-number [ to Ethernet interface-number ] }&<1-5>。&<1-5>表示前面的参数最多可以输入5次

缺省情况下,端口未加入到隔离组

在以太网端口视图下操作

interface Ethernet interface-number

port isolate

将以太网端口从隔离组中删除

在系统视图下操作

undo port isolate port-list

-

在以太网端口视图下操作

interface Ethernet interface-number

undo port isolate

显示隔离组中的端口信息

display isolate port

显示命令可在任意视图下执行

 

11.5.2  设置以太网端口聚合

1. 创建聚合组

表11-46 创建聚合组

操作

命令

说明

进入系统视图

system-view

-

创建聚合组

link-aggregation group agg-id mode { manual | static }

·          agg-id:汇聚组ID,取值范围为1~6

·          manual:手工聚合

·          static:静态LACP聚合

缺省情况下,采用手工聚合。当采用静态LACP聚合时,您可以通过4. 设置LACP特性来设置LACP的相关参数

删除聚合组

undo link-aggregation group agg-id

-

 

2. 将以太网端口加入到聚合组

表11-47 将以太网端口加入到聚合组

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

将以太网端口加入到聚合组

port link-aggregation group agg-id

agg-id:已创建的汇聚组ID

将以太网端口从聚合组中删除

undo port link-aggregation group

-

 

3. 设置以太网端口汇聚模式

表11-48 设置以太网端口汇聚模式

操作

命令

说明

进入系统视图

system-view

-

设置以太网端口聚合模式

link-aggregation mode { egress | ingress | both }

·          egress:聚合组中各成员端口根据目的MAC地址进行负荷分担

·          ingress:聚合组中各成员端口根据源MAC地址进行负荷分担

·          both:聚合组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担

缺省情况下,以太网端口聚合模式为both模式

恢复以太网端口聚合模式为缺省设置

undo link-aggregation mode

-

 

4. 设置LACP特性

·              设置LACP系统优先级

表11-49 设置LACP系统优先级

操作

命令

说明

进入系统视图

system-view

-

设置LACP系统优先级

lacp system-priority system-priority

system-priority:LACP系统优先级,取值范围为0~65535

缺省情况下,LACP系统优先级为32768

恢复LACP系统优先级为缺省值

undo lacp system-priority

-

 

·              设置LACP端口优先级

表11-50 设置LACP端口优先级

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

设置LACP端口优先级

lacp port-priority port-priority

port-priority:LACP端口优先级,取值范围为0~65535

缺省情况下,LACP端口优先级为32768

恢复LACP端口优先级为缺省值

undo lacp port-priority

-

 

5. 显示以太网端口汇聚设置

表11-51 显示以太网端口汇聚设置

操作

命令

说明

显示以太网端口汇聚详细信息

display link-aggregation [ Ethernet interface-number ]

显示命令可在任意视图下执行

显示所有汇聚组的摘要信息

display link-aggregation summary

显示指定汇聚组的详细信息

display link-aggregation verbose [ agg-id ]

显示本端系统的设备ID

display lacp system-id

 

例:显示汇聚端口组的相关信息。

<H3C> display link-aggregation summary

Aggregation Group Type:D -- Dynamic, S -- Static , M -- Manual

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing

Actor ID: 0x8000, 000f-e20f-5104

Aggregation Mode: both

 

  AL  AL   Partner ID            Select Standby   Share Master

  ID  Type                       Ports  Ports     Type  Port

--------------------------------------------------------------------------

  1   M    none                  2      0         Shar  Ethernet0/12

表11-52 display link-aggregation summary命令显示信息描述表

字段

描述

Aggregation Group Type

汇聚组类型:S表示静态LACP聚合、M表示手工聚合

Loadsharing Type

负载分担类型:Shar表示负载分担类型,NonS表示非负载分担类型

Actor ID

本端设备ID

AL ID

汇聚组ID

AL Type

汇聚组类型,分为静态汇聚和手工汇聚

Partner ID

对端设备ID,包括对端设备的系统优先级和系统MAC地址

Select Ports

Selected端口数

Standby Ports

Standby端口数

Share Type

负载分担类型

Master Port

汇聚组中端口号最小的端口

 

11.5.3  设置以太网端口镜像

1. 设置监控端口

说明

当设置了新的监控端口后,原来的监控端口将被自动取消,被镜像端口不变。

 

表11-53 设置监控端口

操作

命令

说明

进入系统视图

system-view

-

设置监控端口

monitor-port Ethernet interface-number

-

删除监控端口

undo monitor-port

-

 

2. 设置被镜像端口

表11-54 设置被镜像端口

操作

命令

说明

进入系统视图

system-view

-

设置被镜像端口

mirroring-port Ethernet interface-number [ to Ethernet interface-number ] { inbound | outbound | both }

·          inbound仅对端口接收的报文进行监控

·          outbound仅对端口发送的报文进行监控

·          both同时对端口接收和发送的报文进行监控

删除以太网被镜像端口

undo mirroring-port Ethernet interface-number [ to Ethernet interface-number ] { inbound | outbound | both }

·          inbound只取消对端口接收报文的监控

·          outbound只取消对端口发送报文的监控

·          both同时取消对端口接收和发送报文的监控

 

3. 显示以太网端口镜像状态

表11-55 显示以太网端口镜像状态

操作

命令

说明

显示以太网端口镜像状态

display mirror

显示命令可在任意视图下可执行

 

11.5.4  设置以太网端口限速

表11-56 设置以太网端口限速

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置以太网端口限速

line-rate { inbound | outbound } target-rate

·          inbound:对端口接收报文进行速率限制

·          outbound:对端口发送报文进行速率限制

·          target-rate:对端口发送或接收报文限制的总速率,端口级别取值范围为1~240。其中取值范围为1~28时,端口速率为:target-rate×64,即64Kbps、128Kbps、192Kbps……1.792Mbps;取值范围为29~127时,端口速率为:(target-rate-27)×1024,即2Mbps、3Mbps、4Mbps……100Mbps;取值范围为128~240时,(target-rate-115)×8×1024,即104Mbps、112Mbps、120Mbps……1000Mbps。

取消端口限速的设置

undo line-rate { inbound | outbound }

·          inbound只取消对端口接收报文进行速率限制

·          outbound只取消对端口发送报文进行速率限制

 

11.5.5  诊断以太网端口电缆状态

表11-57 诊断以太网端口电缆状态

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

诊断端口的电缆状态

virtual-cable-test

-

 

例:对端口Ethernet0/4进行电缆诊断。

<H3C> system-view

[H3C] interface Ethernet0/4

[H3C-Ethernet0/4] virtual-cable-test

Cable pair 1  Status: OPEN            Cable lenth: 1 metres  +/- 0

Cable pair 2  Status: OPEN            Cable lenth: 1 metres  +/- 0

表11-58 电缆诊断说明

显示

说明

Cable pair 1  Status:

FINE:表示已连接

OPEN:表示端口未连接

SHORT:表示短路

UNKNOWN:表示未知

NORMAL:表示正常

Cable lenth:

端口连接电缆的长度(可能存在一定误差,结果仅供参考)

 

11.5.6  设置端口和MAC地址绑定

1. 设置端口MAC地址过滤

表11-59 设置端口MAC地址过滤

操作

命令

说明

进入系统视图

system-view

-

开启端口MAC地址过滤功能

在系统视图下操作

mac port-binding port-list

两者必选其一

port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ Ethernetinterface-number [ to Ethernet interface-number ] }。

缺省情况下,关闭端口MAC地址过滤功能

在以太网端口视图下操作

interface Ethernet interface-number

mac port-binding

关闭端口MAC地址过滤功能

在系统视图下操作

undo mac port-binding port-list

-

在以太网端口视图下操作

interface Ethernet interface-number

undo mac port-binding

 

2. 设置端口和MAC地址绑定

表11-60 设置端口和MAC地址绑定

操作

命令

说明

进入系统视图

system-view

-

设置端口和MAC地址绑定

mac-address port-binding mac-address interface Ethernet interface-number vlan vlan-id

·          mac-address:需要和端口进行绑定的MAC地址

·          vlan-id:该端口所属的VLAN

取消端口和MAC地址绑定

undo mac-address port-binding mac-address interface Ethernet interface-number  vlan vlan-id

-

 

3. 显示端口和MAC地址绑定状态

表11-61 显示端口和MAC地址绑定状态

操作

命令

说明

显示端口和MAC地址绑定状态

display mac-address port-binding

-

 

11.5.7  显示与维护以太网端口

表11-62 显示与维护以太网端口

操作

命令

说明

显示端口的状态信息

display interface Ethernet interface-number

显示命令可在任意视图下执行

清除端口的统计信息

reset counters interface [ Ethernet interface-number ]

此命令需在用户视图下执行

 

例:显示端口Ethernet 0/7的状态信息。

<H3C> display interface Ethernet0/7

Ethernet0/7  current state: DOWN

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0210-1847-0410

Media type is twisted pair

Port hardware type is 1000_BASE_T

Unknown-speed mode, unknown-duplex mode

Link speed type is autonegotiation, link duplex type is autonegotiation

Inbound line-rate is disabled

Outbound line-rate is disabled

Flow control is disabled

The Maximum Frame Length is 1518

Forbid jumbo frame to pass

Broadcast MAX-ratio: 100%

Priority: 0

PVID: 1

Mdi type: auto

Port link-type: access

 Tagged   VLAN ID: none

 Untagged VLAN ID: 1

Input(total):  0 packet(s), 0 byte(s)

        0 broadcast(s), 0 multicast(s) , 0 pause(s)

Input(error):  0 input error(s), 0 runt(s), 0 giant(s), 0 CRC

        0 frame, 0 abort(s), 0 ignored, 0 Jabber(s)

Output(total):  0 packet(s), 0 byte(s)

        0 broadcast(s), 0 multicast(s) , 0 pause(s)

Output(error):  0 output error(s), 0 abort(s), 0 deferred

        0 collision(s), 0 late collision(s)  

表11-63 display interface Ethernet命令显示信息描述表

字段

描述

Ethernet0/7 current state

端口状态

IP Sending Frames' Format is

帧格式

Hardware address is

交换机MAC地址

The Maximum Transmit Unit is

最大传输单元

Media type is

端口连接线类型

Port hardware type is

端口硬件类型

Link speed type is

端口速率

link duplex type is

端口双工模式

Inbound line-rate is

入端口限速

Outbound line-rate is

出端口限速

Flow control is

流控

The Maximum Frame Length is

最大帧长

Description

端口描述

Broadcast MAX-ratio:

广播风暴抑制率

Priority:

端口优先级

PVID:

端口VLAN ID

Port link-type:

端口类型,有access端口、hybrid端口、trunk端口三种

Tagged VLAN ID:

该端口允许通过的VLAN ID,且在报文中带该VLAN ID的tag。

Untagged VLAN ID:

该端口允许通过的VLAN ID,且在报文中不带该VLAN ID的tag

Input(total):

统计端口接收的正确报文总数和字节总数

Input(error):

统计端口接收的错误报文总数和字节总数

Output(total):

统计端口发送的正确报文总数和字节总数

Output(error):

统计端口发送的错误报文总数和字节总数

 

11.6  VLAN设置

11.6.1  设置802.1q VLAN

说明

·          当VLAN模式为802.1q VLAN且处于缺省状态时,在系统视图下新增用户组操作,系统会自动切换到基于端口的VLAN状态,相关操作请参见“11.6.2  1. 创建/删除用户组”。

·          802.1q VLAN的缺省状态为只存在VLAN 1,且所有端口为Access端口。

 

1. 创建/删除VLAN

创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN视图。

注意

缺省VLAN和管理VLAN不能被删除。

 

表11-64 创建/删除VLAN

操作

命令

说明

进入系统视图

system-view

-

创建VLAN并进入VLAN视图

vlan vlan-id

vlan-id:VLAN的ID,取值范围为1~4094

缺省情况下,只存在VLAN 1,且VLAN 1中包含所有的端口

删除已创建的VLAN

undo vlan { vlan-id [ to vlan-id ] | all }

all:删除缺省VLAN和管理VLAN外的所有VLAN

 

2. 设置VLAN描述

表11-65 设置VLAN描述

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

设置VLAN描述

description text

text : 描述VLAN或VLAN接口的字符串,可以包含特殊字符,不包括空格,区分大小写

缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001”

恢复VLAN描述为缺省值

undo description

-

 

3. 将Access端口加入指定VLAN

表11-66 将Access端口加入指定VLAN

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

将Access端口加入指定VLAN

port Ethernet interface-number [ to Ethernet interface-number ]

缺省情况下,所有端口都属于VLAN 1

将Access端口从VLAN中删除

undo port Ethernet interface-number [ to Ethernet interface-number ]

-

 

说明

Trunk和Hybrid端口只能在以太网端口视图下将其加入VLAN或从VLAN中删除,而不能通过本命令实现,相关操作请参见“11.5.1  10. 将以太网端口加入到指定VLAN”。

 

4. 显示VLAN设置

表11-67 显示VLAN设置

操作

命令

说明

显示VLAN设置

display vlan [ vlan-id1 | [ to vlan-id2 ] | all ]

·          vlan-id1 to vlan-id2:指定要显示的VLAN ID范围

·          all:显示所有VLAN的详细信息

如果指定了参数或关键字all,则显示指定VLAN或所有VLAN的详细信息;如果只执行display vlan,将显示已创建的所有VLAN列表

显示命令可在任意视图下执行

 

例:显示VLAN2的信息。

<H3C> display vlan 2

 VLAN ID: 2

 VLAN Type: static

 Route Interface: not configured

 Description: VLAN 0002

 Tagged Ports: none

 Untagged Ports:

        Ethernet0/2

表11-68 display vlan命令显示信息描述表

字段

描述

VLAN ID

VLAN编号

VLAN Type

VLAN的类型:static表示静态配置;dynamic表示动态创建

Route Interface

VLAN对应的VLAN接口是否已经具备作为路由转发接口的条件

Description

VLAN的描述字符串

Tagged Ports

标识该VLAN的报文在从哪些端口发送时需要携带Tag标记

Untagged Ports

标识该VLAN的报文在从哪些端口发送时不需要携带Tag标记

 

11.6.2  设置基于端口的VLAN

说明

·          当处于基于端口的VLAN模式时,执行新增VLAN或者改变端口为Trunk/Hybrid类型的操作,系统就会自动进入802.1q VLAN状态,相关操作请参见“11.6.1  设置802.1q VLAN”。

·          基于端口的VLAN模式的缺省状态为所有端口均属于用户组1。

 

1. 创建/删除用户组

表11-69 创建/删除用户组

操作

命令

说明

进入系统视图

system-view

-

创建用户组

user-group group-id

group-id:user-group的ID,S1626/S1626-PWR的取值范围为1~24,S1650的取值范围为1~48

创建用户组时,如果该用户组已存在,则直接进入该用户组视图;如果该用户组不存在,则首先创建用户组,然后进入用户组视图

缺省情况下,只存在用户组1,且用户组中包含所有的端口

删除用户组

undo user-group { group-id [ to group-id ] | all }

删除用户组时,如果该用户组不存在,会出现“Error: VLAN(s) do(es) not exist.”的提示

 

2. 将以太网端口加入用户组

表11-70 将以太网端口加入用户组

操作

命令

说明

进入系统视图

system-view

-

进入用户组视图

user-group group-id

-

将以太网端口加入指定用户组

port Ethernet interface-number [ to Ethernet interface-number ]

缺省情况下,所有端口都属于用户组1

将以太网端口从用户组中删除

undo port Ethernet interface-number [ to Ethernet interface-number ]

-

 

3. 显示用户组设置

表11-71 显示用户组设置

操作

命令

说明

显示用户组设置

display user-group [ group-id | all ]

all:显示全部用户组的相关信息

 

11.7  设置Isolate-user-vlan

11.7.1  创建和删除Isolate-user-vlan

1. 创建和删除Isolate-user-vlan

表11-72 创建和删除Isolate-user-vlan

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

vlan-id:指定Isolate-user-vlan所对应的VLAN

设置该VLAN为Isolate-user-vlan

isolate-user-vlan enable

缺省情况下,无Isolate-user-vlan

说明:

设置Isolate-user-vlan后,您需要通过port命令添加相应的端口

取消该VLAN为Isolate-user-vlan

undo Isolate-user-vlan enable

-

显示Isolate-user-vlan设置状态

display isolate-user-vlan [ isolate-user-vlan-id ]

-

 

11.7.2  建立Isolate-user-vlan和Secondary VLAN间的映射关系

1. 建立Isolate-user-vlan和Secondary VLAN间的映射关系

表11-73 建立Isolate-user-vlan和Secondary VLAN间的映射关系

操作

命令

说明

进入系统视图

system-view

-

建立Isolate-user-vlan和Secondary VLAN间的映射关系

isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]

·          isolate-user-vlan-id:指定已创建的Isolate-user-vlan

·          secondary-vlan-id:通过VLAN命令创建,并将相应的终端用户所连接的端口加入到该VLAN中

取消Isolate-user-vlan与所有Secondary VLAN间的映射关系

undo isolate-user-vlan isolate-user-vlan-id

-

取消Isolate-user-vlan和指定Secondary VLAN间的映射关系

undo isolate-user-vlan isolate-user-vlan-id secondary secondary-vlan-id [ to secondary-vlan-id ]

-

显示Isolate-user-vlan设置状态

display isolate-user-vlan [ isolate-user-vlan-id ]

-

 

11.8  QoS设置

11.8.1  设置以太网端口优先级

表11-74 设置以太网端口优先级

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置端口的优先级

priority priority-level

priority-level:端口优先级,取值范围为0~7。0表示优先级最低,7表示优先级最高

缺省情况下,以太网端口的优先级为0

恢复端口的优先级为缺省值

undo priority

-

 

11.8.2  设置报文优先级信任模式

表11-75 设置报文优先级信任模式

操作

命令

说明

进入系统视图

system-view

-

设置报文优先级信任模式

priority-trust { cos | dscp }

·          cos:根据802.1p优先级将报文放入对应优先级的端口输出队列

·          dscp:根据dscp优先级将报文放入对应优先级的端口输出队列

缺省情况下,S1600信任报文的802.1p优先级

恢复报文优先级信任模式为缺省值

undo priority-trust

-

 

11.8.3  设置队列调度算法

表11-76 设置队列调度算法

操作

命令

说明

进入系统视图

system-view

-

设置队列调度算法

queue-scheduler { hq-wrr queue1-weight queue2-weight queue3-weight | wrr queue1-weight queue2-weight queue3-weight queue4-weight }

queue1-weight、queue2-weight、queue3-weight、 queue4-weight为队列1、2、3、4的权重,取值范围为1~31

缺省情况下,S1600采用WRR调度算法,且队列权重为1:2:4:8

恢复队列调度算法为缺省值

undo queue-scheduler

-

 

11.8.4  显示QoS设置

表11-77 显示QoS设置

操作

命令

说明

显示队列调度模式及参数

display queue-scheduler

显示命令可在任意视图下执行

显示报文优先级信任模式

display priority-trust

 

11.9  STP设置

11.9.1  设置STP全局参数

1. 开启/关闭全局STP特性

表11-78 开启/关闭全局STP特性

操作

命令

说明

进入系统视图

system-view

-

开启全局STP特性

stp enable

缺省情况下,全局STP特性处于关闭状态

关闭全局STP特性

stp disable

恢复全局STP特性为缺省状态

undo stp

 

2. 设置STP工作模式

表11-79 设置STP工作模式

操作

命令

说明

进入系统视图

system-view

-

设置STP工作模式

stp mode { stp | rstp }

·          stp:各个端口将向相连设备发送STP报文

·          rstp:各个端口将向相连设备发送RSTP报文

缺省情况下,STP工作模式为rstp

恢复STP的工作模式为缺省值

undo stp mode

-

 

3. 设置BPDU报文处理方式

表11-80 设置BPDU报文处理方式

操作

命令

说明

进入系统视图

system-view

-

设置BPDU报文处理方式

stp bpdu-handling { filter | flooding }

·          flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文

·          filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文

缺省情况下,BPDU报文处理方式为flooding

恢复BPDU报文处理方式为缺省值

undo stp bpdu-handling

-

 

4. 设置缺省路径开销

表11-81 设置缺省路径开销

操作

命令

说明

进入系统视图

system-view

-

设置缺省路径开销

stp pathcost-standard { dot1d-1998 | dot1t }

选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样

·          dot1d-1998:即IEEE 802.1D-1998标准,端口的路径开销取值范围为1~65535

·          dot1t:即IEEE 802.1t标准,端口的路径开销取值范围为1~200000000

缺省情况下,缺省路径开销采用的是dot1t

恢复缺省路径开销为缺省值

undo stp pathcost-standard

-

 

5. 设置桥优先级

表11-82 设置桥优先级

操作

命令

说明

进入系统视图

system-view

-

设置桥优先级

stp priority value

value:取值范围为1~61440,步长为4096

缺省情况下,桥优先级为32768

恢复桥优先级为缺省值

undo stp priority

-

 

6. 设置STP定时器

表11-83 设置STP定时器

操作

命令

说明

进入系统视图

system-view

-

设置STP定时器

stp timer { forward-delay forward-delay-time | hello hello-time | max-age max-age -time }

·          forward-delay-time:状态迁移的延迟时间,单位为秒,取值范围为4~30,缺省值为15秒

·          hello-time:用于检测链路是否存在故障,单位为秒,取值范围为1~10,缺省值为2秒

·          max-age -time:用于判断配置消息在交换机内保存时间是否“过时”,单位为秒,取值范围为6~40,缺省值为20秒

恢复STP定时器为缺省值

undo stp timer { forward-delay | hello | max-age }

-

 

11.9.2  设置端口STP参数

1. 开启/关闭端口STP特性

表11-84 开启/关闭端口STP特性

操作

命令

说明

进入系统视图

system-view

-

在系统视图下开启/关闭端口STP特性

stp interface interface-list { enable| disable }

interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-listinterface-type interface-number [ to interface-type interface-number ]

·          enable:开启端口STP特性

·          disable:关闭端口STP特性

缺省情况下,端口STP特性处于关闭状态

在以太网端口视图下开启/关闭端口STP特性

interface Ethernet interface-number

-

stp { enable| disable }

-

undo stp

恢复该端口的STP特性为缺省值

 

2. 设置端口为边缘端口

表11-85 设置端口为边缘端口

操作

命令

说明

进入系统视图

system-view

-

在系统视图下设置端口为边缘端口

stp interface interface-list edged-port { enable| disable }

·          enable:开启端口为边缘端口

·          disable:关闭端口为边缘端口

缺省情况下,所有端口均为非边缘端口

undo stp interface interface-list edged-port

恢复指定端口的边缘端口设置为缺省值

在以太网端口视图下设置端口为边缘端口

interface Ethernet interface-number

-

stp edged-port { enable| disable }

-

undo stp edged-port

恢复该端口的边缘端口设置为缺省值

 

3. 设置根保护

表11-86 设置根保护

操作

命令

说明

进入系统视图

system-view

-

在系统视图下设置根保护功能

stp interface interface-list root-guard { enable| disable }

·          enable:开启根保护功能

·          disable:关闭根保护功能

缺省情况下,根保护功能处于关闭状态

undo stp interface interface-list root-guard

恢复指定端口的根保护功能为缺省值

在以太网端口视图下设置根保护功能

interface Ethernet interface-number

-

root-guard { enable| disable }

-

undo stp root-guard

恢复该端口的根保护功能为缺省值

 

4. 设置端口路径开销

表11-87 设置端口路径开销

操作

命令

说明

进入系统视图

system-view

-

在系统视图下设置端口路径开销

设置端口采用缺省路径开销

stp interface interface-list  default-pathcost enable

enable:端口采用缺省路径开销。此时,如果全局缺省路径开销采用dot1d-1998,则端口开销值为65535;如果全局缺省路径开销采用dot1t,则端口开销值为200000000,相关操作请参见“11.9.1  4. 设置缺省路径开销

缺省情况下,端口采用缺省路径开销

手工设置路径开销

stp interface interface-list  cost value

value:路径开销值。如果全局缺省路径开销采用dot1d-1998,取值范围为1~65535;如果全局缺省路径开销采用dot1t,取值范围为1~200000000

undo stp interface interface-list cost

恢复指定端口的路径开销为缺省值

在以太网端口视图下设置端口路径开销

进入以太网端口视图

interface Ethernet interface-number

-

设置端口采用缺省路径开销

stp default-pathcost enable

-

手工设置路径开销

stp cost value

-

undo stp cost

恢复该端口的路径开销为缺省值

 

5. 设置端口优先级

表11-88 设置端口优先级

操作

命令

说明

进入系统视图

system-view

-

在系统视图下设置端口优先级

stp interface interface-list  port-priority value

value:端口优先级,取值范围为0~240,缺省值为128

undo stp interface interface-list  port-priority

恢复指定端口的优先级为缺省值

在以太网端口视图下设置端口优先级

interface Ethernet interface-number

-

stp port-priority value

-

undo stp port-priority

恢复该端口的优先级为缺省值

 

6. 设置端口是否与点对点链路相连

表11-89 设置端口是否与点对点链路相连

操作

命令

说明

进入系统视图

system-view

-

在系统视图下设置端口是否与点对点链路相连

stp interface interface-list point-to-point { force-true | force-false | auto }

·          force-true设置端口与一条点到点链路相连

·          force-false:设置端口与一条共享链路相连

·          auto:设置端口自动建立链路

缺省情况下,端口自动建立链路

undo stp interface interface-list  point-to-point

恢复与指定端口相连的链路设置为缺省值

在以太网端口视图下设置端口是否与点对点链路相连

interface Ethernet interface-number

-

stp point-to-point { force-true | force-false | auto }

-

undo stp point-to-point

恢复与该端口相连的链路设置为缺省值

 

11.9.3  显示STP设置

表11-90 显示STP设置

操作

命令

说明

显示STP全局信息与端口的STP信息

display stp

当全局STP特性开启时,显示STP全局参数状态与端口STP信息;当全局STP特性关闭后,仅显示STP全局参数状态

显示命令可以在任意视图下执行

显示端口STP的状态与统计信息

display stp interface interface-list [ brief ]

显示命令可以在任意视图下执行

当选择brief参数时,仅显示简要信息,如:端口STP特性状态、端口状态及端口角色等

显示全局STP和端口STP的状态

display stp brief

显示命令可以在任意视图下执行

显示根桥信息

display stp root

显示命令可以在任意视图下执行

 

例:当全局STP特性关闭时,显示STP全局参数状态。

<H3C> display stp

STP Status              :disabled

STP Mode                :RSTP

Bpdu-handling           :flooding

Pathcost-standard       :dot1t

Priority                :32768

Hello time(s)           :2

Max-age(s)              :20

Forward-delay(s)        :15

表11-91 display stp命令信息描述表

字段

描述

STP Status

显示全局STP使能状态

·          disabled:关闭状态

·          enabled:开启状态

STP Mode

显示当前所使用的STP模式(STP或RSTP)

Bpdu-handling

显示BPDU报文处理方式:

·          flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文

·          filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文

Pathcost-standard

显示计算端口缺省路径开销所使用的标准:

·          dot1d-1998:采用IEEE 802.1D-1998标准

·          dot1t:采用IEEE 802.1t标准

Priority

显示桥优先级

Hello time(s)

显示配置消息发送的周期

Max-age(s)

显示配置消息在交换机中能够保存的最大生存期

Forward-delay(s)

显示端口状态迁移的延时

 

例:当全局STP特性开启时,显示STP全局信息及端口STP信息。

<H3C> display stp

-------[Global Info][Mode RSTP]-------

Bridge             :32768.0023-8972-61c3

Bridge Times       :Hello 2s MaxAge 20s FwDly 15s

Root Bridge        :32768.0023-8972-61c3

RootPortId         :0.0

Bpdu-handling      :flooding

Pathcost-standard  :dot1t

Time since last TC :0 days 0h:4m:17s

----[Port1(Ethernet0/1)][DISABLE]----

 Port Protocol       :Enabled

 Port Role           :Disabled

 Port Priority       :128

 Port Cost(Dot1T)    :Config=auto / Active=200000

 Desg. Bridge/Port   :32768.0023-8972-61c3 / 0.0

 Port Edged          :Disabled

 Root Guard          :Disabled

 Point-to-point      :Auto

表11-92 display stp命令信息描述表

字段

描述

Bridge

网桥ID

Bridge Times

网桥相关的主要参数值,包括:

·          Hello:Hello time定时器值

·          MaxAge:Max Age定时器值

·          FwDly:Forward delay定时器值

Root Bridge

根桥ID

RootPortId

根端口的端口ID

Bpdu-handling

显示BPDU报文处理方式:

·          flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文

·          filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文

Pathcost-standard

显示计算端口缺省路径开销所使用的标准:

·          dot1d-1998:采用IEEE 802.1D-1998标准

·          dot1t:采用IEEE 802.1t标准

Time since last TC

最近一次拓扑变化的时间

Port Protocol

显示端口STP使能状态

·          Disabled:关闭状态

·          Enabled:开启状态

Port Role

显示端口角色,和生成树实例相对应。具体角色分为:Alternate、Backup、Root、Designated、Disabled

Port Priority

显示端口优先级

Port Cost(Dot1D)

端口的路径开销。括号中的Dot1D表示当前设备的路径开销的计算方法,有dot1d-1998和dot1t两种计算方式;Config表示配置值;Active表示实际值

Desg. Bridge/Port

端口的指定桥ID和端口ID

Port Edged

显示端口是否为边缘端口

·          Disabled:非边缘端口

·          Enabled:边缘端口

Root Guard

显示端口根保护状态

·          Disabled:关闭状态

·          Enabled:开启状态

Point-to-point

显示端口是否与点对点链路相连

·          ForceTrue:与端口相连的是一条点到点链路

·          ForceFalse:与端口相连的是一条共享链路

·          Auto:端口自动建立链路

 

11.10  IGMP Snooping设置

11.10.1  开启/关闭全局IGMP Snooping

表11-93 开启/关闭全局IGMP Snooping

操作

命令

说明

进入系统视图

system-view

-

开启IGMP Snooping

igmp-snooping enable

缺省情况下,全局IGMP Snooping功能处于关闭状态

关闭IGMP Snooping

igmp-snooping disable

-

 

11.10.2  在VLAN内开启/关闭IGMP Snooping

表11-94 在VLAN内开启/关闭IGMP Snooping

操作

命令

说明

进入系统视图

system-view

-

进入相应的VLAN视图

vlan vlan-id

vlan-id:需要开启IGMP Snooping功能对应的VLAN ID

开启IGMP Snooping

igmp-snooping enable

缺省情况下,IGMP Snooping功能处于关闭状态

关闭IGMP Snooping

igmp-snooping disable

-

 

11.10.3  设置老化定时器

1. 设置路由端口老化时间

表11-95 设置路由端口老化时间

操作

命令

说明

进入系统视图

system-view

-

设置路由端口老化时间

igmp-snooping router-aging-time seconds

seconds:路由器端口超时时间,单位为秒,取值范围为1~1000

缺省情况下,端口老化时间为105秒

恢复路由端口老化时间为缺省值

undo igmp-snooping router-aging-time

-

 

2. 设置主机端口老化时间

表11-96 设置主机端口老化时间

操作

命令

说明

进入系统视图

system-view

-

设置主机端口老化时间

igmp-snooping host-aging-time seconds

seconds:主机端口老化的时间,单位为秒,取值范围为200~1000

缺省情况下,组播组成员端口老化时间为260秒

恢复主机端口老化时间为缺省值

undo igmp-snooping host-aging-time

-

 

11.10.4  设置IGMP查询和响应

表11-97 设置IGMP查询和响应

操作

命令

说明

进入系统视图

system-view

-

设置IGMP普遍组查询的最大响应时间

igmp-snooping max-response-time seconds

seconds:IGMP普遍组查询的最大响应时间,单位为秒,取值范围为1~25

缺省情况下,响应查询最大时间为10秒

设置IGMP特定组查询的时间间隔

igmp-snooping last-member-query-interval interval

interval:发送IGMP特定组查询报文的时间间隔,单位为秒,取值范围为1~5

缺省情况下,发送IGMP特定组查询报文的时间间隔为2秒

恢复IGMP普遍组查询的最大响应时间为缺省值

undo igmp-snooping max-response-time

-

恢复IGMP特定组查询的时间间隔为缺省值

undo igmp-snooping last-member-query-interval

-

 

11.10.5  开启/关闭端口从组播组中快速删除功能

表11-98 开启/关闭端口从组播组中快速删除功能

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

开启端口从组播组中快速删除功能

igmp-snooping fast-leave

-

关闭端口从组播组中快速删除功能

undo igmp-snooping fast-leave

-

 

11.10.6  开启/关闭未知组播报文丢弃功能

表11-99 开启/关闭未知组播报文丢弃功能

操作

命令

说明

进入系统视图

system-view

-

开启未知组播报文丢弃功能

unknown-multicast drop enable

缺省情况下,未知组播报文丢弃功能处于关闭状态

关闭未知组播报文丢弃功能

undo unknown-multicast drop enable

-

 

11.10.7  开启/关闭全局IGMP Snooping查询器功能

表11-100 开启/关闭全局IGMP Snooping查询器功能

操作

命令

说明

进入系统视图

system-view

-

开启IGMP Snooping查询器功能

igmp-snooping querier enable

缺省情况下,IGMP Snooping查询器功能处于关闭状态

关闭IGMP Snooping查询器功能

undo igmp-snooping querier enable

-

 

11.10.8  在VLAN内开启/关闭IGMP Snooping查询器功能

表11-101 在VLAN内开启/关闭IGMP Snooping查询器功能

操作

命令

说明

进入系统视图

system-view

-

进入相应的VLAN视图

vlan vlan-id

vlan-id:需要开启IGMP Snooping查询器功能对应的VLAN ID

开启IGMP Snooping查询器功能

igmp-snooping querier

若您想在指定的VLAN内生效IGMP Snooping查询器功能,需要先开启全局IGMP Snooping查询器功能

缺省情况下,IGMP Snooping查询器功能处于关闭状态

关闭IGMP Snooping查询器功能

undo igmp-snooping querier

-

 

11.10.9  IGMP Snooping显示和调试

1. 显示IGMP Snooping信息

表11-102 显示IGMP Snooping信息

操作

命令

说明

显示当前IGMP Snooping的配置信息

display igmp-snooping configuration

显示命令可在任意视图下执行

显示IGMP Snooping对收发包的统计信息

display igmp-snooping statistics

显示VLAN下的IP组播组和MAC组播组信息

display igmp-snooping group [ vlan vlan-id ]

清除IGMP Snooping统计信息

reset igmp-snooping statistics

该命令需在用户视图下执行

 

例:显示IGMP Snooping对收发包的统计信息。

<H3C> display igmp-snooping statistics

Received IGMP general query packet(s) number:1.

Received IGMP specific query packet(s) number:0.

Received IGMP V1 report packet(s) number:0.

Received IGMP V2 report packet(s) number:3.

Received IGMP leave packet(s) number:0.

Received error IGMP packet(s) number:0.

Sent IGMP specific query packet(s) number:0.

上述信息表示IGMP Snooping收到:

·              1个IGMP通用查询报文

·              0个IGMP特定组查询报文

·              0个IGMPv1的报告报文

·              3个IGMPv2的报告报文

·              0个IGMP离开报文

·              0个IGMP错误报文

IGMP Snooping发送:

0个IGMP特定组查询报文

2. 开启/关闭IGMP Snooping调试开关

表11-103 开启/关闭IGMP Snooping调试开关

操作

命令

说明

开启IGMP Snooping调试开关

debugging igmp-snooping all

all:全部调试信息

此命令需在用户视图下执行

缺省情况下,IGMP-Snooping调试信息开关处于关闭状态

关闭IGMP Snooping调试开关

undo debugging igmp-snooping all

 

11.11  SNMP设置

11.11.1  设置SNMP基本功能

1. 开启/关闭SNMP Agent服务

表11-104 开启/关闭SNMP Agent服务

操作

命令

说明

进入系统视图

system-view

-

开启SNMP Agent服务

snmp-agent

缺省情况下,SNMP Agent服务处于关闭状态

执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent服务

关闭SNMP Agent服务

undo snmp-agent

-

 

2. 设置团体名

表11-105 设置团体名

操作

命令

说明

进入系统视图

system-view

-

设置团体名及访问权限

snmp-agent community { read | write } community-name

·          read:表明对MIB对象进行只读的访问

·          write:表明对MIB对象进行读写的访问

·          community-name:团体名字符串。字符串长度有效范围1~32

取消团体名及访问权限

undo snmp-agent community community-name

-

 

3. 设置SNMP消息包的最大长度

本任务用来设置SNMP Agent能接收/发送的SNMP消息包的最大长度。

表11-106 设置SNMP消息包的最大长度

操作

命令

说明

进入系统视图

system-view

-

设置SNMP消息包的最大长度

snmp-agent max-size byte-count

·          byte-count: Agent能接收/发送的SNMP消息包长度的最大值,取值范围为1500~64000,单位为字节

·          缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节

恢复SNMP消息包的最大长度为缺省值

undo snmp-agent max-size

-

 

4. 设置系统信息

如果交换机发生故障,维护人员可以利用系统维护联系信息了解其生产厂商等信息,及时与生产厂商取得联系。您可以使用下面的命令来设置系统维护联系信息。

表11-107 设置系统信息

操作

命令

说明

进入系统视图

system-view

-

设置系统信息

snmp-agent sys-info { contact sysContact | location sysLocation | version { v1 | v2c | all } }

·          contact设置系统维护联系信息

·          sysContact:描述系统维护联系信息的字符串,字符串有效长度是1~80

·          location:设置设备节点的物理位置,字符串有效长度是1~80

·          sysLocation:设备节点的物理位置信息,字符串的有效长度是1~80

·          version:设置系统启用的SNMP版本号

·          v1:SNMPv1版本

·          v2c:SNMPv2c版本

·          all:SNMPv1、SNMPv2c 版本

缺省情况下,系统维护联系信息为“R&D Hangzhou, H3C Technologies co.,Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv2c

取消当前设置的系统信息

undo snmp-agent sys-info [ contact | location | version { v1 | v2c | all } ]

-

 

11.11.2  设置SNMP Trap基本功能

1. 开启/关闭设备发送Trap信息功能

表11-108 开启/关闭设备发送Trap信息功能

操作

命令

说明

进入系统视图

system-view

-

开启设备发送Trap信息功能

snmp-agent trap enable

缺省情况下,Trap信息功能处于开启状态

关闭设备发送Trap信息功能

undo snmp-agent trap enable

-

 

2. 开启/关闭设备允许发送的Trap信息

表11-109 开启/关闭设备允许发送的Trap信息

操作

命令

说明

进入系统视图

system-view

-

开启设备允许发送的Trap信息

snmp-agent trap enable [ standard [ authentication | coldstart | linkdown | linkup | warmstart ]* ]

·          standard:发送SNMP标准的通知或Trap信息

·          authentication:认证失败时,发送SNMP协议的认证失败的Trap信息

·          coldstart:当设备重新启动时,发送SNMP协议的冷启动Trap信息

·          linkdown:当端口由up状态变为down状态时,发送SNMP协议的链路down掉的Trap信息

·          linkup:当端口由down状态变为up状态时,发送SNMP协议的链路up的Trap信息

·          warmstart:当SNMP协议重新启动时,发送SNMP协议的热启动Trap报文

当选择linkuplinkdown时,表示允许所有端口发送Linkup或Linkdown Trap信息

此命令需要与snmp-agent target-host命令协同使用,使用snmp-agent target-host命令来指定哪些主机可以接收Trap信息。为了发送Trap信息,用户必须配置至少一条snmp-agent target-host命令,相关操作请参见“4. 设置Trap目标主机地址

缺省情况下,S1600向NMS发送所有的Trap信息

关闭设备允许发送的Trap信息

undo snmp-agent trap enable [ standard [ authentication | coldstart | linkdown | linkup | warmstart ]* ]

-

 

3. 开启/关闭指定端口发送LINK UP和LINK DOWN Trap信息

说明

在设置本任务之前,需要先开启设备发送Trap信息功能,相关操作请参见“1. 开启/关闭设备发送Trap信息功能”。

 

表11-110 开启/关闭指定端口发送LINK UP和LINK DOWN Trap信息

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

开启指定端口发送LINK UP和LINK DOWN Trap信息

enable snmp trap updown

此命令需要与snmp-agent target-host命令协同使用,使用snmp-agent target-host命令来指定哪些主机可以接收Trap信息。为了发送Trap信息,用户必须配置至少一条snmp-agent target-host命令,相关操作请参见“4. 设置Trap目标主机地址

缺省情况下,S1600允许向NMS发送端口Trap信息

关闭指定端口发送LINK UP和LINK DOWN Trap信息

undo enable snmp trap updown

-

 

4. 设置Trap目标主机地址

表11-111 设置Trap目标主机地址

操作

命令

说明

进入系统视图

system-view

-

设置Trap目标主机地址

snmp-agent target-host trap address udp-domain { ip-address } [ udp-port port-number ] params securityname security-string [ v1 | v2c ]

·          ip-address:接受Trap的主机的IPV4地址

·          port-number:指定接收Trap报文的UDP端口号,取值范围为1~65535

·          security-string:SNMP v1、SNMP v2c的团体名

·          v1:代表SNMP v1版本

·          v2c:代表SNMP v2c版本

取消Trap目标主机地址设置

undo snmp-agent target-host ip-address securityname security-string

-

 

11.11.3  显示SNMP信息

表11-112 显示SNMP信息

操作

命令

说明

显示当前设备配置的团体名

display snmp-agent community [ read | write ]

显示命令可以在任意视图下执行

显示当前设备节点的联系信息

display snmp-agent sys-info contact

显示当前设备节点的物理位置信息

display snmp-agent sys-info location

显示系统中运行的SNMP版本

display snmp-agent sys-info version

显示系统Trap列表信息

display snmp-agent trap-list

 

11.12  ACL设置

11.12.1  创建ACL

1. 设置基于MAC的ACL(二层ACL)

表11-113 设置基于MAC的ACL

操作

命令

说明

进入系统视图

system-view

-

设置基于MAC的ACL并进入相应的视图

acl number acl-number [ match-order { auto | config } ]

acl-number:ACL的序号,取值范围为4001~4100,最后三位为该ACL的优先级

match-order:指定子规则的匹配顺序

·          auto:自动排序

·          config:自定义排序

缺省情况下,匹配顺序为config

有关匹配顺序的具体描述请参见“表8-1ACL匹配顺序

定义ACL的描述信息

description text

text:ACL的描述信息,取值范围为1~32个字符您可以通过此命令来描述ACL的具体用途、应用于哪些端口等信息,方便您对ACL进行区分和识别。同时,您可以通过undo description命令来取消对ACL的描述

定义子规则

rule rule-id { deny | permit | mirror-to Ethernet interface-number | new-priority priority | rate-limit rate } [ rule-string ]

·          rule-id:ACL子规则编号,即匹配顺序,取值范围为1~65535。此参数仅在子规则匹配顺序为config模式下时才能执行

·          permit:允许匹配规则的报文通过

·          deny:丢弃匹配规则的报文

·          mirror-to:将匹配规则的报文镜像到指定端口

·          priority:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种

·          rate:限制匹配规则的报文的转发速率

·          rule-string:ACL规则信息,具体参数说明如表11-114所示

您可以重复本步骤来创建多条ACL子规则

说明:

对于镜像到不同端口的规则最多允许添加3

在已创建的ACL基础上快速复制出新的ACL

acl copy old-acl-number to new-acl-number

old-acl-number:原先已存在的ACL序号

new-acl-number新的ACL序号

删除子规则

undo rule rule-id

-

删除ACL

undo acl { all | number acl-number }

此命令需在系统视图下执行

 

表11-114 二层ACL子规则信息

参数

作用

说明

source source-mac-addr source-mac-mask

定义ACL子规则的源MAC地址信息

source-mac-addr / dest-mac-addr:源MAC地址或目的MAC地址,格式为H-H-H

source-mac-mask / dest-mac-mask :源MAC地址/目的MAC地址的反掩码,格式为H-H-H。表示报文源MAC地址/目的MAC地址哪些位匹配,哪些位忽略(比如:如果源MAC地址设置为00AB-2211-3300,且源MAC地址反掩码设置为0000-0000-00FF,那么,该源MAC地址的前5个字节是可用的,最后一个字节被忽略,即匹配范围为00AB-2211-3300~00AB-2211-33FF)

dest dest-mac-addr dest-mac-mask

定义ACL子规则的目的MAC地址信息

cos cos-pri cos-mask

定义ACL子规则的802.1p优先级

cos-pri:取值范围为0~7

cos-mask:802.1p优先级的反掩码,取值范围为0~7。表示报文的802.1p优先级哪些位匹配,哪些位忽略(比如:CoS为5,二进制表示为101;反掩码为3,二进制表示为011。那么,该CoS的最前位是可用的,后两位被忽略,即当报文的CoS为4、5、6、7时均被匹配)

type protocol-type

定义ACL子规则的以太网帧的协议类型

protocol-type:以十六进制表示,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域。您输入时不需要输入0x前导符号

vlan vlan-id

定义ACL子规则的VLAN值

vlan-id:取值范围为1~4094

 

2. 设置基于IP的ACL(高级ACL)

表11-115 设置基于IP的ACL

操作

命令

说明

进入系统视图

system-view

-

设置基于IP的ACL并进入相应的视图

acl number acl-number [ match-order { auto | config } ]

acl-number:ACL的序号,取值范围为3001~3100,最后三位为该ACL的优先级

match-order:指定子规则的匹配顺序

·          auto:自动排序

·          config:自定义排序

缺省情况下,匹配顺序为config

有关匹配顺序的具体描述请参见“表8-1ACL匹配顺序

定义ACL的描述信息

description text

text:ACL的描述信息,取值范围为1~32个字符您可以通过此命令来描述ACL的具体用途、应用于哪些端口等信息,方便您对ACL进行区分和识别。同时,您可以通过undo description命令来取消对ACL的描述

定义子规则

rule [ rule-id ] { deny | permit | mirror-to Ethernet interface-number | new-priority priority | rate-limit rate } protocol [ rule-string ]

·          rule-id:ACL子规则编号,即匹配顺序,取值范围为1~65535。此参数仅在子规则匹配顺序为config模式下时才能执行

·          permit:允许匹配规则的报文通过

·          deny:丢弃匹配规则的报文

·          mirror-to:将匹配规则的报文镜像到指定端口

·          priority:将匹配规则的报文放入指定的优先级队列,分为最低、低、高和最高四种

·          protocol:IP承载的协议类型。用数字表示时,取值范围为1~255;用名字表示时,可以选取gre(47)、icmp(1)、igmp(2)、ip(255)、ipinip(4)、ospf(89)、tcp(6)、udp(17)

·          rule-string:ACL规则信息,具体参数说明如表11-116所示

您可以重复本步骤来创建多条ACL子规则

说明:

对于镜像到不同端口的规则最多允许添加3

在已创建的ACL基础上快速复制出新的ACL

acl copy old-acl-number to new-acl-number

old-acl-number:原先已存在的ACL序号

new-acl-number新的ACL序号

删除子规则

undo rule rule-id

-

删除ACL

undo acl { all | number acl-number }

此命令需在系统视图下执行

 

表11-116 高级ACL子规则信息

参数

作用

说明

source sour-addr sour-wildcard / destination dest-addr dest-wildcard

定义ACL子规则的源IP地址或源目的IP地址信息

sour-addr sour-wildcard / dest-addr dest-wildcard:源IP地址或目的IP地址,点分十进制表示

sour-wildcard / dest-wildcard:源IP地址或目的IP地址的反掩码。表示报文源IP地址/目的IP地址哪些位匹配,哪些位忽略(比如:源IP地址为192.168.1.200,反掩码为0.0.0.255,表示仅匹配IP地址的前24位,后8位忽略。即匹配范围为192.168.1.0~192.168.1.255)

source-port port / destination-port port

定义ACL子规则的源端口或目的端口信息

portTCPUDP的端口号,取值范围为165535

仅当您选择协议类型为TCP或者UDP时,此参数才可以执行

tcp-flags

定义ACL子规则的TCP标志位信息

TCP标志位的设置顺序为:Urg、Ack、Psh、Rst、Syn、Fin;各标志位可以设置的值为:1(该标志位已设置)、0(该标志位未设置)、X(该标志位忽略,即不匹配)

仅当您选择协议类型为TCP时,此参数才可以执行

precedence precedence

IP优先级

取值范围为0~7

dscp dscp

DSCP优先级

取值范围为0~63

 

11.12.2  应用ACL

1. 将已创建的ACL应用到指定端口

表11-117 将已创建的ACL应用到指定端口

操作

命令

说明

进入系统视图

system-view

-

将已创建的ACL应用到指定端口

packet-filter Ethernet interface-number inbound { ip-group acl-number1 | link-group acl-number2 }

·          interface-number:需要应用ACL的指定端口

·          acl-number1:已创建的基于IP的ACL

·          acl-number2:已创建的基于MAC的ACL

删除ACL在端口上的应用

undo packet-filter Ethernet interface-number inbound { ip-group acl-number1 | link-group acl-number2 }

-

 

2. 将已创建的ACL应用到指定VLAN

表11-118 应用ACL

操作

命令

说明

进入系统视图

system-view

-

将已创建的ACL应用到指定VLAN

packet-filter vlan vlan-id inbound { ip-group acl-number1 | link-group acl-number2 }

vlan-id:需要应用ACL的指定VLAN

acl-number1:已创建的基于IP的ACL

acl-number2:已创建的基于MAC的ACL

删除ACL在VLAN上的应用

undo packet-filter vlan vlan-id inbound { ip-group acl-number1 | link-group acl-number2 }

-

 

11.12.3  显示ACL设置信息

表11-119 显示ACL设置信息

操作

命令

说明

显示ACL及其下的子规则设置信息

display acl { all | acl-number }

·          acl-number:显示指定的ACL设置信息

·          all:显示所有的ACL设置信息

显示命令可以在任意视图下执行

显示ACL表项资源信息

display acl remaining entry

您可以根据该命令的输出信息来了解ACL规则消耗的表项资源数,确认ACL无法下发的原因是否与表项资源耗尽有关

显示命令可以在任意视图下执行

显示ACL应用设置信息

display packet-filter { global | interface Ethernet interface-number | vlan vlan-id }

global:显示所有ACL的应用设置信息

interface-number:显示指定端口的ACL应用设置信息

vlan-id:显示指定VLAN的ACL应用设置信息

 

例:显示ACL表项资源信息。

<H3C> display acl remaining entry

  Resource  Total   Reserved  Configured  Remaining   Start     End

  Type      Number  Number    Number      Number   port name   port name

----------------------------------------------------------------------------

 

    RULE       512        62         0       450         E0/1     E0/26

表11-120 display acl remaining entry命令显示信息描述表

字段

描述

Resource Type

ACL表项资源类型,Rule表示可以下发的规则数量

Total Number

ACL表项资源的总数

Reserved Number

系统ACL用去的资源数目

Configured Number

用户定义的ACL占用的资源数目

Remaining Number

剩余的ACL资源数目

Start Port Name

End Port Name

该表项所对应的起始端口号和结束端口号

 

11.13  安全专区设置

11.13.1  设置防攻击

1. 设置ARP限速

表11-121 设置

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

开启端口ARP报文限速功能

arp rate-limit enable

缺省情况下,端口ARP报文限速功能处于关闭状态

设置端口ARP报文接收速率

arp rate-limit rate

rate:端口ARP接收速率,单位为pps,取值范围为10~200

仅当开启端口ARP报文限速功能后,该速率设置才会生效

缺省情况下,端口ARP接收速率为100 pps

关闭端口ARP报文限速功能

undo arp rate-limit enable

-

恢复端口ARP报文接收速率为缺省值

undo arp rate-limit

-

显示ARP报文限速功能设置状态

display arp detection statistics interface Ethernet interface-number

显示命令可在任意视图下执行

 

2. 设置防蠕虫病毒攻击

表11-122 设置防蠕虫病毒攻击

操作

命令

说明

进入系统视图

system-view

-

添加蠕虫病毒特征信息

filter filter-name { tcp | udp } dest-port { enable| disable}

·          filter-name:蠕虫病毒名称

·          tcp:基于TCP协议的蠕虫病毒

·          udp:基于UDP协议dest-port  目的端口,0~65535

·          enable:开启过滤病毒功能

·          disable:关闭过滤病毒功能

删除蠕虫病毒特征信息

undo filter { tcp | udp} dest-port

-

显示防蠕虫病毒攻击状态

display filter

显示命令可在任意视图下执行

 

3. 设置防DoS攻击

表11-123 设置防DoS攻击

操作

命令

说明

进入系统视图

system-view

-

设置防DoS攻击

dos-prevention { land | tcp-check | smurf } { enable| disable}

dos-prevention { ping-flood | syn-flood } { 64| 128 | disable }

·          landsmurf、ping-flood、syn-flood、tcp-check均为常见的DoS攻击项

·          enable:开启该DoS攻击项的防御功能

·          disable关闭该DoS攻击项的防御功能

·          64/128设置ping-floodsyn-flood的速率

缺省情况下,所有DoS攻击项的防御功能均处于关闭状态

显示防DoS攻击设置

display dos-prevention

显示命令可在任意视图下执行

 

4. 设置防MAC地址攻击

表11-124 设置防MAC地址攻击

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置端口MAC地址学习数限制

mac-address max-mac-count max-mac-count

max-mac-count:MAC地址学习数,取值范围为0~8191,缺省值为8191。0表示关闭端口MAC地址学习;8191表示不限制MAC地址学习

恢复端口MAC地址学习数限制为缺省值

undo mac-address max-mac-count

-

 

5. 设置防CPU攻击

当您开启防CPU攻击功能后,系统会自动对大量的经CPU处理的报文进行抑制(比如:组播攻击、ARP攻击等),确保系统资源不会被过量占用,从而可以避免此类攻击对交换机正常工作造成影响。

表11-125 设置防CPU攻击

操作

命令

说明

进入系统视图

system-view

-

开启全局防CPU攻击

system-guard enable

缺省情况下,全局防CPU攻击功能处于开启状态

进入以太网端口视图

interface Ethernet interface-number

-

开启端口防CPU攻击

system-guard permit

当开启端口防CPU攻击功能后,如果该端口存在CPU攻击,则系统会自动对其进行限速

缺省情况下,端口防CPU攻击功能处于开启状态

说明:

仅当开启全局防CPU攻击功能后,端口防CPU攻击功能才生效

显示防CPU攻击状态信息

display system-guard state [ Ethernet interface-number ]

显示命令可在任意视图下执行。如果端口不指定,则显示所有端口下的防CPU攻击状态信息

显示信息描述:

·          Global System-guard Status:显示全局防CPU攻击功能状态

·          System-guard Status:显示端口防CPU攻击功能状态

·          Attack Detect Status:显示端口是否存在CPU攻击(Normal:表示正常;Attack:表示存在攻击)

·          Attack Rate Limit:显示端口防CPU攻击限速状态。当端口防CPU攻击功能开启后,如果该端口存在CPU攻击,则系统会自动开启该端口的限速功能

关闭端口防CPU攻击

undo system-guard permit

-

关闭全局防CPU攻击

undo system-guard enable

-

 

11.13.2  设置四元绑定

1. 添加/删除四元绑定项

表11-126 添加/删除四元绑定项

操作

命令

说明

进入系统视图

system-view

-

添加四元绑定表项

ipmacbind ip-address mac-address [ Ethernet interface-number | vlan vlan-id ]*

ip-address:源IP地址

mac-address:源MAC地址

如果端口或VLAN不指定,则绑定项应用于所有的端口或VLAN中

删除四元绑定项

undo ipmacbind { all | ip-address mac-address [ Ethernet interface-number | vlan vlan-id ]* }

all:清空绑定表

 

2. 显示四元绑定表状态

表11-127 显示四元绑定表状态

操作

命令

说明

显示四元绑定表中的表项个数

display ipmacbind count

显示命令可在任意视图下执行

显示四元绑定表中的表项信息

display ipmacbind

 

11.13.3  设置ARP过滤

1. 开启/关闭ARP过滤功能

表11-128 开启/关闭ARP过滤功能

操作

命令

说明

进入系统视图

system-view

-

开启ARP过滤功能

arp detection enable

缺省情况下,ARP过滤功能处于关闭状态

关闭ARP过滤功能

undo arp detection enable

-

 

2. 设置ARP信任端口

表11-129 设置ARP信任端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface Ethernet interface-number

-

设置端口为ARP信任端口

arp detection trust

对于来自信任端口的所有ARP报文不进行检测,对来自其他端口的ARP报文则会根据四元绑定表进行严格检测

缺省情况下,所有端口均为ARP信任端口

取消端口为ARP信任端口

undo arp detection trust

-

 

3. 显示ARP过滤功能相关状态及ARP映射表

表11-130 显示ARP过滤功能相关状态及ARP映射表

操作

命令

说明

显示ARP过滤功能相关状态及统计信息

display arp detection statistics interface Ethernet interface-number

显示命令可在任意视图下执行

清空指定端口的ARP欺骗报文统计

reset arp detection statistics [ interface GigabitEthernet interface-number ]

当您不指定端口参数时,则清空所有端口的ARP欺骗报文统计

此命令需要在用户视图下执行

显示ARP映射表

display arp [ ip-address ]

显示命令可在任意视图下执行

 

11.13.4  设置IP过滤

表11-131 开启/关闭IP过滤功能

操作

命令

说明

进入系统视图

system-view

-

开启IP过滤功能

ipmacbind enable Ethernet interface-number [ to Ethernet interface-number ]

缺省情况,所有端口的IP过滤功能处于关闭状态

关闭IP过滤功能

ipmacbind disable Ethernet interface-number [ to Ethernet interface-number ]

-

显示IP过滤功能状态

display ipmacbind

显示命令可在任意视图下执行

 

11.13.5  设置AAA

1. 设置用户认证方案

表11-132 设置用户认证方案

操作

命令

描述

进入系统视图

system-view

-

设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案

aaa authentication { telnet | terminal } { local | none | radius-scheme radius-scheme-name [ local ] }

aaa authentication web { local | none }

·          none:不认证

·          local:本地认证。有关本地用户的相关配置操作请参见“2. 设置本地用户

·          radius-scheme radius-scheme-name:Radius远程认证,radius-scheme-name值需要固定设置为system

·          radius-scheme radius-scheme-name local:本地认证和Radius远程认证互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案

缺省情况下,系统采用本地认证

说明:

当采用Radius远程认证方案或Radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在S1600上设置对应的Radius Client

显示用户认证方案配置状态

display aaa

显示命令可在任意视图下执行

恢复用户认证方案为缺省值

undo aaa authentication { telnet | terminalweb }

-

 

2. 设置本地用户

表11-133 设置本地用户

操作

命令

描述

进入系统视图

system-view

-

创建本地用户,并进入该用户视图

local-user user-name

user-name:本地用户名,长度1~32个字符,区分大小写,且只能包含数字、大小写字母以及下划线

说明:

·          当本地用户已存在时,则直接进入该用户视图

·          系统最多支持创建64个本地用户

·          undo命令用来删除指定的本地用户,all表示删除所有的本地用户

undo local-user { user-name | all }

指定该用户的服务类型

service-type { telnet | terminal | web}

·          telnet:用于Telnet登录

·          terminal:用于Console登录

·          web:用于Web登录

说明:

·          一个用户可以拥有多种服务类型

·          系统最多允许创建4个Web服务类型的用户

·          undo命令用来取消指定的服务类型

undo service-type { telnet | terminal | web}

指定该用户的等级

level level

level:用户等级,即配置管理权限。0为普通用户、1为管理用户。缺省情况下,用户级别为1

说明:

undo命令用来恢复用户等级为缺省值

undo level

设置该用户的使用状态

state { active | block }

·          active:允许用户登录

·          block:禁止用户登录

缺省情况下,用户的使用状态为active

设置本地用户密码

password { cipher | simple } password

cipher:表示密码为密文显示

simple:表示密码为明文显示

password:表示设置的密码。明文密码可以是长度小于等于32的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!

说明:

undo命令用来删除本地用户密码

注意:

cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文;长度大于16且小于等于32的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理

undo password

显示本地用户设置状态

display local-user service-type { telnet | terminal | web }

此命令用于显示指定服务类型下的本地用户信息

显示命令可在任意视图下执行

display local-user state { active | block }

此命令用于显示指定使用状态下的本地用户信息

显示命令可在任意视图下执行

display local-user user-name user-name

此命令用于显示指定用户名下的本地用户信息

显示命令可在任意视图下执行

display local-user

此命令用于显示所有的本地用户信息

显示命令可在任意视图下执行

 

3. 设置Radius Client

说明

S1600不支持创建新的Radius方案,系统缺省为system方案。

 

·              设置Radius认证/授权服务器参数

表11-134 设置Radius认证/授权服务器的IP地址

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置主Radius认证/授权服务器参数

primary authentication ip-address [ port-number ]

ip-address:IP地址,缺省情况下为0.0.0.0

port-number:UDP端口号,取值范围为1~65535,缺省情况下为1812

设置从Radius认证/授权服务器参数

secondary authentication ip-address [ port-number ]

恢复主Radius认证/授权服务器参数为缺省值

undo primary authentication

-

恢复从Radius认证/授权服务器参数为缺省值

undo secondary authentication

-

 

·              设置Radius认证/授权报文的共享密钥

表11-135 设置Radius认证/授权报文的共享密钥

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius认证/授权报文的共享密钥

key authentication string

string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥

恢复Radius认证/授权报文的共享密钥为缺省值

undo key authentication

-

 

·              设置Radius计费服务器参数

表11-136 设置Radius计费服务器参数

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置主Radius计费服务器参数

primary accounting ip-address [ port-number ]

ip-address:IP地址,缺省情况下为0.0.0.0

port-number:UDP端口号,取值范围为1~65535,缺省情况下为1813

设置从Radius计费服务器参数

secondary accounting ip-address [ port-number ]

恢复主Radius计费服务器参数为缺省值

undo primary accounting

-

恢复从Radius计费服务器参数为缺省值

undo secondary accounting

-

 

·              设置Radius计费报文的共享密钥

表11-137 设置Radius计费报文的共享密钥

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius计费报文的共享密钥

key accounting string

string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥

恢复Radius计费报文的共享密钥为缺省值

undo key accounting

-

 

·              设置Radius服务器响应超时时长

表11-138 设置Radius服务器响应超时时长

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius服务器响应超时时长

timer time

time:超时时长,取值范围为1~10,缺省情况下为3秒

恢复Radius服务器响应超时时长为缺省值

undo timer

-

 

·              设置Radius报文超时重传次数的最大值

表11-139 设置Radius报文超时重传次数的最大值

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius报文超时重传次数的最大值

retry retry-times

retry-times:报文重传次数的最大值,取值范围为1~20,缺省情况下为3

恢复Radius报文超时重传次数的最大值为缺省值

undo retry

-

 

·              设置Radius认证/授权服务器及计费服务器状态

表11-140 设置Radius认证/授权服务器及计费服务器状态

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置主Radius认证/授权服务器状态

state primary authentication { active | block }

·          active:服务器处于工作状态

·          block: 服务器处于待机状态

缺省情况下,认证/计费服务器均处于block状态

设置从Radius认证/授权服务器状态

state secondary authentication { active | block }

设置主Radius计费服务器状态

state primary accounting { active | block }

设置从Radius计费服务器状态

state secondary accounting { active | block }

 

·              设置Radius重启用户再认证功能

表11-141 设置Radius重启用户再认证功能

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

开启Radius重启用户再认证功能

accounting-on enable

缺省情况下,设备重启用户再认证功能处于关闭状态

恢复Radius重启用户再认证功能为缺省值

undo accounting-on enable

-

 

·              设置Radius实时计费间隔

表11-142 设置Radius实时计费间隔

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius实时计费间隔

timer realtime-accounting minutes

minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,且必须为3的倍数。

缺省情况下,实时计费间隔为12分钟

恢复Radius实时计费间隔为缺省值

undo timer realtime-accounting

-

 

·              设置Radius实时计费最大失败次数

表11-143 设置Radius实时计费最大失败次数

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius实时计费最大失败次数

retry realtime-accounting retry-times

retry-times:允许实时计费失败的最大次数,取值范围为1~255

缺省情况下,最多允许5次实时计费失败

恢复Radius实时计费最大失败次数为缺省值

undo retry realtime-accounting

-

 

·              显示Radius方案的设置信息

表11-144 显示Radius方案的设置信息

操作

命令

说明

显示Radius方案的设置信息

display radius [ radius-scheme-name ]

radius-scheme-name:Radius方案名,S1600仅支持系统缺省的system方案

 

11.13.6  设置802.1x

1. 开启/关闭全局802.1x功能

表11-145 开启/关闭全局802.1x功能

操作

命令

说明

进入系统视图

system-view

-

开启全局的802.1x特性

dot1x

缺省情况下,全局的802.1x特性处于关闭状态

关闭全局的802.1x特性

undo dot1x

-

 

2. 开启/关闭端口802.1x功能

说明

仅当开启了全局802.1x功能,端口的802.1x功能才能生效。

 

表11-146 开启/关闭端口802.1x功能

操作

命令

说明

进入系统视图

system-view

-

开启端口的802.1x特性

系统视图下

dot1x interface interface-list

两者必选其一

缺省情况下,端口的802.1x特性均为关闭状态

端口视图下

interface Ethernet interface-number

dot1x

关闭端口的802.1x特性

系统视图下

undo dot1x interface interface-list

-

端口视图下

interface Ethernet interface-number

undo dot1x

 

3. 设置全局接入控制的模式

表11-147 设置全局接入控制的模式

操作

命令

说明

进入系统视图

system-view

-

设置全局接入控制的模式

dot1x port-control { authorized-force | unauthorized-force | auto }

缺省情况下,全局接入控制的模式为auto

恢复全局接入控制的模式为缺省值

undo dot1x port-control { authorized-force | unauthorized-force | auto }

-

 

4. 设置端口接入控制的模式

表11-148 设置端口接入控制的模式

操作

命令

说明

进入系统视图

system-view

-

设置端口接入控制的模式

系统视图下

dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ]

两者必选其一

·          auto:自动识别模式

·          authorized-force:强制授权模式

·          unauthorized-force:强制非授权模式

·          如果interface-list不指定,则表示作用于所有端口

缺省情况下,端口接入控制的模式为auto

端口视图下

interface Ethernet interface-number

dot1x port-control { authorized-force | unauthorized-force | auto }

恢复端口接入控制的模式为缺省值

系统视图下

undo dot1x port-control [ interface interface-list ]

-

端口视图下

interface Ethernet interface-number

undo dot1x port-control

 

5. 设置全局接入控制的方式

表11-149 设置全局接入控制的方式

操作

命令

说明

进入系统视图

system-view

-

设置全局接入控制的方式

dot1x port-method { macbased | portbased }

缺省情况下,全局接入控制的方式为macbased

恢复全局接入控制的方式为缺省值

undo dot1x port-method { macbased | portbased }

-

 

6. 设置端口接入控制的方式

表11-150 设置端口接入控制的方式

操作

命令

说明

进入系统视图

system-view

-

设置端口接入控制的方式

系统视图下

dot1x port-method { macbased | portbased } [ interface interface-list ]

两者必选其一

·          macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证

·          portbased:指示802.1x认证系统基于端口对接入用户进行认证

·          如果interface-list不指定,则表示作用于所有端口

缺省情况下,端口接入控制的方式为macbased

端口视图下

interface Ethernet interface-number

dot1x port- method { macbased | portbased }

恢复端口接入控制的方式为缺省值

系统视图下

undo dot1x port-method [ interface interface-list ]

-

端口视图下

interface Ethernet interface-number

undo dot1x port-method

 

7. 设置802.1x用户的认证方法

表11-151 设置802.1x用户的认证方法

操作

命令

说明

进入系统视图

system-view

-

设置802.1x用户的认证方法

dot1x authentication-method eap

目前,S1600 802.1x用户的认证只支持EAP-MD5

缺省情况下,802.1x用户的认证方法EAP认证

恢复802.1x用户的认证方法为缺省值

undo dot1x authentication-method

-

 

8. 设置Guest VLAN

说明

一台S1600只能配置一个Guest VLAN。

 

表11-152 设置Guest VLAN

操作

命令

说明

进入系统视图

system-view

-

开启/关闭全局Guest VLAN功能

dot1x guest-vlan vlan-id

vlan-idGuest VLAN,且该VLAN必须已经存在

缺省情况下,全局Guest VLAN功能处于关闭状态

undo dot1x guest-vlan

进入以太网端口视图

interface Ethernet interface-number

-

开启/关闭端口Guest VLAN功能

dot1x guest-vlan

缺省情况下,端口Guest VLAN功能处于关闭状态

undo dot1x guest-vlan

 

9. 设置802.1x的定时器

表11-153 设置802.1x的定时器

操作

命令

说明

进入系统视图

system-view

-

设置802.1x的定时器

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | reauth-period reauth-period-value }

·          handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒

·          quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒

·          server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒

·          supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒

·          tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒

·          reauth-period-value:重认证周期时间,取值范围为1~86400,单位为秒

缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒server-timeout-value为100秒supp-timeout-value为30秒,tx-period-value为30秒,

reauth-period-value为3600秒

恢复802.1x的定时器为缺省值

undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | reauth-period }

-

 

10. 设置端口允许接入的用户最大数目

表11-154 设置端口允许接入的用户最大数目

操作

命令

说明

进入系统视图

system-view

-

设置端口允许接入的用户最大数目

系统视图下

dot1x max-user user-number [ interface interface-list ]

·          user-number:端口可容纳接入用户数量的最大值,取值范围为1~128

·          如果interface-list不指定,则表示作用于所有端口

缺省情况下,端口上可容纳接入用户数量的最大值为128

端口视图下

interface Ethernet interface-number

dot1x max-user user-number

恢复端口允许接入的用户最大数目为缺省值

系统视图下

undo dot1x max-user [ interface interface-list ]

-

端口视图下

interface Ethernet interface-number

undo dot1x max-user

 

11. 设置在线用户握手功能

可以通过下面的命令来开启设备的在线用户握手功能。当802.1X用户认证通过以后,设备会定时(该时间间隔由命令dot1x timer handshake-period设置)向认证用户发送握手报文,如果设备连续多次没有收到客户端的响应报文,则会将用户置为下线状态。

表11-155 设置在线用户握手功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

开启在线用户握手功能

dot1x handshake

可选

缺省情况下,在线用户握手功能处于开启状态

关闭在线用户握手功能

undo dot1x handshake

-

 

说明

部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

 

12. 设置组播触发功能

可以通过下面的命令来开启设备的组播触发功能。若端口启动了802.1X的组播触发功能,则该端口会定期向客户端发送组播触发报文来启动认证,该功能用于支持不能主动发起认证的客户端。

表11-156 设置组播触发功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

开启组播触发功能

dot1x multicast-trigger

可选

缺省情况下,组播触发功能处于开启状态

关闭组播触发功能

undo dot1x multicast-trigger

 

 

13. 显示802.1x的相关信息

表11-157 显示802.1x的相关信息

操作

命令

说明

显示802.1x的相关信息

display dot1x [ sessions | statistics ] [ interface interface-list ]

sessions:显示802.1X的会话连接信息

statistics:显示802.1X的相关统计信息

 

例:显示802.1x所有的信息。

<H3C> display dot1x                                                             

Equipment 802.1X protocol is enabled                                           

EAP authentication is enabled                                                  

Guest VLAN : 0100                                                               

                                                                               

Configure: Transmit Period 30 s                                                

           ReAuth Period 3600 s                                                

           Quiet Period 60 s                                                   

           Supp Timeout 30 s                                                   

           Server Timeout 100 s                                                 

           Handshake period 15 s                                               

           The maximal retransmitting times 5                                  

                                                                                

Total maximum used 802.1X resource number is 512                               

Total current used 802.1X resource number is 0                                 

                                                                               

Ethernet0/1 is link-up                                                         

   802.1X protocol is disabled                                                 

   Handshake is enabled                                                        

   The port is an authenticator                                                

   Authenticate Mode is auto                                                   

   Port Control Type is Mac-based                                              

   802.1X Multicast-trigger is enabled                                         

   ReAuthenticate is disabled                                                  

   Max on-line user number is 128                                               

   Guest VLAN is disabled                                                      

                                                                               

   The port is not in guest vlan                                                

   Authenticate Success: 0, Failed: 0                                          

   EAPOL Packet: Tx 0, Rx 0                                                    

   Send EAP Request/Identity Packet : 0                                         

        EAP Request Packet: 0                                                  

   Received EAPOL Start Packet : 0                                             

            EAPOL LogOff Packet: 0                                              

            EAP Response/Identity Packet: 0                                    

            EAP Response Packet: 0                                             

            Error Packet: 0                                                    

                                                                                

   Controlled User(s) amount to 0                                              

                                                                               

Ethernet0/2 is link-up                                                          

   802.1X protocol is disabled                                                 

   Handshake is enabled                                                        

   The port is an authenticator                                                

   Authenticate Mode is auto                                                   

   Port Control Type is Mac-based                                              

   802.1X Multicast-trigger is enabled                                         

   ReAuthenticate is disabled                                                  

   Max on-line user number is 128                                              

   Guest VLAN is disabled                                                       

                                                                               

   The port is not in guest vlan                                               

   Authenticate Success: 0, Failed: 0                                           

   EAPOL Packet: Tx 0, Rx 0                                                    

   Send EAP Request/Identity Packet : 0                                        

        EAP Request Packet: 0                                                   

   Received EAPOL Start Packet : 0                                             

            EAPOL LogOff Packet: 0                                             

            EAP Response/Identity Packet: 0                                     

            EAP Response Packet: 0                                             

            Error Packet: 0                                                    

                                                                                

   Controlled User(s) amount to 0                                              

                                                                               

Ethernet0/3 is link-up                                                         

   802.1X protocol is disabled                                                 

   Handshake is enabled                                                        

   The port is an authenticator                                                

   Authenticate Mode is auto                                                   

   Port Control Type is Mac-based                                              

   802.1X Multicast-trigger is enabled                                         

   ReAuthenticate is disabled                                                  

   Max on-line user number is 128                                              

   Guest VLAN is disabled                                                      

                                                                                

   The port is not in guest vlan                                               

   Authenticate Success: 0, Failed: 0                                          

   EAPOL Packet: Tx 0, Rx 0                                                    

   Send EAP Request/Identity Packet : 0                                        

        EAP Request Packet: 0                                                  

   Received EAPOL Start Packet : 0                                              

            EAPOL LogOff Packet: 0                                             

            EAP Response/Identity Packet: 0                                    

            EAP Response Packet: 0                                              

            Error Packet: 0                                                    

                                                                               

   Controlled User(s) amount to 0

表11-158 display dot1x命令显示信息描述表

字段

描述

Equipment 802.1X protocol is enabled

802.1x特性已经开启

EAP authentication is enabled

开启EAP认证

Guest VLAN

Guest VLAN

Transmit Period

发送间隔定时器

ReAuth Period

重认证周期

Quiet Period

静默定时器设置的静默时长

Supp Timeout

Supplicant认证超时定时器

Server Timeout

Authentication Server超时定时器

Handshake Period

802.1x的握手报文的发送时间间隔

The maximal retransmitting times

交换机可重复向接入用户发送认证请求帧的次数

Total maximum used 802.1X resource number

最多可接入用户数

Total current used 802.1X resource number

当前在线接入用户数

Ethernet0/1 is link-up

端口Ethernet0/1的状态为Up

802.1X protocol is disabled

该端口未开启802.1x协议

Handshake is enabled

握手功能处于使能状态

The port is an authenticator

该端口担当Authenticator作用

Authenticate Mode is auto

端口接入控制的模式为auto

Port Control Type is Mac-based

端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证

802.1X Multicast-trigger is enabled

802.1X组播触发功能处于使能状态

ReAuthenticate is disabled

端口的802.1x重认证特性处于关闭状态

Max on-line user number is 128

本端口最多可容纳的接入用户数

Guest VLAN is disabled

端口Guest VLAN功能关闭

The port is not in guest vlan

端口没有在Guest VLAN中

Authenticate Success

认证成功

EAPOL Packet

EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目

Send EAP Request/Identity Packet

发送的EAP Request/Identity报文数

EAP Request Packet

发送的EAP Request报文数

Received EAPOL Start Packet

接收的EAPOL Start报文数

EAPOL LogOff Packet

接收的EAPOL LogOff报文数

EAP Response/Identity Packet

接收的EAP Response/Identity报文数

EAP Response Packet

接收的EAP Response报文数

Error Packet

接收的错误报文数

Controlled User(s) amount to

该端口受控用户数目

 

11.13.7  设置MAC-VLAN

1. 开启/关闭端口MAC-VLAN功能

说明

·          仅当端口802.1x接入控制的方式为MAC-based,端口的MAC-VLAN功能才能生效。

·          S1650不支持MAC-VLAN功能。

 

表11-159 开启/关闭端口MAC-VLAN功能

操作

命令

说明

进入系统视图

system-view

-

开启端口的mac-vlan功能

端口视图

interface Ethernet interface-number

说明:只有 hybrid端口才能开启mac-vlan功能。

缺省情况下,端口的mac-vlan功能为关闭状态

mac-vlan enable

关闭端口的mac-vlan功能

端口视图

interface Ethernet interface-number

-

undo mac-vlan enable

 

11.14  系统管理

11.14.1  MAC地址表管理

1. 添加/修改/删除MAC地址表项

管理员根据实际情况可以人工添加、修改或删除地址表中的表项。可以删除与某个端口相关的所有地址表项,也可以选择删除某个地址表项(如动态表项、静态表项)。

表11-160 添加/修改/删除MAC地址表项

操作

命令

说明

进入系统视图

system-view

-

添加/修改MAC地址表项

系统视图下

mac-address { static | dynamic | blackhole } mac-address interfaceEthernet interface-number vlan vlan-id

·          blackhole:黑洞表项,所有源地址或目的地址为该MAC地址的报文都会被交换机丢弃

·          static:静态表项,不会被老化掉

·          dynamic:动态表项,会被老化掉

·          mac-address:MAC地址,采用H-H-H的形式

·          vlan-id:VLAN的ID,取值范围为1~4094

端口视图下

interface Ethernet interface-number

mac-address { static | dynamic } mac-address vlan vlan-id

删除MAC地址表项

系统视图下

undo mac-address [ interface Ethernet interface-number | mac-address vlan vlan-id [ interface Ethernet interface-number ] ]

-

端口视图下

interface Ethernet interface-number

undo mac-address mac-address vlan vlan-id

 

2. 设置MAC地址表老化时间

表11-161 设置MAC地址表老化时间

操作

命令

说明

进入系统视图

system-view

-

设置MAC地址表老化时间

mac-address timer { aging age | no-aging }

·          age:MAC地址表的老化时间,取值范围为10~1000000,单位为秒

·          no-aging:不老化

缺省情况下,MAC地址表的老化时间为300秒

设置过长或者过短的老化时间,可能会引起不必要的网络故障,建议您使用缺省值

恢复MAC地址表老化时间为缺省值

undo mac-address timer aging

-

 

3. 显示MAC地址表信息

表11-162 显示MAC地址表信息

操作

命令

说明

显示MAC地址表信息

display mac-address [ mac-address [ vlan vlan-id ] | interface Ethernet interface-number | blackhole | aging-time | count ]

·          mac-address:MAC地址

·          blackhole:黑洞表项

·          count:数量,此参数用于显示MAC地址数量的命令

·          aging-time:MAC地址表的老化时间

 

例:显示MAC地址为000a-eb7f-aaab的地址表项信息。

<H3C> display mac-address 000a-eb7f-aaab

Reading entire MAC table. Please wait...

MAC ADDR         VLAN ID    STATE            PORT INDEX           AGING TIME

000a-eb7f-aaab      1       Config static    Ethernet0/1       NOAGED

 --- 1 mac address(es) found ---

以上显示信息表示:MAC地址为000a-eb7f-aaab的报文将从Ethernet0/1端口转发,这个表项被设置为静态表项。

11.14.2  配置管理

1. 显示当前配置和已保存配置

表11-163 显示当前配置和已保存配置

操作

命令

说明

显示已保存配置

display saved-configuration

如果S1600上电之后工作不正常,可以执行此命令查看其已保存的配置,以定位问题所在

显示命令可在任意视图下执行

显示当前配置

display current-configuration

当您完成一组配置后,需要验证配置是否正确时,可以执行此命令来查看当前生效的参数。对于某些参数,虽然您已经配置,但如果这些参数所在的功能没有生效,则不予显示。对于某些正在生效的配置参数,如果与缺省工作参数相同,也不显示

显示命令可在任意视图下执行

显示当前视图下已生效的配置

display this

当您在某一视图下完成一组配置之后,需要验证是否配置成功,则可以执行display this命令来查看当前生效的参数

显示命令可在任意视图下执行

说明:

·          对于已经生效的配置参数如果与缺省工作参数相同,则不显

·          对于某些参数,虽然您已经配置,但如果这些参数所在的功能没有生效,则不显示

·          在任意一个用户界面视图下执行此命令,将会显示所有用户界面下生效的配置

·          在任意一个VLAN视图下执行此命令,将会显示所有已创建的VLAN

 

2. 保存当前配置

表11-164 保存当前配置

操作

命令

说明

保存当前配置

save

·          为了使当前配置能够作为S1600下次上电启动时的已保存配置,需要使用此命令来保存当前配置到FLASH memory中

·          当完成一组配置并且已经达到预定功能时,建议用户将当前配置保存到FLASH memory中

·          此命令可以在任意视图下执行

 

3. 恢复缺省配置

表11-165 恢复缺省配置

操作

命令

说明

进入系统视图

system-view

-

恢复缺省配置

restore default

执行该命令后,S1600会自动重新启动使其生效

 

11.14.3  设备管理

1. 显示系统版本

表11-166 显示系统版本

操作

命令

说明

显示系统版本

display version

显示命令可在任意视图下执行

 

2. 重启交换机

表11-167 重启交换机

操作

命令

说明

重启交换机

reboot

此命令可在用户视图下执行

 

3. 显示设备工作状态

表11-168 显示设备工作状态

操作

命令

说明

显示设备工作状态

display device

显示命令可在任意视图下执行

 

例:显示设备工作状态。

<H3C> display device

SlotNo SubSNo PortNum FPGAVer CPLDVer Type

0      0      24      NULL    NULL    MAIN

表11-169 display device显示信息描述表

字段

描述

SlotNo

槽位号

SubSNo

子槽位号

PortNum

端口号

FPGAVer

FPGA版本号

CPLDVer

CPLD版本号

Type

设备类型

 

4. 显示设备CPU利用率的统计信息

表11-170 显示设备CPU利用率的统计信息

操作

命令

说明

显示设备CPU利用率的统计信息

display cpu-usage

显示命令可在任意视图下执行

 

例:显示设备CPU利用率的统计信息。

<H3C> display cpu-usage

CPU busy status:

         38% in last 5 seconds

         38% in last 1 minute

         37% in last 5 minutes

表11-171 display cpu-usage显示信息描述表

字段

描述

38% in last 5 seconds

设备启动后,会以5秒为周期计算并记录一次该5秒内的CPU的平均利用率。该字段显示的是最近一个5秒统计周期内CPU的平均利用率

38% in last 1 minute

设备启动后,会以1分钟为周期计算并记录一次该1分钟内的CPU的平均利用率。该字段显示的是最近一个1分钟统计周期内CPU的平均利用率

37% in last 5 minutes

设备启动后,会以5分钟为周期计算并记录一次该5分钟内的CPU的平均利用率。该字段显示的是最近一个5分钟统计周期内CPU的平均利用率

 

5. 显示设备内存的使用状况

表11-172 显示设备内存的使用状况

操作

命令

说明

显示设备内存的使用状况

display memory-shortage information

显示命令可在任意视图下执行

 

例:显示设备内存的使用状况。

<H3C> display memory-shortage information

Memory-shortage safety: 800(KB)

Memory-shortage limit: 100(KB)

Free memory: 2284(KB)

表11-173 display memory-shortage information显示信息描述表

字段

描述

Memory-shortage safety

系统内存安全门限值,单位为KB

Memory-shortage limit

系统内存最低门限值,单位为KB

Free memory

系统未使用的内存大小,单位为KB

 

6. 设置系统名

表11-174 设置系统名

操作

命令

说明

进入系统视图

system-view

-

设置交换机系统名

sysname sysname

sysname:字符串,长度为1~30个字符。S1600缺省的系统名为H3C

修改S1600的系统名将影响命令行接口的提示符,如S1600的系统名为H3C,用户视图下的提示符为<H3C>

恢复交换机系统名为缺省名

undo sysname

-

 

11.14.4  信息中心

1. 开启/关闭信息中心功能

仅当您开启了信息中心功能,交换机才会记录系统信息以及向日志主机、控制台等方向输出系统信息。

说明

信息中心开启时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。

 

表11-175 开启/关闭信息中心

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

缺省情况下,信息中心处于开启状态

关闭信息中心

undo info-center enable

-

 

2. 开启/关闭向指定日志主机输出日志信息

表11-176 向指定日志主机输出日志信息

操作

命令

说明

进入系统视图

system-view

-

向指定日志主机输出日志信息

info-center loghost ip host-ip-addr

host-ip-addr:正确的日志主机的IP地址。如果您输入的是环回地址,系统将提示此地址无效

缺省情况下,S1600不向日志主机输出日志信息

设置信息中心的日志级别

info-center loghost level level

您可以通过此命令来指定不高于某指定级别的日志信息才发送到日志主机

level:表示日志级别,取值范围为0~7,相关描述请参见表7-20。缺省情况下,级别为7

取消向日志主机输出日志信息

undo info-center loghost ip

-

恢复信息中心的日志级别为缺省值

undo info-center loghost level

-

 

3. 开启/关闭系统信息记录功能

表11-177 开启/关闭系统信息记录功能

操作

命令

说明

进入系统视图

system-view

-

开启日志信息记录功能

info-center logbuffer { enable | level level }

·          enable:记录日志信息,即写入到交换机的日志缓冲区中。缺省情况下,此功能处于开启状态

·          level:指定高于某等级的日志信息才被记录,取值范围为0~7,相关描述请参见表7-20。缺省情况下,级别为7

开启告警信息记录功能

info-center trapbuffer enable

enable:记录告警信息,即写入到交换机的告警缓冲区中。缺省情况下,此功能处于开启状态

取消日志信息记录功能

undo info-center logbuffer { enable | level }

-

取消告警信息记录功能

undo info-center trapbuffer enable

-

 

4. 开启/关闭向控制台发送系统信息

表11-178 开启/关闭系统信息记录功能

操作

命令

说明

进入系统视图

system-view

-

开启向控制台发送系统信息

info-center terminal logging { enable | level level }

·          enable:向控制台发送系统信息。缺省情况下,此功能处于开启状态

·          level:指定高于某等级的系统信息才向控制台发送,取值范围为0~7,相关描述请参见表7-20。缺省情况下,级别为5

关闭向控制台发送系统信息

undo info-center terminal logging { enable | level }

-

 

5. 开启/关闭控制台对系统信息的显示功能

为了能在控制台上观察到系统信息,您还需要开启控制台对相应信息的显示功能。

表11-179 开启/关闭控制台对系统信息的显示功能

操作

命令

说明

开启控制台对调试信息的显示功能

terminal debugging

此命令需在用户视图下执行

缺省情况下,控制台对调试信息的显示功能处于禁用状态

开启控制台对日志信息的显示功能

terminal logging

此命令需在用户视图下执行

缺省情况下,控制台对日志信息的显示功能处于开启状态

开启控制台对告警信息的显示功能

terminal trapping

此命令需在用户视图下执行

缺省情况下,控制台对告警信息的显示功能处于开启状态

关闭系统信息的显示功能

undo terminal { debugging | logging | trapping }

-

 

6. 信息中心的显示和调试

表11-180 信息中心的显示和调试

操作

命令

说明

显示系统日志的配置及缓冲区记录的信息

display info-center

显示命令可在任意视图下执行

显示交换机日志缓冲区记录的日志信息

display logbuffer

[ size buffersize | level level ]

display logbuffer reverse

[ size buffersize | level level ]

显示命令可在任意视图下执行

·          buffersize:指定日志信息显示的条数

·          level:指定日志信息显示的等级

·          reverse:选中该关键字后,系统会将显示的日志信息进行逆向排序,即将最近发生的日志信息显示在前面,早期发生的日志信息显示在后面

显示交换机告警缓冲区记录的告警信息

display trapbuffer [ size buffersize ]

display trapbuffer reverse [ size buffersize ]

显示命令可在任意视图下执行

·          buffersize:显示日志信息的条数

·          reverse:选中该关键字后,系统会将显示的日志信息进行逆向排序,即将最近发生的日志信息显示在前面,早期发生的日志信息显示在后面

清除日志缓冲区内的信息

reset logbuffer

此命令需在用户视图下执行

清除告警缓冲区内的信息

reset trapbuffer

此命令需在用户视图下执行

 

例:显示系统日志的配置及缓冲区记录的信息。

<H3C> display info-center

Information Center: enabled

Terminal logging: enabled

         level: 5 (Notice)

Log host:

    IP:0.0.0.0

    level: 7 (Debug)

Log buffer: enabled

    level: 7 (Debug)

Trap buffer: enabled

表11-181 display info-center显示信息描述表

字段

描述

Information Center

显示信息中心功能状态

Terminal logging

显示向控制台发送系统信息的功能状态及系统信息级别

Log host

显示日志主机的IP地址及日志级别

Log buffer

显示日志信息记录功能状态及日志级别

Trap buffer

显示告警信息记录功能状态

 

11.14.5  服务器管理

1. 开启/关闭HTTP服务器

当您关闭了HTTP服务器后,将不能通过Web设置页面对S1600进行操作。

表11-182 开启/关闭HTTP服务器

操作

命令

说明

进入系统视图

system-view

-

关闭HTTP服务器

ip http shutdown

缺省情况下,HTTP服务器处于开启状态

开启HTTP服务器

undo ip http shutdown

-

 

2. 开启/关闭TELNET服务器

当您关闭了Telnet服务器后,将不能通过Telnet方式登录到S1600进行命令行操作。

表11-183 开启/关闭TELNET服务器

操作

命令

说明

进入系统视图

system-view

-

关闭Telnet服务器

ip telnet shutdown

缺省情况下,Telnet服务器处于开启状态

开启Telnet服务器

undo ip telnet shutdown

-

 

11.14.6  设置管理PC控制

1. 设置管理PC

表11-184 设置管理PC

操作

命令

说明

进入系统视图

system-view

-

新建管理PC配置

ip authorized-managers id id-number start-ip-address end-ip-address [ telnet | http | snmp | all ]

·          id-number:管理PC配置记录的ID

·          start-ip-address:管理PC网段的起始IP地址

·          end-ip-address:管理PC网段的结束IP地址

·          all:所有服务类型

删除单条管理PC记录

undo ip authorized-managers id id-number

id-number:管理PC配置记录的ID

删除所有管理PC记录

undo ip authorized-managers all

all : 所有管理PC控制记录

 

2. 显示管理PC控制

表11-185 显示管理PC控制

操作

命令

说明

显示所有管理PC的配置记录

display ip authorized-managers

显示命令可以在任意视图下执行

 

11.15  系统调试

11.15.1  系统调试功能简介

S1600提供了种类丰富的调试功能,对于S1600所支持的绝大部分协议和功能,系统都提供了相应的调试功能,可以帮助用户对错误进行诊断和定位。

调试信息的输出可以由两个开关控制:

·              协议调试开关,控制是否输出某协议的调试信息;

·              屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。

二者关系如下图所示:

图11-1 调试信息输出示意图

 

用户可以通过debuggingterminal debugging命令来控制以上两种开关。

11.15.2  启用/禁用协议调试开关

可以使用debugging命令来控制单个或全部协议调试开关。

表11-186 启用和禁用协议调试开关

操作

命令

说明

启用协议调试开关

debugging { all | module-name }

·          此命令需在用户视图下执行

·          all:表示启用或禁用全部调试开关

·          module-name:指定协议模块名。可选模块名包括:arp、dhcp-alloc、drv、igmp-snooping、ip等。具体调试命令的使用和调试信息的格式介绍参见相关章节

·          缺省情况下,系统关闭全部调试开关

禁用协议调试开关

undo debugging { all | module-name }

-

 

相关配置可参考命令display debuggingterminal debugging

说明

由于调试信息的输出会影响系统的运行效率,请勿轻易启用调试开关,尤其慎用debugging all命令,在调试结束后,应禁用全部调试开关。

 

11.15.3  启用/关闭终端显示调试信息功能

表11-187 启用/关闭终端显示功能

操作

命令

说明

启用终端显示调试信息功能

terminal debugging

·          此命令需在用户视图下执行

·          缺省情况下,系统禁用终端显示功能

禁用终端显示调试信息功能

undo terminal debugging

-

 

如果用户需要在终端上显示调试信息,需要先执行terminal debugging命令。

11.15.4  显示调试开关状态

表11-188 调试开关状态显示

操作

命令

说明

显示调试开关状态

display debugging

在任意视图下均可执行

 

11.15.5  启用/禁用各命令调试开关

在以上各章节中,分别介绍了各相关命令的调试方法。以下几条命令在前面的章节中没有涉及,所以在此处补充介绍。

1. 启用/禁用arp调试开关

表11-189 arp调试开关的启用/禁用

操作

命令

说明

启用arp调试开关

debugging arp packet

·          用户视图下执行

·          缺省情况下,系统禁用arp调试信息开关

禁用arp调试开关

undo debugging arp packet

-

 

例:启用arp调试开关。

<H3C> debugging arp packet

Sending:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,

        arp_op = 1 , arp_spa = 192.168.0.233, arp_tpa = 192.168.0.55,

        arp_sha = 08:F0:1F:00:BC:15, arp_tha = 00:00:00:00:00:00

 

receiving:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,

        arp_op = 2 , arp_spa = 192.168.0.55, arp_tpa = 192.168.0.233,

        arp_sha = 00:0D:88:F6:4B:A7, arp_tha = 08:F0:1F:00:BC:15

表11-190 debugging arp显示信息描述表

字段

描述

arp_hrd

硬件类型

arp_pro

协议类型

arp_hln

硬件地址长度

arp_pln

协议地址长度

arp_op

判断报文是请求报文或回复报文

arp_spa

发送者IP地址

arp_tpa

目标IP地址

arp_sha

发送者硬件地址

arp_tha

目标硬件地址

 

2. 启用/禁用drv调试开关

表11-191 drv调试开关的启用/禁用

操作

命令

说明

启用drv调试开关

debugging drv packet

·          用户视图下执行

·          缺省情况下,系统禁用drv调试信息开关

禁用drv调试开关

undo debugging drv packet

-

 

说明

对于底层发送的报文,显示的调试信息包括源端口、报文长度以及报文的前40字节的内容;对于底层接收的报文,显示的调试信息包括目的端口、报文长度以及报文的前40字节的内容。

 

11.15.6  网络连通性调试

您可以使用ping命令测试本交换机与其他网络设备的连通性。ping命令可以在任意视图下使用。

表11-192 ping命令

操作

命令

说明

支持IP协议ping

ping [-c count ] [ -s packetsize ] ip-address

·          任意视图下执行

·          count:ping的次数,取值范围为1~4294967295,缺省为5次

·          ip-address:对端设备的IP地址

·          packetsize:报文中数据字节数,取值范围为20~1472,缺省为56字节

 

例:检查网络连接及主机是否可达,设置ping的次数为8次,报文中数据字节数64字节。

<H3C>ping -c 8 -s 64 192.168.0.1

  PING 192.168.0.100: 64  data bytes, press CTRL_C to break

    Reply from 192.168.0.100: bytes=64 Sequence=1 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=2 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=3 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=4 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=5 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=6 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=7 ttl=64 time < 10 ms

    Reply from 192.168.0.100: bytes=64 Sequence=8 ttl=64 time < 10 ms

 

  --- 192.168.0.100 ping statistics ---

    8 packet(s) transmitted

    8 packet(s) received

    0.0 % packet loss

    round-trip min/avg/max = 0/0/0 ms

说明

命令执行结果输出包括:

·          对每一ping报文的响应情况,如果超时仍没有收到响应报文,则输出“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。

·          最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、最大和平均值。

 


12 附录 - VLAN设置工具

说明

·          您需要从H3C网站(http://www.h3c.com)获取VLAN设置工具,详细获取路径如下:首页>服务>软件下载>交换机产品>H3C S1600 系列以太网交换机,单击对应型号交换机的链接进入工具下载界面下载软件。

·          在运行VLAN设置工具前,需要在计算机上先安装“WinPcap”软件,该软件为开源软件,请用户自行下载。

 

VLAN设置工具是和S1600的VLAN自动设置功能配合使用的。当S1600的VLAN自动设置功能开启后(详细设置请参见“7.1.5  VLAN自动设置”),您可以通过VLAN设置工具来设置并获取酒店房间与S1600端口的对应关系,便于排查酒店布线结构。

操作步骤如下:

(1)      进入酒店客房房间,将管理计算机与相应的网络接口相连;

(2)      双击“WinPcap”应用程序,根据向导完成该软件的安装;

(3)      双击图标,打开“VLAN设置工具”应用程序,如图12-1所示;

图12-1 VLAN设置工具

 

(4)      选择对应的计算机网卡,单击<搜索设备>按钮,若网络连接正常,即可搜索到与该计算机相连接的S1600设备,并显示其相关信息,包括:S1600的型号、IP地址、房间对应的端口号等;

(5)      在“房间号”文本框中输出入当前的房间号,单击<设置房间>按钮,即可将房间对应的端口加入到房间号对应的VLAN中。

说明

·          单击<保存设置>按钮,即可对当前的设置进行保存。

·          单击<清空信息>按钮,即可清空页面中的“配置信息”列表框。

 


13 附录 - 故障排除

本手册只介绍简单的故障处理方法,如仍不能排除,请及时拨打热线(400-810-0504)联系我们,我们将会在最短的时间内帮您解决问题。

表13-1 故障排除

常见问题

故障排除

Power灯不亮

1.      请检查电源线连接正确

2.      请检查电源线插头是否插紧

端口指示灯不亮

1.      请检查网线与S1600的以太网端口连接正确

2.      请更换好的网线

不能通过Web设置页面登录和管理S1600

1.      Ping S1600的管理IP地址(S1600缺省为192.168.0.234)来检查管理计算机与S1600是否连通。若不通:

·          如果是本地配置,请检查管理计算机的IP地址是否与S1600处于在同一网段

·          如果是远程配置,请确保管理计算机和S1600路由可达

2.      S1600允许同时登录的用户数已经达到最大值(最多允许5个不同IP地址的用户使用同一帐号登录),请稍后再试

3.      通过观察指示灯的状态来检查线缆连接的正确性

4.      确认管理计算机所连接的S1600端口处于打开状态,且属于管理VLAN

5.      请检查Web浏览器是否设置代理服务器或拨号连接,若有,请取消设置

6.      配置完管理计算机的本地网络地址后,请尝试禁用、启用本地网络

网络掉线

1.      询问您的网络服务供应商线路是否在存在问题

2.      检查网络物理连接,观察S1600的端口指示灯是否正常,或采取更换好的网线、尝试使用S1600其它端口、升级计算机网卡驱动等

3.      请检查您网络中的客户端是否存在病毒(常见的为ARP攻击或者ARP欺骗),并确认S1600是否已经做了IP/MAC绑定,每台客户端是否也已绑定了网关地址

 


14 附录 - 缺省配置

表14-1列出了S1600的一些重要的缺省配置信息,供您参考。

表14-1 S1600缺省配置

选项

缺省配置

系统

登录Web的用户名/密码

admin/admin

IP地址

IP地址:192.168.0.234

子网掩码:255.255.255.0

MAC地址表项老化时间

300秒

端口

端口状态

启用

端口速率

自协商

端口双工模式

自协商

端口优先级

0

流量控制

关闭

广播风暴抑制

100%

端口汇聚

端口不汇聚

端口镜像

不镜像

端口限速

不限速

端口链路类型

Access

VLAN

管理VLAN

VLAN 1

VLAN功能模式

802.1Q VLAN

MAC绑定

无绑定项

QoS

优先级类型

COS

调度模式

WRR

队列权重

队列1、队列2、队列3、队列4的权重比为1:2:4:8

STP

全局STP功能

关闭

端口STP功能

关闭

安全专区

防ARP攻击

关闭

防蠕虫病毒攻击

关闭

防DOS攻击

关闭

防MAC地址攻击

不限制

防ARP欺骗

关闭

四元绑定

绑定项为空

全局802.1X功能

关闭

端口802.1X功能

关闭

SNMP

SNMP Agent

关闭

SNMP Trap

开启

 


15 附录 - 产品术语

表15-1 术语表

术语

英文全称

中文名称

含义

1000Base-T

-

-

1000Mbit/s基带以太网规范,使用四对5类双绞线连接,可提供高达1000Mbit/s的传输速率

100Base-TX

-

-

100Mbit/s基带以太网规范,使用两对5类双绞线连接,提供最大100Mbit/s的传输速率

10Base-T

-

-

10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,提供最大10Mbit/s传输速率

Auto-Negotiation

-

自协商

使交换机等设备两端按照最大的性能来自动协商工作速率和双工模式

ACL

Access Control List

访问控制列表

通过配置对报文的匹配规则和处理操作来实现包过滤的功能

ARP

Address Resolution Protocol

地址解析协议

用于将网络层的IP地址解析为数据链路层的物理地址

BPDU

Bridge Protocol Data Unit

桥协议数据单元

STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程

Broadcast

-

广播

指在IP子网内广播报文,所有在子网内部的主机都将收到这些报文

CFI

Canonical Format Indicator

准格式指示位

标识MAC地址是否以标准格式进行封装

CLI

Command Line Interface

命令行接口

可通过超级终端连接设备串行接口来管理,也能telnet远程登录管理,在初始化配置时,往往要用到前者

CoS

Class of Service

服务等级

封装在以太网报头的一个3位域内,可以将报文分为8个级别。取值范围:0~7

CRC

Cyclic Redundancy Check

循环冗余校验

一种检验数据帧正确性的技术

CSMA/CD

Carrier Sense Multiple Access with Collision Detection

载波侦听多路访问/冲突检测

使用载波侦听机制和冲突检测的网络控制协议。在发送数据之前进行侦听,确保线路空闲,减少冲突机会;边发送边检测,当检测到线路上已经有数据在传输,就停止发送当前需要发送的数据,等待一个随机时间后再发送

Data-link Layer

-

数据链路层

位于ISO/OSI参考模型第二层,负责在节点间的线路上通过检测、流量控制和重发等一系列手段无差错地传送以帧为单位的数据,使得从它的上一层(网络层)看起来是一条无差错的链路

DSCP

Differentiated Services Code Point

差分服务编码点

封装在IP报文头的一个6位域中,可以将报文分为64个级别。取值范围:0~63

DHCP

Dynamic Host Configuration Protocol

动态主机配置协议

为网络中的主机动态分配IP地址、子网掩码、网关等信息

FCS

Frame Check Sequence

帧校验序列

以太网帧域,占4个字节,存储CRC校验和值

Full Duplex

-

全双工

全双工是指接收与发送数据时使用两个相互独立的通道,可同时进行,互不干扰

Half Duplex

-

半双工

半双工是指接收与发送共用一个通道,同一时刻只能发送或只能接收,所以半双工可能会产生冲突

HTTP

Hypertext Transfer Protocol

超文本传输协议

超文本传输协议定义了信息如何被格式化、如何被传输,以及在各种命令下服务器和浏览器所采取的响应。该协议主要用于从WWW服务器传输超文本到本地浏览器

IGMP

Internet Group Management Protocol

互联网组管理协议

TCP/IP协议族中负责IP组播成员管理的协议,用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系

IGMP Querier

Internet Group Management Protocol Querier

IGMP查询器

在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据

IGMP-Snooping

Internet Group Management Protocol Snooping

IGMP侦听

运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组

IP

Internet Protocol

网际协议

网际协议是开放系统互联模型(OSI model)的一个主要协议,也是TCP/IP协议中完整的一部分。它主要的任务有两个:一是寻址,二是管理分割数据片

LACP

Link Aggregation Control Protocol

链路汇聚控制协议

一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路汇聚控制协议数据单元)与对端交互信息

LAN

Local Area Network

局域网

局域网是指将位于相对有限区域(例如,一幢建筑物)内的一组计算机、打印机和其他设备连接起来的通讯网络。LAN 允许任何连接的设备都能与其上的其他设备交互

LLDP

Link Layer Discovery Protocol

链路层发现协议

LLDP提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV,并封装在LLDPDU中发布给与自己直连的邻居

LLDPDU

Link Layer Discovery Protocol Data Unit

链路层发现协议数据单元

LLDPDU就是封装在LLDP报文数据部分的数据单元。在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送

MDI/MDI-X

-

-

MDI/MDI-X自适应技术使不同的设备(如集线器-集线器或集线器-交换机)可以利用常规的UTP或STP电缆实现背靠背的级联

Multicast

-

组播

组播是点到多点的传输方式,在IP网络中将报文发送到网络中的某个组播组。通常,IPTV等直播节目都使用组播方式

MTU

Maximum Transmission Unit

最大传输单元

-

NAS

Network Access Server

网络接入服务器

本地用户接入远程网络的设备

OID

Object Identifier

对象标识

-

PD

Powered Device

受电设备

接受PSE供电的设备

PI

Power Interface

电源接口

PSE/PD与网线的接口,也就是RJ-45接口

PoE

Power over Ethernet

以太网供电

PoE是指设备通过以太网电口,利用双绞线对外接PD进行远程供电

PSE

Power-Sourcing Equipment

供电设备

供电设备由电源和PSE功能模块构成。可实现PD检测、PD功率信息获取、远程供电、供电监控、设备断电功能

PVID

Port VLAN ID

端口VLAN标识符

缺省VLAN ID

QoS

Quality of Service

服务质量

服务质量是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行

RADIUS

Remote Authentication Dial-In User Service

远程认证拨号用户服务

一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中

SFP

Small form Factor Pluggable

小封装可插拔

一种光接口类型,支持光模块热插拔

SNAP

Subnetwork Access Protocol

子网访问协议

-

SNMP

Simple Network Management Protocol

简单网络管理协议

用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告

STP

Spanning Tree Protocol

生成树协议

根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生

TCI

Tag Control Information

标签控制信息

-

TCP

Transmission Control Protocol

传输控制协议

一种面向连接的、可靠的传输层协议

TLV

Type/Length/Value

类型/长度/值

TLV是组成LLDPDU的单元,每个TLV都代表一个信息

TTL

Time To Live

生存时间

-

TPID

Tag Protocol Identifier

标签协议标识符

标识本数据帧是带有VLAN Tag的数据帧

UTP

Unshielded Twisted Pair

非屏蔽双绞线

非屏蔽双绞线。双绞线外部没有屏蔽介质

UDP

User Datagram Protocol

用户数据报协议

一种面向无连接的、不可靠的传输层协议

VLAN

Virtual Local Area Network

虚拟局域网

虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术

VID

VLAN ID

VLAN标识符

-

WRR

Weighted Round Robin

加权循环调度

用户可以根据需要定义每个队列占用整个端口的带宽权重,每个端口队列按照定义的权重进行报文的轮循转发,保证每个队列都有发送报文的机会

HQ-WRR

High Queue-WRR

高优先级队列优先-加权轮循调度

HQ-WRR调度模式在WRR的基础上,在输出队列中选择某个队列为高优先级队列。如果各个队列的占用的带宽超过了端口的能力,交换机首先保证高优先级队列的报文优先发送出去,然后对其余队列实行WRR调度

WAN

Wide Area Network

广域网

指的是能在一定的地理区域内为用户服务的数据通信网络,此网络通常使用由公共设备商提供的传输设备。帧中继和X.25都是广域网的例子

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们