- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C园区交换机SmartMC最佳实践-6W103-整本手册.pdf (3.94 MB)
H3C园区交换机SmartMC最佳实践
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
1.13.1 使用DHCP Option55指纹识别终端配置准备
1.13.2 使用HTTP UserAgent指纹识自动识别终端配置准备
5.2 SmartMC是否兼容其它厂商设备,如果兼容需要满足什么条件?
5.3 SmartMC网络必须在VLAN 1内建立吗?可否修改为其他VLAN?
5.4 SmartMC网络建立后,哪些配置可以通过SmartMC同步?
随着网络规模的扩大,网络边缘需要部署大量的接入设备,园区网络的复杂度和运维成本越来越高。用户需要一个简单易用、低成本、高效的网络管理平台,来管理日益复杂的园区网络。
SmartMC(Smart Management Center,智能管理中心)是一个集成化的网络管理平台,用户仅需使用浏览器登录交换机设备的Web页面,即可进入SmartMC网络管理平台。SmartMC集成了大量网络管理、运维功能,方便用户对设备进行批量管理,很好地解决了大量设备的集中管理问题。
用户只需登录SmartMC网络管理平台,通过简单的Web操作,即可实现对大量网络设备的统一管理、维护,有效地解决了中小型园区网的运维问题。
在SmartMC网络中,包括如下角色:
· 管理设备:负责管理成员设备,也可称之为TM(Topology master)。SmartMC网络中有且仅有一台管理设备,用户通过安装在管理设备上的SmartMC网络管理平台来管理成员设备。
· 成员设备:被管理的设备,也可称之为TC(Topology client)。SmartMC网络中最多可以管理的成员设备数量与设备型号有关,请以设备实际情况为准。
· 文件服务器(File server):负责存储成员设备的启动软件、配置文件等。成员设备根据管理设备下发的指令,自动从文件服务器下载所需文件。文件服务器可以是独立的设备,也可以搭建在管理设备或成员设备上,为了减轻管理设备和成员设备的负担不建议将文件服务器搭建在其上。
· 用户主机:用于通过浏览器访问管理设备的Web页面。用户在Web页面点击导航栏中的“SmartMC”,即可进入SmartMC网络管理平台。
图1-1 SmartMC网络基本框架
SmartMC网络管理平台集成了如下功能:
· 智能管理:包括切换设备角色、网络拓扑收集、配置出接口和以太网链路全自动聚合等功能。
· 智能运维:包括升级成员设备、批量备份配置文件、一键部署VLAN、端口智能识别、资源监控和替换故障设备等功能。
· 可视化:包括网络拓扑管理、添加成员设备、查看设备列表和查看设备状态等功能。
· 智能业务:包括创建用户、激活用户等功能。
通过搭配使用上述各功能,可以达到如下目的:
· 管理SmartMC网络拓扑。
· 批量管理成员设备。
图1-2 SmartMC网络管理平台—智能管理
图1-3 SmartMC网络管理平台—智能运维
图1-4 SmartMC网络管理平台—可视化
图1-5 SmartMC网络管理平台—智能业务
1.5 SmartMC网络部署、1.11 摄像头监控、1.12 音视频监控和1.13 接入终端设备自动识别将基于如下网络拓扑演示SmartMC功能。其中:
· 通过“SmartMC > 配置向导”配置TM。
· TC 1、TC 2和TC 3自动加入到SmartMC网络,也可以手动添加进来。
· AP和管理设备、成员设备在VLAN 1内互通,下挂在TC 3下。TM开启AC功能,TC 3作为PoE供电设备,为AP和摄像头供电。
· 两台摄像头在TC 3上线、一台摄像头在TC 1上线,在TM上开启摄像头监控功能。
· 在TC 1、TC 2和TC 3上都开启音视频监控功能。
· 在TM上开启接入终端自动识别功能。
· 在TM上开启整网设备的健康宝功能,查看设备的健康度。
· 在TM上开启端口认证功能,对接入用户进行认证。
图1-6 SmartMC功能演示拓扑
请执行如下步骤,完成SmartMC网络的自动部署。
(1) 配置管理设备。
a. 登录管理设备的Web管理页面,如图1-7所示点击导航栏中的“SmartMC”,进入SmartMC网络管理平台。
图1-7 进入SmartMC网络管理平台
b. 配置管理IP。管理IP是管理设备VLAN接口1的IP地址。
c. 配置出接口。将管理设备上连接本PC的接口配置为出接口。配置出接口后,可以方便用户访问成员设备的Web管理页面。
图1-9 将设备配置为管理设备—配置出接口
d. 配置管理用户。管理用户是管理设备上的本地用户,可以是已经存在的本地用户,也可以新建一个本地用户。
图1-10 将设备配置为管理设备—配置管理用户
e. 确认配置。在“完成”页面,检查前几步所作的配置,完成管理设备的配置。
(2) 配置成员设备。
空配置启动成员设备,成员设备会自动加入到SmartMC网络中。
SmartMC网络部署成功后,可以在“可视化 > 拓扑”页面查看部署成功后的网络拓扑,包括管理设备和成员设备,具体示例如下图所示。
图1-12 SmartMC网络拓扑
对于没有自动加入到SmartMC网络的成员设备,用户可以进入“可视化 > 拓扑”页面,点击<添加设备>按钮,将该设备手动添加进来,具体示例如图1-13所示。添加该设备前,请确认已经对该设备下发如表1-1所示的配置。
|
配置项 |
命令行 |
|
配置VLAN接口1的IP地址,IP地址要和管理设备的VLAN接口1在同一网段内 |
· interface vlan-interface 1 · ip address ip-address { mask-length | mask } |
|
开启HTTP、HTTPS服务 |
· ip http enable · ip https enable |
|
开启Telnet服务 |
telnet server enable |
|
开启基于HTTP的NETCONF over SOAP功能 |
netconf soap http enable |
|
开启全局LLDP功能 |
lldp global enable |
|
配置本地用户admin。其密码为admin,服务类型为Telnet、HTTP和HTTPS,RBAC角色为network-admin。设置密码前,先降低设备对本地用户密码复杂度的要求 |
· password-control length 4 · password-control composition type-number 1 type-length 1 · undo password-control complexity user-name check · local-user admin · password simple admin · service-type telnet http https · authorization-attribute user-role network-admin |
|
配置VTY用户线的认证方式为scheme |
· line vty 0 63 · authentication-mode scheme |
|
配置设备支持SNMP版本为SNMPv2c、SNMP只读团体名为public |
· snmp-agent sys-info version v2c · snmp-agent community read public |
为了便于使用替换故障成员设备、升级设备、批量备份配置文件、批量下发配置等功能,SmartMC网络部署成功后,请配置文件服务器。用户可以进入“智能管理 > 文件服务器”页面,配置文件服务器,具体示例如图1-14所示。
为便于对端口进行批量配置,以简化设备管理,可以为成员设备创建VLAN,将成员设备中所有未连成员设备和管理设备的Access类型的端口加入到VLAN中。
对于连接离线设备的Access类型端口,需要手动清除离线设备后再执行本操作。
如果成员设备创建VLAN成功,但是没有成功的向VLAN中添加所有满足条件的端口,则所有满足条件的端口的配置将恢复到创建VLAN前的状态。
一台成员设备创建VLAN失败不会影响其他成员设备的VLAN创建。
(1) 进入“智能运维 > 一键部署VLAN”页面,具体示例如下图所示。
图1-15 一键部署VLAN
(2) 选择操作类型。“部署指定设备”表示为成员设备创建VLAN,“部署SmartMC组”表示为为SmartMC组创建VLAN。
(3) 如果选择了“部署指定设备”,则在列表中勾选成员设备;如果选择了“部署SmartMC组”,则在列表中勾选SmartMC组。然后点击<一键部署VLAN>按钮,在弹出的“一键部署VLAN”对话框中,输入VLAN ID。点击确定,开始为成员设备或SmartMC组一键部署VLAN。
图1-16 输入VLAN ID
(4) 点击<查看部署VLAN>按钮,可以查看创建VLAN的状态。其中,Processing表示成员设备正在创建VLAN;Success表示成员设备创建VLAN成功;Failure. The port xxx is not an access port表示成员设备因端口不是ACCESS口而创建VLAN失败;Failure. xxx not exist表示成员设备因端口不存在而创建VLAN失败。
图1-17 查看部署VLAN状态
使用本功能,用户可以一次将多条配置批量下发给成员设备,不需要登录到成员设备逐条配置,从而可以简化配置过程,节省配置时间。功能处理流程是:
· 用户在管理设备上创建命令行批处理文件,并编辑成员设备需要批量执行的命令行。
· 管理设备通过NETCONF会话,将批量命令下发给成员设备。
· 成员设备批量执行管理设备下发的命令行。
(1) 进入“智能运维 > 批量下发配置”页面。
图1-18 批量下发配置
(2) 选择命令行批处理文件保存的位置。批处理文件可以存在于Flash或文件服务器上。
(3) 新建命令行批处理文件。如果设备上已存在批量处理文件,则直接进行下一步骤。
点击<新建>按钮,在弹出的“新建批量配置文件”对话框中输入文件名和配置内容。完成配置后点击<确定>按钮完成批量配置文件的创建。如下图所示,在配置内容处,输入成员设备需要执行的命令行,每条命令占用一行。设备不检查命令行的正确性,因此,在编辑命令行时,请用户保证命令行的正确性。
图1-19 新建批量配置文件
(4) 选择刚创建的、后缀名为“.cmdset”命令行批处理文件,点击操作列的“
”按钮可以查看或编辑该文件。
图1-20 选择命令行批处理文件
(5) 在“批量下发配置”页面,点击<下发批量配置>按钮,在弹出的“下发批量配置”对话框中,选择下发的对象。如果选择了下发对象为“成员设备”,则可以输入设备ID或设备ID列表;如果选择了下发对象为“SmartMC组”,则可以选择一个或多个SmartMC组。最后点击确定按钮,开始批量下发配置。
图1-21 下发批量配置
(6) 在“批量下发配置”页面,点击<查看下发状态>按钮,可以查看设备执行命令行批处理文件的结果。
图1-22 查看下发状态
批量配置端口功能用于将命令行批处理文件中的配置下发给一个或多个指定的端口(非OLT端口)。
端口批量配置文件中的配置必须全部为端口视图下的配置,否则可能导致配置错误。
命令行批处理文件的内容不能超过8190字符。
配置命令行批处理文件时,设备不检查命令行的正确性,因此,在编辑命令行时,请用户保证命令行的正确性。
配置本功能前,批处理文件必须已存在。创建或修改批处理文件的步骤如下。
(1) 进入“智能运维 > 批量下发配置”页面。
图1-23 进入批量下发配置页面
(2) 选择命令行批处理文件保存的位置。批处理文件可以存在于Flash或文件服务器上。
(3) 新建命令行批处理文件。如果设备上已存在批量处理文件,则直接进行下一步骤。点击<新建>按钮,在弹出的“新建批量配置文件”对话框中输入文件名和配置内容。完成配置后点击<确定>按钮完成批量配置文件的创建。如下图所示,在配置内容处,输入成员设备需要执行的命令行,每条命令占用一行。设备不检查命令行的正确性,因此,在编辑命令行时,请用户保证命令行的正确性。
图1-24 新建批量配置文件
(4) 查看或修改命令行批处理文件。选择刚创建的、后缀名为“.cmdset”命令行批处理文件,点击操作列的“”按钮可以查看或编辑该文件。
图1-25 选择命令行批处理文件
(1) 进入“可视化 > 拓扑”页面,选择开启端口认证的设备,查看设备端口。设备面板中选择端口(非OLT端口)。
图1-26 选择端口
(2) 点击<端口认证>按钮,并在弹出的“批量配置端口”弹框内,双击选择配置文件。点击<确定>按钮,弹出提示框,开始下发配置。
图1-27 选择配置文件
图1-28 批量下发配置提示框
(3) 查看端口配置状态。进入“智能运维 > 端口智能识别”页面,点击<查看端口配置状态>按钮,可以查看批量配置端口功能下发配置文件的执行情况。
图1-29 进入端口智能识别页面
查看收到下发的配置文件,点击操作列的图标,查看配置下发详细情况。下发方式为“手动下发”。
图1-30 查看端口配置状态
图1-31 查看端口配置状态详细情况
有线无线一体化运维管理方案融合了无线网络简易配置、PoE功率可视化等功能,实现了全网拓扑有线、无线融合展示。
在管理设备开启AC功能,具体步骤如下:
(1) 安装融合AC特性包。
融合AC特性包打包在交换机版本压缩包中。在加载融合AC特性包时,融合AC特性包的版本必须和交换机版本匹配。如果还未获取融合AC特性包,请联系H3C技术支持工程师。
(2) 激活融合AC特性包。
install activate feature filename&<1-30> slot slot-number [ test ]
(3) 配置激活的特性包在系统重启后仍处于激活状态。
install commit
(4) 部署License。
需要通过购买License的方式增加可管理AP的数目。有关License安装的详细介绍,请参见《H3C 无线产品License使用指南(Comware V7 V9)》,网址为http://www.h3c.com/cn/home/qr/default.htm?id=607。
当管理设备开启AC功能之后,用户可以进入“智能运维 > 无线网络简易配置”页面,进行如下操作:
· 添加、删除无线服务。
· 开启、关闭AP间二层隔离。
· 开启SmartMC网络中所有设备的PoE功能。
只有管理设备开启AC功能之后,用户才可以进入无线网络简易配置页面。
添加无线服务,默认认证模式为PSK(预共享密钥)。
添加无线服务的步骤如下:
(1) 点击<添加>按钮,打开“添加AP无线服务”页面,具体示例如下图所示。
图1-32 点击<添加>按钮
(2) 配置AP无线服务参数,点击<确定>,具体示例如下图所示。
图1-33 配置AP无线服务参数
、
(3) 添加AP无线服务后,点击<编辑>按钮,可以打开无线服务配置页面,用户可以根据实际需求,对无线服务进行详细的配置。具体示例如图1-34和图1-35所示。
图1-34 点击<编辑>按钮
当有PoE设备接入SmartMC网络时,管理设备可以实时监控PoE供电设备和受电设备的详细信息。用户可以直接进入“可视化 > PoE供电”、“可视化 > PoE受电”页面查看详细信息。具体示例如图1-36和图1-37所示。
图1-36 PoE供电信息
图1-37 PoE受电信息
用户可以点击PoE供电页面的<显示详情>按钮,查看PoE供电详情。PoE供电详情信息如下图所示。
图1-38 PoE供电详情
用户可以点击PoE供电页面的<配置>按钮,打开成员设备的Web管理页面,方便用户对PoE供电设备进行配置管理。
图1-39 成员设备的Web管理页面
在“可视化 > 拓扑”页面我们可以看到SmartMC网络的拓扑,不仅包括交换机设备,还包括AP设备。用户可以点击<展开>,查看AP设备的具体信息;用户可以双击设备图标,查看设备的邻居信息。
图1-40 有线无线拓扑可视化
SmartMC融合了摄像头监控功能,配置摄像头管理信息后,可以在“可视化 > 拓扑”页面对在线、离线摄像头进行拓扑呈现。
进入“智能管理 > 摄像头管理”页面,选择摄像头管理模式为“静态模式”。在该模式下,设备管理员需要在Web页面上指定需要管理的摄像头的MAC地址、MAC地址段等参数,设备通过匹配MAC地址表项,感知摄像头的在线/离线状态。
静态摄像头管理支持单设备管理或批量设备管理,其中:
· 单设备管理用于配置单个摄像头的监控信息。
· 批量设备管理可以批量配置摄像头监控信息,也可以删除所有的配置信息,同时可以查看已有的配置信息。
用户在单设备配置区域,输入MAC地址、VLAN ID,点击<添加>,即可完成单设备管理的配置。
用户点击<导入批量配置>,选择配置文件,点击<确定>,即可实现批量配置摄像头管理信息,具体示例如下图所示。
图1-41 批量配置摄像头管理信息
用户可以点击<查看所有配置>按钮,确认配置是否成功,具体示例如下图所示。
图1-42 查看所有配置
删除摄像头监控配置信息有两种方法,一是通过单设备管理中的删除功能,删除单条配置信息,二是通过批量设备管理中的删除所有配置,将所有的配置信息一次全删除,在此,不再做演示。
进入“智能管理 > 摄像头管理”页面,选择摄像头管理模式为“动态模式”。在该模式下,设备通过ONVIF(Open Network Video Interface Forum,开放型网络视频接口论坛)协议监控ONVIF终端的在线/离线信息。
动态摄像头管理支持ONVIF Probe、ONVIF Snooping和ONVIF Reset功能:
· ONVIF Probe(ONVIF主动检测功能)用于设备主动检测网络中是否存在ONVIF终端。只需要在管理设备上开启本功能。
· ONVIF Snooping(ONVIF侦听功能)用于识别ONVIF终端,以及监控ONVIF终端的上下线。需要在下挂ONVIF终端的管理设备或成员设备上开启。
· ONVIF Reset用于清空指定接口下发现的ONVIF终端信息。设备可重新检测ONVIF终端,并根据ONVIF终端的实际接入情况重新生成终端在线/离线信息。
用户需在管理设备上与摄像头位于同一网段的VLAN接口上开启ONVIF Probe功能,在接入ONVIF终端的管理设备或成员设备上开启ONVIF Snooping功能。
用户在管理设备的ONVIF Probe配置页面点击“
”按钮,在弹出的ONVIF Probe对话框中可开启接口的ONVIF Probe功能,并配置探测周期。开启本功能后,设备会自动检测接口所在的网段是否存在ONVIF终端。
图1-43 ONVIF Probe配置页面
图1-44 开启ONVIF Probe功能
用户在接入ONVIF终端的管理设备或成员设备的ONVIF Snooping配置页面点击“
”按钮,在弹出的ONVIF Snooping对话框中,可开启设备的ONVIF Snooping功能。配置本功能后,设备会自动识别下挂的ONVIF终端,并监控ONVIF终端的上下线。
图1-45 ONVIF Snooping配置页面
图1-46 开启ONVIF Snooping功能
用户在ONVIF Reset配置页面,选择设备ID和接口,点击<确定>按钮,可以清除指定设备指定接口通过ONVIF侦听到的终端信息,之后设备会重新检测ONVIF终端。
图1-47 ONVIF Reset功能
当SmartMC网络监控到摄像头的上下线信息后,在“可视化 > 拓扑”页面展现出来,具体示例如下图所示。
图1-48 摄像头拓扑可视化
用户可以点击<摄像头详细信息>按钮,查看摄像头的详细信息,具体示例如下图所示。
图1-49 摄像头的详细信息
SmartMC融合了音视频监控功能,本功能实现了对音视频会话信息的呈现。
用户可以通过命令行对需要开启音视频监控功能的设备逐个进行配置,也可以通过“智能运维 > 批量下发配置”的方式进行批量配置。
在管理设备和成员设备上开启基于SIP协议的服务质量分析功能,配置方法均为:
(1) 进入系统视图。
system-view
(2) 进入服务质量分析视图。
sqa
(3) 开启基于SIP协议的服务质量分析功能。
sqa-sip enable
缺省情况下,基于SIP协议的服务质量分析功能处于关闭状态。
(4) (可选)配置设备侦听SIP报文的端口号。
sqa-sip port port-number
缺省情况下,设备侦听SIP报文的端口号为5060。
设备侦听SIP报文的端口号必需与网络中SIP协议使用的端口号保持一致。
(5) (可选)配置对指定IP地址范围的SIP通话进行服务质量分析。
sqa-sip filter address start-address end-address
缺省情况下,设备对所有SIP报文进行服务质量分析。
配置本功能后,设备仅对呼叫方或应答方的IP地址在配置的地址范围内的SIP通话进行服务质量分析。
用户可以进入“智能运维 > 批量下发配置”页面,批量配置音视频监控功能。配置步骤如下:
(1) 准备配置文件Config.cfg,并将配置文件保存到文件服务器上。配置文件内容示例如下:
<FTP Server> more Config.cfg
system-view
sqa
sqa-sip enable
sqa-sip port 5066
sqa-sip filter address 192.168.56.1 192.168.56.244
(2) 进入“智能运维 > 批量下发配置”页面,在“命令行批处理文件保存位置”配置项处选择“文件服务器”;在文件列表中选中“Config.cfg”;点击<下发批量配置>按钮,在“下发对象”配置项处选择“成员设备”,在“设备ID”配置项处,输入对设备ID的起止编号(1-3)。点击<确定>。具体示例如下图所示。
图1-50 批量配置音视频监控功能
(3) 点击<查看下发状态>按钮,确认批量配置下发结果。在下发状态弹出框中,用户可以点击操作列的右向箭头,进一步确认配置结果。具体示例如下图所示。
图1-51 确认批量配置下发结果
用户可以进入“可视化 > 音视频监控”页面,查看音视频监控详细信息,用户可以通过MOS值判断会话质量,具体示例如下图所示。
图1-52 查看音视频监控信息
TC ID取值为0代表管理设备。
上行MOS值和下行MOS值越高表示会话质量越好。取值为0~1表示会话质量很差,取值为1~2表示会话质量差,取值为2~3表示会话质量一般,取值为3~4表示会话质量良好,取值为4~5表示会话质量很好,取值为“NA”表示MOS值获取失败。
接入终端识别功能是管理和成员设备根据终端上线报文中指定字段(即指纹)的值自动查询指纹库,如果查询成功,设备会认为终端上线,记录上线终端的MAC地址、种类和厂商等信息,并将终端的信息发送给管理设备,由管理设备统一显示。目前支持自动识别的终端包括手机、平板、笔记本电脑、路由器等。
目前设备支持通过以下指纹类型来识别终端:
· DHCP Option55指纹:DHCP请求参数列表选项,终端利用该选项指明需要从服务器获取哪些网络配置参数。
· HTTP UserAgent指纹:属于HTTP请求报文头域的一部分,用于携带终端访问Web页面时所使用的操作系统(包括版本号)、浏览器(包括版本号)等信息。
· MAC地址指纹:终端的MAC地址或终端所属的MAC地址范围。
如果同一个终端同时匹配了多条指纹表项,则缺省的匹配优先级从高到低为:DHCP Option 55指纹>HTTP User Agent指纹>MAC地址指纹。
如果要使用DHCP Option55指纹识别终端,需要在通过命令行开启DHCP Snooping功能,并配置终端的接入端口为信任端口。如果要使用HTTP UserAgent指纹识别终端,需要在终端的接入接口通过命令行配置Portal认证。
静态模式摄像头管理功能的优先级高于接入终端自动识别功能,如果某终端匹配了静态模式摄像头管理功能(即匹配了EPA终端静态识别规则),则优先通过该功能确定的终端信息。有关静态模式摄像头管理功能的详细介绍,请参见“静态模式摄像头管理配置”。
在SmartMC网络中,建议将终端设备连接到成员设备上,配置管理设备的接口工作在DHCP服务器模式,并在成员设备上开启DHCP Snooping功能。终端设备通过DHCP上线时,成员设备可通过DHCP Option55指纹识别终端。
system-view
(2) (可选)配置全局不参与自动分配的IP地址。
dhcp server forbidden-ip start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
缺省情况下,除DHCP服务器接口的IP地址外,DHCP地址池中的所有IP地址都参与自动分配。
(3) 创建DHCP地址池,并进入DHCP地址池视图。
dhcp server ip-pool pool-name
(4) 配置DHCP地址池动态分配的主网段。
network network-address [ mask-length | mask mask ]
缺省情况下,未配置主网段。
(5) (可选)配置动态分配的IP地址的租约有效期限。
expired { day day [ hour hour [ minute minute [ second second ] ] ] | unlimited }
缺省情况下,IP地址租约有效期限为1天。
(6) 退回系统视图。
quit
(7) 开启DHCP服务。
dhcp enable
缺省情况下,DHCP服务处于关闭状态。
(1) 进入成员设备的系统视图。
system-view
(2) 全局开启DHCP Snooping功能。
dhcp snooping enable
缺省情况下,DHCP Snooping功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
此接口为连接终端设备的接口。
(4) 配置端口为信任端口。
dhcp snooping trust
缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口。
在SmartMC网络中,建议将终端设备连接到成员设备上。在成员设备上配置Portal认证,当终端设备通过Portal认证接入SmartMC网络时,成员设备设备可以通过HTTP UserAgent指纹识自动识别终端。
(1) 进入成员设备的系统视图。
system-view
(2) 创建ISP域并进入其视图。
domain isp-name
缺省情况下,存在一个的ISP域,名称为system。
(3) (可选)配置当前ISP域配置缺省的认证方法为local。
authentication default local
缺省情况下,当前ISP域的缺省认证方法为local。
(4) 为Portal用户配置认证方法为本地认证。
authentication portal local
缺省情况下,Portal用户采用当前ISP域的缺省认证方法。
(5) 为Portal用户配置授权方法为本地授权。
authorization portal local
缺省情况下,Portal用户采用当前ISP域的缺省授权方法。
(6) 为Portal用户配置计费方法为本地计费。
accounting portal local
缺省情况下,Portal用户采用当前ISP域的缺省计费方法。
(7) 退回系统视图。
quit
(8) 进入Portal Web服务器视图。
portal web-server server-name
(9) 指定Portal Web服务器的URL。
url url-string
缺省情况下,未指定Portal Web服务器的URL。
(10) 退回系统视图。
quit
(11) 进入接口视图。
interface interface-type interface-number
(12) 开启Portal认证,并指定认证方式为直接认证。
portal enable method direct
缺省情况下,接口上的Portal认证功能处于关闭状态。
(13) 引用Portal Web服务器。
portal apply web-server server-name
缺省情况下,接口上未引用Portal Web服务器。
(14) 退回系统视图。
quit
(15) 退回用户视图。
quit
(16) 从TFTP服务器获取认证页面文件。
tftp tftp-server get source-filename
(17) 进入系统视图
system-view
(18) 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。
portal local-web-server http
(19) 配置本地Portal Web服务提供的缺省认证页面文件。设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效
default-logon-page file-name
(20) (可选)配置本地Portal Web服务的HTTP服务侦听的TCP端口号。
tcp-port port-number
缺省情况下,HTTP服务侦听的TCP端口号为80。
指纹库是终端指纹信息的集合,每条指纹表项包含指纹类型、指纹值、终端类型、终端种类、终端厂商和终端使用的操作系统等信息。管理设备上已经预定义了一系列常用的指纹信息,用户也可以根据实际组网需求添加指纹信息。
进入管理设备“智能管理 > 摄指纹库管理”页面,点击<添加>按钮,即可添加自定义指纹信息。
图1-53 指纹库管理
图1-54 添加指纹信息
对于已经上线的终端设备,如果修改指纹库库中该终端的指纹信息,则修改后的指纹信息会在smartmc管理或成员设备在下次识别到终端设备接入后生效。
进入管理设备的“可视化 > 接入终端”页面,点击<开启终端识别>按钮,开启终端识别功能。当终端设备接入SmartMC网络时,成员设备会自动查询指纹信息,如果查询成功,成员设备会认为终端上线,记录上线终端的MAC地址、种类和厂商等信息,并将终端信息发送给管理设备统一显示。
图1-55 接入终端可视化
SmartMC网络管理平台提供健康度功能,在该功能页面管理员可开启SmartMC网络所有成员设备或者指定成员设备的健康宝功能。开启健康宝功能后,健康宝功能会每30分钟自动计算一次设备的健康度,并将计算出的设备健康度以图形化的形式呈现,以便管理员能快速简便、直观地了解设备的健康状况。
根据业界共识和运维经验,设备用一些关键参数来反应设备的运行状态,这些关键参数称为KPI(Key Performance Indicator,关键性能指标)。设备按周期采集这些KPI数据,并按照一定规则将这些KPI数据换算成健康度来反应设备是否运行正常。健康度优,则说明设备状态好;健康度差,则说明设备可能异常。用户可根据健康度详情数据进一步分析并定位故障。
开启设备的健康宝功能后,用户可以通过健康度概况、环境健康度详情、容量健康度详情、性能健康度详情、状态健康度详情页面查看设备的健康度。
SmartMC健康宝功能需要使用KPI(Key Performance Indicator,关键性能指标)模块提供的数据,要使SmartMC健康宝功能正常运行,请先完成KPI数据采集配置。缺省情况下,设备上所有支持KPI采集功能的业务模块都开启了KPI数据采集功能。
关于KPI数据采集配置的详细描述请参见“智能运维配置指导”中的“KPI数据采集配置”。
缺省情况下,设备的健康宝功能处于关闭状态。单击导航树中[可视化]菜单项,选择“健康度”页签,再选择“健康宝配置”页签,进入健康宝配置页面。在健康宝配置页面,用户可以通过以下两种方式开启设备的健康宝功能(多次配置健康宝功能,最新配置生效):
(1) 开启整网健康宝功能
在健康宝配置页面,点击<刷新>按钮,刷新SmartMC网络中所有设备的列表。用户选择<开启>按钮,可以一键开启SmartMC网络中所有设备的健康宝功能。
(2) 开启单设备健康宝功能
在健康宝配置页面,点击<刷新>按钮,刷新SmartMC网络中所有设备的列表。用户勾选需要配置的设备(可以一次选择多个),点击<开启健康宝>按钮,可以一键开启指定设备的健康宝功能。
图1-56 开启健康宝功能
(3) 关闭整网健康宝功能
在健康宝配置页面,点击<刷新>按钮,刷新SmartMC网络中所有设备的列表。用户选择<关闭>按钮,可以一键关闭SmartMC网络中所有设备的健康宝功能。
(4) 关闭单设备健康宝功能
在健康宝配置页面,点击<刷新>按钮,刷新SmartMC网络中所有设备的列表。用户勾选需要配置的设备(可以一次选择多个),点击<关闭健康宝>按钮,可以一键关闭指定设备的健康宝功能。
单击导航树中[可视化]菜单项,选择“健康度”页签,进入健康度概况页面。在“设备ID”参数处选择不同的取值,设备会展示整网或单设备健康度概况。
如果用户选择了“整网”,设备会展示整网健康度概况页面。该页面展示SmartMC网络的整体健康状态。它包括健康度等级、健康度评分和健康度分布。
图1-57 查看整网健康度概况
点击健康度评分折线图右上角的时间段,可以查看最多七天内指定时间段设备记录的健康度评分。
图1-58 自定义时间段
如果用户选择具体的设备编号,设备会展示单设备健康度概况页面。同时,环境健康度详情、容量健康度详情、性能健康度详情、状态健康度详情页面也会对应展示该设备的详情。
· 单健康度概览区域以仪表图的形式展示指定设备的健康度评分及相应的等级。设备的健康度评分等于单设备健康度监控的指标中正常指标项数在总指标项数中的占比,即单设备正常指标项数/单设备所有指标项数*100%。
· 健康度维度区域以雷达图的形式展示指定设备在环境、网络、性能、容量这个四个维度的健康度得分(用百分比表示)。每一维度的百分比值都是该设备该维度中正常指标项数在该设备该维度所有指标项数中的占比,即维度正常指标项数/维度所有指标项数*100%。
· 健康度趋势区域以折线图的形式展示单设备整体健康度得分随时间的变化趋势,以及该时间段单设备整体健康度得分的平均值、最大值、最小值。
· 设备环境仪表图是针对健康度维度雷达图中环境健康度维度的详细展示。健康宝功能根据设备环境健康度监控的指标中正常指标项数在该设备该维度所有指标项数中的占比,即环境正常指标项数/环境所有指标项数*100%,得到设备环境健康度的评级。
· 设备环境趋势区域以折线图的形式展示设备环境健康度得分随时间的变化趋势。
图1-59 查看单设备健康度概况
如果设备有潜在故障,可以点击<潜在故障>按钮,查看故障详情。请根据故障详情页面的问题类型及评分进一步定位。
图1-60 查看潜在故障
点击<查看详情>链接,可以查看单设备健康度的分析维度、分析指标项、健康度评分。如果评分低于60分,则说明设备可能存在故障,需要进一步定位。
图1-61 查看健康度详情
在健康度详情页面,用户可以查看环境、容量、性能和状态维度健康度中关键指标的健康度数据。在健康度详情页面页面的右上角“设备ID”参数处选择您想查看的设备的编号,健康度详情展示区域会显示该设备的健康度详情。同时,这个选择的“设备ID”值会传递给健康度概览和其它健康度详情页面,这些页面也会对应显示该设备的详情。
在环境健康度详情页面可查看环境健康度维度下关键指标(设备、接口、子卡、风扇、电源等指标)的健康度数据。
图1-62 查看环境健康度
在容量健康度详情页面可查看环境健康度维度下关键指标(CPU利用率、内存利用率)的健康度数据。
图1-63 查看容量健康度
在性能健康度详情页面可查看环境健康度维度下关键指标(二层环境、端口/队列拥塞、端口错包、softcar丢包、端口带宽利用率等指标)的健康度数据。
图1-64 查看性能健康度
在状态健康度详情页面可查看环境健康度维度下关键指标(端口状态、路由协议状态、DHCP功能状态、攻击检测业务状态、非法用户检测状态等指标)的健康度数据。
图1-65 查看状态健康度
在健康度功能任一页面的“设备ID”参数处选择取值为具体的设备编号,再点击单设备健康度概况或健康度详情页面右上角的<导出健康度报告>按钮,设备会自动将选中设备的健康度报告导出成一张Excel表格。用户通过该表格可查看单设备健康度评分的具体指标以及选中设备每项指标的评分。如果某指标的评分低于60分,说明该参数可能存在异常,请进一步定位。
图1-66 健康度报告内容实例
用户可以通过配置端口认证控制接入设备对网络资源的访问。缺省情况下,SmartMC网络的端口认证处于关闭状态,即其他设备接入TM或TC设备时无需进行认证即可访问SmartMC网络。
端口认证包括三种认证方式,分别为Web认证、802.1X认证和MAC地址认证。
· Web认证通过Web页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。Web认证通常部署在接入层以及需要保护的关键数据入口处实施访问控制。在采用了Web认证的组网环境中,用户可以主动访问已知的Portal Web服务器网站进行Web认证,也可以在访问任意非Portal Web服务器网站时,被重定向到Portal Web服务器网站,继而开始Web认证。
· 802.1X认证基于802.1X协议。802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。
· MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,无需安装客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被设置为静默MAC。在静默时间内,来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
开启端口认证功能后,SmartMC会自动下发认证相关的配置到端口所在的设备上,并且配置设备同时作为RADIUS服务器和RADIUS客户端。关于SmartMC自动下发的端口认证配置,请参见附录-端口认证自动下发的配置。
端口认证的配置限制如下:
· 为使端口认证功能正常运行,在接入设备的二层以太网接口上开启端口认证功能后,请不要在此接口上开启端口安全功能和配置端口安全模式。
· 成员设备之间相连的端口、管理设备与成员设备相连的端口、OLT端口以及IRF物理端口不能配置端口认证。
· 同一接口不支持配置多种认证方式。如需修改端口的认证方式,请先取消认证,再配置新的认证方式。
· 如果要对大量端口进行端口认证,会耗时较长,建议您分批认证。
· 在使用SmartMC端口认证功能前,请确保IP地址1.1.1.1未被占用,以免造成IP地址冲突,导致端口认证失败。
· 在使用端口认证功能前,请确保名为rs1、rs2以及rs3的RADIUS方案未被占用,以免造成RADIUS方案冲突,导致端口认证失败。
· 如下款型的设备在作为SmartMC管理设备时,不支持配置端口认证功能:S5560S-EI系列、S5560S-SI系列、S5500V3-SI系列、MS4520V2系列(MS4520V2-28S、MS4520V2-24TP交换机)。
(1) 进入“智能业务 > 用户管理”页面创建并激活用户。如果为端口配置了“MAC地址认证”功能,请创建用户名为MAC地址且密码与用户名相同的用户。
图1-67 进入用户管理页面
关于本页面中“授权VLAN”、“授权ACL”、“过期时间”和“备注信息”的详细介绍,请参见产品配套的“安全配置指导”中的AAA”。
图1-68 创建用户
图1-69 创建MAC地址认证的用户
(2) 激活用户。在“用户管理”的“本地用户”页面点击<激活>按钮,并在“激活用户”的弹窗点击确定,即可激活所有的本地用户。
图1-70 查看本地用户
图1-71 确认激活用户
图1-72 查看激活用户
(1) 进入“可视化 > 拓扑”页面,选择开启端口认证的设备,查看设备端口。
图1-73 查看设备端口
(2) 选择一个或多个端口,端口显示为蓝色。点击<端口认证>按钮,在弹出的对话框中,选择认证方式。如果选择认证方式为“无认证”,则表示取消该端口的认证配置。
图1-74 选择端口认证方式
(3) 点击确定,完成端口认证的配置。
图1-75 完成端口认证配置
(4) 配置完成后,端口显示为黄色,鼠标放置在端口上提示端口编号和认证方式。
图1-76 查看拓扑图
本步骤中使用的用户名和密码的配置步骤,请参见创建并激活用户。其中,MAC地址认证使用的用户名和密码,均是接入设备的MAC地址。
配置完成后,当运行HTTP/HTTPS协议的浏览器的客户端从指定端口接入时,设备发起Web认证,并重定向页面到http://1.1.1.1/portal/,用户输入正确的账号和密码之后,即可访问smartmc网络。
配置完成后,当指定MAC地址的设备从端口接入时,设备启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或密码。若该用户认证成功,则允许其通过端口访问网络资源。
配置完成后,当802.1X用户输入正确的用户名和密码,即可访问SmartMC网络。用户设备上必须安装支持802.1X认证的客户端软件。
开启端口认证后,SmartMC会自动向开启认证的设备和端口自动下发相关配置。以开启GE1/0/1接口为例,不同的认证方式下发的配置如下。
(1) 配置LoopBack 3接口IP地址
<Device> system-view
[Device] interface loopback 3
[Device-LoopBack3] ip address 1.1.1.1 255.255.255.255
[Device-LoopBack3] quit
(2) 配置RADIUS服务器
# 配置RADIUS客户端的IP地址为192.168.77.2,共享密钥为密文。
[Device] radius-server client ip 192.168.77.2 key cipher $c$3$mHjMHiLgn93EwyFFdn3B0VsjPBmyzUw=
# 激活当前配置的RADIUS客户端。
[Device] radius-server activate
(3) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证及其通信密钥。
[Device-radius-rs1] primary authentication 192.168.77.2 key cipher $c$3$1EKfg0B/Lxfr8cNMhIsLn2AkPBT9EhA=
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(4) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication lan-access radius-scheme rs1
[Device-isp-dm1] authorization lan-access radius-scheme rs1
[Device-isp-dm1] quit
(5) 配置本地Portal Web服务
# 开启本地Portal Web 服务,并进入基于HTTP协议的本地Portal Web服务视图。
[Device] portal local-web-server http
# 配置本地Portal Web服务提供的缺省认证页面文件为defaultfile.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[Device-portal-local-websvr-http] default-logon-page defaultfile.zip
# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(6) 配置本地Web认证
# 创建名称为user的Web认证本地Web服务器,并进入其视图。
[Device] web-auth server user
# 配置Web认证本地Web服务器的重定向URL为http://1.1.1.1/portal/。
[Device-web-auth-server-user] url http://1.1.1.1/portal/
# 配置Web认证本地Web服务器的IP地址为1.1.1.1,端口号为80。
[Device-web-auth-server-user] ip 1.1.1.1 port 80
[Device-web-auth-server-user] quit
# 指定Web认证用户使用的认证域为dm1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain dm1
# 开启Web认证,并指定引用的Web认证本地Web服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
(1) 配置RADIUS服务器
# 配置RADIUS客户端的IP地址为192.168.77.2,共享密钥为密文。
[Device] radius-server client ip 192.168.77.2 key cipher $c$3$mHjMHiLgn93EwyFFdn3B0VsjPBmyzUw=
# 激活当前配置的RADIUS客户端。
[Device] radius-server activate
(2) 配置使用RADIUS服务器进行MAC地址认证。
# 配置RADIUS方案。
[Device] radius scheme rs2
[Device-radius-rs2] primary authentication 192.168.77.2 key cipher $c$3$hrZlHhTWMvw/3g/PodeD+aPLIYSWH5Q=
[Device-radius-rs2] user-name-format without-domain
[Device-radius-rs2] quit
# 配置MAC地址认证的认证方法为PAP。
[Device] mac-authentication authentication-method pap
# 配置ISP域的AAA方法。
[Device] domain dm2
[Device-isp-dm2] authentication lan-access radius-scheme rs2
[Device-isp-dm2] authorization lan-access radius-scheme rs2
[Device-isp-dm2] quit
# 开启端口GigabitEthernet1/0/1的MAC地址认证。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-authentication
[Device-GigabitEthernet1/0/1] mac-authentication domain dm2
[Device-GigabitEthernet1/0/1] quit
# 配置MAC地址认证用户所使用的ISP域。
[Device] mac-authentication domain dm2
# 开启全局MAC地址认证。
[Device] mac-authentication
(1) 配置RADIUS服务器
# 配置RADIUS客户端的IP地址为192.168.77.2,共享密钥为密文。
[Device] radius-server client ip 192.168.77.2 key cipher $c$3$mHjMHiLgn93EwyFFdn3B0VsjPBmyzUw=
# 激活当前配置的RADIUS客户端。
[Device] radius-server activate
(2) 配置RADIUS方案
# 创建RADIUS方案rs3并进入其视图。
[Device] radius scheme rs3
# 配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-rs3] primary authentication 192.168.77.2 key cipher $c$3$07XPuTCBvom+Tvaj8vuSEU9RnDzID8g=
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-rs3] user-name-format without-domain
[Device-radius-rs3] quit
(3) 配置ISP域
# 创建域dm3并进入其视图。
[Device] domain dm3
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。
[Device-isp-dm3] authentication lan-access radius-scheme radius1 rs3
[Device-isp-dm3] authorization lan-access radius-scheme radius1 rs3
[Device-isp-dm3] quit
(4) 配置802.1X
# 开启端口GigabitEthernet1/0/1的802.1X。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] dot1x
# 配置端口的802.1X接入控制方式为MAC-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device-GigabitEthernet1/0/1] dot1x port-method macbased
# 指定端口上接入的802.1X用户使用强制认证域bbb。
[Device-GigabitEthernet1/0/1] dot1x mandatory-domain dm3
# 关闭802.1X的单播触发功能
[Device-GigabitEthernet1/0/1] undo dot1x unicast-trigger
[Device-GigabitEthernet1/0/1] quit
# 开启全局802.1X。
|
特性 |
取值 |
|
管理设备最多可以管理的成员设备数量 |
以设备实际情况为准 |
|
AP最大数量 |
同管理设备作为融合AC支持的AP数量 |
|
摄像头管理功能可以配置的最大监控规则数 |
512 |
|
管理设备、成员设备支持的最大SIP会话数 |
1000 |
|
管理设备支持监控健康度的设备数量 |
256 |
推荐使用自动部署方式建立SmartMC网络。
成员设备如果需要支持供电请选择PoE机型。
SmartMC网络在VLAN 1内建立,为保证SmartMC功能正常运行,请不要对VLAN 1进行安全性相关配置。
下表仅列举部分型号,未来会有更多的设备支持该功能。关于设备对SmartMC支持情况的详细介绍,请参见各产品配置命令手册。
|
设备类型 |
管理设备 |
成员设备 |
推荐版本 |
补充说明 |
|
S6520-SI |
√ |
√ |
F6509L01及以上版本 |
· 仅F6615及以上版本支持动态摄像头管理(ONVIF)功能 · 仅R6522及以上版本支持融合AC和无线网络简易配置功能 · 仅R6652P02及以上版本支持健康度功能 |
|
S6520X-SI |
√ |
√ |
||
|
S6520X-EI |
√ |
√ |
||
|
S6520X-HI |
√ |
√ |
||
|
S5560X-30F-HI S5560X-54F-HI |
√ |
√ |
R6530P01及以上版本 |
|
|
S5560X-34C-HI S5560X-58C-HI |
√ |
√ |
R6615P03及以上版本 |
|
|
MS4600 |
√ |
√ |
F6509L01及以上版本 |
· 仅R6615P03及以上版本支持动态摄像头管理(ONVIF)及接入终端设备自动识别功能 · 仅R6522及以上版本支持融合AC和无线网络简易配置功能 · 本系列设备暂不支持健康度功能 |
|
S5000-EI |
√ |
√ |
F6509L01及以上版本 |
|
|
S5560X-EI |
√ |
√ |
F6509L01及以上版本 |
· 仅F6615及以上版本支持动态摄像头管理(ONVIF)及接入终端设备自动识别功能 · 仅F6512P01及以上版本支持融合AC和无线网络简易配置功能 · 仅R6652P02及以上版本支持健康度功能 |
|
MS4520V2-30F |
√ |
√ |
F6509L01及以上版本 |
· 仅R6615P03及以上版本支持动态摄像头管理(ONVIF)及接入终端设备自动识别功能 · 仅F6512P01及以上版本支持融合AC和无线网络简易配置功能 · 本系列设备暂不支持健康度功能 |
|
MS4520V2-30C MS4520V2-54C |
√ |
√ |
R6510P01及以上版本 |
|
|
S5500V2-EI |
√ |
√ |
F6509L01及以上版本 |
|
|
S5560S-EI |
√ |
√ |
R6318P01及以上版本 |
· 本系列设备不支持音视频监控(服务质量分析)功能 · 本系列设备不支持融合AC和无线网络简易配置功能 · 仅R6328及以上版本支持静态摄像头管理和接入终端设备自动识别功能 · 仅R6338及以上版本的S5130S-EI系列交换机支持动态摄像头管理(ONVIF)功能,其余系列设备和版本均不支持动态摄像头管理(ONVIF)功能 · 本系列设备暂不支持健康度功能 |
|
S5560S-SI |
√ |
√ |
||
|
S5500V3-SI |
√ |
√ |
||
|
MS4520V2 |
√ |
√ |
||
|
S5130S-HI |
× |
√ |
||
|
S5130S-EI |
× |
√ |
||
|
S5130S-SI |
× |
√ |
||
|
MS4320V2 |
× |
√ |
||
|
MS4320 |
× |
√ |
||
|
MS4300V2 |
× |
√ |
||
|
MS4200 |
× |
√ |
||
|
S5130S-LI |
× |
√ |
||
|
S5120V2-SI |
× |
√ |
||
|
S5120V2-LI |
× |
√ |
||
|
E128C[E152C] |
× |
√ |
||
|
E500C |
× |
√ |
||
|
E500D |
× |
√ |
||
|
S5110V2 |
× |
√ |
||
|
S5110V2-SI |
× |
√ |
||
|
S5000V3-EI |
× |
√ |
||
|
S5000E-X |
× |
√ |
||
|
S3100V3-EI |
× |
√ |
||
|
S3100V3-SI |
× |
√ |
||
|
S1850-X |
× |
√ |
||
|
S5000V5-EI |
× |
√ |
Release 6319P01及以上版本 |
|
|
S5120V3-SI |
× |
√ |
R6329及以上版本 |
|
|
S5120V3-LI |
× |
√ |
R6329及以上版本 |
|
|
S5000X-EI |
× |
√ |
R6329及以上版本 |
|
|
S1850V2-X |
× |
√ |
R6329及以上版本 |
|
|
MS4320V3 |
× |
√ |
R6329及以上版本 |
|
|
S1850V2-EI |
× |
√ |
R6330及以上版本 |
|
|
E500C-F |
× |
√ |
R6338及以上版本 |
|
|
US500S |
√ |
√ |
R3507P09及以上版本 |
|
|
US300S |
× |
√ |
R8305及以上版本 |
|
|
S5130V2-LI |
√ |
√ |
R3507P12及以上版本 |
|
|
S5130V2-SI |
√ |
√ |
R3507P12及以上版本 |
|
|
S12500-S系列 |
√ |
√ |
以产品的实际情况为准 |
|
|
S12500-XS系列 |
√ |
√ |
||
|
S12500G-AF系列 |
√ |
√ |
||
|
S10500系列 |
√ |
√ |
||
|
S10500X系列 |
√ |
√ |
||
|
S7600系列 |
√ |
√ |
||
|
S7600E-X系列 |
√ |
√ |
||
|
S7500E系列 |
√ |
√ |
||
|
S7500E-X系列 |
√ |
√ |
||
|
S7500X系列 |
√ |
√ |
||
|
S7500X-X系列 |
√ |
√ |
||
|
S7500E-XS系列 |
√ |
√ |
||
|
S10500X-G系列 |
√ |
√ |
||
|
S7500X-G系列 |
√ |
√ |
||
|
S7000X系列 |
√ |
√ |
||
|
S5590XP-HI-G系列 |
√ |
√ |
||
|
S6520X-EI-G系列 |
√ |
√ |
||
|
S6520XP-EI-G系列 |
√ |
√ |
||
|
S5560-EI-G系列 |
√ |
√ |
配置SmartMC网络后:
· 在管理设备上执行display smartmc tc命令查看成员设备的信息时,查看不到指定的成员设备,或者查看不到所有的成员设备。
· 对于支持SmartMC网络管理平台的管理设备,用户在Web页面查看网络拓扑时,查看不到指定的成员设备。
本故障的常见原因主要包括:
· 管理设备或成员设备未开启SmartMC功能。
· 管理设备和成员设备之间的VLAN1二层网络不通、VLAN1接口IP地址不在同一个网段。
· 管理设备或成员设备缺少如下一个或多个SmartMC相关配置:
¡ 开启Telnet服务,配置VTY用户线的认证方式为scheme。
¡ 配置本地用户及密码,并配置该用户的服务类型为Telnet、SSH、HTTP和HTTPS,RBAC角色为network-admin。
- 对于管理设备,所设置的本地用户的用户名和密码要和smartmc tm username username password { cipher | simple } string enable命令指定用户名、密码相同,管理设备使用此本地用户进行内部通信。
- 对于成员设备,请设置用户名为admin、密码为admin的本地用户。
¡ 开启基于HTTP的NETCONF over SOAP功能。
¡ 开启基于SSH的NETCONF over SSH功能。
¡ 配置公钥管理,用于SSH方式认证。请在成员设备上设置SSH用户认证方式ssh user admin service-type netconf authentication-type publickey assign publickey -smartmc-publickey-,支持数字签名认证。其中,SSH用户名必须为admin,SSH客户端的公钥的名称必须为-smartmc-publickey-。
¡ 全局开启LLDP功能。
¡ 如果需要使用Web管理成员设备和管理设备,则需要开启HTTP或HTTPS服务,并配置本地用户的服务类型为HTTP或HTTPS。
¡ 如果需要使用手动建立SmartMC网络,则需要在成员设备上配置snmp-agent community read public和snmp-agent sys-info version v2c命令。
关于上述配置的详细介绍,请参见产品配套的SmartMC配置手册。
· 对于通过Web页面手动建立的SmartMC网络,用户需要在Web页面手动添加成员设备,否则成员设备无法在管理设备上线。
(1) 查看故障现象:在SmartMC管理设备上执行display smartmc tc命令查看成员设备的信息:
¡ 如果执行命令后无显示信息,则可能是管理设备故障或所有的成员设备故障,请先排查管理设备故障。如果管理设备无问题,再排查成员设备故障。请继续执行步骤(2)。
¡ 如果查看不到指定的成员设备,但是能查看到别的成员设备,例如:
<Device> display smartmc tc
TCID DeviceType Sysname IpAddress MacAddress Status Version
1 S5560-EI S1 192.168.22.104 201c-e7c3-0300 Normal COMWAREV700R001
则需排查未上线的成员设备故障,请继续执行步骤(3)。
(2) 排查管理设备是否开启SmartMC功能并配置本地用户名和密码,在管理设备上执行display current-configuration | include smartmc命令。
<Device> display current-configuration | include smartmc
smartmc tm username admin password cipher $c$3$8lY/eHKpsgtVs2KVh5SWLr0CQtd5QQAp
i/J053w= enable
¡ 如果执行命令后设备上没有上述显示信息,则需在管理设备是否开启SmartMC功能并配置本地用户名和密码,步骤如下。
<Device> system-view
[Device] smartmc tm username admin password simple hello12345 enable
配置完成后,如果成员设备上线,则故障处理结束。如果仍未上线,则执行步骤(4)。
¡ 如果执行命令后设备上有上述显示信息,则继续执行步骤(4)。
(3) 检查成员设备是否开启SmartMC功能并被配置为成员设备,在成员设备上执行display current-configuration | include smartmc命令。
¡ 如果成员设备上有SmartMC成员设备的相关配置,例如:
<Device> display current-configuration | include smartmc
smartmc tc enable
则继续执行步骤(4)。
¡ 如果成员设备上没有SmartMC成员设备的相关配置,则开启SmartMC功能并配置设备的角色为成员设备。
<Device> display current-configuration | include smartmc
<Device> system-view
[Device] smartmc tc enable
配置完成后,在管理设备上执行display smartmc tc命令查看成员设备的信息,查看该成员设备是否上线:
- 如果成员设备上线,则故障处理结束。
- 如果仍未上线,则继续执行步骤(4)。
(4) 检查SmartMC管理设备和成员设备是否二层互通、VLAN1接口IP地址是否在同一个网段。
在成员设备上执行display smartmc configuration命令上显示管理设备的信息。
¡ 如果成员设备上显示管理设备的IP地址、MAC地址、管理设备名称,则二层互通正常,继续执行步骤(5)。
[Device] display smartmc configuration
Device role : TC
TM IP : 192.168.22.103
TM MAC : 8288-468d-0100
TM sysname : Sysname
¡ 如果成员设备上不显示管理设备的IP地址、MAC地址、管理设备名称,则二层不互通,请处理相关问题。
[Device] display smartmc configuration
Device role : TC
TM IP :
TM MAC :
TM sysname :
处理二层互通问题的步骤如下:
- 检查成员设备与管理设备互联的接口是否是二层接口、接口VLAN ID是否是1。
- 检查管理设备与成员设备的VLAN 1接口IP地址是否在同一个网段。
处理完成后,在成员设备上执行display smartmc configuration命令查看管理设备的信息:
- 如果显示正常,成员设备上线,则故障处理结束。
- 如果显示信息正常,但是成员设备仍未上线,则执行步骤(5)。
(5) 排查管理设备/成员设备故障时,建议在设备上补充SmartMC相关配置:
¡ 检查是否开启Telnet服务,并配置VTY用户线的认证方式为scheme,具体命令为:
<Device> system-view
[Device] telnet server enable
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
¡ (仅管理设备执行本步骤)配置本地用户及密码,并配置该用户的服务类型为Telnet、SSH、HTTP和HTTPS,RBAC角色为network-admin。并且在设置密码前,先降低设备对本地用户密码复杂度的要求。
所设置的本地用户的用户名和密码要和smartmc tm username username password { cipher | simple } string enable命令指定用户名、密码相同,管理设备使用此本地用户进行内部通信。
具体命令为:
[Device] local-user admin
[Device-luser-manage-admin] password-control length 4
[Device-luser-manage-admin] password-control composition type-number 1 type-length 1
[Device-luser-manage-admin] undo password-control complexity user-name check
[Device-luser-manage-admin] password simple hello12345
[Device-luser-manage-admin] service-type telnet http https ssh
[Device-luser-manage-admin] authorization-attribute user-role network-admin
[Device-luser-manage-admin] quit
¡ (仅成员设备执行本步骤)配置本地用户及密码,并配置该用户的服务类型为Telnet、SSH、HTTP和HTTPS,RBAC角色为network-admin。请设置用户名为admin、密码为admin的本地用户。因为管理设备使用缺省用户名admin、密码admin和其建立NETCONF会话,以将其加入到SmartMC网络中。并且在设置密码前,先降低设备对本地用户密码复杂度的要求。具体命令为:
[Device] local-user admin
[Device-luser-manage-admin] password-control length 4
[Device-luser-manage-admin] password-control composition type-number 1 type-length 1
[Device-luser-manage-admin] undo password-control complexity user-name check
[Device-luser-manage-admin] password simple admin
[Device-luser-manage-admin] service-type telnet http https ssh
[Device-luser-manage-admin] authorization-attribute user-role network-admin
[Device-luser-manage-admin] quit
¡ 开启基于HTTP的NETCONF over SOAP功能。具体命令为:
[Device] netconf soap http enable
¡ 开启基于SSH的NETCONF over SSH功能。具体命令为:
[Device] netconf ssh server enable
¡ (仅成员设备执行本步骤)配置公钥管理,用于SSH方式认证。请在成员设备上设置SSH用户认证方式ssh user admin service-type netconf authentication-type publickey assign publickey -smartmc-publickey-,支持数字签名认证。其中,SSH用户名必须为admin,SSH客户端的公钥的名称必须为-smartmc-publickey-。具体命令为:
[Device] ssh user admin service-type netconf authentication-type publickey assign publickey -smartmc-publickey-
¡ 全局开启LLDP功能。具体命令为:
[Device] lldp global enable
¡ 如果需要使用Web管理成员设备和管理设备,则需要开启HTTP或HTTPS服务,并配置本地用户的服务类型为HTTP或HTTPS。具体命令为:
[Device] ip http enable
[Device] ip https enable
[Device] local-user admin
[Device-luser-manage-admin] service-type telnet http https
[Device-luser-manage-admin] quit
¡ 如果需要使用手动建立SmartMC网络,则需要在成员设备上配置snmp-agent community read public和snmp-agent sys-info version v2c命令。具体命令为:
[Device] snmp-agent community read public
[Device] snmp-agent sys-info version v2c
(6) 对于通过Web页面手动建立的SmartMC网络,用户需要在Web页面手动添加成员设备,否则成员设备无法在管理设备上线。具体步骤请参见手动添加成员设备。
(7) 如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
SmartMC是H3C的私有协议,仅部分H3C交换机、路由器等设备支持SmartMC,其他厂商的设备不支持该功能。
设备在VLAN 1内建立SmartMC网络,不使用其他VLAN。为保证SmartMC功能正常运行,
请不要对VLAN 1进行安全性相关配置、不能将Vlan-interface1配置为SmartMC网络的出接口。
成员设备上只需开启SmartMC功能,其他SmartMC相关功能只能在管理设备上配置。SmartMC网络建立后,仅管理设备上的SmartMC相关配置会通过SmartMC网络下发给成员设备。关于SmartMC相关配置的详细介绍,请参见产品配套的SmartMC配置、命令和Web手册。
支持
