- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (1.14 MB)
目 录
H3C S1550E以太网交换机(以下简称S1550E)是为构建高弹性、高智能网络需求而设计的新一代接入级交换机。S1550E提供1个Console口、48个普通10/100Base-TX自适应以太网端口(端口1~48)、1个光电复用上行端口(端口49)和1个10/100/1000Base-T自适应以太网上行端口(端口50)。
& 说明:
端口49为光电复用上行端口。编号均为49的光模块接口(简称光口)和10/100/1000Base-T以太网端口(简称电口)不能同时生效。若同时使用,只有光口有效。
S1550E适用于以下应用场合:
l 企事业用户接入;
l VOD等多媒体服务;
l VOIP等对时延敏感的语音业务;
l 高密度接入。
S1550E具备丰富的功能,请详见下表。
|
项目 |
描述 |
|
VLAN(Virtual Local Area Network,虚拟局域网) |
最多支持512个符合IEEE 802.1q标准的VLAN 最多支持50个基于端口的VLAN(Port-based VLAN) 支持802.1q VLAN下的端口隔离 |
|
QoS(Quality of Service,服务质量) |
支持802.1p、DSCP优先级 支持每端口4个优先级队列 支持WRR、HQ-WRR队列调度 |
|
端口 |
支持广播风暴抑制 支持端口流量控制,符合802.3x标准 |
|
端口汇聚 |
支持6组汇聚组,每组最多8个端口 百兆端口和千兆端口不能混合汇聚 |
|
端口镜像 |
支持基于端口的镜像 |
|
端口统计 |
支持端口报文流量和类型的统计 |
|
端口限速 |
支持对出入端口的报文流量进行限速 |
|
端口安全 |
支持512项静态MAC地址表/MAC地址过滤表(静态MAC地址表、MAC地址过滤表共用512个表项) 最多支持512项端口与MAC地址绑定表项(MAC地址绑定与静态MAC地址共用512个MAC表项) |
|
MAC地址表 |
地址自学习 MAC(Media Access Control)地址自动老化时间可设(缺省为300秒) 最多支持MAC地址:8K |
|
组播 |
支持IGMP Snooping(Internet Group Management Protocol Snooping) |
|
设备管理 |
支持Web网管 支持通过Console口进行管理 支持HGMP V2(Huawei Group Management Protocol)集群管理 支持NDP(Neighbor Discovery Protocol) 支持NTDP(Neighbor Topology Discovery Protocol ) 支持HABP(Huawei Authentication Bypass Protocol) 支持SNMP(Simple Network Management Protocol)V1、V2c 支持Telnet远程管理 |
|
支持调试信息输出 支持配置文件导入导出 支持Syslog(系统日志) 支持Ping(Packet Internet Groper) |
|
|
设备IP地址分配 |
支持在管理VLAN接口上配置IP地址 支持在管理VLAN接口上通过DHCP方式获取IP地址 |
|
安全特性 |
支持管理VLAN 支持两级用户管理,支持高级用户密码保护 支持802.1x协议 支持RADIUS协议 |
本章主要介绍通过命令行对S1550E进行配置前,您需要了解的内容,包括如何搭建配置环境以及如何使用命令行。
如图2-1所示,建立本地配置环境,只需将计算机的串口通过配置电缆与S1550E的Console口连接。
(1) 打开计算机,在计算机Windows界面上选择[开始/(所有)程序/附件/通讯]菜单,单击“超级终端”,建立新的连接(下面以Windows XP的超级终端为例)。如图2-2所示,在“名称”文本框中键入新建连接的名称“switch”,单击<确定>按钮。
(2) 选择连接串口。如图2-3所示,在“连接时使用”下拉列表框中选择进行连接的串口(注意选择的串口应与配置电缆实际连接的串口相一致),单击<确定>按钮。
(3) 设置串口参数。如图2-4所示,在串口的属性对话框中设置波特率为9600bps,数据位为8,奇偶校验为无,停止位为1,数据流控制为无。单击<确定>按钮,进入[超级终端]窗口。
(4) 配置超级终端属性。在超级终端中选择[文件/属性/设置],进入如图2-5所示的属性设置窗口。选择终端仿真类型为VT100或自动检测,单击<确定>按钮,返回[超级终端]窗口。
(5) 将S1550E通电,终端上显示S1550E自检信息,自检结束后提示用户键入回车。回车后会出现命令行提示符(如<H3C>),此时就可以对S1550E进行配置了,具体的配置命令请参考本书中以后各章节的内容。
通过终端Telnet到S1550E需要具备如下条件:
l 在S1550E上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);
l 指定与终端相连的以太网端口属于该管理VLAN(在VLAN视图下使用port命令);
l 如果终端和交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和交换机必须路由可达。
l 在通过Telnet登录S1550E之前,需要在交换机上配置Telnet用户登录密码。具体配置请参见“3.4 3. 设置Telnet用户登录密码”。
下面搭建配置环境。
(1) 将计算机的以太网口通过局域网与S1550E的以太网端口连接。
(2) 在计算机上选择[开始/运行],输入S1550E管理VLAN的IP地址,如图2-6所示。
(3) 终端上显示“Password”,要求输入登录密码,密码输入正确后出现命令行提示符(如<H3C>)。此时就可以对S1550E进行配置了,具体的配置命令请参考本书中以后各章节的内容。
& 说明:
l S1550E允许2个Telnet用户和1个Console口用户同时登录。
l 在通过Telnet配置交换机时,不要删除管理VLAN接口,也不要删除或修改管理VLAN接口的IP地址,否则会导致Telnet连接断开。
S1550E向用户提供一系列的配置命令以及命令行接口,以方便用户配置和管理。命令行接口有如下特性:
l 通过Console口进行本地配置;
l 配置命令分级保护,确保未授权用户无法侵入交换机;
l 用户可以随时键入“?”以获得在线帮助;
l 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障;
l 提供类似Doskey的功能,可以执行某条历史命令;
l 命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。
命令行提供如下视图:
l 用户视图;
l 系统视图;
l 用户界面视图;
l VLAN视图;
l VLAN接口视图;
l 用户组视图;
l 以太网端口视图;
l RADIUS方案视图。
视图关系简图如图2-7所示:
各命令视图的功能特性、进入各视图的命令等细则如表2-1所示,其中端口编号仅供举例参考。
|
视图 |
功能 |
提示符 |
进入命令 |
退出命令 |
|
用户视图 |
查看交换机的运行状态和统计信息,进行简单的系统管理 |
<H3C> |
与交换机建立连接即进入 |
quit断开与交换机连接 |
|
系统视图 |
配置系统参数 |
[H3C] |
在用户视图下键入system-view |
quit返回用户视图 return返回用户视图 |
|
以太网端口视图 |
配置以太网端口参数 |
固定以太网端口视图:在系统视图下键入interface Ethernet0/1 |
quit返回系统视图 return返回用户视图 |
|
|
VLAN视图 |
配置VLAN参数 |
[H3C-Vlan1] |
在系统视图或以太网端口视图下键入vlan 1 |
|
|
VLAN接口视图 |
配置VLAN对应的IP接口参数 |
[H3C-Vlan-interface1] |
在系统视图、以太网端口视图或VLAN视图下键入interface vlan-interface 1 |
|
|
用户组视图 |
配置基于端口的VLAN参数 |
[H3C-UserGroup1] |
在系统视图下键入user-group 1 |
|
|
用户界面视图 |
配置用户界面参数 |
[H3C-Aux0] |
在系统视图下键入user-interface aux 0 |
|
|
[H3C-vty0] |
在系统视图下键入user-interface vty 0 |
|||
|
RADIUS方案视图 |
配置RADIUS方案 |
[H3C-radius-system] |
在系统视图下键入 radius scheme system |
|
|
集群视图 |
配置集群参数 |
[H3C-cluster] |
在系统视图下键入cluster |
& 说明:
以下显示的内容均为示例,请以实际的显示情况为准。
通过命令行在线帮助,您可以查询命令信息以及快速输入命令。描述如下:
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
debugging Enable system debugging functions
display Display current system information
ping Ping function
quit Exit from current command view
reboot Reset switch
reset Reset operation
save Save current configuration
system-view Enter the system view
terminal Specify the terminal characteristics
undo Cancel current setting
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C>display ?
arp Display ARP information
cluster Cluster status and configuration information
current-configuration Current configuration
debugging Current setting of debugging switches
device Device
dhcp Display dhcp clinet information
dot1x 802.1x status information
habp HABP status and configuration information
igmp-snooping IGMP snooping
info-center Enable the infomation center
interface Interface status and configuration information
ip IP status and configuration information
link-aggregation Ports aggregation mode
logbuffer Display logbuffer informations
mac-address MAC address information
mirror display the mirroring port
ndp Neighbor discovery protocol
ntdp Network topology discover protocol
priority-trust Priority trust mode
queue-scheduler Queue scheduling configuration information
radius Display RADIUS configuration information
saved-configuration The saved configuration information
snmp-agent SNMP status and configuration information
---- More ----
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C>s?
save system-view
(4) 键入一命令,后接一字符串紧接<?>,列出命令以该字符串开头的所有关键字。
<H3C>display u?
user-group user-interface users
(5) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C>disp ¬按下<Tab>键
<H3C>display
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表2-2。
|
英文错误信息 |
错误原因 |
|
Unrecognized command |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错误 |
|
|
参数值越界 |
|
|
Incomplete command |
输入命令不完整 |
|
Too many parameters |
输入参数太多 |
|
Ambiguous command |
输入命令不明确 |
|
Wrong parameter |
输入参数错误 |
命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如表2-3所示。
|
操作 |
按键 |
结果 |
|
访问上一条历史命令 |
上光标键<↑> |
如果还有更早的历史命令,则取出上一条历史命令 |
|
访问下一条历史命令 |
下光标键<↓> |
如果还有更晚的历史命令,则取出下一条历史命令 |
用光标键对历史命令进行访问,在Windows NT的超级终端下是有效的,但对于Windows 9X的超级终端,<↑>、<↓>光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替<↑>、<↓>光标键达到同样目的。
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为254个字符,如表2-4所示。
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标 |
|
退格键<Backspace> |
删除光标位置的前一个字符,光标前移 |
在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有两种选择,如表2-5所示。
|
按键或命令 |
功能 |
|
暂停显示时键入回车键<Enter> |
显示下一行信息 |
|
暂停显示时键入空格键 |
显示下一屏信息 |
|
暂停显示时键入其他键 |
退出显示 |
S1550E有两个级别的用户:
l 参观级用户:仅能在用户视图下执行简单的查询操作;
l 管理级用户:需要通过身份验证进入系统视图,能对交换机执行监控、配置、管理等操作。
用户进入系统视图时缺省无密码。可在S1550E系统视图下执行命令super password配置分级保护密码。在进行身份验证时,如果三次以内输入正确的密码,则切换到管理级用户,否则保持原参观用户级别不变。设置分级保护密码命令如下表所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置分级保护密码 |
super password password |
l password:明文字符串,长度为1~12个字符,区分大小写 l 如果用户丢失了密码,请与代理商联系 |
|
删除分级保护密码 |
undo super password |
- |
例:在系统视图下设置切换用户级别密码为H3C。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]super password H3C
S1550E支持Web网管功能,您可通过Web界面对交换机进行配置和管理。
表3-2 Web网管用户配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Web网管用户 |
localuser user_name password level |
l user_name:配置登录Web网管的用户名,长度为1~12个字符。缺省情况下,用户名为admin l password:配置登录Web网管的用户密码,长度为1~12个字符。 缺省情况下,用户密码为admin l level:配置Web网管用户的级别,0为参观级用户、1为管理级用户。缺省情况下,用户级别为1 |
|
删除Web网管用户 |
undo localuser user_name |
- |
例:设置Web网管用户的用户名为user1,密码为123456,用户级别为管理级。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]localuser user1 123456 1
AUX用户界面用于通过Console口对以太网交换机进行访问。S1550E只支持一个AUX用户界面。
AUX用户界面配置包括:
l 进入AUX用户界面视图;
l 配置终端属性。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
例:进入AUX用户界面。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-interface aux 0
[H3C-Aux0]
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
配置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
l minutes:配置连接用户超时中断时间的分钟数,取值范围为0~35791 l seconds:配置连接用户超时中断时间的秒数,取值范围为0~59 l idle-timeout 0表示禁用超时中断连接功能 l 缺省情况下,在所有的用户界面上启用了超时断连功能,时间为5分钟。也就是说,如果5分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 |
|
恢复用户超时断连为缺省值 |
undo idle-timeout |
- |
例:配置AUX用户界面超时时间为8分30秒。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-interface aux 0
[H3C-Aux0]idle-timeout 8 30
[H3C-Aux0]
VTY用户界面用于通过Telnet对以太网交换机进行访问。S1550E只支持一个VTY用户界面。
VTY界面配置包括:
l 进入VTY界面视图;
l 配置终端属性;
l 设置Telnet用户登录密码。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
例:进入VTY用户界面。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-interface vty 0
[H3C-vty0]
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置用户超时退出功能 |
idle-timeout minutes [ seconds ] |
l minutes:设置连接用户超时中断时间的可选取的分钟的取值,取值范围为0~35791 l seconds:设置连接用户超时中断时间的可选取的秒的取值,取值范围为0~59 l idle-timeout 0表示禁用超时中断连接功能 l 缺省情况下,VTY界面上启用了超时退出功能,时间为5分钟。也就是说,如果5分钟内某VTY界面没有用户进行操作,则该Telnet用户将被自动断开 |
|
恢复用户超时退出为缺省值 |
undo idle-timeout |
- |
例:配置VTY用户界面超时时间为7分钟。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-interface vty 0
[H3C-vty0]idle-timeout 7
为了防止未授权用户的非法侵入,Telnet用户登录S1550E时需输入密码,如果没有设置Telnet用户登录密码,则用户无法Telnet到S1550E。
表3-7 设置Telnet用户登录密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置Telnet用户登录密码 |
set authentication password password |
password:明文字符串,长度为1~16个字符,区分大小写 |
|
取消Telnet用户登录密码 |
undo set authentication password |
- |
例:在VTY视图下设置Telnet用户登录密码为H3C。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-interface vty 0
[H3C-vty0]set authentication password H3C
可以通过执行以下命令显示配置后用户界面的运行情况。通过查看显示信息可以验证配置的效果。
|
操作 |
命令 |
说明 |
|
显示用户界面的使用信息 |
display users |
任意视图下均可执行 |
|
显示用户界面状态和配置信息 |
display user-interface |
例:显示用户界面的使用信息。
<H3C> display users
UI Delay Type IPaddress Username
F 0 AUX 0 00:00:00
3 WEB 00:00:25 192.168.0.234 admin
表3-9 display users显示信息描述表
|
字段 |
描述 |
|
F |
表示当前正在使用的用户界面,且工作在异步方式 |
|
UI |
第一列是用户界面的绝对编号,可显示AUX、WEB、VTY 第二列是用户界面的相对编号:0 |
|
Delay |
表示用户自最近一次输入到现在的时间间隔,形式为“时:分:秒” |
|
Type |
用户类型 |
|
IPaddress |
显示起始连接位置,即入连接的主机IP地址 |
|
Username |
登录交换机的用户名 |
例:显示用户界面的状态和配置信息。
UI Delay Type IPaddress Username
F 0 AUX 0 00:00:00
3 WEB 00:00:25 192.168.0.99 admin
表3-10 display user-interface显示信息描述表
|
字段 |
描述 |
|
+ |
当前用户接口是有效的接口 |
|
F |
当前用户接口是有效的接口且工作在异步模式 |
|
Idx |
用户接口号 |
|
Type |
用户接口类型 |
S1550E任何时刻只能有一个VLAN对应的VLAN接口可以配置IP地址,该VLAN即为管理VLAN。如果要对S1550E进行远程管理,必须配置交换机管理VLAN接口的IP地址。
IP地址是分配给连接在Internet上的设备的一个32比特长度的地址。
系统IP配置包括:
l 指定管理VLAN;
l 创建/删除管理VLAN接口;
l 为管理VLAN接口指定/删除静态IP地址;
l 为管理VLAN接口指定/删除网关;
l 启用/禁用管理VLAN接口。
用户可以通过命令指定管理VLAN。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
指定管理VLAN |
management-vlan vlan-id |
l 缺省情况下,VALN 1为管理VLAN l vlan-id:VLAN的ID,取值范围为1~4094 |
|
恢复管理VLAN的缺省配置 |
undo management-vlan |
- |
注意:
l 指定管理VLAN的时候,该VLAN必须存在。
l 在创建新的管理VLAN前,需删除当前的管理VLAN接口。VLAN 1是缺省VLAN,不需创建。
例:在系统视图下指定管理VLAN为VLAN20。
#删除原来的管理VLAN接口
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]undo interface vlan-interface 1
#创建VLAN20,并指定其为管理VLAN
[H3C]vlan 20
[H3C-Vlan20]quit
[H3C]management-vlan 20
表4-2 创建/删除管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
删除管理VLAN接口 |
undo interface vlan-interface vlan-id |
- |
注意:
l 在本配置任务之前要先创建对应vlan-id的管理VLAN。创建管理VLAN方法可参见“4.2.1 指定管理VLAN”。
l 在创建新的管理VLAN前,需删除当前的管理VLAN接口。VLAN 1是缺省VLAN,不需创建。
例:创建管理VLAN 20接口。
#删除原来的管理VLAN接口
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]undo interface vlan-interface 1
#创建VLAN20,指定其为管理VLAN,并创建管理VLAN20的接口
[H3C]vlan 20
[H3C-Vlan20]quit
[H3C]management-vlan 20
[H3C]interface vlan-interface 20
可以使用以下命令为管理VLAN接口指定IP地址,从而可以实现对S1550E进行远程管理。
表4-3 为管理VLAN接口指定/删除IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
配置管理VLAN接口静态IP地址 |
ip address ip-address ip-mask |
l ip-address:管理VLAN接口的IP地址 l ip-mask:管理VLAN接口静态IP地址的掩码 |
|
删除管理VLAN接口静态IP地址 |
undo ip address |
- |
& 说明:
缺省情况下,管理VLAN接口IP地址:192.168.0.234,子网掩码:255.255.255.0。
例:为管理VLAN 20指定静态IP地址和掩码。
#删除原来的管理VLAN接口
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]undo interface vlan-interface 1
#创建VLAN20,指定其为管理VLAN,并创建和进入管理VLAN20的接口
[H3C]vlan 20
[H3C-Vlan20]quit
[H3C]management-vlan 20
[H3C]interface vlan-interface 20
#为管理VLAN 20接口指定IP地址和掩码。
[H3C-Vlan-interface20]ip address 192.168.0.55 255.255.255.0
表4-4 为管理VLAN接口指定/删除网关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
配置管理VLAN接口网关 |
ip gateway ip-address |
l ip-address:网关的IP地址 l 缺省情况下无网关IP地址 |
|
删除管理VLAN接口网关 |
undo ip gateway |
- |
例:为管理VLAN 20指定静态IP地址、掩码和网关。
#删除原来的管理VLAN接口
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]undo interface vlan-interface 1
#创建VLAN20,指定其为管理VLAN,并创建和进入管理VLAN20的接口
[H3C]vlan 20
[H3C-Vlan20]quit
[H3C]management-vlan 20
[H3C]interface vlan-interface 20
#为管理VLAN 20接口指定IP地址和掩码。
[H3C-Vlan-interface20]ip address 192.168.0.55 255.255.255.0
#为管理VLAN 20接口指定网关。
[H3C-Vlan-interface20]ip gateway 192.168.0.1
当管理VLAN接口的相关参数及协议配置好之后,可以使用下面的命令启用管理VLAN接口;如果不想管理VLAN接口起作用,则可以使用下面的命令禁用管理VLAN接口。
表4-5 启用/禁用管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
禁用管理VLAN接口 |
shutdown |
- |
|
启用管理VLAN接口 |
undo shutdown |
- |
l 管理VLAN接口的启用/禁用状态对属于该管理VLAN的以太网端口的启用/禁用状态没有影响。
l 缺省情况下,当管理VLAN接口对应VLAN下的所有以太网端口状态为DOWN时,管理VLAN接口为DOWN状态,即禁用状态;当管理VLAN接口对应VLAN下有一个或一个以上的以太网端口处于UP状态时,管理VLAN接口就会进入UP状态,即启用状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后系统IP的运行情况,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
说明 |
|
查看管理VLAN接口IP的相关信息 |
display ip |
任意视图下均可执行 |
|
查看管理VLAN接口的相关信息 |
display interface vlan-interface [ vlan-id ] |
l 任意视图下均可执行 l vlan-id:管理VLAN的ID,其取值范围为1~4094 |
例:显示交换机系统IP信息。
<H3C>display ip
Vlan-interface1 current state: UP
Line protocol current state : UP
Hardware address is 00e0-fc00-0010
Internet Address is 192.168.0.234/24
Gateway: 192.168.0.1
表4-7 display ip显示信息描述表
|
字段 |
描述 |
|
Vlan-interface1 current state |
VLAN接口当前状态为:UP |
|
Line protocol current state |
链路协议当前状态为:UP |
|
Hardware address is |
MAC地址为:00e0-fc00-0010 |
|
Internet Address is |
交换机管理VLAN的IP地址为:192.168.0.234 子网掩码为:255.255.255.0 |
|
gateway |
网关IP地址为:192.168.0.1 |
例:显示交换机VLAN接口信息。
<H3C>display interface vlan-interface 1
Vlan-interface1 current state: DOWN
Line protocol current state : DOWN
Hardware address is 00e0-fc01-0021
Internet Address is 192.168.0.1/16
The Maximum Transmit Unit is 1500
表4-8 display interfacevlan-interface显示信息描述表
|
字段 |
描述 |
|
Vlan-interface1 current state |
VLAN 1接口当前状态为:DOWN |
|
Line protocol current state |
链路协议当前状态为:DOWN |
|
Hardware address is |
MAC地址为:00e0-fc01-0021 |
|
Internet Address is |
VLAN接口地址为:192.168.0.1 子网掩码为:255.255.0.0 |
|
The Maximum Transmit Unit is |
交换机的最大传输单元为:1500 |
debugging ip命令用来启用IP的调试信息开关,undo debugging ip命令用来禁用相应的调试信息开关。
表4-9 IP调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用IP调试开关 |
debugging ip |
l 用户视图下执行 l 缺省情况下,系统禁用IP调试信息开关 |
|
禁用IP调试开关 |
undo debugging ip |
- |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
例:启用IP调试开关。
<H3C>debugging ip
<H3C>terminal debugging
receiving:interface = Vlan-interface1 , version = 4 , tos = 0 , pktlen = 10240 ,
pktid = 21851 , offset = 64 , ttl = 128 , protocol = 6 ,
checksum = 2333 , s = 192.168.0.234 , d = 192.168.0.234
Sending:interface = Vlan-interface1 , version = 4 , tos = 0 , pktlen = 40 ,
pktid = 29952 , offset = 0 , ttl = 64 , protocol = 6 ,
checksum = 5120 , s = 192.168.0.55 , d = 192.168.0.55%0.84363936 H3C
表4-10 debugging ip显示域说明表
|
字段 |
描述 |
|
receiving/Sending |
IP报文的来源 |
|
interface |
VLAN虚接口 |
|
version |
协议版本号 |
|
headlen |
IP首部长度 |
|
tos |
服务类型 |
|
pktlen |
报文总长度 |
|
pktid |
标识 |
|
offset |
片偏移 |
|
ttl |
生存时间 |
|
protocol |
协议类型 |
|
checksum |
首部校验和 |
|
s |
源IP地址 |
|
d |
目的IP地址 |
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况。动态主机配置协议DHCP(Dynamic Host Configuration Protocol)就是为满足这些需求而发展起来的。DHCP协议采用客户端/服务器(Client/Server)方式工作,DHCP Client向DHCP Server动态地请求配置信息,DHCP Server根据策略返回相应的配置信息。
S1550E实现了DHCP客户端功能。
& 说明:
l 当交换机加入集群,且处于成员状态时,不能通过DHCP方式获取IP地址。
l 若为交换机配置静态IP地址并保存后,通过DHCP方式获取IP地址仍然有效,原配置的静态IP地址在DHCP生效的时候暂时失效。
可以通过配置管理VLAN接口使交换机通过DHCP方式获取IP地址。
表5-1 通过DHCP方式获取IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
配置管理VLAN接口通过DHCP方式获取IP地址 |
ip address dhcp-alloc |
缺省情况下,管理VLAN接口不通过DHCP方式获取IP地址 |
|
取消管理VLAN接口通过DHCP方式获取IP地址 |
undo ip address dhcp-alloc |
取消以DHCP方式获取IP地址后,如果原先已经配置了静态IP地址并进行了保存,那么该静态IP地址立即生效 |
& 说明:
设备通过DHCP方式获取IP地址成功后并进行save操作(save命令的说明请参见“15.3.2 保存当前配置”),交换机重启后仍将以DHCP方式重新获取IP地址;否则需要通过以手动方式配置静态IP地址。
在完成上述配置后,可以执行以下命令来验证配置结果。
|
操作 |
命令 |
说明 |
|
显示DHCP客户端获取的地址信息 |
display dhcp |
任意视图下执行 |
例:配置并显示交换机通过DHCP方式获取IP地址。
# 进入管理VLAN接口
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface vlan-interface 1
# 进入管理VLAN接口,并配置交换机通过DHCP方式获取IP地址
[H3C-Vlan-interface1]ip address dhcp-alloc
# 显示IP地址信息
[H3C-Vlan-interface1]display dhcp
DHCP client statistic infomation:
Vlan-interface1
DHCP client: enabled
Current machine state: BOUND
Alloced IP: 192.168.1.100 255.255.255.0
Gateway IP: 192.168.1.1
Alloced lease: 86400 seconds,
T1 left: 43188 seconds,
T2 left: 75588 seconds,
Server IP: 192.168.1.1
从以上信息可以看到获得的IP地址是192.168.1.100,子网掩码是255.255.255.0,网关地址是192.168.1.1。
系统提供了DHCP Client的调试功能,可以帮助用户对错误进行诊断和定位。
表5-3 启用/禁用DHCP Client调试开关
|
操作 |
命令 |
说明 |
|
启用DHCP客户端的调试开关 |
debugging dhcp-alloc |
用户视图下执行 缺省情况DHCP Client 的调试开关处于禁用状态 |
|
禁用DHCP客户端的调试开关 |
undo debugging dhcp-alloc |
- |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
例:启用DHCP Client的调试开关。
<H3C>debugging dhcp-alloc
禁用DHCP Client的调试开关。
<H3C>undo debugging dhcp-alloc
S1550E提供1个Console口、48个普通10/100Base-TX自适应以太网端口(端口1~48)、1个光电复用上行端口(端口49)和1个10/100/1000Base-T自适应以太网上行端口(端口50)。
S1550E支持的以太网端口特性如下:
l 10/100Base-TX以太网端口可以工作在半双工、全双工、自协商模式下。
l 10/100/1000Base-T以太网端口可以工作在半双工、全双工、自协商模式下。
l 千兆以太网光口可以工作在全双工或自协商模式下。
& 说明:
端口工作在自协商模式下时,可以与其他网络设备协商确定工作方式和速率,自动选择最合适的工作方式和速率,从而大大简化系统的配置和管理。
要配置以太网端口的相关特性参数,首先要进入以太网端口视图,然后对相关参数进行配置。
以太网端口配置包括:
l 进入以太网端口视图;
l 启用/禁用以太网端口;
l 设置以太网端口速率和双工状态;
l 启用/禁用以太网端口的流量控制;
l 设置以太网端口广播风暴抑制比;
l 设置以太网端口的自环测试;
l 设置以太网端口链路类型;
l 设置以太网端口缺省VLAN ID;
l 设置以太网端口的指定VLAN;
l 设置以太网端口网线类型。
要对以太网端口进行配置,首先要进入以太网端口视图。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
例:进入Ethernet0/3以太网端口视图。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/3
[H3C-Ethernet0/3]
S1550E启动后,用户可以根据实际需要使用以下的命令启用或禁用以太网端口。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
禁用以太网端口 |
shutdown |
缺省情况下,端口为启用状态 |
|
启用以太网端口 |
undo shutdown |
- |
例:禁用以太网端口Ethernet0/3。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/3
[H3C-Ethernet0/3]shutdown
可以使用以下命令对以太网端口的速率和双工状态进行设置。
表6-3 设置以太网端口速率和双工状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置以太网端口的速率 |
speed { 10 | 100 | 1000 | auto } |
l 10:表示配置当前端口速率为10Mbps l 100:表示配置当前端口速率为100Mbps l 1000:表示配置当前端口速率为1000Mbps,仅在端口为千兆端口时有效 l auto:表示配置当前端口速率为自协商方式 l 缺省情况下,端口的速率为自协商方式 |
|
设置以太网端口的双工状态 |
duplex { auto | full | half } |
l auto:表示配置当前端口双工状态为自协商方式 l full:表示配置当前端口双工状态为全双工状态 l half:表示配置当前端口双工状态为半双工状态 l 缺省情况下,端口的双工状态为自协商方式 |
注意:
l 千兆以太网光口的工作模式可以配置为全双工或自协商模式。
l 汇聚端口不能进行双工和速率的配置。
l 当端口工作在非自协商模式时,如果不能与对端建立正常连接,请尝试修改其端口网线类型(MDI/MDIX),如何设置网线类型请参见“6.2.10 设置以太网端口网线类型”。
例:将以太网端口Ethernet0/3的速率设置为100Mbps,工作模式设置为自协商模式。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/3
[H3C-Ethernet0/3]speed 100
[H3C-Ethernet0/3]duplex auto
如果希望对端口上接收和发送的报文进行流量控制,可以使用以下命令进行设置。
表6-4 设置以太网端口的流量控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
启用以太网端口的流量控制 |
flow-control |
缺省情况下,以太网端口对报文不进行流量控制 |
|
禁用以太网端口流量控制 |
undo flow-control |
- |
例:启用以太网端口Ethernet0/3的流量控制。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/3
[H3C-Ethernet0/3]flow-control
#禁用以太网端口Ethernet0/3的流量控制。
[H3C-Ethernet0/3]undo flow-control
& 说明:
设置了广播风暴抑制比后,该端口组播和未知单播的流量也按照这个比例被抑制。
可以使用以下的命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播报文作丢弃处理,使广播所占的流量比例降低到合理的范围,从而有效地抑制广播风暴,避免网络拥塞,保证网络业务的正常运行。以端口最大的广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小;当百分比为100时,表示不对该端口进行广播风暴抑制。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置以太网端口的广播风暴抑制比例 |
broadcast-suppression pct |
l pct:广播风暴的抑制百分比。可取的值为:5、10、20、100 l 缺省情况下,允许通过的广播流量为100%,即对广播流量不进行抑制 |
|
恢复以太网端口的广播风暴抑制比例为缺省值 |
undo broadcast-suppression |
- |
例:配置端口允许20%的广播报文通过。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]broadcast-suppression 20
通过对以太网端口进行自环测试,用户可以检测端口是否可用。可以使用下面的命令来设置以太网端口的自环测试方式。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置以太网端口进行内环测试 |
loopback internal |
- |
|
设置以太网端口进行外环测试 |
loopback external |
l 端口必须处于UP状态 l 需要插接自环头 |
注意:
l 在外环测试结束后一定要将自环头拔下,以免造成网络故障。
l 使用loopback命令进行自环测试时,端口将禁止转发数据包,一定时间后自环测试自动结束并上报自环测试结果。
l 如果在端口上执行了shutdown命令后,则此端口不能进行自环测试;在进行自环测试期间禁止用户在端口上进行任何操作。
l 外环测试前,用户必须将端口的双工模式设置为全双工或者自协商。半双工模式会导致测试出错。
例:对以太网端口Ethernet0/7进行内环测试。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/7
[H3C-Ethernet0/7]loopback internal
Please wait......
Jan 1 00:01:12 0000 [PHY]/5/PORT LINK STATUS CHANGE: Ethernet0/7 turns into UP state
Jan 1 00:01:14 0000 [PHY]/5/PORT LINK STATUS CHANGE: Ethernet0/7 turns into DOWN state
Loop internal succeeded!
以太网端口有三种链路类型:Access、Hybrid、Trunk。
l Access类型的端口只能属于一个VLAN,一般用于连接计算机的端口;
l Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
l Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
表6-7 设置以太网端口的链路类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置端口为Access端口 |
port link-type access |
缺省情况下,端口链路类型为Access |
|
设置端口为Hybrid端口 |
port link-type hybrid |
- |
|
设置端口为Trunk端口 |
port link-type trunk |
- |
|
恢复端口的链路类型为缺省的Access端口 |
undo port link-type |
- |
& 说明:
三种类型的端口可以共存在一台S1550E上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
例:将以太网端口Ethernet0/1设置为Trunk端口。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]port link-type trunk
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。
表6-8 设置Hybrid端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置Hybrid端口的缺省VLAN ID |
port hybrid pvid vlan vlan-id |
l vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094。缺省值为1 l 缺省情况下,Hybrid端口和Trunk端口的缺省VLAN就是系统的缺省VLAN,Access端口的缺省VLAN是本身所属于的VLAN |
|
恢复Hybrid端口的缺省VLAN ID为缺省值 |
undo port hybrid pvid |
- |
表6-9 设置Trunk端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置Trunk端口的缺省VLAN ID |
port trunk pvid vlan vlan-id |
l vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094。缺省值为1 l 缺省情况下,Hybrid端口和Trunk端口的缺省VLAN就是系统的缺省VLAN,Access端口的缺省VLAN是本身所属于的VLAN |
|
恢复Trunk端口的缺省VLAN ID为缺省值 |
undo port trunk pvid |
- |
例:将Trunk端口Ethernet0/1的缺省VLAN ID设为100。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]port trunk pvid vlan 100
例:将Hybrid端口Ethernet0/1的缺省VLAN ID设为100。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]port hybrid pvid vlan 100
本配置任务把当前以太网端口加入到指定的VLAN中。Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN中。
表6-10 设置Access端口的指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
把当前Access端口加入到指定VLAN |
port access vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094 |
|
把当前Access端口从指定VLAN删除 |
undo port access vlan |
- |
表6-11 设置Hybrid端口的指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
将当前Hybrid端口加入到指定VLAN |
port hybrid vlan vlan-id-list { tagged | untagged } |
l vlan-id-list:vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ]&<1-10>,为此Trunk或Hybrid端口加入的VLAN的范围,可以是离散的,vlan-id取值范围为1~4094。&<1-10>表示前面的参数最多可以重复输10次 l tagged:所指定VLAN的报文将带有标签 l untagged:所指定VLAN的报文不带标签 |
|
把当前Hybrid端口从指定VLAN中删除 |
undo port hybrid vlan vlan-id-list |
- |
表6-12 设置Trunk端口的指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
把当前Trunk端口加入到指定VLAN |
port trunk permit vlan { vlan-id-list | all } |
l vlan-id-list:vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ]&<1-10>,为此Trunk或Hybrid端口加入的VLAN的范围,可以是离散的,vlan-id取值范围为1~4094。&<1-10>表示前面的参数最多可以重复输10次 l all:将Trunk端口加入到所有VLAN中 |
|
把当前Trunk端口从指定VLAN中删除 |
undo port trunk permit vlan { vlan-id-list | all } |
- |
注意:
l vlan-id所指的VLAN必须存在。
l Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合。
l Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的集合。
例:将Ethernet0/1端口加入到VLAN 3中(假设VLAN 3已经存在)。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]port access vlan 3
例:将Trunk端口Ethernet0/5加入到2、4、6~10号VLAN。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/5
[H3C-Ethernet0/5]port trunk permit vlan 2 4 6 to 10
例:将Hybrid端口Ethernet0/1加入到2、4、50~100号VLAN中,并且这些VLAN的报文将带有标签。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]port hybrid vlan 2 4 50 to 100 tagged
以太网端口的网线有直通网线及交叉网线,可以使用该命令对网线类型进行设置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置以太网端口的网线类型 |
mdi { across | auto | normal } |
l across:连接网线类型为交叉网线 l auto:自动识别是直通网线还是交叉网线 l normal:连接网线类型为直通网线 l 缺省情况下,端口的网线类型为auto类型 |
|
恢复以太网端口网线类型的缺省值 |
undo mdi |
- |
注意:
该设置只对10/100Base-TX、10/100/1000Base-T端口有效。
例:将以太网端口Ethernet0/1的网线类型设置为交叉网线类型。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]mdi across
端口汇聚是将多个连续的端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担,同时也提供了更高的连接可靠性。
S1550E支持6组汇聚组,每组最多8个端口。
在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口。同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。
可以使用以下命令设置或取消以太网端口的汇聚。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置以太网端口汇聚 |
link-aggregation Ethernet interface_num1 to Ethernet interface_num2 |
l interface_num1:用来表示加入汇聚的起始以太网端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l interface_num2:用来表示加入汇聚的终止以太网端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 百兆端口和千兆端口不能混合汇聚 |
|
取消以太网端口汇聚 |
undo link-aggregation { all | Ethernet master_interface_name } |
l master_interface_name:端口汇聚的主端口 l all:所有汇聚端口 |
注意:
l 用于聚合的端口的速率及双工状态必须一致,而且不能为auto。
l 对端的端口也要设置为汇聚端口,并且与本端速率及双工状态相同,这样才能实现端口汇聚的功能。
l 若端口已配置成为镜像端口或设置了端口隔离,则不能对其进行端口汇聚的配置。
例:设置端口汇聚。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] link-aggregation Ethernet 0/1 to Ethernet 0/2
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置以太网端口汇聚模式 |
link-aggregation mode {both | ingress | egress} |
l both:表示汇聚组中各成员端口根据源MAC地址和目的MAC地址对出端口方向的数据流进行负荷分担。 l ingress:表示汇聚组中各成员端口仅根据源MAC地址对出端口方向的数据流进行负荷分担。 l egress:表示汇聚组中各成员端口仅根据目的MAC地址对出端口方向的数据流进行负荷分担。 l 缺省为both |
|
恢复以太网端口汇聚模式为缺省配置 |
undo link-aggregation mode |
- |
在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网端口汇聚的运行情况。
|
操作 |
命令 |
说明 |
|
显示以太网端口汇聚配置 |
display link-aggregation [Ethernet interface_num] |
任意视图下均可执行 |
例:显示汇聚端口组的相关信息。
<H3C>display link-aggregation
Master port: Ethernet0/1
Other sub-ports:
Ethernet0/2
以上显示信息表示汇聚主端口是Ethernet0/1,子端口是Ethernet0/2。
# 设置Ethernet0/1端口至Ethernet0/5端口进行端口汇聚,且汇聚模式为both。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] link-aggregation Ethernet 0/1 to Ethernet 0/5
[H3C] link-aggregation mode both
S1550E提供基于端口的镜像功能,即可将指定的一个或多个端口的报文复制到镜像端口,用于报文的分析和监视。例如:将被镜像端口Ethernet0/1端口上的报文复制到指定镜像端口Ethernet0/2,通过镜像端口Ethernet0/2上连接的协议分析仪进行测试和记录。
以太网端口镜像配置包括:
l 配置/删除以太网镜像端口;
l 配置/删除以太网被镜像端口。
注意:
l 在没有配置镜像端口时,不能配置被镜像端口。同时,被镜像端口存在时,不能删除镜像端口。
l 镜像端口和被镜像端口不能设置为同一个端口。
l S1550E只支持一个镜像组。
可以使用以下命令来设置交换机的镜像端口。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置以太网镜像端口 |
monitor-port Ethernet interface_num |
interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
删除以太网镜像端口 |
undo monitor-port |
- |
注意:
l 指定的镜像端口不能为汇聚端口。
l 当新的镜像端口设置后,原有的镜像端口将被自动取消,被镜像端口不变。
可以使用以下命令来设置交换机的被镜像端口。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置以太网被镜像端口 |
mirroring-port Ethernet interface_ num [ to Ethernet interface_ num] { inbound | outbound | both } |
l interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l inbound:表示仅对端口接收的报文进行监控 l outbound:表示仅对端口发送的报文进行监控 l both:表示同时对端口接收和发送的报文进行监控 |
|
删除以太网被镜像端口 |
undo mirroring-port Ethernet interface_ num [ to Ethernet interface_ num ] { inbound | outbound | both } |
在取消被监控端口的配置时也可以指定报文的方向。 l inbound:只取消对端口接收报文的监控 l outbound:只取消对端口发送报文的监控 l both:同时取消对端口接收和发送报文的监控 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网端口镜像的运行情况。
|
操作 |
命令 |
说明 |
|
display mirror |
任意视图下均可执行 |
# 将Ethernet0/1端口至Ethernet0/5端口上的报文复制到指定镜像端口Ethernet0/8上,并仅对被镜像端口接收的报文进行监控。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]monitor-port Ethernet 0/8
[H3C]mirroring-port Ethernet 0/1 to Ethernet 0/5 inbound
[H3C]display mirror
Monitor-port:
Ethernet0/8
Mirroring-port:
Ethernet0/1 inbound
Ethernet0/2 inbound
Ethernet0/3 inbound
Ethernet0/4 inbound
Ethernet0/5 inbound
以上显示信息表示镜像端口是Ethernet0/8,被镜像端口是是Ethernet0/1、Ethernet0/2、Ethernet0/3、Ethernet0/4、Ethernet0/5,并只对端口接收报文进行监控。
您可以通过限制出入端口的报文速率,来保证网络的良好运行。
可以使用以下命令对端口限速进行设置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置端口收发报文的速率限制 |
line-rate { inbound | outbound } target-rate |
l inbound:对端口接收报文进行速率限制 l outbound:对端口发送报文进行速率限制 l target-rate:对端口发送或接收报文限制的总速率,百兆端口级别取值范围为1~127。千兆端口级别取值范围为1~240。其中取值范围为1~28时,端口速率为:target-rate×8×1024/125,即64Kbps、128Kbps、192Kbps……1.792Mbps。取值范围为29~127时,端口速率为:(target-rate-27)×1024,即2Mbps、3Mbps、4Mbps……100Mbps。取值范围为128~240时,(target-rate-115)×8×1024, 即104Mbps、112Mbps、120Mbps……1000Mbps。 |
|
取消端口限速的配置 |
undo line-rate { inbound | outbound } |
在取消端口限速的配置时也可以指定限速方向。 l inbound:只取消对端口接收报文进行速率限制 l outbound:只取消对端口发送报文进行速率限制 |
例:下面的命令对端口Ethernet0/1接收报文限速为2Mbps。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]line-rate inbound 29
您可以通过此功能来诊断该端口连接的电缆状态,快速定位网络故障。
可以使用以下命令进行电缆诊断。
表6-21 电缆诊断
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
诊断该端口的电缆状态 |
virtual-cable-test |
- |
例:对端口Ethernet0/4进行电缆诊断。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/4
[H3C-Ethernet0/4] virtual-cable-test
Cable pair 1 Status: OPEN Cable lenth: 1 metres +/- 0
Cable pair 2 Status: OPEN Cable lenth: 1 metres +/- 0
表6-22 电缆诊断说明
|
显示 |
说明 |
|
Cable pair 1 Status: |
FINE:表示已连接; OPEN:表示端口未连接; SHORT:表示短路 UNKNOWN:表示未知 |
|
Cable lenth: |
端口连接电缆的长度,有一定误差,结果仅供参考 |
可以使用以下命令查看S1550E端口的相关信息,并可以清除以太网端口的统计信息。
|
操作 |
命令 |
说明 |
|
显示端口的所有信息 |
display interface Ethernet interface_num |
l 任意视图下均可执行 l interface_num:端口号,采用槽位编号/端口编号的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
清除端口的统计信息 |
reset counters interface [ethernet interface_num] |
用户视图下执行 |
注意:
S1550E的端口49是复合端口,显示信息与其它普通端口有所差别。
例:显示端口Ethernet0/1的所有信息。
<H3C>display interface Ethernet0/1
Ethernet0/1 current state: DOWN
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 08f0-1f00-bc15
The Maximum Transmit Unit is 1500
Media type is twisted pair
Port hardware type is 100_BASE_TX
Unknown-speed mode, unknown-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
Inbound line-rate is disabled
Outbound line-rate is disabled
Flow control is disabled
The Maximum Frame Length is 1532
Broadcast MAX-ratio: 100%
Priority: 0
PVID: 1
Port link-type: access
Tagged VLAN ID: none
Untagged VLAN ID: 1
Input(normal): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s)
Input(error): 0 input error(s), 0 runt(s), 0 giant(s), 0 CRC
0 frame, 0 abort(s), 0 ignored, 0 Jabber(s)
Output(normal): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s)
---- More ----
表6-24 display interface Ethernet显示信息描述表
|
字段 |
描述 |
|
Ethernet0/1 current state |
端口状态 |
|
IP Sending Frames' Format is |
帧格式 |
|
Hardware address is |
交换机MAC地址 |
|
The Maximum Transmit Unit is |
最大传输单元 |
|
Media type is |
端口连接线类型 |
|
Port hardware type is |
端口硬件类型 |
|
Link speed type is |
端口速率 |
|
link duplex type is |
端口双工模式 |
|
Inbound line-rate is |
入端口限速 |
|
Outbound line-rate is |
出端口限速 |
|
Flow control is |
流控 |
|
The Maximum Frame Length is |
最大帧长 |
|
Broadcast MAX-ratio: |
广播风暴抑制率 |
|
Priority: |
端口优先级 |
|
PVID: |
端口VLAN ID |
|
Port link-type: |
端口类型,有access端口、hybrid端口、trunk端口三种 |
|
Tagged VLAN ID: |
该端口允许通过的VLAN ID,且在报文中带该VLAN ID的tag。 |
|
Untagged VLAN ID: |
该端口允许通过的VLAN ID,且在报文中不带该VLAN ID的tag |
|
Input(normal): |
统计端口接收的正确报文总数和字节总数 |
|
Input(error): |
统计端口接收的错误报文总数和字节总数 |
|
Output(normal): |
统计端口发送的正确报文总数和字节总数 |
|
Output(error): |
统计端口发送的错误报文总数和字节总数 |
例:清除端口的统计信息。
<H3C>reset counters interface
VLAN(Virtual Local Area Network 虚拟局域网)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成多个的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理LAN网段。
VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。
S1550E支持802.1q VLAN和基于端口的VLAN(Port-based VLAN)。
注意:
802.1q VLAN 和Port-based VLAN 在S1550E中不能同时生效。
当VLAN为802.1q VLAN且处于缺省状态时,在系统视图下新增usergroup操作,系统就会自动进入Port-based VLAN状态并给出提示。
当VLAN为Port-based VLAN且处于缺省状态时,执行新增VLAN或者改变端口为Trunk类型的操作,系统就会自动进入802.1q VLAN状态并给出提示。
& 说明:
l 802.1q VLAN的缺省状态为只存在VLAN 1,且所有端口为access端口。
l Port-based VLAN的缺省状态为所有端口只属于user-group 1。
例:切换VLAN。
# VLAN为802.1q VLAN且处于缺省状态时,将其切换为Port-based VLAN。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-group 2
The VLAN state has been changed to port-based VLAN!
# VLAN为Port-based VLAN且处于缺省状态时,将其切换到802.1q VLAN状态且创建VLAN 2。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
The VLAN state has been changed to 802.1Q VLAN!
[H3C-Vlan2]
802.1q VLAN由IEEE 802.1q协议定义其帧格式,是最常用的一种VLAN,以下简称VLAN。
VLAN配置包括:
l 创建/删除VLAN;
l 为VLAN指定以太网端口;
l 启用/禁用VLAN隔离特性。
对VLAN进行配置时,首先应根据需求创建VLAN,之后为VLAN指定端口。
创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN视图。
表7-1 创建/删除VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
vlan-id:VLAN的ID,取值范围为1~4094 缺省情况下,只存在VLAN 1, VLAN 1包含所有端口 |
|
删除已创建的VLAN |
undo vlan { vlan-id [ to vlan-id] | all } |
all:删除除缺省VLAN和管理VLAN外的所有VLAN |
注意:
l 缺省VLAN不能被删除。
l 管理VLAN不能通过undo vlan命令进行删除。
例:创建并进入VLAN 2视图。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
[H3C-Vlan2]
可以使用下面的命令为VLAN指定以太网端口。
表7-2 为VLAN指定端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
为指定的VLAN增加以太网端口 |
port Ethernet interface_num [ to Ethernet interface_num ] |
l interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 初始状态所有端口都属于VLAN 1 |
|
删除指定的VLAN的某些以太网端口 |
undo port Ethernet interface_num [ to Ethernet interface_num ] |
- |
注意:
Trunk和Hybrid端口只能通过以太网端口视图下的port和undo port命令加入VLAN或从VLAN中删除,而不能通过本命令实现。
例:将Ethernet0/4到Ethernet0/7的以太网端口加入VLAN 2。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
[H3C-vlan2]port Ethernet 0/4 to Ethernet 0/7
通过此功能可以实现不同用户的端口属于同一个VLAN,而不同用户之间不能互通。它增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的VLAN资源。
可以通过下面的命令设置指定VLAN内的端口二层隔离,从而使该VLAN内的端口间不能进行二层转发。
表7-3 启用/禁用VLAN隔离特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
启用VLAN隔离特性 |
port-isolate enable |
缺省情况下,VLAN内的端口二层不隔离,即端口间可以进行二层转发 |
|
禁用VLAN的隔离特性 |
undo port-isolate enable |
- |
例:启用/禁用VLAN2隔离特性。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
[H3C-vlan2]port-isolate enable
[H3C-Vlan2]undo port-isolate enable
当配置VLAN内的端口间二层隔离后,为使被隔离端口的报文仍能通过二层转发出去,可以使用下面的命令设置该VLAN内的某端口为隔离上行端口。
表7-4 设置VLAN隔离的上行端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置端口为VLAN的隔离上行端口 |
port-isolate uplink-port vlan vlan-id |
vlan-id:指定的VLAN ID,取值范围为1~4094 |
|
删除VLAN的隔离上行端口 |
undo port-isolate uplink-port vlan vlan-id |
- |
注意:
l 只有在使能VLAN内的端口二层隔离后,才能配置上行端口,且只能配置一个上行端口。
l 必须先将上行端口改为普通隔离端口后,才能将其从VLAN中删除。
l 如果上行端口为Trunk端口,则建议设置Trunk端口允许所有VLAN通过,并且是所属的使能端口隔离的VLAN的唯一上行端口。
l 端口汇聚与端口隔离不能同时配置。
例:设置端口2为VLAN2的隔离上行口。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
[H3C-vlan2]port-isolate enable
[H3C-vlan2]port Ethernet 0/2
[H3C-vlan2]interface ethernet 0/2
[H3C-Ethernet0/2]port-isolate uplink-port vlan 2
在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN的运行情况,通过查看显示信息验证配置的效果。
表7-5 VLAN的显示
|
操作 |
命令 |
说明 |
|
显示VLAN相关信息 |
display vlan [ vlan-id1 | [ to vlan-id2 ] |all ] |
l vlan-id1 to vlan-id2:指定要显示的VLAN ID范围 l all:显示所有VLAN的详细信息 l 如果指定了参数或关键字all,则显示指定VLAN或所有VLAN的详细信息;如果只执行display vlan,将显示已创建的所有VLAN列表 |
例:显示VLAN2的信息。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
[H3C-Vlan2] display vlan 2
VLAN ID: 2
VLAN Type: Static
Route Interface: not configured
Tagged Ports: none
Untagged Ports:
Ethernet0/1 Ethernet0/2 Ethernet0/3
Port-isolate: enable
Uplink-port: Ethernet0/2
表7-6 display vlan显示信息描述表
|
字段 |
描述 |
|
VLAN ID: |
VLAN ID |
|
VLAN Type: |
VLAN 类型 |
|
Route Interface: |
路由接口,S1550E不支持 |
|
Tagged Ports: |
Tagged端口 |
|
Untagged Ports: |
Untagged端口 |
|
Port-isolate: |
VLAN内端口隔离 |
|
Uplink-port: |
VLAN内端口隔离使能后的上行端口号 |
现有VLAN 2、VLAN 3,通过配置使端口Ethernet0/1和Ethernet0/2属于VLAN 2,使端口Ethernet0/3和Ethernet0/4属于VLAN 3。
图7-1 VLAN配置示例图
#创建VLAN 2并进入其视图。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
#向VLAN 2中加入端口Ethernet0/1和Ethernet0/2。
[H3C-vlan2]port ethernet0/1 to ethernet0/2
#创建VLAN 3并进入其视图。
[H3C-vlan2]vlan 3
#向VLAN 3中加入端口Ethernet0/3和Ethernet0/4。
[H3C-vlan3]port ethernet0/3 to ethernet0/4
Port-based VLAN提供了用户分组的功能,通过划分不同VLAN可以起到隔离用户的作用,满足了更丰富的组网需求。
Port-based VLAN可以通过创建不同的user-group来实现,一个端口可以属于多个user-group。不属于同一个user-group的端口不能相互通信。
S1550E最大可以设置50个user-group,其ID取值范围为1~50。
Port-based VLAN配置包括:
l 创建/删除Port-based VLAN;
l 配置VLAN的指定端口。
对VLAN进行配置时,首先应根据需求创建VLAN,之后为VLAN指定端口。
可以使用以下命令创建Port-based VLAN并进入user-group视图或删除已存在的user-group。
表7-7 创建/删除VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建user-group |
user-group group-id |
group-id:user-group的ID,取值范围为1~50 创建user-group时,如果该user-group已存在,则直接进入该user-group视图;如果该user-group不存在,则首先创建user-group,然后进入user-group视图 缺省情况下,只存在user-group 1,user-group 1包含所有端口 |
|
删除user-group |
undo user-group { group_id [ to group_id ] | all } |
删除user-group时,如果该user-group不存在,会出现“VLAN(s) do(es) not exist!”的提示 |
例:创建user-group 2,并且进入user-group视图。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-group 2
[H3C-UserGroup2]
当需要为VLAN增加以太网端口或删除VLAN的某些以太网端口时,可以通过以下命令来实现。
表7-8 配置VLAN的指定端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
user-group group-id |
l group-id:user-group的ID,取值范围为1~50 l 如果该user-group已存在,则直接进入该user-group视图;如果该user-group不存在,则首先创建user-group,然后进入user-group视图 |
|
为指定的VLAN增加以太网端口 |
port Ethernet interface_ num [ to Ethernet interface_ num] |
l interface_num:端口号,采用“槽位编号/端口编号”的格式。 l S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 初始状态所有端口都属于user-group 1 |
|
为指定的VLAN删除以太网端口 |
undo port Ethernet interface_ num [ to Ethernet interface_ num] |
- |
例:将Ethernet0/4至Ethernet0/7的以太网端口加入user-group 2。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-group 2
[H3C-UserGroup2]port Ethernet0/4 to Ethernet0/7
处于Port-based VLAN状态时,在任意视图下执行display user-group group_id的命令就可以显示Port-based VLAN下user-group组的相关信息。
|
操作 |
命令 |
说明 |
|
显示Port-based VLAN相关信息 |
display user-group [group-id | all] |
l group-id:user-group的ID,取值范围为1~50 l all:显示全部user-group的相关信息 |
现需要将使用端口Ethernet0/8至Ethernet0/12的用户与使用其他端口的用户进行分组,同时两个用户组都可分别使用端口Ethernet0/6和Ethernet0/7连接到服务器和外部网络。
要使用户隔离,可以分两个组。每个组都可以使用端口Ethernet0/6和Ethernet0/7,则这两个端口都应该在这两个组内。所以一个组应包括端口Ethernet0/6~Ethernet0/12,另一个组应包括除端口Ethernet0/8~Ethernet0/12以外的所有端口。
# 当系统为缺省状态时进入用户视图。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]user-group 2
The VLAN state has been changed to port-based VLAN!
# 添加端口Ethernet0/6至Ethernet0/12到user-group 2中。
[H3C-UserGroup2]port Ethernet0/6 to Ethernet0/12
# 将端口Ethernet0/8至Ethernet0/12从user-group 1中删除。
[H3C-UserGroup2]user-group 1
[H3C-UserGroup1]undo port Ethernet0/8 to Ethernet0/12
# 查看当前的配置信息以确认配置。
[H3C-UserGroup1]display user-group all
VLAN ID: 1
VLAN Type: Static
UserGroup Ports:
Ethernet0/1 Ethernet0/2 Ethernet0/3
Ethernet0/4 Ethernet0/5 Ethernet0/6
Ethernet0/7 Ethernet0/13 Ethernet0/14
Ethernet0/15 Ethernet0/16 Ethernet0/17
Ethernet0/18 Ethernet0/19 Ethernet0/20
Ethernet0/21 Ethernet0/22 Ethernet0/23
Ethernet0/24 Ethernet0/25 Ethernet0/26
Ethernet0/27 Ethernet0/28 Ethernet0/29
Ethernet0/30 Ethernet0/31 Ethernet0/32
Ethernet0/33 Ethernet0/34 Ethernet0/35
Ethernet0/36 Ethernet0/37 Ethernet0/38
Ethernet0/39 Ethernet0/40 Ethernet0/41
Ethernet0/42 Ethernet0/43 Ethernet0/44
Ethernet0/45 Ethernet0/46 Ethernet0/47
Ethernet0/48 Ethernet0/49 Ethernet0/50
VLAN ID: 2
VLAN Type: Static
UserGroup Ports:
Ethernet0/6 Ethernet0/7 Ethernet0/8
Ethernet0/9 Ethernet0/10 Ethernet0/11
Ethernet0/12
本节主要介绍与集群管理相关的配置,包括集群的启用与建立、成员的主动退出和重新加入。
每个集群必须指定一个(而且只能指定一个)管理设备。
管理设备有如下功能:
l 管理设备是访问集群成员的出入口,外部网络对集群内部各成员的访问、配置、管理、监控等都需要经过管理设备。
l 管理设备识别并控制集群中的所有成员设备,不管这些成员设备分布在网络的什么地方,也不管他们是如何相连的。
l 管理设备负责收集所有成员设备和候选设备的拓扑信息,以在集群建立过程中,给用户提供可供参考的候选设备信息以及网络拓扑结构信息。
S1550E只能作为成员交换机。加入集群后,系统名会改变成“集群名_成员编号.原系统名”的格式,虚接口上的IP地址也会变成命令交换机下发的私有IP地址。
S1550E支持即插即用功能,即用户安装设备后,不需要额外配置即可加入集群,这大大简化了用户的操作,使得通过集群管理设备更高效。
即插即用的功能通过以下两个过程实现:集群管理协议MAC组播地址协商和管理VLAN协商。
l 集群管理协议MAC组播地址协商:由于对目的MAC地址为IEEE保留的二层协议MAC地址的报文,有些设备不能正常转发,导致集群管理报文不能穿越这些设备。通过集群管理协议MAC组播地址协商,可以在不改变用户侧网络组网的情况下,透传二层协议MAC地址报文。
l 管理VLAN协商:管理VLAN限制了集群管理的范围,在管理VLAN之外的设备不能纳入集群管理。当集群的管理VLAN与新发现的设备的管理VLAN不一致时,需要通过自动协商统一管理VLAN。
可以将经过集群管理协议MAC组播地址协商和管理VLAN协商后的成员设备纳入集群管理,在启用集群功能的情况下,达到即插即用。
集群主要配置包括:
l 启用/禁用集群功能;
l 进入集群视图;
l 集群成员的主动退出与重新加入;
l 指定管理VLAN。
& 说明:
l S1550E只能作成员设备和候选设备。
l 只需启动集群功能,S1550E就能接受管理设备的管理。
在使用集群功能前,必须先启用交换机的集群功能(缺省为启用)。
可以使用下面的命令来启用/禁用S1550E的集群功能。
表8-1 启用/禁用集群功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用集群功能 |
cluster enable |
缺省情况下,交换机上的集群功能处于启用状态 |
|
禁用集群功能 |
undo cluster enable |
- |
例:在系统视图下启用集群功能。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]cluster enable
要进行集群参数配置前必须首先进入集群视图。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
例:进入集群视图。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]cluster
[H3C-cluster]
用户可以主动退出集群,但命令交换机上不会从成员列表中删除本成员。主动退出后,也可以重新加入,这两个命令一般用于调试。
& 说明:
只有在已加入集群时,主动退出命令才会生效;同样,只有在主动退出后,重新加入命令才会有效。
可以使用下面的命令来使S1550E主动退出集群和重新加入集群。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
集群成员的主动退出 |
undo administrator-address |
- |
|
集群成员的重新加入 |
administrator-address H-H-H name cluster-name |
H-H-H:要加入集群的命令交换机的MAC地址 cluster-name:要加入集群的集群名 |
例:在集群视图下主动退出集群。
& 说明:
上例中<switch_1.H3C>,switch为用户定义的集群名,1是集群中S1550E的成员编号,H3C为S1550E的域名。
<switch_1.H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[switch_1.H3C]cluster
[switch_1.H3C-cluster]undo administrator-address
[H3C-cluster]
例:在集群视图下重新加入集群。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]cluster
[H3C-cluster]administrator-address 000f-e200-9a95 name switch
Device has been changed to a member of cluster test.
Cluster rejoin request has been sent to command switch 00:0f:e2:00:00:7c.
[switch_1.H3C-cluster]
集群的报文只能在管理VLAN中转发。用户可以通过命令指定管理VLAN。
表8-4 指定管理VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
指定管理VLAN |
management-vlan vlan-id |
缺省情况下,VLAN 1为管理VLAN vlan-id:VLAN的ID,取值范围为1~4094 |
|
恢复管理VLAN的缺省配置 |
undo management-vlan |
- |
对于管理VLAN的配置,有如下要求:
l 同一个集群内的设备指定的管理VLAN要为同一个VLAN;
l 只能在建立集群前指定管理VLAN。设备已经加入集群后,用户不能修改管理VLAN。如果集群建立后需要改变管理VLAN,需要先删除当前交换机上的集群配置,然后重新指定管理VLAN,最后重新建立集群;
l 指定管理VLAN的时候,该VLAN必须存在;
l 只能在管理VLAN上建VLAN接口,VLAN接口存在时,管理VLAN不能改变。
例:在系统视图下指定管理VLAN为VLAN2。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]vlan 2
[H3C-Vlan2]quit
[H3C]management-vlan 2
在完成上述配置后,在任意视图下执行display命令都可以显示配置后集群的运行情况。用户可以通过查看显示信息验证配置的效果。
表8-5 集群显示
|
操作 |
命令 |
说明 |
|
显示集群状态和统计信息 |
display cluster |
任意视图下均可执行 |
例:在任意视图下显示集群信息。
<H3C>display cluster
Cluster is enabled.
Cluster name: test
Role: member
Member number: 1
Management-vlan: 1
Handshake time: 10(s)
Handshake hold-time: 60(s)
Cluster-mac: 01:80:c2:00:00:0a
Administrator device mac address: 00:0f:e2:00:00:7c
Administrator status: UP
系统提供了集群的调试功能,可以帮助用户对错误进行诊断和定位。
|
操作 |
命令 |
说明 |
|
启用集群调试开关 |
debugging cluster |
缺省情况下,集群调试开关处于禁用状态 |
|
禁用集群调试开关 |
undo debugging cluster |
- |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
例:启用集群模块的调试开关。
<H3C>debugging cluster
QoS(Quality of Service,服务质量)是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
当网络拥塞时,必须解决多个报文同时竞争使用资源的问题,通常采用队列调度加以解决。这里介绍2种各具特色的队列调度算法:
l WRR(Weighted Round Robin,加权轮循)调度算法
交换机的端口支持4个输出队列,交换机的端口支持4个输出队列,用户可以根据需要定义每个队列占用整个端口的带宽权重,每个端口队列按照定义的权重进行报文的轮循转发,保证每个队列都有发送报文的机会。
l HQ-WRR(High Queue-WRR,高优先级队列优先-加权轮循)调度算法
HQ-WRR调度模式在WRR的基础上,在4个输出队列中选择队列4为高优先级队列。如果4个队列的占用的带宽超过了端口的能力,交换机首先保证队列4的报文优先发送出去,然后对其余3个队列实行WRR调度。
S1550E支持两种优先级信任:CoS、DSCP。根据不同的优先级,各个队列与优先级的对应关系如下:
l 根据CoS优先级:CoS优先级的取值范围为0~7,报文优先级取值为1、2的放入队列1,0、3的放到队列2,4、5的放到队列3,6、7的放到队列4。
l 根据DSCP优先级:DSCP优先级的取值范围为0~63,报文优先级取值为0~15的放入队列1,16~31的放到队列2,32~47的放到队列3,48~63的放到队列4。
QoS配置包括:
l 设置端口的优先级;
l 设置交换机信任报文的优先级方式;
l 队列调度。
可以使用下面的命令设置端口优先级。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
设置端口的优先级 |
priority priority-level |
l priority-level:端口优先级取值,取值范围为0~7,优先级从低到高 l 缺省情况下,以太网端口优先级为0 |
|
恢复端口的优先级为缺省值 |
undo priority |
- |
例:配置以太网端口Ethernet0/3优先级为1。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/3
[H3C-Ethernet0/3]priority 1
可以使用以下命令对优先级信任方式进行设置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置交换机信任报文的优先级方式 |
priority-trust { cos | dscp } |
l cos:根据802.1p优先级将报文放入对应优先级的端口输出队列。缺省情况下交换机采用cos优先级 l dscp:根据dscp优先级将报文放入对应优先级的端口输出队列 |
例:设置交换机信任报文的优先级方式为dscp。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]priority-trust dscp
可以使用下面的命令来进行队列调度配置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置队列调度算法 |
queue-scheduler { hq-wrr | wrr queue1-weight queue2-weight queue3-weight queue4-weight } |
l 缺省情况下交换机采用WRR调度算法 l queue1-weight、queue2-weight、queue3-weight、 queue4-weight为队列1、2、3、4的权重,取值范围为1~31 |
|
恢复队列调度算法的缺省值 |
undo queue-scheduler |
- |
S1550E支持2种队列调度算法:HQ-WRR调度算法、WRR调度算法。队列权重缺省为1:2:4:8。
例:设置交换机队列调度算法为WRR,队列权重分别为2:4:6:8。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]queue-scheduler wrr 2 4 6 8
在完成上述配置后,在任意视图下执行display命令都可以显示配置后QoS的运行情况。用户可以通过查看显示信息验证配置的效果。
表9-4 QoS的显示
|
操作 |
命令 |
说明 |
|
显示队列调度模式及参数 |
display queue-scheduler |
任意视图下均可执行 |
|
显示优先级信任模式 |
display priority-trust |
例:显示当前队列调度方式。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]display queue-scheduler
Queue scheduling mode: weighted round robin
weight of queue 1: 2
weight of queue 2: 4
weight of queue 3: 6
weight of queue 4: 8
以上信息表明队列调度方式为WRR,队列1、2、3、4的权重分别为:2、4、6、8
例:显示优先级信任方式。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]display priority-trust
Priority trust mode: dscp
NDP(Neighbor Discovery Protocol,邻居发现协议)是用来发现邻接点相关信息的协议。NDP用来发现直接相连的邻居信息,包括邻接设备的设备名称、软/硬件版本、连接端口等,另外还可提供设备的ID、端口地址、硬件平台等信息。NDP运行在数据链路层,因此可以支持不同的网络层协议。
支持NDP的设备都维护NDP邻居信息表,邻居信息表中的每一表项都是可以老化的,一旦老化时间到,NDP自动删除相应的邻居表项。同时,用户可以清除当前的NDP信息以重新收集邻接信息。
运行NDP的设备定时向所有激活的端口广播带有NDP数据的报文,报文中携带有效保留时间,该时间指示接收设备必须保存该更新数据的时间。接收NDP报文的设备保存报文中的信息,但不转发NDP报文。收到的信息如果与旧的信息不同,则更新NDP表中的相应数据项;如果相同,则只更新有效保留时间。
NDP主要配置包括:
l 启用/禁用系统NDP;
l 启用/禁用端口NDP。
l 启用/禁用NDP调试开关。
& 说明:
S1550E不充当管理设备,不能配置NDP信息的有效保留时间和NDP报文发送的时间间隔。缺省设置如下:NDP信息的有效保留时间为180秒,NDP报文发送的时间间隔为60秒。
要收集任何端口邻接设备的NDP信息,用户都需要在交换机上启用系统NDP。当系统NDP启用后,交换机将进行NDP信息的定时收集,用户可以查询这些信息;当系统NDP禁用后,交换机将清除交换机保存的所有NDP邻居信息,同时不再处理任何NDP报文。
表10-1 启用/禁用系统NDP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用系统NDP |
ndp enable |
缺省情况下,系统NDP处于启用状态 |
|
禁用系统NDP |
undo ndp enable |
- |
例:启用系统NDP。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]ndp enable
# 禁用系统NDP。
[H3C]undo ndp enable
用户可以控制端口NDP启用/禁用状态,从而控制对哪些端口进行邻接节点的信息收集,哪些不收集。如果启用端口NDP,并且启动了系统NDP,则系统将定时收集该端口邻接节点的NDP邻居信息;如果禁用端口NDP,则系统不能通过该端口收集和发送NDP信息。
表10-2 启用/禁用端口NDP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_number |
- |
|
启用端口NDP |
ndp enable |
缺省情况下,端口NDP处于启用状态 |
|
禁用端口NDP |
undo ndp enable |
- |
例:启用端口1的NDP。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1] ndp enable
# 禁用端口1的NDP。
[H3C-Ethernet0/1] undo ndp enable
在完成上述配置后,在任意视图下执行display命令都可以显示配置后NDP的运行情况。用户可以通过查看显示信息验证配置的效果。
表10-3 显示NDP的配置信息
|
操作 |
命令 |
说明 |
|
显示系统NDP配置信息(包括报文发送时间间隔和信息有效保留时间) |
display ndp |
任意视图下均可执行 |
|
显示指定端口NDP发现的邻居信息 |
display ndp interface { Ethernet interface_number | interface_name } |
任意视图下均可执行 interface_number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~26 interface_name:为interface_type +interface_number,如: Ethernet0/1 |
例:显示NDP配置信息。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]display ndp
Neighbor Discovery Protocol is enabled.
Neighbor Discovery Protocol Ver: 1, Hello Timer: 60(s), Aging Timer: 180(s)
Interface: Ethernet0/1
Status: enabled, Pkts Snd: 145, Pkts Rvd: 2, Pkts Err: 0
Neighbor :
Aging Time : 174(s)
MAC Address : 00:0f:e2:00:00:7c
Port Name : Ethernet0/1
Software Ver: V300R001B01D010
Device Name : Quidway S2008-EI
Port Duplex : AUTO
Product Ver : S2008-EI-0010
Interface: Ethernet0/2
Status: enabled, Pkts Snd: 145, Pkts Rvd: 0, Pkts Err: 0
Interface: Ethernet0/3
Status: enabled, Pkts Snd: 145, Pkts Rvd: 0, Pkts Err: 0
Interface: Ethernet0/4
Status: enabled, Pkts Snd: 145, Pkts Rvd: 0, Pkts Err: 0
---- More ----
# 显示端口NDP配置信息。
<H3C> display ndp interface Ethernet0/1
Interface: Ethernet0/1
Status: enabled, Pkts Snd: 146, Pkts Rvd: 2, Pkts Err: 0
Neighbor :
Aging Time : 139(s)
MAC Address : 00:0f:e2:00:00:7c
Port Name : Ethernet0/1
Software Ver: V300R001B01D010
Device Name : Quidway S2008-EI
Port Duplex : AUTO
Product Ver : S2008-EI-0010
表10-4 NDP配置信息和发现的邻居信息描述表
|
字段 |
说明 |
|
Neighbor Discovery Protocol |
本交换机上的系统NDP处于启用状态 |
|
Neighbor Discovery Protocol |
NDP的版本是V1 |
|
Hello Timer |
当前设备的NDP报文发送时间间隔为60秒 |
|
Aging Timer |
邻居设备保留本设备NDP邻居信息的时间为180秒 |
|
Interface |
端口号,指定特定的端口 |
|
Status |
特定端口的NDP处于启用状态 |
|
Neighbor 1: Aging Time |
本端口连接的邻居设备剩余的NDP信息老化时间 |
|
MAC Address |
邻居设备的MAC地址 |
|
Port Name |
邻居设备的端口名称 |
|
Software Ver |
邻居设备的软件版本 |
|
Device Name |
邻居设备的设备名称 |
|
Port Duplex |
邻居设备的端口单双工属性 |
|
Product Ver |
邻居设备的产品版本 |
在用户视图下执行debugging命令可以对NDP进行调试。用户可以对所有端口进行调试,也可以对单个端口进行调试。
表10-5 启用/禁用ndp调试开关
|
操作 |
命令 |
说明 |
|
启用NDP指定端口的调试开关 |
debugging ndp [ interface Ethernet interface_number ] |
用户视图下执行 nterface Ethernet:表示启用指定端口的调试开关。如果不指定此关键字,则表示启用所有端口的NDP调试开关 interface_number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~26 |
|
禁用NDP指定端口的调试开关 |
undo debugging ndp [ interface Ethernet interface_number ] |
用户视图下执行 缺省情况下,所有端口的NDP调试开关处于禁用状态 |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
例:启用所有端口的NDP调试开关。
<H3C>debugging ndp
启用端口2的NDP调试开关。
<H3C>debugging ndp interface Ethernet0/2
如果交换机上同时配置了802.1x和HGMPv1/HGMPv2,则802.1x会对启动了802.1x的端口进行授权认证,只允许经过授权的端口转发报文,此时如果连接交换机的端口没有进行802.1x的授权和认证,则HGMP报文将会被802.1x特性过滤,使管理设备无法获取下挂的交换机的MAC地址,从而管理设备无法对下挂的交换机进行管理。HABP(Huawei Authentication Bypass Protocol华为鉴权旁路协议)特性可以解决这个问题。
HABP报文携带下挂交换机的MAC地址等信息。交换机上启动了HABP特性之后,HABP报文将会忽略端口上的802.1x认证,在交换机之间进行通信,从而使管理设备可以获取下挂交换机的MAC地址,对下挂的交换机进行管理。
HABP包括HABP Server和HABP Client。一般情况下,Server会定期向Client发送HABP请求报文,收集下挂交换机的MAC地址。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。HABP Server一般应该在管理设备上启动,HABP Client应该在下挂的交换机上启动。S1550E只支持HABP Client。
HABP Client在下挂的交换机上启动。交换机上启动HABP特性后,交换机缺省情况下就运行在HABP Client模式下。因此本配置只要在交换机上启动HABP特性即可。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用HABP特性 |
habp enable |
缺省情况下,交换机上启动HABP特性 |
|
恢复HABP特性为缺省情况 |
undo habp enable |
- |
debugging habp命令用来启用HABP的调试信息开关,undo debugging habp命令用来禁用相应的调试信息开关。
表10-7 IP调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用HABP调试开关 |
debugging habp |
l 用户视图下执行 l 缺省情况下,系统禁用HABP调试信息开关 |
|
禁用HABP调试开关 |
undo debugging habp |
- |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
NTDP(Neighbor Topology Discovery Protocol 邻居拓扑发现协议)是用来收集网络拓扑信息的协议。NTDP为集群管理提供可加入集群的设备信息,收集指定跳数内的交换机的拓扑信息。
NDP为NTDP提供邻接表信息,NTDP根据邻接信息发送和转发NTDP拓扑收集请求,收集一定网络范围内每个设备的NDP信息和它与所有邻居的连接信息。收集完这些信息后,管理设备或者网管可以根据需要使用这些信息。
当成员设备上的NDP发现邻居有变化时,通过握手报文将邻居改变的消息通知管理设备,管理设备可以启动NTDP进行指定拓扑收集,从而使NTDP能够及时反映网络拓扑的变化。
NTDP主要配置包括:
l 启用/禁用系统NTDP;
l 启用/禁用端口NTDP;
l 启用/禁用NTDP调试开关。
& 说明:
管理设备上需要启动系统和端口上的NTDP,并且配置NTDP的参数。而成员设备和候选设备上只需要启动系统和相应端口上的NTDP,在协议运行过程中,它们采用管理设备发送过来的NTDP参数值。本型号交换机不可作为管理设备使用。
要使设备能够处理NTDP报文,必须启用系统NTDP。当系统NTDP禁用后,交换机将清除交换机保存的所有NTDP信息,丢弃所有的NTDP报文,禁用发送NTDP请求。
表10-8 启用/禁用系统NTDP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用系统NTDP |
ntdp enable |
缺省情况下,系统NTDP处于启用状态 |
|
禁用系统NTDP |
undo ntdp enable |
- |
用户可以控制NTDP端口启用/禁用状态,来控制对哪些端口进行发送、接收和转发NTDP报文,哪些端口不处理。如果启用端口NTDP,且系统NTDP也已启用,则交换机可以从该端口发送、接收和转发NTDP报文;如果禁用端口NTDP,交换机不能通过该端口处理NTDP报文。
表10-9 启用/禁用端口NTDP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_number |
- |
|
启用端口NTDP |
ntdp enable |
缺省情况下,端口NTDP处于启用状态 |
|
禁用端口NTDP |
undo ntdp enable |
- |
在用户视图下执行debugging命令可以对NTDP模块进行调试。
表10-10 启用/禁用ntdp调试开关
|
操作 |
命令 |
说明 |
|
启用NTDP调试开关 |
debugging ntdp |
用户视图下执行 |
|
禁用NTDP调试开关 |
undo debugging ntdp |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
例:启用NTDP调试开关。
<H3C>debugging ntdp
SNMP(Simple Network Management Protocol 简单网络管理协议)是被广泛接受并投入使用的工业标准。它用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。
SNMP分为NMS和Agent两部分,NMS(Network Management Station 网络管理站),是运行服务器端程序的工作站;Agent是运行在网络设备上的客户端软件。NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的请求报文后,根据报文类型进行Read或 Write操作,生成Response报文,并将报文返回给NMS。
S1550E作为SNMP Agent,支持SNMPv1和SNMPv2c。
SNMP的主要配置包括:
l 设置团体名;
l 设置系统信息;
l 禁止SNMP Agent的运行。
SNMPv1、SNMPv2c采用团体名认证。SNMP团体(Community)用一个字符串来命名,称为团体名(Community Name)。SNMP团体名用来定义NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制NMS访问S1550E上的SNMP Agent。用户可以指定以下一个或者多个与团体名相关的特性:
l 定义团体可以访问的所有MIB对象的子集的MIB视图;
l 对团体可以访问的MIB对象定义读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能查询设备信息,而具有读写权限的团体还可以配置设备。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置团体名及访问权限 |
snmp-agent community { read | write } community-name |
l read:表明对MIB对象进行只读的访问 l write:表明对MIB对象进行读写的访问 l community-name:团体名字符串。字符串长度有效范围1~32 |
|
取消团体名及访问权限 |
undo snmp-agent community community-name |
- |
例:设置团体名为comaccess,并且允许使用该团体名进行只读访问。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]snmp-agent community read comaccess
例:删除团体名comaccess。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]undo snmp-agent community comaccess
表11-2 设置接收/发送SNMP报文的大小
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置接收/发送的最大SNMP报文的大小 |
snmp-agent max-size byte-count |
l byte-count:接收/发送的最大SNMP报文的大小,单位字节,取值范围为1500~64000 l 缺省情况下,SNMP报文的大小为1500字节 l 根据所处的网络环境不同,Agent能接收/发送的SNMP消息包的大小也有所差异。 |
|
恢复SNMP报文大小的缺省值 |
undo snmp-agent max-size |
- |
例:设置Agent能接收/发送的SNMP消息包的最大为1600字节。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] snmp-agent max-size 1600
如果S1550E发生故障,维护人员可以利用系统维护联系信息了解其生产厂商等信息,及时与生产厂商取得联系。可以使用下面的命令来设置系统维护联系信息。
表11-3 设置系统信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置系统信息 |
snmp-agent sys-info { contact sysContact | location sysLocation | version { v1 | v2c | all } } |
l contact:设置系统维护联系信息 l sysContact:描述系统维护联系信息的字符串,字符串有效长度是1~80 l location:设置设备节点的物理位置,字符串有效长度是1~80 l sysLocation:设备节点的物理位置信息,字符串的有效长度是1~80 l version:设置系统启用的SNMP版本号 l v1:SNMPv1版本 l v2c:SNMPv2c版本 l all:SNMPv1、SNMPv2c 版本 |
|
取消当前设置的系统信息 |
undo snmp-agent sys-info [ contact | location | version { v1 | v2c | all } ] |
- |
例:设置系统维护联系信息为#27345。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]snmp-agent sys-info contact #27345
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启SNMP Agent运行 |
snmp-agent |
- |
|
禁止SNMP Agent运行 |
undo snmp-agent |
缺省情况下,禁止SNMP Agent运行 禁止SNMP Agent运行以后,用户若配置任何一条snmp-agent命令,都将重新启用SNMP Agent |
例:禁止正在运行的SNMP Agent。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]undo snmp-agent
在完成上述配置后,在任意视图下执行display命令可以显示SNMP的相关信息,验证信息配置的效果。
表11-5 SNMP的显示
|
操作 |
命令 |
说明 |
|
显示当前配置的团体名 |
display snmp-agent community [ read | write ] |
任意视图下均可执行 |
|
显示系统维护联系信息 |
display snmp-agent sys-info contact |
|
|
显示系统物理位置信息 |
display snmp-agent sys-info location |
|
|
显示系统启用的SNMP版本 |
display snmp-agent sys-info version |
表11-6 启用/禁用SNMP调试开关
|
操作 |
命令 |
说明 |
|
启用SNMP调试开关 |
debugging snmp-agent {packet | process } |
l 用户视图下执行 l packet:数据包调试信息 l process:SNMP数据包的过程处理调试信息 |
|
禁用SNMP调试开关 |
undo debugging snmp-agent { packet | process } |
- |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
网管工作站(NMS)与S1550E通过以太网相连,网管工作站IP地址为129.102.149.23,S1550E的VLAN接口IP地址为129.102.0.1(网管工作站和S1550E路由可达)。管理VLAN是VLAN 2。在交换机上进行如下配置:设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息。
图11-1 SNMP配置举例组网图
# 进入系统视图。
<H3C>system-view
# 设置团体、群组。
[H3C]snmp-agent sys-info version all
[H3C]snmp-agent community read public
[H3C]snmp-agent community write private
#删除原来的管理VLAN接口
[H3C]undo interface vlan-interface 1
#创建VLAN2,指定其为管理VLAN,并创建管理VLAN2的接口
[H3C]vlan 2
[H3C-Vlan2]quit
[H3C]management-vlan 2
[H3C]interface vlan-interface 2
# 设置网管使用的VLAN接口为VLAN 2接口,将用于网管的端口Ethernet0/5加入到VLAN2中,配置VLAN2的接口IP地址129.102.0.1。
[H3C-Vlan-interface2]vlan 2
[H3C-vlan2]port ethernet 0/5
[H3C-vlan2]interface vlan 2
[H3C-Vlan-interface2]ip address 129.102.0.1 255.255.255.0
网管所在的计算机需要进行登录设置。对于Mib-Browser,使用缺省的团体名public登录。
S1550E支持iManager Quidview网管系统。用户可利用网管系统完成对S1550E的查询和配置操作,详细配置方法请参见网管产品的配套手册。
IGMP Snooping(Internet Group Management Protocol Snooping)是运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组。
IGMP Snooping运行在链路层。当二层以太网交换机收到主机和路由器之间传递的IGMP报文时,IGMP Snooping分析IGMP报文所带的信息。当监听到主机发出的IGMP主机报告报文(IGMP host report message)时,交换机就将该主机加入到相应的组播表中;当监听到主机发出的IGMP离开报文(IGMP leave message)时,交换机将在相应的组播表中删除此主机端口。通过不断地监控IGMP报文,交换机就可以在二层建立和维护MAC组播地址表。之后,交换机就可以根据MAC组播地址表转发从路由器下发的组播报文。
没有运行IGMP Snooping时,组播报文将在二层广播。如下图所示:
图12-1 没有IGMP Snooping时组播报文传播过程
运行IGMP Snooping后,报文将不再在二层广播,而是进行二层组播。如下图所示:
图12-2 实现IGMP Snooping时组播报文传播过程
IGMP Snooping配置包括:
l 启用/禁用IGMP Snooping;
l 配置路由器端口老化时间;
l 配置最大响应查询时间;
l 配置组播组成员端口老化时间;
l 配置端口快速离开。
在上述的配置任务中,启用IGMP Snooping是必须的;其余则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
为了控制IGMP Snooping是否在二层建立和维护MAC组播转发表,可以使用下面的命令来启用/禁用IGMP Snooping。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用IGMP Snooping |
igmp-snooping enable |
缺省情况下,IGMP Snooping功能禁用 |
|
禁用IGMP Snooping |
undo igmp-snooping enable |
- |
例:启用IGMP Snooping。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]igmp-snooping enable
Enable IGMP-Snooping ok.
本配置任务用来手工设置路由器端口老化时间。如果在路由器端口老化时间之内没有收到路由器的通用查询报文,则把该路由器端口从所有的MAC组播组的端口成员中删去。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置端口老化时间 |
igmp-snooping router-aging-time seconds |
l seconds:路由器端口超时的时间(1秒~1000秒)。 l 缺省情况下,端口老化时间为105秒。 |
|
恢复端口老化时间缺省值 |
undo igmp-snooping router-aging-time |
- |
例:配置IGMP Snooping路由器端口老化时间。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]igmp-snooping router-aging-time 300
本配置任务用来手工设置最大响应查询时间。如果在最大响应查询时间之内没有收到的端口报告报文,S1550E就把该端口从组播组端口成员中删去。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置最大响应查询时间 |
igmp-snooping max-response-time seconds |
l seconds:最大响应查询时间(1秒~25秒) l 缺省情况下,最大响应查询时间为10秒 |
|
恢复最大响应查询时间的缺省值 |
undo igmp-snooping max-response-time |
- |
例:配置IGMP Snooping最大响应查询时间。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]igmp-snooping max-response-time 10
本配置任务用来手工设置组播组成员端口老化时间。在成员端口老化时间之内,如果没有收到组播组报告报文,则向该端口发特定组查询,同时启用该IP组播组的响应查询定时器。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置组播组成员老化时间 |
igmp-snooping host-aging-time seconds |
l seconds:主机端口超时的时间(200秒~1000秒) l 缺省情况下,组播组成员端口老化时间为260秒 |
|
恢复组播组成员老化时间的缺省值 |
undo igmp-snooping host-aging-time |
- |
例:配置IGMP Snooping路由器端口老化时间。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]igmp-snooping host-aging-time 300
本配置任务用来手工设置端口快速离开功能。如果支持快速离开,在收到离开报文时,立即将此端口从组播组中删除。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
- |
|
启用快速离开功能 |
igmp-snooping fast-leave |
- |
|
禁用快速离开功能 |
undo igmp-snooping fast-leave |
- |
例:配置端口支持快速离开。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]interface Ethernet0/1
[H3C-Ethernet0/1]igmp-snooping fast-leave
在完成上述配置后,在任意视图下执行display命令可以显示配置后IGMP Snooping的运行情况,通过查看显示信息验证配置的效果。在用户视图下执行reset命令可以清除IGMP Snooping统计信息。
|
操作 |
命令 |
说明 |
|
显示当前IGMP Snooping的配置信息 |
display igmp-snooping configuration |
任意视图下均可执行 |
|
显示IGMP Snooping对收发包的统计信息 |
display igmp-snooping statistics |
|
|
显示VLAN下的IP组播组和MAC组播组信息 |
display igmp-snooping group [ vlan vlan-id ] |
|
|
清除IGMP Snooping统计信息 |
reset igmp-snooping statistics |
用户视图下执行 |
启用此功能后,可以查看的调试信息包括IGMP收发消息,组播组建立删除情况,定时器的超时信息和异常出错信息。
|
操作 |
命令 |
说明 |
|
启用IGMP Snooping调试开关 |
debugging igmp-snooping all |
l 用户视图下执行 l all:全部调试信息 |
|
禁用IGMP Snooping调试开关 |
undo debugging igmp-snooping all |
缺省情况下,IGMP-Snooping调试信息开关处于禁用状态 |
相关配置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“16.1.3 显示调试开关状态”和“16.1.2 启用/禁用终端显示调试信息功能”。
例:启用IGMP Snooping调试开关。
<H3C>debugging igmp-snooping all
802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。主要用于解决以太网内认证和安全方面的问题。
& 说明:
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图13-1所示分别为:Supplicant system(客户端)、Authenticator system(设备端)以及Authentication server system(认证服务器)。
图13-1 802.1x认证系统的体系结构
l 客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
l 设备端对所连接的客户端进行认证。设备端为支持802.1x协议的网络设备(如S1550E),它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
l 认证服务器是为设备端提供认证服务的实体。认证服务器用于对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
S1550E不仅支持802.1x协议所规定的端口接入认证方式,还对其进行了扩展、优化,极大地提高了系统的安全性和可管理性。
l 支持一个物理端口接入多个用户的应用场合;
l 接入控制方式(即对用户的认证方式)不仅可以基于端口,还可以基于MAC地址。
l 开启/关闭802.1x特性
l 设置端口接入控制模式
l 设置端口接入控制方式
l 设置端口接入用户数量的最大值
l 设置802.1x用户的认证方法
l 设置802.1x重认证功能
在以上的配置任务中,为保证802.1x开启,第一项任务是必配的;其余任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
可以通过下面的命令开启/关闭指定端口或全局的802.1x特性。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
可选 interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
开启802.1x特性 |
dot1x [ interface interface-list ] |
l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list=Ethernet interface-num [ to Ethernet interface-num ] l 在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则表示开启全局802.1x特性。 l 在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口 l 缺省情况下,全局及端口的802.1x特性均为关闭状态 |
|
关闭802.1x特性 |
undo dot1x [ interface interface-list ] |
- |
& 说明:
只有全局802.1x特性和端口802.1x特性都开启后,端口的802.1x配置才能生效。
例:开启以太网端口Ethernet 0/1上的802.1x特性。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x interface ethernet 0/1
# 开启全局802.1x特性。
[H3C] dot1x
可以通过下面的命令来设置802.1x在指定端口上进行接入控制的模式。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
可选 interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
设置端口接入控制的模式 |
dot1x port-control {authorized-force | unauthorized-force | auto } [ interface interface-list ] |
l auto:自动识别模式。端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源 l authorized-force:强制授权模式。端口始终处于授权状态,允许用户不经认证授权即可访问网络资源 l unauthorized-force:强制非授权模式。端口始终处于非授权状态,不允许用户访问网络资源 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。 l 在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口 l 缺省情况下,接入控制模式为auto |
|
将端口接入控制的模式恢复为缺省值 |
undo dot1x port-control [ interface interface-list ] |
- |
例:指定端口Ethernet 0/1处于强制非授权状态。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x port-control unauthorized-force interface ethernet 0/1
此命令用来设置802.1x在指定端口上进行接入控制的方式,即基于什么来对用户进行认证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
可选 interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
设置端口接入控制方式 |
dot1x port-method { macbased | portbased } [ interface interface-list ] |
l macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证 l portbased:指示802.1x认证系统基于端口号对接入用户进行认证 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。 l 在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口 l 缺省情况下,接入控制方式为macbased |
|
将端口接入控制方式恢复为缺省值 |
undo dot1x port-method [ interface interface-list ] |
- |
& 说明:
l 采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;
l 采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证即可使用网络资源,但是当第一个用户下线后,其他用户会被拒绝使用网络。
例:指定端口Ethernet 0/1基于端口号对接入用户进行认证。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x port-method portbased interface ethernet 0/1
可以通过下面的命令来设置802.1x在指定端口上可容纳接入用户数量的最大值。当没有指定任何确定的端口时,所有端口都可容纳相同数量的接入用户。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
可选 interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
设置端口接入用户数量的最大值 |
dot1x max-user user-number [ interface interface-list ] |
l user-number:端口可容纳接入用户数量的最大值,取值范围为1~128 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。 l 在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口 l 缺省情况下,指定端口上可容纳接入用户数量的最大值为128 |
|
将端口接入用户数量的最大值恢复为缺省值 |
undo dot1x max-user [ interface interface-list ] |
- |
例:设置端口Ethernet 0/2最多可容纳32个接入用户。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x max-user 32 interface ethernet 0/2
可以通过下面的命令来设置802.1x用户的认证方法。S1550E支持EAP中继认证(直接把认证信息以EAP报文的形式发送给认证服务器,该功能的实现,需要认证服务器支持EAP认证)。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置802.1x用户的认证方法 |
dot1x authentication-method eap |
eap:采用EAP认证方式。 |
|
恢复缺省802.1x用户认证方法 |
undo dot1x authentication-method |
- |
例:设置交换机802.1x用户采用EAP认证。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x authentication-method eap
在交换机上启用802.1x重认证功能,使交换机对接入的用户进行周期性的重新认证。
表13-6 启用/关闭802.1x用户重认证功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface_num |
可选 interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
启用802.1x用户重认证功能 |
dot1x re-authenticate [ interface interface-list ] |
l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口 l 缺省情况下,所有端口的802.1x重认证特性都处于关闭状态 |
|
关闭802.1x用户重认证功能 |
undo dot1x re-authenticate [ interface interface-list ] |
- |
S1550E以用户通过dot1x timer reauth-period命令设置的值作为认证周期,该周期的缺省值为3600秒。重认证超时定时器的配置请参见“13.2.7 配置定时器参数”。
802.1x在运行时会启用很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authenticator Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值,以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。一般情况下,请保持这些定时器的缺省值。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置定时器参数 |
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value } |
l handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态 l handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒 l reauth-period:重认证超时定时器。在该定时器设置的时长内,S1550E会发起802.1x重认证 l reauth-period-value:重认证超时定时器设置的时长,取值范围为1~86400,单位为秒。缺省值为3600秒 l quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不处理认证功能 l quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒 l tx-period:传送超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送认证应答报文,则Authenticator设备将重发认证请求报文 l tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒 l supp-timeout:Supplicant认证超时定时器。若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发认证请求报文 l supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒 l server-timeout:Authentication server超时定时器。若在该定时器设置的时长内,Authentication server未成功响应,Authenticator设备将重发认证请求报文 l server-timeout-value:认证服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒 |
|
将定时器参数恢复为缺省值 |
undo dot1x timer { quiet-period | tx-period| supp-timeout | server-timeout } |
- |
例:设置Authentication server超时定时器时长为150秒
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x timer server-timeout 150
在完成上述配置后,在所有视图下执行display命令可以显示配置后802.1x的运行情况,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
说明 |
|
清除802.1x的统计信息 |
reset dot1x statistics [ interface interface-list ] |
l 用户视图下执行 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 如果不指定端口类型和端口号,则清除交换机上的全局及所有端口的802.1x统计信息;如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息 |
|
显示802.1x的配置、运行情况和统计信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
l 任意视图下均可执行 l sessions:显示802.1x的会话连接信息。 l statistics:显示802.1x的相关统计信息。 l interface:显示指定端口的802.1x相关信息。 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息,例如:所有端口的802.1x配置情况、802.1x的会话连接信息、802.1x的数据统计信息等。 |
|
打开802.1x的错误/事件/报文/全部调试开关 |
debugging dot1x { error | event | packets | all } |
l 用户视图下执行 l error:打开802.1x模块认证过程中发生的错误信息的调试功能。 l event:打开802.1x模块认证过程中发生的事件的调试功能。 l packets:打开802.1x模块的包收发的调试功能。 l all:打开802.1x模块的所有调试功能。 |
|
关闭802.1x的错误/事件/报文/全部调试开关 |
undo debugging dot1x { error | event | packets | all } |
用户视图下执行 |
l 如下图所示,某用户的工作站与S1550E的端口Ethernet0/1相连接。
l 要求在各端口上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是macbased。
l 一台认证服务器(RADIUS服务器)与S1550E相连,其IP地址为10.11.1.1,端口使用缺省端口1812。
l 设置S1550E与RADIUS服务器交互报文时的共享密钥为123。
l 设置S1550E在向RADIUS服务器发送报文后10秒种内如果没有得到响应,就向其重新发送报文,发送报文的次数总共为10次。
& 说明:
# 开启指定端口Ethernet 0/1的802.1x特性。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x interface ethernet 0/1
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[H3C] dot1x port-method macbased interface ethernet 0/1
# 进入RADIUS方案system的视图。
[H3C] radius scheme system
# 设置RADIUS服务器的IP地址。
[H3C-radius-system] primary authentication 10.11.1.1
This will kick away all the users online. Continue? [Y/N]y
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[H3C -radius-system] key authentication 123
This will kick away all the users online. Continue? [Y/N]y
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[H3C-radius-system] timer 10
This will kick away all the users online. Continue? [Y/N]y
[H3C-radius-system] retry 10
This will kick away all the users online. Continue? [Y/N]y
[H3C-radius-system] quit
# 开启全局802.1x特性。
[H3C] dot1x
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、Client/Server结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求允许远程用户访问的各种网络环境中。
RADIUS服务包括三个组成部分:
l 协议:RFC 2865和RFC 2866基于UDP定义了RADIUS的帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
l 服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
l 客户端:位于网络接入服务器设备侧,可以遍布整个网络。
RADIUS采用Client/Server模型。设备(如路由器、交换机)作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给设备返回所有需要的信息。
相对于RADIUS服务器来说,S1550E是RADIUS系统的客户端。
l 创建/删除RADIUS方案
l 设置RADIUS服务器的IP地址和端口号
l 设置RADIUS报文的共享密钥
l 设置RADIUS服务器响应超时定时器
l 设置RADIUS请求报文的最大传送次数
在以上的配置任务中,创建RADIUS方案、设置RADIUS服务器的IP地址是必需的;其余任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
RADIUS协议的配置是以RADIUS方案为单位进行的。因此,在进行其它RADIUS协议配置之前,必须先创建RADIUS方案并进入其视图。
表14-1 创建/删除RADIUS方案
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
l radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串 l 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案,其各项属性均为缺省值 l 目前只支持缺省方案 |
|
删除RADIUS方案 |
undo radius scheme radius-scheme-name |
l 当有使用该方案的用户在线时不允许删除该RADIUS方案 l 缺省方案“system”不能被删除 |
例:进入RADIUS方案system的视图。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system]
当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS认证/授权服务器的IP地址和UDP端口号进行设置。在配置过程中,请保证交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
表14-2 设置RADIUS服务器的IP地址和端口号
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS认证/授权服务器的IP地址和端口号 |
primary authentication ip-address [ port-number ] |
l ip-address:IP地址,为点分十进制格式。 l port-number:UDP端口号。取值范围为1~65535。 l 缺省情况下,对于系统创建的RADIUS方案“system”,其RADIUS服务器的IP地址为空,UDP端口号为1812 |
|
将RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值 |
undo primary authentication |
- |
为了保证S1550E与RADIUS服务器能够正常交互,在设置RADIUS服务器的IP地址和UDP端口之前,必须确保RADIUS服务器与S1550E的路由连接正常。
例:设置RADIUS方案system的认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system] primary authentication 10.110.1.1 1812
RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
表14-3 设置RADIUS报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS认证/授权报文的共享密钥 |
key authentication string |
l authentication:指示设置/删除RADIUS认证/授权报文的共享密钥 l string:密钥。为不超过16个字符的字符串 l 缺省情况下,无共享密钥 |
|
恢复RADIUS认证/授权报文共享密钥为缺省 |
undo key authentication |
- |
例:将RADIUS方案system的认证/授权报文的共享密钥设置为hello。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system] key authentication hello
如果在RADIUS认证/授权请求报文传送出去一段时间后,S1550E还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,交换机系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,timer命令就是用来设置这个定时器长度的。
根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
表14-4 设置RADIUS服务器响应超时定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS服务器响应超时定时器 |
timer second |
l seconds:RADIUS服务器响应超时定时器,单位为秒,取值范围为1~10 l 缺省情况下,RADIUS服务器响应超时定时器为5秒 |
|
将RADIUS服务器响应超时定时器恢复为缺省值 |
undo timer |
- |
例:将RADIUS方案“system”的响应超时定时器设置为5秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C-radius-system] timer 5
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大重传次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
根据网络状况合理的设置最大重传次数可以提高系统的响应速度。
表14-5 设置RADIUS请求报文的最大传送次数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS请求报文的最大传送次数 |
retry retry-times |
l retry-times:最大传送次数,取值范围为1~20 l 缺省情况下,RADIUS报文超时重传次数为5 |
|
将RADIUS请求报文的最大传送次数恢复为缺省值 |
undo retry |
- |
例:设置在RADIUS方案system下,RAIUDS报文的最大超时重传次数为5次。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system] retry 5
完成上述配置后,在任意视图下执行display命令可以显示配置后RADIUS的运行情况,通过查看显示信息验证配置的效果。
表14-6 RADIUS协议的显示和调试
|
操作 |
命令 |
说明 |
|
显示所有或指定RADIUS方案的配置信息 |
display radius [ radius-scheme-name ] |
l 任意视图下均可执行 l radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。此项如果为空,则显示所有RADIUS方案的配置信息 |
|
打开RADIUS报文调试开关 |
debugging radius packet |
l 用户视图下执行 l 缺省情况下,关闭RADIUS协议的调试功能 |
|
关闭RADIUS报文调试开关 |
undo debugging radius packet |
- |
RADIUS协议与802.1x协议配合使用的例子,请参见“13.4 802.1x典型配置举例”部分,此处不再赘述。
S1550E维护着一张用于转发的地址表。MAC地址表的表项包含了与S1550E相连的设备的MAC地址及与此设备相连的交换机的端口号。根据网络实际情况,管理员可以手工配置地址表。
S1550E提供MAC地址老化的功能。如果在一定时间内没有收到来自某网络设备的报文,S1550E就会把与此设备相关的MAC地址表项删除。MAC地址老化对静态MAC地址表项无效。
MAC地址表管理包括:
l 添加/修改/删除地址表项;
l 设置单播地址表老化时间。
管理员根据实际情况可以人工添加、修改或删除地址表中的表项。可以删除与某个端口相关的所有地址表项,也可以选择删除某类地址表项如动态表项、静态表项。
表15-1 添加/修改/删除地址表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加/修改地址表项 |
mac-address blackhole mac_address vlan vlan-id mac-address { dynamic | static } mac_address interface Ethernet interface_num vlan vlan-id |
l blackhole:黑洞表项,所有目的地址为该MAC地址的数据包都会被交换机丢弃 l static:静态表项,不会被老化掉,保存后不会复位丢失 l dynamic:动态表项,会被老化掉 l mac_address:MAC地址,采用H-H-H的形式 l interface_num:端口号,采用槽位编号/端口编号的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l vlan-id:VLAN的ID,取值范围为1~4094 |
|
删除地址表项 |
undo mac-address [ interface Ethernet interface_num | mac_address [ vlan vlan-id ] ] |
- |
注意:
l 在删除动态地址表项时会同时把学习到的地址表项删除。
l S1550E是独立地址学习方式,不同VLAN可以拥有相同的MAC表项。
例:添加一个地址表项,MAC地址为00e0-fc01-0101,端口号为Ethernet0/1,端口属于VLAN 1,并将该表项设置为静态表项。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]mac-address static 00e0-fc01-0101 interface Ethernet 0/1 vlan 1
例:添加一个组播地址表项,MAC地址为0100-0000-0012,端口号为Ethernet0/1,Ethernet0/2,端口属于VLAN 1。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]mac-address static 0100-0000-0012 interface Ethernet 0/1 vlan 1
[H3C]mac-address static 0100-0000-0012 interface Ethernet 0/2 vlan 1
例:添加在VLAN 1中的黑洞MAC地址:0000-0000-0001。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]mac-address blackhole 0000-0000-0001 vlan 1
设置合适的老化时间可以有效地实现地址老化的功能。设置过长或者过短的老化时间,可能会引起不必要的网络故障,建议使用缺省值300秒。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置MAC地址表的老化时间 |
mac-address timer { aging age | no-aging } |
age:MAC地址表的老化时间,取值范围为10~1000000,单位为秒 |
|
恢复MAC地址表的老化时间为缺省值 |
undo mac-address timer aging |
缺省情况下,MAC地址表的老化时间为300秒 |
例:设置MAC地址表的老化时间为500秒。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]mac-address timer aging 500
例:禁止MAC地址老化。
[H3C]mac-address timer no-aging
在完成上述配置后,在任意视图下执行display命令可以显示学习到及配置后地址表管理的相关信息,比如显示MAC地址表的老化时间以及MAC地址表的信息,包括地址表项、VLAN ID、地址状态(静态还是动态)、地址对应的端口、老化时间等。用户可以通过查看显示信息验证配置的效果。
|
操作 |
命令 |
说明 |
|
显示MAC地址表信息 |
display mac-address [ mac_address [ vlan vlan-id ] | interface Ethernet interface_num | blackhole | aging-time | count ] |
l mac_address:MAC地址 l interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l blackhole:黑洞表项,所有目的地址为该MAC地址的数据包都会被交换机丢弃 l count:数量,此参数用于显示MAC地址数量的命令 |
|
查看ARP映射表 |
display arp [ ip-address ] |
ip-address:显示指定IP地址的ARP表项 |
& 说明:
l ARP表项的老化时间为20分钟。
l ARP表项自动更新。
例:显示地址表中MAC地址为00e0-fc01-0101的地址表项的信息。
<H3C> display mac-address 00e0-fc01-0101
Reading entire MAC table. Please wait...
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
00e0-fc01-0101 1 Config static Ethernet0/1 NOAGED
--- 1 mac address(es) found ---
以上显示信息表示:MAC地址为00e0-fc01-0101的数据包将从Ethernet0/1端口转发,这个表项被设置为静态表项。
例:显示MAC地址表的老化时间。
<H3C>display mac-address aging-time
Mac-address aging-time: 300s
以上显示信息表示:MAC地址表的老化时间为300秒。
例:显示MAC地址数量。
<H3C>display mac-address count
2 mac address(es) found
以上信息表示:交换芯片中共有2个MAC地址表项。
例:显示所有的ARP表项。
<H3C>display arp
IP Address MAC Address VLAN ID Port Name Aging
192.168.8.101 000a-eb66-0cff 1 Ethernet0/2 20
192.168.8.99 000f-e200-0155 1 Ethernet0/1 20
--- 2 entries found ---
例:显示指定的ARP表项。
<H3C> dis arp 192.168.8.101
IP Address MAC Address VLAN ID Port Name Aging
192.168.8.101 000a-eb66-0cff 1 Ethernet0/2 20
--- 1 entries found ---
端口绑定即为将MAC地址与端口进行绑定。用户可以通过配置MAC地址与端口的绑定关系,只允许特定MAC地址的设备通过该端口访问网络。
注意:
配置了端口汇聚的端口不能再配置端口绑定。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置端口绑定 |
mac-address port-binding mac_address interface Ethernet interface_num [vlan vlan-id] |
l mac_address:需要进行绑定的MAC地址 l interface_num:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l vlan-id:该端口所属的VLAN |
|
取消端口绑定 |
undo mac-address port-binding mac_address interface Ethernet interface_num [vlan vlan-id] |
- |
例:将MAC地址00e0-fc01-0101和端口Ethernet0/1绑定,并且端口Ethernet0/1属于VLAN 1。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] mac-address port-binding 00e0-fc01-0101 interface Ethernet 0/1 vlan 1
在完成上述配置后,在任意视图下执行display命令可以显示端口绑定信息。
表15-5 地址表管理显示
|
操作 |
命令 |
说明 |
|
显示端口绑定信息 |
display mac-address port-binding |
port-binding:端口绑定 |
S1550E提供配置管理功能,包括:
l 显示当前配置和已保存配置;
l 保存当前配置;
l 恢复缺省配置。
|
操作 |
命令 |
说明 |
|
显示已保存配置 |
display saved-configuration |
任意视图下均可执行 |
|
显示当前配置 |
display current-configuration |
任意视图下均可执行 |
& 说明:
l 如果S1550E上电之后工作不正常,可以执行display saved-configuration命令查看交换机的已保存配置,以定位问题所在。
l 当用户完成一组配置后,需要验证配置是否正确时,可以执行display current-configuration命令来查看当前生效的参数。对于某些参数,虽然用户已经配置,但如果这些参数所在的功能没有生效,则不予显示。对于某些正在生效的配置参数,如果与缺省工作参数相同,也不显示。
例:显示FLASH memory中S1550E的配置。
<H3C>display saved-configuration
Reading FLASH memory. Please wait...
#
sysname H3C
#
vlan 1
#
interface Ethernet0/1
#
interface Ethernet0/2
---- More ----
例:显示S1550E当前生效的配置参数。
<H3C>display current-configuration
sysname H3C
#
vlan 1
#
interface Ethernet0/1
duplex full-duplex mode
speed 10
#
---- More ----
为了使当前配置能够作为S1550E下次上电启动时的已保存配置,需要使用以下命令保存当前配置到FLASH memory中。
|
操作 |
命令 |
说明 |
|
保存当前配置 |
save |
l 用户视图下执行 l 当完成一组配置并且已经达到预定功能时,建议用户将当前配置保存到FLASH memory中 |
例:保存当前配置到FLASH memory中。
<H3C>save
This will save the configuration in the FLASH memory
Are you sure?[Y/N]y
Now saving current configuration to FLASH memory
Please wait for a while...
Current configuration saved to FLASH memory successfully
恢复S1550E出厂时的缺省配置。需要注意的是此项操作要在重启交换机后才能生效。(重新启动交换机的具体操作可参见“15.4.2 重启交换机”)
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
恢复交换机缺省配置 |
restore default |
- |
例:恢复交换机缺省配置。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]restore default
This will restore the default configuration in the FLASH memory
Are you sure?[Y/N]y
Now saving default configuration to FLASH memory
Please wait for a while...
Default configuration saved to FLASH memory successfully
然后设备将重启。
S1550E提供设备管理功能,包括:
l 显示系统版本;
l 重启交换机;
l 显示工作状态信息;
l 设置交换机系统名。
不同版本的软件提供不同的功能,可以使用以下命令查看S1550E的系统版本信息,从而知道当前软件支持的功能特性。
|
操作 |
命令 |
说明 |
|
显示系统版本 |
display version |
任意视图下均可执行 |
当S1550E出现故障需要重新启动时,可以通过以下命令进行重启。
|
操作 |
命令 |
说明 |
|
重启交换机 |
reboot |
用户视图下执行 |
例:重启交换机。
<H3C>reboot
This will reboot switch. Continue? [Y/N]y
Switch is rebooted!
当需要显示S1550E单板的模块类型、工作状态信息时,可以通过以下命令进行查看。
|
操作 |
命令 |
说明 |
|
显示设备工作状态 |
display device |
任意视图下均可执行 |
例:显示设备信息。
<H3C>display device
SlotNo SubSNo PortNum FPGAVer CPLDVer Type
0 0 26 NULL NULL MAIN
表15-12 display device显示信息描述表
|
字段 |
描述 |
|
SlotNo |
槽位号 |
|
SubSNo |
子槽位号 |
|
PortNum |
端口号 |
|
FPGAVer |
FPGA版本号 |
|
CPLDVer |
CPLD版本号 |
|
BootRomVer |
BootRom版本号 |
|
Type |
设备类型 |
可以使用以下命令修改S1550E的系统名,以便更清楚的标识各设备。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置交换机系统名 |
sysname sysname |
sysname:字符串,长度为1~30个字符。S1550E缺省系统名为H3C |
|
恢复交换机系统名为缺省名 |
undo sysname |
- |
& 说明:
sysname命令用来设置S1550E的系统名,修改S1550E的系统名将影响命令行接口的提示符,如S1550E的系统名为H3C,用户视图下的提示符为<H3C>。undo sysname命令用来恢复S1550E的系统名的缺省值。
例:设置S1550E的系统名为H3CS1550E。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]sysname H3CS1550E
[H3CS1550E]
信息中心是交换机的信息枢纽,通过对系统输出信息进行分类和筛选,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供强有力的支持。
信息中心的特点如下:
l 信息中心共有三类信息:日志信息(log)、告警信息(trap)和调试信息(debug)。
l 信息按重要性划分为八个等级,输出到日志主机的日志信息可以按照八个等级进行过滤。对于输出到用户终端或者缓冲区的信息,未提供等级过滤服务。
l 支持通过控制台(Console)、Telnet终端、日志缓冲区(logbuffer)、告警缓冲区(trapbuffer)和日志主机(loghost)五个通道输出。在信息中心启用的情况下,只有日志主机可以配置。
l 信息格式包括时间戳、信息级别、模块名和具体信息等。
下面进行详细介绍。
信息中心可以接收和处理3类信息:
l log类:即日志信息
l debug类:即调试信息
l trap类:即告警信息
根据信息的严重等级或紧急程度,信息分为8个等级,信息越严重,其显示值越小。详细信息见表15-14。
|
显示值 |
严重等级 |
描述 |
|
1 |
Emergency |
设备致命的异常,系统已经无法恢复正常,必须重启设备。如:程序异常导致设备重启,内存使用被检测出错误等 |
|
2 |
Alert |
设备重大的异常,需要立即采取措施。如设备内存占用率达到极限等 |
|
3 |
Critical |
设备重大的异常,需要采取措施进行处理或原因分析。如设备内存占用率超过低界线,温度超过低温告警线,检测出错误的消息(消息是由本设备内部生成)等 |
|
4 |
Error |
错误的操作或设备的异常流程,不会影响后续业务,但是需要关注和原因分析。如用户指令错误,用户密码错误等 |
|
5 |
Warning |
设备异常运转的异常点,可能引起业务故障的流程,需要引起注意。如检测出错误协议报文等 |
|
6 |
Notice |
设备正常运转的关键操作信息。如用户对接口的shutdown命令等 |
|
7 |
informational |
设备正常运转的一般性操作信息。如用户使用display命令等 |
|
8 |
Debugging |
设备正常运转的一般性信息,用户无需关注 |
根据严重等级过滤信息时,仅输出严重等级的值小于或等于所配置的严重等级值的信息。例如,当配置严重等级阈值为6时,仅输出严重等级阈值为1~6的信息。
信息格式如下:
<priority>timestamp sysname module/level/ content
<优先级>时间戳 主机名 模块名/级别/内容
不同的输出方向具体的格式略有不同,下面对各字段进行说明:
l 优先级
表示信息来源以及信息等级。优先级只有当信息发送到日志主机上时才有效,即打印到用户终端的信息中将不包含优先级字段。
l 时间戳
& 说明:
由于目前S1550E没有支持NTP,也没有支持配置设备时钟,因此所有日期均以“0000年1月1日 00:00:00时”作为参考基准。
时间戳记录了系统信息产生的时间,方便用户查看和定位系统事件。
时间戳的格式为“Mmm dd hh:mm:ss yyyy”。
“Mmm”为英语月份的缩写;“dd”为日期;“hh:mm:ss”为本地时间;“yyyy”为年份。
主机名是本机的系统名,缺省为“H3C”。用户可用sysname命令修改主机名。具体配置请参见“15.4.4 设置交换机系统名”。
l 模块名
该字段表示信息是由哪个模块产生的。
l 级别
交换机的信息分为三类:日志信息、调试信息和告警信息。按信息的严重等级,交换机把每类信息都划分为八个等级。它们的定义和说明请参见表15-14。
l 内容
表示该信息的内容大意。
info-center enable命令用来启用信息中心,undo info-center enable命令用来禁用信息中心。只有启用了信息中心,系统才会向日志主机、控制台等方向输出系统信息。
表15-15 启用/禁用信息中心
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用信息中心 |
info-center enable |
缺省情况下,交换机启用信息中心 |
|
禁用信息中心 |
undo info-center enable |
- |
& 说明:
信息中心缺省情况下处于启用状态。信息中心启用时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。
info-center loghost 命令用来设置向指定日志主机输出信息,undo info-center loghost命令用来取消向日志主机输出信息。只有启用了系统的日志功能,该命令才会生效。通过设置日志主机的IP地址,可使信息在该方向输出。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
向日志主机输出信息 |
info-center loghost ip host-ip-addr |
l 缺省情况下,交换机不向日志主机输出信息 l host-ip-addr:日志主机的IP地址 |
|
取消向日志主机输出信息 |
undo info-center loghost ip |
- |
& 说明:
使用命令info-center loghost ip配置日志主机的IP地址时,请输入正确的IP地址。如果用户输入的是环回地址,系统将提示此地址无效。
相关配置可参考命令info-center enable,display info-center。
例:使S1550E向IP地址为202.38.160.1的UNIX工作站发送日志信息。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]info-center loghost ip 202.38.160.1
info-center loghost level 命令用来设置系统日志显示信息的级别
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置系统日志级别 |
info-center loghost level level |
l level:表示命令级别,取值范围为1~8 l 缺省情况下,级别为5 |
|
恢复系统日志的级别为缺省值 |
undo info-center loghost level |
- |
例:设置系统日志显示信息的级别为7。
<H3C>system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]info-center level 7
在配置将系统信息发送到控制台后,为了能在控制台上观察到输出的信息,还要启用控制台对相应信息的显示功能。
表15-18 启用/禁用控制台对系统信息的显示功能
|
操作 |
命令 |
说明 |
|
启用控制台对调试信息的显示功能 |
terminal debugging |
l 用户视图下执行 l 缺省情况下,控制台对调试信息的显示功能处于禁用状态 |
|
启用控制台对日志信息的显示功能 |
terminal logging |
l 用户视图下执行 l 缺省情况下,控制台对日志信息的显示功能处于启用状态 |
|
启用控制台对告警信息的显示功能 |
terminal trapping |
l 用户视图下执行 l 缺省情况下,控制台对告警信息的显示功能处于启用状态 |
|
禁用系统信息的显示功能 |
undo terminal { debugging | logging | trapping } |
- |
|
操作 |
命令 |
说明 |
|
显示系统日志的配置及缓冲区记录的信息 |
display info-center |
任意视图下均可执行 |
|
显示交换机日志缓冲区最近记录的指定数目的日志信息 |
display logbuffer [size buffersize] |
l 任意视图下均可执行 l buffersize:显示日志信息的条数 |
|
显示交换机告警缓冲区最近记录的指定数目的告警信息 |
display trapbuffer [size buffersize] |
l 任意视图下均可执行 l buffersize:显示日志信息的条数 |
|
清除日志缓冲区内的信息 |
reset logbuffer |
用户视图下执行 |
|
清除告警缓冲区内的信息 |
reset trapbuffer |
用户视图下执行 |
例:显示系统日志的配置及缓冲区记录的信息。
<H3C>display info-center
Info-center: enable
Info-center loghost: 0.0.0.0
Info-center loghost level: 8
Log buffer current messages: 5
Trap buffer current messages: 0
表15-20 display info-center显示信息描述表
|
字段 |
解释 |
|
Info-center |
信息中心是否启用 |
|
Info-center loghost |
日志主机 |
|
Info-center loghost level |
日志显示信息级别 |
|
Log buffer current messages |
当前日志缓冲区内的信息 |
|
Trap buffer current messages |
当前告警缓冲区内的信息 |
S1550E提供了种类丰富的调试功能,对于S1550E所支持的绝大部分协议和功能,系统都提供了相应的调试功能,可以帮助用户对错误进行诊断和定位。
调试信息的输出可以由两个开关控制:
l 协议调试开关,控制是否输出某协议的调试信息;
l 屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。
二者关系如下图所示:
用户可以通过debugging和terminal debugging命令来控制以上两种开关。
可以使用debugging命令来控制单个或全部协议调试开关。
表16-1 启用和禁用协议调试开关
|
操作 |
命令 |
说明 |
|
启用协议调试开关 |
debugging { all | module-name [ debugging-option ] } |
l 用户视图下执行 l all:表示启用或禁用全部调试开关 l module-name:指定协议模块名。可选模块名包括:arp、cluster、dhcp-alloc、dot1x、drv、habp、hgmp、igmp-snooping、ip、mrc、ndp、ntdp、radius、snmp-agent。具体调试命令的使用和调试信息的格式介绍参见相关章节 l debugging-option:调试选项 l 缺省情况下,系统禁用全部调试开关 |
|
禁用协议调试开关 |
undo debugging { all | module-name } [ debugging-option ] |
- |
相关配置可参考命令display debugging、terminal debugging。
& 说明:
由于调试信息的输出会影响系统的运行效率,请勿轻易启用调试开关,尤其慎用debugging all命令,在调试结束后,应禁用全部调试开关。
|
操作 |
命令 |
说明 |
|
启用终端显示调试信息功能 |
terminal debugging |
l 用户视图下执行 l 缺省情况下,系统禁用终端显示功能 |
|
禁用终端显示调试信息功能 |
undo terminal debugging |
- |
如果用户需要在终端上显示调试信息,需要先执行terminal debugging命令。
例:启用屏幕输出开关。
<H3C>terminal debugging
|
操作 |
命令 |
说明 |
|
显示调试开关状态 |
display debugging |
在任意视图下均可执行 |
例:显示调试开关状态。
<H3C>display debugging
Drv debugging switch is on
ARP debugging switch is on
在以上各章节中,分别介绍了各相关命令的调试方法。以下几条命令在前面的章节中没有涉及,所以在此处补充介绍。
表16-4 arp调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用arp调试开关 |
debugging arp |
l 用户视图下执行 l 缺省情况下,系统禁用arp调试信息开关 |
|
禁用arp调试开关 |
undo debugging arp |
- |
例:启用arp调试开关。
<H3C>debugging arp
Sending:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,
arp_op = 1 , arp_spa = 192.168.0.234, arp_tpa = 192.168.0.55,
arp_sha = 08:F0:1F:00:BC:15, arp_tha = 00:00:00:00:00:00
receiving:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,
arp_op = 2 , arp_spa = 192.168.0.55, arp_tpa = 192.168.0.234,
arp_sha = 00:0D:88:F6:4B:A7, arp_tha = 08:F0:1F:00:BC:15
表16-5 debugging arp显示信息描述表
|
字段 |
描述 |
|
arp_hrd |
硬件类型 |
|
arp_pro |
协议类型 |
|
arp_hln |
硬件地址长度 |
|
arp_pln |
协议地址长度 |
|
arp_op |
判断报文是请求报文或回复报文 |
|
arp_spa |
发送者IP地址 |
|
arp_tpa |
目标IP地址 |
|
arp_sha |
发送者硬件地址 |
|
arp_tha |
目标硬件地址 |
表16-6 drv调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用drv调试开关 |
debugging drv |
l 用户视图下执行 l 缺省情况下,系统禁用drv调试信息开关 |
|
禁用drv调试开关 |
undo debugging drv |
- |
& 说明:
对于底层发送的报文,显示的调试信息包括源端口、报文长度以及报文的前40字节的内容;对于底层接收的报文,显示的调试信息包括目的端口、报文长度以及报文的前40字节的内容。
表16-7 hgmp调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用hgmp调试开关 |
debugging hgmp |
l 用户视图下执行 l 缺省情况下,系统禁用hgmp调试信息开关 |
|
禁用hgmp调试开关 |
undo debugging hgmp |
- |
表16-8 mrc调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用mrc调试开关 |
debugging mrc |
l 用户视图下执行 l 缺省情况下,系统禁用mrc调试信息开关 |
|
禁用mrc调试开关 |
undo debugging mrc |
- |
可以使用ping命令检查网络连接及主机是否可达。ping命令可以在任意视图下使用。
|
操作 |
命令 |
说明 |
|
支持IP协议ping |
ping [-c count ] [ -s packetsize ] ip-address |
l 任意视图下执行 l count:ping的次数,取值范围为1~4294967295,缺省为5次 l ip-address:对端设备的IP地址 l packetsize:报文中数据字节数,取值范围为20~1472,缺省为56字节 |
例:检查网络连接及主机是否可达,设置ping的次数为8次,报文中数据字节数64字节。
<H3C>ping -c 8 -s 64 192.168.0.1
PING 192.168.0.1: 64 data bytes, press CTRL_C to break
Reply from 192.168.0.1: bytes=64 Sequence= 1 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 2 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 3 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 4 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 5 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 6 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 7 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 8 ttl= 64 time = 0 ms
--- 192.168.0.1 ping statistics ---
8 packet(s) transmitted
8 packet(s) received
0.0% packet loss
round-trip min/avg/max = 0/0/0
& 说明:
命令执行结果输出包括:
l 对每一ping报文的响应情况,如果超时仍没有收到响应报文,则输出“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。
l 最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、最大和平均值。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
