- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (1.24 MB)
目 录
H3C S1550E以太网交换机(以下简称S1550E)是为构建高弹性、高智能网络需求而设计的新一代接入级交换机。S1550E提供1个Console口、48个普通10/100Base-TX自适应以太网端口(端口1~48)、1个光电复用上行端口(端口49)和1个10/100/1000Base-T自适应以太网上行端口(端口50)。
端口49为光电复用上行端口。编号均为49的光模块接口(简称光口)和10/100/1000Base-T以太网端口(简称电口)不能同时生效。若同时使用,由于电口的优先级较高,电口有效,光口无效。
S1550E适用于以下应用场合:
l 企事业用户接入;
l VOD等多媒体服务;
l VOIP等对时延敏感的语音业务;
l 高密度接入。
S1550E具备丰富的功能,请详见下表。
|
项目 |
描述 |
|
VLAN |
l 最多支持512个符合IEEE 802.1q标准的VLAN l 最多支持50个用户组(Port-based VLAN) l 支持802.1q VLAN下的端口隔离 |
|
QoS(Quality of Service,服务质量) |
l 支持802.1p、DSCP优先级 l 支持每端口4个优先级队列 l 支持WRR、HQ-WRR队列调度 |
|
端口 |
l 支持广播风暴抑制 l 支持端口流量控制,符合802.3x标准 |
|
端口汇聚 |
支持6组汇聚组,每组最多8个端口 |
|
端口镜像 |
支持基于端口的镜像 |
|
端口统计 |
支持端口报文流量和类型的统计 |
|
端口限速 |
支持对出入端口的报文流量进行限速 |
|
端口安全 |
l 支持512项静态MAC地址表/MAC地址过滤表(静态MAC地址表、MAC地址过滤表共用512个表项) l 最多支持512项端口与MAC地址绑定表项(MAC地址绑定与静态MAC地址共用512个MAC表项) |
|
MAC地址表 |
l MAC地址自动学习 l 可配置MAC地址自动老化时间 l 最多支持MAC地址:8K |
|
组播 |
支持IGMP Snooping(Internet Group Management Protocol Snooping,IGMP侦听) |
|
设备管理 |
l 支持Web网管 l 支持通过Console口进行管理 l 支持SNMP(Simple Network Management Protocol,简单网络管理协议)V1、V2c l 支持Telnet远程管理 |
|
l 支持调试信息输出 l 支持配置文件导入导出 l 支持Syslog(系统日志) l 支持Ping l 支持电缆诊断 |
|
|
设备IP地址分配 |
l 支持在管理VLAN接口上配置IP地址 l 支持在管理VLAN接口上通过DHCP方式获取IP地址 |
|
安全特性 |
l 支持管理VLAN l 支持两级用户管理,支持高级用户密码保护 l 支持802.1x协议 l 支持RADIUS协议 |
本章主要介绍通过命令行对S1550E进行配置前,您需要了解的内容,包括如何搭建配置环境以及如何使用命令行。
如图2-1所示,建立本地配置环境,只需将计算机的串口通过配置电缆与S1550E的Console口连接。
图2-1 通过Console口搭建本地配置环境
(1) 打开计算机,在计算机Windows界面上选择[开始/(所有)程序/附件/通讯]菜单,单击“超级终端”,建立新的连接(下面以Windows XP的超级终端为例)。如图2-2所示,在“名称”文本框中键入新建连接的名称“switch”,单击<确定>按钮。
(2) 选择连接串口。如图2-3所示,在“连接时使用”下拉列表框中选择进行连接的串口(注意选择的串口应与配置电缆实际连接的串口相一致),单击<确定>按钮。
(3) 设置串口参数。如图2-4所示,在串口的属性对话框中设置波特率(每秒位数)为9600bps,数据位为8,奇偶校验为无,停止位为1,数据流控制为无。单击<确定>按钮,进入[超级终端]窗口。
(4) 配置超级终端属性。在超级终端中选择[文件/属性/设置],进入如图2-5所示的属性设置窗口。选择终端仿真类型为VT100或自动检测,单击<确定>按钮,返回[超级终端]窗口。
(5) 将S1550E通电,终端上显示S1550E自检信息,自检结束后提示用户键入回车。回车后会出现命令行提示符(如<H3C>),此时就可以对S1550E进行配置了,具体的配置命令请参考本书中以后各章节的内容。
通过终端Telnet到S1550E需要具备如下条件:
l 在S1550E上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);
l 指定与终端相连的以太网端口属于该管理VLAN(在VLAN视图下使用port命令);
l 如果终端和S1550E相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和S1550E必须路由可达。
l 在通过Telnet登录S1550E之前,需要在S1550E上配置Telnet用户登录密码。具体配置请参见“3.4 3. 设置Telnet用户登录密码”。
下面搭建配置环境。
(1) 将计算机的以太网口通过局域网与S1550E的以太网端口连接。
(2) 在计算机上选择[开始/运行],输入S1550E管理VLAN的IP地址,如图2-6所示。
(3) 终端上显示“Password”,要求输入登录密码,密码输入正确后出现命令行提示符(如<H3C>)。此时就可以对S1550E进行配置了,具体的配置命令请参考本书中以后各章节的内容。
l S1550E允许2个Telnet用户和1个Console口用户同时登录。
l 在通过Telnet配置S1550E时,不要删除管理VLAN接口,也不要删除或修改管理VLAN接口的IP地址,否则会导致Telnet连接断开。
S1550E向用户提供一系列的配置命令以及命令行接口,以方便用户配置和管理。命令行接口有如下特性:
l 通过Console口进行本地配置;
l 配置命令分级保护,确保未授权用户无法侵入S1550E;
l 用户可以随时键入“?”以获得在线帮助;
l 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障;
l 提供类似Doskey的功能,可以执行某条历史命令;
l 命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。
命令行提供如下视图:
l 用户视图;
l 系统视图;
l 用户界面视图;
l VLAN视图;
l VLAN接口视图;
l 用户组视图;
l 以太网端口视图;
l RADIUS方案视图。
各命令视图的功能特性、进入各视图的命令等细则如表2-1所示,其中端口编号仅供举例参考。
|
视图 |
功能 |
提示符 |
进入命令 |
退出命令 |
|
用户视图 |
查看S1550E的运行状态和统计信息,进行简单的系统管理 |
<H3C> |
与S1550E建立连接即进入 |
quit断开与S1550E连接 |
|
系统视图 |
配置系统参数 |
[H3C] |
在用户视图下键入system-view |
quit返回用户视图 return返回用户视图 |
|
以太网端口视图 |
配置以太网端口参数 |
固定以太网端口视图:在系统视图下键入interface Ethernet0/1 |
quit返回系统视图 return返回用户视图 |
|
|
VLAN视图 |
配置VLAN参数 |
[H3C-Vlan1] |
在系统视图或以太网端口视图下键入vlan 1 |
|
|
VLAN接口视图 |
配置VLAN对应的IP接口参数 |
[H3C-Vlan-interface1] |
在系统视图、以太网端口视图或VLAN视图下键入interface vlan-interface 1 |
|
|
用户组视图 |
配置基于端口的VLAN参数 |
[H3C-UserGroup1] |
在系统视图下键入user-group 1 |
|
|
用户界面视图 |
配置用户界面参数 |
[H3C-Aux0] |
在系统视图下键入user-interface aux 0 |
|
|
[H3C-vty0] |
在系统视图下键入user-interface vty 0 |
|||
|
RADIUS方案视图 |
配置RADIUS方案 |
[H3C-radius-system] |
在系统视图下键入 radius scheme system |
以下显示的内容均为示例,请以实际的显示情况为准。
通过命令行在线帮助,您可以查询命令信息以及快速输入命令。描述如下:
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
debugging Enable system debugging functions
display Display current system information
ping Ping function
quit Exit from current command view
reboot Reset switch
reset Reset operation
save Save current configuration
system-view Enter the system view
terminal Specify the terminal characteristics
undo Cancel current setting
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C> display ?
arp Display ARP information
current-configuration Current configuration
debugging Current setting of debugging switches
device Device
dhcp Display dhcp clinet information
dot1x 802.1x status information
igmp-snooping IGMP snooping
info-center Enable the information center
interface Interface status and configuration information
ip IP status and configuration information
link-aggregation Ports aggregation mode
logbuffer Display logbuffer informations
mac-address MAC address information
mirror display the mirroring port
priority-trust Priority trust mode
queue-scheduler Queue scheduling configuration information
radius Display RADIUS configuration information
saved-configuration The saved configuration information
snmp-agent SNMP status and configuration information
---- More ----
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C> s?
save system-view
(4) 键入一命令,后接一字符串紧接<?>,列出以该字符串开头的所有关键字。
<H3C> display u?
user-group user-interface users
(5) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C> disp ¬按下<Tab>键
<H3C> display
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表2-2。
|
英文错误信息 |
错误原因 |
|
Unrecognized command |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错误 |
|
|
参数值越界 |
|
|
Incomplete command |
输入命令不完整 |
|
Too many parameters |
输入参数太多 |
|
Ambiguous command |
输入命令不明确 |
|
Wrong parameter |
输入参数错误 |
命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如表2-3所示。
|
操作 |
按键 |
结果 |
|
访问上一条历史命令 |
上光标键<↑> |
如果还有更早的历史命令,则取出上一条历史命令 |
|
访问下一条历史命令 |
下光标键<↓> |
如果还有更晚的历史命令,则取出下一条历史命令 |
用光标键对历史命令进行访问,在Windows NT的超级终端下是有效的,但对于Windows 9X的超级终端,<↑>、<↓>光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替<↑>、<↓>光标键达到同样目的。
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为254个字符,如表2-4所示。
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标 |
|
退格键<Backspace> |
删除光标位置的前一个字符,光标前移 |
在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有两种选择,如表2-5所示。
|
按键或命令 |
功能 |
|
暂停显示时键入回车键<Enter> |
显示下一行信息 |
|
暂停显示时键入空格键 |
显示下一屏信息 |
|
暂停显示时键入其他键 |
退出显示 |
S1550E有两个级别的用户:
l 参观级用户:仅能在用户视图下执行简单的查询操作;
l 管理级用户:需要通过身份验证进入系统视图,能对S1550E执行监控、配置、管理等操作。
用户进入系统视图时缺省无密码。可在S1550E系统视图下执行命令super password配置分级保护密码。在进行身份验证时,如果三次以内输入正确的密码,则切换到管理级用户,否则保持原参观用户级别不变。设置分级保护密码命令如下表所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置分级保护密码 |
super password password |
l password:明文字符串,长度为1~12个字符,区分大小写 l 如果您丢失了密码,请与代理商联系 |
|
删除分级保护密码 |
undo super password |
- |
例:在系统视图下设置切换用户级别密码为H3C。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] super password H3C
S1550E支持Web网管功能,您可通过Web界面对S1550E进行设置和管理。
表3-2 设置Web网管用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Web网管用户 |
localuser user-name password level |
l user-name:设置登录Web网管的用户名,长度为1~12个字符。缺省情况下,用户名为admin l password:设置登录Web网管的用户密码,长度为1~12个字符。 缺省情况下,用户密码为admin l level:设置Web网管用户的级别,0为参观级用户、1为管理级用户。缺省情况下,用户级别为1 |
|
删除Web网管用户 |
undo localuser user-name |
- |
例:设置Web网管用户的用户名为user1,密码为123456,用户级别为管理级。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] localuser user1 123456 1
AUX用户界面用于通过Console口对S1550E进行访问。S1550E只支持一个AUX用户界面。
AUX用户界面设置包括:
l 进入AUX用户界面视图;
l 设置终端属性。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入用户界面视图 |
user-interface aux number |
number:需要设置的用户界面的编号,可选值为0 |
例:进入AUX用户界面。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-interface aux 0
表3-4 设置终端属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要设置的用户界面的编号,可选值为0 |
|
设置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
l minutes:设置连接用户超时中断时间的分钟数,取值范围为0~35791 l seconds:设置连接用户超时中断时间的秒数,取值范围为0~59 l idle-timeout 0表示关闭超时中断连接功能 l 缺省情况下,在所有的用户界面上开启了超时断连功能,时间为5分钟。即,如果5分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 |
|
恢复用户超时断连为缺省值 |
undo idle-timeout |
- |
例:设置AUX用户界面超时时间为8分30秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-interface aux 0
[H3C-Aux0] idle-timeout 8 30
VTY用户界面用于通过Telnet对S1550E进行访问。
VTY界面设置包括:
l 进入VTY界面视图;
l 设置终端属性;
l 设置Telnet用户登录密码。
表3-5 进入VTY界面视图
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要设置的用户界面的编号,可选值为0、1 |
例:进入VTY用户界面。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-vty0]
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要设置的用户界面的编号,可选值为0、1 |
|
设置用户超时退出功能 |
idle-timeout minutes [ seconds ] |
l minutes:设置连接用户超时中断时间的可选取的分钟的取值,取值范围为0~35791 l seconds:设置连接用户超时中断时间的可选取的秒的取值,取值范围为0~59 l idle-timeout 0表示关闭超时中断连接功能 l 缺省情况下,VTY界面上开启了超时退出功能,时间为5分钟。即,如果5分钟内某VTY界面没有用户进行操作,则该Telnet用户将被自动断开 |
|
恢复用户超时退出为缺省值 |
undo idle-timeout |
- |
例:设置VTY用户界面超时时间为7分钟。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-vty0] idle-timeout 7
为了防止未授权用户的非法侵入,Telnet用户登录S1550E时需输入密码,如果没有设置Telnet用户登录密码,则用户无法Telnet到S1550E。
表3-7 设置Telnet用户登录密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要设置的用户界面的编号,可选值为0、1 |
|
设置Telnet用户登录密码 |
set authentication password password |
password:明文字符串,长度为1~16个字符,区分大小写 |
|
取消Telnet用户登录密码 |
undo set authentication password |
- |
例:在VTY视图下设置Telnet用户登录密码为H3C。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-interface vty 0
[H3C-vty0] set authentication password H3C
|
操作 |
命令 |
说明 |
|
显示用户界面的使用信息 |
display users |
显示命令可任意视图下执行 |
|
显示用户界面状态和设置信息 |
display user-interface |
例:显示用户界面的使用信息。
<H3C> display users
UI Delay Type IPaddress Username
F 0 AUX 0 00:00:00
3 WEB 00:00:25 192.168.0.200 admin
表3-9 display users命令显示信息描述表
|
字段 |
描述 |
|
F |
表示当前正在使用的用户界面,且工作在异步方式 |
|
UI |
第一列是用户界面的类型,第二列数字是用户界面的相对编号 |
|
Delay |
表示用户自最近一次输入到现在的时间间隔,形式为“时:分:秒” |
|
Type |
用户类型 |
|
IPaddress |
显示起始连接位置,即接入的主机IP地址 |
|
Username |
登录S1550E的用户名 |
S1550E任何时刻只能有一个VLAN对应的VLAN接口可以设置IP地址,该VLAN即为管理VLAN。如果要对S1550E进行远程管理,必须设置S1550E管理VLAN接口的IP地址。
系统IP设置包括:
l 指定管理VLAN
l 指定管理VLAN的时候,该VLAN必须已存在。
l 在创建新的管理VLAN前,需删除当前的管理VLAN接口。
表4-1 指定管理VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
指定管理VLAN |
management-vlan vlan-id |
l 缺省情况下,VLAN 1为管理VLAN l vlan-id:VLAN的ID,取值范围为1~4094 |
|
恢复管理VLAN的缺省设置 |
undo management-vlan |
- |
例:在系统视图下指定管理VLAN为VLAN 20。
# 删除原来的管理VLAN接口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,并指定其为管理VLAN。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
表4-2 创建/删除管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
删除管理VLAN接口 |
undo interface vlan-interface vlan-id |
- |
例:创建管理VLAN 20接口。
# 删除原来的管理VLAN接口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建管理VLAN 20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
表4-3 为管理VLAN接口指定/删除静态IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口静态IP地址 |
ip address ip-address ip-mask |
l ip-address:管理VLAN接口的IP地址 l ip-mask:管理VLAN接口静态IP地址的掩码 |
|
删除管理VLAN接口静态IP地址 |
undo ip address |
- |
缺省情况下,管理VLAN接口IP地址:192.168.0.234,子网掩码:255.255.255.0。
例:为管理VLAN 20指定静态IP地址和掩码。
# 删除原来的管理VLAN接口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
# 为管理VLAN 20接口指定IP地址和掩码。
[H3C-Vlan-interface20] ip address 192.168.0.55 255.255.255.0
表4-4 为管理VLAN接口指定/删除网关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口网关 |
ip gateway ip-address |
l ip-address:网关的IP地址 l 缺省情况下无网关IP地址 |
|
删除管理VLAN接口网关 |
undo ip gateway |
- |
例:为管理VLAN 20指定静态IP地址、掩码和网关。
# 删除原来的管理VLAN接口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
# 为管理VLAN 20接口指定IP地址和掩码。
[H3C-Vlan-interface20] ip address 192.168.0.55 255.255.255.0
# 为管理VLAN 20接口指定网关。
[H3C-Vlan-interface20] ip gateway 192.168.0.1
表4-5 开启/关闭管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
关闭管理VLAN接口 |
shutdown |
- |
|
开启管理VLAN接口 |
undo shutdown |
- |
l 管理VLAN接口的开启/关闭状态对属于该管理VLAN的以太网端口的开启/关闭状态没有影响。
l 缺省情况下,当管理VLAN接口对应VLAN下的所有以太网端口状态为DOWN时,管理VLAN接口为DOWN状态,即关闭状态;当管理VLAN接口对应VLAN下有一个或一个以上的以太网端口处于UP状态时,管理VLAN接口就会进入UP状态,即开启状态。
|
操作 |
命令 |
说明 |
|
查看管理VLAN接口IP的相关信息 |
display ip |
显示命令可在任意视图下执行 |
|
查看管理VLAN接口的相关信息 |
display interface vlan-interface [ vlan-id ] |
l 显示命令可在任意视图下执行 l vlan-id:管理VLAN的ID,其取值范围为1~4094 |
例:显示S1550E系统IP信息。
<H3C> display ip
Vlan-interface1 current state: UP
Line protocol current state : UP
Hardware address is 00e0-fc00-0010
Internet Address is 192.168.0.234/24
表4-7 display ip命令显示信息描述表
|
字段 |
描述 |
|
Vlan-interface1 current state |
VLAN 1接口的当前状态 |
|
Line protocol current state |
链路协议当前状态 |
|
Hardware address is |
MAC地址 |
|
Internet Address is |
管理VLAN的IP地址 |
例:显示S1550E VLAN 1接口信息。
<H3C> display interface vlan-interface 1
Vlan-interface1 current state: UP
Line protocol current state : UP
Hardware address is 00e0-fc01-0010
Internet Address is 192.168.0.234/24
The Maximum Transmit Unit is 1500
表4-8 display interfacevlan-interface命令显示信息描述表
|
字段 |
描述 |
|
Vlan-interface1 current state |
VLAN 1接口当前状态 |
|
Line protocol current state |
链路协议当前状态 |
|
Hardware address is |
S1550E的MAC地址 |
|
Internet Address is |
VLAN接口地址 |
|
The Maximum Transmit Unit is |
最大传输单元 |
debugging ip命令用来开启IP的调试信息开关,undo debugging ip命令用来关闭相应的调试信息开关。
表4-9 开启/关闭IP调试开关的
|
操作 |
命令 |
说明 |
|
开启IP调试开关 |
debugging ip |
l 此命令需在用户视图下执行 l 缺省情况下,系统关闭IP调试信息开关 |
|
关闭IP调试开关 |
undo debugging ip |
- |
相关设置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“14.1.3 显示调试开关状态”和“14.1.2 开启/关闭终端显示调试信息功能”。
例:开启IP调试开关。
<H3C> debugging ip
<H3C> terminal debugging
receiving:interface = Vlan-interface1 , version = 4 , tos = 0 , pktlen = 10240 ,
pktid = 21851 , offset = 64 , ttl = 128 , protocol = 6 ,
checksum = 2333 , s = 192.168.0.234 , d = 192.168.0.234
Sending:interface = Vlan-interface1 , version = 4 , tos = 0 , pktlen = 40 ,
pktid = 29952 , offset = 0 , ttl = 64 , protocol = 6 ,
checksum = 5120 , s = 192.168.0.55 , d = 192.168.0.55%0.84363936 H3C
表4-10 debugging ip命令显示信息描述表
|
字段 |
描述 |
|
receiving/Sending |
正在接收/发送一个IP报文 |
|
interface |
VLAN虚接口 |
|
version |
协议版本号 |
|
headlen |
IP首部长度 |
|
tos |
服务类型 |
|
pktlen |
报文总长度 |
|
pktid |
报文标识 |
|
offset |
片偏移 |
|
ttl |
生存时间 |
|
protocol |
协议类型 |
|
checksum |
首部校验和 |
|
s |
源IP地址 |
|
d |
目的IP地址 |
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况。动态主机配置协议DHCP就是为满足这些需求而发展起来的。DHCP协议采用客户端/服务器(Client/Server)方式工作,DHCP Client向DHCP Server动态地请求配置信息,DHCP Server根据策略返回相应的配置信息。
S1550E实现了DHCP客户端功能。
若为S1550E设置静态IP地址并保存后,通过DHCP方式获取IP地址仍然有效,原设置的静态IP地址在DHCP生效的时候暂时失效。
表5-1 通过DHCP方式获取IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口通过DHCP方式获取IP地址 |
ip address dhcp-alloc |
缺省情况下,管理VLAN接口不通过DHCP方式获取IP地址 |
|
取消管理VLAN接口通过DHCP方式获取IP地址 |
undo ip address dhcp-alloc |
取消以DHCP方式获取IP地址后,如果原先已经设置了静态IP地址并进行了保存,那么该静态IP地址立即生效 |
设备通过DHCP方式获取IP地址成功后并进行保存操作(保存命令的说明请参见“13.3.2 保存当前设置”),S1550E重启后仍将以DHCP方式重新获取IP地址;否则需要通过以手动方式设置静态IP地址。
表5-2 显示DHCP Client获取的地址信息
|
操作 |
命令 |
说明 |
|
显示DHCP Client获取的地址信息 |
display dhcp-statistics |
显示命令可在任意视图下执行 |
例:设置并显示S1550E通过DHCP方式获取IP地址。
# 进入管理VLAN接口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface vlan-interface 1
# 设置S1550E通过DHCP方式获取IP地址。
[H3C-Vlan-interface1] ip address dhcp-alloc
# 显示DHCP Client获取的地址信息。
[H3C-Vlan-interface1] display dhcp-statistics
DHCP client statistic information:
Vlan-interface1
DHCP client: enabled
Current machine state: BOUND
Alloced IP: 192.168.1.100 255.255.255.0
Gateway IP: 192.168.1.1
Alloced lease: 86400 seconds,
T1 left: 43188 seconds,
T2 left: 75588 seconds,
Server IP: 192.168.1.1
从以上信息可以看到获得的IP地址是192.168.1.100,子网掩码是255.255.255.0,网关地址是192.168.1.1。
系统提供了DHCP Client的调试功能,可以帮助您对错误进行诊断和定位。
表5-3 开启/关闭DHCP Client调试开关
|
操作 |
命令 |
说明 |
|
开启DHCP客户端的调试开关 |
debugging dhcp-alloc |
此命令需要在用户视图下执行 缺省情况下,DHCP Client 的调试开关处于关闭状态 |
|
关闭DHCP客户端的调试开关 |
undo debugging dhcp-alloc |
- |
相关设置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“14.1.3 显示调试开关状态”和“14.1.2 开启/关闭终端显示调试信息功能”。
例:开启DHCP Client的调试开关。
<H3C> debugging dhcp-alloc
关闭DHCP Client的调试开关。
<H3C> undo debugging dhcp-alloc
以太网端口基本设置包括:
要对以太网端口进行设置,首先要进入以太网端口视图。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
例:进入Ethernet0/3以太网端口视图。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/3
[H3C-Ethernet0/3]
表6-2 开启/关闭以太网端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
关闭以太网端口 |
shutdown |
缺省情况下,端口为开启状态 |
|
开启以太网端口 |
undo shutdown |
- |
例:关闭以太网端口Ethernet0/3。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/3
[H3C-Ethernet0/3] shutdown
表6-3 设置以太网端口速率和双工状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口的速率 |
speed { 10 | 100 | 1000 | auto } |
l 10:表示设置当前端口速率为10Mbps l 100:表示设置当前端口速率为100Mbps l 1000:表示设置当前端口速率为1000Mbps,仅在端口为千兆端口时有效 l auto:表示设置当前端口速率为自协商方式 l 缺省情况下,端口的速率为自协商方式 |
|
设置以太网端口的双工状态 |
duplex { auto | full | half } |
l auto:表示设置当前端口双工状态为自协商方式 l full:表示设置当前端口双工状态为全双工状态 l half:表示设置当前端口双工状态为半双工状态 l 缺省情况下,端口的双工状态为自协商方式 |
当端口工作在非自协商模式时,如果不能与对端建立正常连接,请尝试修改其端口网线类型(MDI/MDIX),如何设置网线类型请参见“6.1.10 设置以太网端口能够识别的网线类型”。
例:将以太网端口Ethernet0/3的速率设置为100Mbps,双工模式设置为自协商模式。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/3
[H3C-Ethernet0/3] speed 100
[H3C-Ethernet0/3] duplex auto
当S1550E和对端设备都开启了流量控制功能后,如果S1550E发生拥塞:
l S1550E将向对端设备发送消息,通知对端设备暂时停止发送报文或减慢发送报文的速度。
l 对端设备在接收到该消息后,将暂停向S1550E发送报文或减慢发送报文的速度,从而避免了报文丢失现象的发生,保证了网络业务的正常运行。
表6-4 开启/关闭以太网端口的流量控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启以太网端口的流量控制 |
flow-control |
缺省情况下,以太网端口对报文不进行流量控制 |
|
关闭以太网端口流量控制 |
undo flow-control |
- |
例:开启以太网端口Ethernet0/3的流量控制。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/3
[H3C-Ethernet0/3] flow-control
当广播流量超过您设置的值后,系统将对广播报文作丢弃处理,使广播所占的流量比例降低到合理的范围,从而有效地抑制广播风暴,避免网络拥塞,保证网络业务的正常运行。以端口最大的广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小;当百分比为100时,表示不对该端口进行广播风暴抑制。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口的广播风暴抑制比 |
broadcast-suppression pct |
l pct:广播风暴的抑制百分比。可取的值为:5、10、20、100 l 缺省情况下,允许通过的广播流量为100%,即对广播流量不进行抑制 |
|
恢复以太网端口的广播风暴抑制比例为缺省值 |
undo broadcast-suppression |
- |
例:设置端口的广播风暴抑制比为20%。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] broadcast-suppression 20
通过对以太网端口进行自环测试,您可以检测端口是否可用。可以使用下面的命令来设置以太网端口的自环测试方式。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口进行内环测试 |
loopback internal |
- |
|
设置以太网端口进行外环测试 |
loopback external |
l 端口必须处于UP状态 l 需要插接自环头 |
l 在外环测试结束后一定要将自环头拔下,以免造成网络故障。
l 使用loopback命令进行自环测试时,端口将禁止转发数据包,一定时间后自环测试自动结束并上报自环测试结果。
l 如果在端口上执行了shutdown命令后,则此端口不能进行自环测试;在进行自环测试期间禁止用户在端口上进行任何操作。
l 外环测试前,您必须将端口的双工模式设置为全双工或者自协商。半双工模式会导致测试出错。
例:对以太网端口Ethernet0/7进行内环测试。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/7
[H3C-Ethernet0/7] loopback internal
Please wait......
Jan 1 00:01:12 2008 [PHY]/5/PORT LINK STATUS CHANGE: Ethernet0/7 turns into UP state
Jan 1 00:01:14 2008 [PHY]/5/PORT LINK STATUS CHANGE: Ethernet0/7 turns into DOWN state
Loop internal succeeded!
以太网端口有三种链路类型:Access、Hybrid、Trunk。
l Access类型的端口只能属于一个VLAN,一般用于连接计算机的端口;
l Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
l Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口的不同之处在于:
l Hybrid端口允许多个VLAN的报文发送时不带Tag标签;
l Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。
以上三种端口链路类型所对应的收发报文的处理方式如表6-7所示。
|
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
||
|
Access |
为报文打上端口缺省VLAN ID所对应的VLAN Tag |
l 当VLAN ID与端口缺省VLAN ID相同时,接收该报文 l 当VLAN ID与端口缺省VLAN ID不同时,丢弃该报文 |
删除报文的Tag后再转发 |
|
Trunk |
对比端口缺省VLAN ID是否在允许通过的VLAN ID中:是,给报文打上端口缺省VLAN ID所对应的VLAN Tag;否,丢弃该报文 |
l 当VLAN ID在允许通过的VLAN ID中时,则接收该报文 l 当VLAN ID不在允许通过的VLAN ID中时,则丢弃该报文 |
l 当VLAN ID与端口缺省VLAN ID相同时:去掉Tag,发送该报文 l 当VLAN ID与端口缺省VLAN ID不同时,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
|
Hybrid |
当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过命令port hybrid vlan配置端口在发送该VLAN的报文时是否携带Tag |
||
表6-8 设置以太网端口的链路类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口为Access端口 |
port link-type access |
缺省情况下,端口链路类型为Access |
|
设置端口为Hybrid端口 |
port link-type hybrid |
- |
|
设置端口为Trunk端口 |
port link-type trunk |
- |
|
恢复端口的链路类型为缺省的Access端口 |
undo port link-type |
- |
三种类型的端口可以共存在一台S1550E上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
例:将以太网端口Ethernet0/1设置为Trunk端口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] port link-type trunk
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN;Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。
表6-9 设置Hybrid端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置Hybrid端口的缺省VLAN ID |
port hybrid pvid vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1 |
|
恢复Hybrid端口的缺省VLAN ID为缺省值 |
undo port hybrid pvid |
- |
表6-10 设置Trunk端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置Trunk端口的缺省VLAN ID |
port trunk pvid vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1 |
|
恢复Trunk端口的缺省VLAN ID为缺省值 |
undo port trunk pvid |
- |
例:将Trunk端口Ethernet0/1的缺省VLAN ID设为100。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] port link-type trunk
[H3C-Ethernet0/1] port trunk pvid vlan 100
本任务把当前以太网端口加入到指定的VLAN中。Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN中。
表6-11 设置Access端口的指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
把当前Access端口加入到指定VLAN |
port access vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为2~4094 缺省情况下,Access端口属于VLAN 1 |
|
把当前Access端口VLAN属于恢复到缺省设置 |
undo port access vlan |
- |
表6-12 设置Hybrid端口的指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
将当前Hybrid端口加入到指定VLAN |
port hybrid vlan vlan-id-list { tagged | untagged } |
l vlan-id-list:vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ]&<1-16>,为此Trunk或Hybrid端口加入的VLAN的范围,可以是离散的,vlan-id取值范围为1~4094。&<1-16>表示前面的参数最多可以重复输16次 l tagged:该端口在转发指定的VLAN报文时将保留VLAN Tag l untagged:该端口在转发指定的VLAN报文时将不保留VLAN Tag |
|
把当前Hybrid端口从指定VLAN中删除 |
undo port hybrid vlan vlan-id-list |
- |
表6-13 设置Trunk端口的指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
把当前Trunk端口加入到指定VLAN |
port trunk permit vlan { vlan-id-list | all } |
l vlan-id-list:vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ]&<1-16>,为此Trunk或Hybrid端口加入的VLAN的范围,可以是离散的,vlan-id取值范围为1~4094。&<1-16>表示前面的参数最多可以重复输16次 l all:将Trunk端口加入到所有VLAN中 |
|
把当前Trunk端口从指定VLAN中删除 |
undo port trunk permit vlan { vlan-id-list | all } |
- |
l vlan-id所指的VLAN必须存在。
l Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合。
l Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的集合。
例:将Access端口Ethernet0/1加入到VLAN 3中(假设VLAN 3已经存在)。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] port access vlan 3
本任务只对10/100Base-TX、10/100/1000Base-T端口有效。
表6-14 设置以太网端口能够识别的网线类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置以太网端口能够识别的网线类型 |
mdi { across | auto | normal } |
l across:连接网线类型为交叉网线 l auto:自动识别是直通网线还是交叉网线 l normal:连接网线类型为直通网线 l 缺省情况下,端口的网线类型为auto类型 |
|
恢复以太网端口网线类型的缺省值 |
undo mdi |
- |
例:设置以太网端口Ethernet0/1能够识别的网线类型为交叉网线类型。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] mdi across
端口汇聚是将多个连续的端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担,同时也提供了更高的连接可靠性。
S1550E支持6组汇聚组,每组最多8个端口。
在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口。同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。
l 用于聚合的端口的速率及双工状态必须一致,而且端口速率不能为auto,端口双工状态不能为auto或half。
l 对端的端口也要设置为汇聚端口,并且与本端速率及双工状态相同,这样才能实现端口汇聚的功能。
l 若端口已设置成为镜像端口或设置了端口隔离,则不能对其进行端口汇聚的设置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置以太网端口汇聚 |
link-aggregation Ethernet interface-number1 to Ethernet interface-number2 |
l interface-number1:用来表示加入汇聚的起始以太网端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l interface-number2:用来表示加入汇聚的终止以太网端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 百兆端口和千兆端口不能混合汇聚 |
|
取消以太网端口汇聚 |
undo link-aggregation { all | Ethernet master-interface-name } |
l master-interface-name:端口汇聚的主端口 l all:所有汇聚端口 |
例:设置端口汇聚。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] link-aggregation Ethernet 0/1 to Ethernet 0/2
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置以太网端口汇聚模式 |
link-aggregation mode { srcdstmac | srcmac | dstmac } |
l srcdstmac:表示汇聚组中各成员端口根据源MAC地址和目的MAC地址对出端口方向的数据流进行负荷分担 l srcmac:表示汇聚组中各成员端口仅根据源MAC地址对出端口方向的数据流进行负荷分担 l dstmac:表示汇聚组中各成员端口仅根据目的MAC地址对出端口方向的数据流进行负荷分担 l 缺省为srcdstmac |
|
恢复以太网端口汇聚模式为缺省设置 |
undo link-aggregation mode |
- |
|
操作 |
命令 |
说明 |
|
显示以太网端口汇聚设置 |
display link-aggregation [ Ethernet interface-number] |
显示命令可在任意视图下执行 |
例:显示以太网端口汇聚设置信息。
<H3C> display link-aggregation
Master port: Ethernet0/1
Other sub-ports:
Ethernet0/2
以上显示信息表示汇聚主端口是Ethernet0/1,子端口是Ethernet0/2。
S1550E提供基于端口的镜像功能,即可将指定的一个或多个端口的报文复制到镜像端口,用于报文的分析和监视。例如:将镜像源端口Ethernet0/1端口上的报文复制到指定镜像目的端口Ethernet0/2,通过镜像目的端口Ethernet0/2上连接的协议分析仪进行测试和记录。
l 在没有设置镜像目的端口时,不能设置镜像源端口。同时,镜像源端口存在时,不能删除镜像目的端口。
l 镜像源端口和镜像目的端口不能设置为同一个端口。
l S1550E只支持一个镜像组。
l 指定的镜像目的端口不能为汇聚端口。
l 当新的目的镜像端口设置后,原有的目的镜像端口将被自动取消,镜像源端口不变。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置镜像目的端口 |
monitor-port Ethernet interface-number |
interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
删除镜像目的端口 |
undo monitor-port |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置镜像源端口 |
mirroring-port Ethernet interface- number [ to Ethernet interface-number ] { inbound | outbound | both } |
l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l inbound:表示仅对端口接收的报文进行监控 l outbound:表示仅对端口发送的报文进行监控 l both:表示同时对端口接收和发送的报文进行监控 |
|
删除镜像源端口 |
undo mirroring-port Ethernet interface-number [ to Ethernet interface- number ] { inbound | outbound | both } |
l inbound:只取消对端口接收报文的监控 l outbound:只取消对端口发送报文的监控 l both:同时取消对端口接收和发送报文的监控 |
|
操作 |
命令 |
说明 |
|
display mirror |
显示命令可在任意视图下执行 |
# 将Ethernet0/1端口至Ethernet0/5端口上的报文镜像到指定的镜像目的端口Ethernet0/8上,并仅对镜像源端口接收的报文进行监控。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] monitor-port Ethernet 0/8
[H3C] mirroring-port Ethernet 0/1 to Ethernet 0/5 inbound
[H3C] display mirror
Monitor-port:
Ethernet0/8
Mirroring-port:
Ethernet0/1 inbound
Ethernet0/2 inbound
Ethernet0/3 inbound
Ethernet0/4 inbound
Ethernet0/5 inbound
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口限速 |
line-rate { inbound | outbound } target-rate |
l inbound:对端口接收报文进行速率限制 l outbound:对端口发送报文进行速率限制 l target-rate:端口发送或接收报文限制的总速率。百兆端口级别取值范围为1~127,千兆端口级别取值范围为1~240。其中取值范围为1~28时,端口速率为:target-rate×8×1024/125,即64Kbps、128Kbps、192Kbps~1.792Mbps;取值范围为29~127时,端口速率为:(target-rate-27)×1024,即2Mbps、3Mbps、4Mbps~100Mbps;取值范围为128~240时,(target-rate-115)×8×1024, 即104Mbps、112Mbps、120Mbps~1000Mbps |
|
取消端口限速的设置 |
undo line-rate { inbound | outbound } |
l inbound:只取消对端口接收报文进行速率限制 l outbound:只取消对端口发送报文进行速率限制 |
例:对端口Ethernet0/1接收报文限速为2Mbps。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] line-rate inbound 29
您可以通过本任务来诊断端口连接的电缆状态,快速定位网络故障。
表6-22 诊断以太网端口电缆状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
诊断以太网端口电缆状态 |
virtual-cable-test |
- |
例:对端口Ethernet0/4进行电缆诊断。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/4
[H3C-Ethernet0/4] virtual-cable-test
Cable pair 1 Status: OPEN Cable lenth: 1 metres +/- 0
Cable pair 2 Status: OPEN Cable lenth: 1 metres +/- 0
表6-23 virtual-cable-test命令显示信息描述表
|
字段 |
说明 |
|
Cable pair 1 Status: |
NORMAL:表示已连接 OPEN:表示端口未连接 SHORT:表示短路 UNKNOWN:表示未知 |
|
Cable lenth: |
端口连接电缆的长度,可能存在一定的误差,结果仅供参考 |
|
操作 |
命令 |
说明 |
|
显示端口的所有信息 |
display interface Ethernet interface-number |
l 显示命令可在任意视图下执行 l interface-number:端口号,采用槽位编号/端口编号的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 |
|
清除端口的统计信息 |
reset counters interface [ Ethernet interface-number] |
此命令需在用户视图下执行 |
S1550E的端口49是复合端口,显示信息与其它普通端口有所差别。
例:显示端口Ethernet0/1的所有信息。
<H3C> display interface Ethernet0/1
Ethernet0/1 current state: DOWN
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 08f0-1f00-bc15
The Maximum Transmit Unit is 1500
Media type is twisted pair
Port hardware type is 100_BASE_TX
Unknown-speed mode, unknown-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
Inbound line-rate is disabled
Outbound line-rate is disabled
Flow control is disabled
The Maximum Frame Length is 1532
Broadcast MAX-ratio: 100%
Priority: 0
PVID: 1
Port link-type: access
Tagged VLAN ID: none
Untagged VLAN ID: 1
Input(normal): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s)
Input(error): 0 input error(s), 0 runt(s), 0 giant(s), 0 CRC
0 frame, 0 abort(s), 0 ignored, 0 Jabber(s)
Output(normal): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s)
Output(error): 0 output error(s), 0 abort(s), 0 deferred
0 collision(s), 0 late collision(s)
表6-25 display interface命令显示信息描述表
|
字段 |
描述 |
|
Ethernet0/1 current state |
端口状态 |
|
IP Sending Frames' Format is |
帧格式 |
|
Hardware address is |
S1550E的MAC地址 |
|
The Maximum Transmit Unit is |
最大传输单元 |
|
Media type is |
端口连接线类型 |
|
Port hardware type is |
端口硬件类型 |
|
Link speed type is |
端口速率 |
|
link duplex type is |
端口双工模式 |
|
Inbound line-rate is |
入端口限速 |
|
Outbound line-rate is |
出端口限速 |
|
Flow control is |
流控 |
|
The Maximum Frame Length is |
最大帧长 |
|
Broadcast MAX-ratio |
广播风暴抑制率 |
|
Priority |
端口优先级 |
|
PVID |
端口缺省VLAN ID |
|
Port link-type |
端口链路类型 |
|
Tagged VLAN ID |
该端口允许通过的VLAN ID,且该端口在转发指定的VLAN报文时保留VLAN Tag |
|
Untagged VLAN ID |
该端口允许通过的VLAN ID,且该端口在转发指定的VLAN报文时不保留VLAN Tag |
|
Input(normal): |
统计端口接收的正确报文总数和字节总数 |
|
Input(error): |
统计端口接收的错误报文总数和字节总数 |
|
Output(normal): |
统计端口发送的正确报文总数和字节总数 |
|
Output(error): |
统计端口发送的错误报文总数和字节总数 |
VLAN(Virtual Local Area Network 虚拟局域网)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成多个的广播域(或称虚拟LAN,即VLAN),VLAN的划分不受物理位置的限制:不在同一物理位置范围的主机可以属于同一个VLAN;一个VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机。
VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。
S1550E支持802.1q VLAN和基于端口的VLAN(Port-based VLAN)。
802.1q VLAN和Port-based VLAN在S1550E中不能同时生效。
802.1q VLAN由IEEE 802.1q协议定义其帧格式,是最常用的一种VLAN,以下简称VLAN。
l 当VLAN模式为802.1q VLAN且处于缺省状态时,在系统视图下新增用户组操作,系统就会自动进入Port-based VLAN状态并给出提示,相关操作请参见“7.3.1 创建/删除用户组”。
l 802.1q VLAN的缺省状态为只存在VLAN 1,且所有端口为Access端口。
创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此设置任务将首先创建VLAN,然后进入VLAN视图。
表7-1 创建/删除VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
vlan-id:VLAN的ID,取值范围为1~4094 缺省情况下,只存在VLAN 1, VLAN 1中包含所有端口 |
|
删除已创建的VLAN |
undo vlan { vlan-id [ to vlan-id ] | all } |
all:删除除缺省VLAN和管理VLAN外的所有VLAN |
例:创建并进入VLAN 2视图。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] vlan 2
[H3C-Vlan2]
表7-2 将Access端口加入指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
为指定的VLAN增加Access端口 |
port Ethernet interface-number [ to Ethernet interface-number ] |
l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 初始状态所有端口都属于VLAN 1 |
|
删除指定的VLAN的某些Access端口 |
undo port Ethernet interface-number [ to Ethernet interface-number ] |
- |
Trunk和Hybrid端口只能通过以太网端口视图下的port和undo port命令加入VLAN或从VLAN中删除,而不能通过本命令实现,,相关操作请参见“6.1.9 设置以太网端口的指定VLAN”。
例:将Ethernet0/4到Ethernet0/7的以太网端口加入VLAN 2。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] vlan 2
[H3C-vlan2] port Ethernet 0/4 to Ethernet 0/7
通过此功能可以实现不同用户的端口属于同一个VLAN,而不同用户之间不能互通。它增强了网络的安全性,提供了灵活的组网方案,同时节省了大量的VLAN资源。
可以通过下面的命令设置指定VLAN内的端口二层隔离,从而使该VLAN内的端口间不能进行二层转发。
表7-3 开启/关闭VLAN隔离特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
开启VLAN隔离特性 |
port-isolate enable |
缺省情况下,VLAN内的端口二层不隔离,即端口间可以进行二层转发 |
|
关闭VLAN的隔离特性 |
undo port-isolate enable |
- |
例:开启VLAN 2隔离特性。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] vlan 2
[H3C-vlan2] port-isolate enable
当设置VLAN内的端口间二层隔离后,为使被隔离端口的报文仍能通过二层转发出去,可以使用下面的命令设置该VLAN内的某端口为隔离上行端口。
l 只有在开启VLAN内的端口二层隔离后,才能设置上行端口,且只能设置一个上行端口。
l 必须先将上行端口改为普通隔离端口后,才能将其从VLAN中删除。
l 如果上行端口为Trunk端口,则建议设置Trunk端口允许所有VLAN通过,并且是所属的开启端口隔离的VLAN的唯一上行端口。
l 端口汇聚与端口隔离不能同时设置。
表7-4 设置VLAN隔离的上行端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口为VLAN的隔离上行端口 |
port-isolate uplink-port vlan vlan-id |
vlan-id:指定的VLAN ID,取值范围为1~4094 |
|
删除VLAN的隔离上行端口 |
undo port-isolate uplink-port vlan vlan-id |
- |
例:设置端口Ethernet0/2为VLAN 2的隔离上行口。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] vlan 2
[H3C-vlan2] port-isolate enable
[H3C-vlan2] port Ethernet 0/2
[H3C-vlan2] interface ethernet 0/2
[H3C-Ethernet0/2] port-isolate uplink-port vlan 2
表7-5 802.1q VLAN设置显示
|
操作 |
命令 |
说明 |
|
显示VLAN相关信息 |
display vlan [ vlan-id1 | [ to vlan-id2 ] | all ] |
l vlan-id1 to vlan-id2:指定要显示的VLAN ID范围 l all:显示所有VLAN的详细信息 l 如果指定了参数或关键字all,则显示指定VLAN或所有VLAN的详细信息;如果只执行display vlan,将显示已创建的所有VLAN列表 l 显示命令可在任意视图下执行 |
例:显示VLAN 2的信息。
<H3C> display vlan 2
VLAN ID: 2
VLAN Type: Static
Route Interface: not configured
Tagged Ports: none
Untagged Ports:
Ethernet0/1 Ethernet0/2 Ethernet0/3
Port-isolate: enable
Uplink-port: Ethernet0/2
表7-6 display vlan命令显示信息描述表
|
字段 |
描述 |
|
VLAN ID |
VLAN ID |
|
VLAN Type |
VLAN 类型 |
|
Route Interface |
路由接口,S1550E不支持 |
|
Tagged Ports |
Tagged端口 |
|
Untagged Ports |
Untagged端口 |
|
Port-isolate |
VLAN内端口隔离 |
|
Uplink-port |
VLAN内端口隔离使能后的上行端口号 |
Port-based VLAN提供了用户分组的功能,通过划分不同VLAN可以起到隔离用户的作用,满足了更丰富的组网需求。
Port-based VLAN可以通过创建不同的用户组来实现,一个端口可以属于多个用户组。不属于同一个用户组的端口不能相互通信。
S1550E最大可以设置50个用户组,其ID取值范围为1~50。
l 当VLAN模式为Port-based VLAN且处于缺省状态时,执行新增VLAN或者改变端口为Trunk类型的操作,系统就会自动进入802.1q VLAN状态并给出提示,相关操作请参见“7.2 设置802.1q VLAN”。
l Port-based VLAN的缺省状态为所有端口只属于用户组1。
表7-7 创建/删除用户组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建用户组 |
user-group group-id |
group-id:user-group的ID,取值范围为1~50 创建用户组时,如果该用户组已存在,则直接进入该用户组视图;如果该用户组不存在,则首先创建用户组,然后进入用户组视图 缺省情况下,只存在用户组1,用户组1中包含所有端口 |
|
删除用户组 |
undo user-group { group-id [ to group-id ] | all } |
删除用户组时,如果该用户组不存在,会出现“VLAN(s) do(es) not exist!”的提示 |
例:创建用户组2,并且进入用户组视图。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-group 2
[H3C-UserGroup2]
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建用户组,并进入用户组视图 |
user-group group-id |
l group-id:user-group的ID,取值范围为1~50 l 如果该user-group已存在,则直接进入该user-group视图;如果该user-group不存在,则首先创建user-group,然后进入user-group视图 |
|
将以太网端口加入用户组 |
port Ethernet interface- number [ to Ethernet interface-number ] |
l interface-number:端口号,采用“槽位编号/端口编号”的格式。 l S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 缺省情况下,所有端口都属于用户组1 |
|
将以太网端口从用户组中删除 |
undo port Ethernet interface-number [ to Ethernet interface-number ] |
- |
例:将Ethernet0/4至Ethernet0/7的以太网端口加入用户组2。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] user-group 2
[H3C-UserGroup2] port Ethernet0/4 to Ethernet0/7
|
操作 |
命令 |
说明 |
|
显示用户组相关信息 |
display user-group [ group-id | all] |
l group-id:用户组的ID,取值范围为1~50 l all:显示全部用户组的相关信息 l 显示命令可在任意视图下执行 |
QoS(Quality of Service,服务质量)是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
当网络拥塞时,必须解决多个报文同时竞争使用资源的问题,通常采用队列调度加以解决。这里介绍2种各具特色的队列调度算法:
l WRR(Weighted Round Robin,加权轮循)调度算法
S1550E的端口支持4个输出队列,S1550E的端口支持4个输出队列,您可以根据需要定义每个队列占用整个端口的带宽权重,每个端口队列按照定义的权重进行报文的轮循转发,保证每个队列都有发送报文的机会。
l HQ-WRR(High Queue-WRR,高优先级队列优先-加权轮循)调度算法
HQ-WRR调度模式在WRR的基础上,在4个输出队列中选择队列4为高优先级队列。如果出端口发生拥塞,S1550E首先保证队列4的报文优先发送出去,然后对其余3个队列实行WRR调度。
S1550E支持两种优先级信任:CoS、DSCP。根据不同的优先级,各个队列与优先级的对应关系如下:
l 根据CoS优先级:CoS优先级的取值范围为0~7,报文优先级取值为1、2的放入队列1;0、3的放到队列2;4、5的放到队列3;6、7的放到队列4。
l 根据DSCP优先级:DSCP优先级的取值范围为0~63,报文优先级取值为0~15的放入队列1;16~31的放到队列2;32~47的放到队列3;48~63的放到队列4。
QoS设置包括:
l 设置端口的优先级
l 设置队列调度
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
设置端口的优先级 |
priority priority-level |
l priority-level:端口优先级取值,取值范围为0~7,优先级从低到高 l 缺省情况下,以太网端口优先级为0 |
|
恢复端口的优先级为缺省值 |
undo priority |
- |
例:设置以太网端口Ethernet0/3优先级为1。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/3
[H3C-Ethernet0/3] priority 1
表8-2 设置S1550E信任报文的优先级方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置S1550E信任报文的优先级方式 |
priority-trust { cos | dscp } |
l cos:根据802.1p优先级将报文放入对应优先级的端口输出队列 l dscp:根据dscp优先级将报文放入对应优先级的端口输出队列 l 缺省情况下,S1550E信任报文的802.1p优先级 |
例:设置S1550E信任报文的优先级方式为dscp。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] priority-trust dscp
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置队列调度算法 |
queue-scheduler { hq-wrr | wrr queue1-weight queue2-weight queue3-weight queue4-weight } |
l 缺省情况下S1550E采用WRR调度算法 l queue1-weight、queue2-weight、queue3-weight、 queue4-weight为队列1、2、3、4的权重,取值范围为1~31 |
|
恢复队列调度算法的缺省值 |
undo queue-scheduler |
- |
S1550E支持2种队列调度算法:HQ-WRR调度算法、WRR调度算法。队列权重缺省为1:2:4:8。
例:设置S1550E队列调度算法为WRR,队列权重分别为2:4:6:8。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] queue-scheduler wrr 2 4 6 8
表8-4 QoS的显示
|
操作 |
命令 |
说明 |
|
显示队列调度模式及参数 |
display queue-scheduler |
显示命令可在任意视图下执行 |
|
显示优先级信任模式 |
display priority-trust |
例:显示当前队列调度方式。
<H3C> display queue-scheduler
Queue scheduling mode: weighted round robin
weight of queue 1: 2
weight of queue 2: 4
weight of queue 3: 6
weight of queue 4: 8
以上信息表明队列调度方式为WRR,队列1、2、3、4的权重分别为:2、4、6、8
SNMP(Simple Network Management Protocol,简单网络管理协议)是使用TCP/IP协议族对互联网上的设备进行管理的一个框架,它提供一组基本的操作来监视和维护互联网。它用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。
SNMP分为NMS和Agent两部分:NMS(Network Management Station 网络管理站),是运行服务器端程序的工作站;Agent是运行在网络设备上的客户端软件。NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的请求报文后,根据报文类型进行Read或Write操作,生成Response报文,并将报文返回给NMS。
S1550E作为SNMP Agent,支持SNMPv1和SNMPv2c。
SNMP的主要设置包括:
l 设置系统信息
SNMPv1、SNMPv2c采用团体名认证。SNMP团体(Community)用一个字符串来命名,称为团体名(Community Name)。SNMP团体名用来定义NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制NMS访问S1550E上的SNMP Agent。您可以指定以下一个或者多个与团体名相关的特性:
l 定义团体可以访问的所有MIB对象的子集的MIB视图;
l 对团体可以访问的MIB对象定义读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能查询设备信息,而具有读写权限的团体还可以设置设备。
表9-1 设置团体名及访问权限
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置团体名及访问权限 |
snmp-agent community { read | write } community-name |
l read:表明对MIB对象进行只读的访问 l write:表明对MIB对象进行读写的访问 l community-name:团体名字符串。字符串长度有效范围1~32 |
|
取消团体名及访问权限 |
undo snmp-agent community community-name |
- |
例:设置团体名为comaccess,并且允许使用该团体名进行只读访问。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] snmp-agent community read comaccess
表9-2 设置接收/发送SNMP报文的大小
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置接收/发送的SNMP报文的大小 |
snmp-agent max-size byte-count |
l byte-count:接收/发送的最大SNMP报文的大小,单位字节,取值范围为1500~64000 l 缺省情况下,SNMP报文的大小为1500字节 l 根据所处的网络环境不同,Agent能接收/发送的SNMP消息包的大小也有所差异 |
|
恢复SNMP报文大小的缺省值 |
undo snmp-agent max-size |
- |
例:设置Agent能接收/发送的SNMP消息包的最大为1600字节。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] snmp-agent max-size 1600
如果S1550E发生故障,维护人员可以利用系统维护信息了解其生产厂商,及时与生产厂商取得联系。可以使用下面的命令来设置系统维护联系信息。
表9-3 设置系统信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置系统信息 |
snmp-agent sys-info { contact sysContact | location sysLocation | version { v1 | v2c | all } } |
l contact:设置系统维护联系信息 l sysContact:描述系统维护联系信息的字符串,字符串有效长度是1~80 l location:设置设备节点的物理位置,字符串有效长度是1~80 l sysLocation:设备节点的物理位置信息,字符串的有效长度是1~80 l version:设置系统启用的SNMP版本号 l v1:SNMPv1版本 l v2c:SNMPv2c版本 l all:SNMPv1、SNMPv2c 版本 |
|
取消当前设置的系统信息 |
undo snmp-agent sys-info [ contact | location | version { v1 | v2c | all } ] |
- |
例:设置系统维护联系信息为#27345。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] snmp-agent sys-info contact #27345
表9-4 开启/禁止SNMP Agent
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启SNMP Agent |
snmp-agent |
缺省情况下,SNMP Agent处于关闭状态 |
|
关闭SNMP Agent |
undo snmp-agent |
- |
例:关闭SNMP Agent。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] undo snmp-agent
|
操作 |
命令 |
说明 |
|
显示当前设置的团体名 |
display snmp-agent community [ read | write ] |
显示命令可在任意视图下执行 |
|
显示系统维护联系信息 |
display snmp-agent sys-info contact |
|
|
显示系统物理位置信息 |
display snmp-agent sys-info location |
|
|
显示系统启用的SNMP版本 |
display snmp-agent sys-info version |
表9-6 开启/关闭SNMP调试开关
|
操作 |
命令 |
说明 |
|
开启SNMP调试开关 |
debugging snmp-agent { packet | process } |
l 此命令需在用户视图下执行 l packet:数据包调试信息 l process:SNMP数据包的过程处理调试信息 l 缺省情况下,调试开关处于关闭状态 |
|
关闭SNMP调试开关 |
undo debugging snmp-agent { packet | process } |
- |
相关设置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“14.1.3 显示调试开关状态”和“14.1.2 开启/关闭终端显示调试信息功能”。
IGMP Snooping(Internet Group Management Protocol Snooping)是运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组。
IGMP Snooping运行在链路层。当二层以太网交换机收到主机和三层设备之间传递的IGMP报文时,IGMP Snooping分析IGMP报文所带的信息。当监听到主机发出的IGMP主机报告报文(IGMP host report message)时,交换机就将该主机端口加入到相应的组播表中;当监听到主机发出的IGMP离开报文(IGMP leave message)时,交换机将在相应的组播表中删除此主机端口。通过不断地监控IGMP报文,交换机就可以在二层建立和维护MAC组播地址表。之后,交换机就可以根据MAC组播地址表转发从路由器下发的组播报文。
没有运行IGMP Snooping时,组播报文将在二层广播。如图10-1所示。
图10-1 没有运行IGMP Snooping时组播报文传播过程
运行IGMP Snooping后,报文将不会在二层广播,而是进行二层组播,如图10-2所示。
图10-2 运行IGMP Snooping时组播报文传播过程
IGMP Snooping设置包括:
l 设置端口快速离开
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启IGMP Snooping |
igmp-snooping enable |
缺省情况下,IGMP Snooping功能处于关闭状态 |
|
关闭IGMP Snooping |
undo igmp-snooping enable |
- |
例:开启IGMP Snooping。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] igmp-snooping enable
Enable IGMP-Snooping ok.
路由器端口是交换机上朝向三层组播设备一侧的端口。如果S1550E在路由器端口老化时间之内没有收到路由器的通用查询报文,则把该路由器端口从路由器端口列表中删去。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置路由器端口老化时间 |
igmp-snooping router-aging-time seconds |
l seconds:路由器端口超时的时间(1秒~1000秒) l 缺省情况下,路由器端口老化时间为105秒 |
|
恢复路由器端口老化时间为缺省值 |
undo igmp-snooping router-aging-time |
- |
例:设置路由器端口老化时间为300秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] igmp-snooping router-aging-time 300
如果S1550E在IGMP普遍组查询的最大响应时间之内没有收到端口报告报文,S1550E就把该端口从组播组转发表中删去。
表10-3 设置IGMP普遍组查询的最大响应时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置IGMP普遍组查询的最大响应时间 |
igmp-snooping max-response-time seconds |
l seconds:最大响应查询时间(1秒~25秒) l 缺省情况下,IGMP普遍组查询的最大响应时间为10秒 |
|
恢复最大响应查询时间为缺省值 |
undo igmp-snooping max-response-time |
- |
例:设置IGMP普遍组查询的最大响应时间为15秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] igmp-snooping max-response-time 15
组播组成员端口是交换机上靠近组播组成员一侧的端口。如果S1550E在组播组成员端口老化时间之内没有收到组播组报告报文,则将该端口从组播组转发表中删除
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置组播组成员老化时间 |
igmp-snooping host-aging-time seconds |
l seconds:组播组成员老化时间(200秒~1000秒) l 缺省情况下,组播组成员端口老化时间为260秒 |
|
恢复组播组成员老化时间为缺省值 |
undo igmp-snooping host-aging-time |
- |
例:设置组播组成员端口老化时间为300秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] igmp-snooping host-aging-time 300
如果开启了端口快速离开功能后,当S1550收到离开报文时,则立即将此端口从组播组转发表中删除。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface Ethernet interface-number |
- |
|
开启快速离开功能 |
igmp-snooping fast-leave |
缺省情况下,端口快速离开功能关闭 |
|
关闭快速离开功能 |
undo igmp-snooping fast-leave |
- |
例:开启端口快速离开功能。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] interface Ethernet0/1
[H3C-Ethernet0/1] igmp-snooping fast-leave
|
操作 |
命令 |
说明 |
|
显示当前IGMP Snooping的设置信息 |
display igmp-snooping configuration |
显示命令可在任意视图下执行 |
|
显示IGMP Snooping对收发报文的统计信息 |
display igmp-snooping statistics |
|
|
显示IP组播组和MAC组播组信息 |
display igmp-snooping group [ vlan vlan-id ] |
|
|
清除IGMP Snooping统计信息 |
reset igmp-snooping statistics |
此命令需在用户视图下执行 |
开启此功能后,可以查看的调试信息包括IGMP收发消息,组播组建立删除情况,定时器的超时信息和异常出错信息。
|
操作 |
命令 |
说明 |
|
开启IGMP Snooping调试开关 |
debugging igmp-snooping all |
l 此命令需在用户视图下执行 l all:全部调试信息 |
|
关闭IGMP Snooping调试开关 |
undo debugging igmp-snooping all |
缺省情况下,IGMP-Snooping调试信息开关处于关闭状态 |
相关设置可参考命令display debugging、terminal debugging。这两条命令的介绍请参见“14.1.3 显示调试开关状态”和“14.1.2 开启/关闭终端显示调试信息功能”。
802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。主要用于解决以太网内认证和安全方面的问题。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图11-1所示分别为:Supplicant system(客户端)、Authenticator system(设备端)以及Authentication server system(认证服务器),如图11-1所示。
图11-1 802.1x认证系统的体系结构
l 客户端一般为用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端必须支持EAP(Extensible Authentication Protocol,可扩展认证协议)。
l 设备端对所连接的客户端进行认证。设备端为支持802.1x协议的网络设备(如S1550E),它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
l 认证服务器是为设备端提供认证服务的实体。认证服务器用于对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
S1550E不仅支持802.1x协议所规定的端口接入认证方式,还对其进行了扩展、优化,极大地提高了系统的安全性和可管理性。
l 支持一个物理端口接入多个用户的应用场合;
l 接入控制方式(即对用户的认证方式)不仅可以基于端口,还可以基于MAC地址。
l 设置定时器参数
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
开启全局802.1x特性 |
dot1x |
必选 缺省情况下,全局的802.1x特性处于关闭状态 |
||
|
开启端口的802.1x特性 |
系统视图下 |
dot1x [ interface interface-list ] |
l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list=Ethernet interface-number [ to Ethernet interface-number ] l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 两者必选其一 l 缺省情况下,端口的802.1x特性均为关闭状态 |
|
|
端口视图下 |
interface Ethernet interface-number |
|||
|
dot1x |
||||
|
关闭端口的802.1x特性 |
系统视图下 |
undo dot1x [ interface interface-list ] |
- |
|
|
端口视图下 |
undo dot1x |
|||
只有全局802.1x特性和端口802.1x特性都开启后,端口的802.1x设置才能生效。
例:开启以太网端口Ethernet 0/1上的802.1x特性。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x
[H3C] dot1x interface ethernet 0/1
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口接入控制模式 |
系统视图下 |
dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ] |
l auto:自动识别模式。端口初始状态为非授权状态,仅允许EAP报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源 l authorized-force:强制授权模式。端口始终处于授权状态,允许用户不经认证授权即可访问网络资源 l unauthorized-force:强制非授权模式。端口始终处于非授权状态,不允许用户访问网络资源 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-number [ to Ethernet interface-number ] l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 两者必选其一 l 缺省情况下,接入控制模式为auto |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x port-control { authorized-force | unauthorized-force | auto } |
|||
|
将端口接入控制模式恢复为缺省值 |
系统视图下 |
undo dot1x port-control [ interface interface-list ] |
- |
|
端口视图下 |
undo dot1x port-control |
||
例:指定端口Ethernet 0/1处于强制非授权状态。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x port-control unauthorized-force interface ethernet 0/1
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口接入控制方式 |
系统视图下 |
dot1x port-method { macbased | portbased } [ interface interface-list ] |
l macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证 l portbased:指示802.1x认证系统基于端口号对接入用户进行认证 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-number [ to Ethernet interface-number ] l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 两者必选其一 l 缺省情况下,接入控制方式为macbased |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x port-method { macbased | portbased } |
|||
|
将端口接入控制方式恢复为缺省值 |
系统视图下 |
undo dot1x port-method [ interface interface-list ] |
- |
|
端口视图下 |
undo dot1x port-method |
||
l 采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;
l 采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证即可使用网络资源,但是当第一个用户下线后,其他用户会被拒绝使用网络。
例:指定端口Ethernet 0/1基于端口号对接入用户进行认证。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x port-method portbased interface ethernet 0/1
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口接入控制方式 |
系统视图下 |
dot1x max-user user-number [ interface interface-list ] |
l user-number:端口可容纳接入用户数量的最大值,取值范围为1~128 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-number [ to Ethernet interface-number ] l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 两者必选其一 l 缺省情况下,指定端口上可容纳接入用户数量的最大值为128 |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x max-user user-number |
|||
|
将端口接入控制方式恢复为缺省值 |
系统视图下 |
undo dot1x max-user [ interface interface-list ] |
- |
|
端口视图下 |
undo dot1x max-user |
||
例:设置端口Ethernet 0/2最多可容纳32个接入用户。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x max-user 32 interface ethernet 0/2
S1550E支持EAP中继认证,即直接把认证信息以EAP报文的形式发送给认证服务器,该功能的实现,需要认证服务器支持EAP认证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置802.1x用户的认证方法 |
dot1x authentication-method eap |
eap:采用EAP认证方式 |
|
恢复缺省802.1x用户认证方法 |
undo dot1x authentication-method |
- |
例:设置S1550E 802.1x用户的认证方法为EAP认证。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x authentication-method eap
在S1550E上开启了802.1x重认证功能后,S1550E会对接入的用户进行周期性的重新认证。
表11-6 开启/关闭802.1x用户重认证功能
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
开启802.1x用户重认证功能 |
系统视图下 |
dot1x re-authenticate [ interface interface-list ] |
l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-number [ to Ethernet interface-number ] l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l 两者必选其一 l 缺省情况下,所有端口的802.1x用户重认证特性都处于关闭状态 |
|
端口视图下 |
interface Ethernet interface-number |
||
|
dot1x re-authenticate |
|||
|
关闭802.1x用户重认证功能 |
系统视图下 |
undo dot1x re-authenticate [ interface interface-list ] |
- |
|
端口视图下 |
undo dot1x dot1x re-authenticate |
||
S1550E以用户通过dot1x timer reauth-period命令设置的值作为认证周期,该周期的缺省值为3600秒。重认证超时定时器的设置请参见“11.2.7 设置定时器参数”。
802.1x在运行时会开启很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authenticator Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值,以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。一般情况下,请保持这些定时器的缺省值。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置定时器参数 |
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value } |
l handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。缺省情况下,系统最大重传次数为5,则系统连续5次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态 l handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒 l reauth-period:重认证超时定时器。在该定时器设置的时长内,S1550E会发起802.1x重认证 l reauth-period-value:重认证超时定时器设置的时长,取值范围为1~86400,单位为秒。缺省值为3600秒 l quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不处理认证功能 l quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒 l tx-period:传送超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送认证应答报文,则Authenticator设备将重发认证请求报文 l tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒 l supp-timeout:Supplicant认证超时定时器。若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发认证请求报文 l supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒 l server-timeout:认证服务器超时定时器。若在该定时器设置的时长内,Authentication server未成功响应,Authenticator设备将重发认证请求报文 l server-timeout-value:认证服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒 |
|
将定时器参数恢复为缺省值 |
undo dot1x timer { quiet-period | tx-period| supp-timeout | server-timeout } |
- |
例:设置认证服务器超时定时器时长为150秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x timer server-timeout 150
|
操作 |
命令 |
说明 |
|
清除802.1x的统计信息 |
reset dot1x statistics [ interface interface-list ] |
l 此命令需在用户视图下执行 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-num [ to Ethernet interface-num ] l 如果不指定端口类型和端口号,则清除S1550E上的全局及所有端口的802.1x统计信息;如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息 |
|
显示802.1x的设置、运行情况和统计信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
l 显示命令可在任意视图下执行 l sessions:显示802.1x的会话连接信息。 l statistics:显示802.1x的相关统计信息。 l interface:显示指定端口的802.1x相关信息。 l interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list= Ethernet interface-number [ to Ethernet interface-number ] l 如果在执行本命令的时候不指定端口,系统将显示S1550E所有802.1x相关信息,例如:所有端口的802.1x设置情况、802.1x的会话连接信息、802.1x的数据统计信息等 |
|
打开802.1x的错误/事件/报文/全部调试开关 |
debugging dot1x { error | event | packets | all } |
l 此命令需在用户视图下执行 l error:打开802.1x模块认证过程中发生的错误信息的调试功能。 l event:打开802.1x模块认证过程中发生的事件的调试功能。 l packets:打开802.1x模块的包收发的调试功能。 l all:打开802.1x模块的所有调试功能。 |
|
关闭802.1x的错误/事件/报文/全部调试开关 |
undo debugging dot1x { error | event | packets | all } |
此命令需在用户视图下执行 |
l 如图11-2所示,某用户的工作站与S1550E的端口Ethernet0/1相连接。
l 要求在各端口上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是macbased。
l 一台认证服务器(RADIUS服务器)与S1550E相连,其IP地址为10.11.1.1,端口使用缺省端口1812。
l 设置S1550E与RADIUS服务器交互报文时的共享密钥为123。
l 设置S1550E在向RADIUS服务器发送报文后10秒种内如果没有得到响应,就向其重新发送报文,发送报文的次数总共为10次。
图11-2 802.1x典型设置案例组网图
# 启用全局802.1x特性。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] dot1x
# 启用指定端口Ethernet 0/1的802.1x特性。
[H3C] dot1x interface ethernet 0/1
# 设置接入控制方式(该命令可以不设置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[H3C] dot1x port-method macbased interface ethernet 0/1
# 进入RADIUS方案system的视图。
[H3C] radius scheme system
# 设置RADIUS服务器的IP地址。
[H3C-radius-system] primary authentication 10.11.1.1
This will kick away all the users online. Continue? [Y/N]y
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[H3C -radius-system] key authentication 123
This will kick away all the users online. Continue? [Y/N]y
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[H3C-radius-system] timer 10
This will kick away all the users online. Continue? [Y/N]y
[H3C-radius-system] retry 10
This will kick away all the users online. Continue? [Y/N]y
[H3C-radius-system] quit
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、Client/Server结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求允许远程用户访问的各种网络环境中。
RADIUS服务包括三个组成部分:
l 协议:RFC 2865和RFC 2866基于UDP定义了RADIUS的帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
l 服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
l 客户端:位于网络接入服务器设备侧,可以遍布整个网络。
RADIUS采用Client/Server模型。设备(如路由器、交换机)作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给设备返回所有需要的信息。
相对于RADIUS服务器来说,S1550E是RADIUS系统的客户端。
RADIUS协议的设置是以RADIUS方案为单位进行的。因此,在进行其它RADIUS协议设置之前,必须先创建RADIUS方案并进入其视图。
表12-1 创建/删除RADIUS方案
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
l radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串 l 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案,其各项属性均为缺省值 l 目前只支持缺省方案 |
|
删除RADIUS方案 |
undo radius scheme radius-scheme-name |
l 当有使用该方案的用户在线时不允许删除该RADIUS方案 l 缺省方案“system”不能被删除 |
例:进入RADIUS方案“system”视图。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system]
当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS认证/授权服务器的IP地址和UDP端口号进行设置。在设置过程中,请保证S1550E上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
表12-2 设置RADIUS服务器的IP地址和端口号
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS认证/授权服务器的IP地址和端口号 |
primary authentication ip-address [ port-number ] |
l ip-address:IP地址,为点分十进制格式。 l port-number:UDP端口号。取值范围为1~65535。 l 缺省情况下,对于系统创建的RADIUS方案“system”,其RADIUS服务器的IP地址为空,UDP端口号为1812 |
|
将RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值 |
undo primary authentication |
- |
为了保证S1550E与RADIUS服务器能够正常交互,在设置RADIUS服务器的IP地址和UDP端口之前,必须确保RADIUS服务器与S1550E的路由连接正常。
例:设置RADIUS方案“system”认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system] primary authentication 10.110.1.1 1812
RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
表12-3 设置RADIUS报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS报文的共享密钥 |
key authentication string |
l string:密钥。为不超过16个字符的字符串 l 缺省情况下,无共享密钥 |
|
恢复RADIUS报文共享密钥为缺省值 |
undo key authentication |
- |
例:将RADIUS方案“system”报文的共享密钥设置为hello。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system] key authentication hello
如果在RADIUS认证/授权请求报文传送出去一段时间后,S1550E还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,交换机系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,timer命令就是用来设置这个定时器长度的。
根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
表12-4 设置RADIUS服务器响应超时定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS服务器响应超时定时器 |
timer seconds |
l seconds:RADIUS服务器响应超时定时器,单位为秒,取值范围为1~10 l 缺省情况下,RADIUS服务器响应超时定时器为5秒 |
|
将RADIUS服务器响应超时定时器恢复为缺省值 |
undo timer |
- |
例:将RADIUS方案“system”的响应超时定时器设置为5秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C-radius-system] timer 5
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大重传次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
根据网络状况合理的设置最大重传次数可以提高系统的响应速度。
表12-5 设置RADIUS报文超时重传次数的最大值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme system |
- |
|
设置RADIUS报文超时重传次数的最大值 |
retry retry-times |
l retry-times:最大传送次数,取值范围为1~20 l 缺省情况下,RADIUS报文超时重传次数为5 |
|
将RADIUS报文的最大传送次数恢复为缺省值 |
undo retry |
- |
例:设置在RADIUS方案“system”下,RAIUDS报文的最大超时重传次数为5次。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] radius scheme system
[H3C-radius-system] retry 5
表12-6 RADIUS协议的显示和调试
|
操作 |
命令 |
说明 |
|
显示所有或指定RADIUS方案的设置信息 |
display radius [ radius-scheme-name ] |
l 显示命令可在任意视图下执行 l radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。此项如果为空,则显示所有RADIUS方案的设置信息 |
|
打开RADIUS报文调试开关 |
debugging radius packet |
l 此命令需在用户视图下执行 l 缺省情况下,关闭RADIUS协议的调试功能 |
|
关闭RADIUS报文调试开关 |
undo debugging radius packet |
- |
RADIUS协议与802.1x协议配合使用的例子,请参见“11.4 802.1x典型设置举例”部分,此处不再赘述。
S1550E维护着一张用于转发的地址表。MAC地址表的表项包含了与S1550E相连的设备的MAC地址及与此设备相连的S1550E的端口号。根据网络实际情况,管理员可以手工设置地址表。
S1550E提供MAC地址老化功能。如果在一定时间内没有收到来自某网络设备的报文,S1550E就会把与此设备相关的MAC地址表项删除。MAC地址老化对静态MAC地址表项无效。
管理员根据实际情况可以人工添加、修改或删除地址表中的表项。可以删除与某个端口相关的所有地址表项,也可以选择删除某类地址表项如动态表项、静态表项。
表13-1 添加/修改/删除MAC地址表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加/修改MAC地址表项 |
mac-address blackhole mac-address vlan vlan-id mac-address { dynamic | static } mac-address interface Ethernet interface-number vlan vlan-id |
l blackhole:黑洞表项,所有目的地址为该MAC地址的数据包都会被S1550E丢弃 l static:静态表项,不会被老化掉,保存后不会复位丢失 l dynamic:动态表项,会被老化掉 l mac-address:MAC地址,采用H-H-H的形式 l interface-number:端口号,采用槽位编号/端口编号的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l vlan-id:VLAN的ID,取值范围为1~4094 |
|
删除MAC地址表项 |
undo mac-address [ interface Ethernet interface-number | mac-address [ vlan vlan-id ] ] |
- |
S1550E是独立MAC地址学习方式,不同VLAN可以拥有相同的MAC表项。
例:添加一个MAC地址表项,MAC地址为000F-1FD8-0758,端口号为Ethernet0/1,端口属于VLAN 1,并将该表项设置为静态表项。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] mac-address static 000F-1FD8-0758 interface Ethernet 0/1 vlan 1
设置合适的老化时间可以有效地实现地址老化的功能。设置过长或者过短的老化时间,可能会引起不必要的网络故障,建议使用缺省值300秒。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置MAC地址表的老化时间 |
mac-address timer { aging age | no-aging } |
age:MAC地址表的老化时间,取值范围为10~1000000,单位为秒 |
|
恢复MAC地址表的老化时间为缺省值 |
undo mac-address timer aging |
缺省情况下,MAC地址表的老化时间为300秒 |
例:设置MAC地址表的老化时间为500秒。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] mac-address timer aging 500
表13-3 显示MAC地址表
|
操作 |
命令 |
说明 |
|
显示MAC地址表信息 |
display mac-address [ mac-address [ vlan vlan-id ] | interface Ethernet interface-number | blackhole | aging-time | count ] |
l Mac-address:MAC地址 l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l blackhole:黑洞表项,所有目的地址为该MAC地址的数据包都会被S1550E丢弃 l count:数量,此参数用于显示MAC地址数量的命令 |
例:显示地址表中MAC地址为00e0-fc01-0101的地址表项的信息。
<H3C> display mac-address 00e0-fc01-0101
Reading entire MAC table. Please wait...
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000F-1FD8-0758 1 Config static Ethernet0/1 NOAGED
--- 1 mac address(es) found ---
以上显示信息表示:MAC地址为000F-1FD8-0758的数据包将从Ethernet0/1端口转发,这个表项被设置为静态表项。
端口绑定即为将MAC地址与端口进行绑定。您可以通过设置MAC地址与端口的绑定关系,只允许特定MAC地址的设备通过该端口访问网络。
设置了端口汇聚的端口不能再设置端口绑定。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置端口绑定 |
mac-address port-binding mac-address interface Ethernet interface-number [ vlan vlan-id ] |
l mac-address:需要进行绑定的MAC地址 l interface-number:端口号,采用“槽位编号/端口编号”的格式。S1550E的槽位编号只能取0,端口编号取值范围为1~50 l vlan-id:该端口所属的VLAN |
|
取消端口绑定 |
undo mac-address port-binding mac-address interface Ethernet interface-number [ vlan vlan-id] |
- |
例:将MAC地址000F-1FD8-0758和端口Ethernet0/1绑定,并且端口Ethernet0/1属于VLAN 1。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] mac-address port-binding 000F-1FD8-0758 interface Ethernet 0/1 vlan 1
表13-5 显示端口绑定
|
操作 |
命令 |
说明 |
|
显示端口绑定信息 |
display mac-address port-binding |
显示命令可在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
显示已保存设置 |
display saved-configuration |
显示命令可在任意视图下执行 |
|
显示当前设置 |
display current-configuration |
显示命令可在任意视图下执行 |
l 如果S1550E上电之后工作不正常,可以执行display saved-configuration命令查看S1550E的已保存设置,以定位问题。
l 当您完成一组设置后,需要验证设置是否正确时,可以执行display current-configuration命令来查看当前生效的参数。对于某些参数,虽然您已经设置,但如果这些参数所在的功能没有生效,则不予显示。对于某些正在生效的设置参数,如果与缺省工作参数相同,也不显示。
例:显示S1550E当前的设置。
<H3C> display current-configuration
sysname H3C
#
vlan 1
#
interface Ethernet0/1
duplex full-duplex mode
speed 10
#
---- More ----
|
操作 |
命令 |
说明 |
|
保存当前设置 |
save |
l 此命令需在用户视图下执行 l 当完成一组设置并且已经达到预定功能时,建议您将当前设置保存到FLASH memory中 |
例:保存当前设置到FLASH memory中。
<H3C> save
This will save the configuration in the FLASH memory
Are you sure?[Y/N]y
Now saving current configuration to FLASH memory
Please wait for a while...
Current configuration saved to FLASH memory successfully
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
恢复S1550E到缺省设置 |
restore default |
- |
例:恢复S1550E到缺省设置。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] restore default
This will restore the default configuration in the FLASH memory
Are you sure?[Y/N]y
Now saving default configuration to FLASH memory
Please wait for a while...
Default configuration saved to FLASH memory successfully
不同版本的软件提供不同的功能,可以使用以下命令查看S1550E的系统版本信息,从而知道当前软件支持的功能特性。
|
操作 |
命令 |
说明 |
|
显示系统版本 |
display version |
显示命令可在任意视图下执行 |
当S1550E出现故障需要重新启动时,可以通过以下命令进行重启。
表13-10 重启S1550E
|
操作 |
命令 |
说明 |
|
重启S1550E |
reboot |
此命令需在用户视图下执行 |
例:重启S1550E。
<H3C> reboot
This will reboot switch. Continue? [Y/N]y
Switch is rebooted!
当需要显示S1550E单板的模块类型、工作状态信息时,可以通过以下命令进行查看。
表13-11 显示设备信息
|
操作 |
命令 |
说明 |
|
显示设备信息 |
display device |
显示命令可在任意视图下执行 |
例:显示设备信息。
<H3C> display device
SlotNo SubSNo PortNum FPGAVer CPLDVer Type
0 0 26 NULL NULL MAIN
表13-12 display device命令显示信息描述表
|
字段 |
描述 |
|
SlotNo |
槽位号 |
|
SubSNo |
子槽位号 |
|
PortNum |
端口号 |
|
FPGAVer |
FPGA版本号 |
|
CPLDVer |
CPLD版本号 |
|
BootRomVer |
BootRom版本号 |
|
Type |
设备类型 |
表13-13 显示ARP信息表
|
操作 |
命令 |
说明 |
|
查看ARP映射表 |
display arp [ ip-address ] |
l ip-address:显示指定IP地址的ARP表项 l 显示命令可在任意视图下执行 |
l ARP表项的老化时间为20分钟。
l ARP表项自动更新。
例:显示所有的ARP表项。
<H3C> display arp
IP Address MAC Address VLAN ID Port Name Aging
192.168.8.101 000a-eb66-0cff 1 Ethernet0/2 20
192.168.8.99 000f-e200-0155 1 Ethernet0/1 20
--- 2 entries found ---
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置S1550E系统名 |
sysname sysname |
sysname:字符串,长度为1~30个字符。S1550E缺省系统名为H3C |
|
恢复S1550E系统名为缺省名 |
undo sysname |
- |
sysname命令用来设置S1550E的系统名,修改S1550E的系统名将影响命令行接口的提示符,如S1550E的系统名为H3C,用户视图下的提示符为<H3C>。undo sysname命令用来恢复S1550E的系统名的缺省值。
例:设置S1550E的系统名为H3CS1550E。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]sysname H3CS1550E
[H3CS1550E]
信息中心是交换机的信息枢纽,通过对系统输出信息进行分类和筛选,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供强有力的支持。
信息中心的特点如下:
l 信息中心共有三类信息:日志信息(log)、告警信息(trap)和调试信息(debug)。
l 信息按重要性划分为八个等级,输出到日志主机的日志信息可以按照八个等级进行过滤。对于输出到用户终端或者缓冲区的信息,未提供等级过滤服务。
l 支持通过控制台(Console)、Telnet终端、日志缓冲区(logbuffer)、告警缓冲区(trapbuffer)和日志主机(loghost)五个通道输出。在信息中心开启的情况下,只有日志主机可以设置。
l 信息格式包括时间戳、信息级别、模块名和具体信息等。
下面进行详细介绍。
信息中心可以接收和处理3类信息:
l log类:即日志信息
l debug类:即调试信息
l trap类:即告警信息
根据信息的严重等级或紧急程度,信息分为8个等级,信息越严重,其显示值越小。详细信息见表13-15。
|
显示值 |
严重等级 |
描述 |
|
1 |
Emergency |
设备致命的异常,系统已经无法恢复正常,必须重启设备。如:程序异常导致设备重启,内存使用被检测出错误等 |
|
2 |
Alert |
设备重大的异常,需要立即采取措施。如设备内存占用率达到极限等 |
|
3 |
Critical |
设备重大的异常,需要采取措施进行处理或原因分析。如设备内存占用率超过低界线,温度超过低温告警线,检测出错误的消息(消息是由本设备内部生成)等 |
|
4 |
Error |
错误的操作或设备的异常流程,不会影响后续业务,但是需要关注和原因分析。如用户指令错误,用户密码错误等 |
|
5 |
Warning |
设备异常运转的异常点,可能引起业务故障的流程,需要引起注意。如检测出错误协议报文等 |
|
6 |
Notice |
设备正常运转的关键操作信息。如用户对接口的shutdown命令等 |
|
7 |
informational |
设备正常运转的一般性操作信息。如用户使用display命令等 |
|
8 |
Debugging |
设备正常运转的一般性信息,用户无需关注 |
根据严重等级过滤信息时,仅输出严重等级的值小于或等于所设置的严重等级值的信息。例如,当设置严重等级阈值为6时,仅输出严重等级阈值为1~6的信息。
信息格式如下:
<priority>timestamp sysname module/level/ content
<优先级>时间戳 主机名 模块名/级别/内容
不同的输出方向具体的格式略有不同,下面对各字段进行说明:
l 优先级
表示信息来源以及信息等级。优先级只有当信息发送到日志主机上时才有效,即打印到用户终端的信息中将不包含优先级字段。
l 时间戳
由于目前S1550E没有支持NTP,也没有支持设置设备时钟,因此所有日期均以“0000年1月1日 00:00:00时”作为参考基准。
时间戳记录了系统信息产生的时间,方便您查看和定位系统事件。
时间戳的格式为“Mmm dd hh:mm:ss yyyy”。
“Mmm”为英语月份的缩写;“dd”为日期;“hh:mm:ss”为本地时间;“yyyy”为年份。
主机名是本机的系统名,缺省为“H3C”。您可用sysname命令修改主机名。具体设置请参见“13.4.5 设置S1550E系统名”。
l 模块名
该字段表示信息是由哪个模块产生的。
l 级别
S1550E的信息分为三类:日志信息、调试信息和告警信息。按信息的严重等级,S1550E把每类信息都划分为八个等级。它们的定义和说明请参见表13-15。
l 内容
表示该信息的内容大意。
只有开启了信息中心,系统才会向日志主机、控制台等方向输出系统信息。
表13-16 开启/关闭信息中心
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启信息中心 |
info-center enable |
缺省情况下,S1550E开启信息中心 |
|
关闭信息中心 |
undo info-center enable |
- |
信息中心缺省情况下处于开启状态。信息中心开启时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。
您可以通过本任务将日志信息输出到目的主机统一查看日志信息。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
向指定的日志主机输出信息 |
info-center loghost ip host-ip-addr |
l 缺省情况下,S1550E不向日志主机输出信息 l host-ip-addr:日志主机的IP地址 |
|
取消向日志主机输出信息 |
undo info-center loghost ip |
- |
使用命令info-center loghost ip设置日志主机的IP地址时,请输入正确的IP地址。如果您输入的是环回地址,系统将提示此地址无效。
例:使S1550E向IP地址为202.38.160.1的日志主机发送日志信息(日志主机上的相关设置略)。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] info-center loghost ip 202.38.160.1
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置系统日志级别 |
info-center loghost level level |
l level:表示命令级别,取值范围为1~8 l 缺省情况下,级别为8 |
|
恢复系统日志的级别为缺省值 |
undo info-center loghost level |
- |
例:设置系统日志显示信息的级别为7。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C] info-center level 7
在设置将系统信息发送到控制台后,为了能在控制台上观察到输出的信息,还要开启控制台对相应信息的显示功能。
表13-19 开启/关闭控制台对系统信息的显示功能
|
操作 |
命令 |
说明 |
|
开启控制台对调试信息的显示功能 |
terminal debugging |
l 此命令需在用户视图下执行 l 缺省情况下,控制台对调试信息的显示功能处于关闭状态 |
|
开启控制台对日志信息的显示功能 |
terminal logging |
l 此命令需在用户视图下执行 l 缺省情况下,控制台对日志信息的显示功能处于开启状态 |
|
开启控制台对告警信息的显示功能 |
terminal trapping |
l 此命令需在用户视图下执行 l 缺省情况下,控制台对告警信息的显示功能处于开启状态 |
|
关闭系统信息的显示功能 |
undo terminal { debugging | logging | trapping } |
- |
|
操作 |
命令 |
说明 |
|
显示系统日志的设置及缓冲区记录的信息 |
display info-center |
显示命令可在任意视图下执行 |
|
显示S1550E日志缓冲区最近记录的指定数目的日志信息 |
display logbuffer [size buffersize] |
l 显示命令可在任意视图下执行 l buffersize:显示日志信息的条数 |
|
显示S1550E告警缓冲区最近记录的指定数目的告警信息 |
display trapbuffer [size buffersize] |
l 显示命令可在任意视图下执行 l buffersize:显示日志信息的条数 |
|
清除日志缓冲区内的信息 |
reset logbuffer |
此命令需在用户视图下执行 |
|
清除告警缓冲区内的信息 |
reset trapbuffer |
此命令需在用户视图下执行 |
例:显示系统日志的设置及缓冲区记录的信息。
<H3C> display info-center
Info-center: enable
Info-center loghost: 0.0.0.0
Info-center loghost level: 8
Log buffer current messages: 5
Trap buffer current messages: 0
表13-21 display info-center显示信息描述表
|
字段 |
解释 |
|
Info-center |
信息中心是否开启 |
|
Info-center loghost |
日志主机 |
|
Info-center loghost level |
日志显示信息级别 |
|
Log buffer current messages |
当前日志缓冲区内的信息 |
|
Trap buffer current messages |
当前告警缓冲区内的信息 |
S1550E提供了种类丰富的调试功能,对于S1550E所支持的绝大部分协议和功能,系统都提供了相应的调试功能,可以帮助用户对错误进行诊断和定位。
调试信息的输出可以由两个开关控制:
l 协议调试开关,控制是否输出某协议的调试信息;
l 屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。
二者关系如下图所示:
您可以通过debugging和terminal debugging命令来控制以上两种开关。
您可以使用debugging命令来控制单个或全部协议调试开关。
由于调试信息的输出会影响系统的运行效率,请勿轻易开启调试开关,尤其慎用debugging all命令,在调试结束后,应关闭全部调试开关。
表14-1 开启和关闭协议调试开关
|
操作 |
命令 |
说明 |
|
开启协议调试开关 |
debugging { all | module-name [ debugging-option ] } |
l 此命令需在用户视图下执行 l all:表示开启或关闭全部调试开关 l module-name:指定协议模块名。可选模块名包括:arp、dhcp-alloc、dot1x、drv、igmp-snooping、ip、radius packet、snmp-agent。具体调试命令的使用和调试信息的格式介绍参见相关章节 l debugging-option:调试选项 l 缺省情况下,系统关闭全部调试开关 |
|
关闭协议调试开关 |
undo debugging { all | module-name } [ debugging-option ] |
- |
如果您需要在终端上显示调试信息,则得先开启终端显示调试信息功能。
表14-2 开启/关闭终端显示调试信息功能
|
操作 |
命令 |
说明 |
|
开启终端显示调试信息功能 |
terminal debugging |
l 此命令需在用户视图下执行 l 缺省情况下,系统终端显示功能关闭 |
|
关闭终端显示调试信息功能 |
undo terminal debugging |
- |
例:开启终端显示调试信息功能。
<H3C> terminal debugging
|
操作 |
命令 |
说明 |
|
显示调试开关状态 |
display debugging |
显示命令可在任意视图下执行 |
例:显示调试开关状态。
<H3C> display debugging
Drv debugging switch is on
ARP debugging switch is on
您可以使用ping命令测试S1550E与其他网络设备的连通性。ping命令可以在任意视图下使用。
|
操作 |
命令 |
说明 |
|
支持IP协议ping |
ping [-c count ] [ -s packetsize ] ip-address |
l 此命令可在任意视图下执行 l count:ping的次数,取值范围为1~4294967295,缺省为5次 l ip-address:对端设备的IP地址 l packetsize:报文中数据字节数,取值范围为20~1472,缺省为56字节 |
例:检查网络连接及主机是否可达,设置ping的次数为8次,报文中数据字节数64字节。
<H3C> ping -c 8 -s 64 192.168.0.1
PING 192.168.0.1: 64 data bytes, press CTRL_C to break
Reply from 192.168.0.1: bytes=64 Sequence= 1 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 2 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 3 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 4 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 5 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 6 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 7 ttl= 64 time = 0 ms
Reply from 192.168.0.1: bytes=64 Sequence= 8 ttl= 64 time = 0 ms
--- 192.168.0.1 ping statistics ---
8 packet(s) transmitted
8 packet(s) received
0.0% packet loss
round-trip min/avg/max = 0/0/0
命令执行结果输出包括:
l 对每一ping报文的响应情况,如果超时仍没有收到响应报文,则输出“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。
l 最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、最大和平均值。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
