- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (2.64 MB)
目 录
|
如果您想? |
您可以查看 |
|
初识产品的大致形态和业务特性 |
“产品介绍” |
|
通过搭建Web环境来管理设备,同时想进一步熟悉其设置页面 |
|
|
通过Web设置页面来实现端口的基本功能,比如:端口属性、端口镜像、端口链路聚合等 |
“端口管理” |
|
通过Web设置页面来实现设备的高级业务功能,比如:VLAN规划、管理MAC地址表、SNMP、信息中心等 |
“设备管理” |
|
通过Web设置页面来实现设备及网络环境的安全性,比如:防攻击、AAA、802.1x等 |
“安全专区” |
|
通过Web设置页面轻松配置设备,从而满足企业的基本组网要求 |
“智能设置” |
|
通过Web设置页面来设置系统相关信息,比如:软件升级、用户管理、保存和恢复配置等 |
“系统管理” |
|
通过具体的举例来进一步理解设备的关键特性 |
“典型配置举例” |
|
通过命令行来统一管理设备(推荐您使用简单易用的Web设置页面来进行管理,命令行相对会比较的复杂) |
|
|
定位或排除使用设备过程中遇到的问题 |
|
|
获取设备重要的缺省出厂配置信息 |
本章节主要包含以下内容:
l 产品简介
l 业务特性
感谢您选择了H3C S5000系列千兆以太网交换机(以下简称S5000交换机),它们是H3C公司自主开发研制的交换机产品,具备丰富的业务特性,主要定位于中小企业、教育网和网吧的汇聚或接入,提供千兆到桌面的应用。
目前,S5000交换机包含如下型号:
表2-1 产品型号及描述
|
产品 |
描述 |
|
S5024P-EI |
提供24个10/100/1000Base-T自协商的以太网端口、2个千兆SFP光口和一个Console口 说明: l S5024P-EI有两个编号为23的端口,分别对应一个10/100/1000Base-T自适应以太网端口(简称为电口)和一个千兆SFP光模块接口(简称为光口),逻辑上光电复用。端口24与之类似。 l 光口和电口不能同时使用。若同时使用,由于电口的优先级较高,电口有效,光口无效。 |
|
S5024F-SI |
提供8 个10/100/1000Base-T自协商的以太网电口、16个100Mbps/1000Mbps SFP光模块接口和一个Console口 |
l 各产品间的软件特性基本类似,若存在区别,本手册会在具体特性描述时给出相关的说明。
l 本手册中所涉及的Web设置页面仅供参考,且以S5024P-EI产品为例进行介绍(8.3.2 设置802.1x端口参数除外)。此外,手册中所描述的功能特性规格可能随产品的升级而发生改变,恕不另行通知。详情您可以向H3C公司市场人员或技术支援人员咨询获取。
表2-2 业务特性
|
项目 |
描述 |
|
VLAN |
l 最多支持512个符合IEEE 802.1q标准的VLAN l 最多支持24个基于端口的VLAN |
|
QoS |
l 支持802.1p、DSCP优先级 l 支持每端口4个优先级队列 l 支持WRR、HQ-WRR队列调度 |
|
端口 |
l 支持广播风暴抑制 l 支持端口流量控制 |
|
端口汇聚 |
l 支持8组端口汇聚组、每组最多8个端口 l 支持手工和静态LACP汇聚 |
|
端口镜像 |
支持基于端口的镜像 |
|
端口统计 |
支持端口报文流量和类型的统计 |
|
端口限速 |
支持对出入端口的报文流量进行限速 |
|
端口监控 |
支持WEB图表方式监控流量 |
|
MAC地址表 |
l 支持MAC地址自动学习 l 支持手工设置MAC地址老化时间 l 最多支持8K MAC地址 |
|
组播 |
支持IGMP Snooping |
|
STP |
支持STP/RSTP |
|
SNMP |
支持SNMP代理 |
|
AAA |
l 支持Local认证 l 支持Radius |
|
设备管理 |
l 支持Web设置页面管理 l 支持Console口管理 l 支持Telnet远程管理 l 支持SNMP远程管理 l 支持管理PC控制 |
|
设备维护 |
l 支持调试信息输出 l 支持配置文件导入导出 l 支持Syslog(系统日志) l 支持Ping l 支持电缆诊断 |
|
设备IP地址分配 |
l 支持在管理VLAN接口上配置IP地址 l 支持在管理VLAN接口上通过DHCP方式获取IP地址 |
|
安全特性 |
l 支持防MAC地址攻击 l 支持802.1x认证和计费 l 支持用户认证 l 支持系统CPU防攻击功能 |
|
智能特性 |
支持企业智能设置 |
本章节主要包含以下内容:
l 准备工作
完成硬件安装后,在登录交换机的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。
请确认管理计算机已安装了以太网网卡。
l 您需要将管理计算机的IP地址与交换机的IP地址(缺省为192.168.0.233/255.255.255.0)设置在同一子网中。如果采用远程配置,请确保管理计算机和交换机路由可达。
l 请确认交换机的HTTP功能开启(缺省情况下开启HTTP服务器,具体配置请参见“11.14.5 1. 开启/关闭HTTP服务器”)。
l 请确认管理计算机能通过HTTP方式访问交换机(缺省情况下允许所有终端通过HTTP方式访问交换机,具体配置请参见“5.9 设置管理PC控制”或“11.14.6 设置管理PC控制”)。
l 请确认连接管理计算机进行Web设置的端口必须属于管理VLAN。缺省情况下,管理VLAN为VLAN 1,且交换机的每个端口均属于VLAN 1。
l 下文以Windows XP系统为例进行介绍,文中所示界面为示意图,请以实际界面为准。
操作步骤如下:
|
(1) 单击屏幕左下角<开始>按钮进入[开始]菜单,选择[控制面板]。双击“网络连接”图标,再双击弹出的“本地连接”图标,弹出“本地连接 状态”窗口 |
|
|
(2) 单击<属性>按钮,进入“本地连接属性”窗口 |
|
|
(3) 选中“Internet协议(TCP/IP)”,单击<属性>按钮,进入“Internet协议(TCP/IP)属性”窗口。选择“使用下面的IP地址”单选按钮,输入IP地址(在192.168.0.1~192.168.0.254中选择除192.168.0.233之外的任意值)、子网掩码(255.255.255.0)及默认网关,确定后即可完成操作(此处假设交换机当前使用缺省IP地址) |
|
操作步骤如下:
|
(1) 单击屏幕左下角<开始>按钮进入[开始]菜单,选择[运行],弹出“运行”对话框 |
|
|
(2) 输入“ping 192.168.0.233(此处是交换机的IP地址)”,单击<确定>按钮。如果在弹出的对话框中显示了从交换机侧返回的回应,则表示网络连通;否则请检查网络连接 |
|
如果当前管理计算机使用代理服务器访问因特网,则必须禁止代理服务,操作步骤如下:
|
(1) 在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口 |
|
|
(2) 选择“连接”页签,并单击<局域网(LAN)设置>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
|
交换机 Web设置页面有两种类型的用户:普通用户和管理员。
l 普通用户:您可以查看数据,但不能对交换机进行任何配置。
l 管理员:您既可以查看数据,也可对交换机进行功能配置。
您可通过“设置本地用户”来设置Web设置页面用户类型。
运行Web浏览器,在地址栏中输入http://192.168.0.233。回车后,输入用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。
图3-1 登录Web设置页面
为了安全起见,首次登录后,建议您修改缺省的登录密码,修改方法请参见“设置本地用户”。
交换机提供非常简便的Web设置页面,您可以通过该设置页面快速地完成所需功能的配置。本章将带领您先了解和熟悉Web设置页面。
本章节主要包含以下内容:
l 常用页面控件介绍
成功登录后,进入Web设置页面,如图4-1所示。
图4-1 Web设置页面示意图
当您想要设置某项功能时,可以单击导航栏中的菜单项,并选择相应的页签,即可开始设置。
|
控件 |
描述 |
|
|
文本框,用于输入文本 |
|
|
单选按钮,用于从多个选项中选择一项 |
|
|
复选框,用于选中指定的列表项。当您双击某复选框时,可选中所有的列表项 |
|
|
下拉列表框,用于选择相应的列表项 |
|
|
在“刷新速率”列表框中选择刷新频率后,页面的数据会自动根据该刷新频率进行更新 |
|
|
打开Web设置页面的在线帮助页面,提供当前页面操作时的帮助信息 |
|
|
提交输入的信息以及对当前系统提供信息的确认 |
|
|
取消当前的配置输入 |
|
|
新建当前页面的一个项目 |
|
|
选中当前页面的所有端口 |
|
|
刷新当前页面的配置 |
|
|
删除当前页面中所选择的项目 |
|
|
删除所对应的列表项 |
|
|
对指定的某些端口进行批量化配置 |
|
|
对指定的某些配置项进行批量化删除 |
|
|
删除所有当前页面已配置的项目 |
当您长时间没有操作Web设置页面时,系统超时并将注销本次登录,并返回到Web设置登录对话框(如图3-1所示)。
Web设置页面的超时时间缺省为5分钟。如果您需要修改该超时时间,相关操作请参见“5.3 设置Web参数及Telnet用户认证方式”。
本章节主要包含以下内容:
l 设置系统时间
l 恢复缺省配置
l 重新启动交换机
l 升级软件
l 故障维护
l 设置管理PC控制
当您在设置页面上配置完所有项目后,请务必保存配置,否则未保存的配置信息会因为重新启动等操作而丢失。
页面向导:保存配置→保存配置
本页面为您提供如下主要功能:
|
l 单击<保存>按钮,确认后,您可保存当前交换机的配置信息 l 单击<备份>按钮,选择配置文件备份路径后,您可将交换机当前的配置保存到计算机,方便日后通过该文件(*.cfg)恢复配置 l 单击<浏览>按钮,选择之前备份过的文件(*.cfg),单击<恢复>按钮,确定后,您可将交换机恢复到之前的配置(交换机自动重新启动后,配置生效) |
|
页面向导:系统管理→系统信息
本页面为您提供如下主要功能:
|
l 查看系统相关信息,例如:交换机当前运行的软件版本、MAC地址、管理VLAN等 l 设置系统相关参数,例如:重新设置交换机 IP地址获取方式(静态设置或DHCP动态获取)、设置MAC地址老化时间等 |
|
表5-1 页面关键项描述
|
页面关键项 |
描述 |
|
软件版本/硬件版本/引导器版本 |
显示交换机当前运行软件的版本号、硬件版本号及引导器版本号 说明: 页面中的软件版本信息仅作参考,请以交换机加载软件版本后的最终显示为准 |
|
MAC地址 |
显示交换机的MAC地址 |
|
运行时间 |
显示交换机自上电后持续运行的时间 |
|
生产序列号 |
显示交换机的生产序列号。同时,您可单击“条码防伪查询”链接登录到H3C网站验证产品的真伪 |
|
管理VLAN |
显示交换机管理VLAN ID |
|
系统名称 |
自定义交换机的设备名称,便于您通过该名称对设备进行快速地定位 |
|
DHCP获取地址 |
DHCP采用“客户端/服务器”通信模式,由客户端(DHCP Client)向服务器(DHCP Server)提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。在DHCP的典型应用中,一般包含一台服务器和多台客户端(如PC和便携机) 如果您想让交换机从网络上自动获取IP地址(若DHCP Server存在且网络正常连接),则可以开启DHCP Client功能 说明: l 开启DHCP Client功能后,您需要通过Console口下的display ip命令来查看自动分配到的IP地址 l 关闭DHCP Client功能后,您需要手动设置交换机的静态IP地址 |
|
本地IP地址 |
设置交换机的静态IP地址 |
|
本地子网掩码 |
设置交换机静态IP地址的子网掩码 |
|
网关IP地址 |
设置交换机的网关IP地址 |
|
MAC地址老化时间 |
设置交换机中动态MAC地址表项的老化时间 |
页面向导:系统管理→用户管理
本页面为您提供如下主要功能:
|
l 设置Web用户超时时间 l 开启/关闭Web登录验证码功能 l 管理Telnet用户登录 |
|
页面中关键项的含义如下表所示。
表5-2 页面关键项描述
|
页面关键项 |
描述 |
|
超时时间 |
设置Web设置页面的超时时间,缺省为5分钟 |
|
WEB登录验证码 |
当您关闭了Web登录验证码功能后,用户登录Web设置页面时则不再需要输入验证码 |
|
telnet管理 |
如果您想通过Telnet方式登录到交换机进行命令行管理,则必须选中“开启”选项,并设置相应的认证方式,单击<确定>按钮生效 交换机支持三种Telnet用户认证方式,如表5-3所示,您可以根据实际需求进行选择 |
表5-3 Telnet用户认证方式
|
认证方式 |
描述 |
|
none |
不认证,即Telnet登录到交换机时不提示验证,直接进入命令行管理 |
|
password |
本地认证,即Telnet登录到交换机时需要进行本地密码验证,验证成功后,方可进入命令行管理。最多允许创建2个Telnet用户(分别对应VTY0用户界面和VTY1用户界面)。用户创建后,您可尝试通过Telnet搭建配置环境来进行验证 说明: l 当您想创建1个Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“开启”,并设置Telnet用户登录密码,确认后即可完成创建 l 当您想删除已创建的Telnet用户时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“关闭”,确认后即可删除 l 当您想修改已创建Telnet用户的密码时,可在“VTY0用户界面”或“VTY1用户界面”的“配置”下拉框中选择“修改密码”,并设置新密码,确认后即可完成修改 |
|
scheme |
交换机支持通过NTP服务器来自动获取系统时间和手工设置系统时间两种方式。
NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟。
对于网络中的各台设备来说,如果单依靠管理员手工修改系统时间,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
当交换机通过NTP成功获取到系统时间后,该时间会根据您选择的时区做相应的调整。
页面向导:系统管理→系统时间
本页面为您提供如下主要功能:
|
l 选择时区,单击“服务器设置”单选按钮,并指定相应的NTP服务器IP地址,单击<确定>按钮生效 |
|
手工设置的系统时间不会与其他设备进行同步。当交换机重新启动后,手工设置的系统时间会恢复为缺省值(2000年1月1日0时0分0秒)
页面向导:系统管理→系统时间
本页面为您提供如下主要功能:
|
l 选择时区,单击“手工配置日期和时间”单选按钮,设置具体的时间参数,单击<确定>按钮生效 |
|
l 恢复出厂缺省配置后,当前的配置将会丢失。如果您希望保存当前配置信息,请进行备份。
l 恢复出厂缺省配置的过程中,请您不要对交换机进行其他操作,否则可能造成交换机不能正常工作。
页面向导:系统管理→恢复缺省配置
本页面为您提供如下主要功能:
|
l 将交换机恢复为出厂缺省配置(请慎用) |
|
当您选择<恢复配置,但保留管理IP>按钮来恢复交换机出厂缺省配置后,则可以继续使用当前的IP地址重新登录交换机进行设置和管理;当您选择<恢复缺省配置>按钮,则需要使用缺省的IP地址重新登录交换机进行设置和管理。
重新启动交换机之前,请您先MAC地址过滤功能。否则重新启动后,未保存的配置信息将会丢失。
页面向导:系统管理→重启动
本页面为您提供如下主要功能:
|
l 重新启动交换机 |
|
在升级过程中,请勿将交换机断电。
页面向导:系统管理→软件升级
本页面为您提供如下主要功能:
|
l 将交换机软件升级到最新版本,可使您的设备性能更稳定、功能更优越(单击<浏览>按钮,选择最新的版本文件,单击<确定>按钮,即可开始升级) |
|
页面向导:系统管理→故障维护
当交换机运行出现异常时,您可以分别单击页面中的<故障收集>和<配置导出>按钮,确认后,交换机可以自动把当前故障定位所需的各种信息及配置信息压缩成定位信息文件下载到本地。H3C技术支持人员可以根据该文件快速、准确地定位问题,从而可以更好地为您解决交换机的使用问题。
管理PC控制主要用于授权指定IP地址或者IP网段的主机按照特定的服务类型访问设备。
l 服务类型分为Telnet、Http和SNMP。
Telnet:是指可以通过支持Telnet协议的工具访问设备。
Http:是指可以通过Web管理页面访问设备。
SNMP:是指可以通过SNMP管理站访问设备。
l 如果不配置管理PC控制,所有路由可达的主机均可以通过Telnet、Http或SNMP方式连接并管理设备。
页面向导:系统管理→管理PC控制→管理PC控制
本页面为您提供如下主要功能:
|
l 显示所有管理PC的配置记录(主页面) l 删除单条管理PC的配置记录(单击主页面上待删除记录后面的<删除>按钮生效) l 批量删除管理PC的配置记录(在主页面勾选多条配置记录,单击<批量删除>按钮生效) |
|
|
l 新建管理PC配置(单击主页面上的<新建>按钮,进入相应页面。输入起始IP地址、结束IP地址并且勾选服务类型,单击<确定>按钮生效) |
|
|
l 修改管理PC配置(单击主页面上待修改管理PC的配置记录,进入相应页面。修改起始IP地址、结束IP地址或者重新勾选服务类型,单击<确定>按钮生效) |
|
如果您已经完成了所有配置项的设置以及保存操作,需要退出Web设置页面,可单击导航栏中的
,确认后即可退出。
本章节主要包含以下内容:
l 设置端口基本功能
l 设置链路聚合
l 诊断端口电缆
页面向导:端口管理→端口设置→端口设置
本页面为您提供如下主要功能:
|
l 显示交换机当前端口的属性状态(主页面) |
|
|
l 设置单个端口的属性(单击主页面上端口对应的表项,进入相应的设置页面) |
|
|
l 批量地设置指定端口的属性(单击主页面上的<批量配置>按钮,进入相应的设置页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
链接状态 |
端口的实际工作速率和模式,若未连接显示为“--” |
|
速率/双工 |
端口的双工模式存在三种情况: l 当您希望端口在发送报文的同时可以接收报文,可以将端口设置为全双工(full)属性 l 当您希望端口同一时刻只能发送报文或接收报文时,可以将端口设置为半双工(half)属性 l 当您设置端口为自协商(auto)状态时,端口的双工状态由本端口和对端端口自动协商而定 缺省情况下,端口的速率和双工模式均为自协商 |
|
优先级 |
端口的优先级别共0~7级,0为最低,7为最高 对于不带有802.1Q标签头的报文,交换机将使用端口的优先级作为该端口接收报文的802.1p优先级,然后根据该优先级查找本地优先级映射表,为报文标记本地优先级 缺省情况下,端口的优先级为0 |
|
流控 |
当交换机和对端交换机都开启了流量控制功能后,如果交换机发生拥塞: (1) 交换机将向对端交换机发送流控帧,通知对端交换机暂时停止发送报文 (2) 对端交换机在接收到该流控帧后,将暂停向交换机发送报文,从而避免了报文丢失现象的发生,保证了网络业务的正常运行 缺省情况下,端口流控处于关闭状态 |
|
开启/关闭 |
开启/关闭端口。如果某端口显示关闭,则不能转发数据 缺省情况下,端口处于开启状态 |
|
风暴抑制比 |
您可以在端口下设置其允许通过的最大广播/组播/未知单播报文流量。当端口上的广播/组播/未知单播流量超出您设置的值后,交换机将丢弃超出广播/组播/未知单播流量限制的报文,从而使端口广播/组播/未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行 缺省情况下为100%,表示不抑制 |
|
隔离状态(隔离) |
通过端口隔离特性,您可以将需要进行控制的端口加入到一个隔离组中(“开启”表示加入到隔离组;“关闭”表示退出隔离组),实现隔离组中的端口之间二层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案 缺省情况下,端口未加入到隔离组 说明: l 只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口的通信不会受到影响 l 当聚合组中的某个端口加入或离开隔离组时,该聚合组中的其它端口,均会自动加入或离开该隔离组 l 当聚合组中的某个端口离开聚合组时,该聚合组中的其他端口仍将处于隔离组中,即该聚合组中端口的隔离属性不受影响 l 当未隔离端口加入到已隔离的聚合组时,该端口为自动加入隔离组 l 端口隔离特性与以太网端口所属的VLAN无关 |
|
Jumbo帧 |
端口在进行文件传输等大吞吐量数据交换的时候,可能会收到Jumbo帧(即大于标准以太网帧长的长帧)。对于这样的长帧,系统会直接丢弃不再进行处理。开启允许Jumbo帧通过功能后,当端口收到大于标准长度时,系统会继续处理 缺省情况下,端口不支持接收Jumbo帧 |
端口镜像是将被镜像端口的报文复制一份到监控端口,监控端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到监控端口的报文,进行网络监控和故障排除。
交换机提供本地端口镜像功能,即被镜像端口和监控端口在同一台设备上。
图6-1 本地端口镜像示意图
页面向导:端口管理→端口设置→端口镜像
本页面为您提供如下主要功能:
|
l 通过设置被镜像端口和监控端口实现交换机本地端口镜像 |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
监控端口(镜像端口) |
选择监控端口,“不镜像”表明关闭交换机的端口镜像功能 说明: l 若某端口被设为监控端口后,不能再设置为被镜像端口 l 仅当您设置了监控端口后,才能设置被镜像端口 l 对于已加入某个汇聚组的端口不允许设置为监控端口 |
|
镜像方向 |
选择被镜像端口,“不镜像”表明该端口不被镜像 镜像方向含义如下: l 镜像入端口:只有该端口接收的报文才被镜像到监控端口 l 镜像出端口:只有该端口发送的报文才被镜像到监控端口 l 镜像入和出端口:出入该端口的报文均被镜像到监控端口 |
页面向导:端口管理→端口设置→端口统计
本页面为您提供如下主要功能:
|
l 查看交换机各端口接收/发送的总数据包信息(主页面) |
|
|
l 查看交换机指定端口的接收/发送的各类错误包个数(单击主页面上端口对应的表项,即可进入相应的统计信息页面) |
|
页面中关键项的含义如下表所示。
表6-3 页面关键项描述
|
页面关键项 |
描述 |
|
刷新速率 |
您可选择刷新速率来定时自动更新当前页面的统计数据 |
|
清零/统计清零 |
您可单击该按钮来清空当前页面的统计数据 |
|
刷新/统计刷新 |
您可单击该按钮来立即更新当前页面的统计数据 |
表6-4 端口接收/发送的数据包描述
|
报文 |
描述 |
|
接收统计 |
|
|
总数据包 |
接收报文的总数量 |
|
总字节数 |
接收报文的总字节数 |
|
广播包 |
接收广播报文的总数量 |
|
多播包 |
接收多播报文的总数量 |
|
Pause帧 |
接收的正常Pause帧数量 |
|
接收错误包 |
接收错误报文的总数量 |
|
Runts错误包 |
CRC正确,且数据帧长度小于64字节的报文数量 |
|
Giants错误包 |
CRC正确,且数据帧长度大于1518字节的报文数量 |
|
CRC错误包 |
CRC错误,且数据帧长度处于64~1518字节的报文数量 |
|
Frame错误包 |
数据帧长度处于64~1518字节,且报文的FCS(帧校验序列)的字节数为非整数的报文数量 |
|
Aborts错误包 |
接收到的非法报文总数,非法报文包括: l 报文碎片:长度小于64字节(长度可以为整数或非整数)且CRC校验错误的帧 l jabber帧:大于1518或1522字节,且CRC校验错误(报文字节可以为整数或非整数) l 符号错误帧:报文中至少包含1个错误的符号 l 长度错误帧:报文中802.3长度字段与报文实际长度(46~1500字节)不匹配 |
|
Ignored错误包 |
由于端口接收缓冲区不足等原因而丢弃的报文数量 |
|
发送统计 |
|
|
总数据包 |
发送报文的总数量 |
|
总字节数 |
发送报文的总字节数 |
|
广播包 |
发送广播报文的总数量 |
|
多播包 |
发送多播报文的总数量 |
|
Pause帧 |
发送的正常Pause帧数量 |
|
发送错误包 |
发送错误报文的总数量 |
|
Aborts错误包 |
发送失败的报文总数,即报文已经开始发送,但由于各种原因(如冲突)而导致发送失败 |
|
Deferred错误包 |
第一次传输请求由于网络忙而延迟的报文数量 |
|
Collisions错误包 |
端口在报文传输过程中所产生冲突的报文数量 |
|
Late collisions错误包 |
延迟冲突帧的数量,延迟冲突帧是指帧的前512 bits已经被发送,由于检测到冲突,该帧被延迟发送 |
端口限速是指基于端口的速率限制,它采用令牌桶进行报文流量的控制。令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
端口限速支持入/出两个方向,为了方便描述,此处以出端口限速处理过程为例:
所有经由该端口发送的报文首先要经过令牌桶进行处理。当令牌桶中存有令牌时,报文可以根据该令牌进行发送;否则,报文将进入端口缓存进行拥塞管理。这样,就可以对通过该端口的报文流量进行控制,如图6-2所示。
页面向导:端口管理→端口设置→端口限速
本页面为您提供如下主要功能:
|
l 查看交换机各端口入/出端口限速状态(主页面。“--”表示未进行限速) |
|
|
l 设置单个端口的入/出端口限速(单击主页面上端口对应的表项,进入相应的页面) |
|
|
l 批量地设置指定端口的入/出端口限速(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
用户通过端口流量监控,能够以图形的方式来监控设备每个端口的当前流量以及指定端口一段时间内的流量变化。
流量监控由流量监控柱状图和流量监控折线图组成:
l 流量监控柱状图:用柱状图来显示各端口当前接收速率和发送速率的状态。
l 流量监控折线图:用折线波动方式显示指定端口的一段时间内的流量变化。
流量监控柱状图的高度是当前端口接收/发送速率相对于流量上限的比重乘以柱状图的最大高度。
流量监控折线图中最多显示120个抽样点。
页面向导:端口管理→端口设置→流量监控
本页面为您提供如下主要功能:
|
l 通过速率柱状图监控端口流量 l 在“流量上限”下拉框中选择柱状图的上限值,便可观察各端口接收/发送速率相对于该上限值所占的比重,当比重超过95%,柱状图边框会有红色预警 l 在“抽样间隔”下拉框中选择时间间隔,便可使页面按照该时间间隔刷新 l 鼠标滑到某端口柱状图上,便可出现黄色文本框,显示端口号,接收速率和发送速率。单击该柱状图,便可观察该端口速率折线图 l 单击页面上的<停止监控>按钮,流量监控暂停;单击<恢复监控>按钮,流量监控功能恢复 |
|
|
l 通过速率折线图监控端口流量 l 单击柱状图中的端口号或在“端口号”下拉框中选择指定的端口,便可实时观察该端口的速率变化 l 折线图底部显示接收速率和发送速率的当前值,峰值和均值 |
|
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
链路聚合可以实现出负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。
如图6-3所示,Device A与Device B之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路Link aggregation 1,这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。
(1) 聚合组
聚合组是一组以太网端口的集合。聚合组是随着聚合端口的创建而自动生成的,其编号与聚合端口编号相同。
聚合组中的成员端口在稳定时有下面两种状态:
l Selected状态:处于此状态的端口可以参与转发用户业务流量;在一个聚合组中,处于Selected状态的端口中的最小端口是聚合组的主端口,其他的作为成员端口。
l Standby状态:处于此状态的端口不能转发用户业务流量。
在聚合过程中可能会有短暂的unselected状态,只是一个中间状态,可以不关心。
聚合端口的速率、双工状态由其Selected成员端口决定:聚合端口的速率是Selected成员端口的速率之和,聚合端口的双工状态与Selected成员端口的双工状态一致。
(2) LACP协议
基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU与对端交互信息。
启动某端口的LACP协议后,该端口将通过发送LACPDU向对端通告自己的系统LACP优先级、系统MAC、端口优先级、端口号和操作Key。对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组达成一致。
操作Key是在链路聚合时,聚合控制根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。
交换机支持以下两种链路聚合模式:
l 手工聚合
l 静态LACP聚合
链路聚合后,成员端口的基本配置和主端口的基本配置保持一致,即在同一个汇聚组中,能进行出/入负荷分担的成员端口具有相同的基本配置。基本配置包括:
l STP配置一致,包括:端口的STP开启/关闭、STP优先级、STP开销、是否开启环路保护和根保护、是否为边缘端口等。
l QoS配置一致。
l VLAN配置一致,包括:端口上允许通过的VLAN、端口缺省VLAN ID。
l 端口的链路类型一致。
(1) 手工聚合简介
手工聚合由用户手工配置,不允许系统自动添加或删除聚合组中的端口。聚合组中必须至少包含一个端口。
手工聚合端口的LACP协议处于关闭状态。
(2) 手工聚合组中的端口状态
在手工聚合组中,加入到聚合组中的端口将处于Selected状态。
手工聚合时,系统对端口的速率和双工设置未作限制。
(1) 静态LACP聚合简介
静态LACP模式由用户手工配置,不允许系统自动添加或删除聚合组中的端口。
静态LACP聚合端口的LACP协议为开启状态。
(2) 静态LACP聚合组中的端口状态
在静态聚合组中,系统按照以下原则设置端口处于Selected或者Standby状态:
l 当聚合组内有处于up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高的端口作为该组的主端口。只有与主端口的速率、双工属性和链路状态一致的端口才允许成为Selected状态,其他端口均处于Standby状态。
l 与处于Selected状态的最小端口所连接的对端设备不同,或者连接的是同一个对端设备但端口在不同的聚合组内的将处于Standby状态。
l 因存在硬件限制而无法与主端口聚合的端口将处于Standby状态。
l 与主端口基本配置不同的端口将处于Standby状态。
页面向导:端口管理→链路聚合→链路聚合
本页面为您提供如下主要功能:
|
l 查看当前的链路聚合状态及设置聚合算法(主页面) |
|
|
l 创建新的链路聚合,有手工和静态LACP两种模式供您选择(单击主页面上的<新建>按钮,进入相应的页面) |
|
|
l 修改已创建的链路聚合(选中主页面上的某表项,双击它或单击<修改>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
聚合算法 |
端口汇聚一般有四种物理链路的分配算法: l 基于源MAC地址:表示汇聚组中各成员端口根据源MAC地址进行负荷分担 l 基于目的MAC地址:表示汇聚组中各成员端口根据目的MAC地址进行负荷分担 l 基于源MAC地址和目的MAC地址:表示汇聚组中各成员端口根据源MAC地址和目的MAC地址进行负荷分担 l 基于源IP地址和目的IP地址:表示汇聚组中各成员端口根据源IP地址和目的IP地址进行负荷分担 缺省情况下,交换机汇聚组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担 |
页面向导:端口管理→链路聚合→LACP端口设置
本页面为您提供如下主要功能:
|
l 显示当前所有端口的LACP参数状态(主页面) |
|
|
l 设置单个端口的LACP参数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
l 批量地设置指定端口的LACP参数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
优先级(LACP端口优先级) |
缺省情况下,LACP端口优先级为32768 |
|
聚合组 |
端口所属的聚合组,“--”表示该端口未加入聚合组 |
页面向导:端口管理→链路聚合→LACP全局设置
本页面为您提供如下主要功能:
|
l 设置系统LACP优先级,缺省为32768 |
|
在电缆诊断过程中,请不要插拔端口网线。
页面向导:端口管理→电缆诊断→电缆诊断
本页面为您提供如下主要功能:
|
l 当线路出现故障时,您可对端口所连接的电缆进行诊断,便于您检查网络中电缆的工作情况(在“端口”文本框中输入需要诊断的端口号,单击<确定>按钮,即可完成该端口的电缆诊断) |
|
诊断结果说明如下表所示。
表6-7 诊断结果描述
|
诊断信息 |
描述 |
|
状态 |
显示端口的连接状态 说明: 显示为“正常”表明端口已连接;显示为“开路”表明端口未连接;显示为“短路”表明某对差分线发生了短路 |
|
长度 |
l 当电缆状态为“正常”时,显示信息中不体现连接电缆的长度 l 当电缆状态为“短路”时,显示信息中的长度是指从本接口到异常位置的长度 |
本章节主要包含以下内容:
l 设置VLAN
l 设置QoS
l 设置STP
l 设置SNMP
l 设置信息中心
传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:
l HUB是物理层设备,没有交换功能,接收到的报文会向除接收端口外的所有端口转发;
l 交换机是数据链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除接收端口之外的所有端口转发。
上述情况会造成以下的网络问题:
l 网络中可能存在着大量广播和未知单播报文,浪费网络资源。
l 网络中的主机收到大量并非以自身为目的地的报文,引起了严重的安全隐患。
解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器,因为路由器是依据目的IP地址对报文进行转发,不会转发链路层的广播报文。但是路由器的成本较高,而且端口较少,无法细致地划分网络,所以使用路由器隔离广播域有很大的局限性。
为了解决以太网交换机在局域网中无法限制广播的问题,VLAN技术应运而生。
VLAN的组成不受物理位置的限制,因此同一VLAN内的主机也无须放置在同一物理空间里。
如图7-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。同一VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互,而处在不同VLAN内的主机之间如果需要通信,则必须通过路由器或三层交换机等网络层设备才能够实现。
图7-1 VLAN组网示意图
与传统以太网相比,VLAN具有如下的优点:
l 控制广播域的范围:局域网内的广播报文被限制在VLAN内,节省了带宽,提高了网络处理能力。
l 增强了LAN的安全性:由于报文在数据链路层被VLAN划分的广播域所隔离,因此各个VLAN内的主机间不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。
l 灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
交换机支持以下两种VLAN功能模式:
l 802.1Q VLAN模式:由IEEE 802.1Q协议定义,通过识别报文中的Tag标记(包括802.1p优先级和VLAN ID等信息)来对报文进行处理。
l 基于端口的VLAN模式:根据端口所属的用户组来对报文进行处理,即属于同一个用户组的端口能互相通信,不同用户组的端口二层隔离。比如:一台网络服务器供4个用户访问使用,用户1和其他三个用户能互通但其他三个用户之间均隔离。此时,您就可以通过此模式来划分不同的用户组进行实现,即将用户1分别和其他三个用户划分到不同的用户组。
VLAN功能模式改变之后,之前所做的VLAN配置将丢失。
页面向导:设备管理→VLAN设置→高级
本页面为您提供如下主要功能:
|
l 选择交换机的VLAN功能模式(缺省情况下,VLAN功能模式为802.1Q VLAN) |
|
您需要先将交换机的VLAN功能模式设置为802.1Q VLAN模式,相关操作请参见“7.1.2 选择VLAN功能模式”。
(1) VLAN Tag
为使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层(三层交换机不在本章节讨论范围内),只能对报文的数据链路层封装进行识别。因此,识别字段需要添加到数据链路层封装中。
IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案,对带有VLAN Tag的报文结构进行了统一规定。
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图7-2所示。
其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文上层协议的类型字段,Data表示报文的具体内容。
IEEE 802.1Q协议规定,在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag,用以标识VLAN的相关信息。
图7-3 VLAN Tag的组成字段
如图7-3所示,VLAN Tag包含四个字段,分别是TPID、Priority、CFI和VLAN ID。
l TPID:用来标识本数据帧是带有VLAN Tag的数据帧。该字段长度为16bit,缺省取值为协议规定的0x8100。
l Priority:用来表示802.1p的优先级。该字段长度为3bit。
l CFI:用来标识MAC地址是否以标准格式进行封装。该字段长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0。
l VLAN ID:用来标识该报文所属VLAN的编号。该字段长度为12bit,取值范围为0~4095。由于0和4095通常不使用,所以VLAN ID的取值范围一般为1~4094。
(2) 端口链路类型
交换机支持的端口链路类型有三种:
l Access:端口只能属于1个VLAN,一般用于连接用户设备。缺省情况下,所有端口都属于Access端口;
l Trunk:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于网络设备之间连接;
l Hybrid:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于网络设备之间连接,也可以用于连接用户设备。
Hybrid端口和Trunk端口的不同之处在于:
l Hybrid端口允许多个VLAN的报文发送时不带Tag标签;
l Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。
缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。
l Access端口的缺省VLAN就是它所属的VLAN;
l Trunk端口和Hybrid端口属于多个VLAN,需要配置缺省VLAN。
三种类型的端口可以共存在一台交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:将Trunk切换为Hybrid端口时,需要先将Trunk端口设置为Access端口,再设置为Hybrid端口。
在配置了端口链路类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参见下表。
|
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
||
|
Access |
为报文打上端口缺省VLAN ID所对应的VLAN Tag |
l 当报文VLAN ID与端口缺省VLAN ID相同时,接收该报文 l 当报文VLAN ID与端口缺省VLAN ID不同时,丢弃该报文 |
删除报文的Tag后再转发 |
|
Trunk |
对比端口缺省VLAN ID是否在允许通过的VLAN ID中:是,给报文打上端口缺省VLAN ID所对应的VLAN Tag;否,丢弃该报文 |
l 当报文VLAN ID在允许通过的VLAN ID中时,则接收该报文 l 当报文VLAN ID不在允许通过的VLAN ID中时,则丢弃该报文 |
l 当报文VLAN ID与端口缺省VLAN ID相同时:去掉Tag,发送该报文 l 当报文VLAN ID与端口缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
|
Hybrid |
当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过“4. 设置Hybrid端口”配置端口在发送该VLAN的报文时是否携带Tag |
||
页面向导:设备管理→VLAN设置→802.1Q VLAN
本页面为您提供如下主要功能:
|
l 显示和查询交换机的VLAN信息及其所包含的端口(主页面。VLAN 1缺省包含所有的端口) |
|
|
l 新建VLAN(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入所需创建的VLAN,单击<确定>按钮生效) |
|
|
l 新建Access端口(单击主页面上的<新建>按钮,进入相应的页面。在“VLAN ID”文本框中输入VLAN,并选择需要加入该VLAN的端口,单击<确定>按钮生效) |
|
|
l 修改VLAN中的Access端口(单击主页面上VLAN对应的表项,进入相应的页面。重新指定需要加入该VLAN中端口,单击<确定>按钮生效) |
|
页面向导:设备管理→VLAN设置→Trunk端口
本页面为您提供如下主要功能:
|
l 显示交换机当前的Trunk端口信息(主页面) |
|
|
l 新建Trunk端口(单击主页面上的<新建>按钮,进入相应的页面。指定Trunk端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
|
l 修改Trunk端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
端口缺省VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。
页面向导:设备管理→VLAN设置→Hybrid端口
本页面为您提供如下主要功能:
|
l 显示交换机当前的Hybrid端口信息(主页面) |
|
|
l 新建Hybrid端口(单击主页面上的<新建>按钮,进入相应的页面。指定Hybrid端口,并设置PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
|
l 修改Hybrid端口(单击主页面上端口对应的表项,进入相应的页面。修改PVID和端口允许通过VLAN,单击<确定>按钮生效) |
|
l 在“Tagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文带VLAN Tag;在“Untagged VLAN”文本框中输入VLAN ID,则端口允许这些VLAN的报文通过,且出端口时报文不带VLAN Tag。
l 端口缺省的VLAN ID及允许通过的VLAN都须为已存在的VLAN,VLAN的创建请参见“2. 创建/显示/维护VLAN”。
您需要先将交换机的VLAN功能模式设置为基于端口VLAN模式,相关操作请参见“7.1.2 选择VLAN功能模式”。
页面向导:设备管理→VLAN设置→基于端口VLAN
本页面为您提供如下主要功能:
|
l 显示和查询交换机当前的用户组信息(主页面) |
|
|
l 新建用户组(单击主页面上的<新建>按钮,进入相应的页面。设置用户组ID,即VLAN ID,并根据实际需求选择需要加入该用户组的端口,单击<确定>按钮生效) |
|
|
l 修改用户组(单击主页面上VLAN对应的表项,进入相应的页面。修改需要加入该用户组的端口,单击<确定>按钮生效) |
|
基于安全性考虑,酒店会为接入交换机下的每个客户房间分配一个不同的VLAN(下行VLAN)。同时,会为汇聚层的交换机设置不同的上行VLAN(可通过设置端口的PVID来实现),分别用于各类应用服务(比如:认证、监控、上网等)。如图10-3所示。
因此,当下行流量进入交换机后,会在对应的上行VLAN中进行转发,但由于交换机的MAC地址表中不存在该上行VLAN所对应的客户端MAC地址,交换机会将该流量进行广播,从而会给其它业务带来一定的影响。
设置了交换机的MAC地址同步特性后,即可将下行VLAN中的MAC地址同步到上行VLAN中(比如:交换机学习到了某客户主机的MAC地址,对应的VLAN为下行VLAN A。当设置了MAC地址同步后,交换机的MAC地址表中会自动生成一条新的MAC地址表项:MAC地址仍为该客户的MAC地址,VLAN则更换为了对应的上行VLAN C),从而避免了下发流量被广播,保证了业务的稳定。
页面向导:设备管理→VLAN设置→MAC地址同步
本页面为您提供如下主要功能:
|
l 设置MAC地址同步(在“源VLAN”和“目的VLAN”文本框中分别输入需要做同步的下行VLAN和上行VLAN,单击<确定>按钮生效) |
|
您可以通过MAC地址过滤功能来进一步加深理解。
交换机支持以下三种类型的MAC地址表项:
l 静态:手动添加,且该MAC地址表项不会被老化。当您添加后,该表项即为“已绑定”状态(组播MAC地址表项不支持绑定操作)。
l 动态:自动学习或手动添加,且该MAC地址表项会被老化。当您添加后,该表项处于“未绑定”状态;如果您对其执行了绑定操作,即成为静态表项(组播MAC地址表项不支持绑定操作)。
l 黑洞:手动添加,所有目的地址为该MAC地址的报文都会被丢弃(比如,处于安全考虑,可以屏蔽某个用户接收报文),且不支持绑定操作。
当您开启了指定端口的MAC地址过滤功能后,交换机会根据该端口下处于“绑定”状态的表项对报文进行过滤(即系统会丢弃和绑定表项不匹配的报文),从而可以有效地控制网络访问。
页面向导:设备管理→MAC设置→MAC显示
本页面为您提供如下主要功能:
|
l 显示和查询(通过MAC地址和VLAN的条件组合)设备所有的MAC地址表项信息(主页面) l 将指定的MAC地址表项进行绑定(选中主页面中需要绑定的表项,单击<绑定>按钮生效) |
|
|
l 添加新的MAC地址表项(单击主页面中的<添加>按钮,在弹出的对话框中设置MAC地址表项相关参数,单击<确认>按钮生效) |
|
|
l 修改静态或黑洞MAC地址表项(单击主页面中的相应MAC地址表项,即可对该表项进行修改操作) |
|
页面向导:设备管理→MAC设置→端口MAC显示
本页面为您提供如下主要功能:
|
l 显示指定端口下的MAC地址表项信息(主页面) l 将端口下未绑定的MAC地址表项进行绑定(选择相应的端口号,并选中该端口下未绑定的MAC地址表项,单击<绑定>按钮生效) |
|
|
l 修改端口下的静态或黑洞MAC地址表项(单击端口下相应的MAC地址表项,即可对该表项进行修改操作) |
|
页面向导:设备管理→MAC设置→端口MAC过滤
本页面为您提供如下主要功能:
|
l 显示各端口MAC地址过滤功能状态(主页面) |
|
|
l 开启指定端口的MAC地址过滤功能(单击主页面上端口对应的表项,选中“MAC过滤使能”复选框,单击<确定>按钮生效) l 添加指定端口的静态MAC地址表项(单击主页面上端口对应的表项,在“MAC地址”和“VLAN”文本框中输入相应的参数后,单击<添加>按钮生效) |
|
交换机支持简单的QoS功能,在网络拥塞发生时,系统会根据您设置的报文优先级信任模式和队列调度算法来控制报文的转发次序。
交换机支持两种报文优先级信任:802.1p优先级(COS)和DSCP。交换机会根据您选择的信任优先级将报文映射到指定的队列(共支持4个队列,队列1为最低优先级,队列4为最高优先级)。
802.1p优先级位于二层报文头部,适用于不需要分析三层报文头,而需要在二层环境下保证QoS的场合。
图7-4 带有802.1Q标签头的以太网帧
如图7-4所示,4个字节的802.1Q标签头包含了2个字节的TPID和2个字节的TCI,图7-5显示了802.1Q标签头的详细内容。
图7-5 802.1Q标签头
如图7-5所示,TCI中Priority字段就是802.1p优先级,也称为CoS优先级。它由3个bit组成,取值范围为0~7。
表7-2 802.1p优先级说明
|
802.1p优先级(十进制) |
802.1p优先级(二进制) |
关键字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
表7-3 802.1p优先级与队列的映射关系
|
802.1p优先级 |
队列 |
|
1、2 |
1 |
|
0、3 |
2 |
|
4、5 |
3 |
|
6、7 |
4 |
图7-6 DS域和ToS字节
RFC2474重新定义了IP报文头部的ToS域,称之为DS域,其中DSCP优先级用该域的前6个bit(0~5bit)表示,取值范围为0~63,后2个bit(6、7bit)是保留位。
表7-4 DSCP优先级说明
|
DSCP优先级(十进制) |
DSCP优先级(二进制) |
关键字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
表7-5 DSCP优先级与队列的映射关系
|
DSCP优先级 |
队列 |
|
0~15 |
1 |
|
16~31 |
2 |
|
32~47 |
3 |
|
48~63 |
4 |
交换机支持两种队列调算法:WRR和HQ-WRR。
HQ-WRR队列调度算法:建立在WRR的基础上,当4个队列占用的带宽超过了端口的转发能力,设备首先保证高优先级队列的报文优先转发出去,然后对其余3个队列实行WRR调度。下面仅以WRR队列调度为例进行描述。
图7-7 WRR队列调度示意图
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。
以端口有4个输出队列为例,WRR可为每个队列配置一个加权值(queue4~queue1对应的加权值依次为w4、w3、w2、w1)。对于一个100M的端口,如果配置它的WRR队列调度算法的加权值为8、4、2、1(依次对应w4、w3、w2、w1),这样可以保证最低优先级队列至少获得100Mbps*1/(8+4+2+1)的带宽,避免了低优先级队列中的报文可能长时间得不到服务的缺点。
页面向导:设备管理→QoS设置→QoS
本页面为您提供如下主要功能:
|
l 设置交换机报文优先级信任模式和队列调度算法 |
|
页面中关键项的含义如下表所示。
表7-6 页面关键项描述
|
页面关键项 |
描述 |
|
优先级类型选择 |
选择报文优先级信任模式 l COS:根据802.1p优先级将报文放入对应优先级的端口输出队列 l DSCP:根据DSCP优先级将报文放入对应优先级的端口输出队列 缺省情况下,交换机根据802.1p优先级将报文放入对应优先级的端口输出队列 |
|
调度模式 |
选择队列调度模式 缺省情况下,交换机采用WRR调度算法 举例:若队列1、队列2、队列3、队列4的权重比为1:2:4:8,且队列调度模式为WRR。那么,队列1、2、3、4的数据报文在某个端口发生拥塞时,该端口会按照1:2:4:8的流量比例来发送报文;如果调度模式选择为HQ-WRR,交换机会首先保证队列4的报文优先发送出去,然后对其余3个队列实行WRR调度 |
|
权重 |
设置队列的优先级权重 |
交换机支持STP和RSTP两种模式来消除数据链路层物理环路。
STP是根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。
STP包含了两个含义,狭义的STP是指IEEE 802.1D中定义的STP协议,广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议(如RSTP协议)。
STP采用的协议报文是BPDU,也称为配置消息。
STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程。
BPDU在STP协议中分为两类:
l 配置BPDU:用于进行生成树计算和维护生成树拓扑的报文。
l TCN BPDU:当拓扑结构发生变化时,用于通知相关设备网络拓扑结构发生变化的报文。
(1) 根桥
树形的网络结构,必须要有树根,于是STP引入了根桥(Root Bridge)的概念。
根桥在全网中只有一个,而且根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的。
(2) 路径开销
路径开销是STP协议用于选择链路的参考值。STP协议通过计算路径开销,选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构。
(3) 端口角色
l Root(根端口):负责向根桥方向转发数据的端口。
l Designated(指定端口):负责向下游网段或交换机转发数据的端口。
l Blocking(阻塞端口):被对方的指定端口抑制的端口。
(4) 端口状态
l Forwarding:该状态下的端口可收发BPDU,也转发用户流量。
l Learning:这是一种过渡状态。在这种状态下,设备会根据收到的用户流量(但仍然不转发流量)构建MAC地址表。
l Listening:这是一种过渡状态。在这种状态下,完成根桥、根端口和指定端口的选择。
l Blocking:仅接收并处理BPDU报文,不转发用户流量。
l Disabled:STP处于关闭状态或物理链路断路。
STP通过在设备之间传递BPDU来确定网络的拓扑结构。配置消息中包含了足够的信息来保证设备完成生成树的计算过程,其中包含的几个重要信息如下:
l 根桥ID:由根桥的优先级和MAC地址组成;
l 指定桥ID:由指定桥的优先级和MAC地址组成;
l 指定端口ID:由指定端口的优先级和端口名称组成;
l Message Age:配置消息在网络中传播的生存期;
l Max Age:配置消息在交换机中能够保存的最大生存期;
l Hello Time:配置消息发送的周期;
l Forward Delay:端口状态迁移的延时。
为描述方便,在下面的描述及举例中仅考虑配置消息的其中四项内容:
l 根桥ID(以设备的优先级表示);
l 根路径开销;
l 指定桥ID(以设备的优先级表示);
l 指定端口ID(以端口名称表示)。
(1) STP算法实现的具体过程
l 初始状态
各台设备在初始时会生成以自己为根桥的BPDU报文消息,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口。
l 最优配置消息的选择
各台设备都向外发送自己的配置消息,同时也会收到其他设备发送的配置消息。
最优配置消息的选择过程如表7-7所示。
|
步骤 |
内容 |
|
1 |
每个端口收到配置消息后的处理过程如下: l 当端口收到的配置消息比本端口配置消息的优先级低时,设备会将接收到的配置消息丢弃,对该端口的配置消息不作任何处理 l 当端口收到的配置消息比本端口配置消息的优先级高时,设备就用接收到的配置消息中的内容替换该端口的配置消息中的内容 |
|
2 |
设备将所有端口的配置消息进行比较,选出最优的配置消息 |
配置消息的比较原则如下:
l 根桥ID较小的配置消息优先级高;
l 若根桥ID相同,则比较根路径开销,比较方法为:用配置消息中的根路径开销加上本端口对应的路径开销,假设两者之和为S,则S较小的配置消息优先级较高;
l 若根路径开销也相同,则依次比较以下配置消息优先级,优先级较高的为根桥:指定桥ID、指定端口ID、接收该配置消息的端口ID等。
l 根桥的选择
网络初始化时,网络中所有的STP设备都认为自己是“根桥”,根桥ID为自身的桥ID。通过交换配置消息,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥。
l 根端口、指定端口的选择
根端口、指定端口的选择过程如表7-8所示。
表7-8 根端口和指定端口的选择过程
|
步骤 |
内容 |
|
1 |
非根桥设备将接收最优配置消息的那个端口定为根端口 |
|
2 |
设备根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息: l 根桥ID替换为根端口的配置消息的根桥ID l 根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销 l 指定桥ID替换为自身设备的ID l 指定端口ID替换为自身端口ID |
|
3 |
设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较,并根据比较结果进行不同的处理: l 如果计算出来的配置消息优,则设备就将该端口定为指定端口,端口上的配置消息被计算出来的配置消息替换,并周期性向外发送 l 如果端口上的配置消息优,则设备不更新该端口配置消息并将此端口阻塞,该端口将不再转发数据,只接收但不发送配置消息 |
在拓扑稳定状态,只有根端口和指定端口转发流量,其他的端口都处于阻塞状态,它们只接收STP协议报文而不转发用户流量。
一旦根桥、根端口、指定端口选举成功,则整个树形拓扑就建立完毕了。
下面结合例子说明STP算法的计算过程。具体的组网如图7-8所示,Device A的优先级为0,Device B的优先级为1,Device C的优先级为2,各个链路的路径开销分别为5、10、4。
图7-8 STP算法计算过程组网图
各台设备的初始状态如表7-9所示。
|
设备 |
端口名称 |
端口的配置消息 |
|
Device A |
AP1 |
{0,0,0,AP1} |
|
AP2 |
{0,0,0,AP2} |
|
|
Device B |
BP1 |
{1,0,1,BP1} |
|
BP2 |
{1,0,1,BP2} |
|
|
Device C |
CP1 |
{2,0,2,CP1} |
|
CP2 |
{2,0,2,CP2} |
l 各台设备的比较过程及结果
各台设备的比较过程及结果如表7-10所示。
表7-10 各台设备的比较过程及结果
|
设备 |
比较过程 |
比较后端口的配置消息 |
|
Device A |
l 端口AP1收到Device B的配置消息{1,0,1,BP1},Device A发现本端口的配置消息{0,0,0,AP1}优于接收到的配置消息,就把接收到的配置消息丢弃 l 端口AP2收到Device C的配置消息{2,0,2,CP1},Device A发现本端口的配置消息{0,0,0,AP2}优于接收到的配置消息,就把接收到的配置消息丢弃 l Device A发现自己各个端口的配置消息中根桥和指定桥都是自己,则认为自己是根桥,各个端口的配置消息都不作任何修改,以后周期性的向外发送配置消息 |
AP1:{0,0,0,AP1} AP2:{0,0,0,AP2} |
|
Device B |
l 端口BP1收到来自Device A的配置消息{0,0,0,AP1},Device B发现接收到的配置消息优于本端口的配置消息{1,0,1,BP1},于是更新端口BP1的配置消息 l 端口BP2收到来自Device C的配置消息{2,0,2,CP2},Device B发现本端口的配置消息{1,0,1,BP2}优于接收到的配置消息,就把接收到的配置消息丢弃 |
BP1:{0,0,0,AP1} BP2:{1,0,1,BP2} |
|
l Device B对各个端口的配置消息进行比较,选出端口BP1的配置消息为最优配置消息,然后将端口BP1定为根端口,它的配置消息不作改变。 l Device B根据根端口BP1的配置消息和根端口的路径开销5,为BP2端口计算一个指定端口配置消息{0,5,1,BP2} l Device B使用计算出来的配置消息{0,5,1,BP2}和端口BP2上的配置消息进行比较,比较的结果是计算出来的配置消息较优,则Device B将端口BP2定为指定端口,它的配置消息被计算出来的配置消息替换,并周期性向外发送 |
根端口BP1: {0,0,0,AP1} 指定端口BP2: {0,5,1,BP2} |
|
|
Device C |
l 端口CP1收到来自Device A的配置消息{0,0,0,AP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP1},于是更新端口CP1的配置消息 l 端口CP2收到来自Device B端口BP2更新前的配置消息{1,0,1,BP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP2},于是更新端口CP2的配置消息 |
CP1:{0,0,0,AP2} CP2:{1,0,1,BP2} |
|
经过比较: l 端口CP1的配置消息被选为最优的配置消息,端口CP1就被定为根端口,它的配置消息不作改变 l 将计算出来的指定端口配置消息{0,10,2,CP2}和端口CP2的配置消息进行比较后,端口CP2转为指定端口,它的配置消息被计算出来的配置消息替换 |
根端口CP1: {0,0,0,AP2} 指定端口CP2: {0,10,2,CP2} |
|
|
l 接着端口CP2会收到Device B更新后的配置消息{0,5,1,BP2},由于收到的配置消息比原配置消息优,则Device C触发更新过程 l 同时端口CP1收到Device A周期性发送来的配置消息,比较后Device C不会触发更新过程 |
CP1:{0,0,0,AP2} CP2:{0,5,1,BP2} |
|
|
经过比较: l 端口CP2的根路径开销9(配置消息的根路径开销5+端口CP2对应的路径开销4)小于端口CP1的根路径开销10(配置消息的根路径开销0+端口CP1对应的路径开销10),所以端口CP2的配置消息被选为最优的配置消息,端口CP2就被定为根端口,它的配置消息就不作改变 l 将端口CP1的配置消息和计算出来的指定端口配置消息比较后,端口CP1被阻塞,端口配置消息不变,同时不接收从Device A转发的数据,直到新的情况触发生成树的计算,比如:从Device B到Device C的链路出现故障 |
阻塞端口CP1: {0,0,0,AP2} 根端口CP2: {0,5,1,BP2} |
经过上表的比较过程,此时以Device A为根桥的生成树就确定下来了,形状如图7-9所示。
为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂。
(2) STP的配置消息传递机制
l 当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的配置消息,并以Hello Time为周期定时向外发送。
l 接收到配置消息的端口如果是根端口,且接收的配置消息比该端口的配置消息优先级高,则设备将配置消息中携带的Message Age按照一定的原则递增,并启动定时器为这条配置消息计时,同时将此配置消息从设备的指定端口转发出去。
l 如果某条路径发生故障,则这条路径上的根端口不会再收到新的配置消息,旧的配置消息将会因为超时而被丢弃,设备重新生成以自己为根的配置消息并向外发送BPDU,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性。
(3) STP定时器
STP计算中,需要使用三个重要的时间参数:Forward Delay、Hello Time和Max Age。
l Forward Delay为交换机状态迁移的延迟时间。
链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路。
为此,生成树协议采用了一种状态迁移的机制,根端口和指定端口重新开始数据转发之前要经历一个中间状态,中间状态经过2倍的Forward Delay的延时后才能进入Forwarding状态,这个延时保证了新的配置消息已经传遍整个网络。
l Hello Time用于交换机检测链路是否存在故障。
交换机每隔Hello Time时间会向周围的交换机发送hello报文,以确认链路是否存在故障。
l Max Age是用来判断配置消息在交换机内保存时间是否“过时”的参数,交换机会将过时的配置消息丢弃。
RSTP是STP协议的优化版。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。
l RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。
l RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。
(1) 端口角色
RSTP的端口角色相对STP增加了Alternate端口、Backup端口,并取消了Blocking端口。
l Alternate端口:是根端口用于快速切换的替换端口。当根端口被阻塞后,Alternate端口将成为新的根端口。
l Backup端口:是被本设备指定端口阻塞的端口。
(2) 端口状态
RSTP的端口状态相对STP,把原来的五种状态减少为三种状态。
l Forwarding状态:既转发用户流量又接收/发送BPDU报文。
l Learning状态:不转发用户流量,只接收/发送BPDU报文。
l Discarding状态:不转发用户流量,只接收BPDU报文。
页面向导:设备管理→STP设置→STP全局设置
本页面为您提供如下主要功能:
|
l 设置交换机 STP的全局参数(比如:生成树功能状态、桥协议数据单元处理方式、STP端口默认的路径开销、STP定时器等) |
|
页面中关键项的含义如下表所示。
表7-11 页面关键项描述
|
页面关键项 |
描述 |
|
生成树状态 |
选择生成树功能全局状态 缺省情况下,生成树功能处于关闭状态 |
|
生成树模式 |
选择哪种模式来消除数据链路层物理环路,建议您使用缺省的RSTP模式 |
|
桥协议数据单元处理 |
选择BPDU报文处理方式 l 广播:当全局的STP功能处于关闭的状态时,则广播BPDU报文 l 过滤:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 缺省情况下,BPDU报文处理方式为广播 |
|
默认路径开销 |
选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样 l IEEE 802.1D-1998:端口的路径开销取值范围为1~65535 l IEEE 802.1T:端口的路径开销取值范围为1~200000000 缺省情况下,默认路径开销采用的是IEEE 802.1T 端口速率、路径开销标准及路径开销值对应表如表7-12所示 |
|
优先级 |
桥优先级的大小决定了本设备是否能够被选作生成树的树根。您可通过配置较小的桥优先级,可以达到指定某台设备成为生成树树根的目的 缺省情况下,桥优先级为32768 |
|
Hello Time |
选中Hello Time单选框,并在文本框中设置该定时器值 缺省情况下,Hello Time为2s |
|
Max Age |
选中Max Age单选框,并在文本框中设置该定时器值 缺省情况下,最大老化时间为20s |
|
Forward Delay |
选中Forward Delay单选框,并在文本框中设置该定时器值 缺省情况下,迁移延时为15s |
|
链路速率 |
双工状态 |
802.1D-1998 |
802.1t |
|
0 |
- |
65535 |
200000000 |
|
10 Mbit/s |
Half-Duplex/Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports |
100 95 95 95 |
2000000 1000000 666666 500000 |
|
100 Mbit/s |
Half-Duplex/Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports |
19 15 15 15 |
200000 100000 66666 50000 |
|
1000Mbit/s |
Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports |
4 3 3 3 |
20000 10000 6666 5000 |
页面向导:设备管理→STP设置→STP端口设置
本页面为您提供如下主要功能:
|
l 显示当前交换机所有端口的STP状态及相关参数(主页面) |
|
|
l 设置单个端口的STP状态及相关参数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
l 批量设置端口的STP状态及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
表7-13 页面关键项描述
|
页面关键项 |
描述 |
|
STP使能(STP) |
端口的STP功能状态 l 不改变:保持当前状态 l 关闭:关闭端口STP功能 l 开启:开启端口STP功能 缺省情况下,端口STP功能处于关闭状态 说明: |
|
边缘端口 |
边缘端口是指不直接与任何交换机连接,也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口,那么当该端口由阻塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间 l 不改变:保持当前状态 l 关闭:不设置端口为边缘端口 l 开启:设置端口为边缘端口 缺省情况下,不设置端口为边缘端口 |
|
根保护 |
网络中的合法根桥可能会由于维护人员的错误配置或网络中的恶意攻击,收到优先级更高的配置消息,这样当前根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞 设置了根保护功能的端口,一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为Discarding状态,不再转发报文(相当于将与此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态 l 不改变:保持当前状态 l 关闭:不设置端口根保护功能 l 开启:设置端口根保护功能 缺省情况下,端口的根保护功能处于关闭状态 |
|
默认路径开销 |
开启/关闭端口默认路径开销 l 不改变:保持当前状态 l 关闭:关闭端口默认路径开销后,您可以在本页面的“端口路径开销”文本框中指定端口路径开销 l 开启:开启端口默认路径开销后,不能手工设置端口路径开销值,则与“STP全局设置”页面中的默认路径开销相关,相关描述请参见“7.4.3 设置STP全局参数” 缺省情况下,端口默认路径开销处于开启状态 |
|
端口开销(端口路径开销) |
缺省情况下,端口路径开销为200,000,000 说明: 仅当端口默认路径开销处于关闭状态时,才可设置 |
|
优先级(端口优先级) |
缺省情况下,端口优先级为128 |
|
点对点 |
与所指定端口相连的链路类型 l 不改变:保持当前状态 l Force true:设置端口与一条点到点链路相连 l Force false:设置端口与一条共享链路相连 l Auto:设置端口自动建立链路 缺省情况下,端口自动建立链路 |
IGMP Snooping是运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组。
IGMP Snooping运行在数据链路层。当二层以太网交换机收到主机和路由器之间传递的IGMP报文时,IGMP Snooping分析IGMP报文所带的信息。当监听到主机发出的IGMP主机报告报文(IGMP host report message)时,交换机就将该主机加入到相应的组播MAC地址表中;当监听到主机发出的IGMP离开报文(IGMP leave message)时,交换机将在相应的组播表中删除该主机端口。通过不断地监控IGMP报文,交换机就可以在二层建立和维护组播MAC地址表。之后,交换机就可以根据该组播MAC地址表转发来自路由器的组播报文。
如图7-10所示,当二层交换机没有运行IGMP Snooping时,组播数据在二层被广播;当二层交换机运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。
图7-10 二层交换机运行IGMP Snooping前后的对比
如图7-11所示,Router A连接组播源,在Switch A和Switch B上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。
结合图7-11,介绍一下IGMP Snooping相关的端口概念:
l 路由器端口(Router Port):交换机上靠近三层组播设备一侧的端口,如Switch A和Switch B各自的GigabitEthernet0/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。
l 成员端口(Member Port):又称组播组成员端口,表示交换机上靠近组播组成员一侧的端口,如Switch A的GigabitEthernet0/2和GigabitEthernet0/3端口,以及Switch B的GigabitEthernet0/2端口。交换机将本设备上的所有成员端口都记录在组播转发表中。
表7-14 IGMP Snooping端口老化定时器
|
定时器 |
说明 |
超时前应收到的报文 |
超时后交换机的动作 |
|
路由器端口老化定时器 |
交换机为其上的每个路由器端口都启动一个定时器,其超时时间为路由器端口老化时间 |
IGMP通用查询报文或PIM Hello报文 |
将该端口从路由器端口列表中删除 |
|
成员端口老化定时器 |
当一个端口加入某组播组时,交换机为该端口启动一个定时器,其超时时间为成员端口老化时间 |
IGMP成员关系报告报文 |
将该端口从组播组的转发表中删除 |
运行了IGMP Snooping的交换机对不同IGMP动作的具体处理方式如下:
IGMP查询器定期向本地网段内的所有主机与路由器发送IGMP通用查询报文,以查询该网段有哪些组播组的成员。
在收到IGMP通用查询报文时,交换机会将其通过VLAN内除收到该查询报文端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:
l 如果该端口是路由器端口列表中已有的路由器端口,则重置该路由器端口的老化定时器。
l 如果该端口不是路由器端口列表中已有的路由器端口,则将其加入路由器端口列表,并启动该路由器端口的老化定时器。
以下情况,主机会向组播路由器发送IGMP成员关系报告报文:
l 当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。
l 如果主机要加入某个组播组,它会主动向组播路由器发送IGMP成员关系报告报文以声明加入该组播组。
在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:
l 如果该端口已存在于组播组转发表中,则重置该端口的成员端口老化定时器;
l 如果该端口不在组播组转发表中,则在组播组转发表中为该端口增加转发表项,并启动该端口的成员端口老化定时器。
运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除。
运行IGMPv2的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。
当从一个成员端口上收到IGMP离开组报文时,交换机会将该报文通过VLAN内的所有路由器端口转发出去,由于并不知道该报文的接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口对应的转发表项从转发表中删除,而是重置该成员端口的老化定时器。
当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。
对于IGMP离开组报文的接收端口,交换机在该成员端口的老化时间内:
l 如果从该端口收到了主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置该成员端口的老化定时器;
l 如果没有从该端口收到主机发送的响应该组播组的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在该成员端口老化时间超时后,将转发表中该端口对应该组播组的转发表项删除。
页面向导:设备管理→IGSP设置→IGMP Snooping
本页面为您提供如下主要功能:
|
l 设置交换机 IGMP Snooping功能状态及相关的定时器等 |
|
页面中关键项的含义如下表所示。
表7-15 页面关键项描述
|
页面关键项 |
描述 |
|
当前状态 |
开启或关闭全局IGMP Snooping功能 缺省情况下,全局IGMP Snooping功能处于关闭状态 |
|
路由端口老化时间 |
缺省情况下,路由端口老化时间为105秒 |
|
普遍组查询最大响应时间 |
您可以根据网络的实际情况来修改发送IGMP组查询报文的时间间隔。 在收到IGMP查询报文(包括普遍组查询和特定组查询)后,主机会为其所加入的每个组播组都启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的IGMP查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的组播组发送IGMP成员关系报告报文 合理配置IGMP查询的最大响应时间,既可以使主机对IGMP查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞: l 对于IGMP普遍组查询报文来说,通过配置IGMP普遍组查询的最大响应时间来填充其最大响应时间字段 l 对于IGMP特定组查询报文来说,所配置的发送IGMP特定组查询报文的时间间隔将被填充到其最大响应时间字段。也就是说,IGMP特定组查询的最大响应时间从数值上与发送IGMP特定组查询报文的时间间隔相同 缺省情况下,普遍组查询最大响应时间为10秒;特定组查询最大响应时间为2秒 |
|
特定组查询最大响应时间 |
|
|
主机端口老化时间 |
缺省情况下,主机端口老化时间为260秒 |
|
未知组播丢弃 |
未知组播数据报文是指在组播转发表中不存在对应转发表项的那些组播数据报文。当交换机收到发往未知组播组的报文时,数据报文会在未知组播数据报文所属的VLAN内广播,这样会占用大量的网络带宽,影响转发效率。您可以通过开启交换机的未知组播丢弃功能来解决此问题 缺省情况下,未知组播丢弃功能处于关闭状态,即对未知组播数据报文进行广播 说明: 此功能在IGMP Snooping关闭的情况下也生效 |
当启动快速删除功能后,交换机从某端口收到离开某组播组的IGMP离开报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当交换机收到对该组播组的IGMP特定组查询报文时,交换机将不再向该端口转发。
比如:当端口下只有一个用户时,您可以通过开启端口从组播组中快速删除功能来节约带宽和资源。而在连接有多个接收者的端口上,如果未知组播报文丢弃功能同时开启的情况下,则不要再开启端口从组播组中快速删除功能。否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据。
页面向导:设备管理→IGSP设置→Fast Leave
本页面为您提供如下主要功能:
|
l 显示交换机所有端口的快速删除功能状态(主页面) |
|
|
l 设置单个端口的快速删除功能状态(单击主页面上端口对应的表项,进入相应的页面) |
|
|
l 批量设置端口的快速删除功能状态(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
SNMP用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。
SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。
SNMP分为NMS和Agent两部分:
l NMS是运行客户端程序的工作站。
l Agent是运行在网络设备(比如:交换机)上的服务器端软件。
NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型对MIB进行Read或Write操作,生成Response报文,并将报文返回给NMS。
Agent在设备发生异常情况或状态改变时(比如:设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。
目前,交换机中的SNMP Agent支持SNMP v1版本和SNMP v2c版本。
SNMP v1、SNMP v2c采用团体名(Community Name)认证,非交换机认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问交换机上的SNMP Agent。
在SNMP报文中用管理变量来描述交换机中的管理对象。为了唯一标识交换机中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如图7-12所示。每一个节点,都可以用从根开始的一条路径唯一地标识。
图7-12 MIB树结构
MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图7-12中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符。
页面向导:设备管理→SNMP设置→SNMP代理设置
本页面为您提供如下主要功能:
|
l 设置SNMP Agent的状态、系统信息等 l 设置团体名及访问模式 |
|
页面中关键项的含义如下表所示。
表7-16 页面关键项描述
|
页面关键项 |
描述 |
|
SNMP状态 |
开启/关闭SNMP Agent功能 缺省情况下,SNMP Agent功能处于关闭状态 |
|
最大包长度 |
设置SNMP Agent能接收/发送的SNMP消息包的大小 缺省情况下,SNMP Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
|
联系信息 |
如果交换机发生故障,维护人员可以利用系统维护联系信息,及时与生产厂商取得联系,便于快速地定位和解决问题 缺省情况下,系统维护联系信息为“R&D Hangzhou, Hangzhou H3C Technologies Co., Ltd.”;设备的物理位置信息为“Hangzhou China” |
|
物理位置信息 |
|
|
SNMP版本 |
只有开启了相应的SNMP版本,交换机才会处理对应版本的SNMP数据报文 缺省情况下,交换机同时开启SNMP v1版本和SNMP v2c版本 |
|
新建团体 |
选中“新建团体”复选框后,即可新建团体名和设置团体访问模式 l 团体名:您可以采用标准的团体名(public或private)或自定义团体名 l 访问模式:团体访问MIB对象的读写(read-write)或者只读(read-only)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置 |
Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(比如:被管理设备重新启动等)。
在设置SNMP Trap功能前必须先完成SNMP Agent的相关配置。
页面向导:设备管理→SNMP设置→SNMP Trap设置
本页面为您提供如下主要功能:
|
l 设置交换机允许发送的Trap报文和Linkup、Linkdown Trap端口的状态(主页面) |
|
|
l 新建Trap目标主机(在主页面上单击<新建>按钮,进入相应的设置页面) |
|
表7-17 页面关键项描述
|
页面关键项 |
描述 |
|
SNMP Trap功能 |
开启/关闭SNMP Trap功能,缺省情况下处于开启状态 l Coldstart Trap:当设备重新启动时,发送冷启动Trap信息 l Warmstart Trap:当SNMP模块重新启动时,发送热启动Trap信息 l Linkup Trap:当端口由down状态变为up状态时,发送链路up的Trap信息 l Linkdown Trap:当端口由up状态变为down状态时,发送链路down的Trap信息 l Authentication Trap:SNMP模块认证失败时,发送认证失败的Trap信息 说明: 当“Linkup Trap”复选框选中时,表示允许所有端口发送Linkup Trap信息;当“Linkup Trap”复选框未选中时,表示禁止所有端口发送Linkup Trap信息。同理,“Linkdown Trap”复选框也一样 |
|
Linkup、Linkdown Trap端口使能设置 |
指定端口允许/禁止发送Linkup、Linkdown Trap信息 l 使能端口:允许端口发送Linkup、Linkdown Trap信息 l 未使能端口:禁止端口发送Linkup、Linkdown Trap信息 缺省情况下,允许所有端口发送Linkup、Linkdown Trap信息 |
|
目标主机IP地址 |
设置接收Trap消息的目标主机IP地址 |
|
端口号 |
设置接收Trap消息的UDP端口号 缺省情况下,接收Trap消息的UDP端口号为162 |
|
团体名 |
设置交换机与NMS交互时所使用的团体名 |
|
Trap版本 |
设置交换机与NMS交互时所使用SNMP版本号 l v1:代表SNMP v1版本 l v2c:代表SNMP v2c版本 缺省情况下,交换机与NMS交互时所使用SNMP版本号为SNMP v1版本 |
您可以通过SNMP典型组网配置举例来进一步加深理解。
信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,从而为网络管理员监控网络运行情况和诊断网络故障提供了强有力的支持。
信息中心共有三类信息:
l log类:日志类信息
l trap类:告警类信息
l debug类:调试类信息
交换机的Web设置页面支持log类和trap类信息的显示,便于您更直观地查看。
系统信息的信息级别值越小,紧急程度越高。
|
信息级别 |
数值 |
描述 |
|
Emergency |
0 |
极其严重的错误,需要立即采取措施解决 |
|
Alert |
1 |
需要立即采取措施解决的错误 |
|
Critical |
2 |
关键性错误,需要尽快采取措施解决 |
|
Error |
3 |
需关注但不关键的错误 |
|
Warning |
4 |
系统运行存在某种差错,某项功能会受到影响 |
|
Notice |
5 |
需要适当关注的事件信息 |
|
Informational |
6 |
不需要关注的提示信息 |
|
Debug |
7 |
调试过程产生的信息 |
表7-19 告警类信息级别列表
|
信息级别 |
数值 |
描述 |
|
Critical |
0 |
紧急信息 |
|
Major |
1 |
重要信息 |
|
Minor |
2 |
次要信息 |
|
Warning |
3 |
警告信息 |
|
Cleared |
5 |
告警恢复信息 |
|
Indeterminate |
6 |
不确定信息 |
页面向导:设备管理→LOG设置→日志设置
本页面为您提供如下主要功能:
|
l 开启/关闭信息中心 l 设置日志主机 |
|
页面中关键项的含义如下表所示。
表7-20 页面关键项描述
|
页面关键项 |
描述 |
|
日志使能 |
开启/关闭信息中心。缺省情况下,信息中心处于开启状态 说明: 只有开启了信息中心(选中“日志使能”复选框),系统才会向日志主机、控制台等方向输出系统信息 |
|
发送日志等级 |
仅不高于指定级别的日志信息才可发送到日志主机,日志等级的具体描述请参见表7-18 |
|
日志主机IP地址 |
设置日志主机的IP地址 |
页面向导:设备管理→LOG设置→日志信息
本页面为您提供如下主要功能:
|
l 通过“显示日志信息等级”下拉框来筛选您需要关注的日志信息 l 通过单击<下载>按钮将所有的日志信息保存到本地,方便查看 l 通过单击<清除>按钮删除所有的日志信息 |
|
页面向导:设备管理→LOG设置→告警信息
本页面为您提供如下主要功能:
|
l 通过“显示告警信息等级”下拉框来筛选您需要关注的告警信息 l 通过单击<下载>按钮将所有的告警信息保存到本地,方便查看 l 通过单击<清除>按钮删除所有的告警信息 |
|
本章节主要包含以下内容:
l 设置AAA
l 设置802.1x
防MAC地址攻击功能主要防止设备不断地学习局域网中大量无效的报文源MAC地址,使设备的MAC地址转发表过于庞大,导致其转发性能急剧下降。
交换机通过限制端口MAC地址学习数限制,从而达到防MAC地址攻击功能。
页面向导:安全专区→防攻击→防MAC地址攻击
本页面为您提供如下主要功能:
|
l 显示当前所有端口可学习的MAC地址数(主页面) |
|
|
l 设置单个端口可学习的MAC地址数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
l 批量设置指定端口可学习的MAC地址数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构,客户端运行于NAS上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图8-1所示。
图8-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
图8-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。
这三种安全服务功能的具体作用如下:
l 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
l 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
l 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
l 交换机支持通过AAA对Telnet用户、Console用户以及Web用户信息进行统一管理。
l 目前,交换机的计费功能只适用于802.1x用户。
页面向导:安全专区→AAA→用户认证方案设置
本页面为您提供如下主要功能:
|
l 设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案 |
|
页面中关键项的含义如下表所示。
表8-1 页面关键项描述
|
页面关键项 |
描述 |
|
Telnet用户认证方案 / Terminal用户认证方案 / Web用户认证方案 |
l 不认证:访问交换机时,不需要认证便可以进行管理 l 本地认证:访问交换机时,需要本地认证成功后方可进行管理,且您需要通过“本地用户设置”页面对本地用户的配置和管理 l radius远程认证:访问交换机时,需要远程认证成功后方可进行管理。该认证方式相对于本地认证来说,便于对所有设备的登录用户进行统一管理和维护 l radius远程认证+本地认证:实现两种认证方案互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案 说明: l 当采用radius远程认证方案或radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在交换机上设置对应的Radius Client。有关Radius Client的相关描述和操作,可参见“8.2.3 设置Radius Client” l Web用户认证不支持radius远程认证方案和radius远程认证+本地认证方案 |
页面向导:安全专区→AAA→本地用户设置
本页面为您提供如下主要功能:
|
l 显示已创建的本地用户信息(主页面) |
|
|
l 新建本地用户(单击主页面中的<新建>按钮,在“添加本地用户”页面中设置新用户相关信息,单击<确定>按钮生效) |
|
|
l 修改本地用户(单击主页面中需要修改的本地用户表项,即可进入“修改本地用户”页面进行维护) |
|
Radius是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的Radius帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
l 交换机支持Radius Client功能,负责传输用户信息到指定的Radius Server,然后根据从Radius Server返回的信息进行相应处理(比如:接受/拒绝用户接入)。
l Radius Server运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给Radius Client返回所有需要的信息(比如:接受/拒绝认证请求)。
Radius Client和Radius Server之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
当您配合iMC实现用户包月认证时,需要开启802.1x重认证功能,便于定时检测用户的有效状况。
Radius Client和Radius Server之间通过共享密钥来认证交互的消息,增强了安全性。Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。用户(Host)、Radius Client、Radius Server之间一种简要的交互流程如图8-2所示。
图8-2 Radius的基本消息交互流程(认证+计费)
当您想通过Radius方案来远程认证Telnet用户和Console用户时,Radius的基本消息交互流程中仅为认证步骤,即当Radius Server认证通过后,Radius Client会向Host返回认证成功信息,从而Host可以正常地登录设备进行配置和管理。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) Radius Client根据获取的用户名和口令,向Radius Server发送认证请求包(Access-Request)。
(3) Radius Server将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的授权信息以认证响应包(Access-Accept)的形式发送给Radius Client;如果认证失败,则返回Access-Reject响应包。
(4) Radius Client根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则Radius Client向Radius Server发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) Radius Server返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) Radius Client按实时计费间隔循环的向Radius Server发送实时计费请求包(Accounting-Request),Status-Type取值为interim-update。
(8) Radius Server返回实时计费响应包(Accounting-Response)。
(9) Radius Client向Radius Server发送计费结束请求包(Accounting-Request),Status-Type取值为stop。
(10) Radius Server返回计费结束响应包(Accounting-Response)。
(11) 用户访问资源结束。
页面向导:安全专区→AAA→Radius Client设置
本页面为您提供如下主要功能:
|
l 设置交换机作为Radius Client与Radius Server进行交互时的相关参数 |
|
l Radius Client支持设置主、从认证和计费服务器,即当主服务器因故障而导致其与交换机的通信中断时,交换机会主动地与从服务器交互报文。当主服务器恢复正常后,交换机却不会立即恢复与其通信,而是继续与从服务器通信;直到从服务器也出现故障后,交换机才能再恢复与主服务器交互报文。
l 当您配置主或从计费服务器后,802.1X用户必需要进行计费,如果计费失败用户不能访问资源。
l 当主计费服务器发生故障时,只有在计费开始请求阶段会切换到从计费服务器,同理,从从服务器切换到主服务器也是一样。因此当用户的计费开始请求成功后,如果计费服务器发生故障,需要用户重新认证后才能访问资源。
页面中关键项的含义如下表所示。
表8-2 页面关键项描述
|
页面关键项 |
描述 |
|
Radius方案 |
显示系统缺省的Radius方案:system |
|
服务器响应超时 |
设置Radius Server响应超时时长 如果在Radius请求报文(认证/授权请求或计费请求)传送出去一段时间后,交换机还没有得到Radius Server的响应,则有必要重传Radius请求报文,以保证用户确实能够得到Radius服务,这段时间被称为Radius Server响应超时时长 缺省情况下,Radius Server响应超时时长为3秒 说明: 当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留服务器响应超时为缺省值 |
|
请求报文最大重传次数 |
设置Radius请求报文最大重传次数 如果累计的传送次数超过最大传送次数而Radius Server仍旧没有响应,则交换机将认为本次认证失败 缺省情况下,Radius请求报文最大重传次数为3次 说明: 当您采用radius主/从服务器认证方案或radius远程认证+本地认证方案对Telnet用户和Console用户进行认证时,建议保留Radius请求报文最大重传次数为缺省值 |
|
重启用户再认证功能 |
设置设备重启用户再认证功能 开启设备重启用户再认证功能后,交换机每次发生重启后,通过向Radius服务器发送Accouting-On报文,告知Radius服务器该设备已经重启,要求Radius 服务器强制该设备的用户下线,重新登录。 缺省情况下,设备重启用户再认证功能处于关闭状态 说明: 本功能仅适用于Radiu认证/计费服务器为CAMS的情况 |
|
实时计费间隔 |
设置实时计费间隔 设置实时计费间隔以后,每隔设定的时间,交换机会向Radius服务器发送一次在线用户的计费信息。 缺省情况下,实时计费间隔为12分钟 |
|
实时计费最大失败次数 |
设置实时计费最大失败次数 在交换机向Radius服务器发出的实时计费失败的次数超过所设定的最大值时,交换机将切断用户连接。 缺省情况下,最多允许5次实时计费失败,5次之后将切断用户连接 |
|
状态 |
设置认证/计费服务器当前的工作状态 l active:处于工作状态 l block:处于待机状态 说明: 当主/从服务器状态不同时,系统优先使用状态为active的服务器;当主/从服务器状态相同时,系统优先使用主服务器 |
|
IP地址 |
设置认证/计费服务器的IP地址 说明: 当您设置了有效的认证/计费服务器的IP地址后,服务器工作状态则为active,否则为block |
|
端口号 |
设置认证/计费服务器的UDP端口号 缺省情况下,Radius认证服务器的UDP端口号为1812,Radius计费服务器的UDP端口号为1813 |
|
共享密钥 |
设置Radius认证报文、计费报文的共享密钥,此密钥需要与交换机对接的Radius认证/计费服务器侧设置的密钥一致 |
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图8-3所示分别为:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。
图8-3 802.1x认证系统的体系结构
l 客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。
l 设备端是位于局域网段一端的另一个实体,用于对所连接的客户端进行认证。
l 认证服务器是为设备端提供认证服务的实体。
三个实体涉及如下三个基本概念:PAE、受控端口和端口受控方式。
(1) PAE
PAE是认证机制中负责执行算法和协议操作的实体。
l 设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地对受控端口的授权/非授权状态进行相应地控制。
l 客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
(2) 受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
l 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。
l 受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。
l 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
(3) 端口受控方式
l 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
l 基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源。
IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,在客户端和认证服务器之间交换认证信息。
图8-4 802.1x认证系统的工作机制
l 在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
l 在设备端PAE与Radius服务器之间,EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式,承载于Radius协议中;也可以由设备端PAE进行终结,而在设备端PAE与Radius服务器之间传送PAP协议报文或CHAP协议报文。
l 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据Radius服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
交换机支持EAP-MD5认证:验证客户端的身份,Radius服务器发送MD5加密字(EAP-Request/MD5 Challenge报文)给客户端,客户端用该加密字对口令部分进行加密处理。
图8-5 802.1x的认证过程(EAP-MD5)
认证过程如下:
l 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
l 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
l 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给交换机。交换机将客户端送上来的数据帧经过封包处理后(Radius Access-Request报文)送给Radius服务器进行处理。
l Radius服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过Radius Access-Challenge报文传送给交换机,由交换机传给客户端程序。
l 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过交换机传给Radius服务器。
l Radius服务器将加密后的口令信息(Radius Access-Request报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(Radius Access-Accept报文和EAP-Success报文)。
l 交换机将端口状态改为授权状态,允许用户通过该端口访问网络。
l 客户端也可以发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态改变成未授权状态。
802.1x认证过程中会启动多个定时器以控制接入用户、交换机以及Radius服务器之间进行合理、有序的交互。802.1x的定时器主要有以下几种:
l 握手定时器:此定时器是在用户认证成功后启动的,交换机以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果重试一定次数后仍然没有收到客户端的响应报文,就认为用户已经下线。
l 静默定时器:对用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置)后,用户可以再重新发起认证,在静默期间,交换机不进行该用户的802.1x认证相关处理。
l 重认证超时定时器:每隔该定时器设置的时长,交换机会定期发起802.1x重认证。
l Radius服务器超时定时器:若在该定时器设置的时长内,Radius服务器未成功响应,交换机将向Radius服务器重发认证请求报文。
l 客户端认证超时定时器:当交换机向客户端发送了Request/Challenge请求报文后,交换机启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,交换机将重发该报文。
l 传送超时定时器:在客户端主动发起认证的情况下,当交换机向客户端发送单播Request/Identity请求报文后,交换机启动该定时器,若在该定时器设置的时长内,交换机没有收到客户端的响应,则交换机将重发认证请求报文;为了对不支持主动发起认证的802.1x客户端进行认证,交换机会在启动802.1x功能的端口不停地发送组播Request/Identity报文,发送的间隔为传送超时定时器值。
Guest VLAN功能用来允许未认证用户访问某些特定资源。
在实际应用中,如果用户在没有安装802.1x客户端的情况下,需要访问某些资源;或者在用户未认证的情况下升级802.1x客户端,这些情况可以通过开启Guest VLAN功能来解决。
Guest VLAN的功能开启后:
l 交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,仍有端口尚未返回响应报文,则交换机将该端口加入到Guest VLAN中;
l 属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,则不需要进行802.1x认证。
802.1x重认证是通过定时器或报文触发,对已经认证成功的用户进行一次重新认证。通过启用802.1x重认证功能,交换机可以定时检测用户的连接状况。当发现接入用户在一定时间内未响应重认证报文,则切断与该用户的连接。若用户希望再次连接,则必须通过客户端软件重新发起802.1x认证。
l 对于已经加入到某个汇聚组中的端口,则不允许在该端口上启动802.1x。
l 当802.1x用户在线时,如果更改了端口接入方式,则在线用户会被强制下线。
802.1x端口参数的设置以S5024F-SI为例进行介绍。在线用户握手功能和组播触发功能,S5024P-EI不支持用户进行开启或关闭的设置,默认处于开启状态。
页面向导:安全专区→802.1x→802.1x端口设置
本页面为您提供如下主要功能:
|
l 显示所有端口的802.1x功能及相关参数的状态(主页面) |
|
|
l 设置单个端口的802.1x功能及相关参数(单击主页面上端口对应的表项,进入相应的页面) |
|
|
l 批量设置指定端口的802.1x功能及相关参数(单击主页面上的<批量配置>按钮,进入相应的页面) |
|
页面中关键项的含义如下表所示。
|
页面关键项 |
描述 |
|
端口802.1x功能(802.1x使能) |
端口的802.1x功能状态 l 开启:开启端口的802.1x功能 l 关闭:关闭端口的802.1x功能 缺省情况下,端口的802.1x功能处于关闭状态 说明: 必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效,相关操作请参见“8.3.3 设置802.1x全局参数” |
|
最大用户数 |
端口允许同时接入用户数量的最大值,缺省值为128 |
|
端口接入模式 |
l Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源 l Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源 l Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源 缺省情况下,端口接入控制模式为Auto |
|
端口接入方式 |
l 基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源 l 基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源 缺省情况下,端口的接入控制方式为基于MAC地址认证 |
|
端口重认证 |
l 关闭:关闭所有端口的重认证功能 l 开启:启用所有端口的重认证功能 缺省情况下,端口的重认证功能处于关闭状态 |
|
在线用户握手 |
l 关闭:关闭所有端口的在线用户握手功能 l 开启:启用所有端口的在线用户握手功能 缺省情况下,端口的在线用户握手功能处于开启状态 |
|
组播触发 |
l 关闭:关闭所有端口的组播触发功能 l 开启:启用所有端口的组播触发功能 缺省情况下,端口的组播触发功能处于开启状态 |
|
端口Guest VLAN功能 |
l 关闭:关闭端口的Guest VLAN功能 l 开启:开启端口的Guest VLAN功能 缺省情况下,端口的Guest VLAN功能处于关闭状态 说明: l 仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能 l 必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“8.3.3 设置802.1x全局参数” |
页面向导:安全专区→802.1x→802.1x全局设置
本页面为您提供如下主要功能:
|
l 设置全局的802.1x功能及相关参数的状态 |
|
页面中关键项的含义如下表所示。
表8-4 页面关键项描述
|
页面关键项 |
描述 |
|
设备802.1x功能 |
设置全局的802.1x功能状态 l 开启:启用全局的802.1x功能 l 关闭:关闭全局的802.1x功能 缺省情况下,全局的802.1x功能处于关闭状态 说明: 必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效,相关操作请参见“8.3.2 设置802.1x端口参数” |
|
Guest VLAN |
选中“Guest VLAN”复选框,表示开启全局的Guest VLAN功能,反之,关闭该功能 说明: l 仅当端口接入方式处于基于端口认证方式下,才支持Guest VLAN功能 l 必须同时开启全局和端口的Guest VLAN功能,该功能才能生效,相关操作请参见“8.3.2 设置802.1x端口参数” |
|
Guest VLAN ID |
指定一个VLAN作为Guest VLAN |
|
最大用户数 |
设置所有端口允许同时接入用户数量的最大值,缺省值为128 |
|
端口接入模式 |
设置所有端口的接入控制模式 l 端口自设置:保持当前设置状态,您可以通过“8.3.2 设置802.1x端口参数”针对端口进行设置 l Auto:端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源 l Authorized force:端口始终处于授权状态,允许用户不经认证授权即可访问网络资源 l Unauthorized force:端口始终处于非授权状态,不允许用户访问网络资源 缺省情况下,端口接入控制模式为Auto |
|
端口接入方式 |
设置所有端口的接入控制方式 l 端口自设置:保持当前设置状态,您可以通过“8.3.2 设置802.1x端口参数”针对端口进行设置 l 基于MAC地址认证:指802.1x认证系统基于MAC地址对接入用户进行认证,即该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,只有该用户无法使用网络,不会影响其他用户使用网络资源 l 基于端口号认证:指802.1x认证系统基于端口对接入用户进行认证,即只要该物理端口下的第一个用户认证成功后,其他接入用户无需认证就可使用网络资源,当第一个用户下线后,其他用户也无法使用网络资源 缺省情况下,端口接入控制方式为基于MAC地址认证 |
|
端口重认证 |
设置所有端口的重认证状态 l 端口自设置:保持当前设置状态,您可以通过“8.3.2 设置802.1x端口参数”针对端口进行设置 l 关闭:关闭所有端口的重认证功能 l 开启:启用所有端口的重认证功能 缺省情况下,端口重认证功能处于关闭状态 |
|
定时器 |
设置802.1x的各定时器参数,建议用户使用缺省值 说明:802.1x的各定时器的相关描述请参见“8.3.1 4. 802.1x的定时器” |
交换机针对目前大部分企业的实际应用,提供了非常实用的智能端口设置功能(比如:当您选择某端口用于指定业务时,系统会自动为该端口调整为最优设置),使您可以轻松配置交换机,满足企业的基本组网要求。
本章节主要包含以下内容:
l 设置智能端口
l 检查智能端口
页面向导:智能设置→企业专区→智能端口设置
本页面为您提供如下主要功能:
|
l 根据实际需求指定交换机某些端口为文件服务器端口和路由器端口 |
|
页面中关键参数的含义如下表所示。
|
参数 |
描述 |
|
文件服务器端口 |
设置某个端口用于连接文件服务器 |
|
文件服务器端口优先级 |
设置文件服务器端口优先级,包括优先、重要、标准、一般四种,分别对应端口优先级0~7等级中的7、5、3、1。比如:当您选择为“重要”时,则文件服务器的端口优先级将被设置为5 |
|
路由器端口 |
设置某个端口用于连接路由器 说明: 交换机将自动设置端口的优先级为5 |
文件服务器端口和路由器端口不可以共用一个端口。
页面向导:智能设置→企业专区→智能端口检查
本页面为您提供如下主要功能:
|
l 对智能端口的相关配置进行检查,通过告警信息把可能造成影响的潜在问题通知给您(当您设置了智能端口后,单击<检查>按钮即可) |
|
此典型配置案例中均在交换机缺省配置的基础上进行。如果您之前已经对设备做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。
本章节主要包含以下内容:
l Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
l 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
l 现要求不管是否使用相同的设备接入公司网络,同一VLAN内的主机能够互通。即Host A和Host C能够互通,Host B和Host D能够互通
图10-1 VLAN典型配置组网图
|
(1) 运行Web浏览器,在地址栏中输入:http://192.168.0.233(交换机缺省的IP地址),按回车后出现登录对话框 |
|
|
(2) 在登录对话框中输入缺省的管理员用户名:admin,密码:admin及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
|
(3) 单击“设备管理→VLAN设置→802.1Q VLAN”。单击<新建>按钮,输入VLAN ID为100,包含端口1。单击<确定>按钮生效 |
|
|
(4) 单击“设备管理→VLAN设置→Trunk端口”。单击<新建>按钮,在Trunk端口输入3,允许通过的VLAN为100、200,单击<确定>按钮生效 |
|
|
(5) 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
Device B上的配置与Device A上的配置完全一样,不再赘述。
完成上述配置后,Host A与HostC之间二层互通,Host B与Host D之间二层互通,Host A、Host C与Host B、Host D之间二层隔离。
NMS通过SNMP v2c对SNMP Agent(交换机)进行监控管理,当SNMP Agent在故障或者出错的时候能够主动向NMS报告情况。
图10-2 SNMP典型组网配置示意图
|
(1) 单击“设备管理→SNMP设置→SNMP代理设置”。开启SNMP Agent功能,设置SNMP基本信息,包括版本号、团体名等。同时,设置交换机所处的位置信息和维护人员的联系信息,以方便维护。单击<确定>按钮生效 |
|
|
(2) 单击“设备管理→SNMP设置→SNMP Trap设置” |
|
|
(3) 单击<新建>按钮,设置允许向NMS(192.168.0.100/24)发送Trap报文,使用的团体名为public,版本为v2c。单击<确定>按钮生效 |
|
|
(4) 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
在使用SNMP v2c版本的NMS上需要设置“只读团体名”和“读写团体名”。另外,还需要设置“超时”时间和“重试次数”。您可利用网管系统完成对交换机的查询和配置操作,详情请参考NMS的配套手册。
网管侧的配置必须和设备侧保持一致(比如:团体名),否则无法进行相应操作。
出于网络安全考虑,某酒店需要使用监控服务器对每间客房的上行流量进行监控,且酒店每间客房的客户均可以通过出口路由器上网,且互不干扰。
为满足需求,以下面的组网配置方案为例进行说明:
l H3C 交换机作为核心交换机,H3C S1626作为接入交换机;
l 将交换机上与路由器相连的端口镜像到与监控服务器相连的端口;
l 在S1626上运用Isolate-user-vlan功能;
l 为避免下行流量产生广播(因交换机的MAC地址表中不存在上行VLAN所对应的客户MAC地址),使用交换机的MAC地址同步功能。
图10-3 MAC地址同步典型配置组网示意图
|
(1) 单击“设备管理→VLAN设置→802.1Q VLAN”,进入VLAN设置页面 |
|
|
(2) 单击<新建>按钮,创建所有客房所对应的VLAN(此处为:VLAN 201、VLAN 202、VLAN301、VLAN 302)及VLAN 1000 |
|
|
(3) 单击“设备管理→VLAN设置→Hybrid端口”,进入Hybrid端口设置页面 |
|
|
(4) 单击<新建>按钮,将端口1设置为Hybrid端口,PVID为1000,且出端口时报文不带VLAN Tag |
|
|
(5) 单击“设备管理→VLAN设置→Trunk端口”,进入Trunk端口设置页面 |
|
|
(6) 单击<新建>按钮,将端口2-端口4设置为Trunk端口,且允许所有的VLAN通过 |
|
|
(7) 单击“端口管理→端口设置→端口镜像”,进入端口镜像设置页面 |
|
|
(8) 设置端口2为监控端口,设置端口1为被镜像端口(监控其入端口和出端口数据) |
|
|
(9) 单击“设备管理→VLAN设置→MAC地址同步”,进入MAC地址同步设置页面。将下行VLAN(VLAN 201、202、301、302)同步到上行VLAN(VLAN 1000) |
|
|
(10) 单击“保存配置→保存配置”,进入相应的设置页面,单击<保存…>按钮完成设置 |
|
此处仅介绍设置方法,具体的设置步骤请参见《H3C S1600系列以太网交换机 用户手册》。
l S1626_A:设置VLAN 1000为Isolate User VLAN,包含与交换机相连的上行端口和两个Secondary VLAN:VLAN 201(对应201房间)和VLAN 202(对应202房间),并设置Secondary VLAN的报文通过Isolate User VLAN的上行端口时带VLAN Tag;
l S1626_B:设置VLAN 1000为Isolate User VLAN,包含与交换机相连的上行端口和两个Secondary VLAN:VLAN 301(对应301房间)和VLAN 302(对应302房间),并设置Secondary VLAN的报文通过Isolate User VLAN的上行端口时带VLAN Tag。
如果命令行所涉及的特性与Web界面相同,则该特性的功能介绍将不再赘述。您可通过本手册中的Web界面设置获取相关的信息。
用户可以通过以下方式登录到设备上,使用命令行对设备进行配置和管理。
|
登录方式及介绍 |
各种登录方式缺省状况分析 |
|
将管理计算机的串口通过配置电缆与交换机的Console口相连 缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码) |
|
|
缺省情况下,用户不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先完成如下配置: l 开启设备的Telnet功能 l 配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址) l 配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式) l 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为1) |
交换机支持2个Telnet用户和1个Console口用户同时登录。
缺省情况下,用户可以直接通过Console口进行本地登录,用户登录到设备上后,即可以对设备进行各种配置。
将管理计算机的串口通过配置电缆与交换机的Console口相连。
|
(1) 打开管理计算机,在管理计算机Windows界面上选择[开始/(所有)程序/附件/通讯]菜单,单击“超级终端”。在“名称”文本框中输入新建连接的名称,如“switch”,单击<确定>按钮建立新的连接(以Windows XP的超级终端为例) |
|
|
(2) 在“连接时使用”下拉列表框中选择进行连接的串口,单击<确定>按钮(注意选择的串口应与配置电缆实际连接的串口相一致) |
|
|
(3) 在串口的属性对话框中设置相关参数(参数值如右图所示)。单击<确定>按钮 |
|
|
(4) 在[超级终端]窗口中选择[文件/属性/设置] |
|
|
(5) 选择终端仿真类型为自动检测,单击<确定>按钮,返回[超级终端]窗口 |
|
将交换机通电,终端上显示交换机的自检信息,自检结束后提示您键入回车。回车后会出现命令行提示符(如<H3C>),此时您就可以对交换机进行配置了,具体的配置命令请参考本书中以后各章节的内容。
通过Console口缺省配置登录设备不需要进行用户名和密码认证,这种情况可能会带来安全隐患,您可以在Console口用户界面下配置认证方式,对使用Console口登录的用户进行限制,以提高设备的安全性。配置Console口登录认证方式的详细操作请参见“11.4.2 设置AUX用户”。
通过终端Telnet到交换机需要具备如下条件:
l 交换机的Telnet功能开启(缺省情况下开启Telnet服务器,具体配置请参见“11.14.5 2. 2. 开启/关闭TELNET服务器”)。
l 在交换机上配置Telnet用户本地认证密码(缺省采用本地认证方式,具体配置请参见“5.3 设置Web参数及Telnet用户认证方式”或“11.4.3 设置VTY用户”)。
l 请确认终端能通过Telnet方式访问交换机(缺省情况下允许所有终端通过Telnet方式访问交换机,具体配置请参见“5.9 设置管理PC控制”或“11.14.6 设置管理PC控制”)。
l 在交换机上正确配置管理VLAN接口的IP地址(在VLAN接口视图下使用ip address命令);
l 将与终端相连的以太网端口加入该管理VLAN(在VLAN视图下使用port命令);
l 如果终端和交换机在同一局域网内,则其IP地址必须配置在同一网段;否则,终端和交换机必须路由可达。
(1) 将管理计算机的以太网口通过局域网与交换机的以太网端口连接。
(2) 在管理计算机上选择[开始/运行],并输入“telnet: 192.168.0.233(以交换机缺省的IP地址为例)”,单击<确定>按钮。
(3) 终端上显示“Password”字样,要求您输入登录密码。确认后出现命令行提示符(如<H3C>)。此时您就可以对交换机进行配置了,具体的配置命令请参考本书中以后各章节的内容。
l 当您通过Telnet方式配置交换机时,请不要删除管理VLAN接口,也不要修改管理VLAN接口的IP地址,否则会导致Telnet连接断开。
交换机向您提供一系列的配置命令以及命令行接口,以方便您配置和管理。命令行接口有如下特性:
l 配置设置用户分级保护密码,确保未授权用户无法侵入交换机;
l 您可以随时键入“?”以获得命令行在线帮助;
l 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障;
l 提供类似Doskey的功能,可以执行某条历史命令;
l 命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。
命令行提供如下视图:
l 用户视图;
l 系统视图;
l 用户界面视图;
l VLAN视图;
l VLAN接口视图;
l 用户组视图;
l 以太网端口视图;
l RADIUS方案视图。
各命令视图的功能特性、进入各视图的命令等细则如下图所示,其中端口编号仅供举例参考。
表11-1 命令视图功能特性列表
|
视图 |
功能 |
提示符 |
进入命令 |
退出命令 |
|
用户视图 |
查看交换机的运行状态和统计信息,进行简单的系统管理 |
<H3C> |
与交换机建立连接即进入 |
quit断开与交换机连接 |
|
系统视图 |
配置、查看系统参数 |
[H3C] |
在用户视图下键入system-view |
quit返回用户视图 return返回用户视图 |
|
以太网端口视图 |
配置以太网端口参数 |
[H3C-GigabitEthernet0/1] |
固定以太网端口视图:在系统视图下键入interface GigabitEthernet0/1 |
quit返回系统视图 return返回用户视图 |
|
VLAN视图 |
配置VLAN参数 |
[H3C-Vlan1] |
在系统视图或以太网端口视图下键入vlan 1 |
|
|
VLAN接口视图 |
配置VLAN对应的IP接口参数 |
[H3C-Vlan-interface1] |
在系统视图、以太网端口视图或VLAN视图下键入interface vlan-interface 1 |
|
|
用户组视图 |
配置基于端口的VLAN参数 |
[H3C-UserGroup1] |
在系统视图下键入user-group 1 |
|
|
用户界面视图 |
配置用户界面参数 |
[H3C-Aux0] |
在系统视图下键入user-interface aux 0 |
|
|
[H3C-vty0] |
在系统视图下键入user-interface vty 0 |
|||
|
RADIUS方案视图 |
配置RADIUS方案 |
[H3C-radius-system] |
在系统视图下键入 radius scheme system |
以下显示的内容均为示例,请以实际的显示情况为准。
通过命令行在线帮助,您可以查询命令信息以及快速输入命令。描述如下:
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
<H3C> ?
debugging Enable system debugging functions
display Display current system information
ping Ping function
quit Exit from current command view
reboot Reset switch
reset Reset operation
save Save current configuration
system-view Enter the system view
terminal Specify the terminal characteristics
undo Cancel current setting
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C> display ?
aaa AAA information
arp Display ARP information
current-configuration Current configuration
debugging Current setting of debugging switches
device Device
dhcp-statistics Display dhcp clinet information
dot1x 802.1x status information
igmp-snooping IGMP snooping
info-center Information center status and configuration
information
interface Interface status and configuration information
ip IP status and configuration information
isolate Display isolate port
lacp LACP protocol
link-aggregation Ports aggregation mode
local-user Local user(s) information
logbuffer Display logbuffer information
mac-address MAC address information
mirror display the mirroring port
priority-trust Priority trust mode
queue-scheduler Queue scheduling configuration information
radius Display RADIUS configuration information
saved-configuration The saved configuration information
---- More ----
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C> s?
save system-view
(4) 键入一命令,后接一字符串紧接<?>,列出命令以该字符串开头的所有关键字。
<H3C> display u?
user-group user-interface users
(5) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C> disp ¬按下<Tab>键
<H3C> display
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见下表。
表11-2 命令行常见错误信息表
|
英文错误信息 |
错误原因 |
|
Unrecognized command |
没有查找到命令 |
|
没有查找到关键字 |
|
|
参数类型错误 |
|
|
参数值越界 |
|
|
Incomplete command |
输入命令不完整 |
|
Too many parameters |
输入参数太多 |
|
Ambiguous command |
输入命令不明确 |
|
Wrong parameter |
输入参数错误 |
命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如下所示。
表11-3 访问历史命令
|
操作 |
按键 |
结果 |
|
访问上一条历史命令 |
上光标键<↑> |
如果还有更早的历史命令,则取出上一条历史命令 |
|
访问下一条历史命令 |
下光标键<↓> |
如果还有更晚的历史命令,则取出下一条历史命令 |
用光标键对历史命令进行访问,在Windows NT的超级终端下是有效的,但对于Windows 9X的超级终端,<↑>、<↓>光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替<↑>、<↓>光标键达到同样目的。
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为254个字符,如下所示。
表11-4 编辑功能表
|
按键 |
功能 |
|
普通按键 |
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标 |
|
退格键<Backspace> |
删除光标位置的前一个字符,光标前移 |
在一次显示信息超过一屏时,提供了暂停功能,这时您可以根据需要选择显示方式,如下所示。
表11-5 显示功能表
|
按键或命令 |
功能 |
|
暂停显示时,键入回车键<Enter> |
显示下一行信息 |
|
暂停显示时,键入空格键 |
显示下一屏信息 |
|
暂停显示时,键入其他键 |
退出显示 |
交换机支持两个级别的用户:
l 普通用户:仅可以在用户视图下对交换机执行简单的查询操作;
l 管理用户:可以对交换机执行监控、配置、管理等操作。
缺省情况下,进入系统视图时不需要输入密码。但您可以在交换机系统视图下配置分级保护密码,使用户进入系统视图时进行身份验证。当进行身份验证时,如果在三次以内输入了正确的密码,则切换到管理用户,否则保持原普通用户级别不变。
表11-6 设置用户分级保护密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置分级保护密码 |
super password password |
password:明文字符串,长度为1~12个字符,区分大小写 |
|
删除分级保护密码 |
undo super password |
- |
AUX用户界面用于通过Console口对交换机进行访问。交换机只支持一个AUX用户界面。
表11-7 进入用户界面视图
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
当您设置了AUX用户认证功能后,则通过Console口登录到交换机时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。
(1) 认证方式介绍
AUX用户支持的认证方式有none、password和scheme三种。
l none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。
l password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
l scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“11.13.2 设置AAA”。
改变AUX用户的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
(2) 设置AUX用户登录设备时无需认证(None)
l 设置前提
用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码)。如何在缺省情况下登录设备,具体请参见“11.2 缺省配置下通过Console口登录设备”。
l 设置步骤
表11-8 设置用户通过Console口登录设备时无需认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
设置登录用户的认证方式为不认证 |
authentication-mode none |
缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
设置AUX用户界面的公共属性 |
- |
详细配置请参见“3. 设置AUX用户界面公共属性” |
配置完成后,如果用户退出了设备并再次登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>)如图11-1所示。
图11-1 用户通过Console口登录设备时无需认证登录界面
(3) 设置AUX用户登录设备时采用密码认证(Password)
l 设置前提
用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性。
l 设置过程
表11-9 设置用户通过Console口登录设备时采用密码认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
设置本地验证的口令 |
set authentication password password |
password:认证密码,明文字符串,长度为1~16个字符,区分大小写。当您选择本地认证时,必须设置该密码后,认证方可生效 说明: undo命令用来删除本地认证密码 |
|
undo set authentication password |
||
|
设置AUX用户界面的公共属性 |
- |
详细配置请参见“3. 设置AUX用户界面公共属性” |
配置完成后,如果用户退出了设备并希望再次登录设备时,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图11-2所示。
图11-2 用户通过Console口登录设备时采用密码认证登录界面
(4) 设置AUX用户登录设备时采用AAA认证(Scheme)
l 设置前提
用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性。
l 设置过程
表11-10 设置用户通过Console口登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
设置登录用户的认证方式为AAA认证 |
authentication-mode scheme |
具体采用本地认证还是RADIUS认证视AAA方案配置而定 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
退出至系统视图 |
quit |
- |
|
设置设备采用的认证方案 |
aaa authentication terminal local |
缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS方式认证,则需进行如下配置: l 设备上的RADIUS方案配置请参见“11.13.2 设置AAA” l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
user-name:本地用户名,长度1~32个字符,区分大小写,且只能包含数字、大小写字母以及下划线 缺省情况下,无本地用户 |
|
设置本地用户认证口令 |
password password |
password:用户密码,为明文形式,长度为1~32个字符,不能包括空格,“;”、“’”、“””、“?”字符 |
|
设置本地用户的命令级别 |
level level |
level:用户等级,即配置管理权限。0为普通用户、1为管理用户 缺省情况下,用户级别为1 |
|
设置本地用户的服务类型 |
service-type terminal |
缺省情况下,无用户服务类型 |
|
设置本地用户的使用状态 |
state activ |
缺省情况下,用户的使用 状态为active,即允许用户登录 |
|
设置AUX用户界面的公共属性 |
- |
详细配置请参见“3. 设置AUX用户界面公共属性” |
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
l AAA方案为local认证时,用户级别通过level level命令设定。
l AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。
配置完成后,如果用户退出了设备并希望再次登录设备时,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图11-3所示。
图11-3 用户通过Console口登录设备时AAA认证登录界面
表11-11 设置AUX用户界面公共属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux number |
number:需要配置的用户界面的编号,可选值为0 |
|
设置用户超时断连功能 |
idle-timeout minutes [ seconds ] |
l minutes:配置连接用户超时中断时间的分钟数,取值范围为0~35791 l seconds:配置连接用户超时中断时间的秒数,取值范围为0~59 l idle-timeout 0表示禁用超时中断连接功能 缺省情况下,在所有的用户界面上启用了超时断连功能,时间为5分钟。也就是说,如果5分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 |
|
恢复用户超时断连为缺省值 |
undo idle-timeout |
- |
VTY用户界面用于通过Telnet方式对交换机进行设置。交换机支持两个VTY用户界面,VTY0和VTY1。
表11-12 进入VTY用户界面视图
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
当您设置了VTY用户认证功能后,则通过Telnet方式登录到交换机时需要进行用户认证,防止未授权用户的非法侵入,提高了网络的安全性。
(1) 认证方式介绍
Telnet用户支持的认证方式有none、password和scheme三种。
l none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。
l password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。
l scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员
(2) 设置VTY用户登录设备时无需认证(None)
l 设置前提
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。
l 设置过程
表11-13 设置VTY用户登录设备时无需认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY用户界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
缺省情况下,VTY用户界面的认证方式为password |
|
配置VTY用户界面的公共属性 |
- |
详细配置请参见“3. 设置VTY用户界面公共属性” |
配置完成后,当用户再次通过Telnet登录设备时:
l 用户将直接进入VTY用户界面,如图11-4所示。
l 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图11-4 用户通过Telnet登录设备时无需认证登录界面
(3) 设置VTY用户登录设备时采用密码认证(Password)
l 设置前提
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。
l 设置过程
表11-14 设置VTY用户登录设备时采用密码认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY用户界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
缺省情况下,VTY用户界面的认证方式为password |
|
设置本地验证的口令 |
set authentication password password |
password:认证密码,明文字符串,长度为1~16个字符,区分大小写。当您选择本地认证时,必须设置该密码后,认证方可生效 说明: undo命令用来删除本地认证密码 |
|
undo set authentication password |
||
|
配置VTY用户界面的公共属性 |
- |
详细配置请参见“3. 设置VTY用户界面公共属性” |
配置完成后,当用户再次通过Telnet登录设备时:
l 设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图11-5所示。
l 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图11-5 配置用户通过Telnet登录设备时采用密码认证登录界面
(4) 设置VTY用户登录设备时采用AAA认证(Scheme)
l 设置前提
用户已经成功登录到了设备上,并希望将设备作为Telnet Server从而登录设备时需要进行AAA认证
l 设置过程
表11-15 设置用户通过Telnet登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY用户界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置登录用户的认证方式为AAA认证 |
authentication-mode scheme |
具体采用本地认证还是RADIUS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
|
退出至系统视图 |
quit |
- |
|
设置设备采用的认证方案 |
aaa authentication telnet local |
缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS方式认证,则需进行如下配置: l 设备上的RADIUS方案配置请参见“11.13.2 设置AAA” l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
user-name:本地用户名,长度1~32个字符,区分大小写,且只能包含数字、大小写字母以及下划线 缺省情况下,无本地用户 |
|
设置本地用户认证口令 |
password password |
password:用户密码,为明文形式,长度为1~32个字符,不能包括空格,“;”、“’”、“””、“?”字符 |
|
设置本地用户的命令级别 |
level level |
level:用户等级,即配置管理权限。0为普通用户、1为管理用户 缺省情况下,用户级别为1 |
|
设置本地用户的服务类型 |
service-type telnet |
缺省情况下,无用户服务类型 |
|
设置本地用户的使用状态 |
state activ |
缺省情况下,用户的使用状态为active,即允许用户登录 |
|
.设置AUX用户界面的公共属性 |
- |
详细配置请参见“3. 设置VTY用户界面公共属性” |
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
l AAA方案为local认证时,用户级别通过level level命令设定。
l AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。
配置完成后,当用户再次通过Telnet登录设备时:
l 设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图11-6所示。
l 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图11-6 用户通过Telnet登录设备时AAA认证登录界面
表11-16 设置VTY用户界面公共属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY界面视图 |
user-interface vty number |
number:需要配置的用户界面的编号,可选值为0、1 |
|
设置用户超时退出功能 |
idle-timeout minutes [ seconds ] |
l minutes:设置连接用户超时中断时间的可选取的分钟的取值,取值范围为0~35791 l seconds:设置连接用户超时中断时间的可选取的秒的取值,取值范围为0~59 l idle-timeout 0表示禁用超时中断连接功能 缺省情况下,VTY界面上启用了超时退出功能,时间为5分钟。也就是说,如果5分钟内某VTY界面没有用户进行操作,则该Telnet用户将被自动断开 |
|
恢复用户超时退出为缺省值 |
undo idle-timeout |
- |
表11-17 显示用户界面
|
操作 |
命令 |
说明 |
|
显示用户界面的使用信息 |
display users |
显示命令可在任意视图下执行 |
|
显示用户界面状态和配置信息 |
display user-interface |
例:显示用户界面的使用信息。
<H3C>display users
UI Delay Type IPaddress Username Userlevel
F 0 AUX 0 00:00:00 1
3 WEB 0 00:00:35 WEB 192.168.0.100 admin 1
表11-18 display users显示信息描述表
|
字段 |
描述 |
|
F |
表示当前正在使用的用户界面,且工作在异步方式 |
|
UI |
第一列是用户界面的类型,可显示AUX、WEB、VTY 第二列是用户界面的相对编号 |
|
Delay |
表示用户自最近一次输入到现在的时间间隔,形式为“时:分:秒” |
|
Type |
用户类型 |
|
IPaddress |
显示起始连接位置,即接入的主机IP地址 |
|
Username |
登录交换机的用户名 |
|
Userlevel |
用户等级,0为普通用户、1为管理用户 |
交换机任何时刻只能有一个VLAN对应的VLAN接口可以设置IP地址,该VLAN即为管理VLAN。如果您想对交换机进行远程管理,必须设置交换机管理VLAN接口的IP地址。
在创建新的管理VLAN之前,该VLAN必须已经存在,且需要删除当前的管理VLAN接口。
表11-19 创建新的管理VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建新的管理VLAN |
management-vlan vlan-id |
vlan-id:VLAN的ID,取值范围为1~4094 缺省情况下,交换机的管理VLAN为VLAN 1 |
|
恢复管理VLAN为缺省配置 |
undo management-vlan |
- |
在配置本任务之前,您需要先创建管理VLAN,相关操作可参见“1. 创建新的管理VLAN”。
表11-20 创建/删除管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建并进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
删除管理VLAN接口 |
undo interface vlan-interface vlan-id |
- |
表11-21 设置VLAN接口描述
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口描述 |
description text |
text:描述管理VLAN接口的字符串,可以包含特殊字符,不包括空格,长度为1~80个字符 缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-Interface1 Interface” |
|
恢复管理VLAN接口缺省描述 |
undo description |
- |
表11-22 指定/删除管理VLAN接口的静态IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
指定管理VLAN接口的静态IP地址 |
ip address ip-address { ip-mask | ip-mask-length } |
l ip-address:管理VLAN接口的IP地址 l ip-mask:管理VLAN接口静态IP地址的掩码 l ip-mask-length:子网掩码的长度 缺省情况下,管理VLAN接口IP地址:192.168.0.233,子网掩码:255.255.255.0 |
|
删除管理VLAN接口的静态IP地址 |
undo ip address |
- |
例:为管理VLAN 20指定IP地址和掩码。
# 删除原来的管理VLAN接口。
<H3C> system-view
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
# 指定管理VLAN 20接口的IP地址和掩码。
[H3C-Vlan-interface20] ip address 192.168.0.55 24
表11-23 动态分配/取消动态分配管理VLAN接口的IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
动态分配管理VLAN接口的IP地址 |
ip address dhcp-alloc |
通过DHCP方式获取IP地址的同时可以动态获取网关,无需重新配置接口网关 |
|
恢复管理VLAN接口IP地址为动态分配前的静态IP地址 |
undo ip address dhcp-alloc |
- |
表11-24 指定/删除管理VLAN接口网关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
指定管理VLAN接口网关 |
ip gateway ip-address |
ip-address:网关的IP地址 缺省情况下,无网关IP地址 |
|
删除管理VLAN接口网关 |
undo ip gateway |
- |
例:为管理VLAN 20指定静态IP地址、掩码和网关。
# 删除原来的管理VLAN接口。
<H3C> system-view
[H3C] undo interface vlan-interface 1
# 创建VLAN 20,指定其为管理VLAN,并创建和进入管理VLAN 20的接口。
[H3C] vlan 20
[H3C-Vlan20] quit
[H3C] management-vlan 20
[H3C] interface vlan-interface 20
# 为管理VLAN 20接口指定IP地址和掩码。
[H3C-Vlan-interface20] ip address 192.168.0.55 255.255.255.0
# 为管理VLAN 20接口指定网关。
[H3C-Vlan-interface20] ip gateway 192.168.0.1
l 管理VLAN接口的启用/禁用状态对属于该管理VLAN的以太网端口的启用/禁用状态没有影响。
l 缺省情况下,当管理VLAN接口对应VLAN下的所有以太网端口状态为Down时,则管理VLAN接口为Down(关闭)状态;当管理VLAN接口对应VLAN下至少有一个以太网端口处于Up状态时,管理VLAN接口为Up(开启)状态。
表11-25 开启/关闭管理VLAN接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
关闭管理VLAN接口 |
shutdown |
- |
|
开启管理VLAN接口 |
undo shutdown |
- |
在完成上述配置后,在任意视图下执行display命令可以显示配置后系统IP的运行情况,通过查看显示信息验证配置的效果。
表11-26 显示系统IP信息
|
操作 |
命令 |
说明 |
|
查看系统IP信息 |
display ip |
显示命令可在任意视图下执行 |
|
查看管理VLAN接口的相关信息 |
display interface vlan-interface [ vlan-id ] |
显示命令可在任意视图下执行 vlan-id:管理VLAN的ID,其取值范围为1~4094 |
表11-27 开启/关闭IP调试开关
|
操作 |
命令 |
说明 |
|
开启IP调试开关 |
debugging ip packet |
此命令需在用户视图下执行 缺省情况下,系统IP调试开关处于关闭状态 |
|
关闭IP调试开关 |
undo debugging ip packet |
- |
相关配置可参考命令display debugging、terminal debugging。
例:开启IP调试开关。
<H3C> debugging ip packet
<H3C> terminal debugging
Jan 1 02:18:59 0000 [IP]/7/Receiving:interface=Vlan-interface1, version=4, tos=0, pktlen=48, pktid=10378, offset=16384, ttl=128, protocol=6, checksum=22241 , s=222.222.222.193, d=222.222.222.221
表11-28 debugging ip packet命令显示域说明表
|
字段 |
描述 |
|
receiving/Sending |
正在接收/发送一个IP报文 |
|
interface |
VLAN虚接口 |
|
version |
协议版本号 |
|
tos |
服务类型 |
|
pktlen |
报文总长度 |
|
pktid |
报文标识 |
|
offset |
片偏移 |
|
ttl |
生存时间 |
|
protocol |
协议类型 |
|
checksum |
首部校验和 |
|
s |
源IP地址 |
|
d |
目的IP地址 |
表11-29 通过DHCP方式获取IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入管理VLAN接口视图 |
interface vlan-interface vlan-id |
vlan-id:管理VLAN的ID,取值范围为1~4094 |
|
设置管理VLAN接口通过DHCP方式获取IP地址 |
ip address dhcp-alloc |
缺省情况下,管理VLAN接口不通过DHCP方式获取IP地址 |
|
取消管理VLAN接口通过DHCP方式获取IP地址 |
undo ip address dhcp-alloc |
取消了以DHCP方式获取IP地址后,如果原先已经配置了静态IP地址并进行了保存,则该静态IP地址立即生效 |
表11-30 显示DHCP Client获取的地址信息
|
操作 |
命令 |
说明 |
|
显示DHCP Client获取的地址信息 |
display dhcp-statistics |
显示命令可在任意视图下执行 |
例:设置并显示交换机通过DHCP方式获取IP地址。
# 进入管理VLAN接口。
<H3C> system-view
[H3C] interface vlan-interface 1
# 进入管理VLAN接口,并设置通过DHCP方式获取IP地址。
[H3C-Vlan-interface1] ip address dhcp-alloc
# 显示IP地址信息。
[H3C-Vlan-interface1] display dhcp-statistics
DHCP client statistic infomation:
Vlan-interface1
DHCP client: enabled
Current machine state: BOUND
Alloced IP: 192.168.1.100 255.255.255.0
Gateway IP: 192.168.1.1
Alloced lease: 86400 seconds,
T1 left: 43188 seconds,
T2 left: 75588 seconds,
Server IP: 192.168.1.1
从以上信息可以看到获得的IP地址是192.168.1.100,子网掩码是255.255.255.0,网关地址是192.168.1.1。
表11-31 开启/关闭DHCP Client调试开关
|
操作 |
命令 |
说明 |
|
开启DHCP Client的调试开关 |
debugging dhcp-alloc |
此命令需在用户视图下执行 缺省情况下,DHCP Client 的调试开关处于关闭状态 |
|
关闭DHCP Client的调试开关 |
undo debugging dhcp-alloc |
- |
相关配置可参考命令display debugging、terminal debugging。
如果您想对以太网端口进行配置,首先要进入以太网端口视图。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number interface description text |
interface-number:端口号,采用“槽位编号/端口编号”的格式。交换机的槽位编号只能取0,交换机端口编号取值范围为1~26 当您设置了以太网端口描述后,您便可通过interface description text命令直接使用该描述进入相应的端口视图 |
表11-33 设置以太网端口描述
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置以太网端口描述 |
description text |
text:描述以太网端口的字符串,不包括空格 缺省情况下,以太网端口描述为空,长度为1~80个字符 |
|
删除以太网端口描述 |
undo description |
- |
表11-34 开启/关闭以太网端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
关闭以太网端口 |
shutdown |
缺省情况下,端口处于开启状态 |
|
开启以太网端口 |
undo shutdown |
- |
当端口工作在非自协商模式时,如果不能与对端建立正常连接,请尝试修改其端口网线类型(MDI/MDIX),如何设置网线类型请参见“10. 设置以太网端口的MDI模式”。
表11-35 设置以太网端口速率和双工状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置以太网端口的速率 |
speed { 10 | 100 | 1000 | auto } |
l 10:当前端口速率为10Mbps l 100:当前端口速率为100Mbps l 1000:当前端口速率为1000Mbps l auto:当前端口速率为自协商方式 缺省情况下,端口的速率为自协商方式 |
|
设置以太网端口的双工状态 |
duplex { auto | full | half } |
l auto:当前端口双工状态为自协商方式 l full:当前端口双工状态为全双工状态 l half:当前端口双工状态为半双工状态 缺省情况下,端口的双工状态为自协商方式 |
表11-36 开启/关闭以太网端口的流量控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
开启以太网端口的流量控制 |
flow-control |
缺省情况下,以太网端口的流量控制处于关闭状态 |
|
关闭以太网端口流量控制 |
undo flow-control |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置以太网端口的广播风暴抑制比例 |
broadcast-suppression pct |
pct:广播风暴的抑制百分比。可取的值为:5、10、20、100 缺省情况下,允许通过的广播流量为100%,即对广播流量不进行抑制 |
|
恢复以太网端口的广播风暴抑制比例为缺省值 |
undo broadcast-suppression |
- |
自环测试是用于检验以太网端口是否能正常工作。测试时端口将不能正确转发报文,在执行一定时间后,环回测试会自动结束。以太网端口环回测试功能包括内部环回测试和外部环回测试。
l 内部环回测试模式:该测试模式在交换芯片内部建立自环,端口设置为该模式后,会产生一定数量的测试报文,这些报文通过交换芯片内部建立的自环又返回到该端口,如图11-7所示(Port 1上配置内部环回测试功能)。该功能用以定位芯片内与该端口相关的功能是否出现故障。
l 外部环回测试模式:该测试模式需要在以太网端口上接一个自环头,端口设置为该模式后,会产生一定数量的测试报文,这些报文通过自环头又环回到该端口,并被该端口接收,如图11-8所示(在接有自环头的Port 1上配置了外部环回测试功能)。该功能用以定位该端口的硬件功能是否出现故障。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置以太网端口进行内环测试 |
loopback internal |
内环测试是在交换芯片内部建立自环,可定位芯片内与该端口相关的功能是否出现故障 |
|
设置以太网端口进行外环测试 |
loopback external |
外环检测是检查端口的硬件功能是否出现故障 l 端口必须处于UP的状态 l 需要插接自环头 |
l 在外环测试结束后,您务必将自环头拔下,以免造成网络故障。
l 使用loopback命令进行自环测试时,端口将禁止转发报文。经过一定时间后,自环测试将自动结束并上报自环测试结果。
l 如果您在端口上执行了shutdown命令后,则此端口不能进行自环测试。
l 在自环测试期间,请勿在端口上进行任何操作。
l 在外环测试前,您务必将端口的双工模式设置为全双工或者自协商。因为,半双工模式会导致测试出错。
表11-39 设置以太网端口链路类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口为Access端口 |
port link-type access |
缺省情况下,端口链路类型为Access |
|
设置端口为Hybrid端口 |
port link-type hybrid |
|
|
设置端口为Trunk端口 |
port link-type trunk |
|
|
恢复端口的链路类型为缺省值 |
undo port link-type |
- |
l 设置基于Access端口的VLAN
设置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在端口视图下进行设置。
表11-40 设置基于Access端口的VLAN(在VLAN视图下)
|
配置 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
如果指定的VLAN不存在,则该命令先完成VLAN的创建,然后再进入该VLAN的视图 |
|
向当前VLAN中添加一个或一组Access端口 |
port port-list |
port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ GigabitEthernetinterface-number [ to GigabitEthernet interface-number ] }&<1-5>。&<1-5>表示前面的参数最多可以输入5次 缺省情况下,系统将所有端口都加入到VLAN1 说明: undo命令用来删除当前VLAN中的Access端口 |
|
undo port port-list |
表11-41 设置基于Access端口的VLAN(在端口视图下)
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口为Access端口 |
port link-type access |
缺省情况下,端口链路类型为Access |
|
将Access端口加入到指定VLAN |
port access vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为2~4094,且必须已经存在 缺省情况下,Access端口属于VLAN 1 说明: undo命令用来将Access端口从指定VLAN删除 |
|
undo port access vlan |
l 设置基于Trunk端口的VLAN
表11-42 设置Trunk端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口为Trunk端口 |
port link-type trunk |
缺省情况下,端口链路类型为Access |
|
允许指定的VLAN通过当前Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
l vlan-id-list:vlan-id-list = vlan-id1 [ to vlan-id2 ],为此Trunk端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在 l all:将Trunk端口加入到所有VLAN中 Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合 缺省情况下,Trunk端口只允许VLAN1的报文通过 说明: undo命令用来删除指定的VLAN通过当前Trunk端口 |
|
undo port trunk permit vlan { vlan-id-list | all } |
||
|
设置Trunk端口的缺省VLAN ID |
port trunk pvid vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1 说明: undo命令用来恢复Trunk端口的缺省VLAN ID为缺省值 |
|
undo port trunk pvid |
l 设置基于Hybrid端口的VLAN
表11-43 设置Hybrid端口的缺省VLAN ID
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口为Hybrid端口 |
port link-type hybrid |
缺省情况下,端口链路类型为Access |
|
允许指定的VLAN通过当前Hybrid端口 |
port hybrid vlan vlan-id-list { tagged | untagged } |
l vlan-id-list:vlan-id-list = vlan-id1 [ to vlan-id2 ],为此Hybrid端口加入的VLAN的范围,参数值可以重复输入多次。vlan-id取值范围为1~4094,且必须已经存在 l tagged:端口在转发指定的VLAN报文时将保留VLAN Tag l untagged:端口在转发指定的VLAN报文时将不保留VLAN Tag Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的集合 缺省情况下,Hybrid端口只允许VLAN1的报文以untagged方式通过(即VLAN1的报文从该端口发送出去后不携带VLAN Tag) 说明: undo命令用来删除指定的VLAN通过当前Hybrid端口 |
|
undo port hybrid vlan vlan-id-list |
||
|
设置Hybrid端口的缺省VLAN ID |
port hybrid pvid vlan vlan-id |
vlan-id:IEEE802.1q中定义的VLAN ID,取值范围为1~4094,缺省值为1 说明: undo命令用来恢复Hybrid端口的缺省VLAN ID为缺省值 |
|
undo port hybrid pvid |
用于连接以太网设备的双绞线有两种:直通线缆(straight-through cable)和交叉线缆(crossover cable)。为了使二层以太网端口支持使用这两种线缆,设备实现了三种MDI(Medium Dependent Interface,介质相关端口)模式:across、normal和auto。
物理二层以太网端口由8个引脚组成,缺省情况下,每个引脚都有专门的作用,比如,使用引脚1和2发送信号,引脚3和6接收信号。通过设置MDI模式,可以改变引脚在通信中的角色。使用normal模式时,不改变引脚的角色,即使用引脚1和2发送信号,使用引脚3和6接收信号;如果使用across模式,会改变引脚的角色,将使用引脚1和2接收信号,而使用引脚3和6发送信号。只有将设备的发送引脚连接到对端的接收引脚后才能正常通信,所以MDI模式需要和两种线缆配合使用。
l 通常情况下,建议用户使用auto模式,只有当设备不能获取网线类型参数时,才需要将模式手工指定为across或normal。
l 当使用直通线缆时,两端设备的MDI模式配置不能相同。
l 当使用交叉线缆时,两端设备的MDI模式配置必须相同或者至少有一端设置为auto模式。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置以太网端口的网线类型 |
mdi { across | auto | normal } |
以太网端口的MDI模式为auto,即通过协商来决定物理引脚的角色(发送报文或接收报文) |
|
恢复以太网端口网线类型的缺省值 |
undo mdi |
- |
表11-45 开启/关闭jumbo帧
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
开启jumbo帧 |
jumboframe enable |
开启jumbo帧后,最大帧长为9216字节 |
|
关闭jumbo帧 |
undo jumboframe |
缺省情况下,关闭jumbo帧,最大帧长为1518字节 |
表11-46 设置以太网端口隔离
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
将以太网端口加入到隔离组 |
在系统视图下操作 |
port isolate port-list |
两者必选其一 port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ GigabitEthernetinterface-number [ to GigabitEthernet interface-number ] }&<1-5>。&<1-5>表示前面的参数最多可以输入5次 缺省情况下,端口未加入到隔离组 |
|
|
在以太网端口视图下操作 |
interface GigabitEthernet interface-number |
|
||
|
port isolate |
|
|||
|
将以太网端口从隔离组中删除 |
在系统视图下操作 |
undo port isolate port-list |
- |
|
|
在以太网端口视图下操作 |
interface GigabitEthernet interface-number |
|
||
|
undo port isolate |
|
|||
|
显示隔离组中的端口信息 |
display isolate port |
显示命令可在任意视图下执行 |
|
|
例:端口GigabitEthernet0/1、GigabitEthernet0/2、GigabitEthernet0/3和GigabitEthernet0/4属于同一VLAN,GigabitEthernet0/1~GigabitEthernet0/3之间相互隔离,但是各自能和GigabitEthernet0/4通信。
# 将端口GigabitEthernet0/1、GigabitEthernet0/2、GigabitEthernet0/3加入隔离组。
<H3C> system-view
[H3C] interface gigabitethernet 0/1
[H3C-GigabitEthernet0/1] port-isolate enable
[H3C-GigabitEthernet0/1] quit
[H3C] interface gigabitethernet 0/2
[H3C-GigabitEthernet0/2] port-isolate enable
[H3C-GigabitEthernet0/2] quit
[H3C] interface gigabitethernet 0/3
[H3C-GigabitEthernet0/3] port-isolate enable
# 显示隔离组中的信息。
<H3C> display port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3
表11-47 设置手工聚合
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建手工聚合组 |
link-aggregation group agg-id mode manual |
l agg-id:汇聚组ID,取值范围为1~8 l manual:手工聚合 缺省情况下,采用手工聚合。 说明: undo 命令用来删除聚合组 |
|
undo link-aggregation group |
||
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
将以太网端口加入到聚合组 |
port link-aggregation group agg-id |
agg-id:已创建的汇聚组ID 说明: undo命令用来将以太网端口从聚合组中删除 |
|
undo port link-aggregation group |
表11-48 设置静态LACP聚合
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建LACP聚合组 |
link-aggregation group agg-id mode static |
l agg-id:汇聚组ID,取值范围为1~8 l static:静态LACP聚合 缺省情况下,采用手工聚合。当采用静态LACP聚合时,您可以通过“4. 设置LACP特性”来设置LACP的相关参数 说明: undo命令用来删除聚合组 |
|
undo link-aggregation group agg-id |
||
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
将以太网端口加入到聚合组 |
port link-aggregation group agg-id |
agg-id:已创建的汇聚组ID 说明: undo命令用来将以太网端口从聚合组中删除 |
|
undo port link-aggregation group |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置以太网端口聚合模式 |
link-aggregation mode { egress | ingress | saipdaip | both } |
l egress:聚合组中各成员端口根据目的MAC地址进行负荷分担 l ingress:聚合组中各成员端口根据源MAC地址进行负荷分担 l both:聚合组中各成员端口根据源MAC地址、目的MAC地址进行负荷分担 l saipdaip:聚合组中各成员端口根据源IP地址、目的IP地址进行负荷分担 缺省情况下,以太网端口聚合模式为both模式 |
|
恢复以太网端口聚合模式为缺省设置 |
undo link-aggregation mode |
- |
l 设置LACP系统优先级
表11-50 设置LACP系统优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置LACP系统优先级 |
lacp system-priority system-priority |
system-priority:LACP系统优先级,取值范围为0~65535 缺省情况下,LACP系统优先级为32768 |
|
恢复LACP系统优先级为缺省值 |
undo lacp system-priority |
- |
l 设置LACP端口优先级
表11-51 设置LACP端口优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
设置LACP端口优先级 |
lacp port-priority port-priority |
port-priority:LACP端口优先级,取值范围为0~65535 缺省情况下,LACP端口优先级为32768 |
|
恢复LACP端口优先级为缺省值 |
undo lacp port-priority |
- |
|
操作 |
命令 |
说明 |
|
显示以太网端口汇聚详细信息 |
display link-aggregation GigabitEthernet interface-number |
显示命令可在任意视图下执行 |
|
显示所有汇聚组的摘要信息 |
display link-aggregation summary |
|
|
显示指定汇聚组的详细信息 |
display link-aggregation verbose [ agg-id ] |
|
|
显示本端系统的设备ID |
display lacp system-id |
例:显示汇聚端口组的相关信息。
<H3C> display link-aggregation summary
Aggregation Group Type:D -- Dynamic, S -- Static , M -- Manual
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Actor ID: 0x8000, 000f-e20f-5104
Aggregation Mode: both
AL AL Partner ID Select Standby Share Master
ID Type Ports Ports Type Port
--------------------------------------------------------------------------
1 M none 2 0 Shar GigabitEthernet0/12
表11-53 display link-aggregation summary命令显示信息描述表
|
字段 |
描述 |
|
Aggregation Group Type |
汇聚组类型:S表示静态LACP聚合、M表示手工聚合 |
|
Loadsharing Type |
负载分担类型:Shar表示负载分担类型,NonS表示非负载分担类型 |
|
Actor ID |
本端设备ID |
|
AL ID |
汇聚组ID |
|
AL Type |
汇聚组类型,分为静态汇聚和手工汇聚 |
|
Partner ID |
对端设备ID,包括对端设备的系统优先级和系统MAC地址 |
|
Select Ports |
Selected端口数 |
|
Standby Ports |
Standby端口数 |
|
Share Type |
负载分担类型 |
|
Master Port |
汇聚组中端口号最小的端口 |
当设置了新的监控端口后,原来的监控端口将被自动取消,被镜像端口不变。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置监控端口 |
monitor-port GigabitEthernet interface-number |
- |
|
删除监控端口 |
undo monitor-port |
- |
表11-55 设置被镜像端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置被镜像端口 |
mirroring-port GigabitEthernet interface-number [ to GigabitEthernet interface-number ] { inbound | outbound | both } |
l inbound:仅对端口接收的报文进行监控 l outbound:仅对端口发送的报文进行监控 l both:同时对端口接收和发送的报文进行监控 |
|
删除以太网被镜像端口 |
undo mirroring-port GigabitEthernet interface-number [ to GigabitEthernet interface-number ] { inbound | outbound | both } |
l inbound:只取消对端口接收报文的监控 l outbound:只取消对端口发送报文的监控 l both:同时取消对端口接收和发送报文的监控 |
|
操作 |
命令 |
说明 |
|
display mirror |
显示命令可在任意视图下可执行 |
表11-57 设置以太网端口限速
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置以太网端口限速 |
line-rate { inbound | outbound } target-rate |
l inbound:对端口接收报文进行速率限制 l outbound:对端口发送报文进行速率限制 l target-rate:对端口发送或接收报文限制的总速率,端口级别取值范围为1~240。其中取值范围为1~28时,端口速率为:target-rate×64,即64Kbps、128Kbps、192Kbps……1.792Mbps;取值范围为29~127时,端口速率为:(target-rate-27)×1024,即2Mbps、3Mbps、4Mbps……100Mbps;取值范围为128~240时,(target-rate-115)×8×1024,即104Mbps、112Mbps、120Mbps……1000Mbps。 |
|
取消端口限速的设置 |
undo line-rate { inbound | outbound } |
l inbound:只取消对端口接收报文进行速率限制 l outbound:只取消对端口发送报文进行速率限制 |
表11-58 诊断以太网端口电缆状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
诊断端口的电缆状态 |
virtual-cable-test |
- |
例:对端口GigabitEthernet0/4进行电缆诊断。
<H3C> system-view
[H3C] interface GigabitEthernet0/4
[H3C-GigabitEthernet0/4] virtual-cable-test
Cable pair 1 Status: OPEN Cable lenth: 1 metres +/- 0
Cable pair 2 Status: OPEN Cable lenth: 1 metres +/- 0
表11-59 电缆诊断说明
|
显示 |
说明 |
|
Cable pair 1 Status: |
FINE:表示已连接 OPEN:表示端口未连接 SHORT:表示短路 UNKNOWN:表示未知 NORMAL:表示正常 |
|
Cable lenth: |
端口连接电缆的长度(可能存在一定误差,结果仅供参考) |
|
操作 |
命令 |
说明 |
|
|||
|
进入系统视图 |
system-view |
- |
|
|||
|
开启端口MAC地址过滤功能 |
在系统视图下操作 |
mac port-binding port-list |
两者必选其一 port-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list={ GigabitEthernetinterface-number [ to GigabitEthernet interface-number ] }。 缺省情况下,关闭端口MAC地址过滤功能 |
|
||
|
在以太网端口视图下操作 |
interface GigabitEthernet interface-number |
|
||||
|
mac port-binding |
|
|||||
|
关闭端口MAC地址过滤功能 |
在系统视图下操作 |
undo mac port-binding port-list |
- |
|
||
|
在以太网端口视图下操作 |
interface GigabitEthernet interface-number |
|
||||
|
undo mac port-binding |
||||||
表11-60 设置端口和MAC地址绑定
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置端口和MAC地址绑定 |
mac-address port-binding mac-address interface GigabitEthernet interface-number vlan vlan-id |
l mac-address:需要和端口进行绑定的MAC地址 l vlan-id:该端口所属的VLAN |
|
取消端口和MAC地址绑定 |
undo mac-address port-binding mac-address interface GigabitEthernet interface-number vlan vlan-id |
- |
表11-61 显示端口和MAC地址绑定状态
|
操作 |
命令 |
说明 |
|
显示端口和MAC地址绑定状态 |
display mac-address port-binding |
- |
表11-62 显示与维护以太网端口
|
操作 |
命令 |
说明 |
|
显示端口的状态信息 |
display interface GigabitEthernet interface-number |
显示命令可在任意视图下执行 |
|
清除端口的统计信息 |
reset counters interface [ GigabitEthernet interface-number ] |
此命令需在用户视图下执行 |
例:显示端口GigabitEthernet 0/1的状态信息。
<H3C>display interface GigabitEthernet 0/1
GigabitEthernet0/1 current state: DOWN
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0210-1847-0410
Media type is twisted pair
Port hardware type is 1000_BASE_T
Unknown-speed mode, half-duplex mode
Link speed type is autonegotiation, link duplex type is force link
Inbound line-rate is disabled
Outbound line-rate is disabled
Flow control is disabled
The Maximum Frame Length is 1518
Forbid jumbo frame to pass
Broadcast MAX-ratio: 100%
Priority: 0
PVID: 3
Mdi type: auto
Port link-type: access
Tagged VLAN ID: none
Untagged VLAN ID: 3
Input(total): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s), 0 pause(s)
Input(error): 0 input error(s), 0 runt(s), 0 giant(s), 0 CRC
0 frame, 0 abort(s), 0 ignored, 0 Jabber(s)
Output(total): 0 packet(s), 0 byte(s)
0 broadcast(s), 0 multicast(s), 0 pause(s)
Output(error): 0 output error(s), 0 abort(s), 0 deferred
0 collision(s), 0 late collision(s)
表11-63 display interface GigabitEthernet命令显示信息描述表
|
字段 |
描述 |
|
GigabitEthernet0/7 current state |
端口状态 |
|
IP Sending Frames' Format is |
帧格式 |
|
Hardware address is |
交换机MAC地址 |
|
The Maximum Transmit Unit is |
最大传输单元 |
|
Media type is |
端口连接线类型 |
|
Port hardware type is |
端口硬件类型 |
|
Link speed type is |
端口速率 |
|
link duplex type is |
端口双工模式 |
|
Inbound line-rate is |
入端口限速 |
|
Outbound line-rate is |
出端口限速 |
|
Flow control is |
流控 |
|
The Maximum Frame Length is |
最大帧长 |
|
Description |
端口描述 |
|
Broadcast MAX-ratio: |
广播风暴抑制率 |
|
Priority: |
端口优先级 |
|
PVID: |
端口VLAN ID |
|
Port link-type: |
端口类型,有access端口、hybrid端口、trunk端口三种 |
|
Tagged VLAN ID: |
该端口允许通过的VLAN ID,且在报文中带该VLAN ID的tag。 |
|
Untagged VLAN ID: |
该端口允许通过的VLAN ID,且在报文中不带该VLAN ID的tag |
|
Input(total): |
统计端口接收的正确报文总数和字节总数 |
|
Input(error): |
统计端口接收的错误报文总数和字节总数 |
|
Output(total): |
统计端口发送的正确报文总数和字节总数 |
|
Output(error): |
统计端口发送的错误报文总数和字节总数 |
l 当VLAN模式为802.1q VLAN且处于缺省状态时,在系统视图下新增用户组操作,系统会自动切换到基于端口的VLAN状态,相关操作请参见“11.8.2 1. 创建/删除用户组”。
l 802.1q VLAN的缺省状态为只存在VLAN 1,且所有端口为Access端口。
创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN视图。
缺省VLAN和管理VLAN不能被删除。
表11-64 创建/删除VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
vlan-id:VLAN的ID,取值范围为1~4094 缺省情况下,只存在VLAN 1,且VLAN 1中包含所有的端口 |
|
删除已创建的VLAN |
undo vlan { vlan-id [ to vlan-id ] | all } |
all:删除缺省VLAN和管理VLAN外的所有VLAN |
表11-65 设置VLAN描述
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
设置VLAN描述 |
description text |
text : 描述VLAN或VLAN接口的字符串,可以包含特殊字符,不包括空格,区分大小写 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001” |
|
恢复VLAN描述为缺省值 |
undo description |
- |
表11-66 将Access端口加入指定VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
将Access端口加入指定VLAN |
port GigabitEthernet interface-number [ to GigabitEthernet interface-number ] |
缺省情况下,所有端口都属于VLAN 1 |
|
将Access端口从VLAN中删除 |
undo port GigabitEthernet interface-number [ to GigabitEthernet interface-number ] |
- |
Trunk和Hybrid端口只能在以太网端口视图下将其加入VLAN或从VLAN中删除,而不能通过本命令实现,相关操作请参见“11.7.1 9. 设置基于端口的VLAN”。
|
操作 |
命令 |
说明 |
|
显示VLAN设置 |
display vlan [ vlan-id1 | [ to vlan-id2 ] | all ] |
l vlan-id1 to vlan-id2:指定要显示的VLAN ID范围 l all:显示所有VLAN的详细信息 如果指定了参数或关键字all,则显示指定VLAN或所有VLAN的详细信息;如果只执行display vlan,将显示已创建的所有VLAN列表 显示命令可在任意视图下执行 |
例:显示VLAN2的信息。
<H3C> display vlan 2
VLAN Type: static
Route Interface: not configured
Description: VLAN 0002
Tagged Ports: none
Untagged Ports:
GigabitEthernet0/2
表11-68 display vlan命令显示信息描述表
|
字段 |
描述 |
|
VLAN ID |
VLAN编号 |
|
VLAN Type |
VLAN的类型:static表示静态配置;dynamic表示动态创建 |
|
Route Interface |
VLAN对应的VLAN接口是否已经具备作为路由转发接口的条件 |
|
Description |
VLAN的描述字符串 |
|
Tagged Ports |
标识该VLAN的报文在从哪些端口发送时需要携带Tag标记 |
|
Untagged Ports |
标识该VLAN的报文在从哪些端口发送时不需要携带Tag标记 |
l 当处于基于端口的VLAN模式时,执行新增VLAN或者改变端口为Trunk/Hybrid类型的操作,系统就会自动进入802.1q VLAN状态,相关操作请参见“11.8.1 设置802.1q VLAN”。
l 基于端口的VLAN模式的缺省状态为所有端口均属于用户组1。
表11-69 创建/删除用户组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建用户组 |
user-group group-id |
group-id:user-group的ID,取值范围为1~24 创建用户组时,如果该用户组已存在,则直接进入该用户组视图;如果该用户组不存在,则首先创建用户组,然后进入用户组视图 缺省情况下,只存在用户组1,且用户组中包含所有的端口 |
|
删除用户组 |
undo user-group { group-id [ to group-id ] | all } |
删除用户组时,如果该用户组不存在,会出现“Error: VLAN(s) do(es) not exist.”的提示 |
表11-70 将以太网端口加入用户组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入用户组视图 |
user-group group-id |
- |
|
将以太网端口加入指定用户组 |
port GigabitEthernet interface-number [ to GigabitEthernet interface-number ] |
缺省情况下,所有端口都属于用户组1 |
|
将以太网端口从用户组中删除 |
undo port GigabitEthernet interface-number [ to GigabitEthernet interface-number ] |
- |
表11-71 显示用户组设置
|
操作 |
命令 |
说明 |
|
显示用户组设置 |
display user-group [ group-id | all ] |
all:显示全部用户组的相关信息 |
表11-72 设置源VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置源VLAN |
mac-address synchronization source-vlan s-vlan [ to s-vlan ] |
s-vlan: 进行MAC地址同步的源VLAN,即下行VLAN all: 删除所有的源VLAN |
|
删除源VLAN |
undo mac-address synchronization source-vlan { all | s-vlan [ to s-vlan ] } |
|
|
undo mac-address synchronization all |
同时删除所有的源VLAN和目的VLAN |
表11-73 设置目的VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置目的VLAN |
mac-address synchronization destination-vlan d-vlan [ to d-vlan ] |
d-vlan: 进行MAC地址同步的目的VLAN,即上行VLAN all: 删除所有的目的VLAN |
|
删除目的VLAN |
undo mac-address synchronization destination-vlan { all | d-vlan [ to d-vlan ] } |
|
|
undo mac-address synchronization all |
同时删除所有的源VLAN和目的VLAN |
表11-74 显示MAC地址同步设置状态
|
操作 |
命令 |
说明 |
|
显示MAC地址同步设置状态 |
display mac-address synchronization |
显示命令可在任意视图下均可执行 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口的优先级 |
priority priority-level |
priority-level:端口优先级,取值范围为0~7。0表示优先级最低,7表示优先级最高 缺省情况下,以太网端口的优先级为0 |
|
恢复端口的优先级为缺省值 |
undo priority |
- |
表11-76 设置报文优先级信任模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置报文优先级信任模式 |
priority-trust { cos | dscp } |
l cos:根据802.1p优先级将报文放入对应优先级的端口输出队列 l dscp:根据dscp优先级将报文放入对应优先级的端口输出队列 缺省情况下,交换机信任报文为802.1p优先级 |
|
恢复报文优先级信任模式为缺省值 |
undo priority-trust |
- |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置队列调度算法 |
queue-scheduler { hq-wrr queue1-weight queue2-weight queue3-weight | wrr queue1-weight queue2-weight queue3-weight queue4-weight } |
queue1-weight、queue2-weight、queue3-weight、 queue4-weight为队列1、2、3、4的权重,取值范围为1~31 缺省情况下,交换机采用WRR调度算法,且队列权重为1:2:4:8 |
|
恢复队列调度算法为缺省值 |
undo queue-scheduler |
- |
|
操作 |
命令 |
说明 |
|
显示队列调度模式及参数 |
display queue-scheduler |
显示命令可在任意视图下执行 |
|
显示报文优先级信任模式 |
display priority-trust |
表11-79 开启/关闭全局STP特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局STP特性 |
stp enable |
缺省情况下,全局STP特性处于关闭状态 |
|
关闭全局STP特性 |
stp disable |
|
|
恢复全局STP特性为缺省状态 |
undo stp |
表11-80 设置STP工作模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置STP工作模式 |
stp mode { stp | rstp } |
l stp:各个端口将向相连设备发送STP报文 l rstp:各个端口将向相连设备发送RSTP报文 缺省情况下,STP工作模式为rstp |
|
恢复STP的工作模式为缺省值 |
undo stp mode |
- |
表11-81 设置BPDU报文处理方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置BPDU报文处理方式 |
stp bpdu-handling { filter | flooding } |
l flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文 l filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 缺省情况下,BPDU报文处理方式为flooding |
|
恢复BPDU报文处理方式为缺省值 |
undo stp bpdu-handling |
- |
表11-82 设置缺省路径开销
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置缺省路径开销 |
stp pathcost-standard { dot1d-1998 | dot1t } |
选择采用哪种路径开销标准来计算端口的缺省路径开销,采用不同的路径开销标准,端口的路径开销取值范围也不一样 l dot1d-1998:即IEEE 802.1D-1998标准,端口的路径开销取值范围为1~65535 l dot1t:即IEEE 802.1t标准,端口的路径开销取值范围为1~200000000 缺省情况下,缺省路径开销采用的是dot1t |
|
恢复缺省路径开销为缺省值 |
undo stp pathcost-standard |
- |
表11-83 设置桥优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置桥优先级 |
stp priority value |
value:取值范围为1~61440,步长为4096 缺省情况下,桥优先级为32768 |
|
恢复桥优先级为缺省值 |
undo stp priority |
- |
表11-84 设置STP定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置STP定时器 |
stp timer { forward-delay forward-delay-time | hello hello-time | max-age max-age -time } |
l forward-delay-time:状态迁移的延迟时间,单位为秒,取值范围为4~30,缺省值为15秒 l hello-time:用于检测链路是否存在故障,单位为秒,取值范围为1~10,缺省值为2秒 l max-age -time:用于判断配置消息在交换机内保存时间是否“过时”,单位为秒,取值范围为6~40,缺省值为20秒 |
|
恢复STP定时器为缺省值 |
undo stp timer { forward-delay | hello | max-age } |
- |
表11-85 开启/关闭端口STP特性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下开启/关闭端口STP特性 |
stp interface interface-list { enable| disable } |
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list=interface-type interface-number [ to interface-type interface-number ] l enable:开启端口STP特性 l disable:关闭端口STP特性 缺省情况下,端口STP特性处于关闭状态 |
|
在以太网端口视图下开启/关闭端口STP特性 |
interface GigabitEthernet interface-number |
- |
|
stp { enable| disable } |
- |
|
|
undo stp |
恢复该端口的STP特性为缺省值 |
表11-86 设置端口为边缘端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置端口为边缘端口 |
stp interface interface-list edged-port { enable| disable } |
l enable:开启端口为边缘端口 l disable:关闭端口为边缘端口 缺省情况下,所有端口均为非边缘端口 |
|
undo stp interface interface-list edged-port |
恢复指定端口的边缘端口设置为缺省值 |
|
|
在以太网端口视图下设置端口为边缘端口 |
interface GigabitEthernet interface-number |
- |
|
stp edged-port { enable| disable } |
- |
|
|
undo stp edged-port |
恢复该端口的边缘端口设置为缺省值 |
表11-87 设置根保护
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置根保护功能 |
stp interface interface-list root-guard { enable| disable } |
l enable:开启根保护功能 l disable:关闭根保护功能 缺省情况下,根保护功能处于关闭状态 |
|
undo stp interface interface-list root-guard |
恢复指定端口的根保护功能为缺省值 |
|
|
在以太网端口视图下设置根保护功能 |
interface GigabitEthernet interface-number |
- |
|
stp root-guard { enable| disable } |
- |
|
|
undo stp root-guard |
恢复该端口的根保护功能为缺省值 |
表11-88 设置端口路径开销
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
在系统视图下设置端口路径开销 |
设置端口采用缺省路径开销 |
stp interface interface-list default-pathcost enable |
enable:端口采用缺省路径开销。此时,如果全局缺省路径开销采用dot1d-1998,则端口开销值为65535;如果全局缺省路径开销采用dot1t,则端口开销值为200000000,相关操作请参见“11.10.1 4. 设置缺省路径开销” 缺省情况下,端口采用缺省路径开销 |
|
手工设置路径开销 |
stp interface interface-list cost value |
value:路径开销值。如果全局缺省路径开销采用dot1d-1998,取值范围为1~65535;如果全局缺省路径开销采用dot1t,取值范围为1~200000000 |
|
|
undo stp interface interface-list cost |
恢复指定端口的路径开销为缺省值 |
||
|
在以太网端口视图下设置端口路径开销 |
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口采用缺省路径开销 |
stp default-pathcost enable |
- |
|
|
手工设置路径开销 |
stp cost value |
- |
|
|
undo stp cost |
恢复该端口的路径开销为缺省值 |
||
表11-89 设置端口优先级
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置端口优先级 |
stp interface interface-list port-priority value |
value:端口优先级,取值范围为0~240,缺省值为128 |
|
undo stp interface interface-list port-priority |
恢复指定端口的优先级为缺省值 |
|
|
在以太网端口视图下设置端口优先级 |
interface GigabitEthernet interface-number |
- |
|
stp port-priority value |
- |
|
|
undo stp port-priority |
恢复该端口的优先级为缺省值 |
表11-90 设置端口是否与点对点链路相连
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在系统视图下设置端口是否与点对点链路相连 |
stp interface interface-list point-to-point { force-true | force-false | auto } |
l force-true:设置端口与一条点到点链路相连 l force-false:设置端口与一条共享链路相连 l auto:设置端口自动建立链路 缺省情况下,端口自动建立链路 |
|
undo stp interface interface-list point-to-point |
恢复与指定端口相连的链路设置为缺省值 |
|
|
在以太网端口视图下设置端口是否与点对点链路相连 |
interface GigabitEthernet interface-number |
- |
|
stp point-to-point { force-true | force-false | auto } |
- |
|
|
undo stp point-to-point |
恢复与该端口相连的链路设置为缺省值 |
表11-91 显示STP设置
|
操作 |
命令 |
说明 |
|
显示STP全局信息与端口的STP信息 |
display stp |
当全局STP特性开启时,显示STP全局参数状态与端口STP信息;当全局STP特性关闭后,仅显示STP全局参数状态 显示命令可以在任意视图下执行 |
|
显示端口STP的状态与统计信息 |
display stp interface interface-list [ brief ] |
显示命令可以在任意视图下执行 当选择brief参数时,仅显示简要信息,如:端口STP特性状态、端口状态及端口角色等 |
|
显示全局STP和端口STP的状态 |
display stp brief |
显示命令可以在任意视图下执行 |
|
显示根桥信息 |
display stp root |
显示命令可以在任意视图下执行 |
例:当全局STP特性关闭时,显示STP全局参数状态。
<H3C> display stp
STP Status :disabled
STP Mode :RSTP
Bpdu-handling :flooding
Pathcost-standard :dot1t
Priority :32768
Hello time(s) :2
Max-age(s) :20
Forward-delay(s) :15
表11-92 display stp命令信息描述表
|
字段 |
描述 |
|
STP Status |
显示全局STP使能状态 l disabled:关闭状态 l enabled:开启状态 |
|
STP Mode |
显示当前所使用的STP模式(STP或RSTP) |
|
Bpdu-handling |
显示BPDU报文处理方式: l flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文 l filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 |
|
Pathcost-standard |
显示计算端口缺省路径开销所使用的标准: l dot1d-1998:采用IEEE 802.1D-1998标准 l dot1t:采用IEEE 802.1t标准 |
|
Priority |
显示桥优先级 |
|
Hello time(s) |
显示配置消息发送的周期 |
|
Max-age(s) |
显示配置消息在交换机中能够保存的最大生存期 |
|
Forward-delay(s) |
显示端口状态迁移的延时 |
例:当全局STP特性开启时,显示STP全局信息及端口STP信息。
<H3C> display stp
-------[Global Info][Mode RSTP]-------
Bridge :32768.0023-8972-61c3
Bridge Times :Hello 2s MaxAge 20s FwDly 15s
Root Bridge :32768.0023-8972-61c3
RootPortId :0.0
Bpdu-handling :flooding
Pathcost-standard :dot1t
Time since last TC :0 days 0h:4m:17s
----[Port1(GigabitEthernet0/1)][DISABLE]----
Port Protocol :Enabled
Port Role :Disabled
Port Priority :128
Port Cost(Dot1T) :Config=auto / Active=200000
Desg. Bridge/Port :32768.0023-8972-61c3 / 0.0
Port Edged :Disabled
Root Guard :Disabled
Point-to-point :Auto
表11-93 display stp命令信息描述表
|
字段 |
描述 |
|
Bridge |
网桥ID |
|
Bridge Times |
网桥相关的主要参数值,包括: l Hello:Hello time定时器值 l MaxAge:Max Age定时器值 l FwDly:Forward delay定时器值 |
|
Root Bridge |
根桥ID |
|
RootPortId |
根端口的端口ID |
|
Bpdu-handling |
显示BPDU报文处理方式: l flooding:当全局的STP功能处于关闭的状态时,则广播BPDU报文 l filter:当全局的STP功能处于关闭的状态时,则过滤BPDU报文 |
|
Pathcost-standard |
显示计算端口缺省路径开销所使用的标准: l dot1d-1998:采用IEEE 802.1D-1998标准 l dot1t:采用IEEE 802.1t标准 |
|
Time since last TC |
最近一次拓扑变化的时间 |
|
Port Protocol |
显示端口STP使能状态 l Disabled:关闭状态 l Enabled:开启状态 |
|
Port Role |
显示端口角色,和生成树实例相对应。具体角色分为:Alternate、Backup、Root、Designated、Disabled |
|
Port Priority |
显示端口优先级 |
|
Port Cost(Dot1D) |
端口的路径开销。括号中的Dot1D表示当前设备的路径开销的计算方法,有dot1d-1998和dot1t两种计算方式;Config表示配置值;Active表示实际值 |
|
Desg. Bridge/Port |
端口的指定桥ID和端口ID |
|
Port Edged |
显示端口是否为边缘端口 l Disabled:非边缘端口 l Enabled:边缘端口 |
|
Root Guard |
显示端口根保护状态 l Disabled:关闭状态 l Enabled:开启状态 |
|
Point-to-point |
显示端口是否与点对点链路相连 l ForceTrue:与端口相连的是一条点到点链路 l ForceFalse:与端口相连的是一条共享链路 l Auto:端口自动建立链路 |
表11-94 开启/关闭全局IGMP Snooping
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启IGMP Snooping |
igmp-snooping enable |
缺省情况下,全局IGMP Snooping功能处于关闭状态 |
|
关闭IGMP Snooping |
igmp-snooping disable |
- |
表11-95 设置路由端口老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置路由端口老化时间 |
igmp-snooping router-aging-time seconds |
seconds:路由器端口超时时间,单位为秒,取值范围为1~1000 缺省情况下,端口老化时间为105秒 |
|
恢复路由端口老化时间为缺省值 |
undo igmp-snooping router-aging-time |
- |
表11-96 设置主机端口老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置主机端口老化时间 |
igmp-snooping host-aging-time seconds |
seconds:主机端口老化的时间,单位为秒,取值范围为200~1000 缺省情况下,组播组成员端口老化时间为260秒 |
|
恢复主机端口老化时间为缺省值 |
undo igmp-snooping host-aging-time |
- |
表11-97 设置IGMP查询和响应
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置IGMP普遍组查询的最大响应时间 |
igmp-snooping max-response-time seconds |
seconds:IGMP普遍组查询的最大响应时间,单位为秒,取值范围为1~25 缺省情况下,响应查询最大时间为10秒 |
|
设置IGMP特定组查询的时间间隔 |
igmp-snooping last-member-query-interval interval |
interval:发送IGMP特定组查询报文的时间间隔,单位为秒,取值范围为1~5 缺省情况下,发送IGMP特定组查询报文的时间间隔为2秒 |
|
恢复IGMP普遍组查询的最大响应时间为缺省值 |
undo igmp-snooping max-response-time |
- |
|
恢复IGMP特定组查询的时间间隔为缺省值 |
undo igmp-snooping last-member-query-interval |
- |
表11-98 开启/关闭端口从组播组中快速删除功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
开启端口从组播组中快速删除功能 |
igmp-snooping fast-leave |
- |
|
关闭端口从组播组中快速删除功能 |
undo igmp-snooping fast-leave |
- |
表11-99 开启/关闭未知组播报文丢弃功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启未知组播报文丢弃功能 |
unknown-multicast drop enable |
缺省情况下,未知组播报文丢弃功能处于关闭状态 |
|
关闭未知组播报文丢弃功能 |
undo unknown-multicast drop enable |
- |
表11-100 显示IGMP Snooping信息
|
操作 |
命令 |
说明 |
|
显示当前IGMP Snooping的配置信息 |
display igmp-snooping configuration |
显示命令可在任意视图下执行 |
|
显示IGMP Snooping对收发包的统计信息 |
display igmp-snooping statistics |
|
|
显示VLAN下的IP组播组和MAC组播组信息 |
display igmp-snooping group [ vlan vlan-id ] |
|
|
清除IGMP Snooping统计信息 |
reset igmp-snooping statistics |
该命令需在用户视图下执行 |
例:显示IGMP Snooping对收发包的统计信息。
<H3C> display igmp-snooping statistics
Received IGMP general query packet(s) number:1.
Received IGMP specific query packet(s) number:0.
Received IGMP V1 report packet(s) number:0.
Received IGMP V2 report packet(s) number:3.
Received IGMP leave packet(s) number:0.
Received error IGMP packet(s) number:0.
Sent IGMP specific query packet(s) number:0.
上述信息表示IGMP Snooping收到:
l 1个IGMP通用查询报文
l 0个IGMP特定组查询报文
l 0个IGMPv1的报告报文
l 3个IGMPv2的报告报文
l 0个IGMP离开报文
l 0个IGMP错误报文
IGMP Snooping发送:
0个IGMP特定组查询报文
表11-101 开启/关闭IGMP Snooping调试开关
|
操作 |
命令 |
说明 |
|
开启IGMP Snooping调试开关 |
debugging igmp-snooping all |
all:全部调试信息 此命令需在用户视图下执行 缺省情况下,IGMP-Snooping调试信息开关处于关闭状态 |
|
关闭IGMP Snooping调试开关 |
undo debugging igmp-snooping all |
表11-102 设置SNMP基本功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启SNMP Agent服务 |
snmp-agent |
缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent服务 说明: undo snmp-agent命令用来关闭SNMP Agent服务 |
|
设置系统信息 |
snmp-agent sys-info { contact sysContact | location sysLocation | version { v1 | v2c | all } } |
l contact:设置系统维护联系信息 l sysContact:描述系统维护联系信息的字符串,字符串有效长度是1~80 l location:设置设备节点的物理位置,字符串有效长度是1~80 l sysLocation:设备节点的物理位置信息,字符串的有效长度是1~80 l version:设置系统启用的SNMP版本号 l v1:SNMPv1版本 l v2c:SNMPv2c版本 l all:SNMPv1、SNMPv2c 版本 缺省情况下,系统维护联系信息为“R&D Hangzhou, H3C Technologies co.,Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv2c 说明: undo命令用来取消当前设置的系统信息 |
|
undo snmp-agent sys-info [ contact | location | version { v1 | v2c | all } |
||
|
设置团体名及访问权限 |
snmp-agent community { read | write } community-name |
l read:表明对MIB对象进行只读的访问 l write:表明对MIB对象进行读写的访问 l community-name:团体名字符串。字符串长度有效范围1~32 说明: undo命令用来取消团体名及访问权限 |
|
undo snmp-agent community community-name |
||
|
设置SNMP Agent能接收/发送的SNMP消息包的最大长度 |
snmp-agent max-size byte-count |
l byte-count: Agent能接收/发送的SNMP消息包长度的最大值,取值范围为1500~64000,单位为字节 l 缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节 说明: undo命令用来恢复SNMP消息包的最大长度为缺省值 |
|
undo snmp-agent max-size |
表11-103 设置SNMP Trap基本功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启设备发送Trap信息功能 |
snmp-agent trap enable |
缺省情况下,Trap信息功能处于开启状态 说明: undo snmp-agent trap enable命令用来关闭设备发送Trap信息功能 |
|
开启设备允许发送的Trap信息 |
snmp-agent trap enable [ standard [ authentication | coldstart | linkdown | linkup | warmstart ]* ] |
l standard:发送SNMP标准的通知或Trap信息 l authentication:认证失败时,发送SNMP协议的认证失败的Trap信息 l coldstart:当设备重新启动时,发送SNMP协议的冷启动Trap信息 l linkdown:当端口由up状态变为down状态时,发送SNMP协议的链路down掉的Trap信息 l linkup:当端口由down状态变为up状态时,发送SNMP协议的链路up的Trap信息 l warmstart:当SNMP协议重新启动时,发送SNMP协议的热启动Trap报文 当选择linkup或linkdown时,表示允许所有端口发送Linkup或Linkdown Trap信息 此命令需要与snmp-agent target-host命令协同使用,使用snmp-agent target-host命令来指定哪些主机可以接收Trap信息。为了发送Trap信息,用户必须配置至少一条snmp-agent target-host命令 缺省情况下,交换机向NMS发送所有的Trap信息 说明: undo命令用来关闭设备允许发送的Trap信息 |
|
undo snmp-agent trap enable [ standard [ authentication | coldstart | linkdown | linkup | warmstart ]* ] |
||
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
开启指定端口发送LINK UP和LINK DOWN Trap信息 |
enable snmp trap updown |
此命令需要与snmp-agent target-host命令协同使用,使用snmp-agent target-host命令来指定哪些主机可以接收Trap信息。为了发送Trap信息,用户必须配置至少一条snmp-agent target-host命令 缺省情况下,交换机允许向NMS发送端口Trap信息 说明: undo命令用来关闭指定端口发送LINK UP和LINK DOWN Trap信息 |
|
undo enable snmp trap updown |
||
|
设置Trap目标主机地址 |
snmp-agent target-host trap address udp-domain { ip-address } [ udp-port port-number ] params securityname security-string [ v1 | v2c ] |
l ip-address:接受Trap的主机的IPV4地址 l port-number:指定接收Trap报文的UDP端口号,取值范围为1~65535 l security-string:SNMP v1、SNMP v2c的团体名 l v1:代表SNMP v1版本 l v2c:代表SNMP v2c版本 说明: undo命令用来取消Trap目标主机地址设置 |
|
undo snmp-agent target-host ip-address securityname security-string |
表11-104 显示SNMP信息
|
操作 |
命令 |
说明 |
|
显示当前设备配置的团体名 |
display snmp-agent community [ read | write ] |
显示命令可以在任意视图下执行 |
|
显示当前设备节点的联系信息 |
display snmp-agent sys-info contact |
|
|
显示当前设备节点的物理位置信息 |
display snmp-agent sys-info location |
|
|
显示系统中运行的SNMP版本 |
display snmp-agent sys-info version |
|
|
显示系统Trap列表信息 |
display snmp-agent trap-list |
表11-105 设置防MAC地址攻击
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
设置端口MAC地址学习数限制 |
mac-address max-mac-count max-mac-count |
max-mac-count:MAC地址学习数,取值范围为0~8191,缺省值为8191。0表示关闭端口MAC地址学习;8191表示不限制MAC地址学习 |
|
恢复端口MAC地址学习数限制为缺省值 |
undo mac-address max-mac-count |
- |
当您开启防CPU攻击功能后,系统会自动对大量的经CPU处理的报文进行抑制(比如:组播攻击、ARP攻击等),确保系统资源不会被过量占用,从而可以避免此类攻击对交换机正常工作造成影响。
表11-106 设置防CPU攻击
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启全局防CPU攻击 |
system-guard enable |
缺省情况下,全局防CPU攻击功能处于开启状态 |
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
开启端口防CPU攻击 |
system-guard permit |
当开启端口防CPU攻击功能后,如果该端口存在CPU攻击,则系统会自动对其进行限速 缺省情况下,端口防CPU攻击功能处于开启状态 说明: 仅当开启全局防CPU攻击功能后,端口防CPU攻击功能才生效 |
|
显示防CPU攻击状态信息 |
display system-guard state [ GigabitEthernet interface-number ] |
显示命令可在任意视图下执行。如果端口不指定,则显示所有端口下的防CPU攻击状态信息 显示信息描述: l Global System-guard Status:显示全局防CPU攻击功能状态 l System-guard Status:显示端口防CPU攻击功能状态 l Attack Detect Status:显示端口是否存在CPU攻击(Normal:表示正常;Attack:表示存在攻击) l Attack Rate Limit:显示端口防CPU攻击限速状态。当端口防CPU攻击功能开启后,如果该端口存在CPU攻击,则系统会自动开启该端口的限速功能 |
|
关闭端口防CPU攻击 |
undo system-guard permit |
- |
|
关闭全局防CPU攻击 |
undo system-guard enable |
- |
表11-107 设置用户认证方案
|
操作 |
命令 |
描述 |
|
进入系统视图 |
system-view |
- |
|
设置Telnet用户、Console用户(即Terminal用户)以及Web用户的认证方案 |
aaa authentication { telnet | terminal } { local | none | radius-scheme radius-scheme-name [ local ] } aaa authentication web { local | none } |
l none:不认证 l local:本地认证。有关本地用户的相关配置操作请参见“2. 设置本地用户” l radius-scheme radius-scheme-name:Radius远程认证,radius-scheme-name值需要固定设置为system l radius-scheme radius-scheme-name local:本地认证和Radius远程认证互为备份,即Radius远程认证为主认证,本地认证为从认证。当Radius Server未响应时,则系统会自动切换到本地认证方案 缺省情况下,系统采用本地认证 说明: 当采用Radius远程认证方案或Radius远程认证+本地认证方案时,您需要架设Radius Server来进行用户名和密码的维护,同时需要在交换机上设置对应的Radius Client |
|
显示用户认证方案配置状态 |
display aaa |
显示命令可在任意视图下执行 |
|
恢复用户认证方案为缺省值 |
undo aaa authentication { telnet | terminal | web } |
- |
表11-108 设置本地用户
|
操作 |
命令 |
描述 |
|
进入系统视图 |
system-view |
- |
|
创建本地用户,并进入该用户视图 |
local-user user-name |
user-name:本地用户名,长度1~32个字符,区分大小写,且只能包含数字、大小写字母以及下划线 说明: l 当本地用户已存在时,则直接进入该用户视图 l 系统最多支持创建64个本地用户 l undo命令用来删除指定的本地用户,all表示删除所有的本地用户 |
|
undo local-user { user-name | all } |
||
|
指定该用户的服务类型 |
service-type { telnet | terminal | web} |
l telnet:用于Telnet登录 l terminal:用于Console登录 l web:用于Web登录 说明: l 一个用户可以拥有多种服务类型 l 系统最多允许创建4个Web服务类型的用户 l undo命令用来取消指定的服务类型 |
|
undo service-type { telnet | terminal | web} |
||
|
指定该用户的等级 |
level level |
level:用户等级,即配置管理权限。0为普通用户、1为管理用户。缺省情况下,用户级别为1 说明: undo命令用来恢复用户等级为缺省值 |
|
undo level |
||
|
设置该用户的使用状态 |
state { active | block } |
l active:允许用户登录 l block:禁止用户登录 缺省情况下,用户的使用状态为active |
|
设置本地用户密码 |
password password |
password:用户密码,为明文形式,长度为0~32个字符,不能包括空格,“;”、“’”、“””、“?”字符 说明: undo命令用来删除本地用户密码 |
|
undo password |
||
|
显示本地用户设置状态 |
display local-user service-type { telnet | terminal | web } |
此命令用于显示指定服务类型下的本地用户信息 显示命令可在任意视图下执行 |
|
display local-user state { active | block } |
此命令用于显示指定使用状态下的本地用户信息 显示命令可在任意视图下执行 |
|
|
display local-user user-name user-name |
此命令用于显示指定用户名下的本地用户信息 显示命令可在任意视图下执行 |
|
|
display local-user |
此命令用于显示所有的本地用户信息 显示命令可在任意视图下执行 |
交换机不支持创建新的Radius方案,系统缺省为system方案。
l 设置Radius认证/授权服务器参数
表11-109 设置Radius认证/授权服务器的IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置主Radius认证/授权服务器参数 |
primary authentication ip-address [ port-number ] |
ip-address:IP地址,缺省情况下为0.0.0.0 port-number:UDP端口号,取值范围为1~65535,缺省情况下为1812 |
|
设置从Radius认证/授权服务器参数 |
secondary authentication ip-address [ port-number ] |
|
|
恢复主Radius认证/授权服务器参数为缺省值 |
undo primary authentication |
- |
|
恢复从Radius认证/授权服务器参数为缺省值 |
undo secondary authentication |
- |
l 设置Radius认证/授权报文的共享密钥
表11-110 设置Radius认证/授权报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius认证/授权报文的共享密钥 |
key authentication string |
string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
|
恢复Radius认证/授权报文的共享密钥为缺省值 |
undo key authentication |
- |
l 设置Radius计费服务器参数
表11-111 设置Radius计费服务器参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置主Radius计费服务器参数 |
primary accounting ip-address [ port-number ] |
ip-address:IP地址,缺省情况下为0.0.0.0 port-number:UDP端口号,取值范围为1~65535,缺省情况下为1813 |
|
设置从Radius计费服务器参数 |
secondary accounting ip-address [ port-number ] |
|
|
恢复主Radius计费服务器参数为缺省值 |
undo primary accounting |
- |
|
恢复从Radius计费服务器参数为缺省值 |
undo secondary accounting |
- |
l 设置Radius计费报文的共享密钥
表11-112 设置Radius计费报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius计费报文的共享密钥 |
key accounting string |
string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
|
恢复Radius计费报文的共享密钥为缺省值 |
undo key accounting |
- |
l 设置Radius服务器响应超时时长
表11-113 设置Radius服务器响应超时时长
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius服务器响应超时时长 |
timer time |
time:超时时长,取值范围为1~10,缺省情况下为3秒 |
|
恢复Radius服务器响应超时时长为缺省值 |
undo timer |
- |
l 设置Radius报文超时重传次数的最大值
表11-114 设置Radius报文超时重传次数的最大值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius报文超时重传次数的最大值 |
retry retry-times |
retry-times:报文重传次数的最大值,取值范围为1~20,缺省情况下为3 |
|
恢复Radius报文超时重传次数的最大值为缺省值 |
undo retry |
- |
l 设置Radius认证/授权服务器及计费服务器状态
表11-115 设置Radius认证/授权服务器及计费服务器状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置主Radius认证/授权服务器状态 |
state primary authentication { active | block } |
l active:服务器处于工作状态 l block: 服务器处于待机状态 缺省情况下,认证/计费服务器均处于block状态 |
|
设置从Radius认证/授权服务器状态 |
state secondary authentication { active | block } |
|
|
设置主Radius计费服务器状态 |
state primary accounting { active | block } |
|
|
设置从Radius计费服务器状态 |
state secondary accounting { active | block } |
l 设置Radius重启用户再认证功能
表11-116 设置Radius重启用户再认证功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
开启Radius重启用户再认证功能 |
accounting-on enable |
缺省情况下,设备重启用户再认证功能处于关闭状态 |
|
恢复Radius重启用户再认证功能为缺省值 |
undo accounting-on enable |
- |
l 设置Radius实时计费间隔
表11-117 设置Radius实时计费间隔
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius实时计费间隔 |
timer realtime-accounting minutes |
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,且必须为3的倍数。 缺省情况下,实时计费间隔为12分钟 |
|
恢复Radius实时计费间隔为缺省值 |
undo timer realtime-accounting |
- |
l 设置Radius实时计费最大失败次数
表11-118 设置Radius实时计费最大失败次数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius实时计费最大失败次数 |
retry realtime-accounting retry-times |
retry-times:允许实时计费失败的最大次数,取值范围为1~255 缺省情况下,最多允许5次实时计费失败 |
|
恢复Radius实时计费最大失败次数为缺省值 |
undo retry realtime-accounting |
- |
l 显示Radius方案的设置信息
表11-119 显示Radius方案的设置信息
|
操作 |
命令 |
说明 |
|
显示Radius方案的设置信息 |
display radius [ radius-scheme-name ] |
radius-scheme-name:Radius方案名,交换机仅支持系统缺省的system方案 |
表11-120 开启/关闭802.1x功能
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
开启全局的802.1x特性 |
dot1x |
缺省情况下,全局的802.1x特性处于关闭状态 说明: undo命令用来关闭全局的802.1x特性 |
|
|
undo dot1x |
|||
|
开启端口的802.1x特性 |
系统视图下 |
dot1x interface interface-list |
两者必选其一 缺省情况下,端口的802.1x特性均为关闭状态 说明: undo命令用来在系统视图下或端口视图下关闭端口的802.1x特性 |
|
undo dot1x interface interface-list |
|||
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
dot1x |
|||
|
undo dot1x |
|
||
表11-121 设置全局接入控制的模式
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置全局接入控制的模式 |
dot1x port-control { authorized-force | unauthorized-force | auto } |
缺省情况下,全局接入控制的模式为auto 说明: undo命令用来恢复全局接入控制的模式为缺省值 |
|
|
undo dot1x port-control { authorized-force | unauthorized-force | auto } |
|||
|
设置端口接入控制的模式 |
系统视图下 |
dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ] |
两者必选其一 l auto:自动识别模式 l authorized-force:强制授权模式 l unauthorized-force:强制非授权模式 l 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口接入控制的模式为auto 说明: undo命令用来在系统视图下或端口视图下恢复端口接入控制的模式为缺省值 |
|
undo dot1x port-control [ interface interface-list ] |
|||
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
dot1x port-control { authorized-force | unauthorized-force | auto } |
|||
|
undo dot1x port-control |
|||
表11-122 设置全局接入控制的方式
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置全局接入控制的方式 |
dot1x port-method { macbased | portbased } |
缺省情况下,全局接入控制的方式为macbased 说明: undo命令用来恢复全局接入控制的方式为缺省值 |
|
|
undo dot1x port-method { macbased | portbased } |
|||
|
设置端口接入控制的方式 |
系统视图下 |
dot1x port-method { macbased | portbased } [ interface interface-list ] |
两者必选其一 l macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证 l portbased:指示802.1x认证系统基于端口对接入用户进行认证 l 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口接入控制的方式为macbased 说明: undo命令用来在系统视图下或端口视图下恢复端口接入控制的方式为缺省值 |
|
undo dot1x port-method [ interface interface-list ] |
|||
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
dot1x port-method { macbased | portbased } |
|||
|
undo dot1x port-method |
|||
表11-123 设置802.1x用户的认证方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置802.1x用户的认证方法 |
dot1x authentication-method eap |
目前,交换机 802.1x用户的认证只支持EAP-MD5 缺省情况下,802.1x用户的认证方法EAP认证 |
|
恢复802.1x用户的认证方法为缺省值 |
undo dot1x authentication-method |
- |
l 只有在基于端口对接入用户进行认证下时,交换机才可以支持Guest VLAN功能。因此,当您开启了某端口的Guest VLAN功能后,对应的端口接入方式将自动更改为基于端口号认证。
l 一台交换机只能配置一个Guest VLAN。
表11-124 设置Guest VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启/关闭全局Guest VLAN功能 |
dot1x guest-vlan vlan-id |
vlan-id:Guest VLAN,且该VLAN必须已经存在 缺省情况下,全局Guest VLAN功能处于关闭状态 |
|
undo dot1x guest-vlan |
||
|
进入以太网端口视图 |
interface GigabitEthernet interface-number |
- |
|
开启/关闭端口Guest VLAN功能 |
dot1x guest-vlan |
缺省情况下,端口Guest VLAN功能处于关闭状态 |
|
undo dot1x guest-vlan |
表11-125 设置802.1x的定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置802.1x的定时器 |
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | reauth-period reauth-period-value } |
l handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒 l quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒 l server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒 l supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒 l tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒 l reauth-period-value:重认证周期时间,取值范围为1~86400,单位为秒 缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒server-timeout-value为100秒supp-timeout-value为30秒,tx-period-value为30秒, reauth-period-value为3600秒 |
|
恢复802.1x的定时器为缺省值 |
undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | reauth-period } |
- |
表11-126 设置端口允许接入的用户最大数目
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
设置端口允许接入的用户最大数目 |
系统视图下 |
dot1x max-user user-number [ interface interface-list ] |
l user-number:端口可容纳接入用户数量的最大值,取值范围为1~128 l 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口上可容纳接入用户数量的最大值为128 |
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
dot1x max-user user-number |
|||
|
恢复端口允许接入的用户最大数目为缺省值 |
系统视图下 |
undo dot1x max-user [ interface interface-list ] |
- |
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
undo dot1x max-user |
|||
l 对于S5024F-SI设备,允许设置在线用户握手功能的开启或关闭操作;
l 对于S5024P-EI设备,不能进行在线用户握手功能的开启或关闭操作,默认情况下,该功能处于开启状态。
可以通过下面的命令来开启设备的在线用户握手功能。当802.1X用户认证通过以后,设备会定时(该时间间隔由命令dot1x timer handshake-period设置)向认证用户发送握手报文,如果设备连续多次没有收到客户端的响应报文,则会将用户置为下线状态。
表11-127 设置在线用户握手功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网接口视图 |
interface interface-type interface-number |
- |
|
开启在线用户握手功能 |
dot1x handshake |
可选 缺省情况下,在线用户握手功能处于开启状态 |
|
关闭在线用户握手功能 |
undo dot1x handshake |
- |
部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
l 对于S5024F-SI设备,允许设置组播触发功能的开启或关闭操作;
l 对于S5024P-EI设备,不能进行组播触发功能的开启或关闭操作,默认情况下,该功能处于开启状态。
可以通过下面的命令来开启设备的组播触发功能。若端口启动了802.1X的组播触发功能,则该端口会定期向客户端发送组播触发报文来启动认证,该功能用于支持不能主动发起认证的客户端。
表11-128 设置组播触发功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网接口视图 |
interface interface-type interface-number |
- |
|
开启组播触发功能 |
dot1x multicast-trigger |
可选 缺省情况下,组播触发功能处于开启状态 |
|
关闭组播触发功能 |
undo dot1x multicast-trigger |
- |
交换机不支持创建新的Radius方案,系统缺省为system方案。
l 设置Radius认证/授权服务器参数
表11-129 设置Radius认证/授权服务器的IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius认证/授权服务器参数 |
primary authentication ip-address [ port-number ] |
ip-address:IP地址,缺省情况下为0.0.0.0 |
|
恢复Radius认证/授权服务器参数为缺省值 |
undo primary authentication |
- |
l 设置Radius认证/授权报文的共享密钥
表11-130 设置Radius认证/授权报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius认证/授权报文的共享密钥 |
key authentication string |
string:密钥,为0~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
|
恢复Radius认证/授权报文的共享密钥为缺省值 |
undo key authentication |
- |
l 设置Radius计费服务器参数
表11-131 设置Radius计费服务器参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius计费服务器参数 |
primary accounting ip-address [ port-number ] |
ip-address:IP地址,缺省情况下为0.0.0.0 port-number:UDP端口号,取值范围为1~65535,缺省情况下为1813 |
|
恢复Radius计费服务器参数为缺省值 |
undo primary accounting |
- |
l 设置Radius计费报文的共享密钥
表11-132 设置Radius计费报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius计费报文的共享密钥 |
key accounting string |
string:密钥,为0~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
|
恢复Radius计费报文的共享密钥为缺省值 |
undo key accounting |
- |
l 设置Radius服务器响应超时时长
表11-133 设置Radius服务器响应超时时长
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius服务器响应超时时长 |
timer time |
time:超时时长,取值范围为1~10,缺省情况下为5秒 |
|
恢复Radius服务器响应超时时长为缺省值 |
undo timer |
- |
l 设置Radius报文超时重传次数的最大值
表11-134 设置Radius报文超时重传次数的最大值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入系统缺省的Radius方案视图 |
radius scheme system |
- |
|
设置Radius报文超时重传次数的最大值 |
retry retry-times |
retry-times:报文重传次数的最大值,取值范围为1~20,缺省情况下为5 |
|
恢复Radius报文超时重传次数的最大值为缺省值 |
undo retry |
- |
l 显示Radius方案的设置信息
表11-135 显示Radius方案的设置信息
|
操作 |
命令 |
说明 |
|
显示Radius方案的设置信息 |
display radius [ radius-scheme-name ] |
radius-scheme-name:Radius方案名,交换机仅支持系统缺省的system方案 |
表11-136 显示802.1x的相关信息
|
操作 |
命令 |
说明 |
|
显示802.1x的相关信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
sessions:显示802.1x的会话连接信息 statistics:显示802.1x的相关统计信息 |
例:显示802.1x所有的信息。
<H3C> display dot1x
Equipment 802.1X protocol is enabled
EAP authentication is enabled
Configure: Transmit Period 30 s
ReAuth Period 3600 s
Quiet Period 60 s
Supp Timeout 30 s
Server Timeout 100 s
Handshake period 15 s
The maximal retransmitting times 5
Total maximum on-line user number is 512
Total current on-line user number is 0
GigabitEthernet0/1 is link-down
802.1X protocol is disabled
The port is an authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
ReAuthenticate is disabled
Max on-line user number is 128
Guest VLAN is disabled
The port is not in guest vlan
Authenticate Success: 0, Failed: 0
EAPOL Packet: Tx 0, Rx 0
Send EAP Request/Identity Packet : 0
EAP Request Packet: 0
Received EAPOL Start Packet : 0
EAPOL LogOff Packet: 0
EAP Response/Identity Packet: 0
EAP Response Packet: 0
Error Packet: 0
Controlled User(s) amount to 0
表11-137 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Equipment 802.1X protocol is enabled |
802.1x特性已经开启 |
|
EAP authentication is enabled |
开启EAP认证 |
|
Transmit Period |
发送间隔定时器 |
|
ReAuth Period |
重认证周期 |
|
Quiet Period |
静默定时器设置的静默时长 |
|
Supp Timeout |
Supplicant认证超时定时器 |
|
Server Timeout |
Authentication Server超时定时器 |
|
Handshake Period |
802.1x的握手报文的发送时间间隔 |
|
The maximal retransmitting times |
交换机可重复向接入用户发送认证请求帧的次数 |
|
Total maximum on-line user number |
最多可接入用户数 |
|
Total current on-line user number |
当前在线接入用户数 |
|
GigabitEthernet0/1 is link-down |
端口GigabitEthernet0/1的状态为Down |
|
802.1X protocol is disabled |
该端口未开启802.1x协议 |
|
The port is an authenticator |
该端口担当Authenticator作用 |
|
Authenticate Mode is auto |
端口接入控制的模式为auto |
|
Port Control Type is Mac-based |
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
|
ReAuthenticate is disabled |
端口的802.1x重认证特性处于关闭状态 |
|
Max on-line user number is 128 |
本端口最多可容纳的接入用户数 |
|
Guest VLAN is disabled |
端口Guest VLAN功能关闭 |
|
… |
略 |
管理员根据实际情况可以人工添加、修改或删除地址表中的表项。可以删除与某个端口相关的所有地址表项,也可以选择删除某个地址表项(如动态表项、静态表项)。
表11-138 添加/修改/删除MAC地址表项
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
添加/修改MAC地址表项 |
系统视图下 |
mac-address { static | dynamic } interfaceGigabitEthernet interface-number vlan vlan-id mac-address blackhole mac-address vlan vlan-id |
l blackhole:黑洞表项,所有源地址或目的地址为该MAC地址的报文都会被交换机丢弃 l static:静态表项,不会被老化掉 l dynamic:动态表项,会被老化掉 l mac-address:MAC地址,采用H-H-H的形式 l vlan-id:VLAN的ID,取值范围为1~4094 |
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
mac-address { static | dynamic } mac-address vlan vlan-id |
|||
|
删除MAC地址表项 |
系统视图下 |
undo mac-address [ interface GigabitEthernet interface-number | mac-address vlan vlan-id [ interface GigabitEthernet interface-number ] ] |
- |
|
端口视图下 |
interface GigabitEthernet interface-number |
||
|
undo mac-address mac-address vlan vlan-id |
|||
表11-139 设置MAC地址表老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置MAC地址表老化时间 |
mac-address timer { aging age | no-aging } |
l age:MAC地址表的老化时间,取值范围为10~1000000,单位为秒 l no-aging:不老化 缺省情况下,MAC地址表的老化时间为300秒 设置过长或者过短的老化时间,可能会引起不必要的网络故障,建议您使用缺省值 |
|
恢复MAC地址表老化时间为缺省值 |
undo mac-address timer aging |
- |
表11-140 显示MAC地址表信息
|
操作 |
命令 |
说明 |
|
显示MAC地址表信息 |
display mac-address [ mac-address [ vlan vlan-id ] | interface GigabitEthernet interface-number | blackhole | aging-time | count ] |
l mac-address:MAC地址 l blackhole:黑洞表项 l count:数量,此参数用于显示MAC地址数量的命令 l aging-time:MAC地址表的老化时间 |
例:显示MAC地址为000a-eb7f-aaab的地址表项信息。
<H3C> display mac-address 000a-eb7f-aaab
Reading entire MAC table. Please wait...
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME
000a-eb7f-aaab 1 Config static GigabitEthernet0/1 NOAGED
--- 1 mac address(es) found ---
以上显示信息表示:MAC地址为000a-eb7f-aaab的报文将从GigabitEthernet0/1端口转发,这个表项被设置为静态表项。
|
操作 |
命令 |
说明 |
|
显示已保存配置 |
display saved-configuration |
如果交换机上电之后工作不正常,可以执行此命令查看其已保存的配置,以定位问题所在 显示命令可在任意视图下执行 |
|
显示当前配置 |
display current-configuration |
当您完成一组配置后,需要验证配置是否正确时,可以执行此命令来查看当前生效的参数。对于某些参数,虽然您已经配置,但如果这些参数所在的功能没有生效,则不予显示。对于某些正在生效的配置参数,如果与缺省工作参数相同,也不显示 显示命令可在任意视图下执行 |
|
显示当前视图下已生效的配置 |
display this |
当您在某一视图下完成一组配置之后,需要验证是否配置成功,则可以执行display this命令来查看当前生效的参数 显示命令可在任意视图下执行 说明: l 对于已经生效的配置参数如果与缺省工作参数相同,则不显 l 对于某些参数,虽然您已经配置,但如果这些参数所在的功能没有生效,则不显示 l 在任意一个用户界面视图下执行此命令,将会显示所有用户界面下生效的配置 l 在任意一个VLAN视图下执行此命令,将会显示所有已创建的VLAN |
|
操作 |
命令 |
说明 |
|
保存当前配置 |
save |
l 为了使当前配置能够作为交换机下次上电启动时的已保存配置,需要使用此命令来保存当前配置到FLASH memory中 l 当完成一组配置并且已经达到预定功能时,建议用户将当前配置保存到FLASH memory中 l 此命令可以在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
恢复缺省配置 |
restore default |
执行该命令后,交换机会自动重新启动使其生效 |
|
操作 |
命令 |
说明 |
|
显示系统版本 |
display version |
显示命令可在任意视图下执行 |
|
操作 |
命令 |
说明 |
|
重启交换机 |
reboot |
此命令可在用户视图下执行 |
表11-146 显示设备工作状态
|
操作 |
命令 |
说明 |
|
显示设备工作状态 |
display device |
显示命令可在任意视图下执行 |
例:显示设备工作状态。
<H3C> display device
SlotNo SubSNo PortNum FPGAVer CPLDVer Type
0 0 24 NULL NULL MAIN
表11-147 display device显示信息描述表
|
字段 |
描述 |
|
SlotNo |
槽位号 |
|
SubSNo |
子槽位号 |
|
PortNum |
端口号 |
|
FPGAVer |
FPGA版本号 |
|
CPLDVer |
CPLD版本号 |
|
Type |
设备类型 |
表11-148 设置系统名
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置交换机系统名 |
sysname sysname |
sysname:字符串,长度为1~30个字符。交换机缺省的系统名为H3C 修改交换机的系统名将影响命令行接口的提示符,如交换机的系统名为H3C,用户视图下的提示符为<H3C> |
|
恢复交换机系统名为缺省名 |
undo sysname |
- |
仅当您开启了信息中心功能,交换机才会记录系统信息以及向日志主机、控制台等方向输出系统信息。
信息中心开启时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。
表11-149 开启/关闭信息中心
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启信息中心 |
info-center enable |
缺省情况下,信息中心处于开启状态 |
|
关闭信息中心 |
undo info-center enable |
- |
表11-150 向指定日志主机输出日志信息
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
向指定日志主机输出日志信息 |
info-center loghost ip host-ip-addr |
host-ip-addr:正确的日志主机的IP地址。如果您输入的是环回地址,系统将提示此地址无效 缺省情况下,交换机不向日志主机输出日志信息 |
|
设置信息中心的日志级别 |
info-center loghost level level |
您可以通过此命令来指定不高于某指定级别的日志信息才发送到日志主机 level:表示日志级别,取值范围为0~7,相关描述请参见表7-18。缺省情况下,级别为7 |
|
取消向日志主机输出日志信息 |
undo info-center loghost ip |
- |
|
恢复信息中心的日志级别为缺省值 |
undo info-center loghost level |
- |
表11-151 开启/关闭系统信息记录功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启日志信息记录功能 |
info-center logbuffer { enable | level level } |
l enable:记录日志信息,即写入到交换机的日志缓冲区中。缺省情况下,此功能处于开启状态 l level:指定高于某等级的日志信息才被记录,取值范围为0~7,相关描述请参见表7-18。缺省情况下,级别为7 |
|
开启告警信息记录功能 |
info-center trapbuffer enable |
enable:记录告警信息,即写入到交换机的告警缓冲区中。缺省情况下,此功能处于开启状态 |
|
取消日志信息记录功能 |
undo info-center logbuffer { enable | level } |
- |
|
取消告警信息记录功能 |
undo info-center trapbuffer enable |
- |
表11-152 开启/关闭系统信息记录功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
info-center terminal logging { enable | level level } |
l enable:向控制台发送系统信息。缺省情况下,此功能处于开启状态 l level:指定高于某等级的系统信息才向控制台发送,取值范围为0~7,相关描述请参见表7-18。缺省情况下,级别为5 |
|
|
关闭向控制台发送系统信息 |
undo info-center terminal logging { enable | level } |
- |
为了能在控制台上观察到系统信息,您还需要开启控制台对相应信息的显示功能。
表11-153 开启/关闭控制台对系统信息的显示功能
|
操作 |
命令 |
说明 |
|
开启控制台对调试信息的显示功能 |
terminal debugging |
此命令需在用户视图下执行 缺省情况下,控制台对调试信息的显示功能处于禁用状态 |
|
开启控制台对日志信息的显示功能 |
terminal logging |
此命令需在用户视图下执行 缺省情况下,控制台对日志信息的显示功能处于开启状态 |
|
开启控制台对告警信息的显示功能 |
terminal trapping |
此命令需在用户视图下执行 缺省情况下,控制台对告警信息的显示功能处于开启状态 |
|
关闭系统信息的显示功能 |
undo terminal { debugging | logging | trapping } |
- |
|
操作 |
命令 |
说明 |
|
显示系统日志的配置及缓冲区记录的信息 |
display info-center |
显示命令可在任意视图下执行 |
|
显示交换机日志缓冲区记录的日志信息 |
display logbuffer [ size buffersize | level level ] display logbuffer reverse [ size buffersize | level level ] |
显示命令可在任意视图下执行 l buffersize:指定日志信息显示的条数 l level:指定日志信息显示的等级 l reverse:选中该关键字后,系统会将显示的日志信息进行逆向排序,即将最近发生的日志信息显示在前面,早期发生的日志信息显示在后面 |
|
显示交换机告警缓冲区记录的告警信息 |
display trapbuffer [ size buffersize ] display trapbuffer reverse [ size buffersize ] |
显示命令可在任意视图下执行 l buffersize:显示日志信息的条数 l reverse:选中该关键字后,系统会将显示的日志信息进行逆向排序,即将最近发生的日志信息显示在前面,早期发生的日志信息显示在后面 |
|
清除日志缓冲区内的信息 |
reset logbuffer |
此命令需在用户视图下执行 |
|
清除告警缓冲区内的信息 |
reset trapbuffer |
此命令需在用户视图下执行 |
例:显示系统日志的配置及缓冲区记录的信息。
<H3C> display info-center
Information Center: enabled
Terminal logging: enabled
level: 5 (Notice)
Log host:
IP:0.0.0.0
level: 7 (Debug)
Log buffer: enabled
level: 7 (Debug)
Trap buffer: enabled
表11-155 display info-center显示信息描述表
|
字段 |
描述 |
|
Information Center |
显示信息中心功能状态 |
|
Terminal logging |
显示向控制台发送系统信息的功能状态及系统信息级别 |
|
Log host |
显示日志主机的IP地址及日志级别 |
|
Log buffer |
显示日志信息记录功能状态及日志级别 |
|
Trap buffer |
显示告警信息记录功能状态 |
当您关闭了HTTP服务器后,将不能通过Web设置页面对交换机进行操作。
表11-156 开启/关闭HTTP服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭HTTP服务器 |
ip http shutdown |
缺省情况下,HTTP服务器处于开启状态 |
|
开启HTTP服务器 |
undo ip http shutdown |
- |
当您关闭了Telnet服务器后,将不能通过Telnet方式登录到交换机进行命令行操作。
表11-157 开启/关闭TELNET服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
关闭Telnet服务器 |
ip telnet shutdown |
缺省情况下,Telnet服务器处于开启状态 |
|
开启Telnet服务器 |
undo ip telnet shutdown |
- |
表11-158 设置管理PC
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
新建授权IP配置 |
ip authorized-managers id id-number start-ip-address end-ip-address [ telnet | http | snmp | all ] |
l id-number:管理PC配置记录的ID l start-ip-address:授权IP网段的起始IP地址 l end-ip-address:授权IP网段的结束IP地址 l all:所有服务类型 |
|
删除单条授权IP记录 |
undo ip authorized-managers id id-number |
id-number:管理PC配置记录的ID |
|
删除所有授权IP记录 |
undo ip authorized-managers all |
all : 所有管理PC控制记录 |
表11-159 显示管理PC控制
|
操作 |
命令 |
说明 |
|
显示所有管理PC的配置记录 |
display ip authorized-managers |
显示命令可以在任意视图下执行 |
交换机提供了种类丰富的调试功能,对于交换机所支持的绝大部分协议和功能,系统都提供了相应的调试功能,可以帮助用户对错误进行诊断和定位。
调试信息的输出可以由两个开关控制:
l 协议调试开关,控制是否输出某协议的调试信息;
l 屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。
二者关系如下图所示:
用户可以通过debugging和terminal debugging命令来控制以上两种开关。
可以使用debugging命令来控制单个或全部协议调试开关。
表11-160 启用和禁用协议调试开关
|
操作 |
命令 |
说明 |
|
启用协议调试开关 |
debugging { all | module-name } |
l 此命令需在用户视图下执行 l all:表示启用或禁用全部调试开关 l module-name:指定协议模块名。可选模块名包括:arp、dhcp-alloc、drv、igmp-snooping、ip等。具体调试命令的使用和调试信息的格式介绍参见相关章节 l 缺省情况下,系统关闭全部调试开关 |
|
禁用协议调试开关 |
undo debugging { all | module-name } |
- |
相关配置可参考命令display debugging、terminal debugging。
由于调试信息的输出会影响系统的运行效率,请勿轻易启用调试开关,尤其慎用debugging all命令,在调试结束后,应禁用全部调试开关。
表11-161 启用/关闭终端显示功能
|
操作 |
命令 |
说明 |
|
启用终端显示调试信息功能 |
terminal debugging |
l 此命令需在用户视图下执行 l 缺省情况下,系统禁用终端显示功能 |
|
禁用终端显示调试信息功能 |
undo terminal debugging |
- |
如果用户需要在终端上显示调试信息,需要先执行terminal debugging命令。
|
操作 |
命令 |
说明 |
|
显示调试开关状态 |
display debugging |
在任意视图下均可执行 |
在以上各章节中,分别介绍了各相关命令的调试方法。以下几条命令在前面的章节中没有涉及,所以在此处补充介绍。
表11-163 arp调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用arp调试开关 |
debugging arp packet |
l 用户视图下执行 l 缺省情况下,系统禁用arp调试信息开关 |
|
禁用arp调试开关 |
undo debugging arp packet |
- |
例:启用arp调试开关。
<H3C> debugging arp packet
Sending:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,
arp_op = 1 , arp_spa = 192.168.0.233, arp_tpa = 192.168.0.55,
arp_sha = 08:F0:1F:00:BC:15, arp_tha = 00:00:00:00:00:00
receiving:arp_hrd = 1 , arp_pro = 8 , arp_hln = 6 , arp_pln = 4 ,
arp_op = 2 , arp_spa = 192.168.0.55, arp_tpa = 192.168.0.233,
arp_sha = 00:0D:88:F6:4B:A7, arp_tha = 08:F0:1F:00:BC:15
表11-164 debugging arp显示信息描述表
|
字段 |
描述 |
|
arp_hrd |
硬件类型 |
|
arp_pro |
协议类型 |
|
arp_hln |
硬件地址长度 |
|
arp_pln |
协议地址长度 |
|
arp_op |
判断报文是请求报文或回复报文 |
|
arp_spa |
发送者IP地址 |
|
arp_tpa |
目标IP地址 |
|
arp_sha |
发送者硬件地址 |
|
arp_tha |
目标硬件地址 |
表11-165 drv调试开关的启用/禁用
|
操作 |
命令 |
说明 |
|
启用drv调试开关 |
debugging drv packet |
l 用户视图下执行 l 缺省情况下,系统禁用drv调试信息开关 |
|
禁用drv调试开关 |
undo debugging drv packet |
- |
对于底层发送的报文,显示的调试信息包括源端口、报文长度以及报文的前40字节的内容;对于底层接收的报文,显示的调试信息包括目的端口、报文长度以及报文的前40字节的内容。
您可以使用ping命令测试本交换机与其他网络设备的连通性。ping命令可以在任意视图下使用。
|
操作 |
命令 |
说明 |
|
支持IP协议ping |
ping [-c count ] [ -s packetsize ] ip-address |
l 任意视图下执行 l count:ping的次数,取值范围为1~4294967295,缺省为5次 l ip-address:对端设备的IP地址 l packetsize:报文中数据字节数,取值范围为20~1472,缺省为56字节 |
例:检查网络连接及主机是否可达,设置ping的次数为8次,报文中数据字节数64字节。
<H3C>ping -c 8 -s 64 192.168.0.1
PING 192.168.0.100: 64 data bytes, press CTRL_C to break
Reply from 192.168.0.100: bytes=64 Sequence=1 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=2 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=3 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=4 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=5 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=6 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=7 ttl=64 time < 10 ms
Reply from 192.168.0.100: bytes=64 Sequence=8 ttl=64 time < 10 ms
--- 192.168.0.100 ping statistics ---
8 packet(s) transmitted
8 packet(s) received
0.0 % packet loss
round-trip min/avg/max = 0/0/0 ms
命令执行结果输出包括:
l 对每一ping报文的响应情况,如果超时仍没有收到响应报文,则输出“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。
l 最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、最大和平均值。
本手册只介绍简单的故障处理方法,如仍不能排除,请及时拨打热线(400-810-0504)或邮件(SMB@h3c.com)方式联系我们,我们将会在最短的时间内帮您解决问题。
表12-1 故障排除
|
常见问题 |
故障排除 |
|
Power灯不亮 |
(1) 请检查电源线连接正确 (2) 请检查电源线插头是否插紧 |
|
端口指示灯不亮 |
(1) 请检查网线与交换机的以太网端口连接正确 (2) 请更换好的网线 |
|
不能通过Web设置页面登录和管理交换机 |
(1) Ping 交换机的管理IP地址(交换机缺省为192.168.0.233)来检查管理计算机与交换机是否连通。若不通: l 如果是本地配置,请检查管理计算机的IP地址是否与交换机处于在同一网段 l 如果是远程配置,请确保管理计算机和交换机路由可达 (2) 交换机允许同时登录的用户数已经达到最大值(最多允许5个不同IP地址的用户使用同一帐号登录),请稍后再试 (3) 通过观察指示灯的状态来检查线缆连接的正确性 (4) 确认管理计算机所连接的交换机端口处于打开状态,且属于管理VLAN (5) 请检查Web浏览器是否设置代理服务器或拨号连接,若有,请取消设置 (6) 配置完管理计算机的本地网络地址后,请尝试禁用、启用本地网络 |
|
网络掉线 |
(1) 询问您的网络服务供应商线路是否在存在问题 (2) 检查网络物理连接,观察交换机的端口指示灯是否正常,或采取更换好的网线、尝试使用交换机其它端口、升级计算机网卡驱动等 (3) 请检查您网络中的客户端是否存在病毒(常见的为ARP攻击或者ARP欺骗),并确认交换机是否已经做了IP/MAC绑定,每台客户端是否也已绑定了网关地址 |
表13-1列出了交换机的一些重要的缺省配置信息,供您参考。
|
选项 |
缺省配置 |
|
|
系统 |
登录Web的用户名/密码 |
admin/admin |
|
IP地址 |
IP地址:192.168.0.233 子网掩码:255.255.255.0 |
|
|
MAC地址表项老化时间 |
300秒 |
|
|
端口 |
端口状态 |
启用 |
|
端口速率 |
自协商 |
|
|
端口双工模式 |
自协商 |
|
|
端口优先级 |
0 |
|
|
流量控制 |
关闭 |
|
|
广播风暴抑制 |
100% |
|
|
端口汇聚 |
端口不汇聚 |
|
|
端口镜像 |
不镜像 |
|
|
端口限速 |
不限速 |
|
|
端口链路类型 |
Access |
|
|
VLAN |
管理VLAN |
VLAN 1 |
|
VLAN功能模式 |
802.1Q VLAN |
|
|
MAC绑定 |
无绑定项 |
|
|
QoS |
优先级类型 |
COS |
|
调度模式 |
WRR |
|
|
队列权重 |
队列1、队列2、队列3、队列4的权重比为1:2:4:8 |
|
|
STP |
全局STP功能 |
关闭 |
|
端口STP功能 |
关闭 |
|
|
安全专区 |
防MAC地址攻击 |
不限制 |
|
全局802.1x功能 |
关闭 |
|
|
端口802.1x功能 |
关闭 |
|
|
SNMP |
SNMP Agent |
关闭 |
|
SNMP Trap |
开启 |
|
表14-1 术语表
|
术语 |
英文全称 |
中文名称 |
含义 |
|
1000Base-T |
- |
- |
1000Mbit/s基带以太网规范,使用四对5类双绞线连接,可提供高达1000Mbit/s的传输速率 |
|
100Base-TX |
- |
- |
100Mbit/s基带以太网规范,使用两对5类双绞线连接,提供最大100Mbit/s的传输速率 |
|
10Base-T |
- |
- |
10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,提供最大10Mbit/s传输速率 |
|
Auto-Negotiation |
- |
自协商 |
使交换机等设备两端按照最大的性能来自动协商工作速率和双工模式 |
|
ARP |
Address Resolution Protocol |
地址解析协议 |
用于将网络层的IP地址解析为数据链路层的物理地址 |
|
BPDU |
Bridge Protocol Data Unit |
桥协议数据单元 |
STP通过在设备之间传递BPDU来确定网络的拓扑结构。BPDU中包含了足够的信息来保证设备完成生成树的计算过程 |
|
Broadcast |
- |
广播 |
指在IP子网内广播报文,所有在子网内部的主机都将收到这些报文 |
|
CFI |
Canonical Format Indicator |
准格式指示位 |
标识MAC地址是否以标准格式进行封装 |
|
CLI |
Command Line Interface |
命令行接口 |
可通过超级终端连接设备串行接口来管理,也能telnet远程登录管理,在初始化配置时,往往要用到前者 |
|
CoS |
Class of Service |
服务等级 |
封装在以太网报头的一个3位域内,可以将报文分为8个级别。值的范围:0~7 |
|
CRC |
Cyclic Redundancy Check |
循环冗余校验 |
一种检验数据帧正确性的技术 |
|
CSMA/CD |
Carrier Sense Multiple Access with Collision Detection |
载波侦听多路访问/冲突检测 |
使用载波侦听机制和冲突检测的网络控制协议。在发送数据之前进行侦听,确保线路空闲,减少冲突机会;边发送边检测,当检测到线路上已经有数据在传输,就停止发送当前需要发送的数据,等待一个随机时间后再发送 |
|
Data-link Layer |
- |
数据链路层 |
位于ISO/OSI参考模型第二层,负责在节点间的线路上通过检测、流量控制和重发等一系列手段无差错地传送以帧为单位的数据,使得从它的上一层(网络层)看起来是一条无差错的链路 |
|
DSCP |
Differentiated Services Code Point |
差分服务编码点 |
封装在IP报文头的一个6位域中,可以将报文分为64个级别。取值范围:0~63 |
|
DHCP |
Dynamic Host Configuration Protocol |
动态主机配置协议 |
为网络中的主机动态分配IP地址、子网掩码、网关等信息 |
|
FCS |
Frame Check Sequence |
帧校验序列 |
以太网帧域,占4个字节,存储CRC校验和值 |
|
Full Duplex |
- |
全双工 |
全双工是指接收与发送数据时使用两个相互独立的通道,可同时进行,互不干扰 |
|
Half Duplex |
- |
半双工 |
半双工是指接收与发送共用一个通道,同一时刻只能发送或只能接收,所以半双工可能会产生冲突 |
|
HTTP |
Hypertext Transfer Protocol |
超文本传输协议 |
超文本传输协议定义了信息如何被格式化、如何被传输,以及在各种命令下服务器和浏览器所采取的响应。该协议主要用于从WWW服务器传输超文本到本地浏览器 |
|
IGMP |
Internet Group Management Protocol |
互联网组管理协议 |
TCP/IP协议族中负责IP组播成员管理的协议,用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系 |
|
IGMP Querier |
Internet Group Management Protocol Querier |
IGMP查询器 |
在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据 |
|
IGMP-Snooping |
Internet Group Management Protocol Snooping |
IGMP侦听 |
运行在二层以太网交换机上的组播约束机制,用于管理和控制组播组 |
|
IP |
Internet Protocol |
网际协议 |
网际协议是开放系统互联模型(OSI model)的一个主要协议,也是TCP/IP协议中完整的一部分。它主要的任务有两个:一是寻址,二是管理分割数据片 |
|
LACP |
Link Aggregation Control Protocol |
链路汇聚控制协议 |
一种实现链路动态汇聚与解汇聚的协议。LACP协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路汇聚控制协议数据单元)与对端交互信息 |
|
LAN |
Local Area Network |
局域网 |
局域网是指将位于相对有限区域(例如,一幢建筑物)内的一组计算机、打印机和其他设备连接起来的通讯网络。LAN 允许任何连接的设备都能与其上的其他设备交互 |
|
LLDP |
Link Layer Discovery Protocol |
链路层发现协议 |
LLDP提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV,并封装在LLDPDU中发布给与自己直连的邻居 |
|
LLDPDU |
Link Layer Discovery Protocol Data Unit |
链路层发现协议数据单元 |
LLDPDU就是封装在LLDP报文数据部分的数据单元。在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送 |
|
MDI/MDI-X |
- |
- |
MDI/MDI-X自适应技术使不同的设备(如集线器-集线器或集线器-交换机)可以利用常规的UTP或STP电缆实现背靠背的级联 |
|
Multicast |
- |
组播 |
组播是点到多点的传输方式,在IP网络中将报文发送到网络中的某个组播组。通常,IPTV等直播节目都使用组播方式 |
|
MTU |
Maximum Transmission Unit |
最大传输单元 |
- |
|
NAS |
Network Access Server |
网络接入服务器 |
本地用户接入远程网络的设备 |
|
PVID |
Port VLAN ID |
端口VLAN标识符 |
缺省VLAN ID |
|
QoS |
Quality of Service |
服务质量 |
服务质量是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行 |
|
RADIUS |
Remote Authentication Dial-In User Service |
远程认证拨号用户服务 |
一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中 |
|
SFP |
Small form Factor Pluggable |
小封装可插拔 |
一种光接口类型,支持光模块热插拔 |
|
SNMP |
Simple Network Management Protocol |
简单网络管理协议 |
用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告 |
|
STP |
Spanning Tree Protocol |
生成树协议 |
根据IEEE协会制定的802.1D标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生 |
|
TCI |
Tag Control Information |
标签控制信息 |
- |
|
TCP |
Transmission Control Protocol |
传输控制协议 |
一种面向连接的、可靠的传输层协议 |
|
TTL |
Time To Live |
生存时间 |
- |
|
TPID |
Tag Protocol Identifier |
标签协议标识符 |
标识本数据帧是带有VLAN Tag的数据帧 |
|
UTP |
Unshielded Twisted Pair |
非屏蔽双绞线 |
非屏蔽双绞线。双绞线外部没有屏蔽介质 |
|
UDP |
User Datagram Protocol |
用户数据报协议 |
一种面向无连接的、不可靠的传输层协议 |
|
VLAN |
Virtual Local Area Network |
虚拟局域网 |
虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术 |
|
VID |
VLAN ID |
VLAN标识符 |
- |
|
WRR |
Weighted Round Robin |
加权循环调度 |
用户可以根据需要定义每个队列占用整个端口的带宽权重,每个端口队列按照定义的权重进行报文的轮循转发,保证每个队列都有发送报文的机会 |
|
HQ-WRR |
High Queue-WRR |
高优先级队列优先-加权轮循调度 |
HQ-WRR调度模式在WRR的基础上,在输出队列中选择某个队列为高优先级队列。如果各个队列的占用的带宽超过了端口的能力,交换机首先保证高优先级队列的报文优先发送出去,然后对其余队列实行WRR调度 |
|
WAN |
Wide Area Network |
广域网 |
指的是能在一定的地理区域内为用户服务的数据通信网络,此网络通常使用由公共设备商提供的传输设备。帧中继和X.25都是广域网的例子 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
