14-OLT管理和维护
本章节下载: 14-OLT管理和维护 (285.32 KB)
目 录
配置文件采用文本格式,可以通过FTP、TFTP协议从设备上载到PC机上,请使用文本编辑工具(如windows记事本等)对上载后的配置文件进行编辑。系统默认在用户视图下执行配置文件进入系统视图的命令system-view。
用户通过命令行接口可以修改和保存系统的当前配置,为了使当前配置能够作为系统下次启动时的起始配置,需要用copy running-config startup-config命令保存当前配置。在执行配置文件时如遇到不可执行的命令将提示“[ Line:xxxx ] invalid: commandstring”。如遇到执行失败的命令将提示“[ Line:xxxx ] failed: commandstring”。如遇到命令长度超过512个字符将不执行该命令,提示“[ Line:xxxx ] failed: too long command: commandstring”,并只显示该命令的前16个字符,以“…”结束。其中“xxxx”表示命令所在的行号,commandstring表示命令字符串。不可执行命令包括语法错误的命令和模式不匹配的命令。请在用户视图下使用该命令。
表1-1 修改和保存当前配置
操作 |
命令 |
说明 |
保存当前的配置 |
copy running-config startup-config |
用户视图 |
clear startup-config命令可以擦除系统已经保存的配置文件。将系统保存的配置擦除后,使用reboot命令重启系统,系统启动后将恢复为出厂配置。请在用户视图下使用该命令。
表1-2 擦除配置
操作 |
命令 |
说明 |
擦除当前的配置文件 |
clear startup-config |
用户视图 |
用户通过命令行接口可以使系统的当前配置恢复为已保存配置,为了使当前配置能够恢复为已保存配置,需要用copy startup-config running-config命令执行已保存的配置文件。请在用户视图下使用该命令。
表1-3 执行已保存的配置
操作 |
命令 |
说明 |
执行已保存的配置 |
copy startup-config running-config |
用户视图 |
用户通过命令行接口可以将系统保存的配置信息以文本形式显示出来,显示系统保存的配置信息命令为:
display startup-config [ module-list ]
其中module-list为可选的一个或多个模块名。如果不选择模块名将显示配置文件的所有内容,如果选择其中一个或几个模块,将显示配置文件中这几个模块的内容。该命令可以在任意视图下使用。
表1-4 显示已保存的配置
操作 |
命令 |
说明 |
显示已保存的配置 |
display startup-config |
任意视图 |
可以将系统当前的配置信息以文本形式显示出来,显示系统当前的配置信息命令为:
display running-config [ module-list ]
其中module-list为可选的一个或多个模块名。如果不选择模块名将显示系统当前的所有配置,如果选择其中一个或几个模块,将显示系统中与这几个模块相关的当前配置。
表1-5 显示当前配置
操作 |
命令 |
说明 |
显示当前配置 |
display running-config |
任意视图 |
用户通过命令行接口可以改变配置文件的执行模式。系统保存的配置文件可以在可中断和不可中断两种模式下被执行。执行配置文件遇到错误时,在可中断模式下将立即停止执行并回显错误,在不可中断模式下不会停止执行,回显错误并继续执行配置文件。默认为不可中断模式。为了设置执行模式为可中断,需要执行命令buildrun mode stop命令。为了设置执行模式为不可中断,需要执行命令buildrun mode continue命令。请在用户视图下使用这两个命令。
表1-6 配置文件执行模式的切换
操作 |
命令 |
说明 |
模式配置为可中断 |
buildrun mode stop |
用户视图 |
模式配置为不可中断 |
buildrun mode continue |
用户视图 |
系统可以通过TFTP、FTP、Xmodem下载的方法在线升级应用程序、加载配置文件,可以通过TFTP、FTP上载配置文件、日志文件、告警信息。
通过TFTP上载文件的命令为:
upload { application | configuration | info-center | keyfile } tftp tftpserver-ip filename
通过TFTP下载文件的命令为:
load { application | configuration | keyfile | olt-image | onu-image | whole-bootrom } tftp tftpserver-ip filename
其中tftpserver-ip为TFTP服务器的IP地址,filename为要上载的文件名,文件名不能为系统保留字(如在windows操作系统下con不能作为文件名)。在输入命令之前应打开TFTP服务器,并设置文件上载的目的路径。
下面具体的例子中都假设TFTP服务器的IP地址为192.168.0.100, 文件名为abc。下载之前先打开计算机上的TFTP服务器,配置上、下载文件路径。上、下载文件的命令在用户视图下。
# 通过TFTP上载配置文件。
<H3C> upload configuration tftp 192.168.0.100 abc
上载成功后,IP地址为192.168.0.100的计算机中的文件abc就保存了当前的配置。
# 通过TFTP下载配置文件。
<H3C> load configuration tftp 192.168.0.100 abc
下载成功并重新启动系统后,系统将使用新的配置文件abc。
# 通过TFTP上载日志文件。
<H3C> upload info-center tftp 192.168.0.100 abc
# 通过TFTP下载应用程序。
<H3C> load application tftp 192.168.0.100 app.arj
下载成功并重新启动系统后,将运行新下载的应用程序。
# 通过TFTP下载整个BootRom。
<H3C> load whole-bootrom tftp 192.168.0.100 rom3x26.bin
表1-7 通过TFTP上下载文件
操作 |
命令 |
说明 |
通过TFTP上载文件 |
upload { application | configuration | info-center | keyfile } tftp tftpserver-ip filename |
用户视图 |
通过TFTP下载文件 |
load { application | configuration | keyfile | olt-image | onu-image | whole-bootrom } tftp tftpserver-ip filename |
用户视图 |
通过FTP上载文件的命令为:
upload { application | configuration | info-center | keyfile } ftp ftpserver-ipfilename username userpassword
通过FTP下载文件的命令为:
load { application | configuration | keyfile | olt-image | onu-image | whole-bootrom } ftp ftpserver-ipfilename username userpassword
其中ftpserver-ip为FTP服务器的IP地址,filename为要上载的文件名,文件名不能为系统保留字(如在windows操作系统下con不能作为文件名)。username、userpassword为FTP服务器中设置的用户名和密码。在输入命令之前应打开FTP服务器,并设置用户名、密码和文件上载的目的路径。
下面具体的例子中都假设FTP服务器的IP地址为192.168.0.100, 文件名为abc。首先打开该计算机上的FTP服务器,设置好文件路径,并将用户名、密码分别设置为user、1234。上、下载文件的命令在用户视图下。
# 通过FTP上载配置文件。
<H3C> upload configuration ftp 192.168.0.100 abc user 1234
上载成功后,文件abc就保存了当前的配置。
# 通过FTP下载配置文件。
<H3C> load configuration ftp 192.168.0.100 abc user 1234
下载成功并重新启动系统后,将使用新的配置文件abc。
# 通过ftp下载应用程序。
<H3C> load application ftp 192.168.0.100 app.arj user 1234
下载成功并重新启动系统后,将运行新下载的应用程序。
# 通过FTP上载告警文件。
<H3C> upload alarm ftp 192.168.0.100 abc user 1234
# 通过FTP上载日志文件。
<H3C> upload info-centerftp 192.168.0.100 abc user 1234
# 通过FTP下载整个BootRom。
<H3C> load whole-bootrom ftp 192.168.0.100 rom3x26.bin user 1234
表1-8 通过FTP上下载文件
操作 |
命令 |
说明 |
通过FTP上载文件 |
upload { application | configuration | info-center | keyfile } ftp ftpserver-ipfilename username userpassword |
用户视图 |
通过FTP下载文件 |
load { application | configuration | keyfile | olt-image | onu-image | whole-bootrom } ftp ftpserver-ipfilename username userpassword |
用户视图 |
通过Xmodem下载文件的的命令为:
load { application | configuration | whole-bootrom } xmodem
下面具体例子中下载文件的命令在用户视图下。
# 通过Xmodem下载主机程序。
<H3C> load application xmodem
输入命令后,在超级终端的菜单中选择“传送”->“发送文件”,在弹出的“发送文件”对话框中“文件名”一栏输入文件的完整路径和文件名,“协议”下拉列表中选择Xmodem,然后【发送】按钮。
下载成功并重新启动系统后,将运行新的应用程序。
# 通过Xmodem下载配置文件。
<H3C> load configuration xmodem
输入命令后,在超级终端的菜单中选择“传送”->“发送文件”,在弹出的“发送文件”对话框中“文件名”一栏输入文件的完整路径和文件名,“协议”下拉列表中选择Xmodem,然后单击【发送】按钮。
下载成功并重新启动系统后,将使用新的配置文件。
# 通过Xmodem下载BootRom。
<H3C> load whole-bootrom xmodem
输入命令后,在超级终端的菜单中选择“传送”->“发送文件”,在弹出的“发送文件”对话框中“文件名”一栏输入文件的完整路径和文件名,“协议”下拉列表中选择Xmodem,然后【发送】按钮。
下载成功并重新启动系统后,将运行新的BootRom程序。
表1-9 通过Xmodem下载文件
操作 |
命令 |
说明 |
通过Xmodem下载文件 |
load { application | configuration | whole-bootrom } xmodem |
用户视图 |
系统维护着一张用于转发报文的MAC 地址表。这张表的表项包含了设备的MAC 地址、VLAN ID及报文进入OLT的端口号。当一个报文进入OLT时,OLT先根据报文的目的MAC及报文的VLAN ID信息在MAC地址表中查找,如果找到就将报文从MAC地址表项指定的端口发送出去;否则就将报文在此VLAN中进行广播。在SVL学习模式下,报文转发查找MAC时,仅根据报文中的MAC去查找,而忽略VLAN ID。
系统具有MAC 地址学习的功能。如果接收到的报文的源MAC 地址在地址表中不存在,系统就会将此报文的源MAC地址、VLAN ID及接收此报文的端口号作为一个新的表项添加到MAC地址表中。
可以手工配置MAC地址表项。管理员可以根据实际网络情况配置MAC地址表,添加或修改的表项可以是静态、永久、黑洞、动态表项。
系统提供MAC 地址老化的功能。一个设备在一定时间内没有发送任何报文,系统就会把与此设备相关的MAC 地址表项删除。MAC地址老化只对学习到的或者用户配置的可老化(动态)MAC 地址表项起作用。
MAC 地址表管理配置任务列表如下:
· 设置系统MAC地址老化时间
· 设置MAC地址表项
· 使能、关闭MAC地址学习功能
· 修改MAC地址学习模式
· 配置MAC地址表的老化时间
在系统视图下键入命令如下,undo形式恢复为默认值:
mac-address-table age-time { agetime | disable }
undo mac-address-table age-time
agetime表示MAC地址表老化时间,取值范围为1~1048575秒,默认值为300秒,disable表示MAC地址表不老化。如果要恢复MAC地址表老化时间的默认值,请用该命令的undo形式。
· 显示MAC地址表老化时间
在任意视图下,用如下命令显示MAC地址表老化时间:
display mac-address-table age-time
表1-10 配置mac地址表老化时间
操作 |
命令 |
说明 |
配置mac地址表老化时间,undo形式命令用来恢复默认值 |
mac-address-table age-time { agetime | disable } undo mac-address-table age-time |
系统视图 |
显示mac地址表老化时间 |
display mac-address-table age-time |
任意模式 |
· 添加MAC地址
MAC地址表除了动态学习到的表项外,还可以用如下命令手工进行添加。
mac-address-table { dynamic | permanent | static } mac interface interface-num vlan vlan-id
参数mac、vlan-id和interface-num分别为对应新的MAC地址表项的三个属性。
MAC地址属性可以设置动态的(dynamic)、永久的(permanent) 、静态的(static)。动态MAC地址可以老化;永久MAC地址不会老化,而且系统重新启动后这条MAC地址仍然存在;静态MAC地址不会老化,但系统重新启动后将会丢失。
系统可以用如下命令配置MAC地址表项为黑洞表项,当报文的源地址或者目的地址为黑洞MAC地址,就被系统丢弃。
mac-address-table blackhole mac vlan vlan-id
· 删除MAC地址表项
mac-address命令的undo形式删除MAC地址表项。
undo mac-address-table [ blackhole | dynamic | permanent | static ] mac vlan vlan-id
undo mac-address-table [ dynamic | permanent | static ] mac interface interface-num vlan vlan-id
undo mac-address-table [ dynamic | permanent | static ] interface interface-num
undo mac-address-table [ blackhole |dynamic | permanent | static ] vlan vlan-id
undo mac-address-table
参数vlan-id表示根据vlan-id删除MAC地址表项;参数mac表示删除具体的某个MAC地址表项;参数interface-num表示根据端口号删除MAC地址表项;命令undo mac-address-table则表示删除所有MAC地址。
例如:
# 删除所有MAC地址表项。
<H3C> system-view
[H3C] undo mac-address-table
· 显示MAC地址表
可以用display mac-address命令来显示MAC地址表的内容。
display mac-address-table
display mac-address-table [ vlan vlan-id ]
display mac-address-table mac [ vlan vlan-id ]
display mac-address-table { blackhole | dynamic | permanent | static } [ vlan vlan-id ]
display mac-address-table { blackhole | dynamic | permanent | static } [ interface interface-num] [ vlan vlan-id ]
display mac-address-table vlan vlan-id
具体参数意义同添加/删除MAC地址表项所述。
表1-11 添加mac地址表项
操作 |
命令 |
说明 |
手动添加mac表项 |
mac-address-table { dynamic | permanent | static } mac interface interface-num vlan vlan-id |
系统视图 |
添加黑洞(blackhole) MAC地址 |
mac-address-table blackhole mac vlan vlan-id |
系统视图 |
删除MAC地址表项 |
undo mac-address-table [ blackhole | dynamic | permanent | static ] mac vlan vlan-id undo mac-address-table [ dynamic | permanent | static ] mac interface interface-num vlan vlan-id undo mac-address-table [ dynamic | permanent | static ] interface interface-num undo mac-address-table [ blackhole | dynamic | permanent | static ] vlan vlan-id |
系统视图 |
显示MAC地址表 |
display mac-address-table display mac-address-table [ vlan vlan-id ] display mac-address-table mac [ vlan vlan-id ] display mac-address-table { blackhole | dynamic | permanent | static } [ vlan vlan-id ] display mac-address-table { blackhole | dynamic | permanent | static } [ interface interface-num ] [ vlan vlan-id ] display mac-address-table vlan vlan-id |
任意视图 |
系统视图下的配置命令是一条批命令,将所有端口都配成相同的配置;端口视图下可以配置端口MAC地址学习开关。当某一端口禁止MAC地址学习后,从其它端口收到的未知目的地址的报文将不向这个端口转发;从该端口进来的报文,如果它的源地址不在该端口中,则不会转发该报文。缺省情况下打开所有端口MAC地址学习开关。
mac-address-table learning
undo mac-address-table learning
例如:
# 禁止以太网端口7的MAC地址学习。
[H3C-GigabitEthernet-1/0/7]undo mac-address-table learning
显示MAC地址学习开关的命令为:
display mac-address { interface interface-num | cpu }
显示指定端口或者所有端口是否进行MAC地址学习。
表1-12 配置mac地址学习开关
操作 |
命令 |
说明 |
打开、关闭所有端口的mac地址学习开关 |
mac-address-table learning undo mac-address-table-learning |
系统视图/端口视图 |
显示mac地址学习开关 |
display mac-address { interface [interface-num |cpu } |
任意视图 |
支持SVL和IVL学习模式,且默认模式为IVL。当配置学习模式SVL时,必须打开跨VLAN组播功能才能保证组播报文的正常转发。用户可以在系统视图下配置MAC的学习模式,修改学习模式后必须重新启动才能生效。
mac-address-table learning mode { svl | ivl }
display mac-address-table learning mode
例如:
# 修改MAC地址学习模式为IVL。
[H3C] mac-address-table learning mode ivl
# 显示MAC地址学习模式。
[H3C] display mac-address-table learning mode
表1-13 配置MAC地址学习方式
操作 |
命令 |
说明 |
配置MAC地址学习的方式 |
mac-address-table learning mode { svl | ivl } |
系统视图 |
显示MAC地址学习方式 |
display mac-address-table learning mode |
任意视图 |
可以通过以下命令来重启OLT。请在用户视图下进行下列配置:
表1-14 OLT重启
操作 |
命令 |
说明 |
OLT重启 |
reboot |
用户视图 |
display 命令根据功能可以划分为以下几类:
· 显示系统配置信息的命令
· 显示系统运行状态的命令
· 显示系统统计信息的命令
有关各协议和各种端口的display 命令请参见相关章节。下面只介绍一些有关系统的display 命令。
在任意视图下都能使用以下命令:
表1-15 查看系统状态和系统信息
操作 |
命令 |
说明 |
显示系统版本 |
display version |
任意视图 |
显示可以登录系统的管理用户信息 |
display username |
任意视图 |
显示已经登录系统的管理用户信息 |
display users |
任意视图 |
显示系统信息 |
display system |
任意视图 |
显示内存信息 |
display memory |
任意视图 |
显示系统时钟 |
display clock |
任意视图 |
显示cpu信息 |
display cpu-utilization |
任意视图 |
系统基本配置和管理任务包括:
· 设置OLT主机名
请在系统视图下进行sysname命令的操作,设置系统命令行接口提示符。要恢复默认命令行接口提示符,请在系统视图下执行undo sysname命令。
设置系统命令行接口提示符:
sysname hostname
hostname为系统命令行接口提示符字符串,长度为1~128个字符,必须是可打印字符且不能包含'/'、':'、'*'、'?'、'\'、'<'、'>'、'|'、'"'、’’等字符。
在系统视图下执行undo sysname命令恢复默认值,默认值为H3C。
· 设置系统时钟
请在用户视图下进行clock set命令的操作,设置系统时钟。
设置系统时钟
clock set HH:MM:SS YYYY/MM/DD
表1-16 系统基本配置和管理
操作 |
命令 |
说明 |
设置OLT主机名 |
sysname hostname |
系统视图 |
设置系统时钟 |
clock set HH:MM:SS YYYY/MM/DD |
用户视图 |
ping主要用于检查网络连接及主机是否可达。请在用户视图下进行下列配置:
ping [ -c count ] [-s packetsize ] [ -t timeout ] host
参数说明:
-c count:为发送报文数。
-s packetsize:为发送报文长度,以字节为单位。
-t timeout:为发完报文后等到响应的超时,以秒为单位。
表1-17 网络连接测试
操作 |
命令 |
说明 |
检测网络连接及主机是否可达 |
ping [ -c count ] [ -s packetsize ] [ -t timeout ] host |
用户视图 |
系统视图下的loopback命令进行所有端口的外环或内环测试;端口视图下的loopback命令用来测试所在端口是否正常,分为内环、外环两种模式。进行内、外环测试时必须配置系统的IP地址,进行外环测试时还必须在端口上插外环线(RJ45的收发线直接相连)。注意1000M五类线连接要用8根线,100M及以下使用4根不同。
使用loopback命令进行环回测试时,端口将不能正确转发数据包,一定时间后环回测试自动结束。如果端口执行了shutdown命令则不能进行环回测试;在进行环回测试时系统将禁止在端口上进行speed、duplex、mdi、vct及shutdown等操作。进行外环测试完毕后,必须马上将外环线拔下,以避免造成设备环路导致通信不正常。
对所有端口进行外环测试的命令:
loopback external
对特定端口回环测试的命令:
loopback { external | internal }
其中external表示外环测试,internal表示内环测试。
表1-18 网络回环测试
操作 |
命令 |
说明 |
对所有端口进行回环测试 |
loopback { external | internal } |
系统视图 |
对特定端口进行回环测试 |
loopback { external | internal } |
端口视图 |
管理IP地址限制可以分别限制登录OLT web、telnet、snmp agent的主机IP地址或某个网段,而在配置之外的其它IP地址不能对OLT进行管理。缺省情况下3种服务器都有一条全0的地址段,所以任何IP地址的用户都可以管理OLT。不同的IP地址或掩码表示不同的信息。当反掩码为0.0.0.0时表示主机地址,否则表示网段,255.255.255.255表示所有主机。使能配置时必须删除全0的表项。当服务器接收到一个报文时,判断这个IP地址是否属于管理IP地址的范围,不属于则丢弃报文,telnet还关闭连接。
login-access-list { web | snmp | telnet } ip-address wildcard
其中web表示web服务器的访问IP地址限制,snmp表示snmp agent的访问IP地址限制,telnet表示telnet服务器的访问IP地址限制;ip-address是IP地址,wildcard是掩码通配符,采用反掩码形式,0表示掩此位,1表示不掩此位。当反掩码为0.0.0.0时表示主机地址,255.255.255.255时表示所有主机。此命令的undo形式删除相应的表项。
例如:
# 配置只允许192.168.0.0/255.255.0.0这个网段的地址通过telnet访问OLT。
<H3C> system-view
[H3C] login-access-list telnet 192.168.0.0 255.255.0.0
[H3C] undo login-access-list telnet 0.0.0.0 255.255.255.255
显示管理IP地址限制的配置的命令:
display login-access-list
表1-19 管理IP的限制
操作 |
命令 |
说明 |
配置管理IP |
login-access-list { web | snmp | telnet } ip-address wildcard |
系统视图 |
显示管理IP地址限制的配置 |
display login-access-list |
所有视图 |
可配置允许同时进入用户视图的Telnet用户的最大数目。该功能可限制同一时刻通过Telnet登陆并进入用户视图的用户数目(0~5)。通过Telnet登陆但不进入用户视图的用户数目则不受此限制,但受到系统允许登陆的最多Telnet用户数限制。管理员用户和超级用户始终可以通过串口登陆并进入用户视图,也不受此限制。可通过命令display users查看此配置。
请在系统视图下进行下列配置:
login-access-list telnet-limit user-number
undo login-access-list telnet-limit
参数说明:
user-number表示允许进入用户视图的Telnet 用户的最大数目,取值范围为0~5,默认值为5。
表1-20 配置可同时进入用户视图的Telnet用户数
操作 |
命令 |
说明 |
telnet用户数限制 |
login-access-list telnet-limit user-number |
系统视图 |
恢复默认值 |
undo login-access-list telnet-limit |
系统视图 |
查看此配置 |
display users |
任意视图 |
tracert主要用于路由跟踪及检查网络连接。请在用户视图进行下列配置:
tracert [ -u | -c ] [ -p udpport | -f first_ttl | -h maximum_hops | -w time_out ] target_name
参数说明:
-u 表示发送udp报文,-c 表示发送icmp的echo报文,默认为-c方式;
udpport:为发送udp报文的目的端口地址,取值范围为1~65535,默认端口62929;
first_ttl:为发送报文的初始ttl值,取值范围为1~255,默认值为1;
maximum_hops:为发送报文的最到ttl值,取值范围为1~255,默认值为30;
time_out:为发送报文后等待回应的超时时间,取值范围为10~60,单位为秒,默认值为10秒;
target_name:目标主机或路由器地址。
表1-21 路由跟踪命令
操作 |
命令 |
说明 |
路由跟踪,显示经过的路由 |
tracert [ -u | -c ] [ -p udpport | -f first_ttl | -h maximum_hops | -w time_out ] target_name |
用户视图 |
cpu-car主要用于设置cpu接收报文的速率,undo cpu-car命令用于恢复cpu接收报文的速率为默认值。请在系统视图下配置:
cpu-car target-rate
undo cpu-car
参数说明:
target-rate:cpu接收报文的速率,取值范围是1~1000pps,默认值为50pps。
表1-22 cpu接收报文速率配置
操作 |
命令 |
说明 |
设置cpu接收报文的速率 |
cpu-car target-rate |
系统视图 |
恢复默认值 |
undo cpu-car |
系统视图 |
SNMP(Simple Network Management Protocol,简单网络管理协议)是在TCP/IP网络上的重要网管协议,它以在网络上交换信息包的方式来实现网管。SNMP协议给大型网络的集中管理提供了可能。它的目标是保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、进行修改、寻找故障,并完成故障诊断、容量规划和报告生成。它的结构分为NMS 和Agent 两部分,NMS( Network Management Station ),是运行客户端程序的工作站,Agent 是运行在网络设备上的服务器端软件。NMS 可以向Agent 发出Get Request 、Get Next Request 和Set Request 报文,Agent 接收到NMS 的请求报文后,根据报文类型对管理变量进行Read 或Write 操作,并生成Response 报文,返回NMS 。另一方面,Agent 在设备发生冷/热启动等异常情况时,也会主动向NMS 发送Trap 报文报告所发生的事件。
系统支持SNMP v1和v2c两个版本。v1提供简单的认证机制,不支持管理者到管理者的通信,v1 Trap没有确认机制。
v2c对v1增强管理模型(安全性的增强),管理信息结构,协议操作,管理器与管理器之间通信的能力,增加了对表的创建和删除,管理器间的通信能力,减少了代理方的存储操作。
SNMP 的主要配置任务列表如下:
· 设置团体名
· 设置sysContact
· 设置Trap目标主机地址
· 设置sysLocation
· 设置sysName
· 设置通告发送开关
· 设置trap发送源地址
· 设置引擎id
· 设置视图
· 设置组
· 设置用户
SNMP采用团体名认证方案,与系统认可的团体名不符的SNMP报文将被丢弃。SNMP团体(Community)由一字符串来命名,称为团体名(Community Name)。不同的团体可具有只读(read-only)或读写(read-write)访问权限。具有只读权限的团体只能对系统信息进行查询,而具有读写权限的团体还可以对系统进行配置。系统最多可配置8个团体名,默认无团体名设置。请在系统视图下进行下列配置。
· 设置团体名及访问权限,如果要修改community的属性,也可用该命令,只需community-name字符串保持不变
snmp-agent community community-name { ro | rw } { deny | permit } [ view view-name ]
community-name字符串为1~20个可打印字符;ro、rw分别表示只读、读写访问权限;
permit、deny则代表该community是否可用。
view-name是为此团体名配置的视图,默认将配置视图iso。
· 删除团体名及访问权限
undo snmp-agent community community-name
community-name为已经存在的团体名。
例如:
# 添加一个团体名为green,权限为可读写且激活的用户。
[H3C] snmp-agent community green rw permit
# 删除团体名为green的用户。
[H3C] undo snmp-agent community green
· 查看团体名信息,在任意视图下
display snmp community
例如:
# 查看团体名信息。
[H3C] display snmp community
表1-23 SNMP配置设置团体名
操作 |
命令 |
说明 |
设置团体名及访问权限 |
snmp-agent community community-name { ro | rw } { deny | permit } [ view view-name ] |
系统视图 |
删除团体名及访问权限 |
undo snmp-agent community community-name |
系统视图 |
查看团体名信息 |
display snmp community |
系统视图 |
syscontact 是MIB Ⅱ中system 组的一个管理变量,内容为系统管理员联系方法。请在系统视图下进行下列配置:
snmp-agent contact syscontact
undo snmp-agent contact
syscontact为管理员联系方式字符串,长度为1~255个字符,取值范围为可打印字符,该命令的undo形式表示恢复管理员联系方式的默认值。
表1-24 配置管理员联系方式
操作 |
命令 |
说明 |
修改管理员联系方式 |
snmp-agent contact syscontact |
系统视图 |
管理员联系方式恢复默认值 |
undo snmp-agent contact |
系统视图 |
显示管理员联系方式 |
display snmp contact |
任意视图 |
如果输入的字符串间有空格,要求用引号括起来。
该配置任务用来设置或删除发送通告信息的目标主机的IP地址。请在系统视图下进行下列配置。
· 设置通告目标主机地址
snmp-agent host host-addr version { 1 | 2c | 3 } { auth | noauth | priv } community-string [ udp-port port ] [ notify-type [ notifytype-list ] ]
· 删除通告目标主机地址
undo snmp-agent host ip-address community-string { 1 | 2c | 3 }
参数ip-address表示snmp-agent 通告表中IP地址。community-string表示snmp-agent 通告表项中IP相对应的安全名。对于snmpv1和snmpv2c来说,安全名即团体名,对于snmpv3来说安全名即用户名。1、2c和3表示SNMP版本。port表示将发送到的端口号。notifytype-list表示可选的通告类型。不进行选择将默认选择所有通告类型。只有被选择的通告类型才会被发送到目标主机。注意,当需要开启inform通告功能,必须先配置远程引擎ID,才能正常通告inform。
例如:
# 配置snmp-agent通告表项,ip地址为192.168.0.100,版本为2c,团体名为user。
[H3C] snmp-agent host 192.168.0.100 version 2c user
# 删除通告目标主机地址为192.168.0.100,团体名为user的项。
[H3C] undo snmp-agent host 192.168.0.100 user
· 查看snmp-agent 通告表项信息,在任意视图下,使用下列命令:
display snmp host
表1-25 通告目标主机配置
操作 |
命令 |
说明 |
设置通告目标主机地址 |
snmp-agent host host-addr version { 1 | 2c | 3 } {auth | noauth | priv } community-string [ udp-port port ] [ notify-type [ notifytype-list ] ] |
系统视图 |
删除通告目标主机地址 |
undo snmp-agent host ip-address community-string { 1 | 2c | 3 } |
系统视图 |
查看snmp-agent 通告表项信息 |
display snmp host |
任意视图 |
syslocation 是MIB 中system 组的一个管理变量,用于表示被管理设备的位置。在系统视图下,配置系统位置信息,可用如下命令:
snmp-agent location syslocation
undo snmp-agent location
syslocation为系统位置信息字符串,长度为1~255个字符,取值范围为可打印字符。该命令的undo形式表示恢复系统位置信息的默认值。
例如:
# 配置OLT位置为“sample sysLocation factory”。
[H3C] snmp-agent location “sample sysLocation factory”
如果输入的字符串间有空格,要求用引号括起来。
需要知道系统位置信息时,在任意视图下,使用如下命令显示字符串:
display snmp location
表1-26 设置OLT位置
操作 |
命令 |
说明 |
设置OLT位置 |
snmp-agent location syslocation |
系统视图 |
恢复默认位置 |
undo snmp-agent location |
系统视图 |
查看系统位置信息 |
display snmp location |
任意视图 |
sysname是MIB Ⅱ中system 组的一个管理变量,内容为OLT名称。请在系统视图下进行下列配置:
snmp-agent name sysname
undo snmp-agent name
sysname为OLT名称字符串,长度为1~255个字符,取值范围为可打印字符。
表1-27 设置OLT名称
操作 |
命令 |
说明 |
设置OLT名称 |
snmp-agent name sysname |
系统视图 |
恢复默认名称 |
undo snmp-agent name |
系统视图 |
如果输入的字符串间有空格,要求用引号括起来。
通过对通告类型发送开关的配置可以将各种通告类型的发送开关打开及关闭。系统默认通告发送的方式为trap。当开关被关闭时,trap将不会被发送。系统默认开关处于关闭状态。请在系统视图下进行下列配置:
snmp-agent enable traps [ notificationtype-list ]
undo snmp-agent enable traps [ notificationtype-list ]
notificationtype-list为系统定义的可用通告类型列表。通过对其中一个或多个进行选择来打开或关闭所选通告类型的开关。如果不进行选择将打开所有通告类型的开关或关闭所有通告类型的开关。
通告类型包括如下:
bridge:打开/关闭生成树使能
interfaces:端口linkup/linkdown
snmp:访问控制,系统冷启/热启
gbnsavecfg:配置保存
rmon:RMON trap
gbn:自定义Trap如GN-Link Trap,端口blocking,CAR,环路检测
表1-28 设置通告发送开关
操作 |
命令 |
说明 |
打开通告发送开关 |
snmp-agent enable traps [ notificationtype-list ] |
系统视图 |
关闭通告发送开关 |
undo snmp-agent enable traps [ notificationtype-list ] |
系统视图 |
该配置任务用来配置本地snmp实体的引擎id及可被本地识别的远程snmp实体的引擎id。
本地引擎id默认为134640000000000000000000,可修改但不能被删除。默认无可识别
的远程引擎id。远程引擎id可被添加及删除。一旦一个可识别的远程引擎被删除,其对应
的用户也将全部被删除。可配置的最大远程引擎数为32。该命令的undo形式用来恢复缺省本地引擎id或删除远程引擎id。请在系统视图下进行下列配置:
snmp-agent engineID { local engineid-string | remote ip-address [ udp-port port-number ] engineid-string }
undo snmp-agent engineID { local | remote ip-address [ udp-port port-number ] }
可在任意视图下查看当前的引擎配置:
display snmp engineID { local | remote }
engineid-string 是在某网络内可唯一标识一个引擎的标识符,本系统只支持输入可打印的
字符来标识一个引擎id。引擎id不能含有空格
ip-address 是远程引擎的ip地址,系统不允许输入本地ip
port-number是远程引擎的端口号,如不进行配置将默认端口号为162
# 配置本地引擎id为12345。
<H3C> system-view
[H3C] snmp-agent engineid local 12345
# 配置可被本地识别的远程引擎。远程引擎的ip为1.1.1.1,端口号为888,id为1234。
<H3C> system-view
[H3C] snmp-agent engineid remote 1.1.1.1 udp-port 888 1234
# 查看本地的引擎配置。
<H3C> display snmp engineid local
表1-29 设置引擎id
操作 |
命令 |
说明 |
配置本地snmp实体的引擎id及可被本地识别的远程snmp实体的引擎id |
snmp-agent engineid { local engineid-string | remote ip-address [ udp-port port-number ] engineid-string } |
系统视图 |
恢复缺省本地引擎id或删除远程引擎id |
undo snmp-agent engineid { local | remote ip-address [ udp-port port-number ] } |
系统视图 |
查看当前的引擎配置 |
display snmp engineid { local | remote } |
任意视图 |
该配置任务用来配置视图访问控制时可用的视图及其包含的子树。默认存在三个视图iso、internet和sysview,可配置的最大视图数为64。视图internet禁止删除和修改。请在系统视图下进行下列配置:
snmp-agent view view-name oid-tree { included | excluded }
undo snmp-agent view view-name [ oid-tree ]
view-name是所要添加的视图的视图名。长度为1~32,视图名不能含有空格。
oid-tree是视图所包含的子树,它对应一个mib节点,如”1.3.6.1”;OID包含的子字符串必须为0-2147483647的整数。
视图名称字符串中包含的字符个数加上OID包含的节点个数再加上2的和不得超过64。
配置视图子树类型为exclude时,仅意味着该子树下的节点不可访问,并不意味着该子树外的节点可以访问。配置通告目标主机时,如果安全名为共同体,发送通告不受视图影响;如果安全名为SNMPv3用户,发送通告受该用户的通告视图控制。通告视图控制的是该通告携带的变量所属节点是否可访问,并不影响通告所属trap OID节点的访问属性。如果通告不包含绑定的变量,则该通告始终可发送不受视图影响。
# 增加视图view1,为其配置子树”1.3.6.1”。
[H3C] snmp-agent view view1 1.3.6.1 include
# 为已存在的视图view1增加可包含的子树”1.3.6.2”。
[H3C] snmp-agent view view1 1.3.6.2 include
# 删除已存在视图view1。
[H3C] undo snmp-agent view view1
# 查看视图配置。
[H3C] display snmp view
表1-30 设置视图
操作 |
命令 |
说明 |
添加和删除视图访问控制时可用的视图及其包含的子树 |
snmp-agent view view-name oid-tree { included | excluded } undo snmp-agent view view-name [ oid-tree ] |
系统视图 |
查看视图配置 |
display snmp view |
任意视图 |
该配置任务可用来配置一个访问控制组。默认存在的组如下:(1)安全模型为v3,安全级别为鉴别的组initial; (2)安全模型为v3,安全级别为鉴别加密的组initial。最多可配置64个组。请在系统视图下进行下列配置:
snmp-agent group groupname { 1 | 2c | 3 } { auth | noauth | priv } [ context context-name ] } [ read readview ]
[ wrete writeview ] [ notify notifyview ]
undo snmp-agent group groupname { 1 | 2c | 3 } { auth | noauth | priv } [ context context-name ]
可在任意视图下查看已配置的组:
display snmp group
groupname是组名,长度为1~32,组名不能含有空格。
readview是一个视图名,配置后表示在此视图范围内有读的权限,不输入将默认该组不包含可读视图。
writeview是一个视图名,配置后表示在此视图范围内有读写的权限,不输入将默认该组不包含可读写视图。
notifyview是一个视图名,配置后表示在此视图范围内有发送通告的权限,不输入将默认该组不包含可发送通告的视图。
context-name是设备上下文,不输入context-name将默认为本地设备。
# 为本地设备增加组group1,使用安全模型3,包含三种视图均为internet。
[H3C] snmp-agent group group1 3 read internet write internet notify
# 删除为本地设备配置的组group1。
[H3C] undo snmp-agent group group1 3 auth
# 显示当前的组配置。
[H3C] display snmp group
表1-31 设置组
操作 |
命令 |
说明 |
配置一个访问控制组 |
snmp-agent group groupname { 1 | 2c | 3 } { auth | noauth | priv } [ context context-name ] } [ read readview ] [ write writeview ] [ notify notifyview ] undo snmp-agent group groupname { 1 | 2c | 3 } { auth | noauth | priv } [ context context-name ] |
系统视图 |
查看已配置的组 |
display snmp group |
任意视图 |
该配置任务用来为本地引擎或可识别的远程引擎配置用户,默认存在的用户如下:(1)initialmd5(要求md5鉴别);(2) initialsha(要求sha鉴别);(3) initialnone(不要求鉴别)。上述三个用户保留为系统使用,用户不能使用。配置用户时需要保证此用户所属引擎是可识别的。当可识别的引擎被删除时,其包含的用户也将被删除。最多可配置64个用户。请在系统视图下进行下列配置:
snmp-agent user username groupname [ remote host [ udp-port port ] ] [ auth { md5 | sha } { authpassword { encrypt-authpassword authpassword | authpassword } | authkey { encrypt-authkey authkey | authkey } } [ priv des { privpassword { encrypt-privpassword privpassword | privpassword } | privkey { encrypt-privkey privkey | privkey } } ]
undo snmp-agent user username [ remote host [ udp-port port ] ]
可在任意视图下查看已配置的用户:
display snmp user
username是要配置的用户名,长度为1~32,中间不能含有空格。
groupname是用户要加入的组名,长度为1~32,中间不能含有空格。
host是远程引擎的ip地址,不输入将默认本地引擎。
port是远程引擎的端口号,不输入将默认端口号为162。
authpassword是鉴别口令,未加密的口令长度为1~32,为防止口令在网上泄漏,可使用加密算法对口令进行加密配置。要配置加密后的口令,需使用支持本系统加密算法的客户端将未加密口令加密,使用加密后的密文进行配置。加密后的密文长度根据不同加密算法而不同。从命令行用密文进行配置时请按16进制数据的表示形式输入。例如输入一个16字节的密文“a20102b32123c45508f91232a4d47a5c”。
privpassword是加密口令,未加密的口令长度为1~32,为防止口令在网上泄漏,可使用加密算法对口令进行加密配置。要配置加密后的口令,需使用支持本系统加密算法的客户端将未加密口令加密,使用加密后的密文进行配置。加密后的密文长度根据加密算法的不同而不同。从命令行用密文进行配置时请按16进制数据的表示形式输入。例如输入一个16字节的密文“a20102b32123c45508f91232a4d47a5c”。
authkey是鉴别密钥,未加密的鉴别密钥长度为16字节(使用md5算法进行散列)或20字节(使用SHA-1算法进行散列),加密后的鉴别密钥长度为16字节(使用md5算法进行散列)或24字节(使用SHA-1算法进行散列)。
privkey是加密密钥,未加密的加密密钥长度为16字节,加密后的鉴别密钥长度为16字节。
关键字encrypt-authpassword、encrypt-authkey、encrypt-privpassword、encrypt-privkey仅用在反编译生成的命令行中,以防止用户配置的明文口令和密钥泄漏。用户在通过命令行配置SNMP用户时不能使用上述关键字。
# 为本地引擎增加用户user1,加入组grp1,此用户不使用鉴别和加密。
[H3C] snmp-agent user user1 grp1
# 为本地引擎增加用户user2,加入组grp2,此用户使用md5鉴别,不使用加密,输入口令为1234。
[H3C] snmp-agent user user2 grp2 auth md5 auth-password 1234
# 为本地引擎增加用户user3,加入组grp3,此用户使用md5鉴别和des加密,鉴别口令为1234,加密口令为4321。
[H3C] snmp-agent user user3 grp3 auth md5 auth-password 1234 priv des priv-password 4321
表1-32 设置用户
操作 |
命令 |
说明 |
为本地引擎或可识别的远程引擎配置用户 |
snmp-agent user username groupname [ remote host [ udp-port port ] ] [ auth { md5 | sha } { authpassword { encrypt-authpassword authpassword | authpassword } | authkey { encrypt-authkey authkey | authkey } } [ priv des { privpassword { encrypt-privpassword privpassword | privpassword } | privkey { encrypt-privkey privkey | privkey } } ] undo snmp-agent user username [ remote host [ udp-port port ] ] |
系统视图 |
查看已配置的用户 |
display snmp user |
任意视图 |
所谓IP 地址,是指分配给连接在Internet上的主机的一个唯一的32比特地址。IP地址一般由两部分组成:第一部分为网络号码,第二部分为主机号码。IP地址的结构使我们可以在Internet上方便地进行寻址。系统获取IP地址共有三种方式:DHCP(动态主机配置协议)方式,DHCP客户机可以向DHCP服务器动态地请求配置信息,包括分配的IP地址、子网掩码、缺省网关等重要参数; BOOTP方式针对静态主机配置IP地址;还可以通过ip address命令手工来配置IP地址,不过只能选择这3种方式中其中一种来获取IP地址。
管理VLAN是指只有这些VLAN中的用户才可以跟OLT进行IP通信。系统现支持最多可以配置26个管理VLAN,默认包含VLAN ID为1的管理VLAN。
ipaddress vlan vlan-id
undo ipaddress vlan vlan-id
可以使用这两个命令进行管理VLAN的添加和删除操作,参数vlan-id表示VLAN ID,取值范围为1~4094,而且必须为已经存在的VLAN。
通过ip address命令,用手工方式来设置OLT的IP地址、子网掩码、网关地址,可以用缺省的网关地址。请在系统视图下使用下列命令:
ip address ip-address mask [gateway gateway ]
参数ip-address表示OLT IP地址,参数mask表示子网掩码,参数gateway表示网关地址,网关地址是可选择的,如果命令中没有设置网关地址,那么网关地址就默认为0.0.0.0。
例如:
# 设置OLT的IP 地址为192.168.0.100,掩码为255.255.0.0,使用缺省网关地址。
[H3C]ip address 192.168.0.100 255.255.0.0
表1-33 手工配置OLT IP地址
操作 |
命令 |
说明 |
手工方式来设置OLT的IP地址 |
ip address ip-address mask [ gaetway gateway ] |
系统视图 |
若通过BOOTP方式来配置OLT IP地址,请在系统视图下使用下列命令:
· 配置OLT通过BOOTP方式获取IP地址
bootp
表1-34 通过BOOTP方式获取IP
操作 |
命令 |
说明 |
通过BOOTP方式来配置OLT IP地址 |
bootp |
系统视图 |
若选择通过DHCP方式来获取OLT IP地址,请在系统视图下使用下列命令:
· 设置OLT通过DHCP方式获取IP地址
dhcp
表1-35 通过DHCP方式获取IP
操作 |
命令 |
说明 |
通过DHCP方式来配置OLT IP地址 |
dhcp |
系统视图 |
原来设置为DHCP方式,改为BOOTP方式获得IP地址,再设置IP地址为192.168.0.100,掩码为255.255.0.0,网关为192.168.0.254:
在系统视图下,配置步骤如下:
(1) 设置DHCP方式
[H3C]dhcp
(2) 设置BOOTP方式
(3) 手工配置
[H3C]ip address 192.168.0.100 255.255.0.0 gateway192.168.0.254
表1-36 IP地址配置的三种方式
操作 |
命令 |
说明 |
设置方式获取ip地址 |
dhcp |
系统视图 |
设置方式获取ip地址 |
bootp |
系统视图 |
手工配置ip |
ip address 192.168.0.100 255.255.0.0 gateway 192.168.0.254 |
系统视图 |
查看OLT的IP地址,将显示OLT的IP地址获取方式、IP地址、子网掩码、网关地址等信息。在任意视图下执行以下命令:
display ip
表1-37 显示olt 的ip信息
操作 |
命令 |
说明 |
显示olt ip地址的相关信息 |
display ip |
任意视图 |
该命令用于控制OLT是否转发目的地址未知的报文。
在系统视图或者端口视图下利用以下命令打开或关闭OLT对目的地址未知报文的转发功能:
表1-38 目的地址未知报文的转发
操作 |
命令 |
说明 |
开启目的地址未知报文的转发 |
dlf-forward { multicast | unicast } |
系统视图 |
关闭该功能 |
undo dlf-forward { multicast | unicast } |
系统视图 |
系统可以监视CPU使用率,若发现CPU使用率超过了CPU忙的阈值(cpu busy threshold),就发送CPU忙的告警,此时CPU处于忙状态。在此状态下,若发现CPU使用率低于CPU不忙的阈值(cpu unbusy threshold),则发送CPU忙的告警。此功能可以使系统主动的向用户报告当前的CPU使用情况。
CPU使用率主要配置任务列表如下:
· 开启/关闭CPU使用率告警
· 配置CPU忙阈值和CPU不忙阈值
· 显示CPU使用率告警信息
表1-39 CPU使用率告警
操作 |
命令 |
说明 |
打开CPU使用率告警 |
alarm cpu |
系统视图 |
关闭告警 |
undo alarm cpu |
系统视图 |
缺省情况下,CPU使用率告警处于开启状态。
表1-40 CPU忙/不忙阈值设置
操作 |
命令 |
说明 |
CPU状态阈值设置 |
alarm cpu threshold [ busy busy ] [ unbusy unbusy ] |
系统视图 |
注意需要满足busy > unbusy的条件。缺省情况下,CPU忙阈值为90%,CPU不忙阈值为60%。
表1-41 显示CPU使用率告警信息
操作 |
命令 |
说明 |
显示CPU使用率告警信息 |
display alarm cpu |
系统视图 |
系统可以接收的IP分片报文数目并没有占用系统的所有接收报文资源,这样即使受到IP分片攻击时系统也可以正常处理其它非分片报文,而且可以配置IP分片接收数目范围,当为0的时候表示系统不处理IP分片报文,这样系统就可以避免分片攻击的影响。
表1-42 防dos攻击
操作 |
命令 |
说明 |
IP分片攻击防护 |
anti-dos ip fragment maxnum undo anti-dos ip fragment |
系统视图 |
相关信息显示 |
display anti-dos |
系统视图 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!