- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (2.41 MB)
目 录
建议使用Chrome 109.0.5414.120及以上版本、Firefox 110.0及以上版本、Microsoft Edge 89.0.774.68及以上版本的浏览器访问Web管理页面。暂不支持Internet Explorer浏览器访问Web管理页面。
(1) 将PC连接到设备的LAN接口。
(2) 手工配置PC的IP地址和192.168.0.233/24在同一网段。
(3) 检查PC的代理服务设置情况。如果当前PC使用代理服务器访问互联网,则首先必须禁止代理服务。
(4) 运行Web浏览器。请在浏览器地址栏中输入http://192.168.0.233(设备缺省的管理IP地址,登录后可修改)并回车。
(5) 如图1-1所示,在弹出的窗口上输入管理员用户名和密码(用户名缺省为admin,密码缺省值为admin),点击<登录>按钮。为了保证设备安全,建议首次登录设备后及时更改登录密码,详细配置方法,请参见4.2 账号管理。
图1-1 Web登录页面
用户登录后,Web页面导航树上的一级菜单包括首页、系统管理、监测管理、交换机配置、VLAN配置和QoS配置。点击一级菜单,会展开子菜单,子菜单由特性名称组成,点击特性名称可以进入相应的Web页面对该特性进行配置。
点击导航栏下方“
”图标,可以跳转至“意见反馈”页面。意见反馈页面是我们与用户沟通的重要渠道,我们非常注重并欢迎您的宝贵意见。您可以在“意见反馈”页面的表单中填写您的功能建议、对产品界面的看法、发现的缺陷BUG以及对新功能的需求等内容。我们会认真阅读每一条反馈,并根据您的意见不断改进和优化我们的产品。感谢您的支持与理解!
图2-1 Web页面布局
|
(1)导航栏 |
(2)端口状态栏 |
|
(3)执行区 |
|
如上图所示,Web页面有以下几个功能区域:
· 导航栏:以树的形式组织设备的Web功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在执行区中。点击导航栏上方“H3C”图标,可以跳转至H3C官方网站。点击导航栏下方“
”图标,可以跳转至“意见反馈”页面。
· 端口状态栏:展示端口数量和端口物理状态。
· 执行区:进行配置操作、信息查看、操作结果显示的区域。
表2-1 物理状态描述表
|
端口 |
图标 |
说明 |
|
电口 |
|
该端口处于断开状态 |
|
|
端口处于连接状态 |
|
|
|
端口被检测出了环路,并且触发了环路保护机制 |
|
|
|
端口被检测出环路 |
|
|
光口 |
|
该端口处于断开状态 |
|
|
端口处于连接状态 |
|
|
|
端口被检测出了环路,并且触发了环路保护机制 |
|
|
|
端口被检测出环路 |
显示设备的基本信息和端口信息。
系统管理菜单包含的特性及其支持的功能如表2-2所示。
|
特性名称 |
功能 |
|
IP设置 |
配置设备管理IP |
|
账号管理 |
管理账号密码 |
|
系统重启 |
重启设备 |
|
系统升级 |
更新系统软件版本 |
|
恢复出厂 |
恢复出厂设置 |
|
系统日志 |
查看系统日志相关信息 |
监测管理菜单包含的特性及其支持的功能如表2-3所示。
|
特性名称 |
功能 |
|
端口统计 |
显示端口统计信息 |
|
线缆诊断 |
进行线缆诊断分析 |
|
环路预防 |
· 环路保护 · 环路检测 |
交换机配置菜单包含的特性及其支持的功能如表2-4所示。
|
特性名称 |
功能 |
|
端口设置 |
· 修改端口状态 · 配置端口的速率和双工模式 · 配置流量控制 · 显示端口信息 |
|
端口镜像 |
· 启用/禁用端口镜像 · 设置源端口、目的端口 · 显示端口镜像信息 |
|
端口隔离 |
· 启用/禁用端口隔离功能 · 显示端口隔离信息 |
|
静态MAC |
· 添加和删除静态MAC地址表项 · 源MAC阻塞功能 · 显示MAC地址信息 |
|
MAC搜索 |
搜索MAC地址表项 |
|
MAC列表 |
· 显示已有的MAC地址表项 · 清除动态MAC功能 |
|
DHCP Snooping |
· 启用/禁用DHCP Snooping功能 · 配置信任端口、不信任端口 · 显示DHCP Snooping信息 |
|
PoE设置 |
· 启用/禁用接口的PoE功能 · 显示PoE信息 |
VLAN配置包含的特性及其支持的功能如表2-5所示。
表2-5 VLAN配置菜单包含的特性及其支持的功能
|
特性名称 |
功能 |
|
VLAN成员 |
· 启用/禁用VLAN功能 · 创建、删除VLAN · 显示静态VLAN信息 |
|
VLAN配置 |
· 启用/禁用VLAN功能 · 基于端口划分VLAN · 显示端口VLAN信息 |
QoS菜单包含的特性及其支持的功能如表2-6所示。
|
特性名称 |
功能 |
|
端口限速 |
· 启用/禁用端口限速 · 显示端口带宽信息 |
|
风暴控制 |
· 启用/禁用风暴控制 · 显示风暴控制信息 |
首页可以查看设备信息和端口统计信息。
设备运行模式分为独立模式和影终端模式。
· 独立模式:支持Web页面管理。
· 影终端模式:支持Web页面管理与SmartMC平台统一纳管。
设备运行模式为影终端模式时,设备重新启动后恢复缺省配置。
(1) 如图3-1所示,单击导航栏中[首页]菜单项,进入首页页面。
(2) 在“设备信息”标题下,可进行如下操作:
¡ 查看设备信息。
¡ 切换设备运行模式。
缺省情况下,运行模式为影终端模式。
¡ 开启或关闭UWEB功能。
开启时设备将会自动查询并上线UWEB。成功上线后,点击“已连接”,可以跳转至对应UWEB网站。
R8811
仅Release 8811及以上版本支持本功能。
¡ 开启或关闭云简网络。
开启时设备将会自动查询并上线云简网络。成功上线后,点击“已连接”,可以跳转至对应云简网络管理网站。
仅Release 8811及以上版本支持本功能。
(1) 如图3-1所示,单击导航栏中[首页]菜单项,进入首页页面。
(2) 在“端口统计信息”标题下,可查看端口物理状态、发送成功包和发送失败包等端口统计信息。
(1) 如图4-1所示,单击导航栏中[系统管理/IP设置]菜单项,进入IP设置页面。
(2) 在“DHCP”下拉菜单处,选择“开启”或“开启”DHCP服务。
独立模式:缺省情况下,DHCP处于开启状态。
影终端模式:缺省情况下,被纳管前,DHCP处于关闭状态;被纳管后,DHCP处于开启状态。
(3) 在“管理VLAN”配置项处,输入管理VLAN。
当运行模式为影终端模式时,不支持“管理VLAN”功能。
(4) 在“IP地址”配置项处,输入管理IP地址。
(5) 在“子网掩码”配置项处,输入子网掩码。
(6) 在“网关地址”配置项处,输入网关地址。
(7) 点击<提交>按钮,弹出如图4-2所示的对话框。点击<确定>按钮,完成配置。
图4-1 IP设置页面
图4-2 提示对话框
(1) 如图4-1所示,单击导航栏中[系统管理/IP设置]菜单项,进入DNS设置页面。
(2) 在“DNS地址”配置项处,输入DNS地址。
(3) 在“云简域名”配置项处,输入云简域名地址。
(4) 点击<提交>按钮,完成配置。
(1) 如图4-3所示,单击导航栏中[系统管理/账号管理]菜单项,进入账号管理页面。
(2) 在“新密码”配置项处,输入新密码。
缺省情况下,密码为“admin”。
(3) 在“确认密码”配置项处,再次输入新密码。
(4) 点击<提交>按钮,完成配置。
(1) 如图4-4所示,单击导航栏中[系统管理/系统重启]菜单项,进入系统重启页面。
(2) 点击<重启>按钮,进入如图4-5所示的提示页面。请稍后刷新Web页面,进入系统。
如图4-6所示,单击导航栏中[系统管理/系统升级]菜单项,进入系统升级页面。
· 本地升级
a. 点击<选择文件>按钮,在本地选择升级系统所需的系统文件。
b. 点击<升级>按钮,弹出如图4-7所示的对话框。
c. 点击<确定>按钮,待上传完成后刷新Web页面,进入系统。
· 在线升级
点击<在线升级>按钮,可使设备一键升级至最新系统。
仅Release 8811及以上版本支持本功能。
使用<在线升级>功能时,需要确保设备已连接云简系统,设备会从云简系统下载软件升级。
图4-7 提示对话框
(1) 如图4-8所示,单击导航栏中[系统管理/恢复出厂]菜单项,进入恢复出厂页面。
(2) 点击<恢复出厂设置>按钮,进入如图4-9所示的提示页面,等待恢复出厂设置。
仅Release 8811及以上版本支持系统日志。
(1) 如图4-10所示,点击导航栏中[系统管理/系统日志]菜单项,进入系统日志页面。
(2) 在“系统日志”标题下,可查看系统日志相关信息。
(1) 如图5-1所示,单击导航栏中[监测管理/端口统计]菜单项,进入端口统计页面。
(2) 在“端口统计信息”标题下,可查看端口物理状态、发送成功包和发送失败包等端口统计信息。
检测结果状态说明请参见表5-1。
|
检测结果 |
电缆检测状态 |
|
错误 |
数据获取失败 |
|
短路 |
请检查连线是否环路或更换网线 |
|
断开 |
请检查连线是否环路或更换网线 |
|
不匹配 |
请检查连线是否环路或更换网线 |
|
连接 |
线缆使用状态良好 |
手工关闭的端口,暂不支持进行线缆检测。
(1) 如图5-2所示,单击导航栏中[监测管理/线缆诊断]菜单项,进入线缆诊断页面。
(2) 勾选需要进行线缆诊断的端口前的复选框。
(3) 单击执行区左上方“
”图标,进行诊断。诊断结果,如图5-3所示。
环路检测能够及时发现二层网络中的环路,通过周期性的检查,使网络中出现环路时能及时通知用户检查网络连接和配置情况。
当系统检测到端口出现环路时,不对端口做处理,但会在“端口状态栏”以红色图标来显示存在环路的端口。
当系统检测到端口出现环路时,会自动阻塞该端口。使其限制报文收发,防止大量报文冲击,并在“端口环路信息”和“状态栏”显示被阻塞(端口状态以黄色图标来显示被阻塞的端口)的端口。
由于网络时刻处于变化中,因此环路检测是一个持续的过程,它以一定的时间间隔发送环路检测报文来确定各端口是否出现环路、以及存在环路的端口上是否已消除环路等,这个时间间隔就称为环路检测的时间间隔。
当设备检测到某端口出现环路后,若在恢复时间内仍未收到环路检测报文,就认为该端口上的环路已消除,自动将该端口恢复为正常转发状态。这个过程就是端口状态的自动恢复过程。
ES4200-8P2RX-B和ES4200-16P2RX-B机型仅支持开启/关闭环路保护功能,环路保护时间间隔为5秒,恢复时间为5秒。
(1) 如图5-4所示,单击导航栏中[监测管理/环路预防]菜单项,进入环路预防页面。
(2) 点击“环路保护”开关,开启/关闭环路保护功能。
缺省情况下,环路保护功能处于关闭状态。
(1) 如图5-5所示,单击导航栏中[监测管理/环路预防]菜单项,进入环路预防页面。
(2) 在“环路预防设置”标题下,请选择其中一项进行配置:
¡ 开启环路保护功能:
- 在“环路功能”下拉菜单处,选择“环路保护”功能。
缺省情况下,环路功能为环路保护功能。
- 在“时间间隔”配置项处,输入检测时间间隔。
缺省情况下,检测时间间隔为2秒。
- 在“恢复时间”配置项处,输入恢复时间。
缺省情况下,恢复时间为10秒。
¡ 开启环路检测功能:
- 在“环路功能”下拉菜单处,选择“环路检测”功能。
缺省情况下,环路功能为环路保护功能。
- 在“时间间隔”配置项处,输入检测时间间隔。
缺省情况下,检测时间间隔为2秒。
- 在“恢复时间”配置项处,输入恢复时间。
缺省情况下,恢复时间为10秒。
(3) 点击<提交>按钮,完成配置。
开启环路预防功能后,可在“端口状态栏”下,查看当前端口状态。
· 如图5-6所示,检测出环路,端口Port 3被阻塞。
· 如图5-7所示,端口Port 2和端口Port 3检测出存在环路。
· 三台设备Device A、Device B和Device C组成一个物理上的环形网络。
· 通过在Device A上配置环路检测功能,检测时间间隔为100毫秒,恢复时间均为10000毫秒,使系统能够自动关闭Device A上出现环路的端口。
图5-8 环路检测基本功能配置组网图
(1) 如图5-9所示,单击导航栏中[监测管理/环路预防]菜单项,进入环路预防页面。
(2) 如图5-10所示,在“环路预防设置”标题下,进行如下设置:
a. 在“环路功能”下拉菜单处,选择“环路保护”功能。
b. 在“时间间隔”配置项处,输入检测时间间隔为100。
c. 在“恢复时间”配置项处,输入恢复时间为10000。
d. 点击<提交>按钮,完成配置。
如图5-11所示,开启环路保护功能后,可在“端口状态栏”下和“端口环路信息”标题下,显示换设备检测出环路,且端口Port 2被阻塞。
端口管理功能用来查看设备各个物理端口的物理状态、工作模式、速率和流量控制等信息,以及修改端口配置。
通常情况下,设备以太网接口速率是通过和对端自协商决定的。协商得到的速率可以是接口速率能力范围内的任意一个速率。通过配置自协商速率可以让以太网接口在能力范围内只协商部分速率,从而可以控制速率的协商。
设置以太网接口的双工模式时存在以下几种情况:
· 当希望接口在发送数据包的同时可以接收数据包,可以将接口设置为全双工(full)属性;
· 当希望接口同一时刻只能发送数据包或接收数据包时,可以将接口设置为半双工(half)属性;
· 当设置接口为自协商(auto)状态时,接口的双工状态由本接口和对端接口自动协商而定。
以太网接口流量控制功能的基本原理是:如果本端设备发生拥塞,将通知对端设备暂时停止发送报文;对端设备收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生。
对于ES4200-8P2RX-B、ES4200-16P2RX-B、ES4200-16P2RS、ES4200-16T2RX机型,当处于影终端模式时,其所有光口均捆绑为一个二层聚合接口(BAGG 1),实现增加链路带宽的目的。这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。
二层聚合接口暂不支配置端口速率和流量控制功能。
仅Release 8811及以上版本支持二层聚合接口功能。
各产品端口配置限制和指导,请参见表6-1。
|
机型 |
描述 |
|
· ES4200-2T1S-M · ES4200-4T1MS-B · ES4200-4T2RMS-B · ES4200-4T2ST · ES4200-4P2ST · ES4200-4P2RMS-B |
对于R8811之前的版本,部分SFP口支持在1G和2.5G速率之间进行切换,用户需要通过Web页面进行接口速率切换,速率切换后,重启设备才能生效。对于R8811及以后版本,SFP口支持在1G和2.5G速率之间自适应。用户切换1G和2.5G光模块之后,设备会自动重启,完成速率自适应。具体接口如下: · 对于支持1个SFP口的设备:SFP口 · 对于支持2个SFP的设备:SFP2口 |
|
· ES4200-4P2RS · ES4200-4P2RST |
对于R8811之前的版本, SFP口支持在1G和2.5G速率之间进行切换,用户需要通过Web页面进行接口速率切换,速率切换后,重启设备才能生效。对于R8811及以后版本,SFP口支持在1G和2.5G速率之间自适应。用户切换1G和2.5G光模块之后,设备会自动重启,完成速率自适应 |
(1) 如图6-1所示,单击导航树中[交换机配置/端口设置]菜单项,进入端口设置页面。
(2) 在“端口设置”标题下,进行如下设置:
a. 在“端口配置”下拉菜单处,勾选需要进行端口设置端口前的复选框。
b. 在“端口状态”下拉菜单处,选择开启或关闭该端口。
缺省情况下,端口开关处于开启状态。
c. 在“速率/双工”下拉菜单处,选择端口的速率和双工模式。
缺省情况下,端口速率为自动状态。
d. 在“流量控制”下拉菜单处,选择开启或关闭该功能。
缺省情况下,以太网接口的流量控制功能处于关闭状态。
e. 点击<确定>按钮,完成配置。
(1) 如图6-1所示,单击导航树中[交换机配置/端口设置]菜单项,进入端口设置页面。
(2) 在“端口信息”标题下,可查看端口相关信息。
端口镜像通过将源端口的报文复制到与数据监测设备相连的目的端口,使用户可以利用数据监测设备分析这些复制过来的报文,以进行网络监控和故障排除。
配置为监控对象的端口为源端口。经镜像源收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。
镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的端口,该端口称为目的端口。目的端口会将镜像报文转发给与之相连的数据监测设备。
镜像方向是指在镜像源上可复制哪些方向的报文:
· 接收:是指仅复制源端口收到的报文。
· 发送:是指仅复制源端口发出的报文。
· 双向:是指对源端口收到和发出的报文都进行复制。
(1) 如图6-2所示,单击导航树中[交换机配置/端口镜像]菜单项,进入端口镜像页面。
(2) 在“端口镜像设置”标题下,进行如下设置:
a. 在“方向”下拉菜单处,选择镜像方向为“接收”、“发送”或“双向”。
缺省情况下,端口镜像处于关闭状态
b. 在“目的端口”下拉菜单处,选择目的端口。
c. 在“源端口”下拉菜单处,选择源端口。
d. 点击<提交>按钮,完成配置。
(1) 如图6-2所示,单击导航树中[交换机配置/端口镜像]菜单项,进入端口镜像页面。
(2) 在“端口镜像信息”标题下,可查看端口镜像相关信息。
(3) 单击左上方“
”图标,清空端口镜像设置。
为了实现端口间的二层隔离,可以将不同的端口加入不同的VLAN,但VLAN资源有限。采用端口隔离特性,用户只需要开启端口隔离功能,就可以实现端口之间二层隔离,而不关心这些端口所属VLAN,从而节省VLAN资源。
(1) 如图6-3所示,单击导航树中[交换机配置/端口隔离]菜单项,进入端口隔离页面。
(2) 在“端口隔离设置”标题下,点击“端口隔离”开关,弹出如图6-4所示的对话框。点击<确定>按钮,开启或关闭端口隔离功能。
缺省情况下,端口隔离处于关闭状态。
(1) 如图6-3所示,单击导航树中[交换机配置/端口隔离]菜单项,进入端口隔离页面。
(2) 在“端口隔离信息”标题下,可查看端口隔离相关信息。
MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项的生成方式有两种:自动生成、手工配置。
一般情况下,MAC地址表由设备通过源MAC地址学习自动生成。设备学习MAC地址的过程如下:
· 从某接口(假设为接口A)收到一个数据帧,设备分析该数据帧的源MAC地址(假设为MAC-SOURCE),并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发。
· 如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新。
· 如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
为适应网络拓扑的变化,MAC地址表需要不断更新。MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。
设备通过源MAC地址学习自动生成MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其他接口进入,设备就会学习到错误的MAC地址表项,于是将本应转发给合法用户的报文转发给非法用户。
为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
MAC地址表项分为以下几种:
· 静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。
· 动态MAC地址表项:由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。
由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文)。
(1) 如图6-5所示,单击导航树中[交换机配置/静态MAC]菜单项,进入静态MAC页面。
(2) 在“静态MAC设置”标题下,进行如下设置:
a. 在“MAC地址”配置项处,输入目的MAC地址。
b. 在“VLAN ID”配置项处,输入指定接口所属的VLAN。
c. 在“端口”下拉菜单处,选择出接口端口号。
d. (可选)单击“源MAC阻塞”开关按钮,开启源MAC阻塞功能。
缺省情况下,源MAC阻塞处于关闭状态。
e. 点击<添加>按钮,完成配置。
(1) 如图6-5所示,单击导航树中[交换机配置/静态MAC]菜单项,进入静态MAC页面。
(2) 在“MAC地址信息”标题下,可查看静态MAC地址相关信息。
(1) 如图6-6所示,单击导航树中[交换机配置/MAC搜索]菜单项,进入MAC搜索页面。
(2) 在“MAC地址搜索”标题下,进行如下设置:
a. 在“MAC地址”配置项处,输入目的MAC地址。
b. 在“VLAN ID”配置项处,输入指定接口所属的VLAN。
c. 点击<搜索>按钮,如图6-7所示,“MAC地址搜索结果”将显示MAC地址搜索信息。
图6-6 MAC搜索页面
图6-7 MAC搜索结果
(1) 如图6-8所示,单击导航树中[交换机配置/MAC列表]菜单项,进入MAC列表页面。
(2) 在“MAC地址信息”标题下,可查看MAC地址相关信息。
图6-8 MAC列表页面
DHCP Snooping是DHCP的一种安全特性。
DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
(1) 如图6-9所示,单击导航树中[交换机配置/DHCP Snooping]菜单项,进入DHCP Snooping页面。
(2) 在“DHCP Snooping功能”标题下,点击“DHCP Snooping开关”,弹出如图6-10所示的对话框。点击<确定>按钮,开启或关闭DHCP Snooping功能。
缺省情况下,DHCP Snooping处于关闭状态。
(3) 如图6-11所示,在“DHCP Snooping设置”标题下,进行如下设置:
a. 在“端口状态”下拉菜单处,选择信任端口状态为“开启”或“关闭”。
缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为信任端口。
b. 在“端口”下拉菜单处,选择需要配置信任端口的端口号。
c. 点击<提交>按钮,完成配置。
(1) 如图6-11,单击导航树中[交换机配置/DHCP Snooping]菜单项,进入DHCP Snooping页面。
(2) 在“端口信息”标题下,可查DHCP Snooping功能相关端口信息。
PoE(Power over Ethernet,以太网供电),又称远程供电,是指设备通过以太网电口,利用双绞线对外接PD(Powered Device,受电设备)进行远程供电。
PoE系统如图6-12所示,包括PoE电源、PSE(Power Sourcing Equipment,供电设备)、PI(Power Interface,电源接口)和PD。
· PoE电源:为整个PoE系统供电。
· PSE:直接给PD供电的设备。
· PI:具备PoE供电能力的以太网接口,也称为PoE接口。
· PD:接受PSE供电的设备,如IP电话、无线AP(Access Point,接入点)、便携设备充电器、刷卡机、网络摄像头等。PD设备在接受PoE电源供电的同时,可以连接其他电源,进行电源冗余备份。
图6-12 PoE系统示意图
(1) 如图6-13所示,单击导航树中[交换机配置/PoE设置]菜单项,进入PoE设置页面。
(2) 在“PoE信息”标题下,点击端口前的“PoE开关”按钮,弹出如图6-14所示的对话框。点击<确定>按钮,开启或关闭PoE功能。
缺省情况下,PoE功能处于开启状态。
(3) 在“PoE信息”标题下,可查看PoE相关信息。
图6-13 PoE设置页面
如图6-15,Device通过端口Port 1连接市场部和技术部,并通过端口Port 2连接Server。
通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部的报文。
(1) 如图6-16所示,单击导航树中[交换机配置/端口镜像]菜单项,进入端口镜像页面。
(2) 如图6-17所示,在“端口镜像设置”标题下,进行如下设置:
a. 在“方向”下拉菜单处,选择镜像方向为“双向”。
b. 在“目的端口”下拉菜单处,选择目的端口为“Port 2”。
c. 在“源端口”下拉菜单处,选择源端口为“Port 1”。
d. 点击<提交>按钮,完成配置。
如图6-18所示,在“端口镜像信息”标题下,可查看端口镜像的镜像方向为双向,目的端口为Port 2,源端口为Port 1。配置完成后,用户可以通过Server监控所有进、出市场部的报文。
如图6-19所示,小区用户Host A、Host B、Host C分别与Device的端口Port 1、Port 2、Port 3相连,Device设备通过Port 4端口与外部网络相连。现需要实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
(1) 如图6-20,单击导航树中[交换机配置/端口隔离]菜单项,进入端口隔离页面。
(2) 在“端口隔离设置”标题下,点击“端口隔离”开关,弹出如图6-21所示的对话框。点击<确定>按钮,开启或关闭端口隔离功能。
缺省情况下,端口隔离处于关闭状态。
(1) 如图6-20,单击导航树中[交换机配置/端口隔离]菜单项,进入端口隔离页面。
(2) 如图6-22在“端口隔离信息”标题下,信息显示Device上的端口Port 1、Port 2、Port 3已经实现二层隔离,Host A、Host B和Host C彼此之间二层隔离。
· 现有一台用户主机,它的MAC地址为00:0f:e2:35:dc:71,属于VLAN 1,连接Device的端口Port 1。为防止假冒身份的非法用户骗取数据,在设备的MAC地址表中为该用户主机添加一条静态表项。
· 另有一台用户主机,它的MAC地址为00:0f:e2:35:ab:cd,属于VLAN 1。由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在设备上对该MAC地址进行源MAC阻塞操作,使该用户主机接收不到报文。
图6-23 MAC地址配置组网图
# 增加一个静态MAC地址表项,目的地址为00:0f:e2:35:dc:71,出接口为Port 1,且该接口属于VLAN 1。
(1) 如图6-24,单击导航树中[交换机配置/静态MAC]菜单项,进入静态MAC页面。
(2) 如图6-25,在“静态MAC设置”标题下,进行如下设置:
a. 在“MAC地址”配置项处,输入MAC地址为“00:0f:e2:35:dc:71”。
b. 在“VLAN ID”配置项处,输入VLAN ID为“1”。
c. 在“端口”下拉菜单处,选择出接口端口号为“Port 1”。
d. 点击<添加>按钮,完成配置。
# 增加一个静态MAC地址表项,目的地址为00:0f:e2:35:ab:cd,出接口为Port 1,且该接口属于VLAN 1,并开启源MAC阻塞功能。
(3) 如图6-24,单击导航树中[交换机配置/静态MAC]菜单项,进入静态MAC页面。
(4) 如图6-26,在“静态MAC设置”标题下,进行如下设置:
a. 在“MAC地址”配置项处,输入MAC地址为“00:0f:e2:35:ab:cd”。
b. 在“VLAN ID”配置项处,输入VLAN ID为“1”。
c. 在“端口”下拉菜单处,选择出接口端口号为“Port 1”。
d. 单击“源MAC阻塞”开关按钮,开启源MAC阻塞功能。
e. 点击<添加>按钮,完成配置。
图6-26 添加静态MAC地址并开启源MAC阻塞功能
完成上述配置后,如图6-27所示,在MAC地址表页面中可以看到已经创建的MAC地址表项。
图6-27 静态MAC地址信息
Switch B通过以太网端口Port 1连接到合法DHCP服务器,通过以太网端口Port 3连接到非法DHCP服务器,通过Port 2连接到DHCP客户端。要求,与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
图6-28 DHCP Snooping组网示意图
# 全局开启DHCP Snooping功能。
(1) 如图6-29,单击导航树中[交换机配置/DHCP Snooping]菜单项,进入DHCP Snooping页面。
(2) 在“DHCP Snooping功能”标题下,点击“DHCP Snooping开关”,开启DHCP Snooping功能。
# 设置Port 1端口为信任端口。
(3) 如图6-29,单击导航树中[交换机配置/DHCP Snooping]菜单项,进入DHCP Snooping页面。
(4) 如图6-30,在“DHCP Snooping设置”标题下,进行如下设置:
a. 在“端口状态”下拉菜单处,选择选择端口状态为“开启”。
b. 在“端口”下拉菜单处,勾选需要配置信任端口的端口号为“Port 1”。
c. 点击<提交>按钮,完成配置。
配置完成后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。
VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。
仅当运行模式为独立模式时,支持VLAN配置。
关闭VLAN功能,设备不判断收到报文的VLAN Tag,均可转发。
(1) 如图7-1或图7-2,进入VLAN成员或VLAN配置页面。
(2) 在“VLAN功能”下,点击“VLAN功能”开关,弹出对话框。点击<确定>按钮,开启或关闭VLAN功能。
缺省情况下,VLAN功能处于开启状态。
(1) 如图7-1,单击导航树中[VLAN配置/VLAN成员]菜单项,进入VLAN成员页面。
(2) 在“静态VLAN设置”下的“VLAN ID”配置项处,输入需要创建的VLAN ID。
缺省情况下,系统只有一个缺省VLAN(VLAN 1)。
(3) 点击<添加/修改>按钮,完成配置。
图7-1 VLAN成员页面
(1) 如图7-1,单击导航树中[VLAN配置/VLAN成员]菜单项,进入VLAN成员页面。
(2) 在“静态VLAN信息”下,请选择其中一项进行配置
¡ 勾选需要删除的VLAN ID前的复选框。
¡ 如需删除除缺省VLAN外的其他所有VLAN,可单击<全选>按钮。
缺省VLAN 1无法删除
(3) 点击<删除>按钮,完成配置。
基于端口划分VLAN是最简单、最有效的VLAN划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,该端口就可以转发该VLAN的报文。
端口的链路类型分为两种,端口的链路类型决定了端口能否加入多个VLAN。不同链路类型的端口在转发报文时对VLAN Tag的处理方式不同:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。一般用于和不能识别VLAN Tag的用户终端设备相连,或者不需要区分不同VLAN成员时使用。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。通常用于网络传输设备之间的互连。
Native VLAN为端口缺省VLAN。当端口收到不带VLAN Tag的报文时,会认为该报文所属的VLAN为Native VLAN。
Access端口的Native VLAN就是它所在的VLAN。
Trunk端口可以允许多个VLAN通过,能够配置端口Native VLAN。
端口对报文的接收和发送的处理有几种不同情况,具体情况请参看表7-1。
|
端口类型 |
对接收报文的处理 |
对发送报文的处理 |
|
|
当接收到的报文不带Tag时 |
当接收到的报文带有Tag时 |
||
|
Access端口 |
为报文添加端口Native VLAN的Tag |
· 当报文的VLAN ID与端口的Native VLAN相同时,接收该报文 · 当报文的VLAN ID与端口的Native VLAN不同时,丢弃该报文 |
去掉Tag,发送该报文 |
|
Trunk端口 |
· 当端口的Native VLAN在端口允许通过的VLAN ID列表里时,接收该报文,给报文添加Native VLAN的Tag · 当端口的Native VLAN不在端口允许通过的VLAN ID列表里时,丢弃该报文 |
· 当报文的VLAN ID在端口允许通过的VLAN ID列表里时,接收该报文 · 当报文的VLAN ID不在端口允许通过的VLAN ID列表里时,丢弃该报文 |
· 当报文的VLAN ID与端口的Native VLAN相同,且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文 · 当报文的VLAN ID与端口的Native VLAN不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
(1) 如图7-2,单击导航树中[VLAN配置/VLAN配置]菜单项,进入VLAN配置页面。
(2) 在“端口VLAN设置”标题下,进行如下设置:
a. 在“端口”下拉菜单处,勾选需要修改VLAN配置的端口前的复选框。
如需选择全部端口同意修改,可直接勾选“全选”前的复选框。
b. 在“类型”下拉菜单处,选择端口的链路类型为ACCESS类型。
缺省情况下,端口的链路类型为ACCESS类型。
c. 在“Access VLAN”配置项处,选择端口的Access VLAN。
缺省情况下,所有Access端口都属于VLAN 1。
d. 点击<确定>按钮,完成配置。
图7-2 VLAN配置页面
(1) 如图7-2,单击导航树中[VLAN配置/VLAN配置]菜单项,进入VLAN配置页面。
(2) 在“端口VLAN设置”标题下,进行如下设置:
a. 在“端口”下拉菜单处,勾选需要修改VLAN配置的端口前的复选框。
如需选择全部端口同意修改,可直接勾选“全选”前的复选框。
b. 在“类型”下拉菜单处,选择端口的链路类型为TRUNK类型。
缺省情况下,端口的链路类型为ACCESS类型。
c. 在“Native VLAN”配置项处,选择端口的Native VLAN。
d. 在“Permit VLAN”配置项处,选择端口的Permit VLAN。
e. 点击<确定>按钮,完成配置。
(1) 如图7-2,单击导航树中[VLAN配置/VLAN配置]菜单项,进入VLAN配置页面。
(2) 在“端口VLAN信息”标题下,可查看端口VLAN相关信息。
· Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
· 为了通信的安全性,也为了避免广播报文泛滥,公司网络使用VLAN技术来隔离部门间的二层流量,其中部门A使用VLAN 100,部门B使用VLAN 200。
图7-3 VLAN配置组网图
# 创建VLAN100,200
(1) 如图7-4所示,单击导航树中[VLAN配置/VLAN成员]菜单项,进入VLAN成员页面。
(2) 在“静态VLAN设置”下的“VLAN ID”配置项处,输入需要创建的VLAN ID为“100”。
(3) 点击<添加/修改>按钮,完成配置。
(4) 在“静态VLAN设置”下的“VLAN ID”配置项处,输入需要创建的VLAN ID为“200”。
(5) 点击<添加/修改>按钮,完成配置。
图7-4 VLAN成员页面
# 配置端口VLAN
(1) 如图7-4所示,单击导航树中[VLAN配置/VLAN配置]菜单项,进入VLAN配置页面。
(2) 在“端口VLAN设置”标题下,进行如下设置:
# 如图7-5所示,将Port 1加入VLAN 100。
a. 在“端口”下拉菜单处,勾选端口“Port 1”前的复选框。
b. 在“类型”下拉菜单处,选择端口的链路类型为ACCESS类型。
c. 在“Access VLAN”配置项处,选择端口的Access VLAN为“100”。
d. 点击<确定>按钮,完成配置。
图7-5 Port 1端口设置
# 如图7-6所示,将Port 2加入VLAN 200。
a. 在“端口”下拉菜单处,勾选端口“Port 2”前的复选框。
b. 在“类型”下拉菜单处,选择端口的链路类型为ACCESS类型。
c. 在“Access VLAN”配置项处,选择端口的Access VLAN为“200”。
d. 点击<确定>按钮,完成配置。
图7-6 Port 2端口设置
# 如图7-7所示,为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B,将Port 3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。
a. 在“端口”下拉菜单处,勾选端口“Port 3”前的复选框。
b. 在“类型”下拉菜单处,选择端口的链路类型为TRUNK类型。
c. 在“Native VLAN”配置项处,选择端口的Native VLAN为“1”。
d. 在“Permit VLAN”配置项处,选择端口的Permit VLAN为“100”和“200”。
e. 点击<确定>按钮,完成配置。
图7-7 Port 3端口设置
上的配置与Device A上的配置相同,不再赘述。
将Host A和Host C配置在一个网段,例如192.168.100.0/24;将Host B和Host D配置在一个网段,比如192.168.200.0/24。
完成上述配置后,Host A和Host C能够互相ping通,但是均不能ping通Host B和Host D。Host B和Host D能够互相ping通,但是均不能ping通Host A和Host C。
端口限速可以限制报文的总速率。
(1) 如图8-1,单击导航树中[QoS配置/端口限速]菜单项,进入端口限速页面。
(2) 在“端口带宽设置”标题下,进行如下设置:
a. 在“端口”菜单处,勾选需要进行端口带宽设置的端口前的复选框。
b. 在“类型”下拉菜单处,选择限制类型为“接收”或“发送”。
c. 在“状态”下拉菜单处,选择开启或关闭该端口限速功能。
缺省情况下,以太网接口的流量控制功能处于关闭状态。
d. 在“速率”配置项处,输入限速速率。
e. 点击<提交>按钮,完成配置。
(1) 如图8-1,单击导航树中[QoS配置/端口限速]菜单项,进入端口限速页面。
(2) 在“端口带宽信息”标题下,可查看端口带宽相关信息。
在接口上配置了广播/未知单播/未知组播风暴抑制功能后,当接口上的广播/未知单播/未知组播流量超过用户设置的抑制阈值时,系统会丢弃超出流量限制的报文,从而使接口的广播/未知单播/未知组播流量降低到限定范围内,保证网络业务的正常运行。
二层以太网接口上,风暴抑制也可通过设置流量阈值来控制,与风暴抑制功能不同的是,流量阈值控制是通过软件对报文流量进行抑制,对设备性能有一定影响;风暴抑制功能是通过芯片物理上对报文流量进行抑制,相对流量阈值来说对设备性能影响较小。
将指定协议报文加入流量抑制和风暴控制的白名单后,则该类协议报文不受流量抑制和风暴控制功能限制。
(1) 如图8-2,单击导航树中[QoS配置/风暴控制]菜单项,进入风暴控制页面。
(2) 在“风暴控制设置”标题下,进行如下设置:
a. 在“风暴类型”下拉菜单处,选择风暴控制类型。
b. 在“端口”下拉菜单处,勾选需要配置风暴控制的端口前的复选框。
c. 在“状态”下拉菜单处,选择“开启”或“关闭”风暴控制功能。
缺省情况下,风暴控制功能处于关闭状态。
d. 在“速率”配置项处,输入抑制阈值。
(3) 点击<提交>按钮,完成配置。
(1) 如图8-2,单击导航树中[QoS配置/风暴控制]菜单项,进入风暴控制页面。
(2) 在“风暴控制信息”标题下,可查看风暴控制相关信息。
光口不UP故障。
图9-1 光口不UP故障处理流程图
在设备的光口上用光模块配合光纤直接互连。查看该端口是否能UP。如果能UP,则说明对端端口异常;如果不能UP,则说明本端端口异常。可通过更换本端、对端端口来检查故障是否解决。
可通过如下步骤检查光模块是否正常,若不正常可通过更换与光接口匹配的光模块(请使用H3C光模块、电缆)来检查故障是否排除。关于光模块、电缆的具体描述请参见产品的安装指导。
(1) 首先要确定两端光模块是否匹配,检查两端的光模块波长、距离等参数是否一致。如果不匹配,可通过更换光模块来检查故障是否排除。
(2) 可使用光功率计测试端口收发光功率是否在正常范围内,是否稳定。
首先要确定光纤与光模块是否匹配。如果不匹配,可通过更换光纤来检查故障是否排除,关于光纤的具体描述请参见产品的安装指导。
如果上述检查完成后故障仍无法排除,请收集上述故障信息,联系H3C的技术支持工程师。
电口不UP故障。
图9-2 电口不UP故障诊断流程图
请参考6.1.4 端口信息,查看两端端口的速率、双工配置是否匹配。若不匹配,请参考6.1.3 端口设置,配置端口的速率和双工模式。
可通过更换网线来检查故障是否排除。
可通过更换本端设备端口来检查故障是否排除。
可通过更换对端设备端口来检查故障是否排除。
如果上述检查完成后故障仍无法排除,请联系H3C的技术支持工程师。
PoE供电功率不足或无法供电。
本类故障的诊断流程如图9-3所示。
如果PoE使用功率达到或接近端口最大供电功率,说明PoE端口供电不足,此时请关闭不要的PoE端口功能或更换最大供电功率更高的PoE设备。
(2) 更换正常PoE端口测试是否能恢复正常。
更换其他正常的PoE端口,并使用相同配置测试。如果端口更换后PoE供电正常,端口更换回来PoE供电又再次异常,则为端口硬件故障,请更换端口并将故障信息发送技术支持人员分析。
(3) 如果故障仍然未能排除,请收集上述步骤的执行结果,并联系技术支持人员。
端口统计出现失败报文。
本类故障的诊断流程如图9-4所示。
(1) 检查端口与电缆连接器是否有异常。
a. 检查端口和电缆连接器的物理连接是否有虚插。若有虚插,请正确连接端口和电缆连接器。
b. 检查端口是否异常,比如端口内存在异物,端口的PIN针有弯针,端口的外壳变形等异常。若有异常,需要更换其他正常端口或光模块。
c. 检查电缆连接器是否出现损坏现象。若有损坏现象,请更换电缆。
(2) 检查光模块是否有异常。
使用光纤将该端口的光模块Tx端和Rx端连接,然后刷新流量统计页面查看端口错误包统计是否增长。如果增长,则可能是光模块的问题。如果不增长,则不是该光模块问题。
(3) 更换正常端口测试是否能恢复正常。
更换其他正常的端口测试,如果端口更换后错包消失,端口更换回来错包又再次出现,则为端口硬件故障,请更换端口并将故障信息发送技术支持人员分析;如更换到其他正常端口仍会出现错包,则中间传输链路故障的可能性较大。
(4) 检查中间传输链路是否正常。
使用仪器测试中间链路,链路质量差或者线路光信号衰减过大会导致报文在传输过程中出错。检查互连中间链路设备(光转,转接架,传输等设备)是否正常。若中间传输链路故障,请更换或恢复中间传输链路。
(5) 进入出现错误包接口的详情页面,重启链路工作状态,查看端口是否能恢复正常。
(6) 如果故障仍然未能排除,可能是设备硬件故障,请收集信息,并联系技术支持人员。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
