Page 1
Руководство пользователя (CLI)
(Сокращенный вариант)
Серия DGS-3000
Управляемые коммутаторы 2 уровня
Версия 4.00
Page 2
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Содержание
1. Использование интерфейса командной строки (CLI).................................................................3
2. Базовые команды..........................................................................................................................10
3. Команды 802.1Q VLAN................................................................................................................27
4. Команды AAA...............................................................................................................................42
5. Команды предотвращения атак ARP Spoofing...........................................................................58
6. Команды логирования выполненных команд............................................................................61
7. Команды предотвращения атак DoS...........................................................................................63
8. Команды Port Security...................................................................................................................67
Page 3
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
1. Использование интерфейса командной строки (CLI)
Управление коммутатором может осуществляться через последовательный порт, Telnet, SNMP или
Web-интерфейс. Интерфейс командной строки (CLI) может использоваться для настройки и
управления коммутатором с помощью последовательного порта или Telnet.
1-1 Управление коммутатором с помощью последовательного порта
Настройки последовательного порта по умолчанию:
• Скорость 115200 бит/с
• 8 бит данных
• Без бита четности
• Один стоповый бит
Необходим компьютер с программой эмуляции терминала VT-100 и последовательным портом,
настроенным по указанным выше параметрам,а также коммутатор, подключенный с помощью
включенного в комплект поставки конвертера RS-232 в RJ-45.
После успешного подключения последовательного порта к компьютеру появится следующий экран.
Если он не появляется, нажмите Ctrl+r для обновления экрана терминала.
По умолчанию имя пользователя и пароль не настроены. Нажмите клавишу Enter дважды для
отображения курсора ввода CLI – DGS-3000-28XMP:admin#. В данной командной строке вводятся все
команды.
1-2 Настройка IP-адреса коммутатора
Каждому коммутатору должен быть назначен собственный IP-адрес, используемый для связи с
сетевым менеджером SNMP и с другими приложениями TCP/IP (например, BOOTP, TFTP). IP-адрес
коммутатора по умолчанию 10.90.90.90. Вы можете сменить его в соответствии с имеющейся схемой
сети.
Производителем коммутатору также назначается уникальный MAC-адрес. MAC-адрес нельзя
изменить, увидеть его можно на начальном экране загрузки, как показано ниже.
Page 4
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
MAC-адрес коммутатора можно также найти в Web-интерфейсе в окне Switch Information (Basic
Settings) раздела Configuration.
IP-адрес коммутатора должен быть настроен до того, как им можно будет управлять с помощью
Web-интерфейса. IP-адрес коммутатора можно автоматически настроить с помощью протоколов
BOOTP или DHCP, при этом должен быть известен назначенный адрес.
В командной строке введите команду config ipif System ipaddress xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy,
где x – IP-адрес, назначаемый IP-интерфейсу с именем System, а y – соответствующая маска
подсети.
Также можно ввести config ipif System ipaddress xxx.xxx.xxx.xxx/z, где х – IP-адрес, назначаемый
IP-интерфейсу с именем System, а z – соответствующее количество подсетей в нотации CIDR.
IP-интерфейсу с именем System на коммутаторе может быть назначен IP-адрес с маской подсети,
которая впоследствии может использоваться для подключения станции управления к Telnet или
Web-интерфейсу.
В приведенном выше примере коммутатору был назначен IP-адрес 10.24.22.100 с маской подсети
255.0.0.0. Системное сообщение Success означает, что команда была успешно выполнена.
Управление коммутатором теперь может осуществляться через Telnet, SNMP MIB-браузер, CLI или с
помощью Web-интерфейса с использованием указанного выше IP-адреса.
В CLI включено несколько функций, облегчающих управление коммутатором. Команда ? позволяет
отобразить список всех команд высшего уровня.
Page 5
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
При вводе команды без необходимых параметров CLI отобразит подсказку: Next possible
completions.
В данном случае команда config account была введена с параметром <username>. CLI отобразит
подсказку для ввода <username> с сообщением, Next possible completions. Каждая команда в CLI
поддерживает данную функцию, у сложных команд несколько уровней подсказок для параметров.
Также после ввода любой данной команды и пробела, пользователь может просмотреть все
следующие возможные подкоманды последовательно, нажимая Tab.
Для повторного ввода предыдущей команды в командной строке нажмите клавишу “вверх”.
Предыдущая команда появится в строке ввода.
В приведенном выше примере, команда config account была введена без параметра <username>.
Page 6
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
CLI отобразит подсказку Next possible completions: <username>. Для повторного ввода предыдущей
команды (config account) при появлении подсказки нажмите клавишу “вверх”. После этого может
быть введено подходящее имя пользователя (username) и выполнена команда config account.
Все команды интерфейса командной строки (CLI) работают данным образом. Синтаксис поля help
такой же, как представлен в руководстве: угловые скобки < > обозначают числовое значение или
строку символов, фигурные скобки { } обозначают дополнительное значение или аргумент, а
квадратные скобки [ ] обозначают необходимые параметры.
Если введена команда, нераспознаваемая CLI, команды высшего уровня будут отображаться в поле
Available commands.
Команды высшего уровня, например, show или config, требуют один или более параметров.
Например, при вводе команды show без дополнительных параметров CLI отобразит все возможные
варианты.
Page 7
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
В приведенном выше примере отображены все возможные параметры для команды show. В
следующей команде стрелка вверх используется для повторного ввода команды, за которым следует
параметр account. Затем CLI отображает настроенные на коммутаторе пользовательские учетные
записи.
1-3 Символы синтаксиса команд
Каждая команда CLI, доступная на данном коммутаторе, содержит символы, которые могут быть
неизвестны неопытному пользователю. Каждый символ имеет свое значение при использовании в
команде. Все команды чувствительны к регистру. При вводе команды убедитесь, что Caps Lock
отключен, и никакие другие нежелательные функции не меняют регистр текста.
Условное обозначение Описание
Угловые скобки < > Обозначение переменной величины или значения, которое необходимо
указать. Например, в команде config command_prompt [<string 16> |
username | default] пользователю необходимо ввести непосредственно
значение строки, а НЕ параметр <string 16>.
Квадратные скобки [ ] Обозначение необходимого значения или набора аргументов. Указано
должно быть только одно значение или агрумент. Например, в команде
config command_prompt [<string 16> | username | default]
пользователю необходимо ввести либо значение строки, либо выбрать
имя пользователя, либо выбрать опцию по умолчанию. Вводить
квадратные скобки не нужно.
Вертикальная линия | Дополнительные значения или аргументы заключаются в квадратные
скобки и разделяются вертикальной линией. Например, в команде reset
{[config | system]} {force_agree} пользователи могут выбрать config
Page 8
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
или system. Вертикальную линию вводить не нужно.
Фигурные скобки { } Обозначение дополнительного значения или списка аргументов.
Указано может быть одно или более значение или аргумент. Например,
в команде reset {[config | system]} {force_agree} пользователь может
выбрать config или system. Скобки вводить не нужно.
Круглые скобки ( ) Обозначение по крайней мере одного или нескольких значений или
аргументов, которые должны быть указаны для ранее введенных
значений в фигурных скобках. Например, в команде config dhcp_relay
{hops <int 1-16> | time <sec 0-65535>}(1) пользователь может указать
значение hops, time или и то, и другое. “(1)” означает, что указано
должно быть как минимум одно значение или аргумент из
представленных в фигурных скобках. Круглые скобки вводить не нужно.
ipif <ipif_name 12> В данном примере значение 12 означает, что имя IP-интерфейса может
состоять не более, чем из 12 символов.
metric <value 1-31> В данном примере значение 1-31 означает, что значение metric может
состоять не менее, чем из 1 и не более, чем из 31 символа.
1-4 Функции редактирования
Клавиша Описание
Delete Удаляет символ под курсором и перемещает оставшуюся часть строки
влево.
Backspace Удаляет символ слева от курсора и перемещает оставшуюся часть строки
влево.
CTRL+R Заменяет текстовые символы новыми или вставляет заново введенный текст
в существующее предложение. Используется как клавиша Insert.
Стрелка вверх Повтор введенной ранее команды. При каждом нажатии стрелки вверх
отображается предыдущая команда, таким образом возможен просмотр
истории команд в текущей сессии. Используйте стрелку вниз для просмотра
следующих команд.
Стрелка вниз Повтор следующей введенной команды. При каждом нажатии стрелки вниз
отображается следующая команда, таким образом возможен просмотр
истории команд в текущей сессии. Используйте стрелку вверх для просмотра
предыдущих команд.
Стрелка влево Перемещает курсор влево.
Стрелка вправо Перемещает курсор вправо.
Tab Позволяет выбрать соответствующий символ.
1-5 Клавиши управления несколькими страницами
Если для CLI включено разбиение текста по страницам (CLI paging enable), экран будет делать паузу,
когда результаты вывода команды достигнут конца страницы, как показано ниже.
Page 9
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Доступны следующие клавиши управления:
Клавиша Описание
CTRL+С Останавливает отображение оставшихся страниц, если отображаться должно
несколько страниц.
ESC Останавливает отображение оставшихся страниц, если отображаться должно
несколько страниц.
q Останавливает отображение оставшихся страниц, если отображаться должно
несколько страниц.
Пробел Отображение следующей страницы.
n Отображение следующей страницы.
p Отображение предыдущей страницы.
r Используется для обновления текущей страницы.
a Отображение оставшихся страниц без пауз между страницами.
Enter Отображение следующей строки или записи в таблице.
Page 10
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
2. Базовые команды
show session
show serial_port
config serial_port {baud_rate [9600 | 19200 | 38400 | 115200] | auto_logout [never | 2_minutes |
5_minutes | 10_minutes | 15_minutes]}
enable clipaging
disable clipaging
login
logout
?
clear
show command_history
config command_history <value 1-40>
config greeting_message {default}
show greeting_message
config command_prompt [<string 16> | username | default]
config terminal width [default | <value 80-200>]
show terminal width
config ports [<portlist> | all] {medium_type [fiber | copper]} {speed [auto | 10_half | 10_full | 100_half |
100_full | 1000_full {[master | slave]} | 10g_full] | flow_control [enable | disable] | learning [enable | disable ]
| state [enable | disable] | mdix [auto | normal | cross] | [description <desc 1-100> | clear_description]}(1)
show ports {<portlist>} {[description | err_disabled | details | media_type]}
config exec_banner {default}
show exec_banner
config outgoing_session_timeout <value 0-1439> [console | telnet | ssh]
show outgoing_session_timeout
enable monitor
disable monitor
2-1 show session
Описание
Данная команда используется для просмотра информации обо всех текущих пользователях.
Синтаксис
show session
Параметры
Нет.
Ограничения
Page 11
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Просмотр списка авторизованных пользователей:
2-2 show serial_port
Описание
Данная команда используется для отображения настроек последовательного порта.
Синтаксис
show serial_port
Параметры
Нет.
Ограничения
Нет.
Пример
Отображение настроек последовательного порта:
2-3 config serial_port
Описание
Данная команда используется для настройки последовательного порта.
Page 12
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
config serial_port {baud_rate [9600 | 19200 | 38400 | 115200] | auto_logout [never | 2_minutes |
5_minutes | 10_minutes | 15_minutes]}
Параметры
baud_rate – (опционально) скорость передачи данных, используемая для сообщения с узлом
управления. По умолчанию используется 115200. Доступно 4 опции: 9600, 19200, 38400, 115200.
auto_logout – (опционально) указывает время автоматического выхода из учетной записи.
never – нет ограничения времени.
2_minutes – сеанс текущего пользователя на консоли будет завершен, если он не совершит ввод в
течение 2 минут.
5_minutes – сеанс текущего пользователя на консоли будет завершен, если он не совершит ввод в
течение 5 минут.
10_minutes – сеанс текущего пользователя на консоли будет завершен, если он не совершит ввод в
течение 10 минут.
15_minutes – сеанс текущего пользователя на консоли будет завершен, если он не совершит ввод в
течение 15 минут.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка скорости передачи данных:
2-4 enable clipaging
Описание
Данная команда используется для паузы при прокрутке экрана консоли, если команда отображается
более чем на одной странице. По умолчанию функция включена.
Синтаксис
enable clipaging
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Включение паузы при прокрутке экрана консоли, если команда отображается более чем на одной
странице:
Page 13
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
2-5 disable clipaging
Описание
Данная команда используется для отключения паузы при прокрутке экрана консоли, если команда
отображается более чем на одной странице. По умолчанию функция включена.
Синтаксис
disable clipaging
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Отмена паузы при прокрутке экрана консоли, если команда отображается более чем на одной
странице:
2-6 login
Описание
Данная команда используется для входа в учетную запись на коммутаторе.
Синтаксис
login
Параметры
Нет.
Ограничения
Нет.
Пример
Вход в учетную запись с именем пользователя dlink:
Page 14
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
2-7 logout
Описание
Данная команда используется для выхода из учетной записи на коммутаторе.
Синтаксис
logout
Параметры
Нет.
Ограничения
Нет.
Пример
Выход из текущей сессии:
2-8 ?
Описание
Данная команда используется для просмотра описания для всех команд или указанной команды.
Синтаксис
?
Параметры
Нет.
Ограничения
Page 15
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Нет.
Пример
Просмотр описания команды «ping»:
2-9 clear
Описание
Данная команда используется для удаления информации с экрана.
Синтаксис
clear
Параметры
Нет.
Ограничения
Нет.
Пример
Удаление информации:
2-10 show command_history
Описание
Данная команда используется для просмотра истории введенных команд.
Синтаксис
show command_history
Параметры
Нет.
Ограничения
Нет.
Page 16
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Пример
Просмотр истории введенных команд:
2-11 config command_history
Описание
Данная команда используется для настройки количества команд, которые будут храниться в памяти
коммутатора. В памяти коммутатора может храниться до 40 команд, введенных ранее.
Синтаксис
config command_history <value 1-40>
Параметры
<value 1-40> – количество команд, которые будут храниться в памяти коммутатора. Доступен
диапазон значений от 1 до 40.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка количества команд, хранящихся в памяти коммутатора:
2-12 config greeting_message
Описание
Данная команда используется для настройки баннера приветствия.
Page 17
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
config greeting_message {default}
Параметры
default – (опционально) вернуть баннер приветствия к настройкам по умолчанию.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка баннера:
2-13 show greeting_message
Описание
Данная команда используется, чтобы включить отображение баннера приветствия.
Синтаксис
show greeting_message
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Включение отображения баннера:
Page 18
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
2-14 config command_prompt
Описание
Данная команда используется для настройки приглашения командной строки.
Текущее приглашение состоит из четырех частей: «product name» + «:» + «user level» + «#» (например,
«DGS-3000-28XMP:admin#»). Команда используется для изменения первой части («product name») на
другое название длиной не более 16 символов или для замены приглашения на имя пользователя.
При выполнении команды reset текущее приглашение командной строки останется тем же. Но при
выполнении команды reset system, командная строка вернется к значению по умолчанию.
Синтаксис
config command_prompt [<string 16> | username | default]
Параметры
<string 16> – ввод нового приглашения командной строки длиной не более 16 символов.
username – использование имени пользователя в качестве приглашения командной строки.
default – возвращение приглашения командной строки к значению по умолчанию.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка приглашения командной строки:
2-15 config terminal width
Page 19
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Описание
Данная команда используется для настройки ширины терминала для текущей сессии.
Использование команды:
1. Если пользователь задает значение ширины терминала до 120, настройки будут действительны
только для текущей сессии. При вводе команды save, настройки сохранятся и будут применены для
последующих сессий. После выхода пользователя из сессии и повторного входа ширина терминала
будет равна 120.
2. Если пользователь не сохранил настройки, при входе другого пользователя для терминала будет
применено значение по умолчанию.
3. Если одновременно используется две сессии, при сохранении изменения настроек длины
терминала в одной из них, к другой сессии они будут применены только после следующего входа в
учетную запись.
Синтаксис
config terminal width [default | <value 80-200>]
Параметры
default – указывает использование значения по умолчанию для настроек терминала. Значение по
умолчанию – 80.
<value 80-200> – введите значение ширины терминала. Допустимы значения от 80 до 200.
Ограничения
Нет.
Пример
Настройка ширины терминала для текущей сессии:
2-16 show terminal width
Описание
Данная команда используется для просмотра настроек ширины терминала для текущей сессии.
Синтаксис
show terminal width
Параметры
Нет.
Ограничения
Нет.
Пример
Page 20
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Отображение ширины терминала для текущей сессии:
2-17 config ports
Описание
Данная команда используется для настройки портов коммутатора.
ВНИМАНИЕ: согласно стандартной MIB длина описания порта (port description) не
должна превышать 64 символа.
Синтаксис
config ports [<portlist> | all] {medium_type [fiber | copper]} {speed [auto | 10_half | 10_full | 100_half |
100_full | 1000_full {[master | slave]} | 10g_full] | flow_control [enable | disable] | learning [enable |
disable ] | state [enable | disable] | mdix [auto | normal | cross] | [description <desc 1-100> |
clear_description]}(1)
Параметры
<portlist> – список используемых портов.
all – использование данной конфигурации для всех портов.
medium_type – (опционально) указывает тип среды, используемый для комбо-порта.
fiber – указывает оптический тип среды.
copper – указывает медный тип среды.
speed – (опционально) указывает скорость передачи данных для указанных портов.
auto – указывает автосогласование скорости.
10_half – указывает скорость 10_half.
10_full – указывает скорость 10_full.
100_half – указывает скорость 100_half.
100_full – указывает скорость 100_full.
1000_full – указывает скорость 1000_full. При настройке порта на скорость 1000_full, режимы Master
или Slave должны быть указаны для портов 1000Base-T, и оставлены просто 1000_full без настроек
Master или Slave для других портов.
master – настройка режима Master для одного или нескольких портов.
slave – настройка режима Slave для одного или нескольких портов.
10g_full – указывает скорость 10g_full.
flow_control – (опционально) включение или отключение функции управления потоком на одном или
нескольких портах.
enable – включение функции управления потоком.
disable – отключение функции управления потоком.
learning – (опционально) включение или отключение функции изучения МАС-адресов на одном или
нескольких портах.
enable – включение функции изучения МАС-адресов.
Page 21
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
disable – отключение функции изучения МАС-адресов.
state – (опционально) включение или отключение указанного порта. Если указанный порт находится
в состоянии error-disabled (отключен из-за ошибки), после включения он снова будет
функционировать.
enable – включить указанный порт.
disable – отключить указанный порт.
mdix – (опционально) режим MDIX.
auto – настройка режима MDIX для порта в состояние auto.
normal – настройка режима MDIX для порта в состояние normal. В данном режиме порт может быть
подключен к сетевому адаптеру ПК с помощью прямого кабеля или порту (в режиме MDIX) другого
коммутатора с помощью перекрестного кабеля.
cross – настройка режима MDIX для порта в состояние cross. Порт находится в режиме MDI и может
быть подключен к порту (в режиме MDIX) другого коммутатора с помощью прямого кабеля.
description – (опционально) описание интерфейса порта.
<desc 1-100> – введите описание интерфейса порта. Описание может содержать до 100 символов.
clear_description – (опционально) удаление информации в поле description (описание).
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка портов:
2-18 show ports
Описание
Данная команда используется для просмотра информации о текущих настройках для всех или
указанных портов.
Синтаксис
show ports {<portlist>} {[description | err_disabled | details | media_type]}
Параметры
ports – диапазон портов, для которых необходимо отобразить информацию о настройках.
<portlist> – (опционально) диапазон портов, для которых необходимо отобразить информацию о
настройках.
description – (опционально) отображение информации об описании порта.
err_disabled – (опционально) отображение информации об отключенных портах с указанием типа
ошибки.
details - (опционально) отображение подробной информации о настройках порта.
media_type - (опционально) отображение информации о типе среды передачи данных и SFP/SFP+.
Ограничения
Нет.
Page 22
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Пример
Отображение информации о деталях порта:
Отображение информации о типе среды передачи данных и SFP/SFP+ для портов 24 – 28:
2-19 config exec_banner
Описание
Данная команда используется для настройки баннера EXEC. Созданный баннер можно сохранить в
DRAM с помощью комбинации CTRL+W. Выполните команду save, чтобы сохранить баннер в
Page 23
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
NV-RAM.
Синтаксис
config exec_banner {default}
Параметры
default – (опционально) вернуться к значению по умолчанию.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка баннера EXEC:
2-20 show exec_banner
Описание
Данная команда используется для просмотра баннера EXEC.
Синтаксис
show exec_banner
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Page 24
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Пример
Отображение баннера EXEC:
2-21 config outgoing_session_timeout
Описание
Данная команда используется для настройки значения тайм-аута для завершения указанных сессий,
установленных для входа на другое устройство.
Синтаксис
config outgoing_session_timeout <value 0-1439> [console | telnet | ssh]
Параметры
<value 0-1439> – значение тайм-аута исходящей сессии. Доступны значения от 0 до 1439. 0 означает,
что таймаута не будет.
console – указывает на тайм-аут сессии, установленной через консоль коммутатора.
telnet – указывает на тайм-аут сессии, установленной через Telnet.
ssh – указывает на тайм-аут сессии, установленной через SSH.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Настройка значения тайм-аута SSH исходящей сессии:
2-22 show outgoing_session_timeout
Описание
Данная команда используется для просмотра значений тайм-аута исходящих сессий.
Синтаксис
show outgoing_session_timeout
Page 25
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Отображение значений тайм-аута исходящих сессий:
2-23 enable monitor
Описание
Данная команда используется для включения сообщений отладки и системного журнала (system log)
для текущих сессий Telnet/SSH.
Синтаксис
enable monitor
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Включение режима Monitor:
2-24 disable monitor
Описание
Данная команда используется для отключения сообщений отладки и системного журнала (system log)
для текущих сессий Telnet/SSH.
Page 26
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
disable monitor
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator или Operator могут выполнять данную команду.
Пример
Выключение режима Monitor:
Page 27
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3. Команды 802.1Q VLAN
create vlan <vlan_name 32> tag <vlanid 2-4094> {type [1q_vlan | private_vlan]} {advertisement}
create vlan vlanid <vidlist> {type [1q_vlan | private_vlan]} {advertisement}
delete vlan <vlan_name 32>
delete vlan vlanid <vidlist>
config vlan <vlan_name 32> {[add [tagged | untagged | forbidden] | delete] <portlist> | advertisement
[enable | disable]}(1)
config vlan vlanid <vidlist> {[add [tagged | untagged | forbidden] | delete] <portlist> | advertisement
[enable | disable] | name <vlan_name 32>}(1)
config port_vlan [<portlist> | all] {gvrp_state [enable | disable] | ingress_checking [enable | disable] |
acceptable_frame [tagged_only | admit_all] | pvid <vlanid 1-4094>}(1)
show vlan {<vlan_name 32>}
show vlan ports {<portlist>}
show vlan vlanid <vidlist>
show port_vlan {<portlist>}
enable pvid auto_assign
disable pvid auto_assign
show pvid auto_assign
config gvrp [timer {join < value 100-100000> | leave < value 100-100000> | leaveall <value 100-100000>} |
nni_bpdu_addr [dot1d | dot1ad]]
show gvrp
enable gvrp
disable gvrp
config private_vlan [<vlan_name 32> | vid <vlanid 2-4094>] [add [isolated | community] | remove]
[<vlan_name 32> | vlanid <vidlist>]
show private_vlan {[<vlan_name 32> | vlanid<vidlist>]}
3-1 create vlan
Описание
Данная команда используется для создания VLAN на коммутаторе. При создании VLAN всегда
необходимо указывать VLAN ID.
Синтаксис
create vlan <vlan_name 32> tag <vlanid 2-4094> {type [1q_vlan | private_vlan]} {advertisement}
Параметры
<vlan_name 32> – имя создаваемой VLAN. Максимальное число допустимых символов в имени
VLAN – 32.
tag – VLAN ID создаваемой VLAN.
<vlanid 2-4094> – VLAN ID создаваемой VLAN. Доступен диапазон значений от 2 до 4094.
type – (опционально) тип создаваемой VLAN.
Page 28
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
1q_vlan – указывает на использование типа VLAN на основе стандарта 802.1Q.
private_vlan – указывает на использование типа Private VLAN.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Создание VLAN c именем «v2» и VLAN ID 2:
3-2 create vlan vlanid
Описание
Данная команда используется для создания нескольких VLAN одновременно. Уникальное имя VLAN
(например, VLAN10) будет назначено автоматически. Автоматическое назначение имени VLAN
подчиняется следующему правилу: «VLAN»+ID. Например, для VLAN ID 100 имя VLAN будет
VLAN100. Если данное имя VLAN конфликтует с именем уже существующей VLAN, то оно будет
изменено по следующему правилу: «VLAN»+ID+«ALT»+значение счетчика коллизий. Например, если
данный конфликт является второй коллизией, имя будет VLAN100ALT2.
Синтаксис
create vlan vlanid <vidlist> {type [1q_vlan | private_vlan]} {advertisement}
Параметры
<vidlist> – список VLAN ID, который будет создан.
type – (опционально) тип создаваемой VLAN.
1q_vlan – указывает на использование типа VLAN на основе стандарта 802.1Q.
private_vlan – указывает на использование типа Private VLAN.
advertisement – (опционально) включает анонсирование для VLAN.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Создание нескольких VLAN с использованием VLAN ID:
Page 29
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3-3 delete vlan
Описание
Данная команда используется для удаления ранее настроенной VLAN по ее имени на коммутаторе.
Синтаксис
delete vlan <vlan_name 32>
Параметры
<vlan_name 32> – введите имя VLAN, которую необходимо удалить. Максимально допустимое
количество символов в имени VLAN – 32.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Удаление VLAN c именем «v1»:
3-4 delete vlan vlanid
Описание
Данная команда используется для удаления одной или нескольких ранее настроенных VLAN по
списку VID.
Синтаксис
delete vlan vlanid <vidlist>
Параметры
<vidlist> – введите список VLAN ID, которые необходимо удалить.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Удаление VLAN 10-30:
Page 30
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3-5 config vlan
Описание
Данная команда используется для настройки VLAN на основе имени.
Синтаксис
config vlan <vlan_name 32> {[add [tagged | untagged | forbidden] | delete] <portlist> | advertisement
[enable | disable]}(1)
Параметры
<vlan_name 32> – имя VLAN. Максимально допустимое количество символов в имени VLAN – 32.
add – указывает на добавление тегированных, нетегированных и forbidden портов в ранее созданную
VLAN.
tagged – указывает дополнительные порты в качестве тегированных.
untagged – указывает дополнительные порты в качестве нетегированных.
forbidden – указывает дополнительные порты в качестве forbidden.
delete – указывает, что порты необходимо удалить из VLAN.
<portlist> – список портов, которые необходимо добавить или удалить из VLAN.
advertisement – указывает статус GVRP для данной VLAN.
enable – включение анонсирования для данной VLAN.
disable – отключение анонсирования для данной VLAN.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Добавление портов 4 – 8 как тегированных в VLAN v2:
3-6 config vlan vlanid
Описание
Данная команда используется для настройки нескольких VLAN одновременно. При одновременной
настройке имени нескольких VLAN могут быть конфликты.
Синтаксис
config vlan vlanid <vidlist> {[add [tagged | untagged | forbidden] | delete] <portlist> | advertisement
[enable | disable] | name <vlan_name 32>}(1)
Параметры
<vidlist> – список VLAN ID, которые необходимо настроить.
add – указывает, что тегированные, нетегированные и forbidden порты необходимо добавить в ранее
созданную VLAN.
tagged – указывает дополнительные порты в качестве тегированных.
untagged – указывает дополнительные порты в качестве нетегированных.
Page 31
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
forbidden – указывает дополнительные порты в качестве forbidden.
delete – указывает, что порты необходимо удалить из VLAN.
<portlist> – список портов, которые необходимо добавить или удалить из VLAN.
advertisement – указывает статус GVRP для данной VLAN.
enable – включение анонсирования для данной VLAN.
disable – отключение анонсирования для данной VLAN.
name – новое имя VLAN.
<vlan_name 32> – введите имя VLAN. Максимально допустимое количество символов в имени
VLAN – 32.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Добавление портов 4 – 8 в качестве тегированных в VLAN с VLAN ID 10 – 20:
3-7 config port_vlan
Описание
Данная команда используется для настройки проверки входящих кадров, отправки и приема
информации GVRP.
Синтаксис
config port_vlan [<portlist> | all] {gvrp_state [enable | disable] | ingress_checking [enable | disable] |
acceptable_frame [tagged_only | admit_all] | pvid <vlanid 1-4094>}(1)
Параметры
<portlist> – диапазон портов, для которых необходимо настроить проверку входящих кадров. Список
портов указывается путем ввода начального номера порта на коммутаторе, разделяется двоеточием.
Затем указывается наибольший номер порта в диапазоне (также разделяется двоеточием).
Начальный и конечный диапазоны списка портов разделяются тире.
all – указывает проверку входящих кадров на всех портах.
gvrp_state – включает или отключает GVRP для портов, указанных в списке.
enable – включение GVRP для указанных портов.
disable – отключение GVRP для указанных портов.
ingress_checking – включает и отключает проверку входящих кадров для портов, указанных в
списке.
enable – включение проверки входящих кадров для указанных портов.
disable – отключение проверки входящих кадров для указанных портов.
acceptable_frame – определение типа допустимых кадров для порта. Доступно два типа:
tagged_only – указывает, что для порта допустимы могут быть только тегированные пакеты.
admit_all – указывает, что допустимы могут быть все пакеты.
pvid – указывает Port VLAN ID (PVID) портов.
<vlanid 1-4094> – введите VLAN ID. Доступен диапазон VLAN ID от 1 до 4094.
Page 32
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Ограничения
Только пользователи уровня Administrator и Operator могут выполнять данную команду.
Пример
Настройка проверки входящих кадров, отправки и приема информации GVRP:
3-8 show vlan
Описание
Данная команда используется для просмотра информации о VLAN, включая настройки параметров и
значения.
Синтаксис
show vlan {<vlan_name 32>}
Параметры
<vlan_name 32> – (опционально) введите имя той VLAN, информацию о которой необходимо
отобразить. Имя VLAN может состоять не более, чем из 32 символов.
Ограничения
Нет.
Пример
Отображение настроек VLAN:
Page 33
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3-9 show vlan ports
Описание
Данная команда используется для просмотра информации о VLAN на порту.
Синтаксис
show vlan ports {<portlist>}
Параметры
<portlist> – (опционально) введите список портов, для которых необходимо отобразить информацию
о VLAN.
Ограничения
Нет.
Пример
Отображение настроек VLAN для порта 6:
Page 34
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3-10 show vlan vlanid
Описание
Данная команда используется для просмотра информации о VLAN на основе VLAN ID.
Синтаксис
show vlan vlanid <vidlist>
Параметры
<vidlist> – VLAN ID, для которого необходимо отобразить информацию.
Ограничения
Нет.
Пример
Отображение настроек VLAN для VLAN ID 1:
3-11 show port_vlan
Описание
Данная команда используется для просмотра атрибутов VLAN на портах коммутатора. Если
параметры не указаны, система отобразит информацию GVRP для всех портов.
Page 35
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
show port_vlan {<portlist>}
Параметры
<portlist> – (опционально) диапазон портов, для которых необходимо отбразить информацию.
Ограничения
Нет.
Пример
Отображение настроек порта 802.1Q:
3-12 enable pvid auto assign
Описание
Данная команда используется для включения автоматического назначения PVID.
Если данная опция включена, PVID можно будет изменить при настройке PVID или VLAN. Когда
пользователь настраивает порт как нетегированный для VLAN X, PVID порта будет обновляться с
VLAN X. В форме команды списка VLAN, PVID обновляется вместе с последним пунктом списка
VLAN. Когда пользователь удалит порт из списка нетегированных портов, ему будет назначен PVID
«default VLAN» (VLAN по умолчанию), равный 1.
По умолчанию данная опция включена.
Page 36
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
enable pvid auto_assign
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Включение автоматического назначения PVID:
3-13 disable pvid auto assign
Описание
Данная команда используется для отключения автоматического назначения PVID.
Синтаксис
disable pvid auto_assign
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Отключение автоматического назначения PVID:
3-14 show pvid auto_assign
Описание
Данная команда используется для просмотра информации об автоматическом назначении PVID.
Синтаксис
show pvid auto_assign
Page 37
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Параметры
Нет.
Ограничения
Нет.
Пример
Отображение информации о статусе автоматического назначения PVID:
3-15 config gvrp
Описание
Данная команда используется для настройки таймеров GVRP.
Синтаксис
config gvrp [timer {join < value 100-100000> | leave < value 100-100000> | leaveall <value 100100000>} | nni_bpdu_addr [dot1d | dot1ad]]
Параметры
timer – укажите для настройки таймеров GVRP.
join – (опционально) указывает таймер Join для GVRP.
<value 100-100000> – введите время в милисекундах. Доступен диапазон значений от 100 до
100000. Значение по умолчанию составляет 200.
leave – (опционально) указывает таймер Leave для GVRP.
<value 100-100000> – введите время в милисекундах. Доступен диапазон значений от 100 до
100000. Значение по умолчанию составляет 600.
leaveall – (опционально) указывает таймер Leave All для GVRP на коммутаторе.
<value 100-100000> – введите время в милисекундах. Доступен диапазон значений от 100 до
100000. Значение по умолчанию составляет 10000.
nni_bpdu_addr – задает адрес назначения протокола BPDU, используемого GVRP на стороне
провайдера. Может быть использован адрес 802.1d GVRP, 802.1ad GVRP-адрес провайдера или
определенный пользователем адрес многоадресной рассылки.
Доступен диапазон пользовательских адресов от 0180C2000000 до 0180C2FFFFFF.
dot1d – указывает, что значение адреса протокола NNI BPDU будет Dot1d.
dot1ad – указывает, что значение адреса протокола NNI BPDU будет Dot1ad.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Настройка таймера Join со значением 200 милисекунд:
Page 38
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3-16 show gvrp
Описание
Данная команда используется для просмотра глобальных настроек GVRP.
Синтаксис
show gvrp
Параметры
Нет.
Ограничения
Нет.
Пример
Отображение глобальных настроек GVRP:
3-17 enable gvrp
Описание
Данная команда используется для включения GVRP.
Синтаксис
enable gvrp
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Включение GVRP:
Page 39
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
3-18 disable gvrp
Описание
Данная команда используется для отключения GVRP.
Синтаксис
disable gvrp
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator, Operator или Power User могут выполнять данную команду.
Пример
Отключение GVRP:
3-19 config private_vlan
Описание
Данная команда используется для добавления или удаления второстепенной (Secondary) VLAN из
основной (Private) VLAN.
Используйте команду create vlan <vlan_name 32> tag <vlanid 2-4094> type private_vlan для создания
основной Private VLAN.
Private VLAN определяется одной основной (Primary) VLAN, одной дополнительной изолированной
(Isolated) VLAN и несколькими общедоступными (Community) VLAN.
Второстепенная VLAN не может быть ассоциирована с несколькими основными VLAN.
Нетегированный (untagged) порт основной VLAN называется promiscuous-портом.
Порт основной VLAN не может одновременно быть портом второстепенной VLAN.
Нетегированный порт второстепенной VLAN должен быть либо изолированным, либо общедоступным
портом.
Если VLAN ассоциирована с основной VLAN в качестве второстепенной VLAN, promiscuous-порт
основной VLAN будет считаться нетегированным портом второстепенной VLAN, а trunk-порт основной
VLAN будет считаться тегированным портом второстепенной VLAN.
Второстепенная VLAN не может быть настроена с анонсированием.
Только основная VLAN может быть настроена в качестве интерфейса 3 уровня.
Page 40
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Для порта Private VLAN не может быть настроена функция сегментации трафика.
Синтаксис
config private_vlan [<vlan_name 32> | vid <vlanid 2-4094>] [add [isolated | community] | remove]
[<vlan_name 32> | vlanid <vidlist>]
Параметры
<vlan_name 32> – введите имя Private VLAN.
vid – VLAN ID Private VLAN.
<vlanid 2-4094> – введите VLAN ID. Доступен диапазон значений от 2 до 4094.
add – указывает, что второстепенную VLAN необходимо добавить в Private VLAN.
isolated – указывает второстепенную VLAN в качестве Isolated VLAN.
community – указывает второстепенную VLAN в качестве Community VLAN.
remove – указывает, что необходимо удалить второстепенную VLAN из Private VLAN.
<vlan_name 32> − введите имя второстепенной VLAN. Максимально допустимая длина имени
составляет 32 символа.
vlanid – диапазон второстепенных VLAN, которые необходимо добавить в Private VLAN или удалить
из нее.
<vlanid_list> – введите VLAN ID второстепенных VLAN.
Ограничения
Только пользователи уровня Administrator и Operator могут выполнять данную команду.
Пример
Ассоциирование второстепенной VLAN c основной VLAN p1:
3-20 show private_vlan
Описание
Данная команда используется для просмотра информации о Private VLAN.
Синтаксис
show private_vlan {[<vlan_name 32> | vlanid <vidlist>]}
Параметры
<vlan_name 32> – (опционально) укажите имя Private VLAN или ее второстепенной VLAN.
Максимально допустимая длина имени составляет 32 символа.
vlanid – (опционально) укажите VLAN ID Private VLAN или ее второстепенной VLAN.
<vidlist> – введите VLAN ID.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Page 41
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Отображение настроек Private VLAN:
Page 42
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
4. Команды AAA
create accounting method_list_name <string 15>
config accounting [default | method_list_name <string 15>] method {tacacs+ | radius | server_group
<string 15> | none}(1)
delete accounting method_list_name <string 15>
show accounting [default | method_list_name <string 15> | all]
config accounting service [network | shell | system] state [enable {[radius_only | method_list_name
<string 15> | default_method_list]} | disable]
config accounting service command {administrator | operator | power_user | user} [method_list_name
<string 15> | none]
show accounting service
create tacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> | retransmit
<int 1-20>}
config tacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> | retransmit
<int 1-20>}
create xtacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> | retransmit
<int 1-20>}
config xtacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> | retransmit
<int 1-20>}
create tacacs+ server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | key [<key_string 254> | none] |
timeout <int 1-255> }
config tacacs+ server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | key [<key_string 254> | none] |
timeout <int 1-255>}
create radius server_host [<ipaddr> | <ipv6addr>] {auth_port <int 1-65535> | acct_port <int 1-65535> |
key [<key_string 254> | none] | timeout <int 1-255> | retransmit <int 1-20>}
config radius server_host [<ipaddr> | <ipv6addr>] {auth_port <int 1-65535> | acct_port <int 1-65535> |
key [<key_string 254> | none] | timeout <int 1-255> | retransmit <int 1-20>}
delete aaa server_host [<ipaddr> | <ipv6addr>] protocol [tacacs | xtacacs | tacacs+ | radius]
show aaa server_host
create aaa server_group <string 15>
config aaa server_group [tacacs | xtacacs | tacacs+ | radius | group_name <string 15>] [add | delete]
server_host [<ipaddr> | <ipv6addr>] protocol [tacacs | xtacacs | tacacs+ | radius]
delete aaa server_group <string 15>
show aaa server_group {<string 15>}
show aaa
4-1 create accounting method_list_name
Описание
Данная команда используется для создания пользовательского списка методов аккаунтинга.
Максимальное число списков методов – 8.
Синтаксис
Page 43
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
create accounting method_list_name <string 15>
Параметры
<string 15> – введите имя пользовательского списка методов.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Создание пользовательского списка методов «shell_acct»:
4-2 config accounting
Описание
Данная команда используется для настройки пользовательского списка или списка методов
аккаунтинга по умолчанию на коммутаторе.
Синтаксис
config accounting [default | method_list_name <string 15>] method {tacacs+ | radius | server_group
<string 15> | none}(1)
Параметры
default – указывает на настройку списка методов аккаунтинга по умолчанию.
method_list_name – указывает на настройку пользовательского списка методов аккаунтинга.
<string 15> – введите имя списка методов.
method – укажите метод аккаунтинга.
tacacs+ – указывает на использование встроенной группы серверов TACACS+.
radius – указывает на использование встроенной группы серверов RADIUS.
server_group – указывает на использование пользователем группы серверов.
<string 15> – введите имя группы серверов.
none – укажите для отключения аккаунтинга.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Настройка пользовательского списка методов «shell_acct» с использованием встроенной группы
серверов TACACS+ и следующей за ней встроенной группы серверов RADIUS:
Page 44
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
4-3 delete accounting method_list_name
Описание
Данная команда используется для удаления пользовательского списка методов аккаунтинга.
Синтаксис
delete accounting method_list_name <string 15>
Параметры
<string 15> – введите имя списка методов.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Удаление пользовательского списка методов «shell_acct»:
4-4 show accounting
Описание
Данная команда используется для просмотра списка методов аккаунтинга.
Синтаксис
show accounting [default | method_list_name <string 15> | all]
Параметры
default – укажите для отображения списка методов аккаунтинга по умолчанию.
method_list_name – укажите для отображения пользовательского списка методов аккаунтинга.
<string 15> – введите имя списка методов.
all – отображение всех списков методов.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Отображение заданного пользователем списка методов «shell_acct»:
Page 45
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
4-5 config accounting service
Описание
Данная команда используется для настройки статуса указанного сервиса аккаунтинга.
Синтаксис
config accounting service [network | shell | system] state [enable {[radius_only | method_list_name
<string 15> | default_method_list]} | disable]
Параметры
network – указывает сервис аккаунтинга для управления доступом 802.1Х на порту. По умолчанию
данный сервис отключен.
shell – указывает сервис аккаунтинга для событий shell. Когда пользователь входит или выходит из
учетной записи на коммутаторе (через консоль, Telnet или SSH) и происходит тайм-аут, информация
аккаунтинга будет собираться и отправляться на RADIUS-сервер. По умолчанию данный сервис
отключен.
system – указывает сервис аккаунтинга для системных событий: reset и reboot. По умолчанию
данный сервис отключен.
state – указывает статус указанных сервисов.
enable – укажите для включения указанного сервиса аккаунтинга.
radius_only – (опционально) указывает использование только RADIUS-сервера, созданного
командой config radius add.
method_list_name – (опционально) уажите, чтобы использовать только пользовательский
список методов аккаунтинга, созданный командой create accounting method_list_name.
<string 15> – введите имя списка методов.
default_method_list – (опционально) укажите, чтобы использовать список методов по
умолчанию.
disable – отключить указанный сервис аккаунтинга.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Включение списка методов аккаунтинга ААА «shell_acct» для событий shell:
Page 46
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
4-6 config accounting service command
Описание
Данная команда используется для настройки возможности логирования команд указанного уровня
сервисом аккаунтинга. Если уровень команды не указан, выбранными считаются все уровни.
Синтаксис
config accounting service command {administrator | operator | power_user | user}
[method_list_name <string 15> | none]
Параметры
administrator – (опционально) использовать команды уровня Administrator.
operator – (опционально) использовать команды уровня Operator.
power_user – (опционально) использовать команды уровня Power User.
user – (опционально) использовать команды уровня User.
method_list_name – использовать только пользовательский список методов аккаунтинга, созданный
командой create accounting method_list_name.
<string 15> – введите имя списка методов.
none – отключить данную функцию.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Настройка выполнения команд уровня Administrator для списка методов аккаунтинга ААА «shell_acct»:
4-7 show accounting service
Описание
Данная команда используется для просмотра статуса сервисов аккаунтинга.
Синтаксис
show accounting service
Параметры
Нет.
Ограничения
Нет.
Пример
Отображение информации о сервисах аккаунтинга RADIUS:
Page 47
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
4-8 create tacacs server_host
Описание
Данная команда используется для создания сервера TACACS. Когда создается ААА-сервер, его
IP-адрес и протокол являются индексом. На одном физическом порту может быть запущено более
одного сервиса протоколов. Максимальное количество поддерживаемых сервером узлов – 16.
Синтаксис
create tacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> |
retransmit <int 1-20>}
Параметры
<ipaddr> – укажите IP-адрес сервера.
<ipv6addr> – укажите IPv6-адрес сервера.
port – (опционально) номер порта сервера TACACS.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 49.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
retransmit – (опционально) счетчик количества повторных запросов.
<int 1-20> – укажите значение здесь. Значение по умолчанию – 2.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Создание сервера TACACS:
4-9 config tacacs server_host
Описание
Данная команда используется для настройки сервера TACACS.
Page 48
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
config tacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> |
retransmit <int 1-20>}
Параметры
<ipaddr> – укажите IP-адрес сервера.
<ipv6addr> – укажите IPv6-адрес сервера.
port – (опционально) номер порта сервера TACACS.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 49.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
retransmit – (опционально) счетчик количества повторных запросов.
<int 1-20> – укажите значение здесь. Значение по умолчанию – 2.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Настройка количества повторных запросов для сервера TACACS в количестве 5:
4-10 create xtacacs server_host
Описание
Данная команда используется для создания сервера ХTACACS. Когда создается ААА-сервер, его
IP-адрес и протокол являются индексом. На одном физическом порту может быть запущено более
одного сервиса протоколов. Максимальное количество поддерживаемых сервером узлов – 16.
Синтаксис
create xtacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> |
retransmit <int 1-20>}
Параметры
<ipaddr> – укажите IP-адрес сервера.
<ipv6addr> – укажите IPv6-адрес сервера.
port – (опционально) номер порта сервера ХTACACS.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 49.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
retransmit – (опционально) счетчик количества повторных запросов.
<int 1-20> – укажите значение здесь. Значение по умолчанию – 2.
Page 49
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Создание сервера ХTACACS:
4-11 config xtacacs server_host
Описание
Данная команда используется для настройки сервера XTACACS.
Синтаксис
config xtacacs server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | timeout <int 1-255> |
retransmit <int 1-20>}
Параметры
<ipaddr> – укажите IP-адрес сервера.
<ipv6addr> – укажите IPv6-адрес сервера.
port – (опционально) номер порта сервера XTACACS.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 49.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
retransmit – (опционально) счетчик количества повторных запросов.
<int 1-20> – укажите значение здесь. Значение по умолчанию – 2.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Настройка количества повторных запросов для сервера XTACACS в количестве 5:
4-12 create tacacs+ server_host
Page 50
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Описание
Данная команда используется для создания сервера TACACS+. Когда создается сервер ААА, его
IP-адрес и протокол являются индексом. На одном физическом порту может быть запущено более
одного сервиса протоколов. Максимальное количество поддерживаемых серверных узлов – 16.
Синтаксис
create tacacs+ server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | key [<key_string 254> |
none] | timeout <int 1-255>}
Параметры
<ipaddr> – укажите запись для IP-адреса сервера.
<ipv6addr> – укажите запись для IPv6-адреса сервера.
port – (опционально) номер порта для записи сервера TACACS+.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 49.
key – (опционально) укажите ключ в форме обычного текста.
<key_string 254> – введите ключ.
none – указывает на отсутствие шифрования для TACACS+.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Создание записи для сервера TACACS+:
4-13 config tacacs+ server_host
Описание
Данная команда используется для настройки записи для сервера TACACS+.
Синтаксис
config tacacs+ server_host [<ipaddr> | <ipv6addr>] {port <int 1-65535> | key [<key_string 254> |
none] | timeout <int 1-255>}
Параметры
<ipaddr> – укажите запись для IP-адреса сервера.
<ipv6addr> – укажите запись для IPv6-адреса сервера.
port – (опционально) номер порта для записи сервера TACACS+.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 49.
key – (опционально) ключ в форме обычного текста.
<key_string 254> – введите ключ.
Page 51
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
none – указывает на отсутствие шифрования для TACACS+.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Настройка записи для сервера TACACS+ со значением ключа «abc123»:
4-14 create radius server_host
Описание
Данная команда используется для создания записи для RADIUS-сервера. Когда создается запись для
ААА-сервера, его IP-адрес и протокол являются индексом. На одном физическом порту может быть
запущено более одного сервиса протоколов. Максимальное количество поддерживаемых записей для
сервера – 16.
Синтаксис
create radius server_host [<ipaddr> | <ipv6addr>] {auth_port <int 1-65535> | acct_port <int 1-65535> |
key [<key_string 254> | none] | timeout <int 1-255> | retransmit <int 1-20>}
Параметры
<ipaddr> – укажите запись для IP-адреса сервера.
<ipv6addr> – укажите запись для IPv6-адреса сервера.
auth_port – (опционально) укажите номер порта для RADIUS-аутентификации.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 1812.
acct_port – (опционально) укажите номер порта для учетной записи RADIUS.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 1813.
key – (опционально) укажите ключ в форме обычного текста.
<key_string 254> – введите ключ.
none – указывает на отсутствие шифрования для RADIUS.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
retransmit – (опционально) счетчик количества повторных запросов.
<int 1-20> – укажите значение здесь. Значение по умолчанию – 2.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Page 52
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Создание записи для сервера RADIUS:
4-15 config radius server_host
Описание
Данная команда используется для настройки записи для RADIUS-сервера.
Синтаксис
config radius server_host [<ipaddr> | <ipv6addr>] {auth_port <int 1-65535> | acct_port <int 1-65535> |
key [<key_string 254> | none] | timeout <int 1-255> | retransmit <int 1-20>}
Параметры
<ipaddr> – укажите запись для IP-адреса сервера.
<ipv6addr> – укажите запись для IPv6-адреса сервера.
auth_port – (опционально) укажите номер порта для RADIUS-аутентификации.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 1812.
acct_port – (опционально) укажите номер порта для учетной записи RADIUS.
<int 1-65535> – укажите номер порта. Значение по умолчанию – 1813.
key – (опционально) укажите ключ в форме обычного текста.
<key_string 254> – введите ключ.
none – указывает на отсутствие шифрования для RADIUS.
timeout – (опционально) время ожидания ответа от сервера.
<int 1-255> – укажите время в секундах. Значение по умолчанию – 5 секунд.
retransmit – (опционально) счетчик количества повторных запросов.
<int 1-20> – укажите значение здесь. Значение по умолчанию – 2.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Настройка записи для сервера RADIUS со значением ключа «abc123»:
4-16 delete aaa server_host
Описание
Page 53
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Данная команда используется для удаления указанной записи ААА-сервера.
Синтаксис
delete aaa server_host [<ipaddr> | <ipv6addr>] protocol [tacacs | xtacacs | tacacs+ | radius]
Параметры
<ipaddr> – укажите запись для IP-адреса сервера.
<ipv6addr> – укажите запись для IPv6-адреса сервера
protocol – укажите протокол, используемый с ААА.
tacacs – указывает протокол TACACS.
xtacacs – указывает протокол XTACACS.
tacacs+ – указывает протокол TACACS+.
radius – указывает протокол RADIUS.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Удаление протокола TACACS+, используемого с сервером ААА с IP-адресом 10.1.1.222:
4-17 show aaa server_host
Описание
Данная команда используется для просмотра информации о записях ААА-сервера.
Синтаксис
show aaa server_host
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Отображение информации о записях ААА-сервера:
Page 54
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
4-18 create aaa server_group
Описание
Данная команда используется для создания группы пользовательских серверов ААА. Максимально
доступно 8 групп серверов, включая встроенные. В каждой группе серверов может быть до 8
серверных узлов.
Синтаксис
create aaa server_group <string 15>
Параметры
<string 15> – имя группы серверов.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Создание пользовательской группы серверов ААА «group_1»:
4-19 config aaa server_group
Описание
Данная команда используется для добавления или удаления записи ААА-сервера из указанной
группы серверов.
Синтаксис
config aaa server_group [tacacs | xtacacs | tacacs+ | radius | group_name <string 15>] [add | delete]
Page 55
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
server_host [<ipaddr> | <ipv6addr>] protocol [tacacs | xtacacs | tacacs+ | radius]
Параметры
tacacs – указывает на использование встроенной группы серверов TACACS.
xtacacs – указывает на использование встроенной группы серверов XTACACS.
tacacs+ – указывает на использование встроенной группы серверов TACACS+.
radius – указывает на использование встроенной группы серверов RADIUS.
group_name – укажите имя пользовательской группы.
<string 15> – укажите имя группы серверов.
add – добавить сервер в группу серверов.
delete – удалить сервер из группы серверов.
server_host – указывает сервер.
<ipaddr> – указывает IP-адрес сервера.
<ipv6addr> – указывает IPv6-адрес сервера.
protocol – указывает протокол, используемый с ААА.
tacacs – указывает протокол TACACS.
xtacacs – указывает протокол XTACACS.
tacacs+ – указывает протокол TACACS+.
radius – указывает протокол RADIUS.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Добавление сервера ААА с IP-адресом 10.1.1.222 в группу серверов «group_1»:
4-20 delete aaa server_group
Описание
Данная команда используется для удаления группы пользовательских серверов ААА.
Синтаксис
delete aaa server_group <string 15>
Параметры
<string 15> – укажите имя группы серверов.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Page 56
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Пример
Удаление пользовательской группы серверов ААА «group_1»:
4-21 show aaa server_group
Описание
Данная команда используется для просмотра групп серверов ААА.
Синтаксис
show aaa server_group {<string 15>}
Параметры
<string 15> – (опционально) укажите имя группы серверов.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Отображение всех групп серверов ААА:
4-22 show aaa
Описание
Данная команда используется для просмотра глобальных настроек ААА.
Синтаксис
Page 57
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
show aaa
Параметры
Нет.
Ограничения
Нет.
Пример
Отображение глобальных настроек ААА:
Page 58
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
5. Команды предотвращения атак ARP Spoofing
config arp_spoofing_prevention [add gateway_ip <ipaddr> gateway_mac <macaddr> ports [<portlist> |
all] | delete gateway_ip <ipaddr>]
config arp_spoofing_prevention syslog state [enable | disable]
show arp_spoofing_prevention
5-1 config arp_spoofing_prevention
Описание
Команда предназначена для настройки ARP-записи, используемой для предотвращения атак ARP
Spoofing с подменой МАС-адреса шлюза. После создания такой записи система будет отбрасывать
ARP-пакеты, у которых IP-адрес источника совпадает с IP-адресом шлюза, но не совпадают
МАС-адрес источника и МАС-адрес шлюза.
Синтаксис
config arp_spoofing_prevention [add gateway_ip <ipaddr> gateway_mac <macaddr> ports [<portlist>
| all] | delete gateway_ip <ipaddr>]
Параметры
add – указывает на добавление записи ARP Spoofing Prevention.
gateway_ip – указывает настройку IP-адреса шлюза.
<ipaddr> – введите IP-адрес.
gateway_mac – указывает МАС-адреса шлюза.
<macaddr> – введите МАС-адрес.
ports – указывает диапазон настраиваемых портов.
<portlist> – введите список портов.
add – указывает настройку всех портов.
delete – указывает на удаление записи ARP Spoofing Prevention.
gateway_ip – указывает IP-адреса шлюза.
<ipaddr> – введите IP-адрес.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Настройка записи ARP Spoofing Prevention:
5-2 config arp_spoofing_prevention syslog state
Page 59
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Описание
Команда используется для настройки статуса системного журнала (syslog) для ARP Spoofing
Prevention.
Синтаксис
config arp_spoofing_prevention syslog state [enable | disable]
Параметры
enable – включение логирования МАС-адреса атакующего, если IP-адрес атаки совпадает с адресом
шлюза.
disable – отключение логирования МАС-адреса атакующего, если IP-адрес атаки совпадает с
адресом шлюза.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Включение системного журнала для ARP Spoofing Prevention:
5-3 show arp_spoofing_prevention
Описание
Команда используется для просмотра записи ARP Spoofing Prevention.
Синтаксис
show arp_spoofing_prevention
Параметры
Нет.
Ограничения
Нет.
Пример
Отображение записей ARP Spoofing Prevention:
Page 60
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Page 61
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
6. Команды логирования выполненных команд
enable command logging
disable command logging
show command logging
6-1 enable command logging
Описание
Команда используется для включения функции логирования выполненных команд. По умолчанию
функция отключена.
Примечание: ни одна команда конфигурации не будет регистрироваться в
журнале, пока коммутатор находится в процессе загрузки. При условии, что
пользователь проходит аутентификацию AAA, имя пользователя не должно
меняться, если используется команда enable admin.
Синтаксис
enable command logging
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Включение функции логирования выполненных команд:
6-2 disable command logging
Описание
Команда используется для отключения функции логирования выполненных команд.
Синтаксис
disable command logging
Параметры
Нет.
Page 62
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Ограничения
Только пользователи уровня Administrator могут выполнять данную команду.
Пример
Отключение функции логирования выполненных команд:
6-3 show command logging
Описание
Команда используется для просмотра статуса функции логирования выполненных команд на
коммутаторе.
Синтаксис
show command logging
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator и Operator могут выполнять данную команду.
Пример
Отображение статуса функции логирования выполненных команд на коммутаторе:
Page 63
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
7. Команды предотвращения атак DoS
config dos_prevention dos_type [{land_attack | blat_attack | tcp_null_scan | tcp_xmasscan | tcp_synfin |
tcp_syn_srcport_less_1024 | ping_death_attack | tcp_tiny_frag_attack} | all] {action [drop] | state [enable |
disable]}
show dos_prevention {land_attack | blat_attack | tcp_null_scan | tcp_xmasscan | tcp_synfin |
tcp_syn_srcport_less_1024 | ping_death_attack | tcp_tiny_frag_attack}
config dos_prevention trap [enable | disable]
config dos_prevention log [enable | disable]
7-1 config dos_prevention dos_type
Описание
Команда используется для включения и настройки механизма предотвращения атак Denial-of-Service
(DoS Prevention). Сопоставление пакетов при использовании DoS prevention выполняется аппаратно.
Для каждого типа атаки содержимое пакета будет сопоставляться с определенным шаблоном.
Синтаксис
config dos_prevention dos_type [{land_attack | blat_attack | tcp_null_scan | tcp_xmasscan |
tcp_synfin | tcp_syn_srcport_less_1024 | ping_death_attack | tcp_tiny_frag_attack} | all] {action
[drop] | state [enable | disable]}
Параметры
land_attack – (опционально) проверяет, совпадает ли адрес источника с адресом назначения
принимаемого IP-пакета.
blat_attack – (опционально) проверяет, совпадает ли порт источника с портом назначения
принимаемого TCP-пакета.
tcp_null_scan – (опционально) проверяет, не содержит ли принимаемый TCP-пакет флаги и
порядковый номер (sequence number) 0.
tcp_xmasscan – (опционально) проверяет, содержит ли принимаемый TCP-пакет флаги URG, Push и
FIN.
tcp_synfin – (опционально) проверяет, содержит ли принимаемый TCP-пакет флаги FIN и SYN.
tcp_syn_srcport_less_1024 – (опционально) проверяет, чтобы порт источника TCP-пакетов не был
меньше 1024.
ping_death_attack – (опционально) проверяет, являются ли принимаемые пакеты
фрагментированными ICMP-пакетами.
tcp_tiny_frag_attack – (опционально) проверяет, являются ли пакеты малыми фрагментами
TCP-пакетов.
all – указывает все типы DoS-атак.
action – (опционально) указывает на выполнение следующего действия при включении механизма
предотвращения DoS-атак.
drop – отбрасывать пакеты DoS-атак.
state – (опционально) указывает статус механизма предотвращения DoS-атак.
enable – включить механизм предотвращения DoS-атак.
disable – отключить механизм предотвращения DoS-атак.
Page 64
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Включение механизма предотвращения DoS-атак для атак land и blat с действием drop (отбросить):
7-2 show dos_prevention
Описание
Команда используется для получения информации о работе механизма DoS Prevention, включая
информацию о статусе трапов (trap), журнале (log), типе DoS-атак, статусе предотвращения,
соответствующем действии, если предотвращение включено, а также информацию о счетчиках
DoS-пакетов.
Синтаксис
show dos_prevention {land_attack | blat_attack | tcp_null_scan | tcp_xmasscan | tcp_synfin |
tcp_syn_srcport_less_1024 | ping_death_attack | tcp_tiny_frag_attack}
Параметры
land_attack – (опционально) указывает отображение информации об атаке land.
blat_attack – (опционально) указывает отображение информации об атаке blat.
tcp_null_scan – (опционально) указывает отображение информации о TCP null scan.
tcp_xmasscan – (опционально) указывает отображение информации о TCP Xmas scan.
tcp_synfin – (опционально) указывает отображение информации о TCP SYN/FIN.
tcp_syn_srcport_less_1024 – (опционально) указывает отображение информации о TCP SYN SrcPort
less 1024.
ping_death_attack – (опционально) указывает отображение информации об атаке ping of death.
tcp_tiny_frag_attack – (опционально) указывает отображение информации об атаке TCP tiny
fragment.
Ограничения
Нет.
Пример
Отображение информации о статусе предотвращения DoS-атак:
Page 65
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
7-3 config dos_prevention trap
Описание
Команда используется для включения и отключения трапов для DoS-атак.
Синтаксис
config dos_prevention trap [enable | disable]
Параметры
enable – укажите для включения трапов для DoS Prevention.
disable – укажите для отключения трапов для DoS Prevention.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Отключение трапов для DoS Prevention:
7-4 config dos_prevention log
Описание
Команда позволяет включить или отключить регистрацию событий в журнале для функции DoS
Prevention.
Page 66
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Синтаксис
config dos_prevention log [enable | disable]
Параметры
enable – включить логирование для предотвращения DoS-атак.
disable – отключить логирование для предотвращения DoS-атак.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Включение логирования для предотвращения DoS-атак:
Page 67
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
8. Команды Port Security
config port_security system max_learning_addr [<max_lock_no 1-3328> | no_limit]
config port_security ports [<portlist>| all] [{admin_state [enable | disable] | max_learning_addr
<max_lock_no 0-3328> | action [drop | shutdown] | lock_address_mode [permanent | deleteontimeout |
deleteonreset]}(1) | {vlan [<vlan_name 32> | vlanid <vidlist>] max_learning_addr [<max_lock_no 0-3328> |
no_limit]}(1)]
config port_security vlan [<vlan_name 32> | vlanid <vidlist>] max_learning_addr [<max_lock_no 0-3328>
| no_limit]
delete port_security_entry [vlan <vlan_name 32> | vlanid <vlanid 1-4094>] mac_address <macaddr>
clear port_security_entry {ports [<portlist> | all] {[vlan <vlan_name 32> | vlanid <vidlist>]}}
show port_security_entry {ports {<portlist>} {[vlan <vlan_name 32> | vlanid <vidlist>]}}
show port_security {ports {<portlist>} {[vlan <vlan_name 32> | vlanid <vidlist>]}}
enable port_security trap_log
disable port_security trap_log
8-1 config port_security system max_learning_addr
Описание
Команда используется для настройки максимального количества записей Port Security, которые могут
быть изучены в системе.
Доступно 4 уровня ограничений для количества изученных записей: для всей системы, для порта, для
VLAN и для определенной VLAN на порту. В случае превышения лимита новая запись будет
отброшена.
Максимальное количество изученных пользователей для системы должно быть больше общего
количества изученных пользователей на всех портах.
Синтаксис
config port_security system max_learning_addr [<max_lock_no 1-3328> | no_limit]
Параметры
<max_lock_no 1-3328> – укажите максимальное количество записей Port Security, которые могут
быть изучены системой. Если значение меньше, чем текущее количество изученных записей на всех
портах, команда не будет выполнена. Доступен диапазон значений от 1 до 3328.
no_limit – указывает отсутствие ограничений на количество записей Port Security, которые могут
быть изучены системой. Данное значение используется по умолчанию.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Настройка максимального количества записей Port Security для коммутатора, равного 256:
Page 68
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
8-2 config port_security ports
Описание
Команда используется для административного включения, настройки максимального количества
адресов, которые могут быть изучены, а также режима блокирования адреса (Lock Address).
Доступно 4 уровня ограничений для количества изученных записей: для всей системы, для порта, для
VLAN и для определенной VLAN на порту. В случае превышения лимита новая запись будет
отброшена.
Синтаксис
config port_security ports [<portlist> | all] [{admin_state [enable | disable] | max_learning_addr
<max_lock_no 0-3328> | action [drop | shutdown] | lock_address_mode [permanent | deleteontimeout
| deleteonreset]}(1) | {vlan [<vlan_name 32> | vlanid <vidlist>] max_learning_addr [<max_lock_no 03328> | no_limit]}(1)]
Параметры
<portlist> – укажите список портов, для которых будет осуществляться настройка функционала.
all – укажите для настройки функционала на всех портах.
admin_state – указывает статус функции Port Security на порту.
enable – укажите для включения функции Port Security на порту.
disable – укажите для отключения функции Port Security на порту. Данное значение используется по
умолчанию.
max_learning_addr – определяет максимальное количество записей Port Security, которое может
быть изучено на порту. Если указать значение параметра 0, ни один пользователь не будет изучен на
данном порту. Если значение меньше текущего количества записей, изученных на порту, команда не
будет выполнена. По умолчанию используется значение 32.
<max_lock_no 0-3328> – введите максимальное количество записей Port Security, которые могут
быть изучены. Доступен диапазон значений от 0 до 3328.
action – указывает действие, которое необходимо предпринять, если число изученных
функционалом Port Security МАС-адресов на порту достигнет максимума.
drop – отбросить новые записи. Данное значение используется по умолчанию.
shutdown – отключить порт и немедленно перейти в состояние «отключено из-за ошибки»
(error-disabled). В данном случае изменить статус порта можно только включив его вручную.
Отключение применяется только к настройкам Port Security.
lock_address_mode – указывает режим блокирования адреса (Lock Address Mode).
permanent – этот адрес не будет удален, пока пользователь не удалит вручную либо сам адрес,
либо VLAN, либо порт из VLAN, либо пока не будет отключена функция Port Security на порту, где
изучен адрес.
deleteontimeout – эта запись будет удалена, если она не используется в течение указанного
времени (aging time).
deleteonreset – этот адрес будет удален в случае сброса или перезагрузки коммутатора. События,
из-за которых удаляются постоянные записи, также будут применены к записям deleteonreset.
Данное значение используется по умолчанию.
vlan – указывает имя VLAN.
Page 69
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
<vlan_name 32> – введите имя VLAN. Имя VLAN не может содержать более 32 символов.
vlanid – указывает VLAN ID.
<vidlist> – введите VLAN ID.
max_learning_addr – указывает максимальное количество адресов, которое может быть изучено.
<max_lock_no 0-3328> – введите максимальное число адресов, которое может быть изучено.
Доступен диапазон значений от 0 до 3328.
no_limit – указывает отсутствие ограничений для количества изучаемых записей.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Настройка функции Port Security на основе порта с максимальным количеством записей, которые
могут быть изучены на порту 6, равным 10 и режимом блокировки адреса (Lock Address Mode)
permanent:
8-3 config port_security vlan
Описание
Команда позволяет настроить максимальное количество записей Port Security, которое может быть
изучено в определенной VLAN.
Доступно 4 уровня ограничений для количества изученных записей: для всей системы, для порта, для
VLAN и для определенной VLAN на порту. В случае превышения лимита новая запись будет
отброшена.
Синтаксис
config port_security vlan [<vlan_name 32> | vlanid <vidlist>] max_learning_addr [<max_lock_no 03328> | no_limit]
Параметры
<vlan_name 32> – введите имя VLAN. Имя VLAN не может содержать более 32 символов.
vlanid – указывает список VLAN по VLAN ID.
<vidlist> – введите список VLAN ID.
max_learning_addr – указывает максимальное количество записей Port Security, которое может быть
изучено в данной VLAN. Если указать значение параметра 0, ни один пользователь не будет изучен в
указанной VLAN. Если значение меньше текущего количества записей, изученных в VLAN, команда
не будет выполнена.
<max_lock_no 0-3328> – введите максимальное количество записей Port Security, которое может
быть изучено. Доступен диапазон значений от 0 до 3328.
no_limit – указывает отсутствие ограничений для количества записей Port Security, которые могут
быть изучены в определенной VLAN. Данное значение используется по умолчанию.
Ограничения
Page 70
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Настройка максимального количества записей Port Security, равного 64, на основе VLAN для VLAN 1:
8-4 delete port_security_entry
Описание
Команда позволяет удалить запись Port Security.
Синтаксис
delete port_security_entry [vlan <vlan_name 32> | vlanid <vlanid 1-4094>] mac_address <macaddr>
Параметры
vlan – указывает VLAN по имени VLAN.
<vlan_name 32> – введите имя VLAN. Имя VLAN не может содержать более 32 символов.
vlanid – указывает VLAN по VLAN ID.
<vlanid 1-4094> – введите список VLAN ID. Доступен диапазон значений от 1 до 4094.
mac_address – указывает MAC-адрес записи.
<macaddr> – введите МАС-адрес.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Удаление записи Port Security с МАС-адресом 00-00-00-00-00-01 в VLAN 1:
8-5 clear port_security_entry
Описание
Команда позволяет удалить MAC-адреса, изученные с помощью функции Port Security.
Синтаксис
clear port_security_entry {ports [<portlist> | all] {[vlan <vlan_name 32> | vlanid <vidlist>]}}
Параметры
ports – (опционально) указывает диапазон портов, к которым будет применена команда.
Page 71
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
<portlist> – укажите порты, для которых необходимо удалить записи об изученных адресах.
all – указывает, что все записи Port Security, изученные системой, будут удалены.
vlan – (опционально) указывает VLAN, для которой будут удалены изученные записи Port Security.
<vlan_name 32> – введите имя VLAN. Имя VLAN не может содержать более 32 символов.
vlanid – (опционально) указывает список VLAN по VLAN ID.
<vidlist> – введите список VLAN ID.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Удаление записей Port Security на порту 6:
8-6 show port_security_entry
Описание
Команда используется для просмотра записей Port Security.
Если выбрано более одного параметра, отображаться будут только записи, соответствующие всем
указанным параметрам.
Если указаны порты и VLAN (имя VLAN или список VLAN ID), отображаться будут только записи,
соответствующие всем указанным параметрам.
Синтаксис
show port_security_entry {ports {<portlist>} {[vlan <vlan_name 32> | vlanid <vidlist>]}}
Параметры
ports – (опционально) указывает диапазон портов, для которых будут отображены записи Port
Security.
<portlist> – (опционально) введите список портов.
vlan – (опционально) указывает имя VLAN, для которой будут отображены настройки Port Security.
<vlan_name 32> – введите имя VLAN. Имя VLAN не может содержать более 32 символов.
vlanid – (опционально) указывает ID VLAN, для которой будут отображены записи Port Security.
<vidlist> – введите список VLAN ID.
Если никакой из параметров не указан, будут отображены записи для всех портов.
Ограничения
Нет.
Пример
Отображение всех записей Port Security:
Page 72
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
8-7 show port_security
Описание
Команда используется для просмотра текущих настроек Port Security, включая статус, максимальное
количество изученных адресов, режим блокирования адреса на порту и/или в VLAN.
Если указаны параметры ports и vlanid, отображаться будут настройки для всех этих параметров.
Синтаксис
show port_security {ports {<portlist>} {[vlan <vlan_name 32> | vlanid <vidlist>]}}
Параметры
ports – (опционально) указывает диапазон портов, для которых будет отображена информация.
<portlist> – (опционально) введите список портов.
vlan – (опционально) указывает имя VLAN, для которой будет отображена информация.
<vlan_name 32> – введите имя VLAN. Имя VLAN не может содержать более 32 символов.
vlanid – (опционально) указывает ID VLAN, для которого будет отображена информация.
<vidlist> – введите список VLAN ID.
Если никакой из параметров не указан, будут отображены записи для всех портов.
Ограничения
Нет.
Пример
Отображение глобальных настроек Port Security:
8-8 enable port_security trap_log
Page 73
DGS-3000 Руководство пользователя (CLI) для управляемого коммутатора 2 уровня
Описание
Команда используется для включения трапов и логирования для Port Security. Если данная команда
включена, то при обнаружении недопустимых MAC-адресов будут отправляться уведомления с
информацией о МАС-адресе и порте, также данная информация будет записана в журнал.
Синтаксис
enable port_security trap_log
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Включение трапов для Port Security:
8-9 disable port_security trap_log
Описание
Команда используется для отключения трапов и логирования для Port Security. Если трапы для Port
Security отключены, уведомления не будут отправляться при обнаружении недопустимых
MAC-адресов, записи в журнале также создаваться не будут.
Синтаксис
disable port_security trap_log
Параметры
Нет.
Ограничения
Только пользователи уровня Administrator, Operator и Power User могут выполнять данную команду.
Пример
Отключение отправки трапов для Port Security с коммутатора:
Loading...