Page 1
Руководство пользователя (CLI)
(Сокращенный вариант)
Серия DGS-3130
Управляемые стекируемые коммутаторы 3 уровня
Версия 1.00
Page 2
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Содержание
1. Введение..........................................................................................................................................3
2. Базовые команды интерфейса командной строки......................................................................11
3. Команды 802.1Х............................................................................................................................28
4. Команды ACL (Список управления доступом)..........................................................................43
5. Команды управления доступом...................................................................................................73
6. Команды предотвращения атак ARP Spoofing...........................................................................97
7. Команды Authentication, Authorization и Accounting (AAA).....................................................99
8. Базовые команды настройки IPv4.............................................................................................127
9. Базовые команды настройки IPv6.............................................................................................138
10. Команды логирования выполненных команд........................................................................157
11. Команды CPU Access Control List (ACL)................................................................................158
12. Команды DHCP Snooping.........................................................................................................162
13. Команды DHCPv6 Guard..........................................................................................................178
14. Команды предотвращения атак DoS.......................................................................................182
15. Команды Dynamic ARP Inspection...........................................................................................186
16. Команды управления интерфейсом........................................................................................201
17. Команды IP Source Guard.........................................................................................................224
18. Команды IP-MAC-Port Binding (IMPB)..................................................................................230
19. Команды IPv6 Snooping............................................................................................................234
20. Команды IPv6 Source Guard.....................................................................................................239
21. Команды аутентификации МАС..............................................................................................246
22. Команды Network Access Authentication.................................................................................250
23. Команды Port Security...............................................................................................................264
24. Команды Private VLAN............................................................................................................271
25. Команды Virtual LAN (VLAN).................................................................................................278
26. Команды System Log................................................................................................................293
Page 3
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
1. Введение
Описания команд в данном руководстве основаны на программном обеспечении версии 1.00.
Перечисленный здесь список команд является подгруппой команд, поддерживаемых коммутаторами
серии DGS-3130.
Руководство пользователя (CLI) предназначено преимущественно для администраторов сети и других
профессионалов IT-индустрии, ответственных за управление коммутатором с помощью интерфейса
командной строки (CLI). Интерфейс командной строки является основным интерфейсом для
управления коммутатором серии DGS-3130, в дальнейшем именуемым просто "коммутатор" в данном
руководстве. Данное руководство подразумевает у читателя наличие необходимого опыта и знаний
принципов работы Ethernet, современных сетей и LAN.
Условные обозначения
Условное обозначение Описание
Полужирный шрифт Команды, опции команд и ключевые слова. Ключевые слова в
командной строке необходимо вводить именно так, как они отображены.
КУРСИВ ЗАГЛАВНЫМИ Параметры или значения, которые необходимо указать.
Параметры в командной строке необходимо заменить желаемыми.
Квадратные скобки [ ] Дополнительное значение или набор дополнительных аргументов
Фигурные скобки { } Альтернативные ключевые слова, разделенные вертикальными
линиями. Как правило, одно из ключевых слов в раздельных списках
может быть выбрано.
Вертикальная линия | Дополнительные значения или аргументы заключаются в квадратные
скобки и разделяются вертикальной линией. Как правило, одно или
более значение или аргумент в раздельных списках может быть
выбрано.
Голубой шрифт Courier
Экран консоли, включая примеры введенных команд с
соответствующим выводом. Все примеры в данном руководстве
основаны на коммутаторе DGS-3130-30TS из серии DGS-3130.
Предупреждения
Ниже представлены примеры трех типов предупреждений, которые могут использоваться в
руководстве. При управлении коммутатором с помощью данного документа необходимо обращать
внимание на эти предупреждения.
Примечание: важная информация, которая может помочь в использовании
устройства.
Внимание: информация о потенциальной угрозе устройству или о потере
данных, а также способы это предотвратить.
Page 4
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Предупреждение: информация о потенциальной угрозе устройству или
здоровью.
Описания команд
Информация о каждой команде в данном руководстве представлена с помощью следующих полей:
• Описание – краткое описание функционала команды.
• Синтаксис – точная форма команды и правила ее написания.
• Параметры – таблица с кратким описанием опций или требуемых параметров и их
использованием в команде.
• По умолчанию – если команда задает новое значение конфигурации или состояние
коммутатора (например, отличное от используемого), это будет показано в данном поле.
• Режим ввода команды – режим, в котором возможно использование команды. Режимы
описаны в разделе «Режимы ввода команд».
• Уровень команды по умолчанию – уровень привилегии пользователя, необходимый для
использования команды.
• Использование команды – детальное описание команды и различных сценариев ее
использования.
• Пример – пример использования команды в подходящем сценарии.
Режимы ввода команд
Доступно несколько режимов ввода команд в интерфейсе командной строки (CLI). Набор команд,
доступных пользователю, зависит от режима и от уровня привилегии. В каждом случае пользователь
сможет видеть все команды, доступные в определенном режиме, введя вопросительный знак (?) в
системную подсказку.
Интерфейс командной строки поддерживает пять уровней привилегии:
• Basic User – 1 уровень привилегии. Данный уровень учетной записи пользователя имеет
низший приоритет среди учетных записей. На данном уровне возможно получить доступ к
базовой информации о системе.
• Advanced User – 3 уровень привилегии. На данном уровне учетной записи пользователя
доступно управление терминалом. Пользователь может получить доступ к ограниченной
информации, не относящейся к безопасности.
• Power User – 8 уровень привилегии. На данном уровне учетной записи пользователя
доступно меньшее число команд, чем в уровне Operator, включая команды конфигурации,
отличные от команд уровня Operator и Administrator.
• Operator – 12 уровень привилегии. На данном уровне учетной записи пользователя можно
изменять локальные и глобальные настройки, не относящиеся к безопасности (например,
настройки учетных записей пользователей, учетных записей SNMP и т.д.
• Administrator – 15 уровень привилегии. Учетная запись пользователя уровня Administrator
имеет доступ ко всей информации о системе и системным настройкам, доступным в данном
руководстве.
В интерфейсе командной строки доступно несколько режимов. Три базовых режима:
• User EXEC Mode (Пользовательский режим)
• Privileged EXEC Mode (Привилегированный режим)
• Global Configuration Mode (Режим глобальной конфигурации)
Режимы специфической конфигурации доступны через Global Configuration Mode.
При входе в управление коммутатором уровень доступа пользователя определяет режим ввода
команд, которые будет вводить пользователь. Можно осуществить вход либо в режим User EXEC
Mode, либо в Privileged EXEC Mode.
Page 5
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
• Пользователи с базовым уровнем доступа basic user будут осуществлять вход в режим User
EXEC Mode.
• Пользователи с расширенным уровнем доступа: advanced user, power-user, operator и
administrator будут осуществлять вход в режим Privileged EXEC Mode.
Соответственно, режим User EXEC Mode является базовым для basic user, а Privileged EXEC Mode
предоставляет функции уровня advanced user, power user, operator и administrator. Вход в Global
Configuration Mode доступен только пользователям уровня operator или administrator
Режимы специфической конфигурации доступны только пользователям, обладающим привилегиями
самого высокого уровня безопасности на уровне administrator.
В таблице кратко представлены списки доступных режимов. Перечислены только базовые режимы и
некоторые из специфических, они рассматриваются далее в следующих главах. Описания остальных
специфических режимов не представлены в данном разделе. Для получения дополнительной
информации о дополнительных режимах настройки нужно обратиться к главам, относящимся к этим
функциям.
Режим ввода команд /
Уровень доступа
Описание
User EXEC Mode /
Уровень Basic User
Самый низкий уровень приоритета из числа пользовательских
учетных записей. Есть доступ к некоторой информации об
устройстве.
Privileged EXEC Mode /
Уровень Advanced User
На данном уровне есть доступ к настройкам терминала.
Пользователь может получить доступ к ограниченной информации,
не относящейся к безопасности.
Privileged EXEC Mode /
Уровень Power User
Меньшее число команд, чем в уровне Operator, включая команды
'config'.
Privileged EXEC Mode /
Уровень Operator
Изменение локальных и глобальных терминальных настроек,
управление и выполнение некоторых задач администратора.
Исключена информация, относящаяся к безопасности.
Privileged EXEC Mode /
Уровень Administrator
Те же права, что и в уровне Operator, но пользователь также может
просматривать и изменять настройки безопасности.
Global Configuration Mode /
Уровень Operator
Глобальные настройки, исключая настройки безопасности, на весь
коммутатор. Также предоставляется доступ к другим
специфическим режимам.
Global Configuration Mode /
Уровень Administrator
Глобальные настройки на весь коммутатор. Также
предоставляется доступ к другим специфическим режимам.
Interface Configuration
Mode / Уровень Administrator
Настройки интерфейса.
VLAN Interface
Configuration Mode
Настройки интерфейса VLAN.
User EXEC Mode с базовым уровнем доступа Basic User
Есть доступ к некоторой базовой информации о настройках. В данный режим можно войти с учетной
записью Basic User.
Privileged EXEC Mode с расширенным уровнем доступа Advanced User
Есть доступ к базовым настройкам системы, позволяющий пользователям осуществлять настройки
Page 6
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
сеанса терминала и выполнять базовую проверку сетевых подключений. Пользователь не может
получить доступ к информации, относящейся к безопасности. В данный режим можно войти при
уровне доступа Advanced User.
Privileged EXEC Mode с уровнем доступа Power User
Доступ к меньшему числу команд, чем у пользователя Operator, включая команды 'config', отличные от
команд уровня Operator и уровня Administrator. Вход в данный режим можно получить, имея 8 уровень
привилегии.
Privileged EXEC Mode с уровнем доступа Operator
Доступ к глобальным и локальным терминальным настройкам. Контроль и выполнение задач
администрирования (исключая информацию о настройках безопасности). Вход в данный режим
можно получить, имея 12 уровень привилегии.
Privileged EXEC Mode с уровнем доступа Administrator
Вход в данный режим можно получить, имея 15 уровень привилегии. Контроль и управление всей
информацией о системе и настройках. Пользователь также может просматривать и изменять любые
настройки безопасности.
Global Configuration Mode
Этот режим позволяет вносить глобальные изменения в конфигурацию устройства. Доступ к данному
режиму доступен с учетными записями Advanced User, Power User, Operator и Administrator. Настройки
безопасности недоступны для учетных записей Advanced User, Power User, Operator. Также в данном
режиме доступны специфические режимы. Для входа в режим глобальной конфигурации необходимо
из привилегированного режима выполнить команду configure terminal.
В следующем примере пользователь имеет уровень доступа администратора в режиме Privileged
EXEC и использует команду configure terminal для доступа к режиму глобальной конфигурации:
Команда exit используется для выхода из режима глобальной конфигурации и возвращения к режиму
Privileged EXEC.
Порядок действий для входа в специфические режимы представлен в дальнейших главах
руководства. Режимы команд используются для конфигурации отдельных функций.
Interface Configuration Mode (Режим конфигурации интерфейса)
Режим конфигурации интерфейса используется для настройки параметров интерфейса или
нескольких интерфейсов. Интерфейсом может быть физический порт, VLAN или другой виртуальный
интерфейс. Режим конфигурации интерфейса может различаться в зависимости от типа интерфейса.
Команды для каждого из типов интерфейсов немного различаются.
Page 7
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
VLAN Interface Configuration Mode (Режим конфигурации интерфейса
VLAN)
Режим конфигурации интерфейса VLAN является одним из доступных режимов и используется для
настройки параметров интерфейса VLAN.
Для доступа к режиму конфигурации интерфейса VLAN необходимо использовать следующую
команду в режиме глобальной конфигурации:
Создание пользовательской учетной записи
По умолчанию на устройстве нет учетной записи пользователя. Из соображений безопасности
рекомендуется создать учетную запись для управления интерфейсом коммутатора. Этот раздел
поможет пользователю создать учетную запись с помощью интерфейса командной строки.
Рассмотрим следующий пример.
В данном примере мы получили доступ к команде username.
• В режиме User EXEC Mode введена команда enable для доступа к Privileged EXEC Mode.
• Далее введена команда configure terminal для доступа к Global Configuration Mode. Команда
username может использовать в данном режиме.
• Команда username admin password admin создает учетную запись пользователя с именем
admin и паролем admin
• Команда username admin privilege 15 назначает уровень привилегии 15 для учетной записи
admin.
• Команда line console обеспечивает доступ к режиму конфигурации строки интерфейса.
• Команда login local объявляет коммутатору, что пользователю необходимо локально ввести
данные учетной записи, чтобы получить доступ к интерфейсу консоли.
Сохраните running configuration в start-up configuration. Это означает сохранение изменений, чтобы при
перезагрузке коммутатора они не были утеряны. Следующий пример показывает, каким образом
можно сохранить running configuration в start-up configuration.
Page 8
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
После перезагрузки коммутатора или выхода пользователя из учетной записи заданные имя
пользователя и пароль должны быть введены для доступа к интерфейсу командной строки, как
показано ниже.
Назначение интерфейса
При конфигурации физических портов коммутатора используется особое обозначение.
В следующем примере мы входим в режим глобальной конфигурации Global Configuration Mode,
далее в режим конфигурации интерфейса Interface Configuration Mode, используя обозначение 1/0/1.
После входа в режим Interface Configuration Mode для порта 1 мы изменим скорость на 1 Гбит/с,
используя команду speed 1000.
В приведенном примере было использовано обозначение 1/0/1. Терминология каждого параметра:
• Unit ID интерфейса / Slot ID интерфейса / ID порта
Unit ID интерфейса указывает на номер коммутатора в стеке. Если стекирование отключено или
настраиваемый коммутатор на включен в стек, то данный параметр не имеет значения. Slot ID
интерфейса – это идентификатор модуля, подключенного к слоту расширения. Коммутаторы серии
DGS-3130 не поддерживают слоты расширения, поэтому данный параметр всегда будет 0. ID порта –
это номер конфигурируемого физического порта.
Приведенный выше пример настройки позволяет сконфигурировать стекируемый коммутатор с ID 1,
слотом 0 и номером физического порта 1.
Сообщения об ошибке
Если коммутатор не распознает введенную команду, появятся сообщения об ошибке с основной
информацией о проблеме. Список возможных ошибок доступен в таблице ниже.
Сообщение об ошибке Описание
Ambiguous command Введено недостаточно ключевых слов для распознавания команды.
Page 9
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Incomplete command Введены не все требуемые ключевые слова для выполнения
команды.
Invalid input detected at ^marker Комманда введена некорректно.
Нижеследующий пример показывает, каким образом генерируется сообщение об ошибке Ambiguous
command.
Нижеследующий пример показывает, каким образом генерируется сообщение об ошибке Incomplete
command.
Нижеследующий пример показывает, каким образом генерируется сообщение об ошибке Invalid input
detected.
Функции редактирования
Интерфейс командной строки коммутатора поддерживает следующие клавиши для редактирования.
Клавиша Описание
Backspace Удаляет символ слева от курсора и перемещает оставшуюся часть строки
влево.
Стрелка влево Перемещает курсор влево.
Стрелка вправо Перемещает курсор вправо.
CTRL+R Включает и отключает функцию вставки текста. При включении текст можно
вставить в строку, а оставшаяся часть текста будет перемещена вправо. При
выключении текст можно вставить в строку, а старый текст автоматически
будет заменен новым. .
Return Прокручивает вниз на следующую строку или используется для ввода
команды.
Пробел Прокручивает вниз на следующую страницу.
ESC Выход из отображаемой страницы.
Модификаторы отображения результатов вывода
Отображаемые результаты можно фильтровать с помощью команды show по следующим
параметрам:
• begin FILTER-STRING — данный параметр используется для отображения первой строки,
которая совпадает со строкой фильтра.
Page 10
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
• include FILTER-STRING — данный параметр используется для отображения всех строк,
совпадающих со строкой фильтра.
• exclude FILTER-STRING — данный параметр используется для исключения всех строк,
совпадающих со строкой фильтра.
На примерах ниже показано использование параметра begin FILTER-STRING в команде show.
На примерах ниже показано использование параметра include FILTER-STRING в команде show.
На примерах ниже показано использование параметра exclude FILTER-STRING в команде show.
Page 11
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
2. Базовые команды интерфейса командной строки
2-1 help
Данная команда используется для отображения краткой справочной информации. Используйте
команду help в любом режиме.
help
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Page 12
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень 1
Использование команды
Команда help используется для отображения краткой справочной информации, включает следующие
функции:
• Чтобы перечислить все доступные команды для определенного режима, введите
вопросительный знак (?) в системную подсказку.
• Чтобы получить список команд, начинающихся с определенной строки символов, введите
сокращенную команду, следующую сразу за вопросительным знаком (?). Такая форма
называется word help, потому что она содержит только ключевые слова или аргументы,
начинающиеся с введенного сокращения.
• Чтобы перечислить ключевые слова и аргументы, связанные с командой, введите
вопросительный знак (?) на место ключевого слова или аргумента в командной строке. Такая
форма называется command syntax help, потому что она содержит список ключевых слов или
аргументов, применяемых на основе уже введенной команды, ключевого слова или
аргументов.
Пример
В данном примере показано использование команды help для отображения краткого описания
системы помощи.
Следующий пример показывает использование word help для отображения команд режима Privileged
EXEC, начинающихся с «re». Буквы, введенные после вопросительного знака (?) отпечатаны на
следующей командной строке, чтобы позволить пользователю продолжить ввод команды.
Следующий пример показывает использование команды command syntax help для отображения
Page 13
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
следующего аргумента частично заполненной команты stack. Знаки, введенные после
вопросительного знака (?), появляются на следующей командной строке, чтобы позволить
пользователю продолжить ввод команды.
2-2 enable
Данная команда используется для изменения уровня привилегии активной сессии.
enable [PRIVILEGE-LEVEL]
Параметры
PRIVILEGE-LEVEL (Опционально) Указывает уровень привилегии. Диапазон от 1 до 15,
Если не указано, будет использоваться уровень 15.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 1
Использование команды
Если привилегированный уровень требует пароля, введите его в предоставленном поле. Разрешено
только 3 попытки. При неудачном вводе пользователь будет возвращен к текущему уровню.
Пример
В данном примере показано изменение уровня привилегии активной сессии CLI на 15 уровень.
Page 14
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
2-3 disable
Данная команда используется для изменения уровня привилегии активной сессии учетной записи CLI
на более низкий.
disable [PRIVILEGE-LEVEL]
Параметры
PRIVILEGE-LEVEL (Опционально) Указывает уровень привилегии. Диапазон от 1 до 15,
Если не указано, будет использоваться уровень 1.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для изменения уровня привилегии активной сессии учетной записи CLI
на более низкий.
Пример
В данном примере показано изменение уровня привилегии активной сессии CLI на 1 уровень.
Page 15
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
2-4 configure terminal
Данная команда используется для входа в режим глобальной конфигурации (Global Configuration
Mode)
configure terminal
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для входа в режим глобальной конфигурации.
Пример
В данном примере показан процесс входа в режим глобальной конфигурации.
2-5 login (EXEC)
Данная команда используется для настройки имени пользователя.
login
Параметры
Page 16
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для изменения имени пользователя учетной записи. Разрешено 3
попытки входа в интерфейс коммутатора. При использовании Telnet, если все попытку будут
неудачными, доступ будет возвращен к командной строке. Если не введена никакая информация в
течение 60 секунд, сессия вернется в состояние выхода из учетной записи.
Пример
В данном примере показан процесс входа в учетную запись с именем пользователя «user1».
2-6 login (Line)
Данная команда используется для настройки метода входа в строку. Используйте форму no для
отключения возможности входа.
login [local]
no login
Параметры
local (Опционально) Укажите, чтобы метод входа был локальным.
По умолчанию
По умолчанию для строки console не установлен метод входа в систему.
По умолчанию для строки Telnet настроен метод входа (с паролем).
По умолчанию для строки SSH настроен метод входа (с паролем).
Режим ввода команды
Line Configuration Mode
Уровень команды по умолчанию
Page 17
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень 15
Использование команды
Для доступа к консоли и telnet, при включении ААА, строка использует правила, сконфигурированные
модулем ААА. Без использования ААА, строка использует следующие правила аутентификации:
• Без возможности входа в учетную запись пользователь может войти только на уровне 1.
• При выборе опции by password после ввода того же пароля, что в команде password,
пользователь войдет в строку на уровне 1. Если пароль не был сконфигурирован, будет
отображено сообщение об ошибке и сессия будет завершена.
• При выборе опции username and password, введите имя пользователя и пароль,
сконфигурированные командой username.
Для доступа по SSH существует 3 типа аутентификации:
• открытый ключ SSH
• аутентификация на основе узла
• аутентификация с помощью пароля
К типам аутентификации с помощью открытого ключа и на основе узла указанные ниже правила не
применяются, в отличие от аутентификации с помощью пароля, для которой необходимо учитывать
следующие правила:
• При включении ААА используется модуль ААА.
• При выключении ААА используются следующие правила:
- Если возможность входа отключена, имя пользователя и пароль игнорируются. Ввод деталей
на уровне 1.
- Если выбрана опция username and password, введите имя пользователя и пароль,
сконфигурированные командой username.
- При выборе опции password, имя пользователя игнорируется, но требуется ввод пароля,
использованного в команде password, для входа в строку на уровне 1
Пример
В данном примере показан процесс входа в режим конфигурации строки Line Configuration Mode для
создания пароля для строки пользователя. Этот пароль будет действовать только когда
соответствующая строка будет задана для входа.
В данном примере показан процесс конфигурации метода входа в строку консоли в виде «login».
В данном примере показан процесс ввода команды login. Устройство проверит доступ пользователя с
помощью команды password create. При верном вводе, пользователь будет иметь доступ
определенного уровня.
Page 18
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показан процесс создания имени пользователя «useraccount» с паролем «pass123»
и привилегией 12.
В данном примере показан процесс конфигурации метода входа login local.
2-7 logout
Данная команда используется для закрытия активной сессии для выхода из коммутатора.
logout
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для закрытия активной сессии для выхода из коммутатора.
Пример
В данном примере показан процесс выхода.
Page 19
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
2-8 end
Данная команда используется для выхода из Current Configuration Mode и возвращения к высшему
режиму в иерархии режимов CLI, которым будет либо User EXEC Mode, либо Privileged EXEC Mode.
end
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для возвращения к высшему режиму в иерархии режимов CLI.
Пример
В данном примере показан процесс окончания работы в режиме конфигурации интерфейса Interface
Configuration Mode и возвращение в режим Privileged EXEC Mode.
2-9 exit
Данная команда используется для выхода из режима конфигурации и возвращения к последнему
режиму. Если текущим режимом является User EXEC Mode или Privileged EXEC Mode, выполнение
команды exit позволит выйти из текущей сессии.
exit
Параметры
Нет
По умолчанию
Page 20
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для выхода из режима конфигурации и возвращения к последнему
режиму. Если текущим режимом является User EXEC Mode или Privileged EXEC Mode, выполнение
команды exit позволит выйти из текущей сессии.
Пример
В данном примере показан процесс возвращения из режима конфигурации интерфейса Interface
Configuration Mode в режим глобальной конфигурации Global Configuration Mode.
2-10 show history
Данная команда используется для отображения списка команд, введенных в текущей сессии режима
EXEC.
show history
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Введенные команды сохраняются в системе. Введенные команды можно просмотреть, нажав CTRL+P
или используя клавишу Вверх. Буфер ограничен 20 командами.
Навигация по командам в истории выполняется следующими комбинациями клавиш:
Page 21
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
• CTRL+P или клавиша Вверх – просмотр команд в буфере истории, начиная с самых
последних. Повторите нажатие для просмотра более ранних команд.
• CTRL+N или клавиша Вниз – возвращение к более поздним командам в буфере истории после
вывода команд. Повторите нажатие для возвращения к более поздним командам.
Пример
В данном примере показан процесс вызова буфера истории.
2-11 password-recovery
Данная команда используется для восстановления настроек пароля. Используйте данную команду в
режиме сброса конфигурации (Reset Configuration Mode).
password-recovery
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
Reset Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
В некоторых ситуациях администратору необходимо обновить учетную запись пользователя, потому
что пароль для учетной записи был потерян. Для этого администратор должен войти в режим Reset
Configuration Mode. Для входа в данный режим свяжитесь с представителем технической поддержки.
После входа в режим сброса конфигурации необходимо использовать команду password-recovery и
следовать сообщению о подтверждении для восстановления настроек пароля.
Восстановление пароля осуществляет следующие действия:
• Обновление существующей учетной записи пользователя путем ввода существующего имени
пользователя и его нового пароля, или добавление новой учетной записи с привилегией
уровня 15. Новая учетная запись не может быть создана, если превышено максимальное
число пользовательских учетных записей.
Page 22
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
• Обновление действующего пароля для уровня привилегий Administrator.
• Отключение функции ААА для возможности локальной аутентификации системы.
Обновленные настройки будут сохранены в текущем файле конфигурации. Перед перезагрузкой
коммутатор предложит администратору подтвердить сохранение текущей конфигурации (Running
Configuration) в качестве конфигурации при загрузке (Startup Configuration).
Пример
В данном примере показан процесс использования функции восстановления пароля.
2-12 show environment
Данная команда используется для отображения информации об охлаждении, температуре, питании и
состоянии.
show environment [fan | power | temperature]
Параметры
fan (Опционально) Отображение детальной информации о состоянии вентиляторов.
power (Опционально) Отображение детальной информации о питании.
temperature (Опционально) Отображение детальной информации о температуре.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Page 23
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Если не указан определенный тип, отображаться будут все типы информации.
Пример
В данном примере показано отображение информации о состоянии вентиляторов, температуре и
питании устройства.
Отображение параметров
Power Module Power 1: питание переменным током (АС).
Power 2: питание от резервного источника (RPS).
Power Status in-operation: источник питания работает нормально.
empty: источник питания не подключен.
2-13 show unit
Данная команда используется для отображения информации о системных модулях (Units).
show unit [UNIT-ID]
Параметры
UNIT-ID (Опционально) Укажите UNIT-ID для отображения.
По умолчанию
Нет
Режим ввода команды
Page 24
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения информации о системных модулях (Units). Если
параметр не указан, отображаться будет информация обо всех Units.
Пример
В данном примере показано отображение информации о системных модулях (Units).
2-14 show cpu utilization
Данная команда позволяет узнать информацию об использовании CPU.
show cpu utilization
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Page 25
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень 1
Использование команды
Данная команда используется для отображения информации об использовании CPU за интервалы 5
секунд, 1 минуту и 5 минут.
Пример
В данном примере показано отображение информации об использовании CPU.
2-15 show version
Данная команда позволяет узнать информацию о коммутаторе.
show version
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда позволяет узнать информацию о коммутаторе.
Пример
В данном примере показано отображение информации о коммутаторе.
Page 26
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
2-16 snmp-server enable traps environment
Данная команда позволяет получать трапы о состоянии питания, температуре и состоянии
вентиляторов. Для отключения данной команды используйте форму no.
snmp-server enable traps environment [fan] [power] [ temperature]
no snmp-server enable traps environment [fan | power | temperature]
Параметры
fan (Опционально) Укажите для использования трапов о состоянии вентиляторов,
чтобы получать предупреждения о событиях (остановка вентилятора или
восстановление работы вентилятора).
power (Опционально) Укажите для использования трапов о состоянии питания, чтобы
получать предупреждения о событиях (отказ питания или восстановление
питания). Эти трапы можно отправлять только через порты 10G.
temperature (Опционально) Укажите для использования трапов о состоянии температуры,
чтобы получать предупреждение о событиях (превышение допустимых
параметров температуры или восстановление температуры).
По умолчанию
По умолчанию все трапы отключены
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет получать трапы о событиях состояния питания, температуры и
вентиляторов. Если не указан какой-то определенный параметр, включены или отключены будут все
трапы.
Пример
Page 27
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показан процесс включения трапов.
2-17 environment temperature threshold
Данная команда позволяет настроить пороговые значения для температуры устройства. При
использовании формы no команда вернется в настройки по умолчанию.
environment temperature threshold unit UNIT-ID thermal THERMAL-ID [high VALUE] [low
VALUE]
no environment temperature threshold unit UNIT-ID thermal THERMAL-ID [high] [low]
Параметры
unit UNIT-ID Укажите UNIT-ID.
thermal THERMAL-ID Укажите идентификатор термосенсора.
high (Опционально) Укажите верхнюю границу температуры в градусах Цельсия.
Доступен диапазон от -100 до 200.
low (Опционально) Укажите нижнюю границу температуры в градусах Цельсия.
Доступен диапазон от -100 до 200. Нижняя граница не может быть выше
верхней границы.
По умолчанию
По умолчанию нормальным является тот же диапазон, что указан в рабочей температуре.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет настроить пороговые значения для температуры устройства,
соответствующие нормальному диапазону рабочей температуры, определяемой сенсором. Нижняя
граница не может быть выше верхней границы. Настроенный диапазон должен быть в пределах
минимума и максимума разрешенных температур, определяемых сенсором. При превышении порога
будет отправлено уведомление.
Пример
В данном примере показан процесс настройки диапазона температуры для термосенсора ID 1 для
Unit 1.
Page 28
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
2-18 show privilege
Данная команда используется для отображения текущего уровня привилегии.
show privilege
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения текущего уровня привилегии.
Пример
В данном примере показана информация для отображения текущего уровня привилегии.
3. Команды 802.1Х
3-1 clear dot1x counters
Данная команда используется для обнуления всех счетчиков 802.1Х (диагностика, статистика и
статистика сессии).
сlear dot1x counters {all | interface INTERFACE-ID [, | -]}
Page 29
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
all Обнуление счетчиков 802.1Х (диагностика, статистика и статистика
сессии) на всех интерфейсах.
interface INTERFACE-ID Обнуление счетчиков 802.1Х (диагностика, статистика и статистика
сессии) на определенном интерфейсе. Допустимыми интерфейсами
являются физические порты (включая тип, Unit ID и номер порта).
, (Опционально) Выделение серии интерфейсов или разделение группы
интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Укажите диапазон интерфейсов. Пробелы до и после
дефиса недопустимы.
По умолчанию
Нет
Режим ввода команды
Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для обнуления всех счетчиков 802.1Х (диагностика, статистика и
статистика сессии).
Пример
В данном примере показан процесс обнуления всех счетчиков 802.1Х (диагностика, статистика и
статистика сессии) на Ethernet 1/0/1.
3-2 dot1x control-direction
Данная команда используется для настройки направления трафика на порту как однонаправленного
(in) или двунаправленного (both). Использование формы no позволит вернуться к настройкам по
умолчанию.
dot1x control-direction {both | in}
no dot1x control-direction
Параметры
both Включение двунаправленного направления потока для порта.
in Включение однонаправленного направления потока для порта.
По умолчанию
Page 30
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
По умолчанию используется двунаправленный режим.
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда может использоваться только для настройки интерфейса физического порта. Если
управление портом настроено на force-authorized, порт нельзя настроить на оба направления. Если
управление портом настроено на auto, для доступа к управлению направлением необходимо пройти
аутентификацию. Если управление портом настроено на force-unauthorized, доступ к управлению
направлением заблокирован.
Предположим, управление портом настроено на auto. Если направление задано как both, порт может
принимать и передавать только пакеты EAPOL. Весь пользовательский трафик заблокирован до
аутентификации. Если направление задано как in, в дополнение к приему и передаче пакетов EAPOL,
порт может передавать пользовательский трафик, но не может получать его до аутентификации.
Пример
В данном примере показан процесс настройки направления трафика через интерфейс Ethernet 1/0/1
как однонаправленного.
3-3 dot1x default
Данная команда используется для возвращения параметров IEEE 802.1X определенного порта к
настройкам по умолчанию.
dot1x default
Параметры
Нет
По умолчанию
Аутентификация IEEE 802.1X отключена.
Двунаправленный режим потока.
Управление портом автоматическое.
Forward PDU на порте отключено.
Максимум запросов – 2 раза.
Таймер сервера – 30 секунд.
Таймер запроса – 30 секунд.
Интервал передачи – 30 секунд.
Page 31
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для возвращения параметров IEEE 802.1X определенного порта к
настройкам по умолчанию. Команда доступна только для интерфейсов физического порта.
Пример
В данном примере показано как сбросить параметры IEEE 802.1X на порту 1/0/1.
3-4 dot1x port-control
Данная команда используется для управления состоянием авторизации порта. При использовании
формы no данная команда вернет все к значениям по умолчанию.
dot1x port-control {auto | force-authorized | force-unauthorized}
no dot1x port-control
Параметры
auto Включение аутентификации IEEE 802.1X для порта.
force-authorized Порт считается принудительно авторизованным.
force-unauthorized Порт считается принудительно неавторизованным.
По умолчанию
По умолчанию данная опция настроена как auto.
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда вступает в силу только если аутентификатор IEEE 802.1X PAE глобально включен
командой dot1x system-auth-control и включен для определенного порта с помощью
аутентификатора dot1x PAE.
Page 32
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Данная команда доступна только для конфигурации интерфейса физического порта.
Если управление портом настроено как force-authorized, порт является авторизованным в обоих
направлениях.
Если управление портом настроено как auto, портом можно управлять после аутентификации.
Если управление портом настроено как force-unauthorized, управление портом в указанном
направлении заблокировано.
Пример
В данном примере показан процесс запрета любого доступа через Ethernet 1/0/1.
3-5 dot1x forward-pdu
Данная команда используется для включения возможности пропускать dot1x PDU. При использовании
формы no данная команда отключит возможность пропускать dot1x PDU.
dot1x forward-pdu
no dot1x forward-pdu
Параметры
Нет
По умолчанию
По умолчанию данная опция отключена.
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда доступна только для конфигурации интерфейса физического порта. Данная команда
работает, только если аутентификация dot1x отключена на настраиваемом порту. Принятые PDU
будут перенаправлены либо с тегом, либо без тега в зависимости от настроек VLAN.
Пример
В данном примере показан процесс настройки возможности отправлять dot1x PDU.
Page 33
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
3-6 dot1x initialize
Данная команда используется для включения аутентификатора состояния на определенном порту или
ассоциированного с определенным MAC-адресом.
dot1x initialize {interface INTERFACE-ID [, | -] | mac-address MAC-ADDRESS}
Параметры
interface INTERFACE-ID Порт, на котором будет инициализована аутентификация.
Доступными интерфейсами являются физические порты.
, (Опционально) Выделение серии интерфейсов или разделение
группы интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Укажите диапазон интерфейсов. Пробелы до и
после дефиса недопустимы.
mac-address MAC-ADDRESS Указание MAC-адреса для инициализации.
По умолчанию
Нет
Режим ввода команды
Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
В режиме multi-host укажите ID интерфейса для инициализации определенного порта.
В режиме multi-auth укажите MAC-адрес для инициализации определенного MAC-адреса.
Пример
В данном примере показан процесс инициализации аутентификатора для Ethernet 1/0/1.
3-7 dot1x max-req
Данная команда используется для настройки максимального количества попыток передач запроса
Extensive Authentication Protocol (EAP) на сервер аутентификации, прежде чем перезапустить процесс
аутентификации. При использовании формы no данная команда вернет все значения по умолчанию.
dot1x max-req TIMES
no dot1x max-req
Параметры
Page 34
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
TIMES Количество запросов, в которых коммутатор повторно передает
кадр ЕАР, запрашивающему устройству перед перезапуском
процесса аутентификации. Диапазон от 1 до 10.
По умолчанию
По умолчанию используется значение 2.
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда доступна только для конфигурации интерфейса физического порта. Если на запрос
аутентификации нет ответа в течение периода ожидания (указанного командой dot1x timeout tx-
period SECONDS), коммутатор будет повторно передавать запрос. Данная команда используется для
указания количества повторных попыток передачи.
Пример
В данном примере показан процесс конфигурации максимального числа попыток в количестве 3 для
Ethernet 1/0/1.
3-8 dot1x pae authenticator
Данная команда используется для конфигурации определенного порта в качестве порта
аутентификации IEEE 802.1X Access Entity (PAE). При использовании формы no данная команда
отключит аутентификацию с помощью порта IEEE 802.1X.
dot1x pae authenticator
no dot1x pae authenticator
Параметры
Нет
По умолчанию
По умолчанию данная опция отключена.
Режим ввода команды
Interface Configuration Mode
Page 35
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда доступна только для конфигурации интерфейса физического порта. Необходимо
глобально включить аутентификацию IEEE 802.1X на коммутаторе с помощью команды dot1x system-
auth-control. Если аутентификация IEEE 802.1X включена, система будет аутентифицировать
пользователя 802.1Х на основе списка методов, указанных командой aaa authentication dot1x
default.
Пример
В данном примере показан процесс конфигурации Ethernet 1/0/1 в качестве аутентификатора IEEE
802.1X PAE.
В данном примере показан процесс отключения аутентификации IEEE 802.1X для Ethernet 1/0/1.
3-9 dot1x re-authenticate
Данная команда используется для повторной аутентификации определенного порта или MAC-адреса.
dot1x re-authenticate {interface INTERFACE-ID [, | -] | mac-address MAC-ADDRESS}
Параметры
interface INTERFACE-ID Указывает порт для повторной аутентификации. Доступными
интерфейсами являются физические порты.
, (Опционально) Выделение серии интерфейсов или разделение
группы интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Выделение диапазона интерфейсов. Пробелы до и
после дефиса недопустимы.
mac-address MAC-ADDRESS Указание MAC-адреса для повторной аутентификации.
По умолчанию
Нет
Режим ввода команды
Privileged EXEC Mode
Page 36
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для повторной аутентификации определенного порта или MAC-адреса.
В режиме multi-host укажите ID интерфейса для повторной аутентификации определенного порта.
В режиме multi-auth укажите MAC-адрес для повторной аутентификации определенного MAC-адреса.
Пример
В данном примере показан процесс включения повторной аутентификации для Ethernet 1/0/1.
3-10 dot1x system-auth-control
Данная команда используется для глобального включения аутентификации IEEE 802.1X на
коммутаторе. При использовании формы no данная команда отключит аутентификацию IEEE 802.1X.
dot1x system-auth-control
no dot1x system-auth-control
Параметры
Нет
По умолчанию
По умолчанию данная опция отключена.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Функция аутентификации IEEE 802.1X не позволяет неавторизованным узлам получать доступ к сети.
Используйте команду dot1x system-auth-control для глобального включения аутентификации IEEE
802.1X. Если аутентификация IEEE 802.1X включена, система будет аутентифицировать пользователя
802.1Х на основе списка методов, указанных командой aaa authentication dot1x default.
Пример
В данном примере показан процесс включения глобальной аутентификации IEEE 802.1X.
Page 37
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
3-11 dot1x timeout
Данная команда используется для настройки таймеров IEEE 802.1X. При использовании формы no
данная команда вернет все значения по умолчанию.
dot1x timeout {server-timeout SECONDS | supp-timeout SECONDS | tx-period SECONDS}
no dot1x timeout {server-timeout | supp-timeout | tx-period}
Параметры
server-timeout SECONDS Время в секундах, в течение которого коммутатор будет ждать
запрос с сервера аутентификации. По истечении времени ожидания,
аутентификатор отправит клиенту пакет EAP-Request. Доступен
диапазон значений от 1 до 65535.
supp-timeout SECONDS Время в секундах, в течение которого коммутатор будет ждать ответ
от запрашивающего устройства. По истечении времени ожидания все
сообщения от запрашивающего устройства, кроме идентификатора
запроса EAP request ID, будут недействительны. Доступен диапазон
значений от 1 до 65535.
tx-period SECONDS Время в секундах, в течение которого коммутатор будет ожидать
ответ на EAP-Request/Identity от запрашивающего устройства перед
повторной отправкой запроса. Доступен диапазон значений от 1 до
65535.
По умолчанию
Значение server-timeout по умолчанию составляет 30 секунд.
Значение supp-timeout по умолчанию составляет 30 секунд.
Значение tx-period по умолчанию составляет 30 секунд.
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда доступна только для конфигурации интерфейса физического порта.
Пример
В данном примере показан процесс конфигурации значения времени ожидания для сервера (15
секунд), запрашивающего устройства (15 секунд), а также для повторной отправки – Тх-period (10
секунд) для Ethernet-порта 1/0/1.
Page 38
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
3-12 show dot1x
Данная команда используется для отображения глобальной конфигурации IEEE 802.1X или
конфигурации интерфейса.
show dot1x [interface INTERFACE-ID [, | -]]
Параметры
interface INTERFACE-ID (Опционально) Интерфейс или группа интерфейсов, для которых
будет отображаться конфигурация dot1x. Если значение не указано,
отображаться будет глобальная конфигурация.
, (Опционально) Выделение серии интерфейсов или разделение
группы интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Выделение диапазона интерфейсов. Пробелы до и
после дефиса недопустимы.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения глобальной конфигурации или конфигурации
интерфейса. Если введена команда без параметров, отображаться будет глобальная конфигурация. В
противном случае отображаться будет конфигурация определенного интерфейса.
Пример
В данном примере показано, как включить отображение глобальной конфигурации dot1X.
Page 39
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показано, как включить отображение конфигурации dot1X для Ethernet 1/0/1.
3-13 show dot1x diagnostics
Данная команда используется для отображения параметров диагностики IEEE 802.1X.
show dot1x diagnostics [interface INTERFACE-ID [, | -]]
Параметры
interface INTERFACE-ID (Опционально) Интерфейс или группа интерфейсов, для которых
будут отображаться параметры диагностики dot1x. Если значение не
указано, отображаться будут параметры диагностики для всех
интерфейсов.
, (Опционально) Выделение серии интерфейсов или разделение
группы интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Выделение диапазона интерфейсов. Пробелы до и
после дефиса недопустимы.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Page 40
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения параметров диагностики IEEE 802.1X. Если значение
не указано, отображаться будут параметры диагностики для всех интерфейсов.
Пример
В данном примере показано, как включить отображение параметров диагностики dot1X для Ethernetпорта 1/0/1.
3-14 show dot1x statistics
Данная команда используется для отображения данных статистики IEEE 802.1X.
show dot1x statistics [interface INTERFACE-ID [, | -]]
Параметры
interface INTERFACE-ID (Опционально) Интерфейс или группа интерфейсов, для которых
будет отображаться статистика dot1x. Если значение не указано,
отображаться будет информация для всех интерфейсов.
Page 41
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
, (Опционально) Выделение серии интерфейсов или разделение
группы интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Выделение диапазона интерфейсов. Пробелы до и
после дефиса недопустимы.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения статистики IEEE 802.1X. Если значение не указано,
отображаться будет статистика для всех интерфейсов.
Пример
В данном примере показано, как включить отображение статистики dot1X для Ethernet-порта 1/0/1.
3-15 show dot1x session-statistics
Данная команда используется для отображения данных статистики сессии IEEE 802.1X.
show dot1x session-statistics [interface INTERFACE-ID [, | -]]
Page 42
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
interface INTERFACE-ID (Опционально) Интерфейс или группа интерфейсов, для которых
будет отображаться статистика сессии dot1x. Если значение не
указано, отображаться будет информация для всех интерфейсов.
, (Опционально) Выделение серии интерфейсов или разделение
группы интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Выделение диапазона интерфейсов. Пробелы до и
после дефиса недопустимы.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения статистики сессии IEEE 802.1X. Если значение не
указано, отображаться будет информация для всех интерфейсов.
Пример
В данном примере показано, как включить отображение статистики сессии dot1X для Ethernet-порта
1/0/1.
3-16 snmp-server enable traps dot1x
Page 43
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Данная команда используется для включения отправки уведомлений SNMP для аутентификации
802.1X. При использовании формы no данная команда отключит отправку уведомлений SNMP.
snmp-server enable traps dot1x
no snmp-server enable traps dot1x
Параметры
Нет
По умолчанию
По умолчанию данная функция отключена.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Нет
Пример
В данном примере показан процесс включения отправки трапов для аутентификации 802.1Х.
4. Команды ACL (Список управления доступом)
4-1 access-list resequence
Данная команда используется для того, чтобы повторно задать начальный порядковый номер и для
увеличения числа записей в списке доступа. При использовании формы no команда вернется к
значениям по умолчанию.
access-list resequence {NAME} STARTING-SEQUENCE-NUMBER INCREMENT
no access-list resequence
Параметры
NAME Имя конфигурируемого списка доступа. Может содержать
максимум 32 символа.
STARTING-SEQUENCE-NUMBER Указывает, что записи списка доступа будут перегруппированы с
использованием этого начального значения. Значение по
умолчанию 10. Доступен диапазон значений от 1 до 65535.
Page 44
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
INCREMENT Задает шаг порядковых номеров. Значение по умолчанию 10.
Например, если значение шага 5, и начальный номер – 20,
последующими числами будут 25, 30, 35, 40 и т. д. Доступен
диапазон значений от 1 до 32.
По умолчанию
Начальный порядковый номер по умолчанию – 10.
Значение шага по умолчанию – 10.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная функция позволяет пользователю повторно упорядочить записи указанного списка доступа с
начальным порядковым номером записи, определяемым параметром STARTING-SEQUENCE-
NUMBER, а значение шага задается с помощью параметра INCREMENT. Если наибольшее значение
порядкового номера превышает максимально возможное значение, то существующие порядковые
номера не изменятся.
Если правило создано без указания определенного порядкового номера, он будет присвоен
автоматически. Если это первая запись, то будет присвоен начальный порядковый номер.
Последующим записям правила назначается номер, больший на значение шага; а самый большой
порядковый номер в списке доступа будет стоять в конце.
После изменения начального порядкового номера или значения шага, порядковые номера всех
предыдущих правил (включая правила, назначенные пользователем) будут изменены согласно новым
настройкам.
Пример
В данном примере показан процесс изменения порядкового номера списка доступа IP-адресов (IP
access-list) с именем R&D.
Page 45
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-2 action
Данная команда используется для настройки действий продвижения, отбрасывания или
переадресации из sub-map в режиме VLAN Access-map Sub-map Configuration Mode. При
использовании формы no данная команда вернется к настройкам по умолчанию.
action {forward | drop | redirect INTERFACE-ID}
no action
Параметры
forward Укажите для продвижения пакета при совпадении.
drop Укажите для отбрасывания пакета при совпадении.
redirect INTERFACE-ID Укажите ID интерфейса для перенаправления. Указать можно только
физические порты.
Page 46
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
По умолчанию
По умолчанию производится действие forward.
Режим ввода команды
VLAN Access-map Sub-map Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Для одной sub-map доступно только одно действие. Действие, заданное позже, заменит предыдущее.
VLAN access map может содержать несколько sub-map. Пакет, совпадающий с sub-map (пакет,
разрешенный соответствующим списком доступа) примет действие, указанное для sub-map.
Дальнейшая проверка следующих sub-map производиться не будет. Если пакет не совпадает с
sub-map, проверяться будет следующая sub-map.
Пример
В данном примере показан процесс конфигурации действия на sub-map.
4-3 expert access-group
Данная команда используется для применения указанных списков управления доступом expert (expert
ACL) к интерфейсу. При использовании формы no команда отменит применение.
expert access-group {NAME | NUMBER} [in | out]
no expert access-group [NAME | NUMBER] [in | out]
Параметры
NAME Имя настраиваемого списка управления доступом expert
(expert access-list). Максимальное число допустимых
символов в имени – 32.
NUMBER Номер настраиваемого списка управления доступом expert
(expert access-list).
Page 47
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
in (Опционально) Фильтрация входящих пакетов на интерфейс.
Если направление не указано, используется значение in.
out (Опционально) Фильтрация исходящих пакетов для передачи
интерфейсу.
По умолчанию
Нет
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Если группа доступа expert (expert access group) уже настроена на интерфейсе, команда,
применяемая позже, перезапишет предыдущие настройки. К каждому интерфейсу можно применить
только один список доступа определенного типа, но списки доступа различных типов могут быть
применены к одному и тому же интерфейсу.
Пример
В данном примере показан процесс применения списка управления доступом expert к интерфейсу.
Применяется ACL exp_acl на порту 1/0/2 для фильтрации входящих пакетов.
4-4 expert access-list
Данная команда используется для создания или изменения расширенного списка управления
доступом expert (extended expert ACL). Использование данной команды осуществляет вход в режим
Extended Expert Access-List Configuration Mode. При использовании формы no команда удалит
расширенный список доступа Expert.
expert access-list extended NAME [NUMBER]
no expert access-list extended {NAME | NUMBER}
Параметры
NAME Имя конфигурируемого расширенного списка доступа expert.
Максимальное число допустимых символов в имени – 32.
NUMBER Идентификационный номер (ID number) экспертного списка
доступа. Для расширенных списков доступа expert допустимо
Page 48
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
значение от 8000 до 9999.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Имя каждого списка доступа должно быть уникальным. Все символы, используемые в имени,
чувствительны к регистру. Если номер списка доступа не указан, автоматически будет назначен самый
большой неиспользуемый номер из диапазона номеров списка доступа expert (expert access list
numbers).
Пример
В данном примере показано, как создать расширенный список управления доступом expert.
4-5 ip access-group
Данная команда используется для указания списка доступа IP (IP access list), который будет
применяться к интерфейсу. При использовании формы no команда удалит список доступа.
ip access-group {NAME} [in | out]
no ip access-group [NAME] [in | out]
Параметры
NAME Имя используемого списка доступа IP. Максимальное число допустимых
символов в имени – 32.
in (Опционально) Указывает, что список доступа IP будет применен для
проверки пакетов во входящем направлении. Если направление не указано,
используется in.
out (Опционально) Указывает, что список доступа IP будет применен для
проверки пакетов в исходящем направлении.
По умолчанию
Нет
Режим ввода команды
Interface Configuration Mode
Page 49
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень команды по умолчанию
Уровень 12
Использование команды
Если группа доступа IP (IP access group) уже настроена на интерфейсе, примененная позднее
команда заменит предыдущие настройки. К каждому интерфейсу можно применить только один
список доступа определенного типа, но списки доступа различных типов могут быть применены к
одному и тому же интерфейсу.
Привязка группы доступа (access group) к интерфейсу будет расходовать ресурсы из записей
фильтрации коммутатора. Если ресурсов недостаточно для активации команды появится сообщение
об ошибке. Число портов ограничено. Если применение команды исчерпает выбор доступных портов
появится сообщение об ошибке.
Пример
В данном примере показан процесс настройки списка доступа IP «Strict-Control» в качестве группы
доступа IP для Ethernet 1/0/2.
4-6 ip access-list
Данная команда используется для создания или изменения списка доступа IP (IP access list). При
использовании команды произойдет вход в режим IP Access List Configuration Mode. При
использовании формы no команда удалит список доступа IP.
ip access-list [extended] NAME
no ip access-list [extended] {NAME}
Параметры
extended (Опционально) Указывает, что список доступа IP является расширенным списком
доступа IP (extended IP access list), и есть возможность применить больше опций
фильтрации. Если параметр не указан, список доступа будет считаться
стандартным.
NAME Назначаемое имя списка доступа IP. Максимальное число допустимых символов в
имени – 32.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Page 50
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень команды по умолчанию
Уровень 12
Использование команды
Указанное имя должно быть уникальным среди всех списков доступа. Все символы, используемые в
имени, чувствительны к регистру. Если номер списка доступа не указан, автоматически будет
назначен самый большой неиспользуемый номер.
Пример
В данном примере показано, как настроить расширенный список доступа IP с именем «Strict-Control»
и список доступа IP с именем «pim-srcfilter».
4-7 ipv6 access-group
Данная команда используется для применения списка доступа IPv6 (IPv6 access list) на интерфейсе.
При использовании формы no команда удалит список доступа IPv6.
ipv6 access-group {NAME} [in | out]
no ipv6 access-group [NAME] [in | out]
Параметры
NAME Укажите имя используемого списка доступа IPv6.
in (Опционально) Указывает, что список доступа IPv6 будет применен для проверки
пакетов во входящем направлении. Если направление не указано, используется
in.
out (Опционально) Указывает, что список доступа IPv6 будет применен для проверки
пакетов в исходящем направлении.
По умолчанию
Нет
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Page 51
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
К каждому интерфейсу можно применить только один список доступа определенного типа, но списки
доступа различных типов могут быть применены к одному интерфейсу. Привязка группы доступа
(access group) к интерфейсу будет расходовать ресурсы из записей фильтрации коммутатора. Если
ресурсов недостаточно для активации команды появится сообщение об ошибке.
Число портов ограничено. Если применение команды исчерпает выбор доступных портов появится
сообщение об ошибке.
Пример
В данном примере показано, как применить список доступа IPv6 «ip6-control» в качестве группы
доступа IP для Ethernet 1/0/3.
4-8 ipv6 access-list
Данная команда используется для создания или изменения списка доступа IPv6 (IPv6 access list) При
использовании команды произойдет вход в режим IPv6 Access List Configuration Mode. При
использовании формы no команда удалит список доступа IPv6.
ipv6 access-list [extended] NAME
no ipv6 access-list [extended] {NAME}
Параметры
extended (Опционально) Указывает, что список доступа IPv6 является расширенным
списком доступа IPv6, и есть возможность применить больше опций фильтрации.
Если параметр не указан, список доступа IPv6 будет считаться стандартным.
NAME Назначаемое имя списка доступа IPv6. Максимальное число допустимых
символов в имени – 32.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Указанное имя должно быть уникальным среди всех списков доступа. Все символы, используемые в
имени, чувствительны к регистру. Если номер списка доступа не указан, автоматически будет
Page 52
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
назначен самый большой неиспользуемый номер из диапазона номеров списков доступа IPv6.
Пример
В данном примере показано, как настроить расширенный список доступа IPv6 (IPv6 extended access
list), с именем «ip6-control».
В данном примере показано, как настроить стандартный список доступа IPv6 (IPv6 standard access list)
с именем «ip6-std-control».
4-9 mac access-group
Данная команда используется для применения списков управления доступом MAC (MAC access list) к
интерфейсу. При использовании формы no команда удалит группу доступа с интерфейса.
mac access-group {NAME} [in | out]
no mac access-group [NAME] [in | out]
Параметры
NAME
Укажите имя используемого списка доступа MAC.
in (Опционально) Указывает, что список доступа MAC будет
применен для проверки пакетов во входящем направлении.
Если параметр не указан, используется значение in.
out (Опционально) Указывает, что список доступа MAC будет
применен для проверки пакетов в исходящем направлении.
По умолчанию
Нет
Режим ввода команды
Interface Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Если группа доступа MAC (MAC access group) уже настроена на интерфейсе, следующая команда
перезапишет предыдущие настройки. Группы доступа МАС не проверяют IP-пакеты.
Page 53
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
К каждому интерфейсу можно применить только один список доступа определенного типа, но списки
доступа различных типов могут быть применены к одному интерфейсу.
Привязка группы доступа (access group) к интерфейсу будет расходовать ресурсы из записей
фильтрации коммутатора. Если ресурсов недостаточно для активации команды появится сообщение
об ошибке.
Пример
В данном примере показано, как применить список доступа МАС daily-profile к Ethernet 1/0/4.
4-10 mac access-list
Данная команда используется для создания или изменения списков управления доступом MAC (MAC
access list). Команда позволяет войти в режим MAC Access List Configuration Mode. При использовании
формы no команда удалит список доступа МАС.
mac access-list extended NAME
no mac access-list extended {NAME}
Параметры
NAME Укажите имя списка управления доступом MAC (MAC access list). Максимально
допустимая длина – 32 символа.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Используйте данную команду, чтобы войти в режим MAC Access-List Configuration Mode, и введите
команду permit или deny, чтобы указать записи. Указанное имя должно быть уникальным среди всех
списков доступа. Имя чувствительно к регистру. Если номер списка доступа не указан, автоматически
будет назначен самый большой неиспользуемый номер из диапазона номеров списков доступа MAC.
Пример
Page 54
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показано, как войти в режим MAC Access List Configuration Mode для списка
доступа МАС с именем «daily-profile».
4-11 match ip address
Данная команда используется для сопоставления списка доступа IP с настраиваемой sub-map. При
использовании формы no команда удалит совпадающую запись.
match ip address {ACL-NAME}
no match ip address
Параметры
ACL-NAME Укажите имя списка управления доступом (ACL access list). Максимально
допустимая длина – 32 символа.
По умолчанию
Нет
Режим ввода команды
VLAN Access-map Sub-map Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Используйте данную команду, чтобы сопоставить список доступа IP с настроенной sub-map. С одной
sub-map может быть сопоставлен только один список доступа (IP access list, IPv6 access list или МАС
access list). IP Sub-map проверяет только IP-пакеты. При вводе новой команды более старые
настройки будут перезаписаны.
Пример
В данном примере показано, как настроить сопоставление содержимого c sub-map.
Page 55
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-12 match ipv6 address
Данная команда используется для сопоставления списков доступа IPv6 с настраиваемыми sub-maps.
При использовании формы no команда удалит соответствующую запись.
match ipv6 address {ACL-NAME}
no match ipv6 address
Параметры
ACL-NAME Укажите имя списка управления доступом IPv6 (IPv6 ACL). Максимально
допустимая длина – 32 символа.
По умолчанию
Нет
Режим ввода команды
VLAN Access-map Sub-map Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Используйте данную команду, чтобы сопоставить список доступа IPv6 с настроенной sub-map. С
одной sub-map может быть сопоставлен только один список доступа (IP access list, IPv6 access list или
МАС access list). IPv6 sub-map проверяет только IPv6-пакеты. При вводе новой команды более
старые настройки будут перезаписаны.
Пример
В данном примере показано, как настроить сопоставление содержимого c sub-map.
Page 56
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-13 match mac address
Данная команда используется для сопоставления списков доступа MAC (MAC access lists) с
настраиваемыми sub-maps. При использовании формы no команда удалит соответствующую запись.
match mac address {ACL-NAME}
no match mac address
Параметры
ACL-NAME Укажите имя списка управления доступом MAC (ACL MAC). Максимально
допустимая длина – 32 символа.
По умолчанию
Нет
Режим ввода команды
VLAN Access-map Sub-map Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Используйте данную команду, чтобы сопоставить список доступа MAC (MAC access list) с
настраиваемой sub-map. С одной sub-map может быть сопоставлен только один список доступа (IP
access list, IPv6 access list или МАС access list). MAC Sub-map не проверяет IP-пакеты. При вводе
новой команды более старые настройки будут перезаписаны.
Пример
В данном примере показано, как настроить сопоставление содержимого c sub-map.
Page 57
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-14 permit | deny (expert access-list)
Данная команда используется для добавления записи разрешения (permit) или запрета (deny). При
использовании формы no команда удалит запись.
Расширенный список управления доступом Expert (Extended Expert ACL):
[SEQUENCE-NUMBER] {permit | deny} PROTOCOL {SRC-IP-ADDR SRC-IP-WILDCARD | host
SRC-IP-ADDR | any} {SRC-MAC-ADDR SRC-MAC-WILDCARD | host SRC-MAC-ADDR | any} {DST-IPADDR DST-IP-WILDCARD | host DST-IP-ADDR | any} {DST-MAC-ADDR DST-MAC-WILDCARD | host
DST-MAC-ADDR | any} [cos OUTER-COS [inner INNER-COS]] [{vlan OUTER-VLAN } [inner INNERVLAN]] [fragments] [[precedence PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILENAME]
[SEQUENCE-NUMBER] {permit | deny} tcp {SRC-IP-ADDR SRC-IP-WILDCARD | host SRC-IPADDR | any} {SRC-MAC-ADDR SRC-MAC-WILDCARD | host SRC-MAC-ADDR | any} [{eq | lt | gt | neq}
PORT | range MIN-PORT MAX-PORT] {DST-IP-ADDR DST-IP-WILDCARD | host DST-IP-ADDR | any}
{DST-MAC-ADDR DST-MAC-WILDCARD | host DST-MAC-ADDR | any} [{eq | lt | gt | neq} PORT | range
MIN-PORT MAX-PORT] [TCP-FLAG] [cos OUTER-COS [inner INNER-COS]] [{vlan OUTER-VLAN} [inner
INNER-VLAN]] [[precedence PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} udp {SRC-IP-ADDR SRC-IP-WILDCARD | host SRC-IPADDR | any} {SRC-MAC-ADDR SRC-MAC-WILDCARD | host SRC-MAC-ADDR | any} [{eq | lt | gt | neq}
PORT | range MIN-PORT MAX-PORT] {DST-IP-ADDR DST-IP-WILDCARD | host DST-IP-ADDR | any}
{DST-MAC-ADDR DST-MAC-WILDCARD | host DST-MAC-ADDR | any} [{eq | lt | gt | neq} PORT | range
MIN-PORT MAX-PORT] [cos OUTER-COS [inner INNER-COS]] [{vlan OUTER-VLAN} [inner INNERVLAN]] [[precedence PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} icmp {SRC-IP-ADDR SRC-IP-WILDCARD | host SRC-IPADDR | any} {SRC-MAC-ADDR SRC-MAC-WILDCARD | host SRC-MAC-ADDR | any} {DST-IP-ADDR
DST-IP-WILDCARD | host DST-IP-ADDR | any} {DST-MAC-ADDR DST-MAC-WILDCARD | host DSTMAC-ADDR | any} [ICMP-TYPE [ICMP-CODE] | ICMP-MESSAGE] [cos OUTER-COS [inner INNERCOS]] [{vlan OUTER-VLAN} [inner INNER-VLAN]] [[precedence PRECEDENCE] [tos TOS] | dscp
DSCP] [time-range PROFILE-NAME]
no SEQUENCE-NUMBER
Параметры
Page 58
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
SEQUENCE-NUMBER Укажите порядковый номер. Доступен диапазон от 1 до 65535. Чем
меньше номер, тем выше приоритет правила permit/deny.
PROTOCOL (Опционально) Укажите ID IP-протокола или одно из следующих
имен протокола. Доступны следующие имена: eigrp, esp, gre, igmp,
ospf, pim, vrrp, pcp и ipinip. Если ID протокола указан, параметр
MASK (0x0-0xff) является опциональным (необязательным). Бит,
соответствующий значению бита 0, не будет учитываться. Бит,
соответствующий значению бита 1, будет проверяться.
cos OUTER-COS (Опционально) Укажите значение outer priority. Доступен диапазон
значений от 0 до 7.
inner INNER-COS (Опционально) Укажите значение внутреннего приоритета (inner
priority). Доступен диапазон значений от 0 до 7.
vlan OUTER-VLAN (Опционально) Укажите outer VLAN ID.
inner INNER-VLAN (Опционально) Укажите inner VLAN ID.
any Укажите для использования любого МАС-адреса источника, любого
МАС-адреса назначения, любого IP-адреса источника или любого IPадреса назначения.
host SRC-MAC-ADDR Укажите определенный МАС-адрес узла источника.
SRC-MAC-ADDR SRC-MACWILDCARD
Укажите группу МАС-адресов источника, используя значение
wildcard. Бит, соответствующий значению бита 1, не будет
учитываться. Бит, соответствующий значению бита 0, будет
проверяться.
host DST-MAC-ADDR Укажите определенный МАС-адрес узла назначения.
DST-MAC-ADDR DST-MACWILDCARD
Укажите группу МАС-адресов назначения, используя значение
wildcard. Бит, соответствующий значению бита 1, не будет
учитываться. Бит, соответствующий значению бита 0, будет
проверяться.
host SRC-IP-ADDR Укажите определенный IP-адрес узла источника.
SRC-IP-ADDR SRC-IPWILDCARD
Укажите группу IP-адресов источника, используя значение wildcard.
Бит, соответствующий значению бита 1, не будет учитываться. Бит,
соответствующий значению бита 0, будет проверяться.
host DST-IP-ADDR Укажите определенный IP-адрес узла назначения.
DST-IP-ADDR DST-IPWILDCARD
Укажите группу IP-адресов назначения, используя значение wildcard.
Бит, соответствующий значению бита 1, не будет учитываться. Бит,
соответствующий значению бита 0, будет проверяться.
precedence PRECEDENCE (Опционально) Укажите, чтобы пакеты могли фильтроваться по
уровню приоритета (precedence). Доступны значения от 0 до 7.
tos TOS (Опционально) Укажите, чтобы пакеты могли фильтроваться по
уровню type of service. Доступны значения от 0 до 15.
dscp DSCP (Опционально) Укажите DSCP-код для совпадений с заголовком IP.
Доступен диапазон от 0 до 63, или выбор из следующих имен DSCP:
af11 - 001010, af12 -001100, af13 -001110, af21 - 010010, af22 - 010100,
af23 - 010110, af31 - 011010, af32 - 011100, af33 - 011110, af41 100010, af42 - 100100, af43 - 100110, cs1 - 001000, cs2 - 010000, cs3 011000, cs4 - 100000, cs5 - 101000, cs6 – 110000, cs7 - 111000, default
(по умолчанию) - 000000, ef – 101110.
lt PORT (Опционально) Укажите для сопоставления, если значение
указанного порта меньше.
gt PORT (Опционально) Укажите для сопоставления, если значение
указанного порта больше.
Page 59
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
eq PORT (Опционально) Укажите для сопоставления, если значение
указанного порта равно.
neq PORT (Опционально) Укажите для сопоставления, если значение
указанного порта не равно.
range MIN-PORT MAX-PORT (Опционально) Укажите для сопоставления, если значение попадает
в указанный диапазон портов.
TCP-FLAG (Опционально) Укажите поля TCP flag и указанные биты заголовка
TCP с именем ack (acknowledge), fin (finish), psh (push), rst (reset),
syn (synchronize) или urg (urgent).
fragments (Опционально) Укажите для фильтрации фрагментов пакета.
time-range PROFILE-NAME (Опционально) Укажите имя профиля периода времени, связанного
со списком доступа, определяющим период его активации.
ICMP-TYPE (Опционально) Укажите тип сообщения ICMP. Доступны значения
типа сообщений от 0 до 255.
ICMP-CODE (Опционально) Укажите код сообщения ICMP. Доступны значения
кода сообщений от 0 до 255.
ICMP-MESSAGE (Опционально) Укажите сообщение ICMP. Для выбора доступны
следующие предустановленные параметры: beyond-scope,
destination-unreachable, echo-reply, echo-request, header, hop-limit,
mld-query, mld-reduction, mld-report, nd-na, nd-ns, next-header, noadmin, no-route, packet-too-big, parameter-option, parameter-problem,
port-unreachable, reassembly-timeout, redirect, renum-command, renumresult, renum-seq-number, router-advertisement, router-renumbering,
router-solicitation, time-exceeded, unreachable.
По умолчанию
Нет
Режим ввода команды
Extended Expert Access-list Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Если правило создано без указания определенного порядкового номера, он будет присвоен
автоматически. Если это первая запись, то будет присвоен начальный порядковый номер 10.
Последующим записям правила назначается номер, больший на значение шага 10; а самый большой
порядковый номер в списке доступа будет стоять в конце.
Пользователь может использовать команду access-list resequence для смены начального
порядкового номера и значения шага записей для указанного списка доступа. После применения
команды новым записям без указанного порядкового номера будет задан номер в соответствии с
новыми настройками указанного списка доступа.
При назначении порядкового номера вручную, лучше иметь зарезервированный интервал для
будущих записей с меньшим порядковым номером. Иначе будет сложно вставить запись с еще
меньшим порядковым номером.
Порядковый номер должен быть уникальным в домене списка доступа. При вводе занятого
порядкового номера появится сообщение об ошибке.
Page 60
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Если параметр fragment для параметров tcp, udp или icmp убран в команде permit | deny (expert
access-list), то пользователь все равно может использовать опцию PROTOCOL в команде permit |
deny (expert access-list) для настройки параметра fragment.
Пример
В данном примере показано, как использовать расширенный список управления доступом Expert
(extended expert ACL). Цель – запретить (deny) все TCP-пакеты с IP-адресом источника 192.168.4.12 и
МАС-адресом источника 00:13:00:49:82:72.
4-15 permit | deny (ip access-list)
Данная команда используется для добавления записи permit или deny. При использовании формы no
команда удалит запись.
Расширенный список управления доступом (Extended Access List):
[SEQUENCE-NUMBER] {permit | deny} tcp {any | host SRC-IP-ADDR | SRC-IP-ADDR SRC-IP-
WILDCARD} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT] {any | host DST-IP-ADDR | DSTIP-ADDR DST-IP-WILDCARD} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT] [TCP-FLAG]
[[precedence PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} udp {any | host SRC-IP-ADDR | SRC-IP-ADDR SRC-IP-
WILDCARD} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT] {any | host DST-IP-ADDR | DSTIP-ADDR DST-IP-WILDCARD} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT] [[precedence
PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} icmp {any | host SRC-IP-ADDR | SRC-IP-ADDR SRC-IPWILDCARD} {any | host DST-IP-ADDR | DST-IP-ADDR DST-IP-WILDCARD} [ICMP-TYPE [ICMP-CODE] |
ICMP-MESSAGE] [[precedence PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} {gre | esp | eigrp | igmp | ipinip | ospf | pcp | pim | vrrp |
protocol-id PROTOCOL-ID} {any | host SRC-IP-ADDR | SRC-IP-ADDR SRC-IP-WILDCARD} {any | host
DST-IP-ADDR | DST-IP-ADDR DST-IP-WILDCARD} [[precedence PRECEDENCE] [tos TOS] | dscp
DSCP] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} {any | host SRC-IP-ADDR | SRC-IP-ADDR SRC-IPWILDCARD} [any | host DST-IP-ADDR | DST-IP-ADDR DST-IP-WILDCARD] [[precedence
PRECEDENCE] [tos TOS] | dscp DSCP] [time-range PROFILE-NAME]
Стандартный список доступа IP (Standard IP Access List):
[SEQUENCE-NUMBER] {permit | deny} {any | host SRC-IP-ADDR | SRC-IP-ADDR SRC-IP-
WILDCARD} [any | host DST-IP-ADDR | DST-IP-ADDR DST-IP-WILDCARD] [time-range PROFILE-NAME]
no SEQUENCE-NUMBER
Параметры
SEQUENCE-NUMBER Укажите порядковый номер. Доступен диапазон от 1 до 65535. Чем
Page 61
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
меньше номер, тем выше приоритет правила permit/deny.
any Укажите IP-адрес источника или IP-адрес назначения.
host SRC-IP-ADDR Укажите определенный IP-адрес узла источника.
SRC-IP-ADDR SRC-IPWILDCARD
Укажите группу IP-адресов источника, используя значение wildcard.
Бит, соответствующий значению бита 1, не будет учитываться. Бит,
соответствующий значению бита 0, будет проверяться.
host DST-IP-ADDR Укажите определенный IP-адрес узла назначения.
DST-IP-ADDR DST-IPWILDCARD
Укажите группу IP-адресов назначения, используя значение wildcard.
Бит, соответствующий значению бита 1, не будет учитываться. Бит,
соответствующий значению бита 0, будет проверяться.
precedence PRECEDENCE (Опционально) Укажите, чтобы пакеты могли фильтроваться по
уровню приоритета (precedence). Доступны значения от 0 до 7.
dscp DSCP (Опционально) Укажите DSCP-код для совпадений с заголовком IP.
Доступен диапазон от 0 до 63, или выбор из следующих имен DSCP:
af11 - 001010, af12 - 001100, af13 - 001110, af21 - 010010, af22 010100, af23 - 010110, af31 - 011010, af32 - 011100, af33 - 011110, af41
- 100010, af42 - 100100, af43 - 100110, cs1 - 001000, cs2 - 010000,
cs3 - 011000, cs4 - 100000, cs5 - 101000, cs6 - 110000, cs7 - 111000,
default (по умолчанию) - 000000, ef – 101110.
tos TOS (Опционально) Укажите, чтобы пакеты могли фильтроваться по
уровню type of service. Доступны значения от 0 до 15.
lt PORT (Опционально) Укажите для сопоставления, если значение
указанного порта меньше.
gt PORT (Опционально) Укажите для сопоставления, если значение
указанного порта больше.
eq PORT (Опционально) Укажите для сопоставления, если значение
указанного порта равно.
neq PORT (Опционально) Укажите для сопоставления, если значение
указанного порта не равно.
range MIN-PORT MAX-PORT (Опционально) Укажите для сопоставления, если значение попадает
в указанный диапазон портов.
time-range PROFILE-NAME (Опционально) Укажите имя профиля периода времени, связанного
со списком доступа, определяющим период его активации.
tcp, udp, igmp, ipinip, gre,
esp, eigrp, ospf, pcp, pim,
vrrp
Укажите протоколы 4 уровня.
PROTOCOL-ID (Опционально) Укажите Protocol ID. Доступен диапазон значений от 0
до 255.
ICMP-TYPE (Опционально) Укажите тип сообщения ICMP. Доступны номера для
типа сообщений от 0 до 255.
ICMP-CODE (Опционально) Укажите код сообщения ICMP. Доступны номера для
кода сообщений от 0 до 255.
ICMP-MESSAGE (Опционально) Укажите сообщение ICMP. Для выбора доступны
следующие предустановленные параметры: administrativelyprohibited, alternate-address, conversion-error, host-prohibited, netprohibited, echo, echo-reply, pointer-indicates-error, host-isolated, hostprecedence-violation, host-redirect, host-tos-redirect, host-tosunreachable, host-unknown, host-unreachable, information-reply,
information-request, mask-reply, mask-request, mobile-redirect, netredirect, net-tos-redirect, net-tos-unreachable, net-unreachable, net-
Page 62
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
unknown, bad-length, option-missing, packet-fragment, parameterproblem, port-unreachable, precedence-cutoff, protocol-unreachable,
reassembly-timeout, redirect-message, router-advertisement, routersolicitation, source-quench, source-route-failed, time-exceeded,
timestamp-reply, timestamp-request, traceroute, ttl-expired, unreachable.
По умолчанию
Нет
Режим ввода команды
IP Access-list Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Если правило создано без указания определенного порядкового номера, он будет присвоен
автоматически. Если это первая запись, то будет присвоен начальный порядковый номер 10.
Последующим записям правила назначается номер, больший на значение шага 10; а самый большой
порядковый номер в списке доступа будет стоять в конце.
Пользователь может использовать команду access-list resequence для смены начального
порядкового номера и значения шага записей для указанного списка доступа. После применения
команды новым записям без указанного порядкового номера будет задан номер в соответствии с
новыми настройками указанного списка доступа.
При назначении порядкового номера вручную, лучше иметь зарезервированный интервал для
будущих записей с меньшим порядковым номером. Иначе будет сложно вставить запись с еще
меньшим порядковым номером.
Порядковый номер должен быть уникальным в домене списка доступа. При вводе занятого
порядкового номера появится сообщение об ошибке
Для создания правила сопоставления для стандартного списка доступа IP (IP standard access list)
могут быть указаны только поля IP-адреса источника и назначения.
Пример
В данном примере показано, как создать 4 записи для расширенного списка доступа IP с именем
Strict-Control. Это следующие записи: разрешить TCP-пакеты для сети 10.20.0.0, разрешить TCPпакеты для узла 10.100.1.2, разрешить все TCP-пакеты для порта назначения TCP 80 и разрешить все
ICMP-пакеты.
В данном примере показано, как создать 2 записи для стандартного списка доступа IP с именем «stdacl». Это следующие записи: разрешить IP-пакеты для сети 10.20.0.0, разрешить IP-пакеты для узла
Page 63
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
10.100.1.2.
4-16 permit | deny (ipv6 access-list)
Данная команда используется для добавления записи permit или deny в список доступа IPv6. При
использовании формы no команда удалит запись из списка доступа IPv6.
Расширенный список доступа IPv6 (Extended IPv6 Access List):
[SEQUENCE-NUMBER] {permit | deny} tcp {any | host SRC-IPV6-ADDR | SRC-IPV6-
ADDR/PREFIX-LENGTH} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT] {any | host DST-IPV6ADDR | DST-IPV6-ADDR/PREFIX-LENGTH} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT]
[dscp VALUE] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} udp {any | host SRC-IPV6-ADDR | SRC-IPV6-
ADDR/PREFIX-LENGTH} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT] {any | host DST-IPV6ADDR | DST-IPV6-ADDR/PREFIX-LENGTH} [{eq | lt | gt | neq} PORT | range MIN-PORT MAX-PORT]
[dscp VALUE] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} icmp {any | host SRC-IPV6-ADDR | SRC-IPV6-
ADDR/PREFIX-LENGTH} {any | host DST-IPV6-ADDR | DST-IPV6-ADDR/PREFIX-LENGTH} [ICMP-TYPE
[ICMP-CODE] | ICMP-MESSAGE] [dscp VALUE] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} {protocol-id PROTOCOL-ID} {any | host SRC-IPV6-
ADDR | SRC-IPV6-ADDR/PREFIX-LENGTH} {any | host DST-IPV6-ADDR | DST-IPV6-ADDR/PREFIXLENGTH} [dscp VALUE] [time-range PROFILE-NAME]
[SEQUENCE-NUMBER] {permit | deny} {any | host SRC-IPV6-ADDR | SRC-IPV6-ADDR/PREFIXLENGTH} [any | host DST-IPV6-ADDR | DST-IPV6-ADDR/PREFIX-LENGTH] [dscp VALUE] [time-range
PROFILE-NAME]
Стандартный список доступа IPv6 (Standard IPv6 Access List):
[SEQUENCE-NUMBER] {permit | deny} {any | host SRC-IPV6-ADDR | SRC-IPV6-ADDR/PREFIX-
LENGTH} [any | host DST-IPV6-ADDR | DST-IPV6-ADDR/PREFIX-LENGTH] [time-range PROFILENAME]
no SEQUENCE-NUMBER
Параметры
SEQUENCE-NUMBER Укажите порядковый номер. Доступен диапазон от 1 до 65535. Чем
меньше номер, тем выше приоритет правила permit/deny.
any Укажите IPv6-адрес источника или IPv6-адрес назначения.
host SRC-IPv6-ADDR Укажите определенный IPv6-адрес узла источника.
SRC-IPV6-ADDR/PREFIXLENGTH
Укажите сеть IPv6 источника.
Page 64
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
host DST-IPV6-ADDR Укажите определенный IPv6-адрес узла назначения.
DST-IPV6-ADDR/PREFIXLENGTH
Укажите сеть IPv6 назначения.
tcp, udp, icmp Укажите тип протокола 4 уровня.
dscp VALUE (Опционально) Укажите совпадающее значение класса трафика в
IPv6-хедере. Доступен диапазон от 0 до 63, или следующие DSCPимена: af11 - 001010, af12 -001100, af13 - 001110, af21 - 010010, af22 010100, af23 - 010110, af31 - 011010, af32 - 011100, af33 - 011110, af41
- 100010, af42 - 100100, af43 - 100110, cs1 - 001000, cs2 - 010000, cs3
- 011000, cs4 - 100000, cs5 - 101000, cs6 - 110000, cs7 - 111000, default
(по умолчанию) - 000000, ef – 101110.
lt PORT (Опционально) Укажите для сопоставления, если значение
указанного порта меньше.
gt PORT (Опционально) Укажите для сопоставления, если значение
указанного порта больше.
eq PORT (Опционально) Укажите для сопоставления, если значение
указанного порта равно.
neq PORT (Опционально) Укажите для сопоставления, если значение
указанного порта не равно.
range MIN-PORT MAX-PORT (Опционально) Укажите для сопоставления, если значение попадает
в указанный диапазон портов.
PROTOCOL-ID (Опционально) Укажите Protocol ID. Доступен диапазон значений от 0
до 255.
ICMP-TYPE (Опционально) Укажите тип сообщения ICMP. Доступны номера типа
сообщений от 0 до 255.
ICMP-CODE (Опционально) Укажите код сообщения ICMP. Доступны номера кода
сообщений от 0 до 255.
ICMP-MESSAGE (Опционально) Укажите сообщение ICMP. Для выбора доступны
следующие предустановленные параметры: beyond-scope,
destination-unreachable, echo-reply, echo-request, erroneous_header,
hop-limit, multicast-listener-query, multicast-listener-done, multicastlistener-report, nd-na, nd-ns, next-header, no-admin, no-route, packettoo-big, parameter-option, parameter-problem, port-unreachable,
reassembly-timeout, redirect, renum-command, renum-result, renum-seqnumber, router-advertisement, router-renumbering, router-solicitation,
time-exceeded, unreachable.
time-range PROFILE-NAME (Опционально) Укажите имя профиля периода времени, связанного
со списком доступа, определяющим период его активации.
По умолчанию
Нет
Режим ввода команды
IPv6 Access-list Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Page 65
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Если правило создано без указания определенного порядкового номера, он будет присвоен
автоматически. Если это первая запись, то будет присвоен начальный порядковый номер 10.
Последующим записям правила назначается номер, больший на значение шага 10; а самый большой
порядковый номер в списке доступа будет стоять в конце.
Пользователь может использовать команду access-list resequence для смены начального
порядкового номера и значения шага записей для указанного списка доступа. После применения
команды новым записям без указанного порядкового номера будет задан номер в соответствии с
новыми настройками указанного списка доступа.
При назначении порядкового номера вручную, лучше иметь зарезервированный интервал для
будущих записей с меньшим порядковым номером. Иначе будет сложно вставить запись с еще
меньшим порядковым номером.
Порядковый номер должен быть уникальным в домене списка доступа. При вводе занятого
порядкового номера появится сообщение об ошибке.
Пример
В данном примере показано, как создать 4 записи для расширенного списка доступа IPv6 с именем
«ipv6-control». Это следующие записи: разрешить TCP-пакеты для сети ff02::0:2/16, разрешить TCPпакеты для узла ff02::1:2, разрешить все TCP-пакеты для порта назначения TCP 80 и разрешить все
ICMP-пакеты.
В данном примере показано, как создать 2 записи для стандартного списка доступа IPv6 с именем
«ipv6-std-control». Это следующие записи: разрешить IP-пакеты для сети ff02::0:2/16, разрешить IPпакеты для узла ff02::1:2.
4-17 permit | deny (mac access-list)
Данная команда используется для определения правила для пакетов, которым будет разрешено или
отказано в доступе. При использовании формы no команда удалит запись.
[SEQUENCE-NUMBER] {permit | deny} {any | host SRC-MAC-ADDR | SRC-MAC-ADDR SRCMAC-WILDCARD} {any | host DST-MAC-ADDR | DST-MAC-ADDR DST-MAC-WILDCARD} [ethernet-type
TYPE MASK [cos VALUE [inner INNER-COS]] [{vlan VLAN-ID} [inner INNER-VLAN]] [time-range
PROFILE-NAME]
no SEQUENCE-NUMBER
Page 66
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
SEQUENCE-NUMBER Укажите порядковый номер. Доступен диапазон от 1 до 65535. Чем
меньше номер, тем выше приоритет правила permit/deny.
any Укажите MAC-адрес источника или MAC-адрес назначения.
host SRC-MAC-ADDR Укажите определенный MAC-адрес узла источника.
SRC-MAC-ADDR SRC-MACWILDCARD
Укажите группу МАС-адресов источника, используя значение
wildcard. Бит, соответствующий значению бита 1, не будет
учитываться. Бит, соответствующий значению бита 0, будет
проверяться.
host DST-MAC-ADDR Укажите определенный MAC-адрес узла назначения.
DST-MAC-ADDR DST-MACWILDCARD
Укажите группу МАС-адресов назначения, используя значение
wildcard. Бит, соответствующий значению бита 1, не будет
учитываться. Бит, соответствующий значению бита 0, будет
проверяться.
ethernet-type TYPE MASK (Опционально) Укажите тип Ethernet, являющийся
шестнадцатеричным числом от 0 до FFFF или именем типа Ethernet.
Доступны следующие имена: aarp, appletalk, decnet-iv, etype-6000,
etype-8042, lat, lavc-sca, mop-console, mop-dump, vines-echo, vines-ip,
xns-idp или arp.
cos VALUE (Опционально) Укажите значение priority (приоритета) от 0 до 7.
inner INNER-COS (Опционально) Укажите inner priority. Доступен диапазон от 0 до 7.
vlan VLAN-ID (Опционально) Укажите VLAN-ID.
inner INNER-VLAN (Опционально) Укажите Inner VLAN ID.
time-range PROFILE-NAME (Опционально) Укажите имя профиля периода времени, связанного
со списком доступа, определяющим период его активации.
По умолчанию
Нет
Режим ввода команды
MAC Access-list Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Если правило создано без указания определенного порядкового номера, он будет присвоен
автоматически. Если это первая запись, то будет присвоен начальный порядковый номер 10.
Последующим записям правила назначается номер, больший на значение шага 10; а самый большой
порядковый номер в списке доступа будет стоять в конце.
Пользователь может использовать команду access-list sequence для смены начального порядкового
номера и значения шага записей для указанного списка доступа. После применения команды новым
записям без указанного порядкового номера будет задан номер в соответствии с новыми настройками
указанного списка доступа.
При назначении порядкового номера вручную, лучше иметь зарезервированный интервал для
будущих записей с меньшим порядковым номером. Иначе будет сложно вставить запись с еще
Page 67
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
меньшим порядковым номером.
Порядковый номер должен быть уникальным в домене списка доступа. При вводе занятого
порядкового номера появится сообщение об ошибке
В список может быть добавлено несколько записей, и вы можете использовать разрешение (permit)
для одних, и запрет (deny) для других записей. Команды permit и deny могут cоответствовать
различным полям, доступным при настройке.
Пример
В данном примере показано, как настроить записи MAC в профиле daily-profile, чтобы разрешить
доступ двум спискам MAC-адресов источника.
4-18 show access-group
Данная команда используется для просмотра информации о группах доступа (access group) для
одного или нескольких интерфейсов.
show access-group [interface INTERFACE-ID]
Параметры
interface INTERFACE-ID (Опционально) Укажите необходимые интерфейсы.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Если интерфейс не указан, отображаться будет информация обо всех интерфейсах.
Пример
В данном примере показано, как включить отображение списков доступа, применяемых ко всем
интерфейсам.
Page 68
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-19 show access-list
Данная команда используется для просмотра информации о настройках списка доступа.
show access-list [ip [NAME] | mac [NAME] | ipv6 [NAME]]
Параметры
ip (Опционально) Укажите для отображения всех списков доступа IP.
mac (Опционально) Укажите для отображения всех списков доступа MAC.
ipv6 (Опционально) Укажите для отображения всех списков доступа IPv6.
NAME (Опционально) Укажите имя списка доступа (access list), который необходимо
отобразить.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Команда используется для отображения информации о списках доступа. Если не указана опция, будет
отображен список всех настроенных списков доступа. Если указан тип списка доступа, будет
отображена детальная информация о списке доступа. Если пользователь включит аппаратный
счетчик ACL (ACL hardware counter) для списка доступа (access list) счетчик будет отображен на
основе каждой записи списка доступа.
Пример
В данном примере показано, как включить отображение всех списков доступа.
Page 69
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показано, как включить отображение списков доступа IP с именем Strict-Control.
В данном примере показано, как включить отображение содержимого списка доступа, если включен
аппаратный счетчик.
4-20 show vlan access-map
Данная команда используется для просмотра информации о настройках VLAN access map.
show vlan access-map [MAP-NAME]
Параметры
MAP-NAME (Опционально) Укажите имя настраиваемой VLAN access map. Имя не может
Page 70
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
содержать более 32 символов.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Если не указано имя access-map, отображаться будет вся информация о VLAN access-map. Если
включен аппаратный счетчик ACL (ACL hardware counter) для access-map, отображаться будет счетчик
для каждой sub-map.
Пример
В данном примере показано, как включить отображение VLAN access-map.
В данном примере показано, как включить отображение содержимого VLAN access-map, если включен
аппаратный счетчик.
Page 71
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-21 show vlan filter
Данная команда используется для просмотра информации о настройках фильтрации VLAN (VLAN
filter) для интерфейсов VLAN.
show vlan filter [access-map MAP-NAME | vlan VLAN-ID]
Параметры
access-map MAP-NAME (Опционально) Укажите имя VLAN access-map. Имя не может содержать
более 32 символов.
vlan VLAN-ID (Опционально) Укажите VLAN ID.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Команда show vlan filter access-map используется для просмотра информации о фильтрации VLAN
(VLAN filter) на основе access map. Команда show vlan filter vlan используется для просмотра
информации о фильтрации VLAN на основе VLAN.
Пример
В данном примере показано, как включить отображение информации о фильтрации VLAN.
Page 72
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
4-22 vlan access-map
Данная команда используется для создания sub-map для VLAN access-map и входа в режим VLAN
Access-map Sub-map Configure Mode. При использовании формы no команда удалит access map или
ее sub-map.
vlan access-map MAP-NAME [SEQUENCE-NUM]
no vlan access-map MAP-NAME [SEQUENCE-NUM]
Параметры
MAP-NAME Укажите имя VLAN access-map. Имя не может содержать более 32
символов.
SEQUENCE-NUM (Опционально) Укажите порядковый номер sub-map. Доступен диапазон
значений от 1 до 65535.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
VLAN access map может содержать несколько sub-maps. Для каждой sub-map может быть указан один
список доступа (IP access list, IPv6 access list или МАС access list) и одно действие. После создания
VLAN access map пользователь может использовать команду vlan filter для применения access map к
VLAN.
Порядковый номер назначается автоматически, если пользователь не назначит его вручную.
Автоматически назначенный номер начинается с 10, и увеличивается на 10 с каждой новой записью.
Пакет, совпадающий с sub-map (если пакет разрешен соответствующим списком доступа) будет
действовать в соответствии с sub-map. Далее проверки sub-maps проводиться не будут. Если пакет не
соответствует одной sub-map, проверяться будет следующая sub-map.
При использовании формы no без указаний порядковых номеров команда удалит всю информацию о
sub-map указанной access map.
Пример
В данном примере показано, как создать VLAN access map.
4-23 vlan filter
Page 73
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Данная команда используется применения VLAN access map к VLAN. При использовании формы no
команда удалит VLAN access map с VLAN.
vlan filter MAP-NAME vlan-list VLAN-ID-LIST
no vlan filter MAP-NAME vlan-list VLAN-ID-LIST
Параметры
MAP-NAME Укажите имя VLAN access map.
vlan-list VLAN-ID-LIST Укажите список VLAN ID.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
С одним VLAN может быть связана только одна VLAN access map.
Пример
В данном примере показано, как применить VLAN access map «vlan-map» к VLAN 5.
5. Команды управления доступом
5-1 access class
Данная команда используется для указания списка, которому необходимо ограничить доступ к сессии.
Используйте форму no, чтобы отменить проверку указанного списка доступа.
access-class IP-ACL
no access-class IP-ACL
Page 74
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
IP-ACL Стандартный список доступа IP-адресов. Поле адреса источника с
записью permit или deny определяет доверенный или недоверенный
узел.
По умолчанию
Нет
Режим ввода команды
Line Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Команда указывает список, которому необходимо ограничить доступ к сессии. Максимальное число
списков доступа - 2. Если два списка доступа уже применены, попытка применить новый список
доступа будет отклоняться до тех пор, пока один из примененных списков не будет удален с помощью
формы no.
Пример
В данном примере показан процесс создания стандартного списка доступа IP-адресов и указания на
ограничение через Telnet. Только узлу 226.1.1.1 разрешен доступ к серверу.
5-2 banner login
Данная команда используется для входа в режим Banner Login Mode и настройки отображения
баннера приветствия. При использовании формы no команда вернется в настройки по умолчанию.
banner login cMESSAGEc
no banner login
Параметры
c Разделитель текста баннера приветствия, например, знак #. Употребление
символа разделителя недопустимо в тексте баннера приветствия.
MESSAGE Содержимое баннера приветствия, отображаемое до появления окна
ввода имени пользователя и пароля.
Page 75
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет настроить уникальный баннер, который будет отображаться после
успешного входа пользователя в систему. После команды banner login поставьте как минимум один
пробел и любой разделитель на выбор. Далее введите одну или более строку текста, закончив
сообщение вторым разделителем.
Например, если разделителем является символ «#», то после его ввода нужно нажать клавишу Enter и
ввести содержимое баннера входа. Далее необходимо снова ввести разделитель и нажать Enter для
завершения. Чтобы вернуться к содержимому баннера входа по умолчанию используйте форму no в
режиме глобальной конфигурации.
ПРИМЕЧАНИЕ: все дополнительные символы, введенные после последнего
разделителя, будут недействительны и будут отброшены. Символ разделитель
нельзя использовать в тексте баннера приветствия.
Пример
В данном примере показан процесс настройки сообщения баннера приветствия. Символ «#» является
разделителем. Первый разделитель содержимого баннера и последний разделитель необходимо
ввести до первого нажатия клавиши Enter.
В данном примере показан процесс настройки сообщения баннера приветствия. Символ «#» является
разделителем. Только первый разделитель вводится до первого нажатия клавиши Enter.
5-3 prompt
Данная команда используется для настройки определенной командной строки. При использовании
формы no команда вернется в настройки по умолчанию.
Page 76
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
prompt STRING
no prompt
Параметры
STRING Строка для определения настраиваемой подсказки. Подсказка будет
основываться на определенных символах или следующих символах
управления. Пробел в строке игнорируется.
%h – шифрование имени сервера SNMP
%s – пробел
%% – шифрование символа %
По умолчанию
По умолчанию строка шифрует имя сервера SNMP.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет настроить подсказку командной строки. Если пользователь выберет
шифрование имени сервера SNMP в качестве подсказки, зашифрованы будут только первые 15
символов. Подсказка может отобразить только 15 символов. Символ уровня привилегии будет
отображаться последним символом подсказки.
Символы определяются по следующим правилам:
> – уровень пользователя
# – уровень привилегии пользователя
Пример
В данном примере показан процесс настройки подсказки «BRANCH A», используя учетную запись
администратора.
5-4 enable password
Данная команда позволяет включить ввод пароля для входа на различные уровни привилегии. При
использовании формы no команда вернет пароль к пустому значению.
enable password [level PRIVILEGE-LEVEL] [0 | 7 | 15] PASSWORD
no enable password [level PRIVILEGE-LEVEL]
Параметры
level PRIVILEGE-LEVEL (Опционально) Указывает уровень привилегии для пользователя. Диапазон
Page 77
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
доступных уровней привилегий от 1 до 15. Если это значение не введено,
или используется форма no, уровнем по умолчанию считается 15.
0 (Опционально) Пароль в обычном текстовом виде. Длина пароля может
составлять от 1 до 32 символов и содержать пробелы. Пароль
чувствителен к регистру. Если синтаксис пароля не указан, им будет
простой текст.
7 (Опционально) Зашифрованный пароль на основе SHA-1. Длина пароля
ограничена 35 байтами. Пароль чувствителен к регистру и зашифрован.
Если синтаксис пароля не указан, им будет простой текст.
15 (Опционально) Зашифрованный пароль на основе MD5. Длина пароля
ограничена 31 байтом. Пароль чувствителен к регистру и зашифрован.
Если синтаксис пароля не указан, им будет простой текст.
PASSWORD Пароль для пользователя.
По умолчанию
По умолчанию пароль не задан. Данная строка остается пустой.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Назначение пароля для входа на различные уровни привилегии. Каждый уровень имеет только один
пароль.
Пример
В данном примере показан процесс назначения пароля «MyEnablePassword» для уровня привилегии
15.
5-5 ip http server
Данная команда позволяет включить сервер HTTP. При использовании формы no команда отключит
сервер HTTP.
ip http server
no ip http server
Page 78
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
Нет
По умолчанию
По умолчанию данная опция включена.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет включить сервер HTTP. Интерфейс доступа HTTPS отдельно управляется
командами SSL.
Пример
В данном примере показан процесс включения сервера HTTP.
5-6 ip http secure-server
Данная команда позволяет включить сервер HTTPS. При использовании формы no команда отключит
сервер HTTPS.
ip http secure-server
no ip http secure-server
Параметры
Нет
По умолчанию
По умолчанию данная опция отключена.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Page 79
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Данная команда позволяет включить сервер HTTPS и использовать встроенный локальный
сертификат для HTTPS.
Пример
В данном примере показан процесс включения HTTPS-сервера.
5-7 ip http access-class
Данная команда позволяет указать список, которому необходимо ограничить доступ к HTTP-серверу.
При использовании формы no команда удалит список доступа из фильтра.
ip {http | https} access-class IP-ACL
no ip {http | https} access-class IP-ACL
Параметры
IP-ACL Стандартный список доступа IP-адресов. Поле адреса источника определяет
доверенный или недоверенный узел.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет указать список, которому необходимо ограничить доступ к HTTP-серверу.
Если указанный список доступа не существует, команда не будет выполнена, и ни один из списков
доступа не будет проверяться при доступе к HTTP.
Пример
В данном примере показан процесс создания стандартного списка доступа и назначение его для
доступа к HTTP-серверу. Доступ к серверу дается только узлу 226.1.1.1.
Page 80
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
5-8 ip http service-port
Данная команда позволяет указать порт HTTP. При использовании формы no команда вернется в
настройки по умолчанию.
ip http service-port TCP-PORT
no ip http service-port
Параметры
TCP-PORT Номер порта TCP. Диапазон портов TCP от 1 до 65535. Как правило, для
протокола HTTP назначается TCP-порт 80.
По умолчанию
По умолчанию используется порт 80.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет указать TCP-порт для сервера HTTP.
Пример
В данном примере показан процесс настройки TCP-порта 8080 для HTTP.
5-9 ip http timeout-policy idle
Данная команда позволяет задать значение тайм-аута для подключения к серверу HTTP. При
использовании формы no команда вернется в настройки по умолчанию.
ip http timeout-policy idle INT
no ip http timeout-policy idle
Параметры
INT Значение таймера в секундах. Допустимый диапазон от 60 до 36000.
По умолчанию
Page 81
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
По умолчанию значение составляет 180 секунд.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет задать значение тайм-аута для подключения к серверу HTTP.
Пример
В данном примере показан процесс настройки тайм-аута со значением 100 секунд.
5-10 ip telnet server
Данная команда используется для включения сервера Telnet. При использовании формы no команда
отключит сервер Telnet.
ip telnet server
no ip telnet server
Параметры
Нет
По умолчанию
По умолчанию данная опция включена
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для включения или отключения сервера Telnet. Интерфейс доступа
SSH отдельно управляется командами SSH.
Пример
В данном примере показан процесс включения сервера Telnet.
Page 82
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
5-11 ip telnet service port
Данная команда позволяет задать порт для Telnet. При использовании формы no команда вернется в
настройки по умолчанию.
ip telnet service-port TCP-PORT
no ip telnet service-port
Параметры
TCP-PORT Номер порта TCP. Диапазон портов TCP от 1 до 65535. Как правило, для
Telnet назначается TCP-порт 23.
По умолчанию
По умолчанию используется порт 23.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет указать TCP-порт для доступа к Telnet.
Пример
В данном примере показан процесс настройки сервисного порта 3000 для Telnet.
5-12 ip telnet source-interface
Данная команда позволяет задать IP-адрес интерфейса, который будет использоваться в качестве
адреса источника Telnet-пакетов при установке Telnet-соединения. При использовании формы no
команда вернется в настройки по умолчанию.
ip telnet source-interface INTERFACE-ID
no ip telnet source-interface
Page 83
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
INTERFACE-ID IP-адрес интерфейса, который будет использоваться в качестве адреса
источника пакетов при установке Telnet-соединения.
По умолчанию
По умолчанию используется IP-адрес ближайшего интерфейса.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет указать IP-адрес интерфейса, который будет использоваться в качестве
адреса пакетов при установке Telnet-соединения.
Пример
В данном примере показан процесс настройки VLAN 100 в качестве исходного интерфейса для Telnetпакетов для инициирования подключения по Telnet.
5-13 line
Данная команда позволяет идентифицировать тип сессии для конфигурации и войти в режим Line
Configuration Mode.
line {console | telnet | ssh}
Параметры
console Локальная консольная сессия терминала.
telnet Сессия терминала Telnet.
ssh Сессия терминала SSH.
По умолчанию
Нет
Режим ввода команды
Global Configuration Mode
Page 84
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда позволяет войти в режим Line Configuration Mode.
Пример
В данном примере показан процесс входа в режим Line Configuration Mode для сессии терминала SSH
и настройки класса доступа «vty-filter».
5-14 service password-recovery
Данная команда позволяет включить функцию восстановления пароля. При использовании формы no
команда отключит функцию восстановления пароля.
service password-recovery
no service password-recovery
Параметры
Нет
По умолчанию
По умолчанию данная опция включена.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Данная команда позволяет включить функцию восстановления пароля. Функция восстановления
пароля включена по умолчанию.
Пример
В данном примере показан процесс отключения функции восстановления пароля.
Page 85
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
5-15 service password-encryption
Данная команда используется для включения шифрования пароля перед сохранением в файле
конфигурации. При использовании формы no команда отключит шифрование.
service password-encryption [7 | 15]
no service password-encryption
Параметры
7 (Опционально) Пароль, зашифрованный на основе SHA-1.
15 (Опционально) Пароль, зашифрованный на основе MD5.
По умолчанию
По умолчанию данная опция включена.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Информация о конфигурации учетной записи пользователя хранится в текущем файле конфигурации
(running configuration) и может применяться позднее. Если включена команда service password-
encryption, пароль будет храниться в зашифрованном виде.
Если опция шифрования пароля отключена, а пароль указан в простой текстовой форме, он
сохранится в форме обычного текста. Но если пароль указан в зашифрованном виде, или пароль был
преобразован в зашифрованную форму командой service password-encryption, пароль будет
храниться в зашифрованном виде. Его нельзя будет перевести обратно в простую текстовую форму.
Данная команда применяется к паролю учетной записи пользователя, заданному паролю и паролю
аутентификации.
Пример
В данном примере показан процесс включения шифрования пароля перед сохранением в файле
конфигурации.
Page 86
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
5-16 show terminal
Данная команда используется для получения информации о настройках параметров конфигурации
терминала для текущей сессии терминала.
show terminal
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для получения информации о настройках терминала для текущей
сессии.
Пример
В данном примере показан процесс отображения информации о настройках терминала для текущей
сессии.
5-17 show ip http server
Данная команда используется для отображения информации о состоянии HTTP-сервера.
show ip http server
Параметры
Page 87
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения информации о состоянии HTTP-сервера.
Пример
В данном примере показан процесс отображения информации о состоянии HTTP-сервера.
5-18 show ip http secure-server
Данная команда используется для отображения информации о состоянии SSL.
show ip http secure-server
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения информации о состоянии SSL.
Пример
Page 88
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показан процесс отображения информации о состоянии SSL.
5-19 show users
Данная команда используется для отображения информации об активных сессиях на коммутаторе.
show users
Параметры
Нет
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения информации об активных сессиях на коммутаторе.
Пример
В данном примере показан процесс отображения информации обо всех сессиях.
Page 89
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
5-20 telnet
Данная команда позволяет подключиться к другому устройству с поддержкой Telnet.
telnet [IP-ADDRESS | IPV6-ADDRESS] [TCP-PORT]
Параметры
IP-ADDRESS IPv4-адрес узла.
IPV6-ADDRESS IPv6-адрес узла.
TCP-PORT Номер порта TCP. Диапазон портов TCP от 1 до 65535. Как правило,
для Telnet назначается TCP-порт 23.
По умолчанию
Нет
Режим ввода команды
User/Privileged EXEC Mode.
Уровень команды по умолчанию
Уровень 1.
Использование команды
Данная функция Telnet-клиента может быть использована для связи с другим устройством с помощью
Telnet.
ПО Telnet поддерживает особые команды в виде Telnet-последовательностей, которые преобразуют
стандартные функции управления терминалом в функции, специфические для системы. Для
выполнения Telnet-команды введите последовательность escape, а затем символ команды.
Последовательность escape по умолчанию CTRL+_ (нажмите и удерживайте CTRL, Shift и нижнее
подчеркивание). Специфические команды Telnet будут отображаться следующим образом:
е - отключение от Telnet. Для отключения сессии Telnet может использоваться как прописная, так и
строчная буква "e".
Если нажать другую клавишу, терминал вернется к изначально активной сесии Telnet.
На коммутаторе может быть открыто несколько Telnet-сессий, и каждая открытая Telnet-сессия может
поддерживать свое клиентское ПО Telnet-клиента одновременно.
Пример
В данном примере показан процесс подключения к IP-адресу 10.90.90.91 с помощью порта 23. IPадрес 10.90.90.91 является интерфейсом управления DGS-3130-30TS, позволяющим пользователю
войти в учетную запись.
Page 90
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
В данном примере показан процесс подключения по Telnet к IP-адресу 10.90.90.91 через порт 23, если
подключение не удалось. Попытаемся использовать порт 3500 для входа в интерфейс управления.
5-21 terminal length
Данная команда используется для настройки количества строк, отображаемых на экране. Команда
terminal length влияет только на текущую сессию. Команда terminal default length установит
значение по умолчанию, но не повлияет на текущую сессию. Созданный заново терминал будет
использовать значение по умолчанию. При использовании формы no команда вернет настройки по
умолчанию.
terminal length NUMBER
no terminal length
terminal length default NUMBER
no terminal length default
Параметры
NUMBER Количество строк, отображаемое на экране. Допустимы значения от
0 до 512. При значении 0 отображение не прекратится, пока не будет
достигнут конец отображаемого материала.
Page 91
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
По умолчанию
Значение по умолчанию – 24.
Режим ввода команды
User/Privileged EXEC Mode для команды terminal length
Global Configuration Mode для команды terminal length default
Уровень команды по умолчанию
Уровень 1 (для команды terminal length)
Уровень 12 (для команды terminal length default)
Использование команды
При значении 0 отображение не прекратится, пока не будет достигнут конец отображаемого
материала.
Если для terminal length указано значение, отличное от 0, например 50, то отображение будет
останавливаться после каждых 50 строк. Данная команда используется для настройки количества
строк, отображаемых на экране во время текущей сессии. Данная команда также применяется для
сессий Telnet и SSH. Доступны значения от 0 до 512. Значение по умолчанию – 24. При выборе 0
коммутатор будет прокручивать информацию автоматически, без пауз.
За выводом от одной команды, выходящей за границу дисплея, будет следовать подсказка –More–.
При появлении подсказки –More–, нажмите CTRL+C, q, Q или ESC, чтобы прервать вывод и
вернуться к подсказке. Нажмите пробел для отображения дополнительного экрана вывода или
нажмите Return для отображения еще одной строки вывода. При настройке длины экрана на 0
отключается функция прокручивания, из-за чего весь вывод экрана отображается сразу. Пока не будет
использовано ключевое слово default, изменения значения terminal length будут применяться только к
текущей сессии. При использовании формы no данной команды количество строк на экране
терминала сбрасывается на 24.
Команда terminal length default доступна в режиме глобальной конфигурации Global Configuration
Mode. Параметры команды не влияют на текущие сессии терминала, но будут влиять на сессии,
активированные позднее. Сохранить можно только значение длины терминала по умолчанию.
Пример
В данном примере показан процесс изменения количества строк на 60.
5-22 terminal speed
Данная команда используется для настройки скорости терминала. При использовании формы no
команда вернет настройки по умолчанию.
terminal speed BPS
no terminal speed
Параметры
Page 92
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
BPS Скорость консоли в бит/с.
По умолчанию
Значение по умолчанию – 115200.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для настройки скорости подключения терминала. Некоторые скорости
передачи данных, доступные на подключенных устройствах, не поддерживаются коммутатором.
Пример
В данном примере показан процесс изменения скорости последовательного порта на 9600 бит/с.
5-23 session-timeout
Данная команда позволяет задать значение тайм-аута сессии. При использовании формы no команда
вернет настройки по умолчанию.
session-timeout MINUTES
no session-timeout
Параметры
MINUTES Таум-аут в минутах. При использовании значения 0 тайм-аут не истекает
никогда.
По умолчанию
Значение по умолчанию – 3 минуты.
Режим ввода команды
Line Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Page 93
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Данная команда позволяет задать значение тайм-аута сессии, после которого произойдет
автоматический выход из учетной записи.
Пример
В данном примере задается такое значение, при котором тайм-аут не истекает никогда.
5-24 terminal width
Данная команда используется для настройки количества столбцов символов, отображаемых на
экране для текущей сессии. Команда terminal width влияет только на текущую сессию. Команда
terminal width default установит значение по умолчанию, но не повлияет на текущую сессию.
Созданный заново терминал будет использовать значение по умолчанию. При использовании формы
no команда вернется в настройки по умолчанию.
terminal width NUMBER
no terminal width
terminal width default NUMBER
no terminal width default
Параметры
NUMBER Количество символов, отображаемое на экране. Допустимы значения
от 40 до 255.
По умолчанию
Значение по умолчанию – 80.
Режим ввода команды
User/Privileged EXEC Mode для команды terminal width
Global Configuration Mode для команды terminal width default
Уровень команды по умолчанию
Уровень 1 (для команды terminal width)
Уровень 12 (для команды terminal width default)
Использование команды
По умолчанию ширина терминала составляет 80 символов. Команда terminal width позволяет
изменить ширину терминала и применяется только к текущей сессии. При использовании формы no
команда вернет значение по умолчанию, то есть 80 символов.
Команда terminal width default доступна в режиме глобальной конфигурации Global Configuration
Mode. Параметры команды не влияют на текущие сессии терминала, но они будут влиять на сессии,
активированные позднее. Сохранить можно только значение ширины терминала по умолчанию.
Page 94
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Но при удаленном доступе к сессии CLI, например, Telnet, ширина терминала автосогласования будет
иметь преимущество над настройками по умолчанию, если автосогласование будет успешным. В
противном случае применяться будут настройки по умолчанию.
Пример
В данном примере показан процесс изменения текущей ширины терминала на 120.
5-25 username
Данная команда позволяет создать учетную запись пользователя. При использовании формы no
команда удалит учетную запись пользователя.
username NAME [privilege LEVEL] [nopassword | password [0 | 7 | 15] PASSWORD]
no username [NAME]
Параметры
NAME Имя пользователя, максимум 32 символа.
privilege LEVEL (Опционально) Уровень привилегии для каждого пользователя. Диапазон
доступных уровней от 1 до 15.
nopassword (Опционально) Указывает, что к данной учетной записи не будет
применяться пароль.
password (Опционально) Указывает, что к данной учетной записи будет применяться
пароль.
0 (Опционально) Пароль в обычном текстовом виде. Длина пароля может
составлять от 1 до 32 символов и содержать пробелы. Пароль
чувствителен к регистру. Если синтаксис пароля не может быть указан, им
будет обычный текст.
7 (Опционально) Пароль, зашифрованный на основе SHA-1. Длина пароля
Page 95
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
ограничена 35 байтами. Пароль чувствителен к регистру. Пароль
зашифрован. Если синтаксис пароля не указан, им будет обычный текст.
15 (Опционально) Пароль, зашифрованный на основе MD5. Длина пароля
ограничена 31 байтом. Пароль чувствителен к регистру. Пароль
зашифрован. Если синтаксис пароля не указан, им будет обычный текст.
PASSWORD (Опционально) Пароль на основе одного из указанных выше параметров.
По умолчанию
По умолчанию используется система аутентификации без имени учетной записи.
Если не указано другое, используйте 1.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Данная команда позволяет создать учетную запись пользователя с различными уровнями доступа.
Если пользователь входит с уровнем 1, он будет в режиме User EXEC Mode, и ему будет необходимо
использовать команду enable для входа в режим Privileged EXEC Mode.
Если пользователь входит с уровнем 2 или выше, он сразу будет в режиме Privileged EXEC Mode. В
этом режиме находятся все уровни от 2 до 15.
Пользователь может указать пароль в зашифрованной форме, или в виде обычного текста. Если он в
виде обычного текста, но включена функция шифрования пароля, то пароль будет изменен на
зашифрованный.
При использовании команды no username без указания имени пользователя, удалятся все
пользователи.
По умолчанию учетная запись пользователя пустая. Если учетная запись пользователя пустая, ему
будет сразу назначен режим User EXEC Mode и уровень 1. Пользователь может дополнительно войти
в режим Privileged EXEC Mode с помощью команды enable.
Пример
В данном примере показан процесс создания учетной записи администратора с именем admin и
паролем «mypassword».
В данном примере показан процесс удаления учетной записи администратора с именем admin.
Page 96
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
5-26 password
Данная команда позволяет создать новый пароль. При использовании формы no команда удалит
пароль.
password [0 | 7 | 15] PASSWORD
no password
Параметры
0 (Опционально) Пароль в обычном текстовом виде. Длина пароля может
составлять от 1 до 32 символов и содержать пробелы. Пароль
чувствителен к регистру. Если синтаксис пароля не указан, им будет
обычный текст.
7 (Опционально) Пароль, зашифрованный на основе SHA-1. Длина пароля
ограничена 35 байтами. Пароль чувствителен к регистру. Пароль
зашифрован. Если синтаксис пароля не указан, им будет обычный текст.
15 (Опционально) Пароль, зашифрованный на основе MD5. Длина пароля
составляет 31 байт. Пароль чувствителен к регистру. Пароль зашифрован.
Если синтаксис пароля не указан, им будет обычный текст.
PASSWORD Пароль для пользователя.
По умолчанию
Нет
Режим ввода команды
Line Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Данная команда позволяет создать новый пароль для пользователя. Для каждого типа сессии может
использоваться только один пароль.
Пример
В данном примере показан процесс создания пароля для сессии консоли.
5-27 clear line
Данная команда используется для завершения сессии подключения.
clear line LINE-ID
Page 97
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Параметры
LINE-ID line ID сессии соединения, который необходимо отключить.
По умолчанию
Нет
Режим ввода команды
Privileged EXEC Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Данная команда позволяет отключить активную сессию коммутатора. line ID присваивается при
создании сессии подключения. Используйте команду show users для просмотра активных сессий.
Данная команда может отключить только сессии SSH и Telnet.
Пример
В данном примере показан процесс отключения сессии 1.
6. Команды предотвращения атак ARP Spoofing
6-1 ip arp spoofing-prevention
Команда используется для настройки записи ARP Spoofing Prevention (ASP), используемой для
предотвращения атак ARP. Используйте форму no, чтобы удалить запись ARP Spoofing Prevention.
ip arp spoofing-prevention GATEWAY-IP GATEWAY-MAC interface INTERFACE-ID [, | -]
no ip arp spoofing-prevention GATEWAY-IP [interface INTERFACE-ID [, | -] ]
Параметры
GATEWAY-IP IP-адрес шлюза.
GATEWAY-MAC MAC-адрес шлюза. Настройки MAC-адреса заменят последнюю
конфигурацию для того же IP-адреса шлюза.
INTERFACE-ID Интерфейс, который будет активирован или удален из числа активных
интерфейсов (при использовании формы no). Запись ARP не будет
проверяться, если принимающий порт не включен в указанный список
интерфейсов.
, (Опционально) Выделение серии интерфейсов или разделение группы
Page 98
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
интерфейсов от предыдущей. Пробелы до и после запятой
недопустимы.
- (Опционально) Укажите диапазон интерфейсов. Пробелы до и после
дефиса недопустимы.
По умолчанию
По умолчанию записей нет.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 12
Использование команды
Данная команда используется для настройки записи ARP Spoofing Prevention (ASP), чтобы
предотвратить спуфинг MAC-адреса защищенного шлюза. При создании записи, ARP-пакеты, у
которых IP-адрес их источника совпадает с IP-адресом шлюза, а MAC-адрес их источника не
совпадает c MAC-адресом шлюза, будут отбрасываться. ASP будет игнорировать ARP-пакеты, если
IP-адрес их источника не совпадает с настроенным IP-адресом шлюза.
Если адрес ARP совпадает с настроенным IP-адресом шлюза, МАС-адресом и списком портов, то
проверка Dynamic ARP Inspection (DAI) будет игнорироваться, независимо от того является ли порт
ARP 'trusted', или 'untrusted'.
Указать можно только физические порты.
Пример
В данном примере показан процесс настройки записи ARP Spoofing Prevention с IP-адресом
10.254.254.251 и МАС-адресом 00-00-00-11-11-11 для Ethernet-порта 1/0/1.
6-2 show ip arp spoofing-prevention
Данная команда используется для отображения настроек ARP Spoofing Prevention.
show ip arp spoofing-prevention
Параметры
Нет
По умолчанию
Нет
Page 99
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
Режим ввода команды
User EXEC Mode
Любой режим конфигурации
Уровень команды по умолчанию
Уровень 1
Использование команды
Данная команда используется для отображения всех записей ARP Spoofing Prevention.
Пример
В данном примере показано, как включить отображение всех записей ARP Spoofing Prevention.
Отображаемые параметры
IP IP-адрес шлюза.
MAC МАС-адрес шлюза.
Interfaces Интерфейсы, на которых активна функция предотвращения атак ARP
Spoofing.
7. Команды Authentication, Authorization и Accounting (AAA)
7-1 aaa accounting commands
Данная команда используется для настройки списка методов ведения учета, используемого для всех
команд на указанном уровне прав доступа. Используйте форму no для удаления списка методов
ведения учета.
aaa accounting commands LEVEL {default | LIST-NAME} start-stop METHOD1 [METHOD2...]
no aaa accounting commands LEVEL {default | LIST-NAME}
Параметры
Page 100
DGS-3130 Руководство пользователя (CLI) для управляемого стекируемого коммутатора 3 уровня
LEVEL Указывает выполнять учет для всех команд configure на указанном
уровне прав доступа. Допустимые уровни привилегий прав доступа: от
1 до 15.
default Указывает на настройку списка методов по умолчанию для ведения
учета.
LIST-NAME Имя списка методов. Длина имени не должна превышать 32 символов.
METHOD1 [METHOD2...] Укажите список методов, которые необходимо выполнить алгоритму
ведения учета в данной последовательности. Введите от одного до
четырех методов. Ниже приведены ключевые слова, которые могут
использоваться для указания метода.
group tacacs+ – указывает на использование серверов, определенных
командой TACACS+ server host.
group GROUP-NAME – указывает на использование групп серверов,
определенных командой aaa group server tacacs+.
none – не выполнять ведение учета.
По умолчанию
Метод ведения учета AAA не настроен.
Режим ввода команды
Global Configuration Mode
Уровень команды по умолчанию
Уровень 15
Использование команды
Используйте данную команду для настройки списка методов для ведения учета команд.
Пример
В данном примере показано, как создать список методов для ведения учета уровня прав доступа 15,
используя TACACS+, который будет отправлять accounting-сообщения в начальное и конечное время
доступа.
7-2 aaa accounting exec
Данная команда используется для настройки списка методов, используемого для ведения учета EXEC
для конкретной линии. Используйте форму no для отключения ведения учета EXEC.
aaa accounting exec {default | LIST-NAME} start-stop METHOD1 [METHOD2...]
no aaa accounting exec {default | LIST-NAME}
Параметры
default Указывает на настройку списка методов по умолчанию для ведения
учета EXEC.
Loading...