第二层以太网可管理交换机
SR316 16 端口 10/100 第二层以太网可管理交换机
SR324 24 端口10/100 第二层以太网可管理交换机
SR3016 16 端口 + 2miniGBIC 第二层以太网千兆位可管理交换机
SR3024 24 端口 + 2miniGBIC 第二层以太网千兆位可管理交换机
Web-based Interface
用户手册
V 1.00
ii
目 录
1: 介绍 .............................................................................................................................. 1
1.1 组件内容 ............................................................................................................... 1
1.2 怎么使用本手册 .................................................................................................... 1
2: 安装 .............................................................................................................................. 3
2.1 产品描述 ............................................................................................................... 3
2.1.1 概述 ............................................................................................................ 3
2.1.2 SR316/SR324 的特性................................................................................ 3
2.1.3 SR3016/SR3024 的特性............................................................................ 4
2.1.4 SR316/SR324 的面板................................................................................ 5
2.1.5 SR3016/SR3024 的面板............................................................................ 6
2.1.6 指示灯 ....................................................................................................... 7
2.1.7 选配的插入模块 ........................................................................................ 9
2.1.8 背板 ......................................................................................................... 10
2.2 架设交换机 ........................................................................................................ 10
2.2.1 安装前考虑 .............................................................................................. 10
2.2.2 置于桌上或安装于柜中 ............................................................................ 11
2.2.3 安装于设备架上 ...................................................................................... 11
2.2.4 开机自我测试 (POST).............................................................................. 12
3:配置 .............................................................................................................................. 13
3.1 配置管理的概要 .................................................................................................. 13
3.1.1 管理控制台 ............................................................................................... 14
3.1.2 直接存取 .................................................................................................. 14
3.2 互联网管理 ........................................................................................................ 15
3.3 基于 SNMP 的网络管理 ..................................................................................... 15
3.4
协议.................................................................................................................... 15
3.4.1 虚拟终端协议 ........................................................................................... 15
3.4.2 SNMP 协议.............................................................................................. 15
3.4.3 管理架构 .................................................................................................. 16
4: 命令行界面控制台管理............................................................................................... 17
4.1 登录到交换机 ..................................................................................................... 17
4.2 CLI 命令 ............................................................................................................. 17
5. 基于互联网浏览器的管理 ........................................................................................... 18
5.1 登录到交换机 ..................................................................................................... 18
5.2 了解浏览器界面 .................................................................................................. 20
5.3 观察系统信息 ..................................................................................................... 21
5.3.1 系统描述 (System Description)............................................................. 22
i
5.3.2 系统模式 (System Mode)........................................................................ 23
5.3.3 转发数据库 (Forwarding Database) ...................................................... 24
5.3.4 多播转发数据库 (Multicast Forwarding Database) .............................. 25
5.4 设置 IP 地址配置 ................................................................................................ 26
5.4.1 设置 IP 地址配置 (IP Address)................................................................. 26
5.4.2 ARP 表 (ARP Table) ................................................................................ 27
5.5 设置交换机配置 .................................................................................................. 28
5.5.1 端口配置 .................................................................................................. 29
5.5.2 VLAN 配置............................................................................................... 31
5.5.3 设置 VLAN 端口 ...................................................................................... 33
5.5.4 生成树配置............................................................................................ 35
5.5.5 生成树端口配置..................................................................................... 38
5.5.5 生成树端口配置..................................................................................... 38
5.5.6 LA 配置 (Link Aggregation Configuration) ........................................ 40
5.5.7 端口监测 .................................................................................................. 42
5.5.8 GARP 配置 .............................................................................................. 43
5.5.8 GARP 配置 .............................................................................................. 43
5.5.9 IGMP 窥探 (IGMP Snooping).................................................................. 45
5.6 服务质量 (QoS) .................................................................................................. 46
5.6.1 Diffserv 配置........................................................................................... 47
5.6.2 Diffserv Class Configuration................................................................ 48
5.6.3 Diffserv 策略配置.................................................................................... 62
5.6.4 Diffserv Service ..................................................................................... 69
5.6.5 带宽限制 ................................................................................................. 71
5.7 安全配置 ............................................................................................................. 73
5.7.1 存取控制 ACL.......................................................................................... 74
5.7.2 MAC 地址锁定 ...................................................................................... 78
5.7.3 802.1X 用户 .......................................................................................... 79
5.7.4 802.1X 端口配置 ................................................................................... 81
5.7.5 RADIUS 服务器 .................................................................................... 84
5.7.6 RADIUS 配置 ........................................................................................ 86
5.8 管理 ................................................................................................................... 88
5.8.1 用户帐号 ................................................................................................. 89
5.8.2 认证表列 ................................................................................................. 91
5.8.4 SNMP Community 配置 ......................................................................... 93
5.8.5 Trap 接收 .............................................................................................. 95
5.8.6 Trap 标记 .............................................................................................. 97
5.9 统计 .................................................................................................................... 98
ii
5.9 统计 .................................................................................................................... 98
5.9.1 交换机详细 ............................................................................................... 99
5.9.2 交换机摘要 ............................................................................................. 101
5.9.2 交换机摘要 ............................................................................................. 101
5.9.3 端口详细 ................................................................................................ 102
5.9.4 端口摘要 ................................................................................................ 106
5.9.5 LA 摘要.................................................................................................. 107
5.10 纪录 ................................................................................................................ 108
5.10.1 信息纪录 .............................................................................................. 109
5.10.2 事件纪录 .............................................................................................. 110
5.11 维护 .................................................................................................................111
5.11.1 网络连通性 ........................................................................................... 112
5.11.2 Telnet................................................................................................... 113
5.11.3 串口 ...................................................................................................... 114
5.11.4 TFTP.................................................................................................... 115
5.11.5 重置 ...................................................................................................... 116
5.11.6 Ping..................................................................................................... 117
5.11.6 Ping..................................................................................................... 117
iii
The information in this guide may change without notice. The manufacturer assumes no
responsibility for any errors which may appear in this guide.
Ethernet is a trademark of XEROX Corporation. Microsoft, Windows and Windows logo
are trademarks of Microsoft Corporation.
Copyright 2002. All right reserved. No Part of the contents of this guide may be
transmitted or reproduced in any form or by any means without the written permission of
us. Printed in Taiwan.
The revision date for this guide is Feb. 20
th
, 2004
Version 1.0b
FCC Statement
This product has been tested and found to comply with the limits for a Class A digital
device pursuant to Part 15 of FCC Rules. These limits are designed to provide
reasonable protection against such interference when operating in a commercial
environment. This equipment generates, uses and can radiate radio frequency energy,
and if not installed and used according to the instructions, may cause harmful
interference to radio communications.
Operation of this equipment in a residential area is likely to cause interference in which
case the user, at his or her own expense will be required to take whatever measures
may be required to correct the interference.
CE Mark Warning
This is a Class A product. In a domestic environment, this product may cause radio
interference in which case the user may be required to take adequate measures.
iv
1: 介绍
本使用手册适用于下列各型千兆位以太网可管理交换机:
SR316
SR324
SR3016
SR3024
若无特别指定型号则泛指上列所有交换机.在这个使用手册全文中, 可管理交换机或交换
机皆指此千兆位以太网可管理交换机。
本千兆位以太网可管理交换机被设计为第二层交换机,提供了管理上统治能力和多个端口。
严密地遵守网络标准, 本千兆位以太网可管理交换机容易地适合您的网络布局,且能经由
控制台和互联网浏览器执行它的可管理功能。
1.1 组件内容
包含以下:
一个千兆位以太网可管理交换机
一条电源线
安装托架
一串行 /控制台电缆
CD - 使用手册
任何所列项目若有是缺损, 请与购买处联系。
1.2 怎么使用本手册
本使用手册的构造如下:
第2章,
第3章,
安装
说明本交换机功能及如何进行实际架设.
配置
说明如何设定及修改本交换机的配置.
1
第4章,
第5章,
命令行界面控制台管理
基于互联网的管理
说明如何通过互联网浏览器管理本交换机.
2
2: 安装
这个章节描述可管理交换机的功能和显示如何在安装桌上或架子上。读者应具备连网的基本知
识,请先完全阅读了这个章节。
2.1 产品描述
2.1.1 概述
SR3xxx 系列千兆位以太网可管理交换机具有强大网络可管理功能和弹性连接组合的第二层交
换机。
SR316 具有 16 个 10/100 Mbps 端口和两个可选用的千兆位 Combo 模块,SR324 具有 16 个 10/100
Mbps 端口和两个可选用的千兆位 Combo 端口。此千兆位 Combo 端口具有一个 10/100/1000 Mbps
端口和一个 miniGBIC 插槽。
SR3016 具有 16 个 10/100/1000 Mbps 端口和两个可选用 miniGBI 的插槽,SR3024 具有 24 个
10/100/1000 Mbps 端口和两个可选用 miniGBI 的插槽。
严密地遵守网络标准,本交换机能容易地适合您的网络布局及管理工作,且能经由控制台和互
联网浏览器执行管理功能, 多样化的管理途径窗户和易于使用的界面,如控制台,远程登录程序,
和互联网,有利于管理人的工作, 把管理的开销减至最小量。
2.1.2 SR316/SR324 的特性
16/24 个 10/100 自适应端口及两个可共享的千兆位 Combo 端口
所有的 10BASE-T/100BASE-TX/1000BASE-TX 端口皆支持半双工及全双工模式
所有的端口自动侦测 MDI/MDI-X 及所有的 100/1000 端口。
自动极性侦测和允许纠正所有 RJ-45 端口为联机错误的自动调整。
每一个 egress 端口支援达四个 Class of Service (CoS)队列。
实行两种机制 ,cell-based HOL blocking 及 packet-based HOL blocking, 以防止 Head Of
Line Blocking 于每一个端口为基础。
支援一种分封 aging 机制它允许交换机放弃一个存于交换机分封存储器。此分封 aging
限制为可编程和有大约 515 秒中的最大时间持续时间。
支持机制以处理 backpressure 而可以弹性流量控制于分封交易,此限制基于侦测到在输入
端口存储器利用的数量,此限制为可设定。
提供可编程临限限制以防止分封溢出到网络的其它部分. 三种类型的分封能够监控且每
3
一种类型分封都各有计数器。
支持对每一端口的入口和出口的端口镜像。
完全符合 IEEE 802.1D 生成树规范。
支持 IEEE 802.1s 规范之单一端口多生成树。
支持 IEEE 802.1p 规范。
支持 IEEE 802.1Q 规范之虚拟桥接区域性网络。
提供相同的速度的最多达八个端口能组成一个集群的机制, 最多能建立六个集群。
支持包含式及不包含式过滤针对分封的协议做过滤和分类。
可利用 Console, Telnet, Web, SNMP/RMON 管理。
2.1.3 SR3016/SR3024 的特性
16/24 10BASE-T/100BASE-TX/1000BASE-TX 端口及两个共享的 Mini-GBIC 插槽。
所有的 10BASE-T/100BASE-TX/1000BASE-TX 端口皆支持半双工及全双工模式。
所有的 100/1000 绞式端口自动侦测 MDI/MDI-X。
自动极性侦测和允许纠正所有 RJ-45 端口为联机错误的自动调整。
每一个 egress 端口支援达八个 Class of Service (CoS)队列于。
实行两种机制,cell-based HOL blocking 及 packet-based HOL blocking, 以防止
Head Of Line Blocking 于每一个端口为基础上。
支援一种分封老化机制它允许交换机丢弃一个存于交换机分封存储器的包。此分封老
化限制为可控制
支持机制以处理 backpressure 而可以弹性流量控制于分封交易,此限制基于侦测到在
输入端口存储器利用的数量,此限制为可编程。
- 支持 IEEE 802.3x 流量控制全双工端口
-半双工端口支持干扰机制
- IEEE 802.3z 非对称流量控制
提供可控制临限限制以防止分封溢出到网络的其它部分,能够监控三种类型的分封且
每一种类型分封都各有计数器。
支持对每一端口的入口和出口的端口镜像。
完全符合 IEEE 802.1D 生成树规范。
支持 IEEE 802.1s 规范之单一端口多生成树。
支持 IEEE 802.1p 规范。
支持 IEEE 802.1Q 规范于虚拟桥接区域性网络。
- 4,096 虚拟桥接区域性网络(VLAN) 群.
- 独立 VLAN 学习(IVL).
提供相同的速度的最多达八个端口能组成一个集群的机制, 最多能建立 32 个集群。
4
支持包含式及不包含式过滤针对分封的协定做过滤和分类。
支援长达 9-KB 巨型帧分封
流量定形及量测能力
Loss-less 模式于零分封遗失应用
支持快速生成树
可利用 Console, Telnet, Web, SNMP/RMON 管理。
2.1.4 SR316/SR324 的面板
此交换机的面板在中央位置具有 16/24 个 10/100 Mbps 端口,左方为端口状态指示灯,右方为千
兆位端口,如图 2-1/2-2 所示.表格 2-1 显示端口功能, 状态指示灯的功能将在 2.1.6 节说明。
用于选配插槽的插入模块将在 2.1.7 节说明。
图 2-1 SR316 的面板
状态指示灯
10/100 RJ-45 端口 选配插槽
系统指示灯
控制台端口
图 2-2 SR324 的面板
状态指示灯
10/100 RJ-45 端口 选配插槽
系统指示灯
控制台端口
表 2-1 端口功能
端口 端口数量 说明
控制台
10/100
1
16/24
让你用 pc 的 RS232 端口来设定此交换机
这些 RJ-45 端口支持网络速度为 10Mbps 或 100 Mbps 可在半双工
或全双工模式操作
5
2.1.5 SR3016/SR3024 的面板
此交换机的面板在中央位置具有 16/24 个 10/100/1000 Mbps 端口,左方为端口状态指示灯,右
方为两个 miniGBIC 插槽,如图 2-3/2-4 所示.表格 2-2 显示端口功能, 状态指示灯的功能将
在.2.1.6 节说明。
图 2-3 SR3016 的面板
状态指示灯
10/100/1000 RJ-45 端口 控制台端口
系统指示灯
MiniGBIC 插槽
图 2-4 SR3024 的面板
状态指示灯
系统指示灯 MiniGBIC插槽
10/100/1000 RJ-45 端口 控制台端口
表 2-2 端口功能
端口 端口数量 说明
控制台
10/100/1000
miniGIBIC
1
16/24
2
让你用 pc 的 RS232 端口来设定此交换机
这些 RJ-45 端口支持网络速度为 10, 100 or 1000 Mbps 可在半双
工或全双工模式操作
两个 miniGBI 的插槽用于各种光纤连接 端口
6
2.1.6 指示灯
位于面版最左为一系统指示灯,每一端口各有一个状态指示灯,如图 2-5,2-6, 2-7,2-8 所示。表格
2-3 说明指示灯的功能。
表 2-3 指示灯的说明
指示灯 颜色 功能
系统 绿色
端口状态指示灯 绿色
恒亮
表示电源正常且系统正常运作中
恒亮
表示此端口已经与另一端口正常 连接
闪烁
表示此端口正在进行数据传输中
图 2-5 SR316 的指示灯
10/100端口状态指示灯 千兆位端口指示灯
系统指示灯
图 2-6 SR324 的指示灯
10/100端口状态指示灯 千兆位端口指示灯
系统指示灯
7
图 2-7 SR3016 的指示灯
10/100/1000 端口状态指示灯
系统指示灯
图 2-8 SR3024 的指示灯
10/100/1000 端口状态指示灯
系统指示灯
8
2.1.7 选配的插入模块
共有四种插入模块用于 SR316/SR32 交换机,如图 2-9 所示。 插入模块的端口说明如下列表格。
图 2-9 选配的插入模块
表2-4
选配的插入模块
Gigabit Combos 2
Gigabit Combo &
类型
端口数目 说明
100 FX 1
2-100 FX 2
2
100FX
一个100 FX 光纤端口
两个100 FX 光纤端口
两个SFP 端口共享GTP 端口给不同的光纤接头
一个 SFP 端口共享GTP 端口给不同的光纤接头与一个
100FX fiber 端口
9
2.1.8 背板
背版如图 2-10 所示有一电源插槽。
图 2-10 SR316/SR324/SR3026/SR3024 的背板
电源插槽
2.2 架设交换机
此交换机被设计用于办工室使用,可任意放置, 或置于桌面上,或装置于19英寸设备架上.如果
你愿意可用所附的两个托座及六个螺钉将其架设在设备架上或设备间中.
在选择架设位置时,请观察下列指导方针:
z 确定交换机可以接近及电缆容易连接
z 与电气噪声来源保持距离, 如无线电,传送器, 宽频放大器及荧光灯配件
z 将交换机置于干燥之处且防止水进入
z 确保交换机四周无障碍物阻碍空气流通. 我们建议你保留最少50毫米的空间.
z 不要放置液体或其它东西于交换机上
z 如果交换机任意放置不要堆栈多于四个再任一个交换机上.
2.2.1 安装前考虑
快速以太网拓扑考虑
如果你将把这交换机以快速以太网(100Mbps)运作, 遵循下面的方针:
z 无屏蔽双绞式(UTP)五类电缆的最大长度为100米(328英尺) .
z 单中继器拓扑容许网络跨度总长为325米(1066英尺).
全双工考虑
此交换机提供全双工于所有以快速以太端口. 全双工运作容许数据帧同时发送与接收以加倍
10
吞吐量. 如果你使用本交换机于全双工模式,五类电缆的最大长度为100米(328英尺).
2.2.2 置于桌上或安装于柜中
简单地完成以下步骤即可安装此交换机于桌上或安装于柜中:
步骤 1 放置交换机于接近 AC 电源处.
步骤 2 交换机与四周物品保持适当距离.
步骤 3 把这个交换机连接在网络设备上
A. 把标准的网络电缆的一个末端连接在交换机前面的 10 / 100 端口上个。
B. 把电缆的另一个末端连接在例如服务器, 工作站或路由器的网络设备上。
注: 强烈建议使用 RJ-45 接头的五类网络电缆
步骤 4 给交换机连接电源.
A. 电源电缆的一个末端连接在交换机.
B. 电源电缆的另一个末端连接在标准的墙上插座.
系统运作后系统指示灯应保持绿色恒亮.
2.2.3 安装于设备架上
以下步骤说明如何将交换机安装在19英寸设备架上.
z 将交换机所有电缆移除
z 把所有胶黏衬垫从交换机的底部移除
步骤 1 将交换机正确朝上,前面板朝你.
步骤 2 托座对准交换机一边的安置孔
步骤 3 插入三个螺钉并用螺丝起子旋紧.
步骤 4 重复前两步骤于交换机的另一边
步骤 5 将交换机放入19英寸设备架上并适当地旋紧. 确定交换机的通气孔无阻碍.
步骤 6 将网络电缆与电源电缆连接到交换机.
11
图 2-11 将交换机安装在19英寸设备架上
2.2.4 开机自我测试 (POST)
当你启动交换机电源它将执行开机自我测试. 在自我测试时, 交换机的CPU:
z 执行一连串的诊断步骤以确定基本系统运作正常 .
z 将交换机的主软件由快闪式存储器解压缩到动态随机存取存储器.
z 开始执行交换机的主软件B.
12
3: 配置
这个章节说明配置管理交换机的方法。它描述管理应用系统和通信的类型和在您的管理设
备(工作站或个人计算机)与系统之间提供数据的管理协议。它并且包含关于端口连接选择
的信息。
这个章节包括以下题目:
配置管理的概要
关键概念
实施关键指南为
使用控制台管理
使用互联网管理
使用 SNMP 管理
标准、协议 , 和相关阅读
3.1 配置管理的概要
此交换机使用以下任何或所有方法让您灵活地管理交换机:
管理控制台
浏览器界面
一种外在的基于 SNMP 的网络管理应用系统
管理控制台和浏览器界面支持的应用系统被嵌入在交换机的软件中,是可直接使用的。每
个这些管理方法有他们自己的好处。表 3-1 比较三个管理方法。
表 3-1 三个管理方法比较
管理方法 优点 不足点:
控制台
z 没有IP 地址或者subnet
的需要
z Text-based
z 安全
z Hyper 终端访问全部的
功能性(Hyper 终端已经
构筑进了Microsoft
Windows
95/98/NT/2000操作系
z 必须靠近交换机或者dial-up 连
接
z 不便于远程使用
z 非图形界面
13
统
Web浏览器
或者远程登
录
z 对于远程配置交换机是
十分理想的
z 熟悉的浏览器界面
z 可利用图形似的数据
z 最真实的要求
z 在管理信息基础层上具
有通信和交换的功能
z 建立在开放式标准之上 .
z 没有安全保障 (计算机黑客如果
知道你的IP 地址的话就可以进
行攻击)
z 在连接质量差的线路上可能会
有延迟.
z 需要 SNMP管理软件
z 所有三个方法中在视觉上的最
差
SNMP代理
z 一些设置需要考虑
z 没有安全保障 (黑客只需要知道
团体名就可以)
3.1.1 管理控制台
管理控制台是一种以内部的,基于字符的,及命令行的用户界面为进行系统管理,譬如显示
统计或改变选择设置。运用这个方法, 您能由个人计算机、苹果计算机公司的 Macintosh,
或工作站连接到交换机的控制台(串行)端口查看及管理交换机。
有二种方式使用这个管理方法: 经由直接电缆连接或调制解调器端口连接。以下部分描述
这些方法。对于关于使用控制台的更多信息, 参见章节 4 命令行界面控制台管理。
3.1.2 直接存取
直接电缆连接对管理控制台是以直接连接终端机或具有终端仿真程序(譬如 HyperTerminal)
的个人计算机到交换机控制台(串行)端口来达到目的.
要使用这个管理方法, 必需连接一个无效调制解调器在交换机与个人计算机之间。在建立
这个连接以后, 配置终端仿真程序使用以下参数:
缺省参数是:
z 115,200 bps
z 8 data bits
z No parity
z 1 stop bit
如果需要改变这些设置,可在您登录之后。这个管理方法因为您能在系统重起期间保持连接
和监测系统,故较为使用者喜接受。而且不管此界面相关的动作刚被启动, 某些错误信息便
会寄发到此串行端口。Macintosh 或个人计算机联机可能使用任一个终端仿真程序以连接
到终端串行端口。一个工作站附件在 UNIX 之下可能使用一个仿真器譬如 TIP 。
14
3.2 互联网管理
此交换机提供一个浏览器界面让您远程地配置和管理交换机。在设定交换机的 IP 地址以后,
在您的浏览器输入交换机的 IP 地址而直接地能使用交换机的界面应用程序。然后从一个
中央地点你可用浏览和管理交换机配置参数, 好象您直接地连到交换机的控制台端口。对
于更多信息, 参见章节 5, 浏览器管理。
互联网管理必需使用 Microsoft Internet Explorer 4.01 版本或以后版本或 Netscape
Navigator 4.03 版本或以后版本。
3.3 基于 SNMP 的网络管理
您能使用一种外在基于 SNMP 程序以配置和管理此交换机。这个管理方法要求在交换机此
SNMP 代理和 SNMP 网络管理工作站使用相同群社字符串。实际上这个管理方法, 使用
二种群社字符串: 获取群社字符串和设定群社字符串。如果 SNMP 网络管理工作站只知道
设定群社字符串, 它可能给 MIBs 读和写。但是, 如果它只知道得到获取群社字符串, 它可
能只读 MIBs 。此交换机缺省的获取和设定群社字符串为是 public。
3.4 协议
交换机支持以下协议:
虚拟终端协议 , 譬如 Te ln et
简单网络管理协议(SNMP)
3.4.1 虚拟终端协议
一个虚拟终端协议是一个软件程序, 譬如 Telnet, 允许您从 Macintosh 、个人计算机, 或
UNIX 工作站建立管理会话。由于 Te l ne t 在 TCP/IP 上执行, 在建立以一个虚拟终端协议
对它配置之前您必会话须有至少一个 IP 地址被配置给交换机。
注意 :Terminal 仿真与一个虚拟终端协议不同,您必须直接地连接终端到控制台(串行) 端
口。
3.4.2 SNMP 协议
15
简单网络管理协议(SNMP) 是于多制造商 IP 网络的标准管理协议。SNMP 支持交易为基
查询它允许协议将信息格式化和在报告设备与数据收集传编程间送信息。SNMP 在用户数
据报协议(UDP)上层执行, 提供无连接模式服务。
3.4.3 管理架构
所有管理应用程序模块使用同样应用编程界面(MAPI) 。利用简单的 MAP 将管理方法统一,
以一种方法(例如控制台端口)设定参数可立即在其它管理方法(例如, 浏览器的 SNMP 代理)
中显示 。
此交换机的管理结构遵守 IEEE 开放标准。这种遵循给顾客保证了此交换机与其它遵守同
样开放标准的设备兼容且互连。
16
4: 命令行界面控制台管理
此交换机为配置而提供一个命令行控制台界面。此交换机可经由它的 RS-232 端口(无效调
制解调器模式)在当本地配置或者由远程通过 Te l ne t 对话配置。这个章节描述怎么使用控
制台命令行界面配置交换机。
4.1 登录到交换机
登录到此交换机:
输入控制台界面工厂缺省用户名字”admin”与工厂缺省口令”” (或如果您改变了工厂缺省口
令输入一个用户定义的口令) 。交换机管理屏幕在 figure 4-1 出现。
图 4-1
4.2 CLI 命令
所有CLI 命令请参照CLI User Guide.
17
5. 基于互联网浏览器的管理
此交换机提供基于互联网的浏览器界面配置和管理交换机。此界面允许你使用你的 Web
界面访问交换机。此章节描述怎么使用浏览器界面配置和管理交换机。
5.1 登录到交换机
登录到此交换机:
1. 在你的浏览器 url 栏指定交换机的 IP 地址。系统第一页将出现如图 5-1 所示画面。
图 5-1 系统第一页
18
1. 点击第一页的图标即弹出密码信息窗口,如图 5-1, 输入工厂缺省用户名称 admin 或
从 Login ID 下拉列表点击一个用户名称。
图 5-2 密码信息视窗
2. 如果你改变了工厂缺省密码,密码栏在输入用户定义的密码(或输入工厂缺省密码, 工
厂缺省密码是空) 。
3. 点击注册按钮。交换机的系统信息在图 5-3 出现。
图 5-3 系统信息屏幕
19
5.2 了解浏览器界面
当你首先存取交换机浏览器界面, 交换机的图标出现, 与系统信息一起(参见图 5-3) 。
交换机图标提供以下标签选项为用以配置和管理交换机。
系统信息---让你查看交换机的基本的信息譬如系统说明、系统方式,和转发数据库。
参见章节 5.3’观察系统信息’。
IP配置---让你查看交换机的IP地址和ARP表信息。参见章节5.4’观察IP配置’。
Switch配置---让你改变端口配置、VLAN 、PVID, 链路聚集, 端口检测, GARP设置, 和
IGMP侦测 设置。参见章节5.5 ’ 设定的交换机配置’ 。
QoS---让你指定服务质量参数。在QoS 有二组命令, 一组是区分服务 (DiffServ) 另
一组是带宽分配(BAP) 。DiffServ的参数为包括类命令、策略命令, 和服务命令。BAP
的参数包括一些命令设置流量等级。参见章节5.6 ‘执行服务质量参数’。
安全---让你执行访问控制列表、802.1X访问控制设置, 和RADIUS认证。参见章节5.7 ’
安全’。
管理---让你执行用户帐号、SNMP群和trap配置设置。参见章节5.8 ’管理 ’。
统计---让你查看交换机信息摘要、端口统计, 和链路群的信息。参见章节5.9 ’统计 ’。
记录---让你查看交换机的系统记录。包括信息记录和事件记录。参见章节5.10 ’记录 ’。
维护---让你执行交换机安装,包括网络连通性、Telnet,串行端口配置、TFTP、系统重
新设置,和ping命令。参见章节5.11’维护’。
帮助---当你设置你的系统有障碍时让你查看帮助信息。
每页上面是交换机的指示灯面板。指示灯面板显示各个端口的状态。你可以移动鼠标到各
端口的指示灯,由下拉菜单来选择该端口的特定的信息。
20
5.3 观察系统信息
指向指示灯面板之下的菜单选项,点击标签’系统信息’,将出现以下屏幕.
图 5-4 系统信息屏幕
此屏幕显示各个端口的当前状态表。它包含以下信息:
系统描述 - 展示或让你配置系统的基本信息。参见章节 5.3.1 ’系统描述 ’。
系统模式 - 展示或让你配置系统的基本配置。参见章节 5.3.2 ’系统模式 ’。
转发数据库 - 让你设定 MAC 表的老化间隔及展示 MAC 表。参见章节 5.3.3 ’转发数
据库’。
多播转发数据库 -展示多播转发数据库及让你定义多播转发的 MAC 地址。参见章节
5.3.4 ’多播转发数据库 ’。
21
5.3.1 系统描述(System Description)
图 5-5 系统信息屏幕
参数如下
型号-显示此交换机的产品型号 .
系统名称-显示及设定此交换机的名称,一般由 31 个字母数字组成.工厂缺省值是空
的.
系统位置-显示及设定此交换机的位置,一般由 31 个字母数字组成.工厂缺省值是空
的.
系统联系者-显示及设定此交换机的管理人,一般由 31 个字母数字组成.工厂缺省值
是空的.
IP 地址-显示指派给交换机的 IP 地址 .
系统对象 ID-显示此交换机的企业 MIB 的基本对象 ID.
系统在线时间-显示从交换机重新激活到现在的时间,以日,时和分计时.
基本 MAC 地址-显示此交换机的 MAC 地址.
硬件版本-显示此交换机的硬件版本.
软件版本-显示此交换机的软件版本.
22
5.3.2 系统模式(System Mode)
图 5-6 系统模式屏幕
广播风暴修复模式-此栏位开启或关闭广播风暴修复模式.如果是enabled, 达到高临限
及低临限广播风暴修复便被施行.
临限的施行是根据一个百分比形式. 如果广播流量在任一以太网端口超过链接速度的高临
限百分比(如表5-1所示)时, 此交换机丢弃这些广播流量直到广播流量回到或低于低临限
百分比.完整的施行被描述在’ 广播风暴修复临限表’ .
表 5-1 广播风暴修复临限
链接速度 高
低
10M 20 10
100M 5 2
1000M 5 2
802.3x 信息流控制---此栏位开启或关闭此交换机的802.3x 信息流控制.此命令只用在全双
工端口,工厂缺省值是 disabled.
BPDU 保护---此栏位开启或关闭BPDU 保护模式.
23
5.3.3 转发数据库(Forwarding Database)
图 5-7 Forwarding Database 屏幕
老化间隔 —此栏位配置转发数据库地址老化的时间.缺省值是 300 秒.
转发数据库表 —此表显示所有端口的所学的信息。这些信息包括
VLAN ID –此端口的 VLAN ID, 在此处学得到那些对应事例.
MAC 地址 –交换机已转发或过滤信息的 MAC 地址.格式是由冒号分开的 6 个二位十六
进制数, 例如 01:23:45:67:89:AB.
端口–学到此地址的端口.
ifIndex –此端口所属的接口.
状态 – 此列项目的状态.其值意思为:
Static 此对应的事例的值由系统或用户增加,无法重学.
Learned 此对应的事例的值由学习得到,而被使用.
Management 此对应的事例的值也是 dot1dStaticAddress以存在此对应的事例.当前被使用当
enable VLAN做为routing时.
Self 此对应的事例的值是系统 自己的MAC.
GMRP Learned 此对应的事例的值是经由GMRP学习得到的.
Other 此对应的事例的值并非其它一类.
24
5.3.4 多播转发数据库(Multicast Forwarding Database)
图 5-8 多播转发数据库屏幕
多播转发数据库(MFDB)持有所有现行的多播地址项目与端口的成员关系信息.该项目主要
由一对 VLAN ID 与 MAC 地址所组成. MFDB 使得两种不同的第二层多播协议可同时在相
同的网络设备上作用.MFDB 保持一 VLANID-MAC 地址列表给多重用户组件间共享, 这些
组件包含 Static MAC Filtering, GARP Multicast Registration Protocol(GMRP),与 Internet
Group Management Protocol(IGMP) Snooping.
MAC 地址 — 此栏位用以指定将在多播转发数据表中搜导的 MAC 地.
多播转发数据库列表 —此表显示所有端口所学习到的信息 ,这些信息包含
MAC 地址 - 交换机已转发或过滤信息的多播 MAC 地址 .格式是由冒号分离的 8 个
两位十六进制数.例如:01:23:45:67:89:AB:01:01.
组件 - 多播转发数据库组件这些组件,包含 Static MAC Filtering, GARP Multicast
Registration Protocol(GMRP), 与 Internet Group Management Protocol(IGMP)
Snooping.
类型 - 此栏位显示 MAC 地址的类型,其值 Static 或 Dynamic.Static。表示为用户
所设定的 MAC 地址.Dymamic 为经由一些学习 程序或协议而加入此表中,例 GMRP
IGMP Snooping.
端口 - 对所选地址作指定的转发或过滤的所有端口.
端口总结 - 端口总结是由所有转发端口的总和并减去所有静态过滤端口的结果.
25
5.4 设置 IP 地址配置
指向指示灯面板之下的菜单选项,点击标签’IP 配置’ ,将出现以下屏幕.
5.4.1 设置 IP 地址配置 (IP Address)
图 5-9 IP 地址配置
网络配置协议—此栏定义哪种网络配置协议被使用。如果你修改此值,改变会立刻生效。
bootp 表示交换机周期性地送请求到 BootP 服务器或 dhcp 服务器直到收到答复,none 表
示交换机手工配置 ip 地址。
IP 地址—此栏设定交换机的IP地址.
掩码 —此栏设定交换机的子网掩码.
预设网关—此栏设定交换机的网关。IP 地址和网关必须是在同一子网。
注: 变动当前的 IP 地址的将导致在主机和交换机之间当前的连接被中断。变动之前应确
定需要新 IP 地址。
26
5.4.2 ARP 表 (ARP Table)
图 5-10 ARP Table 屏幕
此窗口显示交换机和其它设备之间的连通性。地址解析协议(ARP) 高速缓存所辨认与交换
机通讯 IP 工作站的 MAC 地址。
IP 地址 —从各个端口学到的 IP 地址.
MAC 地址— 交换机已转发并且/ 或者过滤信息的点播 MAC 地址。格式是由冒号分开的 6 个
两位十六进制数, 例如 01:23:45:67:89:AB.
Port —端口编号.
27
5.5 设置交换机配置
设置交换机配置, 指向菜单选项并点击标签’Switch 配置’。将出现以下屏幕.
图 5-11 交换机配置
此屏幕显示各个端口的当前状态表。它包含以下信息:
端口配置 —显示或让你配置链接、速度、双工。参见章节 5.5.1 ’端口配置 ’。
VLAN —让你创建 , 修改 , 和删除 VLANs 。参见章节 5.5.2 ’ VLAN 配置’。
VLAN 端口 -让你设定 VLAN 各个端口参数。参见章节 5.5.3 ’设定 VLAN 端口 ’。
生成树 —让你定义交换机的生成树参数。参见章节 5.5.4 ’生成树 ’。
生成树端口配置 —让你定义交换机各个端口的生成树参数。参见章节 5.5.5 ’ 生成树端
口配置’。
LA 配置 —让你定义链路聚合组的端口。参见章节 5.5.6 ’ 链路聚合配置 ’。
端口监测 —让你设定了一个监测端口和一个被监测的端口。参见章节 5.5.7 ’端口监测
设置’。
GARP —让你查看并且/ 或者改变生成树配置和端口设定。参见章节 5.5.8 ’ GARP 配
置’ 。
IGMP 窥探 —让你设定 IGMP Snooping 信息参数。参见章节 5.5.7 ’IGMP 窥探 ’。
28
5.5.1 端口配置
查看并且/或者改变各个端口, 指向菜单选项’Switch 配置’ 并点击’端口配置’。将出现以
下屏幕.
图 5-12 端口配置
端口# -端口编号
-此列为各个端口选择栏位,用以选择要做变更的端口.
连接(Mbps) -各个端口的当前的连接速度。
端口类型-各个端口的类型。如果不是空白,表示此端口是端口的一个特殊类型。可能的
值是:
Mon -此端口是被监测的端口。查看 ’端口监测 ’屏幕会有更多信息 .
Lag -此端口是 LA 的成员。查看‘LA 配置 ’屏幕会有更多信息 .
Probe -此端口是探测端口。查看’ 端口监测’ 屏幕会有更多信息 ..
速率设定-希望的端口速度.
双工设定-希望的端口模式.
管理控制-各个端口的管理控制模式.
连接 Trap -连接 Trap 方式。此对象决定当连接状态改变时是否发送 Trap。
LACP 模式 -显示各个端口 LACP 是否开启。
29
利用以下步骤可以配置一个端口或多个端口:
1. 点选一个或多个端口,再点击’ 修改选择的端口设定’ 按钮。将出现以下屏幕。如果你想要
重设为缺省值,你可点击’ 复位选择的端口设定成缺省值’ 按钮。
图 5-13 端口配置屏幕(2)
实体模式-此栏让你设置了
希望的端口速度和双工模式。如果选择自动协商, 则双工
模式和速度将被设置为自动协商。注意端口的最大全双工-100M 将被广告。否则, 此对
象将决定端口的双工模式和传输速率。工厂缺省值是自动协商。
管理模式 -此栏可以使此端口开启或关闭。缺省值为 enable。
连接 Trap -此栏能开启或关闭接口连接状态 Trap。缺省值为 enable。
LACP Mode -此栏可以在端口开启或关闭链路聚集协议(LACP)。缺省值为 enable。
30
5.5.2 VLAN 配置
查看并且/ 或者改变 VLANs, 指向菜单选项并点击 VLAN 。VLAN 设置的状态显示如以下
视窗。
图 5-14 VLAN 配置
此屏幕中的图标被定义如下:
’
’ –创建新 VLAN
’ – 修改存在的 VLAN
’
’
’ – 删除 VLAN
注:任一已经被定义 VLAN 的 VLAN ID 和名称如上图显示。VLAN 1 为工厂缺省数字,无
法被删除。
成员栏位表示各个端口的参与选择。参与选择有:
包含
该接口永远为此 VLAN 成员,相当于固定注册.
排除 该接口永远不为此 VLAN 成员,相当于不许注册.
自动侦测 该接口由 GVRP 动态注册到此VLAN. 此接口不会加入此 VLAN 成员除非由此界面收到一个
31
加入要求,这相当于正常注册.
标记栏表示在 VLAN 中一个特定接口的标记行为。如果标记是 enable,信息流量以带标记
的 frame 传送。如果标记是 diable 的, 信息流量以不带标记的 frame 传送。
创建/修改一个 VLAN
创建或修改 VLAN 时将显示以下屏幕
。
图 5-15 VLAN 配置
VLAN ID -
VLAN 名称 -
类型 -
的) 。
成员 -
VLAN 的识别号。 ID 为 1 是保留给缺省 VLAN 的。 VLAN 范围是 2 - 4096.
VLAN 的名称。是 16 个字母与数字的字符串。
此栏位改变动态创建的 VLAN( 由 GVRP 注册创造)成一个静态 VLAN ( 一个永久被配置和被定义
使用圆钮选择各个端口参与特定 VLAN 的方式。
标记- 使用圆钮选择是否开启 VLAN 端口的标记行为。
32
5.5.3 设置 VLAN 端口
配置 VLAN 端口, 指向菜单选项’Switch 配置’ 并点击 VLAN 端口。将显示出一个与下面
图示相似的屏幕.
图 5-16 VLAN 端口配置屏幕
此屏幕显示 VLAN 端口信息。
z PVID - 此端口将指定给不带标记的frame或priority tagged frame的VLAN ID, 此
值必须是现存的VLAN.工厂缺省值是1。
z 可接受的Frame类型 - 定义在此端口可能被收到的frame类型.选项有'VLAN only'
和'Admit All'.当设成'VLAN only'时, 在此端口收到的不带标记的帧或priority
tagged frame会被丢弃。当设置成'Admit All'时, 在此端口收到的不带标记的frame
或priority tagged frame会被接受且被指定此端口的VLAN ID值。对任一种选项带标
记的帧将依802.1Q VLAN标准转送。
z 只接收VLAN ID 相符的分封 - 可能为enabled或disabled.当设成enabled时,此帧
相关的端口不是此VLAN的成员,则此帧会被丢弃.对带标记的frame中是以标记中的
VLAN ID来识别VLAN.对不带标记的帧,VLAN就是收到该帧所被指定的端口VLAN ID.当设
成disabled时,所有的帧依802.1Q VLAN标准转送。工厂缺省值是disabled。
z 点击端口编号以选择该端口配置它的VLAN 参数,如下面图示。端口MI 指的是交换机
的管理界面端口。
图 5-17
33
端口 VLAN ID -一个下拉菜单列出所有现有的 VLAN 。此栏改变该特定接口的 VLAN
ID.
可接受 Frame 类型-此栏设定该特定接口可接受的帧类型.
只接收 VLAN ID 相符的分封 -此栏将开启或关闭该特定接口的 Ingress Filtering
功能。如果 Ingress Filtering 功能被关闭, 收到的帧其 VLAN ID 虽与该接收接口所
属的 VLAN 不符,仍会被接受并转发到该 VLAN 成员的端口.
34
5.5.4 生成树配置
配置链路集合, 指向菜单选项’Switch 配置’ 并点击’ 生成树’ 。显示如以下窗口。
图 5-18
z Spanning Tree Admin Mode -生成树管理的模式 , 开启或关闭.
z Force Protocol Version -所使用生成树协议的版本 .可选择 IEEE 802.1d, IEEE
802.1w, IEEE 802.1s之一.
z Configuration Name -此生成树协议配置名称 .
z Configuration Revision Level -此生成树协议配置版本 .
z Configuration Digest Key -显示 Digest Key.
z CST Bridge Identifier -显示Bridge Identifier
z CST Bridge Priority -配置Bridge Priority
z CST Bridge Max Age -配置CST Bridge Max Age
z CST Bridge Hello Time -配置CST Bridge Hello Time
z CST Bridge Forward Delay -配置CST Bridge Forward Delay
z CST Time Since Topology Change -显示CST Time Since Topology Change
z CST Topology Change Count -显示CST Topology Change Count
z CST Topology Change -显示CST Topology Change
z CST Designated Root -显示CST Designated Root
z CST Root Path Cost -显示CST Root Path Cost
z CST Root Port -显示CST Root Port
z Max Age(secs) -显示Max Age
z Forward Delay(secs) -显示Forward Delay
35
z Hold Time(secs) -显示Hold Time
z CST Regional Root -显示CST Rigional Root
z CST Path Cost -显示CST Path Cost
此屏目亦显示所配置的多生成树的信息,其中包含:
z MST ID
z
MST Bridge Priority
Time Since Topology Change
z
z
Topology Change Count
z
Topology Change
z
Designated Root
Root Path Cost
z
z
Root Port
z
FID
z
VLAN ID
若要新增一多生成树,点击图标’ ’ 即会出现如下屏幕:
图 5-19
z MST ID-配置多生成树 ID
接着输入此多生成树的参数,出现如下屏幕
36
图 5-20
MST ID
z
z
Priority
z
VLAN ID
Bridge Identifier
z
z
Time Since Topology Change
z
Topology Change Count
z
Topology Change
Designated Root
z
z
Root Path Cost
z
Root Port
37
5.5.5 生成树端口配置
对配置生成树端口, 指向菜单选项’Switch 配置’ 并点击’ 生成树端口配置’ 。显示如下视窗。
图 5-21
z MST ID -配置MST ID
z 端口-配置端口
z Port Priority -配置Port Priority
z Admin Edge Port -配置Admin Edge Port
z Port Path Cost -配置Port Path Cost
z Auto-calculate Port Path Cost -显示 Auto-calculate Port Path Cost
z Port ID -显示 Port ID
z Port Up Time Since Counters Last Cleared -显示 Port Up Time Since Counter
Last Cleared
z Port Mode -显示 Port Mode
z Port Forwarding State -显示 Port Forwarding State
z Port Role -显示 Port Role
z Designated Root -显示 Designated Root
z Designated Cost -显示 Designated Cost
z Designated Bridge -显示Designated Bridge
z Designated Port -显示 Designated Port
z Topology Change Acknowledge -显示 Topology Change Acknowledge
z Hello Time (secs) -显示 Hollo Time
z Edge Port -显示Edge Port
z Point-to-point MAC -显示 Point-to-poing MAC
z CST Regional Root -显示
CST Regional Root
38
z CST Path Cost -显示 CST Path Cost
39
5.5.6 LA 配置(Link Aggregation Configuration)
对配置链路集合, 指向菜单选项’Switch 配置’ 并点击’LA 配置’ 。所有链路集合(LAGs) 概
要被显示如以下窗口。
图 5-22
z LAG端口 - 此 LAG的逻辑端口 .
z LAG名称 - 此 LAG的名称 .
z 连接状态 - 此 LAG是否连接 .
z 管理模式 -此 LAG的管理的模式 , 开启或关闭 .
z Link Trap -当连接状态改变时 , 此对象决定是否发送Trap .工厂缺省值是 enabled.
z STP模式 -此 LAG的 STP模式 , 开启或关闭 .
z 成员端口 - 列出的是 LAG的成员端口 .最多有 8个端口指定给 LAG.
40
创建一个新的 LAG 或修改存在的 LAG
创建或修改 LAG ,将出现以下屏幕。
图 5-23
LAG 名称-此 LAG 的名称 .
管理模式 - LAG 的管理的模式 , 开启或关闭 .
Link Trap - 当连接状态改变时 , 决定是否发送 Trap .工厂缺省值是 enabled.
STP模式 - 此 LAG的 STP模式 , 开启或关闭 .
成员端口 - 列出所有的实体端口以选择成 LAG 的成员 .最多有 8 个端口指定给
LAG.
41
5.5.7 端口监测
查看或改变端口监测,指向菜单选项’Switch 配置’ 并点击端口监测。将出现以下屏幕.
图 5-24
探测端口 - 此栏位
指定探测端口.若未指定则显示”Not Configured”..一旦配置好,探
测端口将不能网络连接.探测端口将不转发任何信息流量也不接收任何东西.探测工具
添加给探测端口将不能去 PING 交换机或者直达交换,任何人都不能 PING 探测工具.
被监测端口 - 此栏指定被监测的端口 .若未指定则显示 ”Not Configured”.
端口监测模式 - 选择端口的监测模式.它有两种模式 disable 和 enable.工厂缺省值
是 disabled.
42
5.5.8 GARP 配置
指向菜单选项 Switch 配置并点击 GARP 。将出现以下屏幕。
图 5-25 GARP 屏幕
交换机 GVRP —此栏位使 GVRP 功能开启或关闭。
交换机 GMRP —此栏位使 GMRP 功能开启或关闭。
GARP 界面表 —此表显示所有界面的 GARP 信息。表中包括
o 端口 GVRP 模式 - 指出此端口的 GVRP 管理的模式.它可能是 enabled 或者 disabled..工
厂缺省值是 disabled.
o 端口 GMRP 模式 - 指出此端口的 GMRP 管理的模式.它可能是 enabled 或者 disabled. 工
厂缺省值是 disabled.
o 加入周期- 指出间隔之间 GARP PDUs 传送注册时成员资格的属性,当前属性是一个 VLAN
或者多播组.这是此时间在每一个埠,每一个 GARP 参与者基础的一种情况.允许值为 10 到
100 厘秒,工厂缺省值是 20 厘秒.
o 离开周期- 指定此时间的时段去等待然后在接收一个没有注册的属性请求之前清除此请求.
当前的属性是一个 VLAN 或者多播组.这是此时间在每一个埠,每一个 GARP 参与者基础的一
种情况.允许值为 20 到 600 厘秒,工厂缺省值是 60 厘秒.
o 全部离开周期 - 这是 Leave All Timer 控制怎样去经常的要求产生所有 PDUs. Leave All
PDU 指出所有注册的 .这是此时间在每一个埠 ,每一个 GARP 参与者基础的一种情况 .允许值
为 200 到 6000 厘秒 ,工厂缺省值是 1000 厘秒 .
z 配置各个界面GARP 和GMRP 你可以点击特定端口最后一栏的修改图标 。以下屏
幕将显示.
43
图 5-26 GARP 屏幕(2)
端口 GVRP 模式 - 指出此端口的 GVRP 管理的模式.它可能是 enabled 或者 disabled.
如果选择 disabled,连接时间,离开时间和全离开的时间没有生效.工厂缺省值是
disabled.
端口 GMRP 模式 - 指出此端口的 GMRP 管理的模式 .它可能是 enabled 或者
disabled.如果选择 disabled,连接时间,离开时间和全离开的时间没有生效.工厂缺省值
是 disabled.
加入周期
- 指出间隔之间 GARP PDUs 传送注册时成员资格的属性 ,目前属性是一个
VLAN 或者多播组 .此时间是每一个埠 ,每一个 GARP 参与者基础的一种情况 .允许值为
10 到 100 厘秒 ,工厂缺省值是 20 厘秒 .
离开周期 - 指定此时间的时段去等待然后在接收一个没有注册的属性请求之前清除此
请求.当前的属性是一个 VLAN 或者多播组.这是此时间在每一个埠,每一个 GARP 参与
者基础的一种情况.允许值为 20 到 600 厘秒,工厂缺省值是 60 厘秒.
全部离开周期 - 这是 Leave All Timer 控制怎样去经常的要求产生所有 PDUs. Leave
All PDU 指出所有注册的.这是此时间在每一个端口,每一个 GARP 参与者基础的一种情
况 .允许值为 200 到 6000 厘秒 ,工厂缺省值是 1000 厘秒 .
44
5.5.9 IGMP 窥探(IGMP Snooping)
查看并且/ 或者改变 IGMP 窥探配置。指向菜单选项 Switch 配置并点击 IGMP 窥探。将出
现以下屏幕。
图 5-27 IGMP Snooping Setting
管理模式 - 指出在交换机内 IGMP 探测是否有作用 .
多播群成员区间 - 是指一个交换机将删除一接口项目之前须等待多少秒钟由一特定群
组在特定接口的报告.此值须大于 IGMP 最大反应时间的值.范围为 1 到 3600 秒.
最大反应时间 - 是指一个交换机因没有收到对一特定群组在特定接口的报告而发出
一个要求后要等待的时间.此值要须小于 IGMP 询问周期时间的值.范围为 1 到 3600 秒.
多播路由器出现过期时间 - 如果询问在一个接口内部一段时间内没有收到询问,此接
口就从自多播路由器付属的接口列表中移除.
多播控制 Frame 数目 —这显示由 CPU 处理控制的多播帧的数量.
IGMP 窥探界面模式 —此命令使在一特定接口 IGMP 窥探功能开启或关闭 .
45
5.6 服务质量(QoS)
指向指示灯面板之下的菜单选项,点击标签’QoS’ ,将出现以下屏幕.
图 5-28 QoS 屏幕
Diffserv 配置 —
让你开启或关闭 DiffServ 操作状态和显示 DiffServ 一般状态小组
信息, 包括目前的行政方式设置并且目前和最大行数在每个主要 DiffServ 私有 MIB
表。参见章节 5.6.1’Diffserv Conf.’ 。
Diffserv 等级-让你配置 Diffserv 等级。参见章节 5.6.2’ Diffserv 等级配置’。
Diffserv 策略-让你配置 Diffserv 策略。参见章节 5.6.3’ Diffserv 策略’。
Diffserv 服务-让你配置 Diffserv 服务。参见章节 5.6.4’ Diffserv 服务’。
46
5.6.1 Diffserv 配置
设置 DiffServ 运作模式为动作对或不动作和显示 DiffServ 一般状态编组信息,指向菜单选项
QoS 并点击 Diffserv 配置。将出现以下屏幕。
图 5-29 Diffserv 配置屏幕
DiffServ 管理模式 —此栏位设置 DiffServ 运作模式动作对或不动作。其值为 enable 或
disable。缺省值是 disable。当 disable 时, DiffServ 配置仍被保留和可被改变, 但它不动作。
当 enable 时 , Diffserv 服务才动作。
DiffServ 一般状态分组信息表列 —DiffServ 一般状态分组信息 ,此表包含括在每个主要
DiffServ 专用 MIB 表的当前容量和最大容量。
等级表当前容量
等级表最大容量
等级规则表当前容量 显示当前等级规则表中条列的数目。
显示当前在等级表中条列的数目。
显示等级表最大容量。
等级规则表最大容量 显示等级规则表最大容量。
策略表当前容量 显示当前策略表中条列的数目。
策略表最大容量 显示策略表最大容量。
策略实例表当前容量 显示当前策略实例表中条列的数目。
策略实例表最大容量 显示策略实例表最大容量。
策略属性表当前容量
显示当前策略属性表中条列的数目。
策略属性表最大容量 显示策略属性表最大容量。
服务表当前容量 显示当前服务表中条列的数目。
47
服务表最大容量 显示当前服务表最大容量。
5.6.2 Diffserv Class Configuration
配置 Diffserv 等级, 指向菜单选项 QoS 并点击 Diffserv 等级。将出现以下屏幕。
图 5-30 Diffserv 等级屏幕
Diffserv 等级表 — 显示用户定义的 Diffserv 等级。此屏幕中的图标定义如下:
’
’ –创建新 Diffserv 等级
’ –给特定的 Diffserv 等级增加条件
’
’
’ – 删除 Diffserv 等级
创建一个 Diffserv
在 DiffServ 中’ 等级’ 的被定义为:
流量分类
Aggregate (BA) )
服务水平 规定 BA 转发水平/ 服务水平。概念上,DiffServ 是有等级的二个阶层: 1.服务
/PHB, 2.流量等级
根据 DSCP, 和流量的 Multi-Field(MF) 等级 (名称,符合条件)(规定 Behavior
等级
48
等级符合条件或称为等级规则,一个等级定义是由一个或多个规则以认定此流量所属的等
级. 注意一旦创建一符合条件给一个等级
和再创建。
创建新等级,点击图标’
图 5-31 Create a Diffserv Class 屏幕
’ 。将出现以下屏幕。
,它就无法被改变或被删除--整个等级必须被删除
等级名称 — DiffServ 等级的名称.
等级型类 — Diffserv 等级型类.
增加一个条件到 Diffserv
在此屏幕上列出给指定等级的符合条件表。你可在表中选出条件再按’ 增加符合条件’ 按钮
来增加以一个新的条件给指定的等级。
等级
49
图 5-32 增加一个条件到 Diffserv 等级屏幕
等级符合选择— 这列出你可能选择增加入特定的等级的所有符合条件
。符合条件’Every ’
表示, 每个数据报都被考虑符合指定的等级且不须要另外的输入信息。对一指定的等级,
基于符合条件选择为’Reference Class’时, 此下拉式选择表列会有变化:
如果指定的等级不参考其它等级时, ’Reference Class ’ 会包含在下拉式选择表中.
等级参考可由下拉式选择表中选择’Reference Class ’ 再按’ 增加符合条件’按钮来建
立。
如果指定的等级参考其它等级时, ’Reference Class ’ 就不会包含在下拉式选择表列
中.这可防止用户再增加参考等级,因为一指定的等级最多只可参考一个同样类型的
等级。
以下为每一符合条件的说明。
z Destination IP Address - Diffserv等级的符合条件
在指定的等级定义中加入基于目的地 IP 地址的符合条件。
图 5-33 Destination IP Address – Diffserv 的符合条件屏幕
50
• IP 地址 - 此栏指定 Diffserv 的目的地 IP 地址,一个有效的目的地 IP 地址以十进位小数
点的格式表示。
• IP 掩码 - 此栏指定目的地 IP 地址的掩码, 这是一个以十进位小数点的格式表示的 bit
mask.用以指示哪一部分的目的地 IP 地址被用为与包的内容相比较.掩码位必须是连续
的,以让接口正确地运算,例如 255.128.0.0 是一个合法的 mask, 255.0.128.0 不是一
个合法的 mask。
z Destination Layer 4 Port - Diffserv 等级的符合条件
在指定的等级定义中加入基于分封目的地第 4 层 port 的符合条件。而以一关键字表示法表
示此 port。
51
图 5-34 Destination Layer 4 Port – Diffserv 的符合条件屏幕
Port Keyword – 此处列出已知目的地第 4 层 port 的关键字作为选择.若选 ’other’,则在下
一栏输入无名称的端口。
z Destination MAC Address - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包目的地 MAC 地址的符合条件。
图 5-35 Destination MAC Address – Diffserv 的符合条件屏幕
52
MAC Address - 第二层的 MAC 地址格式是 6 个两位十六进制数,以冒号来
o
分开,其缺省值是 00:00:00:00:00:00.
o MAC Mask - 第二层的 MAC 地址 bit mask, 格式是 6 个两位十六进制数 ,不能
是相邻的,而以冒号来分开,其缺省值是 00:00:00:00:00:00.
z Every - Diffserv等级的符合条件
在指定的等级定义中加入的符合条件,基于此所有数据包都属于此等级。
z IP DSCP - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包中 IP DiffServ Code Point (DSCP) 栏的值的符合条
件。此 IP DiffServ Code Point (DSCP) 栏被定义为在 IP 报头中服务类型八位字节的六
个高值位(二个位低值位不被检查) 。
图 5-36 IP DSCP – Diffserv 的符合条件屏幕
o DSCP Keyword - 此处列出已知的 DSCP 值作为选择.此 DSCP 值(关键字)包
含: 10(af11), 12(af12), 14(af13), 18(af21), 20(af22), 22(af23),
26(af31), 28(af32), 30(af33), 0(be), 0(cs0), 8(cs1), 16(cs2), 24(cs3),
32(cs4), 40(cs5), 48(cs6), 56(cs7), 46(ef).
注: ipdscp 、ipprecedence, 和 iptos 符合条件都是供选择的方式,用以指定 Diffserv
等级的符合条件. 都是对 IP 中相同的服务类型为样服务类型栏位, 但与用户在表示法上
稍有差异。
53
z IP Precedence - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包中 IP 优先权栏的值的符合条件。该栏被定义为在 IP
报头服务类型八位字节的三个高值位(五个低值位不被检查) 。
图 5-37 IP Precedence – Diffserv 的符合条件屏幕
Precedence Value -此栏位定义 IP 优先权,其值在范围 0 到 7 间作比较。
注: ipdscp 、ipprecedence, 和 iptos 符合条件都是供选择的方式用以指定 Diffserv 等
级的符合条件. 都是对 IP 中相同的服务类型为样服务类型栏位, 但与用户在表示法上稍
有差异。
54
z IP TOS - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包中 IP TOS 栏的值的符合条件。该栏被定义为在 IP 报
头中服务类型八位字节的全部八个值位。
图 5-38 IP TOS – Diffserv 的符合条件屏幕
TOS Bits -这是 IP TOS 的值为 0 至 FF ( 十六进制),在与 TOS Mask 的值作 mask 后用来比
较。
TOS Mask – 表示在 TOS Bits 中 bit 的位置, 被用已与分封中 IP TOS 栏位相比较。
注: ipdscp 、ipprecedence, 和 iptos 符合条件都是供选择的方式用以指定 Diffserv 等
级的符合条件. 都是对 IP 中相同的服务类型为样服务类型栏位, 但与用户在表示法上稍
有差异。
注: 实质上, 这是 IP DSCP/Precedence/TOS 符合规格的’ 自由形式’ 版本, 因为用户可完
全控制指定 IP 服务类型栏位的哪些 bit 被检查。
55
z Protocol - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包 IP 协议的符合条件。而以一关键字表示法表示此协
议。
图 5-39 Protocol – Diffserv 的符合条件屏幕
协议关键字 -此处列出知名协议的关键字作为选择。若选’other’, 则在下一栏位输入一数字
给无名称的协议。若选’ip’, 则表示要符合所有协议的值。
56
z Reference Class - Diffserv 等级的符合条件
在指定的等级定义中加入定义给另一等级的符合条件集合。
图 5-40 Reference Class – Diffserv 的符合条件屏幕
参考等级 -此处列出所有现有的同类型的 DiffServ 等级名称, 以作为选择给指定的等级。
此指定的等级无法参考自己。每一等级定义只允许有一参考等级。
57
Source IP Address - Diffserv 等级的符合条件
z
在指定的等级定义中加入基于数据包的源 IP 地址的符合条件。
图 5-41 Source IP Address – Diffserv 的符合条件屏幕
z IP 地址 - 此栏位指定 Diffserv 的源 IP 地址,一个有效的源 IP 地址以十进位小数点的
格式表示。
z IP 掩码 - 此栏位指定源 IP 地址的掩码, 这是一个以十进位小数点的格式表示的 bit
mask.用以指示哪一部分的源 IP 地址被用为与数据包的内容相比较.mask bit 必须是
连续的,以让接口正确地运算,例如 255.128.0.0 是一个合法的mask, 255.0.128.0 不
是一个合法的 mask。
58
z Source Layer 4 Port - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包来源第 4 层 port 的符合条件。而以一关键字表示法表
示此 port。
图 5-42 Source Layer 4 Port – Diffserv 的符合条件屏幕
Port Keyword – 此处列出已知来源第 4 层 port 的关键字作为选择.若选’other’, 则在下一
栏位输入无名称的 port。
59
z Source MAC Address - Diffserv等级的符合条件
在指定的等级定义中加入基于数据包源 MAC 地址的符合条件。
图 5-43 Source MAC Address – Diffserv 的符合条件屏幕
o MAC Address - 第二层的 MAC 地址格式是 6 个两位十六进制数以冒号来分
开,其缺省值是 00:00:00:00:00:00.
o MAC Mask - 第二层的 MAC 地址 bit mask, 格式是 6 个两位十六进制数 ,不能
是相邻的,而以冒号来分开,其缺省值是 00:00:00:00:00:00.
60
z VLAN - Diffserv 等级的符合条件
在指定的等级定义中加入基于数据包的第二层 VLAN ID 栏位的值的符合条件。
图 5-44 VLAN – Diffserv 的符合条件屏幕
VLAN Identifier -此栏位 VLAN 标识符,其值在 1 到 4094 范围作为比较。
61
5.6.3 Diffserv 策略配置
设置 DiffServ 策略,在菜单选项 QoS 并点击 Diffserv Policy 。将出现以下屏幕。
图 5-45 Diffserv Policy 屏幕
DiffServ 策略信息表 —显示用户定义的 Diffserv 策略。此屏幕中的图标表示如下:
’
’ –创建造新 Diffserv 策略
’ –修改 Diffserv 策略
’
’ –删除Diffserv策略
’
创建一项 Diffserv 策略
在 DiffServ 中策略被用以定义:
流量状况 指定流量状况的动作(policing, marking,shaping) 来用于流量等级
服务规范
策略被用来将一个流量等级与一个或多个 QoS 策略属性关联在一起,此流量等级是在
Diffserv 等级定义。此关联然后被分配到一个接口在一个特殊方向形成一个服务。当策略
被创建时用户指定策略名称。
它不一定要求用户只将一流量与一个策略关联在一起。实际上, 多个流量等级可与一个策
略关联在一起,每一种流量等级定义一种特殊处理方式给符合等级定义的数据包。当一个数
指定服务水平(EF,AF,等)的带宽和队列长度管理要求。
62
据包满足超过一个等级的条件时,其优先级是基于等级添加到策略的先后,最先的采取最高
的优先权。
注意唯一的方式去从一个策略中的等级事例将一个单独策略属性移除就是将此等级事例移
除再重新把它加到策略。与一个现有的策略属性关联的值不须移除等级事例即可被改变。
创建一项新 Diffserv 策略点击图象’
’将出现以下屏幕。
图 5-46 创造一 Diffserv 策略屏幕
z 策略名称—Diffserv 策略的名称。这是一个字符串, 以 1 到 31 个有大小写区分的字
母数字所组成,字符独一地识别此策略。
z 策略类型— 此栏位定义流量方向是向内或向外。
63
Diffserv 等级与 Diffserv 策略关联
在创造 Diffserv 策略以后你需要将 Diffserv 等级与它关联。将出现以下屏幕。
图 5-47 Diffserv 等级与 Diffserv 策略关联屏幕
z 可利用的等级名单— 此栏位列出所有现有的 DiffServ 等级名单, 以供选择加入指定的
策略。
z 成员等级名单— 此栏位列出所有现有被定义作为指定的策略的成员 Diffserv 等级名单,
以供选择由指定的策略中移除。
配置属性给一 Diffserv 策略
在将等级与 Diffserv 策略关联后对你需要配置属性给指定的策略。将出现以下屏幕。
64
图 5-48 配置属性给指定的策略屏幕
策略属性 —此栏位列出这类型策略所支持的所有属性, 这些属性包括 Mark IP DSCP,
Mark IP Precedence 和 Police Simple. 每一种属性需要作更进一步配置。
65
配置属性’Mark IP DSCP’ 给 Diffserv 策略
此属性在所有相关连信息流数据包中加入指定的 IP DSCP 值的标记.
图 5-49 配置属性’ Mark IP DSCP’给 Diffserv 策略屏幕
DSCP 关键字 —此处列出已知的 DSCP 值作为选择.此 DSCP 值(关键字)包含: 10(af11),
12(af12), 14(af13), 18(af21), 20(af22), 22(af23), 26(af31), 28(af32), 30(af33),
0(be), 0(cs0), 8(cs1), 16(cs2), 24(cs3), 32(cs4), 40(cs5), 48(cs6), 56(cs7),
46(ef).
配置属性’Mark IP Precedence’ 给 Diffserv 策略
此属性在所有相关连信息流数据包中加入指定的 IP Precedence 值的标记.
66
图 5-50 配置属性 ’Mark IP Precedence ’给 Diffserv 策略屏幕
IP Precedence 值 —IP Precedence 值是一个从 0 到 7 的整数。
配置属性’Police Simple’ 给 Diffserv 策略
Police Simple策略属性是一种方法管理调节信息流的设备的方法,它被用来建立监管型式
给指定等级.流量被以一单一速率与burst大小监管.其结果有两者:遵守(conform) 与不遵
守(noconform). 遵守的数据被以kilobits-per-second(Kbps) 定义,其值为 1 到
4294967295 的整数.遵守的burst大小被以kilobytes (KB) 定义,其值为 1 到 128 的整
数.
对每一结果只有一种可能的动作为Send, Drop, Mark IP DSCP, 或 Mark IP Precedence.
在此Police Simple策略属性中遵守的动作缺省值为Send与不遵守的动作缺省值为Drop.
若遵守/不遵守的动作为Marked IP DSCP Marked IP Precedence时,还须设定其值.
67
图 5-51 配置属性’Police Simple ’给 Diffserv 策略屏幕
z Conform 的动作 —设定在此策略指定等级中遵守监管流量的动作. 此动作的值为
Send, Drop, Mark IP DSCP,或 Mark IP Precedence. 缺省值为 Send。
z Non-Conform 的动作 —设定在此策略指定等级中不遵守监管流量的动作. 此动作
的值为 Send, Drop, Mark IP DSCP, 或 Mark IP Precedence. 缺省值为 Drop。
z 承诺的速率 (kbps) — 承诺的数据被以 kilobits-per-second(Kbps) 定义,其值为 1 到
4294967295 的整数。
z 承诺的 Burst 大小(KB) — 承诺的 Burst 大小被以 kilobits-per-second(Kbps) 定义,其值
为 1 到 128 的整数。
68
5.6.4 Diffserv Service
Diffserv 服务就是将 Diffserv 策略运用在一个界面的一个特殊方向。设置 DiffServ 服务指
向菜单选项 QoS 并点击 Diffserv Service 。将出现以下屏幕。
图 5-52 Diffserv 服务屏幕
z 服务表— 显示每一界面在in方向和out方向所相关联的策略. 点击欲设定的端口以便将
现有的与此端口关联.
端口 接口的端口编号
。
输入策略 指定界面在’In’ 方向关联的策略。
输出策略 指定界面在’Out’ 方向关联的策略。。
69
配置一项服务给一个指定端口
配置一项服务给一个指定端口, 点击欲设定的端口编号。将出现以下屏幕。
图 5-53 配置一 Diffserv 服务给一个指定端口屏幕
z 输入策略 —此栏位列出将被选择给一个指定端口(在 In 方向现有的策略名单)。
z 输出策略 —此栏位列出将被选择给一个指定端口(在 Out 方向现有的策略名单)。
70
5.6.5 带宽限制
设置带宽限制。指向菜单选项 QoS 并点击带宽限制。将出现以下屏幕。
图 5-54 带宽限制屏幕
z 带宽限制表—显示每一界面的带宽限制.若无限制则为该端口最大线速。
入口处带宽 指定界面在’In’ 方向关联的带宽限制速率。
出口处带宽 指定界面在’Out’ 方向关联的带宽限制速率。
点击端口图像’ ’ 以配置该端口带宽,或点击图像’ ’ 以重置端口带宽为线速。
配置端口带宽将出现以下屏幕
图 5-55 带宽限制配置屏幕
71
入口处带宽 指定接口在’In’ 方向关联的带宽限制速率。
出口处带宽 指定接口在’Out’ 方向关联的带宽限制速率。
对于各个百兆位端口其带宽限制步长为 1Mbps, 对于各个千兆位端口其带宽限制步长为
8Mbps
。
72
5.7 安全配置
指向指示灯面板之下的菜单选项,点击标签 ’ 安全’ ,将出现以下屏幕.
图 5-56 安全配置屏幕
z 存取控制 ACL — 让你查看和配置 Access Control List 。参见章节 5.7.1 ’存取控制
ACL’。
z MAC地址锁定 — 让你配置 MAC地址锁定。参考章节 5.7.2 ’ MAC地址锁定 ’。
z 802.1X用户 — 让你配置 802.1X 用户。参考章节 5.7.3 ’ 802.1X 用户 ’。
z 802.1X端口配置 — 让你配置 802.1X 端口 ,参考 5.7.4 ’ 802.1X 端口配置 ’。
z RADIUS服务器 — 让你配置 RADIUS服务器的信息。参考章节 5.7.6 ’ RADIUS 服务
器’ 。
z RADIUS配置 — 让你配置RADIUS 。参考章节5.7.5 ’ RADIUS 配置’。
73
5.7.1 存取控制 ACL
存取控制 ACL 确保只有认可的用户可访问指定的资源且阻挡任何非法欲接近网络资源者.
要配置访问控制表,指向菜单选项’安全’并点击’ 存取控制 ACL’。将出现以下屏幕。
图 5-57 安全配置屏幕
与系统相关联的访问控制列表(ACL) 总结表显示于此页。其中包括下列信息
ACL —此栏位显示 ACL 号码.它是 1 到 99 的整数.范围由 1 到 99 为标准的 AC L 列表, 范
围由 100 到 199 为扩展的 ACL 列表. 一般的 ACL 列表只允许源 IP 地址/掩码配置, 扩展的
ACL 表列则可配置协议,源 IP 地址/掩码, 源 Port,目的地 IP 地址/掩码, 目的地 Port,符
合的服务等级, 符合的服务等级值。
端口表列 —此栏位显示与此 ACL 相关联的端口。
方向 —此栏位显示在此接口 ACL 过滤方向。可能的值是’inbound’。
Rule —此栏位显示与此 ACL 相关联的规则。关于规则的信息包括
号码 - 此号码为每一与 ACL 相关联的规则的识别号码。
动作 - 此栏位为每一规则相关联的动作。可能的值是 Deny 或 Permit。
符合每项 – 指定一符合条件,此条件中所有数据包都符合 ACL 及规则号码所定义的 ACL 规则.
其值为 False 或 True.
来源 IP 地址 – 指定来
来源 IP 掩码 – 指定来
目的地 IP 地址 - 指定目的地 IP 地址给此规则
目的地 IP 掩码 – 给此规则指定目的地 IP 的掩码 .
来源 L4 Port 关键字 - 此规则指定来源第四层 port 符合条件
来源 L4 Port 号码 -给此规则指定来源第四层 port 符合条件. 其值为 0 到 65535.
源 IP 地址给此规则
源 IP 掩码给此规则.
74
目的地 L4 Port 关键字 - 指定目的地第四层 port 符合条件给此规则 .
目的地 L4 Port 号码 - 指定目的地第四层 port 符合条件给此规则. 其值为 0 到 65535.
协议关键字 – 指定协议给此规则过滤 , 可能的值为 IGMP, ICMP, IP, TCP, UDP.
协议号码 – 指定协议号码与此 ACL 关联
服务类型 -指定服务类型为 IP DSCP, IP Precedence, 或 IP TOS 符合条件给此规则.
此屏幕中的图标被定义于下面:
’
’ – 创建新存取控制表
’ – 修改存取控制表
’
’ – 删除存取控制表
’
75
创建/ 修改 Access Control List
点击 Access Control List 总结表中的图标’ ’ 或’ ’ 将出现以下屏幕。
图 5-58 创造 Access Control List 屏幕
z ACL ID - 显示和指定 ACL 的 id。
z 端口 (s) - 选择端口与此 ACL 相关联。
z 方向 - 此栏定义在此接口 ACL 过滤方向。
z 规则 - 显示和指定 ACL 相关的规则编号 .
z 动作 - 此栏显示每一规则相关联的动作。可能的值是 Deny 或 Permit。
z 符合每项 - 指定一符合条件,此条件中所有数据包都符合 ACL 及规则号码所定义的
ACL 规则。其值为 False 或 True。当此值设为 True 时 ,(,)下面栏将无法输入
z 源IP地址– 指定源 IP 地址给此规则
z 来源 IP 掩码 – 指定来源 IP 掩码给此规则.
z 目的地 IP 地址 - 指定目的地 IP 地址给此规则
z 目的地 IP 掩码 – 指定目的地 IP 掩码给此规则.
z 来源 L4 Port 关键字 - 指定符合条件的源第四层端口类别给此规则.
z 来源 L4 Port 号码 - 符合条件的源第四层端口号给此规则. 其值为 0 到 65535.
z 目的地 L4 Port 关键字 - 指定符合条件的目的地第四层端口类型给此规则.
z 目的地 L4 Port 号码 -指定符合条件的目的地第四端口层端口号给此规则. 其值为 0
到 65535.
z 协议关键字 – 指定规则过滤哪种协议, 可能的值为 IGMP, ICMP, IP, TCP, UDP.
z 协议号码 – 指定与此 ACL 关联的协议号码
76
z 服务类型 -给此规则指定服务类型,为 IP DSCP, IP Precedence 或 IP TOS.每一服
务类型有其相关参数须配置,如下:
IP DSCP
IP DSCP - 此值是指定的 , 如 0 到 63 之间的任意一个整数 .
IP Precedence
IP Precedence - 优先值是一个 0 到 7 之间的整数 .
IP TOS
TOS Bits - TOS Bits 的值是一个从 00 到 FF 的两位十六进制数 .
TOS 掩码 - TOS 掩码的值是一个从 00 到 FF 的两位十六进制数 .
77
5.7.2 MAC 地址锁定
设置 MAC 地址锁定。指向菜单选项’ 安全’ 并点击’MAC 地址锁定’ 。将出现以下屏幕。
图 5-59 MAC 地址锁定 屏幕
此表列出各端口所锁定的 MAC 地址. 点击端口图像’
地址,或点击图像’
’ 以清除端口所有锁定的 MAC 地址。
配置端口锁定的 MAC 地址,将出现以下屏幕。
图 5- 60 端口 MAC 地址锁定配置屏幕
’ 以配置该端口将要锁定的 MAC
每一端口可锁定 8 个 MAC 地址.必须输入此端口欲锁定的 MAC 地址在哪一 VLAN 及此 MAC 地
78
址.
5.7.3 802.1X 用户
设置 802.1X 用户参数。指向菜单选项’ 安全’ 并点击’802.1X 用户’ 。将显示出一个与下图相
似的屏幕:
图 5-61 802.1X 用户屏幕
802.1X 用户表—显示所有用户登录信息。此中表包括下列信息
o 用户 - 显示于系统登录指定用户所属的登录表列 .
o 表列名称
o 端口 - 显示用户列表中指定用户所访问的指定端口 .
- 显示登录表列的表列名称.
启动 802.1X – enable 或 disable 802.1X 模式.注意启动此模式会造成当前联机中断,必
须重新联机才可管理此交换机.
此屏幕中的图标定义如下:
’
’ – 修改 802.1X 用户所属登录表列与指定端口.
79
802.1X 用户配置
图 5-62 配置 802.1X 用户屏幕
z 用户名 – 已配置的用户名 ,由章节 5.8.1 ’用户帐号 ’所定义的用户 .
z 组别名称 - 已配置的登录表列 . 由章节 5.8.2 ’认证表列 ’所定义的登录表列
z 端口 - 选择指定的端口.
如果用户被分配到一登录表列,而该表列要求远程认证, 则对接口的所有访问经由 CLI 、
互联网, 和 telnet 会话将被阻拦直到认证完成。
注意为防止交换机被意外锁死,用户 admin 相关联的登录表列无法改变。
80
5.7.4 802.1X 端口配置
设置 802.1X 端口配置参数。指向菜单选项 ’ 安全’ 并点击’802.1X 端口配置’ 。将显示出一
个与下面图示相似的屏幕.:
图 5-63 802.1X 端口配置屏幕
802.1X 端口配置表—此表中包括下列信息
o 端口
o 方向 - 指定端口的控制方向 .此控制方向支配请求者与认证者之间进行协议交换的程度 .这
o 可管理端口控制 - 此端口运作的认证模式.其值可能是 ForceUnauthorized,
o 静止周期 - 在此端口认证者状态机器使用的定时器,用以定义时间周期,在周期内将不尝
o Tx 周期 - 在此端口认证者状态机器使用的定时器,用以决定何时去发送一 EAPOL EAP
o 请求者逾时 - 在此端口认证者状态机器使用的定时器,用以对请求者记时 . 此值以秒表示 ,
o 服务器逾时 - 在此端口认证者状态机器使用的定时器,用以对服务器记时. 此值以秒表示,
o 最大请求 - 在此端口认证者状态使用的最大次数,用以在逾时重新发送一 EAPOL EAP
- 端口编号 .
会影响是否使认证的可管理端口在两方向 (disable 进入及出去的信息帧 )或只在进入方向
(只 disable 进入信息帧的接收 ).进行 .
ForceAuthorized, 或 Auto.
试去取得请求者 . 此值以秒表示 ,其范围是 0 到 65535.
Request/Identity frame 给请求者. 此值以秒表示,其范围是 1 到 65535.
其范围是 1 到 65535.
其范围是 1 到 65535.
81
Request/Identity frame 给请求者的次数. 其范围是 1 到 10.
o 重新认证周期- 在此端口认证者状态使用的定时器,用以决定何时对请求者重新认证.其值
范围在 1 到 65535 之内.
o 重新认证 Enabled – 指示在指定端口重新认证是否 enable,其值可能是 True 或 False.
o 密钥传输 Enabled – 指示在指定端口是否传送密钥,其值可能是 True 或 False.
o 状态 –指示各端口的现况 .
图标’ ’ 在此屏幕被用以配置一个期望的 802.1X 端口
配置 802.1X 端口
图 5-64 配置 802.1X 端口屏幕
z 方向 — 此栏用以对指定的端口配置控制方向。此控制方向支配请求者与认证者之间
进行协议交换的程度.这会影响是否使认证的可管理端口在两个方向(disable 进入及
出去的信息帧)或只在进入方向(只 disable 进入信息帧的接收)..
z 可管理端口控制— 此栏位用以设定指定端口的认证模式。控制模式可以是下列之一:
forceunauthorized: 认证者port access entity (PAE)无条件地设定可管理端口为无认证.
forceauthorized: 认证者port access entity (PAE)无条件地设定可管理端口为已认证.
auto: 认证者port access entity (PAE)设定可管理端口模式为请求者,认证者,认证服务器之间进行
协议交换的结果.
z 静止周期— 此栏设定此端口认证者状态使用的定时器的值,以秒计,用以定义时间周
期,在周期内将不尝试去取得请求者。此静止周期就是一个周期,在此期间认证者在与
82
请求者之间交换失败时不再向请求者尝试去取得请求。静止周期的值必须在 0 到 65535
范围。
z 传输周期— 此栏设定此端口认证者状态使用的定时器的值,以秒计, 以决定何时发送
一 EAPOL EAP Request/Identity frame 给请求者。传输周期的值必须在 1 到 65535
范围。
z 请求者逾时— 此栏设定此端口认证者状态使用的定时器的值,以秒计, 以对请求者计
时。请求者逾时的值必须在 1 到 65535 范围。
z 服务器逾时— 此栏设定此端口认证者状态使用的定时器的值,以秒计, 以对认证服务
器计时。服务器逾时的值必须在 1 到 65535 范围。
z 最大请求 — 此栏设定此端口认证者状态在将请求者逾时之前重新发送 EAPOL EAP
Request/Identity 最大次数。最大请求的值必须在 1 到 10 范围。
z 重新认证周期— 此栏设定此端口认证者状态使用的定时器的值,以秒计, 以决定何时
作重新认证。重新认证周期的值必须在 1 到 65535 范围。
z 重新认证 Enabled — 此栏设定指定端口请求者的重新认证 enables 或 disable 。重新
认证的值必须是 ’ True’ 或 ’ False’ 。如果值是’true’ 重新认证将发生。否则, 重新认
证不会被允许。
z 密钥传输 Enabled—此栏设定指定端口请求者传送密钥 enable 或 disable 。
83
5.7.5 RADIUS 服务器
设置 RADIUS 服务器。指向菜单选项’ 安全’ 并点击’RADIUS 服务器’ 。将显示出一个与下面
图示相似的屏幕.:
图 5-65 RADIUS 服务器屏幕
RADIUS 服务器表 —显示配置的 RADIUS 服务器。表包括
o RADIUS 服务器 IP 地址 - 认证服务器的 IP 地址.
o RADIUS Port - 此服务器所使用的 port.
o 主要的服务器 - 服务器的类型.其值有 Primary 或 Secondary
此屏幕中的图标被定义于下面:
’
’ –创建 RADIUS 服务器
’ –修改 RADIUS 服务器
’
’
’ –删除 RADIUS 服务器
84
创建/修改 RADIUS 服务器
图 5-65 创建/修改 RADIUS 服务器屏幕
z RADIUS 服务器 IP 地址 — 此栏设定 IP 地址用以连接到 RADIUS 服务器。每一
RADIUS 客户可设定 3 个服务器。
z RADIUS Port — 此栏设定UDP Port 号码用以连接到RADIUS 服务器。Port 号码必须
是在0和65535 范围内。
z 秘密— 此栏位设定在RADIUS 客户和RADIUS 服务器之间共有的密钥。每一已设定的
服务器都要有一被配置。密钥必须是由20个字母数字组成。此栏这里无法被显示,因
为它已被加密。
z 主要的服务器 — 此栏定义那一个已设定的服务器对此RADIUS 客户来说是主服务
器。此主服务器被用做处理RADIUS 请求的缺省服务器
器无法到达时才使用
服务器
。
。每一RADIUS 客户最多可设定3 个服务器。只有一个服务器为主
z 信息认证者— 此栏用以将指定的RADIUS 服务器的认证者属性enable 或disable
认证者属性enable 将对RADIUS 客户和RADIUS 服务器之间连接提供额外的安全
RADIUS 服务器要求信息认证者属性enable 才接受RADIUS 客户的认证请求
。其它的服务器只有在主服务
。信息
。有些
。
z 秘密已配置 — 此栏指示秘密栏已被加密。
85
5.7.6 RADIUS 配置
设置 RADIUS 配置。指向菜单选项 ’ 安全’ 并点击 ’RADIUS 配置’ 。将显示出一个与下图
相似的屏幕.:
图 5-66 RADIUS 配置屏幕
z 最大重新传送 — 此栏设定当没有收到 RADIUS 服务器回应时重新发送请求数据包的
最大次数。此值必须在 1 到 15 之间。
z 逾时持续时间 —此栏设定逾时的值(以秒计), 如果没有收到回应的时间超过此值就
必须重发请求给 RADIUS 服务器。逾时持续时间的值必须在 1 到 30 之间。
当配置最大重新传送和逾时持续时间时应考虑最大延迟时间。如果有多个 RADIUS 服务器
被配置,在尝试下一个服务器之前每一个客户的最大重新传送的值将被用尽
超过所设定的逾时时间仍没有收到 RADIUS 服务器的回应
。所以,由 RADIUS 应用收到回应
。重新传送除非
的最大延迟等于所有服务器(重新传送次数乘以逾时持续时间)的总和。如果 RADIUS 请求由
用户登录所产生, 所有用户接口将被阻拦直到 RADIUS 应用传回应答。
z 计帐模式— 开启或关闭使 RADIUS 计帐功能。
86
配置 RADIUS 计帐服务器
只可设定一个 RADIUS 计帐服务器,使用 IP 地址及 UDP port 定义一计帐服务器.RADIUS
客户与 RADIUS 计帐服务器间有一共享的密钥. 点击图标’
屏幕.
图 5-66 RADIUS 配置屏幕
’将显示出一个与下图相似的
z 计帐服务器 IP 地址 —计帐服务器使用的 IP地址 .
z 计帐服务器 Port —计帐服务器使用的 UDP port,范围 0 - 65535.
z 秘密 —设置 RADIUS服务器与 RADIUS用户间的秘钥 .
87
5.8 管理
指向指示灯面板之下的菜单选项,点击标签 ’ 管理’ ,将出现以下屏幕.
图 5-67 管理屏幕
菜单包括以下参数:
用户帐号--让你配置用户帐号。参见章节 5.8.1 ’用户帐号’。
认证表列--让你配置认证表列。参见章节 5.8.2 ’ 认证表列’。
用户登录配置--让你配置用户登录配置。参见章节 5.8.3 ’ 用户登录配置’。
SNMP Community 配置 --让你配置 SNMP Community。参见章节 5.8.4 ’ SNMP
Community 配置’ 。
Trap 接收 --让你配置 SNMP Trap 接收器。参见章节 5.8.5 ’Trap 接收 ’。
Trap 标记 --让你配置 Trap 标记。参见章节 5.8.6 ’ Tra p 标记 ’。
88
5.8.1 用户帐号
设置用户帐号。指向菜单选项’ 管理’ 并点击’ 用户帐号’ 。屏幕将出现如图 5-67 的画面。
z 用户帐号表 — 显示已配置的用户名称和他们的设置。此屏幕只有权限为readwrite 的
用户可看见。此表中包括下列信息
o 用户名称 – 列出利用串口,Telnet 或者 WEB 来登录的以设定的用户.工厂的缺省值有二个用
户名,admin 和 guest.
o 存取模式 - 显示此操作者是否能够改变交换机的参数(Read/Write) 或者只有阅览交换机的参
数(Read Only). 工厂缺省设定 admin 有 Read/Write 存取权和 guest 有 Read Only 存取权.只有
一个用户有 Read/Write 权限,可多达 5 个 Read Only 用户.
o SNMP v3 存取模式 - 指出 SNMP v3 访问权限给指定的登录用户.
o 认证协议 - 指出指定的登录用户所使用的认证协议 .有效的协议有 none, md5 或 sha.如果
md5 或 sha 被指定 ,此用户的登录密码将被用来作为 SNMP v3 的验证密码 .
o 加密协议 - 指出指定登录用户所使用的加密协议和密钥 .有效的加密协议有 none 或 des.
o 加密密钥 - 如果 DES 协议被指定 ,它将需要一个密钥 ,此密钥有 16 个字符长
议被指定 , 不需要提供密钥的 .
.如果 NONE 协
此屏幕中的图标被定义于下面:
’ ---创建一名新用户
’
’ ---修改用户
’
’ ---删除用户
’
89
创建/修改用户
图 5-68 配置用户帐号屏幕
z 用户名称 — 此栏用以指定一名新用户给此交换机。用户名称是 8 个字符和无大小写
区分。工厂缺省用户为 admin 和 guest 。
z 密码 — 此栏用以指定用户密码。此密码由八个字母数字组成。名称和密码不区分大
小写。
z 确认密码 — 重新输入密码以确认它正确地被输入。
z 存取模式 — 此栏位
用以指定操作员是否能改变交换机的参数 (Read/Write) 或只能
查看参数(Read Only) 。作为工厂缺省,admin 有 Read/Write 权和 guest 有 Read Only
权。只有一个用户有 Read/Write 权限,可多达 5 个 Read Only 用户。
z SNMP v3 存取模式 — 此栏位定义 SNMP v3 访问权限给指定的登录用户。有效的访
问模式为 readonly 或 readwrite 。
z 认证协议 — 此栏定义指定的登录用户所使用的认证协议.有效的协议有 none, md5
or sha.如果 md5 或 sha 被指定,此用户的登录密码将被用来作为 SNMP v3 的论证密码。
z 加密协议 — 此栏定义指定登录用户所使用的加密协议和密钥。有效的加密协议有
none 或 des。
z 密钥 — 如果加密协议是 des, 它将需要一个密钥, 此栏用以定义密钥。此密钥有 16
个字符长.如果 NONE 协议被指定,不需要提供密钥的。
90
5.8.2 认证表列
设置认证表列。指向菜单选项’ 管理’ 并点击’ 认证表列’。 将出现以下屏幕。
图 5-69 认证表列屏幕
认证列表用以配置不同的认证方式,如下图所示,认证方法有三种, local,radius,reject.
图 5-70 认证配置屏幕
91
5.8.3 用户登录配置
设置用户登录配置。指向菜单选项’ 管理’ 并点击’ 用户登录配置’。 将出现以下屏幕。
图 5-71 用户登录配置屏幕
将用户配置到所定义的认证表列中,如下图所示.
图 5-72 用户登录配置屏幕
92
5.8.4 SNMP Community 配置
设置 SNMP Community 。指向菜单选项’ 管理’ 并点击’SNMP Community 配置’ 。将出现以
下屏幕。
图 5-73 SNMP Community 配置屏幕
SNMP Community 表 —此表中显示配置的 SNMP community 信息。信息中包括下列项
o SNMP Community 名称 - 显示 SNMP Community 的名称 .
o 客户 IP 地址 - 一个在该地址的设备将接受带相关 community 的 SNMP 数据包 .
o
客户 IP 掩码 - 一个掩码,用以与请求实体的 IP 地址与指定 IP 相比较之前做与运算在 .
o 存取模式 – 给此 community 的访问权限.
o 状态 - 此 community 访问实体的状态 .
此屏幕中的图象定义如下:
’
’ –创建新 community
’ –修改 community
’
’ –删除community
’
93
创建/修改 Community
图 5-74 创建/ 修改 Community 屏幕
o SNMP Community 名称 - 此栏用以定义 SNMP Community 的名称。是一个有大小写
区分的 16 个字母数字组成。
o 客户 IP 地址 -此栏用以定义 IP 地址。此 IP 地址在该处的设备将接受带相关 community
的 SNMP 数据包。.缺省值是 0.0.0.0 。
o 客户 IP 掩码 - 此栏用以定义 IP 掩码。此掩码用以将请求实体的 IP 地址在与指定 IP
相比较之前做与运算。.缺省值是 0.0.0.0。
o 存取模式 - 此栏定义 community 字符串的访问权限。可由下拉菜单选择 Read/Write
或 Read Only。
o 状态 -如果一 SNMP Community 被 enable,一个与此 community 相关连的 SNMP 管制器
就可根据它的访问权限管理此交换机。如果 Community 被 disable,使用此 Community
的 SNMP 要求就不会被接受。在这状况下与此 community 相关连的 SNMP 管制器就无法
管理此交换机直到 enable 状态被改回。
94