- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载 (10.35 MB)
目 录
35.1.6 DHCP Snooping支持Option 82功能
35.5.1 DHCP服务器典型配置举例(静态绑定地址典型配置举例)
35.5.2 DHCP服务器典型配置举例(动态分配地址典型配置举例)
42.1.4 使用本地Portal服务器的Portal认证系统
44.2 配置RADIUS方案(适用于S5500-WiNet、S3100V2-WiNet系列交换机)
44.3 配置RADIUS方案(适用于S5120-WiNet系列交换机)
48.2.1 端口隔离组典型配置举例(单隔离组且不支持上行端口)
48.2.2 端口隔离组典型配置举例(多隔离组且不支持上行端口)
若无特殊说明,本配置指导均以S5500-WiNet系列交换机为例,对Web网管的配置方法进行介绍。
为了方便网络管理员对网络设备进行操作和维护,H3C特推出了Winet设备的Web网管功能,管理员可以使用Web界面直观地对设备进行管理和维护。
Web网管的运行环境如图1-1所示。
图1-1 Web网管运行环境
这里的PC是进行设备基本配置时使用的PC,不一定是Web网管终端。
用户首次登录Web网管时需要使用缺省帐号进行登录,登录完成后为了确保设备的安全性,需要立即创建新的管理员帐号并删除设备缺省帐号,具体操作步骤如下:
· 使用缺省帐号首次登录Web网管
· 创建新的管理员帐号
· 删除设备缺省帐号
设备出厂时已经默认启用了HTTP服务,并且有缺省的登录帐号:用户名为admin、登录密码为admin,和缺省VLAN接口(Vlan-interface1)的IP地址,用户可以使用这些信息完成Web网管的首次登录。
设备缺省VLAN接口(Vlan-interface1)的IP地址各产品有所不同:
· S5500-WiNet系列和S5120-WiNet系列交换机为“192.168.0.233/24”。
· S3100V2-WiNet系列交换机为“192.168.0.234/24”。
下面以S5500-WiNet系列交换机为例,介绍如何通过Web方式登录设备,具体步骤如下:
(1) 连接设备和PC
用网线将PC和设备上的千兆以太网口(缺省情况下,所有端口均属于VLAN 1)相连。
(2) 为PC配置IP地址,保证能与设备互通
设置PC的IP地址与设备的缺省VLAN接口IP地址同网段(除设备的默认IP地址外),例如192.168.0.20。
(3) 启动浏览器,输入登录信息
在PC上启动浏览器,在地址栏中输入“http://192.168.0.233”后回车,进入设备的Web登录页面,如图1-2所示。输入缺省帐号“admin”、密码“admin”和验证码,选择Web网管的语言种类(包括中文、English两种),单击<登录>按钮登录Web网管。
图1-2 Web网管登录界面
登录Web网管时,需注意:
· Web网管终端是登录Web网管时使用的PC,PC与设备之间路由可达即可。
· 在无法看清楚当前验证码或者验证码超时的情况下,可在Web登录界面上单击显示的验证码图片、从而刷新验证码。
创建管理员帐号,步骤如下:
(1) 在导航栏中选择“设备 > 用户管理”。
(2) 单击“创建用户”页签,进入如图1-3所示的页面。
(3) 设置管理员帐号的用户名和密码。访问级别设置为“Management”,服务类型至少勾选“Web服务”,加密方式方式请用户自选。
(4) 单击<应用>按钮,完成创建帐号工作。
管理员帐号的密码复杂度要高。管理员帐号的用户名和密码请牢记。
(5) 单击Web网管页面右上角的<保存>按钮,弹出如图1-4窗口后表明配置保存成功;单击窗口的<确定>按钮,完成保存操作。
(6) 单击Web网管页面右上角的<退出>按钮,退出Web网管。
出于安全性考虑,新建管理员帐号并保存后,请用户删除设备缺省帐号,删除设备缺省帐号具体操作步骤如下:
(1) 使用新创建的管理员帐号登录Web网管。
(2) 在导航栏中选择“设备 > 用户管理”,单击“删除用户”页签,如图1-5。
(3) 选中缺省帐号“admin”,点击<删除>按钮,Web网管会提示“确定要删除选中的用户吗”,点击<确定>按钮,完成删除设备缺省帐号工作。
(1) Web网管的登录
打开浏览器,在地址栏中输入Web网管地址后回车,即可进入设备的Web登录页面,如图1-2所示。输入用户名、密码、验证码,选择Web网管的语言种类,单击<登录>按钮,完成Web网管的登录。
(2) Web网管的退出
在Web网管页面上单击右上角的<退出>按钮(如图1-6所示),即可退出Web网管。
退出Web网管时,系统不会自动保存当前配置。因此建议用户在退出Web网管前先设置保存当前配置。
· 可同时通过Web登录设备的最大用户数为5。
· 用户点击浏览器的网页关闭按钮,直接关闭Web网管的界面后,该用户登录Web的连接不会立即断开,而需要等待一个Web闲置超时时间(缺省为10分钟,具体配置方法请请参见本手册的“基本信息”部分)后才会断开连接。为避免此类问题请用户使用正确方式退出Web网管。
· 用户可以通过HTTP服务登录Web 网管、也可以通过HTTPS服务登录Web网管。通过HTTPS服务登录时,需要先在设备上启用HTTPS服务,并且用户在浏览器地址栏中输入的地址需以“https://”开头,具体配置请参见本手册的“服务管理”。
Web网管页面共分为:导航栏、配置区、辅助区三部分,如图1-6所示。
图1-6 Web网管初始页面(以S3100v2-WiNet系列交换机为例)
|
(1)导航栏 |
(2)配置区 |
(3)辅助区 |
· 导航栏:以导航树的形式组织设备的Web网管功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在配置区中。
· 配置区:用户进行配置和查看的区域。
· 辅助区:辅助区的左侧用于显示当前配置区的页面在导航栏中的路径;右侧提供<保存>按钮可以快速保存当前配置,提供<帮助>按钮可以查看Web网管的版本和帮助信息,并提供<退出>按钮可以退出Web网管登录。
Web网管用户的级别由低到高分四级:Visitor、Monitor、Configure和Management。不同用户级别拥有不同的设备操作权限,高级别用户具有低级别用户的所有操作权限。
· Visitor:处于该级别的用户可以进行ping和trace route操作,但不能从设备读取任何数据,也不能对设备进行任何设置。
· Monitor:处于该级别的用户只能从设备读取数据,而不能对设备进行任何设置。
· Configure:处于该级别的用户可以从设备读取数据,并对设备进行配置,但是不能对设备进行软件升级、添加/删除/修改用户、备份/恢复配置文件等操作。
· Management:处于该级别的用户可以对设备进行任何操作。
Web网管功能的具体说明如表1-1所示。
表1-1中用户级别表示该级别或高于该级别的用户均可实现对应功能的操作。
表1-1 Web网管功能说明
|
菜单/页签 |
功能说明 |
用户级别 |
||
|
配置向导 |
IP设置 |
对设备基本业务进行快速配置 |
Management |
|
|
Stack(仅S5500-WiNet和S5120-WiNet系列交换机支持) |
设置 |
显示堆叠的全局和端口设置信息 |
Configure |
|
|
设置全局和端口IRF的相关参数 |
Management |
|||
|
拓扑信息 |
显示堆叠的拓扑信息 |
Configure |
||
|
设备信息 |
显示堆叠成员设备的面板信息 |
Configure |
||
|
IRF(仅S3100V2-52TP-WiNet交换机支持) |
全局信息 |
显示堆叠的全局信息 |
Configure |
|
|
拓扑信息 |
显示堆叠的拓扑信息 |
Monitor |
||
|
成员信息 |
显示成员配置信息、主控板角色信息、堆叠口配置信息 |
Monitor |
||
|
成员设置 |
显示设置成员设备和激活堆叠配置 |
Configure |
||
|
设备概览 |
系统信息 |
显系统基本信息、系统资源状态、近期发生的系统操作日志 |
Monitor |
|
|
设备信息 |
显示设备上端口、电源、风扇的信息 |
Monitor |
||
|
设备 |
基本信息 |
系统名称 |
显示、设置系统的名称 |
Configure |
|
Web闲置超时时间 |
显示、设置Web的闲置超时时间 |
Configure |
||
|
设备维护 |
软件升级 |
设置从本地主机上传升级文件,对系统软件进行升级 |
Management |
|
|
设备重启 |
设置重新启动设备 |
Management |
||
|
电子标签 |
显示设备的电子标签信息(S3100V2-52TP-WiNet和S5500-WiNet系列交换机不支持) |
Monitor |
||
|
诊断信息 |
生成诊断信息文件,并将文件打开查看或保存到本地主机 |
Management |
||
|
日期和时间 |
日期和时间 |
显示系统的日期和时间 |
Monitor |
|
|
手动设置系统时间 |
Configure |
|||
|
网络时间 |
显示系统时钟的同步状态和网络时间的配置信息 |
Monitor |
||
|
设置网络时间 |
Configure |
|||
|
设置系统时区 |
Configure |
|||
|
日志管理 |
日志显示 |
显示、查询、刷新日志信息 |
Monitor |
|
|
清空日志信息 |
Configure |
|||
|
日志主机 |
显示、设置日志主机的信息 |
Configure |
||
|
参数设置 |
显示、设置缓冲区容量的信息 |
Configure |
||
|
显示、设置日志显示刷新周期的信息 |
Configure |
|||
|
显示、设置安全日志的信息(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
Configure |
|||
|
配置管理 |
配置备份 |
设置将配置文件备份到本地主机 |
Management |
|
|
配置恢复 |
设置从本地恢复配置文件到设备 |
Management |
||
|
保存配置 |
设置将当前的配置保存到配置文件中 |
Configure |
||
|
恢复出厂配置 |
设置将设备恢复到出厂时的配置 |
Configure |
||
|
文件管理 |
文件管理 |
对设备上的文件进行管理,包括显示、上传、下载、删除以及设置主用启动文件 |
Management |
|
|
端口管理 |
显示 |
按特性显示所有端口的相关信息 |
Monitor |
|
|
详情 |
按端口显示各种特性的相关信息 |
Monitor |
||
|
设置 |
设置端口的各种特性 |
Configure |
||
|
端口镜像 |
显示 |
显示端口镜像组的配置信息 |
Monitor |
|
|
新建/创建 |
新建端口镜像组 |
Configure |
||
|
删除 |
删除端口镜像组 |
Configure |
||
|
修改端口 |
配置端口镜像组中的端口信息 |
Configure |
||
|
用户管理 |
用户概览 |
显示Web、FTP和Telnet用户的概要信息 |
Monitor |
|
|
超级密码 |
设置用户从当前访问等级切换到管理级所使用的超级密码 |
Management |
||
|
创建用户 |
创建Web、FTP和Telnet用户 |
Management |
||
|
修改用户 |
修改Web、FTP和Telnet用户信息 |
Management |
||
|
删除用户 |
删除Web、FTP和Telnet用户 |
Management |
||
|
切换到管理级 |
切换用户当前的访问等级到管理级 |
Monitor |
||
|
环回测试 |
环回测试 |
对以太网接口进行环回测试 |
Configure |
|
|
线缆检测 |
线缆检测 |
对以太网接口进行线缆检测 |
Configure |
|
|
流量监控 |
流量监控信息 |
显示、查询、刷新端口在指定时间间隔内接收和发送的报文数、字节数和带宽利用率 |
Monitor |
|
|
端口统计时间间隔设置 |
显示、设置端口进行流量监控统计的时间间隔 |
Configure |
||
|
流量监管 |
流量监管 |
显示、设置端口进行流量监管统计的时间间隔,显示、查询、新建、修改、删除端口流量阈值控制的配置信息 |
Configure |
|
|
RMON |
统计组 |
显示、查询、新建、修改、删除统计表项的信息,查看RMON统计信息 |
Configure |
|
|
历史组 |
显示、查询、新建、修改、删除历史表项的信息,查看RMON历史采样信息 |
Configure |
||
|
告警组 |
显示、查询、新建、修改、删除告警表项的信息 |
Configure |
||
|
事件组 |
显示、查询、新建、修改、删除事件表项的信息 |
Configure |
||
|
日志 |
显示、查询、刷新RMON事件的日志信息 |
Configure |
||
|
绿色节能 |
绿色节能 |
显示、设置端口的绿色节能功能 |
Configure |
|
|
SNMP |
设置 |
设置SNMP |
Monitor |
|
|
显示、刷新SNMP统计信息和统计值 |
Configure |
|||
|
团体 |
显示、查询SNMP团体的信息 |
Monitor |
||
|
新建、修改、删除SNMP团体 |
Configure |
|||
|
组 |
显示、查询SNMP组的信息 |
Monitor |
||
|
新建、修改、删除SNMP组 |
Configure |
|||
|
用户 |
显示、查询SNMP用户的信息 |
Monitor |
||
|
新建、修改、删除SNMP用户 |
Configure |
|||
|
Trap |
显示SNMP Trap功能的使能状态信息;显示、查询目标主机的信息 |
Monitor |
||
|
设置SNMP Trap功能的使能状态,新建、修改、删除目标主机 |
Configure |
|||
|
视图 |
显示、查询SNMP视图的信息 |
Monitor |
||
|
新建、修改、删除SNMP视图 |
Configure |
|||
|
接口统计信息 |
接口统计信息 |
显示、查询、清除接口统计信息 |
Configure |
|
|
网络 |
VLAN |
选择 |
选择VLAN的显示范围 |
Monitor |
|
创建 |
创建VLAN |
Configure |
||
|
端口细节 |
显示端口的VLAN细节信息 |
Monitor |
||
|
细节 |
显示VLAN的成员端口信息 |
Monitor |
||
|
修改VLAN |
修改VLAN的描述和成员端口 |
Configure |
||
|
修改端口 |
修改端口所属的VLAN,以及端口的连接类型和PVID |
Configure |
||
|
删除 |
删除VLAN |
Configure |
||
|
VLAN虚接口 |
显示 |
按地址类型显示VLAN虚接口的信息 |
Monitor |
|
|
创建 |
创建VLAN虚接口,并可以配置其IP地址 |
Configure |
||
|
修改 |
修改VLAN虚接口的IP地址和状态 |
Configure |
||
|
删除 |
删除VLAN虚接口 |
Configure |
||
|
语音VLAN |
显示 |
显示语音VLAN的全局和端口信息 |
Monitor |
|
|
设置 |
设置全局语音VLAN |
Configure |
||
|
端口设置 |
设置端口语音VLAN |
Configure |
||
|
显示OUI |
显示语音VLAN能识别的OUI地址信息 |
Monitor |
||
|
添加OUI |
添加语音VLAN能识别的OUI地址 |
Configure |
||
|
删除OUI |
删除语音VLAN能识别的OUI地址 |
Configure |
||
|
MAC地址 |
MAC |
显示、查询、刷新MAC地址信息 |
Monitor |
|
|
新建、删除MAC地址 |
Configure |
|||
|
设置 |
显示、设置MAC地址老化时间 |
Configure |
||
|
MSTP |
MSTP域 |
显示MSTP域的信息 |
Monitor |
|
|
修改MSTP域 |
Configure |
|||
|
MSTP全局 |
显示、设置MSTP全局参数 |
Configure |
||
|
端口信息 |
显示端口MSTP的信息 |
Monitor |
||
|
端口设置 |
显示、设置MSTP端口参数 |
Configure |
||
|
链路聚合 |
显示 |
显示聚合接口的信息,以及聚合接口中端口成员的信息 |
Monitor |
|
|
创建 |
创建链路聚合组 |
Configure |
||
|
修改 |
修改链路聚合组 |
Configure |
||
|
删除 |
删除链路聚合组 |
Configure |
||
|
LACP |
显示 |
显示已使能LACP协议的端口以及对端端口的信息 |
Monitor |
|
|
设置 |
设置LACP协议优先级 |
Configure |
||
|
LLDP |
端口设置 |
显示端口上的LLDP配置信息、本地信息、邻居信息、统计信息、状态信息 |
Monitor |
|
|
修改端口上的LLDP配置信息 |
Configure |
|||
|
全局设置 |
显示全局的LLDP配置信息 |
Monitor |
||
|
设置全局LLDP参数 |
Configure |
|||
|
全局信息 |
显示、刷新全局LLDP本地信息和统计信息 |
Monitor |
||
|
邻居信息 |
显示、查询全局LLDP邻居信息 |
Monitor |
||
|
ARP管理 |
ARP表 |
显示、查询ARP表的信息 |
Monitor |
|
|
新建、修改、删除ARP表项 |
Configure |
|||
|
免费ARP |
显示免费ARP功能的配置信息 |
Monitor |
||
|
设置免费ARP功能 |
Configure |
|||
|
ARP防攻击 |
ARP Detection |
显示ARP Detection功能的配置信息 |
Monitor |
|
|
设置ARP Detection功能 |
Configure |
|||
|
免费ARP定时发送(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
显示免费ARP定时发送功能的配置信息 |
Monitor |
||
|
设置免费ARP定时发送功能 |
Configure |
|||
|
扫描(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
显示ARP扫描功能的配置信息 |
Monitor |
||
|
设置ARP扫描功能 |
Configure |
|||
|
固化(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
显示、查询ARP表项信息 |
Monitor |
||
|
固化、解除固化ARP表项信息 |
Configure |
|||
|
IGMP Snooping |
基本配置 |
显示全局和VLAN内的IGMP Snooping配置信息,显示、查询IGMP Snooping组播表项信息 |
Monitor |
|
|
设置全局和VLAN内的IGMP Snooping配置信息 |
Configure |
|||
|
高级配置 |
显示端口的IGMP Snooping配置信息 |
Monitor |
||
|
设置端口的IGMP Snooping配置信息 |
Configure |
|||
|
MLD Snooping (仅S5120-WiNet系列交换机支持) |
基本配置 |
显示全局和VLAN内的MLD Snooping配置信息,显示、查询MLD Snooping组播表项信息 |
Monitor |
|
|
设置全局和VLAN内的MLD Snooping配置信息 |
Configure |
|||
|
高级配置 |
显示端口的MLD Snooping配置信息 |
Monitor |
||
|
设置端口的MLD Snooping配置信息 |
Configure |
|||
|
IPv4路由 |
显示 |
显示、查询IPv4激活路由表信息 |
Monitor |
|
|
创建 |
创建IPv4静态路由,显示已配置的静态路由信息 |
Configure |
||
|
删除 |
删除IPv4静态路由 |
Configure |
||
|
IPv6路由 |
显示 |
显示IPv6激活路由表信息 |
Monitor |
|
|
创建 |
创建IPv6静态路由,显示已配置的静态路由信息 |
Configure |
||
|
删除 |
删除IPv6静态路由 |
Configure |
||
|
DHCP |
DHCP服务器(仅S5500-WiNet系列和S3100V2-52TP-WiNet交换机支持) |
显示DHCP服务的使能状态、DHCP地址池的信息、接口DHCP服务器状态、在用地址信息 |
Monitor |
|
|
设置DHCP服务的使能状态,新建、修改、删除DHCP地址池,设置接口DHCP服务器状态 |
Configure |
|||
|
DHCP中继(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) |
显示DHCP服务的状态和DHCP中继的高级配置信息,显示服务器组的信息,显示接口的DHCP中继功能状态,查看DHCP中继用户信息 |
Monitor |
||
|
设置DHCP服务的状态和DHCP中继的高级配置信息,设置服务器组,设置接口DHCP中继功能的状态 |
Configure |
|||
|
DHCP Snooping |
显示DHCP Snooping功能的状态,显示端口的信任属性,查看SHCP Snooping用户信息 |
Monitor |
||
|
设置DHCP Snooping功能的状态,设置端口的信任属性 |
Configure |
|||
|
服务管理 |
服务管理 |
显示各种服务的启动情况 |
Configure |
|
|
设置是否启用各种服务,并设置相关的参数 |
Management |
|||
|
诊断工具 |
ping |
执行ping操作并显示执行结果(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
Visitor |
|
|
trace route |
执行trace route操作并显示执行结果(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
Visitor |
||
|
IPv4 ping |
执行IPv4的ping操作并显示执行结果(仅S5120-WiNet系列交换机支持) |
Visitor |
||
|
IPv6 ping |
执行IPv6的ping操作并显示执行结果(仅S5120-WiNet系列交换机支持) |
Visitor |
||
|
IPv4 trace route |
执行IPv4的trace route操作并显示执行结果(仅S5120-WiNet系列交换机支持) |
Visitor |
||
|
IPv6 trace route |
执行IPv6的trace route操作并显示执行结果(仅S5120-WiNet系列交换机支持) |
Visitor |
||
|
集群 |
NDP |
邻居信息 |
显示邻居信息 |
Monitor |
|
显示 |
显示NDP状态,选择端口及显示端口NDP信息 |
Monitor |
||
|
设置 |
设置NDP状态及相关定时器时间参数 |
Configure |
||
|
端口设置 |
设置端口状态 |
Configure |
||
|
NTDP |
设备列表 |
显示设备信息 |
Monitor |
|
|
刷新和拓扑收集设备信息 |
Monitor |
|||
|
显示 |
显示端口NTDP概要 |
Monitor |
||
|
设置 |
设置NTDP状态及设置拓扑收集相关参数 |
Configure |
||
|
端口设置 |
设置端口状态 |
Configure |
||
|
集群 |
显示 |
显示集群信息、集群地址池、成员列表信息 |
Monitor |
|
|
设置 |
设置交换机角色及集群设置 |
Configure |
||
|
成员管理 |
显示成员信息及管理成员 |
Configure |
||
|
手动添加成员 |
Configure |
|||
|
删除 |
删除成员 |
Configure |
||
|
黑白名单 |
设置成员黑白名单 |
Configure |
||
|
拓扑显示 |
拓扑图 |
显示设备拓扑图 |
Monitor |
|
|
集群升级 |
版本显示 |
显示成员版本信息 |
Management |
|
|
释放空间 |
删除目标交换机文件,释放空间。 |
Management |
||
|
升级备份 |
成员升级前的备份 |
Management |
||
|
状态显示 |
显示成员当前状态 |
Management |
||
|
认证 |
MAC认证 |
MAC认证 |
显示全局和端口MAC地址的配置信息 |
Monitor |
|
设置全局MAC地址认证功能,配置MAC地址认证的启用端口 |
Configure |
|||
|
802.1X |
802.1X |
显示全局802.1X和端口802.1X的配置信息 |
Monitor |
|
|
设置全局802.1X认证功能,配置802.1X认证的启用端口 |
Configure |
|||
|
端口安全 |
端口安全 |
显示端口安全的配置信息 |
Monitor |
|
|
设置端口全局端口安全功能,配置端口安全功能和安全MAC表项 |
Configure |
|||
|
Portal认证 |
配置Portal服务器 |
显示Portal服务、本地Portal参数、应用Portal服务的配置信息 |
Monitor |
|
|
新建、删除Portal服务的相关配置,修改Portal认证高级参数 |
Configure |
|||
|
免认证策略配置 |
显示、查询免认证策略的配置信息 |
Monitor |
||
|
新建、删除免认证策略 |
Configure |
|||
|
AAA |
域设置 |
显示ISP域的配置信息 |
Monitor |
|
|
新建、删除ISP域 |
Management |
|||
|
认证 |
显示ISP域AAA认证方法的配置信息 |
Monitor |
||
|
设置ISP域的AAA认证方法 |
Management |
|||
|
授权 |
显示ISP域AAA授权方法的配置信息 |
Monitor |
||
|
设置ISP域的AAA授权方法 |
Management |
|||
|
计费 |
显示ISP域AAA计费方法的配置信息 |
Monitor |
||
|
设置ISP域的AAA计费方法 |
Management |
|||
|
RADIUS |
显示、新建、修改、删除RADIUS方案 |
Management |
||
|
HWTACACS(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) |
显示、新建、修改、删除HWTACACS方案 |
Management |
||
|
用户 |
本地用户 |
显示、查询本地用户的配置信息 |
Monitor |
|
|
新建、修改、删除本地用户 |
Management |
|||
|
用户组 |
显示、查询用户组的配置信息 |
Monitor |
||
|
新建、修改、删除用户组 |
Management |
|||
|
证书管理/PKI(S5500-WiNet和S3100V2-WiNet系列交换机对应“证书管理”,S5120-WiNet系列交换机为对应“PKI”) |
PKI实体 |
显示PKI实体的信息 |
Monitor |
|
|
新建、修改、删除PKI实体 |
Configure |
|||
|
PKI域 |
显示PKI域的信息 |
Monitor |
||
|
新建、修改、删除PKI域 |
Configure |
|||
|
证书 |
显示PKI域的证书信息,查看证书的详细内容 |
Monitor |
||
|
创建密钥、销毁密钥、获取证书、申请证书、删除证书 |
Configure |
|||
|
CRL |
显示CRL信息 |
Monitor |
||
|
获取CRL信息 |
Configure |
|||
|
安全 |
端口隔离组 |
显示 |
显示端口隔离组的信息 |
Monitor |
|
组设置(仅多隔离组支持) |
添加、删除隔离组 (仅S5120-WiNet系列交换机支持) |
Configure |
||
|
端口设置 |
设置隔离组中的端口 |
Configure |
||
|
授权IP |
显示 |
显示授权IP的配置信息,以及所引用的IPv4和IPv6 ACL的规则列表信息 |
Management |
|
|
设置 |
设置授权IP |
Management |
||
|
远端环回检测 |
显示、设置系统环回检测参数和端口环回检测参数(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
Configure |
||
|
IP Source Guard |
显示、设置IP Source Guard |
Management |
||
|
QoS |
时间段 |
显示 |
显示时间段的配置信息 |
Monitor |
|
新建/创建 |
新建时间段 |
Configure |
||
|
删除 |
删除时间段 |
Configure |
||
|
ACL IPv4 |
显示 |
显示IPv4 ACL的配置信息 |
Monitor |
|
|
新建 |
新建IPv4 ACL |
Configure |
||
|
基本配置 |
设置基本IPv4 ACL规则 |
Configure |
||
|
高级配置 |
设置高级IPv4 ACL规则 |
Configure |
||
|
链路层配置 |
设置链路层IPv4 ACL规则 |
Configure |
||
|
删除 |
删除IPv4 ACL或其规则 |
Configure |
||
|
ACL IPv6 |
显示 |
显示IPv6 ACL的配置信息 |
Monitor |
|
|
新建 |
新建IPv6 ACL |
Configure |
||
|
基本配置 |
设置基本IPv6 ACL规则 |
Configure |
||
|
高级配置 |
设置高级IPv6 ACL规则 |
Configure |
||
|
删除 |
删除IPv6 ACL或其规则 |
Configure |
||
|
队列调度(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) |
显示 |
显示端口上的队列调度信息 |
Monitor |
|
|
设置 |
在端口上设置队列 |
Configure |
||
|
流量整形(仅S5120-WiNet系列交换机支持) |
显示 |
显示端口上的流量整形信息 |
Monitor |
|
|
设置 |
在端口上设置流量整形 |
Configure |
||
|
端口限速 |
显示 |
显示端口限速的配置信息 |
Monitor |
|
|
设置 |
设置端口限速 |
Configure |
||
|
类 |
显示 |
显示类的配置信息 |
Monitor |
|
|
新建/创建 |
新建类 |
Configure |
||
|
设置 |
设置类的分类规则 |
Configure |
||
|
删除 |
删除类或其分类规则 |
Configure |
||
|
流行为 |
显示 |
显示流行为的配置信息 |
Monitor |
|
|
新建 |
新建流行为 |
Configure |
||
|
设置 |
设置流行为的动作 |
Configure |
||
|
端口设置 |
设置流行为的流镜像和流量重定向动作 |
Configure |
||
|
删除 |
删除流行为 |
Configure |
||
|
QoS Policy |
显示 |
显示QoS策略的配置信息 |
Monitor |
|
|
新建 |
新建QoS策略 |
Configure |
||
|
设置 |
设置QoS策略中类和流行为的对应关系 |
Configure |
||
|
删除 |
删除策略或其中的类和流行为对应关系 |
Configure |
||
|
VLAN策略(仅S5500-WiNet和S3100V2-WiNet系列交换机支持) |
显示 |
显示VLAN上应用QoS策略的配置信息 |
Monitor |
|
|
设置 |
设置在VLAN上应用QoS策略 |
Configure |
||
|
删除 |
删除VLAN上的QoS策略应用 |
Configure |
||
|
端口策略 |
显示 |
显示端口上应用QoS策略的配置信息 |
Monitor |
|
|
设置 |
设置在端口上应用QoS策略 |
Configure |
||
|
删除 |
删除端口上的QoS策略应用 |
Configure |
||
|
优先级映射表 |
优先级映射表 |
显示优先级映射表的信息 |
Monitor |
|
|
设置优先级映射表 |
Configure |
|||
|
端口优先级 |
端口优先级 |
显示、查询端口优先级和信任模式的信息 |
Monitor |
|
|
修改端口优先级和信任模式 |
Configure |
|||
|
PoE (仅S5120-28P-POE-WiNet交换机支持) |
显示 |
显示PSE信息和PoE接口信息 |
Monitor |
|
|
PSE设置 |
设置PSE信息 |
Configure |
||
|
端口设置 |
设置PoE接口信息 |
Configure |
||
|
WiNet(仅S3100V2-52TP-WiNet和S5500-WiNet系列交换机支持) |
WiNet管理 |
显示WiNet网络的拓扑图 |
Monitor |
|
|
管理WiNet网络中的设备 |
Configure |
|||
|
设置 |
显示WiNet网络的配置信息 |
Configure |
||
|
设置启动/关闭WiNet功能 |
Configure |
|||
|
设置WiNet网络的配置信息 |
Management |
|||
|
设置网络拓扑的背景 |
Management |
|||
|
用户管理 |
显示、查询RADIUS服务器所管理的用户 |
Monitor |
||
|
新建、修改、删除RADIUS服务器所管理的用户 |
Management |
|||
表1-2 Web页面常用按钮和图标
|
按钮和图标 |
功能 |
|
|
用于使当前页面的配置内容生效 |
|
|
用于取消当前页面的配置内容,使页面跳转回相应的列表显示页面或“设备概览”页面 |
|
|
用于刷新当前页面的显示信息 |
|
|
用于删除列表中的所有项或清除所有统计信息 |
|
|
用于进入新建表项的页面 |
|
|
用于删除列表中被选中的表项 |
|
|
用于选中列表框中的所有选项或设备面板上的所有端口 |
|
|
用于将列表框中的所有选项或设备面板上的所有端口置为非选中状态 |
|
|
一般出现在配置向导的页面中,用于将当前步骤的配置缓存起来(不生效),并进入下一个配置步骤的页面 |
|
|
一般出现在配置向导的页面中,用于将当前步骤的配置缓存起来(不生效),并返回到上一个配置步骤的页面 |
|
|
一般出现在配置向导的页面中,用于使所有配置步骤的配置生效 |
|
|
一般出现在显示页面列表的“操作”列中,用于进入相应表项的修改页面,以便对该表项的详细配置进行查看或修改 |
|
|
一般出现在显示页面列表的“操作”列中,用于删除相应的表项 |
对于某些列表显示页面,Web界面提供了列表分页显示功能,如图1-7所示的列表的下方。当列表中包含较多表项时,用户可以根据需要设置每页显示多少条信息,可以选择查看首页、上一页、下一页、尾页的内容,或者直接跳转到要查看的页。
对于某些列表显示页面,Web界面提供了简单查询和高级查询的功能。当列表中包含较多表项时,用户可以通过查询功能使列表中只显示符合指定查询条件的表项,方便用户的查看。
在如图1-8所示的列表上方的文本框中输入查询关键字,选择要查询的标题项,单击<查询>按钮即可。如图1-8所示的例子为查询VLAN ID为“2”的表项。
图1-8 简单查询功能举例
在如图1-8所示的列表上方单击“高级查询”,弹出“高级查询”的页面,如图1-9所示。设置高级查询的条件后,单击<确定>按钮,页面即可按照指定的查询条件来显示。
举例说明高级查询功能的使用:ARP表显示页面如图1-8所示,要查看接口GigabitEthernet1/0/19,且IP地址范围为192.168.1.50~192.168.1.59的ARP表项。进行如下操作:
(1) 单击“高级查询”。
(2) 进行如图1-10所示的设置。
(3) 单击<确定>按钮。此时,页面显示接口GigabitEthernet1/0/19的ARP表项信息。
(4) 再次单击“高级查询”。
(5) 进行如图1-11所示的设置。
(6) 单击<确定>按钮。此时,页面显示接口GigabitEthernet1/0/19,且IP地址范围为192.168.1.50~192.168.1.59的ARP表项信息,如图1-12所示。
对于某些列表显示页面,Web界面提供了简单排序功能。当列表中包含较多表项时,用户可以通过排序显示功能使列表中的表项按照一定的顺序显示,方便用户的查看。
在列表中单击字体颜色为浅蓝色的标题项,可使列表按照该标题项中的内容的升序顺序排序显示。再次单击该标题项,可使列表按照该标题项中的内容的降序顺序排序显示。依此类推。
排序显示时的页面如图1-13所示,当前排序标题项的右边会出现一个箭头,箭头向上表示升序排序,箭头向下表示降序排序。
图1-13 简单排序显示功能举例(按IP地址降序显示)
· Web网管支持的操作系统包括:Windows XP、Windows 2000、Windows Server 2003企业版、Windows Server 2003标准版、Windows Vista、Windows 7、Linux和MAC OS。
· Web网管支持的浏览器包括:Microsoft Internet Explorer 6.0 SP2及以上版本(建议在IE9以上版本采用兼容模式)、Mozilla Firefox 3.0及以上版本、Google Chrome 2.0.174.0及以上版本。
· Web网管不支持浏览器自带的后退、前进、刷新等按钮。使用这些按钮可能会导致Web页面显示不正常。
· 由于Windows操作系统自带的防火墙会对TCP连接数进行限制,使用Web网管时偶尔会出现无法打开Web网管页面的情况。为了避免这种情况,建议关闭Windows自带的防火墙。
· 设备的软件版本变化后,在通过Web网管登录设备时,建议先清除浏览器的缓存数据,否则Web网管的内容可能无法正确显示。
· Web网管中,支持分页显示功能的列表最多只能显示2万条表项。
用户可以ping通设备,可以通过Telnet登录到设备上,HTTP服务已经启用,并且使用的操作系统和浏览器版本都符合Web网管的要求。但是,无法正常访问设备的Web网管。
· 使用Microsoft Internet Explorer浏览器时,以下功能必须都处于启用状态,才能正常访问Web网管:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件、活动脚本。
· 使用Mozilla Firefox浏览器时,必须启用JavaScript,才能正常访问Web网管。
(1) 启动Internet Explorer浏览器,选择“工具 > Internet选项”菜单项。
(2) 单击“安全”页签,选中要访问的站点所在的区域,如图1-14所示。
图1-14 Internet Explorer浏览器设置(一)
(3) 单击<自定义级别>按钮,弹出“安全设置”对话框。
(4) 如图1-15所示,设置启用以下功能:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件、活动脚本。
图1-15 Internet Explorer浏览器设置(二)
(5) 在“安全设置”对话框中单击<确定>按钮完成操作。
(1) 启动Firefox浏览器,选择“工具 > 选项”菜单项。
(2) 如图1-16所示,单击“内容”页签,选中“启用JavaScript”前的复选框,单击<确定>按钮完成操作。
图1-16 Firefox浏览器设置
通过Web的配置向导,用户可以对设备基本业务进行快速配置。
在导航栏中选择“配置向导”,进入配置向导首页面,如图2-1所示。
在配置向导首页面中单击<下一步>按钮,进入设置系统参数的页面,如图2-2所示。系统参数的详细配置如表2-1所示。
|
配置项 |
说明 |
|
系统名称 |
设置系统的名称 系统名称显示在导航栏的最上方 系统名称还可以在“设备 > 基本信息 > 系统名称”中设置,详细说明请参见本手册的“基本信息” |
|
系统位置 |
设置描述系统物理位置的字符串 系统位置还可以在“设备 > SNMP > 设置”中设置,详细说明请参见本手册的“SNMP” |
|
联系方式 |
设置描述系统维护联系信息的字符串 如果设备发生故障,维护人员可以利用此信息,及时与设备生产厂商取得联系 联系方式还可以在“设备 > SNMP > 设置”中设置,详细说明请参见本手册的“SNMP” |
修改当前登录使用的管理IP地址会导致与设备的连接断开,需要使用修改后的管理IP地址重新登录。
在设置系统参数的页面单击<下一步>按钮,进入设置管理IP地址的页面,如图2-3所示。管理IP地址的详细配置如表2-2所示。
表2-2 管理IP地址的详细配置
|
配置项 |
说明 |
|
|
请选择一个VLAN虚接口 |
选择要配置的VLAN虚接口 可选的VLAN虚接口在“网络 > VLAN虚接口 > 创建”中设置 任何一个VLAN虚接口的地址都可以作为管理IP地址来访问系统。VLAN虚接口的IP地址还可以在“网络 > VLAN虚接口”中设置,详细说明请参见本手册的“VLAN虚接口” |
|
|
配置状态 |
配置开启或关闭VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再开启接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为关闭时,VLAN虚接口为关闭状态;否则VLAN虚接口处于开启状态
关闭和开启VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 |
|
|
配置IPv4地址 |
DHCP |
设置VLAN虚接口获取IPv4地址的方式 · DHCP:表示通过DHCP分配获取IPv4地址 · BOOTP:表示通过BOOTP分配获取IPv4地址 · 手工:表示通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码长度 |
|
BOOTP |
||
|
手工 |
||
|
IPv4地址 |
设置VLAN虚接口的IPv4地址 VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
|
掩码长度 |
设置子网掩码长度(也可以输入点分十进制格式的掩码) VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
|
网关地址 |
指定网关的IP地址 缺省情况下,未设置网关的IP地址。当交换机需要通过网关与Internet进行连接时,请在此处指定网关的IP地址。 VLAN虚接口IPv4地址的获取方式选择“手工”时可用
仅S5120-WiNet系列交换机支持 |
|
|
配置IPv6链路本地地址 |
自动 |
设置VLAN虚接口获取IPv6链路本地地址的方式 · 自动:表示设备根据链路本地地址前缀(FE80::/64)及接口的链路层地址,自动为接口生成链路本地地址 · 手工:表示通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
|
手工 |
||
|
IPv6地址 |
设置VLAN虚接口的IPv6链路本地地址 VLAN虚接口IPv6链路本地地址的获取方式选择“手工”时可用,输入的IPv6链路本地地址前缀必须为“FE80::/64” |
|
在设置管理IP地址的页面单击<下一步>按钮,进入设置信息确认的页面,如图2-4所示。页面中列出了用户在配置向导中所做的所有设置。确认设置的数据是否正确,如果需要修改,则单击<上一步>按钮返回到前面的页面进行修改;如果确认设置的数据正确,则单击<完成>按钮应用所进行的设置。
仅S5500-WiNet和S5120-WiNet系列交换机支持Stack特性。
堆叠(Stack)是一组网络通信设备的集合,堆叠管理的主要目的是解决分散的网络设备的集中管理问题。
通过堆叠管理,网络管理员可以将多个网络设备组合到一起,作为一个整体进行管理,从而有效减少客户投资,并简化网络管理。典型应用如图3-1所示。
· 堆叠主设备:在堆叠中,对整个堆叠管理发挥接口作用的设备,对堆叠中的设备进行管理和监控都必须通过它来进行。
· 堆叠从设备:在堆叠中被管理的设备。
· 堆叠口:堆叠主设备与堆叠从设备互相连接的端口,以及堆叠从设备之间互相连接的端口。
堆叠的建立过程如下:
· 网络管理员在欲配置为堆叠主设备的网络设备上配置堆叠使用的私网IP地址范围,并建立堆叠。
· 网络管理员把堆叠主设备与堆叠从设备相连的端口,以及堆叠从设备之间相连的端口配置为堆叠口。
· 主设备自动将从设备加入到堆叠中,并给加入堆叠的从设备分配私网IP地址和成员编号。
· 网络管理员可以从堆叠主设备登录到任意一台堆叠从设备上,并能对从设备进行各种配置操作。
Stack配置的推荐步骤如表3-1所示。
表3-1 Stack的配置步骤
|
步骤 |
配置任务 |
说明 |
|
|
1 |
配置堆叠主设备 |
必选 配置堆叠使用的私网IP地址范围,并建立堆叠,此时设备将成为堆叠的主设备 缺省情况下,没有配置堆叠私网IP地址范围,没有建立堆叠 |
|
|
必选 为了能将从设备加入到堆叠中,需要把主设备与从设备相连的端口配置为堆叠口 缺省情况下,端口不是堆叠口 |
|||
|
2 |
配置堆叠从设备 |
必选 为了能将从设备加入到堆叠中,需要配置堆叠口: · 如果从设备直接与主设备相连,则需要将与主设备相连的端口配置为堆叠口 · 如果从设备通过另外一台从设备与主设备相连,则需要将另外一台从设备和当前从设备上相互连接的两个端口都配置为堆叠口 缺省情况下,端口不是堆叠口 |
|
|
3 |
可选 查看堆叠成员设备的信息 |
||
|
4 |
可选 查看堆叠成员设备的控制面板
查看从设备的控制面板之前,必须保证当前登录主设备使用的用户名、密码和访问权限在从设备上也有相同的配置,否则无法正常显示 |
||
|
5 |
可选 从堆叠主设备上登录到从设备的Web网管
从主设备切换到从设备之前,必须保证当前登录主设备使用的用户名、密码和访问权限在从设备上也有相同的配置,否则无法登录从设备,具体配置在“设备 > 用户管理”中进行 |
||
在导航栏中选择“Stack”,默认进入“设置”页签的页面,如图3-2所示。在页面的“全局设置”中可以配置堆叠的全局参数。
堆叠全局参数的详细配置如表3-2所示。
|
配置项 |
说明 |
|
私网IP地址范围 |
设置堆叠使用的私网IP地址范围 主设备上必须配置堆叠使用的私网IP地址范围,在从设备加入堆叠时,主设备自动给从设备分配可用的IP地址
配置堆叠私网IP地址范围时,该IP地址范围包括的IP地址数目应该大于或等于欲加入该堆叠成为堆叠从设备的网络设备数目,否则会因为私网IP地址不足导致部分设备无法自动加入堆叠 |
|
掩码 |
|
|
建立堆叠 |
设置使能建立堆叠 使能建立堆叠后,该设备将成为堆叠的主设备,并自动将与它的堆叠口相连的设备加入到堆叠中
删除堆叠只能在堆叠的主设备上进行,堆叠从设备上的“全局设置”的内容为灰显,不可以配置 |
可点击返回“表3-1 Stack的配置步骤”。
在导航栏中选择“Stack”,默认进入“设置”页签的页面,如图3-2所示。在页面的“全局设置”中可以查看和配置堆叠口。
· 选中接口名前的复选框,单击<使能>按钮,即可将选中的接口配置为堆叠口。
· 选中接口名前的复选框,单击<去使能>按钮,即可将选中的接口配置为非堆叠口。
在导航栏中选择“Stack”,单击“拓扑信息”页签,进入如图3-3所示的页面。
堆叠拓扑信息的详细说明如表3-3所示。
|
标题项 |
说明 |
|
成员编号 |
设备在堆叠中的成员编号 · 0:表示该设备是主设备 · 其他数字:表示主设备给从设备分配的编号 |
|
堆叠角色 |
设备在堆叠中的角色 · 主设备 · 从设备 |
可点击返回“表3-1 Stack的配置步骤”。
在导航栏中选择“Stack”,单击“设备信息”页签。通过在页面上单击成员编号页签,切换不同的设备,可以查看堆叠中各设备面板上的接口、电源插口等信息,如图3-4所示。
图3-4 设备信息(主设备)
可点击返回“表3-1 Stack的配置步骤”。
在导航栏中选择“Stack”,单击“设备信息”页签。单击从设备成员编号的页签,进入从设备信息的显示页面,如图3-5所示。
通过单击从设备信息控制面板下的“设置堆叠设备”的超链接,可以登录到从设备的Web网管上,直接对从设备进行管理和维护。
图3-5 设备信息(从设备)
可点击返回“表3-1 Stack的配置步骤”。
· Switch A、Switch B、Switch C和Switch D相连。
· 创建一个堆叠,其中Switch A作为堆叠主设备,Switch B、Switch C和Switch D作为堆叠从设备,网络管理员可以从Switch A远程登录到Switch B、Switch C和Switch D上进行配置管理。
图3-6 Stack配置组网图
(1) 配置堆叠主设备
# 在Switch A上配置堆叠全局参数。
· 在Switch A的导航栏中选择“Stack”,默认进入“设置”页签的页面,进行如下配置,如图3-7所示。
图3-7 在Switch A上配置堆叠全局参数
· 输入私网IP地址范围为“192.168.1.1”。
· 输入掩码为“255.255.255.0”。
· 选择建立堆叠为“使能”。
· 单击<确定>按钮完成操作。
此时,Switch A成为堆叠主设备。
# 在Switch A上配置堆叠口。
· 在“设置”页签的页面进行如下配置,如图3-8所示。
图3-8 在Switch A上配置堆叠口
· 在“端口设置”中选中“GigabitEthernet1/0/1”前的复选框。
· 单击<使能>按钮完成操作。
(2) 配置堆叠从设备
# 在Switch B上配置与主设备相连的端口GigabitEthernet1/0/2、与从设备Switch C和Switch D相连的端口GigabitEthernet1/0/1、GigabitEthernet1/0/3为堆叠口。
· 在Switch B的导航栏中选择“Stack”,默认进入“设置”页签的页面,进行如下配置,如图3-9所示。
图3-9 在Switch B上配置堆叠口
· 在“端口设置”中选中“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”和“GigabitEthernet1/0/3”前的复选框。
· 单击<使能>按钮完成操作。
此时,Switch B成为堆叠从设备。
# 在Switch C上配置与从设备Switch B相连的端口GigabitEthernet1/0/1为堆叠口。
· 在Switch C的导航栏中选择“Stack”,默认进入“设置”页签的页面,进行如下配置,如图3-10所示。
图3-10 在Switch C上配置堆叠口
· 在“端口设置”中选中“GigabitEthernet1/0/1”前的复选框。
· 单击<使能>按钮完成操作。
此时,Switch C成为堆叠从设备。
# 在Switch D上配置与从设备Switch B相连的端口GigabitEthernet1/0/1为堆叠口。
· 在Switch D的导航栏中选择“Stack”,默认进入“设置”页签的页面,进行如下配置,参见图3-10。
· 在“端口设置”中选中“GigabitEthernet1/0/1”前的复选框。
· 单击<使能>按钮完成操作。
此时,Switch D成为堆叠从设备。
(3) 验证配置结果
# 在Switch A上查看堆叠拓扑信息。
· 在Switch A的导航栏中选择“Stack”,单击“拓扑信息”页签。
· 查看到如图3-11所示的信息。
配置Stack时需要注意如下事项:
(1) 如果一台设备已经配置为某个堆叠的主设备,则不能再修改堆叠使用的私网IP地址范围。
(2) 如果一台设备已经加入某个堆叠成为它的从设备,则该设备上的“全局设置”的内容为灰显,不可以配置。
· 仅S3100V2-52TP-WiNet交换机支持此特性,本小节以S3100V2-52TP-WiNet交换机为例进行介绍。
· S3100V2-52TP-WiNet交换机只能与同型号的设备建立IRF。
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备通过物理堆叠口连接在一起,进行必要的配置后,虚拟化成一台“分布式设备”。使用这种虚拟化技术可以实现多台设备的协同工作、统一管理和不间断维护。
为了便于描述,这个“虚拟设备”也称为IRF。所以,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。
IRF主要具有以下优点:
· 简化管理。IRF形成之后,用户通过任意成员设备的任意端口都可以登录IRF系统,对IRF内所有成员设备进行统一管理。
· 高可靠性。IRF的高可靠性体现在多个方面,例如:IRF由多台成员设备组成,Master设备负责IRF的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证业务不中断,从而实现了设备的1:N备份;此外,成员设备之间的IRF链路支持聚合功能,IRF和上、下层设备之间的物理链路也支持聚合功能,多条链路之间可以互为备份也可以进行负载分担,从而进一步提高了IRF的可靠性。
· 强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展IRF的端口数、带宽。因为各成员设备都有CPU,能够独立处理协议报文、进行报文转发,所以IRF还能够轻松自如的扩展处理能力。
如图4-1所示,Master和Slave组成IRF,对上、下层设备来说,它们就是一台设备——IRF。
图4-1 IRF组网应用示意图
IRF虚拟化技术涉及如下基本概念:
IRF中每台设备都称为成员设备。成员设备按照功能不同,分为两种角色:
· Master:负责管理整个IRF。
· Slave:作为Master的备份设备运行。当Master故障时,系统会自动从Slave中选举一个新的Master接替原Master工作。
Master和Slave均由角色选举产生。一个IRF中同时只能存在一台Master,其它成员设备都是Slave。关于设备角色选举过程的详细介绍请参见4.3.3 角色选举_Ref226964171。
一种专用于IRF的逻辑接口,分为IRF-Port1和IRF-Port2。它需要和物理端口绑定之后才能生效。
设备上可以用于IRF连接的物理端口。S3100V2-52TP-WiNet交换机可以使用千兆以太网口或千兆SFP口作为IRF物理端口。通常情况下,接口用于传输业务报文,当它们与IRF端口绑定后就作为IRF物理端口,用于成员设备之间转发报文。可转发的报文包括IRF相关协商报文以及需要跨成员设备转发的业务报文。
如图4-2所示,两个IRF各自已经稳定运行,通过物理连接和必要的配置,形成一个IRF,这个过程称为IRF合并(merge)。
图4-2 IRF合并示意图
如图4-3所示,一个IRF形成后,由于IRF链路故障,导致IRF中两相邻成员设备物理上不连通,一个IRF变成两个IRF,这个过程称为IRF分裂(split)。
图4-3 IRF分裂示意图
成员优先级是成员设备的一个属性,主要用于角色选举过程中确定成员设备的角色。优先级越高当选为Master的可能性越大。
设备的缺省优先级均为1,如果想让某台设备当选为Master,则在组建IRF前,可以通过手工配置来提高该设备的成员优先级。
IRF的生命周期分为:物理连接、拓扑收集_Ref228605776、角色选举_Ref228605782、IRF的管理与维护_Ref228605796四个阶段。成员设备之间需要先建立IRF物理连接,然后会自动进行拓扑收集和角色选举,处理成功后,IRF系统正常运行,进入IRF管理和维护阶段。
要形成一个IRF,需要先连接成员设备的IRF物理端口。S3100V2-52TP-WiNet交换机使用千兆以太网口或SFP接口作为IRF物理端口,通过千兆以太网线缆、SFP堆叠模块或SFP模块和光纤在成员设备间进行连接。
千兆以太网线缆、SFP模块与光纤的搭配适用于在距离很远的设备间进行IRF连接,使得应用更加灵活;而SFP堆叠模块适用于机房内部短距离的IRF连接。
· S3100V2-52TP-WiNet交换机支持的SFP模块请参见《H3C S3100V2-WiNet系列以太网交换机 用户手册》。
· 有关SFP模块的详细介绍,请参见《H3C光模块手册》。
· H3C SFP模块的种类随着时间变化有更新的可能性,所以,若您需要准确的模块种类信息,请咨询H3C公司市场人员或技术支援人员。
IRF端口的连接是基于IRF物理端口的连接而建立的,因此需要将IRF端口和IRF物理端口对应起来,即将IRF端口和IRF物理端口进行绑定。一个IRF端口可以对应一个IRF物理端口,也可以通过对应多个IRF物理端口来实现聚合IRF端口,以达到链路备份和扩展带宽的效果。
S3100V2-52TP-WiNet交换机最多支持将2个IRF物理端口与同一个IRF端口进行绑定,实现聚合IRF端口。需要注意的是,在配置聚合IRF端口时,需要将GigabitEthernet1/0/49和GigabitEthernet1/0/50绑定到同一个IRF端口,将GigabitEthernet1/0/51和GigabitEthernet1/0/52绑定到另一个IRF端口。
在进行成员设备的连接时,本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连,本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定的IRF物理端口相连,如图4-4所示。否则,不能形成IRF。
图4-4 IRF物理连接示意图
IRF的连接拓扑有两种:链形连接和环形连接,如图4-5所示。
· 相比环形连接,链形连接对成员设备的物理位置要求更低,主要用于成员设备物理位置分散的组网。
· 环形连接比链形连接更可靠。因为当链形连接中出现链路故障时,会引起IRF分裂;而环形连接中某条链路故障时,会形成链形连接,IRF的业务不会受到影响。
图4-5 IRF连接拓扑示意图
每个成员设备和邻居成员设备通过交互IRF Hello报文来收集整个IRF的拓扑。IRF Hello报文会携带拓扑信息,具体包括堆叠口连接关系、成员设备编号、成员设备优先级、成员设备的桥MAC等内容。
每个成员设备在本地记录自己已知的拓扑信息。设备刚启动时只记录了自身的拓扑信息。当堆叠口状态变为up后,设备会将已知的拓扑信息周期性的从up状态的堆叠口发送出去;直接邻居收到该信息后,会更新本地记录的拓扑信息;如此往复,经过一段时间的收集,所有成员设备都会收集到完整的拓扑信息(称为拓扑收敛)。
此时会进入角色选举阶段。
确定成员设备角色为Master或Slave的过程称为角色选举。
角色选举会在拓扑变更的情况下产生,比如IRF建立、新设备加入、Master设备离开或者故障、两个IRF合并等。角色选举规则如下:
(1) 当前Master优先(IRF系统形成时,没有Master设备,所有加入的设备都认为自己是Master,会跳转到第二条规则继续比较)。
(2) 成员优先级大的优先。
(3) 系统运行时间长的优先(各设备的系统运行时间信息也是通过IRF Hello报文来传递的)。
(4) 桥MAC地址小的优先。
从第一条开始判断,如果判断的结果是多个最优,则继续判断下一条,直到找到唯一最优的成员设备才停止比较。此最优成员设备即为Master,其它成员设备则均为Slave。
在角色选举完成后,IRF形成,进入IRF管理与维护阶段。
· IRF合并的情况下,两个IRF会进行IRF竞选,竞选仍然遵循角色选举的规则,竞选失败方的所有成员设备重启后均以Slave的角色加入获胜方,最终合并为一个IRF。
· 不管设备与其它设备一起形成IRF,还是加入已有IRF,如果该设备被当选为Slave,则该设备会使用Master的配置重新初始化和启动,以保证和Master上的配置一致,而不管该设备在重新初始化之前有哪些配置、是否保存了当前配置。
角色选举完成之后,IRF形成,所有的成员设备组成一台虚拟设备存在于网络中,所有成员设备上的资源归该虚拟设备拥有并由Master统一管理。
在运行过程中,IRF使用成员编号(Member ID)来标志和管理成员设备。例如,IRF中接口的编号会加入成员编号信息:当设备独立运行时,接口编号第一维参数的值通常为1,加入IRF后,接口编号第一维参数的值会变成成员编号的值。此外,成员编号还被引入到文件系统管理中。所以,在IRF中必须保证所有设备成员编号的唯一性。
如果建立IRF时成员设备的编号不唯一(即存在编号相同的成员设备),则不能建立IRF;如果新设备加入IRF,但是该设备与已有成员设备的编号冲突,则该设备不能加入IRF。因此,请在建立IRF前,统一规划各成员设备的编号,并逐一进行手工配置,以保证各设备成员编号的唯一性。
如果某成员设备A down或者IRF链路down,其邻居设备会立即将“成员设备A离开”的信息广播通知给IRF中的其它设备。获取到离开消息的成员设备会根据本地维护的IRF拓扑信息表来判断离开的是Master还是Slave,如果离开的是Master,则触发新的角色选举,再更新本地的IRF拓扑;如果离开的是Slave,则直接更新本地的IRF拓扑,以保证IRF拓扑能迅速收敛。
堆叠口的状态由与它绑定的物理堆叠口的状态决定。与堆叠口绑定的所有物理堆叠口状态均为down时,堆叠口的状态才会变成down。
用户配置IRF前,要做好前期规划工作,需要明确IRF内各成员设备的角色和功能。因为有些参数的配置需要重启设备才能生效,所以建议先进行IRF参数的配置,再进行物理连线,将设备加入IRF。设备加入IRF后,只能对Master设备进行业务配置,Slave设备上只能执行简单的查看操作。
IRF配置的推荐步骤如表4-1所示。
表4-1 IRF配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 查看IRF的设备成员数量、最大支持的成员数量、可配置的优先级范围和拓扑类型;配置自动加载系统启动文件、IRF桥MAC地址保留方式和IRF链路down延迟上报时间 |
|
|
2 |
配置设备的堆叠口、成员编号、成员优先级,激活堆叠配置 只有配置堆叠口(即将堆叠口与堆叠物理接口绑定)之后,设备的堆叠功能才能使能 对于在出厂时,已经将堆叠口与堆叠物理端口绑定好,并且使能了堆叠功能的设备,此步骤可以不配置;否则,必须配置 |
|
|
3 |
可选 查看堆叠的拓扑信息 |
|
|
4 |
可选 查看成员信息,包括设备成员配置信息、主控板角色信息和堆叠口配置信息 |
在导航栏中选择“IRF”,默认进入“全局信息”页签的页面,如图4-6所示。
全局信息的详细说明如表4-2所示。
|
标题项/配置项 |
说明 |
|
堆叠系统中设备数目 |
显示当前堆叠系统中设备成员的数目 |
|
堆叠系统支持设备最大数目 |
显示堆叠系统所支持的成员设备的最大数目 |
|
设备可配置的优先级范围 |
显示堆叠系统支持的成员设备优先级的配置范围 |
|
堆叠系统拓扑类型 |
显示当前堆叠系统的拓扑类型,包括链形和环形 |
|
自动加载堆叠系统启动文件 |
设置是否使能堆叠系统启动文件的自动加载功能 · 如果自动加载功能未使能,当参与堆叠的设备软件版本与Master设备的不一致时,则新加入或者优先级低的设备不能正常启动。此时需要用户手工升级设备版本后,再将设备加入堆叠 · 如果自动加载功能已使能,当成员设备加入堆叠时,会与Master设备的软件版本号进行比较,如果不一致,则自动从Master设备下载启动文件,然后使用新的系统启动文件重启,重新加入堆叠。如果新下载的启动文件与设备上原有启动文件重名,则原有启动文件会被覆盖
当软件版本存在较大差异时,自动加载功能可能不能正常工作。因此建议新设备加入堆叠前,请确保与Master设备的版本是一致的 通常情况下,系统启动文件都会占用较大的存储空间,因此,为了能够自动加载成功,请确保Slave设备存储介质上有足够的空闲空间 |
|
堆叠桥MAC地址保留方式 |
设置堆叠桥MAC地址的保留方式 桥MAC是设备做为网桥与外界通讯时使用的MAC地址。堆叠系统作为单台的逻辑设备与外界通讯,它也具有单一的桥MAC,称为堆叠桥MAC。通常情况下会使用Master设备的成员桥MAC作为堆叠桥MAC 如果Master设备离开堆叠后堆叠桥MAC继续使用,则可能会与原Master设备的桥MAC冲突,从而引起通信故障;如果Master设备离开堆叠后立即变更堆叠桥MAC,而Master设备又在短时间内回到堆叠(比如重启或者链路暂时故障),则会造成不必要的桥MAC切换,导致流量中断。因此,用户根据网络实际情况配置堆叠桥MAC的保留方式: · 如果配置为“不保留”,则当Master设备离开堆叠时,系统立即会使用新选举的Master设备的桥MAC做堆叠桥MAC · 如果配置为“保留六分钟”,则当Master离开堆叠时,堆叠桥MAC地址6分钟内不变化。如果6分钟后Master设备没有回到堆叠,则会使用新选举的Master设备的桥MAC做为堆叠桥MAC · 如果配置为“永久保留”,则不管Master设备是否离开堆叠,堆叠桥MAC始终保持不变 |
|
堆叠链路down延迟上报时间 |
设置堆叠链路down延迟上报时间,缺省时间4000毫秒,范围为(0-10000)毫秒 在延迟上报时间内,堆叠链路状态之间的切换,不会被系统感知;而是等经过延迟上报时间后,链路层再向系统报告链路连接状态的变化。这样,可以避免因为堆叠链路状态不稳定而导致的设备重启或业务中断 当设置延迟上报时间为“0”时,表示不延迟
如果配置的延迟上报时间值过大,可能会导致堆叠系统不能会及时发现堆叠拓扑的变化,从而造成业务恢复缓慢 |
在导航栏中选择“IRF”,单击“成员设置”页签,进入如图4-7所示的页面。
页面中间显示的是成员的物理接口示意图,当堆叠系统中有多个成员时,可以通过示意图上方的页签,选择不同的成员来进行配置。需要注意的是,一次只能配置一个成员。如果未提交对当前成员的配置而切换到其他成员,则将放弃对当前成员的配置。
成员参数的详细配置如表4-3所示。
|
配置项 |
说明 |
|
选择要配置的接口 |
设置成员设备的堆叠口,此配置将在该成员设备重启后生效 先通过选中“堆叠口1”、“堆叠口2”或“非堆叠口”前的单选按钮来确定要配置的堆叠口类型,然后在成员的物理接口示意图中单击选择要配置的接口,选中后接口显示的颜色与所选择的堆叠口类型的颜色相同 当指定的接口为多个时,这些接口聚合为一个堆叠口。聚合堆叠口可以提高堆叠口的带宽和可靠性。能否将多个接口聚合成堆叠口以及哪些接口可以聚合成一个堆叠口与设备的型号有关,具体限制请参见设备的相关手册 |
|
选择堆叠口 |
|
|
当前设备的成员编号 |
显示当前选择的设备的成员编号 |
|
当前设备的成员优先级 |
显示当前选择的设备的成员优先级 |
|
新的成员编号 |
设置当前选择的设备的新员编号,此配置将在该成员设备重启后生效
在堆叠中以成员编号标志设备,配置堆叠口和优先级也是根据设备编号来进行的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重配置。例如,堆叠中有三台设备(编号为1、2、3),假定设备型号一样,每台设备都有若干接口,将设备2的成员编号改为3,将设备3的成员编号改为2,然后将设备2和3重启,再次加入堆叠中,此时设备2将会使用先前设备3的接口配置,而设备3则使用先前设备2的接口配置 |
|
新的成员优先级 |
设置当前选择的设备的新成员优先级,此配置将会立即生效 |
|
开启成员口 |
在通过上面的配置将物理堆叠口加入堆叠口或者从堆叠口中删除后,系统会将涉及到的物理堆叠口关闭。因此完成堆叠口的配置后,需要手动开启堆叠成员口 可以直接在本页面单击<开启成员口>按钮;也可以在“设备 > 端口管理”中进行设置 |
|
激活堆叠配置 |
IRF物理线缆连接好后,将物理堆叠口添加到状态为DIS或DOWN的堆叠口时,必须通过单击<激活堆叠配置>按钮手工激活堆叠口的配置才能形成IRF
激活堆叠配置会引起IRF合并,进而设备需要重启。为了避免重启后配置丢失,请在激活堆叠配置前先保存配置 |
在导航栏中选择“IRF”,单击“拓扑信息”页签,进入如图4-8 所示的页面。
拓扑信息的详细说明如表4-4所示。
|
标题项 |
说明 |
|
成员编号 |
设备的成员编号 |
|
堆叠口编号 |
堆叠口的编号 |
|
堆叠口状态 |
堆叠口的链路状态,包括: · Up:链路Up · Down:链路Down · Disabled:没有使能该堆叠口 |
|
邻居设备成员编号 |
与该堆叠口直连的设备的成员编号 显示为“--”表示该端口没有连接其它成员设备 |
|
当前堆叠物理接口列表 |
该堆叠口对应的接口列表 如果有多个,则说明该堆叠口是由这多个接口聚合而成;显示为“--”表示没有使能该堆叠口 |
在导航栏中选择“IRF”,单击“成员信息”页签,进入如图4-9所示的页面。
设备成员配置信息的详细说明如表4-5所示。
|
标题项 |
说明 |
|
成员编号 |
设备当前的成员编号 |
|
新成员编号 |
配置的、设备重启后将会使用的成员编号 |
|
优先级 |
设备的成员优先级 |
主控板角色信息的详细说明如表4-6所示。
|
标题项 |
说明 |
|
成员编号 |
设备的成员编号 |
|
板号 |
成员设备主控板的板号 |
|
角色 |
成员设备主控板的角色,包括 · Slave:备用设备 · Master:主用设备 · Loading:正在自动加载系统启动文件 · Others:除上述几种外的其他角色 |
堆叠口配置信息的详细说明如表4-7所示。
|
标题项 |
说明 |
|
成员编号 |
设备的成员编号 |
|
堆叠口编号 |
堆叠口的编号 |
|
配置的堆叠物理接口列表 |
配置的、设备重启后将会使用的堆叠口配置 显示为“--”表示没有使能该堆叠口 |
如图4-10所示,配置三台设备Switch 1、Switch 2、Switch 3形成链形IRF连接,设备的成员编号分别为1、2、3。
图4-10 IRF堆叠配置组网图
(1) 三台设备不连IRF物理线缆,分别上电,分别配置。
# 配置Switch 1。
· 在Switch 1的导航栏中选择“IRF”,单击“成员设置”页签。
· 选中“堆叠口1”前的单选按钮,并单击设备面板图中编号为49的端口,使数字49变为绿色。
· 输入新的成员编号为“1”,如图4-11所示。
图4-11 Switch1的IRF配置
· 单击<确定>按钮完成操作。
# 配置Switch 2。
· 在Switch 2的导航栏中选择“IRF”,单击“成员设置”页签。
· 选中“堆叠口1”前的单选按钮,单击设备面板图中编号为49的端口,使数字49变为绿色。
· 选中“堆叠口2”前的单选按钮,单击设备面板图中编号为50的端口,使数字50变为蓝色。
· 输入新的成员编号为“2”,如图4-12所示。
图4-12 Switch2的IRF配置
· 单击<确定>按钮完成操作。
# 配置Switch 3。
· 在Switch 3的导航栏中选择“IRF”,单击“成员设置”页签。
· 选中“堆叠口2”前的单选按钮,单击设备面板图中编号为50的端口,使数字50变为蓝色。
· 输入新的成员编号为“3”,如图4-13所示。
图4-13 Switch3的IRF配置
· 单击<确定>按钮完成操作。
(2) 关闭三台设备电源,将三台设备按照图4-10连接IRF物理线缆,然后重新上电,IRF形成。
设备概览模块可以帮助用户实现以下功能:
· 查看系统信息,包括系统基本信息、系统资源状态和近期发生的系统日志。
· 查看设备信息,包括设备上端口、电源、风扇的信息。
本章以S3100v2-WiNet系列交换机为例进行介绍。
在导航栏中选择“设备概览”,默认进入“系统信息”页签的页面,如图5-1所示,可以查看系统基本信息、系统资源状态和近期发生的系统日志。
对系统基本信息的详细说明如表5-1所示。
|
标题项 |
说明 |
|
设备名称 |
显示设备的名称 |
|
产品描述 |
显示设备产品描述信息 |
|
设备位置 |
显示设备的物理位置信息 物理位置信息可以在“设备 > SNMP > 设置”中配置 |
|
联系信息 |
显示设备维护者的联系信息 联系信息可以在“设备 > SNMP > 设置”中配置 |
|
序列号 |
显示设备的序列号 |
|
软件版本 |
显示设备的软件版本 |
|
硬件版本 |
显示设备的硬件版本 |
|
Bootrom版本 |
显示设备的Bootrom版本 |
|
设备运行时间 |
显示设备最近一次启动后连续运行的时长 |
对系统资源状态的详细说明如表5-2所示。
|
标题项 |
说明 |
|
CPU占用率 |
显示当前CPU的占用率 |
|
内存占用率 |
显示当前内存的占用率 |
|
温度 |
显示设备的温度 |
对近期发生的系统日志的详细说明如表5-3所示。
|
标题项 |
说明 |
|
时间 |
显示系统日志产生的时间 |
|
级别 |
显示系统日志的严重程度 |
|
描述 |
显示系统日志的具体内容 |
· “系统信息”页面只显示所有系统日志中最近发生的登入、登出日志,并且最多显示5条。
· 如果想了解更多的系统日志信息,可以单击“近期发生的系统日志”列表下方的“更多…”超链接,进入“设备 > 日志管理”中“日志显示”页签的页面进行查看,详细内容请参见本手册的“日志管理”。
在页面下方“刷新周期”右侧的下拉框中进行选择:
· 如果选择具体的周期时间,则系统会周期性地对系统信息页面进行自动刷新。
· 如果选择“手动刷新”,则需要用户手动单击<刷新>按钮,页面内容才会刷新。
在导航栏中选择“设备概览”,单击“设备信息”页签,进入设备信息的显示页面,可以查看设备上端口、电源、风扇的情况。如图5-2所示,在面板示意图中,将鼠标停留在某个端口上数秒,可以显示该端口的信息(包括端口的名称、类型、速率、利用率、状态,以及聚合端口的聚合组号)。同样方法还可以查看电源的工作状态和类型信息,以及风扇的工作状态信息。
在“刷新周期”右侧的下拉框中进行选择:
· 如果选择具体的周期时间,则系统会周期性地对设备信息页面进行自动刷新。
· 如果选择“手动刷新”,则需要用户手动单击<刷新>按钮,页面内容才会刷新。
基本信息模块提供如下功能:
· 设置设备的系统名称。设置的系统名称显示在导航栏的最上方。
· 设置用户通过Web登录到设备的闲置超时时间,即用户登录到Web网管界面后,如果在指定的时间内未进行任何操作,系统将会强制该用户退出登录,以保证设备的安全性。
(1) 在导航栏中选择“设备 > 基本信息”,默认进入“系统名称”页签的页面,如图6-1所示。
(2) 输入设备的系统名称。不同设备支持的系统名称最大长度不同,具体请参见设备Web界面提示信息。
(3) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“设备 > 基本信息”。
(2) 单击“Web闲置超时时间”,进入如图6-2所示的页面。
(3) 配置用户通过Web登录到设备的闲置超时时间。
(4) 单击<确定>按钮完成操作。
图6-2 Web闲置超时时间
启动文件是用于引导、启动设备的应用程序文件,又称为系统软件或者设备软件。
软件升级模块提供了从本地主机上获取目标应用程序文件,并将该文件设置为设备下次启动时使用的启动文件的功能。同时,还可以选择在完成上述操作后,是否直接重启设备使更新后的软件生效。
· 软件升级需要一定的时间。在软件升级的过程中,请不要在Web上进行任何操作,否则可能会导致软件升级中断。
· 从本地主机上获取到目标应用程序文件后,将保留文件的原名称。
(1) 在导航栏中选择“设备 > 设备维护”,默认进入“软件升级”页签的页面,如图7-1所示。
(2) 配置软件升级的参数,详细配置如表7-1所示。
(3) 单击<确定>按钮开始进行软件升级。
|
配置项 |
说明 |
|
文件 |
设置保存在本地的应用程序文件的路径及文件名 文件名必须带扩展名,且扩展名必须为.app或.bin |
|
文件类型 |
设置文件的启动类型 · Main:下次启动的主用启动文件 · Backup:下次启动的备用启动文件,当主用启动文件出现异常不可用时,用于引导、启动设备 |
|
如果文件已经存在,直接覆盖 |
设置如果设备上存在重名文件时,是否直接覆盖 如果不选中此项,则当设备上有重名的文件存在时,将提示“文件已存在”,无法进行升级 |
|
软件升级成功之后,直接重启设备 |
设置当文件上传成功后,是否直接重启设备使更新后的软件生效 |
· 设备重启前请保存配置,否则重启后,未保存的配置将会全部丢失。
· 设备重启后,用户需重新登录设备。
(1) 在导航栏中选择“设备 > 设备维护”。
(2) 单击“设备重启”页签,进入如图7-2所示的页面。
(3) 配置重启前是否对设备当前配置的保存情况进行检查。
(4) 单击<重启>按钮,弹出是否确认重启的对话框。
(5) 单击对话框中的<确定>按钮,此时:
· 如果已在页面上选中“检查当前配置是否保存到下次启动配置文件中”前的复选框,则系统会先进行检查。若检查通过,则直接重启设备;若检查不通过,则会弹出提示框提示当前配置和系统保存的配置不一致,且不会重启设备。
· 如果未在页面上选中“检查当前配置是否保存到下次启动配置文件中”前的复选框,则系统会直接重启设备。
S3100V2-52TP-WiNet和S5500-WiNet系列交换机不支持电子标签特性。本小节以S5120-WiNet系列交换机为例进行介绍。
电子标签模块用于显示设备的电子标签信息。电子标签信息也可以称为永久配置数据或档案信息等,在设备的调测(调试、测试)过程中被写入到设备的存储器件中,包名称、产品条码、出厂MAC地址、调测日期、制造商名称等信息。
(1) 在导航栏中选择“设备 > 设备维护”。
(2) 单击“电子标签”页签,进入如图7-3所示的页面,可以查看设备的电子标签信息。
因为各个功能模块都有其对应的运行信息,所以一般情况下,用户需要逐个模块查看显示信息。为了在日常维护或系统出现故障时能够一次性收集更多信息,设备支持诊断信息模块。用户执行生成诊断信息文件的操作时,系统会将当前多个功能模块运行的统计信息保存在一个名为“default.diag”的文件中,用户可以通过查看该文件来更快的定位问题。
(1) 在导航栏中选择“设备 > 设备维护”。
(2) 单击“诊断信息”页签,进入如图7-4所示的页面。
(3) 单击<生成诊断信息文件>按钮,系统开始生成诊断信息文件。
(4) 文件生成后,页面如图7-5所示,单击“点击下载”,弹出“文件下载”对话框,可以选择直接将文件打开进行查看,或将文件保存到本地主机。
· 诊断信息文件的生成需要一定的时间。在诊断信息文件生成的过程中,建议用户不要在Web上进行任何操作。
· 生成诊断信息文件成功后,还可以在“设备 > 文件管理”中查看文件,或将文件下载到本地主机保存,详细说明请参见本手册的“文件管理”。
为了保证本设备与其它设备协调工作,用户需要将系统时间配置准确。日期和时间设置模块用于在Web网管上显示和设置系统时间,以及设置系统时区。
设备支持手动配置系统时间和自动同步NTP(Network Time Protocol,网络时间协议)服务器的时间。
NTP(Network Time Protocol,网络时间协议)是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。
对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟,并且可以和其他设备互相同步。
(1) 在导航栏中选择“设备 > 日期和时间”,默认进入“日期和时间”页签的页面,如图8-1所示。
(2) 在页面上查看实时显示的系统当前日期和时间。
(1) 在导航栏中选择“设备 > 日期和时间”,默认进入“日期和时间”页签的页面,如图8-1所示。
(2) 单击“日期和时间”文本框,展开日历操作界面,如图8-2所示。
(3) 直接在文本框中修改系统时间,或者通过日历操作界面来修改系统时间。在日历操作界面可以进行的操作如下:
· 单击<今天>按钮,将日历上当前的日期设置为本地主机的当前系统日期,时间参数保持之前的值不变。
· 设置年、月、日和具体时间,单击<确定>按钮完成日期和时间参数的设置。
(4) 在如图8-1所示的页面上单击<确定>按钮完成操作。
(1) 在导航栏中选择“设备 > 日期和时间”。
(2) 单击“网络时间”页签,进入如图8-3所示的页面。
(3) 配置网络时间的参数,详细配置如表8-1所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
系统时钟同步状态 |
显示系统时钟的同步状态 |
|
|
源接口 |
设置NTP报文的源接口 如果不想让本地设备上其它接口的IP地址成为应答报文的目的地址,可以指定NTP报文的源接口,此时报文中的源IP地址为该接口的主IP地址。如果指定的源接口处于down状态,则发送的NTP报文源IP地址为该报文出接口的主IP地址 |
|
|
轮询间隔(仅S5120-WiNet系列交换机支持) |
NTP轮询间隔,即两个连续NTP报文之间的时间间隔,单位为秒,缺省值为64 |
|
|
密钥1 |
设置NTP验证密钥 在一些对安全性要求较高的网络中,运行NTP协议时需要启用验证功能。通过客户端和服务器端的密钥验证,保证客户端只与通过验证的设备进行同步,提高了网络安全性 可以设置两个验证密钥,每个密钥由密钥ID和密钥串组成: · ID是密钥的编号 · 密钥串为MD5验证密钥的字符串 |
|
|
密钥2 |
||
|
外部时钟源 |
NTP服务器1/引用密钥ID |
设置NTP服务器的IP地址,并根据需要指定与NTP服务器关联的密钥ID,只有服务器提供的密钥与关联的密钥一致时,设备才会与其同步 可以设置两个NTP服务器,客户端将从中选择最优的时钟进行同步
NTP服务器的IP地址是一个单播地址,不能为广播地址、组播地址或本地时钟源的IP地址 |
|
NTP服务器2/引用密钥ID |
||
|
设置系统时区 |
时区 |
设置系统所在的时区 |
· Device A设置本地时钟作为参考时钟。
· Switch B工作在客户端模式,指定Device A为NTP服务器。
· Device A和Switch B上同时配置NTP验证。
(1) 在Device A上配置本地时钟作为参考时钟,指定层数为2,并配置身份验证、密钥ID为“24”、可信密钥为“aNiceKey”。(具体配置略)
(2) 在Switch B上配置将Device A作为NTP服务器。
步骤1:在导航栏中选择“设备 > 日期和时间”。
步骤2:单击“网络时间”页签。
步骤3:进行如下配置,如图8-5所示。
· 输入密钥1的ID为“24”,密钥串为“aNiceKey”。
· 输入NTP服务器1为“1.0.1.11”,引用密钥ID为“24”。
· 选择时区为“(GMT +08:00) 北京,重庆,香港特别行政区,乌鲁木齐”。
步骤4:单击<确定>按钮完成操作。
图8-5 配置Device A为Switch B的NTP服务器
完成上述配置后,查看到Device A和Switch B上显示的系统当前日期和时间是一致的。
配置日期和时间时需要注意如下事项:
(1) NTP服务器只有当其时钟被同步后,才能作为时间服务器去同步其他设备;当NTP服务器的时钟层数大于或等于客户端的时钟层数时,客户端将不会向其同步。
(2) 系统时钟同步NTP服务器的时钟需要一定时间,因此,提交配置后页面显示的系统时钟同步状态可能为“未同步”,可以稍后刷新页面查看同步状态。
(3) 如果NTP服务器的系统时间比设备当前系统时间晚较多,超过了设备上指定的Web闲置超时时间,则NTP时钟同步成功后,所有在线Web用户会超时退出登录。
系统日志包含了网络和设备的大量信息,包括运行状态、配置变化等,是网络管理员监控网络和设备运行情况的重要途径。系统日志提供的信息可以帮助网络管理员发现网络问题或安全隐患,以便采取针对性的措施。
Web页面提供了丰富的搜索和排序功能,用户可以通过Web页面方便快捷地查看设备的系统日志。
(1) 在导航栏中选择“设备 > 日志管理”,默认进入“日志显示”页签的页面,如图9-1所示。
· 可以通过单击<清空>按钮将Web页面日志缓冲区中保存的所有系统日志清空。
· 可以通过单击<刷新>按钮手动刷新当前页面显示的系统日志信息;也可以通过在“参数设置”页签的页面设置刷新周期,使系统日志显示页面自动刷新,详细配置请参见“9.3 配置缓冲区容量、刷新周期和安全日志”。
(2) 查看系统日志的信息,详细说明如表9-1所示。
|
标题项 |
说明 |
|
时间/日期 |
系统日志产生的时间和日期 |
|
模块 |
产生系统日志的模块名 |
|
级别 |
系统日志的级别。系统日志按严重性划分为八个级别,严重性由高到低的顺序依次为: · Emergency:系统不可用信息 · Alert:需要立刻做出反应的信息 · Critical:严重信息 · Error:错误信息 · Warning:警告信息 · Notification:正常出现但是重要的信息 · Information:需要记录的通知信息 · Debug:调试过程产生的信息 |
|
摘要 |
系统日志的摘要内容 |
|
描述 |
系统日志的详细内容 |
通过Web页面可以配置日志主机的信息,以便将系统日志发送到指定日志主机。最多可以指定4台不同的日志主机。
(1) 在导航栏中选择“设备 > 日志管理”。
(2) 单击“日志主机”页签,进入日志主机设置页面,如图9-2所示。
(3) 配置日志主机的信息,详细配置如表9-2所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
|
IPv4 /域名 |
设置日志主机的IPv4地址或域名 |
最多可以指定4台不同的日志主机 |
|
主机IP地址/域名 |
||
|
IPv6 |
设置日志主机的IPv6地址 |
|
|
主机IP地址 |
||
(1) 在导航栏中选择“设备 > 日志管理”。
(2) 单击“参数设置”页签,进入如图9-3所示的页面。
(3) 配置系统日志相关的参数,详细配置如表9-3所示。
(4) 单击<应用>按钮完成操作。
表9-3 系统日志相关参数的详细配置
|
配置项 |
说明 |
|
缓冲区容量 |
设置Web页面日志缓冲区可存储的日志条数 |
|
刷新周期 |
设置日志显示Web页面的刷新间隔,分为手动刷新和自动刷新两种方式 · 手动刷新:只能在日志显示页面单击<刷新>按钮手动刷新页面 · 自动刷新:系统将根据选择的周期,每隔1、5或10分钟自动刷新日志显示页面 |
|
安全日志 |
设置是否开启安全日志功能
仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
在执行配置文件备份的操作时,请同步备份“.xml”结尾的配置文件,否则在某些情况下(如配置不小心被删除的情况)可能会导致部分配置信息无法恢复。
配置备份模块提供如下功能:
· 打开下次启动的配置文件(包括.cfg文件和.xml文件)进行查看。
· 将下次启动的配置文件(包括.cfg文件和.xml文件)备份到当前用户的主机上保存。
(1) 在导航栏中选择“设备 > 配置管理”,默认进入“配置备份”页签的页面,如图10-1所示。
(2) 单击“备份以”.cfg”结尾的配置文件”后面的<备份>按钮,弹出“文件下载”对话框,可以选择将下次启动的.cfg配置文件打开进行查看或者保存到本地。
(3) 单击“备份以”.xml”结尾的配置文件”后面的<备份>按钮,弹出“文件下载”对话框,可以选择将下次启动的.xml配置文件打开进行查看或者保存到本地。
恢复的配置文件在设备下次启动后才会生效。
配置恢复模块提供如下功能:
· 将保存在当前用户主机上的.cfg文件上传到设备作为下次启动的.cfg配置文件。
· 将保存在当前用户主机上的.xml文件上传到设备作为下次启动的.xml配置文件,并删除之前的下次启动.xml配置文件。
(1) 在导航栏中选择“设备 > 配置管理”。
(2) 单击“配置恢复”页签,进入如图10-2所示的页面。
(3) 单击“(以”.cfg”结尾的文件)”前的<浏览>按钮,在弹出的对话框中选择要上传到设备的.cfg配置文件。
(4) 单击“(以”.xml”结尾的文件)”前的<浏览>按钮,在弹出的对话框中选择要上传到设备的.xml配置文件。
(5) 单击<确定>按钮开始进行配置恢复。
· 保存配置需要一定时间,请耐心等待。
· 系统不支持两个或两个以上用户同时执行保存配置的操作,系统将提示后操作的用户稍后再试。
保存配置模块提供将用户当前的配置保存到下次启动配置文件(包括.cfg文件和.xml文件)的功能。
Web网管提供了快捷和常规两种保存配置的方法:
如图10-3中红框处所示,直接单击页面辅助区右侧的<保存>按钮,即可将当前的配置保存到配置文件。
(1) 在导航栏中选择“设备 > 配置管理”。
(2) 单击“保存配置”页签,进入如图10-3所示的页面。
(3) 单击<保存当前配置>按钮将当前的配置保存到配置文件。
恢复出厂配置模块提供将设备中的所有配置恢复到出厂时的缺省配置,删除当前的配置文件,并重新启动设备的功能。
(1) 在导航栏中选择“设备 > 配置管理”。
(2) 单击“恢复出厂配置”页签,进入如图10-4所示的页面。
(3) 单击<恢复出厂配置>按钮开始恢复出厂配置。
设备运行过程中所需要的文件(如:主机软件、配置文件等)保存在设备的存储设备中,为了方便用户对这些文件进行有效的管理,系统提供了文件管理功能。文件管理具体可以提供的功能如下:
· 查看文件列表
· 从设备下载文件
· 上传文件到设备
· 设置主用启动文件
(1) 在导航栏中选择“设备 > 文件管理”,进入如图11-1所示的页面。
(2) 在页面上方选择要查看的磁盘。
(3) 在下拉框后面查看该磁盘的已用空间、可用空间和总容量。
(4) 在页面下方的列表中查看该磁盘中存储的所有文件(以“路径+文件名”的格式显示)、文件的大小,如果某文件是应用程序文件(扩展名为.bin或.app),还可以查看该文件是否是设备下次启动时的主用或备用启动文件。
(1) 在导航栏中选择“设备 > 文件管理”,进入如图11-1所示的页面。
(2) 在文件列表中选中一个要下载的文件。需要注意的是,一次只能选择一个要下载的文件。
(3) 单击<下载文件>按钮,弹出“文件下载”对话框,可以选择将该文件打开进行查看或者保存到指定路径。
上传文件需要一定的时间。在文件上传过程中,建议用户不要在Web上进行任何操作。
(1) 在导航栏中选择“设备 > 文件管理”,进入如图11-1所示的页面。
(2) 在“上传文件”框中选择保存文件的磁盘。
(3) 通过<浏览>按钮设置要上传文件的路径和名称。
(4) 单击<确定>按钮将该文件上传到设备。
(1) 在导航栏中选择“设备 > 文件管理”,进入如图11-1所示的页面。
(2) 在文件列表中选中一个或多个要删除的文件。
(3) 单击<删除文件>按钮将选中的文件删除。
也可以在文件列表中直接单击某文件对应的
图标将其删除,此处不再赘述。
(1) 在导航栏中选择“设备 > 文件管理”,进入如图11-1所示的页面。
(2) 选中某个应用程序文件(扩展名为.bin或.app)前的复选框。需要注意的是,一次只能设置一个文件。
(3) 单击<设置为主用启动文件>按钮将该文件设置为设备下次启动时的主用启动文件。
端口管理模块用于配置和查看二层以太网接口、三层以太网接口和聚合接口的工作参数。
· 二层以太网接口的工作参数包括:端口状态、速率、双工状态、连接类型、PVID、描述、网线类型、流量控制、最大MAC数和风暴抑制比。
· 三层以太网接口的工作参数包括:端口状态、速率、双工状态、描述等。
· 聚合接口的工作参数包括:端口状态和最大MAC数。
(1) 在导航栏中选择“设备 > 端口管理”。
(2) 单击“设置”页签,进入如图12-1所示的页面。
(3) 配置端口的工作参数,详细配置如表12-1所示。
(4) 单击<提交>按钮完成操作。
|
配置项 |
说明 |
|
端口状态 |
设置端口的打开(Enable)/关闭(Disable)状态 在某些特殊情况下,如修改接口的工作参数时,需要关闭后再重启接口,所做修改才能生效 |
|
速率 |
设置端口的速率 · 10:10Mbps · 100:100Mbps · 1000:1000Mbps · Auto:自动协商端口速率 · Auto 10:端口自协商速率为10Mbps · Auto 100:端口自协商速率为100Mbps · Auto 1000:端口自协商速率为1000Mbps · Auto 10 100:端口自协商速率为10Mbps或100Mbps · Auto 10 1000:端口自协商速率为10Mbps或1000Mbps · Auto 100 1000:端口自协商速率为100Mbps或1000Mbps · Auto 10 100 1000:端口自协商速率为10Mbps、100Mbps或1000Mbps |
|
双工状态 |
设置端口的双工状态 · Auto:自协商双工状态 · Full:全双工状态 · Half:半双工状态 |
|
连接类型 |
设置端口的链路类型,可以配置为Access、Hybrid或Trunk Access、Hybrid和Trunk的详细说明请参见本手册的“VLAN”
Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口 |
|
PVID |
设置端口的缺省VLAN ID PVID的详细说明请参见本手册的“VLAN”
同一链路两端的Hybrid端口或Trunk端口的PVID必须一致,否则报文将不能正确传输 |
|
Combo |
配置端口的Combo类型,可以配置为Copper或Fiber
仅S3100V2-52TP-WiNet交换机支持 |
|
描述 |
设置端口的描述信息 |
|
网线类型 |
设置端口的MDI(Medium Dependent Interface,介质相关接口)模式 用于连接以太网设备的双绞线有两种:直通线缆和交叉线缆。为了使以太网接口支持使用这两种线缆,设备实现了三种MDI模式:Across、Normal和Auto 物理以太网接口由8个引脚组成,缺省情况下,每个引脚都有专门的作用,比如,使用引脚1和2发送信号,引脚3和6接收信号。通过设置MDI模式,可以改变引脚在通信中的角色 · Across:不改变引脚的角色,即使用引脚1和2发送信号,使用引脚3和6接收信号 · Auto:通过协商来决定物理引脚的角色 · Normal:改变引脚的角色,使用引脚1和2接收信号,使用引脚3和6发送信号 只有将设备的发送引脚连接到对端的接收引脚后才能正常通信,所以MDI模式需要和两种线缆配合使用: · 通常情况下,建议用户使用Auto模式,只有当设备不能获取网线类型参数时,才需要将模式手工指定为Across或Normal · 当使用直通线缆时,两端设备的MDI模式配置不能相同 · 当使用交叉线缆时,两端设备的MDI模式配置必须相同或者至少有一端设置为Auto模式 |
|
流量控制 |
设置使能(Enable)或禁止(Disable)端口流量控制功能 当本端和对端设备都使能了流量控制功能后,如果本端设备发生拥塞,就向对端设备发送消息,通知对端设备暂时停止发送报文;对端设备在接收到该消息后将暂时停止向本端发送报文;反之亦然。从而避免了报文丢失现象的发生
只有本端和对端端口都开启了流量控制功能,才能实现流量控制 |
|
长帧转发 |
设置允许(Enable)或禁止(Disable)长帧通过端口 |
|
节能模式 |
设置使能(Enable)或禁止(Disable)端口的节能模式 使能端口节能模式后,如果端口在连续一段时间内没有收发报文,就会自动进入节能模式。处于节能模式的端口在收到报文时,会触发端口自动恢复到正常模式 |
|
最大MAC数 |
设置端口能学习的MAC地址的最大数量 · User Defined:用户自定义,选择此项后需手动输入最大MAC数 · No Limited:不限制 |
|
广播风暴抑制比 |
设置端口抑制广播风暴的方式和参数值 · ratio:允许通过的最大广播流量占该端口传输能力的百分比,选择此项后需输入具体的百分数 · pps:端口每秒允许转发的最大广播报文数,选择此项后需输入具体的报文数 · kbps:端口每秒允许转发的最大广播报文千比特数,选择此项后需输入具体的千比特数
S5500-WiNet和S5120-WiNet系列交换机此配置项仅支持pps 此配置项与广播报文阈值控制功能不能同时配置,否则抑制效果不确定。端口的广播报文阈值控制功能在“设备 > 流量监管”中配置 |
|
多播风暴抑制比 |
设置端口抑制组播风暴的方式和参数值 · ratio:允许通过的最大组播流量占该端口传输能力的百分比,选择此项后需输入具体的百分数 · pps:端口每秒允许转发的最大组播报文数,选择此项后需输入具体的报文数 · kbps:端口每秒允许转发的最大多播报文千比特数,选择此项后需输入具体的千比特数
S5500-WiNet和S5120-WiNet系列交换机此配置项仅支持pps 此配置项与组播报文阈值控制功能不能同时配置,否则抑制效果不确定。端口的组播报文阈值控制功能在“设备 > 流量监管”中配置 |
|
未知单播风暴抑制比 |
设置端口抑制未知单播风暴的方式和参数值 · ratio:允许通过的最大未知单播流量占该端口传输能力的百分比,选择此项后需输入具体的百分数 · pps:端口每秒允许转发的最大未知单播报文数,选择此项后需输入具体的报文数 · kbps:端口每秒允许转发的最大未知单播报文千比特数,选择此项后需输入具体的千比特数
S5500-WiNet和S5120-WiNet系列交换机此配置项仅支持pps 此配置项与单播报文阈值控制功能不能同时配置,否则抑制效果不确定。端口的单播报文阈值控制功能在“设备 > 流量监管”中配置 |
|
选择端口 |
在面板示意图或其下方的聚合口列表中点击选择要配置工作参数的端口,可以选择一个或多个端口
对于聚合接口,只有端口状态和和最大MAC数的设置是有效的,其余配置项对聚合接口均不生效 |
如果设置了端口不支持的工作参数,则在提交配置时设备会提示该设置失败,并且同时设置的该端口或其他端口支持的工作参数也可能会设置失败。
(1) 在导航栏中选择“设备 > 端口管理”,默认进入“显示”页签的页面。
(2) 单击要查看的工作参数前的单选按钮,即可在页面下方显示所有端口的该参数的信息,如图12-2所示。
(1) 在导航栏中选择“设备 > 端口管理”。
(2) 单击“详情”页签。
(3) 在设备面板示意图中单击要查看的端口,即可在页面下方显示该端口的工作参数配置信息,方括号中为相应参数的实际生效值。如图12-3所示。
· Server A、Server B和Server C分别与Switch的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3相连。各服务器的网卡速率均为1000Mbps。
· Switch与外部网络相连端口GigabitEthernet1/0/4的速率为1000Mbps。
· 为避免出端口拥塞,配置GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3的自协商速率范围为100Mbps。
(1) 配置GigabitEthernet1/0/4的速率为1000Mbps。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图12-5所示。
· 在面板示意图上点击选中端口“GigabitEthernet1/0/4”。
步骤4:单击<提交>按钮完成操作。
(2) 批量配置GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3的自协商速率范围为100Mbps。
步骤1:在“设置”页签的页面进行如下配置,如图12-6所示。
· 选择速率为“Auto 100”。
· 在面板示意图上点击选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤2:单击<提交>按钮完成操作。
(3) 按照速率查看端口状态。
步骤1:单击“显示”页签。
步骤2:单击“速率”前的单选按钮,页面下方显示所有端口的速率信息,如图12-7所示。
端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文,以进行网络监控和故障排除。
镜像源是指被监控的端口,我们称之为源端口,源端口所在的设备就称为源设备。经由源端口收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对这些报文(称为镜像报文)进行监控和分析了。
镜像目的是指镜像报文所要到达的目的地,即与数据监测设备相连的那个端口,我们称之为目的端口,目的端口所在的设备就称为目的设备。目的端口会将其收到的镜像报文转发给与之相连的数据监测设备。
由于一个目的端口可以同时监控多个镜像源,因此在某些配置下,目的端口可能收到对同一报文的多份拷贝。例如,目的端口Port 1同时监控源端口Port 2和Port 3(这两个端口在同一台设备上)收发的报文,如果某报文从Port 2进入该设备后又从Port 3发送出去,那么该报文将被复制两次给Port 1。
镜像方向是指在镜像源上可复制的报文方向,包括:
· 入方向:是指仅复制镜像源收到的报文。
· 出方向:是指仅复制镜像源发出的报文。
· 双向:是指对镜像源收到和发出的报文都进行复制。
镜像组是在端口镜像的实现过程中用到的一个逻辑上的概念,镜像源和镜像目的都要属于某一个镜像组。镜像组的类型为本地镜像组,具体介绍请参见“13.1.2 端口镜像的分类和实现方式”一节。
· S3100V2-52TP-WiNet和S5500-WiNet系列交换机最多可创建4个镜像组。
· S5120-WiNet系列交换机最多可创建5个镜像组。
· S3100V2-WiNet系列交换机(除S3100V2-52TP-WiNet)只能创建1个镜像组。
端口镜像的类型为本地端口镜像,具体介绍如下:
当镜像源和镜像目的位于同一台设备上时,称为本地端口镜像。对于本地端口镜像,镜像源和镜像目的都属于同一台设备上的同一个镜像组,该镜像组就称为本地镜像组。
如图13-1所示,镜像源为源端口GigabitEthernet1/0/1,镜像目的为目的端口GigabitEthernet1/0/2,这两个端口位于同一台设备上。设备将进入源端口GigabitEthernet1/0/1的报文复制一份给目的端口GigabitEthernet1/0/2,再由该端口将镜像报文转发给数据监测设备。
配置本地端口镜像时,用户首先要创建一个本地镜像组,然后为本地镜像组配置源端口和目的端口。
|
步骤 |
配置任务 |
说明 |
|
1 |
配置本地镜像组 |
必选 配置时,镜像组类型需选择“Local” |
|
2 |
为本地镜像组配置源端口 |
必选 配置时,端口类型需选择“Mirror Port” |
|
3 |
为本地镜像组配置目的端口 |
必选 配置时,端口类型需选择“Monitor Port” |
(1) 在导航栏中选择“设备 > 端口镜像”。
(2) 单击“新建”页签,进入新建镜像组的配置页面,如图13-2所示。
(3) 配置镜像组,详细配置如表13-2所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
镜像组ID |
设置要新建的端口镜像组的ID |
|
类型 |
设置要新建的端口镜像组的类型(Local:表示本地镜像组) |
(1) 在导航栏中选择“设备 > 端口镜像”。
(2) 单击“修改端口”页签,进入镜像组端口的配置页面,如图13-3所示。
(3) 配置镜像组的端口,详细配置如表13-3所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
|
配置项 |
说明 |
|
|
镜像组ID |
设置要进行配置的端口镜像组的组号 可选的组号需要先通过新建镜像组来配置(选择“Local”类型的镜像组ID,表示配置本地镜像组端口) |
|
|
端口类型 |
设置要配置的端口类型 |
配置本地镜像组端口 · Monitor Port:表示配置本地镜像组目的端口 · Mirror Port:表示配置本地镜像组源端口 |
|
监控方向 |
设置镜像组源端口的监控方向 · both:表示对端口接收和发送的报文都进行镜像 · inbound:表示仅对端口接收的报文进行镜像 · outbound:表示仅对端口发送的报文进行镜像 |
|
|
选择端口 |
在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择
仅S5500-WiNet系列和S3100V2-52TP-WiNet交换机此配置项支持选择聚合口 |
|
· Switch A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别连接市场部和技术部,并通过端口GigabitEthernet1/0/3连接Server。
· 通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
(1) 新建本地镜像组。
步骤1:在导航栏中选择“设备 > 端口镜像”。
步骤2:单击“新建”页签。
步骤3:进行如下配置,如图13-4所示。
· 输入镜像组ID为“1”。
· 选择类型为“Local”。
步骤4:单击<应用>按钮完成操作。
(2) 配置本地镜像组的源端口为GigabitEthernet1/0/1和GigabitEthernet1/0/2。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如图13-6所示。
· 选择镜像组ID为“1 - Local”。
· 选择端口类型为“Mirror Port”。
· 选择监控方向为“both”。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1和GigabitEthernet1/0/2。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 配置本地镜像组的目的端口为GigabitEthernet1/0/3。
步骤2:进行如下配置,如图13-7所示。
· 选择镜像组ID为“1 - Local”。
· 选择端口类型为“Monitor Port”。
· 在面板示意图中点击选择端口GigabitEthernet1/0/3。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
配置端口镜像时需要注意如下事项:
(1) 一个本地镜像组中可以配置多个源端口,但只能配置一个目的端口。
(2) 请不要在目的端口上使能生成树协议,否则会影响镜像功能的正常使用。
(3) 从目的端口发出的报文包括镜像报文和其它端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
用户管理模块提供如下功能:
· 配置本地用户及其登录密码、访问等级和服务类型。
· 配置切换当前Web用户的访问等级到管理级所使用的超级密码。
· 切换当前Web用户的访问等级到管理级。
(1) 在导航栏中选择“设备 > 用户管理”。
(2) 单击“创建用户”页签,进入如图14-1所示的页面。
(3) 配置用户的信息,详细配置如表14-1所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
用户名 |
设置用户的用户名 |
|
访问等级 |
设置用户的访问等级,以对不同用户能够进行的操作进行分类 用户访问等级由低到高分四级: · Visitor(访问级):处于该级别的用户可以进行ping和trace route操作,但不能从设备读取任何数据,也不能对设备进行任何设置 · Monitor(监控级):只能从设备读取数据,而不能对设备进行任何设置 · Configure(系统级):可以从设备读取数据,并对设备进行配置,但是不能对设备进行软件升级、添加/删除/修改用户、备份/恢复配置文件等操作 · Management(管理级):可以对设备进行任何操作 |
|
密码 |
设置用户登录时的密码,输入的确认密码必须与密码一致 |
|
确认密码 |
|
|
加密方式 |
设置设备保存用户密码时的加密方式 · 可逆:表示设备以可逆的加密算法对用户密码加密后保存 · 不可逆:表示设备以不可逆的加密算法对用户密码加密后保存 |
|
服务类型 |
设置用户可以使用的服务类型,包括Web服务、FTP服务和Telnet服务,必须至少选择一中服务 |
本功能用来设置用户从当前访问权限向管理级权限切换时使用的密码。切换密码只能由管理级权限的用户设置,给低于管理级权限的用户使用。如果没有设置切换密码,则切换操作失败。
(1) 在导航栏中选择“设备 > 用户管理”。
(2) 单击“超级密码”页签,进入如图14-2所示的页面。
(3) 配置超级密码,详细配置如表14-2所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
创建/删除 |
设置要进行操作的类型 · 创建:表示要设置或修改超级密码 · 删除:表示要删除当前的超级密码设置 |
|
密码 |
设置用户切换到管理级权限时的密码,输入的确认密码必须与密码一致 |
|
确认密码 |
|
|
加密方式 |
设置设备保存超级密码时的加密方式 · 可逆:表示设备以可逆的加密算法对超级密码加密后保存 · 不可逆:表示设备以不可逆的加密算法对超级密码加密后保存 |
本功能用来使用户从当前级别的访问权限切换到管理级访问权限。进行切换操作时需要注意以下事项:
· 切换前必须有管理级用户设置好的超级密码,如果没有设置超级密码,则不能进行切换。
· 切换操作只对用户当次登录有效,而不改变实际对用户访问等级的配置,用户退出后再次登录时,访问权等级仍为原有级别。
(1) 在导航栏中选择“设备 > 用户管理”。
(2) 单击“切换到管理级”页签,进入如图14-3所示的页面。
(3) 输入超级密码。
(4) 单击<登录>按钮切换为管理级用户登录到Web页面。
通过使用以太网接口环回测试功能,用户可以检验以太网接口能否正常工作。测试时接口将不能正常转发数据包。以太网接口环回测试功能包括内部环回测试和外部环回测试。
· 内部环回测试是在交换芯片内部建立自环,用以定位芯片内与该端口相关的功能是否出现故障。
· 外部环回测试是在以太网接口上接一个自环头,从接口发出的报文通过自环头又环回到该接口,并被该接口接收。用以定位该端口的硬件功能是否出现故障。
(1) 在导航栏中选择“设备 > 环回测试”,进入如图15-1所示的页面。
(2) 选择对以太网接口进行环回测试的具体测试类型,包括:外环、内环。
(3) 在面板示意图上点击选中一个要进行环回测试的以太网接口。
(5) 测试完成后,在“测试结果”框中查看环回测试的结果,如图15-2所示。
进行环回测试时需要注意如下事项:
(1) 端口物理关闭状态下可以进行内部环回测试,但不能进行外部环回测试。手工关闭时,则不能进行内部和外部环回测试。
(2) 在进行环回测试时系统将禁止在接口上进行“速率”、“双工状态”、“网线类型”和“端口状态”配置项的配置。
(3) 以太网接口在进行环回测试时将工作在全双工状态;环回测试关闭后恢复原有配置。
在以太网接口上执行该操作会使得已经Up的链路自动Down、Up一次。
线缆检测是指,用户可以检测设备上以太网接口连接电缆的当前状况,系统将在5秒内返回检测结果。检测内容包括线缆是否存在短路或开路现象,以及故障线缆的长度。
(1) 在导航栏中选择“设备 > 线缆检测”,进入线缆检测的页面。
(2) 在面板示意图中选中要检测的接口。
(3) 单击<测试>按钮开始进线检测,系统在5秒内返回检测结果。
(4) 如图16-1所示,在“测试结果”框中查看检测结果。
图16-1 线缆检测
测试结果中的“电缆状态”参数显示电缆的状态和长度。其中,电缆的状态包括:正常、异常、异常(开路)、异常(短路)、检测失败。
· 当电缆状态为正常时,显示的电缆长度是指该电缆的总长度。
· 当电缆状态非正常时,显示的电缆长度是指从本接口到异常位置的长度。
检测到的电缆长度最大可能存在的误差为5米。
通过流量监控功能,用户可以查看在指定的时间间隔内,设备各端口接收和发送的报文数、字节数和带宽利用率。
(1) 在导航栏中选择“设备 > 流量监控”。
(2) 单击“端口统计时间间隔设置”页签,进入如图17-1所示的页面。
(3) 配置端口的流量统计时间间隔,详细配置如表17-1所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
时间间隔 |
设置端口统计报文信息的时间间隔 |
|
选择端口 |
在面板示意图中选择需要进行流量统计的端口 |
(1) 在导航栏中选择“设备 > 流量监控”,默认进入“流量监控信息”页签的页面,如图17-2所示。
(2) 在页面的列表中查看设备的各个端口在其最近的指定时间间隔内接收和发送的报文数、字节数和带宽利用率。
· 当带宽利用率不足1%时,将显示为1%。
· 仅S5500-WiNet和S3100V2-WiNet系列交换机支持接收带宽利用率和发送带宽利用率的统计。
端口流量监管是指对端口上的流量进行限制,用于控制以太网上的报文风暴。启用该功能的端口会定时分别检测到达端口的广播报文流量、多播报文流量和未知单播报文流量。当某类报文流量超过预先设置的上限阈值时,用户可以通过配置来决定是阻塞该端口还是关闭该端口,以及是否发送Trap和Log信息。
对于某种类型的报文流量,可以通过端口监管功能或者以太网接口的风暴抑制功能(请参见本手册的“端口管理”)来进行抑制,但是这两种功能不能同时配置,否则抑制效果不确定。比如,不能同时配置端口的未知单播报文流量阈值控制和未知单播风暴抑制功能。
当某种类型的报文流量超过该类报文预设的上限阈值时,系统提供了两种控制动作:
· Block:当端口上广播、多播或未知单播报文中某类报文的流量大于其上限阈值时,端口将暂停转发该类报文(其它类型报文照常转发),端口处于阻塞状态,但仍会统计该类报文的流量。当该类报文的流量小于其下限阈值时,端口将自动恢复对此类报文的转发。
· Shutdown:当端口上广播、多播或未知单播报文中某类报文的流量大于其上限阈值时,端口将被关闭,系统停止转发所有报文。当该类报文的流量小于其下限阈值时,端口状态不会自动恢复,此时可通过在“设备 > 端口管理”中进行配置来恢复端口的状态(请参见本手册的“端口管理”),也可通过取消端口上流量阈值的配置来恢复。
· 本模块中设置的流量统计时间间隔是专门为流量监管功能服务的,不同于流量监控模块设置的时间间隔。虽然同样是统计端口流量,但是功能是分开的。
· 为了保持网络状态的稳定,建议设置的流量统计时间间隔不低于缺省值。
(1) 在导航栏中选择“设备 > 流量监管”,进入如图18-1所示的页面。
(2) 在“设置流量统计时间间隔”中可以配置端口流量阈值控制时进行流量统计的时间间隔。
(3) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“设备 > 流量监管”,进入如图18-1所示的页面。
(2) 在“端口流量控制”中单击<新建>按钮,进入新建端口流量阈值控制的页面,如图18-2所示。
(3) 配置端口流量阈值控制的信息,详细配置如表18-1所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
控制动作 |
设置端口广播、多播或者未知单播流量超过上限阈值时采取的控制动作: · None:端口流量超过上限阈值时不进行控制 · Block:当端口上某一类型报文的流量超过其上限阈值后,阻塞端口,停止转发该类型的报文 · Shutdown:当端口某一类型报文流量超过上限阈值后,关闭端口,停止对广播、多播和未知单播报文收发
流量监管实现中系统需要一个完整的周期(周期长度为seconds)来收集流量数据,下一个周期分析数据、采取相应的控制措施。因此,如果某类报文流量超过预先设置的上限阈值,控制动作最短将在一个周期后执行,最长不会超过两个周期 |
|
广播报文流量阈值 |
设置端口广播、多播、未知单播报文流量阈值 · None:即不对端口的流量进行抑制 · pps:以包每秒的统计单位设置流量控制的上限阈值和下限阈值 · ratio:以报文每秒所占流量的百分比设置流量控制上限阈值和下限阀值 · kbps:以千比特每秒的统计单位设置流量控制上限阈值和下限阀值
在同一个端口下,广播、多播和未知单播报文的流量阈值可以同时设置;并且必须至少设置一种,否则配置不成功 当选择pps时,上限阈值和下限阈值的取值范围与接口的类型有关,请参考页面上的pps范围说明 S5120-WiNet和S3100V2-WiNet系列交换机(除S3100V2-52TP-WiNet)此配置项仅支持pps |
|
多播报文流量阈值 |
|
|
单播报文流量阈值 |
|
|
Trap |
设置端口流量超过上限阈值或者从超上限回落到低于下限阈值时是否输出Trap信息 |
|
Log |
设置端口流量超过上限阈值或者从超上限回落到低于下限阈值时是否输出Log信息 |
|
选择端口 |
在面板示意图中选择要设置流量监管功能的端口 |
RMON(Remote Network Monitoring,远程网络监视)主要实现了统计和告警功能,用于网络中管理设备对被管理设备的远程监控和管理。统计功能指的是被管理设备可以按周期或者持续跟踪统计其端口所连接的网段上的各种流量信息,比如某段时间内某网段上收到的报文总数,或收到的超长报文的总数等。告警功能指的是被管理设备能监控指定MIB变量的值,当该值达到告警阈值时(比如端口速率达到指定值,或者广播报文的比例达到指定值),能自动记录日志、向管理设备发送Trap消息。
RMON和SNMP都用于远程网络管理。
· SNMP是RMON实现的基础,RMON是SNMP功能的增强。RMON使用SNMP Trap报文发送机制向管理设备发送Trap消息告知告警变量的异常。虽然SNMP也定义了Trap功能,但通常用于告知被管理设备上某功能是否运行正常、接口物理状态的变化等,两者监控的对象、触发条件以及报告的内容均不同。
· RMON使SNMP能更有效、更积极主动地监测远程网络设备,为监控子网的运行提供了一种高效的手段。RMON协议规定达到告警阈值时被管理设备能自动发送Trap信息,所以管理设备不需要多次去获取MIB变量的值,进行比较,从而能够减少管理设备同被管理设备的通讯流量,达到简便而有力地管理大型互连网络的目的。
RMON允许有多个监控者,监控者可用两种方法收集数据:
· 第一种方法利用专用的RMON probe(探测仪)收集数据,管理设备直接从RMON probe获取管理信息并控制网络资源。这种方式可以获取RMON MIB的全部信息。
· 第二种方法是将RMON Agent直接植入网络设备(路由器、交换机、HUB等),使它们成为带RMON probe功能的网络设施。管理设备使用SNMP的基本操作与RMON Agent交换数据信息,收集网络管理信息,但这种方法受设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集四个组的信息。这四个组是:统计组、历史组、事件组和告警组。
我们采用第二种方法,在设备上实现了RMON Agent功能。通过该功能,管理设备可以获得与被管网络设备端口相连的网段上的整体流量、错误统计和性能统计等信息,进而实现对网络的管理。
RMON规范(RFC2819)中定义了多个RMON组,设备实现的公有MIB中支持统计组、历史组、事件组和告警组。
统计组规定系统将持续地对端口的各种流量信息进行统计(目前只支持对以太网端口的统计),并将统计结果存储在以太网统计表(etherStatsTable)中以便管理设备随时查看。统计信息包括网络冲突数、CRC校验错误报文数、过小(或超大)的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。
在指定接口下创建统计表项成功后,统计组就对当前接口的报文数进行统计,它统计的结果是一个连续的累加值。
历史组规定系统将按周期对端口的各种流量信息进行统计,并将统计结果存储在历史记录表(etherHistoryTable)中以便管理设备随时查看。统计数据包括带宽利用率、错误包数和总包数等。
历史组统计的是每个周期内端口接收报文的情况,周期的长短可以由用户手工配置。
事件组用来定义事件索引号及事件的处理方式。事件组定义的事件用于告警组配置项中。当监控对象达到告警条件时,就会触发事件,事件有如下几种处理方式:
· Log:将事件相关信息(事件发生的事件、事件的内容等)记录在本设备RMON MIB的事件日志表中,以便管理设备通过SNMP GET操作进行查看。
· Trap:向网管站发送Trap消息告知该事件的发生。
· Log和Trap:即在本设备上记录日志,又向网管站发送Trap消息。
· 不做任何处理。
RMON告警管理可对指定的告警变量(如端口收到的报文总数etherStatsPkts)进行监视。用户定义了告警表项后,系统会按照定义的时间周期去获取被监视的告警变量的值,当告警变量的值大于或等于上限阈值时,触发一次上限告警事件;当告警变量的值小于或等于下限阈值,触发一次下限告警事件,告警管理将按照事件的定义进行相应的处理。
当告警变量的采样值在同一方向上连续多次超过阈值时,只会在第一次产生告警事件,后面的几次不会产生告警事件,即上限告警和下限告警是交替产生的,出现了一次上限告警,则下一次必为下限告警。如图19-1所示,告警变量的值(如图中黑色曲线所示)多次超过阈值(如图中蓝色直线所示),产生了多个交叉点,但只有红叉标识的交叉点才会触发告警事件,其它交叉点不会触发告警事件。
RMON的统计功能可以通过RMON统计组或者RMON历史组来实现,但是两者统计的对象不一样,请根据实际需要配置。
· RMON统计组统计的是RMON以太网统计表里定义的变量,记录的是从RMON统计表项创建到当前阶段变量的累加值。RMON统计组统计配置的推荐步骤如表19-1所示。
· RMON历史组统计的是RMON历史记录表里定义的变量,记录的是每个周期内变量的累加值。RMON历史组统计配置的推荐步骤如表19-2所示。
表19-1 RMON统计组统计功能配置
|
配置任务 |
说明 |
|
必选 配置统计表中的表项,最多可以配置100个统计表项 统计表项建立后,系统会持续统计当前端口的使用情况。统计信息包括网络冲突数、CRC校验错误报文数、过小(或超大)的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。设备重启时,会清除该统计信息
每个接口下只能定义一个统计表项 |
表19-2 RMON历史组统计功能配置
|
配置任务 |
说明 |
|
必选 配置历史表中的表项,最多可以配置100个历史表项 配置历史表项后,系统会按周期统计当前端口收发报文的情况,并将统计值作为一个实例保存在etherHistoryEntry表的叶子节点下
系统不允在同一个接口下许配置两个采样周期(也叫统计周期)完全相同的历史表项 |
如果触发告警事件时,需要向管理设备(NMS)发送Trap信息的话,则在配置RMON告警功能之前,必须保证SNMP Agent已经正确配置。SNMP Agent的配置请参见本手册的“SNMP”。
RMON告警功能配置的推荐步骤如表19-3所示。
表19-3 RMON告警功能配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 配置统计表中的表项,最多可以配置100个统计表项 由于Web支持配置的告警变量都是统计组中定义的MIB变量,因此,必须在被监控的以太网接口下配置RMON统计组统计功能 统计表项建立后,系统会持续统计当前端口的使用情况。统计信息包括网络冲突数、CRC校验错误报文数、过小(或超大)的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。设备重启时,会清除该统计信息
每个接口下只能定义一个统计表项 |
|
|
2 |
必选 配置事件表中的表项,最多可以配置60个事件表项 RMON的事件管理定义事件号及事件的处理方式包括:记录日志、向网管站发Trap消息、记录日志的同时向网管站发Trap消息或者既不记录日志也不发送Trap消息。这样系统就可以对告警表中定义的告警事件进行相应的处理
系统不允许配置两个告警变量、采样时间间隔、采样类型、阈值上限和阈值下限都完全相同的事件表项 |
|
|
3 |
必选 配置告警表中的表项,最多可以配置60个告警表项 配置告警表项后,在出现异常时会触发告警事件,再由告警事件来定义具体的处理方式
系统不允许配置两个描述、所有者和动作都完全相同的告警表项 |
完成RMON统计功能或RMON告警功能的配置后,可以通过如表19-4所示的操作来查看RMON的运行情况,验证配置的效果。
表19-4 RMON运行情况查看
|
操作 |
说明 |
|
执行此步骤可以查看从端口创建统计组到打开显示页面这段时间内端口的统计信息。设备重启时,会清除该统计信息 |
|
|
在端口创建历史表项之后,系统会按一定的时间周期统计端口的信息,并将这些信息保存到etherHistoryEntry表。执行此步骤可以查看该表项存储的记录,可查看的历史采样信息最大数目以及历史采样的周期是在配置历史组时指定的 |
|
|
如果配置事件组时指定了Log动作,则当该事件被触发时,就会在RMON日志表中保留该事件的记录,执行此步骤可以查看日志表的具体内容 |
(1) 在导航栏中选择“设备 > RMON”,默认进入“统计组”页签的页面,如图19-2所示。
(2) 单击<新建>按钮,进入新建统计表项的配置页面,如图19-3所示。
(3) 配置统计表项的信息,详细配置如表19-5所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
接口名称 |
设置要定义统计表项的接口的名称 每个接口下只能定义一个统计表项 |
|
所有者 |
设置该统计表项的所有者 |
(1) 在导航栏中选择“设备 > RMON”。
(2) 单击“历史组”页签,进入如图19-4所示的页面。
(3) 单击<新建>按钮,进入新建历史表项的配置页面,如图19-5所示。
(4) 配置历史表项的信息,详细配置如表19-6所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
接口名称 |
设置要定义历史表项的接口的名称 |
|
最大采样条数 |
设置该历史表项对应的历史表容量,即历史表最多可容纳的记录数 当历史表的容量达到最大值时,系统会删除最早的记录来保存新的统计值。统计信息包括端口一个周期内收到的报文总数、广播报文总数和组播报文总数等 |
|
统计周期 |
设置采样统计的周期 |
|
所有者 |
设置该历史表项的所有者 |
(1) 在导航栏中选择“设备 > RMON”。
(2) 单击“事件组”页签,进入如图19-6所示的页面。
(3) 单击<新建>按钮,进入新建事件表项的配置页面,如图19-7所示。
(4) 配置事件表项的信息,详细配置如表19-7所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
描述 |
设置事件的描述信息 |
|
所有者 |
设置该事件表项的所有者 |
|
动作 |
设置当该事件被触发时,系统所作的处理 · Log:当该事件被触发时,系统会记录日志 · Trap:当该事件被触发时,系统会以“null”为团体名发送Trap消息 当Log和Trap都设置时,系统会同时记录日志和发送Trap消息;当Log和Trap都不设置时,系统不做任何处理 |
(1) 在导航栏中选择“设备 > RMON”。
(2) 单击“告警组”页签,进入如图19-8所示的页面。
(3) 单击<新建>按钮,进入新建告警表项的配置页面,如图19-9所示。
(4) 配置告警表项的信息,详细配置如表19-8所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
告警变量 |
静态表项 |
设置要对什么内容进行统计和监控,详细说明请参见表19-9 |
|
接口名称 |
设置要对哪个接口进行统计和监控 |
|
|
采样属性 |
采样时间间隔 |
设置采样的时间间隔 |
|
采样类型 |
设置采样的类型,包括: · Absolute:绝对值采样,即采样时间到达时直接提取变量的值 · Delta:变化值采样,即采样时间到达时提取的是变量在采样间隔内的变化值 |
|
|
所有者 |
设置该告警表项的所有者 |
|
|
告警阈值与相关事件 |
创建缺省事件 |
设置是否要创建缺省的事件 所创建的缺省事件的描述为“default event”;动作为“Log”和“Trap”;所有者为“default owner” 当不存在任何事件时,可以选择创建缺省事件,此时阈值超过上限和低于下限所执行的事件都为缺省事件 |
|
上限 |
设置告警的阈值上限 |
|
|
超过阈值上限所执行的事件 |
设置当告警变量的值超过阈值上限时所执行的事件 当选择创建缺省事件,此项不可配 |
|
|
下限 |
设置告警的阈值下限 |
|
|
低于阈值下限所执行的事件 |
设置当告警变量的值低于阈值下限时所执行的事件 当选择创建缺省事件,此项不可配 |
|
可点击返回“表19-3 RMON告警功能配置步骤”。
(1) 在导航栏中选择“设备 > RMON”,默认进入“统计组”页签的页面,如图19-2所示。
(2) 单击某接口统计表项对应的
图标,进入如图19-10所示的页面。
图19-10 RMON统计信息
(3) 查看该接口下各RMON统计项的统计值,详细说明如表19-9所示。
表19-9 RMON统计信息的详细说明
|
统计项 |
说明 |
|
Number of Received Bytes |
接口收到的所有报文的字节数,对应MIB节点etherStatsOctets |
|
Number of Received Packets |
接口收到的所有报文的包数,对应MIB节点etherStatsPkts |
|
Number of Received Broadcasting Packets |
接口收到的所有广播包的数量,对应MIB节点etherStatsBroadcastPkts |
|
Number of Received Multicast Packets |
接口收到的所有组播包的数量,对应MIB节点etherStatsMulticastPkts |
|
Number of Received Packets With CRC Check Failed |
接口收到的所有校验错误包的数量,对应MIB节点etherStatsCRCAlignErrors |
|
Number of Received Packets Smaller Than 64 Bytes |
接口收到的所有过小(小于64字节)包的数量,对应MIB节点etherStatsUndersizePkts |
|
Number of Received Packets Larger Than 1518 Bytes |
接口收到的所有超大(大于1518字节)包的数量,对应MIB节点etherStatsOversizePkts |
|
Number of Received Packets Smaller Than 64 Bytes And FCS Check Failed |
接口收到的所有过小(小于64字节)且校验错误包的数量,对应MIB节点etherStatsFragments |
|
Number of Received Packets Larger Than 1518 Bytes And FCS Check Failed |
接口收到的所有超大(大于1518字节)且校验错误包的数量,对应MIB节点etherStatsJabbers |
|
Number of Network Conflicts |
接口收到的所有冲突包的数量,对应MIB节点etherStatsCollisions |
|
Number of Packet Discarding Events |
接口收到的所有丢包事件的数量,对应MIB节点etherStatsDropEvents |
|
Number of Received 64 Bytes Packets |
接口收到的所有64字节包的数量,对应MIB节点etherStatsPkts64Octets |
|
Number of Received 65 to 127 Bytes Packets |
接口收到的所有65字节~127字节包的数量,对应MIB节点etherStatsPkts65to127Octets |
|
Number of Received 128 to 255 Bytes Packets |
接口收到的所有128字节~255字节包的数量,对应MIB节点etherStatsPkts128to255Octets |
|
Number of Received 256 to 511 Bytes Packets |
接口收到的所有256字节~511字节包的数量,对应MIB节点etherStatsPkts256to511Octets |
|
Number of Received 512 to 1023 Bytes Packets |
接口收到的所有512字节~1023字节包的数量,对应MIB节点etherStatsPkts512to1023Octets |
|
Number of Received 1024 to 1518 Bytes Packets |
接口收到的所有1024字节~1518字节包的数量,对应MIB节点etherStatsPkts1024to1518Octets |
(1) 在导航栏中选择“设备 > RMON”。
(2) 单击“历史组”页签,进入如图19-4所示的页面。
(3) 单击某接口的历史表项对应的图标,进入如图19-11所示的页面。
图19-11 RMON历史采样信息
(4) 查看该接口的RMON历史采样信息,详细说明如表19-10所示。
表19-10 RMON历史采样信息的详细说明
|
标题项 |
说明 |
|
序号 |
该条信息在系统缓存区中的编号 统计信息保存到缓存区时会按时间先后顺序进行编号 |
|
发生事件 |
该条信息的保存时间 |
|
丢包事件次数 |
采样周期内检测到的丢包事件次数,对应MIB节点etherHistoryDropEvents |
|
字节数 |
采样周期内接收到的字节数,对应MIB节点etherHistoryOctets |
|
包数 |
采样周期内接收到的包数,对应MIB节点etherHistoryPkts |
|
广播包数 |
采样周期内接收到的广播包数,对应MIB节点etherHistoryBroadcastPkts |
|
组播包数 |
采样周期内接收到的组播包数,对应MIB节点etherHistoryMulticastPkts |
|
校验错误包数 |
采样周期内接收到的校验错误的包数,对应MIB节点 etherHistoryCRCAlignErrors |
|
过小包数 |
采样周期内接收到的过小的包数,对应MIB节点etherHistoryUndersizePkts |
|
超大包数 |
采样周期内接收到的超大的包数,对应MIB节点etherHistoryOversizePkts |
|
过小且校验错误包数 |
采样周期内接收到的过小且校验错误的包数,对应MIB节点etherHistoryFragments |
|
超大且校验错误包数 |
采样周期内接收到的超大且校验错误的包数,对应MIB节点etherHistoryJabbers |
|
冲突的包数 |
采样周期内接收到的冲突的包数,对应MIB节点etherHistoryCollisions |
|
带宽利用率 |
采样周期内的带宽利用率,对应MIB节点etherHistoryUtilization |
(1) 在导航栏中选择“设备 > RMON”。
(2) 单击“日志”页签,进入如图19-12所示的页面。
(3) 查看所有事件的日志信息,包括:事件索引、日志表项(对应MIB节点logIndex)、日志生成时间(对应MIB节点logTime)和日志描述(对应MIB节点logDescription)。图19-12举例表明:事件1产生了一条日志,该日志由告警表项1触发生成,原因是告警值(11779194)超过了上限阈值(10000000),采样类型为绝对值采样。
Agent通过Internet连接远端NMS。在RMON以太网统计表中设定一个表项,对以太网接口GigabitEthernet1/0/1进行性能统计。并以10秒的间隔对该接口收到的字节数进行采样,在相对采样值超过1000或低于100时记录日志。
图19-13 RMON配置组网图
(1) 配置RMON对接口GigabitEthernet1/0/1进行流量统计。
步骤1:在导航栏中选择“设备 > RMON”,默认进入“统计组”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图19-14所示。
· 选择接口名称为“GigabitEthernet1/0/1”。
· 输入所有者为“user1”。
步骤4:单击<确定>按钮完成操作。
(2) 查看接口GigabitEthernet1/0/1的RMON统计信息。
步骤1:在统计表项列表中单击“GigabitEthernet1/0/1”对应的图标。
步骤2:查看到如图19-15所示的信息。
图19-15 查看RMON统计信息
(3) 配置一个触发时记录日志的事件。
步骤1:单击“事件组”页签。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图19-16所示。
· 选中动作“Log”前的复选框。
步骤4:单击<确定>按钮完成操作。
步骤5:完成上述配置后,页面跳转到事件表项的显示页面,查看到新配置的事件表项的索引为“1”,如图19-17所示。
(4) 配置一个告警组,对接口GigabitEthernet1/0/1收到的字节数进行抽样,当超过上下限值的时候,都会记录日志。
步骤1:单击“告警组”页签。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图19-18所示。
· 选择静态表项为“Number of Received Bytes”。
· 选择接口名称为“GigabitEthernet1/0/1”。
· 输入采样时间间隔为“10”。
· 选择采样类型为“Delta”。
· 输入所有者为“user1”。
· 输入上限为“1000”。
· 选择超过阈值上限所执行的事件为“1”。
· 输入下限为“100”。
· 选择低于阈值下限所执行的事件为“1”。
步骤4:单击<确定>按钮完成操作。
完成上述配置后,当告警时间被触发时,在Web上查看事件1的日志信息。
步骤1:在导航栏中选择“设备 > RMON”。
步骤2:单击“日志”页签。
步骤3:查看到事件1产生了如图19-19所示的日志信息,该日志由告警表项1触发生成,原因是告警值(22050)超过了上限阈值(1000),采样类型为相对值采样。
图19-19 事件1的日志信息
通过绿色节能功能,用户可以根据需要设置端口在每周的某天的某个时间段内,PoE(Power over Ethernet,以太网供电,又称远程供电)不供电、以最低速率(10Mbps)运行或者关闭该端口,以达到设备节能的目的。当指定的时间范围结束时,端口会自动恢复正常。配置端口绿色节能功能步骤如下:
(1) 在导航栏中选择“设备 > 绿色节能”,进入绿色节能模块的页面。
(2) 在面板示意图中选中某个端口,下方可以显示和配置该端口的绿色节能策略,如图20-1所示。
(3) 配置端口的绿色节能功能信息,详细配置如表20-1所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
时间段 |
设置端口进入绿色节能状态的时间范围,包括选择每周的星期几,以及设置具体的开始时间和结束时间
设备支持为每个端口配置最多5个针对不同时间范围的绿色节能策略,但同一端口的不同节能策略的时间范围不能冲突 开始时间和结束时间请设置为以5分钟为单位,如“08:05-10:15”;否则,在实际运行时,会将开始时间延后和将结束时间提前到以5分钟为单位,即如果设置为“08:08-10:12”,则实际生效的时间段为“08:10-10:10” |
|
星期日~星期六 |
|
|
PoE不供电 |
设置对端口采取PoE不供电的节能方式 |
|
配置最低速率 |
设置对端口采取以最低速率运行的节能方式
对于不支持10Mbps速率的端口,如果配置此节能方式,则可以配置成功,但不生效 |
|
端口关闭 |
设置对端口采取关闭端口的节能方式
在一个节能策略中可以同时配置这三种节能方式,但如果配置了采取“端口关闭”方式,则不管是否还配置了采取其他方式,在指定的时间范围到达时,都会将端口关闭 |
SNMP(Simple Network Management Protocol,简单网络管理协议)是因特网中的一种网络管理标准协议,被广泛用于实现管理设备对被管理设备的访问和管理。SNMP具有以下特点:
· 支持网络设备的智能化管理。利用基于SNMP的网络管理平台,网络管理员可以查询网络设备的运行状态和参数,设置参数值,发现故障、完成故障诊断,进行容量规划和生成报告。
· 支持对不同物理特性的设备进行管理。SNMP只提供最基本的功能集,使得管理任务与被管理设备的物理特性和联网技术相对独立,从而实现对不同厂商设备的管理。
SNMP网络包含NMS和Agent两种元素。
· NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作。
· Agent是SNMP网络的被管理者,负责接收、处理来自NMS的请求报文。在一些紧急情况下,如接口状态发生改变等,Agent会主动向NMS发送告警信息。
NMS管理设备的时候,通常会对一些参数比较关注,比如接口状态、CPU利用率等,这些参数的集合称为MIB(Management Information Base,管理信息库)。这些参数在MIB中称为节点。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名字、访问权限和数据类型等。每个Agent都有自己的MIB。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。NMS、Agent和MIB之间的关系如图21-1所示。
图21-1 NMS、Agent和MIB关系图
MIB是按照树型结构组织的,它由很多个节点组成,每个节点表示被管理对象,被管理对象可以用从根开始的一串表示路径的数字唯一地识别,这串数字称为OID(Object Identifier,对象标识符)”。如图21-2所示,被管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字就是被管理对象B的OID。
图21-2 MIB树结构
SNMP提供四种基本操作来实现NMS和Agent的交互:
· GET操作:NMS使用该操作查询Agent MIB中的一个或多个节点的值。
· SET操作:NMS使用该操作设置Agent MIB中的一个或多个节点的值。
· Trap操作:Agent使用该操作向NMS发送Trap信息。Agent不要求NMS发送回应报文,NMS也不会对Trap信息进行回应。SNMPv1、SNMPv2c和SNMPv3均支持Trap操作。
设备支持GET、SET和Trap三种操作。
目前Agent支持SNMPv1、SNMPv2c和SNMPv3三种版本:
· SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS设置的团体名和被管理设备上设置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
· SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
· SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以设置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能,可以为NMS和Agent之间的通信提供更高的安全性。
NMS和Agent成功建立连接的前提条件是NMS和Agent使用的SNMP版本必须相同。
由于SNMPv3版本的配置和SNMPv1版本、SNMPv2c版本的配置有较大区别,所以下面分两种情况进行介绍。
表21-1 SNMPv1/v2c配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,SNMP Agent功能处于关闭状态
当SNMP Agent关闭时,所有SNMP Agent的配置将不会被保存 |
|
|
2 |
可选 配置SNMP视图后,可以为SNMP团体指定SNMP视图,以限制SNMP团体可以访问的MIB对象 |
|
|
3 |
必选 |
|
|
4 |
可选 配置Agent可以向NMS发送SNMP Trap消息,并配置SNMP Trap消息的目标主机(通常为NMS)的相关信息 Trap信息是Agent主动向NMS发送的,用于报告一些紧急的重要事件,如被管理设备重新启动等 缺省情况下,允许Agent发送SNMP Trap消息 |
|
|
5 |
可选 |
表21-2 SNMPv3配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,SNMP Agent功能处于关闭状态
当SNMP Agent关闭时,所有SNMP Agent的配置将不会被保存 |
|
|
2 |
可选 配置SNMP视图后,可以为SNMP组指定SNMP视图,以限制SNMP组可以访问的MIB对象 |
|
|
3 |
必选 配置SNMP组后,在配置SNMP用户时把SNMP用户加入到组中。通过对组的管理可以更好地对组中的用户进行集中管理 |
|
|
4 |
必选 配置SNMP用户前,必须先配置该SNMP用户所属的SNMP组
用户创建后是否有效,与设备的本地引擎ID有关。如果创建用户时的本地引擎ID和当前的本地引擎ID不同,则该用户当前无效。本地引擎ID的配置参见“21.2.2 开启SNMP Agent” |
|
|
5 |
可选 配置Agent可以向NMS发送SNMP Trap消息,并配置SNMP Trap消息的目标主机(通常为NMS)的相关信息 Trap信息是Agent主动向NMS发送的,用于报告一些紧急的重要事件,如被管理设备重新启动等 缺省情况下,允许Agent发送SNMP Trap消息 |
|
|
6 |
可选 |
(1) 在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面,如图21-3所示。
(2) 在页面上半部分对SNMP Agent的开启状态、版本等参数进行配置,详细配置如表21-3所示。
(3) 单击<确定>按钮完成操作。
表21-3 开启SNMP Agent的详细配置
|
配置项 |
说明 |
|
SNMP |
设置开启或关闭SNMP Agent功能 |
|
本地引擎ID |
设置本地引擎ID 用户创建后是否有效,与设备的SNMP实体引擎ID有关。如果用户创建时的引擎ID和当前的引擎ID不同,则该用户当前无效 |
|
最大包长度 |
设置Agent能接收/发送的SNMP消息包的大小 |
|
联系信息 |
设置描述系统维护联系信息的字符串 如果设备发生故障,维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系 |
|
物理位置信息 |
设置描述设备物理位置的字符串 |
|
SNMP版本 |
设置系统启用的SNMP版本号 |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“视图”页签,进入如图21-4所示的页面。
(3) 单击<新建>按钮,弹出新建视图的对话框,如图21-5所示。
图21-5 新建SNMP视图(一)
(4) 在文本框中输入要创建的视图的名称。
(5) 单击<确定>按钮,进入SNMP视图具体规则的配置页面,如图21-6所示。
图21-6 新建SNMP视图(二)
(6) 配置规则的参数,详细配置如表21-4所示。
(7) 单击<添加>按钮,向SNMP视图中添加一条规则。
(8) 重复步骤(6)~(7)为SNMP视图添加多条规则。
(9) 配置完该视图的所有规则后,单击<确定>按钮完成操作。需要注意的是,如果单击<取消>按钮,则不会新建SNMP视图。
表21-4 SNMP视图规则的详细配置
|
配置项 |
说明 |
|
视图名称 |
显示SNMP视图的名称 |
|
规则 |
设置将由MIB子树OID和子树掩码确定的对象包含在视图范围之内,或者排除在视图范围之外 |
|
MIB子树OID |
设置MIB子树根节点的OID(如1.4.5.3.1)或名称(如system) MIB子树OID标明节点在MIB树中的位置,他能唯一的标识一个MIB库中的对象 |
|
子树掩码 |
设置子树掩码 子树掩码为十六进制字符串,长度必须为2~32中的偶数。如果不指定子树掩码,则子树掩码的取值为全F |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“视图”页签,进入如图21-4所示的页面。
(3) 单击某视图对应的
图标,弹出如图21-7所示的对话框。
图21-7 为SNMP视图添加规则
(4) 配置规则的信息,详细说明参见表21-4。
(5) 单击<确定>按钮完成操作。
也可以在如图21-4所示的页面单击视图对应的
图标,进入视图的修改页面来配置视图中的规则,此处不再赘述。
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“团体”页签,进入如图21-8所示的页面。
(3) 单击<新建>按钮,进入新建SNMP团体的配置页面,如图21-9所示。
(4) 配置SNMP团体的信息,详细配置如表21-5所示。
(5) 单击<确定>按钮完成操作。
表21-5 SNMP团体的详细配置
|
配置项 |
说明 |
|
团体名称 |
设置SNMP团体的名称 |
|
访问权限 |
设置NMS使用该团体访问Agent时的权限 · 只读:表明对MIB对象进行只读的访问,NMS使用该团体名访问Agent时只能执行读操作 · 读写:表明对MIB对象进行读写的访问。NMS使用该团体名访问Agent时可以执行读、写操作 |
|
视图 |
设置与该团体关联的视图,以限制NMS可以对Agent进行操作的MIB对象 |
|
ACL |
设置将该团体与基本访问控制列表绑定,以允许或禁止具有特定源IP地址的NMS对Agent的访问 |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“组”页签,进入如图21-10所示的页面。
(3) 单击<新建>按钮,进入新建SNMP组的配置页面,如图21-11所示。
(4) 配置SNMP组的信息,详细配置如表21-6所示。
(5) 单击<确定>按钮完成操作。
表21-6 SNMP组的详细配置
|
配置项 |
说明 |
|
组名称 |
设置SNMP组的名称 |
|
安全级别 |
设置SNMP组的安全级别,包括:不认证不加密、只认证不加密、既认证又加密
已存在的SNMP组,其安全级别不能修改 |
|
只读视图 |
设置SNMP组的只读视图 |
|
读写视图 |
设置SNMP组的读写视图 如果不指定读写视图,则NMS不能对设备的所有MIB对象进行写操作 |
|
通知视图 |
设置SNMP组的通知视图,即可以发送Trap消息的视图 如果不指定通知视图,则Agent不会向NMS发送Trap信息 |
|
ACL |
设置将组与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而进一步限制NMS和Agent的互访 |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“用户”页签,进入如图21-12所示的页面。
(3) 单击<新建>按钮,进入新建SNMP用户的配置页面,如图21-13所示。
(4) 配置SNMP用户的信息,详细配置如表21-7所示。
(5) 单击<确定>按钮完成操作。
表21-7 SNMP用户的详细配置
|
配置项 |
说明 |
|
用户名称 |
设置SNMP用户的名称 |
|
安全级别 |
设置SNMP用户的安全级别,包括:不认证不加密、只认证不加密、既认证又加密 |
|
用户所在组 |
设置用户所属的组名称 · 当用户的安全级别选择“不认证不加密”时,可以选择“不认证不加密”的组 · 当用户的安全级别选择“只认证不加密”时,可以选择“不认证不加密”或“只认证不加密”的组 · 当用户的安全级别选择“既认证又加密”时,可以选择所有安全级别的组 |
|
认证模式 |
当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的模式,包括:MD5、SHA |
|
认证密码 |
当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的密码 确认认证密码必须与认证密码一致 |
|
确认认证密码 |
|
|
加密模式 |
当安全级别选择 “既认证又加密”时,设置加密的模式,包括:DES56、AES128、3DES |
|
加密密码 |
当安全级别选择“既认证又加密”时,设置加密的密码 确认加密密码必须与加密密码一致 |
|
确认加密密码 |
|
|
ACL |
设置将用户与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而可以允许或禁止指定的NMS使用该用户名访问Agent |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“Trap”页签,进入如图21-14所示的页面。
(3) 在页面上半部分选中“使能SNMP Trap”前的复选框。
(4) 单击<确定>按钮,使能SNMP Trap功能。
(5) 页面下半部分显示的是Trap目标主机的信息。单击<新建>按钮,进入新建Trap目标主机的配置页面,如图21-15所示。
图21-15 新建Trap目标主机
(6) 配置Trap目标主机的信息,详细配置如表21-8所示。
(7) 单击<确定>按钮完成操作。
表21-8 Trap目标主机的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置目标主机的IP地址 选择IP地址的类型(IPv4/域名或IPv6),然后输入相应类型的IP地址或域名
仅S5120-WiNet系列交换机此配置项不支持域名设置 |
|
安全名称 |
设置安全名称,为SNMP v1、SNMP v2c的团体名或SNMP v3的用户名 |
|
UDP端口号 |
设置UDP端口号
缺省值162是SNMP协议规定的NMS接收Trap报文的端口,通常情况下(比如使用iMC或着MIB Browser作为NMS时),使用该缺省值即可。如果要将端口号修改为其他值,则必须和NMS上的配置保持一致 |
|
安全模型 |
设置SNMP的版本,必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息 |
|
安全级别 |
当安全模型选择“v3”时,设置对SNMP Trap消息认证加密的方式,包括不认证不加密、只认证不加密、既认证又加密 当安全模型选择“v1”或“v2c”时,安全级别为“不认证不加密”,不可以修改 |
(1) 在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面,如图21-3所示。
(2) 在页面下部的列表中查看SNMP报文的统计信息,如图21-16所示。
图21-16 SNMP报文的统计信息
如图21-17所示,NMS(IP地址为1.1.1.2/24)与Switch(IP地址为1.1.1.1/24)相连。现要实现如下需求:
· NMS通过SNMPv1或SNMPv2c对Switch进行监控管理。
· Switch在出现故障时能主动向NMS发送Trap报文。
图21-17 SNMPv1/v2c配置组网图
(1) 开启SNMP Agent。
步骤1:在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面。
步骤2:进行如下配置,如图21-18所示。
· 选中SNMP“开启”前的单选按钮。
· 选择SNMP版本为“v1”和“v2c”。
步骤3:单击<确定>按钮完成操作。
图21-18 开启SNMP Agent
(2) 配置SNMP只读团体public。
步骤1:单击“团体”页签。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图21-19所示。
· 选择访问权限为“只读”。
步骤4:单击<确定>按钮完成操作。
图21-19 配置SNMP只读团体public
(3) 配置SNMP读写团体private。
步骤1:在“团体”页签的页面单击<新建>按钮。
步骤2:进行如下配置,如图21-20所示。
· 选择访问权限为“读写”。
步骤3:单击<确定>按钮完成操作。
图21-20 配置SNMP团体private
(4) 开启Agent发送SNMP Trap消息功能。
步骤1:单击“Trap”页签。
步骤2:如图21-21所示,选中“使能SNMP Trap”前的复选框。
步骤3:单击<确定>按钮完成操作。
图21-21 开启Agent发送SNMP Trap消息功能
(5) 配置SNMP Trap消息的目标主机。
步骤1:在“Trap”页签的页面单击<新建>按钮。
步骤2:进行如下配置,如图21-22所示。
· 选择目的IP地址类型为“IPv4/域名”,输入目的IP地址为“1.1.1.2”。
· 输入安全名称为“public”。
· 选择安全模型为“v1”。(此配置项必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息)
步骤3:单击<确定>按钮完成操作。
图21-22 配置SNMP Trap消息的目标主机
NMS侧的配置必须和Agent侧保持一致,否则无法进行相应操作。
设置NMS使用的SNMP版本为SNMPv1/v2c,只读团体名为public,读写团体名为private。具体情况请参考NMS的相关手册。
· 通过以上配置,NMS可以和Switch建立SNMP连接,能够通过MIB节点查询、设置Switch上某些参数的值。
· 对Switch上某个空闲的接口执行关闭/开启操作,NMS上将看到相应的Trap信息。
如图21-23所示,NMS(IP地址为1.1.1.2/24)与Switch(IP地址为1.1.1.1/24)相连。现要实现如下需求:
· NMS通过SNMPv3对Switch的接口状态进行监控管理。
· Switch在出现故障时能主动向NMS发送Trap报文。
· NMS与Agent建立SNMP连接时需要认证,认证模式为MD5,认证密码为authkey。
· NMS与Agent之间传输的SNMP报文需要加密,加密模式为DES56,加密密码为prikey。
图21-23 SNMP配置组网图
(1) 开启SNMP Agent。
步骤1:在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面。
步骤2:进行如下配置,如图21-24所示。
· 选中SNMP“开启”前的单选按钮。
· 选择SNMP版本为“v3”。
步骤3:单击<确定>按钮完成操作。
(2) 配置SNMP视图。
步骤1:单击“视图”页签。
步骤2:单击<新建>按钮。
步骤3:如图21-25所示,输入视图名称为“view1”。
图21-25 新建SNMP视图(一)
步骤4:单击<确定>按钮,进入SNMP视图规则的配置页面。
步骤5:进行如下配置,如图21-26所示。
· 输入MIB子树OID为“interfaces”。
· 单击<添加>按钮。
步骤6:单击<确定>按钮,弹出配置进度对话框。
步骤7:看到配置成功的提示后,单击对话框中的<关闭>按钮完成操作。
图21-26 新建SNMP视图(二)
(3) 配置SNMP组。
步骤1:单击“组”页签,。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图21-27所示。
· 选择只读视图为“view1”。
· 选择读写视图为“view1”。
步骤4:单击<确定>按钮完成操作。
(4) 配置SNMP用户。
步骤1:单击“用户”页签。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图21-28所示。
· 选择安全级别为“既认证又加密”。
· 选择用户所在组为“group1”。
· 选择认证模式为“MD5”。
· 输入认证密码和确认认证密码为“authkey”。
· 选择加密模式为“DES56”。
· 输入加密密码和确认加密密码为“prikey”。
步骤4:单击<确定>按钮完成操作。
(5) 开启Agent发送SNMP Trap消息功能。
步骤1:单击“Trap”页签。
步骤2:如图21-29所示,选中“使能SNMP Trap”前的复选框。
步骤3:单击<确定>按钮完成操作。
图21-29 开启Agent发送SNMP Trap消息功能
(6) 配置SNMP Trap消息的目标主机。
步骤1:在“Trap”页签的页面单击<新建>按钮。
步骤2:进行如下配置,如图21-30所示。
· 选择目的IP地址类型为“IPv4/域名”,输入目的IP地址为“1.1.1.2”。
· 输入安全名称为“user1”。
· 选择安全模型为“v3”。
· 选择安全级别为“既认证又加密”。
步骤3:单击<确定>按钮完成操作。
图21-30 配置SNMP Trap消息的目标主机
NMS侧的配置必须和Agent侧保持一致,否则无法进行相应操作。
设置NMS使用的SNMP版本为SNMPv3,用户名为user1,启用认证和加密功能,认证模式为MD5,认证密码为authkey,加密模式为DES56,加密密码为prikey。具体配置请参考NMS的相关手册。
· 完成上述配置后,NMS可以和Switch建立SNMP连接,能够通过MIB节点查询、设置Switch上某些参数的值。
· 在Switch上将某个空闲接口强制关闭或者开启,NMS可以看到相应的Trap信息。
接口统计信息功能用于显示接口接收和发送报文数量的相关统计信息。
在导航栏中选择“设备 > 接口统计信息”,进入如图22-1所示的页面。
接口统计信息的详细说明如表22-1所示。
|
标题项 |
说明 |
|
InOctets |
接口接收的所有报文的字节数 |
|
InUcastPkts |
接口接收的单播报文数 |
|
InNUcastPkts |
接口接收的非单播报文数 |
|
InDiscards |
接口入方向上丢弃的非错误报文数 |
|
InErrors |
接口接收的错误报文数 |
|
InUnknownProtos |
接口接收的未知协议报文数 |
|
OutOctets |
接口发送的所有报文的字节数 |
|
OutUcastPkts |
接口发送的单播报文数 |
|
OutNUcastPkts |
接口发送的非单播报文数 |
|
OutDiscards |
接口出方向上丢弃的非错误报文数 |
|
OutErrors |
接口发送的错误报文数 |
Web界面目前只支持对基于端口的VLAN的配置,因此,本章中也只对基于端口的VLAN进行介绍。
基于端口划分VLAN是最简单、最有效的VLAN划分方法。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文。
根据端口在转发报文时对VLAN Tag的不同处理方式,可将端口的链路连接类型分为三种:
· Access连接:端口发出去的报文不带VLAN Tag。一般用于和不能识别VLAN Tag的终端设备相连,或者不需要区分不同VLAN成员时使用。
· Trunk连接:端口发出去的报文,端口缺省VLAN内的报文不带Tag,其它VLAN内的报文都必须带Tag。通常用于网络传输设备之间的互连。
· Hybrid连接:端口发出去的报文可根据需要设置某些VLAN内的报文带Tag,某些VLAN内的报文不带Tag。Hybrid类型端口既可以用于网络传输设备之间的互连,又可以直接连接终端设备。
除了可以设置端口允许通过的VLAN,还可以设置端口的缺省VLAN。在缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置。
· Access端口的缺省VLAN就是它所属的VLAN。
· Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置缺省VLAN。
· 当删除某个VLAN时,如果该VLAN是某个端口的缺省VLAN,则对Access端口,端口的缺省VLAN会恢复到VLAN 1;对Trunk或Hybrid端口,端口的缺省VLAN配置不会改变,即它们可以使用已经不存在的VLAN作为缺省VLAN。
· 当语音VLAN工作模式为自动模式时,不能将缺省VLAN设置为语音VLAN。有关语音VLAN的相关内容,请参见本手册的“语音VLAN”。
· 建议本端设备端口的缺省VLAN和相连的对端设备端口的缺省VLAN保持一致。
· 建议保证端口的缺省VLAN为端口允许通过的VLAN。如果端口不允许某VLAN通过,但是端口的缺省VLAN为该VLAN,则端口会丢弃收到的该VLAN的报文或者不带VLAN Tag的报文。
在配置了端口连接类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况如表23-1所示。
|
对接收报文的处理 |
对发送报文的处理 |
||
|
接收的报文不带Tag时 |
接收的报文带有Tag时 |
||
|
Access |
为报文添加缺省VLAN的Tag |
· 当VLAN与缺省VLAN相同时,接收该报文 · 当VLAN与缺省VLAN不同时,丢弃该报文 |
去掉Tag,发送该报文 |
|
Trunk |
· 当缺省VLAN在端口允许通过的VLAN列表中时,接收该报文,为报文添加缺省VLAN的Tag · 当缺省VLAN不在端口允许通过的VLAN列表中时,丢弃该报文 |
· 当VLAN在端口允许通过的VLAN列表中时,接收该报文 · 当VLAN不在端口允许通过的VLAN列表中时,丢弃该报文 |
· 当VLAN与缺省VLAN相同,且在端口允许通过的VLAN列表中时,去掉Tag,发送该报文 · 当VLAN与缺省VLAN不同,且在端口允许通过的VLAN列表中时,保持原有Tag,发送该报文 |
|
Hybrid |
当VLAN在端口允许通过的VLAN列表中时,发送该报文,是否去掉Tag可由用户手动配置 |
||
表23-2 基于Access端口的VLAN配置步骤
|
步骤 |
配置任务 |
说明 |
|
|
1 |
必选 创建一个或多个VLAN |
||
|
2 |
可选 配置端口的连接类型为Access 缺省情况下,端口的连接类型为Access |
||
|
3 |
配置Access端口的缺省VLAN |
必选 Access端口只有一个Untagged VLAN,即其缺省VLAN。因此,这三个步骤配置效果相同,同时配置时,以最后的配置为准 缺省情况下,Access端口的Untagged VLAN(即缺省VLAN)为VLAN 1 |
|
|
4 |
此步骤用于指定在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围。首次进入上述三个页面之前,必须执行此操作 |
||
|
配置VLAN的Untagged成员为Access端口 |
|||
|
5 |
配置Access端口的Untagged VLAN |
||
表23-3 基于Trunk端口的VLAN配置步骤
|
步骤 |
配置任务 |
说明 |
|
|
1 |
必选 创建一个或多个VLAN |
||
|
2 |
必选 配置端口的连接类型为Trunk 对于Hybrid端口,必须先将其设置为Access端口,才能再设置为Trunk端口 缺省情况下,端口的连接类型为Access |
||
|
3 |
配置Trunk端口的缺省VLAN |
必选 Trunk端口只有一个Untagged VLAN,即其缺省VLAN。因此,这三个步骤配置效果相同,同时配置时,以最后的配置为准 缺省情况下,Trunk端口的Untagged VLAN(即缺省VLAN)为VLAN 1
改变Trunk端口的Untagged VLAN(即其缺省VLAN)时,该端口原来的Untagged VLAN将自动变为其Tagged VLAN |
|
|
4 |
此步骤用于指定在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围。首次进入上述三个页面之前,必须执行此操作 |
||
|
配置VLAN的Untagged成员为Trunk端口 |
|||
|
5 |
配置Trunk端口的Untagged VLAN |
||
|
6 |
首次进入“细节”、“修改VLAN”和“删除”页签的页面前,必须执行此操作,以指定在上述三个页面中进行操作时可选择的VLAN范围 |
必选 Trunk端口可以有多个Tagged VLAN。因此,通过这两个步骤多次为Trunk端口配置的Tagged VLAN将同时有效 |
|
|
配置VLAN的Tagged成员为Trunk端口 |
|||
|
7 |
配置Trunk端口的Tagged VLAN |
||
表23-4 基于Hybrid端口的VLAN配置步骤
|
步骤 |
配置任务 |
说明 |
|
|
1 |
必选 创建一个或多个VLAN |
||
|
2 |
可选 配置端口的连接类型为Hybrid 对于Trunk端口,必须先将其设置为Access端口,才能再设置为Hybrid端口 如果通过步骤5为Trunk端口一次同时指定多个Untagged VLAN,则非Hybrid端口将自动变为Hybrid端口 缺省情况下,端口的连接类型为Access |
||
|
3 |
可选 配置Hybrid端口的缺省VLAN 缺省情况下,Hybrid端口的缺省VLAN为VLAN 1 |
||
|
4 |
此步骤用于指定在“细节”、“修改VLAN”和“删除”页签页面操作时可选择的VLAN范围。首次进入上述三个页面之前,必须执行此操作 |
必选 Hybrid端口可以有多个Untagged VLAN。因此,通过这两个步骤多次为Hybrid端口配置的Untagged VLAN将同时有效 缺省情况下,Hybrid端口的Untagged VLAN为VLAN 1 |
|
|
配置VLAN的Untagged成员为Hybrid端口 |
|||
|
5 |
配置Hybrid端口的Untagged VLAN |
||
|
6 |
首次进入“细节”、“修改VLAN”和“删除”页签的页面前,必须执行此操作,以指定在上述三个页面中进行操作时可选择的VLAN范围 |
必选 Hybrid端口可以有多个Tagged VLAN。因此,通过这两个步骤多次为Hybrid端口配置的Tagged VLAN将同时有效 |
|
|
配置VLAN的Tagged成员为Hybrid端口 |
|||
|
7 |
配置Hybrid端口的Tagged VLAN |
||
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“创建”页签,进入VLAN的创建页面,如图23-1所示。
(3) 输入要创建的VLAN ID或VLAN ID范围。
(4) 单击<创建>按钮完成操作。
端口的连接类型还可以在“设备 > 端口管理 [设置]”中配置,详细配置请参见本手册的“端口管理”。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签。
(3) 在面板示意图中选择要配置的端口。
(4) 如图23-2所示,选择操作类型为“连接类型”,表示要对选中的端口进行修改连接类型的配置。
(5) 设置端口的连接类型,包括:Access、Hybrid、Trunk。
(6) 单击<应用>按钮,弹出配置进度对话框。
(7) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
端口的缺省VLAN还可以在“设备 > 端口管理 [设置]”中配置,详细配置请参见本手册的“端口管理”。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签。
(3) 在面板示意图中选择要配置的端口。
(4) 如图23-3所示,选择操作类型为“PVID”,表示要对选中的端口进行修改缺省VLAN的配置。
(5) 设置端口的PVID,选中“删除”时表示将端口的PVID恢复为缺省值VLAN 1。需要注意的是,为Access端口指定的PVID必须是已经存在的VLAN。
(6) 单击<应用>按钮,弹出配置进度对话框。
(7) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(1) 在导航栏中选择“网络 > VLAN”,默认进入“选择”页签的页面,如图23-4所示。
(2) 选择是希望显示所有已配置的VLAN,还是显示所有已配置VLAN的一个子集。如果希望显示所有已配置VLAN的一个子集,则还需要制定希望显示的VLAN范围。
(3) 单击<选择>按钮完成操作。
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改VLAN”页签,进入如图23-5所示的页面。
(3) 配置VLAN的端口成员,详细配置如表23-5所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表23-5 修改VLAN中端口的详细配置
|
配置项 |
说明 |
|
|
请选择一个VLAN修改 |
设置要修改的VLAN,可选的VLAN为已存在并且包含在设置的显示范围内的VLAN |
|
|
修改描述 |
设置修改VLAN的描述字符串 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,如“VLAN 0001” |
|
|
选择成员类型 |
Untagged |
设置VLAN中要修改的端口成员类型,包括: · Untagged:表示端口成员发送该VLAN报文时不带Tag标签 · Tagged:表示端口成员发送该VLAN报文时带Tag标签 · 非成员:表示从该VLAN中删除端口成员 |
|
Tagged |
||
|
非成员 |
||
|
选择要修改的端口 |
选择VLAN中要进行修改的端口
将Access端口配置为某VLAN的Tagged成员时,该端口会被修改为Hybrid端口 |
|
(1) 在导航栏中选择“网络 > VLAN”。
(2) 单击“修改端口”页签,进入如图23-6所示的页面。
(3) 配置端口所属VLAN,详细配置如表23-6所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表23-6 修改端口所属VLAN的详细配置
|
配置项 |
说明 |
|
选择端口 |
选择要修改所属VLAN的端口 |
|
选择操作类型 |
设置要进行的操作类型,包括: · Untagged:表示将端口设置为指定VLAN的Untagged成员,端口发送指定VLAN报文时将不带Tag标签 · Tagged:表示将端口设置为指定VLAN的Tagged成员,端口发送指定VLAN报文时将带Tag标签 · 非成员:表示将端口从指定VLAN中删除 |
|
VLAN IDs |
设置端口要加入或退出的VLAN ID
将Access端口配置为某VLAN的Untagged成员时,该VLAN必须已经存在 将Access端口配置为某VLAN的Tagged成员或将Trunk端口一次配置为多个VLAN的Untagged成员时,该端口会被修改为Hybrid端口 将Hybrid端口配置为某VLAN的Untagged或Tagged成员时,该VLAN必须是已经存在的静态VLAN |
· Switch A与对端Switch B使用GigabitEthernet1/0/1相连。
· GigabitEthernet1/0/1为Trunk端口,缺省VLAN ID为100。
· 配置GigabitEthernet1/0/1,使该端口允许VLAN 2、VLAN 6到VLAN 50、VLAN 100的报文通过。
图23-7 VLAN配置组网图
(1) 配置GigabitEthernet1/0/1为Trunk端口,缺省VLAN为VLAN 100。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图23-8所示。
· 选中“PVID”前的复选框,输入PVID为“100”。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
步骤4:单击<提交>按钮完成操作。
图23-8 配置GigabitEthernet1/0/1为Trunk端口(PVID为100)
(2) 创建VLAN 2、VLAN 6到VLAN 50、VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图23-9所示,输入VLAN IDs为“2,6-50,100”。
步骤4:单击<创建>按钮完成操作。
图23-9 创建VLAN 2、VLAN 6-50、VLAN 100
(3) 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员。
步骤1:单击“选择”页签。
步骤2:如图23-10所示,选中“显示所有已配置VLAN的一个子集”前的单选按钮,在输入框中输入“1-100”。
步骤3:单击<选择>按钮完成操作。
步骤4:单击“修改VLAN”页签。
步骤5:进行如下配置,如图23-11所示。
· 在“请选择一个VLAN修改”下拉框中选择“100 - VLAN 0100”。
· 选中“Untagged”前的单选按钮。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
步骤6:单击<应用>按钮,弹出配置进度对话框。
步骤7:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图23-11 配置GigabitEthernet1/0/1为VLAN 100的Untagged成员
(4) 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6到VLAN 50的Tagged成员。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如图23-12所示。
· 在面板示意图中点击选择端口GigabitEthernet1/0/1。
· 选择操作类型为“Tagged”。
· 输入VLAN IDs为“2,6-50”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图23-12 配置GigabitEthernet1/0/1为VLAN 2、VLAN 6-50的Tagged成员
与Switch A上的配置相同,不再赘述。
配置VLAN时需要注意如下事项:
(1) VLAN1为系统缺省VLAN,用户不能手工创建和删除。
(2) 保留VLAN是系统为实现特定功能预留的VLAN,用户不能手工创建和删除。
(3) 不能在“删除”页面上删除设备上动态学习到的VLAN。
(4) 如果某个VLAN上应用了相关的QoS策略配置,则不允许删除该VLAN。
仅S5500-WiNet和S3100V2-WiNet系列交换机支持在VLAN上应用QoS策略配置。
在创建VLAN虚接口之前,必须先在“网络 > VLAN”中创建对应的VLAN,详细介绍请参见本手册的“VLAN”。
不同VLAN间的主机不能直接通信,需要通过路由器或三层交换机等网络层设备进行转发,设备提供VLAN虚接口实现对报文进行三层转发的功能。
VLAN虚接口是一种三层模式下的虚拟接口,主要用于实现VLAN间的三层互通。它不作为物理实体存在于设备上。每个VLAN对应一个VLAN虚接口,该VLAN虚接口可以为本VLAN内端口收到的报文进行网络层转发操作。通常情况下,由于VLAN能够隔离广播域,因此每个VLAN也对应一个IP网段,VLAN虚接口将作为该网段的网关对需要跨网段的报文进行基于IP地址的三层转发。
创建VLAN虚接口,可同时配置VLAN虚接口的IPv4地址和IPv6链路本地地址。如果不配置VLAN虚接口的IP地址,则只创建VLAN虚接口,再通过修改VLAN虚接口为其配置IP地址。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“创建”页签,进入VLAN虚接口的创建页面,如图24-1所示。
(3) 配置VLAN虚接口的信息,详细配置如表24-1所示。
(4) 单击<应用>按钮完成操作。
表24-1 创建VLAN虚接口的详细配置
|
配置项 |
说明 |
|
|
请输入一个VLAN ID |
输入要创建的VLAN虚接口的ID,对应的VLAN必须已经创建 |
|
|
配置IPv4地址 |
DHCP |
设置VLAN虚接口获取IPv4地址的方式 · DHCP:表示通过DHCP协议自动获取IPv4地址 · BOOTP:表示通过BOOTP协议自动获取IPv4地址 · 手工:表示通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码长度 |
|
BOOTP |
||
|
手工 |
||
|
IPv4地址 |
设置VLAN虚接口的IPv4地址 VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
|
掩码长度 |
设置子网掩码长度(也可以输入点分十进制格式的掩码) VLAN虚接口IPv4地址的获取方式选择“手工”时可用 |
|
|
配置IPv6链路本地地址 |
自动 |
设置VLAN虚接口获取IPv6链路本地地址的方式 · 自动:表示设备根据链路本地地址前缀(FE80::/64)及接口的链路层地址,自动为接口生成链路本地地址 · 手工:表示通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
|
手工 |
||
|
IPv6地址 |
设置VLAN虚接口的IPv6链路本地地址 VLAN虚接口IPv6链路本地地址的获取方式选择“手工”时可用,输入的IPv6链路本地地址前缀必须为“FE80::/64” |
|
通过修改VLAN虚接口,可以为VLAN虚接口配置IPv4地址、IPv6链路本地地址,以及IPv6站点本地地址或全球单播地址;可以设置打开或关闭VLAN虚接口。
· 修改VLAN虚接口时,修改IPv4地址和状态、配置IPv6链路本地地址和状态、添加IPv6单播地址需要分别单击各自的<应用>按钮来提交配置。
· 修改当前登录使用的VLAN虚接口的IP地址会导致与设备的连接断开,可以使用修改后的IP地址重新登录。
(1) 在导航栏中选择“网络 > VLAN虚接口”。
(2) 单击“修改”页签,进入VLAN虚接口的修改页面,如图24-2所示。
(3) 修改VLAN虚接口IP地址等信息,详细配置如表24-2所示。
(4) 单击相应的<应用>按钮完成操作。
表24-2 修改VLAN虚接口的详细配置
|
配置项 |
说明 |
|
|
选择VLAN虚接口 |
设置要配置的VLAN虚接口 下拉框中可选的VLAN虚接口需通过创建VLAN虚接口来创建 |
|
|
修改IPv4地址和状态 |
DHCP |
设置VLAN虚接口获取IPv4地址的方式 · DHCP:表示通过DHCP协议自动获取IPv4地址 · BOOTP:表示通过BOOTP协议自动获取IPv4地址 · 手工:表示通过手工配置指定IPv4地址,选择此项时需要设置IPv4地址和掩码(可以输入掩码长度或点分十进制格式的掩码) |
|
BOOTP |
||
|
手工 |
||
|
配置状态 |
配置打开(Up)或关闭(Down)VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再打开接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为Down时,VLAN虚接口为Down状态;只要VLAN虚接口下有一个以太网端口状态为Up,VLAN虚接口就为Up状态
关闭和打开VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 配置状态时,“修改IPv4地址”框和“修改IPv6地址”框中的VLAN虚接口的当前状态是同步变化的 |
|
|
添加从IP |
配置从IP地址 一般情况下,一个接口只需配置一个主IP地址,但在有些特殊情况下需要配置从IP地址。比如,一台设备通过一个接口连接了一个局域网,但该局域网中的计算机分别属于2个不同的子网,为了使设备与局域网中的所有计算机通信,就需要在该接口上配置一个主IP地址和一个从IP地址。
仅S5500-WiNet系列和S3100V2-52TP-WiNet交换机支持 |
|
|
修改IPv6地址和状态 |
自动 |
设置VLAN虚接口获取IPv6链路本地地址的方式 · 自动:表示设备根据链路本地地址前缀(FE80::/64)及接口的链路层地址,自动为接口生成链路本地地址 · 手工:表示通过手工配置方式配置IPv6链路本地地址,选择此项时需要设置IPv6地址 |
|
手工 |
||
|
配置状态 |
配置打开(Up)或关闭(Down)VLAN虚接口 当VLAN虚接口出现故障时,可以用将接口先关闭,然后再打开接口,可能会使接口恢复正常 缺省情况下,当VLAN虚接口下所有以太网端口状态为Down时,VLAN虚接口为Down状态;否则VLAN虚接口处于Up状态
关闭和打开VLAN虚接口对于属于这个VLAN的任何一个以太网端口本身都不起作用,以太网端口的状态不随VLAN虚接口状态的改变而改变 配置状态时,“修改IPv4地址”框和“修改IPv6地址”框中的VLAN虚接口的当前状态是同步变化的 |
|
|
添加IPv6单播地址 |
设置VLAN虚接口的IPv6站点本地地址或全球单播地址,以及前缀长度 输入的IPv6地址前缀不能为“FE80::/10”,即链路本地地址前缀 配置IPv6站点本地地址时,输入的IPv6地址前缀必须为“FEC0::/10” 如果该VLAN虚接口没有IPv6链路本地地址,则配置此参数后会自动生成链路本地地址 |
|
|
EUI64编码 |
设置采用EUI-64(64-bit Extended Unique Identifier,64位扩展唯一标识符)格式形成IPv6站点本地地址或全球单播地址 选中前面的复选框表示采用EUI-64格式形成;不选中则表示采用手工配置的IPv6站点本地地址或全球单播地址 |
|
配置VLAN虚接口时需要注意如下事项:
(1) 配置IPv6 VLAN虚接口时,当接口配置了IPv6站点本地地址或全局单播地址后,同时会自动生成链路本地地址。且与配置自动生成链路本地地址时生成的地址相同。此时如果手工指定接口的链路本地地址,则手工指定的有效。如果删除手工指定的链路本地地址,则接口的链路本地地址恢复为系统自动生成的地址。
(2) 配置IPv6 VLAN虚接口时,如果IPv6链路本地地址是在配置IPv6站点本地地址或全局单播地址时自动生成的,则在删除IPv6站点本地地址或全局单播地址时,生成的IPv6链路本地地址也会同时被删除。
(3) 配置IPv6链路本地地址时,手工指定方式的优先级高于自动生成方式。即,如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。
随着语音技术的日益发展,语音设备应用越来越广泛,尤其在宽带小区,网络中经常同时存在语音数据和业务数据两种流量。通常,语音数据在传输时需要具有比业务数据更高的优先级,以减少传输过程中可能产生的时延和丢包现象。
语音VLAN(即Voice VLAN)是为用户的语音数据流专门划分的VLAN。通过划分语音VLAN,并将连接语音设备的端口加入语音VLAN,系统自动为语音报文修改QoS(Quality of Service,服务质量)参数,来提高语音数据报文优先级、保证通话质量。
常见的语音设备有IP电话、IAD(Integrated Access Device,综合接入设备)等。本文中以IP电话为例进行说明。
设备可以根据进入端口的数据报文中的源MAC地址字段来判断该数据流是否为语音数据流。源MAC地址符合系统设置的语音设备OUI(Organizationally Unique Identifier,全球统一标识符)地址的报文被认为是语音数据流。
用户可以预先设置OUI地址,也可以使用缺省的OUI地址作为判断标准。设备缺省的OUI地址如表25-1所示。
|
OUI地址 |
生产厂商 |
|
|
1 |
0001-e300-0000 |
Siemens phone |
|
2 |
0003-6b00-0000 |
Cisco phone |
|
3 |
0004-0d00-0000 |
Avaya phone |
|
4 |
00d0-1e00-0000 |
pingtel phone |
|
5 |
0060-b900-0000 |
Philips/NEC phone |
|
6 |
00e0-7500-0000 |
Polycom phone |
|
7 |
00e0-bb00-0000 |
3Com phone |
· 通常意义下,OUI地址指的是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。本文中的OUI地址有别于通常意义的OUI地址,它是设备判断收到的报文是否为语音报文的依据,是添加OUI时指定的OUI地址和其掩码相与的结果。
· 设备缺省的OUI地址可以手工删除,删除之后也可再次手工添加。
语音VLAN的工作模式包括自动模式和手动模式,这个自动和手动指的是端口加入语音VLAN的方式。
· 自动模式下,系统利用IP电话上电时发出的协议报文(Untagged报文),通过识别报文的源MAC,匹配OUI地址。匹配成功后,系统将自动把语音报文的入端口加入语音VLAN,并下发ACL规则、配置报文的优先级。用户可以在设备上设置语音VLAN的老化时间,当在老化时间内,系统没有从入端口收到任何语音报文时,系统将把该端口从语音VLAN中删除。添加端口到语音VLAN和从语音VLAN中删除端口的过程都由系统自动实现。自动模式适用于PC-IP电话串联接入(端口同时传输语音数据和普通业务数据)的组网方式,如图25-1所示。(当语音VLAN正常工作时,如果遇到设备重新启动的情况,为保证已经建立的语音连接能够正常工作,系统会在重新启动完成后,将配置为自动模式的端口重新加入语音VLAN,而不需要再次通过语音流触发。)
图25-1 主机与IP电话串联接入组网图
· 手动模式下,需要通过手工把IP电话接入端口加入语音VLAN中。再通过识别报文的源MAC,匹配OUI地址。匹配成功后,系统将下发ACL规则、配置报文的优先级。添加端口到语音VLAN和从语音VLAN中删除端口的过程都由管理员手动实现。手动模式适用于IP电话单独接入(端口仅传输语音报文)的组网方式,如图25-2所示。该组网方式可以使该端口专用于传输语音数据,最大限度避免业务数据对语音数据传输的影响。
图25-2 IP电话单独接入组网图
对于IP电话发出的Tagged报文,两种模式处理方式一致,只根据标签进行转发。
由于IP电话类型较多,因此需要用户保证端口的连接类型与IP电话能够匹配,详细配合关系如表25-2所示。
· IP电话发送Tagged语音数据
表25-2 不同类型端口支持Tagged语音数据配置要求
|
端口类型 |
语音VLAN工作模式 |
是否支持Tagged语音数据 |
配置要求 |
|
Access |
自动模式 |
不支持 |
- |
|
手工模式 |
|||
|
Trunk |
自动模式 |
支持 |
缺省VLAN不能为语音VLAN |
|
手工模式 |
缺省VLAN不能为语音VLAN,需要配置端口允许语音VLAN的报文通过 |
||
|
Hybrid |
自动模式 |
支持 |
缺省VLAN不能为语音VLAN |
|
手工模式 |
缺省VLAN不能为语音VLAN,需要配置端口允许语音VLAN的报文携带Tag通过 |
· IP电话发送Untagged语音数据
当IP电话发送Untagged语音数据,则端口的语音VLAN工作模式只能为手工模式,不能为自动模式。
表25-3 不同类型端口支持Untagged语音数据配置要求
|
端口类型 |
语音VLAN工作模式 |
是否支持Untagged语音数据 |
配置要求 |
|
Access |
自动模式 |
不支持 |
- |
|
手工模式 |
支持 |
将缺省VLAN配置为语音VLAN |
|
|
Trunk |
自动模式 |
不支持 |
- |
|
手工模式 |
支持 |
接入端口的缺省VLAN必须是语音VLAN,且接入端口允许该VLAN通过 |
|
|
Hybrid |
自动模式 |
不支持 |
- |
|
手工模式 |
支持 |
接入端口的缺省VLAN必须是语音VLAN,且在接入端口允许通过的Untagged VLAN列表中 |
· 如果用户的IP Phone发出的是Tagged语音流,且接入的端口上使能了802.1X认证和Guest VLAN/认证失败VLAN,为保证各种功能的正常使用,需要为语音VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。
· 如果用户的IP Phone发出的是Untagged语音流,为实现语音VLAN功能,只能将接入端口的缺省VLAN配置为语音VLAN,此时将不能实现802.1X认证功能。
根据使能语音VLAN功能的端口对接收到的数据包的过滤机制,又可以将语音VLAN的工作模式分为安全模式和普通模式。
· 普通模式下,端口加入语音VLAN后,设备对于接收的语音报文则不再一一进行识别,凡是带有语音VLAN Tag的报文,设备将不再检查其源MAC地址是否为语音设备的OUI地址,均接收并在语言VLAN中转发。对于缺省VLAN就是语音VLAN的手工模式端口,会导致任意的Untagged报文都可以在语音VLAN中传输。这样的处理方式很容易使语音VLAN受到恶意用户的流量攻击。恶意用户可以构造大量带有语音VLAN Tag的报文,占用语音VLAN的带宽,影响正常的语音通信。
· 安全模式下,设备将对每一个要进入语音VLAN传输的报文都进行源MAC匹配检查,对于不能匹配OUI地址的报文,则将其丢弃。
对于比较安全的网络,用户可以配置语音VLAN的普通模式,以减少检查报文的工作对系统资源的占用。
建议用户尽量不要在语音VLAN中同时传输语音和业务数据。如确有此需要,请确认端口语音VLAN的安全模式已关闭。
表25-4 语音VLAN的安全/普通模式对报文的处理
|
工作模式 |
报文类型 |
处理方式 |
|
安全模式 |
Untagged报文 |
当该报文源MAC地址是可识别的OUI地址时,允许该报文在语音VLAN内传输,否则将该报文丢弃 |
|
带有语音VLAN Tag的报文 |
||
|
带有其他VLAN Tag的报文 |
根据指定端口是否允许该VLAN通过来对报文进行转发和丢弃的处理,不受语音VLAN安全/普通模式的影响 |
|
|
普通模式 |
Untagged报文 |
不对报文的源MAC地址进行检查,所有报文均可以在语音VLAN内进行传输 |
|
带有语音VLAN Tag的报文 |
||
|
带有其他VLAN Tag的报文 |
根据指定端口是否允许该VLAN通过来对报文进行转发和丢弃的处理,不受语音VLAN安全/普通模式的影响 |
配置语音VLAN之前,须先创建对应的VLAN,并先配置好各端口的连接类型。VLAN 1缺省存在,无需创建,但VLAN 1不支持使能语音VLAN。端口连接类型的详细配置请参见本手册的“端口管理”。
表25-5 自动模式下语音VLAN功能配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置语音VLAN的安全模式和老化时间 |
|
|
2 |
必选 设置端口上语音VLAN的工作模式为自动模式,并使能端口的语音VLAN功能 缺省情况下,端口上语音VLAN的工作模式为自动模式,且端口的语音VLAN功能是关闭的 |
|
|
3 |
可选 缺省情况下,系统已配有7个OUI地址,如表25-1所示 |
表25-6 手动模式下语音VLAN功能配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置语音VLAN的安全模式和老化时间 |
|
|
2 |
将端口加入语音VLAN |
必选 需要注意的是,将Access端口加入语音VLAN后,语音VLAN会自动成为Access端口的缺省VLAN 详细配置请参见本手册的“VLAN” |
|
3 |
配置语音VLAN为Trunk或Hybid端口的缺省VLAN |
可选 当端口为Trunk或Hybid端口,且输入的语音流是Untagged语音流时,需要进行该项配置;当输入的语音流是Tagged语音流时,不能将语音VLAN设置为端口的缺省VLAN 详细配置请参见本手册的“端口管理” |
|
4 |
必选 设置端口上语音VLAN的工作模式为手动模式,并使能端口的语音VLAN功能 缺省情况下,端口上语音VLAN的工作模式为自动模式,且端口的语音VLAN功能是关闭的 |
|
|
5 |
可选 缺省情况下,系统已配有7个OUI地址,如表25-1所示 |
(1) 在导航栏中选择“网络 > 语音VLAN”。
(2) 单击“设置”页签,进入语音VLAN的设置页面,如图25-3所示。
(3) 配置全局语音VLAN功能,详细配置如表25-7所示。
(4) 单击<应用>按钮完成操作。
表25-7 全局语音VLAN功能的详细配置
|
配置项 |
说明 |
|
语音VLAN安全模式 |
设置使能(Enable)或关闭(Disable)语音VLAN的安全模式 关闭安全模式,则语音VLAN的工作模式为普通模式 缺省情况下,语音VLAN安全模式处于使能状态 |
|
语音VLAN老化时间 |
设置语音VLAN的老化时间 老化时间只对自动模式下的端口有效。在自动模式下,系统会根据收到的语音报文的源MAC地址,来决定是否把该报文的入端口加入语音VLAN。在将入端口加入语音VLAN后,系统会同时启动老化定时器。经过老化时间后,如果设备没有收到任何来自该入端口的语音报文,系统会自动把该端口从语音VLAN中删除 |
(1) 在导航栏中选择“网络 > 语音VLAN”。
(2) 单击“端口设置”页签,进入语音VLAN的端口设置页面,如图25-4所示。
图25-4 语音VLAN端口设置
(3) 配置端口语音VLAN功能,详细配置如表25-8所示。
(4) 单击<应用>按钮完成操作。
表25-8 端口语音VLAN功能的详细配置
|
配置项 |
说明 |
|
语音VLAN端口模式 |
设置端口上语音VLAN的工作模式 · Auto:表示自动模式 · Manual:表示手动模式 |
|
语音VLAN端口状态 |
设置使能(Enable)或关闭(Disable)端口的语音VLAN功能 |
|
语音VLAN ID |
当语音VLAN端口状态为Enable时,设置端口的语音VLAN ID |
|
选择端口 |
选择要进行配置的端口 可在面板示意图中点击选中要配置的端口,可选择一个或多个端口。选中端口的编号会显示在下方的端口列表中
当端口的语音VLAN工作在自动模式时,端口的连接类型必须是Trunk或Hybrid,且端口不属于语音VLAN,才能使能语音VLAN功能;否则,不能使能语音VLAN功能 |
(1) 在导航栏中选择“网络 > 语音VLAN”。
(2) 单击“添加OUI”页签,进入语音VLAN的OUI地址配置页面,如图25-5所示。
(3) 配置语音VLAN能识别的OUI地址,详细配置如表25-9所示。
(4) 单击<应用>按钮完成操作。
表25-9 语音VLAN能识别的OUI地址的详细配置
|
配置项 |
说明 |
|
OUI地址 |
设置语音报文的源MAC地址 |
|
掩码 |
设置OUI地址的有效长度 |
|
描述 |
输入OUI地址的描述字符串 |
· 配置VLAN 2为语音VLAN,只允许语音报文通过。
· IP Phone类型为Untagged,接入端口是Hybrid类型端口GigabitEthernet1/0/1。
· 端口GigabitEthernet1/0/1工作在自动模式,如果它们在30分钟内没有收到语音流,就将相应的语音VLAN老化。
· 端口GigabitEthernet1/0/1允许OUI地址是0011-2200-0000、掩码是ffff-ff00-0000的语音报文通过,描述字符为test。
图25-6 自动模式下语音VLAN配置组网图
(1) 创建VLAN 2。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图25-7所示,输入VLAN ID为“2”。
步骤4:单击<创建>按钮完成操作。
(2) 配置GigabitEthernet1/0/1为Hybrid端口。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图25-8所示。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/1”。
步骤4:单击<提交>按钮完成操作。
(3) 配置全局语音VLAN功能。
步骤1:在导航栏中选择“网络 > 语音VLAN”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图25-9所示。
· 选择语音VLAN安全模式为“Enable”。
· 输入语音VLAN老化时间为“30”分钟。
步骤4:单击<应用>按钮完成操作。
(4) 配置端口GigabitEthernet1/0/1的语音VLAN功能。
步骤1:单击“端口设置”页签。
步骤2:进行如下配置,如图25-10所示。
· 选择语音VLAN端口模式为“Auto”。
· 选择语音VLAN端口状态为“Enable”。
· 输入语音VLAN ID为“2”。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/1”。
步骤3:单击<应用>按钮完成操作。
图25-10 配置端口GigabitEthernet1/0/1的语音VLAN功能
(5) 配置语音VLAN能识别的OUI地址。
步骤1:单击“添加OUI”页签。
步骤2:进行如下配置,如图25-11所示。
· 输入OUI地址为“0011-2200-0000”。
· 选择掩码为“FFFF-FF00-0000”。
· 输入描述为“test”。
步骤3:单击<应用>按钮完成操作。
图25-11 配置语音VLAN能识别的OUI地址
(1) 完成上述配置后,会自动跳转到“显示OUI”页签的页面,如图25-12所示。可以查看到新添加的OUI地址信息。
(2) 单击“显示”页签,进入语音VLAN的显示页面,如图25-13所示。可以查看到当前语音VLAN的状态信息。
· 配置VLAN 2为语音VLAN,只允许语音报文通过。
· IP Phone类型为Untagged,接入端口是Hybrid类型端口GigabitEthernet1/0/1。
· 端口GigabitEthernet1/0/1工作在手动模式,且允许OUI地址是0011-2200-0000、掩码是ffff-ff00-0000的语音报文通过,描述字符为test。
图25-14 手动模式下语音VLAN配置组网图
(1) 创建VLAN 2.
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图25-15所示,输入VLAN ID为“2”。
步骤4:单击<创建>按钮完成操作。
(2) 配置GigabitEthernet1/0/1为Hybrid端口,缺省VLAN为2。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图25-16所示。
· 选中“PVID”前的复选框,输入PVID为“2”。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/1”。
步骤4:单击<提交>按钮完成操作。
(3) 配置VLAN 2为GigabitEthernet1/0/1的Untagged VLAN。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“修改端口”页签。
步骤3:进行如下配置,如图25-17所示。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/1”。
· 选中“Untagged”前的单选按钮。
· 输入VLAN IDs为“2”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图25-17 配置VLAN 2为GigabitEthernet1/0/1的Untagged VLAN
(4) 配置端口GigabitEthernet1/0/1的语音VLAN功能。
步骤1:在导航栏中选择“网络 > 语音VLAN”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如图25-18所示。
· 选择语音VLAN端口模式为“Manual”。
· 选择语音VLAN端口状态为“Enable”。
· 输入语音VLAN ID为“2”。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/1”。
步骤4:单击<应用>按钮完成操作。
图25-18 配置端口GigabitEthernet1/0/1的语音VLAN功能
(5) 配置语音VLAN能识别的OUI地址。
步骤1:单击“添加OUI”页签。
步骤2:进行如下配置,如图25-19所示。
· 输入OUI地址为“0011-2200-0000”。
· 选择掩码为“FFFF-FF00-0000”。
· 输入描述为“test”。
步骤3:单击<应用>按钮完成操作。
图25-19 配置语音VLAN能识别的OUI地址
(1) 完成上述配置后,会自动跳转到“显示OUI”页签的页面,如图25-20所示。可以查看到新添加的OUI地址信息。
(2) 单击“显示”页签,进入语音VLAN的显示页面,如图25-21所示。可以查看到当前语音VLAN的状态信息。
配置语音VLAN时需要注意如下事项:
(1) 如果要删除的VLAN已经运行了语音VLAN,则只有在关闭了语音VLAN功能后,才能够删除该VLAN。
(2) 不允许在聚合组的成员端口上使能语音VLAN功能。
(3) 当端口使能了语音VLAN并工作在手工模式时,必须手工将端口加入语音VLAN,才能保证语音VLAN功能生效。
本章节内容只涉及单播的静态、动态和黑洞MAC地址表项的配置和管理。
MAC地址表记录了与本设备相连的设备的MAC地址、本设备上与该设备相连的设备的接口号以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播。
MAC地址表项的生成方式有两种:自动生成、手工配置。
一般情况下,MAC地址表是设备通过源MAC地址学习过程而自动建立的。设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE),并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
为适应网络的变化,MAC地址表需要不断更新。MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前纪录被刷新,则该表项的老化时间重新计算。
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和黑客用户的报文,带来了安全隐患。如果黑客用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其它接口进入,设备就会学习到错误的MAC地址表项,于是就会将本应转发给合法用户的报文转发给黑客用户。
为了提高接口安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止假冒身份的非法用户骗取数据。
MAC地址表项分为:静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项。
· 静态MAC地址表项由用户手工配置,表项不老化。
· 动态MAC地址表项包括用户配置的以及设备通过源MAC地址学习得来的,表项有老化时间。
· 黑洞MAC地址表项用于丢弃含有特定MAC地址的报文(例如,出于安全考虑,可以屏蔽某个用户接收报文),由用户手工配置,表项不老化。
用户手工配置的静态MAC地址表项和黑洞MAC地址表项不会被动态MAC地址表项覆盖,而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖。
· S3100V2-WiNet系列交换机仅支持基于目的MAC地址的黑洞MAC地址表项;即当交换机接收到的报文的目的MAC地址匹配黑洞MAC地址表项,报文被丢弃。
· S5500-WiNet和S5120-WiNet系列交换机支持基于源或目的MAC地址的黑洞MAC地址表项,即当交换机接收到报文的源或目的MAC地址匹配黑洞MAC表项,报文被丢弃。
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
· 单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
· 广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。
(1) 在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面,页面显示所有的MAC地址表项,如图26-1所示。
(2) 单击<新建>按钮,进入新建MAC地址表项的配置页面,如图26-2所示。
图26-2 MAC地址创建
(3) 配置MAC地址表项的信息,详细配置如表26-1所示。
(4) 单击<确定>按钮完成操作。
表26-1 MAC地址表项的详细配置
|
配置项 |
说明 |
|
MAC地址 |
设置待添加的MAC地址 |
|
类型 |
设置MAC地址表项的类型,包括: · static:表示该表项是静态MAC地址表项,没有老化时间 · dynamic:表示该表项是动态MAC地址表项,有老化时间 · blackhole:表示该表项是黑洞MAC地址表项,没有老化时间
在MAC地址表项显示页面的列表中共有如下几种类型: Config static:表示该表项是用户手工配置的静态表项 Config dynamic:表示该表项是用户手工配置的动态表项 Blackhole:表示该表项是黑洞表项 Learned:表示该表项是设备学习得来的动态表项 Other:表示该表项为除上述状态外的其他类型 |
|
VLAN ID |
设置MAC地址表项所属的VLAN |
|
端口 |
设置MAC地址表项所属的端口,该端口必须属于指定的VLAN 黑洞表项不需要设置所属端口 |
(1) 在导航栏中选择“网络 > MAC地址”。
(2) 单击“设置”页签,进入MAC地址表项老化时间的配置页面,如图26-3所示。
(3) 配置MAC地址表项老化时间,详细配置如表26-2所示。
(4) 单击<确定>按钮完成操作。
表26-2 MAC地址表项老化时间的详细配置
|
配置项 |
说明 |
|
不老化 |
设置MAC地址表项不会老化 |
|
老化时间 |
设置MAC地址表项的老化,并指定老化时间 |
用户通过Web网管设置MAC地址表功能。要求在VLAN1中的GigabitEthernet1/0/1端口下添加一个静态MAC地址表项00e0-fc35-dc71。
创建静态MAC地址表项。
步骤1:在导航栏中选择“网络 > MAC地址”,默认进入“MAC”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图26-4所示。
· 输入MAC地址为“00e0-fc35-dc71”。
· 选择类型为“static”。
· 选择VLAN ID为“1”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
图26-4 创建静态MAC地址表项
生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能。
与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的STP(Spanning Tree Protocol,生成树协议)到RSTP(Rapid Spanning Tree Protocol,快速生成树协议),再到最新的MSTP(Multiple Spanning Tree Protocol,多生成树协议)。
STP由IEEE制定的802.1D标准定义,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。
STP包含了两个含义:狭义的STP是指IEEE 802.1D中定义的STP协议;广义的STP是指包括IEEE 802.1D定义的STP协议,以及各种在它的基础上经过改进的生成树协议。
(1) 根桥
树形的网络结构必须有树根,于是STP引入了根桥(Root Bridge)的概念。根桥在全网中只有一个,而且根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的。
在网络初始化过程中,所有设备都视自己为根桥,生成各自的配置BPDU并周期性地向外发送;但当网络拓扑稳定以后,只有根桥设备才会向外发送配置BPDU,其它设备则对其进行转发。
(2) 根端口
所谓根端口,是指一个非根桥的设备上离根桥最近的端口。根端口负责与根桥进行通信。非根桥设备上有且只有一个根端口,根桥上没有根端口。
(3) 指定桥与指定端口
指定桥与指定端口的含义,请参见表27-1的说明。
|
分类 |
指定桥 |
指定端口 |
|
对于一台设备而言 |
与本机直接相连并且负责向本机转发配置消息的设备 |
指定桥向本机转发配置消息的端口 |
|
对于一个局域网而言 |
负责向本网段转发配置消息的设备 |
指定桥向本网段转发配置消息的端口 |
指定桥与指定端口如图27-1所示,AP1、AP2、BP1、BP2、CP1、CP2分别表示Device A、Device B、Device C的端口。
· Device A通过端口AP1向Device B转发配置消息,则Device B的指定桥就是Device A,指定端口就是Device A的端口AP1;
· 与局域网LAN相连的有两台设备:Device B和Device C,如果Device B负责向LAN转发配置消息,则LAN的指定桥就是Device B,指定端口就是Device B的BP2。
根桥上的所有端口都是指定端口。
(4) 路径开销
路径开销是STP协议用于选择链路的参考值。STP协议通过计算路径开销,选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构。
STP通过在设备之间传递BPDU来确定网络的拓扑结构。配置消息中包含了足够的信息来保证设备完成生成树的计算过程,其中包含的几个重要信息如下:
· 根桥ID:由根桥的优先级和MAC地址组成;
· 指定桥ID:由指定桥的优先级和MAC地址组成;
· 指定端口ID:由指定端口的优先级和端口名称组成;
· Message Age:配置消息在网络中传播的生存期;
· Max Age:配置消息在设备中能够保存的最大生存期;
· Hello Time:配置消息发送的周期;
· Forward Delay:端口状态迁移的延时。
为描述方便,在下面的描述及举例中仅考虑配置消息的其中四项内容:
· 根桥ID(以设备的优先级表示);
· 根路径开销;
· 指定桥ID(以设备的优先级表示);
· 指定端口ID(以端口名称表示)。
(1) STP算法实现的具体过程
· 初始状态
各台设备的各个端口在初始时会生成以自己为根桥的配置消息,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口。
· 最优配置消息的选择
各台设备都向外发送自己的配置消息,同时也会收到其他设备发送的配置消息。
最优配置消息的选择过程如表27-2所示。
|
步骤 |
内容 |
|
1 |
每个端口收到配置消息后的处理过程如下: · 当端口收到的配置消息比本端口配置消息的优先级低时,设备会将接收到的配置消息丢弃,对该端口的配置消息不作任何处理 · 当端口收到的配置消息比本端口配置消息的优先级高时,设备就用接收到的配置消息中的内容替换该端口的配置消息中的内容 |
|
2 |
设备将所有端口的配置消息进行比较,选出优先级最高的配置消息 |
配置消息的比较原则如下:
· 根桥ID较小的配置消息优先级高;
· 若根桥ID相同,则比较根路径开销,比较方法为:用配置消息中的根路径开销加上本端口对应的路径开销,假设两者之和为S,则S较小的配置消息优先级较高;
· 若根路径开销也相同,则依次比较指定桥ID、指定端口ID、接收该配置消息的端口ID等,上述值较小的配置消息优先级较高。
· 根桥的选择
网络初始化时,网络中所有的STP设备都认为自己是“根桥”,根桥ID为自身的设备ID。通过交换配置消息,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥。
· 根端口、指定端口的选择
根端口、指定端口的选择过程如表27-3所示。
表27-3 根端口和指定端口的选择过程
|
步骤 |
内容 |
|
1 |
非根桥设备将接收最优配置消息的那个端口定为根端口 |
|
2 |
设备根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息: · 根桥ID替换为根端口的配置消息的根桥ID · 根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销 · 指定桥ID替换为自身设备的ID · 指定端口ID替换为自身端口ID |
|
3 |
设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较,并根据比较结果进行不同的处理: · 如果计算出来的配置消息优先级高,则设备就将该端口定为指定端口,端口上的配置消息被计算出来的配置消息替换,并周期性向外发送 · 如果端口上的配置消息优先级高,则设备不更新该端口配置消息并将此端口阻塞,该端口将不再转发数据,只接收但不发送配置消息 |
在拓扑稳定状态,只有根端口和指定端口转发流量,其他的端口都处于阻塞状态,它们只接收STP协议报文而不转发用户流量。
一旦根桥、根端口和指定端口选举成功,则整个树形拓扑就建立完毕了。
下面结合例子说明STP算法实现的计算过程。具体的组网如图27-2所示。假设Device A的优先级为0,Device B的优先级为1,Device C的优先级为2,各个链路的路径开销分别为5、10、4。
图27-2 STP算法计算过程组网图
各台设备的初始状态如表27-4所示。
|
设备 |
端口名称 |
端口的配置消息 |
|
Device A |
AP1 |
{0,0,0,AP1} |
|
AP2 |
{0,0,0,AP2} |
|
|
Device B |
BP1 |
{1,0,1,BP1} |
|
BP2 |
{1,0,1,BP2} |
|
|
Device C |
CP1 |
{2,0,2,CP1} |
|
CP2 |
{2,0,2,CP2} |
· 各台设备的比较过程及结果
各台设备的比较过程及结果如表27-5所示。
表27-5 各台设备的比较过程及结果
|
设备 |
比较过程 |
比较后端口的配置消息 |
|
Device A |
· 端口AP1收到Device B的配置消息{1,0,1,BP1},Device A发现本端口的配置消息{0,0,0,AP1}优于接收到的配置消息,就把接收到的配置消息丢弃 · 端口AP2收到Device C的配置消息{2,0,2,CP1},Device A发现本端口的配置消息{0,0,0,AP2}优于接收到的配置消息,就把接收到的配置消息丢弃 · Device A发现自己各个端口的配置消息中根桥和指定桥都是自己,则认为自己是根桥,各个端口的配置消息都不作任何修改,以后周期性的向外发送配置消息 |
AP1:{0,0,0,AP1} AP2:{0,0,0,AP2} |
|
Device B |
· 端口BP1收到来自Device A的配置消息{0,0,0,AP1},Device B发现接收到的配置消息优于本端口的配置消息{1,0,1,BP1},于是更新端口BP1的配置消息 · 端口BP2收到来自Device C的配置消息{2,0,2,CP2},Device B发现本端口的配置消息{1,0,1,BP2}优于接收到的配置消息,就把接收到的配置消息丢弃 |
BP1:{0,0,0,AP1} BP2:{1,0,1,BP2} |
|
· Device B对各个端口的配置消息进行比较,选出端口BP1的配置消息为最优配置消息,然后将端口BP1定为根端口,它的配置消息不作改变 · Device B根据根端口BP1的配置消息和根端口的路径开销5,为BP2端口计算一个指定端口配置消息{0,5,1,BP2} · Device B使用计算出来的配置消息{0,5,1,BP2}和端口BP2上的配置消息进行比较,比较的结果是计算出来的配置消息较优,则Device B将端口BP2定为指定端口,它的配置消息被计算出来的配置消息替换,并周期性向外发送 |
根端口BP1: {0,0,0,AP1} 指定端口BP2: {0,5,1,BP2} |
|
|
Device C |
· 端口CP1收到来自Device A的配置消息{0,0,0,AP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP1},于是更新端口CP1的配置消息 · 端口CP2收到来自Device B端口BP2更新前的配置消息{1,0,1,BP2},Device C发现接收到的配置消息优于本端口的配置消息{2,0,2,CP2},于是更新端口CP2的配置消息 |
CP1:{0,0,0,AP2} CP2:{1,0,1,BP2} |
|
经过比较: · 端口CP1的配置消息被选为最优的配置消息,端口CP1就被定为根端口,它的配置消息不作改变 · 将计算出来的指定端口配置消息{0,10,2,CP2}和端口CP2的配置消息进行比较后,端口CP2转为指定端口,它的配置消息被计算出来的配置消息替换 |
根端口CP1: {0,0,0,AP2} 指定端口CP2: {0,10,2,CP2} |
|
|
· 接着端口CP2会收到Device B更新后的配置消息{0,5,1,BP2},由于收到的配置消息优于原配置消息,则Device C触发更新过程 · 同时端口CP1收到Device A周期性发送来的配置消息,比较后Device C不会触发更新过程 |
CP1:{0,0,0,AP2} CP2:{0,5,1,BP2} |
|
|
经过比较: · 端口CP2的根路径开销9(配置消息的根路径开销5加上端口CP2对应的路径开销4)小于端口CP1的根路径开销10(配置消息的根路径开销0+端口CP1对应的路径开销10),所以端口CP2的配置消息被选为最优的配置消息,端口CP2就被定为根端口,它的配置消息就不作改变 · 将端口CP1的配置消息和计算出来的指定端口配置消息比较后,端口CP1被阻塞,端口配置消息不变,同时不接收从Device A转发的数据,直到新的情况触发生成树的计算,比如从Device B到Device C的链路down掉 |
阻塞端口CP1: {0,0,0,AP2} 根端口CP2: {0,5,1,BP2} |
经过上表的比较过程,此时以Device A为根桥的生成树就确定下来了,形状如图27-3所示。
为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂。
(2) STP的配置消息传递机制
· 当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的配置消息,并以Hello Time为周期定时向外发送。
· 接收到配置消息的端口如果是根端口,且接收的配置消息比该端口的配置消息优,则设备将配置消息中携带的Message Age按照一定的原则递增,并启动定时器为这条配置消息计时,同时将此配置消息从设备的指定端口转发出去。
· 如果指定端口收到的配置消息比本端口的配置消息优先级低时,会立刻发出自己的更好的配置消息进行回应。
· 如果某条路径发生故障,则这条路径上的根端口不会再收到新的配置消息,旧的配置消息将会因为超时而被丢弃,设备重新生成以自己为根的配置消息并向外发送,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性。
不过,重新计算得到的新配置消息不会立刻就传遍整个网络,因此旧的根端口和指定端口由于没有发现网络拓扑变化,将仍按原来的路径继续转发数据。如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路。
(3) STP定时器
STP计算中,需要使用三个重要的时间参数:Forward Delay、Hello Time和Max Age。
· Forward Delay为设备状态迁移的延迟时间。链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路。为此,STP采用了一种状态迁移的机制,新选出的根端口和指定端口要经过2倍的Forward Delay延时后才能进入转发状态,这个延时保证了新的配置消息已经传遍整个网络。
· Hello Time用于设备检测链路是否存在故障。设备每隔Hello Time时间会向周围的设备发送hello报文,以确认链路是否存在故障。
· Max Age是用来判断配置消息在设备内保存时间是否“过时”的参数,设备会将过时的配置消息丢弃。
RSTP由IEEE制定的802.1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。
· RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。
· RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。
(1) STP、RSTP存在的不足
STP不能快速迁移,即使是在点对点链路或边缘端口(边缘端口指的是该端口直接与用户终端相连,而没有连接到其它设备或共享网段上),也必须等待2倍的Forward Delay的时间延迟,端口才能迁移到转发状态。
RSTP(Rapid Spanning Tree Protocol,快速生成树协议)是STP协议的优化版。其“快速”体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间。
· RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。
· RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。
RSTP可以快速收敛,但是和STP一样存在以下缺陷:局域网内所有网桥共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。
(2) MSTP的特点
MSTP由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
MSTP的特点如下:
· MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来。通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。
· MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
· MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
· MSTP兼容STP和RSTP。
在图27-4中的每台设备都运行MSTP。下面结合图27-4解释MSTP的一些基本概念。
图27-4 MSTP的基本概念示意图
图27-5 MST域3详图
在如图27-4所示的交换网络中有四个MST域,每个MST域都由四台设备构成,所有设备都运行MSTP;为了看清MST域内的情形,我们以MST域3为例放大来看,如图27-5所示。下面就结合这两张图来介绍一些MSTP中的基本概念:
(1) MST域
MST域(Multiple Spanning Tree Regions,多生成树域)是由交换网络中的多台设备以及它们之间的网段所构成。这些设备具有下列特点:
· 都使能了生成树协议;
· 域名相同;
· VLAN与MSTI间映射关系的配置相同;
· MSTP修订级别的配置相同;
· 这些设备之间有物理链路连通。
一个交换网络中可以存在多个MST域,用户可以通过配置将多台设备划分在一个MST域内。如在图27-4所示的网络中就有MST域1~MST域4这四个MST域,每个域内的所有设备都具有相同的MST域配置。
(2) MSTI
一个MST域内可以通过MSTP生成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(Multiple Spanning Tree Instance,多生成树实例)。如在图27-5所示的MST域3中,包含有三个MSTI:MSTI 1、MSTI 2和MSTI 0。
(3) VLAN映射表
VLAN映射表是MST域的一个属性,用来描述VLAN与MSTI间的映射关系。如图27-5中MST域3的VLAN映射表就是:VLAN 1映射到MSTI 1,VLAN 2和VLAN 3映射到MSTI 2,其余VLAN映射到MSTI 0。MSTP就是根据VLAN映射表来实现负载分担的。
(4) CST
CST(Common Spanning Tree,公共生成树)是一棵连接交换网络中所有MST域的单生成树。如果把每个MST域都看作一台“设备”,CST就是这些“设备”通过STP协议、RSTP协议计算生成的一棵生成树。如图27-4中的蓝色线条描绘的就是CST。
(5) IST
IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI 0,所有VLAN缺省都映射到MSTI 0上。如图27-5中的MSTI 0就是MST域3内的IST。
(6) CIST
CIST(Common and Internal Spanning Tree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树,即CIST。如图27-4中各MST域内的IST(即MSTI 0)再加上MST域间的CST就构成了整个网络的CIST。
(7) 域根
域根(Regional Root)就是MST域内IST或MSTI的根桥。MST域内各生成树的拓扑不同,域根也可能不同。如在图27-5所示的MST域3中,MSTI 1的域根为Device B,MSTI 2的域根为Device C,而MSTI 0(即IST)的域根则为Device A。
(8) 总根
总根(Common Root Bridge)就是CIST的根桥。如图27-4中CIST的总根就是MST域1中的某台设备。
(9) 端口角色
端口在不同的MSTI中可以担任不同的角色。如图27-6所示,在由Device A、Device B、Device C和Device D共同构成的MST域中,Device A的端口Port A1和Port A2连向总根方向,Device B的端口Port B2和Port B3相连而构成环路,Device C的端口Port C3和Port C4连向其它MST域,Device D的端口Port D3直接连接用户主机。
如图27-6所示,MSTP计算过程中涉及到的主要端口角色有以下几种:
· 根端口(Root Port):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口。
· 指定端口(Designated Port):负责向下游网段或设备转发数据的端口就称为指定端口。
· 替换端口(Alternate Port):是根端口和主端口的备份端口。当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口。
· 备份端口(Backup Port):是指定端口的备份端口。当指定端口失效后,备份端口将转换为新的指定端口。当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口。
· 边缘端口(Edge Port):不与其它设备或网段连接的端口就称为边缘端口,边缘端口一般与用户终端设备直接相连。
· 主端口(Master Port):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路。主端口在IST/CIST上的角色是根端口,而在其它MSTI上的角色则是主端口。
· 域边界端口(Boundary Port):是位于MST域的边缘、并连接其它MST域或MST域与运行STP/RSTP的区域的端口。主端口同时也是域边界端口。在进行MSTP计算时,域边界端口在MSTI上的角色与CIST的角色一致,但主端口除外——主端口在CIST上的角色为根端口,在其它MSTI上的角色才是主端口。
(10) 端口状态
MSTP中的端口状态可分为三种,如表27-6所示。
表27-6 MSTP的端口状态
|
状态 |
描述 |
|
Forwarding |
该状态下的端口可以接收和发送BPDU,也转发用户流量 |
|
Learning |
是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量 |
|
Discarding |
该状态下的端口可以接收和发送BPDU,但不转发用户流量 |
同一端口在不同的MSTI中的端口状态可以不同。
端口状态和端口角色是没有必然联系的,表27-7给出了各种端口角色能够具有的端口状态(“√”表示此端口角色能够具有此端口状态;“-”表示此端口角色不能具有此端口状态)。
|
端口角色 |
根端口/主端口 |
指定端口 |
替换端口 |
备份端口 |
|
Forwarding |
√ |
√ |
- |
- |
|
Learning |
√ |
√ |
- |
- |
|
Discarding |
√ |
√ |
√ |
√ |
MSTP将整个二层网络划分为多个MST域,各个域之间通过计算生成CST;域内则通过计算生成多棵生成树,每棵生成树都被称为是一个多生成树实例。其中实例0被称为IST,其它多生成树实例为MSTI。MSTP同STP一样,使用配置消息进行生成树的计算,只是配置消息中携带的是设备上MSTP的配置信息。
(1) CIST生成树的计算
经过比较配置消息后,在整个网络中选择一个优先级最高的设备作为CIST的树根。在每个MST域内MSTP通过计算生成IST;同时MSTP将每个MST域作为单台设备对待,通过计算在域间生成CST。CST和IST构成了整个网络的CIST。
(2) MSTI的计算
在MST域内,MSTP根据VLAN和生成树实例的映射关系,针对不同的VLAN生成不同的生成树实例。每棵生成树独立进行计算,计算过程与STP计算生成树的过程类似。请参见“27.1.1 2. STP的基本原理”。
MSTP中,一个VLAN报文将沿着如下路径进行转发:
· 在MST域内,沿着其对应的MSTI转发;
· 在MST域间,沿着CST转发。
MSTP同时兼容STP、RSTP。STP、RSTP两种协议报文都可以被运行MSTP的设备识别并应用于生成树计算。
设备除了提供MSTP的基本功能外,还从用户的角度出发,提供了许多便于管理的特殊功能,如下所示:
· 根桥保持;
· 根桥备份;
· ROOT保护功能;
· BPDU保护功能;
· 环路保护功能;
· 防止TC-BPDU报文(网络拓扑发生变化的通知报文)攻击功能;
表27-8 MSTP配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置MST域的相关参数,以及生成树实例和VLAN的映射关系 缺省情况下,MST域的参数都有缺省值,且所有VLAN都映射到生成树实例0 |
|
|
2 |
必选 使能全局STP功能,并配置MSTP相关参数 MSTP相关参数都有缺省值 |
|
|
3 |
可选 使能端口MSTP功能,并配置MSTP相关参数 缺省情况下,端口MSTP功能处于使能状态,MSTP相关参数都有缺省值 |
|
|
4 |
可选 查看端口上实例0的生成树信息,以及端口所属的生成树实例、路径开销和优先级信息 |
(1) 在导航栏中选择“网络 > MSTP”,默认进入“MSTP域”页签的页面,如图27-8图27-7所示。
(2) 单击<修改>按钮,进入MSTP域的配置页面,如图27-8所示。
(3) 配置MSTP域的信息,详细配置如表27-9所示。
(4) 单击<激活>按钮完成操作。
表27-9 MSTP域的详细配置
|
配置项 |
说明 |
|
|
域名 |
设置MST域的域名 缺省情况下,MST域的域名为设备的桥MAC地址 |
|
|
修订级别 |
设置MST域的修订级别 |
|
|
手工设置 |
实例 |
设置手工添加生成树实例ID与VLAN ID的映射关系 单击<应用>按钮即可向下方的列表中添加一对实例ID与VLAN ID的映射关系 |
|
VLAN ID |
||
|
按模设置 |
模值 |
设置自动将4094个VLAN按模分配到相应的生成树实例中 |
(1) 在导航栏中选择“网络 > MSTP”。
(2) 单击“MSTP全局“页签,进入如图27-9所示的页面。
(3) 配置MSTP全局信息,详细配置如表27-10所示。
(4) 单击<确定>按钮完成操作。
表27-10 MSTP全局的详细配置
|
配置项 |
说明 |
||
|
全局STP使能 |
设置是否使能全局STP功能 使能全局STP功能后,MSTP的其它配置才能生效 |
||
|
BPDU保护 |
设置是否使能全局BPDU保护功能 使能BPDU保护功能可以防止人为伪造配置消息恶意攻击设备,避免网络震荡 |
||
|
模式 |
设置STP的工作模式,包括STP、RSTP和MSTP · STP:在STP模式下,设备的各个端口将向外发送STP BPDU报文 · RSTP:在RSTP模式下,设备的各个端口将向外发送RSTP BPDU报文,当发现与运行STP的设备相连时,该端口会自动迁移到STP模式下工作 · MSTP:在MSTP模式下,设备的各个端口将向外发送MSTP BPDU报文,当发现与运行STP的设备相连时,该端口会自动迁移到STP模式下工作 |
||
|
最大跳数 |
设置MST域的最大跳数,该参数决定了MST域的规模 只有在域根上配置的该参数才会在域内生效,在非域根上的配置无效 |
||
|
路径开销标准 |
设置设备计算端口路径开销值时采用的标准(算法),包括Legacy、IEEE 802.1D-1998和IEEE 802.1T |
||
|
网络直径 |
网络中任意两台主机都通过特定的路径彼此相连,每条路径上都有一定数量的网络设备,网络直径就是设备最多的那条路径上的设备个数 设置网络直径后,无法配置定时器的值,因为设备会自动计算Forward Delay、Hello Time和Max Age
该参数只对CIST有效,对MSTI无效 网络直径和定时器不能同时配置 |
||
|
定时器 |
Forward Delay |
设置设备状态迁移的延迟时间 |
根桥Forward Delay、Hello Time和Max Age的取值需要满足一定关系,否则会引起网络频繁震荡。建议用户指定设备的网络直径,由设备自动计算Forward Delay、Hello Time和Max Age 网络直径和定时器不能同时配置 |
|
Hello Time |
设置设备为检测链路故障,发送hello报文的周期 |
||
|
Max Age |
设置消息在设备内保存的最大时长 |
||
|
实例 |
实例ID |
设置设备在指定生成树实例中的角色或设备的桥优先级(桥优先级为设备能否被选为根桥的因素之一) 可选的角色包括: · Not Set:不配置,选择此项时可以设置设备的桥优先级 · Primary:配置为根桥,选择此项时不能设置设备的桥优先级 · Secondary:配置为备份根桥,选择此项时不能设置设备的桥优先级 |
|
|
根类型 |
|||
|
桥优先级 |
|||
|
TC保护功能 |
设置是否使能TC-BPDU报文攻击的保护功能 设备在接收到TC-BPDU报文后,会执行转发地址表项的刷新操作。在有人伪造TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的刷新操作给设备带来很大负担,给网络的稳定带来很大隐患。通过在设备上使能防止TC-BPDU报文攻击的保护功能,可以避免频繁地刷新转发地址表项
建议用户不要将此保护功能关闭 |
||
|
TC报文删除转发表项门限 |
设置设备在收到TC-BPDU报文后的一定时间内,允许收到TC-BPDU报文后立即刷新转发地址表项的最高次数 |
||
(1) 在导航栏中选择“网络 > MSTP”。
(2) 单击“端口设置”页签,进入如图27-10所示的页面。
(3) 配置MSTP端口的信息,详细配置如表27-11所示。
(4) 单击<应用>按钮完成操作。
表27-11 MSTP端口的详细配置
|
配置项 |
说明 |
|
|
STP |
设置是否使能端口的STP功能 |
|
|
保护类型 |
设置端口上使能的保护类型 · Not Set:不使能任何保护类型 · Edged Port、Root Protection、Loop Protection:参见表27-12 |
|
|
实例 |
实例ID |
设置端口在不同生成树实例中的优先级和路径开销 · 端口优先级是确定该端口是否会被选为根端口的重要依据,同等条件下优先级高的端口将被选为根端口。在支持MSTP的设备上,端口可以在不同的生成树实例中拥有不同的优先级,同一端口可以在不同的生成树实例中担任不同的角色,从而使不同VLAN的数据沿不同的物理路径传播,实现按VLAN进行负载分担的功能。用户可以根据组网的实际需要来设置端口的优先级 · 路径开销是与端口相连的链路速率相关的参数,可以选择自动计算或手动设置路径开销。在支持MSTP的设备上,端口在不同的生成树实例中可以拥有不同的路径开销。设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发,从而实现按VLAN负载分担的功能 |
|
端口优先级 |
||
|
自动计算路径开销 |
||
|
手动设置路径开销 |
||
|
高级 |
点对点 |
设置端口是否与点到点链路相连 · Auto:将自动检测端口是否与点到点链路相连 · Force False:端口没有与点到点链路相连 · Force True:端口与点到点链路相连
当端口被设置为与点对点链路相连,则该端口在所有生成树实例上均被设置为与点对点链路相连。如果端口实际物理链路不是点对点链路,用户错误配置为强制点对点链路,则有可能会引入临时环路 |
|
传输限制 |
设置端口在每个Hello Time内发送MSTP报文的最大个数 如果配置的值过大,会占用过多的网络资源,建议使用缺省值 |
|
|
MSTP模式 |
设置是否将端口迁移到MSTP模式 如果在一个交换网络中,运行MSTP(或RSTP)的设备的端口连接着运行STP的设备,该端口会自动迁移到STP兼容模式下工作;但是此时如果运行STP协议的设备被拆离,该端口不能自动迁移到MSTP(或RSTP)模式下运行,仍然会工作在STP兼容模式下。此时可以通过执行此操作迫使其迁移到MSTP(或RSTP)模式下运行 |
|
|
请选择端口 |
在设置要配置MSTP功能的端口,可以同时选择多个端口进行配置 在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 |
|
表27-12 保护类型说明表
|
保护类型 |
说明 |
|
Edged Port |
边缘端口。接入层设备的一些端口会直连PC、文件服务器等不会产生配置消息的设备。在这些端口上使能这一功能可以实现端口的快速迁移 使能Edged Port功能时,建议同时使能BPDU保护功能,以防止边缘端口收到配置消息而引起的网络震荡 |
|
Root Protection |
根保护功能。由于维护人员的错误配置或网络中的恶意攻击,网络中可能会出现优先级更高的配置消息,这样会导致STP重新计算,从而引起网络拓扑结构的错误变动。Root Protection可以防止此类情况出现 |
|
Loop Protection |
环路保护功能。设备通过不断接收上游设备发送的配置消息来维持根端口及其他端口的状态。由于链路拥塞或单向链路故障,端口可能无法收到上游设备的配置消息。此时设备会重新选择根端口,阻塞端口可能会迁移到转发状态,在交换网络中形成环路。Loop Protection可以防止此类环路产生 |
(1) 在导航栏中选择“网络 > MSTP”。
(2) 单击“端口信息”页签。
(3) 在面板示意图中单击选中一个端口(当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,也可点击进行选择),页面下方会显示该端口上实例0的生成树信息(当全局STP使能时)或STP的状态和统计信息(当全局STP未使能时),以及该端口所属的生成树实例、路径开销和优先级,图27-11所示。详细说明如表27-13所示。
表27-13 端口上实例0的生成树信息的详细说明
|
字段 |
说明 |
|
[FORWARDING] |
端口处于Forwarding状态:学习MAC地址,转发用户流量 |
|
[LEARNING] |
端口处于Learning状态:学习MAC地址,不转发用户流量 |
|
[DISCARDING] |
端口处于Discarding状态:不学习MAC地址,不转发用户流量 |
|
[DOWN] |
端口处于关闭状态 |
|
Port Protocol |
端口是否使能STP协议 |
|
Port Role |
端口在生成树实例中的角色,包括:Alternate、Backup、Root、Designated、Master、Disabled |
|
Port Priority |
端口优先级 |
|
Port Cost(Legacy) |
端口的路径开销(括号中的内容表示当前设备的路径开销计算方法,包括Legacy、dot1d-1998和dot1t): · Config:表示配置值 · Active:表示实际值 |
|
Desg. Bridge/Port |
端口的指定桥ID和端口ID 对于不支持端口优先级的端口,这里显示的端口ID没有意义 |
|
Port Edged |
端口是否为边缘端口: · Config:表示配置值 · Active:表示实际值 |
|
Point-to-point |
端口是否与点对点链路相连: · Config:表示配置值 · Active:表示实际值 |
|
Transmit Limit |
端口每个Hello Time时间间隔发送报文的上限 |
|
Protection Type |
端口遇到异常情况启动保护的类型: · Root:表示根保护 · Loop:表示环路保护 · BPDU:表示BPDU保护 · None:表示无保护 |
|
MST BPDU Format |
端口发送MSTP报文的格式,取值为legacy和802.1s: · Config:表示配置值 · Active:表示实际值 |
|
Port Config- Digest-Snooping |
端口是否使能配置摘要侦听功能 |
|
Rapid transition |
边缘端口在实例0中是否快速迁移至转发状态 |
|
Num of Vlans Mapped |
端口在实例0中的VLAN计数 |
|
PortTimes |
端口相关的主要参数值: · Hello:表示Hello time定时器值 · MaxAge:表示Max Age定时器值 · FwDly:表示Forward delay定时器值 · MsgAge:表示Message Age定时器值 · RemHop:表示剩余跳数 |
|
BPDU Sent |
端口发送报文计数 |
|
BPDU Received |
端口接收报文计数 |
|
Protocol Status |
MSTP协议状态 |
|
Protocol Std. |
MSTP协议标准 |
|
Version |
MSTP协议版本 |
|
CIST Bridge-Prio. |
设备在CIST中的优先级 |
|
MAC address |
设备的MAC地址 |
|
Max age(s) |
BPDU的最大生存时间(单位为秒) |
|
Forward delay(s) |
端口状态迁移的延时(单位为秒) |
|
Hello time(s) |
根设备发送BPDU的周期(单位为秒) |
|
Max hops |
MST域中的最大跳数 |
配置MSTP使图27-12中不同VLAN的报文按照不同的生成树实例转发。具体配置为:
· 网络中所有设备属于同一个MST域;
· VLAN 10的报文沿着实例1转发,VLAN 20沿着实例2转发,VLAN 30沿着实例3转发,VLAN 40沿着实例0转发。
· Switch A和Switch B为汇聚层设备,Switch C和Switch D为接入层设备。VLAN 10、VLAN 20在汇聚层设备终结,VLAN 30在接入层设备终结,因此可以配置实例1和实例2的树根分别为Switch A和Switch B,实例3的树根为Switch C。
图27-12 MSTP配置组网图
图中链路上的说明“permit: ”表示该链路允许哪些VLAN的报文通过。
(1) 配置MSTP域。
步骤1:在导航栏中选择“网络 > MSTP”,默认进入“MSTP域”页签的页面。
步骤2:单击<修改>按钮,如图27-13所示。
步骤3:在修改MSTP域的页面进行如下配置,如图27-14所示。
· 输入修订级别为“0”。
· 选中“手工设置”前的单选按钮。
· 选择实例ID为“1”。
· 输入VLAN ID为“10”。
· 单击<应用>按钮将实例与VLAN的映射关系添加到列表中。
· 选择实例ID为“2”。
· 输入VLAN ID为“20”。
· 单击<应用>按钮将实例与VLAN的映射关系添加到列表中。
· 选择实例ID为“3”。
· 输入VLAN ID为“30”。
· 单击<应用>按钮将实例与VLAN的映射关系添加到列表中。
步骤4:单击<激活>按钮完成操作。
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络 > MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,如图27-15所示。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
· 选中“实例”前的复选框。
· 选择实例ID为“1”。
· 选择根类型为“Primary”。
步骤4:单击<确定>按钮完成操作。
图27-15 配置MSTP全局(Switch A)
(1) 配置MSTP域。(与Switch A上MSTP域的配置相同,不再赘述)
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络> MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,参见图27-15。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
· 选中“实例”前的复选框。
· 选择实例ID为“2”。
· 选择根类型为“Primary”。
步骤4:单击<确定>按钮完成操作。
(1) 配置MSTP域。(与Switch A上MSTP域的配置相同,不再赘述)
(2) 置MSTP全局。
步骤1:在导航栏中选择“网络 > MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,参见图27-15。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
· 选中“实例”前的复选框。
· 选择实例ID为“3”。
· 选择根类型为“Primary”。
步骤4:单击<确定>按钮完成操作。
(1) 配置MSTP域。(与Switch A上MSTP域的配置相同,不再赘述)
(2) 配置MSTP全局。
步骤1:在导航栏中选择“网络 > MSTP”。
步骤2:单击“MSTP全局”页签。
步骤3:进行如下配置,如图27-16所示。
· 选择全局STP使能为“Enable”。
· 选择模式为“MSTP”。
步骤4:单击<确定>按钮完成操作。
图27-16 配置MSTP全局(Switch D)
配置MSTP时需要注意如下事项:
(1) 只有两台设备上配置的MST域的域名相同、MST域内配置的所有生成树实例对应的VLAN映射表完全相同、MST域的修订级别相同,且设备之间有链路相通,这两台设备才属于同一个MST域。
(2) 在生成树根桥的选择过程中,如果设备的桥优先级取值相同,则MAC地址最小的那台设备将被选择为根。
(3) 在设备没有使能BPDU保护的情况下,如果被设置为边缘端口的端口上收到来自其它端口的BPDU报文,则该端口会重新变为非边缘端口。此时,只有重启端口才能将该端口恢复为边缘端口。
(4) 对于直接与终端相连的端口,请将该端口设置为边缘端口,同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全。
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
链路聚合可以实现出/入负载在聚合组中各个选中端口之间分担,以增加带宽。同时,同一聚合组的各个选中端口之间彼此动态备份,提高了连接可靠性。
将多个以太网端口捆绑在一起所形成的组合称为聚合组,而这些被捆绑在一起的以太网端口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,称之为聚合接口。
聚合组中的成员端口有下面两种状态:
· Selected状态:处于此状态的接口可以参与转发用户数据。
· Unselected状态:处于此状态的接口不能转发用户数据。
聚合接口的速率、双工状态由其Selected成员端口决定:聚合接口的速率是Selected成员端口的速率之和,聚合接口的双工状态与Selected成员端口的双工状态一致。
关于如何确定一个成员端口的状态,将在“28.1.2 1. 静态聚合模式”和“28.1.2 2. 动态聚合模式”中详细介绍。
LACP(Link Aggregation Control Protocol,链路聚合控制协议)是一种基于IEEE802.3ad标准的协议。运行LACP协议的设备之间通过LACPDU(Link Aggregation Control Protocol Data Unit,链路聚合控制协议数据单元)使两端的设备交互信息。
处于动态聚合组中的成员接口会自动使能LACP协议,该接口将通过发送LACPDU向对端通告自己的系统LACP协议优先级、系统MAC、端口的LACP协议优先级、端口号和操作Key。对端接收到LACPDU后,将其中的信息与所在端其他成员端口收到的信息进行比较,以选择能够处于Selected状态的接口,从而双方可以对各自成员端口的Selected/Unselected状态达成一致。
操作Key是在链路聚合时,设备根据成员端口的某些配置自动生成的一个配置组合,包括端口速率、双工模式和链路状态的配置(统称为端口属性配置)。
在聚合组中,处于Selected状态的成员端口具有相同的操作Key。
第二类配置所含内容如表28-1所示。同一聚合组中,如果成员端口与聚合接口的第二类配置不同,那么该成员端口将不能成为Selected端口。
|
类别 |
配置内容 |
|
端口隔离 |
端口是否加入隔离组、端口所属的端口隔离组 |
|
VLAN配置 |
端口上允许通过的VLAN、端口缺省VLAN ID、端口的链路类型(即Trunk、Hybrid、Access类型)、基于IP子网的VLAN配置、基于协议的VLAN配置、VLAN报文是否带Tag配置 |
|
MAC地址学习配置 |
是否具有MAC地址学习功能、端口是否具有最大学习MAC地址个数的限制、MAC地址表满后是否继续转发 |
· 还有一些配置称为“第一类配置”,此类配置可以在聚合接口和成员端口上配置,在聚合组中,即使某成员端口与对应聚合接口的第一类配置存在不同,也不会影响该成员端口成为选中端口,比如MSTP等。
· 由于成员端口上第二类配置的改变可能导致其选中状态发生变化,进而对业务产生影响,因此当在成员端口上进行第二类配置时,系统将给出提示信息,由用户来决定该配置是否继续进行。
按照聚合方式的不同,链路聚合可以分为两种模式:
· 静态聚合模式
· 动态聚合模式
静态聚合模式中,成员端口的LACP协议为关闭状态。系统按照以下原则设置成员端口的选中状态:
· 当聚合组内有处于up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 与参考端口的端口属性配置和第二类配置一致且处于up状态的端口成为可能处于Selected状态的候选端口,其它端口将处于Unselected状态。
· 聚合组中处于Selected状态的端口数是有限制的,当候选端口的数目未达到上限时,所有候选端口都为Selected状态,其它端口为Unselected状态;当候选端口的数目超过这一限制时,系统将按照端口号从小到大的顺序选择一些候选端口保持在Selected状态,端口号较大的端口则变为Unselected状态。
· 当聚合组中全部成员都处于down状态时,全组成员均为Unselected状态。
· 因硬件限制而无法与参考端口聚合的端口将处于Unselected状态。
当聚合组中处于Selected状态的端口数已达到限制时,后加入的端口即使具备成为Selected端口的条件,也不会成为Selected状态。这样能够尽量维持当前Selected端口上的流量不中断,但是可能导致设备重启前、后各成员端口的Selected/Unselected状态
不一致。
当聚合组配置为动态聚合模式后,聚合组中成员端口的LACP协议自动使能。
在动态聚合模式中,成员端口处于不同状态时对协议报文的处理方式如下:
· Selected端口可以收发LACP协议报文。
· 处于up状态的Unselected端口如果配置和对应的聚合接口配置相同,可以收发LACP协议报文。
系统按照以下原则设置成员端口的选中状态:
(1) 本端系统和对端系统会进行协商,根据两端系统中设备ID较优的一端的端口ID的大小,来决定两端端口的状态。具体协商步骤如下:
· 比较两端系统的设备ID(设备ID=系统的LACP协议优先级+系统MAC地址)。先比较系统的LACP协议优先级,如果相同再比较系统MAC地址。设备ID小的一端被认为较优(系统的LACP协议优先级和MAC地址越小,设备ID越小)。
· 比较设备ID较优的一端的端口ID(端口ID=端口的LACP协议优先级+端口号)。对于设备ID较优的一端的各个端口,首先比较端口的LACP协议优先级,如果优先级相同再比较端口号。端口ID小的端口作为参考端口(端口的LACP协议优先级和端口号越小,端口ID越小)。
· 与参考端口的端口属性配置和第二类配置一致且处于up状态的端口、并且该端口的对端端口与参考端口的对端端口的配置也一致时,该端口才成为可能处于Selected状态的候选端口。否则,端口将处于Unselected状态。
· 聚合组中处于Selected状态的端口数是有限制的,当候选端口的数目未达到上限时,所有候选端口都为Selected状态,其它端口为Unselected状态;当候选端口的数目超过这一限制时,系统将按照端口ID从小到大的顺序选择一些端口保持在Selected状态,端口ID较大的端口则变为Unselected状态。同时,对端设备会感知这种状态的改变,相应端口的状态将随之变化。
(2) 因硬件限制而无法与参考端口聚合的端口将处于Unselected状态。
对于上述两种聚合模式来说:
· 聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。用户需要通过手工配置的方式保持各端口上的这些配置一致。
· 当聚合组中某成员端口的端口属性配置或第二类配置发生改变时,该端口或该聚合组内其它成员端口的选中状态可能会发生改变。
表28-2 静态聚合组配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建静态聚合接口,并配置其成员端口 创建静态聚合接口时,系统自动生成静态聚合组 缺省情况下,未配置任何链路聚合组 |
|
|
2 |
可选 查看已存在的链路聚合组的详细信息 |
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 创建动态聚合接口,并配置其成员端口 创建动态聚合接口时,系统自动生成动态聚合组,并使能LACP协议 缺省情况下,未配置任何链路聚合组 |
|
|
2 |
可选 设置端口LACP协议优先级和系统LACP协议优先级 改变LACP协议优先级将会影响到动态聚合组成员的Selected和Unselected状态 缺省情况下,端口和系统LACP协议优先级均为32768 |
|
|
3 |
可选 查看已存在的链路聚合组的详细信息 |
|
|
4 |
可选 查看已使能LACP协议的端口的详细信息,以及对端端口的详细信息 |
(1) 在导航栏中选择“网络 > 链路聚合”。
(2) 单击“创建”页签,进入如图28-1所示的页面。
(3) 配置链路聚合组的信息,详细配置如表28-4所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
输入链路聚合接口 |
设置链路聚合接口的ID,作为链路聚合接口组的标识,也是链路聚合组的标识 |
|
选择链路聚合接口类型 |
设置要创建的链路聚合接口的类型,包括: · 静态(LACP不使能) · 动态(LACP使能) |
|
为新建的聚合接口选择成员端口 |
在面板示意图中选择需要加入该聚合接口的成员端口,可以选择一个或多个端口 选择结果显示在页面下方的概要信息列表框中 |
(1) 在导航栏中选择“网络 > 链路聚合”,默认进入“显示”页签的页面,如图28-2所示。页面上方的列表中显示所有聚合接口的信息。
(2) 选中一条表项,在页面下方的列表中会显示该聚合接口中端口成员的详细信息,详细说明如表28-5所示。
|
标题项 |
说明 |
|
聚合接口 |
链路聚合接口的类型和ID Bridge-Aggregation表示二层聚合接口 |
|
链路类型 |
链路聚合接口的类型,包括: · Static:静态聚合接口 · Dynamic:动态聚合接口 |
|
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
|
被选中端口数 |
聚合组中正在使用(即可以收发用户的业务报文)的端口数量 |
|
备用端口数 |
聚合组中未在使用(即不能收发用户的业务报文)的端口数量 |
|
端口成员 |
选中聚合组中的端口成员 |
|
状态 |
成员端口的选中状态 |
|
未选中原因 |
成员端口未选中(即未在使用)的原因 成员端口员的状态为选中时,显示为“--” |
(1) 在导航栏中选择“网络 > LACP”。
(2) 单击“设置”页签,进入如图28-3所示的页面。
图28-3 设置LACP协议优先级
(3) 在页面的“设置LACP激活端口参数”部分修改端口的LACP协议优先级,详细配置如表28-6所示。
(4) 单击此部分的<应用>按钮完成操作。
表28-6 LACP协议优先级的详细配置
|
配置项 |
说明 |
|
端口优先级 |
设置端口的LACP协议优先级 |
|
选择端口修改端口优先级 |
在面板示意图中选择需要修改LACP协议优先级的端口 未使能LACP协议的端口也可以修改其LACP协议优先级 |
(5) 在“LACP公共参数设置”部分修改系统的LACP协议优先级。
(6) 单击此部分的<应用>按钮完成操作。
(1) 在导航栏中选择“网络 > LACP”,默认进入“显示”页签的页面。页面上方的列表框中显示的是本设备上所有使能了LACP协议的端口的详细信息,详细说明如表28-7所示。
(2) 选中某条表项。
(3) 单击<查看详情>按钮,在下方的列表中显示该端口的对端端口的详细信息,如图28-4所示,详细说明如表28-8所示。
图28-4 查看LACP端口信息
表28-7 使能了LACP协议的端口信息的详细说明
|
标题项 |
说明 |
|
单元 |
当多台设备形成IRF时,端口所在设备的成员编号 |
|
端口 |
使能了LACP协议的端口的编号 |
|
LACP状态 |
端口上LACP协议的使能状态 |
|
端口优先级 |
端口的LACP协议优先级 |
|
状态 |
端口是否处于激活状态 如果处于激活状态,还将显示端口所属的聚合组 |
|
未选中原因 |
端口未在使用(即不能收发用户的业务报文)的原因,取值的具体说明请参见图28-4 |
|
对端端口 |
对端端口的编号 |
|
对端状态 |
对端端口的状态,用A~H表示 · A:LACP使能 · B:LACP短超时(不显示B表示LACP长超时) · C:发送端认为端口所在链路可聚合 · D:发送端认为端口所在链路处于同步状态 · E:发送端认为端口所在链路处于收集状态 · F:发送端认为端口所在链路处于分发状态 · G:发送端的接收状态机处于默认状态(没有收到报文、或者长时间内没有收到报文) · H:发送端的接收状态机处于超时状态 |
|
操作key |
本端端口的操作Key |
|
标题项 |
说明 |
|
单元 |
对端设备的成员编号 |
|
端口 |
对端端口的编号 |
|
对端设备标识 |
对端系统的设备ID(包括系统的LACP协议优先级与系统MAC地址) |
|
对端端口优先级 |
对端端口的LACP协议优先级 |
|
对端操作key |
对端端口的操作Key |
· Switch A与Switch B通过各自的二层以太网端口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。
· Switch A和Switch B由三条物理链路连接。在Switch A和Switch B上把端口配置成链路聚合组,从而实现出/入负载在各成员端口中分担。
使用静态聚合组和动态聚合组均可以实现负载分担,下面将分别介绍这两种聚合组的配置方法,使用任何一种方法都可以实现需求。
(1) 方法一:配置静态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图28-6所示。
· 选择链路聚合接口类型为“静态(LACP不使能)”。
· 在面板示意图上选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤4:单击<应用>按钮完成操作。
(2) 方法二:配置动态聚合组
步骤1:在导航栏中选择“网络 > 链路聚合”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图28-7所示。
· 选择链路聚合接口类型为“动态(LACP使能)”。
· 在面板示意图上选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”。
步骤4:单击<应用>按钮完成操作。
对链路聚合组进行配置时,需要注意如下事项:
(1) 在聚合组中,只有与参考端口配置一致的端口才允许成为Selected端口,这些配置包括端口的端口属性配置和第二类配置。在进行配置时,用户需要通过手工配置的方式保证各端口上的这些配置一致。
· 参考端口:当聚合组内有处于up状态的端口时,系统按照端口全双工/高速率、全双工/低速率、半双工/高速率、半双工/低速率的优先次序,选择优先次序最高且处于up状态的、端口的第二类配置和对应聚合接口的第二类配置相同的端口作为该组的参考端口(优先次序相同的情况下,端口号最小的端口为参考端口)。
· 端口属性配置:包括端口速率、双工模式和链路状态的配置。
· 第二类配置:请参见本手册的“28.1.1 5. 第二类配置”一节的介绍。
(2) 对于静态聚合组,用户需要保证在同一链路两端端口的Selected/Unselected状态的一致性
(3) ,否则聚合功能不能正常使用;对于动态聚合模式,聚合链路两端的设备会自动协商同一链路两端的端口在各自聚合组内的Selected/Unselected状态,用户只需保证本端聚合在一起的端口的对端也同样聚合在一起,聚合功能即可正常使用。
(4) 配置了MAC地址认证的端口、配置了端口安全模式的端口、配置了报文过滤功能的端口、配置了以太网帧过滤功能的端口、启用了IP Source Guard功能的端口以及使能了802.1X的端口都不能加入二层聚合组。
(5) 删除聚合接口时,系统会自动删除对应的聚合组,且该聚合组中的所有成员端口将全部离开该聚合组。
(6) 由于没有负载分担资源而导致负载分担组成为非负载分担组时,可能出现下列两种情况:一种情况是,对端的Selected端口数与本端的Selected端口数不相同,此时不能保证流量的正确转发;另一种情况是,本端Selected端口的对端是Unselected端口,此时会导致上层协议和流量转发出现异常。请用户配置的时候避免上述情况的发生。
目前,网络设备的种类日益繁多且各自的配置错综复杂,为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息,需要有一个标准的信息交流平台。
LLDP(Link Layer Discovery Protocol,链路层发现协议)就是在这样的背景下产生的,它提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
有关MIB的详细介绍,请参见本手册的“SNMP”。
封装有LLDPDU的报文称为LLDP报文,其封装格式有两种:Ethernet II和SNAP(Subnetwork Access Protocol,子网访问协议)。
(1) Ethernet II格式封装的LLDP报文
图29-1 Ethernet II格式封装的LLDP报文
如图29-1所示,是以Ethernet II格式封装的LLDP报文,其中各字段的含义如下:
· Destination MAC address:目的MAC地址,为固定的组播MAC地址0x0180-C200-000E。
· Source MAC address:源MAC地址,为端口MAC地址。
· Type:报文类型,为0x88CC。
· Data:数据内容,为LLDPDU。
· FCS:帧检验序列,用来对报文进行校验。
(2) SNAP格式封装的LLDP报文
图29-2 SNAP格式封装的LLDP报文
如图29-2所示,是以SNAP格式封装的LLDP报文,其中各字段的含义如下:
· Destination MAC address:目的MAC地址,为固定的组播MAC地址0x0180-C200-000E。
· Source MAC address:源MAC地址,为端口MAC地址或设备桥MAC地址(如果有端口地址则使用端口MAC地址,否则使用设备桥MAC地址)。
· Type:报文类型,为0xAAAA-0300-0000-88CC。
· Data:数据内容,为LLDPDU。
· FCS:帧检验序列,用来对报文进行校验。
LLDPDU就是封装在LLDP报文数据部分的数据单元。在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送。
图29-3 LLDPDU的封装格式
如图29-3示,深蓝色的Chasis ID TLV、Port ID TLV、Time To Live TLV和End of LLDPDU TLV这四种TLV是每个LLDPDU都必须携带的,其余的TLV则为可选携带。每个LLDPDU最多可携带28种TLV。
TLV是组成LLDPDU的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1组织定义TLV、802.3组织定义TLV和LLDP-MED(Media Endpoint Discovery,媒体终端发现) TLV。
基本TLV是网络设备管理基础的一组TLV,802.1组织定义TLV、802.3组织定义TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
(1) 基本TLV
在基本TLV中,有几种TLV对于实现LLDP功能来说是必选的,即必须在LLDPDU中发布,如表29-1所示。
|
TLV名称 |
说明 |
是否必须发布 |
|
Chassis ID |
发送设备的桥MAC地址 |
是 |
|
Port ID |
标识LLDPDU发送端的端口。如果LLDPDU中携带有LLDP-MED TLV,其内容为端口的MAC地址,没有端口MAC时使用桥MAC;否则,其内容为端口的名称 |
是 |
|
Time To Live |
本设备信息在邻居设备上的存活时间 |
是 |
|
End of LLDPDU |
LLDPDU的结束标识,是LLDPDU的最后一个TLV |
是 |
|
Port Description |
端口的描述 |
否 |
|
System Name |
设备的名称 |
否 |
|
System Description |
系统的描述 |
否 |
|
System Capabilities |
系统的主要功能以及已使能的功能项 |
否 |
|
Management Address |
管理地址,以及改地址所对应的接口号和OID(Object Identifier,对象标识符) |
否 |
(2) 802.1组织定义TLV
IEEE 802.1组织定义TLV的内容如表29-2所示。
表29-2 IEEE 802.1组织定义的TLV
|
TLV名称 |
说明 |
|
Port VLAN ID |
端口的PVID(Port VLAN ID),一个LLDPDU中最多携带一个该类型TLV |
|
Port And Protocol VLAN ID |
端口的PPVID(Port and Protocol VLAN ID),一个LLDPDU中可携带多个互不重复的该类型TLV |
|
VLAN Name |
端口所属VLAN的名称,一个LLDPDU中可携带多个互不重复的该类型TLV |
|
Protocol Identity |
端口所支持的协议类型,一个LLDPDU中可携带多个互不重复的该类型TLV |
|
DCBX |
数据中心桥能力交换协议(Data Center Bridging Exchange Protocol) |
· 目前,H3C设备不支持发送Protocol Identity TLV,但可以接收该类型的TLV。
· 三层以太网接口不支持IEEE 802.1组织定义TLV。
(3) 802.3组织定义TLV
IEEE 802.3组织定义TLV的内容如表29-3所示。
表29-3 IEEE 802.3组织定义的TLV
|
TLV名称 |
说明 |
|
MAC/PHY Configuration/Status |
端口支持的速率和双工状态、是否支持端口速率自动协商、是否已使能自动协商功能以及当前的速率和双工状态 |
|
Power Via MDI |
端口的供电能力,包括PoE(Power over Ethernet,以太网供电)的类型(PSE(Power Sourcing Equipment,供电设备)或PD(Powered Device,受电设备))、PoE端口的远程供电模式、是否支持PSE供电、是否已使能PSE供电以及供电方式是否可控 |
|
Link Aggregation |
端口是否支持链路聚合以及是否已使能链路聚合 |
|
Maximum Frame Size |
端口支持的最大帧长度,取端口配置的MTU(Maximum Transmission Unit,最大传输单元) |
|
Power Stateful Control |
端口的电源状态控制,包括PSE/PD所采用的电源类型、供/受电的优先级以及供/受电的功率 |
Power Stateful Control TLV是在IEEE P802.3at D1.0版本中被定义的,之后的版本不再支持该TLV。H3C设备只有在收到Power Stateful Control TLV后才会发送该类型的TLV。
(4) LLDP-MED TLV
LLDP-MED TLV为VoIP(Voice over IP,在IP网络上传送语音)提供了许多高级的应用,包括基本配置、网络策略配置、地址信息以及目录管理等,满足了语音设备的不同生产厂商在成本有效、易部署、易管理等方面的要求,并解决了在以太网中部署语音设备的问题,为语音设备的生产者、销售者以及使用者提供了便利。LLDP-MED TLV的内容如表29-4所示。
|
TLV名称 |
说明 |
|
LLDP-MED Capabilities |
网络设备所支持的LLDP-MED TLV类型 |
|
Network Policy |
网络设备或终端设备上端口的VLAN类型、VLAN ID以及二三层与具体应用类型相关的优先级等等 |
|
Extended Power-via-MDI |
网络设备或终端设备的扩展供电能力,对Power Via MDI TLV进行了扩展 |
|
Hardware Revision |
终端设备的硬件版本 |
|
Firmware Revision |
终端设备的固件版本 |
|
Software Revision |
终端设备的软件版本 |
|
Serial Number |
终端设备的序列号 |
|
Manufacturer Name |
终端设备的制造厂商名称 |
|
Model Name |
终端设备的模块名称 |
|
Asset ID |
终端设备的资产标识符,以便目录管理和资产跟踪 |
|
Location Identification |
网络设备的位置标识信息,以供终端设备在基于位置的应用中使用 |
管理地址是供网络管理系统标识网络设备并进行管理的地址。管理地址可以明确地标识一台设备,从而有利于网络拓扑的绘制,便于网络管理。管理地址被封装在LLDP报文的Management Address TLV 中向外发布。
LLDP有以下四种工作模式:
· TxRx:既发送也接收LLDP报文。
· Tx:只发送不接收LLDP报文。
· Rx:只接收不发送LLDP报文。
· Disable:既不发送也不接收LLDP报文。
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。
当端口工作在TxRx或Tx模式时,设备会周期性地向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,每发送一个LLDP报文后都需延迟一段时间后再继续发送下一个报文。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期缩短为1秒,并连续发送指定数量的LLDP报文后再恢复为正常的发送周期。
当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time to Live,生存时间) 的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。
当设备与Cisco的IP电话直连时,IP电话将会向设备发送CDP(Cisco Discovery Protocol,思科发现协议)报文以请求在设备上所配语音VLAN的VLAN ID;如果在指定时间内没有收到设备发送的语音VLAN的VLAN ID,IP电话将会把语音数据流以untagged方式发送,从而导致语音数据流与其它类型的数据流混在一起,无法进行区分。
通过在设备上配置LLDP兼容CDP功能,可以利用LLDP来接收、识别从IP电话接收的CDP报文,并向IP电话发送CDP报文,该CDP报文携带设备所配语音VLAN的TLV,使IP电话完成语音VLAN的自动配置。语音数据流将被限制在配置的语音VLAN内,与其它数据流区分开来。
LLDP兼容CDP功能有以下两种工作模式:
· TxRx:既发送也接收CDP报文。
· Disable:既不发送也不接收CDP报文。
表29-5 LLDP配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 缺省情况下,端口LLDP功能处于使能状态 LLDP功能必须在全局和端口上同时使能后才能生效 |
|
|
2 |
可选 配置端口LLDP功能相关参数,包括:LLDP工作模式、报文封装格式、兼容CDP功能、轮询功能、Trap功能和允许发布的TLV类型等 缺省情况下: · LLDP工作模式为TxRx · 报文封装格式为ETHII · 兼容CDP功能的工作模式为Disable · 轮询、Trap功能处于关闭状态 · LLDP发布除Location Identification TLV之外的所有类型的TLV |
|
|
3 |
必选 设置使能全局的LLDP功能,并配置LLDP的全局参数 LLDP功能必须在全局和端口上同时使能后才能生效 缺省情况下,全局LLDP功能处于关闭状态 |
|
|
4 |
可选 查看指定端口的LLDP本地信息、邻居信息、统计信息和状态信息 · 本地信息是指当前设备要发送的LLDP信息,这些信息将被组织成TLV发送给邻居 · 邻居信息是指从邻居收到的LLDP信息,邻居将这些信息组织成TLV发送给当前设备 |
|
|
5 |
可选 查看全局的LLDP本地信息和统计信息 本地信息是指当前设备要发送的LLDP信息,这些信息将被组织成TLV发送给邻居 |
|
|
6 |
可选 查看全局的LLDP邻居信息,即从邻居收到的LLDP信息,邻居将这些信息组织成TLV发送给当前设备 |
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图29-4所示。列表中显示的是端口LLDP功能的使能状态和工作模式。
(2) 在列表中选中接口名前的复选框。
(3) 单击列表下方<使能>按钮,可以使能这些端口的LLDP功能;单击列表下方的<去使能>按钮,可以关闭这些端口的LLDP功能。
Web提供了单个端口设置和批量端口设置两种方式来配置端口LLDP参数。
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图29-4所示。
(2) 在列表中单击端口对应的
图标,进入该端口LLDP参数的显示和配置页面,可以对该端口当前LLDP参数的配置信息进行查看和修改,如图29-5所示。
(3) 配置端口的LLDP参数,详细配置如表29-6所示。
(4) 单击<确定>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表29-6 端口LLDP参数的详细配置
|
配置项 |
说明 |
|
|
接口名 |
显示当前配置的LLDP端口的名称 |
|
|
LLDP状态 |
显示当前配置的端口的LLDP功能的使能状态 批量端口设置时不显示此项 |
|
|
基本设置 |
LLDP工作模式 |
设置端口的LLDP工作模式,包括: · TxRx:既发送也接收LLDPDU · Tx:只发送不接收LLDPDU · Rx:只接收不发送LLDPDU · Disable:既不发送也不接收LLDPDU |
|
报文封装格式 |
设置端口LLDPDU的封装格式,包括: · ETHII:端口发送的LLDPDU采用Ethernet II格式封装,并且只有收到的LLDPDU封装格式为Ethernet II时,设备才会对其进行处理 · SNAP:端口发送的LLDPDU采用SNAP格式封装,并且只有收到的LLDPDU封装格式为SNAP时,设备才会对其进行处理
LLDP CDP报文的封装格式只能为SNAP,不能为Ethernet II |
|
|
兼容CDP工作模式 |
设置端口LLDP兼容CDP功能的工作模式,包括: · Disable:既不发送也不接收CDP报文 · TxRx:既发送也接收CDP报文
要使LLDP兼容CDP功能生效,必须在“全局设置”页签中使能LLDP兼容CDP功能,同时将端口下LLDP兼容CDP功能的工作模式配置为TxRx |
|
|
轮询时间间隔 |
设置端口使能轮询功能和轮询的时间间隔 不指定轮询时间间隔表示关闭端口的轮询功能 通过配置轮询功能,LLDP将以轮询时间间隔周期性地查询本设备的相关配置是否发生改变,如果发生改变将触发LLDPDU的发送,以将本设备的配置变化迅速通知给其他设备 |
|
|
Trap功能 |
设置端口LLDP Trap功能的使能状态 通过使能LLDP Trap功能,可以向网管工作站通告如发现新邻居、与原来邻居的通信链路发生故障等重要事件
发送Trap信息的时间间隔是指设备向网管系统发送Trap信息的最小时间间隔,通过在“全局设置”页签中调整“Trap信息发送间隔”,可以避免由于邻居信息频繁变化而导致Trap信息的频繁发送 |
|
|
基本TLV设置 |
端口描述 |
设置端口发布Port Description TLV |
|
系统性能 |
设置端口发布System Capabilities TLV |
|
|
系统描述 |
设置端口发布System Description TLV |
|
|
系统名称 |
设置端口发布System Name TLV |
|
|
管理地址 |
设置端口发布Management Address TLV,并指定发布的管理地址和管理地址在TLV中的封装形式(封装形式可以是数字或字符串) 如果不指定发布的管理地址,则发布的管理地址为端口允许通过且VLAN ID值最小的VLAN的主IP地址,若VLAN ID值最小的VLAN未配置主IP地址,则发布的管理地址值为127.0.0.1 |
|
|
DOT1 TLV设置 |
端口VLAN ID |
设置端口发布Port VLAN ID TLV |
|
协议VLAN ID |
设置端口发布Port And Protocol VLAN ID TLV,并指定要发布的VLAN ID 如果不指定要发布的VLAN ID,则使用协议所属最小VLAN |
|
|
VLAN名称 |
设置端口发布VLAN Name TLV,并指定要发布的VLAN ID 如果不指定要发布的VLAN ID,则使用端口所属的最小VLAN |
|
|
DOT3 TLV设置 |
链路聚合 |
设置端口发布Link Aggregation TLV |
|
MAC/PHY配置/状态 |
设置端口发布MAC/PHY Configuration/Status TLV |
|
|
最大帧长度 |
设置端口发布Maximum Frame Size TLV |
|
|
供电能力 |
设置端口发布Power Via MDI TLV和Power Stateful Control TLV |
|
|
MED TLV设置 |
LLDP-MED能力集 |
设置端口发布LLDP-MED Capabilities TLV |
|
资产信息 |
设置端口发布Hardware Revision TLV、Firmware Revision TLV、Software Revision TLV、Serial Number TLV、Manufacturer Name TLV、Model Name TLV和Asset ID TLV |
|
|
网络策略 |
设置端口发布Network Policy TLV |
|
|
扩展供电能力 |
设置端口发布Extended Power-via-MDI TLV |
|
|
紧急号码 |
设置端口发布Location Identification TLV封装紧急电话号码,并指定封装的紧急电话号码 |
|
|
普通地址 |
设置端口发布Location Identification TLV封装网络连接设备的普通地址信息,并指定设备类型(设备类型包括DHCP server、Switch和LLDP-MED Endpoint)、国家码和网络设备地址 配置网络设备地址时,先在下拉框中选择要指定地址信息类型,再在文本框中输入相应类型的信息,然后单击<添加>按钮,即可将信息添加到网络设备地址信息的列表框中;在网络设备地址信息的列表框中选中一条信息,单击<删除>按钮,即可将该条信息从列表框中删除。地址信息的类型包括language(语言)、province/state(州/省)、country(国家)、city(城市)、street(街)、house number(楼号)、name(名称)、postal/zip code(邮政编码)、room number(房号)、post office box(邮政信箱)和additional information(附加信息) |
|
|
网络设备地址 |
||
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图29-4所示。
(2) 在列表中选中一个或多个端口。
(3) 单击<批量端口设置>,进入端口批量设置的页面,可以对所有选中端口的LLDP参数进行批量修改,如图29-6所示。
(4) 配置选中端口的LLDP参数,详细配置参见表29-6。
(5) 单击<确定>按钮,弹出配置进度对话框。
(6) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(1) 在导航栏中选择“网络 > LLDP”。
(2) 单击“全局设置”页签,进入如图29-7所示的页面。
(3) 配置全局LLDP功能,详细配置如表29-7所示。
(4) 单击<确定>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
表29-7 全局LLDP功能的详细配置
|
配置项 |
说明 |
|
全局LLDP功能 |
设置全局LLDP功能的使能状态 |
|
LLDP兼容CDP |
设置全局LLDP兼容CDP功能的使能状态
要使LLDP兼容CDP功能生效,必须在全局使能LLDP兼容CDP功能,同时在“端口设置”中将端口下LLDP兼容CDP功能的工作模式配置为TxRx 由于CDP报文所携TTL TLV中TTL的最大值为255,而TTL=Min(65535,(TTL乘数×发送LLDP报文的时间间隔)),因此为保证LLDP兼容CDP功能的正常运行,应确保TTL乘数与发送LLDP报文的时间间隔的乘积不大于255 |
|
快速发送报文个数 |
设置LLDP快速发送报文的个数 |
|
TTL乘数 |
设置TTL乘数的值 LLDPDU中所携TTL TLV中TTL的值用来设置邻居信息在本地设备上的老化时间。由于TTL=Min(65535,(TTL乘数×发送LLDP报文的时间间隔)),因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间 |
|
Trap信息发送间隔 |
设置Trap信息的发送时间间隔 在端口上使能LLDP Trap功能后,设备会以一定的时间间隔发送Trap信息,从而将该间隔内检测到的拓扑变化情况通告给邻居。合理配置发送Trap信息的时间间隔,可以避免Trap信息的频繁发送 |
|
端口初始化延迟时间 |
设置端口初始化延迟时间 当端口上LLDP的工作模式发生变化时,端口将对协议状态机进行初始化操作,通过配置端口初始化的延迟时间,可以避免由于工作模式频繁改变而导致端口不断地进行初始化 |
|
LLDPDU发送延迟时间 |
设置LLDPDU发送延迟时间
LLDPDU发送延迟时间应小于TTL TLV的值,否则将导致当前设备的信息在邻居设备上老化后仍无法收到当前设备发送的LLDPDU |
|
LLDPDU发送间隔 |
设置LLDPDU发送时间间隔
LLDPDU发送间隔应小于TTL,否则将导致当前设备的信息在邻居设备上老化后仍无法收到当前设备发送的LLDPDU |
(1) 在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的界面,如图29-4所示。
(2) 在列表中单击端口的名称,在页面的下方可以显示该端口的相关信息,默认显示的是“本地信息”页签的内容,如图29-8所示。端口本地信息的详细说明如表29-8所示。
|
信息 |
说明 |
|
Port ID类型 |
· Interface alias:表示接口化名 · Port component:表示端口组件 · MAC address:表示MAC地址 · Network Address:表示网络地址 · Interface name:表示接口名称 · Agent circuit ID:表示代理巡回标识 · Locally assigned:表示本地配置 |
|
PoE的类型 |
· PSE:表示供电设备 · PD:表示受电设备
仅S5120-WiNet系列交换机支持 |
|
PD的端口控制级别 |
· Unknown:表示级别未知 · Class0:表示级别1 · Class1:表示级别2 · Class2:表示级别3 · Class3:表示级别4 · Class4:表示级别5
仅S5120-WiNet系列交换机支持 |
|
媒体策略类型 |
· Unknown:表示类型未知 · voice:表示语音 · voiceSignaling:表示语音信号 · guestVoice:表示访客语音 · guestVoiceSignaling:表示访客语音信号 · softPhoneVoice:表示软体电话语音 · videoconferencing:表示视频会议 · streamingVideo:表示流视频 · videoSignaling:表示视频信号 |
|
PoE PSE供电来源 |
· Primary:表示主用电源 · Backup:表示备用电源
仅S5120-WiNet系列交换机支持 |
|
端口供电优先级 |
· Unknown:表示优先级未知 · Critical:表示优先级1级 · High:表示优先级2级 · Low:表示优先级3级
仅S5120-WiNet系列交换机支持 |
(3) 单击“邻居信息”页签,查看端口的LLDP邻居信息,如图29-9所示。端口邻居信息的详细说明如表29-9所示。
|
信息 |
说明 |
|
Chassis类型 |
Chassis ID类型 · Chassis component:表示底架组件 · Interface alias:表示接口化名 · Port component:表示端口组件 · MAC address:表示MAC地址 · Network address:表示网络地址 · Interface name:表示接口名称 · Locally assigned:表示本地配置 |
|
Chassis ID |
Chassis ID值 |
|
Port ID类型 |
端口ID类型: · Interface alias:表示接口化名 · Port component:表示端口组件 · MAC address:表示MAC地址 · Network Address:表示网络地址 · Interface name:表示接口名称 · Agent circuit ID:表示代理巡回标识 · Locally assigned:表示本地配置 |
|
Port ID |
端口ID值 |
|
系统支持的能力集 |
· Repeater:表示支持转发功能 · Bridge:表示支持交换功能 · Router:表示支持路由功能 |
|
系统使能的能力集 |
· Repeater:表示转发功能已使能 · Bridge:表示交换功能已使能 · Router:表示路由功能已使能 |
|
Auto-negotiation supported |
端口是否支持自协商 |
|
Auto-negotiation enabled |
端口是否已使能自协商 |
|
OperMau |
端口自适应的速率和双工状态 |
|
Link aggregation supported |
端口是否支持链路聚合 |
|
Link aggregation enabled |
端口是否已使能链路聚合 |
|
Aggregation port ID |
聚合端口的端口ID,0表示未使能链路聚合功能 |
|
Maximum frame Size |
端口支持的最大帧长度 |
|
Device class |
MED设备类型 · Connectivity device:表示网络连接设备 · Class I:表示一般终端设备,即所有需要LLDP发现服务的终端设备 · Class II:表示媒体终端设备,即具备媒体能力的终端设备,其能力包含了一般终端设备的能力,但该类设备支持媒体流 · Class III:表示通讯终端设备,即直接支持目标用户IP通讯系统的终端设备,其能力包含了一般终端设备和媒体终端设备的所有能力,但是该类设备直接被目标用户所使用 |
|
Media policy type |
媒体策略类型 · Unknown:表示类型未知 · voice:表示语音 · voiceSignaling:表示语音信号 · guestVoice:表示访客语音 · guestVoiceSignaling:表示访客语音信号 · softPhoneVoice:表示软体电话语音 · videoconferencing:表示视频会议 · streamingVideo:表示流视频 · videoSignaling:表示视频信号 |
|
Unknown Policy |
媒体策略类型是否未知 |
|
VLAN tagged |
媒体VLAN是否带Tag |
|
Media policy VlanID |
媒体VLAN的VLAN ID |
|
Media policy L2 priority |
二层优先级 |
|
Media policy Dscp |
DSCP的值 |
|
HardwareRev |
产品的硬件版本 |
|
FirmwareRev |
产品的固件版本 |
|
SoftwareRev |
产品的软件版本 |
|
SerialNum |
序列号 |
|
Manufacturer name |
制造厂商 |
|
Model name |
模块名称 |
|
Asset tracking identifier |
资产跟踪ID |
|
PoE PSE供电来源 |
· Primary:表示主用电源 · Backup:表示备用电源 |
|
端口供电优先级 |
· Unknown:表示未知 · Critical:表示优先级1级 · High:表示优先级2级 · Low:表示优先级3级 |
(4) 单击“统计信息”页签,查看端口的LLDP统计信息,如图29-10所示。
(5) 单击“状态信息”页签,查看端口的LLDP状态信息,如图29-11所示。
(1) 在导航栏中选择“网络 > LLDP”。
(2) 单击“全局信息”页签,进入如图29-12所示的页面,可以查看全局的LLDP本地信息和统计信息,详细说明如表29-10所示。
|
信息 |
说明 |
|
Chassis ID |
Chassis ID值 |
|
系统支持的能力集 |
· Repeater:表示支持转发功能 · Bridge:表示支持交换功能 · Router:表示支持路由功能 |
|
系统使能的能力集 |
· Repeater:表示转发功能已使能 · Bridge:表示交换功能已使能 · Router:表示路由功能已使能 |
|
设备类型 |
· Connectivity device:表示网络连接设备 · Class I:表示一般终端设备,即所有需要LLDP发现服务的终端设备 · Class II:表示媒体终端设备,即具备媒体能力的终端设备,其能力包含了一般终端设备的能力,但该类设备支持媒体流 · Class III:表示通讯终端设备,即直接支持目标用户IP通讯系统的终端设备,其能力包含了一般终端设备和媒体终端设备的所有能力,但是该类设备直接被目标用户所使用 |
(1) 在导航栏中选择“网络 > LLDP”。
(2) 单击“邻居信息”页签,进入如图29-13所示的页面,可以查看全局的LLDP邻居信息。
· NMS(Network Management System,网络管理系统)通过以太网与Switch A相连,Switch A通过GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与MED设备和Switch B相连。
· 通过在Switch A和Switch B上配置LLDP功能,使NMS可以对Switch A与MED设备之间以及Switch A与Switch B之间链路的通信情况进行判断。
图29-14 LLDP基本功能配置组网图
(1) 使能端口GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP功能。(缺省情况下,端口的LLDP功能处于使能状态,此步骤可省略)
(2) 配置端口GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP工作模式为Rx。
步骤1:在Switch A的导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:选中“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”前的复选框。
步骤3:单击<批量端口设置>按钮,如图29-15所示。
步骤4:如图29-16所示,在批量端口设置的页面选择LLDP工作模式为“Rx”。
步骤5:单击<确定>按钮,弹出配置进度对话框。
步骤6:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图29-16 配置端口的LLDP工作模式为Rx
(3) 使能全局LLDP功能。
步骤1:单击“全局设置”页签。
步骤2:如图29-17所示,选择全局LLDP功能为“使能”。
步骤3:单击<确定>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(1) 使能端口GigabitEthernet1/0/1的LLDP功能。(缺省情况下,端口的LLDP功能处于使能状态,此步骤可跳过)
(2) 配置端口GigabitEthernet1/0/1的LLDP工作模式为Tx。
步骤1:在Switch B的导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:单击“GigabitEthernet1/0/1”对应的图标。
步骤3:如图29-18所示,选择LLDP工作模式为“Tx”。
步骤4:单击<确定>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图29-18 配置端口的LLDP工作模式为Tx
(3) 使能全局LLDP功能。
步骤1:单击“全局设置”页签。
步骤2:参见图29-17,选择全局LLDP功能为“使能”。
步骤3:单击<确定>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(1) 在Switch A上查看GigabitEthernet1/0/1的状态信息。
步骤1:在Switch A的导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:在列表中单击接口名“GigabitEthernet1/0/1”。
步骤3:在页面下方单击<状态信息>页签,显示如图29-19所示的信息。
由此可见,端口GigabitEthernet1/0/1上连接了一个MED邻居设备。
(2) 在Switch A上查看GigabitEthernet1/0/2的状态信息。
步骤2:在列表中单击接口名“GigabitEthernet1/0/2”。
步骤3:在页面下方单击<状态信息>页签,显示如图29-20所示的信息。
由此可见,端口GigabitEthernet1/0/2上连接了一个非MED邻居设备(即Switch B)。
(3) 将Switch A和Switch B间的链路断掉。
(4) 在Switch A上单击“状态信息”下的<刷新>按钮,再次查看GigabitEthernet1/0/2的状态信息,显示如图29-21所示的信息。
由此可见,端口GigabitEthernet1/0/2上已经没有任何邻居设备了。
· Switch A通过GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与两部Cisco的IP电话相连。
· 在Switch A上配置VLAN ID为2的语音VLAN,通过在Switch A上配置LLDP兼容CDP功能使IP电话完成语音VLAN的自动配置,以使语音数据流被限制在语音VLAN内,与其它数据流区分开来。
图29-22 LLDP兼容CDP功能配置组网图
(1) 创建VLAN 2。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图29-23所示,输入VLAN ID为“2”。
步骤4:单击<>按钮完成操作。
(2) 配置GigabitEthernet1/0/1和GigabitEthernet1/0/2为Trunk端口。
步骤1:在导航栏中选择“设备 > 端口管理”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图29-24所示。
· 在面板示意图中点击选中端口“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”。
步骤4:单击<提交>按钮完成操作。
(3) 配置GigabitEthernet1/0/1和GigabitEthernet1/0/2的语音VLAN功能。
步骤1:在导航栏中选择“网络 > 语音VLAN”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如图29-25所示。
· 选择语音VLAN端口模式为“Auto”。
· 选择语音VLAN端口状态为“Enable”。
· 输入语音VLAN ID为“2”。
· 在面板示意图中点击选中端口“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”。
步骤4:单击<应用>按钮完成操作。
(4) 使能GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP功能。(缺省情况下,端口的LLDP功能处于使能状态,此步骤可跳过)
(5) 配置GigabitEthernet1/0/1和GigabitEthernet1/0/2的LLDP工作模式为TxRx,兼容CDP工作模式为TxRX。
步骤1:在导航栏中选择“网络 > LLDP”,默认进入“端口设置”页签的页面。
步骤2:选中“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”前的复选框。
步骤3:单击<批量端口设置>按钮,如图29-26所示。
步骤4:进行如下配置,如图29-27所示。
· 选择LLDP工作模式为“TxRx”。
· 选择兼容CDP工作模式为“TxRx”。
步骤5:单击<确定>按钮,弹出配置进度对话框。
步骤6:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(6) 全局使能LLDP功能以及LLDP兼容CDP功能。
步骤1:单击“全局设置”页签。
步骤2:进行如下配置,如图29-28所示。
· 选择全局LLDP功能为“使能”。
· 选择LLDP兼容CDP功能为“使能”。
步骤3:单击<确定>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图29-28 全局使能LLDP功能以及LLDP兼容CDP功能
完成上述配置后,在Switch A上查看邻居信息,可以看到Switch A已发现了分别连接在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上的IP电话,并获取到了相关的设备信息。
配置LLDP时需要注意如下事项:
(1) LLDP功能必须在全局和端口同时使能才能生效。
(2) 为端口配置LLDPDU发布的TLV属性时,需要注意:
· 要配置发布LLDP-MED其它类型(除LLDP-MED能力集TLV外)的TLV,必须同时配置发布LLDP-MED能力集TLV。
· 要配置禁止发布LLDP-MED能力集TLV,必须先配置禁止发布LLDP-MED其它类型的TLV。
· 要配置禁止发布MAC/PHY配置/状态TLV,必须先配置禁止发布LLDP-MED能力集TLV。
· 如果当前LLDP-MED能力集TLV和MAC/PHY配置/状态TLV都处于禁止发布状态,则配置发布LLDP-MED能力集TLV后,MAC/PHY配置/状态TLV也将自动发布。
(3) 在进行批量端口LLDP参数配置时,如果未进行某TLV属性的配置,则批量端口LLDPDU发布的该TLV属性保持各自的原配置不变。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:
· 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项。
· 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图30-1所示。页面显示所有ARP表项的信息。
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图30-1所示。
(2) 单击<新建>按钮,进入新建静态ARP表项的配置页面,如图30-2所示。
(3) 配置静态ARP表项的信息,详细配置如表30-1所示。
(4) 单击<确定>按钮完成操作。
表30-1 静态ARP表项的详细配置
|
配置项 |
说明 |
|
|
IP地址 |
设置静态ARP表项的IP地址 |
|
|
MAC地址 |
设置静态ARP表项的MAC地址 |
|
|
高级选项 |
VLAN ID |
设置静态ARP表项所属的VLAN和端口
指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的端口必须属于这个VLAN;指定的VLAN ID对应的VLAN虚接口必须已经创建 |
|
端口 |
||
(1) 在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面,如图30-1所示。
(2) 删除ARP表项,详细配置如表30-2所示。
表30-2 删除ARP表项的详细配置
|
功能 |
配置方法 |
|
删除指定的ARP表项 |
在列表中选中指定ARP表项前的复选框,单击<删除选中>按钮 |
|
删除所有静态和动态ARP表项 |
单击<删除所有静态和动态表项>按钮 |
|
删除所有静态ARP表项 |
单击<删除所有静态表项>按钮 |
|
删除所有动态ARP表项 |
单击<删除所有动态表项>按钮 |
(1) 在导航栏中选择“网络 > ARP管理”。
(2) 单击“免费ARP”页签,进入如图30-3所示的页面。
(3) 配置免费ARP功能,详细配置如表30-3所示。
表30-3 免费ARP功能的详细配置
|
配置项 |
说明 |
|
关闭学习免费ARP报文 |
设置是否关闭免费ARP报文学习功能 缺省情况下,免费ARP报文学习功能处于开启状态 |
|
收到非同一网段ARP请求时发送免费ARP报文 |
设置开启收到非同一网段ARP请求时发送免费ARP报文功能 缺省情况下,收到非同一网段ARP请求时不发送免费ARP报文 |
· Switch A连接主机,通过接口GigabitEthernet1/0/1连接Router B。接口GigabitEthernet1/0/1属于VLAN 100。
· Router B的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加Switch A和Router B通信的安全性,可以在Switch A上配置静态ARP表项。
图30-4 静态ARP配置组网图
(1) 创建VLAN 100。
步骤1:在导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图30-5所示,输入VLAN ID为“100”。
步骤4:单击<创建>按钮完成操作。
(2) 将端口GigabitEthernet1/0/1加入到VLAN 100中。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如图30-6所示。
· 在设备面板示意图中选择端口“GigabitEthernet1/0/1”。
· 选择操作类型为“Untagged”。
· 输入VLAN IDs为“100”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 创建Vlan-interface100。
步骤1:在导航栏中选择“网络 > VLAN虚接口”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图30-7所示。
· 输入VLAN ID为“100”。
· 选中“配置IPv4地址”前的复选框。
· 选中“手工”前的单选按钮。
· 输入IPv4地址为“192.168.1.2”。
· 输入掩码长度为“24”或“255.255.255.0”。
步骤4:单击<应用>按钮完成操作。
(4) 配置静态ARP表项。
步骤1;在导航栏中选择“网络 > ARP管理”,默认进入“ARP表”页签的页面。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图30-8所示。
· 输入IP地址为“192.168.1.1”。
· 输入MAC地址为“00e0-fc01-0000”。
· 选中“高级选项”前的复选框。
· 输入VLAN ID为“100”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<确定>按钮完成操作。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
通过Web页面配置ARP Detection可以实现两个功能:用户合法性检查、ARP报文有效性检查。
对于ARP信任端口,不进行用户合法性检查;对于ARP非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查。
(1) 首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项,认为该ARP报文合法,进行转发。如果找到了对应源IP地址的静态绑定表项但源MAC地址不符,认为该ARP报文非法,进行丢弃。如果没有找到对应源IP地址的静态绑定表项,继续进行DHCP Snooping安全表项、802.1X安全表项和OUI MAC地址检查。
(2) 在基于IP Source Guard静态绑定表项检查之后进行基于DHCP Snooping安全表项、802.1X安全表项和OUI MAC地址检查,只要符合三者中任何一个,就认为该ARP报文合法,进行转发。其中,OUI MAC地址检查指的是,只要ARP报文的源MAC地址为OUI MAC地址,并且使能了Voice VLAN功能,就认为是合法报文,检查通过。
(3) 如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
· 对于源MAC地址的检查模式,会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文。
· 对于目的MAC地址的检查模式(只针对ARP应答报文),会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃。
· 对于IP地址检查模式,会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
(1) 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上使能定时发送免费ARP功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
(2) 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上使能定时发送免费ARP功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
ARP自动扫描功能一般与ARP固化功能配合使用:
· 启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
· ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。
推荐在网吧这种环境稳定的小型网络中使用上述两个功能。
配置用户合法性检查功能时,必须至少配置IP Source Guard静态绑定表项、DHCP Snooping功能、802.1X功能三者之一,否则所有从ARP非信任端口收到的ARP报文都将被丢弃(使能了Voice VLAN功能的情况下,源MAC地址为OUI MAC地址的ARP报文不会被丢弃)。在配置IP Source Guard静态绑定表项时,必须指定VLAN参数,否则ARP报文将无法通过基于IP Source Guard静态绑定表项的检查。
(1) 在导航栏中选择“网络 > ARP防攻击”,默认进入“ARP Detection”页签的页面,如图31-1所示。
(2) 配置ARP Detection功能,详细配置如表31-1所示。
(3) 单击<确定>按钮完成操作。
表31-1 ARP Detection的详细配置
|
配置项 |
说明 |
|
VLAN配置 |
设置要使能ARP Detection功能的VLAN 在“未使能VLAN”列表框中选中一个或多个VLAN,单击“<<”按钮,可以将选中的VLAN添加到“已使能VLAN”列表框中;在“已使能VLAN”列表框中选中一个或多个VLAN,单击“>>”按钮,可以将选中的VLAN添加到“未使能VLAN”列表框中 |
|
信任端口 |
设置ARP信任端口和非信任端口 在“非信任端口”列表框中选中一个或多个端口,单击“<<”按钮,可以将选中的端口添加到“信任端口”列表框中;在“信任端口”列表框中选中一个或多个端口,单击“>>”按钮,可以将选中的端口添加到“非信任端口”列表框中 |
|
报文检查 |
设置对ARP报文进行有效性检查的方式,包括: · 如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文 · 如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文 如果配置了报文检查方式,则先进行ARP报文有效性检查,再进行用户合法性检查;如果未配置任何报文检查方式,则不对ARP报文进行有效性检查 |
仅S5500-WiNet和S3100V2-WiNet系列交换机支持免费ARP定时发送特性。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(2) 单击“免费ARP定时发送”页签,进入如图31-2所示的页面。
图31-2 免费ARP定时发送
(3) 设置定时发送免费ARP报文的接口和发送间隔时间:在“待选接口”框中选中要设置的接口,指定发送间隔时间,单击“<<”按钮,可将设置添加到“定时发送接口”框中;在“定时发送接口”框中选中接口和发送间隔时间的组合,单击“>>”按钮,可将其从“定时发送接口”框中删除。
(4) 单击<确定>按钮完成操作。
· 设备最多允许同时在1024个接口上使能定时发送免费ARP功能。
· 配置本功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效。
· 如果修改了免费ARP报文的发送周期,则在下一个发送周期才能生效。
· 如果同时在很多接口下使能本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的发送频率可能会远远低于用户的预期。
· 仅S5500-WiNet和S3100V2-WiNet系列交换机支持ARP自动扫描特性。
· 建议用户在ARP自动扫描期间不要进行其他操作。
· ARP自动扫描操作可能比较耗时,用户随时可以通过单击页面中的<中止>按钮来终止扫描。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(2) 单击“扫描”页签,进入如图31-3所示的页面。
(3) 配置ARP自动扫描参数,详细配置如表31-2表所示。
(4) 单击<开始>按钮开始进行ARP自动扫描。在扫描过程中,可以随时单击<中止>按钮中止扫描。
表31-2 ARP自动扫描功能的详细配置
|
配置项 |
说明 |
|
接口 |
设置进行ARP自动扫描的接口 |
|
开始IP地址 |
设置ARP自动扫描区间的开始IP地址和结束IP地址 如果用户知道局域网内邻居分配的IP地址范围,指定了ARP扫描区间,则对该范围内的邻居进行扫描,减少扫描等待的时间。如果指定的扫描区间同时在接口下多个IP地址的网段内,则发送的ARP请求报文的源IP地址选择网段范围较小的接口IP地址
开始IP地址和结束IP地址必须同时设置或同时不设置。都不设置时,仅对接口下的主IP地址网段内的邻居进行扫描。其中,发送的ARP请求报文的源IP地址就是接口的主IP地址 开始IP地址和结束IP地址必须与接口的主IP地址或手工配置的从IP地址在同一网段,并且开始IP地址必须小于或等于结束IP地址 |
|
结束IP地址 |
|
|
对已存在ARP表项的IP地址也进行扫描 |
设置是否对已存在ARP表项的IP地址也进行ARP自动扫描 |
· 仅S5500-WiNet和S3100V2-WiNet系列交换机支持ARP固化特性。
· 固化后的静态ARP表项与配置产生的静态ARP表项完全相同。
· 固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。
· 如果用户执行固化前有D个动态ARP表项,S个静态ARP表项,由于固化过程中存在动态ARP表项的老化或者新建动态ARP表项的情况,所以固化后的静态ARP表项可能为(D+S+M-N)个。其中,M为固化过程中新建的动态ARP表项个数,N为固化过程中老化的动态ARP表项个数。
(1) 在导航栏中选择“网络 > ARP防攻击”。
(2) 单击“固化”页签,进入如图31-4所示的页面。页面显示所有静态ARP表项(包括手工配置的和固化生成的)和动态ARP表项的信息。
在固化页面可以进行的操作如下:
· 单击<全部固化>按钮,可以将所有ARP表项固化为静态ARP表项,对于静态ARP表项不进行任何操作。
· 单击<解除全部固化>按钮,可以将所有静态ARP表项删除,对于非静态ARP表项不进行任何操作。
· 选中ARP表项前的复选框,单击<固化>按钮,可以将选中的动态ARP表项固化为静态ARP表项,对于选中的静态ARP表项不进行任何操作。
· 选中ARP表项前的复选框,单击<解除固化>按钮,可以将选中的静态ARP表项删除,对于选中的非静态ARP表项不进行任何操作。
IGMP Snooping是Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组。
运行IGMP Snooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。
如图32-1所示,当二层设备没有运行IGMP Snooping时,组播数据在二层网络中被广播;当二层设备运行了IGMP Snooping后,已知组播组的组播数据不会在二层网络中被广播,而被组播给指定的接收者。
图32-1 二层设备运行IGMP Snooping前后的对比
IGMP Snooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:
· 减少了二层网络中的广播报文,节约了网络带宽;
· 增强了组播信息的安全性;
· 为实现对每台主机的单独计费带来了方便。
如图32-2所示,Router A连接组播源,在Switch A和Switch B上分别运行IGMP Snooping,Host A和Host C为接收者主机(即组播组成员)。
结合图32-2,介绍一下IGMP Snooping相关的端口概念:
· 路由器端口(Router Port):交换机上朝向三层组播设备(DR或IGMP查询器)一侧的端口,如Switch A和Switch B各自的GigabitEthernet1/0/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。
· 成员端口(Member Port):又称组播组成员端口,表示交换机上朝向组播组成员一侧的端口,如Switch A的GigabitEthernet1/0/2和GigabitEthernet1/0/3端口,以及Switch B的GigabitEthernet1/0/2端口。交换机将本设备上的所有成员端口都记录在IGMP Snooping转发表中。
· 本文中提到的路由器端口都是指交换机上朝向组播路由器的端口,而不是指路由器上的端口。
· 如不特别指明,本文中提到的路由器/成员端口均包括动态和静态端口。
· 在运行了IGMP Snooping的交换机上,所有收到源地址不为0.0.0.0的IGMP普遍组查询报文或PIM Hello报文的端口都将被视为动态路由器端口。
表32-1 IGMP Snooping动态端口老化定时器
|
定时器 |
说明 |
超时前应收到的报文 |
超时后交换机的动作 |
|
动态路由器端口老化定时器 |
交换机为其每个动态路由器端口都启动一个定时器,其超时时间就是动态路由器端口老化时间 |
源地址不为0.0.0.0的IGMP普遍组查询报文或PIM Hello报文 |
将该端口从路由器端口列表中删除 |
|
动态成员端口老化定时器 |
当一个端口动态加入某组播组时,交换机为该端口启动一个定时器,其超时时间就是动态成员端口老化时间 |
IGMP成员关系报告报文 |
将该端口从IGMP Snooping转发表中删除 |
IGMP Snooping端口老化机制只针对动态端口。
运行了IGMP Snooping的交换机对不同IGMP动作的具体处理方式如下:
本节中所描述的增删端口动作均只针对动态端口。
IGMP查询器定期向本地网段内的所有主机与路由器(224.0.0.1)发送IGMP普遍组查询报文,以查询该网段有哪些组播组的成员。
在收到IGMP普遍组查询报文时,交换机将其通过VLAN内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:
· 如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。
· 如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动其老化定时器。
以下情况,主机会向IGMP查询器发送IGMP成员关系报告报文:
· 当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文。
· 如果主机要加入某个组播组,它会主动向IGMP查询器发送IGMP成员关系报告报文以声明加入该组播组。
在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:
· 如果不存在该组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器。
· 如果已存在该组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器。
· 如果已存在该组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器。
交换机不会将IGMP成员关系报告报文通过非路由器端口转发出去,因为根据主机上的IGMP成员关系报告抑制机制,如果非路由器端口下还有该组播组的成员主机,则这些主机在收到该报告报文后便抑制了自身的报告,从而使交换机无法获知这些端口下还有该组播组的成员主机。
运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的动态成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除。
运行IGMPv2或IGMPv3的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组。当交换机从某动态成员端口上收到IGMP离开组报文时,首先判断要离开的组播组所对应的转发表项是否存在,以及该组播组所对应转发表项的出端口列表中是否包含该接收端口:
· 如果不存在该组播组对应的转发表项,或者该组播组对应转发表项的出端口列表中不包含该端口,交换机不会向任何端口转发该报文,而将其直接丢弃。
· 如果存在该组播组对应的转发表项,且该组播组对应转发表项的出端口列表中包含该端口,交换机会将该报文通过VLAN内的所有路由器端口转发出去。同时,由于并不知道该接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口从该组播组所对应转发表项的出端口列表中删除,而是重置其老化定时器。
当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文。交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。对于IGMP离开组报文的接收端口(假定为动态成员端口),交换机在其老化时间内:
· 如果从该端口收到了主机响应该特定组查询的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置其老化定时器。
· 如果没有从该端口收到主机响应特定组查询的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在其老化时间超时后,将其从该组播组所对应转发表项的出端口列表中删除。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,全局IGMP Snooping处于禁止状态 |
|
|
2 |
必选 在VLAN内使能IGMP Snooping,配置IGMP Snooping版本、查询器等功能 缺省情况下,VLAN内的IGMP Snooping处于禁止状态
在VLAN内配置IGMP Snooping之前,必须先在全局使能IGMP Snooping 在VLAN内使能了IGMP Snooping之后,该功能只在属于该VLAN的端口上生效 |
|
|
3 |
可选 在指定VLAN内配置端口的最大组播组数和端口快速离开功能
在端口上配置IGMP Snooping之前,必须先全局使能IGMP Snooping 在VLAN内使能IGMP Snooping的情况下,端口上的IGMP Snooping配置才生效 |
|
|
4 |
可选 |
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图32-3所示。
(2) 选中IGMP Snooping“Enable”前的单选按钮。
(3) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图32-3所示。
(2) 在“VLAN配置”中单击要配置的VLAN对应的图标,进入该VLAN的IGMP Snooping配置页面,如图32-4所示。
(3) 配置VLAN内IGMP Snooping功能的信息,详细配置如表32-3所示。
(4) 单击<确定>按钮完成操作。
表32-3 VLAN内IGMP Snooping的详细配置
|
配置项 |
说明 |
|
VLAN ID |
显示当前要配置的VLAN的ID |
|
IGMP Snooping |
设置在该VLAN内使能(Enable)或禁止(Disable)IGMP Snooping 只有在此项选择“Enable”时,才能进行后面配置项的设置 |
|
版本 |
设置IGMP Snooping的版本,即设置IGMP Snooping可以处理的IGMP报文的版本 · 当IGMP Snooping的版本为2时,IGMP Snooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播 · 当IGMP Snooping的版本为3时,IGMP Snooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理
当IGMP Snooping的版本由版本3切换到版本2时,系统将清除所有通过动态加入的IGMP Snooping转发表项 |
|
丢弃未知组播数据报文 |
设置使能(Enable)或禁止(Disable)丢弃未知组播数据报文功能 未知组播数据报文是指在IGMP Snooping转发表中不存在对应转发表项的那些组播数据报文: · 当使能丢弃未知组播数据报文功能时,交换机将丢弃所有收到的未知组播数据报文 · 当禁止丢弃未知组播数据报文功能时,交换机将在未知组播数据报文所属的VLAN内广播该报文 |
|
查询器 |
设置使能(Enable)或禁止(Disable)IGMP Snooping查询器功能 在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据。但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能。为了解决这个问题,可以在二层设备上使能IGMP Snooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据 |
|
查询间隔 |
设置发送IGMP普遍组查询报文的时间间隔 |
|
通用查询报文源IP |
设置IGMP普遍组查询报文的源IP地址 |
|
特定组查询报文源IP |
设置IGMP特定组查询报文的源IP地址 |
(1) 在导航栏中选择“网络 > IGMP Snooping”
(2) 单击“高级配置”页签,进入如图32-5所示的页面。
(3) 配置IGMP Snooping的高级参数,详细配置如表32-4所示。
(4) 单击<确定>按钮完成操作。
表32-4 IGMP Snooping高级参数的详细配置
|
配置项 |
说明 |
|
端口名称 |
设置要进行IGMP Snooping高级配置的端口,包括以太网接口和二层聚合接口 选择一个端口名称后,页面下方的列表中会显示该端口的高级参数配置信息
二层聚合接口与其各成员端口上的配置是相互独立的,但在成员端口上的配置只有当该端口退出聚合组后才会生效,二层聚合接口上的配置也不会参与聚合计算 |
|
VLAN ID |
设置在指定VLAN内配置端口快速离开功能或配置允许端口加入的组播组最大数量 只有当端口属于指定的VLAN时,端口上的IGMP Snooping高级参数配置才生效 |
|
最大组播组数 |
设置允许端口加入的组播组最大数量 通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量
在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMP Snooping转发表中删除,该端口上的主机需要重新加入组播组 |
|
端口快速离开 |
设置在指定端口上使能(Enable)或禁止(Disable)快速离开功能 端口快速离开是指当交换机从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当交换机收到对该组播组的IGMP特定组查询报文时,交换机将不再向该端口转发 在交换机上,在只连接有一个接收者的端口上,可以通过启用端口快速离开功能来节约带宽和资源;而在连接有多个接收者的端口上,如果交换机或该端口所在的VLAN已使能了丢弃未知组播数据报文功能,则不要再启用端口快速离开功能,否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据 |
(1) 在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面,如图32-3所示。
(2) 单击“显示表项”前的扩展按钮,可以查看IGMP Snooping组播表项的概要信息,如图32-6所示。表项信息的详细说明如表32-5所示。
(3) 单击要查看的表项对应的
图标,进入该IGMP Snooping组播表项详细信息的显示页面,如图32-7所示。表项信息的详细说明如表32-5所示。
表32-5 IGMP Snooping组播表项信息的详细说明
|
标题项 |
说明 |
|
VLAN ID |
组播表项所属VLAN的ID |
|
源地址 |
组播源地址,0.0.0.0表示所有组播源 |
|
组地址 |
组播组地址 |
|
路由器端口 |
所有路由器端口 |
|
成员端口 |
所有成员端口 |
· 如图32-8所示,Router A通过Ethernet1/2接口连接组播源(Source),通过Ethernet1/1接口连接Switch A;Router A上运行IGMPv2,Switch A上运行版本2的IGMP Snooping,并由Router A充当IGMP查询器。
· 通过配置,使Host A能接收发往组播组224.1.1.1的组播数据;同时,使Switch A将收到的未知组播数据直接丢弃,避免在其所属的VLAN内广播。
图32-8 IGMP Snooping配置组网图
在Router A上使能IP组播路由,在各接口上使能PIM-DM,并在接口Ethernet1/1上使能IGMP。具体配置过程略。
(1) 创建VLAN 100。
步骤1:在Switch A的导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图32-9所示,输入VLAN ID为“100”。
步骤4:单击<创建>按钮完成操作。
(2) 将端口GigabitEthernet1/0/1到GigabitEthernet1/0/3添加到该VLAN 100中
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如图32-10所示。
· 在设备面板示意图中选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”和“GigabitEthernet1/0/3”。
· 选择操作类型为“Untagged”。
· 输入VLAN IDs为“100”。
步骤3:单击<应用>按钮完成操作。
(3) 全局使能IGMP Snooping。
步骤1:在导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面。
步骤2:如图32-11所示,选中IGMP Snooping“Enable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
(4) 在VLAN 100内使能IGMP Snooping和丢弃未知组播数据报文功能。
步骤1:单击VLAN 100对应的图标。
步骤2:进行如下配置,如图32-12所示。
· 选中IGMP Snooping“Enable”前的单选按钮。
· 选择版本为“2”。
· 选中丢弃未知组播数据报文“Enable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图32-12 在VLAN 100内配置IGMP Snooping
在Switch A上查看IGMP Snooping组播表项的信息。
步骤1:在Switch A的导航栏中选择“网络 > IGMP Snooping”,默认进入“基本配置”页签的页面。
步骤2:单击“显示表项”前的扩展按钮,可以查看到IGMP Snooping组播表项概要信息,如图32-13所示。
图32-13 配置结果(IGMP Snooping组播表项概要信息)
步骤3:在概要信息表中单击VLAN 100的IGMP Snooping组播表项(0.0.0.0,224.1.1.1)对应的图标,可以查看到该IGMP Snooping组播表项的详细信息,如图32-14所示。
图32-14 配置结果(IGMP Snooping组播表项详细信息)
由此可见,Switch A上的端口GigabitEthernet1/0/3已经加入了组播组224.1.1.1。
仅S5120-WiNet系列交换机支持MLD Snooping特性。
MLD Snooping是Multicast Listener Discovery Snooping(组播侦听者发现协议窥探)的简称。它是运行在二层设备上的IPv6组播约束机制,用于管理和控制IPv6组播组。
运行MLD Snooping的二层设备通过对收到的MLD报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发IPv6组播数据。
如图33-1所示,当二层设备没有运行MLD Snooping时,IPv6组播数据报文在二层网络中被广播;当二层设备运行了MLD Snooping后,已知IPv6组播组的组播数据报文不会在二层网络中被广播,而被组播给指定的接收者。
图33-1 二层设备运行MLD Snooping前后的对比
MLD Snooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:
· 减少了二层网络中的广播报文,节约了网络带宽;
· 增强了IPv6组播信息的安全性;
· 为实现对每台主机的单独计费带来了方便。
如图33-2所示,Router A连接组播源,在Switch A和Switch B上分别运行MLD Snooping,Host A和Host C为接收者主机(即IPv6组播组成员)。
结合图33-2,介绍一下MLD Snooping相关的端口概念:
· 路由器端口(Router Port):交换机上朝向三层组播设备(DR或MLD查询器)一侧的端口,如Switch A和Switch B各自的GigabitEthernet1/0/1端口。交换机将本设备上的所有路由器端口都记录在路由器端口列表中。
· 成员端口(Member Port):又称IPv6组播组成员端口,表示交换机上朝向IPv6组播组成员一侧的端口,如Switch A的GigabitEthernet1/0/2和GigabitEthernet1/0/3端口,以及Switch B的GigabitEthernet1/0/2端口。交换机将本设备上的所有成员端口都记录在MLD Snooping转发表中。
· 本文中提到的路由器端口都是指交换机上朝向组播路由器的端口,而不是指路由器上的端口。
· 如不特别指明,本文中提到的路由器/成员端口均包括动态和静态端口。
· 在运行了MLD Snooping的交换机上,所有收到源地址不为0::0的MLD普遍组查询报文或IPv6 PIM Hello报文的端口都将被视为动态路由器端口。
表33-1 MLD Snooping动态端口老化定时器
|
定时器 |
说明 |
超时前应收到的报文 |
超时后交换机的动作 |
|
动态路由器端口老化定时器 |
交换机为其每个动态路由器端口都启动一个定时器,其超时时间就是动态路由器端口老化时间 |
源地址不为0::0的MLD普遍组查询报文或IPv6 PIM Hello报文 |
将该端口从路由器端口列表中删除 |
|
动态成员端口老化定时器 |
当一个端口动态加入某IPv6组播组时,交换机为该端口启动一个定时器,其超时时间就是动态成员端口老化时间 |
MLD成员关系报告报文 |
将该端口从MLD Snooping转发表中删除 |
MLD Snooping端口老化机制只针对动态端口。
运行了MLD Snooping的交换机对不同MLD动作的具体处理方式如下:
本节中所描述的增删端口动作均只针对动态端口。
MLD查询器定期向本地网段内的所有主机与路由器(FF02::1)发送MLD普遍组查询报文,以查询该网段有哪些IPv6组播组的成员。
在收到MLD普遍组查询报文时,交换机将其通过VLAN内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:
· 如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。
· 如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动其老化定时器。
以下情况,主机会向MLD查询器发送MLD成员关系报告报文:
· 当IPv6组播组的成员主机收到MLD查询报文后,会回复MLD成员关系报告报文。
· 如果主机要加入某个IPv6组播组,它会主动向MLD查询器发送MLD成员关系报告报文以声明加入该IPv6组播组。
在收到MLD成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的IPv6组播组地址,并对该报文的接收端口做如下处理:
· 如果不存在该IPv6组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;
· 如果已存在该IPv6组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;
· 如果已存在该IPv6组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器。
交换机不会将MLD成员关系报告报文通过非路由器端口转发出去,因为根据主机上的MLD成员关系报告抑制机制,如果非路由器端口下还有该IPv6组播组的成员主机,则这些主机在收到该报告报文后便抑制了自身的报告,从而使交换机无法获知这些端口下还有该IPv6组播组的成员主机。
当主机离开IPv6组播组时,会通过发送MLD离开组报文,以通知组播路由器自己离开了某个IPv6组播组。当交换机从某动态成员端口上收到MLD离开组报文时,首先判断要离开的IPv6组播组所对应的转发表项是否存在,以及该IPv6组播组所对应转发表项的出端口列表中是否包含该接收端口:
· 如果不存在该IPv6组播组对应的转发表项,或者该IPv6组播组对应转发表项的出端口列表中不包含该端口,交换机不会向任何端口转发该报文,而将其直接丢弃;
· 如果存在该IPv6组播组对应的转发表项,且该IPv6组播组对应转发表项的出端口列表中包含该端口,交换机会将该报文通过VLAN内的所有路由器端口转发出去。同时,由于并不知道该接收端口下是否还有该IPv6组播组的其它成员,所以交换机不会立刻把该端口从该IPv6组播组所对应转发表项的出端口列表中删除,而是重置其老化定时器。
当MLD查询器收到MLD离开组报文后,从中解析出主机要离开的IPv6组播组的地址,并通过接收端口向该IPv6组播组发送MLD特定组查询报文。交换机在收到MLD特定组查询报文后,将其通过VLAN内的所有路由器端口和该IPv6组播组的所有成员端口转发出去。对于MLD离开组报文的接收端口(假定为动态成员端口),交换机在其老化时间内:
· 如果从该端口收到了主机响应该特定组查询的MLD成员关系报告报文,则表示该端口下还有该IPv6组播组的成员,于是重置其老化定时器;
· 如果没有从该端口收到主机响应该特定组查询的MLD成员关系报告报文,则表示该端口下已没有该IPv6组播组的成员,则在其老化时间超时后,将其从该IPv6组播组所对应转发表项的出端口列表中删除。
表33-2 MLD Snooping配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,全局MLD Snooping处于关闭状态 |
|
|
2 |
必选 在VLAN内启用MLD Snooping,配置MLD Snooping版本、查询器等功能 缺省情况下,VLAN内的MLD Snooping处于关闭状态
在VLAN内配置MLD Snooping之前,必须先在全局启用MLD Snooping 在VLAN内启用了MLD Snooping之后,该功能只在属于该VLAN的端口上生效 |
|
|
3 |
可选 在指定VLAN内配置端口的最大组播组数和端口快速离开功能
在端口上配置MLD Snooping之前,必须先全局启用MLD Snooping 在VLAN内启用MLD Snooping的情况下,端口上的MLD Snooping配置才生效 |
|
|
4 |
可选 |
(1) 在导航栏中选择“网络 > MLD Snooping”,默认进入“基本配置”页签的页面,如图33-3所示。
(2) 选中MLD Snooping“Enable”前的单选按钮。
(3) 单击<确定>按钮完成操作。
(1) 在导航栏中选择“网络 > MLD Snooping”,默认进入“基本配置”页签的页面,如图33-3所示。
(2) 在“VLAN配置”中单击要配置的VLAN对应的图标,进入该VLAN的MLD Snooping配置页面,如图33-4所示。
(3) 配置VLAN内MLD Snooping功能的信息,详细配置如表33-3所示。
(4) 单击<确定>按钮完成操作。
表33-3 VLAN内MLD Snooping的详细配置
|
配置项 |
说明 |
|
VLAN ID |
显示当前要配置的VLAN的ID |
|
MLD Snooping |
设置在该VLAN内启用(Enable)或关闭(Disable)MLD Snooping 只有在此项选择“Enable”时,才能进行后面配置项的设置 |
|
版本 |
设置MLD Snooping的版本,即设置MLD Snooping可以处理的MLD报文的版本: · 当MLD Snooping的版本为1时,MLD Snooping能够对MLDv1的报文进行处理,对MLDv2的报文则不进行处理,而是在VLAN内将其广播 · 当MLD Snooping的版本为2时,MLD Snooping能够对MLDv1和MLDv2的报文进行处理
当MLD Snooping的版本由版本2切换到版本1时,系统将清除所有通过动态加入的MLD Snooping转发表项 |
|
丢弃未知组播数据报文 |
设置启用(Enable)或关闭(Disable)丢弃未知IPv6组播数据报文功能 未知IPv6组播数据报文是指在MLD Snooping转发表中不存在对应转发表项的那些IPv6组播数据报文: · 当启用了丢弃未知IPv6组播数据报文功能时,交换机对未知IPv6组播数据报文只向其路由器端口转发,不在VLAN内广播。如果交换机没有路由器端口,IPv6数据报文会被丢弃,不再转发 · 当关闭了丢弃未知IPv6组播数据报文功能时,交换机将在未知IPv6组播数据报文所属的VLAN内广播该报文 |
|
查询器 |
设置启用(Enable)或关闭(Disable)MLD Snooping查询器功能 在运行了MLD的IPv6组播网络中,会有一台三层组播设备充当MLD查询器,负责发送MLD查询报文,使三层组播设备能够在网络层建立并维护IPv6组播转发表项,从而在网络层正常转发IPv6组播数据。但是,在一个没有三层组播设备的网络中,由于二层设备并不支持MLD,因此无法实现MLD查询器的相关功能。为了解决这个问题,可以在二层设备上启用MLD Snooping查询器,使二层设备能够在数据链路层建立并维护IPv6组播转发表项,从而在数据链路层正常转发IPv6组播数据 |
|
查询间隔 |
设置发送MLD普遍组查询报文的时间间隔 |
|
通用查询报文源地址 |
设置MLD普遍组查询报文的源IPv6地址 |
|
特定组查询报文源地址 |
设置MLD特定组查询报文的源IPv6地址 |
(1) 在导航栏中选择“网络 > MLD Snooping”。
(2) 单击“高级配置”页签,进入如图33-5所示的页面。
(3) 配置MLD Snooping的高级参数,详细配置如表33-4所示。
(4) 单击<确定>按钮完成操作。
表33-4 MLD Snooping高级参数的详细配置
|
配置项 |
说明 |
|
端口名称 |
设置要进行MLD Snooping高级配置的端口,包括以太网接口和二层聚合接口 选择一个端口名称后,页面下方的列表中会显示该端口的高级参数配置信息
二层聚合接口与其各成员端口上的配置是相互独立的,但在成员端口上的配置只有当该端口退出聚合组后才会生效,二层聚合接口上的配置也不会参与聚合计算 |
|
VLAN ID |
设置在指定VLAN内配置端口快速离开功能或允许端口加入的IPv6组播组最大数量 只有当端口属于指定的VLAN时,端口上的MLD Snooping高级参数配置才生效 |
|
最大组播组数 |
设置允许端口加入的IPv6组播组最大数量 通过配置端口加入的IPv6组播组的最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量
在配置端口加入的IPv6组播组最大数量时,如果当前端口上的IPv6组播组数量已超过配置值,系统将把该端口相关的所有转发表项从MLD Snooping转发表中删除,该端口下的主机都需要重新加入IPv6组播组,直至该端口上的IPv6组播组数量达到限制值为止 |
|
端口快速离开 |
设置在指定端口上启用(Enable)或关闭(Disable)快速离开功能 端口快速离开是指当交换机从某端口收到主机发送的离开某IPv6组播组的MLD离开组报文时,直接把该端口从对应转发表项的出端口列表中删除。此后,当交换机收到对该IPv6组播组的MLD特定组查询报文时,交换机将不再向该端口转发 在交换机上,在只连接有一个接收者的端口上,可以通过启用端口快速离开功能来节约带宽和资源;而在连接有多个接收者的端口上,如果交换机或该端口所在的VLAN已启用了丢弃未知IPv6组播数据报文功能,则不要再启用端口快速离开功能,否则,一个接收者的离开将导致该端口下属于同一IPv6组播组的其它接收者无法收到IPv6组播数据 |
(1) 在导航栏中选择“网络 > MLD Snooping”,默认进入“基本配置”页签的页面,如图33-3所示。
(2) 单击“显示表项”前的扩展按钮,可以查看MLD Snooping组播表项的概要信息,如图33-6所示。表项信息的详细说明如表33-5所示。
(3) 单击要查看的表项对应的图标,进入该MLD Snooping组播表项详细信息的显示页面,如图33-7所示。表项信息的详细说明如表33-5所示。
表33-5 MLD Snooping组播表项信息的详细说明
|
标题项 |
说明 |
|
VLAN ID |
组播表项所属VLAN的ID |
|
源地址 |
组播源地址,::表示所有组播源 |
|
组地址 |
组播组地址 |
|
路由器端口 |
所有路由器端口 |
|
成员端口 |
所有成员端口 |
· 如图33-8所示,Router A通过Ethernet1/2接口连接IPv6组播源(Source),通过Ethernet1/1接口连接Switch A;Router A上运行MLDv1,Switch A上运行版本1的MLD Snooping,并由Router A充当MLD查询器。
· 通过配置,使Host A能接收发往IPv6组播组FF1E::101的IPv6组播数据;同时,使Switch A将收到的未知IPv6组播数据直接丢弃,避免在其所属的VLAN内广播。
图33-8 MLD Snooping配置组网图
启用IPv6组播路由,为各接口配置IPv6地址,在各接口上启用IPv6 PIM-DM,并在接口Ethernet1/1上启用MLD,具体配置过程略。
(1) 创建VLAN 100。
步骤1:在Switch A的导航栏中选择“网络 > VLAN”。
步骤2:单击“创建”页签。
步骤3:如图33-9所示,输入VLAN ID为“100”。
步骤4:单击<创建>按钮完成操作。
(2) 将端口GigabitEthernet1/0/1到GigabitEthernet1/0/3添加到该VLAN 100中。
步骤1:单击“修改端口”页签。
步骤2:进行如下配置,如图33-10所示。
· 在设备面板示意图中选中端口“GigabitEthernet1/0/1”、“GigabitEthernet1/0/2”和“GigabitEthernet1/0/3”。
· 选择操作类型为“Untagged”。
· 输入VLAN IDs为“100”。
步骤3:单击<应用>按钮完成操作。
(3) 全局启用MLD Snooping。
步骤1:在导航栏中选择“网络 > MLD Snooping”,默认进入“基本配置”页签的页面。
步骤2:如图33-11所示,选中MLD Snooping“Enable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
(4) 在VLAN 100内启用MLD Snooping,并启用丢弃未知IPv6组播数据报文功能。
步骤1:单击VLAN 100对应的图标。
步骤2:进行如下配置,如图33-12所示。
· 选中MLD Snooping“Enable”前的单选按钮。
· 选择版本为“1”。
· 选中丢弃未知组播数据报文“Enable”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图33-12 在VLAN 100内配置MLD Snooping
在Switch A上查看MLD Snooping组播表项的信息。
步骤1:在Switch A的导航栏中选择“网络 > MLD Snooping”,默认进入“基本配置”页签的页面。
步骤2:单击“显示表项”前的扩展按钮,可以查看到MLD Snooping组播表项概要信息,如图33-13所示。
图33-13 配置结果(MLD Snooping组播表项概要信息)
步骤3:在概要信息表中单击VLAN 100的MLD Snooping组播表项(::,FF1E::101)对应的图标,可以查看到该MLD Snooping组播表项的详细信息,如图33-14所示。
图33-14 配置结果(MLD Snooping组播表项详细信息)
由此可见,Switch A上的端口GigabitEthernet1/0/3已经加入了组播组FF1E::101。
在网络中路由器根据所收到的报文的目的地址选择一条合适的路径,并将报文转发到下一个路由器。路径中最后的路由器负责将报文转发给目的主机。路由就是报文在转发过程中的路径信息,用来指导报文转发。
路由器通过路由表选择路由,把优选路由下发到FIB(Forwarding Information Base,转发信息库)表中,通过FIB表指导报文转发。每个路由器中都至少保存着一张路由表和一张FIB表。
路由表中保存了各种路由协议发现的路由,根据来源不同,通常分为以下三类:
· 直连路由:链路层协议发现的路由,也称为接口路由。
· 静态路由:网络管理员手工配置的路由。静态路由配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络。其缺点是每当网络拓扑结构发生变化,都需要手工重新配置,不能自动适应。
· 动态路由:动态路由协议发现的路由。
FIB表中每条转发项都指明了要到达某子网或某主机的报文应通过路由器的哪个物理接口发送,就可到达该路径的下一个路由器,或者不需再经过别的路由器便可传送到直接相连的网络中的目的主机。
路由表中包含了下列关键项:
· 目的地址:用来标识IP报文的目的地址或目的网络。
· 网络掩码(IPv4)/前缀长度(IPv6):与目的地址一起来标识目的主机或路由器所在的网段的地址。将目的地址和网络掩码/前缀长度“逻辑与”后可得到目的主机或路由器所在网段的地址。
· 路由优先级:对于同一目的地,可能存在若干条不同下一跳的路由,这些不同的路由可能是由不同的路由协议发现的,也可能是手工配置的静态路由。优先级高(数值小)的路由将成为当前的最优路由。
· 出接口:指明IP报文将从该路由器哪个接口转发。
· 下一跳:此路由的下一跳IP地址。
静态路由是一种特殊的路由,由管理员手工配置。当组网结构比较简单时,只需配置静态路由就可以使网络正常工作。
静态路由不能自动适应网络拓扑结构的变化。当网络发生故障或者拓扑发生变化后,必须由网络管理员手工修改配置。
缺省路由是在路由器没有找到匹配的路由表项时使用的路由。
如果报文的目的地址不在路由表中且没有配置缺省路由,那么该报文将被丢弃,将向源端返回一个ICMP报文报告该目的地址或网络不可达。
在Web中,缺省路由可以通过配置静态路由来生成。
· 在配置IPv4静态路由时,如果将目的地址和掩码配置为0.0.0.0/0.0.0.0,则表示配置了一条IPv4缺省路由。
· 在配置IPv6静态路由时,如果将目的地址和前缀长度配置为::/0,则表示配置了一条IPv6缺省路由。
(1) 在导航栏中选择“网络 > IPv4路由”,默认进入“显示”页签的页面,如图34-1所示。
图34-1 IPv4路由显示
(2) 查看IPv4激活路由表的信息,详细说明如表34-1所示。
表34-1 IPv4激活路由表的详细说明
|
标题项 |
说明 |
|
目的IP地址 |
IPv4路由的目的IP地址和子网掩码 |
|
掩码 |
|
|
协议 |
发现该IPv4路由的路由协议 |
|
优先级 |
该IPv4路由的优先级 数值越小,优先级越高 |
|
下一跳 |
该IPv4路由下一跳IP地址 |
|
接口 |
该IPv4路由的出接口,即到该目的网段的数据包将从此接口发出 |
(1) 在导航栏中选择“网络 > IPv4路由”。
(2) 单击“创建”页签,进入IPv4静态路由配置页面,如图34-2所示。
图34-2 IPv4静态路由创建
(3) 配置IPv4静态路由的信息,详细配置如表34-2所示。
(4) 单击<确定>按钮完成操作。
表34-2 IPv4静态路由的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置IPv4数据报文的目的主机或目的网段,格式要求为点分十进制 |
|
掩码 |
设置目的主机或目的网段的掩码 可以输入掩码长度或点分十进制格式的掩码 |
|
优先级 |
设置本条静态路由的优先级,数值越小优先级越高 配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份 |
|
下一跳 |
设置IPv4数据报文要经过的下一个设备的IP地址,格式要求为点分十进制 |
|
接口 |
设置IPv4数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
(1) 在导航栏中选择“网络 > IPv6路由”,默认进入“显示”页签的页面,如图34-3所示。
图34-3 IPv6路由显示
(2) 查看IPv6激活路由表的信息,详细说明如表34-3所示。
表34-3 IPv6激活路由表的详细说明
|
标题项 |
说明 |
|
目的IP地址 |
IPv6路由的目的IP地址和前缀长度 |
|
前缀长度 |
|
|
协议 |
发现该IPv6路由的路由协议 |
|
优先级 |
该IPv6路由的优先级 数值越小,优先级越高 |
|
下一跳 |
该IPv6路由下一跳IP地址 |
|
接口 |
该IPv6路由的出接口,即到该目的网段的数据包将从此接口发出 |
(1) 在导航栏中选择“网络 > IPv6路由”。
(2) 单击“创建”页签,进入IPv6静态路由配置页面,如图34-4所示。
图34-4 IPv6路由显示
(3) 配置IPv6静态路由的信息,详细配置如表34-4所示。
(4) 单击<确定>按钮完成操作。
表34-4 IPv6静态路由的详细配置
|
配置项 |
说明 |
|
目的IP地址 |
设置IPv6数据报文的目的主机或目的网段,格式类似于X:X::X:X 目的IP地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
前缀长度 |
设置目的主机或目的网段的前缀长度 |
|
优先级 |
设置本条静态路由的优先级,数值越小优先级越高 配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份 |
|
下一跳 |
设置IPv6数据报文要经过的下一个设备的IP地址,格式要求和目的IP地址相同 |
|
接口 |
设置IPv6数据报文从设备的哪个接口向外转发 可以选择当前设备中的所有三层接口,包括各种虚接口。如果选择NULL0,表示目的IP地址不可达 |
Switch A、Switch B和Switch C各接口及主机的IP地址和掩码如图34-5图所示。要求Switch A、Switch B和Switch C之间配置IPv4静态路由后,图中任意两台主机之间都能互通。
图34-5 IPv4静态路由配置组网图
采用如下的思路配置IPv4静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和Switch C的静态路由。
(3) 在Switch C上配置一条到Switch B的缺省路由。
由于S3100V2-WiNet系列交换机仅支持两个虚接口,本举例中的Switch B不使用S3100V2-WiNet系列交换机。
(1) 在Switch A上配置到Switch B的缺省路由。
步骤1:在Switch A的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图34-6所示。
· 输入目的IP地址为“0.0.0.0”。
· 输入掩码为“0”。
· 输入下一跳为“1.1.4.2”。
步骤4:单击<确定>按钮完成操作。
图34-6 在Switch A上配置到Switch B的缺省路由
(2) 在Switch B上配置到Switch A和Switch C的静态路由。
步骤1:在Switch B的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图34-7所示。
· 输入目的IP地址为“1.1.2.0”。
· 输入掩码为“24”。
· 输入下一跳为“1.1.4.1”。
步骤4:单击<确定>按钮完成操作。
图34-7 在Switch B上配置到Switch A的静态路由
步骤5:继续进行如下配置,参见图34-7。
· 输入目的IP地址为“1.1.3.0”。
· 输入掩码为“24”。
· 输入下一跳为“1.1.5.6”。
步骤6:单击<确定>按钮完成操作。
(3) 在Switch C上配置到Switch B的缺省路由。
步骤1:在Switch C的导航栏中选择“网络 > IPv4路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图34-8所示。
· 输入目的IP地址为“0.0.0.0”。
· 输入掩码为“0”。
· 输入下一跳为“1.1.5.5”。
步骤4:单击<应用>按钮完成操作。
图34-8 在Switch C上配置到Switch B的缺省路由
(1) 查看激活路由列表。
分别进入Switch A、Switch B和Switch C的IPv4路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
(2) 在Host A上使用ping命令验证Host C是否可达。
C:\Documents and Settings\Administrator>ping 1.1.3.2
pinging 1.1.3.2 with 32 bytes of data:
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
Reply from 1.1.3.2: bytes=32 time=1ms TTL=128
ping statistics for 1.1.3.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Switch A、Switch B和Switch C各接口及主机的IP地址和掩码如图34-9所示。要求Switch A、Switch B和Switch C之间配置IPv6静态路由协议后,图中任意两台主机之间都能互通。
图34-9 IPv6静态路由配置组网图
采用如下的思路配置IPv6静态路由:
(1) 在Switch A上配置一条到Switch B的缺省路由。
(2) 在Switch B上分别配置两条到Switch A和Switch C的静态路由。
(3) 在Switch C上配置一条到Switch B的缺省路由。
由于S3100V2-WiNet系列交换机仅支持两个虚接口,本举例中的Switch B不使用S3100V2-WiNet系列交换机。
(1) 在Switch A上配置到Switch B的缺省路由。
步骤1:在Switch A的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图34-10所示。
· 输入目的IP地址为“::”。
· 选择前缀长度为“0”。
· 输入下一跳为“4::2”。
步骤4:单击<确定>按钮完成操作。
图34-10 在Switch A上配置到Switch B的缺省路由
(2) 在Switch B上配置到Switch A和Switch C的静态路由。
步骤1:在Switch B的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图34-11所示。
· 输入目的IP地址为“1::”。
· 选择前缀长度为“64”。
· 输入下一跳为“4::1”。
步骤4:单击<确定>按钮完成操作。
图34-11 在Switch B上配置到Switch A的缺省路由
步骤5:继续进行如下配置,参见图34-11
· 输入目的IP地址为“3::”。
· 选择前缀长度为“64”。
· 输入下一跳为“5::1”。
步骤6:单击<确定>按钮完成操作。
(3) 在Switch C上配置到Switch B缺省路由。
步骤1:在Switch C的导航栏中选择“网络 > IPv6路由”。
步骤2:单击“创建”页签。
步骤3:进行如下配置,如图34-12所示。
· 输入目的IP地址为“::”。
· 选择前缀长度为“0”。
· 输入下一跳为“5::2”。
步骤4:单击<确定>按钮完成操作。
图34-12 在Switch C上配置到Switch B缺省路由
(1) 查看激活路由列表。
分别进入Switch A、Switch B和Switch C的IPv6路由显示页面。查看到页面上的激活路由列表中有新配置的静态路由。
(2) 在Switch A上使用ping ipv6命令验证Host C是否可达。
<SwitchA> system-view
[SwitchA] ping ipv6 3::2
PING 3::2 : 56 data bytes, press CTRL_C to break
Reply from 3::2
bytes=56 Sequence=1 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=2 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=3 hop limit=254 time = 62 ms
Reply from 3::2
bytes=56 Sequence=4 hop limit=254 time = 63 ms
Reply from 3::2
bytes=56 Sequence=5 hop limit=254 time = 63 ms
--- 3::2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/62/63 ms
配置静态路由时需要注意如下事项:
(1) 如果在配置静态路由时没有指定优先级,就会使用缺省优先级。重新设置缺省优先级后,新设置的缺省优先级仅对新增的静态路由有效。Web界面目前不支持对缺省优先级的配置。
(2) 在配置静态路由时,如果先指定下一跳,然后再将该下一跳的地址配置为本地接口(如VLAN接口等)的IP地址,则该条静态路由不会生效。
(3) 在指定出接口时要注意:
· 对于NULL0和Loopback接口,配置了出接口就不再配置下一跳。
· 在配置静态路由时,如果指定广播类型接口作为出接口(如VLAN接口等),则必须同时指定其对应的下一跳。
(4) 在IPv4/IPv6路由的“删除”页签的页面中,只能显示和删除IPv4/IPv6静态路由。
指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见本手册的“VLAN虚接口”和“端口管理”,本章不对DHCP客户端的配置进行介绍。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图35-1所示。
图35-1 DHCP典型应用
DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
针对客户端的不同需求,DHCP提供三种IP地址分配策略:
· 手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址。通过DHCP将配置的固定IP地址发给客户端。
· 自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
· 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
在以下场合通常利用DHCP服务器来完成IP地址分配:
· 网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
· 网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,大量用户必须动态获得自己的IP地址。
· 网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
(1) 地址池结构
DHCP服务器从地址池中为客户端选择并分配IP地址及其他相关参数。
DHCP服务器的地址池采用树状结构:树根是自然网段的地址池,分支是该网段的子网地址池,叶节点是手工绑定的客户端地址。同一级别地址池的顺序由配置的先后决定。这种树状结构实现了配置的继承性,即子网配置继承自然网段的配置,客户端的配置继承子网的配置。这样,对于一些通用参数(如DNS服务器地址),只需要在自然网段或者子网上配置即可。具体的继承情况如下:
· 在父子关系建立时,子地址池将会继承父地址池的已有配置。
· 在父子关系建立后,对父地址池进行的配置,子地址池是否会继承,则有下面两种情况:
¡ 如果子地址池没有该项配置,则继承父地址池的配置。
¡ 如果子地址池已有该项配置,则不会继承父地址池的配置。
IP地址的租用有效期限不具有继承关系。
(2) 地址池的选取原则
DHCP服务器为客户端分配IP地址时,地址池的选择原则如下:
· 如果存在将客户端MAC地址或客户端ID与IP地址静态绑定的地址池,则选择该地址池,并将静态绑定的IP地址分配给客户端。
· 如果不存在静态绑定的地址池,则选择包含DHCP请求报文接收接口的IP地址(客户端与服务器在同一网段时)或DHCP请求报文中giaddr字段指定的IP地址(客户端与服务器不在同一网段,客户端通过DHCP中继获取IP地址时)、网段最小的地址池。如果该地址池中没有可供分配的IP地址,则服务器无法为客户端分配地址,服务器不会将父地址池中的IP地址分配给客户端。
例如,DHCP服务器上配置了两个地址池,动态分配的网段分别是1.1.1.0/24和1.1.1.0/25,如果接收DHCP请求报文的接口IP地址为1.1.1.1/25,服务器将从1.1.1.0/25地址池中选择IP地址分配给客户端,1.1.1.0/25地址池中如果没有可供分配的IP地址,则服务器无法为客户端分配地址;如果接收DHCP请求报文的接口IP地址为1.1.1.130/25,服务器将从1.1.1.0/24地址池中选择IP地址分配给客户端。
DHCP服务器为客户端分配IP地址的优先次序如下:
(1) DHCP服务器中与客户端MAC地址或客户端ID静态绑定的IP地址。
(2) DHCP服务器记录的曾经分配给客户端的IP地址。
(3) 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。
(4) 选择合适的地址池,从中顺序查找可供分配的IP地址,最先找到的IP地址。
(5) 如果未找到可用的IP地址,则依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
图35-2是DHCP中继的典型应用示意图。
图35-2 DHCP中继的典型组网应用
通过DHCP中继完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时的处理方式基本相同。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
(1) 保证客户端从合法的服务器获取IP地址。
网络中如果存在私自架设的伪DHCP服务器,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
(2) 记录DHCP客户端IP地址与MAC地址的对应关系。
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以实现如ARP Detection等功能,ARP Detection功能的详细介绍请参见本手册的 “ARP防攻击”。
(1) 连接DHCP服务器
如图35-3所示,连接DHCP服务器的端口需要配置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
(2) DHCP Snooping级联网络
在多个DHCP Snooping设备级联的网络中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址绑定,只需在与客户端直接相连的DHCP Snooping设备上记录绑定信息。通过将间接与DHCP客户端相连的端口配置为不记录IP地址和MAC地址绑定的信任端口,可以实现该功能。如果DHCP客户端发送的请求报文从此类信任端口到达DHCP Snooping设备,DHCP Snooping设备不会记录客户端IP地址和MAC地址的绑定。
图35-4 DHCP Snooping级联组网图
|
设备 |
不信任端口 |
不记录绑定信息的信任端口 |
记录绑定信息的信任端口 |
|
Switch A |
GigabitEthernet1/0/1 |
GigabitEthernet1/0/3 |
GigabitEthernet1/0/2 |
|
Switch B |
GigabitEthernet1/0/3和GigabitEthernet1/0/4 |
GigabitEthernet1/0/1 |
GigabitEthernet1/0/2 |
|
Switch C |
GigabitEthernet1/0/1 |
GigabitEthernet1/0/3和GigabitEthernet1/0/4 |
GigabitEthernet1/0/2 |
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。
如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式如表35-2所示。
当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
表35-2 DHCP Snooping支持Option 82的处理方式
|
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
|
收到的报文中带有Option 82 |
Drop |
丢弃报文 |
|
Keep |
保持报文中的Option 82不变并进行转发 |
|
|
Replace |
采用normal模式填充Option 82,替换报文中原有的Option 82并进行转发 |
|
|
收到的报文中不带有Option 82 |
- |
采用normal模式填充Option 82并进行转发 |
仅S5500-WiNet系列和S3100V2-52TP-WiNet交换机支持DHCP服务器特性。
表35-3 DHCP服务器配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 启动全局DHCP服务 缺省情况下,全局DHCP服务处于关闭状态 |
|
|
2 |
二者至少选其一
DHCP服务器和客户端在同一个子网内,直接进行DHCP报文交互时,DHCP服务器上配置的地址池需要与DHCP服务器接口IP地址的网段一致,否则会导致DHCP客户端无法获得正确的IP地址 DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上配置的地址池需要与DHCP客户端在一个网段的中继接口的IP地址网段一致,否则会导致DHCP客户端无法获得正确的IP地址 |
|
|
3 |
可选 配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址 缺省情况下,接口工作在DHCP服务器模式
同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 DHCP服务器只在IP地址为手工配置的接口上起作用 |
|
|
4 |
可选 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图35-5所示。
(2) 在页面最上方选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
图35-5 DHCP服务器
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图35-5所示。
(2) 在“地址池”中选中“静态”前的单选按钮,显示的是所有静态地址池。
(3) 单击<新建>按钮,进入新建静态地址池的配置页面,如图35-6所示。
(4) 配置静态地址池的信息,详细配置如表35-4所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
地址池名称 |
设置静态地址池的名称 |
|
IP地址 |
设置静态绑定的IP地址和子网掩码 静态绑定的IP地址不能是DHCP服务器的接口IP地址,否则会导致IP地址冲突,被绑定的客户端将无法正常获取到IP地址 输入的掩码可以是掩码长度或点分十进制格式的掩码 |
|
掩码 |
|
|
客户端MAC地址 |
设置地址池中静态绑定的客户端MAC地址或客户端ID,二选一
静态绑定的客户端ID要与待绑定客户端的ID一致,否则客户端无法成功获取IP地址 |
|
客户端ID |
|
|
客户端域名 |
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
网关地址 |
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则WINS服务器地址可以不配 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图35-5所示。
(2) 在“地址池”中选中“动态”前的单选按钮,显示的是所有动态地址池。
(3) 单击<新建>按钮,进入新建动态地址池的配置页面,如图35-7所示。
(4) 配置动态地址池的信息,详细配置如表35-5所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
地址池名称 |
设置动态地址池的名称 |
|
|
IP地址 |
设置动态分配的IP地址范围,为一个IP网段 DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等)。否则,同一地址分配给两个客户端会造成IP地址冲突 输入的掩码可以是掩码长度或点分十进制格式的掩码 |
|
|
掩码 |
||
|
租用期限 |
不限制 |
设置DHCP地址池中动态分配的IP地址的租用有效期限 选择“不限制”,表示不限制IP地址的租用期限 |
|
天/小时/分/秒 |
||
|
客户端域名 |
设置DHCP地址池为DHCP客户端分配的域名后缀 为地址池指定客户端使用的域名后,在给客户端分配IP地址的同时,也将域名发送给客户端 |
|
|
网关地址 |
设置DHCP地址池为DHCP客户端分配的网关IP地址 DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端 最多可以配置8个网关地址,多个地址间用“,”隔开 |
|
|
DNS服务器地址 |
设置DHCP地址池为DHCP客户端分配的DNS服务器IP地址 为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址 最多可以配置8个DNS服务器地址,多个地址间用“,”隔开 |
|
|
WINS服务器地址 |
设置DHCP地址池为DHCP客户端分配的WINS服务器IP地址 为DHCP客户端分配的WINS服务器地址,如果选择节点类型是b类节点,则可以不配置WINS服务器地址 最多可以配置8个WINS服务器地址,多个地址间用“,”隔开 |
|
|
NetBIOS节点类型 |
设置DHCP地址池为DHCP客户端分配的NetBIOS节点类型 |
|
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图35-5所示。
(2) 在“接口设置”中单击某接口对应的
图标,进入该接口DHCP服务器功能的配置页面,如图35-8所示。
(3) 选中DHCP服务器“启动”前的单选按钮。
(4) 单击<确定>按钮完成操作。
图35-8 DHCP服务器接口设置
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP服务器”页签的页面,如图35-5所示。
(2) 在“在用地址”中查看地址池中已被分配的IP地址信息,详细说明如表35-6所示。
|
标题项 |
说明 |
|
IP地址 |
已被分配的IP地址 |
|
客户端MAC地址/客户端ID |
该IP地址绑定的DHCP客户端MAC地址或客户端ID |
|
地址池名称 |
分配该IP地址的DHCP地址池名称 |
|
租约到期时间 |
该IP地址的租约到期时间 |
仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持DHCP中继特性。
表35-7 DHCP中继配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 启动全局DHCP服务,配置DHCP的高级参数 缺省情况下,全局DHCP服务处于关闭状态 |
|
|
2 |
必选 为了提高可靠性,可以在一个网络中设置多个DHCP服务器,构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将客户端发来的DHCP报文转发给服务器组中的所有服务器 |
|
|
3 |
必选 配置接口工作在中继模式,并将接口与DHCP服务器组建立归属关系 缺省情况下,接口工作在DHCP服务器模式
同一个接口不能同时工作在DHCP服务器和DHCP中继两种模式,以最后配置的为准 DHCP中继只在IP地址为手工配置的接口上起作用 |
|
|
4 |
可选 配置静态用户地址表项,查看静态和动态用户地址表项信息 当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系,生成DHCP中继的动态用户地址表项。同时,为满足用户采用合法固定IP地址访问外部网络的需求,DHCP中继也支持静态用户地址表项配置,即在DHCP中继上手工配置IP地址与MAC地址的绑定关系 缺省情况下,没有配置DHCP中继的静态用户地址表项 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面。
(2) 在“DHCP服务”中单击<显示高级配置>按钮,展开DHCP中继的高级参数,如图35-9所示。
(3) 启动DHCP服务,并配置DHCP中继高级参数,详细配置如表35-8所示。
(4) 单击<确定>按钮完成操作。
表35-8 DHCP服务和DHCP中继高级参数的详细配置
|
配置项 |
说明 |
|
DHCP服务 |
设置是否启动全局DHCP服务 |
|
伪服务器检测 |
设置是否启动DHCP中继伪服务器检测功能 如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器 启动伪DHCP服务器检测功能后,DHCP中继会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从日志信息中查找伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录 |
|
表项定时刷新 |
设置是否启动DHCP中继动态用户地址表项定时刷新功能和刷新的时间间隔 当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系。由于DHCP客户端释放该IP地址时,会给DHCP服务器发送单播DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的用户地址项不能被实时刷新。为了解决这个问题,可以启动表项定时刷新功能。这样,每隔指定时间,DHCP中继以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文: · 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉 · 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项 需要注意的是,当刷新时间间隔选择“Auto”时,表示根据表项的数目自动计算刷新时间间隔 |
|
刷新时间间隔 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图35-9。
(2) 在“服务器组”中单击<新建>按钮,进入新建DHCP服务器组的配置页面,如图35-10所示。
图35-10 新建DHCP服务器组
(3) 配置DHCP服务器组的信息,详细配置如表35-9所示。
(4) 单击<确定>按钮完成操作。
表35-9 DHCP服务器组的详细配置
|
配置项 |
说明 |
|
服务器组ID |
设置DHCP服务器组的ID 最多可以创建20个DHCP服务器组 |
|
IP地址 |
设置DHCP服务器组中服务器的IP地址 DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图35-9。
(2) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP中继功能的配置页面,如图35-11所示。
图35-11 DHCP中继接口设置
(3) 配置接口工作在DHCP中继模式,详细配置如表35-10所示。
(4) 单击<确定>按钮完成操作。
表35-10 接口工作在DHCP中继模式的详细配置
|
配置项 |
说明 |
|
接口名称 |
显示要配置的接口的名称 |
|
DHCP中继 |
设置是否在接口上启动DHCP中继功能 如果设置关闭DHCP中继功能,则接口将启动DHCP服务器功能 |
|
地址匹配检查 |
设置是否在接口上启动地址匹配检查功能 启动地址匹配检查功能后,如果在DHCP中继的用户地址表中(包括DHCP中继动态记录的表项以及手工配置的用户地址表项)没有与主机IP地址和主机MAC地址匹配的表项,则该主机将不能通过DHCP中继访问外部网络。这样,可以防止非法主机静态配置一个IP地址并访问其他网络 |
|
服务器组ID |
设置将接口与DHCP服务器组建立归属关系,一个服务器组可以对应多个接口 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图35-9。
(2) 在“用户信息”中单击<用户信息>按钮,进入用户地址表项的显示页面,可以查看静态和动态用户地址表项,如图35-12所示。
(3) 单击<新建>按钮,进入新建静态用户地址表项的配置页面,如图35-13所示。
(4) 配置静态用户地址表项的信息,详细配置如表35-11所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
IP地址 |
设置DHCP客户端的IP地址 |
|
MAC地址 |
设置DHCP客户端的MAC地址 |
|
接口名称 |
设置与DHCP客户端相连的三层接口
静态用户地址表项中的接口必须工作在DHCP中继模式,否则可能引起地址表项冲突 |
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,DHCP Snooping功能处于关闭状态 |
|
|
2 |
必选 配置接口的信任属性和DHCP Snooping支持Option 82的相关参数 缺省情况下,在启动DHCP Snooping功能后,设备的所有接口的信任属性均为不信任;DHCP Snooping不支持Option 82功能
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内 |
|
|
3 |
可选 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图35-14所示的页面。
(3) 选中DHCP Snooping“启动”前的单选按钮,即可启动DHCP Snooping功能。
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图35-14所示的页面。
(3) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP Snooping功能的配置页面,如图35-15所示。
(4) 配置接口DHCP Snooping功能的信息,详细配置如表35-13所示。
(5) 单击<确定>按钮完成操作。
表35-13 接口DHCP Snooping功能的详细配置
|
配置项 |
说明 |
|
接口名称 |
显示要配置的接口的名称 |
|
信任属性 |
设置接口的信任属性为信任或非信任 |
|
添加Option 82选项 |
设置DHCP Snooping是否支持Option 82功能 |
|
Option 82选项策略 |
设置DHCP Snooping对包含Option 82的请求报文的处理策略,包括: · Drop:如果报文中带有Option 82,则丢弃该报文 · Keep:如果报文中带有Option 82,则保持该报文中的Option 82不变并进行转发 · Replace:如果报文中带有Option 82,则采用normal模式填充Option 82,替换报文中原有的Option 82,并进行转发 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图35-14所示的页面。
(3) 在“用户信息”中单击<用户信息>按钮,进入DHCP Snooping用户信息的显示页面,如图35-16所示。
(4) 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息,详细说明如表35-14所示。
表35-14 DHCP Snooping用户信息的详细说明
|
配置项 |
说明 |
|
IP地址 |
DHCP服务器为DHCP客户端分配的IP地址 |
|
MAC地址 |
DHCP客户端的MAC地址 |
|
类型 |
绑定类型,取值包括: · Dynamic:表示动态生成的IP地址和MAC地址绑定 · Static:表示静态配置的IP地址和MAC地址绑定,目前不支持静态配置 |
|
接口名称 |
与DHCP客户端连接的设备端口 |
|
VLAN |
与DHCP客户端连接的设备端口所属的VLAN |
|
租约剩余时间 |
绑定的租约剩余时间 |
仅S5500-WiNet系列和S3100V2-52TP-WiNet交换机支持DHCP服务器特性。
常见的DHCP组网方式可分为两类:一种是DHCP服务器和客户端在同一个子网内,直接进行DHCP报文的交互;第二种是DHCP服务器和客户端处于不同的子网中,必须通过DHCP中继代理实现IP地址的分配。无论哪种情况下,DHCP服务器的配置都是相同的。
Switch B作为DHCP客户端,从DHCP服务器Switch A获取静态绑定的IP地址、域名服务器、网关地址等信息。
图35-17 静态绑定地址配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络管理 > DHCP > DHCP服务器”,默认进入“DHCP服务器”页签的页面。
步骤2:如图35-18所示,选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
(2) 配置静态地址池。
步骤1:在“地址池”中单击<新建>按钮。(默认选中“静态”前的单选按钮)
步骤2:进行如下配置,如图35-19所示。
· 输入IP地址为“10.1.1.5”。
· 输入掩码为“255.255.255.128”。
· 输入客户端MAC地址为“000f-e200-0002”。
· 输入网关地址为“10.1.1.126”。
· 输入DNS服务器地址为“10.1.1.2”。
步骤3:单击<确定>按钮完成操作。
(3) 配置接口Vlan-interface9工作在DHCP服务器模式。(缺省情况下,所有接口均工作在DHCP服务器模式,此步骤可以根据情况省略)
步骤1:在“接口设置”中单击Vlan-interface9对应的图标。
步骤2:如图35-20所示,选中DHCP服务器“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图35-20 配置接口工作在DHCP服务器模式
· 作为DHCP服务器的Switch A为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25。
· Switch A的两个接口Vlan-interface1和Vlan-interface9的地址分别为10.1.1.1/25和10.1.1.129/25。
· 10.1.1.0/25网段内的地址租用期限为10天12小时,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,WINS服务器地址为10.1.1.4/25,网关的地址为10.1.1.126/25。
· 10.1.1.128/25网段内的地址租用期限为5天,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,无WINS服务器地址,网关的地址为10.1.1.254/25。
· 10.1.1.0/25网段与10.1.1.128/25网段的域名后缀、DNS服务器地址相同,可以只配置10.1.1.0/24网段的域名后缀和DNS服务器地址,10.1.1.0/25网段与10.1.1.128/25网段继承10.1.1.0/24网段的配置。
在本例中,建议从Vlan-interface1接口申请IP地址的客户端数目不要超过122个;从Vlan-interface9接口申请IP地址的客户端数目不要超过124个。
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络管理 > DHCP > DHCP服务器”,默认进入“DHCP服务器”页签的页面。
步骤2:如图35-22所示,选中DHCP服务“启动”前的单选按钮,即可启动全局DHCP服务。
(2) 配置DHCP地址池pool0的共有属性(地址池范围、客户端域名后缀、DNS服务器地址)。
步骤1:在“地址池”中选中“动态”前的单选按钮。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如图35-23所示。
· 输入IP地址为“10.1.1.0”。
· 输入掩码为“255.255.255.0”。
· 输入客户端域名为“aabbcc.com”。
· 输入DNS服务器地址为“10.1.1.2”。
步骤4:单击<确定>按钮完成操作。
图35-23 配置DHCP地址池pool0的共有属性
(3) 配置DHCP地址池pool1的属性(地址池范围、网关、地址租用期限、WINS服务器地址)。
步骤1:单击<新建>按钮。
步骤2:进行如下配置,如图35-24所示。
· 输入IP地址为“10.1.1.0”。
· 输入掩码为“255.255.255.128”。
· 输入租用期限为“10”天“12”小时“0”分“0”秒。
· 输入网关地址为“10.1.1.126”。
· 输入WINS服务器地址为“10.1.1.4”。
步骤3:单击<确定>按钮完成操作。
图35-24 配置DHCP地址池pool1的属性
(4) 配置DHCP地址池pool2的属性(地址池范围、地址租用期限、网关)。
步骤1:单击<新建>按钮。
步骤2:进行如下配置,如图35-25所示。
· 输入地址池名称为“pool2”。
· 输入IP地址为“10.1.1.128”。
· 输入掩码为“255.255.255.128”。
· 输入租用期限为“5”天“0”小时“0”分“0”秒。
· 输入网关地址为“10.1.1.254”。
步骤3:单击<确定>按钮完成操作。
图35-25 配置DHCP地址池pool2的属性
仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持DHCP中继特性。
· 具有DHCP中继功能的Switch通过端口(属于VLAN1)连接到DHCP客户端所在的网络
· DHCP服务器的IP地址为10.1.1.1/24。
· 通过Switch转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。
图35-26 DHCP中继配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面。
步骤2:如图35-27所示,选中DHCP服务“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
(2) 配置DHCP服务器组。
步骤1:在“服务器组”中单击<新建>按钮。
步骤2:进行如下配置,如图35-28所示。
· 输入服务器组ID为“1”。
· 输入IP地址为“10.1.1.1”。
步骤3:单击<确定>按钮完成操作。
(3) 配置接口Vlan-interface1工作在DHCP中继模式。
步骤1:在“接口设置”中单击Vlan-interface1对应的图标。
步骤2:进行如下配置,如图35-29所示。
· 选中DHCP中继“启动”前的单选按钮。
· 选择服务器组ID为“1”。
步骤3:单击<确定>按钮完成操作。
图35-29 DHCP中继接口设置
由于DHCP中继连接DHCP客户端的接口IP地址与DHCP服务器的IP地址不在同一网段,因此需要在DHCP服务器上通过静态路由或动态路由协议保证两者之间路由可达。
Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求:
· Switch B上启动DHCP Snooping功能,并支持Option 82功能;对包含Option 82的请求报文的处理策略为“Replace”。
· 与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。
图35-30 DHCP Snooping配置组网图
(1) 启动DHCP Snooping。
步骤1:在导航栏中选择“网络 > DHCP”。
步骤2:单击“DHCP Snooping”页签。
步骤3:如图35-31所示,选中DHCP Snooping“启动”前的单选按钮,即可完成操作。
(2) 配置接口GigabitEthernet1/0/1的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/1对应的图标。
步骤2:如图35-32所示,选中信任属性“信任”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图35-32 配置接口GigabitEthernet1/0/1的DHCP Snooping功能
(3) 配置接口GigabitEthernet1/0/2的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/2对应的图标。
步骤2:进行如下配置,如图35-33所示。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图35-33 配置接口GigabitEthernet1/0/2的DHCP Snooping功能
(4) 配置接口GigabitEthernet1/0/3的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/3对应的图标。
步骤2:进行如下配置,如图35-34所示。
· 选中信任属性“非信任”前的单选按钮。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图35-34 配置接口GigabitEthernet1/0/3的DHCP Snooping功能
服务管理模块提供了FTP、Telnet、SSH、SFTP、HTTP和HTTPS服务的管理功能,可以使用户只在需要使用相应的服务时启用服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。
服务管理模块还提供了修改HTTP、HTTPS服务端口号的功能,以及设置将FTP、HTTP、HTTPS服务与ACL(Access Control List,访问控制列表)关联,只允许通过ACL过滤的客户端访问设备的功能,以减少非法用户对这些服务的攻击。
FTP(File Transfer Protocol,文件传输协议)协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,是IP网络上传输文件的通用协议。
Telnet协议在TCP/IP协议族中属于应用层协议,用于在网络中提供远程登录和虚拟终端的功能。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SFTP是Secure FTP的简称,是SSH 2.0中新增的功能。SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。
HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。
在设备上使能HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。
HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。
HTTPS通过SSL协议,从以下几方面提高了设备的安全性:
· 通过SSL协议保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
· 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理;
· 为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。
(1) 在导航栏中选择“网络 > 服务管理”,进入服务管理的配置页面,如图36-1所示。
(2) 配置各种服务的启用状态等信息,详细配置如表36-1所示。
(3) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
FTP服务 |
启用FTP服务 |
设置是否在设备上启用FTP服务 缺省情况下,FTP服务处于关闭状态 |
|
ACL |
设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务 单击“FTP服务”前的扩展按钮可以显示此配置项 |
|
|
Telnet服务 |
启用Telnet服务 |
设置是否在设备上启用Telnet服务 缺省情况下,Telnet服务处于关闭状态 |
|
SSH服务 |
启用SSH服务 |
设置是否在设备上启用SSH服务 缺省情况下,SSH服务处于关闭状态 |
|
SFTP服务 |
启用SFTP服务 |
设置是否在设备上启用SFTP服务 缺省情况下,SFTP服务处于关闭状态
启用SFTP服务的同时必须启用SSH服务 |
|
HTTP服务 |
启用HTTP服务 |
设置是否在设备上启用HTTP服务 缺省情况下,HTTP服务处于启用状态 |
|
端口号 |
设置HTTP服务的端口号 单击“HTTP服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务 单击“HTTP服务”前的扩展按钮可以显示此配置项 |
|
|
HTTPS服务 |
启用HTTPS服务 |
设置是否在设备上启用HTTPS服务 缺省情况下,HTTPS服务处于关闭状态 |
|
证书 |
设置HTTPS服务所使用的本地证书,下拉框中显示的为证书的主题 可选的证书在“认证 > 证书管理”中配置,详细配置请参见本手册的“证书管理”
不指定证书时,HTTPS服务将自己生成证书 仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
|
|
PKI域 |
设置HTTPS服务所使用的PKI域,下拉框中显示的为PKI域的主题 可选的证书在“认证 > PKI域”中配置,详细配置请参见本手册的“证书管理”
不指定证书时,HTTPS服务将自己生成证书 仅S5120-WiNet系列交换机支持 |
|
|
端口号 |
设置HTTPS服务的端口号 单击“HTTPS服务”前的扩展按钮可以显示此配置项
修改端口时必须保证该端口没有被其他服务使用 |
|
|
ACL |
设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务 单击“HTTPS服务”前的扩展按钮可以显示此配置项 |
|
通过使用ping工具,用户可以检查指定IP地址的设备是否可达,测试网络连接是否出现故障。
ping的成功执行过程为:
(1) 源设备向目的设备发送ICMP回显请求(ECHO-REQUEST)报文。
(2) 目的设备在接收到该请求报文后,向源设备发送ICMP回显应答(ECHO-REPLY)报文。
(3) 源设备在收到该应答报文后,显示相关的统计信息。
ping的输出信息分为以下几种情况:
· ping的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
· 如果在超时时间内源设备没有收到目的设备回的ICMP回显应答报文,则输出提示信息和ping过程报文的统计信息;如果在超时时间内源设备收到响应报文,则输出响应报文的字节数、报文序号、TTL(Time to Live,生存时间)、响应时间和ping过程报文的统计信息。
ping过程报文的统计信息包括发送报文个数、接收到响应报文个数、未响应报文数百分比、响应时间的最小值、平均值和最大值。
通过使用trace route工具,用户可以查看报文从源设备传送到目的设备所经过的三层设备。当网络出现故障时,用户可以使用该命令分析出现故障的网络节点。
trace route的执行过程为:
(1) 源设备发送一个TTL为1的报文给目的设备。
(2) 第一跳(即该报文所到达的第一个三层设备)回应一个TTL超时的ICMP报文(该报文中含有第一跳的IP地址),这样源设备就得到了第一个三层设备的地址。
(3) 源设备重新发送一个TTL为2的报文给目的设备。
(4) 第二跳回应一个TTL超时的ICMP报文,这样源设备就得到了第二个三层设备的地址。
(5) 以上过程不断进行,直到最终到达目的设备,源设备就得到了从它到目的设备所经过的所有三层设备的地址。
trace route的执行对象可以是目的设备的IP地址或者主机名,如果该目的设备的主机名不可识别,则源设备上输出提示信息。
(1) 在导航栏中选择“网络 > 诊断工具”,默认进入“ping”页签的页面,如图37-1所示。
(2) 在“目的IP地址或者主机名”文本框中输入ping操作的目的IP地址或者主机名。
(3) 单击<开始>按钮开始执行ping操作。
(4) 在“信息”框中查看ping操作的输出结果,如图37-2所示。
图37-2 ping操作结果
仅S5120-WiNet系列交换机支持对IPv6地址进行ping操作。
(1) 在导航栏中选择“网络 > 诊断工具”,进入“IPv6 ping”页签的页面,如图37-3所示。
图37-3 IPv6 Ping(S5120-WiNet系列交换机)
(2) 在“目的IPv6地址或者主机名”文本框中输入IPv6 ping操作的目的IP地址或者主机名。
(3) 单击<开始>按钮开始执行IPv6 ping操作。
(4) 在“信息”框中查看IPv6 ping操作的输出结果,如图37-4所示。
图37-4 IPv6 Ping操作结果(S5120-WiNet系列交换机)
进行trace route操作前,需要先在中间设备上执行ip ttl-expires enable命令开启ICMP超时报文的发送功能,并且在目的设备上执行ip unreachables enable命令开启ICMP目的不可达报文发送功能。
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“trace route”页签,进入如图37-5所示的页面。
(3) 在“目的IP地址或者主机名”文本框中输入trace route操作的目的IP地址或者主机名。
(4) 单击<开始>按钮开始执行trace route操作。
(5) 在“信息”框中查看trace route操作的输出结果,图37-6所示。
仅S5120-WiNet系列交换机支持对IPv6地址进行trace route操作。
(1) 在导航栏中选择“网络 > 诊断工具”。
(2) 单击“IPv6 Trace Route”页签,进入如图37-7所示的页面。
图37-7 IPv6 Trace Route(S5120-WiNet系列交换机)
(3) 在“目的IPv6地址或者主机名”文本框中输入trace route操作的目的IP地址或者主机名。
(4) 单击<开始>按钮开始执行trace route操作。
(5) 在“信息”框中查看trace route操作的输出结果,如图37-8所示。
图37-8 IPv6 Trace Route操作结果(S5120-WiNet系列交换机)
随着网络规模的增加,网络边缘需要使用大量的接入设备,这使对这些设备的管理工作非常繁琐,同时要为这些设备逐一配置IP地址,在目前IP地址资源日益紧张的情况下无疑也是一种浪费,而集群管理则可以解决上述问题。
集群(Cluster)是指一组网络设备的集合,集群管理的主要目的就是解决大量分散的网络设备的集中管理问题,其具有以下优点:
· 节省公网IP地址。
· 简化配置管理任务。网络管理员只需在一台设备上配置公网IP地址就可实现对集群中所有设备的管理和维护,而无需登录到每台设备上进行配置。
· 提供拓扑发现和显示功能,有助于监视和调试网络。
· 可同时对多台设备进行软件升级和参数配置,且不受网络拓扑和距离限制。
根据在集群中所处的地位和功能的不同,可把集群中的设备分为以下三种角色:
· 命令设备(Commander):也称为管理设备(Administrator),在集群中对整个集群管理发挥接口作用的设备,也是集群中唯一配置公网IP地址的设备。每个集群必须(且只能)指定一个命令设备。对集群中的其它设备进行配置、管理和监控都必须通过命令设备来进行,命令设备通过收集相关信息来发现和确定候选设备。
· 成员设备(Member):在集群中处于被管理状态的设备。
· 候选设备(Candidate):指没有加入任何集群但具备集群能力、能够成为集群成员的设备。它与成员设备的区别在于:其拓扑信息已被命令设备收集到但尚未加入集群。
如图38-1所示,配置有公网IP地址并执行管理功能的设备就是命令设备,其它被管理的设备是成员设备,尚未加入任何集群但具备集群能力的设备是候选设备。由命令设备和成员设备共同组成了一个集群。
图38-2 集群角色转换示意图
如图38-2所示,各角色可按如下规则相互转换:
· 当在某候选设备上创建集群时,该设备就成为了这个集群的命令设备;命令设备只有在删除集群时才能恢复为候选设备。
· 当把某候选设备加入到集群中后,该设备便成为成员设备;当从集群中删除某成员设备后,该设备又恢复为候选设备。
集群管理通过HGMPv2(HW Group Management Protocol version 2,HW组管理协议版本2)来实现,它由以下三个协议组成:
· NDP(Neighbor Discover Protocol,邻居发现协议)
· NTDP(Neighbor Topology Discover Protocol,邻居拓扑发现协议)
· Cluster(集群管理协议)
集群通过以上三个协议,对集群内部的设备进行配置和管理,其工作过程包括拓扑收集以及集群的建立和维护。拓扑收集过程和集群维护过程相对独立,拓扑收集过程在集群建立之前就开始启动,工作原理如下:
· 所有设备通过NDP来获取邻居设备的信息,包括邻居设备的软件版本、主机名、MAC地址和端口名称等信息。
· 命令设备通过NTDP来收集用户指定跳数范围内的设备信息以及各个设备的连接信息,并从收集到的拓扑信息中确定集群的候选设备。
· 命令设备根据NTDP收集到的候选设备信息完成将候选设备加入集群、成员设备离开集群的操作。
NDP用来获取直接相连的邻居设备的信息,包括连接端口、设备名称、软件版本等信息,工作原理如下:
· 运行NDP的设备周期性地向邻居发送NDP报文,其中包含NDP信息(包括当前设备的名称、软件版本和连接端口等信息)以及NDP信息在接收设备上的老化时间。同时会接收(但不转发)邻居设备发送的NDP报文。
· 运行NDP的设备都会存储和维护NDP邻居信息表,在该表中为每台邻居设备创建一个表项。当新发现了一个邻居,即第一次收到它发送的NDP报文时,为其新增一个表项。如果收到的邻居设备NDP信息与旧信息不同,则更新相应的表项及其老化时间;如果相同,则只更新老化时间;如果老化时间超时后仍未收到邻居的NDP信息,将自动删除相应的表项。
NDP协议运行在数据链路层,因此可以支持不同的网络层协议。
NTDP为命令设备提供可加入集群的设备信息,收集指定跳数内设备的拓扑信息。NDP为NTDP提供邻接表信息,NTDP根据邻接信息发送和转发NTDP拓扑收集请求,收集一定网络范围内所有设备的NDP信息以及这些设备间的连接信息。收集完这些信息后,命令设备或网管可使用这些信息完成所需功能。
当成员设备上的NDP发现邻居有变化时,通过握手报文将邻居改变的消息通知给命令设备,命令设备可以启动NTDP收集指定拓扑,从而使NTDP能够及时反映网络拓扑的变化。
命令设备可以定时在网络内进行拓扑收集,用户也可以通过手工配置启动一次拓扑收集。命令设备收集拓扑信息过程如下:
· 命令设备从使能NTDP的端口周期性发送NTDP拓扑收集请求报文。
· 收到请求报文的设备立即发送拓扑响应报文至命令设备,并在已使能NTDP的端口复制此请求报文并发送到邻接设备;拓扑响应报文包含本设备的基本信息和所有邻接设备的NDP信息。
· 邻接设备收到请求报文后将执行同样操作,直至拓扑收集请求报文扩散到指定跳数范围内的所有设备。
当拓扑收集请求报文在网络内扩散时,大量网络设备同时收到拓扑收集请求并同时发送拓扑收集响应报文。为了避免网络拥塞和命令设备任务繁忙,可采取以下措施控制拓扑收集请求报文的扩散速度:
· 每台被收集设备收到拓扑收集请求报文后,并不立即转发该报文,而是延迟一段时间再由其第一个端口转发。
· 在同一台设备上,除第一个端口外,其它端口在上一个端口转发了拓扑收集请求报文后,都将延迟一段时间再继续转发该报文。
(1) 候选设备加入集群
用户在建立集群时应首先指定命令设备,命令设备可以通过NDP和NTDP协议发现和确定候选设备并将其自动加入集群,也可以通过命令行手工配置将候选设备加入集群。
当候选设备成功加入集群后,将获得命令设备为其分配的集群成员序列号、集群管理使用的私有IP地址等。
(2) 集群内部通讯
在集群内部,命令设备与成员设备通过握手报文实时通信,以维护它们之间的连接状态,命令设备和成员设备的连接状态如图38-3所示。
图38-3 命令/成员设备状态转换
· 集群建立成功、候选设备加入集群成为成员设备后,命令设备将其状态信息保存到本地,并将其状态标识为Active;成员设备也将自身的状态信息保存到本地,并将其自身状态标识为Active。
· 命令设备和成员设备定时互发握手报文。命令设备收到成员设备的握手报文后不应答,仍将其状态保持为Active;成员设备收到命令设备的握手报文后也不应答,仍将其自身状态保持为Active。
· 当命令设备发送握手报文后,在三倍握手报文发送时间间隔内仍没收到成员设备的握手报文,则将其状态由Active迁移为Connect;同样,当成员设备发送握手报文后,在三倍握手报文发送时间间隔内仍没收到命令设备的握手报文,其自身状态也将从Active迁移为Connect。
· 若命令设备收到了处于Connect状态的成员设备在有效保持时间内发送的握手或管理报文,则将其状态迁移回Active,否则迁移为Disconnect——此时命令设备会认为已与该成员设备断开;而处于Connect状态的成员设备若在有效保持时间内收到了命令设备发送的握手或管理报文,则将其自身状态迁移至Active,否则迁移为Disconnect。
· 当命令设备与成员设备的通信恢复时,处于Disconnect状态的成员设备将重新加入集群。加入成功后,成员设备在命令设备以及其本地的状态都将恢复为Active。
如果发现拓扑改变,成员设备也通过握手报文向命令设备传递变化信息。
管理VLAN是指集群协议报文通讯所使用的VLAN,它限制了集群管理的范围,通过配置管理VLAN,可实现如下功能:
· 集群的管理报文(包括NDP、NTDP和握手报文)都将限制在管理VLAN内,实现了与其它报文的隔离,增加了安全性。
· 命令设备和成员设备通过管理VLAN实现了内部通讯。
集群管理要求命令设备与成员/候选设备相连的端口(包括级联端口)都要允许管理VLAN通过。如果端口不允许管理VLAN通过,该端口所连的设备将不能加入集群,因此当候选设备与命令设备相连的端口包括级联端口不允许管理VLAN通过时,可通过管理VLAN自协商修改候选设备的端口以允许管理VLAN通过。只有当命令设备与成员/候选设备相连接的端口(包括级联端口)的缺省VLAN ID都是管理VLAN时,才允许配置管理VLAN的报文不带Tag通过,否则管理VLAN的报文都必须带Tag通过。
· 级联端口是指当候选设备通过另外一台候选设备与命令设备相连时,这两台候选设备之间的连接端口。
· 有关VLAN和Tag的相关介绍,请参见本手册的“VLAN”。
建立集群的推荐步骤如表38-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 集群中的设备(包括命令、成员、候选设备)都必须使能NDP功能,并且只有当全局和端口的NDP功能都使能时,NDP才能正常运行 缺省情况下,全局和端口的NDP功能处于使能状态 |
|
|
2 |
||
|
3 |
可选 查看NDP邻居信息,包括与邻居相连的端口、邻居的MAC地址等 |
|
|
4 |
可选 集群中的设备(包括命令、成员、候选设备)都必须使能NTDP功能,并且只有当全局和端口的NTDP功能都使能时,NTDP才能正常运行 缺省情况下,全局和端口的NTDP功能处于使能状态 |
|
|
5 |
||
|
6 |
可选 查看NTDP协议收集到的拓扑中的设备信息,包括设备类型、设备MAC地址、集群角色等 |
|
|
7 |
必选 把候选设备指定为命令设备,并设置集群名和集群地址池 缺省情况下,网络中没有命令设备,没有集群 一旦指定了命令设备,就建立了集群。集群建立后,系统会将所有发现的候选设备自动加入到所创建的集群中 |
集群的维护包括对集群定时器、服务器的配置,对集群成员、黑白名单、拓扑的管理,同时也包括集群中各个设备角色的转换。
维护集群的推荐步骤如表38-2所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 修改集群名,设置集群定时器和服务器 缺省情况下,集群没有配置服务器 |
|
|
5 |
可选 把命令设备设置为候选设备或独立设备 此操作将解散集群 |
|
|
6 |
可选 把成员设备设置为独立设备,成员设备离开集群 |
|
|
8 |
可选 把候选设备设置为独立设备,使其不可以加入集群 |
|
|
9 |
可选 把独立设备设置为候选设备,使其可以加入集群 |
|
|
2 |
可选 手动添加成员设备,以及对成员设备进行管理 |
|
|
3 |
可选 对黑白名单进行管理 |
|
|
4 |
可选 对集群拓扑和集群中的成员设备进行管理 |
升级集群的推荐步骤如表38-3所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 |
|
|
2 |
可选 删除Flash中多余的文件,释放Flash空间 |
|
|
3 |
配置集群的TFTP服务器 |
必选 |
|
4 |
必选 升级集群中设备的软件、Bootrom、Web网管软件,恢复或备份集群中设备的运行配置或配置文件 |
|
|
5 |
可选 对集群中升级、恢复和备份操作的状态进行监控 |
(1) 在导航栏中选择“集群 > NDP”。
(2) 单击“设置”页签,进入如图38-4所示的页面。
图38-4 NDP全局设置
(3) 设置全局NDP功能的参数,详细配置如表38-4所示。
(4) 单击<应用>按钮完成操作。
表38-4 全局NDP功能的详细配置
|
配置项 |
说明 |
|
|
NDP状态 |
全局NDP的状态 |
|
|
老化定时器 |
本设备发送的NDP报文在邻居设备上的老化时间 |
老化定时器应不小于Hello定时器,否则将引起NDP端口邻居信息表的不稳定 |
|
Hello定时器 |
本设备发送NDP报文的周期 |
|
使能端口NDP功能时,需要注意:
· 为避免管理设备收集到不需要加入集群的设备的拓扑信息并将其误加入集群,建议在与这些设备相连的端口上禁止NDP功能。
· 在二层聚合接口上配置的NDP功能,不会在二层聚合接口所对应聚合组中的成员端口上生效;在聚合成员端口上配置的NDP功能,只在成员端口退出聚合组之后才能生效。
使能端口NDP功能的具体步骤如下:
(1) 在导航栏中选择“集群 > NDP”。
(2) 单击“端口设置”页签,进入如图38-5所示的页面。
图38-5 NDP端口设置
(3) 选择端口NDP功能的状态。
(4) 在面板示意图中选择要使能NDP功能的端口,选中的端口会显示在页面下方的列表框中。
(5) 单击<应用>按钮完成操作。
在导航栏中选择“集群 > NDP”,默认进入“邻居信息”页签的页面,如图38-6所示。
图38-6 NDP邻居信息
邻居信息的详细说明如表38-5所示。
|
标题项 |
说明 |
|
本地端口 |
本设备与邻居相连的端口 |
|
对端端口 |
邻居与本设备相连的端口 |
|
对端设备名 |
邻居的设备名称 |
|
对端设备MAC地址 |
邻居设备的MAC地址 |
|
软件版本 |
邻居设备的软件版本 |
|
老化时间(秒) |
本设备发送给邻居设备的NDP信息的剩余老化时间(过多久NDP信息就会老化) |
(1) 在导航栏中选择“集群 > NTDP”。
(2) 单击“设置”页签,进入如图38-7所示的页面。
图38-7 NTDP全局设置
(3) 设置全局NTDP功能的参数,详细配置如表38-6所示。
(4) 单击<应用>按钮完成操作。
表38-6 全局NTDP功能的详细配置
|
配置项 |
说明 |
|
NTDP状态 |
全局NTDP的状态 |
|
拓扑收集的时间间隔 |
设备收集拓扑信息的时间间隔 |
|
拓扑收集范围 |
跳数,即设备可以收集该跳数范围内设备的信息 |
|
拓扑收集请求跳数延迟时间 |
设备收到拓扑请求后,转发拓扑请求之前等待的时长 |
|
拓扑收集请求端口延迟时间 |
设备逐个端口转发拓扑请求的间隔时长 |
使能端口NTDP功能时,需要注意:
· 为避免管理设备收集到不需要加入集群的设备的拓扑信息并将其误加入集群,建议在与这些设备相连的端口上禁止NTDP功能。
· 在二层聚合接口上配置的NTDP功能,不会在二层聚合接口所对应聚合组中的成员端口上生效;在聚合成员端口上配置的NTDP功能,只在成员端口退出聚合组之后才能生效。
使能端口NTDP功能的具体步骤如下:
(1) 在导航栏中选择“集群 > NTDP”。
(2) 单击“端口设置”页签,进入如图38-8所示的页面。
图38-8 NTDP端口设置
(3) 选择端口NTDP功能的状态。
(4) 在面板示意图中选择要使能NTDP功能的端口,选中的端口会显示在页面下方的列表框中。
(5) 单击<应用>按钮完成操作。
(1) 在导航栏中选择“集群 > NTDP”,默认进入“设备列表”页签的页面。
(2) 单击<拓扑收集>按钮进行拓扑收集,之后页面的列表中会显示通过NTDP协议收集到的设备的信息,如图38-9所示。
图38-9 NTDP设备列表
(3) NTDP设备信息的详细说明如表38-7所示,点击列表中的设备,下方还将显示该设备的详细信息。
表38-7 NTDP设备信息的详细说明
|
标题项 |
说明 |
|
设备类型 |
设备的厂家信息和型号 |
|
MAC地址 |
设备的MAC地址 |
|
集群名 |
设备所属集群的名称 |
|
集群角色 |
设备的集群角色 |
|
跳数 |
设备与进行拓扑收集的设备(即本设备)之间的跳数 |
配置和管理集群时,需要注意:
· 如果集群建立时命令设备的路由表已满,即无法向路由表中添加目的地址为候选设备的路由条目,将导致所有候选设备反复加入退出集群。
· 如果候选设备加入集群时候选设备的路由表已满,即无法向路由表中添加目的地址为命令设备的路由条目,也将导致本设备反复加入退出集群。
· Web不支持配置管理VLAN。缺省情况下,管理VLAN为VLAN 1,即集群管理报文(NDP、NTDP)和集群内部的交互报文均在VLAN 1中转发。
· 如果接入网管设备的端口所在的VLAN不是管理VLAN,则缺省情况下外部网络的网络管理员无法登录到集群内部的设备,因为该接口上没有配置NAT服务器。只需在该接口上配置NAT服务器即可实现外网登录集群内部设备的需求。
缺省情况下,使能了NDP和NTDP的设备是候选设备。只有候选设备能转换为命令设备。把候选设备设置为命令设备即可建立集群。
配置候选设备为命令设备的具体步骤如下:
(1) 在导航栏中选择“集群 > 集群”。
(2) 单击“设置”页签,进入如图38-10所示的页面,可以看到设备当前的角色为候选交换机。
(3) 选中“创建集群并转换为命令交换机”前的单选按钮,并配置要创建的集群的基本信息,详细配置如表38-8所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
集群名 |
新集群的名称 |
|
集群地址池 |
新集群的地址池和掩码 加入集群的成员都会分配到该地址池中的一个地址 |
|
地址池掩码 |
|
|
从本地Flash中加载黑白名单 |
创建新集群时,从本地Flash加载黑名单和白名单信息 |
(1) 集群建立之后,在命令设备的导航栏中选择“集群 > 集群”。
(2) 单击“设置”页签,进入如图38-11所示的页面。
图38-11 集群设置(命令设备)
(3) 在“集群设置”中修改集群名、配置集群的定时器和各种服务器的参数,详细配置如表38-9所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
|
集群名 |
集群的名称 |
|
|
定时器设置 |
保持时间 |
集群中所有设的备握手报文有效保持时间 |
|
时间间隔 |
集群中所有设备发送握手报文的时间间隔 |
|
|
服务器设置 |
FTP服务器 |
集群中所有设备共用的FTP服务器 |
|
TFTP服务器 |
集群中所有设备共用的TFTP服务器 |
|
|
网管工作站 |
集群中所有设备共用的网管工作站 |
|
|
日志主机 |
集群中所有设备共用的日志主机 要使此功能生效,还必须在“日志管理 > 日志主机”中添加该日志主机 |
|
命令设备可以转换为独立设备或候选设备。转换后,集群将自动解散。具体配置步骤如下:
(1) 在导航栏中选择“集群 > 集群”。
(2) 单击“设置”页签,进入如图38-11所示的页面。
(3) 在“角色转换”中选择要转换为候选交换机或转换为独立交换机。
(4) 单击<应用>按钮完成操作。
成员设备可以转换为独立设备。转换后,成员设备离开集群。具体配置步骤如下:
(1) 在导航栏中选择“集群 > 集群”。
(2) 单击“设置”页签,进入如图38-12所示的页面。
(3) 直接单击<应用>按钮完成操作。
候选设备可以转换为独立设备。转换后,设备不可以加入集群。具体配置步骤如下:
(1) 在导航栏中选择“集群 > 集群”。
(2) 单击“设置”页签,进入如图38-10所示的页面。
(3) 选中“转换为独立交换机”前的单选按钮。
(4) 单击<应用>按钮完成操作。
独立设备可以转换为候选设备。转换后,设备可以加入集群。具体配置步骤如下:
(1) 在导航栏中选择“集群 > 集群”。
(2) 单击“设置”页签,进入如图38-13所示的页面。
(3) 直接单击<应用>按钮完成操作。
只有命令设备能进行成员管理。
(1) 访问成员设备
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“成员管理”页签,进入如图38-14所示的页面。
步骤3 在列表中选中要访问的成员设备。
步骤4 单击<管理>按钮,如果成员设备的Web网管用户名和密码与命令设备的一致,则直接进入成员设备的Web页面进行操作;否则,弹出成员设备的Web登录页面,可使用正确的用户名和密码成功登录后进行操作。
(2) 初始化成员设备
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“成员管理”页签,进入如图38-14所示的页面。
步骤3 在列表中选中要初始化的成员设备。
步骤4 单击<初始化>按钮,将删除该成员设备的配置文件,并重启设备。
(3) 重启成员设备
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“成员管理”页签,进入如图38-14所示的页面。
步骤3 在列表中选中要重启的成员设备。
步骤4 单击<重启>按钮,将重启该成员设备。
(4) 手动添加成员设备
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“成员管理”页签,进入如图38-14所示的页面。
步骤3 在下方的“手动添加成员”部分配置新成员设备的信息,详细配置如表38-10所示。
步骤4 单击<添加>按钮完成操作。
|
配置项 |
说明 |
|
MAC地址 |
待加入集群的候选设备的MAC地址 |
|
超级用户密码 |
候选设备的超级用户密码,与在“设备 > 用户管理”模块设置的超级密码一致 加入集群需要经过密码验证。没有设置超级密码的候选设备可以不指定本参数 当候选设备加入集群后,该访问级别为Management的用户密码被自动替换为命令设备的超级密码,且为密文形式 |
|
添加到白名单 |
手工添加成员的同时,把该设备加入白名单 当选择的设备处于黑名单中时,如果不选中本选项,则无法成功添加该设备 |
(5) 删除成员设备
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“删除”页签,进入如图38-15所示的页面。
步骤3 在列表中选择要删除的成员设备。
步骤4 设置在删除的同时,是否将选中的成员设备加入黑名单。
步骤5 单击<删除>按钮完成操作。
白名单与黑名单是拓扑管理的依据,网络管理员可通过将当前网络拓扑(即集群当前的拓扑节点和邻接关系等信息,记录了当前的网络拓扑状况)与标准拓扑进行比较对当前的网络状况进行诊断,两者的含义如下:
· 拓扑管理白名单:即标准拓扑,是网络管理员对当前网络拓扑进行确认之后认为正确的网络拓扑信息。可根据当前网络拓扑状况实现对白名单的维护,包括添加、删除和修改结点。
· 拓扑管理黑名单:列入黑名单中的设备不允许自动加入集群。黑名单信息包括设备的MAC地址,若该设备通过非黑名单中的设备接入,则还包括接入设备的MAC地址和接入端口。被列入黑名单的候选设备,需要网络管理员手工将其从黑名单删除后,方可加入集群。
白名单与黑名单具有互斥性:白名单中的节点必定不在黑名单中;黑名单中的节点也不能加入白名单。拓扑节点可以既不在白名单也不在黑名单中,这类节点通常属于新增结点,其身份还有待网络管理员的确认。
只有命令设备能进行黑白名单管理。
(1) 设置黑白名单
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“黑白名单”页签,进入如图38-16所示的页面,在列表中可以查看各拓扑节点的黑白名单信息。
步骤3 在列表中选择拓扑节点。
步骤4 选择将选中的拓扑节点移到白名单、黑名单中,或者设置为既不在白名单也不在黑名单中。
步骤5 单击<应用>按钮完成操作。
(2) 保存黑白名单信息到设备的Flash中
步骤1 在导航栏中选择“集群 > 集群”。
步骤2 单击“黑白名单”页签,进入如图38-16所示的页面
步骤3 选中“保存到设备”前的复选框。
步骤4 单击<应用>按钮完成操作。
拓扑显示和管理的功能说明如下:
· 拓扑显示:查看设备信息、拓扑收集。使能了NTDP功能的设备都可以进行拓扑显示。
· 拓扑管理:对集群中成员设备进行管理、初始化和重启。只有命令设备可以进行拓扑管理。
在导航栏中选择“集群 > 拓扑显示”,进入如图38-17所示的页面,可以查看集群的拓扑图,并对集群进行管理。
在拓扑图页面可以进行如下管理操作:
步骤1 设置拓扑图中设备详细信息(包括主机名、MAC地址、跳数等)的提示方式:
· 双击鼠标左键显示详细信息:双击拓扑图中的设备即可显示该设备的详细信息。
· 移动鼠标显示详细信息:将鼠标悬停于拓扑图中的设备上,等待2秒即可显示该设备的详细信息。
步骤2 拓扑收集:单击<拓扑收集>按钮,将根据全局NTDP的相关设置进行拓扑收集。
步骤3 访问成员设备:在拓扑图中选中某个成员设备,单击<管理>按钮,如果成员设备的Web网管用户名和密码与命令设备的一致,则直接进入成员设备的Web页面进行操作;否则,弹出成员设备的Web登录页面,可使用正确的用户名和密码成功登录后进行操作。
步骤4 初始化成员设备:在拓扑图中选中某个成员设备,单击<初始化>按钮,将删除该成员设备的配置文件,并重启设备。
步骤5 重启成员设备:在拓扑图中选中某个成员设备,单击<重启>按钮,将重启该成员设备。
在导航栏中选择“集群 > 集群升级”,默认进入“版本显示”页签的页面,如图38-18所示。可以查看集群中各设备的Bootrom版本、软件版本、Web版本和剩余空间信息。
设备在执行升级、恢复或备份操作时,不能删除文件。命令设备在执行升级、恢复或备份操作时,成员设备不能删除文件。
步骤1 在导航栏中选择“集群 > 集群升级”。
步骤2 单击“释放空间”页签。
步骤3 选择要操作的目标交换机,选中后页面的列表中将列出该设备Flash中所有非隐藏文件的信息,如图38-19所示。
步骤4 选择一个要删除的文件。
步骤5 单击<删除>按钮完成操作。
(3) 集群的升级/恢复/备份
进行集群的升级、恢复或备份操作时的注意事项参见页面上的文字说明,如图38-20所示。
步骤1 在导航栏中选择“集群 > 集群升级”。
步骤2 单击“升级备份”页签,进入如图38-20所示的页面。
步骤3 选中要操作的设备前的复选框,选择要对该设备执行的操作(包括升级软件、升级Bootrom、升级Web网管、恢复配置文件、恢复运行配置、备份配置文件和备份运行配置),输入TFTP服务器上保存的待升级/恢复文件的路径和名称,或者待备份文件保存到TFTP服务器上的路径和名称。
步骤4 单击<确定>按钮开始执行相应的操作。
(4) 监控集群的升级/恢复/备份状态
步骤1 在导航栏中选择“集群 > 集群升级”。
步骤2 单击“状态显示”页签,进入如图38-21所示的页面。可以查看升级、恢复、备份操作的状态和结果。
步骤3 单击<全部取消>按钮可以取消所有等待中的操作。
· 由三台设备组成的集群abc,其管理VLAN为VLAN 1。其中,Switch B为命令设备,其网管接口为Vlan-interface2;Switch A和Switch C为成员设备。
· 整个集群将IP地址为63.172.55.1/24的设备作为FTP服务器和TFTP服务器,SNMP网管站及日志主机的IP地址为69.172.55.4/24。
· 通过配置,将MAC地址为00E0-FC01-0013的设备加入黑名单。
· 将命令设备的配置文件备份到TFTP服务器上,相对备份路径和名称为\cluster\command.cfg。
(1) 使能全局NDP功能和端口GigabitEthernet1/0/1上的NDP功能。缺省情况下,全局和端口的NDP功能都处于使能状态,此处不再赘述。
(2) 使能全局NTDP功能和端口GigabitEthernet1/0/1上的NTDP功能。缺省情况下,全局和端口的NTDP功能都处于使能状态,此处不再赘述。
(1) 使能全局NDP功能和端口GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/04上的NDP功能。缺省情况下,全局和端口的NDP功能都处于使能状态,此处不再赘述。
(2) 使能全局NTDP功能和端口GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/04上的NTDP功能。缺省情况下,全局和端口的NTDP功能都处于使能状态,此处不再赘述。
(3) 配置Switch B为命令设备并创建集群。
步骤1:在导航栏中选择“集群 > 集群”。
步骤2:单击<设置>页签,页面显示当前设备的角色为候选交换机。
步骤3:进行如下配置,如图38-23所示。
· 选择“创建集群并转换为命令交换机”。
· 输入集群名为“abc”。
· 输入集群地址池为“10.8.1.1”,地址池掩码为“24”。
· 取消选中“从本地Flash中加载黑白名单”前的复选框。
步骤4:单击<应用>按钮完成操作。
图38-23 配置Switch B为命令设备并创建集群
集群建立后,系统会将发现的所有候选设备自动加入到所创建的集群中。
(4) 配置集群的服务器。
步骤1:继续在“设置”页签的页面进行如下配置,如图38-24所示。
· 设置FTP和TFTP服务器的IP地址为“63.172.55.1”。
· 设置网管工作站和日志主机的IP地址为“69.172.55.4”。
步骤2:单击<应用>按钮完成操作。
(5) 将MAC地址为00E0-FC01-0013的设备加入黑名单。
步骤1:单击“黑白名单”页签。
步骤2:如图38-25所示,在列表中选中MAC地址为00E0-FC01-0013的设备,选择移到“黑名单”。
步骤3:单击<应用>按钮完成操作。
图38-25 将MAC地址为00E0-FC01-0013的设备加入黑名单
(6) 备份命令设备的配置文件。
步骤1:在导航栏中选择“集群 > 集群升级”。
步骤2:单击“升级备份”页签。
步骤3:如图38-26所示,选中命令设备前的复选框,选择操作为“备份 配置文件”,输入服务器端文件路径为“\cluster\command.cfg”。
步骤4:单击<确定>按钮开始备份配置文件。
完成配置后,在命令设备的导航栏中选择“集群 > 集群”,可以查看到集群中有Switch A和Switch C两个成员设备,且MAC地址为00E0-FC01-0013的设备不在集群中;登录TFTP服务器,可以看到相应的目录下存在command.cfg文件,且文件内容和命令设备的配置一致。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。
目前设备支持两种方式的MAC地址认证:
· 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证。
· 在接入设备上进行本地认证。
目前,MAC地址认证支持两种类型的用户名格式:
· MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码。
· 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的用户名和密码进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证。
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
· 采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
· 采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
· 采用MAC地址用户名时,需要配置的本地用户名和密码为各接入用户的MAC地址。
· 采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。
MAC地址认证过程受以下定时器的控制:
· 离线检测定时器:用来设置设备用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费。
· 静默定时器:用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自该用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 认证超时定时器:用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果认证超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。MAC地址认证支持认证服务器授权下发VLAN功能,即当用户通过MAC地址认证后,认证服务器支持将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。
从认证服务器下发的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。MAC地址认证支持认证服务器授权下发ACL功能,即当用户通过MAC地址认证后,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制。为使下发的授权ACL生效,需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中,可以通过改变服务器的授权ACL设置来改变用户的访问权限。
认证失败VLAN(Auth-Fail VLAN)功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为认证失败VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
如果接入用户的端口上配置了认证失败VLAN,则该端口上认证失败的用户会被加入认证失败VLAN,即该用户被授权访问认证失败VLAN里的资源。若认证失败VLAN中的用户再次发起认证未成功,则该用户将仍然处于认证失败VLAN内;若认证成功,则会根据认证服务器是否下发VLAN将用户加入到下发的VLAN中,或回到加入认证失败VLAN之前端口所在的VLAN。
通过使用MAC地址认证,可以对用户的网络访问权限进行控制。
· 关闭全局的端口安全功能。
· 创建并配置ISP域。
· 若采用本地认证方式,需要创建本地用户并设置其密码,且本地用户的服务类型应设置为LAN-Access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户账号。
创建本地用户或添加远程用户账号时,需要注意这些用户的用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
MAC地址认证配置的推荐步骤如表39-1所示。
表39-1 MAC地址认证配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 在全局启用MAC地址认证,并配置高级参数 缺省情况下,全局的MAC地址认证处于关闭状态 |
|
|
2 |
必选 在指定的端口上启用MAC地址认证 在全局MAC地址认证未启用时,可以启用端口的MAC地址认证,但不起作用;只有在全局MAC地址认证启用后,各端口的MAC地址认证配置才会生效 缺省情况下,端口的MAC地址认证处于关闭状态 |
(1) 在导航栏中选择“认证 > MAC认证”。
(2) 在“MAC地址认证设置”中单击展开“高级设置”前的扩展按钮,页面如图39-1所示。
(3) 在“MAC地址认证设置”中可以显示和配置全局的MAC地址认证信息。配置全局MAC地址认证,详细配置如表39-2所示。
(4) 单击<确定>按钮完成操作。
表39-2 全局MAC地址认证的详细配置
|
配置项 |
说明 |
||
|
启用MAC地址认证 |
设置是否在全局启用MAC地址认证功能 |
||
|
离线检测时间 |
设置离线检测定时器的值 离线检测定时器用来设置用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费 |
||
|
静默时间 |
设置静默定时器的值 静默定时器用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证 |
||
|
认证超时时间 |
设置认证超时定时器的值 认证超时定时器用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超,设备将在相应的端口上禁止此用户访问网络 |
||
|
认证ISP域 |
设置MAC地址认证用户所使用的ISP域 不指定认证ISP域时,MAC地址认证用户使用缺省ISP域 |
||
|
认证信息格式 |
使用不带连字符MAC |
设置MAC地址认证的用户名和密码 · 使用不带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xxxxxxxxxxxx” · 使用带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xx-xx-xx-xx-xx-xx” · 使用固定值:表示采用固定的用户名和密码,此时需要手动指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名和密码 |
|
|
使用带连字符MAC |
|||
|
使用固定值 |
用户名 |
||
|
密码 |
|||
(1) 在导航栏中选择“认证 > MAC认证”,页面如图39-1所示。
(2) 在“MAC地址认证启用端口”中显示的是已启用MAC地址认证的端口,单击<新建>按钮,进入如图39-2所示的页面。
图39-2 启用MAC地址认证
(3) 在“端口”下拉框中,选择启用MAC地址认证的端口。
(4) 单击<确定>按钮完成操作。
如图39-3所示,某用户的工作站与交换机的端口GigabitEthernet1/0/1相连接。
· 管理者希望在交换机的各端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
· 所有用户都属于域:example.com,认证时使用本地认证的方式。使用用户的源MAC地址做用户名和密码。
图39-3 MAC地址认证配置组网图
(1) 配置本地接入用户,用户名和密码均为接入用户的MAC地址“00-e0-fc-12-34-56”,服务类型为“lan-access”。
(2) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“example.com”,如图39-4所示。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图39-5所示。
· 选择域名为“example.com”。
· 选中“LAN-access认证”前的复选框,选择认证方式为“Local”。
图39-5 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图39-6所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置全局的MAC地址认证。
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如图39-7所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 输入离线检测时间为“180”。
· 输入静默时间为“180”。
· 选择认证ISP域为“example.com”。
· 选择认证信息格式为“使用带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图39-7 配置全局的MAC地址认证
(5) 启用端口GigabitEthernet1/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如图39-8所示。
步骤3:单击<确定>按钮完成操作。
图39-8 启用端口GigabitEthernet1/0/1的MAC地址认证
如图39-9所示,主机Host通过MAC地址认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 认证时使用用户的源MAC地址做用户名和密码。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启MAC地址认证,并配置ACL 3000。
· 当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图39-9 下发ACL典型配置组网图
· 确保RADIUS服务器与Switch路由可达。
· 由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户的用户名和密码。
· 指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。
(1) 配置RADIUS方案system。
· 本小节以S5500-WiNet系列交换机为例。
· S5500-WiNet、S5120-WiNet和S3100V2-WiNet系列交换机的“RADIUS”Web配置界面差异较大,具体请参见本手册的“RADIUS”。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如图39-10所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图39-10 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如图39-11所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图39-11 配置RADIUS计费服务器
步骤10:完成上述配置后的新建RADIUS方案的页面如图39-12所示,单击<确定>按钮完成操作。
图39-12 新建RADIUS方案system
(2) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如图39-13所示。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图39-14所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图39-14 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图39-15所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图39-16所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图39-16 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图39-17所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图39-17 配置ISP域的AAA计费方案
(6) 新建ACL 3000。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签,进入新建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如图39-18所示。
步骤4:单击<应用>按钮完成操作。
(7) 配置ACL规则拒绝目的IP地址为10.0.0.1的报文通过。
步骤1:单击“高级配置”页签,进入ACL的高级配置页面。
步骤2:进行如下配置,如图39-19所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤3:单击<新建>按钮完成操作。
图39-19 配置ACL规则拒绝目的IP地址为10.0.0.1的报文通过
(8) 配置全局的MAC地址认证。
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如图39-20所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 选择认证ISP域为“test”。
· 选择认证信息格式为“使用不带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图39-20 配置全局的MAC地址认证
(9) 启用端口GigabitEthernet1/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如图39-21所示。
步骤3:单击<确定>按钮完成操作。
图39-21 启用端口GigabitEthernet1/0/1的MAC地址认证
用户Host认证成功后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
本章节主要描述了802.1X的相关概念及配置步骤。由于通过配置端口安全特性也可以为用户提供802.1X认证服务,且还可以提供802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性。关于端口安全特性的详细介绍和具体配置请参见本手册的“端口安全”。
最初,IEEE 802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户设备进行认证,以便用户设备控制对网络资源的访问。
802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如图40-1所示。
图40-1 802.1X体系结构图
· 客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
· 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
设备端为客户端提供接入局域网的端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
· 非受控端口始终处于双向连通状态,主要用来传递EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)协议帧,保证客户端始终能够发出或接收认证报文。
· 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权状态进行相应地控制。
图40-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
· 处于双向受控状态时,禁止帧的发送和接收;
· 处于单向受控状态时,禁止从客户端接收帧,但允许向客户端发送帧。
目前,设备上的受控端口只能处于单向受控状态。
802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。
· 组播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为组播MAC地址01-80-C2-00-00-03。
· 广播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文的目的地址为广播MAC地址。该方式可解决由于网络中有些设备不支持上述的组播报文,而造成认证设备无法收到客户端认证请求的问题。
目前,iNode的802.1X客户端可支持广播触发方式。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:
· 组播触发:设备每隔N秒(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。
· 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
802.1X系统支持采用EAP中继方式和EAP终结方式与远端RADIUS服务器交互。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。
这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。
下面以MD5-Challenge认证方法为例介绍基本业务流程,认证过程如图40-3所示。
图40-3 IEEE 802.1X认证系统的EAP中继方式业务流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。
(2) 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。
(4) 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
(5) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
(6) 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。
(8) 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS认证服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。
(11) 用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
(14) 设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要配置802.1X用户的认证方式为EAP即可。
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程,如图40-4所示。
图40-4 IEEE 802.1X认证系统的EAP终结方式业务流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于步骤(4)中用来对用户密码信息进行加密处理的MD5 Challenge由设备端生成,之后设备端会把用户名、MD5 Challenge和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。
设备不仅支持协议所规定的基于端口的接入认证方式(Port Based),还对其进行了扩展、优化,支持基于MAC的接入控制方式(MAC Based)。
· 当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上指定了授权给该用户的下发VLAN,则服务器发送给设备的授权信息中将含有下发的VLAN信息,设备根据用户认证上线的端口连接类型,按以下三种情况将端口加入下发VLAN中。
表40-1 不同类型的端口加入下发的VLAN
|
接入控制方式 |
Access端口 |
Trunk端口 |
Hybrid端口 |
|
Port Based |
端口离开用户配置的VLAN,加入下发的VLAN |
端口允许下发的VLAN通过,并且将缺省VLAN修改为下发的VLAN |
端口允许下发的VLAN以不携带Tag的方式通过,并且将缺省VLAN修改为下发的VLAN |
|
MAC Based |
端口离开用户配置的VLAN,加入第一个通过认证的用户的下发VLAN |
端口允许下发的VLAN通过,并且将缺省VLAN修改为第一个通过认证的用户的下发VLAN |
端口允许下发的VLAN以不携带Tag的方式通过 |
下发的VLAN并不影响端口的配置。但是,下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是下发的VLAN,用户配置的VLAN在用户下线后生效。
对于Hybrid端口,不建议把服务器将要下发或已经下发的VLAN配置为携带Tag的方式加入端口。
Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。
(1) 端口的接入控制方式为Port Based
在接入控制方式为Port Based的端口上配置Guest VLAN后,若在一定的时间内(默认90秒),该端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与端口加入服务器下发的VLAN类似,请参见“1. 支持VLAN下发”。
当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了认证失败VLAN,则该端口会被加入认证失败VLAN;如果端口未配置认证失败VLAN,则该端口仍然处于Guest VLAN内。关于认证失败VLAN的具体介绍请参见“3. 认证失败VLAN”。
当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
· 若认证服务器不下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
(2) 端口的接入控制方式为MAC Based
在接入控制方式为MAC Based的端口上配置Guest VLAN后,端口上未认证的用户被授权访问Guest VLAN里的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时,如果端口配置了认证失败VLAN,则认证失败的用户将被加入认证失败VLAN;如果端口未配置认证失败VLAN,则该用户将仍然处于Guest VLAN内。
当端口上处于Guest VLAN中的用户发起认证且成功时,设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入Guest VLAN之前端口所在的初始VLAN。
认证失败VLAN(Auth-Fail VLAN)功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,这个VLAN称之为认证失败VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
根据端口的接入控制方式不同,认证失败VLAN的生效情况有所不同。
(1) 端口的接入控制方式为Port Based
在接入控制方式为Port Based的端口上配置认证失败VLAN后,若该端口上有用户认证失败,则该端口会被加入到认证失败VLAN,所有在该端口接入的用户将被授权访问认证失败VLAN里的资源。端口加入认证失败VLAN的情况与加入授权下发VLAN相同,与端口链路类型有关。
当加入认证失败VLAN的端口上有用户发起认证并失败,则该端口将会仍然处于认证失败VLAN内;如果认证成功,则该端口会离开认证失败VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入认证失败VLAN之前所在的VLAN。
· 若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
(2) 端口的接入控制方式为MAC Based
在接入控制方式为MAC Based的端口上配置认证失败VLAN后,该端口上认证失败的用户将被授权访问认证失败VLAN里的资源。
当认证失败VLAN中的用户再次发起认证时,如果认证成功,则设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入认证失败VLAN之前端口所在的初始VLAN;如果认证失败,则该用户仍然留在该VLAN中。
802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:
· 配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。详细配置请参见本手册的“AAA”和“RADIUS”。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码,且用户使用的服务类型必须为LAN-Access。详细配置请参见本手册的“用户”。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
表40-2 802.1X配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 在全局启用802.1X认证,配置认证方法和高级参数 缺省情况下,全局802.1X认证处于关闭状态 |
|
|
2 |
必选 在指定的端口上启用802.1X认证,配置端口的802.1X参数 缺省情况下,端口802.1X认证处于关闭状态 |
(1) 在导航栏中选择“认证 > 802.1X”,进入如图40-5所示页面。在“802.1X认证设置”中可以显示和配置全局的802.1X特性。
(2) 选中“启用802.1X认证”前的复选框。
(3) 设置802.1X系统的认证方法,包括:CHAP、PAP、EAP。
802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:
· EAP中继方式下,设备端对客户端发送的EAP报文进行中继处理,设备上需指定认证方法为“EAP”来启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
· EAP终结方式下,设备端对客户端发送的EAP报文进行本地终结,设备上需指定认证方法为“CHAP”或“PAP”来启用EAP终结方式,并支持客户端与RADIUS服务器之间采用CHAP或PAP类型的认证方法。
(4) 单击“高级设置”前的扩展按钮,展开高级参数的配置内容,如图40-6所示。
(5) 根据需要修改高级参数的配置,详细配置如表40-3所示。
(6) 单击<确定>按钮完成操作。
表40-3 全局802.1X高级参数的详细配置
|
配置项 |
说明 |
|
|
静默功能 |
设置是否启用静默定时器功能以及静默定时器的值 当802.1X用户认证失败以后,设备需要静默一段时间(通过“静默时长”设定)后再重新发起认证。在静默期间,设备不进行802.1X认证的相关处理 |
|
|
静默时长 |
||
|
报文重传次数 |
设置设备向接入用户发送认证请求报文的最大次数 在规定的时间里(通过“重传间隔”或者“客户端超时时间”设定)没有收到用户的响应,则设备将根据报文重传次数决定是否再次向用户发送该认证请求报文 报文重传次数设置为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;设置为2时表示在首次向用户发送请求又没有收到响应后,将重复发送1次;……依次类推 |
|
|
重传间隔 |
设置重传定时器的值 重传定时器定义了两个时间间隔: · 其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文 · 其二,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。重传间隔定义了该组播报文的发送时间间隔 |
|
|
用户握手周期 |
设置用户握手定时器的值 当端口上启用了用户握手功能(具体配置请参见“40.2.3 配置端口的802.1X特性”)时,设备端会在用户认证成功后启动用户握手定时器,并以此定时器的值为周期发送握手请求报文,以定期检测用户的在线情况。如果配置报文重传次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线 |
|
|
重认证周期 |
设置周期性重认证定时器的值 当端口上启用了周期性重认证功能(具体配置请参见“40.2.3 配置端口的802.1X特性”)时,设备端会在用户认证成功后启动周期性重认证定时器,用于周期性的对在线用户发起重认证,以便定时更新服务器对用户的授权信息 |
|
|
客户端超时时间 |
设置客户端超时定时器的值 当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文 |
一般情况下,无需改变客户端超时定时器和服务器超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端超时定时器值调大一些;还可以通过调节服务器超时定时器的值来适应不同认证服务器的性能差异 |
|
服务器超时时间 |
设置服务器超时定时器的值 当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动服务器超时定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文 |
|
(1) 在导航栏中选择“认证 > 802.1X”,进入如图40-5所示页面。
(2) 在“802.1X认证启用端口”中单击<新建>按钮,进入新启用端口802.1X认证的配置页面,如图40-7所示。
(3) 配置端口802.1X特性,详细配置如表40-4所示。
(4) 单击<确定>按钮完成操作。
表40-4 端口802.1X特性的详细配置
|
配置项 |
说明 |
|
端口 |
设置要启用802.1X认证的端口,只能选择未启用802.1X认证的端口 只有同时启用全局和端口的802.1X特性后,802.1X的配置才能在端口上生效
在用户端设备发送不携带Tag数据流的情况下,若接入端口配置了语音VLAN功能,则端口的802.1X功能不生效 |
|
端口控制方式 |
设置802.1X在端口上进行接入控制的方式,可选的方式及其含义说明如下: · MAC Based:表示采用基于MAC的接入控制方式,此时端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络 · Port Based:表示采用基于端口的接入控制方式,此时端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络
若端口上同时启用了802.1X和Portal认证功能,则端口控制方式必须为MAC Based |
|
控制模式 |
设置802.1X在端口上进行接入控制的模式,可选的模式及其含义说明如下: · Auto:自动识别模式。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况 · Force-Authorized:强制授权模式。表示端口始终处于授权状态,允许用户不经认证即可访问网络资源 · Force-Unauthorized:强制非授权模式。表示端口始终处于非授权状态,不允许用户进行认证,设备端不为通过该端口接入的客户端提供认证服务 |
|
最大用户数 |
设置802.1X在端口上可容纳接入用户数量的最大值 |
|
启用用户握手功能 |
设置是否在端口上启用用户握手功能 启用用户握手功能后,设备会定期(用户握手周期)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(报文重传次数)没有收到客户端的响应报文,则会将用户置为下线状态。用户握手周期和报文重传次数的具体配置请参见“40.2.2 配置全局的802.1X特性”
部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线 |
|
启用周期性重认证 |
设置是否在端口上启用周期性重认证功能 启用周期性重认证功能后,设备会根据指定的重认证周期(具体配置请参见“40.2.2 配置全局的802.1X特性”)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如:ACL、VLAN)
认证服务器可以通过下发RADIUS属性(session-timeout)来指定用户的重认证周期,且该功能不需要设备上开启周期性重认证功能来配合,属性下发成功即可生效。802.1X用户认证通过后,如果认证服务器对该用户下发了重认证周期,则设备上配置的周期性重认证时间无效,服务器下发的重认证周期生效。认证服务器下发重认证时间的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现 在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同内容的VLAN;但是,若重认证前端口下发了VLAN,而重认证后未下发VLAN,则重认证失败,用户下线,反之同样处理 |
|
Guest VLAN |
设置端口的Guest VLAN。配置Guest VLAN之前,需要进行以下配置准备: · 创建需要配置为Guest VLAN的VLAN · 在接入控制方式为Por Based的端口上,保证802.1X的组播触发功能处于开启状态(缺省情况下,此功能处于开启状态)
对于Hybrid端口,不建议将指定的Guest VLAN修改为携带Tag的方式 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为语音VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID |
|
认证失败VLAN |
设置认证失败的用户被授权访问的VLAN。配置认证失败VLAN之前,需要进行以下配置准备: · 创建需要配置为认证失败VLAN的VLAN · 在接入控制方式为Por Based的端口上,保证802.1X的组播触发功能处于开启状态(缺省情况下,此功能处于开启状态)
对于Hybrid端口,不建议将指定的认证失败VLAN修改为携带Tag的方式 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了认证失败VLAN,为保证各种功能的正常使用,请为语音VLAN、端口的缺省VLAN和802.1X的认证失败VLAN分配不同的VLAN ID |
· 本小节以S5500-WiNet系列交换机为例。
· S5500-WiNet、S5120-WiNet和S3100V2-WiNet系列交换机的“RADIUS”Web配置界面差异较大,具体请参见本手册的“RADIUS”。
· 要求在端口GigabitEthernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制;对在线用户启用周期性重认证,以便定时更新服务器对用户的授权信息。
· 所有接入用户都属于一个缺省的域:test。认证时,采用RADIUS认证方式;计费时,如果RADIUS计费失败则切断用户连接使其下线。RADIUS服务器使用CAMS/iMC服务器。
· 由两台RADIUS服务器组成的服务器组与Switch相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/备份计费服务器,使用后者作为备份认证/主计费服务器。
· 设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。
· 设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次;设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
· 设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。
图40-8 802.1X配置组网图
下述各配置步骤包含了很多RADIUS客户端的配置,详细配置请参见本手册的“RADIUS”。RADIUS服务器上的配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置全局的802.1X特性。
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如图40-9所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
(3) 配置端口GigabitEthernet1/0/1的802.1X特性。
步骤1:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤2:进行如下配置,如图40-10所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选中“启用周期性重认证”前的复选框。
步骤3:单击<确定>按钮完成操作。
图40-10 配置端口GigabitEthernet1/0/1的802.1X特性
(4) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如图40-11上方所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
· 单击“高级”前的扩展按钮。
· 输入认证服务器共享密钥和确认认证服务器共享密钥为“name”。
· 输入计费服务器共享密钥和确认计费服务器共享密钥为“money”。
· 输入服务器应答超时时间为“5”秒。
· 输入RADIUS报文最大尝试发送次数为“5”。
· 输入实时计费间隔为“15”分钟。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“备份认证服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1812”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成备份认证服务器的配置。
步骤10:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤11:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1813”。
步骤12:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
步骤13:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤14:在弹出的页面上进行如下配置。
· 选择服务器类型为“备份计费服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1813”。
步骤15:单击<确定>按钮,关闭弹出的页面,完成备份计费服务器的配置。
在“RADIUS服务器配置”中可以看到新添加的服务器信息,如图40-11下方所示。
步骤16:单击<确定>按钮完成操作。
图40-11 配置RADIUS方案system
(5) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如图40-12所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(6) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图40-13所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图40-13 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图40-14所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(7) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图40-15所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图40-15 配置ISP域的AAA授权方案
(8) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图40-16所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮完成操作,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图40-16 配置ISP域的AAA计费方案
如图40-17所示,主机Host通过802.1X认证接入网络,认证服务器为RADIUS服务器(使用CAMS/iMC服务器)。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启802.1X认证,并配置ACL 3000。
当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图40-17 下发ACL配置组网图
(1) 配置各接口的IP地址。(略)
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如图40-18所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如图40-18所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图40-18 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如图40-19所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图40-19 配置RADIUS计费服务器
步骤10:完成上述配置后,新建RADIUS方案的配置页面如图40-20所示,单击<确定>按钮完成操作。
图40-20 新建RADIUS方案system
(3) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如图40-21所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(4) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图40-22所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图40-22 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图40-23所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图40-24所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图40-24 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案,并配置用户计费可选。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图40-25所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图40-25 配置ISP域的AAA计费方案
(7) 新建ACL 3000。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签,进入新建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如图40-26所示。
步骤4:单击<应用>按钮完成操作。
(8) 配置ACL规则,拒绝目的IP地址为10.0.0.1的报文通过。
步骤1:单击“高级配置”页签,进入ACL的高级配置页面。
步骤2:进行如下配置,如图40-27所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤3:单击<新建>按钮完成操作。
(9) 配置全局的802.1X特性。
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如图40-28所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
(10) 开启端口 GigabitEthernet1/0/1的802.1X特性。
步骤1:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如图40-29所示。
步骤3:单击<确定>按钮完成操作。
图40-29 配置端口GigabitEthernet1/0/1的802.1X特性
用户Host认证成功后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由以上过程可知,用户无法ping通FTP服务器,说明认证服务器下发的ACL已对该用户生效。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· 禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文。
· 端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文。
· 未通过认证的用户发送的报文。
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见本手册的“802.1X”、“MAC认证”。
出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性。
Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
端口安全包括基本控制和高级控制两种模式:
· 基本控制模式:此模式下,端口通过配置或学习到的安全MAC地址被保存在安全MAC地址表项中。当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,禁止端口学习MAC地址,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口。此模式下,禁止学习动态MAC地址。
· 高级控制模式:此模式包括多种安全模式,具体描述如表41-1所示。
|
高级控制模式类型 |
描述 |
|
MAC-Auth |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
|
802.1X Port Based |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其他用户无须认证就可接入 需要注意的是,此模式下出方向报文控制特性和报文入侵控制特性不会被触发 |
|
802.1X Single Host |
对接入用户采用基于MAC的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
|
802.1X MAC Based |
对接入用户采用基于MAC的802.1X认证, 此模式下,端口允许多个802.1X认证用户接入 |
|
802.1X MAC Based Or OUI |
与802.1X Single Host模式类似,端口最多只允许一个802.1X认证用户接入 在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过 |
|
MAC-Auth Or 802.1X Single Host |
端口同时处于802.1X Single Host模式和MAC-Auth模式,但802.1X认证优先级大于MAC地址认证 在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证;对于802.1X报文先直接进行802.1X认证 |
|
MAC-Auth Or 802.1X MAC Based |
与MAC-Auth Or 802.1X Single Host类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|
MAC-Auth Else 802.1X Single Host |
端口同时处于MAC-Auth模式和802.1X Single Host模式,但MAC地址认证优先级大于802.1X认证 对于非802.1X报文直接进行MAC地址认证;对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 |
|
MAC-Auth Else 802.1X MAC Based |
与MAC-Auth Else 802.1X Single Host类似,但允许端口下有多个802.1X和MAC地址认证用户 |
· 目前端口安全特性对用户的认证主要有两种方式:MAC地址认证和802.1X认证,不同的安全模式对应不同的认证方式或认证方式组合。
· 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,802.1X MAC Based模式下,端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
· 在配置端口安全之前,需要关闭全局的802.1X和MAC地址认证功能
· 一个端口只能选择配置基本控制模式和高级控制模式中的一种。已进行了基本控制模式配置的端口,不能再配置为高级控制模式;反之亦然。
基本控制模式端口安全配置的推荐步骤如表41-2所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
|
2 |
必选 配置端口采用基本控制模式和端口的最大安全MAC数、报文入侵控制、出方向报文控制特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
|
3 |
可选 安全MAC地址是一种特殊的MAC地址,不会被老化,保存后重启设备,不会丢失。在同一个VLAN内,一个安全MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定 安全MAC地址可以由使能端口安全基本控制功能的端口自动学习,也可以通过Web手动配置 当端口下的安全MAC地址数目超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的安全MAC地址,仅接收并允许数据帧中的源MAC地址为安全MAC地址的报文访问网络设备 缺省情况下,没有配置安全MAC地址 |
高级控制模式端口安全配置的推荐步骤如表41-3所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
|
2 |
必选 配置端口的高级控制模式和报文入侵控制、出方向报文控制、忽略授权信息特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
|
3 |
可选 授权OUI只对安全模式配置为802.1X MAC Based Or OUI的端口有效。在端口安全模式为802.1X MAC Based Or OUI时,端口除了可以允许一个802.1x的接入用户通过认证之外,还可以允许一个指定OUI值的源MAC地址的用户通过认证 可以配置多个允许通过认证的用户OUI值,最多可以配置16个 缺省情况下,没有配置允许通过认证的用户OUI值 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图41-1所示的页面。
(2) “端口安全设置”中可以显示和配置全局端口安全功能的启用状态。单击“高级设置”前的扩展按钮可以显示和配置全局端口安全的高级参数信息,如图41-2所示。
(3) 配置全局端口安全,详细配置如表41-4所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
|
启用端口安全 |
设置是否启用全局的端口安全功能 缺省情况下,全局的端口安全处于关闭状态 |
|
|
高级设置 |
暂时关闭端口时间 |
设置系统暂时关闭端口连接的时间 |
|
Trap信息发送 |
设置打开指定Trap信息的发送开关 Trap信息发送特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控 Trap信息的发送开关包括: · 学到新安全MAC · 802.1X认证失败 · 802.1X用户下线 · 802.1X用户上线 · 报文入侵 · MAC地址认证失败 · MAC地址认证用户下线 · MAC地址认证用户上线 |
|
(1) 在导航栏中选择“认证 > 端口安全”,进入如图41-1所示的页面。
(2) “配置端口安全功能和安全MAC表项”中的上半部分显示端口安全功能的信息,如图41-3所示。
(3) 单击<新建>按钮,进入新启用端口安全功能的配置页面,如图41-4所示。
(4) 配置端口的安全功能,详细配置如表41-5所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
端口 |
设置要启用端口安全基本控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
最大安全MAC数 |
设置端口允许的最大安全MAC地址数 端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过规定的最大值。配置最大安全MAC数有两个作用: · 控制能够通过某端口接入网络的最大用户数 · 控制端口安全能够添加的安全MAC地址数 该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关 |
|
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“41.2.2 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
|
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图41-1所示的页面。
(2) 在“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,展开如图41-5所示的页面,显示所有自动学习到的和手动配置的安全MAC地址。
(3) 单击<新建>按钮,进入新建安全MAC表项的配置页面,如图41-6所示。
(4) 配置安全MAC表项,详细配置如表41-6所示。
(5) 单击<确定>按钮完成操作。
表41-6 安全MAC表项的详细配置
|
配置项 |
说明 |
|
端口 |
设置要配置安全MAC表项的端口 |
|
安全MAC地址 |
设置安全MAC地址 |
|
VLAN ID |
设置安全MAC地址所属的VLAN 指定的VLAN必须为该端口允许的VLAN |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图41-1所示的页面。
(2) 在“高级控制设置”中单击“高级控制端口”前的扩展按钮,展开如图41-7所示的页面,显示高级控制端口的信息。
(3) 单击<新建>按钮,进入新启用高级控制端口的配置页面,如图41-8所示。
(4) 配置高级控制端口,详细配置如表41-7所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
端口 |
设置要启用端口安全高级控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
安全模式 |
设置端口安全高级控制模式 可选的模式及其具体描述请参见表41-1 |
|
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“41.2.2 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
|
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
|
忽略授权信息 |
设置端口不应用RADIUS服务器下发的授权信息 802.1x用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。通过此配置可实现基于端口是否忽略RADIUS服务器下发的授权信息 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图41-1所示的页面。
(2) 在“高级控制设置”中单击“授权OUI列表”前的扩展按钮,展开如图41-9所示的页面,显示授权OUI的信息。
(3) 配置授权OUI值。在“OUI值”文本框中输入格式为H-H-H的48位MAC地址。
(4) 单击<添加>按钮完成操作,系统会自动取输入MAC地址的前24位做为OUI值,忽略后24位。
· 本小节以S5500-WiNet系列交换机为例。
· S5500-WiNet、S5120-WiNet和S3100V2-WiNet系列交换机的“RADIUS”Web配置界面差异较大,具体请参见本手册的“RADIUS”。
在交换机的端口GigabitEthernet1/0/1上对接入用户做如下的限制:
· 允许3个用户自由接入,不进行认证,将学习到的用户MAC地址添加为安全MAC地址。
· 当安全MAC地址数量达到3后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。
图41-10 端口安全基本控制模式配置组网图
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中进行如下配置,如图41-11所示。
· 选中“启用端口安全”前的复选框。
· 单击“高级设置”前的扩展按钮。
· 输入暂时关闭端口时间为“30”秒。
· 选中Trap信息发送“报文入侵”前的复选框。
步骤3:单击<确定>按钮完成操作。
步骤4:单击“配置端口安全功能和安全MAC表项”中的<新建>按钮,进入对应的配置页面。
步骤5:进行如下配置,如图41-12所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 输入最大安全MAC数为“3”。
· 选中“启用报文入侵控制”前的复选框,选择控制方式为“暂时关闭端口”。
步骤6:单击<确定>按钮完成操作。
配置完成后,在Web上可以查看学习到的MAC地址。如学习到3个,那么存储的安全MAC地址数就为3,在端口安全页面的“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,查看到如图41-13所示的信息。
当学习到的MAC地址数达到3后,再有新的MAC地址到达将触发入侵保护,可以通过在导航栏中选择“设备 > 端口管理”,单击“详情”页签,选中端口GigabitEthernet1/0/1,看到端口安全使此端口不可用,如图41-14所示。
图41-14 端口管理——端口关闭
30秒后再次选中端口GigabitEthernet1/0/1刷新页面,可以看到端口恢复为可用,如图41-15所示。
此时,如手动删除几条安全MAC地址后,可以继续学习MAC地址。
客户端通过端口GigabitEthernet1/0/1连接到交换机上,交换机通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2的RADIUS服务器作为主认证/主计费服务器。认证共享密钥为name,计费共享密钥为money。
· 所有接入用户都使用ISP域system的缺省认证/授权/计费方案。
· 系统向RADIUS服务器发送的用户名不带域名。
交换机的管理者希望对接入用户的端口GigabitEthernet1/0/1做如下限制:
· 允许一个802.1x用户上线。
· 还允许端口上有一个与OUI值匹配的MAC地址用户通过。
图41-16 端口安全高级控制模式配置组网图
接入用户和RADIUS服务器上的配置略。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如图41-17所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“192.168.1.2”。
· 输入端口为“1812”。
· 输入密钥为“name”。
· 输入确认密钥为“name”。
步骤6:单击<确定>按钮完成主认证服务器的配置。
图41-17 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“192.168.1.2”。
· 输入端口为“1813”。
· 输入密钥为“money”。
· 输入确认密钥为“money”。
步骤9:单击<确定>按钮完成主计费服务器的配置。
图41-18 配置RADIUS计费服务器
完成上述配置后的新建RADIUS方案的页面如图41-19所示。
步骤10:单击<确定>按钮完成操作。
图41-19 新建RADIUS方案system
(2) 配置缺省ISP域system的AAA认证方案。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面方案。
步骤3:进行如下配置,如图41-20所示。
· 选择域名为“system”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图41-20 配置缺省ISP域system的AAA认证方案
步骤4:单击<应用>按钮,弹出配置进度对话框,如图41-21所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 配置缺省ISP域system的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图41-22所示。
· 选择域名为“system”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图41-22 配置缺省ISP域system的AAA授权方案
(4) 配置缺省ISP域system的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图41-23所示。
· 选择域名为“system”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图41-23 配置缺省ISP域system的AAA计费方案
(5) 配置全局的端口安全。
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中选中“启用端口安全”前的复选框,如图41-24所示。
步骤3:单击<确定>按钮完成操作。
(6) 配置端口GigabitEthernet1/0/1的高级控制功能。
步骤1:在“高级控制设置”中单击“高级控制端口”前的扩展按钮。
步骤2:单击展开的列表下的<新建>按钮,进入新启用高级控制端口的配置页面。
步骤3:进行如下配置,如图41-25所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选择安全模式为“802.1X MAC Based Or OUI”。
步骤4:单击<确定>按钮完成操作。
图41-25 配置端口GigabitEthernet1/0/1的高级控制功能
(7) 配置3个授权OUI。
步骤1:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤2:输入OUI值为“1234-0100-0000”,如图41-26所示。
步骤3:单击<添加>按钮完成操作。
步骤4:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤5:输入OUI值为“1234-0200-0000”。
步骤6:单击<添加>按钮完成操作。
步骤7:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤8:输入OUI值为“1234-0300-0000”。
步骤9:单击<添加>按钮完成操作。
仅S5120-WiNet和S3100V2-WiNet系列交换机支持三层Portal认证。
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。
未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。
Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略,加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下:
· 在Portal身份认证的基础上增加了安全认证机制,可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等。
· 用户通过身份认证后仅仅获得访问部分互联网资源(受限资源)的权限,如病毒服务器、操作系统补丁更新服务器等;当用户通过安全认证后便可以访问更多的互联网资源(非受限资源)。
Portal的典型组网方式如图42-1所示,它由五个基本要素组成:认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。
由于Portal服务器可以是接入设备之外的独立实体,也可以是存在于接入设备之内的内嵌实体,本文称之为“本地Portal服务器”,因此下文中除对本地支持的Portal服务器做特殊说明之外,其它所有Portal服务器均指独立的Portal服务器,请勿混淆。
图42-1 Portal系统组成示意图
安装于用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
· 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。
· 在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
· 在认证通过后,允许用户访问被管理员授权的互联网资源。
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
与接入设备进行交互,完成对用户的认证和计费。
与Portal客户端、接入设备进行交互,完成对用户的安全认证,并对用户进行授权操作。
以上五个基本要素的交互过程为:
(1) 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;若需要使用Portal的扩展认证功能,则用户必须使用Portal客户端。
(2) 用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备。
(3) 然后接入设备再与认证/计费服务器通信进行认证和计费。
(4) 认证通过后,如果未对用户采用安全策略,则接入设备会打开用户与互联网的通路,允许用户访问互联网;如果对用户采用了安全策略,则客户端、接入设备与安全策略服务器交互,对用户的安全检测通过之后,安全策略服务器根据用户的安全性授权用户访问非受限资源。
· 无论是Web客户端还是H3C iNode客户端发起的Portal认证,均能支持Portal认证穿越NAT,即Portal客户端位于私网、Portal服务器位于公网,接入设备上启用NAT功能的组网环境下,NAT地址转换不会对Portal认证造成影响。
· 目前支持Portal认证的远端认证/计费服务器为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
· 目前通过访问Web页面进行的Portal认证不能对用户实施安全策略检查,安全检查功能的实现需要与H3C iNode客户端配合。
本地Portal服务器功能是指,Portal认证系统中不采用外部独立的Portal服务器,而由接入设备实现Portal服务器功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和认证/计费服务器,如图42-2所示。由于设备支持Web用户直接认证,因此就不需要部署额外的Portal服务器,增强了Portal认证的通用性。
图42-2 使用本地Portal服务器的Portal系统组成示意图
· 使用本地Portal服务器的Portal认证系统不支持Portal扩展功能,因此不需要部署安全策略服务器。
· 内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。
认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
不同的组网方式下,可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。
这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。
另外,该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能(三层认证方式不支持)。
这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和可跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端和接入设备之间没有三层转发;可跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
· 直接认证方式:用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后即可访问网络资源。
· 二次地址分配认证方式:用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。
· 可跨三层认证方式:和直接认证方式基本相同,但是这种认证方式允许认证客户端和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与Portal认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图42-3 Portal支持EAP认证协议交互示意图
如图42-3所示,在Portal支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
· 该功能仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。
· 目前,仅使用远程Portal服务器的三层Portal认证支持EAP认证。
目前,二层Portal认证只支持本地Portal认证,即由接入设备作为本地Portal服务器向用户提供Web认证服务,具体认证过程如图42-4。
图42-4 二层Portal认证流程图
(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址(通常为Loopback接口IP)。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。
(3) 如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程,所以其认证流程和另外两种认证方式有所不同。
图42-5 直接认证/可跨三层Portal认证流程图
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAP(Password Authentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5) 接入设备向Portal服务器发送认证应答报文。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(7) Portal服务器向接入设备发送认证应答确认。
(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(8)、(9)为Portal认证扩展功能的交互过程。
图42-6 二次地址分配认证方式流程图
二次地址分配认证流程:
(1)~(6)同直接/可跨三层Portal认证中步骤(1)~(6)。
(7) 客户端收到认证通过报文后,通过DHCP获得新的公网IP地址,并通知Portal服务器用户已获得新IP地址。
(8) Portal服务器通知接入设备客户端获得新公网IP地址。
(9) 接入设备通过检测ARP协议报文发现了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接入设备发送IP变化确认报文。
(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(13) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(12)、(13)为Portal认证扩展功能的交互过程。
图42-7 使用本地Portal服务器的认证流程图
直接/可跨三层Portal认证流程:
(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(3) 接入设备中的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
· 用户、接入设备和各服务器之间路由可达。
· 使能Portal的接口已配置或者获取了合法的IP地址。
· Portal服务器、RADIUS服务器已安装并配置成功。本地Portal认证无需单独安装Portal服务器。
· 若采用二次地址分配认证方式,接入设备需启动DHCP中继的安全地址匹配检查功能,另外需要安装并配置好DHCP服务器。
· 如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见本手册的“RADIUS”。
· 如果需要支持Portal的扩展功能,需要安装并配置CAMS EAD/iMC EAD。同时保证在接入设备上的ACL配置和安全策略服务器上配置的受限资源ACL号、非受限资源ACL号对应。接入设备上的安全策略服务器配置请参见本手册的“RADIUS”。
二层Portal认证配置的推荐步骤如表42-1所示。
表42-1 二层Portal认证配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 配置本地Portal服务器,并应用到二层接口上,以及配置二层Portal认证的相关参数 缺省情况下,不存在任何本地Portal服务器
为使二层接口上的Portal认证功能正常运行,不建议接口上同时启用端口安全或802.1X的Guest VLAN功能 |
|
|
2 |
可选 配置Web代理服务器端口、认证成功后自动跳转的等待时长和目的URL、端口迁移功能 |
|
|
3 |
可选 配置Portal的免认证策略,指定源过滤条件或目的过滤条件 通过配置免认证策略可以让特定的用户访问外网特定资源,这是由免认证策略中配置的源信息以及目的信息决定的。符合免认证策略的报文不会触发Portal认证,而是直接访问网络资源 缺省情况下,不存在任何免认证策略 |
三层Portal认证配置的推荐步骤如表42-2所示。
表42-2 三层Portal认证配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 配置Portal服务器,并应用到三层接口上,以及配置Portal认证的相关参数 缺省情况下,不存在任何Portal服务器 |
|
|
2 |
可选 认证成功后自动跳转的目的URL和等待时长、端口迁移功能 |
|
|
3 |
可选 配置Portal的免认证策略,指定源过滤条件或目的过滤条件 通过配置免认证策略可以让特定的用户访问外网特定资源,这是由免认证策略中配置的源信息以及目的信息决定的。符合免认证策略的报文不会触发Portal认证,而是直接访问网络资源 缺省情况下,不存在任何免认证策略 |
(1) 在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,如图42-8所示。
图42-8 配置Portal服务器(以S3100V2-WiNet系列交换机为例)
接口上应用Portal服务有以下两种状态:
· 运行:表示接口上的Portal认证已生效。
· 已启动:表示接口上的Portal认证已使能,但未生效。
(2) 在“应用Portal服务:二层接口”中单击<新建>按钮,进入如图42-9所示的页面。
图42-9 应用Portal服务(二层接口)
(3) 配置二层Portal认证,详细配置如表42-3所示。
(4) 单击<确定>按钮完成操作。
表42-3 二层Portal认证的详细配置
|
配置项 |
说明 |
|
接口名称 |
设置要使能Portal认证的二层接口 |
|
认证域 |
设置二层Portal用户使用的认证域 通过在二层接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性 可选的认证域在“认证 > AAA”中配置,详细配置请参见本手册的“AAA” |
|
在线探测时长 |
设置二层Portal用户在线探测时间间隔 二层接口上有Portal用户上线后,设备会启动一个用户在线探测定时器,定期对该接口上的所有在线用户的MAC地址表项进行探测,插卡定时器超时前该用户是否有报文发送到设备上(该用户MAC地址表项是否被命中过),来确认该用户是否在线,以便及时发现异常离线用户。若发现某用户MAC地址表项已经被老化或探测间隔内未收到过该用户的报文,则认为一次探测失败,连续两次探测失败后,设备会强制该用户下线 |
|
服务器IP地址 |
设置二层Portal认证的本地Portal服务器监听IP地址
此IP地址会被同时指定为设备上LoopBack接口的IP地址。利用LoopBack接口状态稳定的优点,可避免因为接口故障导致用户无法打开认证页面的问题;另外,由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响 |
|
认证页面传输协议 |
设置本地Portal服务器与客户端交互认证信息所使用的协议类型,包括HTTP和HTTPS |
|
PKI域 |
当认证页面传输协议选择“HTTPS”时,设置HTTPS协议所使用的PKI域 · 对于S5120-WiNet系列交换机,可选的PKI域在“认证 > PKI”中配置,详细配置请参见本手册中的“证书管理” · 对于S3100V2-WiNet和S5500-WiNet系列交换机,可选的PKI域在“认证 > 证书管理”中配置,详细配置请参见本手册中的“证书管理”
服务管理、Portal认证两个个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外一个模块中引用的PKI域也会随之改变 |
仅S3100V2-WiNet和S5120-WiNet系列交换机支持此特性,本小节以S3100V2-WiNet系列为例进行介绍。
(1) 在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,如图42-8所示。
(2) 在“应用Portal服务:三层接口”中单击<新建>按钮,进入如图42-10所示的页面。
图42-10 应用Portal服务(三层接口)
(3) 配置三层Portal认证,详细配置如表42-4所示。
(4) 单击<确定>按钮完成操作。
表42-4 三层Portal认证的详细配置
|
配置项 |
说明 |
|
接口名称 |
设置要使能Portal认证的三层接口 |
|
Portal服务器 |
设置要在接口上应用的Portal服务器 · 使用已有服务器:可以在下来框中选择一个已经存在的Portal服务器 · 新建服务器:选择此项时,页面下方显示如图42-11所示的内容,可以新建一个三层Portal认证的远程Portal服务器,并应用到该接口,详细配置如表42-5所示 · 使能本地服务:选择此项时,页面下方显示如图42-12所示的内容,可以配置三层Portal认证的本地Portal服务的相关参数,详细配置如表42-6所示 |
|
认证方式 |
设置Portal认证的方式 · Direct:直接认证方式 · Layer3:可跨三层认证方式 · ReDHCP:二次地址分配认证方式(仅S3100V2-52TP-WiNet交换机支持)
对于跨三层设备支持Portal认证的应用只能配置Layer3方式,但Layer3方式不要求接入设备和Portal用户之间必需跨越三层设备 在ReDHCP方式下,允许用户在未通过Portal认证时以公网地址向外发送报文,但相应的回应报文则受限制 使用本地Portal服务器时,ReDHCP方式可以配置但不生效 |
|
认证网段IP地址 |
当认证方式选择“Layer3”时,设置认证网段的IP地址和掩码 通过配置认证网段实现只允许源IP地址在认证网段范围内的用户HTTP报文才能触发Portal强制认证;如果未主动认证的用户的HTTP报文既不满足免认证策略又不在认证网段内,则将被接入设备丢弃
Direct方式的认证网段为任意源IP,ReDHCP方式的认证网段为由接口私网IP决定的私网网段 |
|
认证网段掩码 |
|
|
认证域 |
设置三层Portal用户使用的认证域 通过在三层接口上配置Portal用户使用的认证域,使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同,接入设备的管理员也可以通过该配置对不同接口指定不同的认证域,从而增加了管理员部署Portal接入策略的灵活性 可选的认证域在“认证 > AAA”中配置,详细配置请参见本手册的“AAA” |
表42-5 新建Portal服务器的详细配置
|
配置项 |
说明 |
|
服务器名称 |
设置远程Portal服务器的名称 |
|
服务器IP地址 |
设置远程Portal服务器的IP地址 |
|
共享密钥 |
设置与远程Portal服务器通信需要的共享密钥 |
|
端口号 |
设置设备向远程Portal服务器主动发送报文时使用的目的端口号,必须与远程Portal服务器实际使用的端口号保持一致 |
|
重定向URL |
设置HTTP报文重定向URL地址
重定向URL支持域名解析,但需要配置免认证策略,将DNS服务器地址加入Portal的免认证地址范围内 |
图42-12 本地Portal服务配置
表42-6 本地Portal服务的详细配置
|
配置项 |
说明 |
|
服务器名称 |
设置本地Portal服务器的名称 |
|
服务器IP地址 |
设置本地Portal服务器的IP地址,必须为应用该Portal服务器的接口的IP地址 |
|
重定向URL |
设置HTTP报文重定向URL地址
重定向URL支持域名解析,但需要配置免认证策略,将DNS服务器地址加入Portal的免认证地址范围内 仅S3100V2-WiNet系列交换机(除S3100V2-52TP-WiNet)支持 |
|
认证页面传输协议 |
设置本地Portal服务器与客户端交互认证信息所使用的协议类型,包括HTTP和HTTPS |
|
PKI域 |
当认证页面传输协议选择“HTTPS”时,设置HTTPS协议所使用的PKI域 · 对于S5120-WiNet系列交换机,可选的PKI域在“认证 > PKI”中配置,详细配置请参见手册中的“证书管理” · 对于S3100V2-WiNet和S5500-WiNet系列交换机,可选的PKI域在“认证 > 证书管理”中配置,详细配置请参见手册中的“证书管理”
服务管理、Portal认证两个模块中引用的PKI域是相互关联的,在任何一个模块进行了修改,另外一个模块中引用的PKI域也会随之改变 |
(1) 在导航栏中选择“认证 > Portal认证”,进入“配置Portal服务器”页签的页面,如图42-8所示。
(2) 单击页面下方的“高级设置”前的扩展按钮,展开Portal认证高级参数的配置内容,如图42-13所示。
(3) 配置Portal认证高级参数,详细配置如表42-7所示。
(4) 单击<确定>按钮完成操作。
表42-7 Portal认证高级参数的详细配置
|
配置项 |
说明 |
|
Web代理服务器端口 |
设置Web代理服务器端口号,以允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证;否则,只有未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证 除了配置Web代理服务器端口,还需要用户在其浏览器上将本地Portal服务器IP地址配置为Web代理服务器的例外地址,避免Portal用户发送给本地Portal服务器的HTTP报文被发送到Web代理服务器上,从而影响正常的Portal认证
如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则设备上不仅需要配置Web代理服务器端口,还需要配置免认证策略,允许目的IP为WPAD主机IP地址的用户报文免认证 |
|
认证成功后跳转到URL |
设置Portal用户认证成功后认证页面的自动跳转目的网站地址 未认证用户上网时,首先会主动或被强制登录到Portal认证页面进行认证,当用户输入正确的认证信息且认证成功后,若设备上指定了认证页面的自动跳转目的网站地址,则认证成功的用户将在一定的时间间隔之后被强制登录到该指定的目的网站页面 |
|
等待时长 |
设置Portal用户认证成功后认证页面等待进行跳转的时间间隔 |
|
启用端口迁移功能 |
设置是否启用Portal用户认证端口的自动迁移功能 在用户和设备之间存在Hub、二层交换机或AP的组网环境下,若在线用户在未下线的情况下从同一设备上的当前认证端口离开并迁移到其它使能了二层Portal的认证端口上接入时,由于原端口上仍然存在该用户的认证信息,因此设备默认不允许用户在新端口上认证上线 启用端口迁移功能后,设备允许在线用户离开当前端口后在新端口上上线,具体分为以下两种情况: · 若原认证端口状态未down,且用户先后接入的两个端口属于同一个VLAN,则用户不需要重新认证就能够继续以在线状态在新的端口上访问网络,并按照新的端口信息继续计费 · 若原认证端口状态变为down,或者原认证端口状态未down但是两个认证端口所属的VLAN不同,则设备会将用户在原端口上的认证信息删除掉,并要求用户在新端口上重新进行认证
用户迁移到新端口上之后,若设备发现该用户具有授权属性,则设备会尝试在新的端口上添加该用户的授权信息,若授权信息添加失败,设备会删除原端口上的用户信息,要求用户重新进行认证 |
(1) 在导航栏中选择“认证 > Portal认证”。
(2) 单击“免认证策略配置”页签,进入如图42-14所示的页面。
(3) 单击<新建>按钮,进入新建免认证策略的配置页面,如图42-15或图42-16所示。
图42-15 新建免认证策略(适用于S5120-WiNet和S3100V2-WiNet系列交换机)
图42-16 新建免认证策略(适用于S5500-WiNet系列交换机)
(4) 配置免认证策略,详细配置如表42-8或1-9所示。
(5) 单击<确定>按钮完成操作。
表42-8 免认证策略的详细配置(适用于S5120-WiNet和S3100V2-WiNet系列交换机)
|
配置项 |
说明 |
|
序号 |
设置免认证策略的序号 |
|
源接口 |
设置免认证策略的源接口 |
|
源IP地址 |
设置免认证策略的源IP地址和网络掩码 |
|
网络掩码 |
|
|
源MAC地址 |
设置免认证策略的源MAC地址
如果同时配置了源IP地址和源MAC地址,则必须保证源IP地址的网络掩码为255.255.255.255,否则配置的MAC地址无效 |
|
源VLAN |
设置免认证策略的源VLAN编号
如果同时配置了源VLAN和源接口,则要求源接口必须属于该VLAN,否则该策略无效 |
|
目的IP地址 |
设置免认证策略的目的IP地址和网络掩码 |
|
网络掩码 |
表42-9 免认证策略的详细配置(适用于S5500-WiNet系列交换机)
|
配置项 |
说明 |
|
序号 |
设置免认证策略的序号 |
|
目的IP地址 |
设置免认证策略的目的IP地址和网络掩码 |
|
网络掩码 |
S5500-WiNet、S5120-WiNet和S3100V2-WiNet系列交换机的“RADIUS”Web配置界面差异较大,具体请参见本手册的“RADIUS”。
用户主机与接入设备Switch直接相连,接入设备在端口GigabitEthernet1/0/1上对用户进行二层Portal认证。具体要求如下:
· 使用CAMS/iMC服务器作为远程RADIUS服务器进行认证、授权和计费。
· 使用远程DHCP服务器为用户分配IP地址。
· 本地Portal认证服务器的监听IP地址为4.4.4.4,设备使用HTTP协议传输认证数据。
· 认证成功的用户可访问外部网络。
图42-17 二层Portal认证配置组网图
· 保证配置Portal认证之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器的配置,保证用户的认证/授权/计费功能正常运行。本例中,RADIUS服务器上需要配置一个Portal用户(帐户名为userpt)。
· 完成DHCP服务器的配置,主要包括:指定为Portal客户端分配的IP地址范围(192.168.1.0/24);指定客户端的默认网关地址(192.168.1.1);确定分配给客户端的IP地址的租约期限;保证DHCP服务器上具有到达客户端主机的路由。
(1) 配置各以太网端口加入VLAN及对应VLAN接口的IP地址。(略)
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如图42-18上方所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“1.1.1.2”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“1.1.1.2”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
在“RADIUS服务器配置”中可以看到新添加的服务器信息,如图42-18下方所示。
步骤10:单击<确定>按钮完成操作。
图42-18 配置RADIUS方案system
(3) 配置系统缺省ISP域test,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如图42-19所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(4) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图42-20所示。
· 选择域名为“test”。
· 选中“Portal认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图42-20 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图42-21所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图42-22所示。
· 选择域名为“test”。
· 选中“Portal授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图42-22 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图42-23所示。
· 选择域名为“test”。
· 选中“Portal计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图42-23 配置ISP域的AAA计费方案
(7) 启动DHCP服务。
步骤1:在导航栏中选择“网络 > DHCP”。
步骤2:单击“DHCP中继”页签,进入DHCP中继的配置页面。
步骤3:选中DHCP服务“启动”前的单选按钮,如图42-24所示。
步骤4:单击<确定>按钮完成操作。
(8) 配置DHCP服务器组。
步骤1:在“服务器组”中单击<新建>按钮,进入新建服务器组的配置页面。
步骤2:进行如下配置,如图42-25所示。
· 输入服务器组ID为“1”。
· 输入IP地址为“1.1.1.3”。
步骤3:单击<确定>按钮完成操作。
图42-25 配置DHCP服务器组
(9) 配置接口Vlan-interface8工作在DHCP中继模式。
步骤1:在“接口设置”中单击Vlan-interface8对应的图标,进入接口的配置页面。
步骤2:进行如下配置,如图42-26所示。
· 选中DHCP中继“启动”前的单选按钮。
· 选择服务器组ID为“1”。
步骤3:单击<确定>按钮完成操作。
图42-26 配置接口Vlan-interface8工作在DHCP中继模式
(10) 配置配置本地Portal服务器,并应用到二层接口GigabitEthernet1/0/1上。
步骤1:在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面。
步骤2:在“应用Portal服务:二层接口”中单击<新建>按钮,进入二层Portal认证的配置页面。
步骤3:进行如下配置,如图42-27所示。
· 选择接口名称为“GigabitEthernet1/0/1”。
· 输入服务器IP地址为“4.4.4.4”。
· 选择认证页面传输协议为“HTTP”。
步骤4:单击<确定>按钮完成操作。
图42-27 应用Portal服务(二层接口)
用户userpt未进行Web访问之前,位于初始VLAN(VLAN 8)中,并被分配192.168.1.0/24网段中的IP地址。当用户通过Web浏览器访问外部网络时,其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后,能够成功通过Portal认证。通过认证的用户将可以访问外部网络。
本小节以S3100V2-WiNet系列交换机为例。
· 用户主机与接入设备Switch直接相连,采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。
· 使用CAMS/iMC服务器作为RADIUS服务器进行认证、授权和计费。
图42-28 Portal直接认证配置组网图
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口的IP地址(2.2.2.1),且与该Portal设备关联的IP地址组为用户所在的网段(2.2.2.0/24)。
· 按照组网图配置设备各接口的IP地址,保证配置Portal认证之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如图42-29上方所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
在“RADIUS服务器配置”中可以看到新添加的服务器信息,如图42-29下方所示。
步骤10:单击<确定>按钮完成操作。
图42-29 配置RADIUS方案system
(2) 配置系统缺省ISP域test,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如图42-30所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图42-31所示。
· 选择域名为“test”。
· 选中“Portal认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图42-31 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图42-32所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图42-33所示。
· 选择域名为“test”。
· 选中“Portal授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图42-33 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图42-34所示。
· 选择域名为“test”。
· 选中“Portal计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图42-34 配置ISP域的AAA计费方案
(6) 在与用户Host相连的接口Vlan-interface100上配置Portal直接认证。
步骤1:在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面,
步骤2:在“应用Portal服务:三层接口”中单击<新建>按钮,进入三层Portal认证的配置页面。步骤3:进行如下配置,如图42-35所示。
· 选择接口名称为“Vlan-interface100”。
· 选择Portal服务器为“新建Portal服务器”。
· 选择认证方式为“Direct”。
· 输入服务器名称为“newpt”。
· 输入服务器IP地址“192.168.0.111”。
· 输入共享密钥为“portal”。
· 输入端口号为“50100”。
· 输入重定向URL为“http://192.168.0.111:8080/portal”。
步骤4:单击<确定>按钮完成操作。
图42-35 应用Portal服务(三层接口)
本小节以S3100V2-WiNet系列交换机为例。
Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。
· 配置Switch A采用可跨三层Portal认证。用户在未通过Portal认证前,只能访问Portal服务器;用户通过Portal认证后,可以访问非受限互联网资源。
· 使用CAMS/iMC服务器作为RADIUS服务器进行认证、授权和计费。
图42-36 可跨三层Portal认证配置组网图
· 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址(20.20.20.1),且与该Portal设备关联的IP地址组为用户所在网段(8.8.8.0/24)。
· 按照组网图配置设备各接口的IP地址,保证配置Portal认证之前各主机、服务器和设备之间的路由可达。
· 完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。
在Switch A上进行以下配置。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如图42-37上方所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“192.168.0.112”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
在“RADIUS服务器配置”中可以看到新添加的服务器信息,如图42-37下方所示。
步骤10:单击<确定>按钮完成操作。
图42-37 配置RADIUS方案system
(2) 配置系统缺省ISP域test,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如图42-38所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图42-39所示。
· 选择域名为“test”。
· 选中“Portal认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图42-39 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图42-40所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图42-41所示。
· 选择域名为“test”。
· 选中“Portal授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图42-41 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图42-42所示。
· 选择域名为“test”。
· 选中“Portal计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图42-42 配置ISP域的AAA计费方案
(6) 在与用户Host相连的接口Vlan-interface4上配置可跨三层Portal认证。
步骤1:在导航栏中选择“认证 > Portal认证”,默认进入“配置Portal服务器”页签的页面。
步骤2:在“应用Portal服务:三层接口”中单击<新建>按钮,进入三层Portal认证的配置页面。步骤3:进行如下配置,如图42-43所示。
· 选择接口名称为“Vlan-interface4”。
· 选择Portal服务器为“新建Portal服务器”。
· 选择认证方式为“Layer3”。
· 输入服务器名称为“newpt”。
· 输入服务器IP地址“192.168.0.111”。
· 输入共享密钥为“portal”。
· 输入端口号为“50100”。
· 输入重定向URL为“http://192.168.0.111:8080/portal”。
步骤4:单击<确定>按钮完成操作。
图42-43 应用Portal服务(三层接口)
Switch B上需要配置到192.168.0.0/24网段的缺省路由,下一跳为20.20.20.1,具体配置略。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图43-1所示。
图43-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
图43-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。
这三种安全服务功能的具体作用如下:
· 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
· 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
AAA可以通过多种协议来实现,例如RADIUS协议或HWTACACS协议,在实际应用中,RADIUS协议也是最常使用的。RADIUS的详细介绍请参见本手册的“RADIUS”。HWTACACS的详细介绍请参见本手册的“HWTACACS”
一个ISP(Internet Service Provider,互联网服务提供商)域是由属于同一个ISP的用户构成的群体。
在“userid@isp-name”形式的用户名中,“userid”为用于身份认证的用户名,“isp-name”为域名。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置包括AAA策略(一组不同的认证/授权/计费方案)在内的属性集。
对于设备来说,每个接入用户都属于一个ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。
· 进行本地认证时,需要配置本地用户,具体配置请参见本手册的“用户”。
· 进行RADIUS认证/授权或计费时,需要已经创建RADIUS方案,通过引用已配置的RADIUS方案来实现认证/授权或计费。有关RADIUS方案的配置请参见本手册的“RADIUS”。
· 进行HWTACACS认证、授权、计费时,需要已经创建HWTACACS方案,通过引用已配置的HWTACACS方案来实现认证、授权、计费。有关HWTACACS方案的配置请参见本手册的“HWTACACS”。
AAA配置的推荐步骤如表43-1所示。
表43-1 AAA配置步骤
|
步骤 |
配置任务 |
说明 |
|
|
1 |
可选 配置ISP域,并指定其中一个为缺省ISP域 缺省情况下,系统存在名为system的缺省ISP域 |
||
|
2 |
可选 配置对ISP域中不同类型的用户所使用的认证方法 缺省情况下,所有类型的用户采用Local认证方法 |
AAA将用户类型分为:LAN-access用户(如802.1X认证、MAC地址认证用户)、Login用户(如SSH、Telnet、FTP、终端接入用户)、Portal用户、Command用户 |
|
|
3 |
可选 配置对ISP域中不同类型的用户所使用的授权方法 缺省情况下,所有类型的用户采用Local授权方法 |
||
|
4 |
必选 配置对ISP域中不同类型的用户所使用的计费方法 缺省情况下,所有类型的用户采用Local计费方法 |
||
(1) 在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如图43-2所示。
(2) 配置ISP域,详细配置如表43-2所示。
(3) 单击<应用>按钮完成操作。
表43-2 ISP域的详细配置
|
配置项 |
说明 |
|
域名 |
设置ISP域的名称,用于标识域 可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域 |
|
缺省域 |
设置该ISP域是否为缺省域 · Enable:设置为缺省域 · Disable:设置为非缺省域 同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“认证”页签,进入如图43-3所示的页面。
(3) 配置ISP域AAA认证方法,详细配置如表43-3所示。
(4) 单击<应用>按钮完成操作。
表43-3 ISP域AAA认证方法的详细配置
|
配置项 |
说明 |
|
选择一个域名 |
设置要配置的ISP域 |
|
Default认证 |
设置所有类型用户的缺省认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default认证,即恢复缺省情况(本地认证) |
|
方案名称 |
|
|
备选方法 |
|
|
LAN-access认证 |
设置LAN-access用户的认证方法和备选方法 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置 |
|
方案名称 |
|
|
备选方法 |
|
|
Login认证 |
设置Login用户的认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login认证,此时缺省使用Default认证的配置 |
|
方案名称 |
|
|
备选方法 |
|
|
Portal认证 |
设置Portal用户的认证方法(仅S5500-WiNet系列和S3100V2-WiNet系列交换机支持) · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Portal认证,此时缺省使用Default认证的配置 |
|
方案名称 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“授权”页签,进入如图43-4所示的页面。
(3) 配置ISP域AAA授权方法,详细配置如表43-4所示。
(4) 单击<应用>按钮完成操作。
表43-4 ISP域AAA授权方法的详细配置
|
配置项 |
说明 |
|
选择一个域名 |
设置要配置的ISP域 |
|
Default授权 |
设置所有类型用户的缺省授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default授权,即恢复缺省情况(本地授权) |
|
方案名称 |
|
|
备选方法 |
|
|
LAN-access授权 |
设置LAN-access用户的授权方法和备选方法 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置 |
|
方案名称 |
|
|
备选方法 |
|
|
Login授权 |
设置Login用户的授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login授权,此时缺省使用Default授权的配置 |
|
方案名称 |
|
|
备选方法 |
|
|
方案名称 |
|
|
备选方法 |
|
|
Portal授权 |
设置Portal用户的授权方法(仅S5500-WiNet系列和S3100V2-WiNet系列交换机支持) · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Portal授权,此时缺省使用Default授权的配置 |
|
方案名称 |
|
|
Command授权 |
设置Command用户的授权方法(仅S5500-WiNet系列和S3100V2-WiNet系列交换机支持) · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案(仅S3100V2-52TP-WiNet交换机和S5500-WiNet系列交换机支持) · Not Set:不设置Portal授权,此时缺省使用Default授权的配置 |
|
方案名称 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“计费”页签,进入如图43-5所示的页面。
(3) 配置ISP域AAA计费方法,详细配置如表43-5所示。
(4) 单击<应用>按钮完成操作。
表43-5 ISP域AAA计费方法的详细配置
|
配置项 |
说明 |
|
选择一个域名 |
设置要配置的ISP域 |
|
计费可选开关 |
设置是否开启计费可选功能 · 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断 · 对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文 |
|
Default计费 |
设置所有类型用户的缺省计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default计费,即恢复缺省情况(本地计费) |
|
方案名称 |
|
|
备选方法 |
|
|
LAN-access计费 |
设置LAN-access用户的计费方法和备选方法 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置 |
|
方案名称 |
|
|
备选方法 |
|
|
Login计费 |
设置LogLocal:本地计费 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案(仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持) · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login计费,此时缺省使用Default计费的配置 |
|
方案名称 |
|
|
备选方法 |
|
|
Portal计费 |
设置Portal用户的计费方法(仅S5500-WiNet系列和S3100V2-WiNet系列交换机支持) · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Portal计费,此时缺省使用Default计费的配置 |
|
方案名称 |
如图43-6所示,配置Switch实现对登录Switch的Telnet用户进行本地认证、授权和计费。
图43-6 AAA配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置本地用户。
步骤1:在导航栏中选择“设备 > 用户管理”。
步骤2:单击“创建用户”页签,进入创建用户的配置页面。
步骤3:进行如下配置,如图43-7所示。
· 输入用户名为“telnet”。
· 选择访问等级为“Management”。
· 输入密码为“abcd”。
· 输入确认密码为“abcd”。
· 选择加密方式为“不可逆”。
· 选则服务类型为“Telnet服务”前的复选框。
步骤4:单击<应用>按钮完成操作。
(3) 配置ISP域test。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如图43-8所示。
步骤3:单击<应用>按钮完成操作。
图43-8 配置ISP域test
(4) 配置ISP域的AAA方案为本地认证。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面。
步骤3:进行如下配置,如图43-9所示。
· 选择域名为“test”。
· 选中“Login认证”前的复选框,选择认证方法为“Local”。
图43-9 配置ISP域的AAA方案为本地认证
步骤4:单击<应用>按钮,弹出配置进度对话框,如图43-10所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA方案为本地授权。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“授权”页签,进入AAA授权方案的配置页面。
步骤3:进行如下配置,如图43-11所示。
· 选择域名为“test”。
· 选中“Login授权”前的复选框,选择授权方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图43-11 配置ISP域的AAA方案为本地授权
(6) 配置ISP域的AAA方案为本地计费。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“计费”页签,进入AAA计费方案的配置页面。
步骤3:进行如下配置,如图43-12所示。
· 选择域名为“test”。
· 选中“Login计费”前的复选框,选择计费方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图43-12 配置ISP域的AAA方案为本地计费
使用Telnet登陆时输入用户名为telnet@test,以使用test域进行认证。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的一种最常用的协议。AAA的详细介绍请参见本手册的“AAA”。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
· 客户端:RADIUS客户端一般位于NAS设备上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· 服务器:RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。
RADIUS服务器通常要维护三个数据库,如图44-1所示。
图44-1 RADIUS服务器的组成
· “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
· “Clients”:用于存储RADIUS客户端的信息(如接入设备的共享密钥、IP地址等)。
· “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息。
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
RADIUS服务器支持多种方法来认证用户,如基于PPP的PAP、CHAP认证。另外,RADIUS服务器还可以作为一个代理,以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信,负责转发RADIUS认证和计费报文。
用户、RADIUS客户端和RADIUS服务器之间的交互流程如图44-2所示。
图44-2 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用户发起连接请求,向RADIUS客户端发送用户名和密码。
(2) RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。
(3) RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
(6) 用户开始访问网络资源;
(7) 用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
(9) 用户结束访问网络资源。
RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参数。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址、UDP端口号和报文共享密钥进行设置,这些服务器包括认证和计费服务器,而每种服务器又有主服务器和备份服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、备份服务器的IP地址、共享密钥以及RADIUS服务器类型等。缺省情况下,不存在任何RADIUS方案。
(1) 在导航栏中选择“认证 > RADIUS”,进入如图44-3所示的页面。
(2) 单击<新建>按钮,进入新建RADIUS方案的配置页面,如图44-4所示。
(3) 配置RADIUS方案,详细配置如表44-1所示。
(4) 单击<确定>按钮完成操作。
表44-1 RADIUS方案的详细配置
|
配置项 |
说明 |
|
方案名称 |
设置RADIUS方案的名称 |
|
通用配置 |
设置RADIUS方案的通用参数,包括服务类型、用户名格式、认证/计费服务器共享密钥等,详细配置请参见“44.2.2 高级配置” |
|
RADIUS服务器配置 |
设置RADIUS认证服务器和计费服务器信息,详细配置请参见“44.2.3 RADIUS服务器配置” |
(1) 单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如图44-5所示。
(2) 配置通用参数,详细配置如表44-2所示。
|
配置项 |
说明 |
|
服务类型 |
设置设备支持的RADIUS服务器类型: · Standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互 · Extended:指定Extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互 |
|
用户名格式 |
设置发送给RADIUS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器 · 保持用户原始输入:表示发送给RADIUS服务器的用户名保持用户原始的输入,不做任何修改 · 带域名:表示发送给RADIUS服务器的用户名带域名 · 不带域名:表示发送给RADIUS服务器的用户名不带域名 |
|
认证服务器共享密钥 |
设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥 RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致 设备优先采用“RADIUS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用 |
|
确认认证服务器共享密钥 |
|
|
计费服务器共享密钥 |
|
|
确认计费服务器共享密钥 |
|
|
静默时间间隔 |
设置RADIUS服务器恢复激活状态的时间 当静默时间间隔设置为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理 若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使得用户尽可能的集中在主服务器上进行认证和计费 |
|
服务器应答超时时间 |
设置RADIUS服务器应答超时时间,以及发送RADIUS报文的最大尝试次数 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果在指定的服务器应答超时时间没有收到服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数超过指定的最大尝试发送次数而RADIUS服务器仍旧没有响应,则设备将尝试与其它服务器通信。如果不存在状态为active的服务器,则认为本次认证或计费失败
服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能大于75 |
|
RADIUS报文最大尝试发送次数 |
|
|
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息 实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些 |
|
实时计费报文最大发送次数 |
设置允许实时计费请求无响应的最大次数 |
|
流量数据的单位 |
设置发送到RADIUS服务器的流量数据的单位 · Byte:表示流量数据的单位为字节 · Kilo-byte:表示流量数据的单位为千字节 · Mega-byte:表示流量数据的单位为兆字节 · Giga-byte:表示流量数据的单位为千兆字节 |
|
数据包的单位 |
设置发送到RADIUS服务器的数据包的单位 · One-packet:表示数据包的单位为包 · Kilo-packet:表示数据包的单位为千包 · Mega-packet:表示数据包的单位为兆包 · Giga-packet:表示数据包的单位为千兆包 |
|
安全策略服务器IP地址 |
设置安全策略服务器的IP地址 |
|
RADIUS报文源IP地址 |
设备向RADIUS服务器发送RADIUS报文时使用的源IP地址 RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致 如果不指定此地址,则以发送报文的接口地址作为源IP地址 |
|
RADIUS报文备份源IP地址 |
设备向RADIUS服务器发送RADIUS报文时使用的备份源IP地址
仅S3100V2-52TP-WiNet交换机支持 |
|
缓存未得到响应的停止计费报文 |
设置是否在设备上缓存没有得到响应的停止计费请求报文 |
|
停止计费报文最大发送次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数 |
|
启用accounting-on报文发送功能 |
设置是否启用accounting-on报文发送功能 在启用accounting-on报文发送功能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线
设备启动后,如果当前系统中没有启用accounting-on报文发送功能的RADIUS方案,则启用此功能后,必须保存配置,这样设备重启后此功能才能生效。但是,如果当前系统中已经有RADIUS方案启用了accounting-on报文发送功能,则对未启用此功能的RADIUS方案启用此功能后,功能会立即生效 |
|
accounting-on发送间隔 |
当启用accounting-on报文发送功能时,设置accounting-on报文重发时间间隔 |
|
accounting-on发送次数 |
当启用accounting-on报文发送功能时,设置accounting-on报文的最大发送次数 |
|
属性 |
设置开启RADIUS Attribute 25的CAR参数解析功能 |
|
属性值类型 |
(1) 在“RADIUS服务器配置”中单击<添加>按钮,弹出如图44-6所示的页面。
(2) 为RADIUS方案添加RADIUS服务器,详细配置如表44-3所示。
(3) 单击<确定>按钮,关闭弹出的页面,完成服务器的配置。
表44-3 RADIUS服务器的详细配置
|
配置项 |
说明 |
|
服务器类型 |
设置要添加的RADIUS服务器类型,包括:主认证服务器、主计费服务器、备份认证服务器、备份计费服务器 |
|
IP地址 |
设置RADIUS服务器的IP地址,可以配置IPv4地址或IPv6地址
主认证服务器和备份认证服务器的IP地址不能相同,主计费服务器和备份计费服务器的IP地址不能相同 同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致 |
|
端口 |
设置RADIUS服务器的UDP端口号 |
|
密钥 |
设置RADIUS服务器的共享密钥 当RADIUS服务器中未指定共享密钥时,使用RADIUS方案的通用配置中指定的共享密钥 |
|
确认密钥 |
RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参数。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址、UDP端口号和报文共享密钥进行设置,这些服务器包括认证和计费服务器,而每种服务器又有主服务器和备份服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、备份服务器的IP地址、共享密钥以及RADIUS服务器类型等。缺省情况下,不存在任何RADIUS方案。
(1) 在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,如图44-7所示。
图44-7 RADIUS服务器配置
(2) 配置RADIUS服务器的详细配置如表44-4所示。
(3) 单击<确定>按钮完成操作。
表44-4 RADIUS服务器的详细配置
|
配置项 |
说明 |
|
服务类型 |
设置要配置的RADIUS服务器的类型,包括:认证服务器、计费服务器 |
|
主服务器IP地址 |
设置主服务器的IP地址 未配置该主服务器时,文本框的值显示0.0.0.0 并且文本框为0.0.0.0时,表示删除配置的主服务器 主服务器与备份服务器的IP地址不能相同,否则将提示错误 |
|
主UDP端口 |
设置主服务器的UDP端口号 当未配置主服务器IP地址或者删除主服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813 |
|
主服务器状态 |
设置主服务器的状态: · active:处于正常工作状态 · block:处于宕机状态 当未配置主服务器IP地址或者删除主服务器IP地址时,状态为block |
|
备份服务器IP地址 |
设置备份服务器的IP地址 未配置该备份服务器时,文本框的值显示0.0.0.0 并且文本框为0.0.0.0时,表示删除配置的备份服务器 主服务器与备份服务器不能相同,否则将提示错误 |
|
备份UDP端口 |
设置备份服务器的UDP端口号 当未配置备份服务器IP地址或者删除备份服务器IP地址时,认证服务器端口号为1812,计费服务器端口号为1813 |
|
备份服务器状态 |
设置备份服务器的状态: · active:处于正常工作状态 · block:处于宕机状态 当未配置备份服务器IP地址或者删除备份服务器IP地址时,状态为block |
(1) 在导航栏中选择“认证 > RADIUS”,单击“RADIUS参数设置”页签,进入如图44-8所示的页面。
图44-8 RADIUS参数设置
(2) RADIUS参数的详细设置如表44-5所示。
(3) 单击<确定>按钮完成操作。
表44-5 设置RADIUS参数详细信息
|
配置项 |
说明 |
|
服务类型 |
设置设备支持的RADIUS服务器类型: · extended:指定extended的RADIUS服务器(一般为iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互 · standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互 |
|
认证服务器共享密钥 |
设置认证服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致 |
|
确认认证密钥 |
|
|
计费服务器共享密钥 |
设置计费服务器的共享密钥和确认密钥,确认密钥必须与共享密钥保持一致 |
|
确认计费密钥 |
|
|
NAS-IP |
设备向RADIUS服务器发送RADIUS报文时使用的源IP地址 为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址 |
|
超时时间 |
设置RADIUS服务器应答超时时间 |
|
超时重发次数 |
设置最大传送次数 超时时间和超时重发次数的乘积不能超过75 |
|
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息 实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系如表44-6所示 |
|
实时计费报文重发次数 |
设置允许实时计费请求无响应的最大次数 |
|
停止计费缓存 |
设置允许/禁止在设备上缓存没有得到响应的停止计费请求报文 · enable:表示允许缓存报文 · disable:表示禁止该功能 |
|
停止计费报文重发次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数 |
|
Quiet时间间隔 |
设置RADIUS服务器恢复激活状态的时间 |
|
用户名格式 |
设置发送给RADIUS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器 · without-domain:表示发送给RADIUS服务器的用户名不带域名 · with-domain:表示发送给RADIUS服务器的用户名带域名 |
|
流量数据的单位 |
设置发送到RADIUS服务器的流量数据的单位 · byte:表示流量数据的单位为字节 · kilo-byte:表示流量数据的单位为千字节 · mega-byte:表示流量数据的单位为兆字节 · giga-byte:表示流量数据的单位为千兆字节 |
|
数据包的单位 |
设置发送到RADIUS服务器的数据包的单位 · one-packet:表示数据包的单位为包 · kilo-packet:表示数据包的单位为千包 · mega-packet:表示数据包的单位为兆包 · giga-packet:表示数据包的单位为千兆包 |
|
安全策略服务器IP地址 |
设置安全策略服务器的IP地址 |
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
≥1000 |
≥15 |
本小节以S5500-WiNet系列交换机进行配置举例。
如图44-9所示,配置Switch实现RADIUS服务器对登录设备的Telnet用户进行认证、计费(Telnet用户在线时长统计)。
RADIUS服务器使用CAMS/iMC服务器。在RADIUS服务器上已经添加了Telnet用户的用户名和密码,同时设置了与Switch交互报文时的共享密钥为“expert”。
根据以上情况,只需设置Switch与IP地址为10.110.91.146的RADIUS服务器(其担当认证、计费服务器的职责,采用缺省端口进行认证和计费)进行报文交互时的共享密钥为“expert”。同时可以设置Switch向RADIUS服务器发送用户名时不带域名。
图44-9 RADIUS配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口IP地址。(略)
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如图44-10所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.110.91.146”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图44-10 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如图44-11所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.110.91.146”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图44-11 配置RADIUS计费服务器
步骤10:完成上述配置后的新建RADIUS方案的页面如图44-12所示,单击<确定>按钮完成操作。
图44-12 新建RADIUS方案system
(3) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如图44-13所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(4) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如图44-14所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图44-14 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如图44-15所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图44-16所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图44-16 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案,并配置用户计费可选。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图44-17所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图44-17 配置ISP域的AAA计费方案
配置RADIUS客户端时需要注意如下事项:
(1) 目前RADIUS不支持对FTP用户进行计费。
(2) 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
(3) RADIUS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主RADIUS服务器和多个备份RADIUS服务器,由备份服务器作为主服务器的备份。通常情况下,设备上主/备份服务器的切换遵从以下原则:
· 当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的静默定时器,然后按照备份服务器的配置先后顺序依次查找状态为active的备份服务器进行认证或者计费。如果状态为active的备份服务器也不可达,则将该备份服务器的状态置为block,同时启动该服务器的静默定时器,并继续查找状态为active的备份服务器。当服务器的静默定时器超时,或者设备收到该服务器的认证/计费应答报文时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与备份服务器通信时,主服务器状态由block恢复为active,则设备并不会立即恢复与主服务器的通信,而是继续查找备份服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 一个用户的计费流程开始之后,设备就不会再与其它的计费服务器通信,即该用户的实时计费报文和停止计费报文只会发往当前使用的计费服务器。如果当前使用的计费服务器被删除,则实时计费和停止计费报文都将无法发送。
· 如果在认证或计费过程中删除了服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 当主/备份服务器的状态均为block时,设备仅与主服务器通信,若主服务器可达,则主服务器状态变为active,否则保持不变。
· 只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
· 设备收到服务器的认证或计费应答报文后会将与报文源IP地址相同且状态为block的认证或计费服务器的状态更改为active。
(4) 实时计费间隔与用户量之间的推荐比例关系如表44-7所示。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
≥1000 |
≥15 |
仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持此功能。
HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)是在TACACS(RFC1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,用于实现AAA的协议,且采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。
HWTACACS协议主要用于终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作,HWTACACS服务器上会记录用户对设备执行过的命令。
HWTACACS方案中定义了设备和HWTACACS服务器之间进行信息交互所必须的一些参数。当创建一个新的HWTACACS方案之后,需要对属于此方案的HWTACACS服务器的IP地址、TCP端口号和报文共享密钥进行设置,这些服务器包括认证、授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个HWTACACS方案的属性包括:主服务器的IP地址、从服务器的IP地址、共享密钥等。
(1) 在导航栏中选择“认证 > HWTACACS”,进入如图45-1所示的页面。
(2) 单击<新建>按钮,进入新建HWTACACS方案的配置页面,如图45-2所示。
(3) 配置HWTACACS方案,详细配置如表45-1所示。
(4) 单击<确定>按钮完成操作。
表45-1 HWTACACS方案的详细配置
|
配置项 |
说明 |
|
方案名称 |
缺省情况下,存在一个名称为system的HWTACACS方案
通过Web首次配置HWTACACS功能时,默认方案名为system,该名称不可更改。点击<确认>后,再次新建HWTACACS方案,可以创建新的HWTACACS方案 |
|
通用配置 |
设置HWTACACS方案的通用参数,包括用户名格式、认证、授权、计费服务器共享密钥等,详细配置请参见“45.2.2 高级配置” |
|
HWTACACS服务器配置 |
设置HWTACACS认证服、授权和计费服务器信息,详细配置请参见“45.2.3 HWTACACS服务器配置” |
(1) 单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如图45-3所示。
(2) 配置通用参数,详细配置表45-2如所示。
|
配置项 |
说明 |
|
用户名格式 |
设置发送给HWTACACS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果HWTACACS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给HWTACACS服务器 · 带域名:表示发送给HWTACACS服务器的用户名带域名 · 不带域名:表示发送给HWTACACS服务器的用户名不带域名 · 保持用户原始输入:表示发送给HWTACACS服务器的用户名保持用户原始的输入,不做任何修改 |
|
认证服务器共享密钥 |
设置HWTACACS认证报文、HWTACACS授权报文和HWTACACS计费报文的共享密钥 HWTACACS客户端与HWTACACS服务器通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致 设备优先采用“HWTACACS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“HWTACACS服务器配置”中未指定相应共享密钥的情况下使用 |
|
确认认证服务器共享密钥 |
|
|
授权服务器共享密钥 |
|
|
确认授权服务器共享密钥 |
|
|
计费服务器共享密钥 |
|
|
确认计费服务器共享密钥 |
|
|
静默时间间隔 |
设置HWTACACS服务器恢复激活状态的时间 设置主服务器恢复激活状态的时间 当主服务器不可达时,状态变为block,设备会与状态为active的备份服务器交互,并开启超时定时器,在设定的一定时间间隔之后,将主服务器的状态恢复为active。这段时间被称为静默时间间隔 输入空时,恢复静默时间间隔为缺省值
当静默时间间隔设置为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理 若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使得用户尽可能的集中在主服务器上进行认证和计费 |
|
服务器应答超时时间 |
设置HWTACACS服务器应答超时时间 如果在HWTACACS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到HWTACACS服务器的响应,则有必要重传HWTACACS请求报文,以保证用户确实能够得到HWTACACS服务,这段时间被称为服务器应答超时时间 输入空时,恢复应答超时时间为缺省值
由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开 |
|
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要定期向服务器发送用户的实时计费信息,通过设置实时计费的时间间隔,设备会每隔设定的时间向HWTACACS服务器发送一次在线用户的计费信息。如果服务器对实时计费报文没有正常响应,设备也不会强制切断在线用户 输入空时,恢复实时计费的时间间隔为缺省值
实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系请参见“45.4 配置注意事项” |
|
缓存未得到响应的停止计费报文 |
设置允许或禁止在设备上缓存没有得到响应的停止计费请求报文 由于停止计费请求报文涉及到话单结算,并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃 |
|
停止计费报文最大发送次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,发送停止计费请求报文的最大次数 当停止计费缓存为Disable状态时,该值无效 输入空时,恢复停止计费请求报文传送次数为缺省值 |
|
HWTACACS报文源IP地址 |
设备向HWTACACS服务器发送HWTACACS报文时使用的源IP地址 HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权或计费请求。因此,为保证认证、授权和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致 如果不指定此地址,则以发送报文的接口地址作为源IP地址 |
|
流量数据的单位 |
设置发送到HWTACACS服务器的流量数据的单位 · Byte:表示流量数据的单位为字节 · Kilo-byte:表示流量数据的单位为千字节 · Mega-byte:表示流量数据的单位为兆字节 · Giga-byte:表示流量数据的单位为千兆字节 |
|
数据包的单位 |
设置发送到HWTACACS服务器的数据包的单位 · One-packet:表示数据包的单位为包 · Kilo-packet:表示数据包的单位为千包 · Mega-packet:表示数据包的单位为兆包 · Giga-packet:表示数据包的单位为千兆包 |
(1) 在“HWTACACS服务器配置”中单击<添加>按钮,弹出如图45-4所示的页面。
(2) 为HWTACACS方案添加HWTACACS服务器,详细配置如表45-3所示。
(3) 单击<确定>按钮,关闭弹出的页面,完成服务器的配置。
表45-3 HWTACACS服务器的详细配置
|
配置项 |
说明 |
|
服务器类型 |
设置要添加的HWTACACS服务器类型,包括:主认证服务器、主授权服务器、主计费服务器、从认证服务器、从授权服务器、从计费服务器 |
|
IP地址 |
设置HWTACACS服务器的IPv4地址
主认证/授权/计费服务器和从认证/授权/计费服务器的IP地址不能相同 |
|
端口 |
设置HWTACACS服务器的TCP端口号 |
|
密钥 |
设置HWTACACS服务器的共享密钥 当HWTACACS服务器中未指定共享密钥时,使用HWTACACS方案的通用配置中指定的共享密钥 |
|
确认密钥 |
通过配置Switch实现HWTACACS服务器对Telnet登录Switch的用户进行认证、授权、计费。
· 由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为10.1.1.1/24。
· Switch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,向HWTACACS服务器发送的用户名中不带域名。
图45-5 HWTACACS配置组网图
在HWTACACS服务器上设置其与Switch交互报文时的共享密钥为expert,添加Telnet用户名及密码。具体配置略。
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口IP地址和所属安全域。(略)
(2) 配置HWTACACS方案system。
步骤1:在导航栏中选择“认证 > HWTACACS”,进入HWTACACS的配置页面。
步骤2:单击<新建>按钮,进入新建HWTACACS方案的配置页面。
步骤3:选择用户名格式为“不带域名”。
步骤4:在“HWTACACS服务器配置”中单击<添加>按钮,弹出添加HWTACACS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如图45-6所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“49”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图45-6 配置HWTACACS认证服务器
步骤7:在“HWTACACS服务器配置”中单击<添加>按钮,弹出添加HWTACACS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如图45-7所示。
· 选择服务器类型为“主授权服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“49”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主授权服务器的配置。
图45-7 配置HWTACACS授权服务器
步骤10:在“HWTACACS服务器配置”中单击<添加>按钮,弹出添加HWTACACS服务器的配置页面。
步骤11:在弹出的页面上进行如下配置,如图45-8所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“49”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤12:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图45-8 配置HWTACACS计费服务器
步骤13:完成上述配置后的新建HWTACACS方案的页面如图45-9所示,单击<确定>按钮完成操作。
配置HWTACACS客户端时需要注意如下事项:
(1) 有用户在线时,不能删除HWTACACS方案,并且不能修改HWTACACS服务器IP地址。
(2) 只有在设备与HWTACACS认证/授权/计费服务器没有报文交互时,才允许删除该服务器。
(3) 目前HWTACACS不支持对FTP用户进行计费。
(4) 实时计费间隔与用户量之间的推荐比例关系如表45-4所示。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
≥1000 |
≥15 |
用户模块提供了本地用户、用户组的配置功能。
本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、用户类型、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。本地认证的详细介绍请参见本手册的“AAA”。
用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。
(1) 在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,页面显示的是所有用户,如图46-1所示。
(2) 单击<新建>按钮,进入创建本地用户的配置页面,如图46-2所示。
(3) 配置本地用户,详细配置如表46-1所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
用户名 |
设置本地用户的名称 |
|
用户密码 |
设置本地用户的密码和确认密码 用户密码和确认密码必须一致
输入的密码如果以空格开头,则开头的空格将被忽略 |
|
确认密码 |
|
|
用户组 |
设置本地用户所属的用户组 |
|
用户类型 |
设置本地用户的类型,包括普通用户、安全日志管理员和来宾管理员
仅S5500-WiNet系列和S3100V2-WiNet系列交换机支持 |
|
授权等级 |
设置本地用户的授权等级,由低到高依次为Visitor、Monitor、Configure、Management
授权等级只对服务类型为Web、FTP、Telnet和SSH的用户有效 |
|
服务类型 |
设置本地用户可以使用的服务类型,包括Web、FTP、Telnet、Portal、LAN-Access(主要指以太网接入用户,比如802.1x用户)和SSH
服务类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过 |
|
过期时间 |
设置本地用户的有效截止时间 当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录 |
|
授权VLAN |
设置本地用户的授权VLAN ID
授权VLAN只对服务类型为Portal和LAN-Access的用户有效 |
|
授权ACL |
设置本地用户的授权ACL序号
授权ACL只对服务类型为Portal和LAN-Access的用户有效 |
|
用户方案 |
设置本地用户的授权用户方案名称
授权用户方案只对服务类型为Portal和LAN-Access的用户有效 |
(1) 在导航栏中选择“认证 > 用户”。
(2) 单击“用户组”页签,进入用户组的显示页面,如图46-3所示。
(3) 单击<新建>按钮,进入新建用户组的配置页面,如图46-4所示。
(4) 配置用户组,详细配置如表46-2所示。
(5) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
用户组名称 |
设置用户组的名称 |
|
访问等级 |
设置用户组的访问等级,由低到高依次为Visitor、Monitor、Configure、Management |
|
授权VLAN |
设置用户组的授权VLAN ID |
|
授权ACL |
设置用户组的授权ACL序号 |
|
用户方案 |
设置用户组的授权用户方案名称 |
|
来宾用户可选 |
设置是否允许来宾用户加入该用户组
用户组system默认为来宾用户可选组,不可修改 仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
对于S5120-WiNet系列交换机,证书管理特性请通过选择导航树中的“认证 > PKI”进行配置。
PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。
PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。
数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称和该证书的序列号等信息,证书的格式遵循ITU-T X.509国际标准。本手册中涉及两类证书:本地(local)证书和CA(Certificate Authority)证书。本地证书为CA签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。
由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。CRL提供了一种检验证书有效性的方式。
当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA的撤消信息通过多个CRL发布出来。CRL片断也称为CRL发布点。
CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice Statement)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对实体进行相应的配置。
一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如图47-1所示。
图47-1 PKI体系结构图
终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程。
CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。
证书申请的受理一般由一个独立的注册机构(即RA)来承担。RA功能包括:审查用户的申请资格,并决定是否同意CA给其签发数字证书;管理CRL;产生和备份密钥对等。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,这样可以增强应用系统的安全性。
PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
VPN是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:
(1) 实体向CA提出证书申请;
(2) RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA;
(3) CA验证数字签名,同意实体的申请,颁发证书;
(4) RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知实体证书发行成功;
(5) 实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;
(6) 实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL,发布到LDAP服务器。
PKI证书的申请方式有两种:
· 手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。
· 自动申请证书方式:在没有本地证书时实体自动通过SCEP协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。
证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。
手动申请证书方式下PKI配置的推荐步骤如表47-1所示。
表47-1 PKI配置步骤(手动申请证书方式)
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
|
2 |
必选 新建PKI域,配置证书申请方式为“Manual” 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
|
3 |
必选 配置生成本地RSA密钥对 缺省情况下,本地没有RSA密钥对 密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书
若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对 |
|
|
4 |
获取CA证书 |
必选 将CA证书获取至本地,详细配置请参见“47.2.6 获取证书” 获取证书的目的是: · 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数 · 为证书的验证做好准备
如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
|
5 |
必选 证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分 申请本地证书有在线和离线两种方式: · 在线申请成功后,会自动将本地证书获取至本地 · 离线申请成功后,需要用户通过离线方式将本地证书获取至本地
如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请 |
|
|
6 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
|
7 |
可选 将已存在的证书获取至本地 |
|
|
8 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
自动申请证书方式下PKI配置的推荐步骤如表47-2所示。
表47-2 PKI配置步骤(自动申请证书方式)
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
|
2 |
必选 (配置“证书申请方式”为“自动”) 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
|
3 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
|
4 |
可选 将已存在的证书获取至本地 |
|
|
5 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
(1) 在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面,如图47-2所示。
(2) 单击<新建>按钮,进入新建PKI实体的配置页面,如图47-3所示。
(3) 进行新建PKI实体的配置,详细配置如表47-3所示。
(4) 单击<确定>按钮完成操作。
表47-3 新建PKI实体的详细配置
|
配置项 |
说明 |
|
PKI实体名称 |
设置要新建的PKI实体的名称 |
|
通用名 |
设置实体的通用名,比如用户名称 |
|
实体IP地址 |
设置实体的IP地址 |
|
FQDN |
设置实体的FQDN(Fully Qualified Domain Name,完全合格域名) FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN |
|
国家/地区 |
设置实体所属的国家或地区代码 |
|
州省 |
设置实体所属的州省 |
|
地理区域 |
设置实体所在地理区域的名称 |
|
组织 |
设置实体所属组织的名称 |
|
部门 |
设置实体所属部门的名称 |
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“PKI域”页签,进入PKI域的显示页面,如图47-4所示。
(3) 单击<新建>按钮,进入新建PKI域的配置页面。
(4) 单击“高级设置”前的扩展按钮,进入如图47-5所示页面。
(5) 进行新建PKI域的配置,详细配置如表47-4所示。
(6) 单击<确定>按钮完成操作。
表47-4 新建PKI域的详细配置
|
配置项 |
说明 |
|
PKI域名称 |
设置要新建的PKI域的名称 |
|
CA标识符 |
设置设备信任的CA标识符 在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行 当采用离线方式申请证书时,此项可以不配置,否则必须配置 |
|
本端实体 |
设置本端PKI实体名称 向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份 可选的PKI实体名称需通过新建PKI实体来配置 |
|
注册机构 |
设置证书申请的注册审理机构 · CA:表示由CA来完成注册机构的功能 · RA:表示有独立的RA作为注册审理机构 PKI推荐独立使用RA作为注册审理机构 |
|
证书申请URL |
设置注册服务器的URL 证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议 当采用离线方式申请证书时,此项可以不配置,否则必须配置
目前,注册服务器URL的配置不支持域名解析 |
|
LDAP服务器IP地址 |
设置LDAP服务器的IP地址、端口号和版本号 要获取本地证书,必须正确配置LDAP服务器 |
|
端口 |
|
|
版本 |
|
|
证书申请方式 |
设置在线证书申请的方式,有手动和自动两种方式 |
|
挑战码 |
证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码 输入的挑战码和确认挑战码必须一致 |
|
确认挑战码 |
|
|
根证书指纹散列算法 |
设置验证CA根证书时所使用的指纹 当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书 · 当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信
“根证书指纹散列算法”这个参数名与S5120-WiNet系列交换机的“根证书散列算法”参数名相对应 当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 |
|
根证书指纹 |
|
|
证书查询次数 |
设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数 实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书 |
|
证书查询间隔 |
|
|
启用CRL查询 |
设置在证书验证时是否进行CRL检查 |
|
CRL更新间隔 |
启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔 缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定 |
|
获取CRL的URL |
启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式 需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行 |
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图47-6所示。
(3) 单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如图47-7所示。
(4) 进行生成RSA密钥对的配置,详细配置如表47-5所示。
(5) 单击<确定>按钮完成操作。
表47-5 生成RSA密钥对的详细配置
|
配置项 |
说明 |
|
密钥长度 |
设置RSA密钥的长度 |
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图47-6所示。
(3) 单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如图47-8所示。
(4) 单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图47-6所示。
(3) 单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如图47-9所示。
(4) 进行获取PKI证书的配置,详细配置如表47-6所示。
表47-6 获取PKI证书的详细配置
|
配置项 |
说明 |
|
PKI域名称 |
设置证书所在的PKI域 |
|
证书类型 |
设置要获取的证书的为CA证书或Local证书 |
|
启用离线方式 |
设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地 选中“启用离线方式”前的复选框后,可以显示下面的配置项 |
|
从设备取得文件 |
设置要导入的证书文件的存放路径和文件名 · 当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件 · 当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区 |
|
从PC取得文件 |
|
|
口令 |
设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令 |
(5) 获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如图47-10所示。证书详细信息各字段的说明如表47-7所示。
|
字段 |
说明 |
|
Version |
证书版本号 |
|
Serial Number |
证书序列号 |
|
Signature Algorithm |
签名算法 |
|
Issuer |
证书颁发者 |
|
Validity |
证书有效期 |
|
Subject |
证书申请实体 |
|
Subject Public Key Info |
申请实体公钥信息 |
|
X509v3 extensions |
X509版本3格式证书扩展属性 |
|
X509v3 CRL Distribution Points |
X509版本3格式CRL发布点 |
(1) 在导航栏中选择“认证 > 证书管理”,单击“证书”页签。
(2) 进入PKI证书的显示页面,如图47-6所示。
(3) 单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如图47-11所示。
(4) 进行申请本地证书的配置,详细配置如表47-8所示。
|
配置项 |
说明 |
|
PKI域名称 |
设置证书所在的PKI域 |
|
挑战码 |
设置挑战码,即撤销证书时使用的密码 |
|
启用离线方式 |
设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书 |
(5) 单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如图47-12所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“CRL”页签,进入CRL的显示页面,如图47-13所示。
(3) 在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。
(4) 获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如图47-14所示。CRL详细信息各字段的说明如表47-9所示。
图47-14 查看CRL的详细信息
表47-9 CRL详细信息的说明
|
字段 |
说明 |
|
Version |
CRL版本号 |
|
Signature Algorithm |
CRL采用的签名算法 |
|
Issuer |
颁发该CRL的CA |
|
Last Update |
上次更新时间 |
|
Next Update |
下次更新时间 |
|
CRL extensions |
CRL扩展属性 |
|
X509v3 Authority Key Identifier |
发布该无效证书的CA标识符,证书版本为X509v3 |
|
keyid |
公钥标识符 一个CA可能有多个密钥对,该字段用于标识该CRL的签名使用哪个密钥对 |
|
No Revoked Certificates. |
没有被撤销的证书 |
|
Revoked Certificates |
被撤销的证书的信息 |
|
Serial Number |
被撤销证书的序列号 |
|
Revocation Date |
撤销的日期 |
在作为PKI实体的设备Switch上进行相关配置,实现以下需求:
· Switch向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。
· 获取CRL为证书验证做准备。
图47-15 PKI实体向CA申请证书组网图
(1) 创建CA服务器myca。
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。
(2) 配置扩展属性。
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。
(3) 配置CRL发布。
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。
(1) 新建PKI实体。
步骤1:在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面。
步骤2:单击<新建>按钮,进入新建PKI实体的配置页面。
步骤3:进行如下配置,如图47-16所示。
· 输入PKI实体名称为“aaa”。
· 输入通用名为“ac”。
步骤4:单击<确定>按钮完成操作。
(2) 新建PKI域。
步骤1:单击“PKI域”页签。
步骤2:单击<新建>按钮,进入新建PKI域的配置页面。
步骤3:进行如下配置,如图47-17所示。
· 输入PKI域名称为“torsa”。
· 输入CA标识符为“myca”。
· 选择本端实体为“aaa”。
· 选择注册机构为“CA”。
· 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
· 选择证书申请方式为“Manual”。
· 单击“高级设置”前的扩展按钮。
· 选中“启用CRl查询”前的复选框。
· 输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。
步骤4:单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”。
步骤5:单击<确定>按钮,关闭弹出的对话框,完成操作。
(3) 生成RSA密钥对。
步骤1:单击“证书”页签,进入证书的配置页面。
步骤2:单击<创建密钥>按钮。
步骤3:输入密钥长度为“1024”,如图47-18所示。
步骤4:单击<确定>按钮开始生成RSA密钥对。
图47-18 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,单击<获取证书>按钮。
步骤2:进行如下配置,如图47-19所示。
· 选择PKI域为“torsa”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图47-19 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,单击<申请证书>按钮。
步骤2:进行如下配置,如图47-20所示。
· 选择PKI域为“torsa”。
· 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
(6) 获取CRL至本地。
步骤1:单击“CRL”页签。
步骤2:单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL,如图47-21所示。
图47-21 获取CRL至本地
完成上述配置后,可以在“证书”页签的页面中查看获取的CA证书和本地证书的详细信息;可以在“CRL”页签的页面中查看获取的CRL文件的详细信息。
配置PKI时需要注意如下事项:
(1) 申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
(2) Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。
(3) 当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。
(4) 当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为CA。
为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
目前:
· 有些设备只支持一个隔离组(以下简称单隔离组),由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。
· 有些设备支持多个隔离组(以下简称多隔离组),用户可以手工配置。
· 隔离组内可以加入的端口数量没有限制。
· S5500-WiNet和S3100V2-WiNet系列交换机支持单隔离组。
· S5120-WiNet系列交换机支持多隔离组。
端口隔离特性与端口所属的VLAN无关。不支持上行端口的设备,隔离组内的端口和隔离组外端口二层流量双向互通。
(1) 在导航栏中选择“安全 > 端口隔离组”。
(2) 单击“端口设置”页签,进入如图48-1所示的页面。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
设置类型 |
设置端口加入到隔离组后的端口类型 隔离口:表示将要加入的端口作为隔离组中的普通端口 |
|
选择端口 |
设置要加入到隔离组的端口 在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 当设置类型选择“隔离口”时,可以同时选择多个端口进行配置 |
端口隔离组配置的推荐步骤如表48-2所示。
|
步骤 |
配置任务 |
说明 |
|
|
1 |
必选 缺省情况下,不存在隔离组 |
||
|
2 |
配置隔离组的普通端口 |
必选 一个隔离组中可以配置多个普通端口 缺省情况下,隔离组中没有加入任何普通端口 |
|
(1) 在导航栏中选择“安全 > 端口隔离组”。
(2) 单击“组设置”页签,进入如图48-2所示的页面。在此页面可以添加和删除隔离组。
(3) 添加隔离组,详细配置如表48-3所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
隔离组ID |
设置要添加的隔离组的ID |
(1) 在导航栏中选择“安全 > 端口隔离组”。
(2) 单击“端口设置”页签,进入如图48-3所示的页面。
(3) 配置隔离组中端口,详细配置如表48-4所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
|
配置项 |
说明 |
|
隔离组ID |
设置要为其配置端口的隔离组的ID |
|
设置类型 |
设置端口加入到隔离组后的端口类型 隔离口:表示将要加入的端口作为隔离组中的普通端口 |
|
选择端口 |
设置要加入到隔离组的端口,可以同时选择多个端口进行配置 在面板示意图中可点击选择要配置的端口;当设备中配置了聚合口时,面板示意图下方会显示聚合口的列表,可点击进行选择 当设置类型选择“隔离口”时,可以同时选择多个端口进行配置 |
· 小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4相连。
· 设备通过GigabitEthernet1/0/1端口与外部网络相连。
· GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN;请实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图48-4 端口隔离组配置组网图
(1) 配置GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4为隔离组的普通端口。
步骤1:在导航栏中选择“安全 > 端口隔离组”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如图48-5所示。
· 选中设置类型“隔离口”前的单选按钮。
· 在面板示意图上选中端口“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(2) 查看隔离组的信息。
步骤1:单击“显示”页签。
步骤2:查看到隔离组1中的隔离口有“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”,如图48-6所示。
· 小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4相连。
· 设备通过GigabitEthernet1/0/1端口与外部网络相连。
· GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4属于同一VLAN;请实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图48-7 端口隔离组配置组网图
(1) 添加隔离组1。
步骤1:在导航栏中选择“安全 > 端口隔离组”。
步骤2:单击“组设置”页签。
步骤3:输入隔离组ID为“1”,如图48-8所示。
步骤4:单击<应用>按钮完成操作。
(2) 配置GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4为隔离组的普通端口。
步骤1:单击“端口设置”页签。
步骤2:进行如下配置,如图48-9所示。
· 选择隔离组ID为“1”。
· 选择设置类型为“隔离口”。
· 在面板示意图上选中端口“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 查看隔离组的信息。
步骤1:单击“显示”页签。
步骤2:查看到隔离组1中的隔离口有“GigabitEthernet1/0/2”、“GigabitEthernet1/0/3”、“GigabitEthernet1/0/4”,如图48-10所示。
授权IP功能是指通过将HTTP服务或Telnet服务与ACL关联,对客户端发出的请求进行过滤,只允许通过ACL过滤的客户端访问设备。
(1) 在导航栏中选择“安全 > 授权IP”。
(2) 单击“设置”页签,进入如图49-1所示的页面。
(3) 配置授权IP,详细配置如表49-1所示。
(4) 单击<应用>按钮完成操作。
表49-1 授权IP的详细配置
|
配置项 |
说明 |
|
|
Telnet |
IPv4 ACL |
设置Telnet服务与IPv4 ACL关联 可选的IPv4 ACL可在“QoS > ACL IPv4”中配置 |
|
IPv6 ACL |
设置Telnet服务与IPv6 ACL关联 可选的IPv6 ACL可在“QoS > ACL IPv6”中配置 |
|
|
Web(HTTP) |
IPv4 ACL |
设置HTTP服务与IPv4 ACL关联 可选的IPv4 ACL可在“QoS > ACL IPv4”中配置 |
如图49-2所示,配置Switch实现不允许Host A通过Telnet和HTTP服务访问Switch,而Host B的访问则不进行限制。
图49-2 授权IP配置组网图
(1) 创建ACL。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“创建”页签。
步骤3:输入访问控制列表ID为“2001”,如图49-3所示。
步骤4:单击<应用>按钮完成操作。
(2) 配置仅允许Host B访问的规则。
步骤1:单击“基本配置”页签。
步骤2:进行如下配置,如图49-4所示。
· 选择访问控制列表为“2001”。
· 选择操作为“允许”。
· 选中“源IP地址”前的复选框,输入源IP地址为“10.1.1.3”。
· 输入源地址通配符为“0.0.0.0”。
步骤3:单击<新建>按钮完成操作。
图49-4 配置仅允许Host B访问的规则
(3) 配置授权IP。
步骤1:在导航栏中选择“安全 > 授权IP”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图49-5所示。
· 在“Telnet”中选择IPv4 ACL为“2001”。
· 在“Web(HTTP)”中选择IPv4 ACL为“2001”。
步骤4:单击<应用>按钮完成操作。
仅S5500-WiNet和S3100V2-WiNet系列交换机支持远端环回检测特性。
端口发生环回是指接口发出去的报文又通过该端口回到设备,环回的存在可能导致广播风暴。远端环回检测就是检测设备的端口是否有环回存在。
当用户开启以太网端口的远端环回检测功能后,系统会定时检测端口是否存在环回。如果检测到端口存在环回,系统会将该端口设置为处于远端环回检测受控状态。
· 对于Access端口,如果系统检测到端口存在环回,则阻塞端口转发数据报文的功能,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。
· 对于Trunk端口和Hybrid端口,如果系统检测到端口存在环回,则向终端上报Trap信息。当端口上的还同时开启了阻塞端口转发功能时,将阻塞端口转发数据报文的功能,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。
远端环回检测配置的推荐步骤如表50-1所示。
|
步骤 |
配置任务 |
说明 |
|
|
1 |
必选 缺省情况下,全局的远端环回检测功能处于关闭状态 |
只有在全局和端口都开启远端环回检测功能,该端口的远端环回检测功能才生效 |
|
|
2 |
必选 缺省情况下,端口的远端环回检测功能处于关闭状态 |
||
(1) 在导航栏中选择“安全 > 远端环回检测”,进入如图50-1所示的页面。
(2) 在“系统环回检测设置”中可以显示和配置全局的远端环回检测功能信息。配置全局远端环回检测功能,详细配置如表50-2所示。
(3) 在“系统环回检测设置”中单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
开启环回检测 |
设置是否开启全局的远端环回检测功能 |
|
时间间隔 |
设置系统进行远端环回检测的时间间隔 |
(1) 在导航栏中选择“安全 > 远端环回检测”,进入如图50-1所示的页面。
(2) 在“端口环回检测”中可以显示和配置端口的远端环回检测功能参数信息。配置端口远端环回检测功能,详细配置如表50-3所示。
(3) 在“端口环回检测”中单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
环回检测 |
设置是否开启端口的远端环回检测功能 |
|
阻塞端口转发 |
设置当系统检测到Trunk端口或Hybrid端口存在环回时,是否开启阻塞端口转发数据报文的功能
此配置项只对Trunk端口和Hybrid端口可配 |
|
按VLAN检测 |
设置是否开启在Trunk端口和Hybrid端口所属的所有VLAN内进行环回监测的功能 如果设置为“关闭”,则系统只在Trunk端口和Hybrid端口所属的缺省VLAN内进行环回监测
此配置项只对Trunk端口和Hybrid端口可配 |
通过在设备上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC。
如图51-1所示,配置了IP Source Guard静态绑定表项的端口接收到报文后查找静态绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口被限制,其他端口不受该绑定影响。
(1) 在导航栏中选择“安全 > IP Source Guard”,如图51-2所示。页面显示端口的IP Source Guard静态绑定表项信息。
图51-2 IP Source Guard静态绑定表项信息
(2) 单击<新建>按钮,进入新建IP Source Guard静态绑定表项的配置页面,如图51-3所示。
图51-3 新建IP Source Guard静态绑定表项
(3) 配置IP Source Guard静态绑定表项的信息,详细配置如表51-1所示。
(4) 单击<确定>按钮完成操作。
表51-1 IP Source Guard静态绑定表项的详细配置
|
配置项 |
说明 |
|
端口 |
指定静态绑定表项所应用的端口 |
|
IP地址 |
指定静态绑定表项中的IPv4地址信息 |
|
MAC地址 |
指定静态绑定表项中的MAC地址信息 |
|
VLAN ID |
指定静态绑定表项所属VLAN编号 |
新建IP Source Guard静态绑定表项时,IP地址和MAC地址至少配置其一。
本章将用于IPv4和IPv6的ACL分别简称为IPv4 ACL和IPv6 ACL。若非特别指明,本章所指的ACL均包括IPv4 ACL和IPv6 ACL。
ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
由ACL定义的报文匹配规则可以应用在诸多领域,如安全、QoS等,有关ACL在这些领域的具体应用,请参见相关的配置手册。
根据功能以及规则制定依据的不同,可以将ACL分为三种类型,如表52-1所示。
表52-1 ACL的分类
|
ACL类型 |
编号范围 |
适用的IP版本 |
区分报文的依据 |
|
基本ACL |
2000~2999 |
IPv4 |
只根据报文的源IP地址信息制定匹配规则 |
|
IPv6 |
只根据报文的源IPv6地址信息制定匹配规则 |
||
|
高级ACL |
3000~3999 |
IPv4 |
根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
|
IPv6 |
根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
||
|
链路层ACL |
4000~4999 |
IPv4&IPv6 |
根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息制定匹配规则 |
一个ACL由一条或多条描述报文匹配选项的判断语句组成,这样的判断语句就称为“规则”。由于每条规则中的报文匹配选项不同,从而使这些规则之间可能存在重复甚至矛盾的地方,因此在将一个报文与ACL的各条规则进行匹配时,就需要有明确的匹配顺序来确定规则执行的优先级。ACL的规则匹配顺序有以下两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,不同类型ACL的“深度优先”排序法则如表52-2所示。
当报文与各条规则进行匹配时,一旦匹配上某条规则,就不会再继续匹配下去,系统将依据该规则对该报文执行相应的操作。
表52-2 各类型ACL的“深度优先”排序法则
|
ACL类型 |
“深度优先”排序法则 |
|
IPv4基本ACL |
1. 先比较规则中的源IPv4地址范围,较小者优先 2. 如果源IPv4地址范围相同,再比较配置顺序,配置在前者优先 |
|
IPv4高级ACL |
1. 先比较规则中的协议范围,指定有IPv4承载的协议类型者优先 2. 如果协议范围相同,再比较源IPv4地址范围,较小者优先 3. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 4. 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者优先 5. 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先 |
|
IPv6基本ACL |
1. 先比较规则中的源IPv6地址范围,较小者优先 2. 如果源IPv6地址范围相同,再比较配置顺序,配置在前者优先 |
|
IPv6高级ACL |
1. 先比较规则中的协议范围,指定有IPv6承载的协议类型者优先 2. 如果协议范围相同,再比较源IPv6地址范围,较小者优先 3. 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 4. 如果目的IPv6地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者优先 5. 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先 |
|
链路层ACL |
1. 先比较规则中的源MAC地址范围,较小者优先 2. 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 3. 如果目的MAC地址范围也相同,再比较配置顺序,配置在前者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”都可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
ACL内的每条规则都有自己的编号,每个规则的编号在一个ACL中都是唯一的。在创建规则时,可以人为地为其指定一个编号,也可以由系统为其自动分配一个编号。
在自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号0、5、10、15……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果改变步长,ACL内原有全部规则的编号都将自动从0开始按新步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则;当修改步长为2之后,这些规则的编号将依次变为0、2、4、6和8。
时间段用于描述一个特定的时间范围。用户可能有这样的需求:一些ACL规则只需在某个或某些特定的时间段内生效(即进行报文过滤),这也称为基于时间段的ACL过滤。为此,用户可以先配置一个或多个时间段,然后在ACL规则下引用这些时间段,那么该规则将只在指定的时间段内生效。
传统的报文过滤并不处理所有的分片报文,只对首个分片进行匹配处理,而对后续分片一律放行。这样,网络攻击者可以构造后续的分片报文进行流量攻击,从而带来了安全隐患。为提高网络安全性,ACL规则缺省会匹配所有的非分片报文以及分片报文的每个分片。同时,为了提高匹配效率,用户也可以对此匹配策略进行修改,譬如可指定规则仅对非首片分片报文有效等。
标准匹配和精确匹配的含义如下:
· 标准匹配:只匹配三层信息,而三层以外的信息将被忽略。
· 精确匹配:对IPv4 ACL定义的所有的规则项进行匹配。
QoS(Quality of Service,服务质量)用于评估服务方满足客户服务需求的能力。在Internet中,QoS所评估的就是网络转发分组的服务能力。
由于网络提供的服务是多样的,因此QoS的评估可以基于不同方面。通常所说的QoS,是对分组转发过程中带宽、延迟、抖动、丢包率等指标进行评估。
图52-1 端到端QoS模型图
如图52-1所示,流分类、流量监管、流量整形、拥塞管理和拥塞避免是构造有区别地实施服务的基石,它们主要完成如下功能:
· 流分类:依据一定的匹配规则识别出报文,通常作用在接口入方向。
· 流量监管:对进入或流出设备的特定流量的规格进行监管。当流量超出规格时,可以采取限制或惩罚措施,以保护网络资源不受损害。可以作用在接口入方向和出方向。
· 流量整形:一种主动调整流的输出速率的流控措施,用来使流量适配下游设备可供给的网络资源,避免不必要的报文丢弃和拥塞,通常作用在接口出方向。
· 拥塞管理:就是当拥塞发生时如何制定一个资源的调度策略,以决定报文转发的处理次序,通常作用在接口出方向。
· 拥塞避免:监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整流量来解除网络的过载,通常作用在接口出方向。
在这些QoS技术中,流分类是基础,是有区别地实施服务的前提;而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制,是有区别地提供服务思想的具体体现。
流分类可以使用IP报文头的ToS(Type of Service,服务类型)字段的优先级位,识别出有不同优先级特征的流量;也可以由网络管理者设置流分类的策略,例如综合源地址、目的地址、MAC地址、IP协议或应用程序的端口号等信息对流进行分类。
流分类的结果是没有范围限制的,它可以是一个由五元组(源地址、源端口号、协议号、目的地址、目的端口号)确定的狭小范围,也可以是到某网段的所有报文。
一般在网络边界对报文分类时,同时设置报文IP头的ToS字段中的优先级位。这样,在网络的内部就可以直接使用IP优先级作为分类标准。而队列技术也可以使用这个优先级来对报文进行不同的处理。下游网络可以选择接收上游网络的分类结果,也可以按照自己的标准重新进行分类。
进行流分类是为了有区别地提供服务,它必须与某种流控或资源分配动作关联起来才有意义。具体采取何种流控动作,与所处的阶段以及网络当前的负载状况有关。例如,当报文进入网络时依据承诺速率对它进行监管;流出节点之前进行整形;拥塞时对队列进行调度管理;拥塞加剧时采取拥塞避免措施等。
(1) IP优先级和DSCP优先级
图52-2 ToS和DS域
如图52-2所示,IP报文头的ToS字段有8个bit,其中前3个bit表示的就是IP优先级,取值范围为0~7。RFC 2474中,重新定义了IP报文头部的ToS域,称之为DS(Differentiated Services,差分服务)域,其中DSCP(Differentiated Services Codepoint,差分服务编码点)优先级用该域的前6位(0~5位)表示,取值范围为0~63,后2位(6、7位)是保留位。
表52-3 IP优先级说明
|
IP优先级(十进制) |
IP优先级(二进制) |
关键字 |
|
0 |
000 |
routine |
|
1 |
001 |
priority |
|
2 |
010 |
immediate |
|
3 |
011 |
flash |
|
4 |
100 |
flash-override |
|
5 |
101 |
critical |
|
6 |
110 |
internet |
|
7 |
111 |
network |
表52-4 DSCP优先级说明
|
IP优先级(十进制) |
IP优先级(二进制) |
关键字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
(2) 802.1p优先级
802.1p优先级位于二层报文头部,适用于不需要分析三层报头,而需要在二层环境下保证QoS的场合。
图52-3 带有802.1Q标签头的以太网帧
如图52-3所示,4个字节的802.1Q标签头包含了2个字节的TPID(Tag Protocol Identifier,标签协议标识符)和2个字节的TCI(Tag Control Information,标签控制信息),TPID取值为0x8100。图52-4显示了802.1Q标签头的详细内容,Priority字段就是802.1p优先级。之所以称此优先级为802.1p优先级,是因为有关这些优先级的应用是在802.1p规范中被详细定义的。
图52-4 802.1Q标签头
表52-5 802.1p优先级说明
|
802.1p优先级(十进制) |
802.1p优先级(二进制) |
关键字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
对于拥塞管理,一般采用队列技术,使用一个队列算法对流量进行分类,之后用某种优先级别算法将这些流量发送出去。每种队列算法都是用以解决特定的网络流量问题,并对带宽资源的分配、延迟、抖动等有着十分重要的影响。
这里介绍两种常用的硬件实现拥塞管理的队列调度机制:SP(Strict Priority,严格优先级)队列和WRR(Weighted Round Robin,加权轮询)队列。
(1) SP队列
SP队列包含多个队列,分别对应不同的优先级,按优先级递减的顺序进行调度。SP队列调度算法是针对关键业务型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。
图52-5 SP队列示意图
以端口有8个输出队列为例,优先队列将端口的8个输出队列分成8类,依次为7、6、5、4、3、2、1、0队列,它们的优先级依次降低。在队列调度时,SP严格按照优先级从高到低的顺序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务(如E-Mail)的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文将一直得不到服务。
(2) WRR队列
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。
图52-6 WRR队列示意图
以端口有8个输出队列为例,WRR可为每个队列配置一个加权值(依次为w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个100M的端口,配置它的WRR队列调度算法的加权值为50、50、30、30、10、10、10、10(依次对应w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队列至少获得5Mbit/s带宽,避免了采用SP调度时低优先级队列中的报文可能长时间得不到服务的缺点。WRR队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
WRR队列分为:
· 基本WRR队列:基本WRR队列包含多个队列,用户可以定制各个队列的权重、百分比或字节计数,WRR按用户设定的参数进行加权轮询调度。
· 分组WRR队列:所有队列全部采用WRR调度,用户可以根据需要将输出队列划分为WRR优先级队列组1和WRR优先级队列组2。进行队列调度时,设备首先在优先级队列组1中进行轮询调度;优先级队列组1中没有报文发送时,设备才在优先级队列组2中进行轮询调度。
· 仅S5120-WiNet系列交换机支持此特性。
· 流量整形只针对设备的出方向。
流量整形是一种主动调整流量输出速率的措施。一个典型应用是基于下游网络节点的流量监管指标来控制本地流量的输出。
流量整形与流量监管的主要区别在于,流量整形对流量监管中需要丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内,如图52-7所示。当令牌桶有足够的令牌时,再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另一区别是,整形可能会增加延迟,而监管几乎不引入额外的延迟。
例如,在图52-8所示的应用中,设备Device A向Device B发送报文。Device B要对Device A发送来的报文进行流量监管,对超出规格的流量直接丢弃。
为了减少报文的无谓丢失,可以在Device A的出口对报文进行流量整形处理。将超出流量整形特性的报文缓存在Device A中。当可以继续发送下一批报文时,流量整形再从缓冲队列中取出报文进行发送。这样,发向Device B的报文将都符合Device B的流量规定。
端口限速是采用令牌桶进行流量控制的一种方法。利用端口限速可以在一个物理端口上限制发送报文(包括紧急报文)的总速率。端口限速能够限制在物理端口上通过的所有报文。
(1) 令牌桶与流量评估
令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
在用令牌桶评估流量规格时,是以令牌桶中的令牌数量是否足够满足报文的转发为依据的。如果桶中存在足够的令牌可以用来转发报文(通常用一个令牌关联一个比特的转发权限),称流量遵守或符合(conforming)这个规格,否则称为不符合或超标(excess)。
评估流量时令牌桶的参数设置包括:
· 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常设置为CIR(Committed Information Rate,承诺信息速率)。
· 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常设置为CBS(Committed Burst Size,承诺突发尺寸),设置的突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走与报文转发权限相当的令牌数量;否则说明已经耗费太多令牌,流量超标了。
(2) 端口限速的工作机制
当设备的某个端口上配置了端口限速时,所有经由该端口发送的报文首先要经过端口限速的令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以发送;否则,报文将进入QoS队列进行拥塞管理。这样,就可以对通过该物理端口的报文流量进行控制。
图52-10 端口限速处理过程示意图
由于采用了令牌桶控制流量,当令牌桶中存有令牌时,可以允许报文的突发性传输;当令牌桶中没有令牌时,报文必须等到桶中生成了新的令牌后才可以继续发送。这就限制了报文的流量不能大于令牌生成的速度,达到了限制流量,同时允许突发流量通过的目的。
(1) 基本概念
在网络的入口需要为网络的流量打上一定的区分标记,这种标记用以标识流量的调度权重或者转发处理优先级别的高低。网络中间节点处理报文时,就可以根据报文的优先级来进行相应的调度。
报文在进入设备以后,设备会根据自身支持的情况和相应的规则给报文分配包括802.1p优先级、DSCP、IP优先级、本地优先级等在内的一系列参数。
· 802.1p优先级、DSCP和IP优先级的介绍请参见3. 报文优先级。
· 本地优先级是指设备为报文分配的一种具有本地意义的优先级,每个本地优先级对应一个队列,本地优先级值越大的报文,进入的队列优先级越高,从而能够获得优先的调度。
设备提供了两种端口优先级信任模式:
· 信任报文的优先级:按照接收端口上配置的优先级信任模式,根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数。
· 信任端口的优先级:按照接收端口的端口优先级,通过一一映射为报文分配本地优先级。
用户可以根据需要配置端口优先级信任模式。设备上报文的优先级映射过程如图52-11所示。
图52-11 支持端口优先级信任模式的情况下优先级映射过程示意图
(2) 优先级映射表介绍
设备提供了多张优先级映射表,分别对应相应的优先级映射关系。各个优先级的映射表和缺省取值如表52-6所示。
· CoS to DSCP:802.1p优先级到DSCP映射表。
· CoS to Queue:802.1p优先级到本地优先级映射表。
· DSCP to CoS:DSCP到802.1p优先级映射表,仅对IP报文生效。
· DSCP to DSCP: DSCP到DSCP映射表,仅对IP报文生效。
· DSCP to Queue:DSCP到本地优先级映射表,仅对IP报文生效。
映射表缺省取值如表52-7所示。
表52-6 CoS to DSCP/CoS to Queue缺省映射关系
|
映射输入索引(CoS) |
映射优先级(Queue) |
映射优先级(DSCP) |
|
0 |
2 |
0 |
|
1 |
0 |
8 |
|
2 |
1 |
16 |
|
3 |
3 |
24 |
|
4 |
4 |
32 |
|
5 |
5 |
40 |
|
6 |
6 |
48 |
|
7 |
7 |
56 |
表52-7 DSCP to CoS/DSCP to Queue缺省映射关系
|
映射输入索引(DSCP) |
映射优先级(Queue) |
映射优先级(CoS) |
|
0~7 |
0 |
0 |
|
8~15 |
1 |
1 |
|
16~23 |
2 |
2 |
|
24~31 |
3 |
3 |
|
32~39 |
4 |
4 |
|
40~47 |
5 |
5 |
|
48~55 |
6 |
6 |
|
56~63 |
7 |
7 |
DSCP to DSCP映射表的缺省映射关系为:映射优先级等于映射输入索引。
IPv4 ACL配置的推荐步骤如表52-8所示。
表52-8 IPv4 ACL配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 创新建建时间段,ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效 |
|
|
2 |
必选 新建IPv4 ACL,可通过配置不同的ID建立不同类型的IPv4 ACL |
|
|
3 |
三者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv4 ACL,配置不同类型的规则 |
|
IPv6 ACL配置的推荐步骤如表52-9所示。
表52-9 IPv6 ACL配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 新建时间段,ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效 |
|
|
2 |
必选 新建IPv6 ACL,可通过配置不同的ID建立不同类型的IPv6 ACL |
|
|
3 |
二者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv6 ACL,配置不同类型的规则 |
|
(1) 在导航栏中选择“QoS > 时间段”。
(2) 单击“新建”页签,进入时间段的配置页面,如图52-12所示。
(3) 配置时间段,详细配置如表52-10所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
||
|
时间段名称 |
设置时间段的名称 |
||
|
周期时间段 |
开始时间 |
设置一个周期时间范围的开始时间 |
在一个时间段中,如果同时设置了周期时间段和绝对时间段,则生效时间范围为二者的交集 |
|
结束时间 |
设置一个周期时间范围的结束时间,必须大于开始时间 |
||
|
星期日~星期六 |
设置要配置的时间范围在每星期几有效。可在星期日~星期六前的复选框中勾选 |
||
|
绝对时间段 |
从 |
设置一个绝对时间范围从某年某月某日的某一时间开始 |
|
|
到 |
设置一个绝对时间范围到某年某月某日的某一时间结束,必须大于有效时间范围的开始时间 |
||
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“新建”页签,进入IPv4 ACL的新建页面,如图52-13所示。
(3) 进行新建IPv4 ACL的配置,详细配置如表52-11所示。
(4) 单击<应用>按钮完成操作。
表52-11 新建IPv4 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置IPv4 ACL的序号 |
|
匹配规则 |
设置IPv4 ACL中各规则的匹配顺序 · 用户配置:按用户的配置顺序进行规则匹配 · 自动:系统自动排序,即按深度优先的原则进行规则匹配 |
|
描述 |
设置IPv4 ACL的描述信息(S5120-WiNet系列交换机不支持) |
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“基本配置”页签,进入基本IPv4 ACL规则的配置页面,如图52-14所示。
(3) 配置基本IPv4 ACL规则,详细配置如表52-12所示。
(4) 单击<新建>按钮完成操作。
表52-12 基本IPv4 ACL规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv4 ACL 可选的访问控制列表为基本IPv4 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 · 允许:表示允许匹配该规则的IPv4报文通过 · 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv4报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 |
|
源IP地址 |
设置IPv4报文的源IP地址和通配符掩码 均要求为点分十进制格式 |
|
源地址通配符 |
|
|
时间段 |
设置规则生效的时间段 |
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“高级配置”页签,进入高级IPv4 ACL规则的配置页面,如图52-15所示。
(3) 配置高级IPv4 ACL规则,详细配置如表52-13所示。
(4) 单击<新建>按钮完成操作。
表52-13 高级IPv4 ACL规则的详细配置
|
配置项 |
说明 |
|||
|
访问控制列表 |
设置规则所属的高级IPv4 ACL 可选的访问控制列表为高级IPv4 ACL |
|||
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|||
|
操作 |
设置对匹配该规则的报文所进行的操作 · 允许:表示允许匹配该规则的报文通过 · 禁止:表示禁止匹配该规则的报文通过 |
|||
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|||
|
记录日志 |
设置对匹配该规则的报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 |
|||
|
IP地址过滤 |
源IP地址 |
设置IPv4报文的源IP地址和通配符掩码。均要求为点分十进制格式 |
||
|
源地址通配符 |
||||
|
目的IP地址 |
设置IPv4报文的目的IP地址和通配符掩码。均要求为点分十进制格式 |
|||
|
目的地址通配符 |
||||
|
协议 |
设置IP承载的协议类型 选择“1 ICMP”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可配置TCP/UDP端口 |
|||
|
ICMP类型 |
选择ICMP |
设置规则的ICMP报文的消息类型和消息码信息 只有配置项“协议”选择为“1 ICMP”时,才可以配置 在“选择ICMP”下拉框中选择一种ICMP报文类型。如果选择“其他”,则下面的ICMP类型、ICMP码必选输入;否则,下面显示的ICMP类型、ICMP码为系统默认的标准值,不可修改 |
||
|
ICMP类型 |
||||
|
ICMP码 |
||||
|
TCP/UDP端口 |
源 |
操作 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 · 选择“无限制”时,后面的两个“端口”配置项不可以配置 · 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 · 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 |
|
|
端口 |
||||
|
端口 |
||||
|
目的 |
操作 |
|||
|
端口 |
||||
|
端口 |
||||
|
优先级过滤 |
DSCP |
设置DSCP优先级 |
如果指定DSCP优先级的同时还指定了ToS或Precedence优先级,则对ToS和Precedence优先级的配置不会生效 |
|
|
ToS |
设置ToS优先级 |
|||
|
Precedence |
设置IP优先级 |
|||
|
时间段 |
设置规则生效的时间段 |
|||
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“链路层配置”页签,进入链路层ACL规则的配置页面,如图52-16所示。
(3) 配置链路层ACL规则,详细配置如表52-14所示。
(4) 单击<新建>按钮完成操作。
表52-14 链路层ACL规则的详细配置
|
配置项 |
说明 |
|
|
访问控制列表 |
设置规则所属的链路层ACL 可选的访问控制列表为链路层ACL |
|
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
|
操作 |
设置对匹配该规则的报文所进行的操作 · 允许:表示允许匹配该规则的报文通过 · 禁止:表示禁止匹配该规则的报文通过 |
|
|
MAC地址过滤器 |
源MAC地址 |
设置报文的源MAC地址和掩码 |
|
源MAC掩码 |
||
|
目的MAC地址 |
设置报文的目的MAC地址和掩码 |
|
|
目的MAC掩码 |
||
|
COS(802.1p priority) |
设置规则的802.1p优先级 |
|
|
类型过滤器 |
LSAP类型 |
设置规则中LLC封装中的DSAP字段和SSAP字段 · LSAP类型:表示数据帧的封装格式 · LSAP掩码:表示类型掩码,用于指定屏蔽位 |
|
LSAP掩码 |
||
|
协议类型 |
设置规则中的链路层协议类型 · 协议类型:表示数据帧的类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域 · 协议掩码:表示类型掩码,用于指定屏蔽位 |
|
|
协议掩码 |
||
|
时间段 |
设置规则生效的时间段 |
|
(1) 在导航栏中选择“QoS > ACL IPv6”。
(2) 单击“新建”页签,进入IPv6 ACL的新建页面,如图52-17所示。
(3) 进行新建IPv6 ACL的配置,详细配置如表52-15所示。
(4) 单击<应用>按钮完成操作。
表52-15 新建IPv6 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置IPv6 ACL的序号 |
|
匹配规则 |
设置IPv6 ACL中各规则的匹配顺序 · 用户配置:按用户的配置顺序进行规则匹配 · 自动:系统自动排序,即按深度优先的原则进行规则匹配 |
|
描述 |
设置IPv6 ACL的描述信息
S5120-WiNet系列交换机不支持 |
(1) 在导航栏中选择“QoS > ACL IPv6”。
(2) 单击“基本配置”页签,进入基本IPv6 ACL规则的配置页面,如图52-18所示。
(3) 配置基本IPv6 ACL规则,详细配置如表52-16所示。
(4) 单击<新建>按钮完成操作。
表52-16 基本IPv6 ACL规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv6 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
操作 |
设置对匹配该规则的IPv6报文所进行的操作 · 允许:表示允许匹配该规则的IPv6报文通过 · 禁止:表示禁止匹配该规则的IPv6报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv6报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的IPv6地址、源/目的端口号、报文的数目 |
|
源IP地址 |
设置IPv6报文的源IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
源地址前缀 |
|
|
时间段 |
设置规则生效的时间段 |
(1) 在导航栏中选择“QoS > ACL IPv6”。
(2) 单击“高级配置”页签,进入高级IPv6 ACL规则的配置页面,如图52-19所示。
(3) 配置高级IPv6 ACL规则,详细配置如表52-17所示。
(4) 单击<新建>按钮完成操作。
表52-17 高级IPv6 ACL规则的详细配置
|
配置项 |
说明 |
|||
|
访问控制列表 |
设置规则所属的高级IPv6 ACL |
|||
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|||
|
操作 |
设置对匹配该规则的IPv6报文所进行的操作 · 允许:表示允许匹配该规则的IPv6报文通过 · 禁止:表示禁止匹配该规则的IPv6报文通过 |
|||
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|||
|
记录日志 |
设置对匹配该规则的IPv6报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的IPv6地址、源/目的端口号、报文的数目 |
|||
|
IP地址过滤 |
源IP地址 |
设置IPv6报文的源IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
||
|
源地址前缀 |
||||
|
目的IP地址 |
设置IPv6报文的目的IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|||
|
目的地址前缀 |
||||
|
协议 |
设置IPv6承载的协议类型 选择“58 ICMPv6”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可以配置TCP/UDP类型 |
|||
|
ICMPv6类型 |
选择ICMPv6 |
设置规则的ICMPv6报文的消息类型和消息码信息 只有配置项“协议”选择为“58 ICMPv6”时,才可以配置 在“选择ICMPv6”下拉框中选择一种ICMPv6报文格式。如果选择“其他”,则下面的ICMPv6类型、ICMPv6码必选输入;否则,下面的ICMPv6类型、ICMPv6码为系统默认的标准值,不可修改 |
||
|
ICMPv6类型 |
||||
|
ICMPv6码 |
||||
|
TCP/UDP端口 |
源 |
操作 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 · 选择“无限制”时,后面的两个“端口”配置项不可以配置 · 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 · 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 |
|
|
端口 |
||||
|
端口 |
||||
|
目的 |
操作 |
|||
|
端口 |
||||
|
端口 |
||||
|
时间段 |
设置规则生效的时间段 |
|||
· 仅S5500-WiNet和S3100V2-WiNet系列交换机支持VLAN策略。
· 仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持队列调度。
· 仅S5120-WiNet系列交换机支持流量整形。
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,方便的进行QoS配置。
(1) 类
类是用来识别流的。
类的要素包括:类的名称和类的规则。
用户可以定义一系列的规则,来对报文进行分类。同时用户可以指定规则之间的关系:and和or。
· and:报文只有匹配了所有的规则,设备才认为报文属于这个类。
· or:报文只要匹配了类中的一个规则,设备就认为报文属于这个类。
(2) 流行为
流行为用来定义针对报文所做的QoS动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以在一个流行为中定义多个动作。
(3) 策略
QoS策略支持VLAN策略和端口策略两种应用方式。
· VLAN策略:即基于VLAN的应用,是指QoS策略对该VLAN的所有流量生效。VLAN策略可以方便QoS策略在设备上的应用管理。VLAN策略不能应用在动态VLAN上。例如,在运行GVRP协议的情况下,设备可能会动态创建VLAN,相应的VLAN策略不能应用在该动态VLAN上。
· 端口策略:即基于端口的应用,是指QoS策略对端口接收或者发送的流量生效。一个策略可以在多个端口上得到应用。端口的每个方向(出/入两个方向)只能应用一个策略。
QoS策略配置的推荐步骤如表52-18所示。
表52-18 QoS策略配置步骤
|
步骤 |
配置任务 |
说明 |
||
|
1 |
配置类 |
必选 新建一个类,并配置该类下的规则之间的逻辑关系 |
||
|
必选 配置类中报文所匹配的规则 |
||||
|
2 |
配置流行为 |
必选 新建一个流行为 |
||
|
配置流行为的动作 |
二者至少选其一 配置流行为的各种动作 |
|||
|
3 |
配置策略 |
必选 新建一个策略 |
||
|
必选 在策略中为类指定采用的流行为 策略下每个类只能与一个流行为关联,如果一个策略下的某个类与多个流行为配置了关联,则最后的配置将覆盖前面的配置 |
||||
|
4 |
应用策略 |
二者至少选其一 在指定VLAN或端口上应用QoS策略 |
||
队列调度配置的推荐步骤如表52-19所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 在指定端口上配置队列调度的方式 |
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 设置限制物理端口接收或者发送数据的速率 |
优先级映射表配置的推荐步骤如表52-21所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 设置不同类型映射表中的映射输入索引和映射优先级的对应关系 |
端口优先级配置的推荐步骤如表52-22所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 |
(1) 在导航栏中选择“QoS > 类”。
(2) 单击“新建”页签,进入类的新建页面,如图52-20所示。
(3) 进行新建类的配置,详细配置如表52-23所示。
(4) 单击<新建>按钮完成操作。
|
配置项 |
说明 |
|
类名称 |
为要新建的类指定一个类名称 |
|
操作 |
指定类下的规则之间的逻辑关系: · And:逻辑与的关系,即数据包必须匹配全部规则才属于该类 · Or:逻辑或的关系,即数据包只要匹配其中任何一个规则就属于该类 |
(2) 单击“设置”页签,进入类的配置页面,如图52-21所示。
(3) 配置分类规则,详细配置如表52-24所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
|
配置项 |
说明 |
||
|
请选择一个类名称 |
在下拉框中选择一个已存在的类名称 |
||
|
匹配每个报文 |
设置匹配所有报文的规则 选中前面的复选框,表示匹配所有的报文 |
||
|
DSCP |
设置匹配DSCP的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的DSCP值;如果一次配置中有多个DSCP值相同,系统默认为一个;多个不同的DSCP值是或的关系;每次配置后,DSCP值将自动按照从小到大的顺序排序显示 |
如果设置DSCP、IP优先级、Dot1p优先级、MAC地址和VLAN为多个类时,类之间的逻辑关系应该是or,否则应用QOS策略会失败,原因是一个报文不能同时匹配到二个优先级 |
|
|
IP优先级 |
设置匹配IP优先级的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的IP优先级值;如果一次配置中有多个IP优先级值相同,系统默认为一个;多个不同的IP优先级值是或的关系;每次配置后,IP优先级值将自动按照从小到大的顺序排序显示 |
||
|
Dot1p |
运营商网络802.1p |
设置匹配运营商网络802.1p优先级的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的802.1p优先级值;如果一次配置中有多个值相同,系统默认为一个;多个不同的802.1p优先级值是或的关系;每次配置后,802.1p优先级值将自动按照从小到大的顺序排序显示 |
|
|
用户网络802.1p |
设置匹配用户网络802.1p优先级的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的802.1p优先级值;如果一次配置中有多个值相同,系统默认为一个;多个不同的802.1p优先级值是或的关系;每次配置后,802.1p优先级值将自动按照从小到大的顺序排序显示 |
||
|
MAC地址 |
源MAC地址 |
设置匹配报文源MAC地址的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 |
|
|
目的MAC地址 |
设置匹配报文目的MAC地址的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 |
||
|
VLAN |
运营商网络号 |
设置匹配运营商网络VLAN ID的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次可以配置多个VLAN ID值,如果一次配置中有多个VLAN ID值相同,系统默认为一个;多个不同的VLAN ID值是或的关系。有两种输入方式: · 输入一个连续的VLAN ID范围,其中包含的VLAN ID个数没有限制,如:10-500 · 输入不连续的VLAN ID或范围,其中最多可以包含8个VLAN ID,如:3,5-7,10 |
|
|
用户网络号 |
设置匹配用户网络VLAN ID的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次可以配置多个VLAN ID值,如果一次配置中有多个VLAN ID值相同,系统默认为一个;多个不同的VLAN ID值是或的关系。有两种输入方式: · 输入一个连续的VLAN ID范围,其中包含的VLAN ID个数没有限制,如:10-500 · 输入不连续的VLAN ID或范围,其中最多可以包含8个VLAN ID,如:3,5-7,10 |
||
|
访问控制列表 |
ACL IPv4 |
设置匹配IPv4 ACL的规则 |
|
|
ACL IPv6 |
设置匹配IPv6 ACL的规则 |
||
(1) 在导航栏中选择“QoS > 流行为”。
(2) 单击“新建”页签,进入流行为的新建页面,如图52-22所示。
(3) 配置新建流行为的的名称。需要注意的是。
(1) 在导航栏中选择“QoS > 流行为”。
(2) 单击“端口设置”页签,进入流行为的端口配置页面,如图52-23所示。
(3) 配置流镜像和流量重定向,详细配置如表52-25所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一个流行为 |
在下拉框中选择一个已存在的流行为名称 |
|
流镜像 |
设置流镜像到目的端口的动作
仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
|
流量重定向 |
设置流量重定向到目的端口动作 |
|
请选择一个端口 |
在面板示意图中点击选择要配置的流镜像或流量重定向动作的目的端口 |
(1) 在导航栏中选择“QoS > 流行为”。
(2) 单击“设置”页签,进入流行为的配置页面,如图52-24所示。
(3) 配置流行为其它动作,详细配置如表52-26所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
|
配置项 |
说明 |
|||
|
请选择一个流行为 |
在下拉框中选择一个已存在的流行为名称 |
|||
|
流量监管 |
使能/禁止 |
设置使能或禁止流量监管 |
仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
|
|
CIR |
设置承诺信息速率,流量的平均速率 |
|||
|
CBS |
设置承诺突发尺寸,每个时间间隔可发送的字节数 |
|||
|
Red |
丢包 |
设置数据包的流量不符合承诺速率时,对数据包采取的动作 选中“Red”前的复选框后,可点击后面两个单选按钮进行选择: · 丢包:表示丢弃数据包 · 发送:表示发送数据包 |
||
|
发送 |
||||
|
标记QoS值 |
IP优先级 |
设置标记报文的IP优先级 选中前面的复选框后,在后面的下拉框中选择IP优先级,选择Not Set表示取消标记报文的IP优先级的设置
仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持 |
||
|
IEEE802.1p优先级 |
设置标记报文的802.1p优先级 选中前面的复选框后,在后面的下拉框中选择802.1p优先级,选择Not Set表示取消标记报文的802.1p优先级的设置 |
|||
|
本地优先级 |
设置标记报文的本地优先级 选中前面的复选框后,在后面的下拉框中选择本地优先级,选择Not Set表示取消标记报文的本地优先级的设置 |
|||
|
DSCP |
设置标记报文的DSCP值 选中前面的复选框后,在后面的下拉框中选择DSCP值,选择Not Set表示取消标记报文的DSCP值的设置 |
|||
|
包过滤 |
设置包过滤动作 选中前面的复选框后,在后面的下拉框中进行选择: · Permit:表示发送数据包 · Deny:表示丢弃数据包 · Not Set:表示取消包过滤动作设置 |
|||
|
流量统计 |
设置流量统计动作 选中前面的复选框后,在后面的下拉框中选择Enable或Disable流量统计动作
仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
|||
(1) 在导航栏中选择“QoS > QoS Policy”。
(2) 单击“新建”页签,进入策略的新建页面,如图52-25所示。
(3) 配置新建策略的名称。需要注意的是。
(1) 在导航栏中选择“QoS > QoS Policy”。
(2) 单击“设置”页签,进入策略的配置页面,如图52-26所示。
(3) 配置策略中类和流行为对应关系,详细配置如表52-27所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已存在的策略名 |
|
类名称 |
在下拉框中选择一个已存在的类名称 |
|
流行为名称 |
在下拉框中选择一个已存在的流行为名称 |
仅S5500-WiNet和S3100V2-WiNet系列交换机支持此功能。
(1) 在导航栏中选择“QoS > VLAN策略”。
(2) 单击“设置”页签,进入VLAN策略的配置页面,如图52-27所示。
(3) 在VLAN上应用策略,详细配置如表52-28所示。
(4) 单击<应用>按钮完成操作。
表52-28 在VLAN上应用策略的详细配置
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已存在的策略名 |
|
方向 |
设置应用QoS策略的方向 Inbound:表示对VLAN接收到的报文应用QoS策略 Outbound:表示对VLAN发送出的报文应用QoS策略 |
|
VLAN IDs |
设置要应用该QoS策略的VLAN ID |
(1) 在导航栏中选择“QoS > 端口策略”。
(2) 单击“设置”页签,进入端口策略的配置页面,如图52-28所示。
(3) 在端口上应用策略,详细配置如图52-26所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已存在的策略名 |
|
方向 |
设置应用QoS策略的方向 · Inbound:表示对端口接收到的报文应用QoS策略 · Outbound:表示对端口发送的报文应用QoS策略
S5500-WiNet系列交换机此配置项仅支持Inbound;S5120-WiNet系列交换机此配置项仅支持Outbound |
|
请选择端口 |
设置要应用该QoS策略的端口 在面板示意图中点击进行选择,可以选择一个或多个端口 |
仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持此特性。
(1) 在导航栏中选择“QoS > 队列调度”。
(2) 单击“设置”页签,进入队列调度的配置页面,如图52-29所示。
(3) 在端口上配置队列,详细配置如表52-30所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
|
严格优先队列 |
在指定端口上配置严格按照优先级对队列进行调度: · Enable:在指定端口上使能严格优先队列 · Not Set:恢复指定端口上缺省的队列算法
仅S5500-WiNet系列和S3100V2-52TP-WiNet交换机支持此参数 |
|
|
加权轮询队列设置 |
加权轮询队列 |
在指定端口上配置按照加权轮询队列进行调度: · Enable:在指定端口上使能加权轮询队列 · Not Set:恢复指定端口上缺省的队列算法 |
|
队列序号 |
选择要配置的队列的序号,取值为0~7
S5120-WiNet系列交换机的取值为0~3 |
|
|
优先组 |
设置该队列属于哪个优先组 队列序号选择某个值后可用,可选的优先组包括: · SP:表示该队列属于严格优先组 · 1:表示该队列属于加权轮询队列优先组1 · 2:表示该队列属于加权轮询队列优先组2 以设备界面上可选择的为准 |
|
|
权重 |
设置队列的调度权重 优先组为“1”时可用
S5120-WiNet系列交换机优先组为“1”或“2”时可用 |
|
|
请选择端口 |
在面板示意图中点击选择要配置队列的端口,可以选择一个或多个端口 |
|
仅S5120-WiNet系列交换机支持此特性。
(1) 在导航栏中选择“QoS > 流量整形”。
(2) 单击“设置”页签,进入流量整形的配置页面,如图52-30所示。
(3) 配置流量整形,详细配置如表52-31所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
流量整形 |
开启或关闭端口的流量整形功能 |
|
匹配类型 |
匹配数据包的规则,可以选择的项包括: · Any:对所有的数据包进行流量整形 · Queue:对指定队列的数据包进行流量整形 |
|
队列编号 |
当Match Type选择为Queue时,选择匹配的队列编号,取值为0~3 |
|
CIR |
设置承诺信息速率,流量的平均速率 |
|
CBS |
设置承诺突发尺寸,可选项,如果不选择,设备会根据CIR参数值自动计算一个合理的CBS值 |
(5) 配置完成后,可以进入“显示”页签,选择配置流量整形的端口,便可以查看配置结果,如图52-31所示。
(1) 在导航栏中选择“QoS > 端口限速”。
(2) 单击“设置”页签,进入端口限速的配置页面,如图52-32所示。
(3) 配置端口限速,详细配置如表52-32所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一种接口类型 |
设置要配置端口限速的接口类型 |
|
限速 |
设置使能或禁止指定端口的端口限速功能 |
|
方向 |
设置对指定端口上哪个方向的数据流进行限速 · Inbound:表示对指定端口接收到的数据流进行限速 · Outbound:表示对指定端口发送的数据流进行限速 · Both:表示对指定端口接收和发送的数据流进行限速
S5500-WiNet系列交换机此配置项仅支持outbound |
|
CIR |
设置承诺信息速率,流量的平均速率 |
|
CBS |
设置承诺突发尺寸,每个时间间隔可发送的位数
仅S5500-WiNet和S3100V2-WiNet系列交换机支持 |
|
请选择端口 |
设置要配置端口限速的端口 端口列表选择框中为指定接口类型的端口列表,在其中点击进行选择,可以选择一个或多个端口 |
(1) 在导航栏中选择“QoS > 优先级映射表”,进入如图52-33所示的页面。
(2) 配置优先级映射表,详细配置如表52-33所示。
(3) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
映射表类型 |
设备要配置的映射表的类型 · S5500-WiNet和S5120-WiNet系列交换机支持的类型包括:CoS to DSCP、CoS to Queue、DSCP to CoS、DSCP to DSCP、DSCP to Queue · S3100V2-WiNet系列交换机(除S3100V2-52TP-WiNet)支持的类型包括:CoS to Queue和DSCP to Queue · S3100V2-52TP-WiNet交换机支持的类型包括:CoS to Drop Prec、CoS to Queue、DSCP to CoS、DSCP to Drop Prec和DSCP to DSCP |
|
映射输入索引 |
设置不同映射输入索引所对应的映射优先级的值 |
|
映射优先级 |
|
|
<恢复缺省> |
单击此按钮可以使当前映射表显示的映射优先级值都恢复到缺省的状态 需要注意的是,要恢复缺省配置,还必须要单击<确定>按钮才能生效 |
(1) 在导航栏中选择“QoS > 端口优先级”,进入如图52-34所示的页面。
(2) 单击端口对应的图标,进入该端口的优先级和信任模式的配置页面,如图52-35所示。
(3) 配置端口优先级,详细配置如表52-34所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
接口名称 |
显示要配置的端口 |
|
优先级 |
设置端口本地优先级的值 |
|
信任模式 |
设置端口优先级信任模式: · Untrust:端口不信任报文的优先级 · Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射 · DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射
仅S5500-WiNet系列、S5120-WiNet系列和S3100V2-52TP-WiNet交换机支持 |
· 如图52-36所示,Switch与FTP服务器(IP地址为10.1.1.1/24)相连,用户通过GigabitEthernet1/0/1接入Switch。
· 要求正确配置ACL和QoS策略,禁止用户在每天的8:00~18:00访问FTP服务器。
图52-36 ACL/QoS配置组网图
采用如下思路进行配置:
(1) 配置限制用户在每天的8:00~18:00访问FTP服务器的ACL规则。
(2) 配置QoS策略为:匹配该ACL规则的类,采取丢弃数据包的动作。
(3) 在GigabitEthernet1/0/1的入方向上应用该QoS策略。
(1) 定义每天8:00至18:00的周期时间段。
步骤1:在导航栏中选择“QoS > 时间段”。
步骤2:单击“新建”页签。
步骤3:进行如下配置,如图52-37所示。
· 输入时间段名称为“test-time”。
· 选中“周期时间段”前的复选框。
· 设置开始时间为“8:0”,结束时间为“18:0”。
· 选中“星期日”~“星期六”前的复选框。
步骤4:单击<应用>按钮完成操作。
图52-37 定义每天8:00至18:00的周期时间段
(2) 新建高级IPv4 ACL。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签。
步骤3:输入访问控制列表ID为“3000”,如图52-38所示。
步骤4:单击<应用>按钮完成操作。
(3) 配置到FTP服务器的访问规则。
步骤1:单击“高级配置”页签。
步骤2:进行如下配置,如图52-39所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“2”。
· 选择操作为“允许”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.1.1.1”,输入目的地址通配符为“0.0.0.0”。
· 选择时间段为“test-time”。
步骤3:单击<新建>按钮完成操作。
图52-39 配置到FTP服务器的访问规则
(4) 新建类。
步骤1:在导航栏中选择“QoS > 类”。
步骤2:单击“新建”页签。
步骤3:输入类名称为“class1”,如图52-40所示。
步骤4:单击<新建>按钮完成操作。
(5) 配置分类规则。
步骤1:单击“设置”页签。
步骤2:进行如下配置,如图52-41所示。
· 选择类名称为“class1”。
· 选中“ACL IPv4”前的复选框,选择访问控制列表ID为“3000”。
步骤3:单击<应用>按钮,弹出配置进度对话框,如图52-42所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(6) 新建流行为。
步骤1:在导航栏中选择“QoS > 流行为”。
步骤2:单击“新建”页签。
步骤3:输入流行为名称为“behavior1”,如图52-43所示。
步骤4:单击<新建>按钮完成操作。
(7) 配置流行为的动作。
步骤1:单击“设置”页签。
步骤2:进行如下配置,如图52-44所示。
· 选择流行为为“behavior1”。
· 选中“包过滤”前的复选框,选择行为为“Deny”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(8) 新建策略。
步骤1:在导航栏中选择“QoS > QoS Policy”。
步骤2:单击“新建”页签。
步骤3:输入策略名为“policy1”,如图52-45所示。
步骤4:单击<新建>按钮完成操作。
(9) 配置策略中类和流行为的对应关系。
步骤1:单击“设置”页签。
步骤2:进行如下配置,如图52-46所示。
· 选择策略为“policy1”。
· 选择类名称为“class1”。
· 选择流行为名称为“behavior1”。
步骤3:单击<应用>按钮完成操作。
(10) 在端口的入方向上应用QoS策略。
步骤1:在导航栏中选择“QoS > 端口策略”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如图52-47所示。
· 选择策略为“policy1”。
· 选择方向为“Inbound”。
· 选择端口为“GigabitEthernet1/0/1”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
对ACL进行配置时,需要注意如下事项:
· 新创建或修改后的规则不能和已经存在的规则相同,否则会导致新建或修改不成功,系统会提示这条规则已经存在。
· 当ACL的匹配顺序为“用户配置”时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为“自动”时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
对QoS进行配置时,需要注意如下事项:
· 配置端口限速和流行为中的流量监管时,所配置的CBS值与CIR值的比例如果小于100:16,则可能会影响对突发流量的处理效果。
· 在一些产品上,流镜像和其它一些动作比如重定向、端口镜像可能会有一些资源竞争或者配置冲突。
· 如果QoS策略在定义流分类规则时引用了ACL,则忽略ACL规则的操作,以流行为中定义的动作为准,报文匹配只使用ACL中的分类域。
· 如果QoS策略应用在端口的出方向,则QoS策略对本地协议报文不起作用。(本地协议报文的含义及其作用如下:某些内部发起的报文是维持设备正常运行的重要的协议报文,为了确保这些报文能够被不受影响的发送出去,遂将其定义为本地协议报文,使得QoS不对其进行处理,降低了因配置QoS而误将这些报文丢弃或进行其他处理的风险。一些常见的本地协议报文如下:链路维护报文、ISIS、OSPF、RIP、BGP、LDP、RSVP、SSH等。)
· 仅S5120-28P-POE-WiNet交换机支持PoE特性。
· S5500-WiNet和S3100V2-WiNet系列交换机(除S3100V2-52TP-WiNet)Web页面中会显示PoE功能,但不能进行任何配置。
PoE(Power over Ethernet,以太网供电,又称远程供电)是指设备通过以太网电口,利用双绞线对外接PD(Powered Device,受电设备)进行远程供电。
PoE系统如图53-1所示,包括PoE电源、PSE(Power Sourcing Equipment,供电设备)、PI(Power Interface,电源接口)和PD。
图53-1 PoE系统示意图
PoE电源为整个PoE系统供电。
PSE是直接给PD供电的设备。PSE分为内置(Endpoint)和外置(Midspan)两种:内置指的是PSE集成在交换机/路由器内部,外置指的是PSE与交换机/路由器相互独立。
H3C的PSE均采用内置方式,根据设备中携带的PSE的数量可以分为:
· 单PSE设备:设备中只携带了一块PSE,所以通常将整个设备看成一个PSE。
· 多PSE设备:设备中携带了多块PSE,一块具有PoE供电能力的接口板就是一个PSE,在多PSE设备中,系统使用PSE ID来识别不同PSE。
本手册只介绍单PSE设备的配置。
PSE支持的主要功能包括寻找、检测PD,对PD分类,并向其供电,进行功率管理,检测与PD的连接是否断开等。
PI是指具备PoE供电能力的以太网接口,也称为PoE接口,包括FE和GE接口。
PoE接口远程供电有两种模式:
· 信号线供电模式:PSE使用3/5类双绞线中传输数据所用的线对(1、2、3、6)向PD传输数据的同时传输直流电。
· 空闲线供电模式:PSE使用3/5类双绞线中没有用于数据传输的线对(4、5、7、8)向PD来传输直流电。
PD是接受PSE供电的设备,如IP电话、无线AP(Access Point,接入点)、便携设备充电器、刷卡机、网络摄像头等。
PD设备在接受PoE电源供电的同时,可以连接其它电源,进行电源冗余备份。
在配置PoE功能前,请确保PoE电源或PSE已经处于正常工作状态,否则,可能无法进行PoE配置或者配置的PoE功能不能生效。
(1) 在导航栏中选择“PoE > PoE”。
(2) 单击“端口设置”页签,进入如图53-2所示的页面。
(3) 配置PoE接口,详细配置如表53-1所示。
(4) 单击<应用>按钮完成操作。
表53-1 PoE接口的详细配置
|
配置项 |
说明 |
|
选择端口 |
在面板示意图中点击选择要进行PoE设置的端口,选中的端口会在页面下方的“选中端口”框中列出 |
|
供电状态 |
设置使能或禁止端口的PoE供电功能 · 当未使能PoE功能时,系统不会给PoE接口下挂的PD供电,也不会给PD预留功率 · 当使能PoE功能时,如果该PoE接口的加入不会导致PSE功率过载,则允许使能;否则,不允许使能该PoE接口的PoE功能 缺省情况下,接口的PoE供电功能处于禁止状态
PSE功率过载:当PSE上已经获得供电的端口的最大功率之和大于PSE最大功率时,系统将认为PSE功率过载 |
|
最大功率 |
设置PoE接口的最大供电功率 PoE接口的最大供电功率指的是PoE接口能够提供给下挂PD的最大功率。当PD要求的功率大于PoE接口的最大功率时,则不会给PD供电 缺省情况下,PoE接口的最大供电功率为30000毫瓦 |
|
供电优先级 |
设置PoE接口的供电优先级,包括低(Low)、高(High)、最高(Critical)三级 · 当设备对外供电功率不足情况下,优先对供电优先级较高的PoE接口进行供电 · 如果PSE功率过载,分为两种情况:如果新接入的PD优先级为低,则不对新接入的PD供电;如果接入新的PD优先级为高或者最高,将对优先级低的PD断电,保证给优先级较高的PD供电 · 当PSE剩余保证功率(PSE最大功率减去该PSE中优先级为最高的PoE接口的最大功率,与PoE接口是否使能PoE功能无关)小于该PoE接口最大功率时,设置最高优先级不成功;否则,该PoE接口优先级成功设为最高,并将抢占部分低优先级PD的功率,被抢占的PD断电,但是这些PoE接口的配置不变。将某个PoE接口的优先级从最高降为其它优先级,可能导致其它PoE接口的PD得到供电 缺省情况下,PoE接口的供电优先级为低
设备给每个PoE接口预设了19W的保护功率,以便适应PD设备的功率波动,从而防止由于PD的瞬间功率过大而导致PD断开。当PSE剩余功率小于19W,高优先级端口将抢占低优先级端口的功率,优先保证高优先级端口的正常工作 如果已接入的PD功率突然增加,造成PSE功率过载时,将停止对连接在低优先级PoE接口上的PD的供电,以便保证给优先级高的PD供电 |
PD设备分为标准PD和非标准PD,标准PD是指符合IEEE 802.3af标准的PD设备。通常情况下,PSE只能检测到标准PD,并为其供电。只有在开启PSE检测非标准PD功能后,PSE才能检测到非标准PD,并为其供电。
(1) 在导航栏中选择“PoE > PoE”。
(2) 单击“PSE设置”页签,进入如图53-3所示的页面。页面显示所有PSE的位置信息和非标准PD检测功能的开启状态。
(1) 找到要设置的PSE ID,选择其对应的“兼容非标准检测”列为“开启”。
(2) 单击<确定>按钮,可以开启该PSE的非标准PD检测功能。
(1) 找到要设置的PSE ID,选择其对应的“兼容非标准检测”列为“关闭”。
(2) 单击<确定>按钮,可以关闭该PSE的非标准PD检测功能。
直接单击<全部开启>按钮,可以开启所有PSE的非标准PD检测功能。
直接单击<全部关闭>按钮,可以关闭所有PSE的非标准PD检测功能。
(1) 在导航栏中选择“PoE > PoE”,默认进入“显示”页签的页面。
(2) 页面上方显示PSE的信息;在面板示意图中点击选中某个端口,页面下方会该PoE接口的配置信息和功率信息,如图53-4所示。
图53-4 PoE显示(选中端口GigabitEthernet1/0/1)
· GigabitEthernet1/0/1、GigabitEthernet1/0/2接入IP电话。
· GigabitEthernet1/0/11接入AP设备,功率最大不能超过9000毫瓦。
· IP电话的供电优先级高于AP设备,当PSE功率过载时,优先给IP电话供电。
图53-5 PoE配置组网图
(1) 使能PoE接口GigabitEthernet1/0/1、GigabitEthernet1/0/2的远程供电功能,并且供电优先级为最高。
步骤1:在导航栏中选择“PoE > PoE”。
步骤2:单击“端口设置”页签。
步骤3:进行如下配置,如图53-6所示。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/1”和“GigabitEthernet1/0/2”。
· 选择供电状态为“使能”。
· 选择供电优先级为“最高”。
步骤4:单击<应用>按钮完成操作。
图53-6 配置为IP电话供电的PoE接口
(2) 使能PoE接口GigabitEthernet1/0/11的远程供电功能,并配置其最大供电功率为9000毫瓦。
步骤1:单击“端口设置”页签。
步骤2:进行如下配置,如图53-7所示。
· 在面板示意图中点击选择端口“GigabitEthernet1/0/11”。
· 选择供电状态为“使能”。
· 选中“最大功率”前的复选框,输入最大功率为“9000”。
步骤3:单击<应用>按钮完成操作。
配置完成后,IP电话和AP设备被供电,能够正常工作。
图53-7 配置为AP供电的PoE接口
随着网络规模的增加,网络边缘需要使用大量的接入设备,这使对这些设备的管理工作非常繁琐。同时,要为这些设备逐一配置IP地址,在目前IP地址资源日益紧张的情况下无疑也是一种浪费。WiNet(Wisdom NetWork,智能网络)的主要目的就是解决大量分散的网络设备的集中管理问题。
WiNet具有以下优点:
· 易部署:WiNet网络中只有一台设备被配置为管理设备,通过对管理设备进行简单的Web配置,就可以对整个WiNet网络中的所有设备进行管理。
· 零成本:不需要专门的网管设备,无需另外购买和安装网管软件。
· 即插即用:设备通过以太网口接入到网络中,即可被管理设备自动发现并加入网络。
· 简单快速部署用户网络接入安全认证功能:只需在管理设备上进行简单的Web配置,就可以启动RADIUS服务器功能,并且通过管理设备直接配置成员设备的安全认证端口,操作简单方便。
根据在WiNet中所处的地位和功能的不同,可把WiNet中的设备分为以下三种角色:
· 管理设备(Administrator):在WiNet中对整个WiNet管理发挥接口作用的设备,也是WiNet中唯一配置公网IP地址的设备。每个WiNet必须(且只能)指定一个管理设备。对WiNet中的其它设备进行配置、管理和监控都必须通过WiNet设备来进行,WiNet设备通过收集相关信息来发现和确定候选设备。
· 成员设备(Member):在WiNet中处于被管理状态的设备。
· 候选设备(Candidate):指还没有加入WiNet但具备WiNet能力、能够成为WiNet成员的设备。它与成员设备的区别在于:其拓扑信息已被管理设备收集到但尚未加入WiNet。
· S5500-WiNet系列和S3100V2-52TP-WiNet交换机主要用作管理设备,也支持用作成员设备。
· S5120-WiNet和S3100V2-WiNet系列(除S3100V2-52TP-WiNet)交换机仅支持用作成员设备。
图54-1 WiNet典型组网图
用户只需要在管理设备上启动WiNet,其它设备不需要进行任何配置。管理设备启动WiNet后,可以自动发现和确定候选设备。
(1) 在导航栏中选择“WiNet”,在未启动WiNet时,会弹出提示信息“只有WiNet管理设置支持该功能”,单击<确定>按钮即进入WiNet的设置页面,如图54-2所示。页面上半部分可以设置启动/关闭WiNet。
(2) 启动WiNet的详细配置如表54-1所示,完成配置后单击<启动 WiNet>按钮完成操作。
表54-1 启动WiNet的详细配置
|
配置项 |
说明 |
|
WiNet名 |
设置WiNet的名称 |
|
管理VLAN |
设置WiNet的管理VLAN,只能设置已经存在的静态VLAN 管理VLAN是指WiNet协议报文通讯所使用的VLAN,它限制了WiNet管理的范围,通过配置管理VLAN,可实现如下功能: · WiNet的管理报文都将限制在管理VLAN内,实现了与其它报文的隔离,增加了安全性 · 管理设备和成员设备、候选设备通过管理VLAN实现了内部通讯
WiNet管理要求管理设备与成员/候选设备相连的端口(包括级联端口)、管理设备连接外部网络的端口都要允许管理VLAN通过 |
|
地址池 |
设置WiNet的地址池的IP地址和网络掩码,加入该WiNet的成员设备都会分配到该地址池中的一个地址,其中管理设备的地址即为指定的地址池IP地址 |
|
地址池掩码 |
WiNet启动后,不能再对“设置”页面上的配置项进行配置,且<启动 WiNet>按钮变为<关闭 WiNet>按钮。单击<关闭 WiNet>按钮,即可删除WiNet。
WiNet网络建立后,用户可以在“WiNet管理”页签的页面查看WiNet网络的拓扑图。缺省境况下,拓扑图的背景是白色的。设备支持拓扑图背景定制功能,用户可以上传自己喜欢的图片(JPG或BMP格式,文件大小建议小于0.5MB)作为拓扑图的背景。
(1) 在导航栏中选择“WiNet”。
(2) 单击“设置”页签,进入WiNet的设置页面,如图54-2所示。页面下半部分可以设置WiNet网络拓扑图的背景。
(3) 通过单击<浏览>按钮选择要上传的背景图片文件,单击<上传背景>按钮,即可完成拓扑图的背景设置。
(4) 单击<清除背景>按钮,即可清除设置的背景图片文件。
WiNet网络建立后,可以对其中的成员设备进行管理。需要注意的是,管理员与管理设备相连的端口必须允许管理VLAN通过,才能对WiNet网络中的设备进行管理。
在导航栏中选择“WiNet”,默认进入WiNet管理页面,如图54-3所示。
在“WiNet管理”页面可以进行如下操作:
(1) 设置刷新周期,可以按照指定的周期自动刷新页面显示的拓扑图;若选择“手动刷新”,则可以单击<手动刷新>按钮来刷新页面显示的拓扑图。
(2) 单击<拓扑收集>按钮,管理设备开始重新进行拓扑收集。需要注意的是,除了手动触发拓扑收集,系统还会每隔1分钟自动进行一次拓扑收集。
(3) 单击<网络快照>按钮,管理设备将当前网络的拓扑保存为基准拓扑,用于对比在不同时间网络拓扑的变化。
(4) 单击<拓扑初始化>按钮,将清除管理设备内存中保存的基准拓扑记录和浏览器记录的Cookie信息。
(5) 单击<启动认证中心>按钮,将在管理设备上启动RADIUS服务器功能,用于客户端用户进行安全认证;同时,管理设备上将自动生成一个来宾用户guest及其密码,并且管理设备会在每天的24:00自动更新来宾用户密码。
(6) 认证中心启动之后,页面上的<启动认证中心>按钮会变为<关闭认证中心>,单击此按钮将在管理设备上关闭RADIUS服务器功能,并自动删除生成的来宾用户guest。
(7) 在拓扑图上可以用鼠标拖动各设备图标,按用户的需要摆放设备图标的位置。如果用户使用的浏览器设置了可以接受Cookie,则在执行快照操作时,拖动后的各设备位置信息也将被保存下来。
(8) 在拓扑图中对某个设备双击鼠标左键,则弹出该设备详细信息的显示框,可以查看该设备的主机名、MAC地址、设备类型、IP地址、版本、跳数、WiNet信息等,如图54-4所示。
(9) 查看WiNet拓扑信息,包括各设备的角色、设备间的连接状态。设备间的连接状态有以下几种:
· 正常连接:基准拓扑中存在,当前拓扑也存在的连接。
· 新增连接:基准拓扑中不存在,当前拓扑中存在的连接。
· 环路阻断:被STP阻塞的连接。需要注意的是,当一个正常连接环路阻断时,显示为黑色虚线;当一个新增连接环路阻断时,显示为蓝色虚线。
· 断路连接:基准拓扑中存在,当前拓扑中不存在的连接。
(10) 查看设备面板示意图,并对设备进行管理,包括如下操作:
· 在拓扑图中单击选中某个设备,可以查看该设备的面板示意图。
· 单击<设备命名>按钮,在弹出的页面中可以重新设置设备的系统名称,如图54-5所示。
· 在设备的面板示意图上选择一个或多个二层以太网接口,单击<端口布防>按钮,可以在选中的接口上启动二层Portal认证功能。
管理设备与成员/候选设备相连的端口、管理设备连接外部网络的端口以及管理员接入管理设备的端口上不能进行端口布防。
· 如果选中的设备是成员设备,则单击<管理设备>按钮,可以登录到该成员设备的Web页面,对其进行配置和管理。需要注意的是,如果当前用户与成员设备上存在的用户名、密码一致,则可以直接登录到成员设备的Web页面进行操作;否则,只能进入成员设备的Web登录页面,需要输入正确的用户名和密码才能登录。
· 如果选中的设备是成员设备,单击<初始化>按钮,可以将该成员设备恢复到出厂配置,并重启成员设备。
· 如果选中的设备是成员设备,单击<重启设备>按钮,可以将该成员设备重新启动。
(1) 在导航栏中选择“WiNet”,单击“用户管理”页签,进入用户管理的页面,如图54-6所示。
(2) 单击<新建>按钮,进入新建用户的配置页面,如图54-7所示。
(3) 配置RADIUS服务器所管理的用户,详细配置如表54-2所示。
(4) 单击<确定>按钮完成操作。
表54-2 RADIUS服务器所管理的用户的详细配置
|
配置项 |
说明 |
|
用户名 |
设置用户的名称 |
|
用户密码 |
设置用户的密码和确认密码,用户密码和确认密码必须一致
输入的密码如果以空格开头,则开头的空格将被忽略 |
|
确认密码 |
|
|
授权VLAN |
设置用户的授权VLAN ID
如果指定了授权VLAN,但接入设备不支持授权VLAN属性,则会导致用户认证失败 |
|
授权ACL |
设置用户的授权ACL序号
如果指定了授权ACL,但接入设备不支持授权ACL属性,则会导致用户认证失败 |
|
过期时间 |
设置用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日) 当指定了过期时间的用户进行认证时,如果管理设备当前的系统时间超过了过期时间,则用户认证失败 |
|
备注信息 |
描述用户的相关信息 |
如图54-8所示,在由四台设备组成的WiNet网络中,Device B为管理设备,Device A、Device C和Device D为成员设备。Client通过端口GgiabitEthernet1/0/2与Device A相连。在WiNet网络中部署安全认证功能,使Client可以通过Device B进行安全认证,认证通过后可以访问外部网络。
图54-8 基于WiNet的RADIUS认证配置组网图
(1) 配置管理设备网管接口的IP地址
· 在导航栏中选择“网络 > VLAN虚接口”。
· 选择“修改”页签,输入IPv4地址为“163.172.55.1”,输入掩码为“255.255.255.0”,单击<应用>按钮完成操作,如图54-9所示。
配置完成后当前连接会断开,管理员需要使用新配置的地址重新登录设备。
(2) 启动WiNet
· 在导航栏中选择“WiNet”,在未启动WiNet时,会弹出提示信息“只有WiNet管理设置支持该功能”,单击<确定>按钮即进入WiNet的设置页面,如图54-10所示。
· 设置WiNet名及高级选项(本例采用缺省配置),单击<启动 WiNet>按钮完成操作。
· 选择“WiNet管理”页签,可以看到WiNet自动发现并生成的拓扑图,如图54-11所示。
图54-11 WiNet拓扑图
(3) 配置基于WiNet的RADIUS认证
# 配置RADIUS服务器所管理的用户。
· 在导航栏中选择“WiNet”,选择“用户管理”页签,单击<新建>按钮,进入新建用户的配置页面。
· 如图54-12所示,输入用户名为“client”;输入用户密码为“client_password”;输入确认密码为“client_password”;单击<确定>按钮完成操作。
图54-12 配置RADIUS服务器所管理的用户
# 启动认证中心:如图54-13所示,选择“WiNet管理”页签;单击<启动认证中心>按钮。
# 对成员设备Device A进行端口布防:如图54-14所示,在拓扑图上单击选中成员设备Device A;在设备面板示意图上单击选中端口GigabitEthernet1/0/2;单击<端口布防>按钮完成操作。
图54-14 对成员设备Device A进行端口布防
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
、
、
售前咨询
售后咨询
人工在线咨询
