- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (1.79 MB)
· 建议使用以下浏览器访问Web:Internet Explorer 8及以上版本、Firefox 4及以上版本、Chrome 10及以上版本、Safari 5.1及以上版本、Opera 11.11及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
设备的铭牌上打印了“管理IP、用户名、密码”信息的交换机,出厂时缺省支持Web登录。
设备支持HTTP(Hypertext Transfer Protocol,超文本传输协议)和HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)两种Web访问方式。
设备出厂时已经缺省启用了HTTP和HTTPS服务,并且设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTP或HTTPS服务登录设备的Web界面。缺省的Web登录信息包括:
· 用户名:admin
· 密码:admin
· 用户角色:network-admin
· 设备(Vlan-interface1)的IP地址:192.168.0.233
缺省的IP地址就是设备上的标签所示的地址(如图1-1所示),该IP地址的掩码为255.255.255.0。
采用缺省登录信息Web登录设备的步骤如下:
(1) 连接设备和PC
用以太网线将PC和设备上的以太网口(缺省情况下,所有端口均属于VLAN 1)相连。
(2) 为PC配置IP地址,保证其能与设备互通
通过查看设备标签的方式获取设备当前的IP地址。将PC的IP地址设置为与设备IP地址在同一个网段。
(3) 启动浏览器
在PC上启动浏览器,在地址栏中输入设备地址,然后回车,进入设备的Web登录页面。通过HTTP方式访问Web时,输入的设备地址格式为“http://ip-address:80”(“http://”可以省略);通过HTTPS方式访问Web时,输入的设备地址格式为“https://ip-address:443”。其中,ip-address为设备的IP地址;80和443分别为HTTP服务和HTTPS服务的缺省端口号,可以省略。
(4) 输入登录信息
在登录页面中输入用户名admin、密码admin和验证码,单击<登录>按钮即可登录Web。
(5) 修改登录信息
登录设备后,可以进入“网络 > IP > IP”页面修改设备的IP地址,通过点击页面左上角的“
”按钮修改用户admin的密码,以提高安全性;还可以进入“设备 > 维护 > 管理员”页面创建新的用户,以方便对设备进行管理。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。
在Web页面上单击左上角的<退出>按钮,即可退出Web。
需要注意的是:
· 退出Web时,系统不会自动保存当前配置。因此,建议用户在退出Web前先点击页面左上方的“
”按钮,或进入“设备 > 维护 > 配置文件”页面保存当前配置。
· 直接关闭浏览器不能使用户退出Web。
图2-1 Web页面布局
|
(1)标识和辅助区 |
(2)导航栏 |
|
(3)执行区 |
|
如上图所示,Web页面有以下几个功能区域:
· 标识和辅助区:该区域用来显示公司Logo、设备名称、当前登录用户信息,并提供语言切换、更改登录用户密码、保存当前配置、退出登录功能。点击“
”可以切换语言、更改登录用户密码;点击“
”可以保存当前配置;点击“
”可以退出登录。
· 导航栏:以树的形式组织设备的Web功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在执行区中。
· 执行区:进行配置操作、信息查看、操作结果显示的区域。
根据执行区内容的不同,Web页面分为特性页面、表项显示页面和配置页面三种。
如图2-2所示,特性页面显示了该特性包含的表项的统计信息、该特性支持的主要功能等。
图2-2 特性页面示意图
如图2-3所示,表项显示页面用来显示表项的具体信息。点击标题项(如“MAC地址”),可以根据该标题项对表项信息进行升序或降序排列。
配置页面用来完成某项配置任务,如添加、修改一条表项。某项配置任务需要的所有配置均可在该页面上完成,不需要在页面之间跳转,以方便用户使用。
Web页面上常用的按钮、图标及其功能,如表2-1所示。
表2-1 Web常用按钮和图标
|
按钮和图标 |
功能说明 |
|
|
用于查看特性的联机帮助信息 |
|
|
用于查看某个功能或参数的在线帮助信息 |
|
|
点击该图标,可以进入下一级页面进行配置或查看当前配置信息 |
|
|
表项的统计计数 |
|
|
显示功能当前的开启/关闭状态,点击该按钮可以修改开启/关闭状态 |
|
|
用于刷新表项内容 |
|
|
· 表项显示页面上,用于添加一条表项 · 配置页面上,具有如下功能: ¡ 用于对当前表项的添加进行确认,并新增一条表项 ¡ 添加一个ACL或策略等,以避免配置过程中在页面之间进行跳转 |
|
|
在文本框中输入查询关键字,点击该按钮对表项进行简单查询 |
|
|
高级查询按钮,点击该按钮后可以输入多个条件对表项进行组合条件查询 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于显示当前表项的详情。进入详情页面后,可以对该表项进行修改 |
|
|
表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示该图标 该图标用于删除当前表项 |
|
|
表项显示页面上,选中一条或多条表项后,将在页面的最下端显示该图标 该图标用于删除被选中的一条或多条表项 |
|
|
用于选择显示表项中的哪些标题项 |
|
|
用于进入配置页面 |
Web页面上常用的操作包括保存当前配置、显示表项详情、重启设备等。
对设备执行配置操作后,建议及时保存当前配置,以免配置丢失。保存当前配置的方法有以下两种:
· 点击页面左上方标识和辅助区内的“
”按钮保存配置。
· 进入“设备 > 维护 > 配置文件”页面,保存配置。
在表项显示页面上,将鼠标放在某一条表项上,将在表项的最右端显示详情图标“
”。点击该图标进入详情页面后,不仅可以显示表项的详细信息,还可以对该表项进行修改。
执行某些操作(如配置IRF)后,需要重启设备才能使配置生效。重启设备的方法为:进入“设备 > 维护 > 重启”页面,点击重启设备按钮。
在重启设备前,建议先保存当前配置,以免配置丢失。
用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。所有配置操作的缺省用户角色要求为network-admin。查看操作的缺省用户角色为所有角色。
用户角色为network-admin的用户登录后,Web页面导航栏上的一级菜单包括概览、设备、网络、资源、QoS、PoE、SmartMC和日志。点击一级菜单,会展开子菜单,子菜单由分类和特性名称组成。依次点击“一级菜单—>特性名称”可以进入相应的Web页面对该特性进行配置。
显示系统日志、当前的CPU和内存利用率以及设备的序列号、硬件版本等系统信息。
|
分类 |
特性名称 |
功能 |
|
维护 |
系统设置 |
· 设置设备的信息,包括名称、位置和联系方式 · 查看和配置系统时间,包括手工指定和通过协议同步网络时间 |
|
管理员 |
· 创建、修改、删除角色 · 创建、修改、删除管理员,并指定管理员对应的角色,以控制管理员的访问权限 · 管理密码 |
|
|
配置文件 |
· 保存当前配置 · 导入/导出配置 · 查看当前配置 · 将设备恢复到出厂配置 |
|
|
文件系统 |
· 查看存储介质的基本信息 · 查看文件/文件夹的基本信息 · 删除文件 · 上传/下载文件 |
|
|
软件更新 |
· 升级系统软件(仅支持使用Bin文件进行软件更新) · 查看系统软件列表,包括设备本地启动使用的软件列表、下次启动将使用的主用软件列表和备用软件列表 |
|
|
诊断 |
收集诊断信息,用于定位问题 |
|
|
重启 |
重启设备 |
|
|
关于 |
显示设备的基本信息,比如:设备名称、序列号、版本信息、电子标签、法律声明等 |
网络菜单包含的特性及其支持的功能如表3-2所示。
|
分类 |
特性名称 |
功能 |
|
探测工具 |
Ping |
· 测试IPv4网络中某主机的连通性 · 测试IPv6网络中某主机的连通性 |
|
Tracert |
· IPv4 Tracert · IPv6 Tracert |
|
|
接口 |
接口 |
· 查看设备支持的接口列表以及接口的主要属性(链路状态、IP地址、速率、双工模式、描述) · 删除逻辑接口、创建子接口、启用/禁用接口等 |
|
链路聚合 |
· 创建、修改、删除二层聚合组 |
|
|
风暴抑制 |
· 设置流量统计时间间隔 · 设置流量控制参数 · 显示接口流量控制信息 |
|
|
端口隔离 |
· 创建、修改隔离组 |
|
|
链路 |
VLAN |
· 基于端口划分VLAN · 创建VLAN接口 |
|
MAC |
· 创建和删除静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项 · 显示已有的MAC地址表项 |
|
|
LLDP |
· 启用/禁用LLDP功能 · 开启/关闭CDP兼容模式 · LLDP协议、LLDP接口设置 · 配置允许发布的TLV类型 · 显示LLDP邻居信息 |
|
|
DHCP Snooping |
· 配置端口为信任或非信任端口 · 配置DHCP Snooping表项记录功能和表项备份机制 · DHCP Snooping端口设置,包括MAC地址检查、请求方向报文检查、接受DHCP报文限速和DHCP Snooping表项最大学习数 · 配置接口是否开启 Option 82功能。若开启该功能,则可以配置Option 82的处理方式,填充模式和填充内容 |
|
|
IP |
IP |
· 配置接口IP地址获取方式(DHCP或者手工配置) · 修改接口的IP地址和MTU值 · 创建LoopBack接口 |
|
ARP |
· 管理静态、动态ARP表项 · 配置ARP代理 · 配置免费ARP · 配置ARP攻击防御 |
|
|
IPv6 |
IPv6 |
· 配置接口IPv6地址获取方式(手工指定、自动获取或自动生成) · 修改接口的IPv6地址 · 配置接口的MTU值 · 创建Loopback接口 |
|
ND |
· 管理静态、动态ND表项 · 配置STALE状态ND表项老化时间 · 配置链路本地ND表项资源占用最小化 · 配置跳数限制 · 配置RA前缀,包括前缀及长度,有效生命期和首选生命期等 · 配置接口的RA规则,包括是否抑制RA报文,RA报文最大和最小发布间隔,是否携带MTU选项,是否指定跳数限制,是否设置被管理地址标志位,是否设置其他信息标志位,路由器生存时间,邻居请求重传间隔,路由器优先级和保持邻居可达时间 · 在接口上开启普通ND代理和本地ND代理 · 设置接口的ND规则,包括动态表项数量限制和重复地址检测请求次数 |
|
|
镜像 |
端口镜像 |
· 配置本地镜像组 · 配置远程镜像组 |
|
服务 |
HTTP/HTTPS |
· 启用/禁用设备HTTP/HTTPS登录功能 · 配置登录用户连接的空闲超时时间 · 配置HTTP/HTTPS的服务端口号 · 使用ACL过滤登录用户 |
|
SSH |
· 开启Stelnet、SFTP、SCP服务器功能 · 配置设备发送的SSH报文的DSCP优先级 · 使用ACL过滤SSH用户 · 配置SFTP用户连接的空闲超时时间 |
|
|
FTP |
· 开启FTP服务器功能 · 配置设备发送的FTP报文的DSCP优先级 · 使用ACL过滤FTP用户 · 配置FTP连接的空闲超时时间 · 配置FTP服务与SSL服务器端策略关联 |
|
|
Telnet |
· 启用/禁用设备Telnet登录功能 · 配置IPv4/IPv6 Telnet报文的DSCP优先级 · 使用ACL过滤登录用户 |
|
|
NTP |
配置本地时钟作为参考时钟 |
|
|
SNMP |
· 开启SNMP功能 · 配置SNMP版本、团体名、组、用户等参数 · 开启Trap发送功能及配置相关参数 |
资源菜单包含的特性及其支持的功能如表3-3所示。
|
分类 |
特性名称 |
功能 |
|
ACL |
IPv4 |
· 创建基本或高级IPv4 ACL、基本或高级IPv6 ACL和二层ACL · 修改、删除在本页面和其他业务模块(如包过滤)页面创建的ACL |
|
IPv6 |
||
|
二层 |
QoS菜单包含的特性及其支持的功能如表3-4所示。
表3-4 QoS菜单包含的特性及其支持的功能
|
分类 |
特性名称 |
功能 |
|
QoS |
QoS策略 |
创建、修改和删除基于接口的QoS策略、基于VLAN的QoS策略和基于全局的QoS策略 |
|
硬件队列 |
修改接口硬件队列设置 |
|
|
优先级映射 |
· 配置端口优先级和端口优先级信任模式 · 配置优先级映射表,包括应用和重置802.1p优先级到本地优先级映射表、DSCP到802.1p优先级映射表和DSCP到DSCP映射表 |
|
|
限速 |
创建、修改和删除接口限速 |
表3-5 PoE菜单包含的特性及其支持的功能
|
分类 |
特性名称 |
功能 |
|
PoE |
PoE |
· 配置设备的功率告警阈值 · 启用/禁用接口的PoE功能 · 配置接口的最大供电功率、供电优先级及受电设备描述、故障描述信息 · PSE升级 |
|
分类 |
特性名称 |
功能 |
说明 |
|
SmartMC |
配置向导 |
配置管理设备 |
· 仅支持作为SmartMC成员设备 |
|
智能管理 |
· 配置设备角色 · 关闭SmartMC功能 |
日志菜单包含的特性及其支持的功能如表3-7所示。
|
分类 |
特性名称 |
功能 |
|
日志 |
系统日志 |
· 查看设备记录的日志信息 · 查询、统计、删除日志信息 |
|
设置 |
· 开启或关闭日志输出到日志缓冲区的功能,并配置日志缓冲区可存储的信息条数 · 配置日志主机的地址(或域名)、端口号 |
系统设置功能用来对设备的名称、位置等信息以及系统时间进行设置。
为了便于管理,并保证与其它设备协调工作,设备需要准确的系统时间。
系统时间的获取方式有:
· 手工配置。用户手工指定的时间即为当前的系统时间,不管是否同时修改了时区和夏令时。后续,设备使用内部晶体震荡器产生的时钟信号计时。如果用户没有手工配置系统时间,仅修改了时区或夏令时,设备会使用新时区和夏令时来调整系统时间。
· 自动同步。设备使用协议周期性地同步服务器的UTC(Coordinated Universal Time,国际协调时间)时间,并用同步得到的UTC时间和设备上配置的时区、夏令时参数进行运算,得出当前的系统时间。如果用户修改了时区或夏令时,设备会重新计算系统时间。该方式获取的时间比手工配置的时间更精准,推荐使用。
全球分为24个时区。请将设备的时区配置为当地地理时区。
在执行夏令时制的国家/地区需要配置夏令时。夏令时会相对非夏令时提前1小时,开始时间、结束时间和您所处国家/地区的夏令时要求一致即可。(如果夏令时开始时刻到达时,页面显示的系统时间没有加一,请刷新页面查看效果)
NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。
SNTP(Simple NTP,简单NTP)采用与NTP相同的报文格式及交互过程,但简化了NTP的时间同步过程,以牺牲时间精度为代价实现了时间的快速同步,并减少了占用的系统资源。在时间精度要求不高的情况下,可以使用SNTP来实现时间同步。
NTP支持服务器模式和对等体模式两种时钟源工作模式,如表4-1所示。在服务器模式中,设备只能作为客户端;在对等体模式中,设备只能作为主动对等体。
SNTP只支持服务器模式这一种时钟源工作模式。在该模式中,设备只能作为客户端,从NTP服务器获得时间同步,不能作为服务器为其他设备提供时间同步。
表4-1 NTP时钟源工作模式
|
模式 |
工作过程 |
时间同步方向 |
应用场合 |
|
服务器模式 |
客户端上需要手工指定NTP服务器的地址。客户端向NTP服务器发送NTP时间同步报文。NTP服务器收到报文后会自动工作在服务器模式,并回复应答报文 一个客户端可以配置多个时间服务器,如果客户端从多个时间服务器获取时间同步,则客户端收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步 |
客户端能够与NTP服务器的时间同步 NTP服务器无法与客户端的时间同步 |
该模式通常用于下级的设备从上级的时间服务器获取时间同步 |
|
对等体模式 |
主动对等体(Symmetric active peer)上需要手工指定被动对等体(Symmetric passive peer)的地址。主动对等体向被动对等体发送NTP时间同步报文。被动对等体收到报文后会自动工作在被动对等体模式,并回复应答报文 如果主动对等体可以从多个时间服务器获取时间同步,则主动对等体收到应答报文后,进行时钟过滤和选择,并与优选的时钟进行时间同步 |
主动对等体和被动对等体的时间可以互相同步 如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步 |
该模式通常用于同级的设备间互相同步,以便在同级的设备间形成备份。如果某台设备与所有上级时间服务器的通信出现故障,则该设备仍然可以从同级的时间服务器获得时间同步 |
· 对于服务器模式:要使用身份验证功能,必须在服务器端和客户端上都开启身份验证功能,并配置相同的密钥ID和密钥,否则身份验证失败或无法进行身份验证。
· 对于对等体模式:要使用身份验证功能,必须在主动对等体和被动对等体上都开启身份验证功能,并配置相同的密钥ID和密钥,否则身份验证失败或无法进行身份验证。
管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入(即从Console口)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:
· 帐户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。
· 角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。
· 密码管理:对用户登录密码的设置、老化、更新以及用户登录状态等方面的管理。
为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的帐户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。
对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能以及可操作的系统资源,具体实现如下:
· 通过角色规则实现对系统功能的操作权限的控制。
· 通过资源控制策略实现对系统资源(接口、VLAN)的操作权限的控制。
一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。
对于登录Web页面的用户,系统实际支持的实体类型仅为Web菜单。Web菜单是指通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。
基于Web菜单的规则用来控制指定的Web菜单选项是否允许被操作。因为菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。
· 读权限:可查看指定菜单的配置信息和维护信息。
· 写权限:可配置指定菜单的相关功能和参数。
· 执行权限:可执行指定菜单的特定控件操作的功能,如Ping操作。
资源控制策略规定了用户对系统资源的操作权限。对于登录Web页面的用户而言,对接口/VLAN的操作是指创建接口/VLAN、配置接口/VLAN的属性、删除接口/VLAN和应用接口/VLAN。
资源控制策略需要与角色规则相配合才能生效。
系统预定义了多种角色,这些角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。
系统预定义的安全日志管理员(security-audit)角色,仅具有安全日志菜单的读、写、执行权限。由于目前Web页面不支持安全日志菜单,请不要赋予用户安全日志管理员角色。
根据用户登录方式的不同,为用户授权角色分为以下两类:
· 对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。
· 对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。
将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。
一个用户可同时拥有多个角色。拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长度,系统将不允许设置该密码。
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
· 密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
通过Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户,输入登录密码时,系统会根据当前设定的Password control密码组合检测策略、密码最小长度限制、不能包含用户名或者字符顺序颠倒的用户名检查对用户的登录密码进行检查,若不符合以上密码检查策略要求,则视为弱密码。缺省情况下,用户使用弱密码登录设备时,系统会打印提示信息,但不会强制用户修改密码,即使用弱密码也可以登录设备。若需要提高设备使用的安全性,可通过命令行开启弱密码登录修改密码功能,开启该功能后会禁止Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户使用弱密码登录,要求用户修改密码,直到密码组合策略、密码长度的设定符合设备要求。
设备使用出厂配置启动时,存在缺省用户名和缺省密码。通过Telnet、SSH、HTTP、HTTPS方式登录的设备管理类用户,使用缺省用户和缺省密码登录设备时,请根据系统提示信息修改密码,否则不允许登录设备。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密码更新间隔时间为48小时,那么用户在上次修改密码后的48小时之内都无法成功进行密码修改操作。
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码老化后系统要求用户修改密码。
当用户登录密码的使用时间超过老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码有4字符不同,且这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于为用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,用户的当前登录密码,不会被记录到该用户的密码历史记录中。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到设置的尝试次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止该用户登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 禁止该用户一段时间后,再允许其重新登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 不对该用户做禁止,允许其继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
管理员可以限制用户帐号的闲置时间,禁止在闲置时间之内始终处于不活动状态的用户登录。若用户自从最后一次成功登录之后,在配置的闲置时间内再未成功登录过,那么该闲置时间到达之后此用户帐号立即失效,系统不再允许使用该帐号的用户登录。
以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。
链路捆绑是通过接口捆绑实现的,多个以太网接口捆绑在一起后形成一个聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口,称为聚合接口。聚合组与聚合接口的编号是相同的,例如聚合组1对应于聚合接口1。
聚合组/聚合接口可以分为以下两种类型:
· 二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口。
· 三层聚合组/三层聚合接口:三层聚合组的成员端口全部为三层以太网接口,其对应的聚合接口称为三层聚合接口。
聚合接口的速率和双工模式取决于对应聚合组内的选中端口:聚合接口的速率等于所有选中端口的速率之和,聚合接口的双工模式则与选中端口的双工模式相同。
聚合组内的成员端口具有以下两种状态:
· 选中(Selected)状态:此状态下的成员端口可以参与数据的转发,处于此状态的成员端口称为“选中端口”。
· 非选中(Unselected)状态:此状态下的成员端口不能参与数据的转发,处于此状态的成员端口称为“非选中端口”。
操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值,它是根据成员端口上的一些信息(包括该端口的速率、双工模式等)的组合自动计算生成的,这个信息组合中任何一项的变化都会引起操作Key的重新计算。在同一聚合组中,所有的选中端口都必须具有相同的操作Key。
属性类配置:包含的配置内容如表5-1所示。在聚合组中,只有与对应聚合接口的属性类配置完全相同的成员端口才能够成为选中端口。
|
配置项 |
内容 |
|
端口隔离 |
端口是否加入隔离组、端口所属的端口隔离组 |
|
VLAN配置 |
端口上允许通过的VLAN、端口缺省VLAN、VLAN报文是否带Tag配置 |
链路聚合分为静态聚合和动态聚合两种模式,它们各自的优点如下所示:
· 静态聚合模式:一旦配置好后,端口的选中/非选中状态就不会受网络环境的影响,比较稳定。
· 动态聚合模式:通过LACP协议实现,能够根据对端和本端的信息调整端口的选中/非选中状态,比较灵活。
处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组。
风暴抑制用于控制以太网上的报文风暴。配置该功能后,系统会按照配置的时间间隔统计端口收到的未知单播/组播/广播报文流量。如果某类报文流量超过上限阈值,系统会执行相应的控制动作,以及决定是否输出Trap和日志。控制动作包括:
· 无:在端口上不执行任何动作。
· 阻塞端口:端口将暂停转发该类报文(其它类型报文照常转发),端口处于阻塞状态,但仍会统计该类报文的流量。当该类报文的流量小于其下限阈值时,端口将自动恢复对此类报文的转发。
· 关闭端口:端口将被关闭,系统停止转发所有报文。当该类报文的流量小于其下限阈值时,端口状态不会自动恢复,需要手工启用接口或取消端口上流量阈值的配置来恢复。
为了实现端口间的二层隔离,可以将不同的端口加入不同的VLAN,但VLAN资源有限。采用端口隔离特性,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层隔离,而不关心这些端口所属VLAN,从而节省VLAN资源。
隔离组内的端口与未加入隔离组的端口之间二层流量双向互通。
VLAN(Virtual Local Area Network,虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域。处于同一VLAN的主机能够直接互通,而处于不同VLAN的主机不能够直接互通。
VLAN可以基于端口进行划分。它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文。
在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。
端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:
· Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
· Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。
· Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。
不同VLAN间的主机不能直接通信,通过设备上的VLAN接口,可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口,VLAN接口的IP地址可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发。
MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项分为以下几种:
· 动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。
· 静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
· 黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。
· 安全服务MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于转发指定MAC地址的报文,表项不老化。
MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,这个生存周期被称作老化时间。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:
· 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。
· 如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。
用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。动态MAC地址表项的老化时间作用于全部接口上。
缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。在开启全局的MAC地址学习功能的前提下,用户可以关闭单个接口的MAC地址的学习功能。
如果MAC地址表过于庞大,可能导致设备的转发性能下降。通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习,同时,用户还可以根据需要选择是否允许系统转发源MAC不在MAC地址表里的报文。
LLDP(Link Layer Discovery Protocol,链路层发现协议)提供了一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口标识等)组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
LLDP代理是LLDP协议运行实体的一个抽象映射。一个接口下,可以运行多个LLDP代理。目前LLDP定义的代理类型包括:最近桥代理、最近非TPMR桥代理和最近客户桥代理。LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息。
在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会以报文发送时间间隔为周期,向邻居设备发送LLDP报文。如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备。但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,可以配置限制发送报文速率的令牌桶大小来作限速处理。
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量(快速发送LLDP报文的个数)的LLDP报文后再恢复为正常的发送周期。
当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据Time To Live TLV中TTL(Time To Live,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。
由于TTL=Min(65535,(TTL乘数×LLDP报文的发送间隔+1)),即取65535与(TTL乘数×LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间。
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作。为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作。
如果开启了发送LLDP Trap功能,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居、与原来邻居的通信链路发生故障等重要事件。
TLV是组成LLDP报文的单元,每个TLV都代表一个信息。LLDP可以封装的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,链路层发现协议媒体终端发现) TLV。
基本TLV是网络设备管理基础的一组TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送。
开启本功能后,设备可以利用LLDP来接收、识别Cisco的IP电话发送的CDP报文,并向其回应CDP报文。
开启全局LLDP功能后,才可以进行LLDP配置,此时接口默认开启LLDP功能。只有当全局和接口上都开启了LLDP功能后,该功能才会生效。
当在全局和接口都开启了CDP兼容功能后,该功能才会生效。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARP Detection功能,即根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。
DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失。如果DHCP Snooping与其他模块配合使用,则表项丢失会导致这些模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。
DHCP Snooping表项备份功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82包含两个子选项:Circuit ID和Remote ID。
支持Option 82功能是指设备接收到DHCP请求报文后,根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
具体的处理方式见表5-2。
表5-2 Option 82处理方式
|
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
|
收到的报文中带有Option 82 |
Drop |
丢弃报文 |
|
Keep |
保持报文中的Option 82不变并进行转发 |
|
|
Replace |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发 |
|
|
收到的报文中不带有Option 82 |
- |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发 |
IP地址是每个连接到IPv4网络上的设备的唯一标识。IP地址长度为32比特,通常采用点分十进制方式表示,即每个IP地址被表示为以小数点隔开的4个十进制整数,每个整数对应一个字节,如10.1.1.1。
IP地址由两部分组成:
· 网络号码字段(Net-id):用于区分不同的网络。网络号码字段的前几位称为类别字段(又称为类别比特),用来区分IP地址的类型。
· 主机号码字段(Host-id):用于区分一个网络内的不同主机。
IP地址分为5类,每一类地址范围如表5-3所示。目前大量使用的IP地址属于A、B、C三类。
表5-3 IP地址分类
|
地址类型 |
地址范围 |
说明 |
|
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0仅用于主机在系统启动时进行临时通信,并且永远不是有效目的地址 127.0.0.0网段的地址都保留作环回测试,发送到这个地址的分组不会输出到链路上,它们被当作输入分组在内部进行处理 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
组播地址 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用于广播地址,其它地址保留今后使用 |
随着Internet的快速发展,IP地址已近枯竭。为了充分利用已有的IP地址,可以使用子网掩码将网络划分为更小的部分(即子网)。通过从主机号码字段部分划出一些比特位作为子网号码字段,能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。
子网掩码是一个长度为32比特的数字,由一串连续的“1”和一串连续的“0”组成。“1”对应于网络号码字段和子网号码字段,而“0”对应于主机号码字段。
多划分出一个子网号码字段会浪费一些IP地址。例如,一个B类地址可以容纳65534(216-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。但划分出9比特长的子网字段后,最多可有512(29)个子网,每个子网有7比特的主机号码,即每个子网最多可有126(27-2,去掉主机号码字段全1的广播地址和主机号码字段全0的网段地址)个主机号码。因此主机号码的总数是512*126=64512个,比不划分子网时要少1022个。
若不进行子网划分,则子网掩码为默认值,此时子网掩码中“1”的长度就是网络号码的长度,即A、B、C类IP地址对应的子网掩码默认值分别为255.0.0.0、255.255.0.0和255.255.255.0。
接口获取IP地址有以下几种方式:
· 通过手动指定IP地址
· 通过DHCP分配得到IP地址
当设备收到一个报文后,如果发现报文长度比转发接口的MTU值大,则进行下列处理:
· 如果报文不允许分片,则将报文丢弃;
· 如果报文允许分片,则将报文进行分片转发。
为了减轻转发设备在传输过程中的分片和重组数据包的压力,更高效的利用网络资源,请根据实际组网环境设置合适的接口MTU值,以减少分片的发生。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。
ARP表项分为两种:动态ARP表项、静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。
动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。
为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。
静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
当静态ARP表项中的IP地址与VLAN虚接口的IP地址属于同一网段时,该静态ARP表项才能正常指导转发。
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
不同设备支持配置的ARP攻击防御功能如下:
· 网关设备支持配置的功能包括:ARP黑洞路由、ARP源抑制、源MAC地址一致性检查、ARP主动确认、源MAC地址固定的ARP攻击检测、授权ARP和ARP扫描;
· 接入设备支持配置的功能包括:ARP报文限速、ARP网关保护、ARP过滤保护和ARP Detection。
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
· 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
· ARP黑洞路由功能:开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
· ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
使能严格模式后,新建ARP表项前,ARP主动确认功能会执行更严格的检查:
· 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;
· 收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。
本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测、过滤。
所谓授权ARP,就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。
使能接口的授权ARP功能后,系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
启用ARP扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
ARP扫描功能一般与ARP固化功能配合使用。ARP固化功能用来将当前的ARP动态表项(包括ARP扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。
建议在网吧这种环境稳定的小型网络中使用这两个功能。
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
建议用户在配置了ARP Detection或者发现有ARP泛洪攻击的情况下,使用ARP报文限速功能。
配置ARP报文限速功能后,如果用户开启了ARP限速日志功能,则当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。为防止过多的日志信息干扰用户工作,用户可以设定日志信息的发送时间间隔。当用户设定的时间间隔超时时,设备执行发送日志的操作。
在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
ARP过滤保护功能用来限制接口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。
在接口上配置此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:
· 如果相同,则认为此报文合法,继续进行后续处理;
· 如果不相同,则认为此报文非法,将其丢弃。
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
(1) 用户合法性检查
如果仅在VLAN上开启ARP Detection功能,则仅进行用户合法性检查。
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping表项的检查。只要符合任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
(2) ARP报文有效性检查
对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
· 源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;
· 目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃;
· IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
(3) ARP报文强制转发
对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
· 对于ARP请求报文,通过信任接口进行转发;
对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
IPv6(Internet Protocol Version 6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation,下一代互联网协议),它是IETF(Internet Engineering Task Force,互联网工程任务组)设计的一套规范,是IPv4的升级版本。IPv6和IPv4之间最显著的区别为:地址的长度从32比特增加到128比特。
IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数。每个IPv6地址被分为8组,每组的16比特用4个十六进制数来表示,组和组之间用冒号隔开,比如:2001:0000:130F:0000:0000:09C0:876A:130B。
为了简化IPv6地址的表示,对于IPv6地址中的“0”可以有下面的处理方式:
· 每组中的前导“0”可以省略,即上述地址可写为2001:0:130F:0:0:9C0:876A:130B。
· 如果地址中包含一组或连续多组均为0的组,则可以用双冒号“::”来代替,即上述地址可写为2001:0:130F::9C0:876A:130B。
IPv6地址由两部分组成:地址前缀与接口标识。其中,地址前缀相当于IPv4地址中的网络号码字段部分,接口标识相当于IPv4地址中的主机号码部分。
地址前缀的表示方式为:IPv6地址/前缀长度。其中,前缀长度是一个十进制数,表示IPv6地址最左边多少位为地址前缀。
IPv6主要有三种类型的地址:单播地址、组播地址和任播地址。
· 单播地址:用来唯一标识一个接口,类似于IPv4的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的接口。
· 组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。
· 任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。
IPv6中没有广播地址,广播地址的功能通过组播地址来实现。
IPv6地址类型是由地址前面几位(称为格式前缀)来指定的,主要地址类型与格式前缀的对应关系如表5-4所示。
表5-4 IPv6地址类型与格式前缀的对应关系
|
地址类型 |
格式前缀(二进制) |
IPv6前缀标识 |
简介 |
|
|
单播地址 |
未指定地址 |
00...0 (128 bits) |
::/128 |
不能分配给任何节点。在节点获得有效的IPv6地址之前,可在发送的IPv6报文的源地址字段填入该地址,但不能作为IPv6报文中的目的地址 |
|
环回地址 |
00...1 (128 bits) |
::1/128 |
不能分配给任何物理接口。它的作用与在IPv4中的环回地址相同,即节点用来给自己发送IPv6报文 |
|
|
链路本地地址 |
1111111010 |
FE80::/10 |
用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上 |
|
|
全球单播地址 |
其他形式 |
- |
等同于IPv4公网地址,提供给网络服务提供商。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量 |
|
|
组播地址 |
11111111 |
FF00::/8 |
- |
|
|
任播地址 |
从单播地址空间中进行分配,使用单播地址的格式 |
- |
||
IPv6单播地址中的接口标识符用来唯一标识链路上的一个接口。目前IPv6单播地址基本上都要求接口标识符为64位。
不同接口的IEEE EUI-64格式的接口标识符的生成方法不同,分别介绍如下:
· 所有IEEE 802接口类型(例如,以太网接口、VLAN接口):IEEE EUI-64格式的接口标识符是从接口的链路层地址(MAC地址)变化而来的。IPv6地址中的接口标识符是64位,而MAC地址是48位,因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE(1111111111111110)。为了使接口标识符的作用范围与原MAC地址一致,还要将Universal/Local (U/L)位(从高位开始的第7位)进行取反操作。最后得到的这组数就作为EUI-64格式的接口标识符。
· Tunnel接口:IEEE EUI-64格式的接口标识符的低32位为Tunnel接口的源IPv4地址,ISATAP隧道的接口标识符的高32位为0000:5EFE,其他隧道的接口标识符的高32位为全0。
· 其他接口类型(例如,Serial接口):IEEE EUI-64格式的接口标识符由设备随机生成。
IPv6全球单播地址可以通过下面几种方式配置:
· 采用EUI-64格式形成:当配置采用EUI-64格式形成IPv6地址时,接口的IPv6地址的前缀需要手工配置,而接口标识符则由接口自动生成;
· 手工配置:用户手工配置IPv6全球单播地址;
· 无状态自动配置:根据接收到的RA报文中携带的地址前缀信息及使用EUI-64功能生成的接口标识,自动为接口生成IPv6全球单播地址;
· 有状态获取地址:通过DHCPv6服务器自动获取IPv6地址。
一个接口上可以配置多个全球单播地址。
IPv6的链路本地地址可以通过两种方式获得:
· 自动生成:设备根据链路本地地址前缀(FE80::/10)及使用EUI-64功能生成的接口标识,自动为接口生成链路本地地址;
· 手工指定:用户手工配置IPv6链路本地地址。
每个接口只能有一个链路本地地址,为了避免链路本地地址冲突,推荐使用链路本地地址的自动生成方式。
配置链路本地地址时,手工指定方式的优先级高于自动生成方式。即如果先采用自动生成方式,之后手工指定,则手工指定的地址会覆盖自动生成的地址;如果先手工指定,之后采用自动生成的方式,则自动配置不生效,接口的链路本地地址仍是手工指定的。此时,如果删除手工指定的地址,则自动生成的链路本地地址会生效。
IPv6邻居发现(Neighbor Discovery,ND)协议使用五种类型的ICMPv6消息(如表5-5所示),实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能。
表5-5 ND使用的ICMPv6消息
|
ICMPv6消息 |
类型号 |
作用 |
|
邻居请求消息NS(Neighbor Solicitation) |
135 |
获取邻居的链路层地址 |
|
验证邻居是否可达 |
||
|
进行重复地址检测 |
||
|
邻居通告消息NA(Neighbor Advertisement) |
136 |
对NS消息进行响应 |
|
节点在链路层变化时主动发送NA消息,向邻居节点通告本节点的变化信息 |
||
|
路由器请求消息RS(Router Solicitation) |
133 |
节点启动后,通过RS消息向路由器发出请求,请求前缀和其他配置信息,用于节点的自动配置 |
|
路由器通告消息RA(Router Advertisement) |
134 |
对RS消息进行响应 |
|
在没有抑制RA消息发布的条件下,路由器会周期性地发布RA消息,其中包括前缀信息选项和一些标志位的信息 |
||
|
重定向消息(Redirect) |
137 |
当满足一定的条件时,缺省网关通过向源主机发送重定向消息,使主机重新选择正确的下一跳地址进行后续报文的发送 |
邻居表项保存的是设备在链路范围内的邻居信息,设备邻居表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,也可以通过手工配置来静态创建。
目前,静态邻居表项有两种配置方式:
· 配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址;
· 配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址。
对于VLAN接口,可以采用上述两种方式来配置静态邻居表项:
· 采用第一种方式配置静态邻居表项后,设备还需要解析该VLAN下的二层端口信息。
· 采用第二种方式配置静态邻居表项后,需要保证该二层端口属于指定的VLAN,且该VLAN已经创建了VLAN接口。
设备为同一链路上的主机发布RA报文,主机可以根据RA报文中的信息进行无状态自动配置等操作。设备可以抑制RA报文的发送,也可以周期性发送RA报文,相邻两次RA报文发送时间间隔是在最大时间间隔与最小时间间隔之间随机选取的一个值。最小时间间隔应该小于等于最大时间间隔的0.75倍。
RA报文中的参数和参数描述如表5-6所示。
表5-6 RA报文中的参数
|
参数 |
描述 |
|
地址前缀/前缀长度 |
主机根据该地址前缀/前缀长度生成对应的IPv6地址,完成无状态自动配置操作 |
|
有效生命期 |
表示前缀有效期。在有效生命期内,通过该前缀自动生成的地址可以正常使用;有效生命期过期后,通过该前缀自动生成的地址变为无效,将被删除 |
|
首选生命期 |
表示首选通过该前缀无状态自动配置地址的时间。首选生命期过期后,节点通过该前缀自动配置的地址将被废止。节点不能使用被废止的地址建立新的连接,但是仍可以接收目的地址为被废止地址的报文。首选生命期必须小于或等于有效生命期 |
|
不用于无状态配置标识 |
选择了该标识,则指定前缀不用于无状态地址配置 |
|
不是直连可达标识 |
选择了该标识,则表示该前缀不是当前链路上直连可达的 |
|
MTU |
发布链路的MTU,可以用于确保同一链路上的所有节点采用相同的MTU值 |
|
不指定跳数限制标识 |
选择了该标识,则表示RA消息中不带有本设备的跳数限制 |
|
被管理地址配置标志位(M flag) |
用于确定主机是否采用有状态自动配置获取IPv6地址 如果选择了该标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据自己的链路层地址及路由器发布的前缀信息生成IPv6地址 |
|
其他信息配置标志位(O flag) |
用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息 如果选择了其他信息配置标志位,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息 |
|
路由器生存时间(Router Lifetime) |
用于设置发布RA消息的路由器作为主机的默认路由器的时间。主机根据接收到的RA消息中的路由器生存时间参数值,就可以确定是否将发布该RA消息的路由器作为默认路由器。发布RA消息中路由器生存时间为0的路由器不能作为默认路由器 |
|
邻居请求重传间隔(Retrans Timer) |
设备发送NS消息后,如果未在指定的时间间隔内收到响应,则会重新发送NS消息 |
|
配置路由优先级 ( Router Preference ) |
用于设置发布RA消息的路由器的路由器优先级,主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关 |
|
保持邻居可达时间(Reachable Time) |
当通过邻居可达性检测确认邻居可达后,在所设置的可达时间内,设备认为邻居可达;超过设置的时间后,如果需要向邻居发送报文,会重新确认邻居是否可达 |
如果NS请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理功能的设备就可以代答该请求,回应NA报文,这个过程称作ND代理(ND Proxy)。
ND Proxy功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
ND Proxy功能根据应用场景不同分为普通ND Proxy和本地ND Proxy。
普通ND Proxy的典型应用环境如图5-1所示。Device通过两个三层接口Int A和Int B连接两个网络,两个三层接口的IPv6地址不在同一个网段,接口地址分别为4:1::99/64、4:2::99/64。但是两个网络内的主机Host A和Host B的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。
图5-1 普通ND代理的典型应用环境
在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,此时的两台主机处于不同的广播域中,Host B无法收到Host A的NS请求报文,当然也就无法应答。
通过在Device上启用普通ND Proxy功能,可以解决此问题。在接口Int A和Int B上启用普通ND Proxy后,Router可以应答Host A的NS请求。同时,Device作为Host B的代理,把其它主机发送过来的报文转发给Host B。这样,实现Host A与Host B之间的通信。
本地ND Proxy的应用场景如图5-2所示。Host A属于VLAN 2,Host B属于VLAN 3,它们分别连接到端口Int A和Int C上。
图5-2 本地ND代理的应用场景
在这种组网情况下,当Host A需要与Host B通信时,由于目的IPv6地址与本机的IPv6地址为同一网段,因此Host A会直接发出请求Host B硬件地址的NS请求。但是,因为连接两台主机处于不同的VLAN中,Host B无法收到Host A的NS请求报文。
通过在Device A上启用本地ND Proxy功能,可以解决此问题。在接口Int B上启用本地ND Proxy后,Device A会代替Host B回应NA,Host A发给Host B的报文就会通过Device A进行转发,从而实现Host A与Host B之间的通信。
端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些复制过来的报文(称为镜像报文),以进行网络监控和故障排除。
在端口镜像中涉及以下概念:
(1) 源端口:设备上被监控的端口。源端口上的报文会被复制一份到目的端口。源端口所在的设备称为源设备。
(2) 目的端口:设备上与数据监测设备相连的端口,源端口上的报文将被复制一份到此端口。目的端口所在的设备称为目的设备。
(3) 镜像组:源端口和目的端口的组合,它分为:
· 本地镜像组:当源端口和目的端口位于同一设备时,端口所在镜像组称为本地镜像组。
· 远程镜像组:当源端口和目的端口位于不同设备时,源端口和目的端口所在的镜像组分别称为远程源镜像组和远程目的镜像组,镜像报文通过远程镜像VLAN在源设备与目的设备之间传输。
为了方便用户对网络设备进行配置和维护,设备提供了Web登录功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
设备支持的Web登录方式有以下两种:
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。目前,设备支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法客户端访问设备,从而实现了对设备的安全管理。
采用HTTPS登录时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户使用Web页面登录设备。
SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。
本设备可作为SSH服务器,为SSH客户端提供以下几种应用:
· Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务。
· Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务。
· Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。
SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。设备作为SSH服务器时,非FIPS模式下支持SSH2和SSH1两个版本,FIPS模式下只支持SSH2版本。
设备作为SSH服务器时,利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。
FTP用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。本设备可作为FTP服务器,使用20端口传输数据,使用21端口传输控制消息。
设备可以开启Telnet服务器功能,以便用户能够通过Telnet登录到设备进行远程管理和监控。
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、引用的ACL不存在或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,可以避免非法用户通过Telnet访问设备。
NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,从而使设备能够提供基于统一时间的多种应用。
NTP通过时钟层数来定义时钟的准确度。时钟层数的取值范围为1~15,取值越小,时钟准确度越高。
在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。
通过Web页面可以配置本地时钟作为参考时钟。
SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。
使用SNMP协议,网络的管理者(NMS)可以读取/设置设备(Agent)上参数的值,设备可以向NMS发送Trap信息,自动告知设备上发生的紧急事件。
MIB(Management Information Base,管理信息库)是被管理对象的集合,比如接口状态、CPU利用率等,这些被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
MIB以树状结构进行存储。树的每个节点都是一个被管理对象,它用从根开始的一条路径唯一地识别(OID)。例如,被管理对象internet可以用一串数字{1.3.6.1}唯一确定,这串数字是被管理对象的OID(Object Identifier,对象标识符)。
子树是MIB树上的一个分枝,是子树根节点和根节点下所有子节点的集合。子树可以用该子树根节点的OID来标识,例如,以private为根节点的子树的OID为private的OID——{1.3.6.1.4}。
MIB视图是MIB的子集合,将团体名/用户名与MIB视图绑定,可以限制NMS能够访问的MIB对象。当用户配置MIB视图包含某个MIB子树时,NMS可以访问该子树的所有节点;当用户配置MIB视图不包含某个MIB子树时,NMS不能访问该子树的所有节点。
子树掩码用来和子树OID共同来确定一个视图的范围。子树掩码用十六进制格式表示,转化成二进制后,每个比特位对应OID中的一个小节,其中,
· 1表示精确匹配,即要访问的节点OID与MIB对象子树OID对应小节的值必须相等;
· 0表示通配,即要访问的节点OID与MIB对象子树OID对应小节的值可以不相等。
例如:子树掩码为0xDB(二进制格式为11011011),子树OID为1.3.6.1.6.1.2.1,所确定的视图就包括子树OID为1.3.*.1.6.*.2.1(*表示可为任意数字)的子树下的所有节点。
· 若子树掩码的bit数目大于子树OID的小节数,则匹配时,子树掩码的第一位与子树OID的第一小节对齐,第二位与第二小节对齐,以此类推,子树掩码中多出的bit位将被忽略。
· 若子树掩码的bit数目小于子树OID的小节数,则匹配时,子树掩码的第一位与子树OID的第一小节对齐,第二位与第二小节对齐,以此类推,子树掩码中不足的bit位将自动设置为1。
· 如果没有指定子树掩码,则使用缺省子树掩码(全1)。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1和SNMPv2c使用团体名认证。只有设备和NMS上配置的团体名相同,NMS才可以访问设备。
· SNMPv3采用用户名认证机制,并且可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
用户在创建团体名的时候可以:
· 使用MIB视图限定NMS可以访问的节点。一个团体名只能绑定一个MIB视图。
¡ 当访问规则配置为只读时,表示NMS只能获取MIB视图中包含的MIB节点的值。
¡ 当访问规则配置为读写时,表示NMS可以读取和设置MIB视图中包含的MIB节点的值。
· 使用基本ACL和高级ACL来限制非法NMS访问设备:
¡ 当引用的ACL下配置了规则时,则只有规则中permit的NMS才能访问设备,其它NMS不允许访问设备。
¡ 当未引用ACL、引用的ACL不存在、或者引用的ACL下没有配置规则时,允许所有NMS访问设备。
用户在创建组的时候,可以使用MIB视图限定NMS可以访问的节点。只读视图、读写视图或通知视图,至少配置一个:
· 配置只读视图,表示NMS使用该组内的用户名访问设备时,只能获取只读视图中包含的MIB节点的值。一个组只能绑定一个只读视图。
· 配置读写视图,表示NMS使用该组内的用户名访问设备时,可以读取和设置读写视图中包含的MIB节点的值。一个组只能绑定一个读写视图。
· 配置通知视图,表示NMS使用该组内的用户名访问设备时,通知视图中的Trap节点会自动向NMS发送通告。一个组只能绑定一个只读视图。
用户在创建用户名的时候和组绑定,表示NMS使用该用户名访问设备时,只能访问组内限定的节点。
用户在创建组和用户的时候,均可以使用基本ACL和高级ACL来限制非法NMS访问设备。只有组和用户绑定的ACL均允许的NMS才能访问设备,组和用户绑定的ACL均遵循以下规则:
· 当引用的ACL下配置了规则时,则只有规则中permit的NMS才能访问设备,其它NMS不允许访问设备。
· 当未引用ACL、引用的ACL不存在、或者引用的ACL下没有配置规则时,允许所有NMS访问设备。
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL包括表6-1所列的几种类型,它们的主要区别在于规则制订依据不同:
表6-1 ACL分类
|
ACL分类 |
规则制定依据 |
|
|
IPv4 ACL |
基本ACL |
依据报文的源IPv4地址制订规则 |
|
高级ACL |
依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则 |
|
|
IPv6 ACL |
基本ACL |
依据报文的源IPv6地址制订规则 |
|
高级ACL |
依据报文的源/目的IPv6地址、源/目的端口号、优先级、承载的IPv6协议类型等三、四层信息制订规则 |
|
|
二层ACL |
依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
|
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,见表6-2:
表6-2 各类型ACL的“深度优先”排序法则
|
ACL分类 |
规则制定依据 |
|
|
IPv4 ACL |
基本ACL |
(1) 先比较源IPv4地址的范围,较小者(即通配符掩码中“0”位较多者)优先 (2) 如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先 |
|
高级ACL |
(1) 先比较协议范围,指定有IPv4承载的协议类型者优先 (2) 如果协议范围相同,再比较源IPv4地址范围,较小者优先 (3) 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 (4) 如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先 (5) 如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先 |
|
|
IPv6 ACL |
基本ACL |
(1) 先比较源IPv6地址的范围,较小者(即前缀较长者)优先 (2) 如果源IPv6地址范围相同,再比较配置的先后次序,先配置者优先 |
|
高级ACL |
(1) 先比较协议范围,指定有IPv6承载的协议类型者优先 (2) 如果协议范围相同,再比较源IPv6地址范围,较小者优先 (3) 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 (4) 如果目的IPv6地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先 (5) 如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先 |
|
|
二层ACL |
(1) 先比较源MAC地址范围,较小者(即掩码中“1”位较多者)优先 (2) 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 (3) 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
|
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。
QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。
类用来定义一系列的规则来对报文进行分类。
流行为用来定义针对报文所做的QoS动作。
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。
QoS策略支持以下应用方式:
· 基于接口应用QoS策略:QoS策略对通过接口接收或发送的流量生效。接口的每个方向(出和入两个方向)只能应用一个策略。如果QoS策略应用在接口的出方向,则QoS策略对本地协议报文不起作用。一些常见的本地协议报文如下:链路维护报文、LDP、SSH等。
· 基于VLAN应用QoS策略:QoS策略对通过同一个VLAN内所有接口接收或发送的流量生效。基于全局应用QoS策略:QoS策略对所有流量生效。
· 基于全局应用QoS策略:QoS策略对所有流量生效。
拥塞是指当前供给资源相对于正常转发处理需要资源的不足,从而导致服务质量下降的一种现象。在分组交换以及多用户业务并存的复杂环境下,拥塞又是不可避免的,因此必须采用适当的方法来解决拥塞,通常采用队列的方式完成拥塞管理。下面是三种常用的队列:SP队列,WRR队列和WFQ队列。
图7-1 SP队列示意图
SP队列是针对关键业务类型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。优先队列将端口的8个输出队列分成8类,依次为7、6、5、4、3、2、1、0队列,它们的优先级依次降低。
在队列调度时,SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是:拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文将一直得不到服务。
图7-2 WRR队列示意图
WRR队列在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。以端口有8个输出队列为例,WRR可为每个队列配置一个加权值(依次为w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个100Mbps的端口,配置它的WRR队列的加权值为50、50、30、30、10、10、10、10(依次对应w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队列至少获得5Mbps的带宽,解决了采用SP调度时低优先级队列中的报文可能长时间得不到服务的问题。
WRR队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
WRR队列分为:
· 基本WRR队列:基本WRR队列包含多个队列,用户可以定制各个队列的权重,WRR按用户设定的参数进行加权轮询调度。
· 分组WRR队列:所有队列全部采用WRR调度,用户可以根据需要将输出队列划分为WRR优先级队列组1和WRR优先级队列组2。进行队列调度时,设备首先在优先级队列组1中进行轮询调度;优先级队列组1中没有报文发送时,设备才在优先级队列组2中进行轮询调度。
在分组WRR队列中,也可以配置队列加入SP分组,采用严格优先级调度算法。调度时先调度SP组,然后调度其他WRR优先组。当前设备仅支持WRR优先级队列组1。
图7-3 WFQ队列示意图
WFQ能够按流的“会话”信息(协议类型、源和目的TCP或UDP端口号、源和目的IP地址、ToS域中的优先级位等)自动进行流分类,并且尽可能多地提供队列,以将每个流均匀地放入不同队列中,从而在总体上均衡各个流的延迟。在出队的时候,WFQ按流的优先级来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。
例如:接口中当前共有5个流,它们的优先级分别为0、1、2、3、4,则带宽总配额为所有(流的优先级+1)的和,即1+2+3+4+5=15。每个流所占带宽比例为:(自己的优先级数+1)/(所有(流的优先级+1)的和)。即每个流可得的带宽分别为:1/15,2/15,3/15,4/15,5/15。
WFQ和WRR队列调度算法类似,也可以分为基本WFQ队列和分组WFQ队列。在分组WFQ队列中,也可以配置队列加入SP分组,采用严格优先级调度算法。调度时先调度SP组,然后调度其他WFQ优先组。两者差异如下:WFQ支持带宽保证,可以保证端口流量拥塞时能够获得的最小队列带宽。
设备当前不支持通过Web配置WFQ队列。
队列调度策略中的队列支持两种调度方式:SP、WRR分组。在一个队列调度策略中支持SP和WRR分组的混合配置。混合配置时,SP、WRR分组之间是严格优先级调度,调度优先级按队列号从大到小依次降低,WRR分组内部按权重进行调度。SP和WRR分组混合配置调度关系如图7-4所示。
图7-4 SP和WRR混合配置图
· 队列7(即图中的Q7,下同)优先级最高,该队列的报文优先发送。
· 队列6优先级次之,队列7为空时发送本队列的报文。
· 队列3、4、5之间按照权重轮询调度,在队列7、6为空时调度WRR分组1。
· 队列1、2之间按照权重轮询调度,在队列7、6、5、4、3为空时调度WRR分组2。
· 队列0优先级最低,其它队列的报文全部发送完毕后调度本队列。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
如果配置了优先级信任模式,即表示设备信任所接收报文的优先级,会自动解析报文的优先级或者标志位,然后按照映射表映射到报文的优先级参数。
如果没有配置优先级信任模式,并且配置了端口优先级值,则表明设备不信任所接收报文的优先级,而是使用端口优先级,按照映射表映射到报文的优先级参数。
按照接收端口的端口优先级,设备通过一一映射为报文分配优先级。
根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数,可以通过配置优先级信任模式的方式来实现。
在配置接口上的优先级模式时,用户可以选择下列信任模式:
· Untrust:不信任任何优先级。
· Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。
· DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。
报文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
设备中提供了三张优先级映射表,分别802.1p优先级到本地优先级映射表、DSCP到802.1p优先级映射表和DSCP到DSCP映射表。如果缺省优先级映射表无法满足用户需求,可以根据实际情况对映射表进行修改。
限速是采用令牌桶进行流量控制。当令牌桶中存有令牌时,可以允许报文的突发性传输;当令牌桶中没有令牌时,报文必须等到桶中生成了新的令牌后才可以继续发送。这就限制了报文的流量不能大于令牌生成的速度,达到了限制流量,同时允许突发流量通过的目的。
评估流量时令牌桶的参数包括:
· 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常配置为CIR。
· 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常配置为CBS,突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走满足报文的转发的令牌;否则说明已经耗费太多令牌,流量超标了。
假如在设备的某个接口上配置了限速,所有经由该接口发送的报文首先要经过限速的令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以发送;否则,报文将进入QoS队列进行拥塞管理。这样,就可以对该接口的报文流量进行控制。
PSE最大供电功率与该PSE中所有优先级为“最高优先级”的PI(Power Interface,电源接口)的最大供电功率的差值即为剩余保证功率。
所有与该PSE相连的PD设备能够获取到的最大供电总功率。设备暂不支持配置最大供电功率。
功率告警阈值:当PSE在当前功率利用率首次超过或低于设置的功率阈值时,系统将生成告警信息。
电源接口能够提供给下挂PD的最大功率。当PD要求的功率大于PI的最大功率时,设备不会给PD供电。
PSE供电优先级顺序从高到低为“最高优先级”、“高优先级”、“低优先级”。当PSE对PD供电时,将比较各接口的供电优先级,优先级高的优先得到供电;如果新接入的PD连接的PI优先级与正在供电的PI优先级相同,则正在供电的PI优先级较高;正在供电并且配置的优先级相同,则接口编号较小的接口有更高的优先级。
在设置PI的供电优先级为最高优先级时,当PSE剩余保证功率小于该PI的最大供电功率时,设置不成功;否则,该PI优先级设置成功,并将抢占部分低优先级PI的功率,功率被抢占的PI所连接的设备断电,但是这些PI的配置不变。将某个PI的优先级从最高优先级降为其它优先级,其它PI所连接的PD可能会获得供电的机会。
SmartMC的主要功能体现在管理设备的Web页面上,US1750系列和WAS1760系列仅支持作为成员设备。
通过配置向导,可以将设备配置为SmartMC网络的管理设备。包括管理IP地址、出接口以及管理用户。
SmartMC网络有管理设备和成员设备两种角色:
· 管理设备:管理SmartMC网络中所有设备。
· 成员设备:SmartMC网络中被管理的设备。
管理设备开启SmartMC功能时,会同时配置如下DHCP服务:
· 开启DHCP服务。
· 创建名称为SmartMC的DHCP地址池。
· 将VLAN1接口所在网段配置为DHCP地址池动态分配IP地址网段。
· 地址池动态分配IP地址的范围。
· DHCP客户端(成员设备)使用的自动配置文件。自动配置文件中包含将设备配置为成员设备时所需配置。成员设备以出厂配置启动时,获取文件中的配置完成启动,并自动加入到SmartMC网络。
· 配置DHCP地址池中分配的IP地址的租约为无限长。
· 配置VLAN1接口引用的地址池。
将管理设备切换为成员设备时,将进行如下操作:
· 删除DHCP地址池。
· 取消VLAN1接口工作在DHCP服务器模式。
将管理设备切换为成员设备后,请手工删除文件服务器中原管理设备备份的配置文件。否则,切换后的成员设备可能下载原管理设备的配置文件并运行,导致网络冲突。
关闭SmartMC功能。
设备产生的日志信息按严重性可划分为如表10-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
系统可以向日志缓冲区(logbuffer)、日志主机(loghost)等方向发送日志信息。日志信息的各个输出方向相互独立,可在页面中分别设置。
为了保证系统时间的准确性,设备从NTP服务器获取系统时间,并对NTP服务器的身份进行验证。
图11-1 系统时间配置组网图
(1) 配置NTP客户端Device
Device的系统时间在“设备 > 维护 > 系统设置”页面配置,配置步骤为:
· 在日期和时间页签下选择自动同步网络日期和时间,采用的协议为网络时间协议(NTP)。
· 勾选对时钟源进行身份验证。
· 指定身份验证密钥ID为100,验证模式为MD5,密钥值为aabbcc。
· 指定NTP服务器的IP地址为10.1.1.2,并工作在服务器模式,添加身份验证密钥ID100。
(2) 配置NTP服务器
在NTP服务器上开启NTP服务,并配置身份验证功能。具体配置方法以采用的NTP服务器为准,配置过程略。
完成上述配置后,可以看到系统时钟处于同步状态,且设备的系统时间与NTP服务器上的系统时间保持一致。
在Switch上配置一个管理员帐户,用于用户采用HTTP方式登录Switch,具体要求如下:
· 用户使用管理员帐户登录时,Switch对其进行本地认证;
· 管理员帐户名称为webuser,密码为12345;
· 通过认证之后,用户被授予角色network-admin。
图11-2 管理员配置组网图
· 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 2。进入VLAN 2的详情页面,将与管理员PC相连的接口加入VLAN 2的Tagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.20/24。
(1) 配置管理员账户
管理员帐户在“设备 > 维护 > 管理员”页面配置,配置步骤为:
· 添加管理员。
· 配置用户名为webuser,密码为12345。
· 选择角色为network-admin。
· 指定可用的服务为HTTP。
(2) 开启HTTP和HTTPS服务
HTTP服务在“网络 > 服务 > HTTP/HTTPS”页面配置,配置步骤为:
· 开启HTTP登录服务。
· 开启HTTPS登录服务。
(1) 完成上述配置后,在管理员页面上可以看到已成功添加的管理员帐户。
(2) 用户在PC的Web浏览器地址栏中输入http://192.168.1.20并回车后,浏览器将显示Web登录页面。用户在该登录页面中输入管理员帐户名称、密码以及验证码后,即可成功登录设备的Web页面进行相关配置。
· Switch A与Switch B通过各自的二层以太网接口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。
· 在Switch A和Switch B上分别配置二层静态链路聚合组,以提高链路的可靠性。
图11-3 以太网链路聚合配置组网图
(1) 配置以太网链路聚合
以太网链路聚合在“网络 > 接口 > 链路聚合”页面配置,配置步骤为:
· 在Switch A上添加二层聚合组10,指定聚合模式为静态聚合,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入到该聚合组中。
· Switch B配置与Switch A相同。
(2) 配置VLAN和VLAN接口
VLAN在“网络 > 链路 > VLAN”页面配置,配置步骤为:
· 在Switch A上创建VLAN 10。进入VLAN 10的详情页面,将与Host A相连的接口GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。
· Switch B配置与Switch A相同。
完成上述配置后,在链路聚合页面中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/3已经加入到静态聚合组10。Host A能够Ping通Host B。Switch A与Switch B之间的一条链路故障后,Host A仍然能够Ping通Host B。
小区用户Host A、Host B、Host C分别与Switch的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3相连,Switch通过GigabitEthernet1/0/4端口与外部网络相连。现需要实现小区用户Host A、Host B和Host C彼此之间二层报文不能互通,但可以和外部网络通信。
图11-4 端口隔离配置组网图
端口隔离在“网络 > 接口 > 端口隔离”页面配置,配置步骤为:
· 创建隔离组2。
· 进入隔离组2的详情页面,配置端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3加入隔离组2的接口列表。
完成上述配置后,GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3实现二层隔离,Host A、Host B和Host C彼此之间不能ping通。
· Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。
· 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
· Switch A与Switch B的GigabitEthernet1/0/1端口类型为Access,GigabitEthernet1/0/2端口类型Hybrid,GigabitEthernet1/0/3端口类型Trunk。
图11-5 VLAN配置组网图
(1) 配置Switch A
进入Switch A的“网络 > 接口 > 接口”页面,进行如下配置:
· 进入GigabitEthernet1/0/1的详情页面,在“VLAN相关参数”区域,配置该接口的链路类型为“Access”。
· 进入GigabitEthernet1/0/2的详情页面,在“VLAN相关参数”区域,配置该接口的链路类型为“Hybrid”,“PVID”列表为200.
· 进入GigabitEthernet1/0/2的详情页面,在“VLAN相关参数”区域,配置该接口的链路类型为“Trunk”。
进入Switch A的“网络 > 链路 > VLAN”页面,进行如下配置:
· 在Switch A上创建VLAN 100和VLAN 200。
· 进入VLAN 100的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 100的Untagged端口列表(Host A不识别VLAN Tag);配置端口GigabitEthernet1/0/3加入VLAN 100的Tagged端口列表(Switch B需判断报文所属VLAN)。
· 进入VLAN 200的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 200的Untagged端口列表(Host B不识别VLAN Tag);配置端口GigabitEthernet1/0/3加入VLAN 200的Tagged端口列表(Switch B需判断报文所属VLAN)。
(2) 配置Switch B
Switch B上进行与Switch A相同的VLAN配置,配置过程略。
完成上述配置后,Host A和Host C能够互相ping通,但是均不能ping通Host B和Host D。Host B和Host D能够互相ping通,但是均不能ping通Host A和Host C。
· 现有一台用户主机Host A,它的MAC地址为000f-e235-dc71,属于VLAN 1,连接Switch的端口GigabitEthernet1/0/1。为防止假冒身份的非法用户骗取数据,在Switch的MAC地址表中为该用户主机添加一条静态表项。
· 另有一台用户主机Host B,它的MAC地址为000f-e235-abcd,属于VLAN 1。由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在Switch上添加一条黑洞MAC地址表项,使该用户主机接收不到报文。
· 配置Switch的动态MAC地址表项老化时间为500秒。
图11-6 MAC地址配置组网图
MAC地址在“网络 > 链路 > MAC”页面配置,配置步骤为:
· 增加一条静态MAC地址表项,MAC地址为000f-e235-dc71,出接口为GigabitEthernet1/0/1,且该接口属于VLAN 1。
· 增加一条黑洞MAC地址表项,MAC地址为000f-e235-abcd,属于VLAN 1。
· 进入配置页面,配置动态MAC地址表项的老化时间为500秒。
完成上述配置后,在MAC地址表页面中可以看到已经创建的MAC地址表项,并且Host B无法Ping通Host A。
Switch B通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。要求:
· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息,并将绑定关系保存在FTP服务器上的文件中。
图11-7 DHCP Snooping配置组网图
(1) 配置DHCP服务器Switch A(具体配置过程略)
(2) 配置FTP服务器
开启FTP服务,配置登录名为User,登录密码为Password。(具体配置过程略)
(3) 配置Switch B
DHCP Snooping功能在“网络 > 链路 > DHCP Snooping”页面配置,配置步骤为:
· 开启DHCP Snooping功能。
· 配置连接合法DHCP服务器的接口GigabitEthernet1/0/1为信任接口。
· 在连接DHCP客户端的接口GigabitEthernet1/0/2上开启表项记录功能。
· 在高级设置页面,配置DHCP Snooping设备的表项备份功能:将DHCP Snooping表项备份到远端服务器,URL地址为ftp://10.1.1.1/database.dhcp,指定访问远端服务器时使用的用户名为User,密码为Password。该URL地址表示远端服务器为FTP服务器、地址为10.1.1.1、备份文件名称为database.dhcp。
完成上述配置后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。在DHCP Snooping上可以查看到记录的DHCP Snooping表项,同时FTP服务器上的文件database.dhcp中也保存了对应的DHCP Snooping表项信息。
Switch通过下行口连接主机,通过接口GigabitEthernet1/0/1连接Device。接口GigabitEthernet1/0/1属于VLAN 10,IP地址为192.168.1.2/24。Device接口的IP地址为192.168.1.1/24,MAC地址为10e0-fc01-0001。
为了增加Switch和Device通信的安全性,可以在Switch上为Device配置一条静态ARP表项,从而防止攻击报文修改此表项的IP地址和MAC地址对应关系。
图11-8 添加静态ARP表项配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10,配置VLAN接口10的IP地址为192.168.1.2/24。
(2) 配置ARP表项
ARP在Switch的“网络 > IP > ARP”页面配置,配置步骤为:
· 添加静态ARP表项。
· 配置IP地址为192.168.1.1。
· 配置MAC地址为10-e0-fc-01-00-01。
· 指定报文转发的VLAN为10,接口为GigabitEthernet1/0/1。
完成上述配置后,在Switch上可以看到新增一条静态ARP表项。
Switch 的VLAN接口10通过EUI-64方式生成前缀为2001::/64的全球单播地址。
图11-9 IPv6地址静态配置组网图
(1) 配置VLAN和VLAN接口
进入Switch的“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/1加入VLAN 10的Tagged端口列表,并创建VLAN接口10。
(2) 配置IPv6地址
IPv6地址在Switch的“网络 > IPv6 > IPv6”页面设置。进入VLAN接口10的详情页面,配置接口地址为2001::,前缀长度为64,接口标识使用EUI-64方式生成。
完成上述配置后,在Switch上查看到VLAN接口10的IPv6全球单播地址为2001::5EDD:70FF:FEB1:86D0,同时VLAN接口10上会自动生成一个链路本地地址FE80::5EDD:70FF:FEB1:86D0。
如图11-10所示,Switch B通过ND消息发布前缀信息,Switch A使用无状态自动方式、根据Switch B发布的前缀信息生成全局单播IPv6地址。
图11-10 ND配置组网图
(1) 配置Switch B
# 进入“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表,并创建VLAN接口10。
# 进入“网络 > IPv6 > IPv6”页面。进入VLAN接口10的详情页面,配置接口地址为2001::1/64。
# ND在“网络 > IPv6 > ND”页面配置,配置步骤为:
· 在高级设置页面,添加RA前缀:指定RA前缀的发送接口为VLAN接口10、前缀地址为2001::1、前缀长度为64、有效生命期为2592000秒、首选生命期为604800秒,用于无状态地址配置。
· 在高级设置页面,修改接口上的RA参数设置:取消接口抑制RA消息发送功能,设置最大发布间隔为600秒、最小发布间隔为200秒、路由器生存时间为1800秒。
(2) 配置Switch A
# 进入“网络 > 链路 > VLAN”页面,创建VLAN 10。进入VLAN 10的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表,并创建VLAN接口10。
# 进入“网络 > IPv6 > IPv6”页面。进入VLAN接口10的详情页面,配置VLAN接口10通过无状态自动配置生成全球单播地址。
完成上述配置后,可以看到Switch A的VLAN接口10上自动生成了全球单播地址2001::EDA:41FF:FE5A:2AC8,该地址前缀与Switch B发布的RA前缀相同。
· Switch通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别连接市场部和技术部,并通过端口GigabitEthernet1/0/3连接Server。
· 通过配置本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
图11-11 端口镜像配置组网图
端口镜像在“网络 > 镜像 > 端口镜像”页面配置,配置步骤为:
· 创建本地镜像组1。
· 配置本地镜像组1的源端口为GigabitEthernet1/0/1和GigabitEthernet1/0/2,并指定对双方向的流量都进行镜像。
· 配置本地镜像组1的目的端口为GigabitEthernet1/0/3。
完成上述配置后,用户可以通过Server监控所有进、出市场部和技术部的报文。
· Device A采用本地时钟作为参考时钟,使得自己的时钟处于同步状态。
· Device A作为时间服务器为Device B提供时间同步。
图11-12 NTP配置组网图
(1) 配置NTP服务器Device A
进入Device A的“网络 > 服务 > NTP”页面,配置步骤为:
· 开启NTP服务。
· 配置本地时钟的IP地址为127.127.1.0。
· 配置本地时钟所处的层数为2。
(2) 配置NTP客户端Device B
系统时间在“设备 > 维护 > 系统设置”页面配置,配置步骤为:
· 在日期和时间页签下选择自动同步网络日期和时间,采用的协议为网络时间协议(NTP)。
· 指定NTP服务器(即时钟源)的IP地址为1.0.1.11,并指定时钟源工作在服务器模式。
完成上述配置后,Device B与Device A进行时间同步。此时Device B层数比Device A的层数大1,为3。
· NMS上运行SNMP v2c,需要对Device进行远程访问。
· 当Device上发生紧急事件时,能通过Trap信息自动上报给NMS。
图11-13 SNMP配置组网图
(1) 配置Device
进入Device的“网络 > 服务 > SNMP”页面,配置步骤为:
· 开启SNMP服务。
· 选择版本v2c。
· 新建团体readandwrite,具有读写属性,可访问缺省MIB视图下的所有节点。配置IPv4基本ACL,仅允许1.1.1.2/24使用团体名readandwrite来访问Device。
· 开启Trap功能,将目的主机设置为1.1.1.2,安全字为readandwrite,安全模型为v2c。
(2) 配置NMS
配置NMS使用的SNMP版本为v2c,读写团体名为readandwrite。具体配置请参考NMS的相关手册。
完成上述配置后,NMS上可获取MIB节点sysName的值,值为Device。当Device的接口被用户关闭时,NMS上可以收到linkDowm的Trap信息。
当三个部门访问Internet的流量发生拥塞时,要求按照2:1:1的比例依次调度管理部、研发部和市场部的流量。同时,保证发往Internet的所有数据总速率不得超过15Mbps。
图11-14 QoS配置组网图
(1) 配置QoS策略
QoS策略在“QoS > QoS > QoS策略”页面配置。在接口GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4的入方向上应用QoS策略后,在策略详情中修改应用的策略,此处创建如下三个QoS策略:
· 创建IPv4 ACL 2001,添加一条允许源IP为192.168.1.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为0。
· 创建IPv4 ACL 2002,添加一条允许源IP为192.168.2.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为1。
· 创建IPv4 ACL 2003,添加一条允许源IP为192.168.3.0、通配符掩码为0.0.0.255的报文通过的规则;定义匹配该ACL的类;指定流行为为重标记报文的802.1p优先级为2。
(2) 配置优先级映射
优先级信任模式在“QoS > QoS > 优先级映射”页面配置。具体配置为:指定在接口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4的优先级信任模式为信任Dot1p优先级。
优先级映射表在“QoS > QoS > 优先级映射”页面配置。具体配置为:将802.1p优先级到本地优先级映射表中,输入值为0、1、2对应的输出值分别改为0、1、2。
(3) 配置接口的硬件队列
接口的硬件队列在“QoS > QoS > 硬件队列”页面配置。进入接口GigabitEthernet1/0/1的详情页面,配置该接口的队列调度算法为WRR(byte-count),并将编号为0、1、2的队列的字节数分别修改为2、1、1。
(4) 配置接口限速
接口限速在“QoS > QoS > 限速”页面配置。具体配置为:在接口GigabitEthernet1/0/1的出方向上配置限速的CIR为15360千比特每秒。
完成上述配置后,可以在QoS策略页面查看策略的应用状态,也可以在硬件队列页面查看接口下队列的配置情况。
当交换机连接IP电话、无线AP设备时,需要通过交换机的PoE功能利用双绞线对这些PD(Powered Device,受电设备)进行供电。
· GigabitEthernet1/0/1和GigabitEthernet1/0/2接入IP电话。GigabitEthernet1/0/3接入AP设备。
· IP电话的供电优先级高于AP设备。当PSE功率过载时,优先给IP电话供电。
· GigabitEthernet1/0/3下接AP的功率最大不能超过9000毫瓦。
图11-15 PoE配置组网图
PoE功能在“PoE > PoE”页面配置,配置步骤为:
· 使能GigabitEthernet1/0/1和GigabitEthernet1/0/2的PoE功能,并将供电优先级设置为“最高优先级”。
· 使能GigabitEthernet1/0/3的PoE功能,并设置接口的最大供电功率为9000毫瓦。
SmartMC网络的物理连接如图11-16所示,TM为管理设备,TC 1~TC 3为成员设备。在管理设备上配置接口GigabitEthernet1/0/1为SmartMC网络的出接口,并通过SmartMC组升级所有成员设备的配置文件。
· 所有成员设备的设备类型都相同。
· Host通过GigabitEthernet1/0/1接口连接到管理设备,Host和GigabitEthernet1/0/1接口的IP地址在网段192.168.56.0/24内。管理设备及各成员设备的Vlan-interface 1接口的IP地址在网段192.168.2.0/24内。
· FTP服务器的IP地址为192.168.2.1,用户名为admin,密码为admin。
· 配置文件名称为startup.cfg,存放在FTP服务器上。
图11-16 SmartMC配置举例组网图
(1) 配置管理设备、成员设备、FTP服务器以及Host的IP地址,确保路由可达。配置步骤略。
(2) 登录TM的Web管理页面,进入SmartMC管理页面,进行配置。
a. 进入“管理IP”页面,配置管理IP地址为“192.168.2.2”,掩码长度为24。
b. 进入“出接口”页面,配置出接口为GigabitEthernet1/0/1。
c. 进入“管理用户”页面,配置用户名为admin、密码为admin。
d. 完成配置。
(3) 启动成员设备。确保成员设备完成自动配置、成功启动。
(4) 配置FTP服务器。
进入“智能管理 > FTP服务器”页面,配置FTP服务器地址为192.168.2.1,FTP用户名为admin,密码为admin。
(5) 创建SmartMC组。
进入“智能运维 > SmartMC组”页面,点击“添加”按钮,添加组名称为“S1”、匹配规则类型为“IP地址”、IP地址为“192.168.2.0”、掩码长度为24的SmartMC组。
(6) 配置SmartMC组的升级配置文件。
进入“智能运维 > 升级设备”页面,选择“升级SmartMC组”,点击SmartMC组“S1”后的编辑按钮,配置其升级文件,升级文件类型选择“配置文件”,配置文件名称填写“startup.cfg”。
(7) 立即升级SmartMC组的配置文件。
选中SmartMC组“S1”,点击右上角的“升级”按钮,升级对象选择“配置文件”,升级时间选择“立即”,然后点击“确定”。
# 登录TM的Web管理页面,进入“可视化 拓扑”页面,如下图所示,可查看到SmartMC网络拓扑结构。
图11-17 SmartMC网络拓扑图
# 登录TM的Web管理页面,进入“可视化 > 拓扑”页面,选中TC 1,点击“登录Web页面”按钮,如下图所示,能够访问TC 1的Web管理页面。
图11-18 TC 1的Web管理页面
# 进入TM的“智能运维 > 升级设备”页面,点击“查看升级状态”按钮,如下图所示,查看到SmartMC组“S1”的配置文件的升级状态,各设备配置文件升级成功。
图11-19 查看成员设备升级状态
高危险的Web类操作只能由有资质、且经过培训的维护人员执行。如果操作不当,可能会导致设备/单板断电、设备/单板重启、业务中断、业务运行异常、重要文件被删除、所有配置被清除、用户无法登录、用户下线等现象发生。
在进行Web类高危操作之前,请先了解可能带来的风险再进行操作。
【操作后果】
删除用户,会导致对应用户无法正常登录设备,请谨慎操作。
【操作页面】
(1) 选择“设备 > 维护 > 管理员”,进入管理员配置页面。
(2) 执行删除用户操作,如图12-1所示。
【操作后果】
修改用户密码,会导致对应用户无法通过原密码登录设备,请谨慎操作,并准确记录修改后的密码。
【操作页面】
(1) 选择“设备 > 维护 > 管理员”,进入管理员配置页面。
(2) 单击<详情>按钮,进入修改管理员页面。
(3) 执行输入密码和确认密码操作,如图12-2所示。
【操作后果】
开启密码管理功能,并配置了登录失败处理方案为“永久禁止登录”后,当前用户登录密码尝试失败次数到配置的最大值后,无法使用自己的IP地址访问设备,请谨慎操作。
【操作页面】
(1) 选择“设备 > 维护 > 管理员”,进入管理员配置页面。
(2) 单击<密码管理>按钮,进入“用户密码管理”页面。
(3) 点击<开启密码管理>按钮。
(4) 在“用户登录控制”配置部分,执行永久禁止该用户登录的操作,如图12-3所示。
【操作后果】
保存当前配置后,可能会导致当前已经存在的配置文件被覆盖,请根据设备提示谨慎操作。
【操作页面】
(1) 选择“设备 > 维护 > 配置文件”,进入配置文件配置页面。
(2) 执行保存当前配置操作,如图12-4所示。
【操作后果】
执行导入配置操作,会将当前配置回滚到指定配置文件中的配置,回滚前的配置将会丢失。
配置回滚过程中,可能会导致业务中断,请谨慎操作。
【操作页面】
(1) 选择“设备 > 维护 > 配置文件”,进入配置文件配置页面。
(2) 执行导入配置操作,如图12-5所示。
【操作后果】
执行本操作会删除设备的下次启动配置文件,并将设备配置恢复到出厂配置,请谨慎执行。
【操作页面】
(1) 选择“设备 > 维护 > 配置文件”,进入配置文件配置页面。
(2) 单击<恢复出厂配置>按钮,进入恢复出厂配置页面。
(3) 执行恢复出厂配置操作,如图12-6所示。
【操作后果】
删除的文件和文件夹不可恢复,请谨慎执行。
【操作页面】
(1) 选择“设备 > 维护 > 文件系统”,进入文件系统页面。
(2) 执行删除文件或删除文件夹操作,如图12-7所示。
【操作后果】
升级系统软件,可能造成业务中断,请谨慎执行。
【操作页面】
(1) 选择“设备 > 维护 > 软件更新”,进入软件更新配置页面。
(2) 执行升级系统软件操作,如图12-8所示。
【操作后果】
重新启动可能会导致业务中断,请谨慎执行本操作。
【操作页面】
(1) 选择“设备 > 维护 > 重启”,进入重启配置页面。
(2) 执行重启设备操作,如图12-9所示。
【操作后果】
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该操作前,完全了解其对网络产生的影响。
【操作页面】
(1) 选择“网络 > 接口 > 接口”,进入接口配置页面。
(2) 选中指定接口,执行恢复缺省配置操作,如图12-10所示。
【操作后果】
关闭接口会导致使用该接口建立的链路中断,不能通信,请谨慎使用。
【操作页面】
(1) 选择“网络 > 接口 > 接口”,进入接口配置页面。
(2) 选中指定接口,单击<详情>按钮,进入修改接口设置页面。
(3) 执行关闭接口操作,如图12-11所示。
【操作后果】
执行本操作会清除设备上已有的动态ARP表项,可能会导致外部流量无法及时发给局域网中的用户。
【操作页面】
(1) 选择“网络 > IP > ARP”,进入ARP配置页面。
(2) 执行删除动态ARP表项的操作,如图12-12所示。
【操作后果】
关闭HTTP登录或HTTPS登录功能,会导致无法通过Web登录设备,请谨慎使用。
【操作页面】
(1) 选择“网络 > 服务 > HTTP/HTTPS”,进入网络服务配置页面。
(2) 执行关闭HTTP登录或HTTPS登录操作,如图12-13所示。
图12-13 关闭HTTP登录或HTTPS登录
【操作后果】
升级设备的启动软件,可能会造成业务中断,请谨慎操作。
升级设备的配置后,设备的运行配置将变为指定的配置文件中的配置,升级前的配置会丢失。
【操作页面】
(1) 选择“SmartMC > 智能运维 > 升级设备”,进入升级设备配置页面。
(2) 选中指定成员设备或SmartMC组,单击<升级>按钮,进入升级页面。
(3) 执行升级操作,如图12-14所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
