中兴ZXR102826S交换机
目录
一、概述(略) 1
二、系统介绍 1
(一)产品概述 1
(二)功能介绍 1
(三)组网方式 1
3-1工作组级组网方式 1
3-2城域网宽带接入组网方式 2
(四)技术特性和参数 3
三、使用和操作 3
(一)配置方式: 3
1-1console连接配置 3
1-2telnet连接配置 3
1?-3SNMP连接配置 4
1-4WEB连接配置 4
(二)命令模式 4
2-1用户模式 4
2-2全局配置模式 5
2-3SNMP配置模式 5
2-4三层配置模式 5
2-5文件系统配置模式 5
2-6NAS配置模式 5
2-7集群配置模式 6
四、系统管理 6
(一)文件系统管理 6
1-1文件系统管理介绍 6
(二)设置TFTP 6
(三)设置的导入和导出 7
1-1配置导出 7
1-2配置导入 8
(四)文件的备份和恢复 8
五、业务配置 8
(一)端口配置 8
1、基本配置 8
2、配置信息查看 11
(二)端口镜像 13
1、端口镜像概述 13
2、基本配置 13
3、配置实例 14
(三)VLAN配置 14
1、概述 14
2、基本配置 14
3、配置实例 15
(四)MAC表操作 17
1、概述 17
2、基本配置 17
(六)Lcap配置 18
1、概述 18
2、基本操作 18
3、配置实例 19
(六)IGMPSnooping配置 20
1、概述 20
2、基本配置 20
3、配置实例 23
(七)IPTV配置 25
1、概述 25
2、基本配置 25
3、配置实例 26
4、IPTV的维护和诊断 27
(八)MSTP配置 27
1、概述 27
2、基本配置 28
3、配置实例 30
(九)QoS配置 32
1、概述 32
2、基本配置 32
3、配置实例 33
(十)PVLan配置 34
1、概述 34
2、基本配置 35
3、配置实例 35
(十一)802.1透传配置 35
(十二)三层配置 36
1、概述 36
2、IP端口配置 36
3、静态路由配置 36
4、ARP表项配置 37
(十二)接入服务配置 37
1、概述 38
2、基本配置 40
3、配置实例 43
1、概述 45
2、基本配置 45
3、配置实例 46
(十三)SysLog配置 46
1、概述 46
2、基本配置 46
3、配置实例 47
(十四)NTP配置 47
1、 概述 47
2、基本配置 47
3、配置实例 47
(十五)GARP/GVRP配置 48
1、概述、 48
2、GARP配置 48
3、GVRP配置 48
4、配置实例 49
六、网络管理 50
(一)Remote-Access 50
1、概述 50
2、基本配置 50
3、配置实例 51
(二)SSH 51
1、概述 51
2、基本配置 52
3、配置实例 52
(三)SNMP 54
1、概述 54
2、基本配置 55
3、配置实例 56
(四)RMON 57
1、概述 57
2、基本配置 58
3、配置实例 59
(五)集群管理 61
1、概述 61
2、ZDP配置 63
3、ZTP配置 63
4、集群配置 64
5、配置实例 66
(七)WEB 69
1、概述 69
2、系统登录 69
3、配置管理 70
七、维护 87
(一)常用检测方法 87
1、单端口环路检测 87
2、虚拟线路检测 88
(二)常见故障处理 88
1、无法通过Console口进行配置 88
2、Telnet无法连接 89
3、Telnet登录交换机失败 89
4、遗失登录密码 89
5、遗失Enable密码 91
6、同一VLAN中两个设备不能互通 91
中兴ZXR102826S交换机配置手册
一、概述(略)
二、系统介绍
(一)产品概述
zxr102609/2818s/2826s/2852s接入交换机主要定位于企业网和宽带ip城域网的接入层,提供不同数量的以太网端口,适合作为信息化智能小区、商务楼、宾馆、大学校园网和企业网(政务网)的用户侧接入设备或者小型网络的汇聚设备,为用户提供高速、高效、高性价比的接入和汇聚方案。
zxr102609/2818s/2826s/2852s采用存储转发(storeandforward)模式,支持线速(wire-speed)二层交换,所有端口全线速交换。
(二)功能介绍
???zxr102609/2818s/2826s/2852s具有以下功能:
???1.支持mac地址自学习能力,mac地址表大小为8k;
???2.支持端口mac地址捆绑,支持地址过滤;
???3.支持802.1q标准的vlan,支持私有边界vlan,vlan数最多为4094个,支持vlan堆叠功能;
???4.支持按da、sa、vid、tos/dscp来进行优先级划分,支持多队列、支持固定优先级调度、支持加权优先级调度,交换机中的端口多队列;
???5.支持802.1d标准的生成树(stp)、802.1w快速生成树(rstp)和802.1s标准的多生成树(mstp);
???6.支持802.3ad标准的lacp端口捆绑,支持端口静态捆绑,支持最多16组端口捆绑,每组最多8个成员端口;
???7.支持跨vlan的igmpsnooping;
???8.支持iptv可控组播功能;
???9.支持端口入口镜像、出口镜像;
???10.支持802.3x流控(全双工)和背压式流控(半双工);
???11.支持端口入口和出口带宽限制;
???12.支持单端口环路检测;
???13.支持vct功能,故障线路测试;
???14.提供详细的端口流量统计;
???15.支持广播风暴抑制;
???16.支持网络管理静态路由设置;
???17.支持802.1x透传和认证;
???18.支持syslog日志功能;
???19.支持ntp客户端功能;
???20.支持garv/avrp动态vlan;
???21.支持console配置、telnet远程登录、web页面访问和snmp网管,zxnm01统一网管,支持集群管理技术zgmp,支持secureshellv2.0;
???22.支持tftp版本上传和下载。
(三)组网方式
对于企业、部门等工作组级的组网,zxr102609/2818s/2826s/2852s可以灵活方便地应用于多种网络。zxr102609/2818s/2826s/2852s提供8~48个10/100m接口,并可通过级联方式扩展接口数量;扩展插槽可选择100m、1000m高速光接口,用于主干网或高速服务器的连接。
3-1工作组级组网方式
???典型的组网结构图如图2.3-1所示:
???
3-2城域网宽带接入组网方式
在宽带城域网建设中,zxr102609/2818s/2826s/2852s可用于小区的接入层或楼宇的汇聚层,直接对用户提供10/100m接入或下带接入层交换机(如zxr101816)。利用zxr102609/2818s/2826s/2852s灵活的上联端口,可配置100m、1000m光口上联到小区的汇聚节点,协同bras(宽带接入服务器)、aaa服务器等网络管理系统,完成信息化小区宽带业务网的组建。
???小区zan(驻地网)设备的管理,可采用带内或带外方式,纳入整个城域网的网络管理系统或在小区内部自行设立网络管理和业务管理系统。
???典型的组网结构图如图2.3-2所示:
???
(四)技术特性和参数
zxr102609/2818s/2826s/2852s遵循的标准如下:
???q/szx193-2005zxr102609/2818s/2826s/2852s接入交换机
???表2.4-1详细列出了zxr102609/2818s/2826s/2852s的技术特性和参数。
???
三、使用和操作
(一)配置方式:
1-1console连接配置
console口连接配置是zxr102609/2818s/2826s/2852s的主要配置方式。操作步骤请参见4.4.1节。也可以在设备运行中进行配置连接。
1-2telnet连接配置
telnet方式通常在远程配置交换机时使用,通过连接到本地以太网口的主机登录到远程交换机上进行配置。交换机上需要设置登录用户名和密码,并且本地主机能够ping通交换机上三层端口的ip地址(三层端口ip地址的配置方法详见7.12)。
???使用createuser[name]命令创建一个新的管理用户,使用loginpass[[string]]命令设置登录密码。
???缺省的用户名/密码为admin/zhongxing
???假设交换机上三层端口的ip地址为192.168.3.1,本地主机能ping通该地址,远程配置操作如下。
???1.在主机上运行telnet命令,如图5.1-2所示。
???
???2.点击[确定]按钮,显示telnet窗口,如图5.1-3所示。
???
???3.根据提示输入用户名和密码,即可进入交换机的用户模式。
1?-3SNMP连接配置
单网络管理协议(snmp,simplenetworkmanagementprotocol)是目前最流行的一种网管协议,通过该协议可以使用一台网管服务器来管理网络中的所有设备。
???snmp采用基于服务器和客户端的管理,后台网管服务器作为snmp服务器,前台网络设备zxr102609/2818s/2826s/2852s作为snmp客户端。前后台共享同一个mib管理库,通过snmp协议进行通讯。
???后台网管服务器需安装支持snmp协议的网管软件,通过网管软件对zxr102609/2818s/2826s/2852s进行管理配置。zxr102609/2818s/2826s/2852s上snmp的具体配置请参见8.3。
?1-4WEB连接配置
web是实现远程管理交换机的又一途径,与telnet相似,通过连接到本地以太网口的主机登录到远程交换机上进行配置。交换机上需要设置登录用户名、登录密码和管理密码,然后使能web功能,并且本地主机能够ping通交换机上三层端口的ip地址(三层端口ip地址的配置方法详见7.12)。
???1.首先创建一个新的管理用户:
???createuser[name]
???2.然后设置登录密码:
???loginpass[string]
???3.再设置管理员密码:
???adminpass[string]
???4.然后使能web网管功能,并设置监听端口:
???setwebenable
???setweblisten-port[80,1025-49151]
???缺省的用户名/密码为admin/zhongxing,管理员密码为空;缺省的http监听端口为80。
???假设交换机上三层端口的ip地址为192.168.1.1,本地主机能ping通该地址,通过web远程登录并配置交换机请参见8.6。
(二)命令模式
2-1用户模式
当使用超级终端方式或telnet方式登录交换机时,用户输入登录的用户名和密码后即进入用户模式。用户模式的提示符是交换机的主机名后跟一个“]”号,如下所示:
???
???缺省的主机名是zte,用户可以使用hostname[name]命令改变主机名。
???在用户模式下可以执行exit命令退出交换机配置,还可以执行show命令查看系统的配置信息和运行信息。
???show命令可以在所有模式下执行。
2-2全局配置模式
在用户模式下输入enable命令和相应口令后,即可进入全局配置模式,如下所示:
???
???在全局配置模式下可以对交换机的各种功能进行配置,因此必须使用adminpass[[string]]命令设置进入全局配置模式的密码,以防止未授权的用户使用。
???要从全局配置模式返回到用户模式,可使用exit命令。
2-3SNMP配置模式
在全局配置模式下使用configsnmp命令进入snmp配置模式,如下所示:
???
???在snmp配置模式下可以设置snmp和rmon的参数。
???要退出snmp配置模式返回到全局配置模式,使用exit命令或按[ctrl+z]。
2-4三层配置模式
在全局配置模式下使用configrouter命令进入三层配置模式,举例如下:
???
???在三层配置模式下可以配置三层端口、静态路由以及arp实体。
???要退出三层配置模式返回到全局配置模式,使用exit命令或按[ctrl+z]。
2-5文件系统配置模式
在全局配置模式下使用configtffs命令进入文件系统配置模式,如下所示:
???
???在文件系统配置模式下可以对交换机文件系统进行操作,包括增加文件或目录、删除文件或目录、更改文件名称、显示文件和目录、改变文件目录、tftp文件上/下载、拷贝文件和格式化flash等操作。
???要退出文件系统配置模式到全局配置模式,使用exit命令或按[ctrl+z]。
2-6NAS配置模式
在全局配置模式下使用confignas命令进入nas配置模式,如下所示:
???
???在nas配置模式下可以对交换机接入服务进行配置,包括对用户接入的认证和管理。
???要退出nas配置模式到全局配置模式,使用exit命令或按[ctrl+z]。
2-7集群配置模式
在全局配置模式下使用configgroup命令进入集群管理配置模式,如下所示:
???
???在集群管理配置模式下可以对交换机集群管理服务进行配置。
???要退出集群管理配置模式到全局配置模式,使用exit命令或按[ctrl+z]。
四、系统管理
(一)文件系统管理
1-1文件系统管理介绍
在zxr102609/2818s/2826s/2852s中,主要的存储设备是flash,交换机的版本文件和配置文件都存储在flash中。升级版本、保存配置都需要对flash进行操作。
1版本文件名称为kernel.z
???2配置文件名称为running.cfg
1-2文件系统管理操作
zxr102609/2818s/2826s/2852s提供许多命令用于文件系统操作,常见的命令如下。
???1.进入文件系统配置模式
???configtffs
???2.创建目录
???md[name]
???3.删除指定文件或目录
???remove[name]
???4.更改文件名
???rename[name][name]
???5.更改当前目录
???cd
???6.列出当前目录清单
???ls
???7.tftp下载/上载版本
???tftp[a.b.c.d]{download|upload}[name]
???8.拷贝文件
???copy[name][name]
???9.格式化flash
???format
(二)设置TFTP
通过使用tftp,可以对交换机版本文件、配置文件进行备份与恢复。在后台启动tftp服务器应用软件,zxr102609/2818s/2826s/2852s作为tftp的客户端进行通信,实现文件备份与恢复。
???下面以tftp服务器软件tftpd为例说明后台tftp服务器的设置。
???1.在后台主机运行tftpd软件,出现如图6.2-1所示界面。
???
???2.点击菜单项[tftpd→configure],在弹出的对话框中点击上面一个[browse]按钮,选择存放版本文件或配置文件的目录,如d盘的img目录。
???3.点击下面一个[browse]按钮用来选择日志文件。点击[ok]按钮完成设置。完成设置后对话框如图6.2-2所示。
???
???设置完tftp后,就可以对交换机进行tftp应用操作,具体见后续章节。
(三)设置的导入和导出
zxr102609/2818s/2826s/2852s提供配置信息的导入和导出功能,使交换机的配置和管理更为简便。
???1-1配置导出
???利用showrunning-configtofile命令,可以将showrunning-config命令的执行结果导出到config.txt文件,存放在flash中。可将该文件上传到tftp服务器进行查看。
???1-2配置导入
???使用readconfig命令,可以将flash中config.txt文件中的配置命令读出并交给交换机解析执行。config.txt中的内容可以根据需要手动编辑,然后用tftp命令下载到交换机。
???readconfig命令最好在交换机配置为空的时候使用。如果config.txt中的配置命令和交换机已有配置有冲突,将导致config.txt中的命令在执行过程中发生错误而提前中止。
???手动编辑config.txt文件时要注意命令执行的先后顺序(部分命令执行时有先后顺序),否则,readconfig也可能会由于执行config.txt中的某条命令出错而中止。
(四)文件的备份和恢复
这里提到的文件备份与恢复是指flash中的配置文件和版本文件的备份与恢复。
???1.配置文件备份
???当使用命令修改交换机的配置时,这些信息在内存中实时运行。如果交换机重新启动,所有新配置的内容将会丢失,因此需要执行saveconfig命令将当前配置信息写入flash中。下面是saveconfig命令的操
???为防止配置信息遭到破坏,可以将其备份。备份操作可用tftp命令实现。
???执行如下命令可将flash中的配置文件上传到后台tftp服务器:
???还可以利用showrunning-configtofile命令将配置写入config.txt文件,然后将它备份到tftp服务器,方法见6.3。
???2.配置文件恢复
???执行如下命令可将后台tftp服务器中的配置文件下载到flash:
???3.版本文件备份
???版本文件备份与配置文件备份类似,使用tftp命令将前台版本文件上传到后台服务器中。举例如下:
???4.版本文件恢复
???版本恢复的目的是把在后台备份的版本文件通过tftp重新传到前台。在升级失败时进行恢复操作非常重要。版本恢复操作跟版本升级操作步骤基本相同,请参见6.5节软件版本升级。
五、业务配置
(一)端口配置
1、基本配置
在zxr102609/2818s/2826s/2852s上,可以对端口参数进行配置,如自动协商、双工模式、速率、流量控制、端口优先级、mac数目限制等。
???端口参数的配置在全局配置模式下进行,主要包括以下内容。
???1.配置端口状态
???setport[portlist]{enable|disable}
???2.设置端口的自适应功能
???setport[portlist]auto{enable|disable}
???自适应功能在缺省情况下是打开的,设置端口工作方式或端口速率后,自适应功能将自动关闭。
???3.设置端口的工作方式
???setport[portlist]duplex{full|half}
???对于所有的以太网光口和工作速率为1000m的以太网电口,端口的工作方式只能是全双工,无法改变。
???4.设置端口的速率
???setport[portlist]speed{10|100|1000}
???对于100m和1000m的以太网光口,无法改变端口的速率。
???5.设置端口的带宽
???setport[portlist]bandwidthingress{off|onrate[64-256000][tcpdrop|flowcontrol]}
???setport[portlist]bandwidthegress{off|onrate[64-256000]}
???交换机以kbps为单位进行端口带宽限制,端口的入口带宽和出口带宽可以根据需要分别设置。在设置端口的入口带宽限制时,有三种方式:
???对无连接的数据包的速率限制,如对广播包进行过滤,粒度在设置的值比较小时为1k。
???对有连接的数据包进行速率限制,如tcp连接的数据包,此时速率限制的粒度为64k,范围为64k~1536k。
???使用流控的方式对无连接和有连接的数据包进行速率限制,此时必须将端口设置为10m半双工的工作方式,粒度在设置的值比较小时为1k。
???对入口端口限速功能,用户可以使用setportingess_limit_mode命令选择限速过滤的数据包类型。
???当设置端口入向带宽限制的过滤包类型为广播包时,可以用来实现广播抑止的功能。
???在设置端口入向和出向带宽限制时,速率的限制范围为64k~256m,对于100m端口,带宽的最大值为100m,在设置的速率比较小时,带宽限制的精度很高,当限制速率增大时,带宽限制的精度会逐渐降低,当设置的限制速率大于端口的最大带宽时,端口的速率为端口的最大速率。
???此功能在zxr102609/2818sle/2826sle/2852sle交换机不支持端口出向带宽限制功能。
???配置实例(使用端口带宽限制实现广播风暴的抑制):设置端口1广播抑制功能,限制广播包为500k。
???
???6.设置端口的流量控制
???setport[portlist]flowcontrol{enable|disable}
???7.设置端口的优先级
???setport[portlist]default-priority[0-7]
???8.设置端口的地址学习功能开启/关闭
???setport[portlist]security{enable|disable}
???当端口安全设置为enable时,端口的mac地址学习功能将被关闭,当端口安全设置为disable时,断口将恢复地址学习功能。
???9.设置端口对组播包过滤功能开启/关闭
???setport[portlist]multicast-filter{enable|disable}
???10.设置端口对外供电模式
???setport[portlist]poe{auto|force|never}
???11.设置端口速率宣称
???setport[portlist]speedadvertise{maxspeed|{{speed10|speed100|speed1000}{fullduplex|halfduplex}}}
???12.设置端口学习mac地址数目
???setport[portlist]macaddress{on[0-16]|off}
???缺省情况下端口的mac地址限制为关闭。
???13.设置端口mac地址固化保护
???setport[portlist]fix-macon[0-16]{shutdown|protect}
???使能端口地址固化保护功能后,能够自动将mac地址以静态方式固化绑定到端口上,当发生mac地址违背时(mac地址违背一般包括两种情况:
???1当端口的固化地址数目已经达到限制并且仍旧有新地址从此端口上来。
???2当某一mac地址已经绑定到一个端口上,此地址却又从另一个端口上来时。),会打印告警提示信息,如果保护模式是shutdown模式,还会将端口down掉。默认为自动恢复,恢复时间为30分钟,30分钟过后,端口会自动up。缺省情况地址固化功能是关闭的。
???14.设置端口mac地址固化自动恢复时间
???setport[portlist]fix-macauto-recover-time{on[5-240]|off}
???设置端口固化保护的自动恢复时间,此命令只有使能了地址固化保护且保护模式为shutdown模式才可以设置,缺省值为30分钟。如果设置为off,则为手动恢复模式。
???15.设置端口绞线方式
???setport[portlist]mdix{auto|crossover|normal}
???缺省情况下端口的绞线方式是自动绞线方式。
???16.为端口创建描述名称
???createport[portname]name[name]
???17.为端口添加描述
???setport[portlist]description[string]
???18.端口的qos功能
???在每个端口上都支持对数据包优先级的设置,进入端口的数据包的优先级有数据包本身参数和端口上的设置共同决定。在端口上可以对任意一种优先级决定机制进行开启或关闭,每个端口上的接收数据包的优先级决定方式可以不一样。(各种优先级决定方式的顺序请参照“qos参数配置”一节中的说明)
???1开启/关闭端口源mac地址优先级功能
???setport[portlist]sa-priority{enable|disable}
???当且仅当接收的数据包的源mac地址为静态mac地址,并且端口的源mac地址优先级决定功能使能时,此时才可能使用设置的源mac地址的优先级决定数据包的优先级。数据包的队列优先级与sa优先级的对应关系为:
???(0,1)→0;(2,3)→1;(4,5)→2;(6,7)→3
???2开启/关闭端口vlan优先级
???setport[portlist]vlan-priority{enable|disable}
???当且仅当接收数据包所在的vlan的优先级使能,并且端口的vlan优先级决定功能使能时,此时才可能使用设置vlan优先级决定数据包的优先级。数据包的队列优先级与sa优先级的对应关系为:
???(0,1)→0;(2,3)→1;(4,5)→2;(6,7)→3
???3开启/关闭端口802.1p用户优先级
???setport[portlist]user-priority{enable|disable}
???当且仅当接收的数据包是tag数据包,并且端口的802.1p用户优先级决定功能使能时,此时才可能使用802.1p用户优先级决定数据包的优先级。数据包的队列优先级由802.1p用户优先级到队列优先级决定。
???4开启/关闭端口三层dscp优先级
???setport[portlist]dscp-priority{enable|disable}
???当且仅当接收的数据包是ip数据包,并且端口的三层dscp优先级决定功能使能时,此时才可能使用三层dscp优先级决定数据包的优先级。数据包的队列优先级由ipdscp优先级到队列优先级对应表决定。
???5设置端口802.1p用户优先级重映射表
???setport[portlist]remapping-tag[0-7]priority[0-7]
???当端口收到的数据包是tag数据包时,交换机先使用此映射表对数据包中的优先级进行重新映射,然后使用此优先级作为新的802.1p用户优先级来进行以后的优先级决定。此映射表的默认值为:
???0→0,1→1,2→2,3→3,4→4,5→5,6→6,7→7
???不建议对此默认值进行更改。
???此功能在zxr102609/2818sle/2826sle/2852sle交换机不支持sa-priority、valn-priority和remapping-tag功能。
???端口参数的缺省配置如表7.1-1所示。
???
2、配置信息查看
使用show命令可以查看端口的相关信息。
???1.显示端口的配置信息和工作状态
???showport[[portlist]]
???查看端口1的配置和当前的工作状态。
???
???2.显示端口qos配置数据
???showport[portlist]qos
???查看端口1的qos配置数据。
???
???当ingressratelimit或egressratelimit的值为0,表示端口没有设置带宽限制功能。
???3.显示端口的统计数据
???showport[portlist]statistics
???查看端口24(端口名称为uplink)的统计数据。
???
???4.清除端口的统计数据
???clearport[portlist]{name|statistics|description}
???可以清除端口的统计数据。执行该命令后,端口的所有统计数据都将被清零。
???5.显示端口的单位时间流量的统计数据
???showport[portlist]statistics
???查看端口2的1分钟内的单位流量统计值。
???
(二)端口镜像
1、端口镜像概述
端口镜像用于将进入交换机端口(入向镜像端口)的数据包镜像到一个入向目的端口(入向监控端口),或将出交换机端口(出向镜像端口)的数据包镜像到一个出向目的端口(出向监控端口)。
???通过端口镜像可以对进入或流出某端口的数据包进行监控,为交换机的维护和监控提供一个有用的工具。
???交换机只能设置一个入向监控端口和一个出向监控端口,入向监控端口和出向监控端口可以设置为同一个端口。而入向镜像源端口和出向镜像源端口可以同时设置多个。
???默认情况下,交换机没有镜像端口,入向和出向的监控端口为端口1。入向镜像端口接收的good的数据包被镜像到监控端口,对于在入端口直接丢弃的数据包(如crc错误)不进行镜像。
2、基本配置
端口镜像功能的配置包括以下内容。
???1.设置监控端口
???setmirroradddest-port[portname]{ingress|egress}
???2.删除监控端口
???setmirrordeletedest-port[portname]{ingress|egress}
???3.添加镜像源端口
???setmirroraddsource-port[portlist]{ingress|egress}
???4.删除镜像源端口
???setmirrordeletesource-port[portlist]{ingress|egress}
???5.显示端口镜像的配置
???showmirror
3、配置实例
假设要将端口1和端口16接收到的数据包镜像到监控端口10上,具体配置如下:
???
???使用showmirror命令可以查看端口镜像的配置信息。
???
???假设要将端口2和端口3发送的数据包镜像到监控端口4上,具体配置如下:
???
(三)VLAN配置
1、概述
vlan(virtuallocalareanetwork)协议是二层交换设备的一个基本协议,它使管理员能够把一个物理的局域网划分为多个“虚拟局域网”。每个vlan都有一个vlan标识号(vlanid),在整个局域网中唯一的标识该vlan。多个vlan共享物理局域网的交换设备和链路。
???每个vlan在逻辑上就像一个独立的局域网,同一个vlan中的所有帧流量都被限制在该vlan中。跨vlan的访问只能通过三层转发,不能直接访问。这样就提高了这个网络的性能,有效的减少了物理局域网上的整体流量。
???vlan的具体作用体现在:
???1.减少网络上的广播风暴;
???2.增强网络的安全性;
???3.集中化的管理控制。
???zxr102609/2818s/2826s/2852s支持tagged-basedvlan,即基于标签的vlan。这是ieee802.1q定义的方式,是通用的工作方式。这种模式下vlan的划分基于端口的vlan信息(pvid:portvlanid)或者vlan标签中的信息。
2、基本配置
交换机上vlan的配置包括以下内容。
???1.使能/关闭vlan
???setvlan[vlanlist]{enable|disable}
???2.在vlan中加入指定的端口
???setvlan[vlanlist]addport[portlist][tag|untag]
???3.删除vlan中指定的端口
???setvlan[vlanlist]deleteport[portlist]
???4.在vlan中加入指定的trunk
???setvlan[vlanlist]addtrunk[trunklist][tag|untag]
???5.删除vlan中指定的trunk
???setvlan[vlanlist]deletetrunk[trunklist]
???6.设置端口的pvid
???setport[portlist]pvid[1-4094]
???7.设置trunk的pvid
???settrunk[trunklist]pvid[1-4094]
???8.设置vlan的优先级
???setvlan[vlanlist]priority{off|on[0-7]}
???9.配置vlan的fid
???setvlan[vlanlist]fid[1-256]
???相同fid的vlan可以共享转发表的条目,大多数厂家不提供fid的设置,而是缺省的让fid=vid。
???10.设置禁止学习端口
???setvlan[vlanlist]forbidport[portlist]
???启用gvrp协议时,禁止学习的端口不能学习该vlan。
???11.允许学习端口
???setvlan[vlanlist]permitport[portlist]
???启用gvrp协议时,允许学习的端口可以学习vlan,默认允许学习。
???12.设置禁止学习trunk
???setvlan[vlanlist]forbidtrunk[trunklist]
???启用gvrp协议时,禁止学习的trunk不能学习该vlan。
???13.允许学习trunk
???setvlan[vlanlist]permittrunk[trunklist]
???启用gvrp协议时,允许学习的trunk可以学习vlan,默认允许学习。
???14.创建一个vlan的描述名称
???createvlan[1-4094]name[name]
???15.清除vlan的名称
???clearvlan[vlanlist]name
???16.显示vlan的信息
???showvlan[[vlanlist]]
3、配置实例
建议在配置前先删除缺省vlan。
???1.配置一个vlan
???配置vlan100,加入untagged端口1和2,加入tagged端口7和8。具体配置如下。
???
???2.vlan重叠的配置
???如图7.3-1所示,交换机的端口16接服务器,端口1~3接客户端,要求端口1~3相互隔离,但都能访问服务器。
???
???交换机的具体配置如下:
???
???3.vlan透传的配置
???如图7.3-2所示,交换机a和交换机b通过端口16相连,交换机a的端口1与交换机b的端口2是vlan2的成员,交换机a的端口3与交换机b的端口4是vlan3的成员,相同vlan的成员之间能够互相通信。
???
???交换机a的具体配置如下:
???
???交换机b的具体配置如下:
???
(四)MAC表操作
1、概述
对mac表的操作主要包括mac过滤功能、静态地址捆绑功能和mac表老化时间的设置。
???1mac过滤功能是使交换机在接收到目的mac地址为特定mac地址的数据包时执行丢弃操作。
???2静态地址捆绑功能是将特定的mac地址与交换机的端口进行绑定,捆绑后对该mac不再进行动态学习。
???3mac表老化时间是指动态mac地址在fdb表中从最后一次更新到被删除的时间段。
???通过设置mac地址过滤和静态地址捆绑,可以有效地控制非法用户侵入网络,防止一些关键的mac地址被冒用,对网络安全起到重要的作用。
2、基本配置
1.配置fdb的过滤地址
???setfdbfilter[xx.xx.xx.xx.xx.xx]fid[1-256]
???2.在地址表中加入静态绑定地址
???setfdbadd[xx.xx.xx.xx.xx.xx]fid[1-256]{port[portname]|trunk[trunkid]}[priority[0-7]]
???3.在地址表中删除一条记录
???setfdbdelete[xx.xx.xx.xx.xx.xx]fid[1-256]
???4.设置地址老化时间
???setfdbagingtime[15-3600]
???默认为240s
???5.显示fdb地址老化时间
???showfdbagingtime
???6.显示fdb表信息
???showfdbdynamicport[portname][detail]
???此命令仅在2852s上支持。
???showfdb[[static|dynamic][detail]]
???此命令在2852s不上支持。
???7.显示过滤地址信息
???showfdbfilter
???8.显示基于mac的fdb信息
???showfdbmac[xx.xx.xx.xx.xx.xx]
???9.显示基于port的fdb信息
???showfdbport[portname]
???10.显示基于vlan的fdb信息
???showfdbvlan[vlanname]
???11.显示基于trunk的fdb信息
???showfdbtrunk[trunkid]
(六)Lcap配置
1、概述
lacp(linkaggregationcontrolprotocol)即链路聚合控制协议,是ieee802.3ad描述的标准协议。
???链路聚合(linkaggregation)是指将具有相同传输介质类型、相同传输速率的物理链路段“捆绑”在一起,在逻辑上看起来好像是一条链路。链路聚合又称中继(trunking),它允许交换机之间或交换机和服务器之间的对等的物理链路同时成倍地增加带宽。因此,它在增加链路的带宽、创建链路的传输弹性和冗余等方面是一种很重要的技术。
???聚合的链路又称干线(trunk)。如果trunk中的一个端口发生堵塞或故障,那么数据包会被分配到该trunk中的其他端口上进行传输。如果这个端口恢复正常,那么数据包将被重新分配到该trunk中所有正常工作的端口上进行传输。
???zxr102609/2818s/2826s/2852s最多支持16个聚合组,每个聚合组参与聚合的端口不超过8个。参与聚合的端口应具有相同的传输介质类型、相同的传输速率。
???此功能在zxr102852sle交换机中最多支持8个聚合组。
2、基本操作
在交换机上配置lacp包括以下内容。
???1.使能或关闭lacp功能
???setlacp{enable|disable}
???lacp功能的缺省状态是关闭的。
???2.在聚合组中加入指定端口
???setlacpaggregator[trunkid]addport[portlist]
???3.在聚合组中删除指定端口
???setlacpaggregator[trunkid]deleteport[portlist]
???端口处于自动协商模式时允许聚合;否则如果端口处于双工模式则允许聚合,处于半双工模式则不允许聚合。
???4.设置聚合组聚合模式
???setlacpaggregator[trunkid]mode{dynamic|static|mixed}
???当聚合组配置成动态模式时,则只能与运行lacp的设备对接。当配置成静态模式时,如果对端是静态的trunk(不运行lacp协议),则进行静态聚合;当聚合组配置成混合模式时,如果对端是静态的trunk(不运行lacp协议),则进行静态聚合;当对端同时存在静态trunk和lacp时,优先考虑lacp聚合。
???5.配置参与聚合的端口的超时情况
???setlacpport[portlist]timeout{long|short}
???超时情况是指处于聚合状态的端口没有收到对端的lacp协议包时,经过多长时间退出聚合,短超时是3秒,长超时是90秒。
???6.设置端口参与聚合的模式
???setlacpport[portlist]mode{active|passive}
???端口参与聚合的模式是指在聚合组非静态模式下,聚合组内端口以主动或被动方式发送lacp协议包来更新状态信息的方式。当本端端口配置为主动协商模式时,对端端口可配置为主动或被动协商模式;当本端端口配置为被动协商模式时,对端端口只能配置为主动协商模式,否则不能成功参与聚合(运行lacp协议时)。
???7.设置lacp的优先级
???setlacppriority[1-65535]
???8.显示lacp的配置信息
???showlacp
???9.显示lacp聚合组聚合信息
???showlacpaggregator[[trunkid]]
???10.显示lacp参与聚合的端口信息
???showlacpport[[portlist]]
???配置聚合组后,可以对它进行各种设置,如设置pvid、加入vlan、静态绑定mac地址等。
3、配置实例
如图7.5-1所示,交换机a和交换机b通过聚合端口相连(将端口15和16捆绑而成),交换机a的端口1与交换机b的端口2属于vlan2,交换机a的端口3与交换机b的端口4属于vlan3,相同vlan的成员之间能够互相通信。
???
???交换机a的具体配置如下:
???
???交换机b的具体配置如下:
???
(六)IGMPSnooping配置
1、概述
由于组播地址不可能出现在报文的源地址中,所以交换机无法学习到组播地址。当交换机收到组播信息时,会向同一个vlan中的所有端口广播。如果不采取措施,就会出现不想要的组播信息扩散到网络中每一点的严重问题,浪费网络带宽资源。
???igmpsnooping通过对主机和路由器之间的igmp协议通信的“监听”,使组播包只发送给在组播转发表中的端口,而不是所有端口,从而限制了局域网交换机上的组播信息扩散,减少了不必要的网络带宽的浪费,提高了交换机的利用率。
???基于源或目的地址的组播过滤,能够按照用户在监听vlan添加的过滤条目对主机向路由器发送的igmp协议报文进行过滤处理,增强交换机对组播监听的控制。
2、基本配置
在交换机上配置igmpsnooping包括以下内容。
???1.使能或关闭igmpsnooping功能
???setigmpsnooping{enable|disable}
???igmpsnooping功能的缺省状态是关闭的。
???当igmpsnooping功能关闭时,对于组播流根据setportmulticast命令的配置进行处理,如果选择参数forward则对相应端口进行转发,如果选择discard则对相应端口丢弃。
???使能igmpsnooping功能后,对于组播流首先根据监听到的组播转发表来转发,如果没有查找到该组播转发表,则按照上述的配置针对端口决定转发或丢弃。
???当igmpsnooping关闭时,对于非路由端口,最好关闭端口的组播转发功能;而对于路由端口,最好开启端口的组播转发功能。
???2.添加对指定vlan的igmpsnooping功能
???setigmpsnoopingaddvlan[vlanlist]
???3.删除对指定vlan的igmpsnooping功能
???setigmpsnoopingdeletevlan[vlanlist]
???只有添加对指定的vlan进行组播监听的功能,才能监听到相应的组播转发表。本交换机最多支持同时监听256个vlan。
???4.使能或关闭对指定vlan的igmpquery功能
???setigmpsnoopingqueryvlan[vlanlist]{enable|disable}
???使能了igmpsnooping功能后,如果没有igmpquery路由器存在,则无法完成正常的igmpsnooping的功能,这时可以开启交换机的igmpquery的功能。
???如果所监听的vlan存在igmpquery路由器,最好关闭本交换机的igmpquery功能。交换机运行的igmpquery版本是v2.0,遵循v2.0igmpquery路由器选举功能。当配置了三层端口的ip和mac地址,则igmpquery的源ip和源mac使用三层配置;否则使用223.255.255.255和交换机的mac地址作为igmpquery的源。
???5.添加基于vlan的静态组播组
???setigmpsnoopingvlan[vlanname]addgroup[a.b.c.d]
???6.删除基于vlan的静态组播组
???setigmpsnoopingvlan[vlanname]deletegroup[a.b.c.d]
???当已添加了基于此vlan和某些端口的静态组播组后,则不再允许添加仅基于此vlan的静态组播组;同时,当删除基于vlan的静态组播组时,则已添加了基于此vlan和某些端口的静态组播组也被同时清除。
???7.添加基于vlan+端口或vlan+聚合口的静态组播组
???setigmpsnoopingvlan[1-4094]addgroup[a.b.c.d]port[portlist]
???或setigmpsnoopingvlan[1-4094]addgroup[a.b.c.d]trunk[trunklist]
???8.删除基于vlan+端口或vlan+聚合口的静态组播组
???setigmpsnoopingvlan[1-4094]deletegroup[a.b.c.d]port[portlist]
???或setigmpsnoopingvlan[1-4094]deletegroup[a.b.c.d]trunk
???[trunklist]
???或setigmpsnoopingvlan[1-4094]deletegroup[a.b.c.d]
???当运行了igmpsnooping的功能,允许以本交换机的名义注册基于vlan或基于vlan+端口的静态组播组,本交换机支持最多对64个静态组播组的注册。
???注册的静态组播组只能是用户组播地址224.x.x.x~239.x.x.x,不能是保留的组播地址。224.0.0.x的组播地址不允许注册。
???注册的静态组播组所在vlan必须是已被监听的vlan。
???9.添加静态路由端口或聚合口
???setigmpsnoopingvlan[1-4094]addsmrport[portlist]
???或
???setigmpsnoopingvlan[1-4094]addsmrtrunk[trunklist]
???10.删除静态路由端口或聚合口
???setigmpsnoopingvlan[1-4094]deletesmrport[portlist]
???或setigmpsnoopingvlan[1-4094]deletesmrtrunk[trunklist]
???当为某个监听vlan添加了静态路由端口或聚合口后,能够将此端口或聚合口添加到此监听vlan对应的所有组播组中,并且组播组中成员端口的加入、离开等报文将同时向路由端口和此静态路由端口转发;
???11.设置基于vlan的组播组数目限制
???setigmpsnoopingaddmaxnum[1-256]vlan[vlanlist]
???12.清除基于vlan的组播组数目限制
???setigmpsnoopingdeletemaxnumvlan[vlanlist]
???缺省状态下,每个被监听的vlan所能建立的组播组数目为256,当设置了此vlan的组播组数目后,此vlan上所能建立的组播组条目不会大于此vlan限制的组播组数目。
???13.设置组播成员/路由超时
???setigmpsnoopingtimeout[100-2147483647]{host|router}
???14.设置查询周期
???setigmpsnoopingquery_interval[10-2147483647]
???15.设置查询响应周期
???setigmpsnoopingresponse_interval[10-250]
???16.设置最后的成员查询周期
???setigmpsnoopinglastmember_query[10-250]
???17.使能或关闭igmp的快速离开功能
???setigmpsnoopingfastleave{enable|disable}
???运行了igmpsnooping功能,并正确地监听到了主机加入的端口后,当该端口收到igmp离开报文时,如果关闭了igmp的快速离开功能,则交换机将向该端口发送两次特定组查询,以确认是否在组播转发表中删除该端口;如果使能了igmp的快速离开功能,则不进行特定组查询,直接从组播转发表中删除该端口。
???当跨vlan的组播监听从使能状态变为关闭状态时,经过跨vlan组播监听的某些监听结果要经过相应的超时时长才能正确删除掉。
???18.使能或关闭跨vlan的igmpsnooping功能
???setigmpsnoopingcrossvlan{enable|disable}
???当运行了igmpsnooping功能,并利用pvid(defaultvlan_id)正确地配置一对多的端口转发形式后,可以利用本交换机跨vlan的igmpsnooping功能对不同vlan之间的igmp信息进行监听并进行跨vlan的组播转发。
???19.使能或关闭组播过滤功能
???setigmpfilter{enable|disable}
???组播过滤功能的缺省状态是关闭的。
???当使能组播过滤功能后,对于组播加入请求的处理,将按照添加的组播过滤条目对其进行过滤后再进行处理;如果组播过滤功能关闭,对于端口的加入请求,将不作任何基于源地址或组地址的过滤操作。
???20.添加基于vlan的组播组地址过滤
???setigmpfilteraddgroupip[a.b.c.d]vlan[vlanlist]
???在组播过滤使能后,设置了基于vlan的组播组地址过滤条目后,此vlan内的端口如果收到组地址为此过滤地址的组播加入请求时,本端交换机不对此端口的加入请求进行处理。
???21.删除基于vlan的组播组地址过滤
???setigmpfilterdeletegroupip[a.b.c.d]vlan[vlanlist]
???22.添加基于vlan的组播源地址过滤
???setigmpfilteraddsourceip[a.b.c.d]vlan[vlanlist]
???在组播过滤使能后,设置了基于vlan的组播源地址过滤条目后,此vlan内的端口如果收到源地址为此过滤地址的组播加入请求时,本端交换机不对此端口的加入请求进行处理。
???23.删除基于vlan的组播源地址过滤
???setigmpfilterdeletesourceip[a.b.c.d]vlan[vlanlist]
???24.显示组播监听的配置
???showigmpsnooping
???25.显示组播监听结果
???showigmpsnoopingvlan[[vlanname][host|router]]
???26.显示组播过滤状态
???showigmpfilter
???27.显示某监听vlan的组播地址过滤条目
???showigmpfiltervlan[1-4094]
3、配置实例
实例一:
???如图7.6-1所示,端口1、3、5接主机,端口10接路由器,实现一对多通讯方式,即端口10可以和1、3、5通讯,而1、3、5相互之间不能通讯。在交换机上开启igmpsnooping功能并显示监听结果。
???
???具体配置如下:
???
???显示组播监听结果:
???
???在交换机上开启跨vlan组播监听,经过组播监听的显示结果:
???
???实例二:
???如上图7.6-1所示,端口1,3,5接主机,端口10接路由器,将端口10,1,3,5加入到vlan200,端口1、3,5上的用户分别发送组地址为230.44.45.167、230.44.45.157组播加入请求,在vlan200上添加组播过滤组地址230.44.45.167。在交换机上开启igmpsnooping和igmpfilter功能并显示监听结果。
???具体配置如下:
???
???显示组播监听及过滤结果:
???
(七)IPTV配置
1、概述
iptv又称交互式网络电视,是由运营商基于宽带基础推出的,利用ip宽带网络,集互联网、多媒体、通信等多种技术于一体,向用户提供直播电视、视频点播、上网浏览等多种交互式服务的业务,用户可以通过pc或“ip机顶盒+电视”的方式使用的业务。
2、基本配置
交换机上iptv的配置包括以下内容。
???先进入nas配置管理模式:confignas
???1.iptv全局参数配置:
???设置用户的最小观看时间
???iptvcontrollog-time
???设置全局最大预览次数
???iptvcontrolprvcountcount
???设置全局最小预览间隔
???iptvcontrolprvinterval
???设置全局最大预览时间
???iptvcontrolprvtime
???设置全局复位预览次数的周期
???iptvcontrolprvcountreset-period
???iptv使能功能
???iptvcontrol{enable|disable}
???2.iptv频道配置
???创建iptv的频道
???createiptvchannel[channellist]
???设置频道名
???iptvchannel[channellist]name
???设置频道所属组播vlan
???iptvchannel[channellist]mvlan
???删除频道
???cleariptvchannel[channellist]
???3.cac(频道访问控制)配置
???创建cac规则
???createiptvcac-rule[ruleid]
???设置规则名
???iptvcac-rule[rulelist]name
???设置规则的最大预览次数,缺省为全局最大预览次数
???iptvcac-rule[rulelist]prvcount
???设置规则的最大预览时间,缺省为全局最大预览时间
???iptvcac-rule[rulelist]prvtime
???设置规则的最小预览间隔,缺省为全局最小预览间隔
???iptvcac-rule[rulelist]prvinterval
???设置规则对频道的权限
???iptvcac-rule[rulelist]right
???删除规则
???cleariptvcac-rule[rulelist]
???4.iptv用户的管理命令
???删除在线的iptv用户
???cleariptvclient
3、配置实例
1.如果端口1下的用户是组播组224.1.1.1的定购用户,组播组所在的vlan为100,配置如下
???
???2.如果端口1,vlan1下的用户是组播组224.1.1.1的预览用户,最大预览时间为2分钟,最小预览间隔为20秒,最大预览次数为10,组播组所在的vlan为100,配置如下:
???
???3.如果端口1下的用户可以看vlan100中所有组播组,配置如下
???
???4.如果端口1只允许接受组播组224.1.1.1的查询报文,组播组所在的vlan为100,配置如下
???
4、IPTV的维护和诊断
当iptv遇到问题时,我们可以通过相关的调试命令来帮助定位故障,排除错误,其中用到的命令主要是与其相关的show命令。
???1.显示iptv的全局配置信息
???showiptvcontrol
???2.显示iptv频道信息
???showiptvchannel
???3.显示特定频道号的频道统计信息
???showiptvchannel[id|name]
???4.显示cac规则
???showiptvcac-rule
???5.显示cac规则统计
???showiptvcac-rule[id|name]
???6.显示在线的iptv用户
???showiptvclient
(八)MSTP配置
1、概述
stp(生成树协议)应用于有环路的网络,通过一定的算法得到一条通路,并阻断冗余路径,将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。当这条通路正常工作时,其余路径是关闭的;当这条通路出现故障时,将重新进行计算得到一条新的通路。
???rstp(快速生成树协议)在普通stp协议的基础上增加了端口可以快速由blocking状态转变为forwarding状态的机制,加快了拓扑的收敛速度。
???mstp(多生成树协议)是在快速和普通生成树协议基础上,增加对带有vlanid的帧转发的处理。整个网络拓扑结构可以规划为总生成树cist,分为cst(主干生成树)和ist(区域生成树),如图7.8-1所示。
???
???在整个多生成树的拓扑结构中,可以把一个ist看作一个单个的网桥(交换机),这样就可以把cst作为一个rstp生成树来进行配置信息(bpdu)的交互。在一个ist区域内可以创建多个实例,这些实例只在本区域内有效。可以把每一个实例等同于一个rstp生成树,不同的是还要与区域外的网桥进行bpdu的交互。
???用户在创建某个实例时,必须将一个或多个vlanid划入此实例中。ist区域内的网桥上属于这些vlan的端口通过bpdu的交互,最终构成一个生成树结构(每个实例对应一个生成树结构)。
???这样,该区域内的网桥在转发带有这些vlanid的数据帧时,将根据对应实例的生成树结构进行转发。对于要转发到该区域外的数据帧,无论它带有何种vlanid,均按照cst的rstp生成树结构进行转发。
???与rstp相比,mstp的优点在于:在某个ist区域中,可以按照用户设定的生成树结构对带有某个vlanid的数据帧进行转发,并保证不会造成环路。
???zxr102609/2818sle/2826sle/2852sle交换机只支持stp和rstp生成树协议,不支持mstp协议。
2、基本配置
默认配置中,mstp只有实例为0的实例,并且此实例永远存在,用户无法通过手工删除。此实例映射的vlan为1~4094。
???1.使能/关闭stp
???setstp{enable|disable}
???2.设置stp的强制类型
???setstpforceversion{mstp|rstp|stp}
???3.设置vlan和instance的映射关系
???setstpinstance[0-15][add|delete]vlan[vlanlist]
???该命令新建一个实例,并设置vlan与该实例的映射关系。这些vlan将自动从instance0的vlan映射表中删除,加入新建实例的vlan映射表中。
???4.设置网桥优先级
???setstpinstance[0-15]bridgeprio[0-61440]
???5.设置实例端口优先级
???setstpinstance[0-15]port[portname]priority[0-255]
???6.设置实例trunk的优先级
???setstpinstance[0-15]trunk[trunkid]priority[0-255]
???7.设置实例端口费用
???setstpinstance[0-15]port[portname]cost[1-200000000]
???8.使能/关闭实例端口root保护
???setstpinstance[0-15]port[portname]root-guard{enable|disable}
???9.使能/关闭实例端口loop保护
???setstpinstance[0-15]port[portname]loop-guard{enable|disable}
???10.设置实例trunk费用
???setstpinstance[0-15]trunk[trunkname]cost[1-200000000]
???11.使能/关闭实例trunkroot保护
???setstpinstance[0-15]trunk[trunkname]root-guard{enable|disable}
???12.使能/关闭实例trunkloop保护
???setstpinstance[0-15]trunk[trunkname]loop-guard{enable|disable}
???13.使能/关闭端口stp功能
???setstpport[portlist]{enable|disable}
???14.使能/关闭trunk的stp功能
???setstptrunk[trunklist]{enable|disable}
???15.使能/关闭端口bpdu保护
???setstpport[portlist]bpdu-guard{enable|disable}
???16.设置端口stp类型检查
???setstpport[portlist]pcheck
???17.设置实例端口的linktype类型
???setstpport[portlist]linktype{point-point|shared}
???18.设置实例trunk的linktype类型
???setstptrunk[trunklist]linktype{point-point|shared}
???19.设置实例端口的包类型
???setstpport[portlist]packettype{ieee|cisco|huawei|hammer|extend}
???20.设置实例trunk的包类型
???setstptrunk[trunklist]packettype{ieee|cisco|huawei|hammer|extend}
???21.设置mstp的时间参数
???设置stp的通告间隔时间
???setstphellotime[1-10]
???设置stp的转发延迟时间
???setstpforwarddelay[4-30]
???设置stp的老化时间
???setstpagemax[6-40]
???22.设置mst的任意两终端间的最大跳数
???setstphopmax[1-40]
???23.设置mst的区域名称
???setstpname[name]
???24.设置mst的版本号
???setstprevision[0-65535]
???同一区域内mst的版本号必须相同。
???25.使能/关闭stprelay
???setstprelay{enable|disable}
???26.设置边缘端口
???setstpedge-port{add|delete}port[portlist]
???27.设置stp的hmd5摘要
???setstphmd5-digest{cisco|huawei}[0,0x00..0-0xff..f]
???28.设置stp的hmd5关键字
???setstphmd5-key{cisco|huawei}[0,0x00..0-0xff..f]
???29.查看stp的相关信息
???显示stp的信息
???showstp
???显示stp实例的信息
???showstpinstance[[0-15]]
???显示stp端口的信息
???showstpport[[portlist]]
???显示stptrunk的信息
???showstptrunk[trunklist]
???显示stprelay的信息
???showstprelay
3、配置实例
下面的例子介绍了mstp的具体配置。
???1.新建instance1,与vlan10-20建立映射,并设置名称为zte,mst版本号为10。
???
???2.设置实例的网桥优先级和实例端口的优先级。
???
???
???
(九)QoS配置
1、概述
交换机提供一定的qos功能,提供优先级控制功能,可以基于数据包的源mac地址优先级、vlan优先级、802.1p用户优先级、三层dscp优先级或端口默认优先级来决定数据包的优先级。一个数据包优先级决定顺序为(前面的优先):
???1.cpu发送的数据包优先级(由cpu决定);
???2.mgmt数据包(管理数据包,如bpdu包)优先级(初始化决定管理包的优先级);
???3.静态源mac地址优先级;
???4.valn优先级;
???5.802.1p用户优先级;
???6.三层dscp优先级;
???7.端口默认优先级。
???当前面的优先级决定机制决定数据包的优先级后,后面的优先级决定策略被忽略。如果要使用端口的默认优先级决定端口接收的数据包的优先级时,需满足以下的所有条件:
???1数据包必须不是cpu发送的数据包和管理包。
???2数据包的源mac地址不是静态地址或端口源地址优先级没有使能。
???3数据包所在vlan的优先级没有使能或端口的vlan优先级没有使能。
???4端口的802.1p用户优先级没有使能或数据包不是tag数据包。
???5端口的dscp优先级没有使能。
???为交换机配置优先级控制策略后,当交换机接收到相应的数据帧,高优先级的数据帧可以优先传输,从而保证关键应用。
???默认情况下,端口上802.1p用户优先级功能是使能的,其他的优先级决定策略是关闭的,用户可以根据实际需要,基于端口开启或关闭任意优先级决定策略。
???在同时使能端口的802.1p用户优先级和三层dscp优先级,且端口接收的数据包有802.1p用户优先级的ip数据包时,交换机使用数据包的802.1p用户优先级决定数据包优先级。
???zxr102609/2818sle/2826sle/2852sle交换机只不支持基于静态源mac地址优先级和valn优先级。
2、基本配置
交换机上qos的设置包括以下内容:
???1.设置队列调度模式
???setqosqueue-schedule{sp|wfq}
???当设置队列调度方式为wfq时,四个出口队列的权重分别如下:
???
???2.设置802.1p用户优先级到队列优先级映射
???setqospriority-mapuser-priority[0-7]traffic-class[0-3]
???默认情况下,802.1p用户优先级到队列优先级对应关系为:
???(0,3)→1;(1,2)→0;(4,5)→2;(6,7)→3
???此对应关系在端口使用802.1p用户优先级或默认优先级决定数据包优先级时来决定数据包所上的队列。
???3.设置ipdscp优先级到队列优先级映射
???setqospriority-mapip-priority[0-63]traffic-class[0-3]
???默认情况下,802.1p用户优先级到队列优先级对应关系为:
???(0~15)→0;(16~31)→1;(32~47)→2;(48~63)→3
???此对应表在端口有三层dscp优先级决定数据包优先级时来决定数据包所上的队列。
???4.设置报文的最大长度
???setqosmax-frame-size[1522/1632]
???设置报文的最大长度为1522bytes或者1632bytes,缺省值为1632bytes。
???5.显示队列调度配置
???showqosqueue-schedule
???6.显示qos的802.1p用户优先级到队列优先级映射/三层dscp优先级到队列优先级映射
???showqospriority-map{user-priority|ip-priority}
3、配置实例
配置qos模式为sp,具体配置如下:
???
???配置交换机802.1p用户优先级到队列优先级映射为(0~6)→0,7→2。此时如果端口上userpriority时enable的,并且端口上接收的数据包是tag的数据包,tag中的优先级为0~6时,数据包在出口时上队列0;tag中的优先级为7时,数据包在出口时上队列2。具体配置如下:
???
???配置交换机ipdscp优先级到队列优先级映射为(0~31)→1,(32,33)→3,其它的使用默认值。此时如果端口上ippriority时enable的,并且端口上接收的数据包是ip,dscp优先级为0~31时,数据包在出口时上队列1;tdscp优先级为32或33时,数据包在出口时上队列3。具体配置如下:
???
(十)PVLan配置
1、概述
pvlan(privatevlan)是一个基于端口的vlan。pvlan是由若干个共享端口和若干个隔离端口组成,隔离端口之间不能相互访问,但隔离端口和共享端口之间可以互相访问。目前一个交换机设备中之支持一个pvlan。
???pvlan的具体应用如只允许用户访问服务器,不允许用户之间的直接互访。因此pvlan的设置只会在一个完整的pvlan(既有共享端口又有隔离端口)中生效,如果只配置了共享端口,或者只配置了隔离端口,pvlan的设置将失效。
???在zxr102609/2818s/2826s/2852s上,共享端口的设置是有约束的。所有共享端口必须在同一个组内。
???1.2609只存在一个组,即所有端口在一组之内。
???2.2818s分为两组:1~8和18为第一组,9~16和17为第二组。
???3.2826s分为三组:1~8为第一组,9~16和25为第二组,17~24和26为第三组。
???4.2852s分为七组:1~8为第一组,9~16为第二组,17~24为第三组,25~32为第四组,33~40为第五组,41~48为第六组,49~52为第七组。
2、基本配置
交换机上pvlan的配置包括以下内容。
???1.在pvlan中增加/删除隔离端口/共享端口
???setpvlansession[id]{add|delete}{isolated-port[portlist]|promiscuous{port[portname]|trunk[trunkid]}}
???2.显示pvlan配置
???showpvlan
3、配置实例
如图7.10-1所示,配置pvlan加入共享端口16,加入隔离端口1、2、3。
???
???具体配置如下。
???
(十一)802.1透传配置
ieee802.1x是基于端口的访问控制协议(port-basednetworkaccesscontrol)。基于端口的访问控制是对连接到局域网(lan)设备的用户进行认证和授权的一种手段。这种认证在局域网环境中提供了一种点对点的识别用户的方式。
???zxr102609/2818s/2826s/2852s提供802.1x透传功能,它能将客户端的802.1x协议包透传到认证服务器进行认证。
???802.1x透传的配置主要包括以下内容。
???1.开启/关闭802.1x透传功能
???setdot1x-relay{enable|disable}
???2.显示802.1x透传配置
???showdot1x-relay
(十二)三层配置
1、概述
zxr102609/2818s/2826s/2852s提供少量的三层功能,主要供用户远程配置和管理使用。为了实现用户的远程登录,需要在交换机上配置ip端口,当远程配置主机与交换机上的ip端口不在同一个网段时,还需要进行静态路由的配置。
???静态路由是一种简单的单播路由协议,由用户指定到达某一目的网段的“下一跳”地址,其中“下一跳”也称为网关。静态路由的内容主要包括目的地址、目的地址掩码、下一跳地址、出接口。目的地址和目的地址掩码描述目的网络信息,下一跳地址和出接口描述本交换机转发此目的报文的方法。
???zxr102609/2818s/2826s/2852s允许增加和删除静态arp表项。arp表主要记录同一网络中各节点ip地址和mac地址的对应关系。发送ip包时,交换机会先查看目的ip地址是否属于同一网段,如果是,则检查arp表中有没有对方ip地址和mac地址对应关系的条目:
???1.如果有就直接将ip包发送到该mac地址;
???2.如果arp表中找不到对方ip地址对应的mac地址,则会向网络发出一个arprequest广播包,查询对方的mac地址。
???一般情况下交换机上的arp表项都是动态的,只有在连接的主机不能响应arprequest的情况下,需要在交换机上设置静态的arp表项。
???配置三层功能首先必须使用configrouter命令进入三层配置模式。
2、IP端口配置
在交换机上配置ip端口包括以下内容。
???1.设置三层端口的ip地址和掩码
???setipport[0-63]ipaddress{[a.b.c.d/m]|[a.b.c.d][a.b.c.d]}
???2.为三层端口绑定vlan
???setipport[0-63]vlan[vlanname]
???3.设置三层端口mac地址
???setipport[0-63]mac[xx.xx.xx.xx.xx.xx]
???如果不设置,则使用交换机的mac地址。
???4.使能/关闭三层端口
???setipport[0-63]{enable|disable}
???在更改一个ip端口的设置时,先要将端口设置为disable状态,然后设置需要修改的项,新的设置将覆盖原来的设置。
???可以用以下命令清除端口的某个参数或全部参数,在清除之前同样要将端口设置为disable状态。
???clearipport[0-63][mac|ipaddress{[a.b.c.d/m]|[a.b.c.d][a.b.c.d]}|vlan[vlanname]]
???例如:要在交换机上配置一个ip地址192.1.1.1,掩码为24位,将端口绑定在vlan100上,端口使用交换机的默认地址,具体配置如下。
???
???配置完成后,可以使用showipport[[0-63]]命令对ip端口的配置进行查看。
3、静态路由配置
在配置好一个ip端口后,如果要接入的远端用户不在接口的网段中,需要使用以下命令设置一条到远端网络的静态路由。
???iproute{[a.b.c.d/m]|[a.b.c.d][a.b.c.d]}[a.b.c.d][[1-15]]
???
???如图7.12-1所示,远程主机所在的网段是192.1.2.0/24,与交换机不在同一网段。
???要使交换机可以和192.1.2.0/24上的主机通信,需要配置如下静态路由:
???
???用户可以通过showiproute命令对交换机上的直连路由和静态路由进行查看。
???命令中显示静态路由的目的网段、下一跳地址、路由的metric值和出接口。显示结果如下所示。
???
???使用cleariproute命令可以用来删除一条或多条静态路由。
4、ARP表项配置
交换机上对arp表项的操作包括以下内容。
???1.增加静态arp表项
???arpadd[a.b.c.d][xx.xx.xx.xx.xx.xx][0-63][vlanname]
???2.删除静态arp表项
???arpdelete[a.b.c.d]
???3.删除所有的arp表项
???cleararp
???4.设置ip端口arp表项的老化时间
???arpipport[0-63]timeout[1-1000]
???当arp表项在交换机上存在的时间(此间没有接收到此ip地址的报文)
???大于ip端口上的老化时间时,交换机将删除此arp表项。
???5.查看arp表中的表项
???showarp[static|dynamic|invalid|ipport[0-63]{static|dynamic|invalid}|ipaddress[a.b.c.d]]
(十二)接入服务配置
1、概述
随着宽带以太网建设规模的迅速扩大,为了满足接入用户数量急剧增加和宽带业务多样性的要求,在交换机上嵌入了接入服务(nas),以完备接入用户的认证和管理功能,更好地支持宽带网络的计费、安全、运营和管理。
???接入服务在运用802.1x协议和radius协议的基础上,实现对用户接入的认证和管理功能,具有高效、安全、易于运营等优点。
???ieee802.1x称为基于端口的访问控制协议(port-basednetworkaccesscontrol)。
???它的协议体系结构包括三个重要部分:客户端系统、认证系统和认证服务器。
???1.客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起ieee802.1x协议的认证过程。
???为支持基于端口的接入控制,客户端系统需支持扩展认证协议(eapol:
???extensibleauthenticationprotocoloverlan)。
???2.认证系统通常为支持ieee802.1x协议的网络设备,如交换机。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的mac地址、vlan、ip等)有两个逻辑端口:受控(controlledport)端口和不受控端口(uncontrolledport)。
???不受控端口始终处于双向连通状态,主要用来传递eapol协议帧,可保证客户端始终可以发出或接受认证。
???受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
???如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
???ieee802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,ieee802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。
???3.认证服务器通常为radius服务器,该服务器可以存储有关用户的信息,比如用户所属的vlan、car参数、优先级、用户的访问控制列表等等。
???当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证系统和radius服务器之间通过radius协议进行通信。
???radius(远程用户拨号认证系统)是一个在radiusserver和radiusclient之间进行认证、授权、配置数据信息交互的协议标准。
???radius采用client/server模型。在nas上运行的是client端,负责传送用户信息到指定的radius服务器,并根据服务器返回的结果进行相应的操作。
???授权认证服务器(radiusauthenticationserver)负责接受用户的连接请求,验证用户身份,并返回给客户需要的相关配置信息。一个授权认证服务器可以作为一个radius客户代理连接另一个授权认证服务器。
???计费服务器(radiusaccountingserver)负责接受用户计费开始请求和计费结束请求,实现计费功能。
???接入服务通过radius报文同radiusserver通信,radius报文中的属性用来传递认证、授权和计费的详细信息。本交换机中使用的属性主要是rfc2865,rfc2866,rfc2869中规定的标准属性。
???交换机与用户之间使用eap协议。交换机与radius服务器之间提供三种身份验证方式:pap,chap和eap-md5。根据业务运营的不同需求,可以使用其中任何一种身份验证方式。
???pap(passwordauthenticationprotocol)
???pap是一种简单的明文验证方式。nas要求用户提供用户名和密码,用户以明文方式返回用户信息。服务器端根据用户配置查看是否有此用户以及密码是否正确,然后返回不同的响应。这种验证方式的安全性较差,传送的用户名和密码容易被窃取。
???使用pap方式进行身份验证的过程如图7.13-1所示。
???
???chap(challengehandshakeauthenticationprotocol)
???chap是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。nas向用户发送一个随机产生的挑战口令,用户用自己的密码和md5算法对挑战口令进行加密,并返回用户名和加密的挑战口令(加密口令)。
???服务器端用自己保存的用户密码和md5算法对挑战口令进行加密。比较用户和服务器端的加密口令,根据比较结果返回不同的响应。
???使用chap方式进行身份验证的过程如图7.13-2所示。
???
???eap-md5(extensibleauthenticationprotocol-messagedigest5)
???eap-md5是eap框架结构中使用的chap身份验证机制。使用eap-md5方式进行身份验证的过程如图7.13-3所示。
???
2、基本配置
在交换机上配置802.1x包括以下内容。
???先进入nas管理模式:confignas
???1.开启/关闭端口的802.1x功能
???aaa-controlport[portlist]dot1x{enable|disable}
???2.配置端口的认证控制模式
???aaa-controlport[portlist]port-mode{auto|force-unauthorized|force-authorized}
???可以配置的模式如下:
???auto:从配置成auto的端口接入的用户必须通过认证,认证成功与否决定了用户能否接入成功。
???force-authorized:强制认证通过,用户不需要认证便可以通过该端口接入。
???force-unauthorized:强制认证不通过,用户不能通过该端口接入。
???默认的认证控制模式为auto。
???3.允许/禁止端口多用户接入
???aaa-controlport[portlist]multiple-hosts{enable|disable}
???4.配置端口的最大用户接入数目
???aaa-controlport[portlist]max-hosts[0-64]
???一个端口可以接入多个用户,每个用户有自己独立的认证和计费过程。一个端口允许有多个用户接入时,aaa-controlportmax-hosts命令才有意义。
???5.打开/关闭配置重认证机制
???dot1xre-authenticate{enable|disable}
???6.配置重认证的时间间隔
???dot1xre-authenticateperiod[1-4294967295]
???为了判断接入的用户是否一直保持连接,nas可以定时要求接入的用户进行重认证。重认证需要为每个在线用户启动一次完整的认证过程,如果用户量较大,认证报文将非常频繁,会对交换机造成一定的负担。
???7.打开/关闭端口的异常下线检测机制
???aaa-controlport[portlist]keepalive{enable|disable}
???8.设置端口的异常下线检测周期
???aaa-controlport[portlist]keepaliveperiod[1-3600]
???除了重认证机制,为判断接入用户是否保持连接,nas模块还提供了异常下线检测机制。异常下线检测只需要少量的报文交互便可以确定用户是否在线。
???异常下线检测机制是通过设备主动向客户端定期发送检测请求来实现的。
???请求报文利用了802.1x协议定义的eapol/eaprepid报文,如果收到客户端的eapol/eaprespid响应说明该用户在线;如果未收到响应则说明用户已经下线。
???9.配置端口的认证方式
???aaa-controlport[portlist]protocol{pap|chap|eap}
???用户接入认证时,在认证服务器与认证系统之间有三种用户身份识别方式,包含pap,chap和eap-md5方式。系统默认为eap-md5。
???10.配置协议参数
???设置认证系统一次认证失败后到接受下一次认证请求的间隔
???dot1xquiet-period[0-65535]
???设置认证系统接收不到客户端回复而重发eapol数据包的等待时间
???dot1xtx-period[1-65535]
???设置认证系统接收来自认证客户端系统的数据包的超时时间
???dot1xsupplicant-timeout[1-65535]
???设置认证系统接收来自认证服务器的数据包的超时时间
???dot1xserver-timeout[1-65535]
???设置认证系统接收来自客户端的challenge响应的超时重传次数
???dot1xmax-request[1-10]
???802.1x通过在客户端系统和认证系统之间传递eapol数据包,在认证系统和认证服务器之间传递radius数据包实现访问控制。在传递数据包的过程中有如下的参数控制:
???quietperiod是指在一次认证失败后多长时间内认证系统不接收来自客户端系统的认证请求,这项功能可以防止用户试图不停的进行认证。
???txperiod是指认证系统在多长时间内没有收到客户端系统的回复,将会重发eapol数据包到客户端系统。
???supplicanttimeout和servertimeout是用来表示在认证过程中认证系统接收来自客户端系统和认证服务器的数据包的超时时间。
???max-request是指在认证过程中,认证系统接收来自客户端系统的challenge响应的超时重传次数。
???11.查看端口的802.1x配置
???showaaa-controlport[[portlist]]
???12.查看802.1x协议参数
???showdot1x
???在交换机上配置radius包括以下内容。
???1.添加/删除一个isp域
???radiusisp[ispname]{enable|disable}
???在radius配置中,我们引入了域(isp-domain)的概念。不同的域可能由不同的isp经营,接入设备根据用户输入的用户名中的域名部分(用户名@域名)来区分用户所属的域,并将其认证和计费请求发送到相应域的认证和计费服务器。每个域都有自己的radius服务器。
???删除某个域后时,同该域相关的所有配置都被删除。
???2.在域中添加认证服务器
???radiusisp[ispname]addauthentication[a.b.c.d][[0-65535]]
???3.在域中删除认证服务器
???radiusisp[ispname]deleteauthentication[a.b.c.d]
???每个域最多可配置3个认证服务器。服务器的优先级同配置顺序相关,最先配置的服务器的优先级最高,最后配置的服务器优先级最低。当删除一个服务器时,后面的服务器的优先级依次递增。
???4.在域中添加记帐服务器
???radiusisp[ispname]addaccounting[a.b.c.d][[0-65535]]
???5.在域中删除记帐服务器
???radiusisp[ispname]deleteaccounting[a.b.c.d]
???每个域最多可配置3个记帐服务器。服务器的优先级同配置顺序相关,最先配置的服务器的优先级最高,最后配置的服务器优先级最低。当删除一个服务器时,后面的服务器的优先级依次递增。
???6.配置域的客户端ip地址
???radiusisp[ispname]client[a.b.c.d]
???域的客户端的ip地址必须是交换机上一个接口的ip地址。
???7.配置域的共享密码
???radiusisp[ispname]sharedsecret[string]
???共享密码用于radius客户端与radius服务器进行数据加密,客户端与服务器的配置必须一致。
???8.指定默认域
???radiusisp[ispname]defaultisp{enable|disable}
???系统中只能将一个域指定为默认域,系统将所有的没有指定域名的用户认证请求都发送到默认域中的radius认证服务器。
???9.配置域全帐号
???radiusisp[ispname]fullaccount{enable|disable}
???当指定使用全帐号时,radius客户端使用“用户名@域名”做为用户名请求radius服务器认证;如果没有指定使用全帐号,用户名中不包含域名。
???10.配置域描述符
???radiusisp[ispname]description[string]
???11.配置radius参数
???配置服务器响应超时时间
???radiustimeout[1-255]
???配置服务器响应超时重传次数
???radiusretransmit[1-255]
???配置接入服务器名称
???radiusnasname[nasname]
???12.打开/关闭端口的计费功能
???aaa-controlport[portlist]accounting{enable|disable}
???13.删除发送失败的radius记帐中止包
???clearaccounting-stop{session-id[session-id]|user-name[user-name]|isp-name[isp-name]|server-ip[a.b.c.d]}
???14.查看radius配置
???showradius[{ispname[[ispname]]}|{accounting-stop[session-id[session-id]][user-name[user-name]][isp-name[isp-name]][server-ip[a.b.c.d]]}]
???15.设置dot1x协议可使用的私有mac地址
???dot1xaddfid[1-256][mac[hh.hh.hh.hh.hh.hh]]
???一般的802.1x包的目的mac地址为0180c2000003,在有些交换机上这个目的mac地址包不能透传到认证交换机,为了能透传,客户端发出的包就不能用这个目的mac地址,而使用一个约定的mac地址,在认证交换机上必须配置这个mac地址已识别802.1x包。
???如果增加mac地址时不输入mac地址,则为缺省值01d0d0ffffff。
???16.删除dot1x协议可使用的私有mac地址
???dot1xdeletefid[1-256]
3、配置实例
1.打开端口1的802.1x功能,将quient-period配置为60秒,tx-period配置为30秒,supp-timeout配置为30秒,server-timeout配置为30秒;打开keepalive功能,并将keepalive时间间隔配置为10秒。
???
???
???2.打开重认证功能,并将重认证时间间隔设为3600秒。
???
???3.配置端口1的认证控制状态为auto,认证方式为chap,允许多用户接入,接入的最大用户数为5。
???
???4.按以下要求配置radius域188:
???认证与记帐服务器地址:10.40.92.212和10.40.92.215
???共享密码:123456
???客户端ip:10.40.92.100,且为默认域
???
???(十三)Qinq配置
1、概述
qinq是对基于ieee802.1q封装的隧道协议的形象称呼,又称vlan堆叠。qinq技术是在原有vlan标签(内层标签)之外再增加一个vlan标签(外层标签),外层标签可以将内层标签屏蔽起来。
???qinq不需要协议的支持,通过它可以实现简单的l2vpn(二层虚拟专用网),特别适合以三层交换机为骨干的小型局域网。
???qinq技术的典型组网如图7.14-1所示,连接用户网络的端口称为customer端口,连接服务提供商网络的端口称为uplink端口,服务提供商网络边缘接入设备称为pe(provideredge)。
???
???用户网络一般通过trunkvlan方式接入pe,服务提供商网络内部的uplink端口通过trunkvlan方式对称连接。
???1.当报文从用户网络1到达交换机a的customer端口时,由于基于portbasevlan的customer端口接受数据时不认tag,不论该数据包里是否打了vlantag,都把该数据报当作untag包处理,在其pvid决定的vlan即vlan10内转发。
???2.交换机a的uplink端口在转发从customer端口收来的数据包时强行插入外层标签(vlanid为10),该tag的tpid可在交换机上进行设置。在服务提供商网络内部,报文沿着vlan10的端口传播,直至到达交换机b。
???3.交换机b发现与用户网络2相连的端口为customer端口,于是按照传统的802.1q协议剥离外层标签,恢复成用户的原始报文,发送到用户网络2。
???4.这样,用户网络1和2之间的数据可以通过服务提供商网络进行透明传输,用户网络可以自由规划自己的私网vlanid,而不会导致和服务提供商网络中的vlanid冲突。
???zxr102609/2818sle/2826sle/2852sle交换机中不提供此功能。
2、基本配置
交换机上pvlan的配置包括以下内容。
???1.添加/删除customer端口
???setqinqcustomerport[portlist]{enable|disable}
???2.添加/删除uplink端口
???setqinquplinkport[portlist]{enable|disable}
???3.设置外层标签的tpid
???setqinqtpid[tpid]
???4.显示qinq配置
???showqinq
???配置qinq时,spvlan的customer端口既可以设置为untagged端口,也可以设置为tagged端口。uplink端口也是如此。
3、配置实例
如图7.14-1所示,假设交换机a的customer端口为port1,uplink端口为port24;交换机b的customer端口为port1,uplink端口为port24。
???交换机a的配置:
???
???交换机b的配置与交换机a配置相同。
(十三)SysLog配置
1、概述
syslog日志系统是以太网交换机中不可或缺的一部分,它是系统软件模块的信息枢纽。日志系统管理大多数的重要信息输出,并且能够进行细致的分类,从而能够有效地进行信息筛选,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
???syslog日志系统按照信息来源进行划分,依功能模块进行信息过滤,满足用户的定制要求。
???syslog日志系统可将日志信息按重要性划分为如表7.15-1所示的八种等级,按等级进行信息过滤。
???
2、基本配置
交换机上syslog的配置包括以下内容:
???1.开启/关闭syslog功能
???setsyslog
???syslog功能缺省是关闭的。开启syslog,当信息量较多时影响交换机的系统性能。
???2.定义syslog信息的等级
???setsysloglevel
???syslog信息的等级如概述中所述,缺省设置为informational。
???配置syslog信息的等级为emergencies时,信息将优先发送。
???3.设置syslog信息接收服务器
???setsyslogadd|deleteserver
???本交换机最多可配置5个syslogserver地址。
???4.开启/关闭发送syslog的模块
???setsyslogmodule
???开启/关闭发送syslog的功能模块。
???5.显示syslog配置
???showsyslogstatus
3、配置实例
假设开启交换机的syslog功能,信息等级为informational,开启所有功能模块,服务器ip地址为192.168.1.1,名称为srv1。
???交换机的配置:
???
(十四)NTP配置
概述
ntp(网络时间协议)是以太网交换机用来实现网络设备之间时间同步功能的模块,zxr102609/2818s/2826s/2852s提供ntp客户端的功能,可以与网络上的其他ntp服务器之间进行时间同步。
2、基本配置
交换机上ntp的配置包括以下内容:
???1.开启/关闭ntp功能
???setntp
???本命令相当于ntp功能的总开关,配置后其余的ntp命令才能生效。ntp功能打开后,必须在配置了ntp服务器ip地址之后才会真正进行时间同步动作,即要ntp协议生效的必要条件是:设置了ntp服务器ip地址和ntp协议功能使能。
???2.设置ntp服务器的ip地址
???setntpserver
???目前只允许配置从一个时间服务器同步时间。若配置多条命令,则后面的配置将覆盖前面的。
???3.设置ntp协议发送同步时间请求时使用的源地址
???setntpsource
???默认情况下,交换机没有配置源地址,ntp发送同步时间请求时,由ip层决定报文所使用的ip地址。
???4.显示ntp状态
???showntp
3、配置实例
假设交换机与ntp服务器(ip地址是202.10.10.10)进行时间同步。首先需要保证交换机可以与ntp服务器所在的网段可以互通。ntp模块的配置如下:
???
???在显示的信息中ntpis_synchronized表示当前交换机是否与服务器的时间同步。
(十五)GARP/GVRP配置
1、概述、
garp(genericattributeregistrationprotocol)是一种通用的属性attribute注册协议,通过不同的应用协议,为相同交换网内成员之间动态分发vlan、组播mac地址等属性信息。
???gvrp(garpvlanregistrationprotocol)garpvlan注册协议是garp所定义的一种应用协议,它基于garp的协议机制动态维护交换机中的vlan信息。所有支持gvrp特性的交换机能够接收来自其他交换机的vlan注册信息,并动态更新本地的vlan注册信息,其中包括交换机上当前的vlan,以及这些vlan包含了哪些端口等,而且所有支持gvrp特性的交换机能够将本地的vlan注册信息向其他交换机传播,以便根据需要使同一交换网内所有支持gvrp特性的设备的vlan配置在互通性上达成一致。
2、GARP配置
交换机中设置garp主要包括以下内容:
???1.使能/关闭系统garp功能
???setgarp
???系统garp功能缺省处于关闭状态,该命令用于全局开启/关闭garp。
???2.设置garp定时器
???setgarptimer{hold|join|leave|leaveall}[timer_value]
???共有四种定时器:hold定时器,join加入定时器,leave离开定时器,leaveall离开所有定时器。
???3.显示garp信息及定时器设置情况
???showgarp
???配置garp定时器时,要保证在同一交换网络中所有启用该协议的定时器完全相同,否则应用协议不能正常工作。
3、GVRP配置
交换机中gvrp设置主要包括以下内容:
???1.使能/关闭系统gvrp功能
???setgvrp
???系统gvrp功能缺省处于关闭状态,该命令用于全局开启/关闭gvrp。
???gvrp使能要在garp使能的情况下才能进行。
???2.端口使能/关闭gvrp功能
???setgvrpport[portlist]{enable|disable}
???系统端口gvrp功能缺省处于关闭状态,该命令用于开启/关闭端口gvrp功能,端口gvrp功能开启后可以接受gvrp协议报文。
???3.配置端口的gvrp注册类型功能
???setgvrpport[portlist]registration{normal|fixed|forbidden}
???系统端口的gvrp注册类型缺省处于normal状态,该命令用于设置端口gvrp注册类型,端口注册类型有三种:
???normal:实体对接收到的garp消息正常处理,可动态创建、注册和注销vlan。
???fixed:忽略所有的garp消息,但仍然在注册状态,允许手工创建和注册vlan,防止vlan的注销和其他接口注册此接口所知vlan。
???forbidden:忽略所有的garp消息,注销除了vlan1以外的所有vlan,禁止在接口上创建和注册其他vlan。
???4.trunk端口使能/关闭gvrp功能
???setgvrptrunk[trunklist]{enable|disable}
???5.系统trunk端口gvrp功能缺省处于关闭状态,该命令用于开启/关闭trunk端口gvrp功能,trunk端口gvrp功能开启后可以接受gvrp协议报文。
???6.配置trunk端口的gvrp注册类型功能
???setgvrptrunk[trunklist]registration{normal|fixed|forbidden}
???系统trunk端口的gvrp注册类型缺省处于normal状态,该命令用于设置trunk端口gvrp注册类型,trunk端口注册类型有三种,每种注册类型的功能和端口的功能相同。
???7.显示gvrp配置信息
???showgvrp
???该命令用于显示gvrp配置信息,包括gvrp使能与否,各端口和trunk端口gvrp的配置情况。
4、配置实例
1.下面的实例中,分别对交换机上的garp使能与否,garp定时器进行了设置。
???
???2.下面的实例中,显示了garp的设置情况。
???
???3.下面的实例中,分别对交换机上的gvrp使能与否,gvrp端口使能与否,端口注册类型进行了设置。
???
???4.下面的实例中,对交换机上的gvrptrunk端口使能与否,trunk端口注册类型进行了设置。
???
???5.下面的实例中,显示了gvrp的设置情况。
???
六、网络管理
(一)Remote-Access
1、概述
remote-access是限制网管用户通过telnet登录的一种机制,即受限制登录,其目的是增强网管的安全性。
???开启受限制登录功能后,可以通过配置,指定网管用户只能从指定的ip地址登录交换机,从其他地址不能登录。取消受限制登录功能时,网管用户可以从任意的ip地址,通过telnet登录到交换机。
2、基本配置
交换机上remote-access的配置包括以下内容。
???1.取消/打开受限制登录
???setremote-access{any|specific}
???系统缺省情况下,受限制登录为取消状态。
???2.配置允许登录的ip地址
???setremote-accessipaddress[a.b.c.d][[a.b.c.d]]
???3.删除所有允许登录的ip地址
???clearremote-accessall
???4.删除某个允许登录的ip地址
???clearremote-accessipaddress[a.b.c.d][[a.b.c.d]]
???5.显示remote-access的配置信息
???showremote-access
3、配置实例
示例一:只允许网管从10.40.92.0/24网段,通过telnet登录到交换机。
???
???示例二:只允许网管从地址10.40.92.212,通过telnet登录到交换机。
???
???示例三:允许网管从任意ip地址,通过telnet登录到交换机。
???
(二)SSH
1、概述
ssh(secureshell)是ietf的networkworkinggroup所制定的一个协议,用于在非安全网络上提供安全的远程登录和其他安全网络服务。
???ssh协议的本意是要解决互联网络中远程登录的安全问题,为telnet、rlogin等提供一个更安全的替代手段(虽然目前ssh协议的发展已经远远超出了远程登录的功能范围),所以ssh连接协议必须要具备对交互会话的支持。
???使用ssh可以对传输的所有数据进行加密,即使有人截获这些数据也无法得到有用的信息。
???目前ssh协议有两个不兼容的版本:sshv1.x和sshv2.x。本交换机只支持sshv2.0,并采用密码认证的方式。ssh使用端口号为22。
2、基本配置
在交换机上配置ssh包括以下内容。
???1.使能或关闭ssh功能
???setssh{enable|disable}
???ssh功能的缺省状态是关闭的。ssh方式通常在远程登录交换机进行配置时使用,交换机上需要设置登录用户名和密码(或者设置远端的radius登录方式),并且本地主机能够ping通交换机上ip端口的地址。
???本交换机仅支持单用户的ssh登录方式,允许用户尝试登录3次,尝试3次后自动关闭与用户的连接。用户登录后,可以使用setsshdisable命令关闭与用户的连接,禁止用户使用ssh登录方式,但如果用户处于diffie-hellmankeyexchange状态,则禁止使用该命令。
???2.显示ssh的配置和用户的登录状态
???showssh
3、配置实例
如图8.2-1所示,一台主机要通过ssh登录到交换机。交换机上配置了一个三层端口,ip地址为192.1.1.1/24,主机的ip地址为192.1.1.100/24。
???
???交换机的具体配置如下:
???
???sshv2.0的客户端可以使用simontatham开发的免费软件putty。使用putty登录交换机时需进行如下设置。
???1.设置sshserver的ip地址和端口号,如图8.2-2所示。
???
???2.设置ssh的版本号,如图8.2-3所示。
???
???3.第一次登录时需要用户进行确认,如图8.2-4所示。
???
???4.ssh登录结果,如图8.2-5所示。
???
(三)SNMP
1、概述
snmp(简单网络管理协议)是目前最流行的一种网管协议,包括一系列协议组和规范:
???1mib:管理信息库
???2smi:管理信息的结构和标识
???3snmp:简单网络管理协议
???它们提供了一种从网络上的设备中收集网络管理信息的方法。snmp也为设备向网络管理工作站报告问题和错误提供了一种方法。任何一个网络管理者都可以利用snmp管理交换机。zxr102609/2818s/2826s/2852s系列交换机支持snmpv1、v2c和v3多个版本(v3在v1、v2c的基础上增强了snmp管理的安全性)。
???snmp采用“管理进程-代理进程”模型来监视和控制internet上各种可管理的网络设备。snmp网络管理必须具备三个要素:
???1.被管理设备,具备在internet上通信的能力,每个设备都含有一个代理;
???2.网络管理站(networkmanagementstation,nms),网络管理进程必须具备在internet上通信的能力;
???3.用于交换代理进程和nms之间的管理信息的协议,这个协议就是snmp。
???网络管理站通过轮询在被管理设备中的代理来收集数据。被管理设备中的代理可以在任何时候向网络管理站报告错误情况,而不需要等到管理站对它进行轮询。
???这些错误情况称为trap。当设备产生了一个trap时,可以使用网络管理站来查询该设备(假设它仍然是可到达的),以获得更多的信息。snmpv2c和v3还支持inform(一个需要得到响应的snmpv2trap)向nms通告异常事件,nms如果收到inform报文会给交换机发送一个收到确认报文,若交换机在一定的时间内收不到nms发来的收到确认报文,交换机将原inform报文重发两次。
???网络中的所有变量都存放在mib数据库中。snmp协议对网络设备状态的监视主要通过查询代理mib中相应对象的值来完成。zxr102609a/2618a/2626a/2826a实现了rfc1213,rfc1493,rfc2674,rfc2819规定的标准mib及私有mib。
2、基本配置
snmp的配置包括以下内容。
???先进入snmp管理模式:configsnmp
???1.创建团体名并设置访问权限
???createcommunity
???community字符串提供了远程网络管理员配置交换机的用户确认机制,pubilc表示允许对交换机进行只读访问,private表示对交换机有读/写操作的权限。
???交换机第一次启动时缺省配置了权限为public的名字为“public”的团体。
???如果用此命令创建的community字符串已经存在,则新创建的字符串将覆盖原来的。
???2.创建视图(view),并指定该view是否包含某mib子树
???createview
???view是mib的一个对象子集,参数[mib-oid]指定了mib子树。如果不指定exclude或include的mib子树,则缺省include1.3.6.1。
???交换机第一次启动时缺省配置了名字为“zteview”的视图,参数缺省。
???如果用此命令创建的view已经存在,则新创建的view将覆盖原来的。
???3.设置视图包含指定的团体名
???setcommunityview
???一个community只能对应一个view,一个view可以对应多个community。
???4.设置组名及其安全级别
???setgroup
???group的权限可以为不认证不加密、认证不加密和认证且加密三种级别。
???可以为group配置读、写和通知视图。如果不指定视图,则会将读、写和通知视图都配置为缺省视图“zteview”。可以在交换机上配置名字相同但安全等级不同的group。
???5.设置用户名及其所属组和安全属性
???setuser
???user的安全属性包括认证和加密的密码,认证和加密所采用的算法(md5\sha\des),并且user和group的安全级别应一致。
???6.设置引擎标识
???setengineid
???engineid唯一地标识一个snmp实体,故修改后,原engineid下的配置将不再起作用。
???7.设置trap或inform主机的ip地址、团体名和版本
???sethost
???host主机是trap或inform发送的目的主机ip地址,同时可以指明trap或inform的版本和community或user。
???8.使能/关闭snmp的trap
???settrap
???使能状态下,当发生上述5中情况时会发送trap到管理台。其中冷启动和热启动trap要等系统启动完成以后才会向管理台发送,一般会有几分钟的时延。
???9.删除团体名
???clearcommunity
???10.删除视图名
???clearview
???11.删除组名
???cleargroup
???12.删除用户名
???clearsuer
???13.删除trap或inform主机
???clearhost
???14.显示snmp信息
???showsnmp
3、配置实例
1.snmpv1、snmpv2c基本配置
???假设网管服务器地址为10.40.92.105,交换机上有一个ip地址为10.40.92.200的三层端口,要通过网管服务器管理交换机。
???创建一个名为zte的具有读写权限的团体和一个名为vvv视图,关联团体zte和视图vvv指定接收trap的主机地址为10.40.92.105,commnity为zte。
???
???2.snmpv3基本配置
???假设网管服务器地址为10.40.92.77,交换机上有一个ip地址为10.40.92.11的三层端口,使用用户安全模式(usersecuritymodel,usm)通过网管服务器管理交换机。
???创建一个名为zteuser的用户,配置其所属组名字ztegroup,此组的安全级别为priv(即认证且加密),其读、写和通知视图均为缺省。指定接收trap或inform的主机地址为10.40.92.77,user为zteuser。
???
(四)RMON
1、概述
rmon(remotemonitoring)即远程监视,它定义了标准网络监视功能以及在管理控制台和远程监视器之间的通信接口。rmon提供了一个有效而且高效的方法,它可以在降低其它代理和管理站负载的情况下监视子网的行为。
???rmon的规范主要是rmon管理信息库的定义。zxr102609/2818s/2826s/2852s
???实现了rmonmib中的4个组,分别是:
???1历史(history):记录从统计组可得到的信息的周期性统计样本;
???2统计(statistics):维护代理监视的每一个子网的基本使用和错误统计;
???3事件(event):一个关于由rmon代理产生的所有事件的表;
???4告警(alarm):允许管理控制台人员为rmon代理记录的任何计数或整数设置采样间隔和告警阈值。
???这些组均用于存储由监视器收集到的数据及由此衍生出的数据和统计。其中alarm组需要event组的实现。这些数据可以用mib浏览器来获取。
???rmon的控制信息的配置可以通过mib浏览器进行,也可以通过超级终端或远程telnet的命令行进行配置。rmon的采样信息和统计数据需要通过mib浏览器获取。
2、基本配置
下面介绍通过超级终端或远程telnet方式配置rmon控制信息的方法。
???1.开启/关闭rmon功能
???setrmon{enable|disable}
???缺省情况下rmon功能是关闭的。在rmon功能使能的情况下才能进行history组中etherhistorytable和statistics组中etherstatstable信息的采样。在采样过程中关闭rmon功能将停止数据采样。
???2.创建或配置history组的实例
???sethistory[1-65535]{datasource[portname]|bucketrequested[1-65535]|owner[string]|interval[1-3600]|status{valid|undercreation|createrequest|invalid}}
???history组的命令行配置是对history组中historycontroltable的历史组控制信息进行配置,主要包括:
???数据源(historycontroldatasource):是rfc1213interface组中的ifindexoid号,比如端口16的oid号是1.3.6.1.2.1.2.2.1.1.16,命令行配置时直接输入端口号16即可。
???采样桶个数(historycontrolbucketsrequested),缺省为50
???实例拥有者(historycontrolowner)
???采样间隔时间(historycontrolinterval),缺省为1800秒
???实例状态(historycontrolstatus):实例状态共有四种:valid,undercreation,createrequest,invalid。当实例状态被置为invalid时,该实例会被删除。必须指定数据源才能够将实例状态置为valid。
???3.创建或配置statistics组的实例
???setstatistics[1-65535]{datasource[portname]|owner[string]|status{valid|undercreation|createrequest|invalid}}
???statistics组的命令行配置是对statistics组中etherstatstable的统计组信息进行配置,主要包括:
???数据源(etherstatsdatasource):与history组相同,数据源在命令行配置时直接输入端口号即可。
???实例拥有者(etherstatsowner)
???实例状态(etherstatsstatus):实例状态共有四种:valid,undercreation,createrequest,invalid。当实例状态被置为invalid时,该实例会被删除。必须指定数据源才能够将实例状态置为valid。
???4.创建或配置event组的实例
???setevent[1-65535]{description[string]|type{none|log|snmptrap|logandtrap}|owner[string]|community[string]|status{valid|undercreation|createrequest|invalid}}
???event组的命令行配置是对event组中eventtable的事件组信息进行配置,主要包括:
???事件描述(eventdescription)
???事件类型(eventtype):事件类型有四种情况:none(1),log(2),snmp-trap(3),log-and-trap(4)。选log时,在logtable中为每一事件建立一个日志实例;选snmp-trap时,对于每个事件,监视器发送一个snmp陷阱(trap)到一个或多个管理站;选log-and-trap时,既记录日志又发送trap。
???实例拥有者(eventowner)
???事件团体串(eventcommunity)
???实例状态(eventstatus):实例状态共有四种:valid,undercreation,createrequest,invalid。当实例状态被置为invalid时,该event实例会被删除。
???5.创建或配置alarm组的实例
???setalarm[1-65535]{interval[1-65535]|variable[mib-oid]|sampletype{absolute|delta}|startup{rising|falling|both}|threshold[1-65535]eventindex[1-65535]{rising|falling}|owner[string]|status{valid|undercreation|createrequest|invalid}}
???alarm组的命令行配置是对alarm组中alarmtable的告警组信息进行配置,主要包括:
???告警间隔时间(alarminterval)
???告警变量(alarmvariable):告警变量是指本地mib中要被采样的特定变量的对象标识符,如采样etherhistorybroadcastpkts历史广播包个数,则变量值应该为1.3.6.1.2.1.16.2.2.1.7.x.x,其中x.x表示某历史组实例的第几个采样桶。
???告警采样类型(alarmsampletype):告警采样类型选absolute表示绝对值,delta表示相对值。
???告警启动类型(alarmstartupalarm):告警启动类型有以下三种:risingalarm(1),fallingalarm(2),risingorfallingalarm(3),分别表示在该实例有效后,采样值上升超过阈值、采样值下降低于阈值或者两种情况同时发生时开始第一次采样。
???上升阈值(alarmrisingthreshold)
???下降阈值(alarmfallingthreshold)
???上升触发事件的索引值(alarmrisingeventindex)
???下降触发事件的索引值(alarmfallingeventindex)
???实例拥有者(alarmowner)
???实例状态(alarmstatus):实例状态共有四种:valid,undercreation,createrequest,invalid。当实例状态被置为invalid时,该alarm实例会被删除。
???必须等待告警变量指定的被采样对象能够采样到数据时才能配置告警变量。告警变量配置成功才能将实例状态置为valid。
???6.查看rmon的状态和配置信息
???显示rmon的状态
???showrmon
???显示history组的配置信息
???showhistory
???显示statistic组的配置信息
???showstatistic
???显示event组的配置信息
???showevent
???显示alarm组的配置信息
???showalarm
3、配置实例
下面的实例中,分别对事件组2、历史组2、告警组2、统计组1进行设置。
???
???查看事件组2的配置信息:
???
???查看历史组2的配置信息:
???
???查看告警组2的配置信息:
???
???查看统计组1的配置信息:
???
???进行上述配置后,当端口16第1个bucket的etherhistorypkts包个数在上升时超过8或下降时低于15时,都会触发索引为2的事件。索引为2的事件会发一个trap给管理站,同时创建一个log实例记录日志,该日志可以在event组的logtable中查看到。
(五)集群管理
1、概述
集群是在某特定的广播域内,由一组交换机组成的一个集合。这组交换机构成一个统一的管理域,对外提供一个公网ip地址和一个管理接口,并提供了对集群中每个成员的管理和访问能力。
???配置公网ip地址的管理交换机称为命令交换机,其它被管理的交换机称为成员交换机。一般情况下成员交换机不配置公网ip地址,它利用命令交换机的类dhcp功能来分配一个私有地址,命令交换机和成员交换机共同组成集群(私网)。
???建议在命令交换机上完成公网和私网之间广播域的隔离,屏蔽对私有地址的直接访问,由命令交换机对外提供一个管理维护通道,对集群进行集中、统一的管理。一个集群所处的广播域一般由四种角色的交换机组成:命令交换机、成员交换机、候选交换机、独立交换机。
???一个集群中有且仅有一台命令交换机,命令交换机可以自动收集设备拓扑,并建立集群。集群建立后,命令交换机提供了一个对集群的管理通道,对成员交换机进行管理。成员交换机在加入集群之前为候选交换机,不支持集群管理的交换机称为独立交换机。
???集群管理的组网如图8.5-1所示。
???
???集群中四种角色的交换机的切换规则如图8.5-2所示。
???
???配置集群管理功能首先必须使用configgroup命令进入集群管理配置模式。
2、ZDP配置
zdp(discoveryprotocol)是用来发现直接邻居节点相关信息的协议,包括邻接设备的id、设备类型、版本、端口等信息,支持邻居设备信息表的刷新与老化。
???在交换机上配置zdp包括以下内容。
???1.使能/关闭系统zdp功能
???setzdp{enable|disable}
???系统zdp功能缺省处于使能状态。当系统zdp功能关闭时,将清除交换机邻居设备信息表的内容,停止处理zdp报文。
???2.使能/关闭port的zdp功能
???setzdpport[portlist]{enable|disable}
???3.使能/关闭trunk的zdp功能
???setzdptrunk[trunklist]{enable|disable}
???所有端口/trunk的zdp功能缺省处于使能状态。当端口/trunk的zdp功能关闭时,将清除该端口/trunk邻居设备信息表的内容,并停止处理zdp报文。
???只有在端口/trunk的zdp功能和系统的zdp功能均使能的情况下,端口/trunk才能正常进行zdp信息的收集和发送。
???4.配置zdp信息的有效保留时间
???setzdpholdtime[10-255]
???zdp的holdtime设置值需要大于timer设置值,建议设置为timer的3倍。
???5.配置zdp报文发送时间间隔
???setzdptimer[5-255]
???6.显示zdp配置
???showzdp
???7.显示邻居设备信息表
???showzdpneighbour[detail]
3、ZTP配置
ztp(topologyprotocol)是用于收集网络拓扑信息的的协议,它利用zdp收集到的邻居设备信息表,在指定vlan的相关端口发送和转发ztp拓扑收集报文,收集一定范围网络(跳数)内的拓扑信息,建立拓扑信息表,用于了解网络拓扑状态和集群管理。
???在交换机上配置ztp包括以下内容。
???1.使能/关闭系统ztp功能
???setztp{enable|disable}
???系统ztp功能缺省处于使能状态。当系统ztp功能关闭时,将清除交换机拓扑信息表的内容,停止处理ztp报文。
???2.使能/关闭port的ztp功能
???setztpport[portlist]{enable|disable}
???3.使能/关闭trunk的ztp功能
???setztptrunk[trunklist]{enable|disable}
???所有端口/trunk的ztp功能缺省处于使能状态。当端口/trunk的ztp功能关闭时,将停止处理该端口/trunk的ztp报文。
???只有在端口/trunk的ztp功能和系统的ztp功能均使能的情况下,端口/trunk才能正常进行ztp报文的处理。
???4.配置ztp参数
???配置拓扑收集的指定vlan
???setztpvlan[1-4094]
???配置拓扑收集的范围(跳数)
???setztphop[1-128]
???配置定时拓扑收集时间间隔
???setztptimer[0-60]
???配置拓扑请求转发的跳延迟时间
???setztphopdelay[1-1000]
???配置拓扑请求转发的端口延迟时间
???setztpportdelay[1-100]
???拓扑收集的指定vlan缺省是vlan1,拓扑收集范围是4跳。定时拓扑收集的时间间隔缺省是0分钟,即不进行定时拓扑收集。
???当配置交换机为命令交换机时,拓扑收集的vlan用于命令交换机的管理vlan,此时不允许更改拓扑收集的指定vlan。
???当网络的延迟比较大时,需更改拓扑转发的跳延迟和端口延迟时间以适应当前网络的状态。
???当管理员想收集更大范围的网络拓扑信息时,可以增大收集跳数。
???5.手动启动拓扑收集
???ztpstart
???为了便于用户随时了解网络的拓扑信息,用户可以手动启动拓扑收集过程,不需要依赖于定时的拓扑收集。
???6.显示ztp配置
???showztp
???7.根据mac地址显示指定设备的详细信息
???showztpmac[xx.xx.xx]
???8.显示拓扑信息表的信息
???showztpdevice[[idlist]]
???拓扑信息表所提供的设备id,是根据本次拓扑收集结果生成的临时标识,目的是为了方便显示和集群管理,只对本次拓扑收集结果有效。
4、集群配置
命令交换机被指定后,通过zdp/ztp了解网络的拓扑信息,从而进行集群的管理和监控。
???集群的唯一标识由集群所处的vlan和命令交换机的mac地址两项构成。
???1.设置交换机的角色
???设置交换机为候选交换机
???setgroupcandidate
???设置交换机为独立交换机
???setgroupindependent
???设定交换机为命令交换机,指定用于集群管理的三层端口号,并设定用户集群管理的ip地址池
???setgroupcommanderipport[0-63]ip-pool[a.b.c.d/m]
???当候选交换机被命令交换机加入集群成为成员交换机后,不允许将自身更改为候选交换机或是命令交换机。
???设置命令交换机时三层端口所绑定的vlan是拓扑收集的指定vlan,交换机一旦被配置成命令交换机,不允许更改拓扑收集的指定vlan。
???只有当集群中没有成员交换机时,命令交换机才允许被设置成为候选交换机或独立交换机。
???2.增加/删除集群成员
???以设备mac地址增加成员
???setgroupaddmac[xx.xx.xx]
???以设备mac地址增加成员,并指定成员的id号
???setgroupaddmac[xx.xx.xx][1-255]
???以拓扑收集到的设备临时id号增加成员
???setgroupadddevice[idlist]
???从集群中删除指定成员id的设备
???setgroupdeletemember[idlist]
???当将设备加入到集群但不指定成员的id号时,系统会自动为该成员分配一个唯一的id标识。
???3.配置集群的参数
???设置集群名称
???setgroupname[name]
???设置命令交换机与成员交换机的握手时间间隔
???setgrouphandtime[1-300]
???设置集群的交换机信息的有效保留时间
???setgroupholdtime[1-300]
???设置集群的内部公用syslogserver的ip地址
???setgroupsyslogsvr
???如果配置了集群的syslogserver的ip地址,则在成员交换机上如果开启了syslog功能,成员机会将syslog报文发送到命令交换机,命令交换机再将此报文转发到指定的syslogserver上。
???设置集群的内部公用tftpserver的ip地址
???setgrouptftpsvr[a.b.c.d]
???以上参数只允许在命令交换机进行配置。
???集群的有效保留时间是指当命令交换机检测到成员交换机(或成员交换机检测到命令交换机)通讯故障时,如果在有效保留时间内恢复通讯,成员状态正常;如果经历了有效保留时间后,通讯没有恢复,则在命令交换机上显示该成员为down状态,等通讯恢复后,成员会自动加入到集群,显示为up状态。
???如果配置了集群的tftpserver的ip地址,则在成员交换机上可以通过直接访问命令交换机达到访问tftpserver的目的。
???4.集群成员的访问与控制
???从命令交换机切换到指定的成员交换机
???rloginmember[1-255]
???从成员交换机切换到命令交换机
???rlogincommander
???利用命令交换机进行tftp下载/上载版本
???tftpcommander{download|upload}[name]
???保存指定成员交换机的配置
???savemember{[idlist]|all}
???删除指定成员交换机的配置
???erasemember{[idlist]|all}
???重启指定的成员交换机
???rebootmember{[idlist]|all}
???5.显示集群的配置和集群成员信息
???显示集群配置信息
???showgroup
???显示能够加入集群的候选交换机信息
???showgroupcandidate
???显示集群成员的信息
???showgroupmember[[1-255]]
5、配置实例
如图8.5-1所示,初始时各交换机使用缺省配置,要求配置集群的命令交换机的公网地址所处的vlan为2525,ip地址为100.1.1.10/24,网关为100.1.1.1,集群的管理vlan为4000,私有地址池为192.168.1.0/24,整个集群的tftpserver的ip地址为110.1.1.2。
???具体配置如下:
???1.配置命令交换机的公网ip地址和网关
???
???2.在命令交换机的三层端口1、vlan1(缺省vlan)上建立集群
???
???3.切换到各成员机上,将所有端口加入到vlan4000(以成员4为例)
???
???4.解散在vlan1上建立的集群
???
???5.在vlan4000上建立的集群
???
???6.配置集群tftpserver的ip地址为110.1.1.2
???
???7.在成员4上下载版本kernel.z
???
(七)WEB
1、概述
zxr102609/2818s/2826s/2852s提供一个存储于闪存内的嵌入式web服务器,允许用户通过网络使用一个标准的web浏览器(推荐ie4.0以上版本、1024×768分辩率)远程管理交换机。
2、系统登录
在交换机已配置了web连接(参见5.1.4)的条件下:
???1.打开microsoftinternetexplore。
???2.在浏览器url中输入交换机的ip地址(该地址是交换机可以连接的地址),按[enter]键,打开系统登录界面。如图8.6-1所示。
???
???3.输入合法的用户名和密码,选择用户权限,一般用户不需要管理密码,管理用户需要管理密码;单击[login]按钮,登录到系统主页面,如图8.6-2所示。
???
3、配置管理
8.6.3.1系统信息
???点击系统主页面中左侧目录树[configuration→system],打开系统信息页面(configuration目录默认是展开的),如图8.6-3所示。
???
???该页面显示了以下系统信息:
???1[versionnumber]:版本号
???2[switchtype]:交换机型号
???3[versionmaketime]:版本制作时间
???4[macaddress]:交换机硬件地址
???5[module_1]:扩展卡1的信息
???6[hostname]:系统名
???7[syslocation]:系统位置
???8[sysuptime]:系统启动后运行时间
???其中“hostname”和“syslocation”两个参数可以设置。设置后,单击[apply]按钮提交,完成配置。
???8.6.3.2端口管理
???1.点击主页面中左侧目录树[configuration→port→portstate],打开端口状态信息页面,如图8.6-4所示。
???
???该页面显示了端口的以下信息:
???1[portclass]:端口类型
???2[linkstate]:端口linkup|linkdown状态
???3[duplex]:端口工作双工状态
???4[speed]:端口工作速率
???当端口linkdown时,“duplex”和“speed”项是没有意义的。
???2.点击主页面中左侧目录树[configuration→port→portparameter],打开端口配置信息页面,如图8.6-5所示。
???
???该页面显示了端口的以下信息(具体含义请参见7.1.1):
???1[mediatype]:端口介质类型
???2[portname]:端口名字
???3[adminstaus]:端口使能
???4[autoneg]:端口工作模式,即工作速率和双工模式
???5[pvid]:端口缺省vlanid
???6[flowcontrol]:端口流控使能
???7[multifilter]:端口组播过滤使能
???8[maclimit]:端口mac地址学习限制
???9[security]:端口安全使能
???10[speedadvertise]:端口速率宣称
???11[ingresstype]:端口入向带宽限制类型
???12[ingressrate]:端口入向带宽
???13[egressrate]:端口出向带宽
???3.单个端口配置:在端口配置信息页面列表中单击要配置端口行中的[config]按钮,打开此端口的配置页面,如图8.6-6所示。
???
???在该页面可以对选中端口某(些)项属性进行设置;设置完成,单击[apply]按钮提交,完成配置。
???由于“security”和“maclimit”两项属性互相冲突,故不能同时设置为使能。
???对与网管主机相连的端口进行配置时要小心!如:将此端口关闭,则网管中断。
???4.批量端口配置:在端口配置信息页面列表中选中多个端口(选中[selectall]则选择所有端口),然后单击[apply]按钮,打开端口批量配置页面,如图8.6-7所示。
???
???在该页面中点击属性前的复选框以选中要配置的属性进行设置,然后单击[apply]按钮提交,完成配置。
???8.6.3.3vlan管理
???1.点击主页面中左侧目录树[configuration→vlan→vlanoverview],打开vlan信息页面,显示最近被操作过的vlan信息;若还没有对vlan进行过操作,则显示缺省vlan。如图8.6-8所示。
???
???该页面显示了vlan的以下信息(具体含义请参见7.3.2节):
???1[vlanname]:vlan名字
???2[adminstatus]:vlan使能
???3[fid]:vlan的fid
???4[priority]:vlan优先级
???5[taggedports]:vlan内打tag的端口
???6[untaggedports]:vlan内不打tag的端口
???7[taggedtrunks]:vlan中打tag的trunk
???8[untaggedtrunks]:vlan中不打tag的trunk
???2.查看特定vlan信息:在vlan信息页面中选中[input]单选框,然后在其后的文本框中输入要查看的vlan号,如“1,3-7”;或者选中[all]单选框。
???单击[apply]按钮提交,即可得到相应的vlan信息。当要显示的vlan条目多于20时,会分页显示,页面右下角有页码提示;当页面多于一页时可以单击[previous]或[next]按钮进行上下页的切换,或者在[go]下拉框中直接选择页码号。
???3.点击主页面中左侧目录树[configuration→vlan→vlanconfigure],打开vlan号输入页面,如图8.6-9所示。
???
???4.在vlan号页面中输入vlan号(格式如“1,3-5”),单击[apply]按钮,进入单vlan配置或批量vlan配置页面,依次描述如下:
???单vlan配置页面如图8.6-10所示。
???
???在该页面中对vlan的某(些)项属性进行设置后,单击[apply]按钮提交,完成配置。
???向vlan中配置端口/trunk时,可以在其后的文本框中输入端口/trunk号,格式如“1,3-5”;也可以在对应的复选按钮中选择,要加入vlan的选中即可。
???批量vlan配置如图8.6-11所示。
???
???在该页面中选中并设置vlan的某(些)项属性,然后单击[apply]按钮提交,完成配置。
???8.6.3.4pvlan管理
???1.点击主页面中左侧目录树[configuration→pvlan→pvlanoverview],打开打开pvlan信息页面,如图8.6-12所示。
???
???该页面显示了端口的以下信息:
???1[pvlansession]:pvlan的实例
???2[promiscuousport]:共享端口
???3[isolatedport]:隔离端口
???2.点击主页面中左侧目录树[configuration→pvlan→pvlanconfigure],打开打开pvlan配置页面,如图8.6-13所示。
???
???该页面显示了pvlan的以下属性:
???1[promiscuousport]:隔离端口
???2[isolatedport]:共享端口
???在该页面也可以对各属性进行设置,设置完成单击[apply]按钮提交,系统配置成功后,显示配置后的信息页面。
???8.6.3.5端口镜像管理
???1.点击主页面中左侧目录树[configuration→mirror],打开mirror信息页面。如图8.6-14所示。
???
???该页面显示了端口镜像的以下信息(包括入向和出向):
???[sourceport]:镜像源端口
???[destinationport]:镜像目的端口
???2.单击ingress栏右侧的[config]链接,打开端口入向镜像配置页面。如图8.6-15所示。
???
???在该页面可以对入向镜像目的端口和源端口进行设置,设置完成后单击[apply]按钮提交,完成配置。
???3.单击egress栏右侧的[config]链接,打开端口出向镜像配置页面,如图8.6-16所示。
???
???在该页面可以对出向镜像目的端口和源端口进行设置,设置完成后单击[apply]按钮提交,完成配置。
???8.6.3.6lacp管理
???1.点击主页面中左侧目录树[configuration→lacp→lacpport],打开lacp基本信息页面,如图8.6-17所示。
???
???该页面信息(具体含义请参见7.5.2节)包括:
???(1)lacp的基本信息
???[adminstatus]:lacp使能状态
???[lacppriority]:lacp优先级
???(2)聚合端口的信息
???[groupnum]:聚合端口所属聚合组号
???[groupmode]:端口所属聚合组聚合模式
???[lacptime]:聚合端口超时模式
???[lacpactive]:聚合端口主动/被动模式
???在该页面对lacp的基本属性“adminstatus”、“lacppriority”进行设置;以及对聚合端口的“lacptime”、“lacpactive”属性进行设置;设置好后单击[apply]按钮提交,完成配置。
???当要把批量聚合端口的属性进行相同配置时也可以点击对应复选框选中多个聚合端口(选中[selectall]则选中所有端口);然后单击[set]按钮,打开批量聚合端口配置页面,如图8.6-18所示。
???
???在该页面中对聚合端口属性进行设置后单击[apply]按钮提交即可。
???2.点击主页面中左侧目录树[configuration→lacp→lacpstate],打开聚合组信息页面,如图8.6-19所示。
???
???该页面显示了聚合组的以下信息:
???[attachedports]:聚合组中绑定的端口
???[activeports]:聚合组中成功激活的端口
???[groupmode]:聚合组聚合模式
???点击右侧一列中的某个[config]按钮,打开相应聚合组的配置页面,如图8.6-20所示。
???
???
???只有属性相同的端口才可以绑定到同一聚合组中。每个聚合组最多可以绑定8个端口。
???避免将与网管主机相连的端口绑定到聚合组!否则,会导致网管中断。
4、监控信息
8.6.4.1终端记录
???点击主页面中左侧目录树[monitoring→terminallog],打开终端日志信息页面,如图8.6-21所示。
???
???单击页面中的[refresh]按钮,可以更新终端日志信息。
???8.6.4.2端口统计
???点击主页面中左侧目录树[monitoring→portstatistics],打开端口统计信息页面,如图8.6-22所示。
???
???单击页面中的[refresh]按钮,可以更新端口的统计信息。
???在[portnumber]下拉框内选中端口,即可得到该端口的统计数据。统计数据包括:
???1[receivedbytes]:收到的字节数
???2[receivedframes]:收到的包数
???3[receivedbroadcastframes]:收到的广播包数
???4[receivedmulticastframes]:收到的组播包数
???5[oversizeframes]:超长的包数
???6[undersizeframes]:长度不够的包数
???7[crcerror]:校验和错误的包数
???8[sendbytes]:发送的字节数
???9[sendframes]:发送的包数
???10[sendbroadcastframes]:发送的广播包数
???11[sendmulticastframes]:发送的组播包数
???8.6.4.3配置信息
???点击主页面中左侧目录树[monitoring→runningconfig],打开配置信息页面,如图8.6-23所示。
???
???该页面显示交换机的配置信息。
5、系统维护
8.6.5.1配置保存
???点击主页面中左侧目录树[maintenance→save],打开配置保存提示页面,如图8.6-24所示。
???
???单击[ok]按钮保存配置,或单击[cancel]按钮放弃保存。
???保存配置会将原有配置文件覆盖,请确认要覆盖再单击[ok]按钮。
???8.6.5.2配置保存
???点击主页面中左侧目录树[maintenance→reboot],打开重启功能页面,如图8.6-25所示。
???
???在adminpassword中正确输入admin密码,然后单击[ok]按钮重新启动交换机,或单击[cancel]按钮放弃重启。
???8.6.5.3文件上传
???点击主页面中左侧目录树[maintenance→uplaod],打开文件上传页面,如图8.6-26所示。
???
???单击[browse…]按钮,浏览并选中要上传的文件,如图8.6-27;然后单击[ok]按钮上传文件。
???
???出于安全和应用考虑,只允许上传“running.cfg”、“config.txt”和“kernel.z”三种文件。
???请确保要上传文件的合法行和可用性,上传文件会将原有文件覆盖;若操作不当将导致交换机无法工作!非专业人员不推荐使用此功能。
???8.6.5.4用户管理
???1.点击主页面中左侧目录树[maintenance→usermanager],打开用户管理页面,如图8.6-28所示。
???
???该页面显示了当前用户名,可以对用户名和登录密码进行修改。输入新用户名,密码,新密码并确认,单击[apply]按钮提交。
???2.点击用户管理页面中的[admin]按钮,打开管理密码修改页面,如图8.6-29所示。
???
???在页面中输入管理密码,新管理密码并确认,然后单击[apply]按钮提交。
七、维护
(一)常用检测方法
1、单端口环路检测
单端口环路检测的作用是检测交换机的端口是否存在环路。如果端口存在环路,会导致mac地址学习错误,且容易造成广播风暴,严重时会导致交换机及网络瘫痪。启用单端口的环路检测,关闭有环路的端口,可以有效的消除端口环路造成的影响。
???单端口环路检测的工作原理是:交换机从某个端口发送一个检测报文,如果这个检测报文原封不动(或者仅打了一个tag头)地从这个端口接收回来,说明这个端口存在环路。
???交换机发送的检测报文包含以下三个参数:
???1源mac地址:交换机的mac地址,每个交换机的mac地址是唯一的。
???2端口号:端口号与端口在交换机上的编号一一对应。
???3vlan号:vlan号与端口在交换机上使能环路检测的vlan号一一对应。
???4鉴别域:每个交换机,每个端口的数字签名都是不同的。
???当端口发出的和收到的检测报文中这三个参数完全相同,则该端口必定存在环路。
???在交换机上配置单端口环路检测包括以下内容。
???1.使能或关闭指定端口的环路检测功能
???setloopdetectport[portlist]{enable|disable}
???此时检测端口的pvid所在的vlan中是否有自环路存在,端口的环路检测功能缺省状态是关闭的。
???2.使能或关闭指定端口在指定vlan的环路检测功能
???setloopdetectport[portlist]vlan[vlanlist]{enable|disable}
???每个端口最多可以在32个vlan中使能环路检测功能(如果已经使能了端口的环路检测功能,则最多可以在31个vlan中使能环路检测功能)。端口的环路检测功能缺省状态是关闭的。(在zxr102852s交换机中,最多的使能环路检测功能的vlan数为64)
???3.使能或关闭trunk的环路检测功能
???setloopdetecttrunk[trunklist]{enable|disable}
???此时检测trunk的pvid所在的vlan中是否有自环路存在,trunk的环路检测功能缺省状态是关闭的。
???4.使能或关闭trunk在指定vlan的环路检测功能
???setloopdetecttrunk[trunklist]vlan[vlanlist]{enable|disable}
???每个trunk最多可以在32个vlan中使能环路检测功能(如果已经使能了端口的环路检测功能,则最多可以在31个vlan中使能环路检测功能)。
???trunk的环路检测功能缺省状态是关闭的。(在zxr102852s交换机中,最多的使能环路检测功能的vlan数为64)
???5.使能或关闭指定端口的环路检测的保护功能
???setloopdetectport[portlist]protect{enable|disable}
???环路检测的保护功能是指当端口检测到环路时自动关闭端口,消除端口环路造成的影响。
???6.使能或关闭trunk的环路检测的保护功能
???setloopdetecttrunk[trunklist]protect{enable|disable}
???7.设置关闭环路端口的时间
???setloopdetectblockdelay[1-1080]
???关闭环路端口的时间是指当端口检测到环路时关闭端口的时间,即保护端口的时间,只有当端口的环路检测的保护功能打开时才起作用。
???8.设置端口发送检测报文的时间间隔
???setloopdetectsendpktinterval[5-60]
???在默认情况下,开启环路检测的端口每隔15秒发送一个环路检测报文,通过此命令可以对发送的数据报文的间隔进行更改。单位为秒。
???9.显示端口环路检测的配置和端口的检测状态
???showloopdetect
???如果端口不能正常工作,可以通过showloopdetect观察端口是否存在环路,如没有检测到环路并且该端口的生成树使能的话,可以根据生成树状态来排除故障。
2、虚拟线路检测
vct(虚拟线路检测)利用tdr(时域反射计)实现对线路的诊断,能够诊断出线路的出错状态,如open(开路)、short(短路)、impedancemismatch(电阻不匹配)以及goodtermination(线路良好),并利用拟合出来的经验公式给出线路出错的距离。
???在交换机上使用showvctport[portname]命令可以看到指定端口的vct检测结果。
???对于扩展槽位的接口模块,本交换机只支持千兆电口的vct检测,其他接口模块均不支持。
(二)常见故障处理
1、无法通过Console口进行配置
1.故障现象
???不能通过console口登录交换机进行配置。
???2.相关部件检查
???配置线、超级终端串口、交换机console口。
???3.故障分析与定位
???(1)配置线接线错误。
???(2)超级终端串口属性设置错误,终端串口发生故障。
???(3)交换机的console口发生故障。
???4.故障处理
???(1)更换正确的配置线,配置线的接线详见4.2.2。
???(2)检查超级终端的串口属性设置,正确设置应为:每秒位数(波特率)“9600”,数据位“8”,奇偶校验“无”,停止位“1”,数据流控制“无”。
???检查超级终端串口是否正常,更换配置终端。
???(3)检查交换机的console口是否正常。
2、Telnet无法连接
1.故障现象
???无法使用telnet连接到交换机。
???2.故障分析与定位
???(1)所使用的端口pvid设置错误。
???(2)所使用的端口被禁用。
???(3)所使用的ip端口捆绑的vlan被禁用。
???(4)交换机未配置有效的ip地址、子网掩码和默认网关。
???(5)交换机ip地址与网络上其它设备的ip地址有冲突。
???3.故障处理
???(1)修改所使用端口的pvid,与该端口所属的vlanid一致。
???(2)将所使用的端口打开。
???(3)将所使用的ip端口绑定的vlan启用。
???(4)给交换机配置有效的ip地址、子网掩码和默认网关。
???(5)修改交换机的ip地址或其它设备的ip,消除ip地址冲突。
3、Telnet登录交换机失败
.故障现象
???远程终端能够telnet到交换机,但无法登录,提示用户没有设置。
???2.故障分析与定位
???交换机上的登录密码设置为空。
???3.故障处理
???设置非空的登录密码。
4、遗失登录密码
1.故障现象
???用户输入用户名和登录密码后无法登录交换机。
???2.故障分析与定位
???登录交换机时使用的用户名或密码错误。
???3.故障处理
???首先确认系统管理员是否还能找到原来设定的登录用户名和密码。如果无法找到,需要重启交换机删除配置文件,操作步骤如下。
???(1)重启交换机,在超级终端下根据提示按任意键进入boot状态。
???
???(2)在boot状态下输入[zte],进入交换机的[bootmanager]状态,输入[?]获得命令帮助。
???
???(3)执行del命令删除配置文件,并重启交换机。
???
???(4)交换机重启后,使用缺省用户名和密码就可以登录交换机。
???
5、遗失Enable密码
1.故障现象
???用户登录交换机后输入密码无法进入全局配置模式。
???2.故障分析与定位
???进入全局配置模式时使用的密码错误。
???3.故障处理
???处理方法与9.3.4相同。
???4.注意事项
???重启交换机之前,应将交换机的当前配置记录下来,以便重新配置。
6、同一VLAN中两个设备不能互通
1.故障现象
???连接到交换机上同一vlan中两个端口的两个设备不能互通。
???2.故障分析与定位
???(1)所使用的端口pvid设置错误。
???(2)所使用的端口被禁用。
???(3)该端口所使用的vlan被禁用。
???(4)端口在加入vlan时选择了tag。
???(5)设备没有设置ip地址,或者所设置的ip地址没有处于同一网段。
???3.故障处理
???(1)修改所使用端口的pvid,与该端口所属的vlanid一致。
???(2)将所使用的端口打开。
???(3)将所使用的vlan启用。
???(4)将所使用的端口重新加入vlan,加入时选择untag。
???(5)给设备设置正确的ip地址。
82
-----------------------------------------
湖南师大教科院网管中心编制2009年12月19日
-----------------------------------------
|
|
