声明 Copyright 2011 深圳市普联技术有限公司版权所有, 保留所有权利未经深圳市普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制复制誊抄或转译本书部分或全部内容不得以任何形式或任何方式 ( 电子机械影印录制或其它可能的方式 ) 进行商品传播或用于任何商业赢利目的

Size: px

Start display at page:

忠彤任
5 years ago
Views:

1 24 口全千兆二层网管交换机 TL-SG3424 用户手册 Rev

2 声明 Copyright 2011 深圳市普联技术有限公司版权所有, 保留所有权利未经深圳市普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制复制誊抄或转译本书部分或全部内容不得以任何形式或任何方式 ( 电子机械影印录制或其它可能的方式 ) 进行商品传播或用于任何商业赢利目的为深圳市普联技术有限公司注册商标本文档提及的其它所有商标或注册商标, 由各自的所有人拥有本手册所提到的产品规格和资讯仅供参考, 如有内容更新, 恕不另行通知可随时查阅我们的万维网页除非有特殊约定, 本手册仅作为使用指导, 本手册中的所有陈述信息等均不构成任何形式的担保 I

3 目录第 1 章用户手册简介目标读者本书约定章节安排... 1 第 2 章产品介绍产品简介产品特性产品外观前面板后面板...8 第 3 章配置指南登录 Web 页面 Web 页面简介页面总览页面常见按键及操作...12 第 4 章系统管理系统配置系统信息设备描述系统时间管理 IP 用户管理用户列表用户配置系统工具配置导入配置导出软件升级系统重启软件复位安全管理安全配置...23 II

4 4.4.2 SSL 配置 SSH 配置...25 第 5 章二层交换端口管理端口配置端口监控端口安全汇聚管理汇聚列表手动配置 LACP 配置流量统计流量概览详细统计地址表管理地址表显示静态地址表动态地址表过滤地址表...46 第 6 章 VLAN Q VLAN VLAN 配置端口配置 MAC VLAN MAC VLAN 协议 VLAN 协议组列表协议组配置协议模板 Q VLAN 功能的组网应用 MAC VLAN 功能的组网应用协议 VLAN 功能的组网应用 GVRP III

5 第 7 章生成树基本配置基本配置生成树信息端口配置 MSTP 实例域配置实例配置实例端口安全配置端口保护 TC 保护 STP 功能的组网应用第 8 章组播管理 IGMP 侦听基本配置端口参数 VLAN 参数组播 VLAN 组播地址表地址表显示静态地址表组播过滤过滤地址端口过滤报文统计第 9 章服务质量 QoS 配置基本配置调度模式 P DSCP IV

6 9.2 流量管理带宽控制风暴抑制语音 VLAN 全局配置端口配置 OUI 配置第 10 章访问控制时间段配置时间段列表新建时间段节假日定义 ACL 配置显示 ACL 新建 ACL MAC ACL 标准 IP ACL 扩展 IP ACL Policy 配置显示 Policy 新建 Policy 配置 Policy 绑定配置显示绑定端口绑定 VLAN 绑定访问控制组网应用第 11 章网络安全四元绑定绑定列表手动绑定扫描绑定 V

7 DHCP 侦听 ARP 防护防 ARP 欺骗防 ARP 攻击报文统计 DoS 防护 DoS 防护 X 认证全局配置端口配置 RADIUS 配置第 12 章 SNMP SNMP 配置全局配置视图管理组管理用户管理团体管理通知管理 RMON 历史采样事件配置警报管理第 13 章集群管理拓扑发现邻居信息配置显示全局配置拓扑收集设备列表配置显示全局配置 VI

8 13.3 集群管理配置显示集群配置集群管理功能组网应用第 14 章系统维护运行状态 CPU 监控内存监控系统日志日志列表本地日志远程日志日志导出系统诊断线缆检测环回检测网络诊断 Ping 检测 Tracert 检测第 15 章软件系统维护硬件连接图配置超级终端 bootutil 菜单下加载软件附录 A 802.1X 客户端软件使用说明安装说明卸载说明使用说明常见问题 : 附录 B 术语表附录 C 技术参数规格 VII

9 第 1 章用户手册简介本手册旨在帮助您正确使用这款交换机手册中包括对交换机性能特征的描述以及配置交换机的详细说明请在操作交换机前, 详细阅读本手册 1.1 目标读者本手册的目标读者为熟悉网络基础知识了解网络术语的技术人员 1.2 本书约定在本手册中, 所提到的交换机本产品等名词, 如无特别说明, 系指 TL-SG 口全千兆二层网管交换机, 下面简称为 TL-SG3424 用 >> 符号表示配置页面的进入顺序默认为一级菜单 >> 二级菜单 >> 标签页正文中出现的 <> 尖括号标记的文字, 表示 Web 页面的按钮名称, 如 < 确定 > 正文中出现的加粗标记的文字, 表示交换机的各个功能的名称, 如端口配置页面正文中出现的双引号标记的文字, 表示配置页面上出现的名词, 如 IP 地址本手册中使用的特殊图标说明如下 : 图标含义注意 : 该图标提醒您对设备的某些功能设置引起注意, 如果设置错误可能导致数据丢失, 设备损坏等不良后果说明 : 该图标表示此部分内容是对相应设置步骤的补充说明 1.3 章节安排章节第 1 章用户手册简介第 2 章产品介绍第 3 章配置指南章节说明快速掌握本手册的结构了解本手册的约定, 从而更有效地使用本手册介绍本产品的特性应用以及外观介绍如何登录 TL-SG3424 的 Web 页面, 并简要介绍页面特点 1

10 章节章节说明第 4 章系统管理本模块主要用于配置交换机的系统属性, 主要介绍了 : 系统配置 : 配置交换机的描述时间和网络参数用户管理 : 配置登录交换机 Web 页面的用户的访问权限和身份系统工具 : 集中对交换机的配置文件进行管理安全管理 : 安全管理 : 针对不同的登录方式, 增强用户管理交换机的安全性包括安全配置 SSL 配置和 SSH 配置第 5 章二层交换本模块主要用于配置交换机的基本功能, 主要介绍了 : 端口管理 : 配置交换机端口的基本属性包括端口配置端口监控端口安全汇聚管理 : 配置端口汇聚组汇聚是将交换机的多个物理端口聚合在一起形成一个逻辑端口, 同一汇聚组内的多条链路可视为一条逻辑链路流量统计 : 统计流经各个端口的数据信息地址表管理 : 配置交换机的地址表地址表是交换机实现报文快速转发的基础第 6 章 VLAN 第 7 章生成树 VLAN 主要用于隔离广播域, 通过划分虚拟工作中来简化网络管理, 主要介绍了 : 802.1Q VLAN: 划分基于端口的 VLAN, 也是 MAC VLAN 和协议 VLAN 的基础 MAC VLAN: 在不改变原 802.1Q VLAN 配置的情况下划分 MAC VLAN 协议 VLAN: 从应用层划分 VLAN, 使某些特殊网络数据只能在指定 VLAN 中传输 GVRP: 通过在端口动态注册和注销 VLAN 信息来达到配置 VLAN 的目的, 并传播 VLAN 信息到其它交换机中, 简化配置 VLAN 时的操作生成树主要用于在局域网中消除环路本模块主要用于配置交换机的生成树功能, 主要介绍了 : 基本配置 : 配置和查看交换机生成树功能的全局属性端口配置 : 配置端口的 CIST 参数 MSTP 实例 : 配置 MSTP 实例安全配置 : 配置保护功能, 以防止生成树网络中的设备遭受恶意攻击第 8 章组播管理本模块主要用于配置交换机的组播管理功能, 主要介绍了 : IGMP 侦听 : 配置 IGMP 侦听的全局参数端口属性 VLAN 参数和组播 VLAN IGMP 侦听可以有效抑制组播数据在网络中扩散组播地址表 : 配置组播地址表交换机在转发组播数据时是根据组播地址表来进行的组播过滤 : 配置组播过滤功能, 可以限制用户对组播节目的点播报文统计 : 查看各端口的组播报文流量, 监控网络中 IGMP 报文 2

11 章节章节说明第 9 章服务质量本模块主要为网络中某些特殊应用程序提供保障, 主要介绍了 : QoS 配置 : 给网络中的数据流划分优先级, 保障重要数据的传输, 可分为端口优先级 802.1P 优先级和 DSCP 优先级流量管理 : 可通过带宽控制来限制端口的数据流量 ; 风暴抑制可限制局域网中各类广播包的传输带宽, 节约网络资源语音 VLAN: 在指定 VLAN 中传输语音数据, 提高语音数据的传输优先级, 保证通话质量第 10 章访问控制本模块通过配置对报文的匹配规则和处理操作来实现对数据包的过滤功能, 有效防止非法用户对网络的访问, 节约网络资源, 主要介绍了 : 时间段配置 : 通过时间段控制 ACL 条目的生效时间 ACL 配置 : 配置 ACL 条目 Policy 配置 : 配置 ACL 规则的处理方式绑定配置 : 将 Policy 下发到端口和 VLAN, 使之正式生效第 11 章网络安全本模块针对局域网中常见的网络攻击进行防护, 主要介绍了 : 四元绑定 : 是将计算机的 MAC 地址和 IP 地址, 所属 VLAN 以及连接交换机的端口号四者绑定 ARP 防护 : 对局域网中的 ARP 攻击进行防护 DoS 防护 : 对常见的 DoS 攻击进行防护 802.1X 认证 : 配置交换机对局域网接入用户进行接入认证第 12 章 SNMP 第 13 章集群管理 SNMP 提供了一个管理框架来监控和维护互联网设备本模块主要用于配置交换机的 SNMP 功能, 主要介绍了 : SNMP 配置 : 配置 SNMP 的基本属性通知管理 : 配置 SNMP 通知管理, 便于管理软件对交换机某些事件进行及时监控和处理 RMON: 配置 RMON 功能, 便于网管更有效的监控网络集群管理的主要目的是解决大量分散的网络设备的集中管理问题模块主要用于配置交换机的集群管理功能, 主要介绍了 : 拓扑发现 : 配置拓扑发现功能用于获取与其直接相连的邻居交换机的信息拓扑收集 : 配置拓扑收集功能用于命令交换机收集网络的拓扑信息集群管理 : 配置集群管理功能用于建立和维护集群第 14 章系统维护系统维护模块将管理交换机的常用系统工具组合在一起, 主要介绍了 : 运行状态 : 对交换机内存和 CPU 进行监控系统日志 : 查看在交换机上配置的参数系统诊断 : 检测与交换机连接的线缆及对端设备的可用性网络诊断 : 检测目标是否可达以及目标与交换机之间的路由跳数第 15 章软件系统维护主要介绍了 : 当交换机出现软件故障时, 如何进入交换机的 boot 菜单重新加载软件 3

12 章节附录 A 802.1X 客户端软件使用说明附录 B 术语表附录 C 技术参数规格章节说明主要介绍了如何使用我司提供的 802.1X 客户端软件, 并利用该软件进行认证整理用户手册中出现的术语技术参数规格表回目录 4

13 第 2 章产品介绍 2.1 产品简介 TL-SG3424 交换机是一款由深圳市普联技术有限公司自主设计和开发的, 为构建高安全高性能网络需求而专门设计的新一代二层全网管交换机, 具有完备的安全策略完善的 QoS 策略丰富的 VLAN 特性易管理维护等特点系统采用全新的软硬件平台, 在安全接入策略多业务支持易管理和维护等方面为用户提供了全新的技术特性和解决方案, 是理想的办公网校园网的汇聚接入层交换机以及中小企业分支机构的核心交换机 2.2 产品特性完备的网络接入安全策略一键快速绑定支持 PORT/MAC/IP/VLAN ID 四元绑定, 提供手动添加自动扫描 DHCP 侦听三种绑定方式, 支持跨 VLAN 扫描, 根据不同网络环境, 轻松实现快速绑定 ARP 攻击防护内置特有的 ARP 入侵检测功能, 对不匹配四元绑定表的非法 ARP 欺骗报文直接丢弃, 有效杜绝内网 ARP 攻击 ; 支持对非法 ARP 报文统计, 帮助用户迅速定位 ARP 攻击源 ; 同时还支持防合法 ARP 报文的泛滥攻击 DoS 攻击防护内置深层次攻击检测功能, 通过解析 IP 数据包, 查看数据包中的特定字段是否符合 DoS 攻击数据包的特征, 并采取相应的防护措施, 直接丢弃非法数据包或者对合法的数据包进行限速, 并且还能主动探测追踪 DoS 攻击的源头防 MAC 地址攻击支持端口安全特性, 可以有效防御 MAC 地址攻击可以实现基于 MAC 地址允许或限制流量, 每个端口允许设定最大 MAC 地址数量, 支持静态配置或交换机动态学习, 全面保障网络安全多层次, 多元化的访问控制策略访问控制 (ACL) 强大硬件 ACL 能力, 深度识别报文, 支持 L2~L4 数据流分类, 提供基于源 MAC 地址目的 MAC 源 IP 地址目的 IP 地址 IP 协议类型 TCP/UDP 端口等定义 ACL 策略控制 (policy) 支持基于端口 VLAN 下发 ACL, 对符合相应 ACL 规则的数据包实现流分类, 可进行流镜像流监控 QoS 重标记和端口重定向四种行为控制, 轻松实现网络监控, 数据流量控制, 优先级重标记和数据转发控制时间段控制新增基于时间段的 ACL 控制, 提供节假日绝对时间周期以及时间片段设置功能, 多种时间段的灵活组合可轻松实现对时间精确控制的访问需求 5

14 802.1X 认证支持基于端口和基于 MAC 的 802.1X 认证, 在用户接入网络时完成必要的身份认证, 保证接入用户的合法性, 支持 Guest VLAN, 轻松设置来宾用户接入访问权限丰富的 VLAN 特性 IEEE 802.1Q VLAN IEEE 802.1Q VLAN 符合国际标准, 完美融合了 Port VLAN, 与主流设备完全兼容, 加上人性化的操作方式, 使组网更加便捷准确高效 MAC VLAN 通过 MAC 地址划分 VLAN, 使用户可以灵活更改接入位置而不必重新划分 VLAN, 在极大提高组网的灵活性的同时, 简化了网络拓扑结构和配置管理协议 VLAN 通过协议来划分 VLAN, 对特殊应用可设置自定义协议, 实现安全通信 GVRP 基于 GARP 的工作机制, 用来维护设备中的 VLAN 动态注册信息, 使局域网内的 VLAN 配置更快捷方便完善多业务融合能力 QoS 支持基于端口 IEEE802.1p 以及 DSCP 三种优先级模式, 支持 Equ SP(Strict priority) WRR (Weighted Round Robin) SP+WRR 四种种队列调度算法, 每个端口 4 个输出队列, 可以将不同优先级的报文映射到不同输出队列, 保障关键业务数据优先处理, 满足不同业务对基础网络的需求流量控制带宽控制支持端口双向限速, 限速的控制粒度为 100Kbps; 风暴抑制支持对广播包组播包 UL 包限速, 避免网络资源被恶意浪费, 提高网络效率语音 VLAN 内置语音设备 OUI 地址识别功能, 通过 Voice VLAN 技术, 对语音流进行有针对性的 QoS 配置, 能够很好的解决语音设备数据流优先级的调整问题, 保证通话质量组播管理支持 IGMPV1/V2/V3, 通过 IGMP Snooping 技术, 能很好的解决组播应用, 如 IPTV 视频会议等等 ; 支持组播 VLAN, 有效避免带宽浪费, 减轻上游设备的组播负担 ; 静态组播地址表减少学习时间, 提高组播转发效率 ; 未知组播报文丢弃功能, 节省带宽, 提高系统处理效率高可靠性设计生成树支持传统的 STP/RSTP/MSTP 二层链路保护技术, 极大提高链路的容错冗余备份能力, 保证网络的稳定运行支持 TC(Topology Change) 报文保护, 避免当设备受到恶意的 TC 报文攻击时, 频繁的删除操作给设备带来负担同时还支持环路保护根桥保护 BPDU 保护 BPDU 过滤等功能 6

15 链路汇聚提供手工汇聚静态 LACP 动态 LACP 三种汇聚模式, 能有效增加链路带宽, 提高链路的可靠性, 同时可以实现负载均衡链路备份灵活安全的网络管理系统管理支持 CLI 命令行 (Console,Telnet,SSHV1/V2 ),Web 网管 (http SSL V2/V3/TLSV1),SNMP (V1/V2c/V3) 等多种管理方式安全管理通过身份过滤检测技术, 能够很好的解决设备安全管理难题, 支持两级用户管理, 提供管理人员数限制功能, 增强配置安全性网络监控支持端口双向数据监控, 结合网络分析软件可以实时监控网络运行状态,RMON 功能可以实现统计和告警功能, 用于网络中管理设备对被管理设备的远程监控和管理系统维护支持 CPU 内存实时监控, 支持 VCT 电缆检查以及端口环回测试, 方便定位网络故障点, 同时支持 Ping Tracert 命令操作, 轻松分析出现故障的网络节点系统日志提供免费的日志服务器软件, 为用户提供对设备系统日志的数据库统计分析功能, 有效监控设备运行和网络状况集群管理支持 NDP( 邻居发现 ) NTDP( 邻居拓扑发现 ) 和 Web 集群管理 ( 仅支持被管理 ), 轻松打造零费用免软件的统一管理方式, 支持信息产业部相关标准, 兼容其它主流厂商的集群管理 2.3 产品外观前面板 24 口全千兆二层网管交换机的前面板由 24 个 10Mbps/100Mbps/1000Mbps 端口 2 个 SFP 口 1 个 Console 口和指示灯组成如所示图 2-1 前面板 24 个 1000Mbps 自适应 RJ45 端口本交换机有 24 个 10M/100M/1000M RJ45 端口, 分别对应一组 1000M 指示灯和 Link/Act 指示灯 4 个 SFP 端口 SFP 模块卡扩展槽位于千兆 RJ45 端口的右边, 同与其 Combo 共享的千兆 RJ45 端口共用指示灯, 其中 SFP1~SFP4 分别与端口 21~24 共用 Combo 口中的两个端口只能使用一个, 如使用了 SFP 7

16 口后, 对应的 RJ45 口将失效 SFP 端口兼容多模单模 SFP 光纤模块, 推荐使用 TP-LINK 公司千兆光纤模块, 例如 TL-SM311LM 和 TL-SM311LS 注意 : 若需要使用 SFP 端口, 插入光纤模块后, 请登录交换机管理界面配置 SFP 端口的端口参数 ( 出厂默认设置的速率双工模式为 1000M 全双工 ) 如果使用的是百兆光纤模块, 相应 SFP 口的速率双工模式请配置为 100M 全双工 ; 如果使用的是千兆光纤模块, 相应 SFP 口的速率双工模式请配置为 1000M 全双工, 详见端口配置 1 个 Console 端口 Console 端口位于面板的最左边指示灯指示灯, 包括 Power,System,1000Mbps,Link/Act 指示灯通过指示灯可以监控交换机的工作状态, 下表将详细说明指示灯工作状态 : 指示灯名称状态描述常亮系统供电正常 Power 电源指示灯闪烁系统供电异常熄灭系统未通电或供电异常常亮系统出现异常 System 系统指示灯熄灭系统启动过程中熄灭闪烁正常启动后将持续闪烁表示系统正常工作常亮端口已正常连接 Link/Act 状态指示灯闪烁端口正在传输数据熄灭未连接网络设备 1000Mbps 端口指示灯后面板常亮熄灭与 1000M 网络设备连接与 10M 或 100M 网络设备连接或未连接交换机后面板由电源接口和防雷接地柱组成, 如图 2-2 所示 : 电源接口图 2-2 后面板位于后面板右侧, 接入电源需为 V~ 50/60Hz 0.6A 的交流电源 8

17 防雷接地柱位于电源接口左侧, 请参考光盘中的防雷安装手册进行防雷安装连接, 以防雷击注意 : 请使用原装电源线电源插座请安装在设备附近便于触及的位置, 以方便操作回目录 9

第 3 章配置指南 3.1 登录 Web 页面第一次登录时, 请确认以下几点 : 1) 交换机已正常加电启动, 任一端口已与管理主机相连 2) 管理主机已正确安装有线网卡及该网卡的驱动程序并已正确安装 IE 6.0 或以上版本的浏览器 3) 管理主机 IP 地址已设为与交换机端口同一网段, 即 192.168.0.X(X 为 2 至 254 之间的任意整数 ), 子网掩码为 255.

18 第 3 章配置指南 3.1 登录 Web 页面第一次登录时, 请确认以下几点 : 1) 交换机已正常加电启动, 任一端口已与管理主机相连 2) 管理主机已正确安装有线网卡及该网卡的驱动程序并已正确安装 IE 6.0 或以上版本的浏览器 3) 管理主机 IP 地址已设为与交换机端口同一网段, 即 X(X 为 2 至 254 之间的任意整数 ), 子网掩码为 ) 为保证更好地体验 Web 页面显示效果, 请将显示器的分辨率调整到或以上像素打开 IE 浏览器, 在地址栏输入登录交换机的 Web 页面交换机登录页面如图 3-1 所示图 3-1 登录页面在此页面输入交换机管理帐号的用户名和密码, 出厂默认值为 admin/admin 成功登录后可以看到当前端口连接状态和交换机的系统信息, 如图 3-2 所示 10

19 图 3-2 系统信息 3.2 Web 页面简介页面总览交换机典型的 Web 页面如图 3-3 所示图 3-3 典型 Web 页面在图 3-4 中可以看到, 左侧为一级二级菜单栏, 右侧上方长条区域为菜单下的标签页, 当一个菜单包含多个标签页时, 可以点击标签页的标题在同级菜单下切换标签页右侧标签页下方区域可分为三部分, 条目配置区列表管理区以及提示和注意区 11

20 图 3-4 Web 页面区域划分页面常见按键及操作主菜单区按键按键含义保存最终的配置退出 Web 页面注意 : 更改每一个配置后, 点击 < 提交 > 按键只能使当前配置在交换机未重启前暂时生效 ; 若需要当前配置在交换机重启后依旧生效, 则需要点击 < 配置保存 > 在交换机断电或重启前请点击 < 配置保存 >, 以免丢失最新的配置条目配置区常见按键按键含义提交当前的配置添加当前配置条目修改并保存编辑后的配置信息快速清空当前配置项中已输入的所有信息打开当前功能的帮助页面 12

21 说明 : < 修改 > 按键只有在编辑列表中的条目时才会出现, 取代原本的 < 新增 > 按键列表管理区常见按键按键含义选中当前列表中所有条目删除选中的条目, 可批量操作刷新列表根据所输序号, 快速选择至列表中的对应条目回目录 13

22 第 4 章系统管理系统管理模块主要用于配置交换机的系统属性, 包括系统配置用户管理系统工具以及安全管理四个部分 4.1 系统配置系统配置用于配置交换机的基本属性, 本功能包括系统信息系统描述系统时间和管理 IP 四个配置页面系统信息本页面用来查看本交换机的端口连接状态和系统信息端口状态指示了本交换机的 24 个 10/100/1000Mbps RJ45 端口以及 4 个 SFP 扩展模块槽的工作状态, 其中以数字标识的端口是 10/100/1000Mbps RJ45 端口, 标识为 SFP 的端口是光纤模块端口进入页面的方法 : 系统管理 >> 系统配置 >> 系统信息图 4-1 系统信息条目介绍 : 端口状态 1000M 端口未接入设备 1000M 端口工作速率为 1000Mbps 1000M 端口工作速率为 100Mbps /10Mbps SFP 端口未接入设备 14

23 SFP 端口工作速率为 1000Mbps SFP 端口工作速率为 100Mbps 当鼠标移到某端口上时, 会显示该端口的详细信息, 如下图所示条目介绍 : 端口信息图 4-2 端口信息端口 : 类型 : 速率 : 状态 : 显示交换机的端口号显示端口的端口类型显示端口的最大传输速率现在端口的状态点击某端口, 会显示此端口的带宽利用率, 即实际传输速率与其最大传输速率的百分比, 图中每隔 4 秒反馈一次监控值查看各个端口的带宽利用率, 可以了解各端口的流量概况, 便于监控网络流量和分析网络异常如下图所示条目介绍 : 带宽利用率图 4-3 带宽利用率接收 : 发送 : 点击后, 显示此端口接收数据的带宽利用率点击后, 显示此端口发送数据的带宽利用率 15

3 系统时间本页面用来配置交换机的系统时间系统时间是交换机工作时使用的时间, 其它功能 ( 如访问控制 ) 中的时间信息以此处为准

24 4.1.2 设备描述本页面用来配置交换机的描述信息, 包括设备名称设备位置联系方法进入页面的方法 : 系统管理 >> 系统配置 >> 设备描述条目介绍 : 设备描述图 4-4 系统描述设备名称 : 设备位置 : 联系方法 : 填写交换机的名称填写交换机的位置信息填写联系方法系统时间本页面用来配置交换机的系统时间系统时间是交换机工作时使用的时间, 其它功能 ( 如访问控制 ) 中的时间信息以此处为准可以选择手动设置时间或者连接到一个 NTP( 网络时间协议 ) 服务器获取 GMT 时间, 也可以获取当前管理 PC 的时间作为交换机的系统时间进入页面的方法 : 系统管理 >> 系统配置 >> 系统时间图 4-5 系统时间 16

25 条目介绍 : 时间信息当前系统时间 : 当前时间模式 : 显示交换机当前的日期时间显示交换机当前的时间模式时间配置手动配置时间 : 获取 GMT 时间 : 获取管理 PC 时间 : 勾选后, 手动配置日期时间勾选后, 配置时区和 NTP 服务器的 IP 地址, 交换机将自动获取 GMT 时间此时交换机必须连接至 NTP 服务器时区 : 选择所在的时区首选 / 备选 NTP 服务器 : 填写 NTP 服务器的 IP 地址勾选后, 将管理主机的时间配置为交换机的系统时间夏令时配置夏令时状态 : 开始时间 : 结束时间 : 选择是否启用夏令时选择夏令时的开始时间选择夏令时的结束时间注意 : 交换机重启后会自动从配置好的 NTP 服务器获取时间, 如果获取失败, 时间会恢复为出厂设置, 需要重新设置交换机的系统时间如果选择了获取 GMT, 但是没有设置时间服务器, 交换机会选择网络上的时间服务器获取时间, 但前提是交换机必须连接了 Internet 管理 IP 网络中的设备都有自己的 IP 地址, 使用交换机的 IP 地址可以登录交换机的 Web 页面本交换机提供静态 IP DHCP 和 BOOTP 三种 IP 获取方式, 但交换机的 IP 地址是唯一的, 所以使用新的配置方式获取的 IP 地址会覆盖原有的 IP 地址静态 IP 获取方式需要手动配置交换机的 IP 地址子网掩码和默认网关, 使用时应根据自己网络的实际情况对这些参数进行配置管理主机的 IP 地址必须与此处所配置的 IP 地址处于同一网段内, 才能访问交换机的 Web 页面 DHCP 获取方式 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) 是在 BOOTP 协议基础上进行了优化和扩展而产生的一种网络配置协议, 可以实现网络资源的动态配置交换机作为 DHCP 客户端, 可以从网络中的 DHCP 服务器上动态获得网络参数, 既方便配置, 又便于管理 17

BOOTP 获取方式 BOOTP(Bootstrap Protocol, 自举协议 ) 交换机作为 BOOTP 客户端, 可以从 BOOTP 服务器获得网络参数但是, 在自动获取之前, 网管需要在 BOOTP 服务器上为每个客户端配置 BOOTP 参数, 所以 BOOTP 一般运行在相对稳定的网络环境中, 当网络规模较大变化频繁时, 建议选择 DHCP 获取方式本页面用来配置交换机的管理

26 BOOTP 获取方式 BOOTP(Bootstrap Protocol, 自举协议 ) 交换机作为 BOOTP 客户端, 可以从 BOOTP 服务器获得网络参数但是, 在自动获取之前, 网管需要在 BOOTP 服务器上为每个客户端配置 BOOTP 参数, 所以 BOOTP 一般运行在相对稳定的网络环境中, 当网络规模较大变化频繁时, 建议选择 DHCP 获取方式本页面用来配置交换机的管理 IP 地址进入页面的方法 : 系统管理 >> 系统配置 >> 管理 IP 条目介绍 : IP 配置图 4-6 管理 IP MAC 地址 : 获取方式 : 显示交换机的物理地址选择交换机网络参数的获取方式静态 IP: 手动填写交换机的 IP 地址子网掩码和默认网关 DHCP: 从网络中的 DHCP 服务器上自动获取交换机的网络参数 BOOTP: 从网络中的 BOOTP 服务器上自动获取交换机的网络参数 IP 地址 : 填写交换机的管理 IP 地址该 IP 地址出厂默认值为 , 请根据需要改变它子网掩码 : 默认网关 : 填写本交换机的子网掩码填写本交换机的默认网关注意 : IP 地址的变更可能导致当前网络连接的中断, 请保持 IP 地址与内网 IP 地址在同一网段交换机只有一个 IP 地址新配置的 IP 地址将覆盖原有的 IP 地址当交换机获取到 DHCP 服务器分配的 IP 参数时, 可以在给交换机分配 IP 参数的 DHCP 服务器上了解到交换机的配置信息 ; 当网络中没有 DHCP 服务器而选择了 DHCP 方式获取时, 等待几分钟后, 交换机会自动将各项网络参数恢复为出厂设置选择 DHCP 和 BOOTP 方式时, 交换机将从网络中动态获取网络参数, 所以此时 IP 地址, 子网掩码和默认网关均不能配置交换机出厂时, 默认的 IP 地址是 :

4.2 用户管理用户管理用来限制登录交换机 Web 页面的用户的访问权限和身份, 以保护交换机的有效配置本功能包括用户列表和用户配置两个配置页面 4.2.1 用户列表可以在本页查看到当前交换机存在的全部用户进入页面的方法 : 系统管理 >> 用户管理 >> 用户列表 4.

管理员, 可以配置交换机的全部功能本说明书内如无特殊说明, 均以管理员身份登录时的 Web 页面为准进入页面的方法 : 系统管理 >> 用户管理 >> 用户配置条目介绍 : 用户信息图 4-8 用户配置用户名

27 4.2 用户管理用户管理用来限制登录交换机 Web 页面的用户的访问权限和身份, 以保护交换机的有效配置本功能包括用户列表和用户配置两个配置页面用户列表可以在本页查看到当前交换机存在的全部用户进入页面的方法 : 系统管理 >> 用户管理 >> 用户列表用户配置图 4-7 用户列表本页用来配置登录交换机 Web 页面的用户的身份类型本交换机提供两种类型的用户 : 受限用户和管理员受限用户, 仅可以查看部分功能的配置数据, 不能对交换机进行任何配置 ; 管理员, 可以配置交换机的全部功能本说明书内如无特殊说明, 均以管理员身份登录时的 Web 页面为准进入页面的方法 : 系统管理 >> 用户管理 >> 用户配置条目介绍 : 用户信息图 4-8 用户配置用户名 : 用户类型 : 填写登录 Web 页面的用户名选择该用户名的用户类型管理员 : 可以编辑修改和查看交换机各个功能的配置受限用户 : 仅可以查看交换机各个功能的配置情况 19

用户状态 : 密码 : 确认密码 : 选择是否启用该用户填写该用户名的登录密码再次输入该用户名的登录密码, 两次输入的密码需保持一致用户列表选择 : 序号用户名类型状态 : 操作 : 勾选条目进行删除, 可多选但是不可以对当前登录用户自身进行删除显示当前用户的序号用户名用户类型和用户状态点击对应条目的 < 编辑 > 按键, 可以修改该条目的用户信息修改完毕后点击 <

28 用户状态 : 密码 : 确认密码 : 选择是否启用该用户填写该用户名的登录密码再次输入该用户名的登录密码, 两次输入的密码需保持一致用户列表选择 : 序号用户名类型状态 : 操作 : 勾选条目进行删除, 可多选但是不可以对当前登录用户自身进行删除显示当前用户的序号用户名用户类型和用户状态点击对应条目的 < 编辑 > 按键, 可以修改该条目的用户信息修改完毕后点击 < 修改 > 按键, 修改内容生效但是不允许修改当前登录用户自身的用户类型和状态 4.3 系统工具系统工具功能集中对交换机的配置文件进行管理, 包括配置导入配置导出软件升级系统重启和软件复位五个配置页面配置导入配置导入功能是将以前备份的配置文件导入至交换机中, 使交换机恢复到当时的配置状态进入页面的方法 : 系统管理 >> 系统工具 >> 配置导入条目介绍 : 配置文件导入图 4-9 配置导入导入配置文件 : 将备份文件中保存的配置信息恢复到当前状态, 交换机自动重启后配置生效注意 : 恢复配置可能需要较长时间, 此期间请耐心等待, 不要操作交换机导入配置文件的过程不能关闭交换机电源, 否则将导致交换机损坏而无法使用 20

导入配置文件后, 交换机中原有的配置信息将会丢失如果导入的配置文件有误, 可能会导致交换机无法被管理 4.3.

配置文件备份图 4-10 配置导出备份配置文件 : 以文件形式保存配置参数建议升级前进行备份注意 : 备份当前配置可能需要较长时间, 此期间请耐心等待, 不要操作交换机 4.3.

29 导入配置文件后, 交换机中原有的配置信息将会丢失如果导入的配置文件有误, 可能会导致交换机无法被管理配置导出配置导出功能是将交换机当前的配置信息打包成文件保存到 PC 中, 日后通过该文件可以恢复配置进入页面的方法 : 系统管理 >> 系统工具 >> 配置导出条目介绍 : 配置文件备份图 4-10 配置导出备份配置文件 : 以文件形式保存配置参数建议升级前进行备份注意 : 备份当前配置可能需要较长时间, 此期间请耐心等待, 不要操作交换机软件升级本交换机可以通过 Web 方式升级系统文件, 系统升级后将获得更完善的功能请在网站上下载最新版本的系统文件进入页面的方法 : 系统管理 >> 系统工具 >> 软件升级图 4-11 软件升级注意 : 升级过程中不能被中断 21

升级时请选择与当前硬件版本一致的软件升级过程需持续一段时间, 在此期间不能关闭设备电源, 否则将导致设备损坏而无法使用当升级结束后, 设备将会自动重新启动建议升级前备份配置信息 4.3.

30 升级时请选择与当前硬件版本一致的软件升级过程需持续一段时间, 在此期间不能关闭设备电源, 否则将导致设备损坏而无法使用当升级结束后, 设备将会自动重新启动建议升级前备份配置信息系统重启在此处可以重新启动交换机, 交换机重启后自动返回到登录页面重启前请先保存当前配置, 否则重启后, 未保存的配置信息将丢失进入页面的方法 : 系统管理 >> 系统工具 >> 系统重启图 4-12 系统重启注意 : 在设备重启期间, 请不要关闭设备电源, 以免损坏设备软件复位通过软件复位, 可以将交换机恢复为出厂设置状态, 所有配置数据将被清除进入页面的方法 : 系统管理 >> 系统工具 >> 软件复位图 4-13 软件复位注意 : 软件复位后, 交换机配置将恢复成出厂默认状态, 配置的数据将丢失 4.4 安全管理安全管理功能是针对不同的远程登录方式, 采取相应的安全措施, 以增强用户管理交换机的安全性包括安全配置 SSL 配置 SSH 配置三个配置页面 22

31 4.4.1 安全配置本页用来限制登录交换机 Web 页面的用户的身份及人数, 从而增强了交换机配置管理的安全性其中, 管理员及受限用户得定义请参考 4.2 用户管理进入页面的方法 : 系统管理 >> 安全管理 >> 安全配置条目介绍 : 身份限制图 4-14 安全配置限制类型 : 选择限制用户身份的类型基于 IP: 用来限制访问交换机 Web 页面的用户的 IP 网段基于 MAC: 用来限制访问交换机 Web 页面的用户的主机 MAC 地址基于端口 : 用来限制访问交换机 Web 页面的交换机端口号 IP 地址掩码 : MAC 地址 : 端口号 : 选择基于 IP 时才能进行配置只允许处于所设的 IP 网段和当前主机的 IP 地址才可以访问交换机的 Web 页面选择基于 MAC 时才能进行配置只允许所设的 MAC 地址和当前主机的 MAC 地址可以访问交换机的 Web 页面选择基于端口时才能进行配置只允许连接在所设的端口上和当前登录用户所连接的端口上的主机访问交换机的 Web 页面超时配置超时时间 : 如果在超时时间之内没有对交换机管理页面进行操作, 系统会自动退出管理页面, 若要再次进行管理请重新登录默认为 10 分钟 23

管理人数限制人数限制功能 : 管理员人数 : 受限用户人数 : 选择是否启用人数限制功能填写可同时登录交换机 Web 页面的管理员总数填写可同时登录交换机 Web 页面的受限用户总数 4.

32 管理人数限制人数限制功能 : 管理员人数 : 受限用户人数 : 选择是否启用人数限制功能填写可同时登录交换机 Web 页面的管理员总数填写可同时登录交换机 Web 页面的受限用户总数 SSL 配置 SSL(Secure Sockets Layer, 安全套接层 ) 是一个安全协议, 它为基于 TCP 的应用层协议提供安全连接, 如为普通的 HTTP 连接提供更安全的 HTTPS 连接 SSL 协议广泛地用于 Web 浏览器与服务器之间的身份认证和加密数据传输, 多使用在电子商务网上银行等领域, 为网络上数据通讯提供安全性保证 SSL 协议提供的服务主要有 : 1. 对用户和服务器进行基于证书的身份认证, 确保数据发送到正确的用户和服务器 ; 2. 对传输数据进行加密, 以防止数据中途被窃取 ; 3. 维护数据的完整性, 确保数据在传输过程中不被改变 SSL 采用非对称加密技术, 使用密钥对进行数据的加密 / 解密, 密钥对由一个公钥 ( 包含在证书中 ) 和一个私钥构成初始时交换机里已有默认的证书 ( 自签名 ) 和对应私钥, 也可以通过证书 / 密钥导入功能替换默认的密钥对, 但 SSL 证书 / 密钥必须配对导入, 否则 HTTPS 不能正常连接本功能生效后, 即可通过登录交换机的 Web 页面初次使用交换机默认的证书通过 HTTPS 登陆交换机时, 浏览器可能会提醒该证书是自签名的而不被信任或证书错误, 此时请将此证书添加为信任证书, 或者继续浏览此网站即可进入页面的方法 : 系统管理 >> 安全管理 >>SSL 配置条目介绍 : SSL 证书管理图 4-15 SSL 证书管理 SSL 功能 : 选择是否启用交换机的 SSL 功能 24

证书导入 SSL 证书 : 选择要导入的 SSL 证书证书必须为 BASE64 编码格式密钥导入 SSL 密钥 : 选择要导入的 SSL 密钥密钥必须为 BASE64 编码格式注意 : SSL 证书 / 密钥必须配对导入, 否则 HTTPS 不能正常连接 SSL 证书 / 密钥导入后, 需要重启交换机才能生效要使用 HTTPS 建立安全连接, 必须在浏览器的地址栏指定 https://

33 证书导入 SSL 证书 : 选择要导入的 SSL 证书证书必须为 BASE64 编码格式密钥导入 SSL 密钥 : 选择要导入的 SSL 密钥密钥必须为 BASE64 编码格式注意 : SSL 证书 / 密钥必须配对导入, 否则 HTTPS 不能正常连接 SSL 证书 / 密钥导入后, 需要重启交换机才能生效要使用 HTTPS 建立安全连接, 必须在浏览器的地址栏指定提示符 HTTPS 连接涉及身份认证加密解密等过程, 故响应速度可能会比普通的 HTTP 连接稍慢 SSH 配置 SSH(Secure Shell, 安全外壳 ) 是由 IETF(Internet Engineering Task Force, 因特网工程任务组 ) 所制定, 建立在应用层和传输层基础上的安全协议 SSH 加密连接所提供的功能类似于一个 telnet 连接, 但是传统的 telnet 远程管理方式在本质上是不安全的, 因为它在网络上是使用明文传送口令和数据的, 别有用心的人可以很容易的截获这些口令和数据当通过一个不能保证安全的网络环境远程登录到设备时,SSH 功能可以提供强大的加密和认证安全保障, 它可以把所有传输的数据进行加密, 可以有效防止远程管理过程中的信息泄露问题 SSH 是由服务器端和客户端组成的, 并且有 V1 和 V2 两个不兼容的版本在通讯过程中,SSH 服务器与客户端会自动互相协商 SSH 版本号和加密算法, 协商一致后, 由客户端向服务器端发起请求登录的认证请求, 认证通过后双方即可进行信息的交互本交换机支持 SSH 服务器功能, 可以使用 SSH 客户端软件通过 SSH 连接方式登录交换机 SSH 密钥导入是将 SSH 的公钥文件导入至交换机中如果密钥导入成功, 交换机会优先选用密钥认证的方式接受 SSH 登入进入页面的方法 : 系统管理 >> 安全管理 >>SSH 配置图 4-16 SSH 配置 25

34 条目介绍 : 全局配置 SSH 功能 : Protocol V1: Protocol V2: 静默时长 : 最大连接数 : 选择是否启用 SSH 功能选择是否启用对 SSH V1 的支持选择是否启用对 SSH V2 的支持填写静默时长该时间内客户端无任何操作时, 连接会自动断开默认为 500 秒填写 SSH 同时可允许的最大连接数, 连接数若满, 将无法再建立新的连接默认为 5 密钥导入密钥类型 : 密钥文件 : 导入密钥 : 选择所要导入的密钥类型本机支持 SSH-1 RSA,SSH-2 RSA 和 SSH-2 DSA 三种类型的密钥选择要导入的密钥文件点击此按键, 将所选的 SSH 密钥导入交换机注意 : 请确保导入的文件是密钥长度为 256 至 3072 比特的 SSH 公钥导入密钥文件后, 交换机中此用户原有的同类型密钥将会被覆盖如果导入的密钥文件有误, SSH 会转用密码认证的方式登陆组网应用 1: 组网需求 1. 使用 SSH 功能的密码认证的方式登录交换机, 交换机已启用 SSH 功能 2. 推荐使用第三方客户端软件 PuTTY 配置步骤 1. 打开软件, 登录 PuTTY 的主界面在 Host Name 处填写交换机的 IP 地址 ; Port 保持默认的 22; Connection type 处选择 SSH 的接入方式如下图所示 26

35 2. 点击 <Open> 按键, 即可登录到交换机操作方法与 telnet 相同, 输入登录用户名和登录密码, 即可继续进行配置操作如下图所示组网应用 2: 组网需求 1. 使用 SSH 功能的密钥认证的方式登录交换机, 交换机已启用 SSH 功能 2. 推荐使用第三方客户端软件 PuTTY 配置步骤 1. 选择密钥类型和密钥长度, 并生成 SSH 密钥如下图所示 27

36 注意 : 密钥长度的范围为 256 至 3072 比特生成密钥的过程中, 快速的随意晃动鼠标, 可以加快密钥生成的速度 2. 密钥生成后, 将公钥和私钥文件保存在主机上如下图所示 3. 在交换机配置页面上, 将保存至主机上的公钥文件导入交换机中 28

37 注意 : 密钥类型要与密钥文件的类型保持一致载入 SSH 密钥的过程不能被中断 4. 将私钥文件导入至 SSH 客户端软件中如下图所示 5. 经过上面步骤后, 公钥和私钥文件都已导入, 接着即可进入密钥认证和后续的配置操作登录 PuTTY 的主界面, 输入 IP 地址进行登录 29

38 6. 认证成功后, 输入登录用户名, 如果你不需要输入密码即可登陆成功, 表明密钥已经成功导入如下图所示回目录 30

39 第 5 章二层交换二层交换模块主要用于配置交换机的基本功能, 包括端口管理汇聚管理流量统计以及地址表管理四个部分 5.1 端口管理端口管理用于配置交换机端口的基本属性, 包括端口配置端口监控和端口安全三个配置页面端口配置端口配置用来配置交换机端口的各项基本参数端口状态选择禁用时, 交换机将丢弃来自这个端口的数据包当交换机端口长时间不使用时, 可以将该端口设为禁用, 可有效减小交换机的功耗, 待使用时再将该端口设为启用端口基本参数将会直接影响端口的工作方式, 请结合实际情况进行配置进入页面的方法 : 二层交换 >> 端口管理 >> 端口配置条目介绍 : 端口配置图 5-1 端口配置端口选择 : 选择 : 端口 : 描述 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口参数, 可多选显示交换机的端口号填写端口的描述信息, 以区分各个端口的用途 31

状态 : 速率双工 : 选择端口状态只有状态为启用时, 端口才能正常转发数据包选择端口的传输速率及传输模式与交换机相连的设备必须与交换机的传输速率及双工状态保持一致当选择 Auto 选项时, 该端口的速率双工由自动协商决定默认为 Auto 对于 SFP 端口, 本交换机暂不提供自动协商如果使用的是百兆光纤模块, 请配置速率双工模式为 100M 全双工 ; 如果使用的是千兆光纤模块,

40 状态 : 速率双工 : 选择端口状态只有状态为启用时, 端口才能正常转发数据包选择端口的传输速率及传输模式与交换机相连的设备必须与交换机的传输速率及双工状态保持一致当选择 Auto 选项时, 该端口的速率双工由自动协商决定默认为 Auto 对于 SFP 端口, 本交换机暂不提供自动协商如果使用的是百兆光纤模块, 请配置速率双工模式为 100M 全双工 ; 如果使用的是千兆光纤模块, 请配置速率双工模式为 1000M 全双工流控 : 选择端口的流控状态启用流控能够同步接收端和发送端的速度, 防止因速率不一致导致的网络丢包 LAG: 显示端口当前所属的汇聚组注意 : 端口状态配置为禁用则不能通过该端口管理交换机, 请将要进行管理的端口配置为启用状态从属于同一个汇聚组的所有成员端口的相应参数配置应该保持一致端口监控端口监控是一种数据包获取技术, 通过配置交换机, 可以实现将一个 / 几个端口 ( 被监控端口 ) 的数据包复制到一个特定的端口 ( 监控端口 ), 在监控端口接有一台安装了数据包分析软件的主机, 对收集到的数据包进行分析, 从而达到了网络监控和排除网络故障的目的进入页面的方法 : 二层交换 >> 端口管理 >> 端口监控条目介绍 : 监控组列表图 5-2 端口监控监控组 : 监控端口 : 监控方式 : 被监控端口 : 操作 : 显示监控组的组号显示每个监控组的唯一的一个监控端口号显示每个监控组的监控方式, 共有四种方式 :ingress,egress,both, none 显示每个监控组的所有被监控端口点击 < 编辑 > 按键, 对每个监控组的配置进行修改点击 < 编辑 > 按键, 显示界面如下图所示 : 32

图 5-3 编辑监控组条目介绍 : 监控组选择选择组号 : 选择需要进行配置的监控组组号监控端口配置监控端口 : 监控方式 : 在此处选择该监控组的监控端口在此选择该监控组的监控方式, 如果监控方式选为 None 选项, 则对应勾选的被监控端口将从当前监控组中删除被监控端口被监控端口 : 在此处选择监控组的被监控端口注意 : 汇聚组的成员端口既不能作为监控端口,

41 图 5-3 编辑监控组条目介绍 : 监控组选择选择组号 : 选择需要进行配置的监控组组号监控端口配置监控端口 : 监控方式 : 在此处选择该监控组的监控端口在此选择该监控组的监控方式, 如果监控方式选为 None 选项, 则对应勾选的被监控端口将从当前监控组中删除被监控端口被监控端口 : 在此处选择监控组的被监控端口注意 : 汇聚组的成员端口既不能作为监控端口, 也不能作为被监控端口一个端口不可以既作为监控端口又作为被监控端口端口监控功能可以跨越 VLAN 进行监控端口安全交换机地址表维护着端口和接入端的 MAC 地址的对应关系, 并以此建立交换路径, 地址表的大小是固定的地址表攻击是指利用工具产生欺骗 MAC, 快速填满地址表, 交换机地址表被填满后, 交换机将以广播方式处理通过交换机的报文, 这时攻击者可以利用各种嗅探, 攻击获取网络信息地址表满了后, 数据流以洪泛的方式发送到所有端口, 会造成交换机负载过大, 网络缓慢和丢包甚至瘫痪 33

端口安全通过限制端口的最大学习 MAC 数目, 来防范 MAC 地址攻击并控制端口的网络流量如果端口启用端口安全功能, 将动态学习接入的 MAC 地址, 当学习地址数达到最大值时停止学习此后,MAC 地址未被学习的网络设备将不能再通过该端口接入网络, 以保证安全性进入页面的方法 : 二层交换 >> 端口管理 >> 端口安全条目介绍 : 端口安全图 5-4 端口安全选择 : 端口 :

42 端口安全通过限制端口的最大学习 MAC 数目, 来防范 MAC 地址攻击并控制端口的网络流量如果端口启用端口安全功能, 将动态学习接入的 MAC 地址, 当学习地址数达到最大值时停止学习此后,MAC 地址未被学习的网络设备将不能再通过该端口接入网络, 以保证安全性进入页面的方法 : 二层交换 >> 端口管理 >> 端口安全条目介绍 : 端口安全图 5-4 端口安全选择 : 端口 : 勾选端口配置端口安全, 可多选显示交换机的端口号最大学习地址数 : 填写对应端口最多可以学习的 MAC 地址数目默认为 64 已学习地址数 : 学习模式 : 状态 : 显示对应端口已经学习的 MAC 地址数目选择 MAC 地址学习的模式动态 :MAC 地址学习受老化时间的限制, 老化时间过后, 所学的 MAC 地址将被删除静态 :MAC 地址学习不受老化时间的限制, 只能手动进行删除交换机重启后该条目清空永久 :MAC 地址学习不受老化时间的限制, 只能手动进行删除交换机重启后该条目保持不变选择是否启用端口安全功能注意 : 当端口为汇聚组成员, 该端口的端口安全功能被禁用只有将端口从汇聚组中去掉, 才可以使用端口的端口安全功能若 802.1X 模块启用, 此功能禁用 34

5.2 汇聚管理 LAG(Link Aggregation Group, 端口汇聚组 ) 是将交换机的多个物理端口汇聚在一起形成一个逻辑端口, 同一汇聚组内的多条链路可视为一条逻辑链路端口汇聚可以实现流量在汇聚组中各个成员端口之间进行分担, 以增加带宽同时, 同一汇聚组的各个成员端口之间彼此动态备份, 提高了连接可靠性属于同一个汇聚组中的成员端口必须有一致的配置, 这些配置主要包括 STP

43 5.2 汇聚管理 LAG(Link Aggregation Group, 端口汇聚组 ) 是将交换机的多个物理端口汇聚在一起形成一个逻辑端口, 同一汇聚组内的多条链路可视为一条逻辑链路端口汇聚可以实现流量在汇聚组中各个成员端口之间进行分担, 以增加带宽同时, 同一汇聚组的各个成员端口之间彼此动态备份, 提高了连接可靠性属于同一个汇聚组中的成员端口必须有一致的配置, 这些配置主要包括 STP QoS GVRP VLAN 端口属性 MAC 地址学习等具体说明如下 : 开启 GVRP 802.1Q VLAN 语音 VLAN 生成树 QoS 配置 DHCP 侦听及端口配置 ( 速率双工流控 ) 功能的端口, 若属于汇聚组成员, 则他们的配置需保持一致开启端口安全端口监控 MAC 地址过滤静态 MAC 地址绑定 802.1X 认证功能的端口, 不能加入汇聚组开启 ARP 防护 DoS 防护功能的端口, 建议不要将其加入汇聚组如果需要配置汇聚组, 请在本功能处优先配置汇聚组后, 再去其它功能处配置汇聚组的其它功能说明 : LAG 带宽的计算 : 当使用四个全双工 1000Mbps 端口构成 LAG 时, 由于每一个端口上行和下行各是 1000Mbps, 所以每一个端口的带宽为 2000Mbps 它们使用 LAG 技术汇聚在一起形成的总带宽为 8000Mbps LAG 的流量会根据选路算法均衡分配到各个成员端口中去当 LAG 中的一个或几个端口连接断开的时候, 这些端口的流量会转移到 LAG 中其它链接正常的端口中去, 即具备链路冗余备份功能按照汇聚方式的不同, 端口汇聚可以分为两类 : 手动配置和 LACP 配置本功能包括汇聚列表手动配置和 LACP 配置三个配置页面汇聚列表在本页面中, 可以查看到交换机当前的全部汇聚组进入页面的方法 : 二层交换 >> 汇聚管理 >> 汇聚列表图 5-5 汇聚列表 35

44 条目介绍 : 全局配置选路算法 : 根据选路算法规则, 选择转发数据的端口源目的 MAC 地址 : 仅使用数据包中的源目的 MAC 地址信息源目的 IP 地址 : 仅使用数据包中的源目的 IP 地址信息汇聚列表选择 : 组号 : 描述 : 成员 : 操作 : 勾选汇聚组进行删除, 可多选显示汇聚组的序号显示汇聚组的描述信息显示属于汇聚组的物理端口对单个汇聚组进行相应配置编辑 : 修改汇聚组的描述和成员端口查看 : 查看汇聚组的端口状态信息点击 < 查看 > 按键, 可以看到所选汇聚组的详细信息手动配置图 5-6 汇聚组状态在本页可以对汇聚组进行手动配置, 手动配置的汇聚端口的 LACP 状态为禁用进入页面的方法 : 二层交换 >> 汇聚管理 >> 手动配置 36

图 5-7 手动配置条目介绍 : 全局配置选择组号 : 选择汇聚组的序号, 组号格式为 LAG* 该组描述 : 填写汇聚组的描述信息, 以区分各个汇聚组的用途成员端口成员端口 : 勾选属于汇聚组的物理端口, 清空表示删除该汇聚组说明 : 要删除一个已配置的 LAG, 将该的成员清空并提交即可一个端口仅可以处于一个汇聚组中即若端口已成为其它 LAG 的成员端口, 或者已汇聚成为

45 图 5-7 手动配置条目介绍 : 全局配置选择组号 : 选择汇聚组的序号, 组号格式为 LAG* 该组描述 : 填写汇聚组的描述信息, 以区分各个汇聚组的用途成员端口成员端口 : 勾选属于汇聚组的物理端口, 清空表示删除该汇聚组说明 : 要删除一个已配置的 LAG, 将该的成员清空并提交即可一个端口仅可以处于一个汇聚组中即若端口已成为其它 LAG 的成员端口, 或者已汇聚成为 LACP 中的成员时, 该端口处于灰化状态, 不能勾选 LACP 配置 LACP(Link Aggregation Control Protocol, 链路汇聚控制协议 ) 是基于 IEEE802.3ad 标准用来实现链路动态汇聚与解汇聚的协议汇聚的双方通过协议交互汇聚信息, 将匹配的链路汇聚在一起收发数据, 汇聚组内端口的添加和删除是协议自动完成的, 具有很高的灵活性并提供了负载均衡的能力启用端口的 LACP 功能后, 该端口向对端通告本端的汇聚标识 ( 由系统优先级系统 MAC 和管理 Key 组成 ), 链路两端的汇聚标识完全一致才拥有汇聚在一起形成链路汇聚的条件由于一台交换机最多只能生成 14 个链路汇聚组, 因此当配置的汇聚组比较多的时候, 系统优先级值小的会优先汇聚同样, 一个汇聚组内最多只能有 8 个成员端口, 因此形成汇聚组的端口也有优先级的考虑, 端口优先级值小的端口会被优先选择, 当端口优先级相同时, 优先选取端口号比较小的端口在本页可以配置交换机的 LACP 功能进入页面的方法 : 二层交换 >> 汇聚管理 >>LACP 配置 37

图 5-8 LACP 配置条目介绍 : 全局配置 LACP 功能 : 选择是否启用交换机的 LACP 功能 LACP 配置端口选择 : 选择 : 端口 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口 LACP 功能, 可多选显示交换机的端口号管理 Key: 处于同一汇聚组的成员, 需配置相同的管理 Key 系统优先级 : 端口优先级 : 状态 :

46 图 5-8 LACP 配置条目介绍 : 全局配置 LACP 功能 : 选择是否启用交换机的 LACP 功能 LACP 配置端口选择 : 选择 : 端口 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口 LACP 功能, 可多选显示交换机的端口号管理 Key: 处于同一汇聚组的成员, 需配置相同的管理 Key 系统优先级 : 端口优先级 : 状态 : LAG: 与管理 Key 和系统的 MAC 地址共同形成链路本端的汇聚标识, 汇聚标识完全一致的链路才拥有形成链路汇聚的条件默认为决定了成为汇聚组成员的端口的优先级端口优先级值小的端口会被选择为动态汇聚组成员若端口优先级相同, 则端口号小的会被选择为动态汇聚组成员默认为选择相应端口是否启用 LACP 功能显示端口当前所属的汇聚组 5.3 流量统计流量统计用于统计流经各个端口的数据信息, 本功能包括流量概览和详细统计两个配置页面 38

5.3.1 流量概览流量概览用来显示交换机各端口的流量信息, 便于监控网络流量和分析网络异常进入页面的方法 : 二层交换 >> 流量统计 >> 流量概览条目介绍 : 自动刷新图 5-9 流量概览自动刷新 : 选择是否启用自动刷新功能刷新周期 : 填写自动刷新的时间周期默认为 30 秒流量概览端口选择 : 端口 : 接收数据包数 : 发送数据包数 : 接收字节数 : 发送字节数

47 5.3.1 流量概览流量概览用来显示交换机各端口的流量信息, 便于监控网络流量和分析网络异常进入页面的方法 : 二层交换 >> 流量统计 >> 流量概览条目介绍 : 自动刷新图 5-9 流量概览自动刷新 : 选择是否启用自动刷新功能刷新周期 : 填写自动刷新的时间周期默认为 30 秒流量概览端口选择 : 端口 : 接收数据包数 : 发送数据包数 : 接收字节数 : 发送字节数 : 信息查询 : 点击 < 选择 > 按键, 可根据所输端口号, 快速查找端口条目显示交换机的端口号统计交换机各端口接收的数据包数, 不包括错误的数据包统计交换机各端口发送的数据包数统计交换机各端口接收的字节数, 包括错误的数据包的字节数统计交换机各端口发送的字节数点击查询相应端口的详细统计信息详细统计详细统计用来统计各端口传输数据包的详细信息, 便于定位网络问题进入页面的方法 : 二层交换 >> 流量统计 >> 详细统计 39

图 5-10 详细统计条目介绍 : 自动刷新自动刷新 : 刷新周期 : 选择是否启用自动刷新功能填写自动刷新的时间周期详细统计端口 : 接收信息统计 : 发送信息统计 : 输入所要查看流量信息的交换机端口号统计该端口接收数据包的详细信息统计该端口发送数据包的详细信息广播包 : 端口接收 / 发送的含有效广播地址的数据包数目 ( 不含错误帧 ) 多播包 : 端口接收 /

48 图 5-10 详细统计条目介绍 : 自动刷新自动刷新 : 刷新周期 : 选择是否启用自动刷新功能填写自动刷新的时间周期详细统计端口 : 接收信息统计 : 发送信息统计 : 输入所要查看流量信息的交换机端口号统计该端口接收数据包的详细信息统计该端口发送数据包的详细信息广播包 : 端口接收 / 发送的含有效广播地址的数据包数目 ( 不含错误帧 ) 多播包 : 端口接收 / 发送的含有效多播地址的数据包数目 ( 不含错误帧 ) 单播包 : 端口接收 / 发送的含有效单播地址的数据包数目 ( 不含错误帧 ) Alignment 错误包 : 端口接收的长度为字节的校验和错误的数据帧数目小于 64 字节包 : 端口接收的长度小于 64 字节的数据帧数目 ( 不含错误帧 ) 64 字节包 : 端口接收的长度为 64 字节的数据帧数目 ( 包含错误帧 ) 字节包 : 端口接收的长度为字节的数据帧数目 ( 包含错误帧 ) 字节包 : 端口接收的长度为字节的数据帧数目 ( 包含错误帧 ) 字节包 : 端口接收的长度为字节的数据帧数目 ( 包含错误帧 ) 字节包 : 端口接收的长度为字节的数据帧数目 ( 包含错误帧 ) 40

49 大于 1023 字节包 : 冲突包 : 端口接收的长度大于 1023 字节小于 jumbo 帧长的数据帧数目 ( 包含错误帧 ) 端口工作在半双工模式下发送数据包时产生的冲突包数目 5.4 地址表管理交换机的主要功能是对报文进行转发, 也就是根据报文的目的 MAC 地址将报文输出到相应的端口地址表包含了端口间报文转发的地址信息, 是交换机实现报文快速转发的基础地址表中的表项可以通过自动学习和手动绑定两种方式进行更新和维护, 多数地址表条目都是通过自动学习功能来创建和维护的, 而对于某些相对固定的连接来说, 手动绑定可以提高交换机的效率, 通过 MAC 地址过滤功能可以使交换机对不期望转发的数据帧进行过滤, 从而提升了网络安全性地址表的分类及特点如下表所示 : 地址表类别配置方式有无老化时间重启后是否被保留 ( 配置保存后 ) 已绑定的 MAC 地址与端口的关系静态地址表手动配置无是动态地址表自动学习有否在同一 VLAN 中, 已绑定的 MAC 地址不能被其它端口学习已绑定的 MAC 地址可以重新被其它端口学习过滤地址表手动配置无是 - 本功能包括地址表显示静态地址表动态地址表和过滤地址表四个配置页面地址表显示在本页可以查看到交换机地址表的全部信息进入页面的方法 : 二层交换 >> 地址表管理 >> 地址表显示 41

50 图 5-11 地址表显示条目介绍 : 显示配置 MAC 地址 : VLAN ID: 端口 : 地址类型 : 填写欲查找条目需包含的 MAC 地址信息填写欲查找条目需包含的 VLAN ID 信息选择欲查找条目需包含的交换机端口选择欲查找条目需包含的地址类型信息全部 : 显示全部地址表条目静态 : 显示静态地址表条目动态 : 显示动态地址表条目过滤 : 显示过滤地址表条目地址表 MAC 地址 : 显示交换机学习到的 MAC 地址 VLAN ID: 显示 MAC 地址条目对应的 VLAN ID 端口 : 地址类型 : 老化状态 : 显示 MAC 地址条目对应的交换机端口显示 MAC 地址的类型显示 MAC 地址的老化状态 42

5.4.2 静态地址表静态地址表记录了端口的静态地址静态地址是不会老化的 MAC 地址, 它区别于一般的由端口学习得到的动态地址静态地址只能手动添加和删除, 不受最大老化时间的限制这对于某些相对固定的连接来说, 可减少地址学习步骤, 从而提高交换机的转发效率静态地址表也可以显示在端口安全功能中自动学习到的静态 MAC 地址进入页面的方法 : 二层交换 >> 地址表管理 >>

51 5.4.2 静态地址表静态地址表记录了端口的静态地址静态地址是不会老化的 MAC 地址, 它区别于一般的由端口学习得到的动态地址静态地址只能手动添加和删除, 不受最大老化时间的限制这对于某些相对固定的连接来说, 可减少地址学习步骤, 从而提高交换机的转发效率静态地址表也可以显示在端口安全功能中自动学习到的静态 MAC 地址进入页面的方法 : 二层交换 >> 地址表管理 >> 静态地址表条目介绍 : 新建条目图 5-12 静态地址表 MAC 地址 : 填写静态绑定的 MAC 地址 VLAN ID: 填写 MAC 地址条目对应的 VLAN ID 端口 : 选择静态绑定的交换机端口号查找条目查找选项 : 选择静态地址表的显示规则, 可以快速查找到所需的条目 MAC: 填写欲查找条目需包含的 MAC 地址信息 VLAN ID: 填写欲查找条目需包含的 VLAN ID 信息端口号 : 配置欲查找条目需包含的交换机端口号静态地址表选择 : MAC 地址 : 勾选条目进行删除或修改该条目对应的交换机端口号, 可多选显示静态绑定的 MAC 地址 VLAN ID: 显示 MAC 地址条目对应的 VLAN ID 43

52 端口 : 地址类型 : 老化状态 : 显示 MAC 地址条目对应的交换机端口在此可以修改与静态 MAC 地址绑定的端口, 但是修改后的端口必须是 VLAN 的成员端口显示 MAC 地址的类型显示 MAC 地址的老化状态注意 : 如果地址的端口指定错误, 或使用过程中端口 ( 或设备 ) 被人为改变, 必须重新设置该静态地址表项, 否则交换机将无法正确转发数据静态地址一旦被设置, 如果把有此地址的网络设备连接到交换机的其它端口, 交换机将不能动态识别因此必须保证静态地址表中的表项都是正确有效的凡是加入到静态地址表的地址, 不能同时加入到过滤地址表, 也不能被端口动态绑定若 802.1X 模块开启, 此功能禁用动态地址表动态地址是交换机通过自动学习获取的 MAC 地址, 交换机通过自动学习新的地址和自动老化掉不再使用的地址来不断更新其动态地址表交换机的地址表的容量是有限的, 为了最大限度利用地址表的资源, 交换机使用老化机制来更新地址表, 即 : 系统在动态学习地址的同时, 开启老化定时器, 如果在老化时间内没有再次收到相同地址的报文, 交换机就会把该 MAC 地址从表项删除在本页可以配置交换机的动态地址表功能进入页面的方法 : 二层交换 >> 地址表管理 >> 动态地址表 44

图 5-13 动态地址表条目介绍 : 老化设置自动老化 : 选择是否启用自动老化老化时间 : 填写地址老化时间默认为 300 秒查找条目查找选项 : 选择动态地址表的显示规则, 可以快速查找到所需的条目 MAC: 填写欲查找条目需包含的 MAC 地址信息 VLAN ID: 填写欲查找条目需包含的

53 图 5-13 动态地址表条目介绍 : 老化设置自动老化 : 选择是否启用自动老化老化时间 : 填写地址老化时间默认为 300 秒查找条目查找选项 : 选择动态地址表的显示规则, 可以快速查找到所需的条目 MAC: 填写欲查找条目需包含的 MAC 地址信息 VLAN ID: 填写欲查找条目需包含的 VLAN ID 信息端口号 : 选择欲查找条目需包含的交换机端口号动态地址表选择 : MAC 地址 : 勾选动态地址条目进行删除或将该条目绑定为静态地址, 可多选显示动态绑定的 MAC 地址 VLAN ID: 显示 MAC 地址条目对应的 VLAN ID 端口 : 显示 MAC 地址条目对应的交换机端口 45

地址类型 : 老化状态 : 绑定 : 显示 MAC 地址的类型显示 MAC 地址的老化状态将动态绑定的地址条目转化为静态绑定说明 : 老化时间过长会导致交换机的地址表中保存过多过时的地址表项, 从而耗尽地址表的资源, 导致交换机无法根据网络的变化更新地址表老化时间过短, 又会造成地址表刷新过快, 大量接收到的数据包的目的地址在地址表中找不到, 致使交换机只能将这些数据包广播给所有端口,

54 地址类型 : 老化状态 : 绑定 : 显示 MAC 地址的类型显示 MAC 地址的老化状态将动态绑定的地址条目转化为静态绑定说明 : 老化时间过长会导致交换机的地址表中保存过多过时的地址表项, 从而耗尽地址表的资源, 导致交换机无法根据网络的变化更新地址表老化时间过短, 又会造成地址表刷新过快, 大量接收到的数据包的目的地址在地址表中找不到, 致使交换机只能将这些数据包广播给所有端口, 这将降低交换机的性能建议使用默认值过滤地址表通过配置过滤地址, 允许交换机对不期望转发的数据帧进行过滤, 过滤地址不会被老化, 只能手工进行添加和删除在过滤地址表中添加受限的 MAC 地址后, 交换机将自动过滤掉源 / 目的地址为这个地址的帧, 以达到安全的目的过滤地址表中的地址对所有的交换机端口都生效进入页面的方法 : 二层交换 >> 地址表管理 >> 过滤地址表条目介绍 : 新建条目图 5-14 过滤地址表 MAC 地址 : 填写过滤的 MAC 地址 VLAN ID: 填写 MAC 地址条目对应的 VLAN ID 查找条目查找选项 : 选择过滤地址表的显示规则, 可以快速查找到所需的条目 MAC: 填写欲查找条目需包含的 MAC 地址信息 VLAN ID: 填写欲查找条目需包含的 VLAN ID 信息 46

55 静态地址表选择 : MAC 地址 : 勾选过滤地址条目进行删除, 可多选显示过滤的 MAC 地址 VLAN ID: 显示 MAC 地址条目对应的 VLAN ID 端口号 : 地址类型 : 老化状态 : 此处为 "--", 表示无指定端口显示 MAC 地址的类型显示 MAC 地址的老化状态注意 : 已加入到过滤地址表中的地址不能被加入到静态地址表中, 也不能被端口动态绑定若 802.1X 模块开启, 此功能禁用回目录 47

第 6 章 VLAN 以太网是一种基于 CSMA/CD(Carrier Sense Multiple Access/Collision Detect, 载波侦听多路访问 / 冲突检测 ) 的共享通讯介质的数据网络通讯技术, 当主机数目较多时会导致冲突严重广播泛滥性能显著下降甚至使网络不可用等问题通过交换机实现 LAN 互联虽然可以解决冲突 (Collision) 严重的问题,

56 第 6 章 VLAN 以太网是一种基于 CSMA/CD(Carrier Sense Multiple Access/Collision Detect, 载波侦听多路访问 / 冲突检测 ) 的共享通讯介质的数据网络通讯技术, 当主机数目较多时会导致冲突严重广播泛滥性能显著下降甚至使网络不可用等问题通过交换机实现 LAN 互联虽然可以解决冲突 (Collision) 严重的问题, 但仍然不能隔离广播报文在这种情况下出现了 VLAN(Virtual Local Area Network) 技术, 这种技术可以把一个 LAN 划分成多个逻辑的 LAN VLAN, 每个 VLAN 是一个广播域,VLAN 内的主机间通信就和在一个 LAN 内一样, 而 VLAN 间则不能直接互通, 这样, 广播报文被限制在一个 VLAN 内同一个 VLAN 内的主机通过传统的以太网通信方式进行报文的交互, 而不同 VLAN 内的主机之间则需要通过路由器或三层交换机等网络层设备进行通信如图 6-1 所示图 6-1 VLAN 示意图 VLAN 的优点如下 : 1) 提高网络性能将广播包限制在 VLAN 内, 从而有效控制网络的广播风暴, 节省了网络带宽, 从而提高网络处理能力 2) 增强网络安全不同 VLAN 的设备不能互相访问, 不同 VLAN 的主机不能直接通信, 需要通过路由器或三层交换机等网络层设备对报文进行三层转发 3) 简化网络管理同一个虚拟工作组的主机不会局限在某个物理范围内, 简化了网络的管理, 方便了不同区域的人建立工作组 VLAN 的划分不受物理位置的限制, 不在同一物理位置范围的主机可以属于同一个 VLAN; 一个 VLAN 包含的用户可以连接在同一个交换机上, 也可以跨越交换机本交换机支持的 VLAN 划分方式包括 802.1Q VLAN MAC VLAN 和协议 VLAN 三种 MAC VLAN 和协议 VLAN 仅对 untag 数据包和优先级 tag 数据包生效, 当一个数据包同时满足 802.1Q VLAN MAC VLAN 和协议 VLAN 时, 交换机将按照 MAC VLAN 协议 VLAN PVID 的顺序来处理数据包, 在相应 VLAN 中转发数据包 Q VLAN 由于普通交换机工作在 OSI 模型的数据链路层, 若要交换机能够识别不同 VLAN 的数据包, 只能对数据包的数据链路层封装进行 VLAN 识别因此,VLAN 识别字段被添加到数据链路层封装中 48

57 IEEE 802.1Q 协议为了标准化 VLAN 实现方案, 对带有 VLAN 标识的数据包结构进行了统一规定协议规定在目的 MAC 地址和源 MAC 地址之后封装 4 个字节的 VLAN Tag, 用以标识 VLAN 的相关信息, 如图 6-2 所示 VLAN Tag 包含四个字段, 分别是 TPID(Tag Protocol Identifier, 标签协议标识符 ) Priority CFI(Canonical Format Indicator, 标准格式指示位 ) 和 VLAN ID 图 6-2 VLAN Tag 组成字段 1) TPID: 用来表示本数据帧是带有 VLAN Tag 的数据该字段长度为 16bit 协议规定的缺省取值为 0x8100 2) Priority: 用来表示数据包的传输优先级 3) CFI: 以太网交换机中,CFI 总被设置为 0 由于兼容特性,CFI 常用于以太网类网络和令牌环类网络之间, 如果在以太网端口接收的帧 CFI 设置为 1, 表示该帧不进行转发, 这是因为以太网端口是一个无标签端口 4) VLAN ID: 用来标识该报文所属 VLAN 的编号该字段长度为 12bit, 取值范围为 0~4095 由于 0 和 4095 通常不使用, 所以 VLAN ID 的取值范围一般为 1~4094 VLAN ID 简称 VID 交换机利用 VLAN ID 来识别报文所属的 VLAN, 当接收到的数据包不携带 VLAN Tag 时, 交换机会为该数据包封装带有接收端口缺省 VLAN ID 的 VLAN Tag, 将数据包在接收端口的缺省 VLAN 中进行传输本手册中, 对包含 VLAN Tag 字段的数据包我们简称为 tag 帧,untag 帧指数据包中没有 VLAN Tag 字段的数据包, 优先级 tag 帧指数据包中有 VLAN Tag 字段, 但 VLAN ID 为 0 的数据包端口的三种链路类型在创建 802.1Q VLAN 时, 需要根据端口连接的设备设置端口的链路类型端口的链路类型有下面三种 : 1) ACCESS: 端口只能属于 1 个 VLAN, 出口规则为 UNTAG, 多为连接用户终端设备的端口当 ACCESS 类型端口加入了其它 VLAN 时, 则自动退出原有 VLAN 2) TRUNK: 端口可以允许多个 VLAN 通过, 可以接收和发送多个 VLAN 的报文, 常用于网络设备之间级连在网络中 VLAN 经常跨接在不同交换机上,TRUNK 类型端口的出口规则为 TAG, 能够保证转发各种 VLAN 的数据包时不改变其携带的 VLAN 信息 3) GENERAL: 端口可以允许多个 VLAN 通过, 可以接收和发送多个 VLAN 的报文, 可以用于网络设备之间连接, 也可以用于连接用户设备 GENERAL 类型端口的出口规则可以根据该端口连接设备的实际情况灵活配置 PVID 与 VLAN 数据包处理关系 PVID(Port Vlan ID), 就是端口的缺省 VID 当交换机的端口接收到的报文不带 VLAN Tag 时, 交换机会根据接收端口的 PVID 值为该报文插入 VLAN Tag, 并进行转发当在局域网中划分 VLAN 时,PVID 是每个端口的一个重要参数, 表示端口默认所属的 VLAN 它有两个用途 : 49

1) 当端口收到 untag 报文时, 将根据 PVID 为数据包插入 VLAN Tag 2) PVID 指定了端口的默认广播域, 即当端口接收到 UL 包或广播包的时候, 交换机将这些数据包在该端口的缺省 VLAN 内广播端口的链路类型本质上是交换机对出入端口的 VLAN Tag 的处理方式, 详细规则如表 6-1 所示端口类型报文不带 Tag 对接收报文的处理报文带 Tag

58 1) 当端口收到 untag 报文时, 将根据 PVID 为数据包插入 VLAN Tag 2) PVID 指定了端口的默认广播域, 即当端口接收到 UL 包或广播包的时候, 交换机将这些数据包在该端口的缺省 VLAN 内广播端口的链路类型本质上是交换机对出入端口的 VLAN Tag 的处理方式, 详细规则如表 6-1 所示端口类型报文不带 Tag 对接收报文的处理报文带 Tag 发送报文时的处理 Access 当 VID= 端口 PVID, 接收报文当 VID 端口 PVID, 丢弃报文去掉 Tag 后, 发送报文 Trunk General 接收报文, 并为报文添加缺省的 VLAN Tag 即输入端口的 PVID 当 VID 属于端口允许通过的 VLAN ID 时, 接收报文当 VID 不属于该端口允许通过的 VLAN ID 时, 丢弃报文保持原有 Tag 发送报文当出口规则配置为 TAG 时, 保持原有 tag 发送报文当出口规则配置为 UNTAG 时, 去 tag 后发送报文表 6-1 端口类型与 VLAN 数据处理关系 IEEE 802.1Q VLAN 功能包括 VLAN 配置端口配置两个配置页面 VLAN 配置在 VLAN 配置页面中可以查看当前已经创建的 802.1Q VLAN 进入页面的方法 :VLAN>>802.1Q VLAN>>VLAN 配置图 6-3 查看 VLAN 列表在缺省情况下, 为了保证交换机在出厂情况下能正常通信, 所有端口的缺省 VLAN 均为 VLAN1, 只有属于 VLAN1 的端口才能访问交换机 Web 页面 VLAN1 无法编辑和删除条目介绍 : 端口配置 VLAN ID 选择 : 选择 : 点击 < 选择 > 按键, 可根据所输 VLAN ID, 快速查找 VLAN 条目勾选条目进行删除, 可多选 VLAN ID: 显示 VLAN ID 描述 : 端口成员 : 显示 VLAN 的描述信息显示 VLAN 的端口成员 50

59 操作 : 对单个 VLAN 条目进行相应操作编辑 : 修改 VLAN 配置查看 : 查看 VLAN 配置信息点击 < 编辑 > 按键, 可以对相应的 VLAN 进行编辑点击 < 新建 > 按键, 可以创建新的 VLAN 图 6-4 创建或编辑 802.1Q VLAN 条目介绍 : VLAN 配置 VLAN ID: 填写 VLAN ID VLAN 描述 : VID 检查填写 VLAN 的描述信息, 以便区分各个 VLAN 的用途点击 <VID 检查 > 按键, 检查所填的 VLAN ID 是否有效选择端口成员端口选择 : 选择 : 端口 : 链路类型 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置属于 VLAN 的端口成员, 可多选也可不选显示交换机的端口号显示相应端口的端口类型, 本项可在端口配置页面中进行设置 51

出口规则 : 选择 VLAN 端口成员的出口规则默认为 UNTAG TAG: 输出的数据帧带有 tag 信息 UNTAG: 输出的数据帧不带 tag 信息 LAG: 显示端口当前所属的汇聚组 6.1.2 端口配置在创建 802.1Q VLAN 时, 需要对端口连接的设备进行了解, 以便设置各端口的参数进入页面的方法 :VLAN>>802.

60 出口规则 : 选择 VLAN 端口成员的出口规则默认为 UNTAG TAG: 输出的数据帧带有 tag 信息 UNTAG: 输出的数据帧不带 tag 信息 LAG: 显示端口当前所属的汇聚组端口配置在创建 802.1Q VLAN 时, 需要对端口连接的设备进行了解, 以便设置各端口的参数进入页面的方法 :VLAN>>802.1Q VLAN>> 端口配置条目介绍 : VLAN 端口配置图 Q VLAN 端口配置端口选择 : 选择 : 端口 : 点击 < 选择 > 按键, 可根据所输端口号, 快速查找端口条目勾选端口配置端口类型和 PVID 值, 可多选显示交换机的端口号端口类型 : 选择交换机的端口类型默认为 ACCESS ACCESS: 该端口只能加入一个 VLAN, 出口规则为 UNTAG PVID 值与当前 VLAN ID 的值保持相同如果 VLAN 删除, 相应端口的 PVID 会自动置为默认值 1 TRUNK: 该端口可加入多个 VLAN, 出口规则为 TAG PVID 值可设置为当前端口加入的任意一个 VLAN 的 VID 值 GENERAL: 该端口可加入多个 VLAN, 且允许根据不同 VLAN 选择不同的出口规则, 默认出口规则为 UNTAG PVID 值可设置为当前端口加入的任意一个 VLAN 的 VID 值 52

PVID: 填写交换机物理端口的 PVID 值默认为 1 LAG: 所属 VLAN: 显示端口当前所属的汇聚组查询本端口所加入的 VLAN 信息点击 < 查询 > 按键, 可以查询相应端口所属条目介绍 : 端口加入的 VLAN 图 6-6 查看端口所属 VLAN VLAN ID 查找 : 点击 < 查找 > 按键, 可根据所输 VLAN ID, 快速查找端口所属的 VLAN 条目

61 PVID: 填写交换机物理端口的 PVID 值默认为 1 LAG: 所属 VLAN: 显示端口当前所属的汇聚组查询本端口所加入的 VLAN 信息点击 < 查询 > 按键, 可以查询相应端口所属条目介绍 : 端口加入的 VLAN 图 6-6 查看端口所属 VLAN VLAN ID 查找 : 点击 < 查找 > 按键, 可根据所输 VLAN ID, 快速查找端口所属的 VLAN 条目 VLAN ID: 显示 VLAN ID VLAN 描述 : 从该 VLAN 移除 : 显示 VLAN 的描述信息点击 < 移除 > 按键, 将本端口从相应 VLAN 中移除 802.1Q VLAN 配置步骤 : 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面根据端口连接的设备设置端口类型 2 创建 VLAN 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN, 请输入 VLAN ID 并对其进行描述, 在此页面中请同时勾选 VLAN 包含的端口 3 编辑 / 查看 VLAN 可选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面点击 < 编辑 > 或 < 查看 > 按键, 可以对相应的 VLAN 进行编辑和查看 4 删除 VLAN 可选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面勾选相应的 VLAN 条目, 点击 < 删除 > 按键进行删除 6.2 MAC VLAN MAC VLAN 是 VLAN 的另一种划分方法, 根据每个主机的 MAC 地址来划分 VLAN, 即对每个主机的 MAC 地址均划分到 VLAN 中 MAC VLAN 的优点在于, 将 MAC 地址与 VLAN 绑定后, 该 MAC 地址对应的设备可以随意切换端口, 只要连接到相应 VLAN 的成员端口即可, 而不必改变 VLAN 成员的配置 53

MAC VLAN 中数据包处理有如下特点 : 1. 当端口收到 UNTAG 数据包时, 首先查看是否创建配置相应的 MAC VLAN, 若已创建 MAC VLAN, 则给数据包插入 MAC VLAN 的 TAG; 若没有相应的 MAC VLAN, 则根据接收端口的 PVID 值给数据包插入 TAG, 并将数据包在相应的 VLAN 中转发 2. 当端口收到 TAG 数据包时, 交换机按照 802.

62 MAC VLAN 中数据包处理有如下特点 : 1. 当端口收到 UNTAG 数据包时, 首先查看是否创建配置相应的 MAC VLAN, 若已创建 MAC VLAN, 则给数据包插入 MAC VLAN 的 TAG; 若没有相应的 MAC VLAN, 则根据接收端口的 PVID 值给数据包插入 TAG, 并将数据包在相应的 VLAN 中转发 2. 当端口收到 TAG 数据包时, 交换机按照 802.1Q VLAN 的方式处理该帧如果接收端口允许该 VLAN 的数据包通过, 则正常转发 ; 如果不允许, 则丢弃该数据包 3. 将某个主机的 MAC 划分到 802.1Q VLAN 中后, 为了保证该主机能够在此 VLAN 内正常通信, 请将其接入端口设置成相应的 802.1Q VLAN 成员详情请查看 MAC VLAN 在 MAC VLAN 页面中, 可以创建 MAC VLAN 并查看当前已创建的 MAC VLAN 进入页面的方法 :VLAN>>MAC VLAN>>MAC VLAN 条目介绍 : MAC VLAN 配置图 6-7 创建并查看 MAC VLAN MAC 地址 : MAC 描述 : VLAN ID: 输入 MAC 地址输入对 MAC 地址的描述, 以便区分各个 MAC 的用途输入该 MAC VLAN 对应的 VLAN ID, 此 VLAN 必须是输入端口所在的 802.1Q VLAN MAC VLAN 列表 MAC 地址选择 : 选择 : MAC 地址 : MAC 描述 : 点击 < 选择 > 按键, 可根据所输 MAC 快速查找 MAC VLAN 条目勾选条目进行删除, 可多选显示 MAC 地址显示此 MAC 的描述信息, 以便区分各个 MAC 的设备 VLAN ID: 显示该 MAC 对应的 VLAN ID 54

63 操作 : 点击对应条目 < 编辑 > 按键, 可以修改该条目的参数修改完毕后, 点击 < 修改 > 按键, 修改内容生效 MAC VLAN 配置步骤 : 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面结合实际网络结构设置端口链路类型 2 创建 VLAN 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN, 请输入 VLAN ID 并对其进行描述, 在此页面中请同时勾选 VLAN 包含的端口 3 创建 MAC VLAN 必选操作在 VLAN>>MAC VLAN 页面创建 MAC VLAN 创建了 MAC VLAN 后, 对应 MAC 地址的设备在交换机上的连接端口也必须是 VLAN 成员, 才能保证正常通信 6.3 协议 VLAN 协议 VLAN 是按照网络层协议来划分 VLAN, 可将网络中应用的服务类型与协议 VLAN 进行绑定, 并实现特定目标通过配置协议 VLAN, 交换机可以对端口上收到的未携带 VLAN Tag 的报文进行分析, 根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配, 为匹配成功的报文添加相应的 VLAN Tag, 实现将属于指定协议的数据自动分发到特定的 VLAN 中传输的功能对于希望针对具体应用和服务来管理用户的网络管理员, 可通过划分协议 VLAN 来进行管理以太网数据封装格式为清楚地了解交换机对报文协议的识别过程, 先简略介绍以太网常用的数据封装格式目前以太网的报文封装主要有两种, 分别为 Ethernet II 封装和 802.2/802.3 封装, 两种报文的封装格式如下 : Ethernet II 封装 802.2/802.3 封装 DA SA 分别表示报文的目的 MAC 地址和源 MAC 地址, 数字表示此字段的长度, 单位为字节, 如源目的 MAC 地址字段共占用了 12 字节由于以太网报文的最大长度为 1500 字节, 转换成 16 进制数字为 0x05DC, 所以 802.2/802.3 封装的 Length 字段取值范围为 0x0000~0x05DC 而 Ethernet II 型封装中的 Type 字段取值范围为 0x0600~0xFFFF Type 或 Length 字段取值为 0x05DD~0x05FF 的报文将被认为是非法报文, 交换机将直接丢弃交换机根据这两个字段的取值范围的不同来区分 Ethernet II 型和 802.2/802.3 型报文 55

64 802.2/802.3 封装有 3 种扩展封装格式 : raw 封装在源地址和目的地址之后只封装 Length 字段, 之后即是 DATA, 没有其他字段目前只有 IPX 协议支持 raw 封装 raw 封装在 Length 字段后两个字节的取值固定为 0xFFFF LLC(Logic Link Control, 逻辑链路控制 ) 封装在源目的地址后封装 Length DSAP(Destination Service Access Point, 目的服务访问点 ) SSAP(Source Service Access Point, 源服务访问点 ) 和 Control 字段, 其中 Control 字段的取值固定为 LLC 封装中的 DSAP 和 SSAP 是用来标识上层协议类型的字段例如, 当两个字段同时取值为 0xE0 时, 表示上层协议为 IPX SNAP(Sub-Network Access Protocol, 子网接入协议 ) 封装按标准型报文进行封装在 SNAP 封装中,DSAP 和 SSAP 字段的取值均固定为 0xAA,Control 字段取值为 3 交换机根据 DSAP 和 SSAP 字段的取值区分 LLC 和 SNAP 封装以太网报文到底采用哪种封装格式, 取决于发送该报文的设备, 同一个设备可能可以同时发送两种格式的报文目前最常使用的封装格式是 Ethernet II 封装格式 IP 协议 ARP 协议和 RARP 协议均支持和 Ethernet II 两种报文封装格式, 但是并非所有协议都支持上述所有封装格式交换机通过匹配两种封装类型的特征值来区分报文所属的协议交换机对报文协议的匹配规则 56

65 交换机协议 VLAN 的实现方式本交换机可以通过协议模板来匹配报文, 根据协议在指定的 VLAN 中传输报文协议模板是用来匹配报文所属协议类型的标准, 包括封装格式和协议类型两部分在创建协议 VLAN 前需要设定相应的协议模板表 6-2 是常见网络层协议支持的封装格式, 设置协议模板可以参考同时交换机也预设的部分协议模板, 可以直接根据相应的协议模板创建协议 VLAN 协议封装 Ethernet II raw LLC SNAP IP(0x0800) 支持不支持不支持支持 IPX(0x8137) 支持支持支持支持 AppleTalk(0x809B) 支持不支持不支持支持表 6-2 常见协议支持的封装格式本交换机对各种 VLAN 数据包处理特点 1. 当端口收到 UNTAG 数据包时, 首先查看是否创建配置相应的协议 VLAN, 若已创建协议 VLAN, 则给数据包插入协议 VLAN 的 TAG; 若没有相应的协议 VLAN, 则根据接收端口的 PVID 值给数据包插入 TAG, 并将数据包在相应的 VLAN 中转发 57

66 2. 当端口收到 TAG 数据包时, 交换机按照 802.1Q VLAN 的方式处理该帧如果接收端口属于携带该 VLAN TAG 的数据包通过, 则正常转发 ; 如果不属于, 则丢弃该数据包 3. 创建了协议 VLAN 后, 为了保证数据的正常传输, 请将协议 VLAN 的使能端口设置为相应 802.1Q VLAN 成员详情请查看表 6-1 端口类型与 VLAN 数据处理关系协议组列表在协议组列表页面中, 可以查看创建或编辑协议 VLAN 进入页面的方法 :VLAN>> 协议 VLAN>> 协议组列表条目介绍 : 协议 VLAN 列表图 6-8 协议组列表选择 : 协议类型 : 勾选条目进行删除, 可多选显示协议 VLAN 的协议类型 VLAN ID: 显示协议 VLAN ID Member: 显示协议 VLAN 成员端口操作 : 点击对应条目 < 编辑 > 按键, 可以修改该条目的参数修改完毕后, 点击 < 修改 > 按键, 修改内容生效点击 < 新建 > 按钮, 可以创建新的协议 VLAN 协议组配置在此页面中, 可以修改相应的协议 VLAN 进入页面的方法 :VLAN>> 协议 VLAN>> 协议组配置 58

图 6-9 创建并查看协议模板条目介绍 : 协议组配置协议类型 : 选择需要修改的协议 VLAN 类型 VLAN ID: 配置协议 VLAN ID 协议组成员勾选协议 VLAN 成员端口, 建立成员端口与协议 VLAN 进行关联设置了协议 VLAN 成员端口后, 当这些端口收到 Untag 数据包时, 将优先判断是否存在相应的协议 VLAN 若存在, 则将数据包在相应的协议 VLAN

67 图 6-9 创建并查看协议模板条目介绍 : 协议组配置协议类型 : 选择需要修改的协议 VLAN 类型 VLAN ID: 配置协议 VLAN ID 协议组成员勾选协议 VLAN 成员端口, 建立成员端口与协议 VLAN 进行关联设置了协议 VLAN 成员端口后, 当这些端口收到 Untag 数据包时, 将优先判断是否存在相应的协议 VLAN 若存在, 则将数据包在相应的协议 VLAN 中转发数据包 ; 若不存在, 则将数据包按照 802.1Q VLAN 规则进行转发注意 : 协议 VLAN 成员端口需要匹配报文的协议来为各种报文封装不同的 VLAN Tag, 则需要属于多个 VLAN 而且, 在协议 VLAN 的情况下, 由于该端口连接客户端, 所以该端口出口规则要设置为 Untag 综上所述, 设置协议 VLAN 成员端口前, 请将端口配置为 GENERAL 端口, 并配置该端口在转发来自协议 VLAN 的报文时出口规则为 Untag 协议模板配置协议 VLAN 前应先配置协议模板, 本交换机在出厂默认情况下已经定义了 IP ARP 和 RARP 等协议模板, 若需要更多的协议模板时, 请在此页面中添加进入页面的方法 :VLAN>> 协议 VLAN>> 协议模板 59

图 6-10 创建协议模板条目介绍 : 协议模板配置协议类型 : Ether Type: Frame Type: 配置新定义的协议模板的名称配置该协议模板中协议类型值配置该协议使用的封装格式协议模板列表选择 : 协议类型 : Ether Type: Frame Type: 勾选条目进行删除, 可多选显示协议模板的名称显示该协议模板中协议类型值显示该协议使用的封装格式注意 :

68 图 6-10 创建协议模板条目介绍 : 协议模板配置协议类型 : Ether Type: Frame Type: 配置新定义的协议模板的名称配置该协议模板中协议类型值配置该协议使用的封装格式协议模板列表选择 : 协议类型 : Ether Type: Frame Type: 勾选条目进行删除, 可多选显示协议模板的名称显示该协议模板中协议类型值显示该协议使用的封装格式注意 : 当协议模板与 VLAN 绑定后, 将无法删除协议模板协议 VLAN 配置步骤 : 步骤操作说明 1 创建协议模板必选操作配置协议 VLAN 前应先在 VLAN>> 协议 VLAN>> 协议模板页面配置协议模板 2 创建协议 VLAN 必选操作在 VLAN>> 协议 VLAN>> 协议组列表页面中点击 < 新建 > 按键来创建协议 VLAN 3 编辑 / 查看 VLAN 可选操作在 VLAN>> 协议 VLAN>> 协议组列表页面点击 < 编辑 > 按键对相应的 VLAN 进行编辑 4 删除 VLAN 可选操作在 VLAN>> 协议 VLAN>> 协议组列表页面勾选相应的 VLAN 条目, 点击 < 删除 > 按键进行删除 60

69 Q VLAN 功能的组网应用组网需求交换机 A 连接了计算机 A 和服务器 B; 交换机 B 连接了计算机 B 和服务器 A; 计算机 A 和服务器 A 同属于一个部门 ; 计算机 B 和服务器 B 同属于一个部门 ; 两个部门以 VLAN 划分, 相互之间不能通信组网图图中的 P 数字表示交换机的端口号配置步骤配置交换机 A: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 2 的类型为 ACCESS; 设置端口 3 的类型为 TRUNK; 端口 4 类型为 ACCESS 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 并包含的端口 2 和端口 3 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 并包含的端口 3 和端口 4 61

70 配置交换机 B: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 7 的类型为 ACCESS; 设置端口 6 的类型为 TRUNK; 端口 8 类型为 ACCESS 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 并包含的端口 6 和端口 8 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 并包含的端口 6 和端口 MAC VLAN 功能的组网应用组网需求交换机 A 和交换机 B 分别连接到两个会议室, 会议室为各部门共用 ; 笔记本 A 和笔记本 B 为会议室专用电脑, 分别属于不同部门 ; 两个部门分别属于 VLAN10 和 VLAN20 现要求这两台笔记本电脑无论在哪个会议室使用, 均只能访问自己部门的服务器, 即服务器 A 和服务器 B; 笔记本 A 和笔记本 B 的 MAC 地址分别为 A-4C B-70 组网图图中的 P 数字表示交换机的端口号配置步骤 62

71 配置交换机 A: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 11 的端口类型为 GENERAL, 端口 12 的端口类型为 TRUNK 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 包含的端口 11 和端口 12, 端口 11 的出口规则设置为 Untag 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 包含的端口 11 和端口 12, 端口 11 的出口规则设置为 Untag 4 设置 MAC VLAN 10 5 设置 MAC VLAN 20 在 VLAN>>MAC VLAN 页面创建 MAC VLAN10, 关联的 MAC 地址为 A-4C-71 在 VLAN>>MAC VLAN 页面创建 MAC VLAN20, 关联的 MAC 地址为 B-70 配置交换机 B: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 21 的端口类型为 GENERAL, 端口 22 的端口类型为 TRUNK 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 包含的端口 21 和端口 22, 端口 21 的出口规则设置为 Untag 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 包含的端口 21 和端口 22, 端口 21 的出口规则设置为 Untag 4 设置 MAC VLAN 10 5 设置 MAC VLAN 20 在 VLAN>>MAC VLAN 页面创建 MAC VLAN10, 关联的 MAC 地址为 A-4C-71 在 VLAN>>MAC VLAN 页面创建 MAC VLAN20, 关联的 MAC 地址为 B-70 配置交换机 C: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 2 和端口 3 的端口类型为 GENERAL, 端口 4 和端口 5 的端口类型为 ACCESS 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 包含的端口 2 端口 3 和端口 5 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 包含的端口 2 端口 3 和端口 4 63

6.6 协议 VLAN 功能的组网应用组网需求平面部门通过内部交换机 A 的端口 12 连入公司局域网 ; 平面部门中分别有 IP 主机和 AppleTalk 主机 ; IP 主机需要 IP 网络服务器提供服务, 属于 VLAN10;AppleTalk 主机需要 AppleTalk 服务器提供服务, 属于 VLAN20; 交换机 A 分别连接了 IP 网络服务器和 AppleTalk

72 6.6 协议 VLAN 功能的组网应用组网需求平面部门通过内部交换机 A 的端口 12 连入公司局域网 ; 平面部门中分别有 IP 主机和 AppleTalk 主机 ; IP 主机需要 IP 网络服务器提供服务, 属于 VLAN10;AppleTalk 主机需要 AppleTalk 服务器提供服务, 属于 VLAN20; 交换机 A 分别连接了 IP 网络服务器和 AppleTalk 网络服务器 ; 组网图图中的 P 数字表示交换机的端口号配置步骤配置交换机 A: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 11 和端口 13 的端口类型为 ACCESS, 端口 12 的端口类型为 GENERAL 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 包含的端口 12 和端口 13, 端口 12 的出口规则设置为 Untag 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 包含的端口 11 和端口 12, 端口 12 的出口规则设置为 Untag 64

73 配置交换机 B: 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面设置端口 4 和端口 5 的端口类型为 ACCESS, 端口 3 的端口类型为 GENERAL 2 创建 VLAN10 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 10, 包含的端口 3 和端口 4, 端口 3 的出口规则设置为 Tag 3 创建 VLAN20 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN,VLAN ID 为 20, 包含的端口 3 和端口 5, 端口 3 的出口规则设置为 Tag 4 创建协议模板必选操作此处请根据实际情况在 VLAN>> 协议 VLAN>> 协议模板页面配置协议模板例如 IP 网络数据包以 Ethernet II 类型封装,Ether Type 字段为 0800;AppleTalk 网络数据包以 SNAP 类型封装,PID 字段为 809B 5 设置协议 VLAN 10 6 设置协议 VLAN 20 在 VLAN>> 协议 VLAN>> 协议组列表页面中点击 < 新建 > 按键来创建协议 VLAN10, 关联 IP 协议, 并勾选成员端口 3 在 VLAN>> 协议 VLAN>> 协议组列表页面中点击 < 新建 > 按键来创建协议 VLAN20, 关联 AppleTalk 协议, 并勾选成员端口 GVRP GVRP(GARP VLAN Registration Protocol,GARP VLAN 注册协议 ) 是 GARP(Generic Attribute Registration Protocol, 通用属性注册协议 ) 的一种应用它通过在端口动态注册和注销 VLAN 信息来达到创建或删除 VLAN 的目的, 并传播 VLAN 信息到其它交换机中, 减少配置 VLAN 时烦琐的手动操作 GARP 简介 GARP 提供了一种机制, 用于协助同一个局域网内的交换成员之间分发传播和注册某种信息 GARP 本身不作为一个实体存在于设备中, 遵循 GARP 协议的应用实体称为 GARP 应用,GVRP 就是 GARP 的一种应用当 GARP 应用实体存在于设备的某个端口上时, 该端口称为 GARP 应用实体网络中的 GARP 应用实体之间通过传递 GARP 消息来完成相关的信息交换,GARP 协议定义有三类消息, 分别为 Join 消息 Leave 消息和 LeaveAll 消息, 三种消息完成相关属性信息的注册或注销 Join 消息 : 当一个 GARP 应用实体希望其它设备注册自己的属性信息时, 它将对外发送 Join 消息 ; 当收到其它实体的 Join 消息或本设备静态配置了某些属性, 需要其它 GARP 应用实体进行注册时, 它也会向外发送 Join 消息 Leave 消息 : 当一个 GARP 应用实体希望其它设备注销自己的属性信息时, 它将对外发送 Leave 消息 ; 当收到其它实体的 Leave 消息注销某些属性或静态注销了某些属性后, 它也会向外发送 Leave 消息 65

74 LeaveAll 消息 : 每个 GARP 应用实体启动后, 将同时启动 LeaveAll 定时器当该定时器超时后,GARP 应用实体将对外发送 LeaveAll 消息,LeaveAll 消息用来注销所有的属性, 以使其它 GARP 应用实体重新注册本实体上所有的属性信息通过消息交互, 所有待注册的属性信息可以传播到同一局域网中的所有 GARP 应用实体 GARP 消息发送的时间间隔通过定时器来控制 GARP 协议定义了四种定时器, 用于控制 GARP 消息的发送周期 : Hold 定时器 : 当 GARP 应用实体接收到其它设备发送的注册信息时, 不会立即将该注册信息作为一条 Join 消息对外发送, 而是启动 Hold 定时器, 当该定时器超时后,GARP 应用实体将此时段内收到的所有注册信息放在同一个 Join 消息中向外发送, 从而节省带宽资源 Join 定时器 :GARP 应用实体可以通过将每个 Join 消息向外发送两次来保证消息的可靠传输, 在第一次发送的 Join 消息没有得到回复的时候,GARP 应用实体会第二次发送 Join 消息两次 Join 消息发送之间的时间间隔用 Join 定时器来控制 Leave 定时器 : 当一个 GARP 应用实体希望注销某属性信息时, 将对外发送 Leave 消息, 接收到该消息的 GARP 应用实体启动 Leave 定时器, 如果在该定时器超时之前没有收到 Join 消息, 则注销该属性信息 LeaveAll 定时器 : 每个 GARP 应用实体启动后, 将同时启动 LeaveAll 定时器, 当该定时器超时后, GARP 应用实体将对外发送 LeaveAll 消息, 以使其它 GARP 应用实体重新注册本实体上所有的属性信息随后再启动 LeaveAll 定时器, 开始新的一轮循环 GVRP 简介 GVRP 是 GARP 的一种应用它基于 GARP 的工作机制, 维护设备中的 VLAN 动态注册信息, 并传播 VLAN 信息到其它设备中设备启动 GVRP 特性后, 能够接收来自其它设备的 VLAN 注册信息, 并动态更新本地的 VLAN 注册信息, 包括当前的 VLAN 成员这些 VLAN 成员可以通过哪个端口到达等 ; 同时设备能够将本地的 VLAN 注册信息向其它设备传播, 以便使同一局域网内所有设备的 VLAN 信息一致 GVRP 传播的 VLAN 注册信息既包括本地手工配置的静态注册信息, 也包括来自其它设备的动态注册信息在本交换机中, 只有 TRUNK 类型端口才能作为 GVRP 应用实体, 维护交换机的 VLAN 注册信息 GVRP 的端口注册模式有三种 :Normal Fixed 和 Forbidden, 各模式描述如下 : Normal 模式 : 允许该端口动态注册注销 VLAN, 传播动态 VLAN 以及静态 VLAN 信息 Fixed 模式 : 禁止该端口动态注册注销 VLAN, 只传播静态 VLAN 信息, 不传播动态 VLAN 信息 Fixed 模式的端口只允许本端口所属的静态 VLAN 信息通过 Forbidden 模式 : 禁止该端口动态注册注销 VLAN, 不传播除 VLAN1 以外的任何的 VLAN 信息 Forbidden 模式的端口, 只允许系统默认 VLAN(VLAN1) 通过进入页面的方法 :VLAN>>GVRP 66

图 6-11 配置 GVRP 注意 : 若启用了 LAG 组成员端口的 GVRP 功能, 请保持所有成员端口的状态和注册模式一致条目介绍 : 全局配置 GVRP 功能 : 选择是否启用交换机的 GVRP 功能端口配置端口选择 : 选择 : 端口 : 状态 : 注册模式 : 点击 < 选择 > 按键, 可根据所输端口号快速查找相应条目勾选端口, 配置端口 GVRP 功能参数, 可多选

75 图 6-11 配置 GVRP 注意 : 若启用了 LAG 组成员端口的 GVRP 功能, 请保持所有成员端口的状态和注册模式一致条目介绍 : 全局配置 GVRP 功能 : 选择是否启用交换机的 GVRP 功能端口配置端口选择 : 选择 : 端口 : 状态 : 注册模式 : 点击 < 选择 > 按键, 可根据所输端口号快速查找相应条目勾选端口, 配置端口 GVRP 功能参数, 可多选显示交换机的端口号选择是否启用此功能端口启用 GVRP 功能之前需要将端口类型设置为 Trunk 选择端口的注册模式 Normal 模式 : 允许该端口动态注册注销 VLAN, 传播动态 VLAN 以及静态 VLAN 信息 Fixed: 禁止该端口动态注册注销 VLAN, 只传播静态 VLAN 信息, 不传播动态 VLAN 信息 Forbidden: 禁止该端口动态注册注销 VLAN, 只允许缺省 VLAN 通过 67

76 LeaveAll 定时器 : Join 定时器 : Leave 定时器 : LAG: 每个端口启动 GARP 后, 同时启动 LeaveAll 定时器, 端口将对外循环发送 LeaveAll 消息, 以使其它端口重新注册其所有的属性信息 LeaveAll 定时器的取值范围为厘秒 GARP 端口可以将每个 Join 数据包向外发送两次来保证消息的可靠传输, 两次发送之间的时间间隔用 Join 定时器来控制 Join 定时器的取值范围为厘秒接收到 Leave 数据包的 GARP 端口启动 Leave 定时器, 如果在该定时器超时之前没有收到 Join 数据包, 则注销相应属性信息 Leave 定时器的取值范围为厘秒显示端口当前所属的汇聚组注意 : LeaveAll 定时器值要大于等于 10 倍 Leave 定时器,Leave 定时器值要大于等于 2 倍 Join 定时器 GVRP 配置步骤 : 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面将端口类型设置为 TRUNK 2 启用 GVRP 功能必选操作在 VLAN>>GVRP 页面启用 GVRP 功能 3 配置端口的注册模式以及各定时器时长必选操作在 VLAN>>GVRP 页面中根据实际应用情况设置端口的参数并启用端口回目录 68

77 第 7 章生成树 STP(Spanning Tree Protocol, 生成树协议 ) 是根据 IEEE 802.1D 标准建立的, 用于在局域网中消除数据链路层物理环路的协议运行该协议的设备通过彼此交互信息发现网络中的环路, 并有选择的对某些端口进行阻塞, 最终将环路网络结构修剪成无环路的树型网络结构, 从而防止报文在环路网络中不断增生和无限循环, 避免设备由于重复接收相同的报文所造成的报文处理能力下降的问题发生 STP 采用的协议报文是 BPDU(Bridge Protocol Data Unit, 桥协议数据单元 ), 也称为配置消息, BPDU 中包含了足够的信息来保证设备完成生成树的计算过程 STP 即是通过在设备之间传递 BPDU 来确定网络的拓扑结构 BPDU 格式及字段说明要实现生成树的功能, 交换机之间传递 BPDU 报文实现信息交互, 所有支持 STP 协议的交换机都会接收并处理收到的报文该报文在数据区里携带了用于生成树计算的所有有用信息标准生成树的 BPDU 帧格式及字段说明 : Protocol identifier: 协议标识 Version: Message type: Flag: Root ID: Root path cost: Bridge ID: Port ID: Message age: Maximum age: Hello time: Forward delay: 协议版本 BPDU 类型标志位根桥 ID, 由 2 字节的优先级和 6 字节 MAC 地址构成根路径开销桥 ID, 表示发送 BPDU 的桥的 ID, 由 2 字节优先级和 6 字节 MAC 地址构成端口 ID, 标识发出 BPDU 的端口 BPDU 生存时间当前 BPDU 的老化时间, 即端口保存 BPDU 的最长时间根桥发送 BPDU 的周期表示在拓扑改变后, 交换机在发送数据包前维持在监听和学习状态的时间 STP 的基本概念桥 ID(Bridge Identifier): 桥 ID 是桥的优先级和其 MAC 地址的综合数值, 其中桥优先级是一个可以设定的参数桥 ID 越低, 则桥的优先级越高, 这样可以增加其成为根桥的可能性根桥 (Root Bridge): 具有最小桥 ID 的交换机是根桥请将环路中所有交换机当中最好的一台设置为根桥交换机, 以保证能够提供最好的网络性能和可靠性 69

指定桥 (Designated Bridge): 在每个网段中, 到根桥的路径开销最低的桥将成为指定桥, 数据包将通过它转发到该网段当所有的交换机具有相同的根路径开销时, 具有最低的桥 ID 的交换机会被选为指定桥根路径开销 (Root Path Cost): 一台交换机的根路径开销是根端口的路径开销与数据包经过的所有交换机的根路径开销之和根桥的根路径开销是零桥优先级 (Bridge

78 指定桥 (Designated Bridge): 在每个网段中, 到根桥的路径开销最低的桥将成为指定桥, 数据包将通过它转发到该网段当所有的交换机具有相同的根路径开销时, 具有最低的桥 ID 的交换机会被选为指定桥根路径开销 (Root Path Cost): 一台交换机的根路径开销是根端口的路径开销与数据包经过的所有交换机的根路径开销之和根桥的根路径开销是零桥优先级 (Bridge Priority): 是一个用户可以设定的参数, 数值范围从 0 到设定的值越小, 优先级越高交换机的桥优先级越高, 才越有可能成为根桥根端口 (Root Port): 非根桥的交换机上离根桥最近的端口, 负责与根桥进行通信, 这个端口到根桥的路径开销最低当多个端口具有相同的到根桥的路径开销时, 具有最高端口优先级的端口会成为根端口指定端口 (Designated Port): 指定桥上向本交换机转发数据的端口端口优先级 (Port Priority): 数值范围从 0 到 255, 值越小, 端口的优先级就越高端口的优先级越高, 才越有可能成为根端口路径开销 (Path Cost):STP 协议用于选择链路的参考值 STP 协议通过计算路径开销, 选择较为强壮的链路, 阻塞多余的链路, 将网络修剪成无环路的树型网络结构生成树基本概念的组网示意图如图 7-1 所示交换机 A B C 三者顺次相连, 经 STP 计算过后, 交换机 A 被选为根桥, 端口 2 和端口 6 之间的线路被阻塞桥 : 交换机 A 为整个网络的根桥 ; 交换机 B 是交换机 C 的指定桥端口 : 端口 3 和端口 5 分别为交换机 B 和交换机 C 的根端口 ; 端口 1 和端口 4 分别为交换机 A 和交换机 B 的指定端口 ; 端口 6 为交换机 C 的阻塞端口图 7-1 生成树基本概念组网图 STP 定时器联络时间 (Hello Time): 数值范围从 1 秒到 10 秒是指根桥向其它所有交换机发出 BPDU 数据包的时间间隔, 用于交换机检测链路是否存在故障老化时间 (Max. Age): 数值范围从 6 秒到 40 秒如果在超出老化时间之后, 还没有收到根桥发出的 BPDU 数据包, 那么交换机将向其它所有的交换机发出 BPDU 数据包, 重新计算生成树 70

79 传输时延 (Forward Delay): 数值范围从 4 秒到 30 秒是指交换机的端口状态迁移所用的时间当网络故障引发生成树重新计算时, 生成树的结构将发生相应的变化但是重新计算得到的新配置消息无法立刻传遍整个网络, 如果端口状态立刻迁移的话, 可能会产生暂时性的环路为此, 生成树协议采用了一种状态迁移的机制, 新的根端口和指定端口开始数据转发之前要经过 2 倍的传输时延, 这个延时保证了新的配置消息已经传遍整个网络 STP 模式的 BPDU 的优先级比较原则假定有两条 BPDU X 和 Y, 则 : 如果 X 的根桥 ID 小于 Y 的根桥 ID, 则 X 优于 Y 如果 X 和 Y 的根桥 ID 相同, 但 X 的根路径开销小于 Y, 则 X 优于 Y 如果 X 和 Y 的根桥 ID 和根路径开销相同, 但 X 的桥 ID 小于 Y, 则 X 优于 Y 如果 X 和 Y 的根桥 ID 根路径开销和桥 ID 相同, 但 X 的端口 ID 小于 Y, 则 X 优于 Y STP 的计算过程初始状态每台交换机在初始时会生成以自己为根桥的 BPDU, 根路径开销为 0, 指定桥 ID 为自身设备 ID, 指定端口为本端口最优 BPDU 的选择每台交换机都向外发送自己的 BPDU, 同时也会收到其它交换机发送的 BPDU 比较过程如下表所述 : 步骤内容 1 当端口收到的 BPDU 比本端口 BPDU 的优先级低时, 交换机将丢弃接收到的 BPDU, 保留该端口的 BPDU; 否则, 交换机将接收到的 BPDU 替换成为该端口的 BPDU 2 交换机将所有端口的 BPDU 进行比较, 选出最优的 BPDU 作为本交换机的 BPDU 表 7-1 最优 BPDU 的选择根桥的选择通过交换配置消息, 设备之间比较根桥 ID, 网络中根桥 ID 最小的设备被选为根桥根端口指定端口的选择根端口指定端口的选择过程如下表所述 : 71

80 步骤内容 1 非根桥交换机将接收到最优 BPDU 的那个端口指定为根端口 2 交换机根据根端口的 BPDU 和根端口的路径开销, 为其它端口计算一个端口 BPDU: 根桥 ID 替换为根端口的根桥 ID; 根路径开销替换为根端口的根路径开销加上本端口到根端口的路径开销 ; 指定桥 ID 替换为自身设备的 ID; 指定端口 ID 替换为自身端口 ID 3 交换机使用计算出来的 BPDU 和需要确定端口角色的端口上的 BPDU 进行比较, 并根据比较结果进行不同的处理 : 如果计算出来的 BPDU 优, 则设备就将该端口定为指定端口, 端口上的 BPDU 被计算出来的 BPDU 替换, 并周期性向外发送如果端口上的 BPDU 优, 则设备不更新该端口 BPDU 并将此端口阻塞, 该端口将不再转发数据, 只接收但不发送配置消息 ; 表 7-2 根端口指定端口的选择说明 : 在拓扑稳定状态, 只有根端口和指定端口转发数据, 其它的端口都处于阻塞状态, 它们只接收 BPDU 报文而不转发数据 RSTP RSTP(Rapid Spanning Tree Protocol, 快速生成树协议 ) 是优化版的 STP, 他大大缩短了端口进入转发状态的延时, 从而缩短了网络最终达到拓扑稳定所需要的时间 RSTP 的端口状态实现快速迁移的前提如下 : 根端口的端口状态快速迁移的条件是 : 本设备上旧的根端口已经停止转发数据, 而且上游指定端口已经开始转发数据指定端口的端口状态快速迁移的条件是 : 指定端口是边缘端口或者指定端口与点对点链路相连如果指定端口是边缘端口, 则指定端口可以直接进入转发状态 ; 如果指定端口连接着点对点链路, 则设备可以通过与下游设备握手, 得到响应后即刻进入转发状态 RSTP 的基本概念边缘端口 (Edge Port): 直接与终端相连而不是与其它交换机相连的端口点对点链路 : 是两台交换机之间直接连接的链路 MSTP MSTP(Multiple Spanning Tree Protocol, 多生成树协议 ) 是在 STP 和 RSTP 的基础上, 根据 IEEE 协会制定的 802.1S 标准建立的, 他既可以快速收敛, 也能使不同 VLAN 的流量沿各自的路径转发, 从而为冗余链路提供了更好的负载分担机制 MSTP 的特点如下 : MSTP 通过 VLAN- 实例映射表, 把 VLAN 和生成树联系起来, 将多个 VLAN 捆绑到一个实例中, 并以实例为基础实现负载均衡 72

MSTP 把一个生成树网络划分成多个域, 每个域内形成多棵内部生成树, 各个生成树之间彼此独立 MSTP 在数据转发过程中实现 VLAN 数据的负载分担 MSTP 兼容 STP 和 RSTP MSTP 的基本概念 MST 域 (Multiple Spanning Tree Region, 多生成树域 ): 由具有相同域配置和相同 Vlan- 实例映射关系的交换机所构成 IST(Internal

81 MSTP 把一个生成树网络划分成多个域, 每个域内形成多棵内部生成树, 各个生成树之间彼此独立 MSTP 在数据转发过程中实现 VLAN 数据的负载分担 MSTP 兼容 STP 和 RSTP MSTP 的基本概念 MST 域 (Multiple Spanning Tree Region, 多生成树域 ): 由具有相同域配置和相同 Vlan- 实例映射关系的交换机所构成 IST(Internal Spanning Tree, 内部生成树 ):MST 域内的一棵生成树 CST(Common Spanning Tree, 公共生成树 ): 连接网络内所有 MST 域的单生成树 CIST(Common and Internal Spanning Tree, 公共和内部生成树 ): 连接网络内所有设备的单生成树, 由 IST 和 CST 共同构成 MSTP 基本概念的组网图如图 7-2 所示图 7-2 MSTP 基本概念组网图 MSTP 的基本原理 MSTP 将整个网络划分为多个 MST 域, 各个域之间通过计算生成 CST; 域内则通过计算生成多棵生成树, 每棵生成树都被称为是一个多生成树实例 MSTP 同 STP 一样, 使用 BPDU 进行生成树的计算, 只是 BPDU 中携带的是 MSTP 的配置信息 MSTP 模式的 BPDU 优先级比较原则假定有两条 MSTP 的 BPDU X 和 Y, 则 : 如果 X 的总根 ID 小于 Y 的总根 ID, 则 X 优于 Y 如果 X 和 Y 的总根 ID 相同, 但 X 的外部路径开销小于 Y, 则 X 优于 Y 如果 X 和 Y 的总根 ID 和外部路径开销相同, 但 X 的域根 ID 小于 Y 的域根 ID, 则 X 优于 Y 如果 X 和 Y 的总根 ID 外部路径开销和域根 ID 相同, 但 X 的内部路径开销小于 Y, 则 X 优于 Y 如果 X 和 Y 的总根 ID 外部路径开销域根 ID 和内部路径开销相同, 但 X 的桥 ID 小于 Y, 则 X 优于 Y 如果 X 和 Y 的总根 ID 外部路径开销域根 ID 内部路径开销和桥 ID 均相同, 但 X 的端口 ID 小于 Y, 则 X 优于 Y 73

端口状态 MSTP 中, 根据端口是否转发数据和如何处理 BPDU 报文, 可将端口状态划分为以下四种 : 转发 : 接收并转发数据, 接收并发送 BPDU 报文, 进行地址学习学习 : 不接收或转发数据, 接收并发送 BPDU 报文, 进行地址学习阻塞 : 不接收或转发数据, 接收但不发送 BPDU 报文, 不进行地址学习断开 : 物理链路断开端口角色 MSTP 的端口角色分为以下几种

82 端口状态 MSTP 中, 根据端口是否转发数据和如何处理 BPDU 报文, 可将端口状态划分为以下四种 : 转发 : 接收并转发数据, 接收并发送 BPDU 报文, 进行地址学习学习 : 不接收或转发数据, 接收并发送 BPDU 报文, 进行地址学习阻塞 : 不接收或转发数据, 接收但不发送 BPDU 报文, 不进行地址学习断开 : 物理链路断开端口角色 MSTP 的端口角色分为以下几种 : 根端口 : 到根桥的路径开销最低, 负责向根桥方向转发数据的端口指定端口 : 负责向下游网段或设备转发数据的端口 Master 端口 : 连接 MST 域到总根的端口, 位于整个域到总根的最短路径上替换端口 : 根端口和 Master 端口的备份端口备份端口 : 指定端口的备份端口禁用端口 : 物理链路断开的端口端口角色的示意图如图 7-3 所示图 7-3 端口角色示意图生成树模块主要用于配置交换机的生成树功能, 包括基本配置端口配置 MSTP 实例以及安全配置四个部分 7.1 基本配置基本配置用于配置和查看交换机生成树功能的全局属性, 本功能包括基本配置和生成树信息两个配置页面 74

83 7.1.1 基本配置配置生成树前需明确各交换机在每个生成树实例中所处的地位, 每个生成树实例中只有一台交换机处于根桥地位请在本页配置交换机生成树的全局功能和相关参数进入页面的方法 : 生成树 >> 基本配置 >> 基本配置条目介绍 : 全局配置图 7-4 基本配置生成树功能 : 生成树模式 : 选择是否启用交换机的生成树功能选择交换机的生成树模式 STP: 生成树兼容模式 RSTP: 快速生成树兼容模式 MSTP: 多重生成树模式参数配置 CIST 优先级 : 联络时间 : 填写交换机的 CIST 优先级 CIST 优先级是确定交换机是否会被选为根桥的重要依据, 同等条件下优先级高的交换机将被选为根桥值越小, 表示优先级越高默认为 32768, 且必须是 4096 的倍数填写交换机发送协议报文的周期, 用于检测链路是否存在故障并且,2 ( 联络时间 +1) 老化时间默认为 2 秒老化时间 : 填写协议报文在交换机中能够保存的最大生存期默认为 20 秒传输时延 : 流量限制 : 最大跳数 : 在网络拓扑改变后, 交换机的端口状态迁移的延时时间并且,2 ( 传输延时 -1) 老化时间默认为 15 秒填写在每个联络时间内, 端口最多能够发送的协议报文的速度默认为 5pps 填写协议报文被转发的最大跳数, 它限制了生成树的规模默认为 20 跳 75

84 注意 : 设备的传输时延参数的长短与 STP 的规模有关如果传输时延过小, 可能会引入临时的环路 ; 如果传输时延过大, 网络可能会较长时间不能恢复连通建议采用默认值合适的联络时间可以保证设备能够及时发现网络中的链路故障, 又不会占用过多的网络资源如果联络时间过长, 在链路发生丢包时, 交换机会误以为链路出现了故障, 从而引发网络中生成树的重新计算 ; 如果联络时间过短, 交换机将频繁发送重复的配置消息, 增加了交换机的负担, 浪费了网络资源建议采用默认值如果老化时间过小, 交换机会频繁地计算生成树, 而且有可能将网络拥塞误认成链路故障 ; 如果老化时间过大, 交换机不能及时发现链路故障, 不能及时重新计算生成树, 从而降低网络的自适应能力建议采用默认值如果流量限制过大, 每个联络时间内发送的 MSTP 报文数会很多, 从而占用过多的网络资源建议采用默认值生成树信息本页用来查看交换机生成树功能的相关参数进入页面的方法 : 生成树 >> 基本配置 >> 生成树信息图 7-5 基本信息 76

7.2 端口配置本页用来配置交换机端口的 CIST 参数进入页面的方法 : 生成树 >> 端口配置图 7-6 端口配置条目介绍 : 端口配置端口选择 : 选择 : 端口 : 状态 : 优先级 : 外部路径开销 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口 STP 功能, 可多选显示交换机的端口号选择该端口是否启用 STP 功能

85 7.2 端口配置本页用来配置交换机端口的 CIST 参数进入页面的方法 : 生成树 >> 端口配置图 7-6 端口配置条目介绍 : 端口配置端口选择 : 选择 : 端口 : 状态 : 优先级 : 外部路径开销 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口 STP 功能, 可多选显示交换机的端口号选择该端口是否启用 STP 功能确定与该端口连接的端口是否会被选为根端口的重要依据同等条件下优先级高的端口将被选为根端口值越小, 表示优先级越高默认为 128, 范围 0-240, 且为 16 的倍数在不同 MST 域之间的路径上, 用于选择路径和计算路径开销的参考值, 同时也是确定该端口是否会被选为根端口的依据值越小, 表示优先级越高内部路径开销 : 在 MST 域内的路径上, 用于选择路径和计算路径开销的参考值, 同时也是确定该端口是否会被选为根端口的依据值越小, 表示优先级越高边缘端口 : 选择是否启用边缘端口边缘端口由阻塞状态向转发状态迁移时, 可实现快速迁移, 无需等待延迟时间 77

86 点对点链路 : 协议迁移 : 工作模式 : 端口角色 : 选择端口的点对点链路状态以点对点链路相连的两个端口, 如果为根端口或者指定端口, 则可以快速迁移到转发状态, 从而减少不必要的转发延迟时间启用端口开始一次协议迁移检查显示端口所处的生成树模式显示端口在生成树实例中担任的角色根端口 : 到根桥的路径开销最低, 负责向根桥方向转发数据的端口指定端口 : 负责向下游网段或设备转发数据的端口 Master 端口 : 连接多生成树域到总根的端口, 位于整个域到总根的最短路径上替换端口 : 根端口和 Master 端口的备份端口备份端口 : 指定端口的备份端口禁用端口 : 物理链路断开的端口端口状态 : 显示端口所处的工作状态转发 : 接收并转发数据, 接收并发送协议报文, 进行地址学习学习 : 不接收或转发数据, 接收并发送协议报文, 进行地址学习阻塞 : 不接收或转发数据, 接收但不发送协议报文, 不进行地址学习断开 : 物理链路断开 LAG: 显示端口当前所属的汇聚组注意 : 对于直接与终端相连的端口, 请将该端口设置为边缘端口, 同时启动 BPDU 保护功能这样既能够使该端口快速迁移到转发状态, 也可以保证网络的安全对于属于汇聚组的端口, 所有端口都可以被配置成与点对点链路相连当端口被设置为与点对点链路相连, 则该端口所在的所有生成树实例均被设置为与点对点链路相连如果端口实际物理链路不是点对点链路, 却配置为强制点对点链路, 则有可能会引入临时环路 7.3 MSTP 实例 MSTP 设置了 VLAN- 实例映射表 ( 即 VLAN 和生成树的对应关系表 ), 把 VLAN 和生成树联系起来通过增加 MSTP 实例 ( 将多个 VLAN 整合到一个集合中 ), 将多个 VLAN 捆绑到一个实例中, 并以实例为基础实现负载均衡只有当多台交换机的 MST 域名 MST 域的修订级别 VLAN- 实例映射表完全相同时, 它们才能属于同一个 MST 域本功能包括域配置实例配置和实例端口三个配置页面 78

87 7.3.1 域配置本页用来配置 MST 域的域名和修订级别进入页面的方法 : 生成树 >>MSTP 实例 >> 域配置条目介绍 : 域配置图 7-7 域配置域名 : 填写域名来标识 MST 域, 最长可用 32 个字符修订级别 : 填写修订级别来标识 MST 域实例配置实例配置是 MST 域的一个属性, 用来描述 VLAN 和生成树实例的映射关系请根据需要将 VLAN 分配至不同的实例, 每个实例就是一个 VLAN 组, 不受其它实例和公共生成树的影响进入页面的方法 : 生成树 >>MSTP 实例 >> 实例配置图 7-8 实例配置 79

88 条目介绍 : 实例配置实例 ID 选择 : 选择 : 点击 < 选择 > 按键, 可根据所输 ID 号, 快速选择相应实例勾选条目配置实例状态及优先级, 可多选实例 ID: 显示交换机的实例 ID 号状态 : 优先级 : VLAN ID: 选择是否启用相应实例在对应实例 ID 中, 确定该交换机是否会被选为根桥的重要依据默认为 32768, 且必须是 4096 的倍数填写该实例 ID 所包含的 VLAN ID 若之前已存在 VLAN ID, 在此修改后, 之前的 VLAN ID 将被清空, 并映射至 CIST 中 VLAN- 实例映射 VLAN ID: 填写需要添加的 VLAN ID 若对应实例 ID 中已有 VLAN ID, 在此修改后, 新的 VLAN ID 将被添加, 而不会将之前的覆盖实例 ID: 填写实例 ID 注意 : 当 GVRP 和 MSTP 同时启用时,GVRP 报文将沿着生成树实例 CIST 进行传播因此如果希望通过 GVRP 在网络中发布某个 VLAN, 则需在配置 MSTP 的 VLAN- 实例映射时保证把这个 VLAN 映射到 CIST 上关于 GVRP 的相关介绍请参见 6.4 GVRP 实例端口端口在不同的生成树实例中可以担任不同的角色, 本页用来配置不同实例 ID 中的端口的参数, 同时在此可以查看端口在特定实例中的状态信息进入页面的方法 : 生成树 >>MSTP 实例 >> 实例端口 80

图 7-9 实例端口条目介绍 : 实例端口配置实例 ID: 选择需要配置端口属性的实例 ID 端口选择 : 选择 : 端口 : 优先级 : 路径开销 : 端口角色 : 端口状态 : LAG: 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口的优先级和路径开销, 可多选显示交换机的端口号在对应实例 ID 中,

89 图 7-9 实例端口条目介绍 : 实例端口配置实例 ID: 选择需要配置端口属性的实例 ID 端口选择 : 选择 : 端口 : 优先级 : 路径开销 : 端口角色 : 端口状态 : LAG: 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口的优先级和路径开销, 可多选显示交换机的端口号在对应实例 ID 中, 确定与该端口连接的端口是否会被选为根端口的重要依据默认为 128, 范围 0-240, 且为 16 的倍数在 MST 域内的对应实例中, 用于选择路径和计算路径开销的参考值, 同时也是确定该端口是否会被选为根端口的依据值越小, 表示优先级越高显示端口在生成树实例中担任的角色显示端口所处的工作状态显示端口当前所属的汇聚组注意 : 同一端口在不同的生成树实例中的端口状态可以不同 81

90 安全树功能全局配置步骤 : 步骤操作说明 1 明确交换机在生成树实例中的角色 : 根桥或指定桥准备工作 2 配置 MSTP 的全局参数必选操作在生成树 >> 基本配置 >> 基本配置页面, 开启交换机的生成树功能, 并配置 MSTP 的参数 3 配置端口的 MSTP 参数必选操作生成树 >> 端口配置 >> 端口配置页面进行配置 4 配置 MST 域必选操作生成树 >>MSTP 实例 >> 域配置实例配置页面, 创建 MST 域, 及交换机在 MST 域中的角色 5 配置实例端口的 MSTP 参数可选操作生成树 >>MSTP 实例 >> 实例端口页面, 为 MST 域内不同的实例, 配置实例端口的 MSTP 属性 7.4 安全配置通过配置设备的保护功能, 来防止生成树网络中的设备遭受各种形式的恶意攻击本功能包括端口保护和 TC 保护两个配置页面端口保护环路保护 : 在网络拓扑稳定时, 交换机通过不断接收上游交换机发送的 BPDU 报文, 来保持本机各个端口的端口状态但是当发生链路拥塞或者单向链路故障时, 位于下游的交换机无法收到 BPDU 报文, 将会重新计算生成树, 重新选择端口角色, 这时阻塞端口会迁移到转发状态, 从而导致网络中产生环路环路保护功能会抑制这种环路的产生对于启用了环路保护的端口, 当没有接收到上游交换机发送的 BPDU 报文, 引起 STP 重新计算时, 不论其端口角色如何, 该端口将一直被设置为阻塞状态根桥保护 : 在设计网络拓扑时,CIST 的根桥和备份根桥大多处于一个高带宽的核心域内但是, 当维护人员错误配置或遭受到网络中的恶意攻击时, 网络中的合法根桥有可能会收到优先级更高的 BPDU 报文, 致使当前合法根桥失去了根桥的地位, 从而导致网络拓扑结构的错误变动这种错误的变动, 使得原来应该通过高速链路的流量被牵引到低速链路上, 引起网络拥塞为了防止这种情况发生,MSTP 提供根桥保护功能 : 对于启用了根桥保护功能的端口, 他在所有实例上的端口角色只能为指定端口当该端口收到优先级更高的 BPDU 时, 立刻将该端口的端口状态转化为阻塞状态, 不再转发报文 ( 相当于将此端口相连的链路断开 ) 当在 2 倍的传输时延时间内没有收到更优的配置消息时, 端口会恢复原来的正常状态 TC 保护交换机收到 TC-BPDU 报文 ( 网络拓扑发生变化的通知报文 ) 后, 会将本机的地址表项删除当有人伪造 TC-BPDU 报文恶意攻击交换机时, 交换机短时间内收到大量 TC-BPDU 报文, 频繁的删除操作给交换机带来很大负担, 给网络的稳定带来很大隐患通过在交换机上启用 TC 保护功能, 可以避免交换机频繁地删除地址表项 82

启用 TC 保护功能后, 交换机在 TC 保护周期内, 收到 TC-BPDU 的最大数目为 TC 保护阈值处所设的数目, 超过该数目后, 交换机在该周期内不再进行地址表删除操作这样就可以避免频繁地删除转发地址表项 BPDU 保护交换机上直接与 PC 或服务器相连的端口会被设置为边缘端口, 以实现这些端口的快速迁移当这些端口接收到 BPDU 报文时系统会自动将这些端口设置为非边缘端口,

91 启用 TC 保护功能后, 交换机在 TC 保护周期内, 收到 TC-BPDU 的最大数目为 TC 保护阈值处所设的数目, 超过该数目后, 交换机在该周期内不再进行地址表删除操作这样就可以避免频繁地删除转发地址表项 BPDU 保护交换机上直接与 PC 或服务器相连的端口会被设置为边缘端口, 以实现这些端口的快速迁移当这些端口接收到 BPDU 报文时系统会自动将这些端口设置为非边缘端口, 重新计算生成树, 引起网络拓扑结构的变化而这些端口一般情况下不会收到 BPDU 报文如果有人用伪造的 BPDU 报文恶意攻击交换机, 就会引起网络拓扑的震荡 MSTP 提供 BPDU 保护功能来防止这种攻击 : 启用了 BPDU 保护功能后, 如果边缘端口收到了 BPDU 报文,MSTP 就将这些端口关闭, 同时通知网管这些端口被 MSTP 关闭, 被关闭的端口只能由网络管理人员来恢复 BPDU 过滤 BPDU 过滤用来防止恶意的 BPDU 洪泛攻击交换机收到恶意的 BPDU 报文以后, 会向网络中的其它交换机转发, 致使网络内的交换机不停的进行 STP 计算, 从而导致交换机的 CPU 占用率过高或者 BPDU 报文的协议状态错误等启用了 BPDU 报文过滤功能的端口, 将不再接收和转发任何 BPDU 报文, 但是会向外发送自身的 BPDU 报文, 从而防止交换机受到 BPDU 报文的攻击, 保证 STP 计算的正确性在本页可以对交换机的各个端口配置上述几种保护功能, 请对符合条件的端口启用相应的保护功能进入页面的方法 : 生成树 >> 安全配置 >> 端口保护条目介绍 : 图 7-10 端口保护 83

端口保护端口选择 : 选择 : 端口 : 环路保护 : 根桥保护 : TC 保护 : BPDU 保护 : BPDU 过滤 : LAG: 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口保护功能, 可多选显示交换机的端口号防止由于链路拥塞或者单向链路故障, 导致下游设备重新计算生成树, 由此产生的网络环路现象

92 端口保护端口选择 : 选择 : 端口 : 环路保护 : 根桥保护 : TC 保护 : BPDU 保护 : BPDU 过滤 : LAG: 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选端口配置端口保护功能, 可多选显示交换机的端口号防止由于链路拥塞或者单向链路故障, 导致下游设备重新计算生成树, 由此产生的网络环路现象防止当前合法根桥失去根桥的地位而引起网络拓扑结构的错误变动防止由于恶意伪造的 TC 报文在 STP 协议网络中传播而导致桥设备的地址表不断清空所引起的网络吞吐量下降防止边缘端口受到恶意伪造的协议报文的攻击防止 STP 协议网络中协议报文泛洪显示端口当前所属的汇聚组 TC 保护当端口保护页面开启端口的 TC 保护功能后, 需要在本页对 TC 保护的 TC 保护阈值和 TC 保护周期进行配置进入页面的方法 : 生成树 >> 安全配置 >>TC 保护图 7-11 TC 保护条目介绍 : TC 保护 TC 保护阈值 : 在 TC 保护周期内, 交换机收到 TC 报文的最大数目超过该数目后, 交换机在该周期内不再进行地址表删除操作默认为 20 数据包 TC 保护周期 : 填写 TC 保护的周期默认为 5 秒 7.5 STP 功能的组网应用组网需求交换机 A B C D E 均支持 MSTP 功能 ; A 为中心交换机 ; B C 为汇聚层交换机,D E F 为接入层交换机 ; 84

93 整个网络中共有 6 个 VLAN, 为 VLAN101-VLAN106; 所有设备运行 MSTP, 并且所有设备均属于同一个 MST 域 ; VLAN 和 105 的数据流量以 B 为根桥,VLAN 和 106 的数据流量以 C 为根桥阻断网络中的环路, 并能达到数据转发过程中 VLAN 数据的冗余备份以及负载分担效果组网图配置步骤配置交换机 A: 步骤操作说明 1 配置端口在 802.1Q VLAN 功能处, 相应端口的类型为 Trunk, 并将端口加入 VLAN 101 到 VLAN 106 具体配置方法请参见 Q VLAN 2 启用生成树功能在生成树 >> 基本配置 >> 基本配置页面, 启用生成树功能, 选择 MSTP 生成树模式在生成树 >> 基本配置 >> 端口配置页面, 启用端口的 MSTP 功能 3 配置 MST 域的域名和修订级别在生成树 >>MSTP 实例 >> 域配置页面, 配置域名为 TP-LINK, 修订级别默认即可 4 配置 MST 域的 VLAN- 实例映射在生成树 >>MSTP 实例 >> 实例配置页面, 配置 VLAN- 实例映射表将 VLAN 和 105 映射到实例 1, 将 VLAN 和 106 映射到实例 2 配置交换机 B: 步骤操作说明 1 配置端口在 802.1Q VLAN 功能处, 相应端口的类型为 Trunk, 并将端口加入 VLAN 101 到 VLAN 106 具体配置方法请参见 Q VLAN 85

94 2 启用生成树功能在生成树 >> 基本配置 >> 基本配置页面, 启用生成树功能, 选择 MSTP 生成树模式在生成树 >> 基本配置 >> 端口配置页面, 启用端口的 MSTP 功能 3 配置 MST 域的域名和修订级别在生成树 >>MSTP 实例 >> 域配置页面, 配置域名为 TP-LINK, 修订级别默认即可 4 配置 MST 域的 VLAN- 实例映射在生成树 >>MSTP 实例 >> 实例配置页面, 配置 VLAN- 实例映射表将 VLAN 和 105 映射到实例 1, 将 VLAN 和 106 映射到实例 2 5 将交换机 B 配置为实例 1 的根桥在生成树 >>MSTP 实例 >> 实例配置页面, 将实例 1 的优先级设置为 0 6 将交换机 B 配置为实例 2 的指定桥在生成树 >>MSTP 实例 >> 实例配置页面, 将实例 2 优先级设置为 4096 配置交换机 C 步骤操作说明 1 配置端口在 802.1Q VLAN 功能处, 相应端口的类型为 Trunk, 并将端口加入 VLAN 101 到 VLAN 106 具体配置方法请参见 Q VLAN 2 启用生成树功能在生成树 >> 基本配置 >> 基本配置页面, 启用生成树功能, 选择 MSTP 生成树模式在生成树 >> 基本配置 >> 端口配置页面, 启用端口的 MSTP 功能 3 配置 MST 域的域名和修订级别在生成树 >>MSTP 实例 >> 域配置页面, 配置域名为 TP-LINK, 修订级别默认即可 4 配置 MST 域的 VLAN- 实例映射在生成树 >>MSTP 实例 >> 实例配置页面, 配置 VLAN- 实例映射表将 VLAN 和 105 映射到实例 1, 将 VLAN 和 106 映射到实例 2 5 将交换机 C 配置为实例 1 的指定桥在生成树 >>MSTP 实例 >> 实例配置页面, 将实例 1 的优先级设置为将交换机 C 配置为实例 2 的根桥在生成树 >>MSTP 实例 >> 实例配置页面, 将实例 2 优先级设置为 0 配置交换机 D 步骤操作说明 1 配置端口在 802.1Q VLAN 功能处, 相应端口的类型为 Trunk, 并将端口加入 VLAN 101 到 VLAN 106 具体配置方法请参见 Q VLAN 86

2 启用生成树功能在生成树 >> 基本配置 >> 基本配置页面, 启用生成树功能, 选择 MSTP 生成树模式在生成树 >> 基本配置 >> 端口配置页面, 启用端口的 MSTP 功能 3 配置 MST 域的域名和修订级别在生成树 >>MSTP 实例 >> 域配置页面, 配置域名为 TP-LINK, 修订级别默认即可 4 配置 MST 域的 VLAN- 实例映射在生成树 >>MSTP

95 2 启用生成树功能在生成树 >> 基本配置 >> 基本配置页面, 启用生成树功能, 选择 MSTP 生成树模式在生成树 >> 基本配置 >> 端口配置页面, 启用端口的 MSTP 功能 3 配置 MST 域的域名和修订级别在生成树 >>MSTP 实例 >> 域配置页面, 配置域名为 TP-LINK, 修订级别默认即可 4 配置 MST 域的 VLAN- 实例映射在生成树 >>MSTP 实例 >> 实例配置页面, 配置 VLAN- 实例映射表将 VLAN 和 105 映射到实例 1, 将 VLAN 和 106 映射到实例 2 交换机 E 和交换机 F 的配置方法同交换机 D 拓扑稳定以后两个实例所生成的动态拓扑结构对于实例 1(VLAN ) 而言, 连通的链路为下图中红色的路径, 灰色的路径断开对于实例 2(VLAN ) 而言, 连通的链路为下图中蓝色的路径, 灰色的路径断开配置建议所有交换机的端口均建议启用 TC 保护功能根桥交换机的所有端口建议启用根桥保护功能非边缘端口建议启用环路保护功能 87

96 连接 PC 与服务器的边缘端口, 建议启用 BPDU 保护或 BPDU 过滤功能回目录 88

第 8 章组播管理组播概述在网络中, 存在着三种发送报文的方式 : 单播广播组播数据采用单播 (Unicast) 方式传输时, 服务器会为每一个接收者单独传输一份信息, 如果有多个接收者存在, 网络上就会重复地传输多份相同内容的信息, 这样将会大量占用网络资源数据采用广播 (Broadcast) 方式传输时, 系统会把信息一次性的传送给网络中的所有用户, 不管他们是否需要,

97 第 8 章组播管理组播概述在网络中, 存在着三种发送报文的方式 : 单播广播组播数据采用单播 (Unicast) 方式传输时, 服务器会为每一个接收者单独传输一份信息, 如果有多个接收者存在, 网络上就会重复地传输多份相同内容的信息, 这样将会大量占用网络资源数据采用广播 (Broadcast) 方式传输时, 系统会把信息一次性的传送给网络中的所有用户, 不管他们是否需要, 任何用户都会接收到广播来的信息当前, 诸如视频会议和视频点播等单点发送多点接收的多媒体业务正在成为信息传送的重要组成部分在一点发送多点接收的前提下, 单播方式适合用户较少的网络, 而广播方式适合用户稠密的网络, 当网络中需求某信息的用户量不确定时, 单播和广播方式效率很低这时组播 (multicast) 应运而生, 它实现了网络中单点到多点的高效数据传送, 能够节约大量网络带宽, 降低网络负载组播传输信息的方式如图 8-1 所示图 8-1 组播传输信息的方式组播的特点是 : 服务对象不固定, 通常是一对多的关系 ; 把服务对象看成一个组, 发送端只需要发送一次数据到相关网络设备即可 ; 每个用户可以随时加入或退出组播组 ; 实时性要求较高, 允许一定的丢帧现象发生组播地址 89

98 组播 IP 地址 : 根据 IANA(Internet Assigned Numbers Authority, 因特网编号授权委员会 ) 规定, 组播报文的 IP 地址使用 D 类 IP 地址, 组播 IP 地址范围是 ~ 其中, 几个特殊组播 IP 地址段的范围及说明如下 : 组播地址范围 ~ ~ ~ 说明路由协议及其它底层拓扑发现和维护协议的保留地址会议及电视会议局域网内部使用地址, 不能用于 internet 表 8-1 特殊的组播 IP 地址段组播 MAC 地址 : 以太网传输单播 IP 报文的时候, 目的 MAC 地址使用的是接收者的 MAC 地址但是在传输组播报文时, 传输目标不再是一个具体的接收者, 而是一个成员不确定的组, 所以需要使用组播 MAC 地址作为目的地址, 组播 MAC 地址是一个逻辑的 MAC 地址 IANA 规定, 组播 MAC 地址的高 24bit 位是以 E 开头, 低 23bit 为组播 IP 地址的低 23bit, 映射关系如图 8-2 所示 : 图 8-2 组播 MAC 地址和组播 IP 地址的对应关系由于 IP 组播地址的高 4bit 是 1110, 标识了组播组, 而低 28bit 中只有 23bit 被映射到组播 MAC 地址上, 这样 IP 组播地址中就会有 5bit 没有使用, 从而出现了 32 个 IP 组播地址映射到同一 MAC 地址上的结果组播地址表交换机在转发组播数据时是根据组播地址表来进行的由于组播数据不能跨越 VLAN 传输, 因此组播地址表的第一部分是 VLAN ID, 当交换机收到组播数据包时, 数据包只能在接收端口所在的 VLAN 内转发组播地址表对应的出口端口不是一个, 而是一组端口列表转发数据时, 交换机根据组播数据的目的组播地址查找组播地址表, 如果在组播地址表中查不到相应的条目, 则把该组播数据广播, 即向接收端口所在 VLAN 内的所有端口上转发 ; 如果能查找到对应的条目, 则目的地址应该是一组端口列表, 于是交换机把这个组播数据复制成多份, 每份转发到一个端口, 从而完成组播数据的交换组播地址表一般格式如图 8-3 所示 VLAN ID 组播 IP 端口图 8-3 组播地址表 IGMP 侦听网络中的主机通过发送 IGMP(Internet Group Management Protocol, 互联网组管理协议 ) 报文向临近的路由器申请加入 ( 或离开 ) 组播组, 当上层路由设备将组播数据转发下来后, 交换机负责将 90

99 组播数据转发给主机 IGMP 侦听 (IGMP Snooping) 是组播约束机制, 交换机用他来完成组播组的动态注册, 运行 IGMP 侦听的交换机通过侦听和分析主机与组播路由器之间交互的 IGMP 报文来管理和控制组播组, 从而可以有效抑制组播数据在网络中扩散组播管理模块主要用于配置交换机的组播管理功能, 包括 IGMP 侦听组播地址表组播过滤以及报文统计四个部分 8.1 IGMP 侦听 IGMP 侦听的工作过程交换机侦听用户主机与路由器之间的交互 IGMP 报文, 跟踪组播信息及其申请的端口当交换机侦听到主机向路由器发出报告报文 (IGMP Report) 时, 交换机便把该端口加入组播地址表中 ; 当交换机侦听到主机发送的离开报文 (IGMP Leave) 时, 路由器会发送该端口的特定组查询报文 (Group-Specific Query), 若还有其它主机需要该组播, 则将回应报告报文, 若路由器收不到任何主机的回应, 交换机便把该端口从组播地址表中删除路由器会定时发查询报文 (IGMP Query), 交换机收到查询报文后, 如果在一定的时间段内没有收到主机的报告报文, 便把该端口从组播表中删除 IGMP 报文运行了 IGMP 侦听的交换机对不同类型的 IGMP 报文的处理方法如下 1. 查询报文 (IGMP Query) 由路由器发出, 又可分为通用查询报文和特定组查询报文路由器定时发出通用查询报文, 以查询该网段有哪些组播组的成员当路由器收到 IGMP 离开报文后, 会通过接收端口向该组播组发送 IGMP 特定组查询报文, 交换机会将此报文转发, 以确定该端口中是否还有组播组的其它组成员对于通用查询报文, 交换机会将此报文通过 VLAN 内除接收端口以外的其它端口转发, 并对接收端口做出相应的处理 : 如果接收端口不是已有路由器端口, 则将其加入路由器端口列表, 并启用路由器端口时间 ; 如果是已有路由器端口, 则直接重置路由器端口时间对于特定组查询报文, 交换机要向被查询的组播组的成员转发 IGMP 特定组查询报文 2. 报告报文 (IGMP Report) 由主机发出, 当主机想主动加入某一组播组或对路由器查询报文给予响应时产生此种报文在收到 IGMP 报告报文时, 交换机将此报文通过 VLAN 内的路由器端口转发出去, 同时从该报文中解析出主机要加入的组播组地址, 并对该报文的接收端口做相应的处理 : 如果接收端口是新成员端口, 则将其加入到组播地址表中, 并启用该端口的成员端口时间 ; 如果接收端口是旧成员端口, 则直接重置成员端口时间 3. 离开报文 (IGMP Leave) 运行 IGMPv1 的主机离开组播组时不会发送 IGMP 离开报文, 因此交换机无法立即获知主机离开的信息但是, 由于主机离开组播组后不会再发送 IGMP 报告报文, 因此当其对应的成员端口时间超时后, 交换机就会将该端口从相应的组播地址表中删除运行 IGMPv2 或 IGMPv3 的主机离开组播组时, 会通过发送 IGMP 离开报文, 以通知组播路由器自己离开了某个组播组当交换机从某一端口收到 IGMP 离开报文时, 为了确认此端口下是否还有其它组成员存在, 交换机向此端口转发特定组查询报文, 然后重置成员端口时间为离开滞后时间, 离开滞后时间超时后, 交 91

换机将此端口从相应的组播地址表中删除如果删除离开端口后组播组中没有其它组成员存在, 则将整个组播组删除 IGMP 侦听的基本概念 1. 相关端口路由器端口 (Router Port): 交换机上连接路由组播设备的端口成员端口 (Member Port): 交换机上连接组播组成员的端口 2.

100 换机将此端口从相应的组播地址表中删除如果删除离开端口后组播组中没有其它组成员存在, 则将整个组播组删除 IGMP 侦听的基本概念 1. 相关端口路由器端口 (Router Port): 交换机上连接路由组播设备的端口成员端口 (Member Port): 交换机上连接组播组成员的端口 2. 相关定时器路由器端口时间 : 这段时间内, 如果交换机没从路由器端口接收到查询报文, 就认为该路由器端口失效默认是 300 秒成员端口时间 : 这段时间内, 如果交换机没接收到成员端口发送的查询报文, 就认为该成员端口不再有主机属于多播组默认是 260 秒离开滞后时间 : 从主机发送离开报文到交换机把该主机端口从组播组中删除的间隔时间默认是 1 秒本功能包括基本配置端口参数 VLAN 参数和组播 VLAN 四个配置页面基本配置配置本交换机的 IGMP 侦听功能, 首先要在本页配置 IGMP 侦听的全局功能和相关参数如果交换机收到的组播数据没有在组播地址表内, 该组播数据会在 VLAN 内广播 ; 当交换机启用未知组播报文丢弃功能后, 交换机收到不在组播地址表中的组播数据报文时, 会将此报文丢弃, 从而节省带宽, 并提高系统的处理效率, 请根据实际情况配置该功能进入页面的方法 : 组播管理 >>IGMP 侦听 >> 基本配置条目介绍 : 端口配置图 8-4 基本配置 IGMP 侦听 : 未知组播报文 : 选择是否启用交换机的 IGMP 侦听功能选择交换机对未知组播报文的处理方法 92

IGMP 侦听信息描述 : 成员 : 显示 IGMP 侦听的配置项显示对应配置项的成员 8.1.

101 IGMP 侦听信息描述 : 成员 : 显示 IGMP 侦听的配置项显示对应配置项的成员端口参数本页用来配置交换机端口的 IGMP 侦听属性进入页面的方法 : 组播管理 >>IGMP 侦听 >> 端口参数条目介绍 : 端口配置图 8-5 端口参数端口选择 : 选择 : 端口 : IGMP 侦听 : 快速离开功能 : LAG: 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选条目配置端口的 IGMP 侦听功能, 可多选显示交换机的端口号选择该端口是否启用 IGMP 侦听功能当端口启动快速离开功能后, 交换机收到 IGMP 离开报文时, 直接将该端口从组播组中删除显示端口当前所属的汇聚组注意 : 端口的快速离开功能只能在主机支持 IGMPv2 或 v3 时生效当快速离开功能与未知组播报文丢弃功能同时开启的情况下, 如果某个端口下有多个用户, 一个用户的快速离开, 可能会造成同一组播组中其它用户的组播业务中断 93

8.1.3 VLAN 参数 IGMP 侦听所建立的组播组是基于 VLAN 广播域的, 不同的 VLAN 可以设置不同的 IGMP 参数本页用于配置每个 VLAN 的 IGMP 侦听参数进入页面的方法 : 组播管理 >>IGMP 侦听 >>VLAN 参数图 8-6 VLAN 参数条目介绍 : VLAN 参数 VLAN ID: 填写启用 IGMP 侦听功能的 VLAN ID 路由器端口时间 :

102 8.1.3 VLAN 参数 IGMP 侦听所建立的组播组是基于 VLAN 广播域的, 不同的 VLAN 可以设置不同的 IGMP 参数本页用于配置每个 VLAN 的 IGMP 侦听参数进入页面的方法 : 组播管理 >>IGMP 侦听 >>VLAN 参数图 8-6 VLAN 参数条目介绍 : VLAN 参数 VLAN ID: 填写启用 IGMP 侦听功能的 VLAN ID 路由器端口时间 : 在所设时间内, 如果交换机没有从路由器端口接收到查询报文, 就认为该路由器端口失效推荐 300 秒成员端口时间 : 在所设时间内, 如果交换机没有接收到成员端口发送的报告报文, 就认为该成员端口失效推荐 260 秒离开滞后时间 : 静态路由端口 : 主机发送离开报文到交换机把该主机端口从组播组中删除的间隔时间推荐 1 秒选择静态配置的路由器端口, 多用于拓扑稳定的网络中 VLAN 列表 VLAN ID 选择 : 选择 : 点击 < 选择 > 按键, 可根据所输 VLAN ID, 快速查找 VLAN 条目勾选条目配置 VLAN 参数, 可多选 VLAN ID: 显示 VLAN ID 路由器端口时间 : 成员端口时间 : 显示 VLAN 的路由器端口时间显示 VLAN 的成员端口时间 94

103 离开滞后时间 : 路由器端口 : 显示 VLAN 的离开滞后时间显示 VLAN 的路由器端口注意 : 当组播 VLAN 功能启用时, 本页的配置将失效配置步骤 : 步骤操作说明 1 启用 IGMP 侦听功能必选操作在组播管理 >>IGMP 侦听 >> 基本配置端口参数页面, 启用交换机的 IGMP 侦听功能和端口的 IGMP 侦听功能 2 配置 VLAN 的组播参数可选操作在组播管理 >>IGMP 侦听 >>VLAN 参数页面, 为交换机的各个 VLAN 配置组播参数没有配置组播参数的 VLAN, 表示没有在该 VLAN 内开启 IGMP 侦听功能, 那么该 VLAN 中的组播数据会广播组播 VLAN 对于传统的组播数据转发方式, 当处于不同 VLAN 的用户加入同一个组播组时, 组播路由器会为每个包含接收者的 VLAN 复制并转发一份组播数据这样的组播点播方式, 浪费了大量的带宽通过配置组播 VLAN, 可以有效的解决上述问题将交换机的端口加入到组播 VLAN 中, 使不同 VLAN 内的用户共用一个组播 VLAN 接收组播数据, 组播数据只在组播 VLAN 内进行传输, 从而节省了带宽同时由于组播 VLAN 与普通的 VLAN 完全隔离, 安全和带宽都得以保证配置组播 VLAN 之前, 需要在 802.1Q VLAN 功能处预先配置一个 VLAN 作为组播 VLAN, 并将相应的端口加入此 VLAN 中组播 VLAN 启用后, 在 VLAN 参数页面中为其它 VLAN 配置的组播参数将失效, 即组播数据不再通过除组播 VLAN 以外的其它 VLAN 转发进入页面的方法 : 组播管理 >>IGMP 侦听 >> 组播 VLAN 条目介绍 : 组播 VLAN 图 8-7 组播 VLAN 95

104 组播 VLAN: 选择是否启用组播 VLAN VLAN ID: 填写组播 VLAN 的 VLAN ID 路由器端口时间 : 在所设时间内, 如果交换机没有从路由器端口接收到查询报文, 就认为该路由器端口失效推荐 300 秒成员端口时间 : 在所设时间内, 如果交换机没有接收到成员端口发送的报告报文, 就认为该成员端口失效推荐 260 秒离开滞后时间 : 静态路由端口 : 主机发送离开报文到交换机把该主机端口从组播组中删除的间隔时间推荐 1 秒选择静态配置的路由器端口, 多用于拓扑稳定的网络中注意 : 路由器端口必须均在组播 VLAN 中, 否则成员端口无法收到组播数据必须在 802.1Q VLAN 功能处完成端口的相关 VLAN 属性配置, 组播 VLAN 才能正常运行组播 VLAN 中的成员端口的端口类型只能够为 GENERAL 组播 VLAN 中的路由器端口的端口类型必须配置为 TRUNK 或者是出口规则为带 tag 的 GENERAL 端口, 否则组播 VLAN 内的所有的组播成员端口都无法接收到组播数据当建立了组播 VLAN 后, 所有的 IGMP 报文均只在组播 VLAN 内处理配置步骤 : 步骤操作说明 1 启用 IGMP 侦听功能必选操作在组播管理 >>IGMP 侦听 >> 基本配置端口参数页面, 启用交换机的 IGMP 侦听功能和端口的 IGMP 侦听功能 2 创建组播 VLAN 必选操作在 VLAN>>802.1Q VLAN 功能处, 创建组播 VLAN, 并将所有成员端口和路由器端口加入该 VLAN 中配置成员端口的端口类型为 GENERAL 配置路由端口的端口类型为 TRUNK 或出口规则为带 tag 的 GENERAL 3 配置组播 VLAN 的参数可选操作进入组播管理 >>IGMP 侦听 >> 组播 VLAN 页面, 启用组播 VLAN 并配置组播 VLAN 的组播参数时间参数建议使用默认值 4 查看配置情况若配置成功, 则在组播管理 >>IGMP 侦听 >> 基本配置页面中的已启用的 VLAN 条目处, 显示组播 VLAN 的 VLAN ID 组网应用 : 组网需求组播源通过路由器转发组播数据, 组播数据流通过交换机被转发到接收端用户 A 和用户 B 路由器 :WAN 口与组播源相连 ;LAN 口与交换机相连, 且通过 VLAN3 转发数据 96

交换机 : 端口 3 与路由器相连, 且通过 VLAN3 转发数据 ; 端口 4 与用户 A 相连, 且通过 VLAN4 转发数据 ; 端口 5 与用户 B 相连, 且通过 VLAN5 转发数据用户 A: 与交换机的端口 4 相连用户 B: 与交换机的端口 5 相连配置组播 VLAN, 使用户 A 和用户 B 通过组播 VLAN 接收组播数据组网图配置步骤配置交换机 : 步骤操作

105 交换机 : 端口 3 与路由器相连, 且通过 VLAN3 转发数据 ; 端口 4 与用户 A 相连, 且通过 VLAN4 转发数据 ; 端口 5 与用户 B 相连, 且通过 VLAN5 转发数据用户 A: 与交换机的端口 4 相连用户 B: 与交换机的端口 5 相连配置组播 VLAN, 使用户 A 和用户 B 通过组播 VLAN 接收组播数据组网图配置步骤配置交换机 : 步骤操作说明 1 创建 VLAN 在 VLAN>>802.1Q VLAN 功能处, 创建 VLAN3 4 5, 并将 VLAN3 的描述填写为组播 VLAN 2 配置端口属性在 VLAN>>802.1Q VLAN 功能处配置端口 3 的端口类型为 GENERAL, 出口规则 TAG, 并加入 VLAN3 4 5 中配置端口 4 的端口类型为 GENERAL, 出口规则 UNTAG, 并加入 VLAN3 4 中配置端口 5 的端口类型为 GENERAL, 出口规则 UNTAG, 并加入 VLAN3 5 中 3 启用 IGMG 侦听在组播管理 >>IGMP 侦听 >> 基本配置页面, 启用 IGMP 侦听功能在组播管理 >>IGMP 侦听 >> 端口配置页面, 启用端口的 IGMP 侦听功能 4 启用组播 VLAN 在组播管理 >>IGMP 侦听 >> 组播 VLAN 页面, 启用组播 VLAN, 并配置组播 VLAN 的 VLAN ID 为 3, 其它参数建议使用默认值 5 检查组播 VLAN 在组播管理 >>IGMP 侦听 >> 基本配置页面, IGMP 侦听信息处, 已启用的端口显示为 3 4 5, 已启用的 VLAN 显示为 3 97

8.2 组播地址表在网络中, 信息接收者可以加入各自所需的组播组, 交换机在转发组播数据时是根据组播地址表来进行的本功能包括地址表显示和静态地址表两个配置页面 8.2.1 地址表显示在本页可以查看到交换机中已存在的所有组播地址表信息进入页面的方法 : 组播管理 >> 组播地址表 >> 地址表显示条目介绍 : 基本配置图 8-8 地址表显示组播 IP: VLAN ID: 端口 :

106 8.2 组播地址表在网络中, 信息接收者可以加入各自所需的组播组, 交换机在转发组播数据时是根据组播地址表来进行的本功能包括地址表显示和静态地址表两个配置页面地址表显示在本页可以查看到交换机中已存在的所有组播地址表信息进入页面的方法 : 组播管理 >> 组播地址表 >> 地址表显示条目介绍 : 基本配置图 8-8 地址表显示组播 IP: VLAN ID: 端口 : 地址类型 : 选择欲查找条目需包含的组播 IP 地址信息选择欲查找条目需包含的 VLAN ID 信息选择欲查找条目需包含的端口号选择欲查找条目需包含的地址类型信息全部 : 显示全部组播地址表条目静态 : 显示静态组播地址表条目动态 : 显示动态组播地址表条目组播 IP 表组播 IP: 显示组播 IP 地址 VLAN ID: 显示组播组对应的 VLAN ID 转发端口 : 地址类型 : 显示组播组的转发端口显示组播 IP 的类型 98

注意 : 若改变了 VLAN 参数或组播 VLAN 页面中的任意参数, 交换机都会先清空组播地址表中的动态组播地址, 然后再重新学习 8.2.

107 注意 : 若改变了 VLAN 参数或组播 VLAN 页面中的任意参数, 交换机都会先清空组播地址表中的动态组播地址, 然后再重新学习静态地址表静态组播地址表不是通过 IGMP 侦听学习到的, 不受动态组播组及组播过滤的影响, 对于某些固定的组播组, 可以提高数据传输质量并增加安全性进入页面的方法 : 组播管理 >> 组播地址表 >> 静态地址表条目介绍 : 新建条目图 8-9 静态地址表组播 IP: 填写静态绑定的组播 IP 地址 VLAN ID: 填写组播 IP 对应的 VLAN ID 转发端口 : 填写组播 IP 的转发端口查找条目查找选项 : 选择静态组播 IP 表的显示规则, 可以快速查找到所需的条目全部 : 显示全部静态组播 IP 表条目组播 IP: 设置欲查找条目需包含的组播 IP 地址信息 VLAN ID: 设置欲查找条目需包含的 VLAN ID 信息端口 ID: 设置欲查找条目需包含的端口静态组播 IP 表选择 : 组播 IP: 勾选条目进行删除, 可多选显示绑定的组播 IP 地址 VLAN ID: 显示组播组对应的 VLAN ID 99

108 转发端口 : 显示组播组的转发端口 8.3 组播过滤在启用了 IGMP 侦听后, 可以通过配置组播过滤, 来限制端口能加入的组播地址范围, 从而限制用户对组播节目的点播当用户申请加入某个组播组时, 会发送 IGMP 报告报文, 该报文到达交换机后, 交换机首先检查接收端口上所配置的组播过滤规则, 如果此端口可以加入这个组播组, 则将这个端口加入到该组播组的地址表中 ; 否则交换机就丢弃该 IGMP 报告报文, 这样组播数据就不会转发到该端口, 从而控制了用户加入组播组过滤地址本页用来配置需要过滤的组播地址段进入页面的方法 : 组播管理 >> 组播过滤 >> 过滤地址图 8-10 过滤地址条目介绍 : 新建条目过滤地址 ID: 填写过滤地址 ID 号起始组播 IP: 结束组播 IP: 填写过滤地址段的起始组播 IP 地址填写过滤地址段的结束组播 IP 地址过滤地址表过滤 ID 选择 : 选择 : 点击 < 选择 > 按键, 可根据所输过滤地址 ID 号, 快速查找条目勾选条目进行删除或修改过滤地址范围, 可多选过滤地址 ID: 显示过滤地址 ID 号 100

起始组播 IP: 结束组播 IP: 显示过滤地址段的起始组播 IP 地址显示过滤地址段的结束组播 IP 地址 8.3.

109 起始组播 IP: 结束组播 IP: 显示过滤地址段的起始组播 IP 地址显示过滤地址段的结束组播 IP 地址端口过滤本页用来配置端口的组播过滤规则, 与过滤地址页面相结合, 共同实现交换机的组播过滤功能进入页面的方法 : 组播管理 >> 组播过滤 >> 端口过滤条目介绍 : 端口过滤配置图 8-11 端口过滤端口选择 : 选择 : 端口 : 过滤 : 动作模式 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口勾选条目配置端口的组播过滤功能, 可多选显示交换机的端口号选择是否启用端口组播过滤功能选择当组播地址属于过滤地址范围时, 交换机对数据包的处理方式允许 : 只有组播地址属于过滤地址范围时, 才处理组播报文拒绝 : 只处理组播地址不在过滤地址范围内的组播报文绑定过滤地址 : 配置该端口需要绑定的过滤地址 ID 号最多加入组播数 : LAG: 通过限制端口最多加入组播组数, 来避免某些端口占据过多带宽显示端口当前所属的汇聚组 101

注意 : 组播过滤功能只对启用了 IGMP 侦听的 VLAN 生效组播过滤功能对静态组播 IP 不生效一个端口最多只能绑定 5 个过滤地址配置步骤 : 步骤操作说明 1 配置过滤地址段必选操作在组播管理 >> 组播过滤 >> 过滤地址页面, 为过滤地址 ID 配置对应的过滤地址段 2 配置端口的组播过滤规则

110 注意 : 组播过滤功能只对启用了 IGMP 侦听的 VLAN 生效组播过滤功能对静态组播 IP 不生效一个端口最多只能绑定 5 个过滤地址配置步骤 : 步骤操作说明 1 配置过滤地址段必选操作在组播管理 >> 组播过滤 >> 过滤地址页面, 为过滤地址 ID 配置对应的过滤地址段 2 配置端口的组播过滤规则必选操作在组播管理 >> 组播过滤 >> 端口过滤页面, 配置端口的组播过滤规则 8.4 报文统计在本页可以查看交换机各端口的组播报文流量信息, 便于监控网络中 IGMP 报文进入页面的方法 : 组播管理 >> 报文统计条目介绍 : 自动刷新图 8-12 报文统计自动刷新 : 选择是否启用自动刷新功能 102

111 刷新周期 : 填写自动刷新的时间周期默认为 5 秒 IGMP 报文统计端口选择 : 端口 : 查询报文数 : 报告报文 (V1): 报告报文 (V2): 报告报文 (V3): 离开报文 : 错误报文 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选择相应端口显示交换机的端口号显示端口接收到的查询报文的数目显示端口接收到的 IGMPv1 报告报文的数目显示端口接收到的 IGMPv2 报告报文的数目显示端口接收到的 IGMPv3 报告报文的数目显示端口接收到的离开报文的数目显示端口接收到的错误报文的数目回目录 103

112 第 9 章服务质量服务质量模块主要用于流量控制管理和优先级配置, 针对各种网络应用的不同需求, 为其提供不同的服务质量, 对带宽资源进行最优配置, 从而提供更高质量的网络服务体验, 包括 QoS 配置流量管理以及语音 VLAN 三个部分 9.1 QoS 配置 QoS(Quality of Service 即服务质量 ) 功能用以提高网络传输的可靠性, 并提供高质量的网络服务体验在传统的 IP 网络中, 所有的报文都被无区别的等同对待, 网络尽最大的努力 (Best-Effort) 发送报文, 但对时延可靠性等性能不能提供任何保证伴随着网络技术多媒体技术的飞速发展, IP 网在现有的 www, FTP, 等服务的基础上, 越来越多承载交互式多媒体通信业务如电视会议远程教学视频点播可视电话等, 而每种业务要求的传输时延可变迟延吞吐量和丢包率都不同因此, 为用户各种业务提供不同的服务质量 (QoS) 成为 Internet 发展的重要挑战通常所说的 QoS, 是针对各种网络应用的不同需求, 为其提供不同的服务质量, 如提供专用带宽, 减少报文丢失率, 降低报文传送时延及时延抖动等即在带宽不充裕的情况下, 对各种服务流量占用带宽的矛盾做一个平衡 QoS 工作原理本交换机通过在入口阶段对数据流进行分类, 然后在出口阶段将不同类型的数据流映射到不同优先级的队列, 最后依据调度模式来决定不同优先级队列的数据包被转发的方式, 从而实现了 QoS 功能图 9-1 QoS 工作原理报文分类 : 依据一定的匹配规则识别出对象映射 : 用户可以根据优先级模式, 将进入交换机的报文映射到不同的优先级队列中本交换机提供三种优先级模式 : 基于端口的优先级 802.1P 优先级和 DSCP 优先级队列调度 : 当网络拥塞时, 必须解决多种数据流同时竞争使用资源的问题, 通常采用队列调度加以解决本交换机共提供了四种调度模式, 分别是严格优先级模式 (SP) 加权轮询优先级模式 (WRR) SP+WRR 模式和无优先级模式 (Equ) 104

优先级模式本交换机共有基于端口的优先级 IEEE 802.1P 优先级和 DSCP 优先级三种模式其中基于端口的优先级是默认被启用的, 其它两种优先级模式可供选择 1. 基于端口的优先级端口优先级只是端口的一个属性值, 在设置了端口优先级后, 数据流会根据入端口的 CoS 值以及 802.1P 中 CoS 到队列之间的映射关系来确定数据流的出口队列 2. 802.1P 优先级图 9-2 802.

1P 优先级就是根据 Pri 的域值来决定数据帧的优先级通过交换机的配置页面可配置不同的 Pri 域对应不同的优先级, 交换机发送数据帧时, 会根据数据帧的 Tag 决定发送的优先级对于 Untagged 帧, 交换机则按照该入口端口的默认优先级对数据帧进行 QoS 处理 3.

113 优先级模式本交换机共有基于端口的优先级 IEEE 802.1P 优先级和 DSCP 优先级三种模式其中基于端口的优先级是默认被启用的, 其它两种优先级模式可供选择 1. 基于端口的优先级端口优先级只是端口的一个属性值, 在设置了端口优先级后, 数据流会根据入端口的 CoS 值以及 802.1P 中 CoS 到队列之间的映射关系来确定数据流的出口队列 P 优先级图 Q 的帧格式如图所示, 每一个 802.1Q Tag 中都有一个 Pri 域, 该域由三个 bit 为组成, 取值范围是 0~ P 优先级就是根据 Pri 的域值来决定数据帧的优先级通过交换机的配置页面可配置不同的 Pri 域对应不同的优先级, 交换机发送数据帧时, 会根据数据帧的 Tag 决定发送的优先级对于 Untagged 帧, 交换机则按照该入口端口的默认优先级对数据帧进行 QoS 处理 3. DSCP 优先级图 9-3 IP 报文如图所示,IP 报文头部的 ToS(Type of Service, 服务类型 ) 字段共有 8bit, 前 3 个 bit 表示的是 IP 的优先级, 取值范围是 0~7 RFC2474 重新定义了 IP 报文头部的 ToS 域, 称之为 DS 域其中 DSCP (Differentiated Services Codepoint, 差分服务编码点 ) 优先级用该域的前 6 个 bit(0~5bit) 表示, 取值范围为 0~63, 后 2 个 bit(6 7bit) 是保留位通过交换机的配置页面, 可以配置不同的 DS 字段对应不同的优先级, 交换机发送 IP 包时, 会根据 IP 包的 DS 域决定发送的优先级对于非 IP 包, 交换机则根据是否启用 802.1P 优先级以及数据帧是否带有 Tag 来决定采用哪种优先级模式注意 : 当没有启用 DSCP 优先级时, 交换机根据数据包是否带有 802.1Q Tag 确定使用哪种优先级模式对于带有 Tag 的数据包, 应用 802.1P ; 否则应用端口优先级当启用 DSCP 优先级时, 如果接收的数据包是 IP 包, 则应用 DSCP 优先级 ; 对于非 IP 包, 如果数据帧带有 Tag 则应用 802.1P 优先级, 否则应用端口优先级 105

调度模式在网络拥塞时, 通常采用队列调度来解决多个数据流同时竞争使用资源的问题本交换机共实现了 4 个调度队列 TC0 到 TC3, 其中 TC0 对应最低优先级的队列,TC3 对应到最高优先级的队列同时, 本交换机共提供了四种调度模式, 分别是严格优先级模式 (SP) 加权轮询优先级模式(WRR) SP+WRR 模式和无优先级模式 (Equ) 1.

114 调度模式在网络拥塞时, 通常采用队列调度来解决多个数据流同时竞争使用资源的问题本交换机共实现了 4 个调度队列 TC0 到 TC3, 其中 TC0 对应最低优先级的队列,TC3 对应到最高优先级的队列同时, 本交换机共提供了四种调度模式, 分别是严格优先级模式 (SP) 加权轮询优先级模式(WRR) SP+WRR 模式和无优先级模式 (Equ) 1. SP-Mode: 严格优先级模式 SP 模式的调度算法是交换机优先转发当前优先级最高的数据帧, 等最高优先级数据帧全部转发完后, 再转发次高级优先级的数据帧本交换机有 4 个出口队列, 依次为 TC0-TC3, 在 SP 队列模式下他们的优先级依次升高,TC3 有最高优先级 SP 队列的缺点是, 在拥塞发生时, 如果较高优先级队列中长时间有报文存在, 那么低优先级队列中的报文就会由于得不到服务而饿死图 9-4 严格优先级模式 2. WRR-Mode:WRR 优先级模式 WRR 模式的调度算法是在队列之间按权重比值进行轮流调度, 以保证每个队列都得到一定的服务时间加权值表示获取资源的比重 WRR 队列避免了采用 SP 调度时低优先级中的报文可能长时间得不到服务的缺点, 并且虽然多个队列调度是轮询进行的, 但是对每个队列不是固定的分配服务时间, 如果队列为空则马上更换下一个队列调度, 这样可以充分利用带宽资源 TC0-TC3 的默认权重比是 1:2:4:8 图 9-5 WRR 优先级模式 106

3. SP+WRR-Mode:SP+WRR 优先级模式, 这种模式是前两种模式的混合在这种模式下, 交换机提供了两个调度组, 分别是 SP 组和 WRR 组其中 SP 组和 WRR 组之间遵循的是严格优先级调度规则, 而 WRR 组内部队列遵循的是 WRR 调度模式在该调度模式下 TC3 属于 SP 组 ;TC0 TC1 TC2 属于 WRR 组, 权重比是 1:2:4

115 3. SP+WRR-Mode:SP+WRR 优先级模式, 这种模式是前两种模式的混合在这种模式下, 交换机提供了两个调度组, 分别是 SP 组和 WRR 组其中 SP 组和 WRR 组之间遵循的是严格优先级调度规则, 而 WRR 组内部队列遵循的是 WRR 调度模式在该调度模式下 TC3 属于 SP 组 ;TC0 TC1 TC2 属于 WRR 组, 权重比是 1:2:4 这样在调度的时候首先是 TC3 按照 SP 的调度模式独自占用带宽, 然后是 WRR 组的成员 TC0 TC1 TC2 按照权重比 1:2:4 的比例占用带宽 4. Equ-Mode: 无优先级模式这种模式下所有队列公平的占用带宽, 实际上这是 WRR 模式的一种特殊情况, 所有的队列权重比是 1:1:1:1 本交换机实现了基于端口基于 802.1P 和基于 DSCP 的三种优先级模式以及四个队列调度模式端口优先级以 CoS 0,CoS1 CoS 7 表示 QoS 配置功能包括基本配置调度模式 802.1P DSCP 四个配置页面基本配置在基本配置页面中, 可以进行基于端口优先级的配置进入页面的方法 : 服务质量 >>QoS 配置 >> 基本配置条目介绍 : 端口优先级配置图 9-6 基本配置选择 : 端口 : 优先级 : 勾选端口配置端口优先级, 可多选显示交换机的物理端口配置端口的所属优先级等级 LAG: 显示当前端口所属的 LAG 组 107

116 配置步骤 : 步骤操作说明 1 选择端口的优先级必选操作在服务质量 >>QoS 配置 >> 基本配置页面设置各端口的优先级 2 设置优先级与队列的映射关系必选操作在服务质量 >>QoS 配置 >>802.1P 页面的优先级等级表格中设置优先级与队列的映射关系 3 选择调度模式必选操作进入服务质量 >>QoS 配置 >> 调度模式页面设置调度模式调度模式在本页面可以进行交换机调度模式的选择在网络拥塞时, 通常采用队列调度来解决多个数据流同时竞争使用资源的问题交换机将根据设置的优先级队列和队列调度算法来控制报文的转发次序本交换机以 TC0,TC1 TC3 表示不同的优先级队列进入页面的方法 : 服务质量 >>QoS 配置 >> 调度模式条目介绍 : 调度模式配置图 9-7 调度模式 SP-Mode: WRR-Mode: SP+WRR-Mode: Equ-Mode: 严格优先级模式在此模式下, 高优先级队列会占用全部带宽, 只有在高优先级队列为空后, 低优先级队列才进行数据转发加权轮询优先级模式在此模式下, 所有优先级队列按照预先分配的权重比同时发送数据包 TC0 到 TC3 的权重比值是 1:2:4:8 SP+WRR 模式, 这种队列调度模式是 SP 和 WRR 模式的混合在此模式下, 交换机提供了 SP 和 WRR 两个调度组, 其中 SP 组和 WRR 组之间遵循的是严格优先级调度规则, 而 WRR 组内部队列遵循的是 WRR 调度模式在该调度模式下 TC3 属于 SP 组 ;TC0 TC1 TC2 属于 WRR 组, 权重比是 1:2:4, 在调度的时候首先 TC3 按照 SP 模式独自占用带宽, 然后是 WRR 组的成员 TC0~TC2 按照 1:2:4 权重比共享带宽无优先级模式在此模式下所有队列公平的占用带宽, 所有的队列权重比是 1:1:1: P 在 802.1P 配置页面中, 可以进行 802.1P 优先级的配置 802.1P 对 802.1Q tag 中的 Pri 字段进行了的定义, 利用该字段可以将数据包划分为 8 个优先级开启 802.1P 优先级后, 交换机根据数据包是否带 108

有 802.1Q tag 来确定所使用的优先级模式对于带有 tag 的数据包, 应用 802.1P 优先级 ; 否则应用基于端口的优先级进入页面的方法 : 服务质量 >>QoS 配置 >>802.1P 条目介绍 : 优先级等级图 9-8 802.1P 优先级优先级 Tag: 优先级等级 : IEEE802.

117 有 802.1Q tag 来确定所使用的优先级模式对于带有 tag 的数据包, 应用 802.1P 优先级 ; 否则应用基于端口的优先级进入页面的方法 : 服务质量 >>QoS 配置 >>802.1P 条目介绍 : 优先级等级图 P 优先级优先级 Tag: 优先级等级 : IEEE802.1P 协议里规定的 8 个优先级等级对应不同等级的优先级队列以 TC0,TC1 TC3 表示配置步骤 : 步骤操作说明 1 设置优先级与队列的映射关系必选操作在服务质量 >>QoS 配置 >>802.1P 页面中的优先级等级表格中设置优先级与队列的映射关系 2 选择调度模式必选操作进入服务质量 >>QoS 配置 >> 调度模式页面设置调度模式 DSCP 在 DSCP 配置页面中, 可以进行 DSCP 优先级的配置 DSCP(DiffServ Code Point, 区分服务编码点 ) 是 IEEE 对 IP ToS 字段的重定义, 利用该字段可以将 IP 报文划分为 64 个优先级开启 DSCP 优先级后, 如果转发的数据包是 IP 报文, 则交换机应用 DSCP 优先级 ; 对于非 IP 报文, 交换机则根据是否启用 802.1P 优先级以及数据帧是否带有 tag 来决定采用哪种优先级模式 109

118 图 9-9 DSCP 优先级条目介绍 : 优先级配置 DSCP 优先级 : 选择是否启用 DSCP 优先级优先级 DSCP: 数据包的 DSCP 优先级, 优先级级别为 0~63 优先级 : 将数据包根据 DSCP 优先级映射到 802.1P 优先级 CoS0~CoS7 配置步骤 : 步骤操作说明 1 设置 DSCP 优先级与 CoS 优先级的映射关系必选操作在服务质量 >>QoS 配置 >>DSCP 页面启用 DSCP 优先级, 设置 DSCP 优先级与 802.1P 优先级的映射关系 2 设置优先级与队列的映射关系必选操作在服务质量 >>QoS 配置 >>802.1P 页面的优先级等级表格中设置优先级与队列的映射关系 3 选择调度模式必选操作进入服务质量 >>QoS 配置 >> 调度模式页面设置调度模式 110

9.2 流量管理流量管理用于限制交换机端口的带宽和广播流量, 保证网络正常有效的运行, 包括带宽控制和风暴抑制两个配置页面 9.2.1 带宽控制带宽控制是通过设定端口可用带宽, 来控制端口的输入 / 输出数据传输速率, 从而合理地分配和利用网络带宽进入页面的方法 : 服务质量 >> 流量管理 >> 带宽控制条目介绍 : 带宽控制图 9-10 带宽控制端口选择 : 选择 : 点击 <

119 9.2 流量管理流量管理用于限制交换机端口的带宽和广播流量, 保证网络正常有效的运行, 包括带宽控制和风暴抑制两个配置页面带宽控制带宽控制是通过设定端口可用带宽, 来控制端口的输入 / 输出数据传输速率, 从而合理地分配和利用网络带宽进入页面的方法 : 服务质量 >> 流量管理 >> 带宽控制条目介绍 : 带宽控制图 9-10 带宽控制端口选择 : 选择 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选中相应端口勾选端口以配置端口带宽, 可多选也可不选入口带宽 (bps): 配置端口接收数据时的带宽, 可选择 100K 200K 500K,1M 2M 4M 5M,10M 20M 40M 50M 或者禁用选项若选择禁用选项, 则该端口的入口带宽控制会被取消, 该端口的入口带宽将恢复为最大带宽出口带宽 (bps): 配置端口转发数据时的带宽, 可选择 100K 200K 500K,1M 2M 4M 5M,10M 20M 40M 50M 或者禁用选项若选择禁用选项, 则该端口的出口带宽控制会被取消, 该端口的出口带宽将恢复为最大带宽 111

LAG: 显示端口当前所属的汇聚组勾选某个汇聚组的成员端口时, 会自动选择所有该汇聚组成员, 以保证同一汇聚组中所有成员的端口风暴抑制参数一致注意 : 若端口已启用广播风暴抑制, 再启用入口带宽限制将使其失效在一个或多个端口上启用出口带宽限制时, 建议将各端口的流量控制禁用, 以保证交换机的正常工作 9.2.

120 LAG: 显示端口当前所属的汇聚组勾选某个汇聚组的成员端口时, 会自动选择所有该汇聚组成员, 以保证同一汇聚组中所有成员的端口风暴抑制参数一致注意 : 若端口已启用广播风暴抑制, 再启用入口带宽限制将使其失效在一个或多个端口上启用出口带宽限制时, 建议将各端口的流量控制禁用, 以保证交换机的正常工作风暴抑制广播风暴是指网络上的广播帧由于不断被转发导致数量急剧增加而影响正常的网络通讯, 严重降低网络性能广播风暴的判断标准为一个端口是否在短时间内连续收到许多个广播帧风暴抑制是指用户可以限制端口上允许接收的广播流量大小, 当该类流量超过用户设置的阈值后, 系统将丢弃超出流量限制的广播帧, 防止广播风暴的发生, 从而保证网络的正常运行本交换机可以对三种常见的广播帧 ( 广播包组播包 UL 包 ) 进行限制进入页面的方法 : 服务质量 >> 流量管理 >> 风暴抑制条目介绍 : 风暴抑制图 9-11 风暴抑制端口选择 : 选择 : 点击 < 选择 > 按键, 可根据所输端口号, 快速选中相应端口勾选端口以配置风暴抑制参数, 可多选也可不选 112

121 广播包抑制 (bps): 对由普通广播引起的风暴进行抑制配置广播包的最大接收速度, 可选择 100K 200K 500K,1M 2M 4M 5M,10M 20M 40M 50M, 超出流量部分的数据包将被丢弃选择禁用选项时将关闭相应端口的广播包抑制组播包抑制 (bps): UL 包抑制 (bps): LAG: 对由组播引起的风暴进行抑制配置组播包的最大接收速度, 可选择 100K 200K 500K,1M 2M 4M 5M,10M 20M 40M 50M, 超出流量部分的数据包将被丢弃选择禁用选项时将关闭相应端口的组播包抑制交换机对未学习到地址的单播包 (UL 包 ) 进行广播, 对由此引起的风暴进行控制配置 UL 包的最大接收速度, 可选择 100K 200K 500K,1M 2M 4M 5M,10M 20M 40M 50M, 超出流量部分的数据包将被丢弃选择禁用选项时将关闭相应端口的 UL 包抑制显示端口当前所属的汇聚组勾选某个汇聚组的成员端口时, 会自动选择所有该汇聚组成员, 以保证同一汇聚组中所有成员的端口风暴抑制参数一致注意 : 若端口已启用入口带宽限制, 再启用广播风暴抑制将使其失效 9.3 语音 VLAN 语音 VLAN 是为语音数据流而专门划分的 VLAN 通过划分语音 VLAN 可以使语音数据自动被划分到语音 VLAN 中进行传输, 便于对语音流进行有针对性的 QoS(Quality of Service, 服务质量 ) 配置, 提高语音流量的传输优先级, 保证通话质量语音数据流识别方法本交换机可以根据数据包中的源 MAC 地址字段来判断该数据流是否为语音数据流源 MAC 地址符合系统设置的语音设备 OUI(Organizationally Unique Identifier, 全球统一标识符 ) 地址的报文被认为是语音数据流, 被划分到语音 VLAN 中传输 OUI(Organizationally Unique Identifier) 是 MAC 地址的前 24 位 ( 二进制 ), 是 IEEE(Institute of Electrical and Electronics Engineers, 电气和电子工程师学会 ) 为不同设备供应商分配的一个全球唯一的标识符, 从 OUI 地址可以判断出该设备是哪一个厂商的产品下表是常见语音设备商家产品的 OUI 地址, 已在本交换机中设置为缺省 OUI 地址, 设定不同的掩码可以调节交换机对 MAC 地址匹配的深度序号 OUI 地址设备商家 E Siemens phone B Cisco phone D Avaya phone B Philips/NEC phone 113

122 5 00-D0-1E Pingtel phone 6 00-E Polycom phone 7 00-E0-BB com phone 表 9-1 本交换机中缺省 OUI 地址端口的语音 VLAN 模式端口的语音 VLAN 模式包括自动模式和手动模式, 是指端口加入语音 VLAN 的方式自动模式 : 系统利用 IP 电话上电时发出的协议报文 (UNTAG 报文 ), 通过识别报文的源 MAC, 匹配 OUI 地址, 匹配成功后, 系统将自动把语音报文的输入端口加入语音 VLAN, 配置报文的优先级在设备上可以设置语音 VLAN 的老化时间如果在老化时间内, 系统没有从输入端口收到任何语音报文, 系统将把该端口从语音 VLAN 中删除端口的添加 / 删除过程由系统自动实现手动模式 : 需要手动把 IP 电话接入端口加入语音 VLAN 中, 再通过识别报文的源 MAC, 匹配 OUI 地址, 匹配成功后, 系统将下发 ACL 规则配置报文的优先级在实际应用中, 端口模式的设置需要结合语音设备发出的报文形式和端口的链路类型来进行设置, 具体请参考下表端口语音 VLAN 模式自动模式手动模式语音流类型 TAG 语音流 UNTAG 语音流 TAG 语音流 UNTAG 语音流端口链路类型及处理方式 ACCESS: 不支持 TRUNK: 支持, 但接入端口的缺省 VLAN 不能是语音 VLAN GENERAL: 支持, 但接入端口的缺省 VLAN 不能是语音 VLAN, 同时接入端口在缺省 VLAN 中的出口规则必须为 TAG ACCESS TRUNK GENERAL: 不支持 ACCESS: 不支持 TRUNK: 支持, 但接入端口的缺省 VLAN 是语音 VLAN GENERAL: 支持, 但接入端口的缺省 VLAN 不能是语音 VLAN, 同时接入端口在缺省 VLAN 中的出口规则必须为 TAG ACCESS: 支持, 但接入端口的缺省 VLAN 必须是语音 VLAN TRUNK: 支持, 但接入端口的缺省 VLAN 必须是语音 VLAN, 且接入端口允许语音 VLAN 通过 GENERAL: 支持, 但接入端口的缺省 VLAN 必须是语音 VLAN, 同时接入端口在缺省 VLAN 中的出口规则必须为 UNTAG 表 9-2 端口模式与语音数据流的处理关系语音 VLAN 安全模式当端口使能了语音 VLAN 功能后, 通过配置端口的安全模式还可以过滤数据流若启用安全模式, 则端口只转发语音数据包, 对于其它源 MAC 地址不匹配 OUI 地址的数据包, 端口将直接丢弃若禁用安全模式, 则端口转发所有数据包 114

安全模式报文类型处理方式启用禁用 UNTAG 报文带有语音 VLAN TAG 的报文带有其它 VLAN TAG 的报文 UNTAG 报文带有语音 VLAN TAG 的报文带有其它 VLAN TAG 的报文当该报文源 MAC 地址是可识别的 OUI 地址时, 允许该报文在语音 VLAN 内传输, 否则将该报文丢弃根据指定端口是否允许该 VLAN 通过来对报文进行转发和丢弃的处理, 不受语音

123 安全模式报文类型处理方式启用禁用 UNTAG 报文带有语音 VLAN TAG 的报文带有其它 VLAN TAG 的报文 UNTAG 报文带有语音 VLAN TAG 的报文带有其它 VLAN TAG 的报文当该报文源 MAC 地址是可识别的 OUI 地址时, 允许该报文在语音 VLAN 内传输, 否则将该报文丢弃根据指定端口是否允许该 VLAN 通过来对报文进行转发和丢弃的处理, 不受语音 VLAN 安全模式的影响不对报文的源 MAC 地址进行检查, 所有报文均可在语音 VLAN 内传输根据指定端口是否允许该 VLAN 通过来对报文进行转发和丢弃的处理, 不受语音 VLAN 安全模式的影响表 9-3 安全模式与各种数据的处理关系注意 : 除非有特殊需求, 请不要在语音 VLAN 中同时传输语音和其它业务数据全局配置在全局配置页面中, 可以设置语音 VLAN 的全局参数, 包括 VLAN ID 老化时间以及语音数据包的传输优先级等等进入页面的方法 : 服务质量 >> 语音 VLAN>> 全局配置条目介绍 : 全局配置图 9-12 语音 VLAN 全局配置语音 VLAN: 选择是否启用语音 VLAN 功能 VLAN ID: 输入该语音 VLAN 的 VLAN ID 老化时间 : 语音优先级 : 设置自动模式下的端口成员在 OUI 地址老化后的存活时间选择端口发送语音数据包时的数据传输优先级端口配置在启用语音 VLAN 功能之前, 需要在端口配置页面中配置各端口的功能参数进入页面的方法 : 服务质量 >> 语音 VLAN>> 端口配置 115

图 9-13 语音 VLAN 端口配置注意 : 若 LAG 组成员端口要启用语音 VLAN 功能, 请保持端口的成员模式和端口模式一致当端口为语音 VLAN 的成员端口时, 修改该端口的成员模式为自动, 此端口首先会退出语音 VLAN, 直到收到语音数据时再自动加入语音 VLAN 条目介绍 : 端口配置端口选择 : 选择 : 端口 : 成员模式 : 安全模式 : 成员状态 : LAG:

124 图 9-13 语音 VLAN 端口配置注意 : 若 LAG 组成员端口要启用语音 VLAN 功能, 请保持端口的成员模式和端口模式一致当端口为语音 VLAN 的成员端口时, 修改该端口的成员模式为自动, 此端口首先会退出语音 VLAN, 直到收到语音数据时再自动加入语音 VLAN 条目介绍 : 端口配置端口选择 : 选择 : 端口 : 成员模式 : 安全模式 : 成员状态 : LAG: 点击 < 选择 > 按键, 可根据所输端口号快速选择相应条目勾选端口配置端口的语音 VLAN 参数, 可多选显示交换机的端口号设置端口加入语音 VLAN 的方式, 有手动和自动两种方式自动 : 交换机根据端口是否收到语音数据自动维护端口加入或退出语音 VLAN 手动 : 请根据需要手动设置端口加入或退出语音 VLAN 设置端口转发数据包的模式禁用 : 端口转发所有数据启用 : 端口只转发语音数据显示端口当前在语音 VLAN 中的状态显示端口当前所属的汇聚组 116

9.3.3 OUI 配置本交换机支持新建 OUI 条目, 将特殊语音设备的 MAC 地址添加到交换机支持的 OUI 信息中, 并以此 OUI 地址判断数据是否是语音数据当交换机接收到数据包时, 将分析数据包并判断是否是语音数据, 如果是语音数据则在语音 VLAN 中传输进入页面的方法 : 服务质量 >> 语音 VLAN>>OUI 配置条目介绍 : 新建条目图 9-14 语音 VLAN

125 9.3.3 OUI 配置本交换机支持新建 OUI 条目, 将特殊语音设备的 MAC 地址添加到交换机支持的 OUI 信息中, 并以此 OUI 地址判断数据是否是语音数据当交换机接收到数据包时, 将分析数据包并判断是否是语音数据, 如果是语音数据则在语音 VLAN 中传输进入页面的方法 : 服务质量 >> 语音 VLAN>>OUI 配置条目介绍 : 新建条目图 9-14 语音 VLAN OUI 配置 OUI 地址 : 输入语音设备的 OUI 地址 OUI 掩码 : 输入 OUI 地址掩码, 常见为 FF-FF-FF OUI 描述 : 对此 OUI 进行描述, 以便区分不同 VoIP 设备 OUI 列表 OUI 地址 : OUI 掩码 : OUI 描述 : 显示语音设备的 OUI 地址显示语音设备的 OUI 地址掩码显示此 OUI 的描述信息语音 VLAN 配置步骤 : 步骤操作说明 1 设置端口类型必选操作在 VLAN>>802.1Q VLAN>> 端口配置页面根据端口连接的设备设置端口类型, 并根据表 9-2 设置语音设备连接端口的端口类型 2 创建 VLAN 必选操作在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点击 < 新建 > 按键创建 VLAN, 请输入 VLAN ID 并对其进行描述, 在此页面中请同时勾选 VLAN 包含的端口 117

126 3 添加 OUI 地址可选操作在服务质量 >> 语音 VLAN>>OUI 配置页面中的查看交换机是否支持相应的 OUI 模板, 若不支持请在此页面中添加 4 使能端口语音 VLAN 特性必选操作在服务质量 >> 语音 VLAN>> 端口配置页面设置语音 VLAN 中各端口的功能参数 5 使能语音 VLAN 必选操作在服务质量 >> 语音 VLAN>> 全局配置页面中使能语音 VLAN 功能, 并设置全局参数回目录 118

127 第 10 章访问控制随着网络规模的扩大以及流量的增加, 如何有效地控制网络安全和分配带宽已成为网络管理的重要内容 ACL(Access Control List, 访问控制列表 ) 功能, 通过配置报文的匹配规则和处理方式来实现对数据包的过滤功能, 从而有效防止非法用户对网络的访问另外 ACL 功能也可以控制流量, 节约网络资源 ACL 功能对网络安全的控制提供了很大的方便在本交换机中,ACL 功能可以对数据包的 L2-L4 层的协议字段进行匹配通过定义时间段可以设置 ACL 规则的生效时间, 配置 policy 可以对匹配了 ACL 规则的数据包进行处理 10.1 时间段配置当用户配置的 ACL 规则需要在特定时间段生效时, 可以先配置时间段, 然后设置 ACL 规则直接引用该时间段即可 ACL 规则只在指定的时间段内生效, 从而实现基于时间段的 ACL 过滤本交换机可设置的时间段包括绝对时间周期时间和节假日绝对时间可以设置在自然日内的生效日期, 周期时间则可以设置在每周的固定工作日生效, 同时可以根据需要设置节假日来应对某些特殊意义的日期在每个时间段内, 还可以设置四个小的时间片段使生效时间更灵活本功能包括时间段列表新建时间段和节假日定义三个配置页面时间段列表在时间段列表页面, 可以查看当前已添加的时间段信息进入页面的方法 : 访问控制 >> 时间段配置 >> 时间段列表条目介绍 : 时间段列表图 10-1 查看时间段列表选择 : 序号 : 时间段名称 : 时间片段 : 应用模式 : 详细信息 : 选择时间段条目进行删除显示时间段条目的序号显示时间段的名称显示时间段中的时间片段显示时间段的应用模式点击此按键查看时间段的详细配置信息新建时间段在新建时间段页面, 可以添加时间段信息进入页面的方法 : 访问控制 >> 时间段配置 >> 新建时间段 119

图 10-2 创建时间段注意 : 在此页面中, 请先配置时间片段, 再定义时间段, 否则无法配置成功条目介绍 : 时间段定义时间段名称 : 节假日 : 绝对时间 : 周期 : 填写时间段的名称, 便于区分各个时间段的信息配置时间段的节假日模式只有当系统日期在节假日内时, 基于该时间段的 ACL 规则才能生效配置时间段的绝对时间模式只有当系统日期在绝对时间内, 基于该时间段的 ACL

128 图 10-2 创建时间段注意 : 在此页面中, 请先配置时间片段, 再定义时间段, 否则无法配置成功条目介绍 : 时间段定义时间段名称 : 节假日 : 绝对时间 : 周期 : 填写时间段的名称, 便于区分各个时间段的信息配置时间段的节假日模式只有当系统日期在节假日内时, 基于该时间段的 ACL 规则才能生效配置时间段的绝对时间模式只有当系统日期在绝对时间内, 基于该时间段的 ACL 规则才能生效配置时间段的周期模式只有当系统日期在周期时间内, 基于该时间段的 ACL 规则才能生效时间片段起始时间 : 结束时间 : 配置时间段中时间片段的起始时间配置时间段中时间片段的结束时间时间片段列表序号 : 起始时间 : 结束时间 : 操作 : 显示时间片段的序号显示时间段中时间片段的起始时间显示时间段中时间片段的结束时间点击删除即可删除相应的时间片段节假日定义节假日定义可以提供与工作日不同的安全访问控制策略在本页面, 可以根据工作安排自行定义节假日进入页面的方法 : 访问控制 >> 时间段配置 >> 节假日定义 120

图 10-3 节假日定义条目介绍 : 节假日定义起始日期 : 终止日期 : 假日名称 : 配置节假日起始日期配置节假日终止日期填写假日名称, 请输入英文字符节假日列表选择 : 序号 : 假日名称 : 起始日期 : 终止日期 : 选择节假日条目进行删除显示节假日条目的序号显示假日名称显示节假日起始日期显示节假日终止日期 10.

129 图 10-3 节假日定义条目介绍 : 节假日定义起始日期 : 终止日期 : 假日名称 : 配置节假日起始日期配置节假日终止日期填写假日名称, 请输入英文字符节假日列表选择 : 序号 : 假日名称 : 起始日期 : 终止日期 : 选择节假日条目进行删除显示节假日条目的序号显示假日名称显示节假日起始日期显示节假日终止日期 10.2 ACL 配置在 ACL 功能中, 一个 ACL 可以包括多个规则, 而每个规则可以针对数据包中特定字段内容进行匹配在报文匹配规则时, 会按照匹配顺序去匹配定义的规则, 一旦有一条规则被匹配, 报文就不再继续匹配其它规则了, 交换机将对该报文执行第一次匹配的规则指定的动作, 以此来提高交换机的效率 ACL 配置功能包括 ACL 列表新建 ACL MAC ACL 标准 IP ACL 和扩展 IP ACL 五个配置页面显示 ACL 在 ACL 列表页面, 可以查看交换机中当前已配置的 ACL 详细信息进入页面的方法 : 访问控制 >>ACL 配置 >>ACL 列表 121

2 新建 ACL 在新建 ACL 页面, 可以创建 ACL 进入页面的方法 : 访问控制 >>ACL 配置 >> 新建 ACL 图 10-5 创建 ACL 条目介绍 : 创建 ACL ACL ID: 配置

130 图 10-4 查看 ACL 列表条目介绍 : ACL 显示选择 ACL: 选择已创建的 ACL ACL 类型 : 规则排序 : 显示该 ACL 的类型显示该 ACL 内部的规则如何排序规则列表此处可以查看 ACL 内部的详细规则信息新建 ACL 在新建 ACL 页面, 可以创建 ACL 进入页面的方法 : 访问控制 >>ACL 配置 >> 新建 ACL 图 10-5 创建 ACL 条目介绍 : 创建 ACL ACL ID: 配置 ACL ID 规则排序 : 配置该 ACL 内部的规则如何排序默认为用户配置用户配置 : 按照用户配置规则的先后顺序进行规则匹配 MAC ACL MAC ACL 根据数据包的源 MAC 地址目的 MAC 地址 VLAN 二层协议类型等二层信息制定匹配规则, 对数据包进行相应的分析处理进入页面的方法 : 访问控制 >>ACL 配置 >>MAC ACL 122

131 图 10-6 为 MAC ACL 添加规则条目介绍 : MAC ACL 访问控制列表 ID: 选择需要配置的 ACL ID 规则 ID: 填写规则 ID 安全操作 : 源 MAC: 目的 MAC: 地址掩码 : VLAN ID: 以太网类型 : 用户优先级 : 时间段 : 选择交换机对满足匹配规则的数据包的处理方式默认为允许允许 : 转发数据包丢弃 : 丢弃数据包填写规则包含的源 MAC 地址信息填写规则包含的目的 MAC 地址信息填写 MAC 地址掩码, 掩码置 1 表示严格匹配配置规则包含的 VLAN 信息配置规则包含的以太网类型信息选择该规则对数据包的 tag 优先级字段的匹配要求默认为无限制选择规则生效的时间段名称默认为无限制标准 IP ACL 标准 IP ACL 可以根据数据包的 IP 地址信息制定匹配规则, 对数据包进行相应的分析处理进入页面的方法 : 访问控制 >>ACL 配置 >> 标准 IP ACL 123

132 图 10-7 为标准 IP ACL 添加规则条目介绍 : 标准 IP ACL 访问控制列表 ID: 选择需要配置的 ACL ID 规则 ID: 填写规则 ID 安全操作 : 选择交换机对满足匹配规则的数据包的处理方式默认为允许允许 : 转发数据包丢弃 : 丢弃数据包源 IP: 目的 IP: 地址掩码 : 时间段 : 填写规则包含的源 IP 地址信息填写规则包含的目的 IP 地址信息填写 IP 地址掩码, 掩码置 1 表示严格匹配选择规则生效的时间段名称扩展 IP ACL 扩展 IP ACL 可以根据报文的源 IP 地址信息目的 IP 地址信息 IP 承载的协议类型协议的特性等信息来制定匹配规则, 对数据包进行相应的分析处理进入页面的方法 : 访问控制 >>ACL 配置 > 扩展 IP ACL 124

133 图 10-8 为扩展 IP ACL 添加规则条目介绍 : 扩展 IP ACL 访问控制列表 ID: 选择需要配置的 ACL ID 规则 ID: 填写规则 ID 安全操作 : 选择交换机对满足匹配规则的数据包的处理方式默认为允许允许 : 转发数据包丢弃 : 丢弃数据包源 IP: 目的 IP: 地址掩码 : IP 协议 : TCP Flag: 源端口号 : 目的端口号 : DSCP: IP ToS: IP Pre: 时间段 : 填写规则包含的源 IP 地址信息填写规则包含的目的 IP 地址信息填写 IP 地址掩码, 掩码置 1 表示严格匹配选择规则包含的 IP 协议信息当 IP 协议选择 TCP 时, 此处配置 Flag 匹配条件当 IP 协议选择 TCP/UDP 时, 此处配置规则包含的 TCP/UDP 源端口号当 IP 协议选择 TCP/UDP 时, 此处配置规则包含的 TCP/UDP 目的端口号填写规则包含的 DSCP 域信息填写规则包含的 IP ToS 字段信息填写规则包含的 IP Precedence 字段信息选择规则生效的时间段名称 125

10.3 Policy 配置 Policy 功能是将 ACL 规则和处理方式组合起来, 组成一个访问控制策略, 对符合相应 ACL 规则的数据包进行控制, 处理方式包括流镜像流监控 QoS 重标记和端口重定向 Policy 配置功能包括显示 Policy 新建 Policy 配置 Policy 三个配置页面 10.3.1

policy 名称当需要删除相应的 policy 时, 选择后点击删除按键即可 Action 列表选择 : 序号 : 选择动作条目进行删除显示动作条目的序号 ACL ID: 显示此 Policy 中包含的 ACL 流镜像 : 流监管 : 端口重定向 : QoS 重标记 : 显示此 Policy 中的流镜像端口显示该

134 10.3 Policy 配置 Policy 功能是将 ACL 规则和处理方式组合起来, 组成一个访问控制策略, 对符合相应 ACL 规则的数据包进行控制, 处理方式包括流镜像流监控 QoS 重标记和端口重定向 Policy 配置功能包括显示 Policy 新建 Policy 配置 Policy 三个配置页面显示 Policy 在 Policy 页面可以查看 ACL 规则的数据包处理方式, 此动作是对匹配了相应 ACL 规则的数据包的处理方式进入页面的方法 : 访问控制 >>Policy 配置 > 显示 Policy 条目介绍 : Policy 显示图 10-9 查看 Policy 列表选择 Policy: 选择需要查看的 policy 名称当需要删除相应的 policy 时, 选择后点击删除按键即可 Action 列表选择 : 序号 : 选择动作条目进行删除显示动作条目的序号 ACL ID: 显示此 Policy 中包含的 ACL 流镜像 : 流监管 : 端口重定向 : QoS 重标记 : 显示此 Policy 中的流镜像端口显示该 Policy 中添加的流监管动作信息显示该 Policy 中添加的端口重定向动作信息显示该 Policy 中添加的 QoS 重标记动作信息新建 Policy 在此页面中可以创建 Policy 进入页面的方法 : 访问控制 >>Policy 配置 > 新建 Policy 图创建 Policy 126

135 条目介绍 : 创建 Policy Policy 名称 : 填写 Policy 的名称配置 Policy 在此页面中, 可以配置 Policy 对应的 ACL 规则以及包含的动作, 此动作是对匹配了相应 ACL 规则的数据包的处理方式进入页面的方法 : 访问控制 >>Policy 配置 >Policy 设置条目介绍 : Policy 设置图为 Policy 添加 ACL 并设置动作选择 Policy: 选择 ACL: 流镜像 : 流监管 : 选择 Policy 的名称选择 ACL 作为 Policy 作用的对象配置该 Policy 的数据包执行流镜像动作, 镜像到选定的端口配置该 Policy 的数据包执行流限速动作额定速率 : 为匹配了相应 ACL 的数据包配置额定转发速率超速处理 : 为超过额定速率的数据包选择处理方式端口重定向 : 配置该 Policy 的数据包执行端口重定向动作, 改变转发端口指定出口端口 : 将匹配相应 ACL 的数据包指定到固定端口转发 QoS 重标记 : 配置该 Policy 的数据包执行 QoS 动作, 根据 QoS 功能具体配置情况转发 DSCP: 为匹配了相应 ACL 的数据包指定 DSCP 域本地优先级 : 为匹配了相应 ACL 的数据包指定优先级 127

10.4 绑定配置只有将 Policy 和端口 /VLAN 绑定,Policy 才能生效 ; 将 Policy 与端口 /VLAN 进行绑定后, 端口和 VLAN 会对接收到的数据包根据 Policy 进行匹配处理绑定配置功能将 Policy 应用到某个端口或者 VLAN 上绑定配置功能包括显示绑定端口绑定 VLAN 绑定三个配置页面 10.4.1 显示绑定在此页面中可以查看已进行端口

136 10.4 绑定配置只有将 Policy 和端口 /VLAN 绑定,Policy 才能生效 ; 将 Policy 与端口 /VLAN 进行绑定后, 端口和 VLAN 会对接收到的数据包根据 Policy 进行匹配处理绑定配置功能将 Policy 应用到某个端口或者 VLAN 上绑定配置功能包括显示绑定端口绑定 VLAN 绑定三个配置页面显示绑定在此页面中可以查看已进行端口 /VLAN 绑定的 Policy 条目进入页面的方法 : 访问控制 >> 绑定配置 > 显示绑定条目介绍 : 图查看 Policy 与端口 /VLAN 绑定信息选择显示模式选择显示模式 : 请根据需要选择参考已绑定的条目类别 Policy 绑定列表选择 : 序号 : Policy 名称 : 选择绑定条目进行删除显示绑定条目的序号显示绑定的 Policy 名称绑定接口 : 显示与相应 Policy 绑定的端口号或 VID 方向 : 显示绑定的方向本交换机当前仅支持入口方向的过滤端口绑定在此页面中可以将 Policy 与端口进行绑定进入页面的方法 : 访问控制 >> 绑定配置 > 端口绑定 128

图 10-13 将 Policy 与端口进行绑定条目介绍 : 端口绑定配置 Policy 名称 : 端口 : 选择需要绑定的 Policy 名称配置需要绑定的端口号端口绑定列表序号 : Policy 名称 : 端口 : 方向 : 显示绑定条目的序号显示绑定的 Policy 名称显示与相应 Policy 绑定的端口号显示绑定的方向

137 图将 Policy 与端口进行绑定条目介绍 : 端口绑定配置 Policy 名称 : 端口 : 选择需要绑定的 Policy 名称配置需要绑定的端口号端口绑定列表序号 : Policy 名称 : 端口 : 方向 : 显示绑定条目的序号显示绑定的 Policy 名称显示与相应 Policy 绑定的端口号显示绑定的方向本交换机当前仅支持入口方向的过滤 VLAN 绑定在此页面中可以将 Policy 与 VLAN 进行绑定进入页面的方法 : 访问控制 >> 绑定配置 >VLAN 绑定条目介绍 : VLAN 绑定配置图将 Policy 与 VLAN 进行绑定 Policy 名称 : 选择需要绑定的 Policy 名称 VLAN ID: 填写需要绑定的已建立的 VLAN ID 129

138 VLAN 绑定列表序号 : Policy 名称 : 显示绑定条目的序号显示绑定的 Policy 名称 VLAN ID: 显示与相应 Policy 绑定的 VLAN ID 方向 : 显示绑定的方向本交换机当前仅支持入口方向的过滤配置步骤 : 步骤操作说明 1 设置生效时间段必选操作在访问控制 >> 时间段配置三个标签页中配置 ACL 规则的生效时间段 2 配置 ACL 规则必选操作在访问控制 >>ACL 配置三个标签页中配置 ACL 规则对数据包进行匹配 3 配置 Policy 必选操作在访问控制 >>Policy 配置三个标签页中配置 Policy, 对匹配了相应 ACL 规则的数据包, 可以通过 Policy 设置处理方式 4 将 Policy 与端口 /VLAN 绑定必选操作在访问控制 >> 绑定配置三个标签页中将 Policy 与端口 /VLAN 进行绑定, 将 Policy 应用到相应的端口 /VLAN 上 10.5 访问控制组网应用组网需求 1. 研发部门的管理人员自由访问公司论坛以及上网, 管理人员 MAC 地址为 A5-5D-12-C3 2. 研发部门工作人员在工作时间不可以上网, 全天访问公司论坛 3. 公司的研发部门和市场部分别属于不同 VLAN, 相互之间不能访问 4. 市场部人员可以全天候上网, 工作时间不能访问公司论坛 5. 市场部和研发部门之间互相不能访问组网图 130

配置步骤步骤操作说明 1 创建部门 VLAN 在 VLAN>>802.1Q VLAN 功能处, 创建 VLAN6, 描述为研发部门, 端口成员包括端口 16 和端口 2 研发部门连接到 TL-SG3424 的端口 16, 端口 16 的端口类型设置为 GENERAL,PVID 设置为 6 VLAN6 的 IP 地址段为 172.31.70.0 在 VLAN>>802.

139 配置步骤步骤操作说明 1 创建部门 VLAN 在 VLAN>>802.1Q VLAN 功能处, 创建 VLAN6, 描述为研发部门, 端口成员包括端口 16 和端口 2 研发部门连接到 TL-SG3424 的端口 16, 端口 16 的端口类型设置为 GENERAL,PVID 设置为 6 VLAN6 的 IP 地址段为在 VLAN>>802.1Q VLAN 功能处, 创建 VLAN8, 描述为市场部, 端口成员包括端口 18 和端口 2 市场部连接到 TL-SG3424 的端口 15, 端口 15 的端口类型设置为 GENERAL,PVID 设置为 8 VLAN8 的 IP 地址段为配置时间段在访问控制 >> 时间段配置功能处, 新建时间段, 描述为 work_time, 时间段采用周期时间, 周期时间选择工作日周一到周五, 时间片段添加 08:00~18:00 3 需求 1 配置在访问控制 >>ACL 配置 >> 新建 ACL 页面, 创建 ACL 11 在访问控制 >>ACL 配置 >>MAC ACL 页面, 选择 ACL 11, 创建规则 1, 安全操作设置为通过 ; 勾选源 MAC 设置为 A5-5D-12-C3, 掩码为 FF-FF-FF-FF-FF-FF; 时间段选择无限制在访问控制 >>Policy 配置 >> 新建 Policy 页面, 创建 Policy, 名称定为 manager 在访问控制 >>Policy 配置 >> 配置 Policy 页面, 将 ACL 11 应用到 Policy manager 在访问控制 >> 绑定配置 >> 端口绑定页面, 选择 Policy manager 与端口 16 绑定 131

140 4 需求 2 3 配置在访问控制 >>ACL 配置 >> 新建 ACL 页面, 创建 ACL 100 在访问控制 >>ACL 配置 >> 标准 IP ACL 页面, 选择 ACL 100, 创建规则 1, 安全操作设置为禁止 ; 设置源 IP 为 , 掩码为 ; 设置目的 IP 为 , 掩码为 ; 时间段选择无限制在访问控制 >>ACL 配置 >> 标准 IP ACL 页面, 选择 ACL 100, 创建规则 2, 安全操作设置为允许 ; 设置源 IP 为 , 掩码为 ; 设置目的 IP 为 , 掩码为 ; 时间段选择无限制在访问控制 >>ACL 配置 >> 标准 IP ACL 页面, 选择 ACL 100, 创建规则 3, 安全操作设置为禁止 ; 设置源 IP 为 , 掩码为 ; 时间段选择 work_time 在访问控制 >>Policy 配置 >> 新建 Policy 页面, 创建 Policy, 名称定为 limit1 在访问控制 >>Policy 配置 >> 配置 Policy 页面, 将 ACL 100 应用到 Policy limit1 在访问控制 >> 绑定配置 >> 端口绑定页面, 选择 Policy limit1 与端口 16 绑定 5 需求 4 5 配置在访问控制 >>ACL 配置 >> 新建 ACL 页面, 创建 ACL 101 在访问控制 >>ACL 配置 >> 标准 IP ACL 页面, 选择 ACL 101, 创建规则 1, 安全操作设置为禁止 ; 设置源 IP 为 , 掩码为 ; 设置目的 IP 为 , 掩码为 ; 时间段选择 work_time 在访问控制 >>ACL 配置 >> 标准 IP ACL 页面, 选择 ACL 101, 创建规则 2, 安全操作设置为禁止 ; 设置源 IP 为 , 掩码为 ; 设置目的 IP 为 , 掩码为 ; 时间段选择无限制在访问控制 >>Policy 配置 >> 新建 Policy 页面, 创建 Policy, 名称定为 limit2 在访问控制 >>Policy 配置 >> 配置 Policy 页面, 将 ACL 101 应用到 Policy limit2 在访问控制 >> 绑定配置 >> 端口绑定页面, 选择 Policy limit2 与端口 15 绑定回目录 132

141 第 11 章网络安全网络安全模块为保护局域网安全提供了多项安全措施, 包括四元绑定 ARP 防护 DoS 防护以及 802.1X 认证四个部分, 请根据实际需要进行配置 11.1 四元绑定四元绑定, 是将计算机的 MAC 地址 IP 地址所属 VLAN 以及与之相连的交换机的端口号四者绑定, 以下这四个参数信息简称四元信息该功能可以启用 ARP 防护, 只有符合绑定关系的计算机才能访问网络本交换机支持如下三种四元绑定方式 : 1) 手动绑定, 通过手动方式绑定局域网用户的四元信息当可以全面获取正确的局域网用户的四元信息时, 可通过此方式进行绑定 2) 扫描绑定 : 通过 ARP 扫描获取局域网用户的四元信息, 并根据实际需要选择扫描结果进行绑定此绑定方式只需在相应的功能页面输入 IP 地址段进行扫描 3) DHCP 侦听 : 通过 DHCP 侦听功能侦听 DHCP 广播包, 记录数据包中的 IP MAC 和 VLAN ID 等信息当局域网中搭建了 DHCP 服务器给局域网用户分配 IP 地址时,DHCP 侦听功能可以很方便地记录局域网用户的四元信息此三种方式也称为四元绑定条目的三个来源三种来源的四元绑定条目信息必须完全不一致, 以避免冲突如果四元绑定条目发生冲突, 只有来源优先级最高的条目生效此三种来源方式中, 手动绑定优先级最高, 其次是扫描绑定,DHCP 侦听优先级最低本功能包括绑定列表手动绑定扫描绑定和 DHCP 侦听四个配置页面绑定列表在绑定列表页面中, 可以查看当前交换机已进行四元绑定的局域网计算机条目信息进入页面的方法 : 网络安全 >> 四元绑定 >> 绑定列表图 11-1 查看四元绑定信息 133

142 条目介绍 : 来源筛选来源 : 选择查看不同来源的四元绑定条目全部来源 : 查看全部四元绑定条目手动添加 : 只查看手动添加的四元绑定条目 ARP 扫描 : 只查看通过 ARP 扫描获得的四元绑定条目 DHCP 侦听 : 只查看通过 DHCP 侦听获得的四元绑定条目四元绑定表 IP 选择 : 选择 : 主机名 : IP 地址 : MAC 地址 : 点击 < 选择 > 按键, 可根据所输 IP 快速查找四元绑定条目勾选条目可修改主机名及防护范围, 可多选显示主机描述名称显示主机 IP 地址显示主机 MAC 地址 VLAN ID: 显示 VLAN ID 端口 : 防护范围 : 来源 : 冲突 : 显示主机连接的交换机端口显示并编辑此条目支持的防护范围显示此条目的来源显示此绑定条目与其它条目的冲突状态警告 : 表示此条目冲突可能是由于 MSTP 等功能造成的严重 : 已确定的冲突条目注意 : 冲突等级为严重的条目只有来源优先级最高的一条生效多条来源优先级相同的条目中只有最后添加 / 修改的条目生效手动绑定当已经获取了局域网用户的四元信息时, 可以将四元信息静态绑定进入页面的方法 : 网络安全 >> 四元绑定 >> 手动绑定 134

图 11-2 手动绑定四元信息条目介绍 : 手动绑定主机名 : IP 地址 : MAC 地址 : 输入主机描述名称输入主机 IP 地址输入主机 MAC 地址 VLAN ID: 输入 VLAN ID 端口 : 防护范围 : 绑定 : 输入主机连接的交换机端口选择此条目支持的防护范围点击此按键将上述输入信息进行绑定手动绑定条目选择 : 主机名 : IP

143 图 11-2 手动绑定四元信息条目介绍 : 手动绑定主机名 : IP 地址 : MAC 地址 : 输入主机描述名称输入主机 IP 地址输入主机 MAC 地址 VLAN ID: 输入 VLAN ID 端口 : 防护范围 : 绑定 : 输入主机连接的交换机端口选择此条目支持的防护范围点击此按键将上述输入信息进行绑定手动绑定条目选择 : 主机名 : IP 地址 : MAC 地址 : 勾选条目进行删除显示主机描述名称显示主机 IP 地址显示主机 MAC 地址 VLAN ID: 显示 VLAN ID 端口 : 防护范围 : 冲突 : 显示主机连接的交换机端口显示此条目支持的防护范围显示此绑定条目与其它条目的冲突状态警告 : 表示此条目冲突可能是由于 MSTP 等功能造成的严重 : 已确定的冲突条目 135

11.1.3 扫描绑定 ARP(Address Resolution Protocol, 地址解析协议 ) 用于将网络层的 IP 地址解析为数据链路层地址 IP 地址只是主机在网络层中的地址, 如果要将网络层中数据包传送给目的主机, 必须知道目的主机的数据链路层地址 ( 比如以太网络 MAC 地址 ) 因此必须将 IP 地址解析为数据链路层地址 ARP 协议用于将 IP 地址解析为 MAC

则 A 向整个局域网中广播一份称为 ARP 请求的数据链路帧, 这个请求包含发送端 ( 即主机 A) 的 IP 地址和 MAC 地址以及接收端 ( 即主机 B) 的 IP 地址 2) 局域网的每个主机接收到主机 A 广播的 ARP 请求后, 目的主机 B 识别出这是发送端在询问它的 IP 地址, 于是给主机 A 发出一个 ARP 应答这个应答包含了主机 B 的 MAC 地址 3) 主机 A

144 扫描绑定 ARP(Address Resolution Protocol, 地址解析协议 ) 用于将网络层的 IP 地址解析为数据链路层地址 IP 地址只是主机在网络层中的地址, 如果要将网络层中数据包传送给目的主机, 必须知道目的主机的数据链路层地址 ( 比如以太网络 MAC 地址 ) 因此必须将 IP 地址解析为数据链路层地址 ARP 协议用于将 IP 地址解析为 MAC 地址, 并在主机内部维护一张 ARP 表, 记录最近与本主机通信的其它主机的 MAC 地址与 IP 地址的对应关系当主机需要与陌生主机通信时, 首先进行 ARP 地址解析, ARP 地址解析过程如图 11-3 所示 : 图 11-3 ARP 地址解析图 1) A 在自己的 ARP 表中查询是否存在主机 B 的 IP 地址和 MAC 地址的对应条目若存在, 直接向主机 B 发送数据若不存在, 则 A 向整个局域网中广播一份称为 ARP 请求的数据链路帧, 这个请求包含发送端 ( 即主机 A) 的 IP 地址和 MAC 地址以及接收端 ( 即主机 B) 的 IP 地址 2) 局域网的每个主机接收到主机 A 广播的 ARP 请求后, 目的主机 B 识别出这是发送端在询问它的 IP 地址, 于是给主机 A 发出一个 ARP 应答这个应答包含了主机 B 的 MAC 地址 3) 主机 A 接收到主机 B 发出的 ARP 应答后, 就将主机 B 的 IP 地址与 MAC 地址的对应条目添加自己的 ARP 表中, 以便后续报文的转发扫描绑定功能即通过交换机向局域网或 VLAN 发送指定 IP 段的 ARP 请求报文, 当收到相应的 ARP 应答报文时, 将分析 ARP 应答报文来获得四元信息由此可见, 通过扫描绑定功能可以很方便的将局域网用户的四元信息进行绑定进入页面的方法 : 网络安全 >> 四元绑定 >> 扫描绑定图 11-4 扫描绑定四元信息 136

145 条目介绍 : ARP 扫描起始 IP 地址 : 结束 IP 地址 : VLAN ID: 扫描 : 输入起始 IP 地址输入结束 IP 地址输入 VLAN ID, 在相应的 VLAN 中进行扫描若留空, 则发送 untag 数据包进行扫描点击 < 扫描 > 按键将对局域网计算机进行扫描扫描结果选择 : 主机名 : IP 地址 : MAC 地址 : 勾选条目进行删除显示主机描述名称或对主机进行描述以便区分显示主机 IP 地址显示主机 MAC 地址 VLAN ID: 显示 VLAN ID 端口 : 防护范围 : 冲突 : 显示主机连接的交换机端口显示此条目支持的防护范围或者对此条目开启防护功能显示此绑定条目与其它条目的冲突状态警告 : 表示此条目冲突可能是由于 MSTP 等功能造成的严重 : 已确定的冲突条目 DHCP 侦听随着网络规模的不断扩大和网络复杂度的提高, 经常出现计算机的数量超过可供分配的 IP 地址的情况同时随着便携机及无线网络的广泛使用, 计算机的位置也经常变化, 相应的 IP 地址也必须经常更新, 从而导致网络配置越来越复杂 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) 是在 BOOTP 协议基础上进行了优化和扩展而产生的一种网络配置协议, 并有效解决了上面这些问题 DHCP 工作原理 DHCP 采用客户端 / 服务器通信模式, 由客户端向服务器提出配置申请, 服务器返回为客户端分配的 IP 地址等配置信息, 以实现网络资源的动态配置通常一台服务器可以为多台客户端分配 IP, 如图 11-5 所示 : 137

146 图 11-5 DHCP 网络典型应用针对 DHCP 客户端的需求不同,DHCP 服务器提供三种 IP 地址分配策略 : 1) 手工分配地址 : 由管理员为少数特定客户端 ( 如 WWW 服务器等 ) 静态绑定 IP 地址通过 DHCP 将固定 IP 地址分配给客户端 2) 自动分配地址 :DHCP 服务器为客户端分配租期为无限长的 IP 地址 3) 动态分配地址 :DHCP 服务器为客户端分配具有一定有效期限的 IP 地址, 当使用期限到期后, 客户端需要重新申请地址绝大多数客户端均通过动态分配地址的方式获取 IP 地址, 其获取 IP 地址的过程如下图所示 : 图 11-6 动态获取 IP 地址的过程 1) 发现阶段, 客户端以广播方式发送 DHCP-DISCOVER 报文寻找 DHCP 服务器 2) 提供阶段,DHCP 服务器接收到客户端发送的 DHCP-DISCOVER 报文后, 根据 IP 地址分配的优先次序从地址池中选出一个 IP 地址, 与其它参数一起通过 DHCP-OFFER 报文发送给客户端 ( 发送方式根据客户端发送的 DHCP-DISCOVER 报文中的 flag 字段决定, 具体请见 DHCP 报文格式的介绍 ) 138

147 3) 选择阶段, 如果有多台 DHCP 服务器向该客户端发来 DHCP-OFFER 报文, 客户端只接受第一个收到的 DHCP-OFFER 报文, 然后以广播方式发送 DHCP-REQUEST 报文, 该报文中包含 DHCP 服务器在 DHCP-OFFER 报文中分配的 IP 地址 4) 确认阶段,DHCP 服务器收到 DHCP 客户端发来的 DHCP-REQUEST 报文后, 只有 DHCP 客户端选择的服务器会进行如下操作 : 如果确认地址分配给该客户端, 则返回 DHCP-ACK 报文 ; 否则将返回 DHCP-NAK 报文, 表明地址不能分配给该客户端 Option 82 DHCP 报文格式基于 BOOTP 的报文格式, 共有 8 种类型的报文, 每种报文的格式相同 DHCP 和 BOOTP 消息的不同主要体现在选项 (Option) 字段, 并利用 Option 字段来实现功能扩展例如 DHCP 可以利用 Option 字段传递控制信息和网络配置参数, 实现地址的动态分配, 为客户端提供更加丰富的网络配置信息更多 DHCP Option 选项的介绍, 请参见 RFC 2132 Option 82 选项记录了 DHCP 客户端的位置信息, 交换机接收到 DHCP 客户端发送给 DHCP 服务器的请求报文后, 在该报文中添加 Option 82, 并转发给 DHCP 服务器管理员可以从 Option 82 中获得 DHCP 客户端的位置信息, 以便定位 DHCP 客户端, 实现对客户端的安全和计费等控制支持 Option 82 的服务器还可以根据该选项的信息制订 IP 地址和其它参数的分配策略, 提供更加灵活的地址分配方案 Option 82 最多可以包含 255 个子选项若定义了 Option 82, 则至少要定义一个子选项目前本交换机支持两个子选项 :Circuit ID( 电路 ID 子选项 ) 和 Remote ID( 远程 ID 子选项 ) 由于 Option 82 的内容没有统一规定, 不同厂商通常根据需要进行填充目前本交换机对子选项的填充内容如下, 电路 ID 子选项的填充内容是接收到 DHCP 客户端请求报文的端口所属 VLAN 的编号以及端口号, 远程 ID 子选项的填充内容是接收到 DHCP 客户端请求报文的 DHCP Snooping 设备的 MAC 地址 DHCP 服务欺骗攻击在 DHCP 工作过程中, 通常服务器和客户端没有认证机制, 如果网络上存在多台 DHCP 服务器, 不仅会给网络造成混乱, 也对网络安全造成很大威胁这种网络中出现非法的 DHCP 服务器, 通常分为两种情况 : 1) 用户不小心配置的 DHCP 服务器, 由此引起的网络混乱非常常见 2) 黑客将正常的 DHCP 服务器中的 IP 地址耗尽, 然后冒充合法的 DHCP 服务器, 为客户端分配 IP 地址等配置参数例如黑客利用冒充的 DHCP 服务器, 为用户分配一个经过修改的 DNS 服务器地址, 在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站, 骗取用户的帐户和密码, 如图 11-7 所示 139

148 图 11-7 DHCP 服务欺骗攻击 DHCP 侦听是运行在交换机上的一种 DHCP 安全特性通过设置 DHCP 服务器的连接端口为授信端口, 只处理授信端口发来的 DHCP 响应报文 ; 通过监听 DHCP 报文, 记录用户从 DHCP 服务器获取局域网用户的四元信息, 进行绑定后与 ARP 攻击防护配合使用 ; 同时也可以过滤不可信任的 DHCP 信息, 防止局域网中发生 DHCP 服务欺骗攻击, 提高网络的安全性进入页面的方法 : 网络安全 >> 四元绑定 >>DHCP 侦听 140

149 图 11-8 DHCP 侦听注意 : 若 LAG 组成员端口需要配置 DHCP 侦听功能, 请保持端口的参数一致条目介绍 : DHCP 侦听配置 DHCP 侦听 : 全局流量控制 : Decline 保护阀值 : Decline 保护流量限制 : 选择是否启用 DHCP 侦听功能默认未启用填写交换机每秒允许转发的 DHCP 消息的数目, 超出的部分将被丢弃选择触发特定端口 Decline 保护所需的 Decline 报文最小流量如果端口 Decline 消息流量超出阈值, 则将相应端口的端口流量限制设置为该值 141

150 Option 82 配置 Option 82 功能 : 已有 Option 82 字段 : 选择是否启用 Option 82 字段默认未启用当客户端的 DHCP 请求报文已经有 Option 82 字段时, 选择对此字段的操作保留 : 保留数据包中的 Option 字段信息替换 : 替换数据包中的 Option 字段信息, 替换为交换机自定义的系统选项内容丢弃 : 丢弃包含 Option 82 字段的数据包自定义选项内容 : 电路 ID 子选项 : 远程 ID 子选项 : 选择交换机是否自定义 Option 82 选项内容输入交换机自定义的 Option 82 选项中电路 ID 子选项的内容输入交换机自定义的 Option 82 选项中远程 ID 子选项的内容端口配置端口选择 : 选择 : 端口 : 授信端口 : MAC 验证 : 流量控制 : Decline 侦听 : LAG: 点击 < 选择 > 按键, 可根据所输端口号快速选择端口勾选端口配置端口参数, 可多选显示交换机的端口号选择是否配置端口为授信端口, 只有授信端口才正常转发来自正常 DHCP 服务器端的消息, 请将连接有 DHCP 服务器的端口设为授信端口选择是否启用 MAC 验证功能 DHCP 消息中有两个字段存储着客户端的 MAC 地址,MAC 验证功能会对这两个字段进行比较, 如果不同, 则将消息丢弃选择是否对 DHCP 数据包启用流量控制功能, 超出流量部分的 DHCP 数据包将被丢弃选择是否启用端口的 Decline 侦听功能显示端口当前所属的汇聚组 11.2 ARP 防护根据扫描绑定所述的 ARP 地址解析过程可知, 利用 ARP 协议, 可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信但由于 ARP 协议是基于网络中的所有主机或者网关都为可信任的前提制定的, 因此在实际复杂的网络中, 此过程存在大量的安全隐患, 从而导致针对 ARP 协议的欺骗攻击非常常见网关仿冒欺骗网关欺骗终端用户和 ARP 泛洪攻击均是在学校等大型网络中常见的 ARP 攻击, 以下简单介绍这几种常见攻击 : 网关仿冒攻击者发送错误的网关 MAC 给受害者, 而网络中的受害者收到这些 ARP 响应报文时, 自动更新 ARP 表, 导致不能正常访问网络如图 11-9 所示 142

151 图 11-9 ARP 攻击 - 网关仿冒示意图如图, 攻击者发送伪造的网关 ARP 报文给局域网中的正常用户, 相应的局域网用户收到此报文后更新自己的 ARP 表项当局域网中正常用户要与网关进行通信时, 将数据包封装上错误的目的 MAC 地址, 导致通信中断欺骗网关攻击者发送错误的终端用户的 IP/MAC 的对应关系给网关, 导致网关无法和合法终端用户正常通信如图所示图 ARP 攻击 - 欺骗网关示意图如图, 攻击者发送伪造的用户 A 的 ARP 报文给网关, 网关收到此报文后更新自己的 ARP 表项, 当网关与局域网中用户 A 进行通信时, 将数据包封装上错误的目的 MAC 地址, 导致通信中断欺骗终端用户攻击者发送错误的终端用户 / 服务器的 IP/MAC 的对应关系给受害的终端用户, 导致同网段内两个终端用户之间无法正常通信如图所示 143

152 图 ARP 攻击 - 欺骗普通用户示意图如图, 攻击者发送伪造的用户 A 的 ARP 报文给用户 B, 用户 B 收到此报文后更新自己的 ARP 表项, 当用户 B 与用户 A 进行通信时, 将数据包封装上错误的目的 MAC 地址, 导致通信中断中间人攻击攻击者不断向局域网中计算机发送错误的 ARP 报文, 使受害主机一直维护错误的 ARP 表项当局域网主机互相通信时, 将数据包发给攻击者, 再由攻击者将数据包进行处理后转发在这个过程中, 攻击者窃听了通信双方的数据, 而通信双方对此并不知情这就是中间人攻击如图所示图中间人攻击 144

假设同一个局域网内, 有 3 台主机通过交换机相连 : A 主机 :IP 地址为 192.168.0.101,MAC 地址为 00-00-00-11-11-11; B 主机 :IP 地址为 192.168.0.102,MAC 地址为 00-00-00-22-22-22; 攻击者 :IP 地址为 192.168.0.103,MAC 地址为 00-00-00-33-33-33 1.

153 假设同一个局域网内, 有 3 台主机通过交换机相连 : A 主机 :IP 地址为 ,MAC 地址为 ; B 主机 :IP 地址为 ,MAC 地址为 ; 攻击者 :IP 地址为 ,MAC 地址为首先, 攻击者向主机 A 和主机 B 发送伪造的 ARP 应答报文 2. A 主机和 B 主机收到此 ARP 应答后, 更新各自的 ARP 表 3. A 主机和 B 主机通信时, 将数据包发送给错误的 MAC 地址, 即攻击者 4. 攻击者窃听了通信数据后, 将数据包处理后再转发到正确的 MAC 地址, 使 A 主机和 B 主机保持正常的通信 5. 攻击者连续不断地向 A 主机和 B 主机发送伪造的 ARP 响应报文, 使二者的始终维护错误的 ARP 表在 A 主机和 B 主机看来, 彼此发送的数据包都是直接到达对方的, 但在攻击者看来, 其担当的就是第三者的角色这种嗅探方法, 也被称作中间人的方法 ARP 泛洪攻击攻击者伪造大量不同 ARP 报文在同网段内进行广播, 消耗网络带宽资源, 造成网络速度急剧降低 ; 同时, 网关学习此类 ARP 报文, 并更新 ARP 表, 导致 ARP 表项被占满, 无法学习合法用户的 ARP 表, 导致合法用户无法访问外网在本交换机中, 通过四元绑定功能在用户接入交换机时即对用户的四元信息进行绑定 ; 而在 ARP 防护功能中则利用在交换机中绑定的四元信息对 ARP 报文进行检查, 过滤非法 ARP 报文通过上述两步可以很好的对局域网中 ARP 攻击进行防御本功能包括防 ARP 欺骗防 ARP 攻击和报文统计三个功能配置页面防 ARP 欺骗防 ARP 欺骗功能, 通过四元绑定表对交换机收到的 ARP 报文进行检查, 过滤非法的 ARP 报文, 以此防御局域网中的 ARP 攻击进入页面的方法 : 网络安全 >>ARP 防护 >> 防 ARP 欺骗图防 ARP 欺骗 145

154 条目介绍 : 防 ARP 欺骗防 ARP 欺骗 : 选择启用并单击 < 提交 > 按键即可启用防 ARP 欺骗功能信任端口信任端口 : 勾选无须启用防 ARP 欺骗功能的信任端口上联端口路由端口以及 LAG 端口等特殊端口均应配置为信任端口在启用防 ARP 欺骗功能之前, 应先配置 ARP 信任端口, 以免影响正常通信注意 : 防 ARP 欺骗和防 ARP 攻击无法同时启用配置步骤 : 步骤操作说明 1 绑定四元信息条目必选操作在四元绑定功能中将接入用户的四元信息进行绑定, 手动绑定扫描绑定和 DHCP 侦听方式均可进行绑定 2 对四元信息条目启用防护必选操作在网络安全 >> 四元绑定 >> 绑定列表页面中对相应的四元条目启用防护 3 设置信任端口必选操作在网络安全 >>ARP 防护 >> 防 ARP 欺骗页面中设置信任端口, 上联端口路由端口以及 LAG 端口等特殊端口均应配置为信任端口 4 启用防 ARP 欺骗必选操作在网络安全 >>ARP 防护 >> 防 ARP 欺骗页面中启用防 ARP 欺骗功能防 ARP 攻击防 ARP 攻击功能对交换机的各端口处理的合法 ARP 数据包设定阀值, 在单位时间内不可超过设定值超过设定值时, 交换机将停止处理 ARP 数据包 300 秒, 能够有效的避免 ARP 泛洪攻击进入页面的方法 : 网络安全 >>ARP 防护 >> 防 ARP 攻击 146

图 11-14 防 ARP 攻击条目介绍 : 防 ARP 攻击配置端口选择 : 选择 : 端口 : 防护功能 : 速率 : 当前速率 : 状态 : LAG: 操作 : 点击 < 选择 > 按键, 可根据所输端口号快速选择端口勾选端口配置端口防 ARP 攻击功能参数, 可多选显示交换机的端口号选择是否启用防 ARP 攻击功能填写端口每秒允许接收的 ARP 数据包个数显示端口当前收到的

155 图防 ARP 攻击条目介绍 : 防 ARP 攻击配置端口选择 : 选择 : 端口 : 防护功能 : 速率 : 当前速率 : 状态 : LAG: 操作 : 点击 < 选择 > 按键, 可根据所输端口号快速选择端口勾选端口配置端口防 ARP 攻击功能参数, 可多选显示交换机的端口号选择是否启用防 ARP 攻击功能填写端口每秒允许接收的 ARP 数据包个数显示端口当前收到的 ARP 数据包速率显示端口当前防 ARP 攻击状态显示端口当前所属的汇聚组点击 < 恢复 > 按键使端口恢复正常状态, 并重新启用防 ARP 攻击功能注意 : 建议 LAG 端口不要开启防 ARP 攻击功能防 ARP 欺骗和防 ARP 攻击无法同时启用报文统计通过报文统计功能, 可以直观地查看各个端口收到的非法 ARP 数据包个数, 并以此定位网络问题, 并采取相应的防护措施 147

进入页面的方法 : 网络安全 >>ARP 防护 >> 报文统计条目介绍 : 自动刷新图 11-15 报文统计自动刷新 : 刷新周期 : 设置是否自动刷新端口统计情况设置自动刷新周期非法 ARP 报文统计端口 : 信任端口 : 非法 ARP 报文 : 显示交换机的端口号显示端口是否是 ARP 信任端口显示端口收到的非法 ARP 数据包数量 11.

156 进入页面的方法 : 网络安全 >>ARP 防护 >> 报文统计条目介绍 : 自动刷新图报文统计自动刷新 : 刷新周期 : 设置是否自动刷新端口统计情况设置自动刷新周期非法 ARP 报文统计端口 : 信任端口 : 非法 ARP 报文 : 显示交换机的端口号显示端口是否是 ARP 信任端口显示端口收到的非法 ARP 数据包数量 11.3 DoS 防护 DoS(Denial of Service, 拒绝服务 ) 攻击是指攻击者利用网络协议实现的缺陷, 耗尽被攻击对象的资源, 使目标计算机或网络无法提供正常的服务或资源访问甚至崩溃 DoS 攻击的具体的影响如下 : 1) 耗尽服务器的资源, 包括网络带宽, 文件系统空间容量, 开放的进程或者允许的连接使服务器疲于响应此类报文, 导致网络瘫痪 2) 由于交换机接收到此类报文需经过 CPU 处理, 因此若请求报文数量过多, 会导致交换机 CPU 利用率持续上升, 无法正常工作 148

157 本交换机通过解析 IP 数据包, 分析数据包中的特定字段, 并判断是否符合 DoS 攻击数据包的特征对于非法的数据包, 交换机将直接丢弃 ; 而对于某些正常的数据包, 由于流量过大可能导致受害主机瘫痪时, 交换机可以对此类数据包进行限速本交换机能够防护的 DoS 攻击种类如表 11-1 所示 DoS 攻击类型 Land Attack Scan SYNFIN Xmascan NULL Scan SYN sport less 1024 Blat Attack Ping Flooding 攻击特征向目标主机发送一个特别伪造的 SYN 包, 其 IP 源地址和目的地址都被设置为目标主机的 IP 地址, 这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环, 从而很大程度上降低了系统性能 TCP 标志位 SYN FIN 位被置 1 的数据包由于 SYN 标志用来初始化连接的,FIN 标志用来表示发端已完成发送任务请求关闭连接, 所以 SYN/FIN 肯定是非法的数据包, 本交换机能够识别此类攻击 TCP 序号置为 0,FIN URG PSH 位置为 1 的数据包 TCP 序号置为 0, 所有控制位置为 0 的数据包在正常的 TCP 连接以及数据传输过程中, 不会出现所有控制位置 0 的情况, 此类数据包为非法的数据包 TCP SYN 标志位置 1, 源端口小于 1024 的数据包数据包的 L4 源端口等于目的端口且 URG 置位此攻击方式类似于 Land Attack, 被攻击主机因尝试和自己建立连接使系统性能下降利用 Ping 广播风暴, 淹没整个目标系统, 以至于该系统不能响应合法的通信 SYN/SYN-ACK Flooding DoS 防护每当我们进行一次标准的 TCP 连接, 都会有一个三次握手的过程, 而 TCP-SYN Flood 只进行前两个步骤, 服务方在一定时间内等待请求方 ASK 消息由于一台服务器可用的 TCP 连接是有限的, 如果攻击方发送大量此类连接请求, 则服务方 TCP 连接队列将会很快阻塞, 系统资源和可用带宽急剧下降, 无法提供正常的网络服务, 从而造成拒绝服务表 11-1 本交换机支持的 DoS 防护种类在此页面中可以根据实际需要启用合适的 DoS 防护策略进入页面的方法 : 网络安全 >>DoS 防护 >>DoS 防护 149

图 11-16 DoS 防护条目介绍 : 全局配置 DoS 攻击防护 : 选择是否启用交换机的 DoS 防护功能攻击防护列表选择 : 防护类型 : 勾选启用相应 DoS 防护显示防护类型说明 : 还可以从以下三方面对 DoS 攻击进行防护, 以进一步保证网络安全 1) 检查并修补系统漏洞, 及时安装系统补丁程序, 对于重要信息要建立和完善备份机制 2) 作为网络管理员,

158 图 DoS 防护条目介绍 : 全局配置 DoS 攻击防护 : 选择是否启用交换机的 DoS 防护功能攻击防护列表选择 : 防护类型 : 勾选启用相应 DoS 防护显示防护类型说明 : 还可以从以下三方面对 DoS 攻击进行防护, 以进一步保证网络安全 1) 检查并修补系统漏洞, 及时安装系统补丁程序, 对于重要信息要建立和完善备份机制 2) 作为网络管理员, 可检查系统的物理环境, 禁止一些不必要的网络服务 3) 利用硬件防火墙等网络安全设备提高网络的安全性 X 认证 802.1X 协议是 IEEE802 LAN/WAN 委员会为了解决无线局域网网络安全问题提出的后来该协议作为局域网端口的一个普通接入控制机制应用于以太网中, 主要用于解决以太网内认证和安全方面的问题, 在局域网接入设备的端口这一级对所接入的设备进行认证和控制本交换机可以作为一个认证系统来对网络中的计算机进行认证连接在端口上的用户设备如果能通过交换机认证, 就可以访问局域网中的资源 ; 如果不能通过交换机认证, 则无法访问局域网中的资源 802.1X 体系结构 802.1X 的系统是采用典型的 Client/Server 体系结构, 包括三个实体, 如图所示 150

图 11-17 802.1X 认证的体系结构 1) 客户端 : 局域网中的一个实体, 多为普通计算机, 用户通过客户端软件发起 802.1X 认证, 并由设备端对其进行认证客户端软件必须为支持 802.1X 认证的用户终端设备 2) 设备端 : 通常为支持 802.

159 图 X 认证的体系结构 1) 客户端 : 局域网中的一个实体, 多为普通计算机, 用户通过客户端软件发起 802.1X 认证, 并由设备端对其进行认证客户端软件必须为支持 802.1X 认证的用户终端设备 2) 设备端 : 通常为支持 802.1X 协议的网络设备, 如本交换机, 为客户端提供接入局域网的物理 / 逻辑端口, 并对客户端进行认证 3) 认证服务器 : 为设备端提供认证服务的实体, 例如可以使用 RADIUS 服务器来实现认证服务器的认证和授权功能该服务器可以存储客户端的相关信息, 并实现对客户端的认证和授权为了保证认证系统的稳定, 可以为网络设置一个备份认证服务器当主认证服务器出现故障时, 备份认证服务器可以接替认证服务器的工作, 保证认证系统的稳定 802.1X 认证工作机制 IEEE 802.1X 认证系统使用 EAP(Extensible Authentication Protocol, 可扩展认证协议 ) 来实现客户端设备端和认证服务器之间认证信息的交换 1) 在客户端与设备端之间,EAP 协议报文使用 EAPOL 封装格式, 直接承载于 LAN 环境中 2) 在设备端与 RADIUS 服务器之间, 可以使用两种方式来交换信息一种是 EAP 协议报文使用 EAPOR(EAP over RADIUS) 封装格式承载于 RADIUS 协议中 ; 另一种是设备端终结 EAP 协议报文, 采用包含 PAP(Password Authentication Protocol, 密码验证协议 ) 或 CHAP(Challenge Handshake Authentication Protocal, 质询握手验证协议 ) 属性的报文与 RADIUS 服务器进行认证 3) 当用户通过认证后, 认证服务器会把用户的相关信息传递给设备端, 设备端根据 RADIUS 服务器的指示 (Accept 或 Reject) 决定受控端口的授权 / 非授权状态 802.1X 认证过程认证过程可以由客户端主动发起, 也可以由设备端发起一方面当设备端探测到有未经过认证的用户使用网络时, 就会主动向客户端发送 EAP-Request/Identity 报文, 发起认证 ; 另一方面客户端可以通过客户端软件向设备端发送 EAPOL-Start 报文, 发起认证 802.1X 系统支持 EAP 中继方式和 EAP 终结方式与远端 RADIUS 服务器交互完成认证以下关于两种认证方式的过程描述, 都以客户端主动发起认证为例 1. EAP 中继方式 EAP 中继方式是 IEEE 802.1X 标准规定的, 将 EAP( 扩展认证协议 ) 承载在其它高层协议中, 如 EAP over RADIUS, 以便扩展认证协议报文穿越复杂的网络到达认证服务器一般来说,EAP 中继方式 151

160 需要 RADIUS 服务器支持 EAP 属性 :EAP-Message 和 Message-Authenticator 本交换机支持的 EAP 中继方式是 EAP-MD5,EAP-MD5 认证过程如图所示用户端 EAP 交换机 EAP 认证服务器 EAPOL-Start EAP-Request/Identity EAP-Response/Identity RADIUS-Access-Request EAP-Request RADIUS-Access-Challenge EAP-Response RADIUS-Access-Request EAP-Success RADIUS-Access-Accept 图 EAP-MD5 认证过程 1) 当用户有访问网络需求时打开 802.1X 客户端程序, 输入已经申请登记过的用户名和密码, 发起连接请求 (EAPOL-Start 报文 ) 此时, 客户端程序将发出请求认证的报文给设备端, 开始启动一次认证过程 2) 设备端收到请求认证的数据帧后, 将发出一个请求帧 (EAP-Request/Identity 报文 ) 要求用户的客户端程序发送输入的用户名 3) 客户端程序响应设备端发出的请求, 将用户名信息通过数据帧 (EAP-Response/Identity 报文 ) 发送给设备端设备端将客户端发送的数据帧经过封包处理后 (RADIUS Access-Request 报文 ) 送给认证服务器进行处理 4) RADIUS 服务器收到设备端转发的用户名信息后, 将该信息与数据库中的用户名表对比, 找到该用户名对应的密码信息, 用随机生成的一个加密字对它进行加密处理, 同时也将此加密字通过 RADIUS Access-Challenge 报文发送给设备端, 由设备端转发给客户端程序 5) 客户端程序收到由设备端传来的加密字 (EAP-Request/MD5 Challenge 报文 ) 后, 用该加密字对密码部分进行加密处理 ( 此种加密算法通常是不可逆的, 生成 EAP-Response/MD5 Challenge 报文 ), 并通过设备端传给认证服务器 6) RADIUS 服务器将收到的已加密的密码信息 (RADIUS Access-Request 报文 ) 和本地经过加密运算后的密码信息进行对比, 如果相同, 则认为该用户为合法用户, 反馈认证通过的消息 (RADIUS Access-Accept 报文和 EAP-Success 报文 ) 7) 设备收到认证通过消息后将端口改为授权状态, 允许用户通过端口访问网络在此期间, 设备端会通过向客户端定期发送握手报文的方法, 对用户的在线情况进行监测缺省情况下, 两次握手请求报文都得不到客户端应答, 设备端就会让用户下线, 防止用户因为异常原因下线而设备无法感知 8) 客户端也可以发送 EAPOL-Logoff 报文给设备端, 主动要求下线, 设备端把端口状态从授权状态改变成未授权状态 152

161 2. EAP 终结方式 EAP 终结方式将 EAP 报文在设备端终结并映射到 RADIUS 报文中, 利用标准 RADIUS 协议完成认证授权和计费设备端与 RADIUS 服务器之间可以采用 PAP 或者 CHAP 认证方法本交换机支持的 EAP 终结方式是 PAP,PAP 认证过程如图所示用户端 EAP 交换机 RADIUS 认证服务器 EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request EAP-Response RADIUS-Access-Request EAP-Success RADIUS-Access-Accept 图 PAP 认证过程在 PAP 模式中, 交换机对用户口令信息进行加密, 然后把用户名随机加密字和客户端加密后的口令信息一起转发给认证服务器进行相关的认证处理 ; 而在 EAP-MD5 模式中, 随机加密字由认证服务器产生, 交换机只负责把认证信息报文封装后转发 802.1X 定时器 802.1X 认证过程中会启动多个定时器以控制接入用户设备以及 RADIUS 服务器之间进行合理有序的交互本交换机中的 802.1X 定时器主要有以下三种 : 1) 客户端认证超时定时器 : 当交换机向客户端发送报文后, 交换机启动此定时器, 若在该定时器设置的时长内, 交换机没有收到客户端的响应, 交换机将重发该报文 2) 认证服务器超时定时器 : 当交换机向认证服务器发送报文后, 交换机启动此定时器, 若在该定时器设置的时长内, 交换机没有收到认证服务器的响应, 交换机将重发认证请求报文 3) 静默定时器 : 对用户认证失败以后, 交换机需要静默一段时间 ( 该时间由静默定时器设置 ), 在静默期间, 交换机不再处理该用户的认证请求 Guest VLAN Guest VLAN 功能用来允许未通过认证的用户访问某些特定资源用户认证端口在通过 802.1X 认证之前属于一个缺省 VLAN( 即 Guest VLAN), 用户访问该 VLAN 内的资源不需要认证, 但此时不能够访问其它网络资源 ; 认证成功后, 端口离开 Guest VLAN, 用户可以访问其它的网络资源用户可以在 Guest VLAN 中获取 802.1X 客户端软件升级客户端或执行其它一些用户升级程序如果因为没有专用的认证客户端或者客户端版本过低等原因, 导致一定的时间内端口上无客户端认证成功, 本交换机会把该端口加入到 Guest VLAN 开启 802.1X 特性并正确配置 Guest VLAN 后, 当交换机向客户端发送 EAP-Request/Identity 报文而没有收到客户端的回应时, 该端口将按照各自的链路类型被加入到 Guest VLAN 内此时如果 153

162 Guest VLAN 中有用户发起认证且认证失败, 相应连接端口仍会留在 Guest VLAN 内 ; 如果认证成功, 端口离开 Guest VLAN, 加入配置的 VLAN 中用户下线后, 端口将返回 Guest VLAN 中本交换机 802.1X 认证功能包括全局配置端口配置和 RADIUS 配置三个配置页面全局配置在全局配置功能页面, 可以开启全局 802.1X 认证功能, 选择本交换机提供的认证方法, 并设置 Guest VLAN 以及各种定时器来协调整个系统的 802.1X 认证过程进入页面的方法 : 网络安全 >>802.1X 认证 >> 全局配置图全局配置条目介绍 : 全局配置 802.1X 功能 : 选择是否启用 802.1X 认证功能认证方法 : Guest VLAN: Guest VLAN ID: 选择 802.1X 认证方法 EAP-MD5: 交换机与认证服务器之间运行 EAP 协议,EAP 帧中封装认证数据, 将该协议承载在其它高层次协议中 ( 如 RADIUS), 以便穿越复杂的网络到达认证服务器 PAP: 用户端与交换机之间运行 EAP 协议, 交换机将 EAP 消息转换为其它认证协议 ( 如 RADIUS), 传递用户认证信息给认证服务器系统选择是否启用 Guest VLAN 功能填写启用 Guest VLAN 的 VLAN ID Guest VLAN 中的用户可以访问指定的网络资源认证参数配置静默 : 选择是否启用静默计时器 154

静默时长 : 重复发送次数 : 客户端响应超时 : 服务器响应超时 : 填写静默时长用户认证失败后, 在静默时间内不再处理同一用户的 802.1X 认证请求填写认证报文的最大重传次数填写交换机等待客户端响应的最大等待时间若交换机在设定时间内没有收到客户端的回复, 则重发报文填写交换机等待服务器响应的最大等待时间若交换机在设定时间内没有收到服务器的回复, 则重发报文 11.4.

163 静默时长 : 重复发送次数 : 客户端响应超时 : 服务器响应超时 : 填写静默时长用户认证失败后, 在静默时间内不再处理同一用户的 802.1X 认证请求填写认证报文的最大重传次数填写交换机等待客户端响应的最大等待时间若交换机在设定时间内没有收到客户端的回复, 则重发报文填写交换机等待服务器响应的最大等待时间若交换机在设定时间内没有收到服务器的回复, 则重发报文端口配置在端口配置功能页面, 可以根据实际的网络情况设置端口的 802.1X 功能特性进入页面的方法 : 网络安全 >>802.1X 认证 >> 端口配置条目介绍 : 端口配置图端口配置端口选择 : 选择 : 端口 : 状态 : 点击 < 选择 > 按键, 可根据所输端口号快速查找相应条目勾选端口, 配置端口的 802.1X 认证状态, 可多选显示交换机端口号选择该端口是否启用 802.1X 认证 Guest VLAN: 选择该端口是否启用 Guest VLAN 控制模式 : 选择该端口的控制模式自动 : 端口需要进行认证强制已认证 : 端口不需要认证即可访问网络强制不认证 : 端口永远无法通过认证 155

控制类型 : 授权状态 : LAG: 选择该端口的控制类型基于 MAC: 该端口连接的所有计算机都需要认证基于 Port: 该端口连接的某个用户通过认证后, 其它用户均无须认证即可访问网络显示此端口的授权状态显示端口当前所属的汇聚组 11.4.

164 控制类型 : 授权状态 : LAG: 选择该端口的控制类型基于 MAC: 该端口连接的所有计算机都需要认证基于 Port: 该端口连接的某个用户通过认证后, 其它用户均无须认证即可访问网络显示此端口的授权状态显示端口当前所属的汇聚组 RADIUS 配置 RADIUS(Remote Authentication Dial-In User Service, 远程认证拨号用户服务 ) 认证服务器为交换机提供认证服务, 其存储有关用户的信息, 包括用户名密码以及其它参数, 用于实现对用户进行认证授权和计费 RADIUS 配置功能页面用来设置网络中认证服务器的参数, 保证认证过程通畅有序的进行进入页面的方法 : 网络安全 >>802.1X 认证 >>RADIUS 配置条目介绍 : 认证服务器配置图 RADIUS 配置服务器 IP: 备份服务器 IP: 认证端口 : 授权共享密钥 : 填写认证服务器的 IP 地址填写备份认证服务器的 IP 地址填写认证服务器提供认证服务的协议端口填写交换机与服务器共享的密钥计费服务器配置计费功能 : 服务器 IP: 选择是否启用计费功能填写计费服务器的 IP 地址 156

165 备份服务器 IP: 计费端口 : 授权共享密钥 : 填写备份计费服务器的 IP 地址填写计费服务器提供计费服务的协议端口填写交换机与服务器共享的密钥注意 : 只有同时开启全局和端口的 802.1X 特性后, 才能使 802.1X 认证功能生效 LAG 端口不能启用 802.1X 功能如果端口启动了 802.1X, 则不能配置该端口加入聚合组认证服务器连接的端口请勿开启 802.1X 特性, 且服务器配置参数必须与认证服务器软件的参数一致配置步骤 : 步骤操作说明 1 搭建认证服务器必选操作搭建完成后, 请在服务器中记录局域网接入用户的信息并设置相应的用户名和密码以备认证 2 安装客户端软件必选操作请在接入计算机中安装光盘中的 802.1X 客户端软件, 安装过程见附录 A 802.1X 客户端软件使用说明 3 设置 802.1X 全局参数必选操作默认情况下, 交换机 802.1X 全局功能未开启, 请在网络安全 >>802.1X 认证 >> 全局配置页面中设置全局参数 4 设置认证服务器参数必选操作请自行搭建认证服务器, 并在网络安全 >>802.1X 认证 >>RADIUS 配置页面中设置服务器参数 5 设置各端口 802.1X 功能参数必选操作请在网络安全 >>802.1X 认证 >> 端口配置页面中根据实际网络情况设置交换机各端口的 802.1X 功能参数回目录 157

第 12 章 SNMP SNMP 概述 SNMP(Simple Network Management Protocol, 简单网络管理协议 ) 是目前 UDP/IP 网络中应用最为广泛的网络管理协议, 它提供了一个管理框架来监控和维护互联网设备 SNMP 结构简单, 使用方便, 并且能够屏蔽不同设备的物理差异, 实现对不同设备的自动化管理, 所以得到了广泛的支持和应用,

166 第 12 章 SNMP SNMP 概述 SNMP(Simple Network Management Protocol, 简单网络管理协议 ) 是目前 UDP/IP 网络中应用最为广泛的网络管理协议, 它提供了一个管理框架来监控和维护互联网设备 SNMP 结构简单, 使用方便, 并且能够屏蔽不同设备的物理差异, 实现对不同设备的自动化管理, 所以得到了广泛的支持和应用, 目前大多数网络管理系统和平台都是基于 SNMP 的 SNMP 的最大优势就是设计简单, 他既不需要复杂的实现过程, 也不会占用太多的网络资源, 便于使用 SNMP 的基本功能包括监视网络性能检测分析网络差错和配置网络设备等在网络正常工作时,SNMP 可实现统计配置和测试等功能 ; 当网络出故障时, 可实现各种错误检测和恢复功能 SNMP 的管理框架 SNMP 包括三个网络元素 :SNMP 管理者 (SNMP Manager),SNMP 代理 (SNMP Agent),MIB 库 (Management Information Base, 管理信息库 ) SNMP 管理者 : 运行在 SNMP 客户端程序的工作站, 提供了非常友好的人机交互页面, 方便网络管理员完成绝大多数的网络设备管理工作 SNMP 代理 : 驻留在被管理设备上的一个进程, 负责接受处理来自 SNMP 管理者的请求报文在一些紧急情况下,SNMP 代理也会通知 SNMP 管理者事件的变化 MIB 库 : 被管理对象的集合它定义了被管理对象的一系列的属性 : 对象的名字对象的访问权限和对象的数据类型等每个 SNMP 代理都有自己的 MIB SNMP 管理者根据权限可以对 MIB 中的对象进行读 / 写操作 SNMP 管理者是 SNMP 网络的管理者,SNMP 代理是 SNMP 网络的被管理者, 他们之间通过 SNMP 协议来交互管理信息 SNMP 管理者 SNMP 代理 MIB 库三者的关系如图 12-1 所示图 12-1 SNMP 网元关系图 SNMP 的协议版本本交换机提供了 SNMPv3 的管理功能, 同时兼容 SNMPv1 和 SNMPv2,SNMP 管理者和 SNMP 代理的 SNMP 版本需要一致, 它们之间才能相互通信, 可以根据自己的应用需求, 选择不同安全级别的管理模式 SNMPv1: 采用团体名 (Community Name) 认证团体名用来定义 SNMP 管理者和 SNMP 代理的关系如果 SNMP 报文携带的团体名没有得到设备的认可, 该报文将被丢弃团体名起到了类似于密码的作用, 用来限制 SNMP 管理者对 SNMP 代理的访问 SNMPv2c: 也采用团体名认证它在兼容 SNMPv1 的同时又扩充了 SNMPv1 的功能 158

167 SNMPv3:SNMPv3 在前两个版本 v1 v2c 的基础上大大加强了安全性和用户可控制性, 他采用了 VACM(View-based Access Control Model, 基于视图的访问控制模型 ) 及 USM(User-Based Security Model, 基于用户的安全模型 ) 的认证机制用户可以设置认证和加密功能, 认证用于验证报文发送方的合法性, 避免非法用户的访问 ; 加密则是对 SNMP 管理者和 SNMP 代理之间的传输报文进行加密, 以免被窃听通过有无认证和有无加密等功能组合, 可以为 SNMP 管理者和 SNMP 代理之间的通信提供更高的安全性 MIB 库简介 MIB 是以树状结构进行存储的树的节点表示被管理对象, 它可以用从根开始的一条路径唯一地识别, 被管理对象可以用一串数字唯一确定, 这串数字是被管理对象的 OID(Object Identifier, 对象标识符 ) MIB 的结构如图 12-2 所示图中,B 的 OID 为 { },A 的 OID 为 { } 图 12-2 MIB 树结构 SNMP 配置概要创建视图 MIB 视图是全部 MIB 管理对象的一个子集管理对象以 OID(Object Identifier, 对象标识符 ) 来表示, 通过配置管理对象的视图类型 ( 包括 / 排除 ), 来达到控制该管理对象能否被管理的目的各管理对象的 OID 可以在 SNMP 管理软件上找到创建 SNMP 组创建完视图之后, 需要创建 SNMP 组, 只有组名安全模式安全级别三项均相同的组, 才被认为是同一个组同时可以为各个 SNMP 组添加只读 / 只写 / 通知视图, 从而满足了处于不同组内的用户对交换机功能的访问权限不同的需求创建用户用户创建于 SNMP 组中,SNMP 管理端使用此处创建的用户及其认证 / 加密密码来登录 SNMP 代理端 SNMP 模块主要用于配置交换机的 SNMP 功能, 包括 SNMP 配置和通知管理两个部分 12.1 SNMP 配置在本功能处可以配置 SNMP 的各项基本功能, 包括全局配置视图管理组管理用户管理和团体管理五个配置页面 159

12.1.1 全局配置配置交换机的 SNMP 功能, 首先需要在本页配置交换机 SNMP 的全局功能进入页面的方法 :SNMP>>SNMP 配置 >> 全局配置条目介绍 : 全局配置图 12-3 全局配置 SNMP 功能 : 选择是否启用交换机的 SNMP 功能本地引擎配置本地引擎 ID: 填写本地 SNMP 实体的引擎 ID 本地用户建立在本地引擎之下远程引擎配置远程引擎

168 全局配置配置交换机的 SNMP 功能, 首先需要在本页配置交换机 SNMP 的全局功能进入页面的方法 :SNMP>>SNMP 配置 >> 全局配置条目介绍 : 全局配置图 12-3 全局配置 SNMP 功能 : 选择是否启用交换机的 SNMP 功能本地引擎配置本地引擎 ID: 填写本地 SNMP 实体的引擎 ID 本地用户建立在本地引擎之下远程引擎配置远程引擎 ID: 填写 SNMP 管理端的引擎 ID 远程用户建立在远程引擎之下注意 : 引擎 ID 的字符个数必须为偶数视图管理在 SNMP 报文中使用管理变量 (OID) 来描述交换机中的管理对象,MIB(Management Information Base, 管理信息库 ) 是所监控网络设备的管理变量的集合视图用来控制管理变量是如何被管理的本页用来配置 SNMP 的视图进入页面的方法 :SNMP>>SNMP 配置 >> 视图管理 160

图 12-4 视图管理条目介绍 : 新建视图视图名称 : 填写视图条目的名称一个视图可以有多个同名的视图条目 MIB 子树 OID: 填写该视图条目的管理变量 (OID) 视图类型 : 选择 OID 的类型包括 : 该 OID 可以被管理软件管理排除 : 该 OID 不能被管理软件管理视图列表选择 : 视图名称 : 类型

169 图 12-4 视图管理条目介绍 : 新建视图视图名称 : 填写视图条目的名称一个视图可以有多个同名的视图条目 MIB 子树 OID: 填写该视图条目的管理变量 (OID) 视图类型 : 选择 OID 的类型包括 : 该 OID 可以被管理软件管理排除 : 该 OID 不能被管理软件管理视图列表选择 : 视图名称 : 类型 : 勾选条目进行删除同一视图下的所有视图条目会被同时选择显示视图名称显示对应 OID 的类型 MIB 子树 OID: 显示对应视图下的管理变量 (OID) 组管理本页用来配置 SNMP 的组, 组内的用户通过只读只写通知视图来达到访问控制的目的进入页面的方法 :SNMP>>SNMP 配置 >> 组管理 161

图 12-5 组管理条目介绍 : 组配置组名 : 安全模式 : 填写组名与安全模式和安全级别三项共同组成该组的标识, 三项均相同才被认为是同一组选择组的安全模式 v1:snmp v1, 采用团体名 (Community Name) 认证, 也可以在团体管理页面直接进行配置 v2c:snmp v2c, 采用团体名 (Community Name) 认证,

170 图 12-5 组管理条目介绍 : 组配置组名 : 安全模式 : 填写组名与安全模式和安全级别三项共同组成该组的标识, 三项均相同才被认为是同一组选择组的安全模式 v1:snmp v1, 采用团体名 (Community Name) 认证, 也可以在团体管理页面直接进行配置 v2c:snmp v2c, 采用团体名 (Community Name) 认证, 也可以在团体管理页面直接进行配置 v3:snmp v3, 采用 USM 认证安全级别 : 选择 SNMP v3 的组的安全级别 noauthnopriv: 不认证不加密 authnopriv: 认证不加密 authpriv: 认证加密只读视图 : 只写视图 : 通知视图 : 选择只读视图, 对所选的视图只能被查看不能被编辑选择只写视图, 对所选的视图只能被编辑不能被查看若希望进行读写操作, 则需要同时在只读视图中添加选择通知视图, 管理软件可以接收到所选视图发送的异常警报信息组列表选择 : 组名 : 安全模式 : 安全级别 : 只读视图 : 勾选条目进行删除, 可多选显示 SNMP 组的组名显示组的安全模式显示组的安全级别显示组中具有只读权限的视图名称 162

只写视图 : 通知视图 : 操作 : 显示组中具有只写权限的视图名称显示组中具有通知权限的视图名称点击对应条目的 < 编辑 > 按键, 可以修改该条目的视图修改完毕后点击 < 修改 > 按键, 修改内容生效注意 : 一个组必须具备一个只读视图, 默认只读视图为 viewdefault 12

171 只写视图 : 通知视图 : 操作 : 显示组中具有只写权限的视图名称显示组中具有通知权限的视图名称点击对应条目的 < 编辑 > 按键, 可以修改该条目的视图修改完毕后点击 < 修改 > 按键, 修改内容生效注意 : 一个组必须具备一个只读视图, 默认只读视图为 viewdefault 用户管理 SNMP 管理软件可以通过用户的方式对交换机进行管理用户建立在组之下, 与其所属的组具有相同的安全级别和访问控制权限本页用来配置 SNMP 的用户进入页面的方法 :SNMP>>SNMP 配置 >> 用户管理条目介绍 : 用户配置图 12-6 用户管理用户名 : 用户类型 : 填写用户名选择用户类型本地用户 : 建立在本地引擎下的用户远程用户 : 建立在远程引擎下的用户组名 : 安全模式 : 安全级别 : 选择组名通过组名安全模式安全级别来确定用户所属的组选择安全模式选择安全级别 163

172 认证模式 : 选择 SNMP v3 用户的认证模式 None: 不认证 MD5: 信息摘要算法 SHA: 安全散列算法, 比 MD5 的安全性更高认证密码 : 加密模式 : 输入认证密码选择 SNMP v3 用户的加密模式 None: 不加密 DES: 数据加密标准加密密码 : 输入加密密码用户列表选择 : 用户名 : 用户类型 : 组名 : 安全模式 : 安全级别 : 认证模式 : 加密模式 : 操作 : 勾选条目进行删除, 可多选显示用户名显示用户类型显示组名显示安全模式显示安全级别显示认证模式显示加密模式点击对应条目的 < 编辑 > 按键, 可以修改该用户所属的组修改完毕后点击 < 修改 > 按键, 修改内容生效注意 : 用户的安全模式安全级别必须和其所属组的安全模式安全级别相同团体管理 SNMP v1 和 SNMP v2c 采用团体名 (Community Name) 认证, 团体名起到了类似于密码的作用若使用的是 SNMP v1 和 SNMP v2c, 配置完视图之后, 可以直接在本页配置 SNMP 的团体进入页面的方法 :SNMP>>SNMP 配置 >> 团体管理 164

图 12-7 团体管理条目介绍 : 团体配置团体名 : 权限 : 填写团体名选择该团体对视图的访问权限 read-only: 团体对相应视图具有只读权限 read-write: 团体对相应视图具有读写权限 MIB 视图 : 选择团体可访问的视图团体列表选择 : 团体名 : 权限 : MIB 视图 : 操作 : 勾选条目进行删除, 可多选显示团体名显示团体对视图的访问权限

173 图 12-7 团体管理条目介绍 : 团体配置团体名 : 权限 : 填写团体名选择该团体对视图的访问权限 read-only: 团体对相应视图具有只读权限 read-write: 团体对相应视图具有读写权限 MIB 视图 : 选择团体可访问的视图团体列表选择 : 团体名 : 权限 : MIB 视图 : 操作 : 勾选条目进行删除, 可多选显示团体名显示团体对视图的访问权限显示团体可访问的视图点击对应条目的 < 编辑 > 按键, 可以修改该团体的访问视图及访问权限修改完毕后点击 < 修改 > 按键, 修改内容生效注意 : 团体的默认 MIB 视图为 viewdefault SNMP 功能配置步骤 : 若使用 SNMPv3 版本步骤操作说明 1 启用 SNMP 全局功能必选操作在 SNMP>>SNMP 配置 >> 全局配置页面, 启用交换机的 SNMP 功能 2 创建视图可选操作在 SNMP>>SNMP 配置 >> 视图管理页面, 创建管理对象的视图默认视图名为 viewdefault,oid 为 1 165

174 3 创建 SNMP 组必选操作在 SNMP>>SNMP 配置 >> 组管理页面, 创建 SNMPv3 类型的组, 并为组添加不同访问权限的视图 4 创建 SNMP 组内的用户必选操作在 SNMP>>SNMP 配置 >> 用户管理页面, 创建 SNMPv3 组内的用户, 并配置用户的认证 / 加密模式及密码若使用 SNMPv1 版本或 SNMPv2c 版本步骤操作说明 1 启用 SNMP 全局功能必选操作在 SNMP>>SNMP 配置 >> 全局配置页面, 启用交换机的 SNMP 功能 2 创建视图可选操作在 SNMP>>SNMP 配置 >> 视图管理页面, 创建管理对象的视图默认视图名为 viewdefault,oid 为 1 3 直接创建团体二者必选其一配置访问权限设置间接设置创建 SNMP 组创建 SNMP 组内的用户直接设置是在 SNMP>>SNMP 配置 >> 团体管理页面, 以 SNMPv1 和 v2c 版本的团体名进行设置间接设置采用与 SNMPv3 版本一致的命令形式, 添加用户到 v1/v2c 类型的组, 即相当于 SNMPv1 和 SNMPv2c 版本的团体名在 SNMP 管理软件上用来登录交换机的团体名需要跟这里配置的用户名一致, 该组下创建的 v1/v2c 用户 ( 团体 ) 的读写视图与该组的读写视图对应 12.2 通知管理通知管理功能是交换机主动向管理软件报告某些视图的重要事件 ( 如设备重启等 ), 便于管理员通过管理软件对交换机一些特定事件进行及时监控和处理通知报文分为以下两种 : Trap: 发送 Trap 报文通知 SNMP 管理者 Inform: 发送 Inform 报文通知 SNMP 管理者, 并且要求 SNMP 管理者返回信息交换机发送 Inform 报文后, 若经过超时时间仍没有收到 Inform 回应报文, 则会重发 Inform 报文超过重传次数后, 将不再重复发送该 Inform 报文 Inform 具有更高的可靠性, 仅在 SNMP v3 可以使用本页用来配置 SNMP 的通知管理功能进入页面的方法 :SNMP>> 通知管理 >> 通知管理 166

图 12-8 通知管理条目介绍 : 新建条目目的 IP 地址 : UDP 端口 : 团体名 / 用户名 : 安全模式 : 安全级别 : 填写管理主机的 IP 地址填写管理主机上启用供通知过程使用的 UDP 端口, 与 IP 地址共同作用默认为 162 配置管理软件的团体名 / 用户名选择用户的安全模式配置 SNMP v3 的用户的安全级别 noauthnopriv: 不认证不加密

175 图 12-8 通知管理条目介绍 : 新建条目目的 IP 地址 : UDP 端口 : 团体名 / 用户名 : 安全模式 : 安全级别 : 填写管理主机的 IP 地址填写管理主机上启用供通知过程使用的 UDP 端口, 与 IP 地址共同作用默认为 162 配置管理软件的团体名 / 用户名选择用户的安全模式配置 SNMP v3 的用户的安全级别 noauthnopriv: 不认证不加密 authnopriv: 认证不加密 authpriv: 认证加密通知类型 : 选择使用的通知报文的类型 Trap: 以 Trap 方式发送通知 Inform: 以 Inform 方式发送通知,Inform 具有更高的可靠性重传 : 超时 : 填写 Inform 报文的重传次数交换机发送 Inform 报文后, 若经过超时时间仍没有收到 Inform 回应报文, 则会重发 Inform 报文超过重传次数后, 将不再重复发送 Inform 报文默认为 3 填写交换机等待 Inform 回应报文的时间超过该时间后, 将重新发送 Inform 报文默认为 100 秒目的主机列表选择 : 目的 IP 地址 : UDP 端口 : 团体名 / 用户名 : 勾选条目进行删除, 可多选显示管理主机的 IP 地址显示管理主机上启用供通知过程使用的 UDP 端口显示管理软件的团体名 / 用户名 167

176 安全模型 : 安全级别 : 通知类型 : 超时 : 重传 : 操作 : 显示用户的安全模式显示 SNMP v3 的用户的安全级别显示使用的通知报文的类型显示 Inform 报文的重传次数显示收到 Inform 报文回应报文的超时时间点击对应条目的 < 编辑 > 按键, 可以修改该通知条目的参数修改完毕后点击 < 修改 > 按键, 修改内容生效 12.3 RMON RMON(Remote Monitoring, 远程网络监视 ) 完全基于 SNMP 体系结构, 是 IETF(Internet Engineering Task Force, 因特网工程任务组 ) 提出的标准监控规范, 他使 SNMP 更为有效更为积极主动地监控远程设备利用 RMON 功能, 网管可以快速跟踪网络网段或设备出现的故障, 积极采取防范措施, 防止网络资源的失效同时 RMON MIB 也可以记录网络性能和故障的数据, 可以在任何时候访问历史数据从而进行有效的故障诊断 RMON 减少了 SNMP 管理者同代理间的通信流量, 使得网管可以简单而有效地管理大型网络 RMON 的工作原理 RMON 代理在 RMON MIB 中存储网络信息, 交换机置入 RMON 代理后, 具有了 RMON 探测的功能管理者使用 SNMP 的基本命令与 RMON 代理交互数据信息, 收集网络管理信息但是由于设备资源的限制, 管理者无法获取 RMON MIB 的全部数据, 一般只可以收集到四个组的信息, 这四个组是 : 历史组事件组统计组和警报组 RMON 组本交换机支持 RMON 规范 (RFC1757) 中定义的历史组事件组统计组和警报组 RMON 组功能元素历史组事件组统计组周期性地收集网络统计信息, 存储起来以便日后提取, 从而有效的监测网络定义事件序号及事件的处理方式此处定义的事件主要用在警报组中警报触发产生的事件监测报警变量在指定端口的统计值采样端口采用间隔创建者事件描述事件类型创建者用户名丢弃数据包丢弃字节数据包发送广播数据包组播数据包 CRC 错误帧过小 ( 或超大 ) 的数据报文冲突帧以及计数器的数据包范围从 64 65~ ~ ~ ~1023 以及 1024~10240 字节 168

警报组定期对指定的警报变量进行监测, 一旦计数器超过阈值则触发警报警报变量样例类型时间间隔阈值上限阈值下限警报触发方式在本功能处可以配置 RMON 的各个组, 包括历史采样事件配置和警报管理三个配置页面 12.3.

177 警报组定期对指定的警报变量进行监测, 一旦计数器超过阈值则触发警报警报变量样例类型时间间隔阈值上限阈值下限警报触发方式在本功能处可以配置 RMON 的各个组, 包括历史采样事件配置和警报管理三个配置页面历史采样本页用来配置 RMON 的历史组进入页面的方法 :SNMP>>RMON>> 历史采样条目介绍 : 历史采样控制图 12-9 历史采样选择 : 序号 : 采样端口 : 勾选条目配置采样属性显示采样条目的序号选择进行采样的端口采样间隔 : 填写端口采样的时间间隔默认为 1800 秒创建者 : 状态 : 填写创建该采样条目的实体选择是否启用所选采样条目事件配置本页用来配置 RMON 的事件组进入页面的方法 :SNMP>>RMON>> 事件配置 169

图 12-10 事件配置条目介绍 : 事件配置选择 : 序号 : 用户名 : 描述 : 类型 : 勾选条目配置事件属性显示事件条目的序号填写事件所属的用户当对应事件需要发送通知时, 将会根据此用户名进行发送填写该事件的描述信息选择事件的类型 None: 不做任何操作日志 : 将事件记录在交换机中, 通过

178 图事件配置条目介绍 : 事件配置选择 : 序号 : 用户名 : 描述 : 类型 : 勾选条目配置事件属性显示事件条目的序号填写事件所属的用户当对应事件需要发送通知时, 将会根据此用户名进行发送填写该事件的描述信息选择事件的类型 None: 不做任何操作日志 : 将事件记录在交换机中, 通过 SNMP 管理软件读取通知 : 向管理主机发送报警消息日志 & 通知 : 将事件记录在交换机中并向管理主机发送报警消息创建者 : 状态 : 填写创建该事件条目的实体选择是否启用所选事件条目警报管理本页用来配置 RMON 的统计组和警报组进入页面的方法 :SNMP>>RMON>> 警报管理 170

图 12-11 警报配置条目介绍 : 事件配置选择 : 序号 : 计数器 : 端口 : 样例类型 : 勾选条目配置警报属性显示警报条目的序号选择警报变量选择进行警报监视的端口号为警报变量选择取样的方法, 再将取样的值与阈值进行比较绝对值 : 在一个取样周期结束时将取样结果直接与阈值进行比较增量 : 将现在值减去上一次取样值之后的增量与阈值进行比较上升阈值 :

179 图警报配置条目介绍 : 事件配置选择 : 序号 : 计数器 : 端口 : 样例类型 : 勾选条目配置警报属性显示警报条目的序号选择警报变量选择进行警报监视的端口号为警报变量选择取样的方法, 再将取样的值与阈值进行比较绝对值 : 在一个取样周期结束时将取样结果直接与阈值进行比较增量 : 将现在值减去上一次取样值之后的增量与阈值进行比较上升阈值 : 填写触发警报的上升阈值默认为 100 上升事件 : 选择触发上升阈值警报的事件的序号下降阈值 : 填写触发警报的下降阈值默认为 100 下降事件 : 启动警报 : 选择触发下降阈值警报的事件的序号选择警报触发的方式上升 : 只在触发上升阈值后触发警报下降 : 只在触发下降阈值后触发警报全部 : 触发上升和下降阈值均触发警报时间间隔 : 填写警报的时间间隔默认为 1800 秒创建者 : 状态 : 填写创建该警报条目的实体选择是否启用所选警报条目注意 : 当警报变量的采样值在同一方向上连续多次超过阈值时, 只会在第一次产生警报事件即上升警报和下降警报是交替产生的, 出现了一次上升警报, 则下一次必为下降警报回目录 171

第 13 章集群管理随着网络技术的发展, 网络的规模越来越大, 网络设备的数量越来越多, 所以网络管理也就越来越烦琐数量众多的设备需要分配不同的网络地址, 每台管理设备均需要单独配置之后才能够满足应用的需要, 以上这些造成管理人员很大的压力集群管理可以很好地解决上述问题集群是可以当作单一设备来管理的一组网络设备的集合, 集群管理的主要目的是解决大量分散的网络设备的集中管理问题

180 第 13 章集群管理随着网络技术的发展, 网络的规模越来越大, 网络设备的数量越来越多, 所以网络管理也就越来越烦琐数量众多的设备需要分配不同的网络地址, 每台管理设备均需要单独配置之后才能够满足应用的需要, 以上这些造成管理人员很大的压力集群管理可以很好地解决上述问题集群是可以当作单一设备来管理的一组网络设备的集合, 集群管理的主要目的是解决大量分散的网络设备的集中管理问题网络管理者通过集群中的一个交换机就可以实现对集群中其他交换机的管理和维护 ; 其中执行管理功能的交换机是命令交换机, 其他被管理的交换机是成员交换机, 命令交换机和成员交换机组成了一个集群典型组网应用如图 13-1 所示图 13-1 集群典型应用组网图集群角色由于各个交换机在集群中所处的地位和功能的不同, 形成了不同的角色, 可以配置交换机在集群中的角色集群的角色有三种 : 命令交换机 : 在集群中, 唯一的可以配置和管理整个集群的交换机命令交换机通过收集 NDP (Neighbor Discovery Protocol, 邻居发现协议 ) 和 NTDP(Neighbor Topology Discovery Protocol, 邻居拓扑发现协议 ) 信息来发现和确定候选交换机成员交换机 : 集群中被管理的交换机候选交换机 : 具有加入集群能力, 但还没有加入任何集群的交换机独立交换机 : 未启用集群功能的交换机各种集群角色可以按一定的规则进行转换 : 用户在交换机上创建集群的同时, 将当前交换机指定为命令交换机命令交换机通过收集相关信息, 发现和确定候选交换机候选交换机加入集群后, 成为成员交换机集群内的成员交换机被删除后将恢复为候选交换机命令交换机只有在删除集群时才能恢复为候选交换机 172

注意 : 本交换机不能作为命令交换机管理集群, 只能作为成员交换机被管理集群工作原理集群通过 NDP NTDP CMP(Cluster Management Protocol, 集群管理协议 ) 三个协议, 对集群内部的交换机进行配置和管理集群的过程分为拓扑发现拓扑收集和集群的建立维护, 具体工作过程如下 : 拓扑发现 : 所有交换机通过 NDP 来获取邻居交换机的信息拓扑收集 :

181 注意 : 本交换机不能作为命令交换机管理集群, 只能作为成员交换机被管理集群工作原理集群通过 NDP NTDP CMP(Cluster Management Protocol, 集群管理协议 ) 三个协议, 对集群内部的交换机进行配置和管理集群的过程分为拓扑发现拓扑收集和集群的建立维护, 具体工作过程如下 : 拓扑发现 : 所有交换机通过 NDP 来获取邻居交换机的信息拓扑收集 : 命令交换机通过 NTDP 来收集网络内指定跳数范围内的交换机信息以及各个交换机的连接信息, 并从收集到的拓扑信息中确定集群的候选交换机集群建立维护 : 命令交换机根据 NTDP 收集到的候选设备信息完成将候选交换机加入集群成员交换机离开集群等集群管理操作集群管理模块主要用于配置交换机的集群管理功能, 包括拓扑发现拓扑收集以及集群管理三部分 13.1 拓扑发现集群中的交换机使用 NDP 来获取与其直接相连的邻居交换机的信息交换机周期性地向邻居发送 NDP 报文, 同时也会接收但不转发邻居交换机发送的 NDP 报文 NDP 报文中包含 NDP 信息 ( 包括本交换机的名称 MAC 地址软件版本等信息 ) 等交换机会存储和维护一个邻居信息表, 邻居信息表里包含每个邻居交换机的 NDP 信息表项如果交换机收到新邻居的 NDP 信息, 则会在邻居信息表新增一个表项 ; 如果从邻居交换机收到的 NDP 信息与旧的信息不同, 则更新邻居信息表中的数据, 如果相同, 则只更新老化时间, 如果超过老化时间还没有收到邻居发送的 NDP 信息, 将自动删除相应的邻居表项本功能包括邻居信息配置显示和全局配置三个配置页面邻居信息在本页可以查看交换机的 NDP 邻居信息表进入页面的方法 : 集群管理 >> 拓扑发现 >> 邻居信息条目介绍 : 邻居查找图 13-2 邻居信息 173

查找选项 : 选择欲查找条目需包含的信息邻居信息本地端口 : 远程端口 : 设备名称 : 设备 MAC: 软件版本 : 老化时间 : 显示本交换机的端口号显示与相应端口相连的邻居交换机的端口号显示邻居交换机的名称显示邻居交换机的 MAC 地址显示邻居交换机的软件版本显示邻居交换机发送的 NDP 报文在本交换机上的剩余时间 13

182 查找选项 : 选择欲查找条目需包含的信息邻居信息本地端口 : 远程端口 : 设备名称 : 设备 MAC: 软件版本 : 老化时间 : 显示本交换机的端口号显示与相应端口相连的邻居交换机的端口号显示邻居交换机的名称显示邻居交换机的 MAC 地址显示邻居交换机的软件版本显示邻居交换机发送的 NDP 报文在本交换机上的剩余时间配置显示在本页可以查看交换机的 NDP 配置信息进入页面的方法 : 集群管理 >> 拓扑发现 >> 配置显示条目介绍 : 全局配置图 13-3 配置显示 NDP 状态 : 老化定时器 : Hello 定时器 : 显示本交换机的全局 NDP 状态显示本交换机发送的 NDP 报文在邻居交换机上的老化时间显示本交换机 NDP 报文发送的间隔时间 174

端口状态端口 : NDP 状态 : 发送 NDP 包数 : 接收 NDP 包数 : 错误 NDP 包数 : 邻居数 : 详细信息 : 显示交换机的端口号显示当前端口的 NDP 状态显示端口当前发送的 NDP 数据包数显示端口当前接收的 NDP 数据包数显示端口当前接收到的错误 NDP 数据包数显示端口所连接的邻居交换机数点击此按键,

183 端口状态端口 : NDP 状态 : 发送 NDP 包数 : 接收 NDP 包数 : 错误 NDP 包数 : 邻居数 : 详细信息 : 显示交换机的端口号显示当前端口的 NDP 状态显示端口当前发送的 NDP 数据包数显示端口当前接收的 NDP 数据包数显示端口当前接收到的错误 NDP 数据包数显示端口所连接的邻居交换机数点击此按键, 将显示该端口的收集到的邻居信息全局配置在本页可以配置交换机的 NDP 功能进入页面的方法 : 集群管理 >> 拓扑发现 >> 全局配置条目介绍 : 全局配置图 13-4 全局配置 NDP 状态 : 老化定时器 : 选择是否启用全局 NDP 功能填写本交换机发送的 NDP 报文在接收设备上的老化时间默认为 180 秒 175

Hello 定时器 : 填写本交换机 NDP 报文发送的时间间隔默认为 60 秒端口状态选择 : 端口 : NDP 状态 : 启用 : 禁用 : 勾选端口配置端口 NDP 状态显示交换机的端口号显示端口当前的 NDP 状态点击后启用所选端口的 NDP 功能点击后禁用所选端口的 NDP 功能注意 : 必须在全局配置和端口状态中同时启用 NDP 状态,NDP 功能才能正常运行

184 Hello 定时器 : 填写本交换机 NDP 报文发送的时间间隔默认为 60 秒端口状态选择 : 端口 : NDP 状态 : 启用 : 禁用 : 勾选端口配置端口 NDP 状态显示交换机的端口号显示端口当前的 NDP 状态点击后启用所选端口的 NDP 功能点击后禁用所选端口的 NDP 功能注意 : 必须在全局配置和端口状态中同时启用 NDP 状态,NDP 功能才能正常运行老化定时器时间要大于 Hello 定时器时间, 否则将引起 NDP 端口邻居信息表的不稳定 13.2 拓扑收集 NTDP 用于命令交换机收集整个网络指定跳数的拓扑信息 NTDP 根据 NDP 邻居信息表发送和转发 NTDP 拓扑收集请求, 收集指定跳数内的网络中每个交换机的 NDP 信息及其连接信息命令交换机可以定时在网络内进行拓扑收集, 也可以随时在命令交换机上手动启用拓扑收集命令交换机发送拓扑收集请求报文后, 大量交换机会同时收到拓扑收集请求并同时发送拓扑收集响应报文, 如此以来可能造成网络拥塞和命令交换机负担过重为了避免上述现象的产生, 设计了两个时间参数来控制拓扑收集请求报文扩散速度 : 请求跳数延迟时间 : 交换机收到拓扑收集请求, 会等待该时间段之后, 才开始在第一个启用 NTDP 的端口转发该拓扑收集请求报文端口跳数延迟时间 : 在同一个交换机上, 除第一个端口外, 每个启用 NTDP 功能的端口在前一个端口发送拓扑收集请求报文后, 都会等待该时间段, 再进行拓扑收集请求报文的转发本功能包括设备列表配置显示和全局配置三个配置页面设备列表在此处可以查看 NTDP 收集到的设备信息同时, 无论集群是否建立, 都可以在本页随时手动收集 NTDP 信息, 从而更有效地对设备进行实时管理与监控进入页面的方法 : 集群管理 >> 拓扑收集 >> 设备列表图 13-5 设备列表 176

条目介绍 : 设备信息列表设备类型 : 设备 MAC: 集群名 : 角色 : 跳数 : 邻居信息 : 显示 NTDP 所收集到的设备信息显示该设备的 MAC 地址显示该设备的集群名称显示该设备在集群中的角色命令交换机 : 配置并管理集群的交换机成员交换机 : 在集群中被管理的交换机候选交换机 : 能够成为集群成员但是还未加入集群的交换机独立交换机

185 条目介绍 : 设备信息列表设备类型 : 设备 MAC: 集群名 : 角色 : 跳数 : 邻居信息 : 显示 NTDP 所收集到的设备信息显示该设备的 MAC 地址显示该设备的集群名称显示该设备在集群中的角色命令交换机 : 配置并管理集群的交换机成员交换机 : 在集群中被管理的交换机候选交换机 : 能够成为集群成员但是还未加入集群的交换机独立交换机 : 未启用集群功能的交换机显示该设备距离本交换机的跳数点击 < 详细信息 >, 可以查看该设备的详细信息及其邻居信息表点击 < 详细信息 > 按键后, 可以看到 NDTP 收集到的该设备的详细信息配置显示图 13-6 当前设备信息在本页可以查看交换机的 NTDP 配置信息进入页面的方法 : 集群管理 >> 拓扑收集 >> 配置显示 177

186 图 13-7 配置显示条目介绍 : 全局配置 NTDP 状态 : 拓扑收集间隔时间 : 拓扑收集跳数 : 请求跳数延迟时间 : 端口跳数延迟时间 : 显示本交换机的全局 NTDP 状态显示本交换机拓扑信息收集的周期显示本交换机拓扑收集的范围显示本交换机在收到拓扑请求报文到第一次转发拓扑请求报文的延时时间显示本交换机在相邻端口转发拓扑请求报文的延时时间端口状态端口 : NTDP 状态 : 显示交换机的端口号显示当前端口的 NTDP 状态全局配置在本页可以配置交换机的 NTDP 功能进入页面的方法 : 集群管理 >> 拓扑发现 >> 全局配置 178

图 13-8 全局配置条目介绍 : 全局配置 NTDP 状态 : 拓扑收集间隔时间 : 选择是否启用全局 NTDP 功能填写本交换机拓扑信息收集的周期默认为 1 分钟拓扑收集跳数 : 填写本交换机拓扑收集的范围默认为 3 跳请求跳数延迟时间 : 填写本交换机在收到拓扑请求报文到第一次转发拓扑请求报文的延时时间默认为

187 图 13-8 全局配置条目介绍 : 全局配置 NTDP 状态 : 拓扑收集间隔时间 : 选择是否启用全局 NTDP 功能填写本交换机拓扑信息收集的周期默认为 1 分钟拓扑收集跳数 : 填写本交换机拓扑收集的范围默认为 3 跳请求跳数延迟时间 : 填写本交换机在收到拓扑请求报文到第一次转发拓扑请求报文的延时时间默认为 200 毫秒端口跳数延迟时间 : 填写本交换机在相邻端口转发拓扑请求报文的延时时间默认为 20 毫秒端口状态选择 : 端口 : NTDP 状态 : 启用 : 禁用 : 勾选端口配置端口 NTDP 状态显示交换机的端口号显示端口当前的 NTDP 状态点击后启用所选端口的 NTDP 功能点击后禁用所选端口的 NTDP 功能 179

188 注意 : 必须在全局配置和端口状态中同时启用 NTDP 状态,NTDP 功能才能正常运行 13.3 集群管理命令交换机通过 NDP 和 NTDP 协议发现和确定候选交换机, 并将候选交换机自动加入集群, 也可以通过手动配置将候选交换机加入到集群中候选交换机成功加入集群后, 将获得由命令交换机为它分配的私有 IP 地址在命令交换机上直接访问成员交换机的 Web 页面, 可以对成员交换机进行管理本功能包括配置显示和集群配置两个配置页面配置显示在本页可以查看到当前集群的状态进入页面的方法 : 集群管理 >> 集群管理 >> 配置显示当前交换机为候选交换机时, 可以看到 : 条目介绍 : 全局配置图 13-9 候选交换机的配置显示集群状态 : 集群角色 : 显示当前交换机的集群状态显示交换机在集群中的角色当前交换机为成员交换机时, 可以看到 : 条目介绍 : 图成员交换机的配置显示 180

189 全局配置集群状态 : 集群角色 : 集群名 : 命令交换机 MAC: 显示当前交换机的集群状态显示交换机在集群中的角色显示交换机当前的集群名称显示命令交换机的 MAC 地址当前交换机为独立交换机时, 可以看到 : 条目介绍 : 全局配置图独立交换机的配置显示集群状态 : 集群角色 : 显示当前交换机的集群状态显示交换机在集群中的角色集群配置在本页可以配置交换机的集群状态进入页面的方法 : 集群管理 >> 集群管理 >> 集群配置当前交换机为候选交换机时, 可以看到 : 条目介绍 : 当前角色图候选交换机的集群配置集群角色 : 显示交换机在集群中的角色 181

角色转换独立交换机 : 将交换机的集群角色转换为独立交换机当前交换机为成员交换机时, 可以看到 : 条目介绍 : 当前角色图 13-13 成员交换机的集群配置集群角色 : 显示交换机在集群中的角色角色转换独立交换机 :

190 角色转换独立交换机 : 将交换机的集群角色转换为独立交换机当前交换机为成员交换机时, 可以看到 : 条目介绍 : 当前角色图成员交换机的集群配置集群角色 : 显示交换机在集群中的角色角色转换独立交换机 : 将交换机的集群角色转换为独立交换机当前交换机为独立交换机时, 可以看到 : 条目介绍 : 当前角色图独立交换机的集群配置集群角色 : 显示交换机在集群中的角色角色转换候选交换机 : 将交换机的集群角色转换为候选交换机 182

集群管理功能全局配置步骤 : 在配置集群之前, 请先明确集群内各交换机的角色及功能, 做好集群的规划工作本交换机不能作为命令交换机, 只能作为成员交换机加入集群中步骤操作说明 1 启用系统和端口的 NDP 功能 2 启用系统和端口的 NTDP 功能可选操作在集群管理 >> 拓扑发现 >> 全局配置页面, 启用交换机的 NDP 功能可选操作在集群管理 >> 拓扑收集 >>

191 集群管理功能全局配置步骤 : 在配置集群之前, 请先明确集群内各交换机的角色及功能, 做好集群的规划工作本交换机不能作为命令交换机, 只能作为成员交换机加入集群中步骤操作说明 1 启用系统和端口的 NDP 功能 2 启用系统和端口的 NTDP 功能可选操作在集群管理 >> 拓扑发现 >> 全局配置页面, 启用交换机的 NDP 功能可选操作在集群管理 >> 拓扑收集 >> 全局配置页面, 启用交换机的 NTDP 功能 13.4 集群管理功能组网应用组网需求三台交换机构成一个集群, 其中 : 一台为命令交换机 ( 以我司交换机 TL-SG5428 为例 ) 其它交换机为成员交换机 ( 以我司交换机 TL-SG3424 为例 ) 网管通过命令交换机来管理整个集群命令交换机的端口 1 与外网连接, 端口 2 端口 3 分别与成员交换机 1 成员交换机 2 连接集群地址池 : ; 掩码 : 组网图图集群管理组网图配置步骤配置成员交换机步骤操作说明 1 启用系统和端口 1 的 NDP 功能在集群管理 >> 拓扑发现 >> 全局配置页面, 启用交换机的 NDP 功能 2 启用系统和端口 1 的 NTDP 功能在集群管理 >> 拓扑收集 >> 全局配置页面, 启用交换机的 NTDP 功能 183

192 配置命令交换机步骤操作说明 1 启用系统和端口的 NDP 功能 2 启用系统和端口的 NTDP 功能在集群管理 >> 拓扑发现 >> 全局配置页面, 启用交换机的 NDP 功能在集群管理 >> 拓扑收集 >> 全局配置页面, 启用交换机的 NTDP 功能 3 建立集群, 并配置集群参数在集群管理 >> 集群管理 >> 集群配置页面, 配置集群角色为命令交换机, 并填写集群信息集群地址池 : 掩码 : 配置成员交换机在集群管理 >> 集群管理 >> 成员管理页面, 选择成员交换机, 点击 < 管理 > 按键, 进入该交换机的 Web 页面也可在集群管理 >> 集群管理 >> 拓扑图页面, 双击交换机图标, 可以查看该交换机的详细信息 ; 单击交换机图标, 点击 < 管理 > 按键, 可以进入该交换机的 Web 页面回目录 184

193 第 14 章系统维护系统维护模块将管理交换机的常用系统工具组合在一起, 为定位并排除交换机和网络故障提供便捷的方法 1) 运行状态 : 对交换机内存和 CPU 进行监控 2) 系统日志 : 通过系统日志查看在交换机上的配置参数并找出错误的配置 3) 线缆检测 : 检测与交换机连接的线缆是否有故障 4) 环回检测 : 检测本端设备与对端设备的可用性 5) 网络诊断 : 检测目标是否可达以及目标与交换机之间的路由跳数 14.1 运行状态在本功能中可以通过曲线数据监控交换机 CPU 和内存的使用情况,CPU 和内存使用率应该在一定数值上下波动当 CPU 和内存使用率波动较大且明显增大时, 请检查网络是否受到攻击本功能包括 CPU 监控和内存监控两个配置页面 CPU 监控进入页面的方法 : 系统维护 >> 运行状态 >>CPU 监控图 14-1 CPU 监控点击 < 监控 > 按键, 图中会每隔 4 秒反馈一次监控数值, 显示交换机 CPU 使用率内存监控进入页面的方法 : 系统维护 >> 运行状态 >> 内存监控 185

194 图 14-2 内存监控点击 < 监控 > 按键, 图中会每隔 4 秒反馈一次监控数值, 显示交换机内存使用率 14.2 系统日志本交换机提供的日志系统能够对所有的系统信息进行记载分类管理, 为网络管理员监控设备运行情况和诊断设备故障提供强有力的支持本交换机的系统日志分为八个等级, 如表 14-1 所示级别名称等级描述 emergencies 0 系统不可用信息 alerts 1 需要立刻做出反应的信息 critical 2 严重信息 errors 3 错误信息 warnings 4 警告信息 notifications 5 正常出现但是重要的信息 informational 6 需要记录的通知信息 debugging 7 调试过程产生的信息表 14-1 日志等级本功能包括日志列表本地日志远程日志和日志导出四个功能页面日志列表系统日志可以保存到两个不同的地方 : 日志缓冲区和日志文件日志缓冲区的日志信息在交换机重 186

启后将会丢失, 日志文件里的日志信息在交换机重启后仍然有效日志列表显示了日志缓冲区中的系统日志信息进入页面的方法 : 系统维护 >> 系统日志 >> 日志列表条目介绍 : 系统日志列表图 14-3 日志列表序号 : 时间 : 模块名 : 严重级别 : 日志信息 : 显示该日志信息的序号显示该日志信息的发生时间需先在系统管理 >> 系统配置 >> 系统时间页面进行配置后,

195 启后将会丢失, 日志文件里的日志信息在交换机重启后仍然有效日志列表显示了日志缓冲区中的系统日志信息进入页面的方法 : 系统维护 >> 系统日志 >> 日志列表条目介绍 : 系统日志列表图 14-3 日志列表序号 : 时间 : 模块名 : 严重级别 : 日志信息 : 显示该日志信息的序号显示该日志信息的发生时间需先在系统管理 >> 系统配置 >> 系统时间页面进行配置后, 系统日志才能获取到正确的时间显示该日志信息所属功能模块, 从下拉列表可选择显示某一模块的日志信息显示该日志信息的严重级别, 从下拉列表选择某一级别, 可显示小于或等于该级别值的日志信息显示该日志信息的内容注意 : 严重级别划分为 0-7 共八个等级, 级别值越小紧急程度越高本页面显示记载在日志缓冲区中的日志信息, 显示的条目数最多为 512 条本地日志本地日志是指保存在本交换机上的所有系统日志信息在缺省情况下, 所有的系统日志将保存到日志缓冲区, 而等级为 level_0 到 level_4 的系统日志将同时保存到日志文件中在此页面中可以对日志的存储区进行配置进入页面的方法 : 系统维护 >> 系统日志 >> 本地日志 187

3 远程日志远程日志功能可以将本交换机的系统日志发送到日志服务器上日志服务器相当于一个可维护的共用消息区, 它可以对网络中各设备产生的日志信息进行集中的监控和管理 TP-LINK 日志服务器提供了一个用于日志监视

196 图 14-4 本地日志条目介绍 : 系统日志列表选择 : 日志缓冲区 : 日志文件 : 严重级别 : 状态 : 勾选相应的日志输出方向进行配置日志列表页面上显示的即为缓冲区中的信息, 在断电重启后这些信息将会丢失日志文件中的日志信息在断电重启后不会丢失, 可通过导出日志文件来查看限定各个输出方向上系统日志的严重级别只有级别值小于或等于该值的系统日志才会进行输出启用 / 禁用该输出方向远程日志远程日志功能可以将本交换机的系统日志发送到日志服务器上日志服务器相当于一个可维护的共用消息区, 它可以对网络中各设备产生的日志信息进行集中的监控和管理 TP-LINK 日志服务器提供了一个用于日志监视存储和管理的窗口系统, 并提供自动备份的功能日志格式遵循 RFC3164 标准,TP-LINK 日志服务器的安装过程及操作方法请登录我司官方网站下载安装软件和操作指南进入页面的方法 : 系统维护 >> 系统日志 >> 远程日志图 14-5 日志服务器 188

条目介绍 : 日志服务器选择 : 序号 : 服务器 IP: 勾选相应的日志服务器进行配置日志服务器序号本交换机共支持 4 个日志服务器配置日志服务器的 IP 地址 UDP 端口号 : 发送 / 接收系统日志时所用到的 UDP 端口号, 这里使用标准的 514 端口严重级别 : 状态 : 限定发往各个服务器上系统日志的严重级别只有级别值小于或等于该值的系统日志才会发送到相应的服务器

197 条目介绍 : 日志服务器选择 : 序号 : 服务器 IP: 勾选相应的日志服务器进行配置日志服务器序号本交换机共支持 4 个日志服务器配置日志服务器的 IP 地址 UDP 端口号 : 发送 / 接收系统日志时所用到的 UDP 端口号, 这里使用标准的 514 端口严重级别 : 状态 : 限定发往各个服务器上系统日志的严重级别只有级别值小于或等于该值的系统日志才会发送到相应的服务器启用 / 禁用该服务器日志导出日志导出功能可以将保存在交换机里的日志信息以文件的形式导出, 作为设备诊断和统计分析之用尤其在发生严重错误导致系统崩溃时, 可在重启后导出日志信息, 以获取跟错误相关的一些重要信息, 为诊断设备提供支持进入页面的方法 : 系统维护 >> 系统日志 >> 日志导出条目介绍 : 日志文件导出图 14-6 日志导出导出日志文件 : 点击此按键导出日志文件中的日志信息 14.3 系统诊断本交换机提供了线缆检测和环回检测功能线缆检测线缆检测功能能够检测与交换机相连的线缆是否有故障以及故障的位置, 利用此功能可以辅助日常工程安装诊断进入页面的方法 : 系统维护 >> 系统诊断 >> 线缆检测 189

图 14-7 线缆检测条目介绍 : 线缆检测检测端口 : 线对 : 线路状态 : 线路长度 : 出错长度 : 选择要进行线缆检测的端口显示线对序号检测端口连接的线缆的状态可能显示的状态有 : 正常短路开路阻抗失配另外还可能出现线路不支持检测或检测失败的情况开路 : 线路中有断开现象, 造成这种情况的原因一般是水晶头处线缆接触不良, 可用线缆测试设备进行故障点定位短路 :

198 图 14-7 线缆检测条目介绍 : 线缆检测检测端口 : 线对 : 线路状态 : 线路长度 : 出错长度 : 选择要进行线缆检测的端口显示线对序号检测端口连接的线缆的状态可能显示的状态有 : 正常短路开路阻抗失配另外还可能出现线路不支持检测或检测失败的情况开路 : 线路中有断开现象, 造成这种情况的原因一般是水晶头处线缆接触不良, 可用线缆测试设备进行故障点定位短路 : 线路金属内芯互相接触, 导致短路阻抗失配 : 网线质量问题若线路为正常状态, 显示该线缆的长度范围若线路为短路开路或阻抗失配状态, 则显示该线缆的出错长度注意 : 这里的长度是指线缆绕对的长度, 不是线缆表皮的长度, 线缆检测的长度可能存在误差检测结果仅供参考, 特殊的情况也可能会检测错误或失败环回检测环回检测可以在不依赖外部设备的情况下检查端口是否可用, 同时可以检测对端设备的可用性, 有助于确定和解决网络故障, 能够迅速方便地定位网络故障本交换机的环回检测分为内环检测和外环检测 1) 内环检测 : 无须借助外部设备, 即可检测交换机端口是否正常 2) 外环检测 : 可以检测与交换机相连的对端设备是否正常, 同时插入自环头进行还可以检测交换机的自身性能自环头的做法是用网线将一个水晶头的 1/3 2/6 4/7 5/8 管脚成对短接即可进入页面的方法 : 系统维护 >> 系统诊断 >> 环回检测 190

图 14-8 环回检测条目介绍 : 检测类型检测类型 : 选择要进行检测的类型外环检测需要连接到外部设备或者自环头检测端口检测端口 : 检测 : 勾选端口进行环回测试点击此按键进行检测 14.4 网络诊断本交换机提供了 Ping 检测和 Tracert 检测功能 14.4.1 Ping 检测 Ping 检测功能可以检测交换机与某网络设备是否可达,

199 图 14-8 环回检测条目介绍 : 检测类型检测类型 : 选择要进行检测的类型外环检测需要连接到外部设备或者自环头检测端口检测端口 : 检测 : 勾选端口进行环回测试点击此按键进行检测 14.4 网络诊断本交换机提供了 Ping 检测和 Tracert 检测功能 Ping 检测 Ping 检测功能可以检测交换机与某网络设备是否可达, 方便网络管理员检查网络的连通性, 定位网络故障 Ping 检测过程如下 : 1) 交换机向目标设备发送 ICMP 请求报文 ; 2) 如果网络工作正常, 则目标设备在接收到该报文后, 向交换机返回 ICMP 应答报文 ; 显示相关统计信息 ; 3) 如果网络工作异常, 源设备将显示目的地址不可达或超时等提示信息进入页面的方法 : 系统维护 >> 网络诊断 >>Ping 检测 191

图 14-9 Ping 检测条目介绍 : Ping 检测目标 IP 地址 : 发送次数 : 发送报文长度 : 时间间隔 : 填写需要测试的目标节点的 IP 地址填写 Ping 检测时发送的检测包次数建议使用缺省值填写 Ping 检测时发送的检测包长度建议使用缺省值发送 ICMP 请求报文的时间间隔 14.4.2 Tracert 检测 Tracert

200 图 14-9 Ping 检测条目介绍 : Ping 检测目标 IP 地址 : 发送次数 : 发送报文长度 : 时间间隔 : 填写需要测试的目标节点的 IP 地址填写 Ping 检测时发送的检测包次数建议使用缺省值填写 Ping 检测时发送的检测包长度建议使用缺省值发送 ICMP 请求报文的时间间隔 Tracert 检测 Tracert 检测可以查看交换机到目标节点所经过的路由器当网络出现故障时, 使用该命令可以分析出现故障的网络节点在 IP 数据包首部中包含一个 TTL 字段, 当数据包在网络中转发时, 每经过一个路由 TTL 字段的值减 1 当接收的 IP 数据包的 TTL 字段为 0 或 1 时, 路由器将此数据包丢弃, 并给发送源回复一个 ICMP 超时报文这样能有效防止数据包在网络发生故障时, 无休止地在网络中流动 Tracert 检测过程如下 : 1) 交换机发送一个 TTL 为 1 的报文给目的设备 ; 2) 第一跳 ( 即该报文所到达的第一个路由器 ) 回应一个 TTL 超时的 ICMP 报文 ( 该报文中含有第一跳的 IP 地址 ), 这样交换机就得到了第一个路由器的地址 ; 3) 交换机重新发送一个 TTL 为 2 的报文给目的设备 ; 4) 第二跳回应一个 TTL 超时的 ICMP 报文, 这样交换机就得到了第二个路由器的地址 ; 5) 重复以上过程直到最终到达目的设备, 交换机就得到了从它到目的设备所经过的所有路由器的地址 192

201 进入页面的方法 : 系统维护 >> 网络诊断 >>Tracert 检测条目介绍 : Tracert 检测图 Tracert 检测目标 IP: 最大跳数 : 填写目的设备的 IP 地址填写测试报文发送的最大跳数回目录 193

第 15 章软件系统维护在本交换机中, 可以通过 FTP 功能加载软件 FTP(File Transfer Protocol, 文件传输协议 ) 在 TCP/IP 协议族中属于应用层协议, 主要用于在远端服务器和本地主机之间传输文件, 是 IP 网络上传输文件的通用协议当交换机软件出故障导致无法正常启动时, 也可以采用 FTP 功能重新加载软件 15.

202 第 15 章软件系统维护在本交换机中, 可以通过 FTP 功能加载软件 FTP(File Transfer Protocol, 文件传输协议 ) 在 TCP/IP 协议族中属于应用层协议, 主要用于在远端服务器和本地主机之间传输文件, 是 IP 网络上传输文件的通用协议当交换机软件出故障导致无法正常启动时, 也可以采用 FTP 功能重新加载软件 15.1 硬件连接图图 15-1 利用 FTP 加载软件连接图 1. FTP 服务器通过端口 1 连接到交换机 2. 配置计算机通过 Console 口与交换机连接配置计算机和 FTP 服务器可以是同一台主机 3. 将交换机软件存储在 FTP 服务器的共享目录下, 并记录相应用户名密码以及交换机软件名称, 以便后续使用 15.2 配置超级终端完成硬件连接后, 请按照下面步骤配置管理计算机的超级终端, 以便管理交换机 1. 选择开始 >> 所有程序 >> 附件 >> 通讯 >> 超级终端, 打开超级终端 194

203 图 15-2 打开超级终端 2. 弹出如图 15-3 所示的连接描述窗口, 在名称处键入一个名称, 点击确定 3. 在图 15-4 中选择连接串口, 点击确定图 15-3 连接描述 195

15.3 bootutil 菜单下加载软件利用 FTP 功能加载软件需要进入交换机的 bootutil 菜单请按照下面提示步骤进行操作 : 1.

204 图 15-4 连接端口选择 4. 在图 15-5 中对端口进行参数设置 : 每秒位数 38400, 数据位 8, 奇偶校验无, 停止位 1, 数据流控制无, 然后点击确定即可图 15-5 端口属性设置 15.3 bootutil 菜单下加载软件利用 FTP 功能加载软件需要进入交换机的 bootutil 菜单请按照下面提示步骤进行操作 : 1. 将配置计算机的串口连接到交换机的 Console 口, 并打开配置成功的超级终端 FTP 服务器连接到交换机端口 1 2. 将交换机断电重启, 当在超级终端界面中看到提示信息 Press CTRL-B to enter the bootutil 时, 同时按下 Ctrl 按键和 b 字母按键进入 bootutil 菜单, 如图 15-6 所示 196

205 图 15-6 bootutil 菜单由于该提示信息显示时间较短, 可以在交换机上电后一直按住 Ctrl 按键和 b 字母按键不放, 直到进入 bootutil 菜单 3. 进入 bootutil 菜单后, 首先配置交换机的 IP 参数, 命令格式为 : ifconfig ip xxx.xxx.xxx.xxx mask gateway xxx.xxx.xxx.xxx 此处设置交换机的 IP 地址为 , 掩码为 , 网关设置为详细命令如下所示输入命令后按回车键 [TP-LINK] : ifconfig ip mask gateway 然后配置存放升级软件的 FTP 服务器的参数, 以方便交换机从 FTP 服务器上下载软件命令格式为 :ftp host xxx.xxx.xxx.xxx user xxxxx pwd xxxxx file xxxxxx.bin 此处以下面的 FTP 服务器参数为例 :IP 地址为 , 登录 FTP 服务器的用户名和密码分别为 123, 交换机的升级软件名称为 tl_sg3424_up.bin 详细命令如下所示输入命令后按回车键 [TP-LINK] : ftp host user 123 pwd 123 file tl_sg3424_up.bin 5. 最后输入 upgrade 命令后按回车键开始升级等待片刻, 超级终端会显示提示信息 :You can only use the port 1 to upgrade, 如下所示请通过交换机的端口 1 连接的 FTP 服务器, 若 FTP 没有连接到端口 1 将无法加载软件请将 FTP 服务器通过端口 1 与交换机连接并重复上述操作 [TP-LINK] : upgrade You can only use the port 1 to upgrade. 6. 当超级终端弹出提示信息 :Are you want to upgrade the firmware[y/n]: 时, 输入 Y 开始升级, 输入 N 退出升级如下所示图中的 # 字符表示正在升级, 升级结束后将弹出 [TP-LINK] 命令提示符 Are you want to upgrade the firmware[y/n] : y # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # [TP-LINK] : 7. 完成第 6 步后, 输入 start 命令启动交换机, 如下图所示出现图示界面后输入用户名和密码 ( 缺省均为 admin ) 即可登录交换机的 CLI 命令窗口, 可以通过 CLI 命令管理交换机 197

206 [TP-LINK] : start Start * * * * * * * * * * * * * * * * * * * * * * User Access Login * * * * * * * * * * * * * * * * * * * * * * * User : 8. 当忘记了登录交换机的用户名和密码时, 可在第 2 步进入交换机 bootutil 菜单后输入 reset 命令来软件复位, 复位后恢复到出厂默认设置, 登录交换机的用户名和密码均为 admin 回目录 198

将光盘放入计算机光驱, 在光盘文件夹中, 双击安装软件图标, 弹出安装语言选择对话框, 如下图 1 所示图 1 选择安装语言对话框 2.

207 附录 A 802.1X 客户端软件使用说明在 802.1X 体系结构中, 客户端作为接入设备需要安装相应的客户端软件, 且软件遵循 802.1X 协议标准才能够顺利通过认证当使用本交换机进行认证时, 请使用我司提供的客户端软件进行认证 1. 安装说明 1. 将光盘放入计算机光驱, 在光盘文件夹中, 双击安装软件图标, 弹出安装语言选择对话框, 如下图 1 所示图 1 选择安装语言对话框 2. 单击下一步进入安装准备过程, 如下图 2 所示 : 图 2 准备安装对话框 3. 等待片刻, 系统准备工作完成后, 将自动弹出欢迎对话框, 如下图 3 所示, 此时可点击 < 取消 > 终止安装过程 : 199

208 图 3 欢迎对话框 4. 点击 < 下一步 > 进行安装路径的选择如下图 4 所示 : 图 4 安装路径对话框默认路径是系统目录下的 Program Files 目录, 点击 < 更改 > 可以选择合适的安装路径 5. 至此, 安装所需参数已确定点击 < 下一步 >, 弹出安装对话框如下图 5 所示 : 图 5 正在安装 200

2 版本以上的软件, 将无法使用该 802.1X 客户端进行认证请在网上下载 WinPcap 软件并安装点击 < 完成 > 退出 2.

209 6. 点击 < 安装 >, 开始安装 802.1X 客户端软件, 如下图 6 所示 : 图 6 安装过程 7. 等待片刻, 将弹出安装完成对话框如下图 7 所示 : 图 7 安装完成对话框 8. 根据页面提示, 安装完成后, 如果计算机上没有安装 WinPcap 版本以上的软件, 将无法使用该 802.1X 客户端进行认证请在网上下载 WinPcap 软件并安装点击 < 完成 > 退出 2. 卸载说明当需要卸载 TpSupplicant 软件时, 可以按照下面步骤执行 : 1. 选择 : 开始 >> 所有程序 >> TP-LINK >> TpSupplicant-V2.0 >> 卸载 802.1X 客户端进行客户端软件卸载软件卸载准备对话框如下图 8 所示 : 201

210 2. 点击 < 是 >, 开始卸载软件, 如下图 9 所示 : 图 8 软件卸载准备图 9 卸载软件 3. 卸载结束后, 点击 < 完成 > 关闭窗口即可, 如下图 10 所示 : 3. 使用说明图 10 完成卸载 1. 安装完成后, 双击桌面 TP-LINK 802.1X 客户端软件图标运行应用程序, 弹出程序主对话框如下图 11 所示 : 202

1X 报文 ( 非触发报文 ): 选择此项时, 客户端将以组播的方式向交换机申请认证, 然后以单播方式发送认证报文登陆后自动更新 IP 地址 : 如果接入网络中设置了 DHCP 服务器为客户端分配 IP,

211 图 11 主对话框在用户名和密码中输入服务器端设定好的用户名和密码, 注意用户名和密码均不得多于 15 个字符 2. 点击 < 属性 > 按键, 弹出属性对话框, 可以对拨号属性进行适当的设置, 如下图 12 所示 : 图 12 属性对话框单播方式发送 802.1X 报文 ( 非触发报文 ): 选择此项时, 客户端将以组播的方式向交换机申请认证, 然后以单播方式发送认证报文登陆后自动更新 IP 地址 : 如果接入网络中设置了 DHCP 服务器为客户端分配 IP, 请选择此项功能认证成功后 DHCP 服务器会自动给客户端分配 IP 地址, 客户端获得新的 IP 地址后才能访问网络握手超时后自动重拨 : 选择此项时, 如果客户端在一定的时间内没有收到交换机的握手应答报文, 则说明客户端和交换机的连接可能出现问题, 这时客户端软件将自动重新发起连接 3. 在主窗口如图 11 界面下如果点击 < 连接 >, 将弹出认证状态对话框显示认证过程, 如下图 13 所示 : 203

212 图 13 认证状态对话框 4. 当顺利的通过认证后, 会显示一个认证通过对话框, 如下图 14 所示 : 图 14 认证通过对话框 5. 双击系统托盘中的连接状态图标, 将弹出连接状态对话框, 如下图 15 所示 : 204

2 或以上版本, 请先到 http://www.winpcap.org 下载安装最新版本 WinPcap 软件, 然后重新运行该客户端 2.

213 图 15 连接状态对话框 4. 常见问题 : 1. 当我运行该软件的时候为什么会出现如下图所示的错误对话框? 图 16 缺失 DLL 对话框答 : 如果出现图 16 对话框, 说明缺少了支持的 DLL 文件, 如果没有安装 WinPcap 或以上版本, 请先到下载安装最新版本 WinPcap 软件, 然后重新运行该客户端 2. 可以使用该软件拨号其它公司生产的交换机吗? 答 : 不可以, 该软件是专门为我司交换机定制 3. 如果我设置保存密码会不会不安全? 答 : 不会, 保存到配置文件中的密码已经经过加密回目录 205

展开

实施生成树

实施生成树学习沉淀成长分享 Spanning-tree 红茶三杯 ( 朱 SIR) 微博 :http://t.sina.com/vinsoney Latest update: 2012-06-01 STP 的概念冗余拓扑 Server/host X Router Y Segment 1 Switch A Switch B Segment 2 冗余拓扑能够解决单点故障问题 ; 冗余拓扑造成广播风暴, 多帧复用,