安奈特中文操作指南.doc

目 录初始登录设置：2预备操作知识：2三层交换机vlan基本配置：3ip基本配置：6ip helper设置（广播转发）：7dhcp（动态主机配置协议）服务器设置：7ip filter的配置（访问控制列表，acl）：8hardware filter的设置（硬件包过滤，hwf）：10ip nat的配置（网络地址转换，标准ip nat只适用于路由器）：13snmp（简单网络管理协议）设置：13ping polling的设置：16trigger（触发器）的设置：17test工具之virtual cable test facility：18ospf（开放式最短路径优先）的设置：19vrrp（虚拟路由器冗余协议）的设置：23qos（服务质量）的设置：24物理端口速率限制：25各种二层隧道协议及ipsec vpn设置：25配置文件的保存及设置：31上传下载文件至路由器/三层交换机：31#初始登录设置：#使用超级终端通过串口登录进入路由器/三层交换机。超级终端设置：9600波特率，8数据位，1停止位，no奇偶校验，硬件流控制。在login:状态输入用户名：manager密码：friend如果有相应权限，也可通过telnet路由器/三层交换机的任意活跃接口的ip地址访问设备。安奈特路由器/三层交换机的配置环境是不区分层次化的，不存在类似cisco的“全局配置模式”、“接口配置模式”、“路由协议配置模式”，所有的配置命令均在同一模式/界面下执行，其提示符为：登录用户级别 设备名称例如，使用manager权限用户登录名称为test的设备，则显示为：manager test使用securityofficer权限用户登录名称为coreswitch的设备，则显示为：secoff coreswitch然后即可配置所有内容。%#预备操作知识：#安奈特路由器/三层交换机的主要配置命令包括五个：createdestroycreate：创建原本并不存在的实体。例如，缺省所有交换机端口属于仅有的一个vlan1，不存在其他的vlan。如果要创建其他的vlan，则需使用create vlan=vlan-name vid=vlan-iddestroy：删除通过create创建的实体，在删除之前，需先删除其他的关联配置内容。例如，如果要删除vlan2，则需先删除vlan2中所有的port，删除vlan2的ip地址（如果有），删除其他地方对于interface vlan2的引用，等等。add deleteadd：对已有的实体增加属性。例如，vlan1缺省存在，不能用create创建，也不能用destroy删除，如果要对vlan1增加端口，则：add vlan=1 port=port-list；如果要对vlan1增加ip地址，则：add ip int=vlan1 ip=ip-address mask=ip-mask；如果对已经创建的vlan2增加ip地址，则：add ip int=vlan2 ip=ip-address mask=ip-mask；如果要增加路由，则：add ip route=dest-ip-segment mask=dest-ip-segment-mask int=out-interface-name nexthop=nexthop-ip-address；delete：对已有的实体删除某些属性。例如，将某些端口从vlan3删除，则：delete vlan=3 port=port-list；如果要删除vlan4的ip地址设置，则：delete ip int=vlan4 ip=ip-address；如果要删除已存在的防火墙规则条目10，则：delete firewall policy=fire rule=10；setset：对已有的实体属性进行修改。例如，直接修改接口vlan2的ip地址，则：set ip int=vlan2 ip=new-ip-address mask=new-ip-mask；设置用户自身的密码，则：set password；设置其他用户的密码（需具备高级权限），则：set user=user-name password=password；注意：create与destroy对应，add与delete对应。因此，如果通过create创建的实体，不能使用delete删除；如果通过add增加的属性，不能使用destroy删除。%#三层交换机vlan基本配置：#port-based vlan with untagged ports设置需求：vlan name vlan id portsmarketing vid=2 port 1-3training vid=3 port 14-16配置示例：1. create vlans.#create the two vlans using the following commands on the switch:create vlan=marketing vid=2create vlan=training vid=32. add ports to vlans.#add the ports to these vlans on the switch by using the following commands:add vlan=marketing port=1-3add vlan=training port=14-16#check the vlan configuration by using the command:show vlan3. check the switch.#check that the switch is switching across the ports. traffic on the switch can be monitored using the command:show switch countervlan with tagged ports设置需求：switch a switch bvlan name vid tagged portsuntagged ports tagged ports untagged portsadmin vid=2 port 2 port 1training vid=3 port 26 port 3 port 25 port 21,22marketing vid=4 port 2,26 port 4 port 25 port 23to configure switch a1. create vlans.#create the three vlans using the following commands on the switch:create vlan=admin vid=2create vlan=training vid=3create vlan=marketing vid=42. add ports to vlans.#add the ports to these vlans on the switch by using the following commands:add vlan=admin port=2 frame=taggedadd vlan=admin port=1 frame=untaggedadd vlan=training port=26 frame=taggedadd vlan=training port=3 frame=untaggedadd vlan=marketing port=2,26 frame=taggedadd vlan=marketing port=4 frame=untagged#check the vlan configuration by using the command:show vlanto configure switch b1. create vlans.#create the two vlans using the following commands on the switch:create vlan=training vid=3create vlan=marketing vid=42. add ports to vlans.#add the ports to these vlans on the switch by using the following commands:add vlan=training port=5 frame=taggedadd vlan=training port=1,2 frame=untaggedadd vlan=marketing port=5 frame=taggedadd vlan=marketing port=3 frame=untagged#check the vlan configuration by using the command:show vlancheck#check that the switch is switching across the ports. traffic on switch a can be monitored using the command:show switch counter=1-4,26#traffic on switch b can be monitored using the command:show switch counter=21-23,25#ip基本配置：#针对路由器/三层交换机配置ip内容，为每个网段指定ip地址，作为该网段客户端pc的网关地址。首先，激活ip功能模块：enable ip假定int=eth1连接了internet路由器，本地eth1的地址为192.168.2.253，internet路由器与本地路由器相连的接口ip地址为192.168.2.254。add ip int=eth1 ip=192.168.2.253 mask=255.255.255.0添加缺省路由，以允许内部网络联接外部网络，例如联接internet。add ip route=0.0.0.0 mask=0.0.0.0 int=eth1 next=192.168.2.254关于网络地址转换内容请见后文叙述。在下面的配置中，假定允许eth1的客户端只可以访问内部企业网各网段，不能访问其他地址，例如不能访问internet。#ip helper设置（广播转发）：#假定windows服务器位于eth0，其地址为10.94.4.1/3/5/7。客户端位于eth1，那么需要配置ip helper address转发netbios流量。# port=137指明protocol port=137enable ip helperadd ip helper port=137 int=eth1 destination=10.94.4.1add ip helper port=137 int=eth1 destination=10.94.4.3add ip helper port=137 int=eth1 destination=10.94.4.5add ip helper port=137 int=eth1 destination=10.94.4.7add ip helper port=138 int=eth1 destination=10.94.4.1add ip helper port=138 int=eth1 destination=10.94.4.3#dhcp（动态主机配置协议）服务器设置：#如果需要，可以为每个以太网接口设置一个dhcp服务器。# dhcp configuration - post ip#enable dhcpcreate dhcp poli=rjc lease=14400add dhcp poli=rjc subn=255.255.255.0add dhcp poli=rjc rou=192.168.3.1add dhcp poli=rjc dnss=10.94.4.5create dhcp ran=eth0 poli=rjc ip=192.168.1.2 num=50create dhcp poli=yzgh lease=14400add dhcp poli=yzgh subn=255.255.255.0add dhcp poli=yzgh rou=192.168.2.1add dhcp poli=yzgh dnss=10.94.4.5create dhcp ran=eth1 poli=yzgh ip=192.168.2.2 num=50对打印机等设备进行固定ip地址分配：create dhcp poli=xxjsj lease=14400add dhcp poli=xxjsj subn=255.255.255.0add dhcp poli=xxjsj rou=192.168.25.1add dhcp poli=xxjsj dnss=10.94.4.5create dhcp ran=vlan25 poli=xxjsj ip=192.168.25.2 num=80add dhcp range=office policy=xxjsj ip=192.168.25.50 address=00-00-0c-00-28-73#ip filter的配置（访问控制列表，acl）：#traffic filter:add ip filter=0.99 action=include|exclude source=ipadd smask=ipadd sport=port-name|port-id destination=ipadd dmask=ipadd dport=port-name|port-id icmpcode=icmp-code-name|icmp-code-idicmptype=icmp-type-name|icmp-type-id log=4.1600|dump|header|none options=false|off|on|no|true|yesprotocol=protocol|any|egp|icmp|ospf|tcp|udpsession=any|established|start size=size entry=1.255policy filter:add ip filter=100.199 policy=0.15 source=ipadd smask=ipadd sport=port-name|port-id destination=ipadd dmask=ipadd dport=port-name|port-id icmpcode=icmp-code-name|icmp-code-idicmptype=icmp-type-name|icmp-type-id log=4.1600|dump|header|none options=false|off|on|no|true|yesprotocol=protocol|any|egp|icmp|ospf|tcp|udpsession=any|established|start size=size entry=1.255priority filter:add ip filter=200.299 priority=p0.p7 source=ipadd smask=ipadd sport=port-name|port-id destination=ipadd dmask=ipadd dport=port-name|port-id icmpcode=icmp-code-name|icmp-code-idicmptype=icmp-type-name|icmp-type-id log=4.1600|dump|header|none options=false|off|on|no|true|yesprotocol=protocol|any|egp|icmp|ospf|tcp|udpsession=any|established|start size=sizeentry=1.255routing filter:add ip filter=300.399 action=include|exclude source=ipadd entry=1.255 smask=ipadd设置举例：enable ipadd ip filter=1 so=0.0.0.0 ac=include prot=udp dp=bootpsadd ip filter=1 so=0.0.0.0 ac=include prot=udp dp=bootpcadd ip filter=1 so=192.168.2.0 sm=255.255.255.0 des=10.94.3.0 dm=255.255.255.0 ac=includeadd ip filter=1 so=192.168.2.0 sm=255.255.255.0 des=10.94.4.0 dm=255.255.255.0 ac=includeadd ip filter=1 so=192.168.2.0 sm=255.255.255.0 des=10.94.5.0 dm=255.255.255.0 ac=includeadd ip filter=1 so=192.168.2.0 sm=255.255.255.0 ac=exclude（上面例子中最后这句可以省略，缺省的ip filter的最后隐含了一句拒绝所有的流量通过，即add ip filter=1 so=0.0.0.0 sm=0.0.0.0 ac=exclude）ip filter在接口上的使用，总是应用于交换机接口的in方向！每一个ip filter组中包含的语句由entry值定位其位置，如果在输入命令时，未指明entry值，则缺省从1开始，依次累加。通过show ip filter可以查看具体的每个语句的位置，在执行ip filter的操作时，按照从顶向下的方向执行，一旦匹配某条语句，则立即执行相应操作，并结束ip filter的查找。通过acl来实现所有通信流量的单向访问控制非常困难，因为绝大多数时候的通信需求都是双向的，我们拒绝从低优先级侧主动发起会话，但是必须允许从低优先级侧回复给高优先级的会话。（注意：对于无应答的udp单向通信并不需要额外关心）。因为acl不保存每个会话的状态，无法判断低优先级测发起的流量是初始发送数据包还是对高优先级数据包的回复，而这种状态检测功能通常由防火墙实现。对于这种情况，所有acl的实现只能有选择的针对tcp会话实现单向通信。通过指定established关键字实现（cisco命令也类似）：add ip filter=filter-number source=ipadd smask=ipadd session=any|established|start譬如，我们可以在低优先级侧（假定接口为vlan100）配置访问控制列表如下：add ip filter=99 so=0.0.0.0 session=established ac=includeset ip int=vlan100 filter=99这样可以允许从vlan100这个低优先级网段返回高优先级发起的通信，同时拒绝所有低优先级侧对外的所有其他通信。将ip filter应用于接口的命令为：set ip interface=eth0 filter=filter_id对于本地交换机配置的所有以太网接口，均为直连网段，缺省情况下，所有网段间通信都是被许可的。对于eth1，做了上面所述的访问控制限制。如果将访问控制列表从接口上去掉，可以使用：set ip int=eth1 filter=none。add ip int=eth1 ip=192.168.2.253 filter=1add ip int=eth0 ip=192.168.1.253#hardware filter的设置（硬件包过滤，hwf）：#硬件包过滤的配置（hwf，可以代替ip filter的工作，通过硬件执行过滤操作，不牵涉cpu的中断，只适用于三层交换机）：# classifier general configuration#create class=7 tcpd=4444create class=8 tcpd=445create class=9 udpd=445create class=10 tcpd=593create class=11 udpd=1434create class=12 udpd=135create class=13 tcpd=135create class=14 udpd=139# switch (post-vlan) configuration#add switch hwf class=7 ac=discardadd switch hwf class=8 ac=discardadd switch hwf class=9 ac=discardadd switch hwf class=10 ac=discardadd switch hwf class=11 ac=discardadd switch hwf class=12 ac=discardadd switch hwf class=13 ac=discardadd switch hwf class=14 ac=discard对于at-rapier系列的交换机，hwf的执行方式为，从顶向下执行“所有”的语句，即找到第一个匹配项以后，对数据包做相应的标记，然后继续寻找随后的匹配语句，如果再次匹配某个语句，则做相应的标记。因此，可能出现开始的标记被覆盖的情况。对于at-switchblade/at-9900/at-9800系列的交换机，hwf的执行方式为，从顶向下执行，找到匹配语句以后，则停止执行当前hwf_id组中的其他语句。对于所有的三层交换机，所有不匹配hwf任何语句的数据包均被“允许”通过，按照正常转发动作执行。at-rapier系列hwf示例（在port24上，只允许特定ip地址的全部流量及所有ip地址的特定tcp应用通过，其他tcp流量均丢弃）：create class=1 ipprot=tcp tcpdport=5000 eport=24create class=2 ipprot=tcp tcpsport=5000 eport=24create class=3 ipprot=tcp tcpdport=21 eport=24create class=4 ipprot=tcp tcpsport=21 eport=24create class=5 ipprot=tcp tcpdport=25 eport=24create class=6 ipprot=tcp tcpsport=25 eport=24create class=7 ipprot=tcp tcpdport=80 eport=24create class=8 ipprot=tcp tcpsport=80 eport=24create class=9 ipprot=tcp tcpdport=110 eport=24create class=10 ipprot=tcp tcpsport=110 eport=24create class=11 ipprot=tcp tcpdport=1433 eport=24create class=12 ipprot=tcp tcpsport=1433 eport=24create class=13 ipprot=tcp tcpdport=1000 eport=24create class=14 ipprot=tcp tcpsport=1000 eport=24create class=15 ipprot=tcp tcpdport=3000 eport=24create class=16 ipprot=tcp tcpsport=3000 eport=24create class=17 ipprot=tcp tcpdport=9970 eport=24create class=18 ipprot=tcp tcpsport=9970 eport=24create class=19 ipprot=tcp tcpdport=9971 eport=24create class=20 ipprot=tcp tcpsport=9971 eport=24create class=100 ipsadd=192.15.200.10 eport=24create class=101 ipdadd=192.15.200.10 eport=24create class=102 ipsadd=192.15.200.227 eport=24create class=103 ipdadd=192.15.200.227 eport=24create class=104 ipsadd=192.15.200.225 eport=24create class=105 ipdadd=192.15.200.225 eport=24create class=900 epo=24 ippr=tcp add switch hwf class=900 action=discardadd switch hwf class=1-20 action=nodropadd switch hwf class=100-105 action=nodrop利用hardware filter实现tcp的单向访问：第一种配置方式：# vlan general configuration, vlan 3 has higher prioritycreate vlan=v2 vid=2create vlan=v3 vid=3# vlan port configuration#add vlan=2 port=24add vlan=3 port=1# classifier general configuration#create class=1 ipsa=10.12.1.0/24 ipda=11.12.1.0/24 tcpf=syncreate class=2 ipsa=10.12.1.0/24 ipda=11.12.1.0/24 tcpf=ack,syn#创建两条calssifier：classifier1 对应vlan2 至vlan3 tcp 标志位为syn 的流量；classifier2 对应vlan2 至vlan3 tcp 标志位为syn+ack的流量。# switch (post-vlan) configuration#add switch hwf class=1 ac=discardadd switch hwf class=2 ac=nodrop#添加hwfiler，禁止匹配classifier1 的所有流量，但允许其中匹配classifier2 的流量通过。# ip configuration#enable ipadd ip int=vlan2 ip=10.12.1.1 mask=255.255.255.0add ip int=vlan3 ip=11.12.1.1 mask=255.255.255.0第二种配置方式：# classifier general configuration#create class=1 prot=0800 ipsa=10.12.1.0/24 ipda=11.12.1.0/24 ippr=tcp match1=0002 mask1=00ff offset1=50#创建一条calssifier：classifier1 对应vlan2 至vlan3 只有 tcp 标志位为syn 的流量。注意：该classsifier 不匹配vlan2 至vlan3 tcp 标志位为syn+ack的流量！# switch (post-vlan) configuration#add switch hwf class=1 ac=discard#添加hwfiler，禁止匹配classifier1 的所有流量。#ip nat的配置（网络地址转换，标准ip nat只适用于路由器）：#enable ip nat静态nat：add ip nat ip=192.168.1.2 gblip=203.56.3.78静态enat：add ip nat ip=192.168.10.3 prot=tcp port=80 gblip=203.56.3.78 gblport=80add ip nat ip=192.168.10.4 prot=tcp port=20 gblip=203.56.3.78 gblport=20add ip nat ip=192.168.10.4 prot=tcp port=21 gblip=203.56.3.78 gblport=21动态nat：add ip nat ip=192.168.1.0 mask=255.255.255.0 gblip=203.56.3.128 gblmask=255.255.255.128动态enat：add ip nat ip=192.168.1.0 mask=255.255.255.0 gblip=203.56.3.78或者：add ip nat ip=192.168.1.0 mask=255.255.255.0 gblint=eth0对于具备防火墙功能的网络设备，如果开启了防火墙，则nat功能由firewall执行，ip nat将被自动disable。关于firewall的详细设置，请参考相应命令手册。%#snmp（简单网络管理协议）设置：#snmpv1&v2的设置：enable snmpenable snmp authenticate_trapcreate snmp community=atisnmpr access=read open=noenable snmp community=atisnmpr trapadd snmp community=atisnmpr manager=10.12.3.222add snmp community=atisnmpr traphost=10.12.3.222create snmp community=atisnmpwr access=write open=noenable snmp community=atisnmpwr trapadd snmp community=atisnmpwr manager=10.12.3.222add snmp community=atisnmpwr traphost=10.12.3.222enable interface=vlan1 linktrap查看配置：show snmpshow snmp communityshow interface=vlan1snmpv3的简介：snmpv3提供了两个主要的增强特征：authentication、privacy；对于配置而言，体现在三个不同的安全级别：1. noauthnopriv(no authentication and no privacy)2. authnopriv(authentication but no privacy)3. authpriv(authentication and privacy)同时，通过view、group、user的定义提供不同的mib信息访问权限。可配置的三种不同权限的view访问：1. readview (specifies snmp view the group has read access to)2. writeview(specifies snmp view the group has write access to)3. notifyview(specifies snmp view the group will receive notifications for)view、group、user之间的关系如下图所示：同一网络设备上group的名称及关联的安全级别必须唯一。snmp target address和snmp target params必须唯一。snmpv3的设置：#enables snmpenable snmp#enables snmp authentication failure traps.enable snmp authenticate_trap#adds snmp target parameters set, to specify a security profile for target addresses.add snmp targetparams=netmonpc securitylevel=authpriv user=steve#adds a target address where traps will be sent.add snmp targetaddress=nms ip=192.168.11.23 udp=162 params=netmonpc#creates an snmp view which will allow access to everything from the specified object identifier (oid) onwards.add snmp view=full oid=1.3.6.1 type=include#creates an snmp view which will allow access to everything from the specified oid onwards, and also adds a restriction to anything on a particular sub-tree.add snmp view=restricted oid=1.3.6.1 type=includeadd snmp view=restricted oid=1.3.6.1.6 type=exclude#adds another restriction to snmp view restricted, preventing access to the specified mib name and everything below it. this is an alternative to the command syntax shown in the command above, and it should be noted that commands entered with the syntax shown below will appear in the configuration with the syntax above - i.e. as an oid.add snmp view=restricted mib=bgp type=exclude#creates an snmp group which has full read/write and notify privilege to the full view, and specifies authentication and privacy.add snmp group=super-users securitylevel=authpriv readview=full writeview=full notifyview=full#creates an snmp group with full read and notify privilege to the full view, and specifies authentication but not privacy.add snmp group=users securitylevel=authnopriv readview=full notifyview=full#creates an snmp group with read access to the restricted view only, with no authentication or privacy specified.add snmp group=restricted-users securitylevel=noauthnopriv readview=restricted#creates an snmp user and associates