烽火-fengine s2000系列网管型以太网交换机培训资料

F-engineS2000系列网管型以太网交换机技术支持： 联系：电子邮件：内容提要概述F-engineS2000系列产品简介产品外观及硬件结构简介产品相关性能指标、参数F-engineS2000系列产品特点说明S2000产品组网及应用产品分项配置说明S2000产品常见故障及维护简单、常见故障处理其他说明概述：烽火网络交换机产品介绍烽火网络公司成立伊始就十分注重自身产品的品牌建设，坚持以自主研发和行业应用为基础，致力于中国的信息化事业发展。“F-engine”系列以太网交换机作为烽火网络数据网络设备的重要组成部分，2001年其第一款产品推向市场后，通过不断的技术改进、快速的市场拓展、强有力的品牌推广，该产品的品牌知名度和美誉度逐年上升。如今“F-engine”系列以太网交换机已经形成了11大系列20余款型号，拥有了包括从边缘、汇聚到核心全系列产品系列，与公司的边缘接入产品以及视频业务产品一起可共同为不同行业客户提供多种组网需求。近期，烽火网络生产的“F-engine”牌更以太网交换机以国内同行业综合实力领先地位获得“中国名牌”荣誉称号。烽火网络现阶段S2系列二层交换机产品系列包括S2008M-A，S2008MF-B，S2209A，S2016M-A，S2018MF-B，S2216F，S2024M-A，S2024MF-B，S2226A，S2205A，S2206A，S2224G，S2250。（本PPT内容适用于S2250除外的产品）

（设备型号确认）F-engine网管型交换机产品线概述产品外观及硬件结构简介F-engineS2000M系列交换机是多端口的10/100M自适应网管型以太网交换机。S2000M包括8个10/100M电口＋1个100M光口、16个10/100M电口+2个100M光口、24个10/100M电口＋2个100M光口共三个规格，并提供带外网管口。该系列交换机可达到全线速转发，具有TagVLAN、端口聚合（Trunk）、端口地址绑定、组播和QOS等功能，可提供形象直观、功能强大的图形界面网管系统，支持集群网管，可满足各种场合下宽带网络接入的需求。产品相关性能指标参数1特性指标详细描述接口10/100M电口：RJ45接口100M光口：SC接口交换带宽S2008M:7.6Gps；S2016M:15.2Gps；S2024M:22.8Gps包转发率S2008M:1.34Mpps；S2016M：2.68Mpps；S2024M：3.87Mpps传输方式存储转发最大转发/过滤速度148810ppsMAC地址8KVLAN支持PVLANIEEE802.1qVLAN：4K个活动VLAN支持SVLAN组播支持IGMPSnooping,S2000M系列可以支持256个组播条目支持跨VLAN组播复制安全特性提供接入用户MAC地址数量限制功能支持802.1X认证支持端口和MAC地址的绑定可靠性支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1w、IEEE802.1s标准支持ESR以太环网协议产品相关性能指标参数2QOS支持802.1p优先级，4个队列；支持SP、WRR队列调度算法支持出、入端口的速率控制，最小颗粒度为128KbpsTRUNK最多支持4组，每组最多包含8个端口网管远程功能测试和诊断支持SNMP、可基于web、telnet、console进行网管，支持批量配置，支持配置自动下载，支持easydo统一管理平台支持集群网管，最多可以管理128台(S2008M管理64台)1-统计、2-历史、3-告警、9-事件工作环境工作温度：（-10～+50）℃

存储温度：（-20～+50）℃工作湿度：（10～90）%（室温）电源要求220V产品：170～264V，50～60Hz

-48V产品：-36～-72VDC外形尺寸(宽×深×高)S2008M：265mm×150mm×40mmS2016M/S2024M：440mm×192mm×44mm功耗S2008M：6WS2016M：9WS2024M：12W重量S2008M：1kgS2016M：2.03kgS2024M：2.24kgF-engineS2000M系列产品特点说明支持流媒体

考虑对IPTV的支持，支持最新协议、并且支持的组播转发条目数量达500条。高可靠性

2000M系列网管型以太网交换机引入包括环网保护在内的创新技术，ESR使用保护机制改善以太网的倒换性能。作为一种基于环的保护机制，可为以太网提供类似SONET的保护倒换性能，使得在电缆断开或设备故障导致以太网环中断时，可以在50ms左右恢复运行。使城域以太网服务供应商能够更灵活地保护各种网络结构和拓扑。

完备的安全智能控制策略

支持认证，在用户接入网络时完成必要的身份认证。具备端口限速功能，支持出、入端口的速率控制，最小颗粒度为128Kbps。

提供4K个活动的802.1QVLAN，支持SVLAN，支持PVLAN。提供接入用户MAC地址数量限制功能，支持MAC地址和端口绑定。支持CPU防DOS攻击技术，支持广播风暴抑制防雷

防雷口&电源防雷措施丰富的网管功能

通过S2000M的网管功能，用户可以有效的管理和配置交换机，可通过Web浏览器、Telnet、SNMP等方式实现对S2000M系列交换机的管理。S2000M支持配置管理、服务质量的管理、告警管理等策略，通过内置RMON实现了设备的主动监视功能。在SNMP网管方式下，可由“Easydo”网管实现全网范围内多台S2000M的统一管理。S2000M产品组网及应用二层交换机做为楼宇/企业接入搭建配置环境（CLI）搭建配置环境步骤：

第一步：建立本地配置环境，只需要将微机的串口通过串口电缆与S2000M交换机的Console口相连；第二步：在微机上运行仿真程序（如MSWINDOWS的超级终端），设备终端参数为9600bps，8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100，二进制传输协议为CRC；第三步：S2000M第一次上电，设备按照缺省的参数自动启动，直到用户登录界面；第四步：键入命令，配置设备或查看设备的运行状态，需要帮助时随时按“?”获得帮助。命令行(CLI)说明：

S2000M系列交换机CLI采用用户名，密码方式登录，系统设三个用户组，分别为“administrators”，“users”和“guests”，不同的用户名可属于不同的用户组，拥有不同管理设备的权限，属于“administrators”组的用户是超级用户拥有设备管理的全部权限，“users”组的用户是普通管理用户，拥有对设备通用的功能查询和配置管理权限，“guests”组的用户是普通客户，只有对设备通用功能的查询权限不可对设备进行配置管理。系统启动后会缺省的生成两个用户，即“admin”和“guest”，分别属于“administrators”和“guests”用户组，其缺省密码都是“12345”，用户根据需要添加其他管理用户，缺省密码建议用户登录后自行修改，保存。

搭建配置环境（WEB）使用web网管前，需要确保网管主机的IP地址已经设置正确；设备缺省的web网管IP地址为；设备缺省的用户名为：admin密码为：12345通过输入正确的用户名和密码），用户可以进入到基于WEB的管理系统的欢迎界面。在第一次登录此设备的时候，用户名和密码都是缺省配置，单击确定即可进入到主界面。登录后请自行修改用户名和密码。S2000M产品快速配置说明（web）S2000M产品分项配置说明1.带内网管IP

2000M系列交换机只允许在一个vlan上配置ip地址，这个vlan我们也称之为管理vlan。所以，如果ip数据不是来自于管理vlan，那么也就不能与交换机进行ip通信。设置管理vlan主要是出于安全的考虑，建议在网络规划时使用一个单独的vlan来只用于管理交换机，使用其它的vlan来进行数据接入，这样普通用户就不能访问交换机的管理界面、从而保证交换机的安全。在烽火网络交换机上，管理vlan缺省是vlan1配置管理vlan的IP地址

S2000M(config-system)#ip改变管理vlan

S2000M(config-system)#managementvlan2检验所配置的IP地址

S2000M#showsystemS2000M产品分项配置说明2.用户名密码配置交换机上，如果具备了管理员的权限，可以根据需要设置不同权限登陆的用户名/密码

建立一个新用户123，密码为456。

S2016MFB(config)#username123password456将用户用户123的权限设为管理员。

S2016MFB(config)#username123groupadministrators

注意其中的配置顺序。S2000M产品分项配置说明3.vlan(802.1q)创建或进入VLANS2000M(config)#interfacevlan2S2000M(config-vlan-2)#删除VLAN

S2000M(config)#novlan2

在VLAN中设置成员端口

S2000M(config-vlan-5)#member1-3untagged

在VLAN中删除成员端口

S2000M(config-vlan-5)#nomember1-3设置端口的PVID

S2000M(config-eth-1)#pvid100S2000M产品分项配置说明把端口加入（退出）VLAN

S2000M(config-eth-1)#joinvlan5-10taggedS2000M(config-eth-1)#quitvlan5-10设置端口的帧接收类型

S2000MA(config-eth-1)#dot1qacceptall【all表示该端口接受所有类型的数据帧：vlan标记帧、优先级帧、非标记帧；参数tagged-only表示该端口只接受vlan标记帧】

设置端口的入过滤

S2000MA(config-eth-1)#dot1qingress-filter(enable︱disable)

【enalbe表示使能端口入过滤，disable表示不使能端口的入过滤。上面的命令将设置端口1的入过滤使能，当这个端口接收到自己并不属于的vlan的数据时，将把该数据丢弃】

S2000M产品分项配置说明4.vlan(pvlan)创建PVLAN

S2000M(config)#pvlan1S2000M(config-pvlan-1)#isolate-ports2-6【上述命令建立PVLAN1,并将交换机上的2－6号端口互相隔离起来，2－6号端口之间不能进行数据转发】删除PVLAN

S2000M(config)#nopvlan1

注意：一个端口不能位于2个pvlan中；S2000MA、S2000MFB系列交换机支持20条PVLAN，可根据需要分别配置S2000M产品分项配置说明5.端口限速设置交换机端口的传输速率控制

Fengine(config-eth-4)#rate-limitrx<0-100000>

Fengine(config-eth-4)#rate-limittx<0-100000>设置交换机各端口的数据包的速率限制

Fengine(config-eth-1)#packet-limitbroadcast0-100000>

Fengine(config-eth-1)#packet-limitdlf<0-100000>

Fengine(config-eth-1)#packet-limitmulticast<0-100000>

Fengine(config-eth-1)#packet-limitb-m<0-100000>

Fengine(config-eth-1)#packet-limitb-m-dlf<0-100000>备注:b-m为广播＋组播的速率控制，b-m-dlf为广播+组播+DLF的速率控制．<0-100000>：速率限制的范围，单位是kbps，取值只能是以下数值之一:128/256/512/1000/2000/4000/8000/16000/32000/64000参数的含义在不同的交换机上可能意义不一样，在配置前可以查看交换机的实时提示，以避免配置出错

S2000M产品分项配置说明

STP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元bpdu（bridgeprotocoldataunit）来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换机置为blocking，来消除网络中的环路从步骤和原理上讲,生成树配置涉及下面一些任务：＞选举和维护一个根网桥。＞通过配置一些生成树的参数来优化生成树。（如端口优先级、端口成本）＞通过配置上行链路来减少生成树的收敛时间S2000M产品分项配置说明使能禁止生成树协议

Fengine#config

Fengine(config)#stp

Fengine(config-stp)#stpenable配置交换机生成树转发时延

Fengine(config-stp)#stpforward-delay<4-30>【设置了设备的端口改变状态（例：侦听-学习-转发）前等待的最大时间】配置交换机生成树根桥周期发送问候时间

Fengine(config-stp)#stphello-time<1-10>【设置根节点设备发送配置信息的时间间隔】配置交换机生成树对收到的BPDU配置的最大保存时间

Fengine(config-stp)#stpmax-age<6-40>【该命令设置了一台设备在尝试去配置之间由于没有收到配置信息而能等待的最大时间，在规则的时间间隔内所有的设备端口（除了指定的端口）应该收到配置信息。任何老化掉STA信息的端口会变为指定的端口。如果它是根端口，则从设备端口选出一个新的根端口】S2000M产品分项配置说明配置交换机生成树优先级

Fengine(config-stp)#stppriority<0-65535>【这个命令用于选择根节点设备，根端口和指定端口。有着最高优先级(本命令配置的值越小优先级越高)的设备成为STP根设备。但是，如果所有的设备有着同样的优先级，那么MAC地址最小的设备将成为根设备】显示交换机生成树协议的相关配置信息

Fengine#show

stp显示交换机各端口的生成树配置信息

Fengine#show

stpinterface注意：在一个STP网络中，全部设备定时器应该对应一致，建议如无特殊需要，不要修改缺省值。快速生成树协议，这是生成树协议的一个改进版本，更加注意了在重新计算拓扑时的开销，并且与老版本的协议兼容。具体配置方法请参见速配手册或产品用户手册。S2000M产品分项配置说明7.环回检测S2000M(config-eth-1)#loop-checkenable【上面的命令在端口1上使能环回检测功能，烽火网络交换机在端口上缺省并不使能该功能】S2000M(config-eth-1)#loop-checkdisable【上面的命令在端口1上失效环回检测功能】S2000M(config-eth-1)#loop-checkvlan1【环回检测协议包中带有vlanid信息，缺省是检测vlan1是否存在环路。如果一个端口属于多个vlan而希望检测的不是vlan1，或者这个端口不在vlan1中，那么需要设定环回检测的vlan值】S2000M(config)#loop-checkactionshutdownS2000M(config)#loop-checkactionauto-recoverS2000M产品分项配置说明S2000M(config)#loop-checktimexxx【该命令设置环回检测程序当发现环、关闭端口后，多长时间进行再次检测的时间，取值范围为300秒至65535秒，缺省的再次检测时间为12个小时。之所以设置这么长的时间是因为如果环一直存在，如果重新检测的时间过短，那么网络会出现间歇性的拥塞】S2000M(config-eth-1)#loop-checkre-checkS2000M(config)#loop-checktrap(enable|disable)【该命令设置当环回检测程序发现环时是否发送SNMPTRAP告警，缺省不发送告警】S2000M产品分项配置说明S2000M#showinterfaceloop-checkIfLoop-checkVlanStatus1disable1linkdown2disable1linkdown3disable1linkdown4disable1linkdown5disable1linkdown6disable1linkdown7disable1ok8disable1linkdown【上面的命令显示当前每个端口的环路检测情况，第一列是端口号，第二列显示是否使能了环路检测功能，第三列显示检测的vlan号，第四列显示环路检测的状态，如果端口链路状态没有link，那么显示的是“linkdown”；如果端口链路状态是up的、并且没有环路存在，那么显示的是“ok”；如果端口上发现了环路，那么显示的是“topo-loop”】S2000M产品分项配置说明8.组播进入igmpsnoop配置节点S2000MF(config)#igmp-snooping配置igmpsnoop协议使能或者失效S2000MF(config)#igmp-snooping(enable|disable)配置组播代理使能S2000MF

(config-igmp-snoop)#igmp-snoopingproxyenable配置组播代理vlanS2000MF

(config-igmp-snoop)#igmp-snoopingproxyvlan1【该命令配置了代理vlan，必须是管理vlan】配置代理IGMPV3S2000MF(config-igmp-snoop)#igmp-snoopingproxyigmpv3-supportenable注意：跨vlan组播只能在mac地址学习模式为share的条件下使用。代理vlan必须是管理vlan。S2000M产品分项配置说明SPNM是交换机私有网管的英文减称，该技术是烽火网络公司交换机与图形化网管平台之间的一个私有协议，用于实现交换机自动注册、网络MAC地址定位等功能。SPNM的自动注册功能可以应用于所有的交换机，但是需要在交换机上指定图形化网管平台的IP地址，并输入与图形化网管平台之间的共享密码，然后使能SPNM功能即可；接入MAC收集功能：该功能应该只在直接接入用户的交换机上开启，网络中用于汇聚的交换机是不应该开启该功能的，并且需要在交换机上指定接入用户的接入端口S2000M产品分项配置说明10.以太网环（ESR）ESR技术通过ESR域的masternode控制其第二端口的阻塞与否来实现保护倒换功能(如下图所示)ESR中有LINK_DOWN告警机制与Polling机制。在正常的工作时，masternode（Master）的第二端口设置为blocking状态，以避免不受控制的以太网帧在环中不断环回，形成广播风暴。如果主节点通过以上两种机制检测到环的某一部位出了毛病，便将其第二端口解阻塞，允许以太网帧从第二端口通过，以保证环的连通性。术语ESR：EthernetServiceRing以太网服务环FDB：forwardingdatabase转发数据库ESR域：一个运行ESR协议的以太网环Masternode：主节点，一个ESR域中配置的唯一的一个主控节点Transitnode：传输节点，一个ESR域中除主节点外的所有节点ControlVLAN：控制VLAN，一个ESR域中承载用于保护倒换的控制信息的VLAN功能

ESR技术通过ESR域的masternode控制其第二端口的阻塞与否来实现保护倒换功能。正常工作时，masternode阻塞其第二端口以避免逻辑上成环；当环上某个端口断掉时，masternode解阻塞其第二端口以保证连通性，使物理环在逻辑上为一条完整的link,此保护倒换时间只需数十毫秒；当断掉的端口恢复时，ESR保证以太网环自动恢复正常。具体配置命令请参考命令行手册或速配手册S2000M产品分项配置说明S2