东土交换机配置全程指导

-.z.第1章网络设备调试培训目标：通过学习本章内容，学员可以了解数据调试手段。第一节东土交换机配置全程指导一、常见交换机配置〔一〕配置的内容常见交换机配置的内容见表1-1：表1-1常见交换机配置内容配置项配置内容目的设备IP地址交换机IP地址：被调试设备的IP地址，也是交换机对外提供效劳的IP地址交换机可以通过IP地址区分镜像口镜像功能启停：功能起停选择；镜像源网口：需要被监视的网口；镜像目的网口：输出监视信息的网口。以太网报文截取〔抓包〕：比后台抓包更准确可靠Vlan划分Vlan功能起停：功能起停选择；Vlan划分：功能配置。标准数据流向：减少单个网口的数据发送1588对时配置PTP对时校正功能起停对网络中的PTP对时〔1588〕报文校正告警功能配置电源告警：功能启停和选择；网络中断告警：功能起停和选择控制告警灯指示和告警接点输出保存保存当前信息：保存已修改内容备份复原配置备份当前配置信息到其他设备；从其他设备复原配置信息配置备份、配置复原〔二〕东土交换机菜单构造无论哪种登录方式，菜单构造都差不多，不同版本可能有增减项或菜单构造调整。东土交换有6个主菜单，分别为设备状态、设备根底配置、设备高级配置、设备管理、保存所有修改、恢复默认配置，见图1-1。图1-1东土交换机主菜单各主菜单功能和所含的子菜单见表1-2表1-2东土交换机常用功能菜单介绍主菜单子菜单用途备注设备状态交换机根本运行状态信息展示根底信息交换机设备mac地址、设备序列号、IP地址掩码网关、设备名称、软件版本等多交换机级联时，用于确认连接交换机是否为目的交换机端口状态各网口管理状态、操作状态、连接状态及网络协商状态端口流量各网口流量统计、错误包统计、错误包数量统计有SV时，可查看流量是否超标〔40%或50%〕系统运行信息设备运行时间、CPU内存使用率、设备温度、设备系统时间设备根底配置交换机简单应用功能配置IP地址配置交换机IP地址、掩码、网关设备根本信息配置工程名称、系统名称、系统时间设置工程名称根据需要配置端口配置端口管理状态、操作状态、协商状态设置一般千兆网口的工作模式最好设置为千兆，不允许自动协商修改密码更改本设备登录密码不建议修改密码软件升级以FTP方式，对交换机软件升级需要调试设备启用ftp效劳软件版本查询软件版本显示，历次升级记录均在表中，只有一个是当前运行版本配置上传下载以FTP方式，对交换机配置进展备份或复原需要调试设备启用ftp效劳；现场配置完成后必须备份；更换交换机后需要复原设备高级配置交换机网络管理功能配置和展示端口流量配置对端口接收或发送的报文数据量进展限制没要求，则不做配置Vlan配置把物理网络划分为多个逻辑网络。同一VLan中设备相互通讯，不同VLan中设备不能通信。减少网口流量，减轻网络负担。过程层交换机必须配置端口镜像把*个端口接收或发送的数据帧完全一样的复制给另一个端口。被复制端口称为镜像源端口；复制端口称为镜像目的端口。常用来网络监管诊断。镜像目的端口不能做交换机配置网口使用。镜像目的端口只能有一个。站控层中心交换机必须配置，其他网口根据需要配置。端口聚合用于两个交换机之间多根网线级联，增加带宽，以解决单根网线流量超限问题现场配置一般以Vlan划分方式解决，不使用此功能端口聚合需要环网管理协议。链路状态检测检测使能冗余协议端口是否正常通信静态组播地址表静态配置组播地址表，将组播报文按表发送IGMPsnooping互联网管理协议窥探，用于管理和控制组播组ACL配置控制列表，通过匹配交换机如方向的报文**息与表参数实现报文过滤ARP配置地址解析配置，实现IP地址与MAC地址的映射〔静态绑定〕；动态绑定受有效时间控制；静态绑定永不失效SNMP配置简单网络管理协议，用于检查设备信息、网络状态，修改设备参数DT-RING配置冗余保护协议，用于环形冗余网络配置RSTP配置生成树协议，用于网络构造维护，防止在环路网络产生播送风暴RSTP透传Qos配置效劳质量：报文优先级配置，阻塞状态下有效MAC老化时间*个mac地址在交换机mac地址表中无交互情况下的最大存在时间。LLDP信息链路发现协议：互联的网络设备交换设备信息〔主要是交换机或路由器〕NTP〔SNTP〕对时协议PTP高精度对时协议〔需要设计提需求〕站内启用1588对时时需要配置告警告警状态显示和配置温度告警IP\MAC冲突告警电源告警网口中断告警网口流量告警GMRP配置与查询组播注册管理：用于组播管理RMON远端网络监视：用于网络管理日志查询功能交换机启停、告警日志使能、查询或ftp上传单播地址配置与查询单播地址配置与查询：可实现mac地址与网口绑定设备管理交换机管理重启重新启动交换机登出退出交换机登录状态保存所有修改将修改内容固化到存储设备任何对交换机的修改都必须在重启前保存修改恢复默认配置复原系统默认设置配置严重错误的情况下，先恢复默认配置,再重新进展配置〔三〕登录方式常见交换机登录方式见表1-3：表1-3常见交换机登录方式登录方式使用条件考前须知登录〔WEB网页登录〕1、交换机设备IP地址2、交换机IP地址不重复〔或交换机mac地址〕telnet登录〔telnet客户端登录〕1、交换机设备IP地址2、交换机IP地址不重复〔或交换机mac地址〕调试串口登录〔CONSOLE口登录〕无条件限制各厂家CONSOLE的接线方式可能有所不同，需要专用调试线〔四〕配置前的准备工作交换机配置需要准备的软件工具，见表1-4：表1-4常见交换机登录方式软件工具用途备注以太网线和TELNET连接交换机的工具光猫和跳纤和TELNET连接交换机的工具纯光口交换机配置需要USB转串口CONSOLE口连接交换机的工具CONSOLE外接调试线CONSOLE口连接交换机的工具各厂家的外接调试线不通用。东土的一般为白色，一端RJ45接口，一端DB9接口〔9针串口〕。超级终端CONSOLE口配置交换机的工具可选用系统自带或第三方软件工具TELNET客户端工具TELNET配置交换机的工具可选用系统自带或第三方软件工具IE浏览器配置交换机的工具其他浏览器一般都做了一些功能优化和裁剪。FTP〔或TFTP〕效劳器端工具TELNET或备份复原配置ftp效劳器端工具推荐wftpd32；tftp效劳器端工具推荐tftpd32或思科ciscotftpserver。东土需要的是ftp效劳器端工具。Java最新版本配置交换机的辅助工具个别厂家需要，东土不需要二、网页登录配置东土交换机〔一〕IP地址获取配置前，需要首先获取交换机的IP地址和mac地址。初始IP地址和Mac地址可通过交换机上面板右侧底线处标签获取。如果调试过的设备，其初始IP地址可能已被修改，可通过公司rsm系统备份获取IP地址。在IP地址不可知的情况下，可通过CONSOLE口登录方式先查看设备IP地址，再切换登录方式修改交换机配置。图1-2东土交换机设备信息标签配置前，需要保证网络中不存在一样IP地址的网络设备〔包括交换机、防火墙、加密设备、隔离设备等〕。有一样IP时，一般的现象是，第一次登陆失败，且最终不能保证登录上的交换机不一定是目的交换机。如果存在一样IP地址的网络设备，可采取两种方法登录来保证所选登录设备为目的交换机：〔1〕断开网络〔拔掉所有网线〕的方式来。此方式适用于新站调试或新添加的交换机设备。〔2〕在调试设备〔笔记本〕上，以arp命令〔win7以上系统需要使用netsh命令〕将mac地址和ip地址绑定。arp绑定以后，对于*一IP的将自动关联到mac地址，因此只有mac地址和ip地址一致，才能建立连接。适用于不连续运行设备的调试。注意：arp绑定命令只能以系统管理员用户来操作。图1-3win系统中的arp命令图1-4win系统中的netsh命令图1-5*p系统中arp绑定的操作图1-6win7以上系统中arp绑定的操作〔二〕网络连接与配置1.网络配置笔记本网口通过网线直接与交换机任一光口，或经光电转换器与交换机任一光口上。此网口必须在系统默认VLan范围内，因此不建议修改系统默认Vlan。另外被连接网口不能为端口镜像的目的网口。笔记本IP设置为192.168.0.*。此IP地址不能与网络上其他IP地址重复，最好选用40以后的IP地址。一般出厂时东土交换机的IP都是，先PING一下交换机。可以ping通后再继续以下操作。2.网络连接翻开IE浏览器，输入交换机IP地址后回车。根据交换机型号不同，登录窗口不同。根据提示信息，输入用户名密码。新款交换机的登录界面见图1-7:用户名:admin密码:123老款交换机的登录界面见图1-8:用户名:admin密码:admin也有些交换机以弹出窗口形式见图1-9:用户名:admin密码:123图1-7新款东土交换机登录弹窗图1-8老款东土交换机登录弹窗图1-9弹窗形式登录弹窗3.语言选择东土新款交换机大局部菜单显示支持英语和中文两种语言模式，可在窗口中选择。当前为英语，切换提示为中文；当前为中文，切换提示为英语。老款只支持英文。图1-10东土交换机菜单语言选择4.设备信息检查在‘设备状态’的‘根底信息’或‘设备根本配置’的‘IP地址’中，检查当前所连接交换机的MAC地址是否与交换机上面板底脚设备标签上的MAC地址一致，如不一致，可能存在一样的目标IP地址，错连接到其他设备。〔图1-11与图1-12中所连接不是一台交换机，所以MAC地址不同〕。图1-11设备状态-根底信息图1-12设备根本配置-IP地址〔三〕配置交换机IP地址确认所连接设备的MAC地址与目标设备标签MAC地址一致后，再在设备根本配置’的‘IP地址’中，‘IP地址栏’中修改为交换机分配的IP地址、子网掩码，见图1-13。配置完成后，点击应用，使当前配置生效。此外还需要点击主菜单的‘保存所有修改’，将修改内容保存到存储卡中去，不然重启会丧失已修改生效的配置。IP地址分配遵从地方习惯，有些地区要求站控层交换机也分配IP地址。现场建议站控层IP也规划好，为以后运行过程中抓包创造有利条件。子网掩码可设置或。如果要求交换机和站内测控、保护、监控主机在一个IP网段内，最好配成。网关地址不用配置，无论站控层还是过程层网络均为孤立网络。图1-13配置交换机IP地址〔四〕配置交换机端口此步骤大多数情况下不需要进展，只有在交换机配有千兆网口的情况下才进展。操作步骤为将‘自动协商’改为不使能，同时将‘速度’改为1000M。千兆光口有几种，光波波长不同，现场使用时，需要确定千兆口光模块与其连接设备的千兆光口的光波波长一致。常见波长有1310nm和850nm。图1-14配置交换机千兆光口〔五〕配置交换机端口根底信息现场视情况进展。操作步骤修改‘工程名称’为当前厂站标识〔或交换机标识〕。在目前情况下，其他信息均不需要做修改。此处修改内容，均与通讯无关。系统时间影响交换机的log日志记录时间。图1-15配置交换机根底信息〔六〕配置交换机VLan1.VLan相关概念〔1〕VLan定义：是把一个区域网划分为多个逻辑VLAN，同一个逻辑VLan内的设备之间可以互相通信，不同VLan中的设备无法之间通信，大量的播送报文〔GOOSE和SV均属于此类报文〕被限制一个VLan内，大大提高了局域网的平安性。〔2〕划分VLan和不划分VLan的区别：没划分VLan的交换机，播送报文将由交换机从接收网口转发到交换机上其他所有的网口。划分VLan以后，在VLanID定义以内的报文〔有些报文未定义VLanID〕，将只能发送到属于同一VLanID的其他网口，而不发送到交换机其他不在同一VLanID范围的网口。VLan划分对播送报文在交换机内的转发有定向作用。即便是定向的报文〔如MMS报文、IEC104报文〕，也是从根本的播送寻址报文开场的，没有播送报文就无法建立初始连接，不会之后的数据交互。对于交换机VLanID定义以外的其他报文〔没有VLanID或VLanID不在交换机定义范围内〕，各型号交换机的处理逻辑少有不同，现场调试中需要特别注意。〔3〕VLan划分的方法分类：对于VLan配置，常见的有两种方法：终端设备发送数据包时，已配置VLanID，交换机只是根据已存在的VLanID分发数据包。许继常采用这种模式终端设备发送数据包时不管配不配置VLanID，交换机都将从*一网口接收的数据包指定VLanID，并修改数据包中的VLanID，然后根据修改后的VLanID分发数据包。〔4〕VLan划分中的常见术语：针对数据包本身的有两个：Tagged和Untagged。各型号网络设备〔包含交换机定义根本一样〕。Tagged：数据包本身带VLanID。Untagged：数据包本身不带VLanID，数据输入时交换机参加默认VLanID，一个Untagged端口只能参加一个VLan中。东土交换机对各类型端口的处理见图1-16图1-16东土交换机对数据包处理针对以太网网口的有三个：Trunk、Access和Hybrid。各型号网络设备都有类似的概念，东土交换机没有专门术语，但具备相应功能。Trunk：端口会聚端口〔由1个或多个物理端口组成一个虚端口〕，常应用交换机级联中。东土交换机中为端口聚合。聚合端口中，任何一个物理端口的VLan划分可以相当于针对于聚合端口，也即聚合端口中的所有物理端口。Access：具有唯一VLanID的端口，常用语交换机与不能识别VLanID的端口通讯。进入流出该端口的报文只能是没有VLanID的报文，流入时参加一个VLanID，流出时，删除VLanID。Hybrid：可以与Trunk端口和Access端口相连，是最常用的端口。2.默认VLanID1的影响：东土交换机有一个默认VLanID为1，将所有端口以untagged的模式接入。一般交换机配置过程中，不会对其做修改。交换机对Untagged端口的处理逻辑见图1-16。如果接收的报文没有分配VLanID，则将全部给指定VLanID1，这等于是没有划分VLan。这种情况多出现在新站调试未调试阶段或设备更换以后未更新配置过程中，造成的影响却很大。多台合并单元异常，很可能导致一些网口流量超过百兆。防止这一问题的方法是：将使用到的端口，从默认VLANID1中删除掉。但至少要保存一些端口，做交换机配置使用。3.VLan添加或修改：在‘设备高级配置’的‘VLAN配置’〔见图1-17和图1-18〕中，可以查看当前的VLan配置情况，可以对当前的VLan配置进展修改，也可以新添加VLan。点击VLAN列表中已有的VLanID或点击添加，切换到VLAN设置窗口〔见图1-19〕：VLan透传模式一般不启用，即选择不透传。透传模式对tagged报文传输有影响。不透传模式下，对端口接收的带VLanID的报文，只检查是否在本端口VLanID范围内。透传模式下：对端口接收的带VLanID的数据包，检查是否在本交换机VLanID范围内。例如：交换机配置VLANID10包含端口1、3；VLANID11包含端口2、4。如果使用透传模式，端口1收到VLANID11的报文，会转发给端口2、4；如果使用不透传模式，端口1收到VLANID11的报文，会直接抛弃掉，不流入交换机。图1-17东土交换机VLan初始列表图1-18东土交换机VLan列表图1-19东土交换机VLan设置窗口1在VLan端口中设置VLan名称和VLanID，选择此VLan的所有端口。VLan名称只是一个区分标识，对通讯没什么影响，建议全站一个VLanID对应一个固定的VLan名称。VLanID是数据包的一个标识，也是子网划分的依据。在东土交换机中，只能添加或删除，不能修改。VLan成员，有两种：Tagged、Untagged。‘--------’表示不是VLan成员。Tagged成员，与VLanID一致的数据包，可以接收到交换机中；数据发送时，交换机中与此VLanID一致的数据包，都可以发送到这个网口中去。许继应用必须设置为Tagged。Untagged成员，未配置VLanID的数据包〔即数据包中不含VLanID〕，可以接收到交换机中；数据发送时，交换机中与此VLanID一致的数据包，删除VLanID以后，发送到这个网口中去。PVLAN功能不启用不使能。配置完成，在‘修改VLan配置’页面下端，点击应用，使当前的VLan配置生效〔参见图1-20〕。此时，VLan配置未保存到存储卡，交换机重启后配置丧失。4.VLan删除：交换机VLanID配置错误，需要删除重新添加。在‘修改VLan配置’页面下端，点击删除，即删除当前的VLan配置〔参见图1-20〕。此时，VLan配置未保存到存储卡，交换机重启后配置丧失。图1-20东土交换机VLan设置窗口2〔七〕配置交换机镜像交换机镜像，是把*个端口接收或发送的数据帧完全一样的复制给另一个端口。被复制端口称为镜像源端口；复制端口称为镜像目的端口。选择‘设备高级配置’中的‘端口镜像配置’，出现图1-21所示窗口。图1-21东土交换机镜像配置首先，镜像端口功能启用，即在镜像端口的列表，任意选择一个端口。此端口为镜像的目的端口。也即调试设备〔笔记本〕或网络分析仪抓取报文的端口。其次，选择被镜像的端口。镜像端口〔目的端口〕不能被选择为被镜像端口。被镜像端口从组网的时候就要开场考虑。既要包含所有需求数据，也尽量不要包含重复数据〔有些交换机重复选择可能会导致重复输出一样数据〕。R*/T*表示，输入交换机报文、还是交换机送出报文。如提供应网络分析仪，则被镜像口应该包含所有的站控层主机〔包含监控、远动、综合应用效劳器〕与装置之间的通讯数据。最好的配置方法有图1-22和图1-23。图1-22交换机例如1图1-22的配置方法，尽量减少站控层主机之间的通讯数据〔例如，监控1和监控2之间、监控和图形网关机之间〕。图1-23交换机例如2图1-23的配置方法，包含交换机上的所有交互数据。〔八〕配置交换机告警目前地方有要求的告警主要是电源消失告警、网络中断告警，其他告警功能根据现场需求配置。选择‘设备高级配置’中的‘告警配置’：IP、MAC冲突告警功能：站控层交换机可以选择启用，但过程层交换机不能启用。电源告警功能：双电源供电的交换机有此选项，双电源缺一发告警。端口告警功能：GOOSE和SV口收数据中断的时候，发告警信号。图1-24告警功能配置〔九〕配置1588对时1588对时功能的支持，需要在订货阶段就考虑。一般的交换机不具备1588对时的功能。1588对时配置，包含三局部数据配置：功能启用、对时效劳器配置、对时协议配置。选择‘设备高级配置’中的‘PTP配置’：图1-25和图1-26仅供参考。端口为时钟来源端口。图1-25对时效劳起用和端口使能PTP参数不建议随便修改。图1-26PTP参数〔十〕交换机配置保存东土交换机中的‘应用’按钮，能使当前的配置在交换机不重启的情况下，立即生效。但不能保存数据到储存卡中，一旦重启，配置数据丧失。因此需要在配置完成后，保存配置到存储卡中去。选择‘保存所有修改’，即保存当前运行数据到存储卡中。〔十一〕交换机恢复默认配置严重配置错误时，删除所有用户配置数据，是一个比拟快捷的方法。选择菜单‘恢复默认配置’，即将复原区中的配置文件覆盖当前运行的配置文件。重启后，系统将进入出厂默认状态。〔十二〕交换机配置备份和复原〔1〕ftp效劳器启用：东土交换机备份复原配置，需要在调试设备上启用一个FTP效劳器端程序。由于防火墙有可能会组织FTP效劳，所以备份过程中尽量关闭所有的防火墙。〔FTP效劳器需要在备份、复原和升级过程中全程开启〕。FTP效劳器端程序wftpd32.e*e，此程序可从网上下载到。由于FTP效劳需要验证，所以器用wftpd32.e*e程序后，要先设置一个ftp的用户名、密码和本地路径。翻开FTP软件：Ftp&Tftp效劳器中的wftpd32.e*e软件，双击翻开，点击Security→Users/right。参见图1-27。图1-27FTP效劳器wftpd32.e*e设置用户名、密码：点击NewUser，填写UserName，例如t，点击OK，输入NewPassword，例如：t，输入VerifyPassword，仍是：t，点击OK。参见图1-28。设置ftp效劳器的本地路径：路径名为绝对路径。Restrictedtohome自动关联到根目录。如填C:\abc为C盘下的一个abc文件夹，因此需要手动在C盘下创立一个abc文件夹〔文件夹名称不能为汉字〕。图1-28FTP效劳器设置用户名密码图1-29FTP效劳器设置完成〔2〕配置备份和复原：配置备份的内容包含绝大局部交换机配置内容，但不包含交换机IP、MAC等交换机标识性数据。选择菜单‘设备根本配置’中的‘配置上传/下载’。配置〔文件〕上传，即将交换机的配置上传到调试设备ftp效劳目录中去，文件名由用户指定，最好为交换机工程名称或交换机能区分于其他交换机的主要标识〔应应包含电压等级、规约类型、间隔标识等〕；FTP效劳器IP地址为调试设备IP地址；用户名和密码为调试设备上FTP效劳器设置的密码〔上例中用户名t密码t〕。配置〔文件〕下载，即调试设备ftp效劳目录中已存在的文件，下载到交换机中去，文件名ftp效劳目录中已存在的文件名；FTP效劳器IP地址为调试设备IP地址；用户名和密码为调试设备上FTP效劳器设置的密码〔上例中用户名t密码t〕。配置下载以后，可能会有更新配置启动程序，进度稍慢，需要耐心等待。图1-30配置上传/下载图1-31配置上传例如〔十三〕交换机软件升级设置好ftp效劳器后，将东土技术人员提供的升级文件放在ftp效劳目录下〔即wftp软件中设置的目录〕。软件升级以后，可能会有更新程序，进展稍慢，需要耐心等待，升级成功有升级成功提示字样。软件升级的方法与配置下载方法一致。需要注意的是，两个软件ID〔1和2〕都需要下传，软件程序为互备关系，正常运行时只启动一个。图1-32软件升级三、CONSOLE调试串口登录配置东土交换机一般情况下，都通过〔WEB页面〕形式设置交换机，只有IP地址不可知的情况下，才通过CONSOLE口来查询交换机地址。交换机连接〔1