有线部分操作手册-基本管理

第1章交换机管 1管理方 1带外管 1带内管 5CLI界 10配置模式介 配置语 支持快捷 帮助功 对输入的检 支持不完全匹 第2章交换机基本配 1基本配 12.2管 22.2.1 2 4配置交换机的IP地 6 6SNMP配 7 7 8 9 交换机升 15交换机系统文 第3章文件系统操 1文件设备介 1文件系统操作任务配置序 1典型应 2排错帮 3第4章集群配 1集群介 1集群基本配 1集群举 4集群排错帮 5第1换机管Console进行管理，通常情况下，在无法进行带内管理时，用户会使1-1交换机Console管理配置PCWindows一端与PC机的RS-232串口相连；另一端与交换机的有完好的ConsoleWindowsWindowsXP自带超级1-21-31-41-51-6第三、进入交换机CLI是交换机第一次启动需要生成双向认证所需的X.509，这个时间大概在20-30分钟。此所谓带内管理（In-bandmanagement，包括通过net程序登录到交换机，或者通过HTTP协议交换机，或者通过snmp软件对交换机进行配置管理。交换机提供通过net管理交换 图1- 通 net管理交换在主机上执行“51”命令，显示是否通；若不通，则检查原因。VLAN1IP地址配置命令，在进行带内管理之前，必须通过带外管理即ConsoleIP地址，配置命令如下（以后如不特殊说明，所有的交换机配置时的提示符均采用SwitchSwitch(Config-if-Vlan1)#ipaddress51Switch(Config-if-Vlan1)#noshutdown 图1-8运行Windows自带 net用户，则任何用户都无法进入交换机的net配置界面。因此在允许net方式配置管理交换机时，必须在Console的全局配置模式下使用命令username<username>privilege<privilege>[password(0|7)<password>]为交换机设置net用户和口必须存在且为15。如交换机的用户名为test，口令为明文的test，设置方式如下：Switch(config)#usernametestprivilege15password0testSwitch(config)#authenticationlinevtyloginlocal 的CLI配置界面 net登录后与通过Console进入后使 图1- 通过HTTP管理交换机通过HTTP交换机配置IPv4/IPv6地址（设备在出厂时默认存在vlan1的IPv4/ /并且输入正确的登录口令，该主机就可通过HTTP交换机。步骤如下：第一：配置交换机的IP地址。1-10HTTP在使用IPv6地址交换机时，推荐使用浏览器Firefox，版本在1.5以上，比如交换WebWeb方式管理交换机时，Consoleusername<usernameprivilege<privilege>[password(0|7)<password>]为交换机设置Web用户和口令并使用命为15。如交换机的用户名为admin，口令为明文的admin，设置方式如下：Switch(config)#usernameadminprivilege15password0adminSwitch(config)#authenticationlinewebloginlocal1-12Web通过snmp软件管理交换安装snmp软件的主机必须能通交换机的IP地址，这样在运行Snmp软件时，Snmp软件就能找到交换机设备，并且对其进行可读写的操作CLI界交换机为用户提供了三种管理界面：CLI（CommandLineInterface命令行）界面、用户对CLI界面并不陌生，前面我们提到的Console管理方式、net登录到交换机都是通过CLI界面对交换机进行配置管理的。CLI界面由S程序提供，它是由一系列的配置命令组成的，根据这些命令在配置管理交换机时所起的作用不同，S将这些命令分类，不同类别令对应着不同的配置模式。下面将介绍交换机的S的特点： 图1- 交换机的 配置模一般用户模式用户进入CLI界面，首先进入的就是一般用户模式，提示符为“Switch>”，符号“>”为一般用户模式的提示符。当用户从用户模式使用命令exit退出时，可以回到一般用户模用户模式时，也可以回到用户模式。另换机提供“Ctrl+z”的快捷键，使得交换机在任何配置全局配置模式进入用户模式后，只需使用命令config，全局配置模式用命令exit退回到全局配置模式。创建VLAN、启动IGMPSnoo、STP等。用户在全局配置模式还可通过命令进入到接 配置交换机的退回全局配置模 退回全局配置模interfaceport-配置port-exit命令即可退回全局配置模vlan<vlan-id>VLAN配置模式。在VLANVLANexitVLAN配在全局配置模式下用ipdhcppool<name>命令进入到DHCP地址池配置模式属性。执行exit命令即可从DHCP地址池配置模式退回到全局配置模式。路由协议类型RIP路由协在全局配置模式下输入配置RIP协议参exit命令即可退回全局配置模OSPF路由在全局配置模式下输入exit命令即可退回全局配置模BGP在全局配置模式下输入配置BGPexit议routerbgp<AS退回全局配置模列表类型命名标准列表配在全局配置模式下输入ip配置标准列表exit退回全局配置模命名扩展列表配在全局配置模式下输入ipaccess-listextanded命令。配置扩展列表exit命令即可退回全局配置模模式下可以配置portal认证相关的参数。执行exit命令可以返回全局配置模式。该模式下进行配置。执行exit命令可以从无线配置模式返回到全局配置模式。cmdtxt<variable>{enum1|…|enumN}[option1|…|语法说明：cmdtxt表示命令关键字；<variable>表示参数为变量；{enum1|…|enumN}enum1~enumN中必须选一个参数；[option1||optionN]表示[<variable>]，{enum1<variable>|enum2}，[option1[option2]]等等。 < snmp-servercommunityro|rwstring>，出现以下几种输入情况：snmp-servercommunityro<string>支持快捷当输入的字符串可以无的表示命令或关键字时，可以使用“<cr，则此命令已输入完整，在该处键入回车成功返回信息通过键盘输入的所有命令都要经过S的语法检查。当用户正确输入相应模式下的错误返回信息 对用户配置命令“showrunning-config”，如果仅输入“shr”，系统会报“>Ambiguouscommand!”S无法区分“showr”是“showradius”命令还是“showrunning-config”命令，因此必须输入“shru”，S才会正确的解析。一般用户配置模式/用户配置模用户使用enable进入用户配置模式或修改当前用户权限级别，disable为退出用户模式命令。config配置模式使用本命令退回到用户配置模式，在用户配置模式使用本命令退回到一show当前处于非一般用户配置模式或用户配置模式时，使用该命令可以直接退回到用户 showset将当前运行时配置参数保存到FlashMemoryshowcpushowcpushowmemorynobanner配置使用net或通过consoleweb-authprivilege<1-15>noweb-authprivilege管net简net登录是一个简单的终端协议。用户用net就可在其所在地通告TCP连接（即登录）到的另一个主机上（使用IP地址或主机名。net能把用户的击键传到的主机，同时也能把主机的输出通过TCP连接返回到用户屏幕。这种服务net使用客户－服务器模式，在本地的系统为net客户端，主机为net服务器。交换机既可以作为net服务器也可以作为net客户端。当交换机作为net服务器时，用户可以通过Windows或其他操作系统自带的netnet服务器时最多可以同时与5个net客户端建立TCP连接。当作为net客户端时，在交换机的用户配置模式下使用net命令即可登录到其他远端主机。交换机作为net客户端时只能与一个主机建立TCP连接，如果想与另一个主机建立连接，则必须先断开与上一个主机的TCP连接。net任务序net-serverenablenonet-serverenable打开交换机的net服务器功能；本命令的no操作为关闭net服务器功能。username<username>[privilege<privilege>][password[0|7]<password>]nousername配置net登录到交换机的本地用户名和口令；本命令的no操作为删除本地net用户。本地netaaaauthorization noaaaauthorization VTY（即指netssh登no命令关闭命令授authenticationsecurityip<ip-addr>noauthenticationsecurityip<ip-addr>配置net登录到交换机的安全IP地址；本命令的no操作删除net安全地址authenticationsecurityipv6<ipv6-addr>noauthenticationsecurityipv6<ipv6-addr> net登录到交换机的安为删除net安全地址 IPACL规则；本命令的no操作为取消绑定ACL。 IPv6ACL规则；本命authenticationline{console|vty|web}loginmethod1[method2…]noauthenticationline{console|vty|noauthenticationauthorizationline{console|vty|web}execmethod1[method2…]noauthorizationline{console|vty|web}authorizationlinevtycommand<1-15> {local|radius|tacacs} 配置VTY（即指net和sshaccountingline{console|vty}<1-15>{start-stop|stop-only|none}method1noaccountingline{console|vty}terminalmonitor使登录到交换机的net客户端显示调试信息；本命令的no操作为关闭net客户端显show显示通过net和ssh登陆的用clearlinevty<0-制netssh登陆的用户下net[vrf<vrf-name>]{<ip-addr>|<ipv6-|host<hostname>}SSH简介H是ueS的TCP过H服器和H间钥换认密法商它们之间建立一条安全的传输信息的通道，保证双方交互的信息不能被任何第截取和破HH0HH0Herelenuy用20的H对SSH服务器支持客户端软件对主机的RSA公钥认证，支持协议规定3DES加密算法，以及SSH服务器对SSH用户的认证等。SSH服务器配置任务序列ssh-server nousername配置SSH客户端软件登录到交换机的用户名和口令；本命令的no操作为删除SSH用户。nossh-server作恢复缺省的SSH认证超时时间。 作恢复缺省的SSH认证重试次数。 modulus<modulus>terminalmonitor使登录到交换机的SSH客户端显示调试信noSSHshowcryptocryptokeyclearSSH服务器配置举例SSHSSH2.0户端软件就可以利用交换机配置的用户名和登录配置SSH服务的交换机了。Switch(config)#ssh-serverenableSwitch(Config-if-Vlan1)#ipaddress00换机上除配置本地的地址为IPv6地址外，其它配置不变。配置交换机的IP地交换机所有以太网接口都默认为二层（DataLinkLayer）端口，进行二层转发。VLANIP地址。VLANVLAN接口模式下配置。交换机为用户提供了三种配置IP地址的方式：BootPDHCPBootP/DHCPBootP/DHCPClientBootP/DHCPServer发出BootPRequest（申请获取地址的请求包）广播包，BootP/DHCPServer接收到请求后将地址分配给交换机。另换机还具有了DHCPServer的功能，能够动态的为DHCPClient配置交换机的IP地址任务序列nointerfacevlan<vlan-VLAN接口（VLAN接口属于三层接口noVLAN接口（三层接口 noipaddress<ip_address> no操作为删除IPv6地址。ipbootp-clientenablenoipbootp-clientenableBootPClientBootP协商方式获取IP地址及网关地址；本命令的no操作为关闭BootPClient功能。ipdhcp-clientenablenoipdhcp-clientenable商方式获IP地址及网关地址；本命令no操作为关闭DHCPClient功能。SNMP配SNMP介的协议：SNMPv1SNMPv2cv1的功能进行了部分（NetworkManagementStation是运行支持SNMP协议的软件客户端程序的工作站，在SNMP的网络管理中起作用。Agent，是运行在被管理网络设备上的服务器端软件，直接管理被管对象。NMS利用通信，通过Agent来管理各被管对象。（本款及后续系列交换机都具有Agent功能 NMSGet-Request、Get-Next-Request，Get-Bulk-RequestSet-Request消息来对Agent发出查询和设置管理变量的请求，AgentGet-Response消息AgentNMSTrapNMS发生了异常事件（当然，NMS还可以通过设置RMON功能，自行对一些情况设置警报，当设定的警报事件触发后，Agent将根TrapLogRMON，下面有具体介绍。Inform-Request主要用于NMS之间进行通信，一般应用于分层式的网络管理。中不被修改。USM的标准加密算法为DES-CBC算法，鉴别算法为HMAC-MD5和HMAC-SHA算法。同时USM提供了时间窗的检查，防止网络延迟和重播的干扰。VACM提供了优秀的用户鉴权服务，保证了的安全性。VACM将权限相同的MIB介NMS可以的信息是经过精确的定义的，被完备的组织在一个管理信息数据库Base网络设备上获得的管理信息。ISOASN.1为MIB定义了一个树型结构，每个MIB都用这种树型结构来组织所有的可用信息，树的每个节点都包含一个OID对象标识符(ObjectIdentifier)和一个关于该节点的简短文本描述。OID是有句点隔开的一组整数，它命名节点并且可以由它指示该节点在MIB树型结构中的位置，如下图所示：2-1ASN.1MIB一般包MIB和私MIB两部分，公MIB内定义的是公开NMS都可以的网络管理信息，私有MIB内定义的是各设备特有的属性信息，需要设备厂商MIB-I[RFC1156]是SNMP公有MIB库的第一个版本，后来经过扩充，被MIB-II很多，之称为组，这些组里的对象覆盖了网络管理的各个功能域，NMS通过访问SNMPAgent的MIB库，就可以得到相应的网络管理信息。本交换机可以做为SNMPAgent，支持SNMPv1/v2c和SNMPv3。本交换机支持基本MIB-II、RMONMIBBRIDGEMIBMIB，同时支持自定义的私RMON介RMONSNMP标准基本体系的最重要的扩充。RMONMIB定义，其作用RMON提供了一种有效并且高效的方法来监视子网范围内的行为。 提供一些警告动作（发送Trap或者记录Log。SNMP配SNMP配置任务序列配置snmp-serverenablenosnmp-serverenable命令的no操作为关闭SNMP服务器功snmp-servercommunity{ro|rw}{0| nosnmp-servercommunity<string> snmp-serversecurityip{<ipv4-|<ipv6-address> snmp-serversecurityipenable 为一个SNMP的组添加一个<group-string>[{authPriv|auth{md5|sha}<word>] {noauthnopriv|authnopriv|authpriv} <write-string>][notify<notify- 于v3。nosnmp-servergroup<group-{noauthnopriv|authnopriv|authpriv} <oid-string>{include| snmp-serverenabletraps设置允许设备发送Trap消息snmp-serverhost{<host-ipv4-|<host-ipv6-address>}{v1|v2c|{Noauthnopriv|Authnopriv| <host-ipv6-address>}{v1|v2c|{Noauthnopriv|Authnopriv|SNMPTrap消息的网络管理站IPv4IPv6地址，v1/v2cTrap团体字符串，v3中的用户名和安全级别。本命令no操作为删除指定的接收Trap消息的网络管理站IPv4IPv6地址。 设置本交换机发trap时所使用IPv4或IPv6地址；本命令no操作为删除配置的trapIPv4IPv6地址。 rmonenableSNMP典型配置举案例1：管理站的软件使用SNMP协议从交换机获取数据。Switch(config)#snmp-serverenableSwitch(config)#snmp-servercommunityrwprivateSwitch(config)#snmp-servercommunityropublicSwitch(config)#snmp-serversecurityip字符串的验证，那么此例假设管理站的Trap验证团体字符串为usertrap。Switch(config)#snmp-serverenableSwitch(config)#snmp-serverhostv1usertrapSwitch(config)#snmp-serverenabletrapsSwitch(config)#snmp-serverusertesterUserGroupauthPrivauthmd5otstSwitch(config)#snmp-servergroupUserGroupAuthPrivreadmaxwritemaxnotifymaxSwitch(config)#snmp-serverviewmax1includeSwitch(config)#snmp-serverhostv3authprivtesterSwitch(config)#snmp-serverenabletraps,Switch(config)#snmp-serverenableSwitch(config)#snmp-servercommunityrwprivateSwitch(config)#snmp-servercommunityropublic符串的验证，那么此例假设管理站的Trap验证团体字符串为usertrap。Switch(config)#snmp-serverhost2004:1:2:3::2v1usertrapSwitch(config)#snmp-serverenabletrapsSNMP排错 UP（showinterface命令机能互相通（使用）； 命令接着，保证为NMSIP（snmp-serversecurityip命令）和团体字符能正确和NMS通信；TrapTrap功能（snmp-serverenabletraps命令），为了Trap能发送到指定的主机，请记住正确配Trap的目标主机IP和团体字符串（使用snmp-serverhost命令；如果需要使用RMONRMON（rmonenableSNMPshowsnmpSNMP以使用debugsnmppacket命令打开SNMP的调试开关，查看调试信息。交换机升FLASHnos.img。个，其路径和文件名固定为flash:/boot.rom和flash:/config.rom。机升级：一、BootROM模式；二、S模式下的TFTP升级、FTP升级。下面两节详细BootROM模式在BootROM模式下升级交换机有一种升级方式：TFTP，可通过BootROM下令

2-2BootROM在PC上安装有TFTP的服务器软件，及需要升级的img文件。器的IP地址。如设置本机地址为，PC地址为6，配置如下：[Boot]:setconfigHostIPAddress: ServerIPAddress: 打开PC中TFTPFTPServer程序。在往交换机下传升级版本时，请先检查服务器与被升级交换机之间的连接状态，在交换机端使用命令，通后，在交换机的BootROM模式下执行load命令；若不通，则检查原因。[[Boot]:loadconfig.romUsingswitchTFTPfromserver6;ourIPaddressisFilename'config.rom'.Loadaddress:0x4000000Bytestransferred=337444(52624hex)[Boot]:writeconfig.romFileexists,overwrite?(Y/N)[N]Writingflash:/config.rom...[Boot]:loadboot.romUsingswitchTFTPfromserver6;ourIPaddressisFilename'boot.rom'.Loadaddress:0x82000000Bytestransferred=496240(79270hex)[Boot]:writeboot.romFileexists,overwrite?(Y/N)[N]Writeflash:/boot.romOK.UsingswitchTFTPfromserver6;ourIPaddressisFilename'nos.img'.Loadaddress:0x82000000Loading:###########Bytestransferred=51635(c9b3hex)[Boot]:writeFileexists,overwrite?(Y/N)[N] 用于显示FLASH7file(s),0Totalsize:27838464bytes,usedsize:23810048bytes,freesize:4028416bytesFTP/TFTP升FTP/TFTP简介FTP（FileTransferProtocol）/TFTP（TrivialFileTransferProtocol）都是文件传输协与客户机提供的地址和端建立数据连接，并传输数据；如果20号端口正在被使用，通TFTPUDP之上，提供不可靠的数据流传输服务，同时也不提供用户认证机制来保证数据的正确传输。TFTPFTP的优点是提供简单的、开销不大的文件传输服FTP/TFTPFTP/TFTP客户机时，FTP/TFTP服务器（可以是主机和其它交换FTP/TFTP服务器上（可以是主机和其它交换机）的功能；当交换机作为FTP/TFTP服务器时，同样它能为它的FTP/TFTP客户机提供上传和文件的服务，（FTP服务器还提供传输服务器上文件列表功能。系统映像文件：是指交换机硬件驱动和软件支持程序等的压缩文件，即我们通常说的IMG升级文件。交换机系统映像文件只允许保存在FLASH换机规定，在全局配置模式下通过FTP上载系统映像文件的文件名固定为nos.img，其它系统IMG文件的上载。其路径和文件名固定为flash:/boot.rom和flash:/config.rom。CFFLASHCF卡中。对于支持配置多启动配置文件的设备，启动配置文件名为扩展名为.cfg的文件，默认情况下为startup.cfg。对于不支持多配置文件的设备，启动配置文件名固定为startup-config。用命令write或命令copyrunning-configstartup-config，可将运行配置序列running-configFLASH中，即实现运行配置序列到启动配置文件的转变，形成配置保留。出厂配置文件：即factory-config文件，是交换机出厂时的配置文件，使用命令setdefault和命令write，重启后可将配置文件恢复成出厂配置文件。FTP/TFTP配置FTP/TFTP配置任务序列启动FTP配置FTP修改FTPServer关闭FTP启动TFTP配置TFTPServer关闭TFTP FTP客户机查看服务器上文件列表 FTPftp-serverServer服务，FTP用户登录。 password[0|7]<password>noipftpusernametftp-serverTFTPServerno FTP/TFTP配置举例图2- 作为FTP/TFTPclientnos.img文VLAN的IP地址为。从计算机上交换机的“nos.img”文件。 FTP配置：“12_30_nos.img”文件放到计算机上对应的FTPServer Switch(Config-if-Vlan1)#ipaddressSwitch(Config-if-Vlan1)#noshut TFTP配置： Switch(Config-if-Vlan1)#noshut2：FTP服务器来使用。交换机通过某个端口与计算机相连接，交换机作12_25_nos.img。Switch(Config-if-Vlan1)#ipaddressSwitch(Config-if-Vlan1)#noshut通过FTP客户端软件，登录到交换机，用户名为“Switch”，为“superuser”，通过“getnos.img12_25_nos.img”命令将交换机上的“nos.img”文件到计算机上。TFTP服务器，计算机作为TFTP客户端，将交换机上的“nos.img”文件传送到计算机上。Switch(Config-if-Vlan1)#ipaddressSwitch(Config-if-Vlan1)#noshut4FTPFTP服务器上文件列表。同步情况：交换机通过以太口和计算机相连，计算机为FTP服务器，IP，交换机作为FTP客户端，交换机VLAN1接口IP地址为。Switch(Config-if-Vlan1)#ipaddressSwitch(Config-if-Vlan1)#noshut220Serv-UFTP-Serverv2.5build6forWinSockready...331Usernameokay,needpassword.230Userloggedin,proceed.150OpeningASCIImodedonnectionfor/bin/ls.recvtotal=480FTP/TFTP排错帮助FTP排错帮助命令检验FTP客户机和服务器的是否可达。如不通，则需查看相应排错信息，copy命220Serv-UFTP-Serverv2.5build6forWinSockready...331Usernameokay,needpassword.230Userloggedin,proceed.200PORTCommandsuccessful.nos.imgfilelength=1526021sendfile150OpeningASCIImodedonnectionfornos.img.226Transfercomplete.closeftpcopy命220Serv-UFTP-Serverv2.5build6forWinSockready...331Usernameokay,needpassword.230Userloggedin,proceed.200PORTCommandsucc