基站server调测书H3CS5000系列千兆以太网交换机

H3C并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何格意粗斜[[]{x|y|...[x|y|...{x|y|...}[x|y|...]#格意<<>[[]/您可以通过H3C ）获取的产品资料 与产品资料相关的主要栏目介绍如下 产品介 产品简 业务特 准备工 系统管 升级软 故障5- 端口管 5 7端口流量6- 设备管 1设置 1 1 2 3 8 9 设置 设置 设置IGMPSnoo7-IGMPSnoo原 IGMPSnoo基本概 IGMPSnoo工作机 设置IGMPSnoo7- 设置 设置SNMP 安全专 1设置防MAC地址8-设置 2 2 3设置Radius 5设置 9 9 智能设 1 1 2 1 1 1组网 1 2 4 4组网 4 4 5 5 5组网 6 6附录-命令行设 1 1 1 3 4 8设置用户分级保护11- 8 设置802.1q IGMPSnoo设 开启/关闭全局IGMPSnoo11- 设置防11- 附录-故障排 附录-缺省配 附录-产品术 v您想了解什么？通过搭建Web环境来管理设备，同时想进一步熟悉其设置通过Web设置页面来实现端口的基本功能，比如：端口属通过Web设置页面来实现设备的高级业务功能，比如VLAN规划、管理MAC地址表、SNMP、信息中心防、AAA、802.1x等通过Web设置页面轻松配置设备，从而满足企业的基本组H3CS5000系列千兆以太网交换机（S5000交换机）H3C公司目前，S5000交换机包含如下型号：表2-1提供2410/100/1000Base-T自协商的以太网端口、2个千兆SFP口S5024P-EI23的端口，分别对应10/100/1000Base-T自适应以太端口24与之类似。810/100/1000Base-T自协商的以太网电口、16100Mbps/1000MbpsSFP光模块接口和一个Console口表2-2最多支持24个基于端口的4个优先级队支持WRR、HQ-WRR队列支持手工和静LACP汇支持WEB图表方式流MAC地址最多支8KMAC地支持Web设置页面管Console支持net管支持SNMP管支持管理PC控支持Syslog（系统日志设备IP地址分支持在管理VLAN接口上配置IP地支持在管理VLAN接口上通过DHCP方式获取IP地MAC支持系统CPU防功登录Web设置Web设置页面前，您需要确保管理计算机和网络满足一些基本计算机建立网络换机，具体配置请参见“5.9设置管理PC控制”或“11.14.6设置管理PC控制”）。接状态”窗口>按钮，进入“Internet协议（TCP/IP）属性”窗口。选择“使用下面的IP地址”单选按钮，输入IP地址（在～54IP地址）输入“33（此处是交换机的取消服务(1)在浏览器窗口中，选择[工具/Internet选项]进入“Internet选项”窗口(2)(2)选择“连接”页签，并单击<局域网（LAN）面。请确认未选中“为LAN使用 熟悉Web设置Web设置页面，您可以通过该设置页面快速地完成所需功能的配置。本章将带领您先了解和熟悉Web设置页面。成功登录后，进入Web设置页面，如图4-1所示图4-1Web表4-1打开Web设置页面的页面，提供当前页面操作时的帮助信（如图3-1所示） 设置管理PC换机当前运行的软件版本、MAC地址、管理VLAN等（静态设置或DHCP动态获取）、设置MAC地址老化时间表5-1MAC地DHCP获取地提出配置申请，服务器返回为客户端分配的IP地址等配置信息，以实现网络资源的动态配置。在DHCP的典型应用中，一般包含一台服务器和多台客户端（如PC和便携机）如果您想让交换机从网络上自动获取IP地址（若DHCPServer存在且网络正常连接），则可以开启DHCPClient功能开启DHCPClient功能后，您需要通过Console口下displayip命令来查看自动分配本地IP地设置交换机的静态IP地设置交换机静态IP地址的子网掩网关IP地设置交换机的网关IP地MAC地址老化时设置Web开启/关闭Web登录功管理net用户登表5-2当您关闭了Web登录功能后，用户登录Web设置页面时则不再需要输入如果您想通过net方式登录到交换机进行命令行管理，则必须选中“开启”选项，并设交换机支持三种net用户认证方式，如表5-3所示，您可以根据实际需求进行选表5-3net不认证，即net登录到交换机时不提示验证，直接进入命令行管理。最多允许创建2个net用户（分别对应VTY0用户界面和VTY1用户界面）。用户创建下拉框中选择“开启”，并设置net用户登录，确认后即可完成创建当您想修改已创建net用户的时，可在“VTY0用户界面”或“VTY1用户界面”通过交换机的AAA功能模块设置net用户认证方案进行认证，相关操作请参见“8.2设通过NTPNTP基于UDP报文进行传输，使用的UDP端为123NTP的目的是对网络内所有具有时钟的设备进行时钟同步，使网络内所有设备的时钟保持一NTP的本地系统，既可以接受来自NTP，可以很快将网络中设备的时钟同步，同时也能保证很高的精度。当交换机通过NTP成功获取到系统时间后，该时间会根据您选择的时区做相应的调整。IP地址，单击<确定>为缺省值（200011000秒）将交换机恢复为出厂缺省配地址重新登录交换机进行设置和管理；当您选择<恢复缺省配置>IP地址将交换机软件升级到版本，可使您的设备性能更稳按钮，选择的版本文件，页面向导：系统管理→故障设置管理PC服务类型分 net协议的工具设备。Http：是指可以通过Web管理页面设备。SNMP：是指可以通过SNMP管理站设备。显示所有管理PC的配置记删除单条管理PC的配置记批量删除管理PC的配置记新建管理PC配置（单击主页面面。输入起始IP地址、结束IP上待修改管理PC的配置记录，IP地址、结IP地址或者重新勾选服务类型，单击<确定>按钮生Web设置页面，可单击导航栏中的设置端口表6-1对于不带有802.1Q头的报文，交换机将使用端口的优先级作为该端口接收报文 缺省情况下为100%，表示不抑状态（通过端口特性，您可以将需要进行控制的端口加入到一个组中（“开启”表示加入到组；“关闭”表示退出组），实现组中的端口之间二层数据的，既缺省情况下，端口未加入到只有组内各个端口之间的报文不能互通，组内端口与组外端口的通信不或离开该组该聚合组中端口的属性不受影响当未端口加入到已的聚合组时，该端口为自动加入端口特性与以太网端口所属的VLAN无Jmo（太网帧长的长帧）。对于这样的长帧，系统会直接丢弃不再进行处理。开启允许缺省情况下，端口不支持接收Jumbo 图6-1端被镜像端数据监测设通过设置被镜像端口和端口实现交换机本地端口镜表6-2端口表6-3表6-4端口接收/接收的正常PauseRuntsCRC正确，且数据帧长度小于64字节的报文数CRC正确，且数据帧长度大于1518字节的报文数CRCCRC错误，且数据帧长度处于64～1518数据帧长度64～1518字节，且报文的FCS（帧校验序列）的字节数为非整数的报文碎片：长度小于64字节（长度可以为整数或非整数）且CRC校验长度错误帧：报文中802.3长度字段与报文实际长度（46～1500字节）不匹发送的正常PauseDeferred错误CollisionsLatecollisions错误端口进行控制，如图6-2图6-2查看交换机各端口入/出端口设置单个端口的入/出端口限批量地设置指定端口的入/批量地设置指定端口的入/出端口流量流量折线图中最多显示120个抽样点。相对于该上限值所占的，当超95%，柱状图边框会有红色单击页面上的<停止>按钮，流量监控暂停；单击<恢复>按钮，流量监通过速率折线图端口流单击柱状图中的端或在“端”折线图底部显示接收速率和发送速率链路聚合就成为了一条逻辑链路Linkaggregation1，这条逻辑链路的带宽等于原先三条以太网物理链路的带图6-3Selected速率之和，聚合端口的双工状态与Selected成员端口的双工状态一致。LACP基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚与解汇聚的协议。LACPLACPDU与对端交互LACPLACPDULACP系统M、端口优级、端和操作e。对接收到这些息后，这些信与其它口所保存的信息比较以选择能够汇聚的端口，从而双方可以对端口加入或退出某个动态汇聚组达成一致。链路聚合LACPSTPSTP开启/关闭、STP优先级、STP开销、是否开启环路保护手工聚合端口的LACP协议处于关闭LACP静态LACP聚合简LACP聚合端口的LACP协议为开启状态。静态LACP端口的速率、双工属性和链路状态一致的端口才允许成为Selected状态，其他端口均处于Standby状态。口在不同的聚合组内的将处于Standby状态。设置链路开启了802.1x功能的端查看当前的链路聚合状态及静态LACP两种模式供您选择（单击主页面上的<新建>按表6-5基于源IP地址和目的IP地址：表示汇聚组中各成员端口根据源IP地址和目的IP地址进行设置LACP设置端口LACP显示当前所有端口的LACP参设置单个端口的LACP参（单击主页面上端口对应的批量地设置指定端口的LACP参数（单击主页面上的<批量表6-6（LACP端口优先级缺省情况下，LACP端口优先级为设置全局LACP32768于您检查网络中电缆的工作入需要诊断的端，单击<表6-7设置设置设置设置IGMP设置设置VLANVLANHUB和交换机作为网络连接的基本设备，在转发功能方面有一定的局限性：HUB解决以上网络问题的根本方法就是广播域。传统的方法是使用路由器，因为路由器是依据目的为了解决以太网交换机在局域网中无法限制广播的问题，VLAN技术应运而生。VLAN的组成不受物理位置的限制，因此同一VLAN内的主机也无须放置在同一物理如图7-1LAN把一个物理上的LAN划分成多个逻辑上的LAVLANLANVLAN图7-1VLANVLAN的优与传统以太网相比 具有如下的优点VLAN内，节省了带宽，提高了网络处理增强了LAN的安全性由于报文在数据链路层被VLAN划分的广播域所因此各个VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也VLAN功能模式交换机支持以下两种VLAN功能模基于端口的VLAN模式：根据端口所属的用户组来对报文进行处理，即属于同一个用户组的用户1和其他三个用户能互通但其他三个用户之间均。此时，您就可以通过此模式来划分不同的用户组进行实现，即将用户1分别和其他三个用户划分到不同的用户组。选择VLAN功能VLAN功能模式改变之后，之前所做的VLAN配置选择交换机的VLAN（缺省情况下，VLAN功能模式为802.1QVLAN）设置802.1QVLAN模式下的VLAN为使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层（三层交换机不在本章节讨论范围内），只能对报文的数据链路层封装进行IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE802.1Q协议标准VLAN传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。 7-2所示图7-2DAMAC地址，SAMAC地址，Type表示报文上层协议的类型字段，Data识VLAN的相关信息。图7-3VLANTag 规定的0x8100。Priority：用来表示802.1p的优先级。该字段长度为3bit04095通常不使用，所以VLANID的取值范围一般为1～4094。Access端口；Hybrid端口Trunk端口的不同之Hybrid端口允许多个VLAN的报文发送时不带TagTrunk端口HybridVLAN，需要配置缺省VLAN三种类型的端口可以共存在一台交换机上，但Trunk端口和Hybrid端口之间不能直接切换，只能先Access端口，再设置为其他类型端口。例如TrunkHybrid端口时，需要先Trunk端口设置为Access端口，再设置为Hybrid端口。表7-1Tag当接收到的报文带有TagVLANID所对应的VLANTag当报VLANID与端口缺VLANID相同时，接收当报VLANID与端口缺VLANID不同时，丢弃删除报文的Tag后再转Tag当接收到的报文带有Tag当报VLANIDVLANID相同时：去掉Tag，发送该报文对比端口缺省VLANID是否在允许通过的VLANID中：是，给VLANID所对应的VLANID在允许通VLANID中时，则接VLANID不在允许VLANID中时，则VLANIDVLANID不同，且是该端口允许通过的当报文中携带的VLANID是该端口允许通过的VLANID时，发送该报文，并可以通过“4设置Hybrid端口”配置端口创建/显示/页面向导：设备管理→VLAN设置→802.1Q显示和查询交换机的VLAN信息及其所包含的端口（页面。VLAN1缺省包含所有的新建VLAN（<新建>按钮，进入相应的页面。在“VLANID”文本框中Access端口（单击主页的页面。在“VLANID”文本加入VLAN的端口，单击<（单击主页面上VLAN对应的指定需要加入该VLAN中端显示交换机当前的Trunk端口新建Trunk端口（单击主页面页面。指定Trunk端口，并设置PVID和端口允许通过修改Trunk端口（单击主页面PVID和端口允许通过VLAN，单击<确定>按端口缺省VLANID及允许通过的VLAN都须为已存在的VLAN，VLAN的创建请参见“2.创建/显示/显示交换机当前的Hybrid端新建Hybrid端口（单击主页面Hybrid端口，并设置PVID和端口允许通过PVID和端口允许通过VLAN，单击<确定>按在“TaggedVLANVLANIDVLAN的报文通过，且出端口时报文VLANTag；在“UntaggedVLANVLANIDVLAN的报文通过，且出端口文不带VLANTag。端口缺省的VLANID及允许通过的VLAN都须为已存在的VLAN，VLAN的创建请参见“2.创建/显示/VLAN”。设置基于端口VLAN模式下的页面向导：设备管理→VLAN设置→基于端口显示和查询交换机当前的用<新建>按钮，进入相应的页面。设置用户组ID，即VLAN修改用户组（单击主页面上VLAN对应的表项，进入相应设置MAC地址应用服务（比如：认证、、上网等）。如图10-3所示。地址，VLAN则更换为了对应的上行VLANC），从而避免了下发流量被广播，保证了业务的稳定。页面向导：设备管理→VLAN设置→MAC地址同步MAC地址同步（VLAN”和“目的VLAN本框中分别输入需要做同步MAC地址表及设置MAC以某个用户接收报文），且不支持绑定操作。当您开启了指定端口的MAC地址过滤功能后，交换机会根据该端口下处于“绑定”状态的表项对报文进行过滤（即系统会丢弃和绑定表项不匹配的报文），从而可以有效地控制网络。全局管理MAC页面向导：设备管理→MAC设置→MAC显示显示和查询（通过MAC地址和MAC地址表项信息（主页面）将指定的MAC地址表项进行绑添加新的MAC地址表项（单击出的框中设置MAC地址表（单击主页面中的相应MAC地在端口下管理MAC地址表页面向导：设备管理→MAC设置→端口MAC显示显示指定端口下MAC地址表将端口下未绑定MAC地址表项进行绑定（选择相应的端口号，并选中该端口下未绑定的MAC地址表项，单击<绑定>按修改端口下的静态或黑洞MAC地址表项（单击端口下相应的MAC地址表项，即可对该表项设置MAC地址MAC地址过滤功能MAC地址过滤表项，选中“MAC过滤使能”添加指定端口的静态MAC地址QoS功能，在网络拥塞发生时，系统会根据您设置的报文优先级信任模式和队交换机支持两种报文优先级信任：802.1p优先级（COS）和DSCP。交换机会根据您选择的信任802.1p优先如图7-4所示，4个字节的802.1Q 头包含了2个字节的TPID和2个字节的TCI，图7-5显示了图7-5802.1Q范围为0～7。表7-2802.1p802.1p优先级（十进制802.1p优先级（二进制01234567表7-3802.1p802.1p1、10、24、36、4DSCP优先图7-6DSToSbit（0～5bit）表示，取值范围为0～63，后2个bit（6、7bit）是保留位。表7-4DSCPDSCP优先级（十进制DSCP优先级（二进制8DSCP优先级（十进制DSCP优先级（二进制0表7-5DSCPDSCP优先1234队列调度HQ-WRR队列调度算法：建立在WRR4个队列占用的带宽超过了端口的转发能力，3WRR调度。下面仅以WRR队列调度为例进行描述。图7-7WRRWRR队列调度算法在队列之间进行轮流调度，保证每个队列都得到一定的服以端口有4个输出队列为例，WRR可为每个队列配置一个值（queue4～queue1对应值依次为w4、w3、w2、w1）。对于一个100M的端口，如果配置它的WRR队列调度算法的值为8、4、2、1（依次对应w4、w3、w2、w1），这样可以保证最低优先级队列至少获得设置报文优先级信任及队列调度设置交换机报文优先级信任表7-6COS：根据802.1pDSCP：根据DSCP缺省情况下，交换机根据802.1p优先级将报文放入对应优先缺省情况下，交换机采用WRR调度算那么1、2、3、4的数据报文在某个端口发生拥塞时，该端口会按照1：2：4：8的流量比例来发送报文；如果调度模式选择HQ-WRR，交换机会首先保4的报文优先发送出去，然后对其余3个队列实行WRR调度设置TP据E的8021D标准建立的，用于在局网中消数据链层终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。STP采用的协议报文是BPDU，也称为BPDUSTP协议中分为两类：配 BPDU：用于进行生成树计算和生成树拓扑的报文STP协议用于选择链路的参考值。STP协议通过计算路径开销，选择较为“强壮”的Forwarding：该状态下的端口可收 BPDU，也转发用户流量量）构建MAC地址表。Blocking：仅接收并处理BPDU指定桥ID：由指定桥的优先级和MAC地址组成ID，指定端口为本端口。最优配置消息的选择过程如表7-7所示表7-712ID相同，则比较根路径开销，比较方法为：用配置消息中的根路径开销加上本端口对应的路径开销，假设两者之和为S，则S较小的配置消息优先级较高；端口ID、接收该配置消息的端口ID等。配置消息，设备之间比较根桥ID，网络中根桥ID最小的设备被选为根桥。根端口、指定端口的选择过程如表7-8表7-812根桥ID指定桥ID指定端口ID3B的优先级为1，DeviceC的优先级为2，各个链路的路径开销分别为5、10、4。图7-8STPDevice优先级为AP APBP

BP CPCPDevice 优先级为 Device优先级为各台设备的初始状态如表7-9表7-9DeviceDeviceDevice各台设备的比较过程及结果如表7-10所示表7-10DeviceDeviceABP1DeviceA的配置消息{0，0，0，AP1}，DeviceB发现BP1的配置消息DeviceDeviceB对各个端口的配置消息进行比较，选出端口BP1的配置消息为最优配置消息，然后将端口BP1定为根端口，它的配置消息不作改变。DeviceBBP1的配置消息和根端口的路径开销5BP2端口DeviceB使用计算出来的配置消息{0，5，1，BP2}和端口BP2上的配置消 CP1的配置消DeviceC发现接收到的配置消息优于本端口的配置消息于是更新端口CP2的配置消端口CP1的配置消息被选为最优的配置消息，端口CP1就被定为根端口，将计算出来的指定端口配置消息{0，10，2，CP2}CP2的配置消息进行比较后，端CP2转为指定端口，它的配置消息被计算出来的配置消DeviceCP2会收DeviceB更新后的配置消息{0，5，1，BP2}，由于收到的配置消息比原配置消息优，则DeviceC触发更新过程 端口CP2的根路径开销9（配置消息的根路径开销5+CP2对应的路径4）CP110（配置消息的根路径开0+端口CP1对应的路径开销10），所以端口CP2的配置消息被选为最优的配置消息，端口CP2就被定为根端口，它的配置消息就不作改变 被阻塞，端口配置消息不变，同时不接收DeviceA转发的数据，直到新图7-9 o为超时而被丢弃，设备重新生成以自己为根的配置消息并向外发送BPDU，从而生成树 oTime和MaxAge链路故障会网络重新进行生成树的计算，生成树的结构将发生相应的变化。不过重新计算得到2ForwardDelayForwarding状态，这个延时 MaxAge是用来判断配置消息在交换机内保存时间是否“过时”的参数，交换机会将过时的RSTPForwarding状态：既转发用户流量又接收/发送BPDU报文Learning状态：不转发用户流量，只接收/发送BPDU报文Discarding状态：不转发用户流量，只接收BPDU报文设置STP全局STP的全局参表7-11选择BPDU报文处理方缺省情况下，BPDU报文处理方式为广端口速率、路径开销标准及路径开销值对应表如表7-12o oTime单选框，并在文本框中设置该定时器值 oTime为2sMax选中MaxAge单选框，并在文本框中设置该定时器值缺省情况下，最大老化时间为20sForward选中ForwardDelay单选框，并在文本框中设置该定时器值缺省情况下，迁移延时为15s表7-120-10AggregatedLink2AggregatedLink3AggregatedLink4AggregatedLink2AggregatedLink3AggregatedLink44AggregatedLink2AggregatedLink333AggregatedLink43设置端口STP显示当前交换机所有端口的STP状态及相STPSTP状态及相表7-13全局设置”页面中的默认路径开销相关，相关描述请参见“7.4.3设置STP全IGMPSnoo原reportmessage）时，交换机就将该主机加入到相应的组播MAC地址表中；当到主机发出的IGMP离开报文（IGMPleavemessage）时，交换机将在相应的组播表中删除该主机端口。通过不断地IGMP报文，交换机就可以在二层建立和组播MAC地址表。之后，交换机就可以根据该组播MAC地址表转发来自路由器的组播报文。如图7-10所示，当二层交换机没有运行IGMPSnoo时，组播数据在二层被广播；当二层交换机运行了IGMPSnoo后，已知组播组的组播数据不会在二层被广播，而在二层被组播给指定的MulticastpackettransmissionwithoutIGMPSnoo

MulticastpackettransmissionwhenIGMPSnooMulticastMulticastLayer2HostHostMulticastLayer2HostHostHost HostMulticastIGMPSnoo基本概IGMPSnoo相关端图7-11IGMPSnoo相关端如SwitchA的GigabitEthernet0/2和GigabitEthernet0/3端口，以及SwitchB的GigabitEthernet0/2端口。交换机将本设备上的所有成员端口都记录在组播转中。IGMPSnoo端口老化定时表7-14IGMPSnoo端口老化定时 o报IGMPSnoo工作机如果主机要加入某个组播组，它会主组播路由器发送IGMP成员关系报告报文以加端口的老化定时器超时后，交换机就会将该端口对应的转项从转中删除。运行IGMPv2的主机离开组播组时，会通过发送IGMP离开组报文，以通知组播路由器自己离开了当从一个成员端口上收到IGMP离开组报文时，交换机会将该报文通过VLAN内的所有路由器端口当IGMP查询器收到IGMP离开组报文后，从中解析出主机要离开的组播组的地址，并通过接收端口向该组播组IGMP特定组查询机在IGMP特定组查询报将其VLAN内IGMP成员关系报告报文，则表示该端口下IGMP成员关系报告报文，则表示该端口转项删除。IGMP页面向导：设备管理→IGSP设置→IGMPSnoo设置交设置交换机IGMP表7-15缺省情况下，路由端口老化时间为105您可以根据网络的实际情况来修改发送IGMP组查询报文的时间间隔在收到IGMP查询报文（包括普遍组查询和特定组查询）后，主机会为其所加入的从所收到的IGMP查询报文的最大响应时间字段获得）中随机选定，当定时器的值减为0时，主机就会向该定时器对应的组播组发送IGMP成员关系报告报文合理配置IGMP查询的最大响应时间，既可以使主机对IGMP查询报出快速响IGMP普遍组查询报文来说，通过IGMP普遍组查询的最大响应时间IGMP特定组查询报文来说，所配置的发IGMP特定组查询报文的时间时间从数值上与发送IGMP特定组查询报文的时间间隔相同缺省情况下，主机端口老化时间为260VLAN内广播，这样会占用大量的网络带宽，影响转发效率。您可以通过开启交换页面向导：设备管理→IGSP设置→Fast显示交换机所有端口的快速设置单个端口的快速删除功批量设置端口的快速删除功设置SNMPSNMPNMSAgent两部NMS可以AgentGetRequest、GetNextRequestSetRequest报文，Agent接收NMS的这些请求报文后，根据报文类型对MIBReadWriteResponse报文，并将报文返回给NMS。Agent在设备发生异常情况或状态改变时（比如：设备重新启动），也会主NMS发送Trap报文，向NMS汇报所发生的事件。SNMPv1、SNMPv2c采用团体名（CommunityName）SNMP报文将被丢弃。SNMP团体名SNMPNMSSNMPAgent的关系。团体名起到了类似于密码的作用，可以限制SNMPNMS交换机上的SNMPAgent。用层次结构命名方案来识别管理对象。整个层次结构就像一棵树，树的节点表示管理对象，如图图7-12MIB1111211B265A设置SNMP交换机，具体配置请参见“5.9设置管理PC控制”）。表7-16SNMP状设备的物理位置信息为“HangzhouChina”SNMP版缺省情况下，交换机同时开启SNMPv1版本和SNMPv2c版本或模式：团体MIB对象的读写（read-write）或者只读（read-only）权限。具有只读页面向导：设备管理→SNMP设置→SNMPTrap设置设置交换机允许发送的Trap报文和LinkupLinkdownTrap端口的状态（主页面）Trap目标主机（在主页表7-17WarmstartTrapSNMP模块重新启动时，发送热启动Trap信LinkupTrapdown状态变为upup的Trap信AuthenticationTrap：SNMP模块认证失败时，发送认证失败的Trap信未使能端口：端口发送Linkup、LinkdownTrap信目标主机IP地设置接收Trap消息的目标主机IP地端设置接收TrapUDP缺省情况下，接收Trap消息的UDP端为表7-1801234567表7-19012356表7-20仅不高于指定级别的日志信息才可发送到日志主机，日志等级的具体描述请参见 日志主机IP地设置日志主机的IP地查看日志通过单击<>按钮将所有的通过单击<清除>按钮删除所有查看告警通过单击<>按钮将所有的通过单击<清除>按钮删除所有设置设置防MAC地址防MAC地址功能主要防止设备不断地学习局域网中大量无效的报文源MAC地址，使设备 地址转过于庞大，导致其转发性能急剧下降页面向导：安全专区→防→防MAC地址显示当前所有端口可学习的MAC地址数（主页面设置单个端口可学习的MAC地批量设置指定端口可学习的设置AAAAAA是Authentication、Authorization、Accounting（认证、、计费）的简称，是的用户来讲是服务器端，对于服务器来说是客户端。AAA的基本组网结构如图8-1所示。当用户想要通过某网络与NAS建立连接，从而获得其它网络的权利或取得某些网络资源的权利时，NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、、计费信息透传给服务器（如RADIUS服务器），RADIUS协议规定了NAS与服务器之间如何传递用户信息。图8-1的AAA基本组网结构中有两台服务器，用户可以根据实际组网需求来决定认证、、计费2实现计费。当然，用户可以只使用AAA提供的一种或两种安全服务。例如，公司仅仅想让员工在某些特对目前，交换机的计费功能只适用于802.1x用户设置net用户Console用户（即Terminal用户）Web用户的表8-1net用户认证方案/Web用户认证方案本地认证：交换机时，需要本地认证成功后方可进行管理，且您需要通过radius认证：交换机时，需要认证成功后方可进行管理。该认证方radius认证+本地认证：实现两种认证方案互为备份，即Radius认证为RadiusServer未响应时，则系统会自动切换到本当采用radius认证方案或radius认证+本地认证方案时，您需要架设RadiusServer来进行用户名和的，同时需要在交换机上设置对应的修改的本地用户表项， 常应用在既要求较高安全性、又允许用户的各种网络环境中。该协议定义了基于UDP的Radius帧格式及其消息传输机制，并规定UDP端口、分别作为认证、计费端口。交换机支持RadiusClient功能，负责传输用户信息到指定的RadiusServer，然后根据从RadiusServer返回的信息进行相应处理（比如：接受/用户接入）。责接收用户连接请求并认证用户，然后给RadiusClient返回所有需要的信息（比如：接受/RadiusClientRadiusServer之间认证消息的交互是通过共享密钥的参与来完成的，并且共享密当您配合iMC实现用户包月认证时，需要开启802.1x重认证功能，便于定时检测用户的有效状况。之间一种简要的交互流程如图8-2所示。图8-2Radius的基本消息交互流程（认证+计费当您想通过Radius方案来认证net用户和Console用户时，Radius的基本消息交互流程中RadiusServer认证通过后，RadiusClientHost返回认证成功信息，从而Host可以正常地登录设备进行配置和管理。RadiusClientRadiusServer发送认证请求包RadiusClient根据接收到的认证结果接入/用户。如果可以接入用户，则RadiusRadiusClient按实时计费间隔循环的向RadiusServer发送实时计费请求包RadiusClientRadiusServer发送计费结束请求包（Accounting-Request），Status-Type取值为stop。设置交换机作为RadiusClientRadiusServer进行交互时的当您配置主或从计费服务器后，802.1X用户必需要进行计费，如果计费失败用户不能资源表8-2Radius显示系统缺省的Radius方案如果在Radius请求报文（认证/请求或计费请求）传送出去一段时间后，交换机能够得到Radius服务，这段时间被称为RadiusServer响应超时时长和Console用户进行认证时，建议保留服务器响应超时为缺省值设置Radius请求报文最大重传次和Console用户进行认证时，建议保留Radius请求报文最大重传次数为缺省值Accouting-On报文，告知Radius服务器该设备已经重启，要求Radius服务器强制该本功能仅适用于Radiu认证/计费服务器为CAMS缺省情况下，实时计费间隔为12设置认证/计费服务器的IP地端设置认证/计费服务器的UDP端缺省情况下，Radius认证服务器的UDP端为1812，Radius计费服务器的802.1x802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。“基于802.1x的体系System（客户端）、AuthenticatorSystem（设备端）以及AuthenticationServerSystem（认证服SupplicantSupplicantAuthenticatorServerSystemcarriedinhigherlayerSupplicant网络资源，当第一个用户下线后，其他用户也会被使用网络。802.1x的工作服务器之间传送PAP协议报文或CHAP协议报文。802.1x的认证交换机支持EAP-MD5认证：验证客户端的，Radius服务器发送MD5加密字图8-5802.1x的认证过程（EAP-EAPOL-EAP-Request/RADIUSAccess-EAP-Response/ (EAP-Response/EAP-Request/MD5RADIUSAccess-Challenge(EAP-Request/MD5challenge)EAP-Response/MD5RADIUSAccess-Request(EAP-Response/MD5challenge)EAP-端口握手定时握手请求报[EAP-Request/Identity握手应答报[EAP-Response/IdentityEAPOL-端口请求（EAPOL-Start报文）。此时，客户端程序将发出请求认证的报文给交换机，开始启动给Radius服务器进行处理。Radius服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找过RadiusAccess-Challenge报文传送给交换机，由交换机传给客户端程序。客户端程序收到由交换机传来的加密字（EAP-Request/MD5Challenge报文）后，用该加密字对口令部分进行加理（此种加密算法通常是不可逆的，生成EAP-Response/MD5Challenge报文），并通过交换机传给Radius服务器。Radius服务器将加密后的口令信息（RadiusAccess-Request报文）和自己经过加密运算后Access-Accept报文和EAP-Success报文）。802.1x的定有序的交互。802.1x的定时器主要有以下几种：户可以再重新发起认证，在静默期间，交换机不进行该用户的802.1x认证相关处理。重认证超时定时器：每隔该定时器设置的时长，交换机会定期发起802.1x重认将向Radius服务器重发认证请求报文。传送超时定时器：在客户端主动发起认证的情况下，当交换机向客户端发送单播Request/Identity请求报文后，交换机启动该定时器，若在该定时器设置的时长内，交换机没有收到客户端的响应，则交换机将重发认证请求报文；为了对不支持主动发起认证的802.1x在实际应用中，如果用户在没有安装802.1x客户端的情况下，需要某些资源；或者在用户未认证的情况下升级802.1x客户端，这些情况可以通过开启GuestVLAN功能来解决。802.1x功能的端口发送触发认证报文（EAP-Request/Identity），如果达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加入到GuestVLAN802.1x重认证 设置802.1x端口参对于已经加入到某个汇聚组中的端口，则不允许在该端口上启 802.1x当 用户时，如果更改了端口接入方式，则用户会被强制下线x端口参数的设置以S5024F-SI为例进行介绍。用户握手功能和组播触发功能 不支持用户进行开启或关闭的设置，默认处于开显示所有端口的802.1x功能及设置单个端口的802.1x功能及批量设置指定端口的802.1x功表8-3端口802.1x（802.1x使能802.1x功能状开启：开启端口的802.1x关闭：关闭端口的802.1x缺省情况下，端口的802.1x功能处于关闭状“8.3.3设置802.1x全局参数”Auto：端口初始状态为非状态，仅允许EAPoL报文收发，不允许用户网为基于端认证：指802.1x认证系统基于端口对接入用户进行认证，即只要该物理端于端口GuestVLAN功关闭：关闭端口的GuestVLAN功开启：开启端口的GuestVLAN功仅当端口接入方式处于基于端口认证方式下，才支持GuestVLAN功必须同时开启全局和端口的GuestVLAN功能，该功能才能生效，相关操作请参见“8.3.3设置802.1x全局参数”设置802.1x全局参设置全局802.1x功能及相关表8-4802.1x功能开启：启用全局的802.1x关闭：关闭全局的802.1x缺省情况下，全局的802.1x功能处于关闭状 设置802.1xGuest仅当端口接入方式处于基于端口认证方式下，才支持GuestVLAN功 设置802.1xGuestVLAN端口自设置：保持当前设置状态，您可以通过“8.3.2802.1x端口参数”针对端口进 为端口自设置：保持当前设置状态，您可以通过“8.3.2802.1x端口参数”针对端口进基于MAC地址认证802.1x认证系统MAC地址对接入用户进行认证，即该物理于端口自设置：保持当前设置状态，您可以通过“8.3.2802.1x端口参数”针对端口进设置802.1x的各定时器参数，建议用户说明：802.1x的各定时器的相关描述请参见“8.3.14802.1x表9-1口优先级0～7等级中7、5、3、1。比如：当您选择为“重要”时，则文件服务器的端口优先级将被设置为5为对智能端口的相关配置进行检VLANVLAN典型组网配置举HostAHostCA，但是通过不同的设备接入公司网络；HostBHostD属于部B，也通过不同的设备接入公司网络。为了通信的安全性，也为了避免广播报文泛滥，公司网络中使用VLAN技术来部门间的二层流量。其中部门AVLAN100BVLAN200。HostC能够互通，HostBHostD图10-1VLANHostCHostCHostD HostAHostB运行Web浏览器，在地址栏中输入 （ 地址），按回 (2)(2)在登录框中输入缺省的管理员用户名admin，：admin及，单击<登录>按钮后便可进入Web设置页面802.1QVLAN”。单击<新建VLANID100，包含端口1。单击<确定>按钮生效根据同样操作方法创建VLAN单击“设备管理→VLAN设置→Trunk3，允许通过的VLAN为100、200，单击<(5)单(5)单击“保存配置→保存配置”，DeviceB上的配置与DeviceA上的配置完全一样，不再赘述。C与HostB、HostD之间二层。NMS通过SNMPv2c对SNMPAgent（交换机）进行管理，当SNMPAgent在故障或者出错的时候能够主NMS报告情况。SNMP设置”。开启SNMPAgentSNMP基本信和人员的联系信息，以方便单击<新建>按钮，设置允许Trap报文，使用的团体名为在使用SNMPv2c版本NMS上需要设置“只读团体名”和“读写团体名”。另外，还需要设置“超时”时间和“重试次数”。您可利用系统完成对交换机的查询和配置操作，参考NMS的配套手册。 S1626Isolate-user-vlan功能VLANH3CVLANH3CVLANVLAN202VLANVLAN 802.1QVLAN”，进入VLAN所对应的VLAN（此处为：VLAN201、VLAN202、VLAN301、VLAN302）及VLAN1000单击“设备管理→VLAN设置→Hybrid端口Hybrid端单击<新建>按钮，将端1设置为Hybrid端口，PVID1000，且出端口文不带VLANTag 单击<新建>按钮，将端口2-端口4设置Trunk端口，且允许所有的VLAN通过2为端口，设置端1为被镜像端口（其入端单击“设备管理→VLAN设置→（VLAN201、202、301、S1626上的S1626_A：设置VLAN1000为IsolateUserVLAN，包含与交换机相连的上行端口和两个VLANVLANVLAN的报文通过IsolateUserVLAN的上行端口时带VLANTag；S1626_B：设置VLAN1000为IsolateUserVLAN，包含与交换机相连的上行端口和两个VLANVLANVLAN的报文通过IsolateUserVLAN的上行端口时带VLANTag。附录-命令行Web界面相同，则该特性的功能介绍将不再赘述。您可通过本手册中的Web界面设置获取相关的信息。将管理计算机的串口通过配置电缆与交换机的Console为None（不需要用户名和）缺省情况下，用户不能直接通过net方式登录设备。如需采用net方式开启设备的net功（缺省情况下，设备没有IP地址VTY用户的认证方式（缺省情况下，VTYPassword认证 缺省配置下通过Console。。Windows界面上选择[开始/(所立新的连接（WindowsXP(2)在“连接时使用”下拉列表框中(2)在“连接时使用”下拉列表框中(3)在串口的属性 关参数（参数值如右图所示）通过Console口缺省配置登录设备不需要进行用户名和认证，这种情况可能会带来安全隐患，的安全性。配置Console口登录认证方式的详细操作请参见“11.4.2设置AUX用户”。通 net服务器，具体配置请参见“.开 net用户本地认证（缺省采用本地认证方式，具体配置请参见“5.3设 net用户认证方式”或“11.4.3设置VTY用户”）。 机，具体配置请参见“5.9设置管理PC控制”或“11.14.6设置管理PC控制”）。在交换机上正确配置管理VLAN接口的IP地址（在VLAN接口视图下使用 address命令将与终端相连的以太网端口加入该管理VLAN（在VLAN视图下使 port命令 的IP地址，否则会导致 net连接断开。您可以随时键入“?”以获 命令行提供类似Doskey的功能，可以执行某 历史命令VLANVLAN接口视图；表11-1quit断开与交换system-quit返回用户视return返回用户VLAN配置VLAN口视图下键入vlan1VLAN接口视配置VLAN对应的IPinterfacequit返回系统视VLANreturn返回用户RADIUS方案视radiusscheme<H3C> Enablesystemdebugging Displaycurrentsystemfunction Exitfromcurrentcommand Reset Reset Savecurrentconfigurationsystem-viewEnterthesystemview Specifytheterminalcharacteristics Cancelcurrentsetting键入一命令，后接以空格分隔的“?”，如果该命令行位置有关键字，则列出全部关键字及其<H3C>display AAA DisplayARPinformationcurrent-configurationCurrentconfiguration Currentsettingofdebugging Displaydhcpclinetinformation 802.1xstatusinformationigmp-snooIGMPinfo- Informationcenterstatusand Interfacestatusandconfiguration IPstatusandconfiguration Displayisolate LACP Portsaggregationmode Displaylogbuffermac- MACaddress displaythemirroringpriority- Prioritytrust Queueschedulingconfigurationinformation DisplayRADIUSconfigurationinformation Thesavedconfigurationinformation<H3C> system-<H3C>displayuser- user- <H3C>disp按下<Tab><H3C>表11-2ToomanyAmbiguousWrongDoskey功能，将用户键入的历史命令自动保存，用户可以随时调用命令行接10条历史命令。操作如下表11-3历史命上光标键下光标键表11-4表11-5缺省情况下，进入系统视图时不需要输入。但您可以在交换机系统视图下配置分级保护，使用户进入系统视图时进行验证。当进行验证时，如果在三次以内输入了正确的，则表11-6system--superundosuper-AUX用AUX用户界面用于通过Console口对交换机进行。交换机只支持一个AUX用户界面表11-7进入用户界面视图system--进入AUX用户界面视number：需要配置的用户界面的编号，可选值为AUX用户支持的认证方式有none、password和scheme三种可以通过Console口登录到设备上，这种情况可能会带来安全隐患。功、用户才能登录到设备上。配置认证方式为password后，请妥善保存。schee：表示下次用nle登设时要行用名认，户或错有用132设置”。AUX用户的认证方式后，该认证方式的设置不会立即生效。用户需要退出命令行接口后重新system--进入AUX用户界面视0证方式为none（即不需要进行认证）设置AUX用户界面的公共属-详细配置请参见“3设置AUX用户界面公共行提示符（如<H3C>）如图11-1所示。system--进入AUX用户界面视为0方式为none（即不需要进行认证）设置AUX用户界面的公共-入登录并回车，登录界面中出现命令行提示符（如<H3C>），如图11-2所示。system--进入AUX用户界面视number：需要配置的用户界面的编号，可选值为缺省情况下，用户通过Console口登录，认证方式-terminallocal如果采用RADIUS方式认证，则需进行如下配置：设备上的RADIUS方案配置请参见“11.13.2设AAA服务器上需要配置相关的用户名和，具体local-useruser-password设置本地用户令级levelstate状态为active，即允许用户登设置AUX用户界面的公共-.有关AAA、RADIUS的详细内容，请参见“11.13.2设置AAA”。<H3C>）11-3所示system--进入AUX用户界面视number：需要配置的用户界面的编号，可选值为[seconds值范围为0～35791值范围为0～59- system-- 当您设置了VTY用户认证功能后，则通过 net用户支持的认证方式有none、password和scheme三种none：表示下次使用net登录设备时不需要进行用户名和认证，任何人都可以通password：表示下次使用net登录设备时需要进行认证，只有认证成功，用户才Console口登录到设备，对net的配置进行查看或修改。用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后，请妥善保存用户名及，如果本地认证丢失，可以使用Console口登录到设备，对net的配置进行查看或修改。如果认证丢失，建议您联系服务system--号，可选值为0、1authentication-mode缺省情况下，VTY用户界面的认证方式为password-详细配置请参见“3设置VTY用户用户将直接进入VTY用户界面，如图11-4所示system--可选值为0、1-<H3C>）11-5所示 system-- -netlocal如果采用RADIUS方式认证，则需进行如下配置：设备上的RADIUS方案配置请参见“11.13.2设AAA服务器上需要配置相关的用户名和，具体local-useruser-password设置本地用户令级levelstate.设置AUX用户界面的公共-.有关AAA、RADIUS的详细内容，请参见“11.13.2设置AAA”。并回车，登录界面中出现命令行提示符（如<H3C>），如图11-6所示。如果出现“Alluserinterfacesareused,pleasetrylater!”的提示，表示当前 net到设备的 system-- [seconds取值，取值范围为0～35791值，取值范围为0～59缺省情况下，VTY界面上启用了超时退出功能，时间为5分则该net用户将被自动断开-表11-17F AUX1 WEB1表11-18displayusersF显示起始连接位置，即接入的主机IP地如果您想对交换机进行管理，必须设置交换机管理VLAN接口的IP地址。在创建新的管理VLAN之前，该VLAN必须已经存在，且需要删除当前的管理VLAN接口system--vlan-id：VLAN的ID，取值范围为缺省情况下，交换机VLAN为VLAN恢复管理VLAN为缺省配undomanagement--创建/VLAN.system--创建并进入管理VLAN范围为1～4094删除管理VLAN-设置管理VLAN接口描述表11-21VLAN接口描述system--进入管理VLANvlan-id：管VLAN的ID，取值范围设置管理VLANtext：描述管理VLAN接口的字符串，可以包含特殊字符，不包括空格，长度为1～80个字符缺省情况下，VLAN接口的描述字符串为该恢复管理VLAN接口缺省描undo-指定/VLAN接口的静IPsystem--进入管理VLANvlan-interfacevlan-vlan-id：管理VLAN的ID，取ip-address：管理VLAN接口的IP指定管理VLAN接口的静态ipaddressip-{ip-maskip-mask：管理VLAN接口静态IP缺省情况下，管理VLAN接口IP地址删除管理VLAN接口的静态undoip-<H