交换机售后培训.ppt

1、ISCOM 系列交换机 售后基本技术培训,基本软件功能 VLAN介绍 端口限速介绍 安全功能介绍 网管功能介绍 以太网环网功能配置,提 纲,超级终端设置,基本的命令行模式,普通用户模式 “Raisecom” 特权用户模式 “Raisecom# ” 全局配置模式 “Raisecom(config)# ” 物理层接口配置模式 “Raisecom(config-port)# ” 物理层接口批量配置模式 “Raisecom(config-range)# ” 三层接口配置模式 “Raisecom(config-ip)# ” VLAN配置模式 “Raisecom(config-vlan)# ”,常用的操作

2、命令,Raisecom# write /*保存配置*/ Raisecom# erase /*删除配置*/ Raisecom# reboot /*重启交换机*/ Raisecom# show running-config /*查看正在运行的配置*/ Raisecom# show version /*查看当前的硬件、软件版本号*/ 使用“？”可列出当前模式下所有的命令。例如：Raisecom# ？,用户管理,缺省用户名：raisecom，密码：raisecom，缺省权限值：15 添加一个新用户： user name USERNAME password PASSWORD 设置用户权限: user n

3、ame USERNAME privilege /*1-15级别中，数字越大，权限越高*/ 显示用户信息: show user 设置enable密码 Raisecom#enable password Please input password:PASSWORD,端口设置,配置端口的速率和双工模式 配置端口的802.3X流控功能 配置端口的启用和关闭,端口的速率和双工模式,speed auto | 10| 100 |1000 设置端口速率, auto表示速率和双工均为自协商 duplex full | half 设置端口双工模式（全双工|半双工） 举例：设置端口15的速率为10Mbps，双工模式为

4、全双工。 Raisecom#config Raisecom(config)#interface port 15 Raisecom(config-port)#speed 10 Raisecom(config-port)#duplex full Raisecom(config-port)#exit,端口的802.3x流控功能,流量控制提供两种方式： 背压式（Back Pressing）流量控制：针对半双工传输机制的流控方式。 802.3X流量控制：针对全双工传输机制的流控方式。 flowcontrol receive|send on | off ：设置端口流控功能的开启或关闭 send 表示端口发

5、送方向的流控功能。 receive表示端口接收方向的流控功能。 on 表示开启端口的流控功能。 off表示关闭端口的流控功能。 默认情况下所有端口的流控都是关闭的 举例：设置端口10接收方向的流控功能打开。 Raisecom#config Raisecom(config)# interface port 10 Raisecom(config-port)#flowcontrol receive on Raisecom(config-port)#exit,端口的启用和关闭,shutdown | no shutdown 关闭或启用物理端口 shutdown 表示关闭物理端口；no shutdown

6、表示启用物理端口。 举例：关闭端口20 Raisecom#config Raisecom(config)# interface port 20 Raisecom(config-port)#shut down Raisecom(config-port)#exit Raisecom(config)#exit 查看端口信息 Raisecom#show interface port 15 Port Admin Operate Speed/Duplex Flowcontrol(R/S) Mac-learning - 15 enable down 10/full off/off enable,端口镜像,镜

7、像功能是将镜像端口的数据包按照设置的规则，复制一份发送到指定的监视端口上。管理员可以利用此功能对网络数据进行监视与分析。镜像端口允许有多个，但监视端口只能有一个。默认情况下不设置镜像功能。 1.镜像功能默认是关闭的 2.端口1为默认的监控端口，监控端口只允许有一个 3.设置镜像功能的镜像端口和镜像规则的命令行为“mirror source-port-list”,端口镜像,如图所示，将ISCOM2826的端口24设置为监控端口，通过在监控终端上安装网络分析系统，对流入端口3的数据、流出端口4的数据，以及出入端口8的数据进行分析和监控。 iscom2826#config iscom2826(con

8、fig)#mirror enable /*开启镜像功能*/ iscom2826(config)#mirror monitor-port 24 /*设置端口24为监控端口*/ iscom2826(config)#mirror source-port-list ingress 3,8 egress 4,8 /*设置端口3、8入方向的报文被镜像；端口4、8出方向的报文被镜像*/,链路聚合,链路聚合是把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的带宽叠加起来使用。链路聚合技术可实现多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡，就像

9、我们熟悉的打印机池和MODEM池一样。 2800系列交换机支持802.3ad端口链路聚合。最多可以设置6个链路聚合组，每个链路聚合组最多包括8个端口。用户可以选择链路聚合负载分担模式。,链路聚合,配置举例:,如图所示，将两台交换机的23口、24口互连，并捆绑成一条链路聚合组，实现带宽叠加和备份功能。配置如下： ISCOM2826-1#config ISCOM2826-1(config)#trunk enable /*开启链路聚合功能*/ ISCOM2826-1(config)#trunk-group 3 23，24 /*创建链路聚合组3，组中包括成员端口23、24*/ ISCOM2826-1(

10、config)#trunk loading-sharing mode sxordmac /*负载分担模式为根据源、目的MAC地址逻辑或的结果选择转发端口*/,风暴抑制,广播风暴可能由以下一些原因产生：网络设备、网卡损坏、网络环路、网络病毒、黑客软件。当一个端口接受到大量的广播包、组播包或目的寻找失败的包（DLF）时，将产生一种包风暴。对这些包的转发将造成网络速率下降甚至超时。风暴抑制功能就是为了防止产生这种情况。 默认情况下，风暴抑制功能是开启的，设置了对目的寻找失败的单播包、广播包和组播包的风暴抑制，默认限制的数量是1024个包每秒。配置风暴抑制功能的命令行如下： iscom2826#con

11、fig iscom2826(config)#storm-control all enable /*开启风暴抑制功能，包括广播包、组播包、DLF包*/ iscom2826(config)#storm-control pps 1024 /*将风暴抑制的数量设置为每秒允许1024个包通过，超出部分将被丢弃*/,统计信息分析,Raisecom#show interface port 2 statistics InOctets: 显示了接口接收到的字节的总数目，包括帧字符 InUcastPkts: 显示传递到较高一层协议的子网单播包的总数目 InMulticastPkts: 显示了接口接收到的多播包的总

12、数目，包括帧字符 InBroadcastPkts: 显示了接口接收到的广播包的总数目 OutOctets： 显示了接口发送的字节的总数目，包括帧字符 OutUcastPkts： 显示高层协议要求传送到子网-unicast地址的包的总数 OutMulticastPkts： 显示了接口发送的多播包的总数目，包括帧字符 OutBroadcastPkts: 显示了接口发送的广播包的总数目 DropEvents: 丢弃包的数目 CRCAlignErrors： CRC标记错误的总数目 UndersizePkts: 小于64字节的CRC正确的包的个数 OversizePkts: 超过最大长度且CRC正确的包

13、的个数 Fragments: 数据碎片的总数目 Jabbers: 超过最大长度且CRC出错的包的个数 Collisions: 拥塞包的数目,show interface port 1-26 statistics 显示物理接口的报文统计信息,故障调试命令,版本信息（show version） 当前配置信息（show running-config） 当前CPU占用率（show cpu-utilization） 内存使用信息（show memory） 端口驱动池使用情况（show buffer） 进程信息（show processes） flash中文件（dir） 当前系统时间（show clock

14、） 端口状态信息（show interface port）,show tech-support 查看故障定位所需的信息汇总,端口统计信息（show interface port statistics） 端口Up/Down 统计信息（show diags link-flap） SNMP 统计信息（show snmp statistics） 生成树概况（show spanning-tree） VLAN 信息（show vlan summary） ARP 信息（show arp） trunk 信息（show trunk） TCP 连接状态,基本软件功能 VLAN介绍 限速功能介绍 安全功能介绍 网管

15、功能介绍 以太网环网功能配置,提 纲,为什么需要VLAN,在一个园区网里有多个楼宇,所有楼宇都在一个广播域里.,为什么需要VLAN,VLAN的优势:1.安全 2.分割广播域,VLAN基础知识,VLAN ，即虚拟局域网（Virtual Local Area Networks）。VLAN成员不受物理位置的限制。例如，同一交换机上连接的用户可以属于不同的VLAN，不同交换机上连接的用户可以属于同一VLAN。VLAN的广播域与组播域都是相对于VLAN成员而言，组播、广播、单播都不会被传播到其他VLAN。不同VLAN间只有通过三层交换机或者路由器才能实现互通。 VLAN的端口模式有三种：access、h

16、ybrid、trunk。 Access为交换机默认端口模式，access端口仅能被指定到一个VLAN中，一般用于连接计算机的端口, Trunk端口通常用于交换机互联，通过trunk端口的互联，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。 Hybrid端口可被用户指定到多个VLAN中，例如不同VLAN之间的共享服务器。Hybrid端口可以接受和发送多个VLAN的报文，可以用于交换机之间的连接，也可以用于连接用户的计算机；,IEEE 802.1Q是虚拟桥接局域网的正式标准,定义了同一个物理链路上承载多个子网的数据流的方法. IEEE 802.1Q定义了VLAN帧格式,为识别帧属

17、于哪个VLAN提供了标准的方法. 这个格式统一了标识VLAN的方法,有利于保证不同厂家设备配置的VLAN可以互通.,IEEE 802.1Q概述,注意:CISCO的默认封装是ISL.,VLAN的帧格式,TPID（Tag Protocol Indentifier）：是IEEE定义的新的类型，表明这是一个加了802.1Q标签的Frame。TPID包含了一个固定的值0 x8100。,TCI的英文是 Tag Control Information，翻译过来是标签控制信息，共有2字节，16个bit，其中12个bit是VLANID，取值从0-4095，共计4096种取值。Raisecom以太网交换机现在可以

18、支持的配置范围是1-4094，其中0和4096留作系统使用，1为所有以太网端口默认的VLAN ID。我们所说的VLAN信息就是在这里标示的。,VLAN的基本概念,数据帧封装了VLAN信息,我们称之为Tag帧 数据帧没有封装VLAN信息,我们称之为UNTag帧 PVID是端口的默认VLAN ID(端口所属VLAN的ID),端口接收报文时的处理：,端口发送报文时的处理：,802.1Q VLAN配置,如图所示，ISCOM2826-1的端口24连接ISCOM2826-2的端口24，端口模式为TRUNK，实现VLAN trunk功能。报文可以携带802.1Q VLAN标记在交换机之间传递，实现相同VLA

19、N的用户跨越交换机的互通。即PC-1与PC-3可以实现跨交换机的互通;PC-2与PC-4可以实现跨交换机的互通,不同VLAN ID的用户是隔离的。,ISCOM2826-1#config ISCOM2826-1(config)#create vlan 3,4 active /*创建并激活VLAN 3和VLAN4*/ ISCOM2826-1(config)#interface port 3 /*将端口3划分到VLAN 3*/ ISCOM2826-1(config-port)#switchport access vlan 3 ISCOM2826-1(config-port)#exit ISCOM28

20、26-1(config)#interface port 4 /*将端口4划分到VLAN 4*/ ISCOM2826-1(config-port)#switchport access vlan 4 ISCOM2826-1(config-port)#exit ISCOM2826-1(config)#int port 24 /*设置端口24为trunk模式*/ ISCOM2826-1(config-port)#switchport mode trunk ISCOM2826-1(config-port)#switchport trunk allowed vlan all /*在端口24上，允许所有VL

21、AN通过*/ ISCOM2826-1(config-port)#exit,混合VLAN模式,混合VLAN模式结合了上述两种VLAN应用模式，更加灵活。交换机可以将用户的数据以带VLAN标记的形式转发，也可以去掉VLAN标记来转发。,配置举例： 如图所示,两台交换机互连，通过对上连端口的设置，可以实现VLAN20的用户携带VLAN标记在交换机之间传递，VLAN30的用户不携带VLAN标记在交换机之间传递。相同VLAN ID的用户可以实现跨VLAN的互通，不同VLAN ID的用户相互隔离。,Raisecom # config Raisecom(config)#create vlan 20,30 a

22、ctive Raisecom(config)#interface port 24 Raisecom(config-port)# switchport mode hybrid /*设置端口24为混合模式*/ Raisecom(config-port)# switchport hybrid allowed vlan 20 /*端口24允许带VLAN20标记的包通过*/ Raisecom(config-port)# switchport hybrid untagged vlan 30 /*端口24剥去VLAN30包的标记,再进行转发*/ Raisecom(config-port)# switchpo

23、rt native vlan 30 /*端口24默认VLAN号为VLAN30*/ Raisecom(config-port)#exit Raisecom(config)#interface port 2 Raisecom(config-port)# switchport access vlan 20 Raisecom(config)#interface port 3 Raisecom(config-port)# switchport access vlan 30,端口隔离,采用端口隔离技术，使同一个交换机内，不同VLAN ID的端口之间不能互相访问，但都可以与上连端口实现互通，而且从上连端口发

24、出去的包不携带VLAN标记。通常用于小区的互联网宽带接入。,如图所示，PC-1、PC-2分别属于VLAN20、VLAN30，PC-3为共享服务器，PC-1、PC-2都可以访问到PC-3，而PC-1与PC-2之间端口隔离。,配置举例：,ISCOM2826#config ISCOM2826(config)#create vlan 20,30 active /*创建并激活VLAN 20和VLAN30*/ ISCOM2826(config)#interface port 2 /*将端口2划分到VLAN20*/ ISCOM2826(config-port)#switchport access vlan

25、20 ISCOM2826(config-port)#exit ISCOM2826(config)#interface port 3 /*将端口3划分到VLAN 30*/ ISCOM2826(config-port)#switchport access vlan 30 ISCOM2826(config-port)#exit ISCOM2826(config)#svl enable /*启用共享VLAN模式*/ ISCOM2826(config)#interface port 24 ISCOM2826(config-port)#switchport svl vlanlist 20,30 /*该端口

26、的共享VLAN为VLAN 20、30*/ ISCOM2826(config-port)#switchport mode hybrid ISCOM2826(config-port)#switchport hybrid untagged vlan 20,30 /*设置端口24为混合模式，能够将VLAN20、30的报文以UNTAG的形式转发出去*/,保护端口模式,保护端口模式实现了同一VLAN内用户的隔离。如图所示，PC-1、PC-2位于同一VLAN100，分别连接端口1、2，通过将端口1、2设置为保护端口，而将上连端口24设置为非保护端口，即可实现同一VLAN下的主机不能互相访问，而保护端口与非保

27、护端口之间可实现正常的通信。,ISCOM2826-1#config ISCOM2826-1(config)#create vlan 100 active /*创建并激活VLAN 100*/ ISCOM2826-1(config)#interface range 1-2 /*将端口1-2划分到VLAN 100*/ ISCOM2826-1(config-port)#switchport access vlan 100 ISCOM2826-1(config-port)#switchport protect /*将端口1-2设置为保护端口*/ ISCOM2826-1(config-port)#exit

28、 ISCOM2826-1(config)#int port 24 /*设置端口24为trunk模式*/ ISCOM2826-1(config-port)#switchport mode trunk ISCOM2826-1(config-port)#switchport trunk allowed vlan 100 /*端口24允许VLAN100标记的包通过*/ ISCOM2826-1(config-port)#exit,基本软件功能 VLAN介绍 端口限速介绍 安全功能介绍 网管功能介绍 以太网环网功能配置,提 纲,ISCOM 2826,普通用户,高级用户,端口1,端口2,10M,20M,基于

29、端口的带宽控制,基于端口的带宽控制,有时出于某种目的需要对端口的带宽进行限制。这种情况下需要配置端口的带宽限制功能，将端口的带宽限制在一定范围内,Raisecom#config RAISECOM(config)# rate-limit port 1 input 10 burst 64 output 10 burst 64 RAISECOM(config)#exit Raisecom#show rate-limit port 1 Information of rate limit for port: port No. in-rate(Mbps) in-burst(KBps) out-rate(M

30、bps) out-burst(KBps) - 1 10 64 10 64,基于VLAN的带宽控制,ISCOM 2826,普通用户,高级用户,VLAN10,VLAN20,10M,20M,基于VLAN的带宽控制,有时出于某种目的需要对整个VLAN进行带宽限制。这种情况下需要配置VLAN的带宽限制功能，将VLAN的上行带宽和下行带宽都限制在一定的范围内，超出设置的带宽的数据将被丢弃。设置VLAN的带宽限制时需要设置上连端口。,举例：设置VLAN 5 的上行速率为5Mbps，峰值为64KBps，下行速率为10Mbps，峰值为64KBps。上连端口为端口26。 Raisecom#config RAISE

31、COM(config)# uplink-port 26 RAISECOM(config)# rate-limit vlan 5 input 5 burst 64 output 10 burst 64 RAISECOM(config)#exit Raisecom#show rate-limit vlan 5 Information of rate limit for VLAN: VLAN ID in-rate(Mbps) in-burst(KBps) out-rate(Mbps) out-burst(KBps) - 5 5 64 10 64,基本软件功能 VLAN介绍 端口限速介绍 安全功能介绍

32、 网管功能介绍 以太网环网功能配置,提 纲,环路检测 访问控制列表（ACL）,安全功能,环路检测,针对于运营商无法控制的家庭用 户产生的环路问题,采用主动的方 式来对环路问题进行检测。,ISCOM交换机,用户HUB,环路出现,ISCOM交换机,广播风暴,广播风暴,x,x,x,环路检测,交换机的某一个或者两个端口之间形成环路时，单播报文会被丢弃，而广播报文和组播报文会形成环路，向交换机的某一个VLAN内的端口或者整个交换机的其他端口洪泛。这样整个网络的性能就会极大的降低。为了解决这个问题，需要增加一个网络自环的侦测检查机制，当发现交换机的某个端口，或者某几个端口形成自环，关闭该端口，然后按既定条

33、件对该端口进行操作。,发现环路过程如下： 1。交换机每个端口周期性（默认为4秒）发送环路检测数据包； 2。交换机查看端口收到包的CPU MAC字段，如果CPU MAC字段存的是本交换机的MAC，则本交换机的某些端口环路；否则，丢弃； 3。如果发包端口号与收包端口号相同，则是自环，否则，是外环。,iscom2826#config iscom2826(config)#loopback-detection enable port-list all /*开启所有端口的环路检测功能*/ iscom2826(config)#loopback-detection hello-time 3 /*设置环路检测周

34、期为3秒*/ iscom2826(config)#int range all /*批量接口配置模式*/ iscom2826(config-range)#loopback-detection down-time 600 /*设置环路端口处于关闭状态的时间*/,如图所示，stp关闭的情况下，在HUB上做环，交换机的环路检测功能将检测到端口1自环的发生，并关闭端口1。环路检测功能配置如下：,网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是

35、用来实现这些功能。可以实现六种元素的自由组合。,访问控制列表（ACL）,访问控制列表（ACL）,配置MAC访问控制列表,配置IP访问控制列表,设置访问控制列表映射表,基于交换机的,基于端口的,基于从入端口到出端口的流,基于VLAN的,定义访问控制列表,应用过滤器,激活过滤器,序号越大，优先级越高,基于 MAC地址的ACL,如图所示，PC-2的MAC地址为1234.1234.1234，PC-3的MAC地址为5678.5678.5678，通过设置MAC地址访问控制列表，只允许PC-1到PC-2的IP包通过，其他所有终端（如PC-3）的IP包都不能到达PC-2。配置如下： raisecom# con

36、fig raisecom(config)# mac-access-list 0 deny ip any any raisecom(config)# mac-access-list 1 permit ip 1234.1234.1234 5678.5678.5678 raisecom(config)# filter mac-access-list all raisecom(config)# filter enable raisecom(config)# exit,基于IP地址的ACL,如图所示，PC-2的IP地址为，PC-3的IP地址为，通过设置IP地址

37、访问控制列表，只允许PC-1到PC-2的IP包通过，其他所有终端（如PC-3）的IP包都不能到达PC-2。配置如下： raisecom#config raisecom(config)# IP-access-list 0 deny ip any any raisecom(config)# IP-access-list 1 permit ip 55 55 raisecom(config)# filter ip-access-list all raisecom(config)# filter enab

38、le raisecom(config)# exit,基于VLAN的ACL,如图所示，PC-1、PC-2、PC-3都属于VLAN 10，只允许vlan 10中源IP地址为的主机访问PC-2，其他IP地址的终端都不能访问PC-2.配置如下： raisecom# config raisecom(config)# ip-access-list 0 permit ip any any raisecom(config)# ip-access-list 1 deny ip 55 55 r

39、aisecom(config)# filter ip-access-list all vlan 10 raisecom(config)# filter enable raisecom(config)# exit,基于协议端口的ACL,如图所示，PC-1的IP地址为；PC-2的IP地址为，PC-1上建立了FTP服务器（FTP协议端口为21）。通过设置基于协议端口的访问控制列表，只允许PC-2可以通过FTP访问PC-1，其他终端（如PC-3）不能通过FTP访问PC-1。配置如下： raisecom# config raisecom(config)# ip

40、-access-list 0 permit TCP any any raisecom(config)# ip-access-list 1 deny TCP 55 55 21 raisecom(config)# filter ip-access-list all raisecom(config)# filter enable raisecom(config)# exit,,,PC-1,PC-2,port1,port2,ISCOM2826-1,PC-3,p

41、ort3,FTP,,ISCOM 2826,用户感染病毒,x,port1,DHCP server,port2,利用ACL，控制网络病毒、黑客攻击,我感染了病毒，不能上网,你的地址是 221.106.x.x,发送病毒数据包，导致网络内其它PC感染病毒,防病毒配置,防病毒配置,下面为一些网络中常见病毒的端口号的过滤列表配置，需要的话，可以直接将下列内容粘贴到控制台，并将所有列表应用到上连端口的出方向。 ip-access-list 1 deny tcp any any 135 ip-access-list 2 deny tcp any any 2745 ip-access-li

42、st 3 deny tcp any any 1035 ip-access-list 4 deny tcp any any 3127 ip-access-list 5 deny tcp any any 6129 ip-access-list 6 deny tcp any 135 any ip-access-list 7 deny tcp any 2745 any ip-access-list 8 deny tcp any 1035 any ip-access-list 9 deny tcp any 3127 any ip-access-list 10 deny tcp any 5554 any

43、ip-access-list 11 deny tcp any 6129 any ip-access-list 12 deny tcp any any 1801 ip-access-list 13 deny udp any any 1801 ip-access-list 14 deny udp any any 3527 ip-access-list 15 deny 53 any any ip-access-list 16 deny 55 any any ip-access-list 17 deny 77 any any ip-access-list 18 deny 135 any any ip-

44、access-list 19 deny tcp any any 445,ip-access-list 20 deny udp any any 445 ip-access-list 21 deny tcp any 445 any ip-access-list 22 deny udp any 445 any ip-access-list 23 deny tcp any any 137 ip-access-list 24 deny tcp any any 138 ip-access-list 25 deny tcp any any 139 ip-access-list 26 deny udp any

45、 any 1434 ip-access-list 27 deny udp any 1434 any ip-access-list 28 deny tcp any any 1434 ip-access-list 29 deny tcp any 1434 any ip-access-list 30 deny tcp any any 5554 ip-access-list 31 deny tcp any any 5900 ip-access-list 32 deny tcp any any 6667 ip-access-list 33 deny tcp any 5900 any ip-access-

46、list 34 deny tcp any 6667 any ip-access-list 35 deny 255 any any ip-access-list 36 deny udp any any 22321 ip-access-list 37 deny udp any any 1900 ip-access-list 38 deny tcp any any 4444 ip-access-list 39 deny udp any any 34944 ip-access-list 40 deny udp any any 2191,ISCOM 2826,用户感染病毒,x,port1,DHCP se

47、rver,port2,利用ACL，控制网络病毒、黑客攻击,我不能上网,你的地址是 221.106.x.x,对其它PC进行攻击,防ARP攻击,防ARP攻击,Raisecom(config)# access-list-map 0 deny (配置ACCESS列表0为拒绝功能) Raisecom(config-cmap)# match arp Opcode reply （匹配ARP类型的Opcode为reply的包） Raisecom(config-cmap)#exit Raisecom(config)# access-list-map 1 deny (配置ACCESS列表1为拒绝功能) Raise

48、com(config-cmap)# match arp Opcode request（匹配ARP类型的Opcode为request的包） Raisecom(config-cmap)#exit Raisecom(config)#filter access-list-map 0 ingress port-list 1-23 （将匹配arp的reply数据包的控制列表应用到所有的用户端口的入方向） Raisecom(config)#filter access-list-map 1 egress port-list 24 （将匹配arp的request数据包的控制列表应用到上连端口的入方向） Rais

49、ecom(config)#filter enable (启用过滤功能),协议端口号的绑定,ISCOM 2826,用户DHCPserver,x,port1,DHCP server,port2,防止用户私自架设DHCP服务器,请求地址 我要上网,你的地址是 221.106.x.x,你的地址是 192.168.x.x,防用户私接DHCP服务器： Raisecom(config)#ip-access-list 0 deny udp any any 67 （不能通过UDP协议访问，目的端口67，为DHCP的请求包） Raisecom(config)#ip-access-list 1 deny udp a

50、ny any 68 （不能通过UDP协议访问，目的端口68，为DHCP的应答包） Raisecom(config)#filter ip-access-list 0 egress port-list 1-23 (将IP过滤列表0应用到所有用户端口的出方向) Raisecom(config)#filter ip-access-list 1 ingress port-list 1-23 (将IP过滤列表1应用到所有用户端口的入方向) Raisecom(config)#filter enable (启用过滤功能),基本软件功能 VLAN介绍 端口限速介绍 安全功能介绍 网管功能介绍 以太网环网功能配置

51、,提 纲,1 SNMP 管理方式,2 集群 管理方式,SNMP 管理方式,NView NNM系统依托Iscom系列交换机网元管理器组件，依托简单网络管理协议（SNMP协议）完整地实现了设备配置管理功能，能够统一集中管理北京瑞斯康达科技发展有限公司自主研发的所有网络设备，完整地实现了以下功能：拓扑管理、故障管理、安全管理、资源管理、服务管理、日志管理。,第一步 交换机远程管理地址的配置 Raisecom#config Raisecom (config)#create vlan 100 active （创建并激活管理vlan100） Raisecom(config)#interface ip 0

52、（进入到ip接口） Raisecom(config-ip)ip address 00 100 （设定该ip接口的地址为00,管理vlan为100）,第二步：交换机的网关配置 Raisecom#config Raisecom (config)#ip default-gatway 00 （设定交换机的网关）,举例：需要管理的交换机地址为00，管理VLAN为100，,完成这步可实现对交换机的telnet管理,1 SNMP Agent为了保护自身及其管理的MIB不受到未被授权的访问，提出了团体的概念。不同的团体可以

53、具有只读（read-only）或读写（read-write）两种访问权限。,ISCOM 2826,网管server,port2,SNMP,trap,2 增加一个SNMP目标主机（网管服务器）地址 ，用于发送snmp信息。,snmp-server community community-name view view-name ro | rw 下例为配置交换机读共同体为public，写共同体为priavte： Raisecom(config)#snmp-server community pubilc ro Raisecom(config)#snmp-server community private

54、 rw,snmp-server host A.B.C.D version NAME 下例为增加一台IP为32的网管服务器，采用snmp V2c版本 Raisecom(config)#snmp-server host 32 version 2c,集群 管理方式,集群中的角色有管理设备、成员设备以及候选设备。 管理设备：配置有公网或私网的IP地址，是集群内所有的交换机提供管理接口的交换机。管理设备通过命令重定向来对成员设备进行管理：用户通过管理网络将管理命令发送到管理设备上，由管理设备处理；管理设备如果发现此命令是送往某个成员设备上执行的命令，则

55、将此命令转发到成员设备上处理。管理设备具有发现邻接信息、收集整个网络的拓扑、管理集群、维护集群状态、支持各种代理的功能。 成员设备：集群中的成员，没有IP地址。用户通过管理设备的命令重定向功能对成员设备进行管理。成员设备具有发现邻接信息、接受管理设备的管理、执行代理发过来的命令、故障/日志上报等功能。成员设备激活以后可以通过网管或在命令交换机上通过Telnet方式直接进行管理。 候选设备：没有加入任何集群中但仍具有集群能力、能够成为集群成员的交换机。 每个集群必须制定一个管理设备。在管理设备被制定后，管理设备通过邻居发现和拓扑收集协议，,Iscom交换机集群管理主要包括三个（私有）协议，即邻居

56、发现协议（RNDP，Raisecom Neighbor Discover Protocol）、拓扑收集协议（RTDP，Raisecom Topology Discover Protocol）和集群管理协议（RCMP，Raisecom Cluster Management Protocol）。其中，RNDP负责设备的邻居发现和信息收集，拓扑收集协议负责整个网络的拓扑信息的收集和处理，集群管理协议主要完成对集群成员的加入、激活、删除等相关的配置。其中，RTDP和RCMP协议均在VLAN2中进行通信。,第一步：交换机硬件部署，所管理交换机IP地址分配，snmp信息配置，管理通道调通； 第二步：检查并

57、配置命令交换机及成员交换机RNDP协议开启； 第三步：配置命令交换机及成员交换机RTDP协议开启； 第四步：配置命令交换机RCMP协议开启； 第五步：在网管服务器安装NView NNM网管平台软件及相应型号交换机网元管理器；,在全局配置模式下可以使能全局RNDP功能；,在全局配置模式下可以使能或者禁用RTDP收集功能，使能RTDP收集功能，RTDP会将拓扑中所有使能RNDP功能交换机的信息收集上来。,认情况下系统的集群管理为禁用。可以按照如下步骤使能集群管理功能,用户通过对设备的自动激活功能以及自动激活所属命令交换机的MAC地址进行设置，使设备在连接到网络上的时候，可以自动的被其所属的命令交换机激活。默认情况下系统的自动激活功能为禁用。用户可以按