以太网交换机(SW系列、S系列)

SW系列交换机,采用全新的系统架构设计,端口丰富、性能强劲,适合于作为中小型企业网、中小型酒店、中小型分支门店等。
{{sendMatomoQuery("以太网交换机(SW系列、S系列)","SW-5024 Web使用手册")}}

SW-5024 Web使用手册

更新时间:2023-12-12

1.用户手册简介

本手册旨在帮助您正确使用这款交换机。手册中包括对交换机性能特征的描述以及配置交换机的详细说明。请在操作交换机前,详细阅读本手册。

 

1.1目标读者

本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。

 

1.2本书约定

在本手册中,

 

所提到的交换机本产品等名词,如无特别说明,系指 SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots,下面简称为 SW-5024

 

>> 符号表示配置页面的进入顺序。默认为一级菜单 >> 二级菜单 >> 标签页

正文中出现的<>尖括号标记的文字,表示 Web 页面的按钮名称,如<确定>

正文中出现的加粗标记的文字,表示交换机的各个功能的名称,如端口配置页面。

正文中出现的“”双引号标记的文字,表示配置页面上出现的名词,如“IP 地址

本手册中使用的特殊图标说明如下:

图标

含义

 

该图标提醒您对设备的某些功能设置引起注意,如果设置错误可能导致数据

注意:

丢失,设备损坏等不良后果。

 

说明:

该图标表示此部分内容是对相应设置、步骤的补充说明。

1.3 章节安排

 

章节说明

1 

章 用户手册简介

快速掌握本手册的结构、了解本手册的约定,从而更有效地使用本手册。

2 

章 产品介绍

介绍本产品的特性、应用以及外观。

3 

章 配置指南

介绍如何登录交换机的 Web 页面,并简要介绍页面特点。

 

 

 

章节

章节说明

4 章系统管理

本模块主要用于配置交换机的系统属性,主要介绍了:

系统配置:配置交换机的描述、时间和网络参数。

用户管理:配置登录交换机 Web 页面的用户的访问权限和身份。

系统工具:集中对交换机的配置文件进行管理。

安全管理:安全管理:针对不同的登录方式,增强用户管理交换机的安全性。包括安全配置、SSL 配置和 SSH 配置。

5 章二层交换

本模块主要用于配置交换机的基本功能,主要介绍了:

端口管理:配置交换机端口的基本属性包括端口配置、端口监控、端口安全和端口隔离。

汇聚管理:配置端口汇聚组。汇聚是将交换机的多个物理端口聚合在一起形成一个逻辑端口,同一汇聚组内的多条链路可视为一条逻辑链路。

流量统计:统计流经各个端口的数据信息。

地址表管理:配置交换机的地址表。地址表是交换机实现报文快速转发的基础。

6 VLAN

VLAN 主要用于隔离广播域,通过划分虚拟工作中来简化网络管理,主要介绍了:

802.1Q VLAN:划分基于端口的 VLAN,也是 MAC VLAN 和协议 VLAN

的基础。

MAC VLAN:在不改变原 802.1Q VLAN 配置的情况下划分 MAC VLAN

协议 VLAN:从应用层划分 VLAN,使某些特殊网络数据只能在指定 VLAN 中传输。

GVRP:通过在端口动态注册和注销 VLAN 信息来达到配置 VLAN 的目的,并传播 VLAN 信息到其它交换机中,简化配置 VLAN 时的操作。

7 章生成树 

生成树主要用于在局域网中消除环路。本模块主要用于配置交换机的生成树功能,主要介绍了:

基本配置:配置和查看交换机生成树功能的全局属性。

端口配置:配置端口的 CIST 参数。

MSTP 实例:配置 MSTP 实例。

安全配置:配置保护功能,以防止生成树网络中的设备遭受恶意攻击。

8 章以太网OAM 

以太网 OAM(操作、管理和维护)是一个二层协议,用于以太网的监控和故 障诊断。通过两个 OAM 实体之间交换 OAMPDUs,它可以将网络状态报 告给网络管理员,以促进网络管理。

9 章组播管理

本模块主要用于配置交换机的组播管理功能,主要介绍了:

IGMP 侦听:配置 IGMP 侦听的全局参数、端口属性、VLAN 参数和组VLANIGMP 侦听可以有效抑制组播数据在网络中扩散。

组播地址表:配置组播地址表。交换机在转发组播数据时是根据组播地址表来进行的。

组播过滤:配置组播过滤功能,可以限制用户对组播节目的点播。

报文统计:查看各端口的组播报文流量,监控网络中 IGMP 报文。

 

 

章节

章节说明

10 章路由 

 

 

 

11 章 服务质量

本模块主要为网络中某些特殊应用程序提供保障,主要介绍了:

QoS 配置:给网络中的数据流划分优先级,保障重要数据的传输,可分

为端口优先级、802.1P 优先级和 DSCP 优先级。

流量管理:可通过带宽控制来限制端口的数据流量;风暴抑制可限制局

域网中各类广播包的传输带宽,节约网络资源。

语音 VLAN:在指定 VLAN 中传输语音数据,提高语音数据的传输优先

级,保证通话质量。

12 PoE

本模块主要用于配置交换机的 PoE 功能,通过交换机给 PD 设备供电,主

要介绍了:

PoE 配置:配置 PoE 功能的全局属性。

PoE 时间段:通过时间段控制 PoE 端口的供电时间。

13 章 访问控制

本模块通过配置对报文的匹配规则和处理操作来实现对数据包的过滤功

能,有效防止非法用户对网络的访问,节约网络资源,主要介绍了:

时间段配置:通过时间段控制 ACL 条目的生效时间。

ACL 配置:配置 ACL 条目。

Policy 配置:配置 ACL 规则的处理方式。

绑定配置:将 Policy 下发到端口和 VLAN,使之正式生效。

14 章 网络安全

本模块针对局域网中常见的网络攻击进行防护,主要介绍了:

四元绑定:是将计算机的 MAC 地址和 IP 地址,所属 VLAN 以及连接交

换机的端口号四者绑定。

ARP 防护:对局域网中的 ARP 攻击进行防护。

DoS 防护:对常见的 DoS 攻击进行防护。

802.1X 认证:配置交换机对局域网接入用户进行接入认证。

15 SNMP

SNMP 提供了一个管理框架来监控和维护互联网设备。本模块主要用于配

置交换机的 SNMP 功能,主要介绍了:

SNMP 配置:配置 SNMP 的基本属性。

通知管理:配置 SNMP 通知管理,便于管理软件对交换机某些事件进行

及时监控和处理。

RMON:配置 RMON 功能,便于网管更有效的监控网络。

 

 

 

章节

 

章节说明

 

16 LLDP

LLDP 功能主要用于不同的网络设备间相互学习对方的设备信息。SNMP

应用可以利用 LLDP 获取的信息,进行网络故障排除。本模块主要用于配

置交换机的LLDP 功能,主要介绍了:

基本配置:配置交换机 LLDP 功能的全局属性和端口属性。

设备信息:查看本地信息和邻居设备信息。

设备统计:查看 LLDP 全局统计信息和端口报文统计信息。

LLDP-MED:配置 LLDP-MED 全局参数和端口参数,查看 LLDP-MED

本地信息和邻居信息。

17 章 系统维护

系统维护模块将管理交换机的常用系统工具组合在一起,主要介绍了:

运行状态:对交换机内存和 CPU 进行监控。

系统日志:查看在交换机上配置的参数。

系统诊断:检测与交换机连接的线缆及对端设备的可用性。

网络诊断:检测目标是否可达以及目标与交换机之间的路由跳数。

18 章 软件系统维护

主要介绍了:当交换机出现软件故障时,如何进入交换机的 boot 菜单重新

加载软件。

附录 A 802.1X 客户端

主要介绍了如何使用我司提供的 802.1X 客户端软件,并利用该软件进行认

软件使用说明

证。

附录 B 技术参数规格

技术参数规格表。

 

 

回目录

 

 

 

2.产品介绍

 

2.1产品简介

SW-5024 交换机是为构建高安全、高性能网络需求而专门设计的新一代智能以太网交换机,具有完备的安全策略、完善的 QoS 策略、丰富的 VLAN 特性、易管理维护等特点。系统采用全新的软硬件平台,在安全接入策略、多业务支持、易管理和维护等方面为用户提供了全新的技术特性和解决方案,是理想的办公网、校园网的汇聚、接入层交换机以及中小企业、分支机构的核心交换机。

 

2.2产品特性

完备的网络接入安全策略一键快速绑定

支持 PORT/MAC/IP/VLAN ID 四元绑定,提供手动添加、自动扫描、DHCP 侦听三种绑定方式,支持跨 VLAN 扫描,根据不同网络环境,轻松实现快速绑定。

ARP 攻击防护

内置特有的 ARP 入侵检测功能,对不匹配四元绑定表的非法 ARP 欺骗报文直接丢弃,有效杜绝内

ARP 攻击;支持对非法 ARP 报文统计,帮助用户迅速定位 ARP 攻击源;同时还支持防合法

ARP 报文的泛滥攻击。

DoS 攻击防护

内置深层次攻击检测功能,通过解析 IP 数据包,查看数据包中的特定字段是否符合 DoS 攻击数据包的特征,并采取相应的防护措施,直接丢弃非法数据包或者对合法的数据包进行限速,并且还能主动探测追踪 DoS 攻击的源头。

MAC 地址攻击

支持端口安全特性,可以有效防御 MAC 地址攻击。可以实现基于 MAC 地址允许或限制流量,每个端口允许设定最大 MAC 地址数量,支持静态配置或交换机动态学习,全面保障网络安全。

多层次,多元化的访问控制策略访问控制(ACL

强大硬件 ACL 能力,深度识别报文,支持 L2~L4 数据流分类,提供基于源 MAC 地址、目的 MAC

地址、源 IP 地址、目的 IP 地址、IP 协议类型、TCP/UDP 端口等定义 ACL。策略控制(Policy

支持基于端口、VLAN 下发 ACL,对符合相应 ACL 规则的数据包实现流分类,可进行流镜像、流监控、QoS 重标记和端口重定向四种行为控制,轻松实现网络监控,数据流量控制,优先级重标记和数据转发控制。

时间段控制

新增基于时间段的 ACL 控制,提供节假日、绝对时间、周期以及时间片段设置功能,多种时间段的灵活组合可轻松实现对时间精确控制的访问需求。

 

 

802.1X 认证

支持基于端口和基于 MAC 802.1X 认证,在用户接入网络时完成必要的身份认证,保证接入用户的合法性,支持 Guest VLAN,轻松设置来宾用户接入访问权限。

丰富的 VLAN 特性

IEEE 802.1Q VLAN

IEEE 802.1Q VLAN 符合国际标准,完美融合了 Port VLAN,与主流设备完全兼容,加上人性化的操作方式,使组网更加便捷、准确、高效。

 

MAC VLAN

通过 MAC 地址划分 VLAN,使用户可以灵活更改接入位置而不必重新划分 VLAN,在极大提高组网的灵活性的同时,简化了网络拓扑结构和配置管理。

 

协议 VLAN

通过协议来划分 VLAN,对特殊应用可设置自定义协议,实现安全通信。 GVRP

基于 GARP 的工作机制,用来维护设备中的 VLAN 动态注册信息,使得局域网内的 VLAN 配置更快捷、方便。

完善多业务融合能力

 

QoS

支持基于端口、IEEE802.1p 以及 DSCP 三种优先级模式,支持 Equ SP  Strict Priority )、WRR

Weighted Round Robin)、SP+WRR 四种队列调度算法,每个端口 8 个输出队列,可以将不同优先级的报文映射到不同输出队列,保障关键业务数据优先处理,满足不同业务对基础网络的需求。

流量控制

带宽控制支持端口双向限速,限速的控制粒度为 64Kbps;风暴抑制支持对广播包、组播包、UL 限速,避免网络资源被恶意浪费,提高网络效率。

 

语音 VLAN

内置语音设备 OUI 地址识别功能,通过 Voice VLAN 技术,对语音流进行有针对性的 QoS 配置,能够很好的解决语音设备数据流优先级的调整问题,保证通话质量。

 

组播管理

支持 IGMP V1/V2/V3,通过 IGMP Snooping 技术,能很好的支持组播应用,如 IPTV、视频会议等

等;支持组播 VLAN,有效避免带宽浪费,减轻上游设备的组播负担;静态组播地址表减少学习时间,提高组播转发效率;未知组播报文丢弃功能,节省带宽,提高系统处理效率。

高可靠性设计生成树

支持传统的 STP/RSTP/MSTP 二层链路保护技术,极大提高链路的容错、冗余备份能力,保证网络的稳定运行。支持 TCTopology Change报文保护,避免当设备受到恶意的 TC 报文攻击时,频繁的删除操作给设备带来很大负担。同时还支持环路保护、根桥保护、BPDU 保护、BPDU过滤等功能。

 

 

链路汇聚

提供手工汇聚、动态LACP 两种汇聚模式,能有效增加链路带宽,提高链路的可靠性,同时可以实现负载均衡、链路备份。

灵活、安全的网络管理系统管理

支持 CLI 命令行(ConsoleTelnetSSHV1/V2 ),Web 网管(HTTPSSL V2/V3/TLSV1), SNMPV1/V2c/V3)等多种管理方式。

安全管理

 

通过身份过滤检测技术,能够很好的解决设备安全管理难题,支持两级用户管理,提供管理人员数限制功能,增强配置安全性。

 

网络监控

支持端口双向数据监控,结合网络分析软件可以实时监控网络运行状态,RMON 功能可以实现统计和告警功能,用于网络中管理设备对被管理设备的远程监控和管理。

 

系统维护

 

支持 CPU、内存实时监控,支持 VCT 电缆检查以及端口环回测试,方便定位网络故障点,同时支PingTracert 命令操作,轻松分析出现故障的网络节点。

系统日志

 

提供免费的日志服务器软件,为用户提供对设备系统日志的数据库统计分析功能,有效监控设备运行和网络状况。

 

集群管理

 

支持 NDP(邻居发现)、NTDP(邻居拓扑发现)Web 集群管理(仅支持被管理),轻松打造

零费用、免软件的统一管理方式,支持信息产业部相关标准,兼容其它主流厂商的集群管理。

2.3产品外观

2.3.1前面板

交换机的前面板由 24 10/100/1000Mbps RJ45 端口、4 SFP 口、2 Console 口和指示灯组成。如下图所示。

 

2-1 前面板

24 1000Mbps 自适应 RJ45 端口

SW-5024 24 10/100/1000Mbps RJ45 端口,分别对应一个 10/100/1000Mbps 指示灯。

4 SFP 端口

SFP 模块卡扩展槽位于千兆 RJ45 端口的右边,标识为 25-28 口。

 

 

2 Console 端口

交换机控制端口,用于连接计算机或其他终端的串口以监控和配置交换机。其中,当您使用 Windows 电脑通过 USB 线来管理交换机时,USB 驱动需要手动安装。在配件 CD 中有 USB Console Driver.exe 的驱动文件。

指示灯

 

交换机有 PWRSYSPoE MaxFANSpeed or PoE(1-24 )1000Base-X25-28 口)指示灯,可以通过指示灯监控交换机的工作状态。

 

SW-5024 有一个指示灯模式转换开关,可以改变指示灯的指示状态。当 Speed 指示灯点亮时,端口指示灯指示的是数据传输速率。当 PoE 指示灯点亮时,端口指示灯指示的是端口的供电状态。缺省情况下 Speed 指示灯亮。按下指示灯模式转换开关,可以切换指示灯的指示状态。

Speed 指示灯点亮时,端口指示灯指示的是数据传输速率,如下表所示。

 

 

指示灯

 

工作状态

 

工作说明

 

 

 

 

PWR

常亮

系统供电正常

熄灭

系统未通电或供电异常

闪烁

系统供电异常

 

 

 

SYS

闪烁

系统正常工作

常亮/熄灭

系统异常

 

 

 

 

FAN

绿色

所有风扇正常运作

黄色

不是所有风扇都正常运作

熄灭

交换机异常

 

 

 

绿色

常亮

一个 1000Mbps 的设备被连接到对应的端口,但处于闲置状态

 

 

闪烁

一个 1000Mbps 的设备被连接到对应的端口,并且有数据正在被传递或接收

Speed or PoE

 

 

黄色

常亮

一个 10/100Mbps 的设备被连接到对应的端口,但处于闲置状态

(端口 1-24

 

闪烁

一个 10/100Mbps 的设备被连接到对应的端口,并且有数据正在被传递或接收

 

熄灭

没有连接设备

 

1000Base-X

常亮

对应端口连接了设备

 

 

 

 

指示灯

 

工作状态

 

工作说明

(端口 25-28)

闪烁

对应的 SFP 口正在传输或接收数据

熄灭

对应的 SFP 口没有连接设备

 

PoE 指示灯点亮时,端口指示灯指示的是端口的供电状态,如下表所示。

 

 

指示灯

 

工作状态

 

工作说明

 

 

 

 

PWR

常亮

系统供电正常

 

熄灭

 

系统未通电或供电异常

闪烁

系统供电异常

 

 

 

SYS

闪烁

系统正常工作

常亮/熄灭

系统异常

 

 

 

 

PoE Max

常亮

剩余功率小于等于 7W

闪烁

剩余功率持续小于 7W 超过两分钟

熄灭

剩余功率大于等于 7W

 

 

 

 

FAN

绿色

所有风扇正常运作

黄色

不是所有风扇都正常运作

 

熄灭

 

交换机异常

 

 

 

绿色

常亮

端口正在供电

 

闪烁

供电功率超过相应端口的功率上限

Speed or PoE

 

 

黄色

常亮

过载或短路状态

(端口 1-24

 

闪烁

上电自检失败

 

熄灭

未进行 PoE 供电

 

1000Base-X

常亮

对应端口连接了设备

 

 

 

 

指示灯

 

工作状态

 

工作说明

(端口 25-28)

闪烁

对应的 SFP 口正在传输或接收数据

熄灭

对应的 SFP 口没有连接设备

 

2.3.2后面板

交换机后面板由电源接口、防盗锁孔和防雷接地柱组成,如下图所示:

 

 

 

 

电源接口


2-2 后面板

 

位于后面板左侧。SW-5024 接入电源需为 100-240V~ 50/60Hz 6.0A 的交流电源。防雷接地柱

位于电源接口左侧,请使用导线接地,以防雷击。防盗锁孔

将锁(未提供)插入锁孔内防止交换机被盗。

 

回目录

 

 

 

3.配置指南

 

3.1登录 Web 页面

第一次登录时,请确认以下几点:

交换机已正常加电启动,任一端口已与管理主机相连。

 

管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装 IE 6.0 或以上版本的浏览器。

 

管理主机 IP 地址已设为与交换机端口同一网段,即 192.168.0.XX 2 254 之间的任意整数),子网掩码为 255.255.255.0

为保证更好地体验 Web 页面显示效果,请将显示器的分辨率调整到 1024×768 或以上像素。打开浏览器,在地址栏输入 http://192.168.0.1 登录交换机的 Web 页面。

交换机登录页面如图 3-1 所示。

3-1 登录页面

在此页面输入交换机管理帐号的用户名和密码,出厂默认值均为 admin。成功登录后可以看到当前端口连接状态和交换机的系统信息,如图 3-2 所示。

 

 

 3-2 系统信息

3.2Web 页面简介

3.2.1页面总览

交换机典型的 Web 页面如图 3-3 所示。

 

 

 3-3 典型 Web 页面

左侧为一级、二级菜单栏,右侧上方长条区域为菜单下的标签页,当一个菜单包含多个标签页时,可以点击标签页的标题在同级菜单下切换标签页。右侧标签页下方区域可分为三部分,条目配置区、列表管理区以及提示和注意区。

 

3.2.2页面常见按键及操作

主菜单区按键

条目配置区常见按键

 

 

 

列表管理区常见按键

 

 

回目录

 

 

 

 4.系统管理

系统管理模块主要用于配置交换机的系统属性,包括系统配置用户管理系统工具安全管理

SDM 模板

4.1系统配置

系统配置用于配置交换机的基本属性,本功能包括系统信息设备描述系统时间夏令时管理串口设置五个配置页面。

 

4.1.1系统信息

本页面用来查看本交换机的端口连接状态和系统信息。

 

端口状态指示了本交换机的 24 10/100/1000Mbps RJ45 端口以及 4 SFP 扩展模块槽的工作状态,其中标识为 1-24 的端口是 10/100/1000Mbps RJ45 端口,标识为 25~28 的端口是光纤模块端口。

进入页面的方法:系统管理>>系统配置>>系统信息

4-1 系统信息

条目介绍:

端口状态

 

 

 

  1000M 端口未接入设备。

  1000M 端口工作速率为 1000Mbps

  1000M 端口工作速率为 100Mbps /10Mbps   SFP 端口未接入设备。

  SFP 端口工作速率为 1000Mbps   SFP 端口工作速率为 100Mbps

当鼠标移到某端口上时,会显示该端口的详细信息,如下图所示。

4-2 端口信息

条目介绍:

端口信息

 

端口 显示交换机的端口号

 

类型 显示端口的端口类型

速率: 显示端口的最大传输速率

状态 现在端口的状态

点击某端口,会显示此端口的带宽利用率,即实际传输速率与其最大传输速率的百分比,图中每隔秒反馈一次监控值。查看各个端口的带宽利用率,可以了解各端口的流量概况,便于监控网络流

量和分析网络异常。如下图所示。

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

4-3 带宽利用率

 

条目介绍:

带宽利用率

 

 点击后,显示此端口接收数据的带宽利用率

 点击后,显示此端口发送数据的带宽利用率

 

4.1.2设备描述

本页面用来配置交换机的描述信息,包括设备名称、设备位置、联系方法。进入页面的方法:系统管理>>系统配置>>设备描述

 

4-4 设备描述

条目介绍:

设备描述

 

设备名称:填写交换机的名称。

 

 

 

设备位置 填写交换机的位置信息

联系方法 填写联系方法

 

4.1.3系统时间

本页面用来配置交换机的系统时间。系统时间是交换机工作时使用的时间,其它功能(如访问控制)中的时间信息以此处为准。可以选择手动设置时间或者连接到一个 NTP(网络时间协议)服务器获

UTC 时间,也可以获取当前管理 PC 的时间作为交换机的系统时间。进入页面的方法:系统管理>>系统配置>>系统时间

4-5 系统时间

条目介绍:

时间信息

 

当前系统时间: 显示交换机当前的日期、时间。当前时间来源: 显示交换机当前的时间来源。

时间配置

 

手动配置时间 勾选后,手动配置日期、时间

 

NTP 服务器获取时勾选后,配置时区和 NTP 服务器的 IP 地址,交换机将自动获取 UTC

间: 时间。此时交换机必须连接至 NTP 服务器。时区:选择所在的时区。

首选/备选 NTP 服务器:填写 NTP 服务器的 IP 地址。时间获取周期:设定从 NTP 服务器获取时间的周期。

从管理主机获取时间 勾选后,将管理主机的时间配置为交换机的系统时间

 

 

 

4.1.4夏令时配置

本页面用于配置交换机的夏令时功能。

进入页面的方法:系统管理>>系统配置>>夏令时

 

4-6 夏令时配置

条目介绍:

夏令时配置

 

夏令时状态 选择启用或禁用夏令时功能

 

预定义模式 选择一个预定义的夏令时配置

美国:三月的第二个星期天 02:00 ~ 十一月的第一个星期天

02:00

澳大利亚: 十月的第一个星期天 02:00 ~ 四月的第一个星期天

03:00

欧洲: 三月的最后一个星期天 01:00 ~ 十月的最后一个星期天

01:00

新西兰: 九月的最后一个星期天 02:00 ~ 四月第一个星期天

03:00

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

循环模式:

 

 

配置夏令时功能。在这一模式下做的配置可以循环使用。

 

偏移:   指定当夏令时来临时,需要调整的时间额度。单位为分钟。

 

开始/结束时间: 分别选择夏令时开始和结束的时间。其中

 

示一个月中的第几周;表示星期几;表示月份。

日期模式:

配置夏令时功能。在这一模式下做的配置只能在生效一次(开始时

 

间的年份为当前年份)

 

偏移:   指定当夏令时来临时,需要调整的时间额度。单位为分钟。

 

开始/结束时间: 分别选择夏令时开始和结束的时间。

 

4.1.5串口设置

在这个页面上,您可以配置串口的波特率。

选择系统系统信息串口设置,配置下面的页面。

4-7 串口设置

 

以下的条目会显示在这个屏幕上:串口设置

波特率: 配置串口的波特率。它在默认情况下是 38400 bps

数据位: 显示默认的数据位

 

奇偶校验位: 显示奇偶校验位

 

停止位: 显示停止位

 

4.2用户管理

用户管理用来限制登录交换机 Web 页面的用户的访问权限和身份,以保护交换机的有效配置。本功能包括用户列表用户配置两个配置页面。

 

 

4.2.1用户列表

 

可以在本页查看到当前交换机存在的全部用户。进入页面的方法:系统管理>>用户管理>>用户列表

 

 

 

4.2.2用户配置


4-8 用户列表

 

 

本页用来配置登录交换机 Web 页面的用户的身份类型。本交换机提供四种类型的用户:管理员,操作员,高级用户和普通用户。管理员,可以编辑、修改和查看交换机各个功能的配置;操作员,操作员可以编辑,修改和查看大部分不同功能的设置;高级用户: 高级用户可以编辑,修改和查看不同功能的设置;普通用户:仅可以查看交换机各个功能的配置情况。本说明书内如无特殊说明,均以管理员身份登录时的 Web 页面为准。

进入页面的方法:系统管理>>用户管理>>用户配置

 

4-9 用户配置

条目介绍:

用户信息

 

用户名 填写登录 Web 页面的用户名

访问等级 选择该用户名的访问等级

 

 

 

密码 填写该用户名的登录密码

确认密码 再次输入该用户名的登录密码,两次输入的密码需保持一致

 

用户列表

 

选择: 勾选条目进行删除,可多选。但是不可以对当前登录用户自身进行删除。

 

序号、用户名、类型、 显示当前用户的序号、用户名、用户类型和用户状态。状态:

 

操作: 点击对应条目的<编辑>按键,可以修改该条目的用户信息。修改完毕后点击<修改>按键,修改内容生效。但是不允许修改当前登录用户自身的用户类型和状态。

 

4.3系统工具

系统工具功能集中对交换机的配置文件进行管理。

4.3.1Boot 配置

在这个页面上,您可以配置交换机的 boot 文件。当交换机启动时,将从当前镜像启动。如果失败 了,交换机将尝试从备份镜像启动。如果这也失败了,你将进入 bootutil 菜单。

进入页面的方法:系统管理系统工具启动参数

 

4-10 Boot 配置

 

 

以下的条目会显示在这个屏幕上:启动参数

选择: 选择单元(s)

 

成员: 显示成员

 

当前镜像: 显示当前的启动镜像

 

下次启动镜像: 选择下一个启动镜像

 

备份镜像: 选择备份的 boot 镜像

 

4.3.2配置导入

进入页面的方法:系统管理>>系统工具>>配置导入.

4-11 配置导入

 

条目介绍:

配置文件导入

 

配置文件导入:从用户备份的配置文件中恢复配置。

 

4.3.3配置导出

在这个页面上,您可以下载当前的配置,并将它作为文件保存到您的计算机中,以备将来的配置恢复。

 

 

进入页面的方法:系统系统工具配置导出

 

4-12 配置备份

 

以下的条目会显示在这个屏幕上:配置备份

指定成员: 选择一个交换机来导出配置文件

 

单击导出按钮将当前启动配置文件保存到您的计算机中。建议您在升级之前采取这一措施。

 

4.3.4软件升级

本交换机可以通过 Web 方式升级系统文件,系统升级后将获得更完善的功能。进入页面的方法:系统管理>>系统工具>>软件升级

 

4-12 软件升级

 

 

 

4.3.5系统重启

在此处可以重新启动交换机,交换机重启后自动返回到登录页面。重启前请先保存当前配置,否则重启后,未保存的配置信息将丢失。

进入页面的方法:系统管理>>系统工具>>系统重启

 

4-14 系统重启

 

4.3.6计划重启

在这个页面上,您可以为交换机设置一个重新启动计划。用户可以用两种模式来配置重新启动的时间表。第一个是在特定的时间间隔内重新启动交换机。第二种是在特定的时间和日期重新启动交换机。

 

用户可以选择是否在重新启动之前保存配置。如果没有选择重新启动之前保存,那么重新启动的时间表将在下一次重新启动之后被删除。

进入页面的方法:系统系统工具计划重启

 

 

 

 

4-15 重启计划设置

 

 

 

以下的条目会显示在这个屏幕上:重新启动计划设置

时间间隔:指定一段时间。交换机将在这段时间后重新启动。它的范围从 1

43200 分钟。如果用户选择了在重新启动之前保存,这个重新启动计划设置的配置仍会保留。

 

时间:  HH:MM 的格式指定交换机重启的时间

 

日期: 日期应该在 30 天内。如果没有指定日期和时间设置比上面的时间晚,则交换机会晚启动;否则交换机将第二天重新启动。

 

重启前保存: 选择在重新启动之前保存交换机的配置

 

4.3.7软件复位

通过软件复位,可以将交换机恢复为出厂设置状态,所有配置数据将被清除。进入页面的方法:系统管理>>系统工具>>软件复位

4-16 软件复位

 

 

 

4.4安全管理

安全管理功能是针对不同的远程登录方式,采取相应的安全措施,以增强用户管理交换机的安全性。

 

4.4.1安全配置

本页用来限制登录交换机 Web 页面的用户的身份及人数,从而增强了交换机配置管理的安全性。其中,管理员及受限用户的定义请参考 4.2 用户管理

进入页面的方法:系统管理>>安全管理>>安全配置

 

4-17 身份限制

 

条目介绍:

身份限制

 

限制类型 选择限制用户身份的类型

基于 IP:用来限制访问交换机 Web 页面的用户的 IP 网段。

基于 MAC:用来限制访问交换机 Web 页面的用户的主机 MAC

地址。

基于端口:用来限制访问交换机 Web 页面的交换机端口号。

接入端口 选择不同的接入端口,如 SNMP, Telnet, SSH 

 

IP 地址、掩码 选择基于 IP”时才能进行配置。只允许指定 IP 网段的用户才可以

Web 页面访问交换机。

MAC 地址 选择基于 MAC”时才能进行配置。只允许指定 MAC 地址的用户

可以通过 Web 页面访问交换机。

 

 

4.4.2HTTP 配置

HTTP(超级文本传输协议)的帮助下,您可以通过标准的浏览器来管理交换机。HTTP 的标准开发是由 Internet 工程任务小组和万维网联盟协调的。

在这个页面下,您可以配置 HTTP 功能。

进入页面的方法:系统安全管理→HTTP 配置

4-18 HTTP 配置

以下的条目会显示在这个屏幕上:全局配置

HTTP: 选择启用/禁用交换机上的 HTTP 功能。超时配置

超时时间:如果在超时时间内对 Web 管理页面不做任何处理,系统将自动退

出。如果您想要重新配置,请再次登录。

 

管理人数限制

 

 

人数限制功能:

 

管理员人数:操作员人数:

高级用户人数:

普通用户人数:


选择启用/禁用数量控制功能。

输入作为管理员登录网页管理的最大用户数量。输入作为操作员登录网页管理的最大用户数量。输入作为高级用户登录网页管理的最大用户数量。输入作为普通用户登录网页管理的最大用户数量。

 

 

4.4.3HTTPS 配置

SSLSecure Sockets Layer,安全套接层)是一个安全协议,它为基于 TCP 的应用层协议提供安全连接,如为普通的 HTTP 连接提供更安全的 HTTPS 连接。SSL 协议广泛地用于 Web 浏览器与服务器之间的身份认证和加密数据传输,多使用在电子商务、网上银行等领域,为网络上数据通讯提供安全性保证。

SSL 协议提供的服务主要有:

对用户和服务器进行基于证书的身份认证,确保数据发送到正确的用户和服务器;对传输数据进行加密,以防止数据中途被窃取;

维护数据的完整性,确保数据在传输过程中不被改变。

 

SSL 采用非对称加密技术,使用密钥对进行数据的加密/解密,密钥对由一个公钥(包含在证书中)和一个私钥构成。初始时交换机里已有默认的证书(自签名)和对应私钥,也可以通过证书/密钥导入功能替换默认的密钥对,但 SSL 证书/密钥必须配对导入,否则 HTTPS 不能正常连接。

本功能生效后,即可通过 https://192.168.0.1 登录交换机的 Web 页面。初次使用交换机默认的证书通过 HTTPS 登陆交换机时,浏览器可能会提示该证书是自签名的而不被信任证书错误,此时请将此证书添加为信任证书,或者继续浏览此网站即可。

该交换机还支持对 IPv6 HTTPS 连接。配置 IPv6 地址( 例如, 3001:1) 后, 您可以通过

https://[3001:1] 登录到交换机的网页管理页面。在这个页面上,您可以配置 HTTPS 功能。

 

 

进入页面的方法:系统管理安全管理→HTTPS 配置

4-19 HTTPS 配置

 

以下的条目会显示在这个屏幕上:

 

全局配置

 

SSL 功能:

选择启用/禁用交换机上的 SSL 功能。

 

 

SSL3:

启用或禁用 SSL3.0 版本。默认情况下,它是启用的。

 

 

TLS 1:

启用或禁用 TLS1.0。默认情况下,它是启用的。

 

 

加密套件配置

 

RSA_WITH_RC4_128_MD5:RC4 128 位加密密钥交换密钥和 MD5 交换消息

摘要。默认情况下,它是启用的。

 

RSA_WITH_RC4_128_SHA: RC4 128 位加密密钥交换密钥和 SHA 交换消

息摘要。默认情况下,它是启用的。

 

RSA_WITH_DES_CBC_SHA: DES-CBC 消息加密交换密钥和 SHA 交换消

息摘要。默认情况下,它是启用的。

 

RSA_WITH_3DES_EDE_CBC_SHA: 3DES DES-EDE3-CBC 消息加密交换密钥和

SHA 交换消息摘要。默认情况下,它是启用的。

 

超时配置

 

超时时间:如果在超时时间内对 Web 管理页面不做任何处理,系统将自动退

出。如果您想要重新配置,请再次登录。

 

管理人数限制

 

人数限制功能: 选择启用/禁用人数限制功能

管理员人数: 输入作为管理员登录网页管理的最大用户数量

 

高级用户人数: 输入作为高级用户人数登录网页管理的最大用户数量。高级用户人数: 输入作为普通用户人数登录网页管理的最大用户数量。访客数量:              输入作为访客登录网页管理的最大用户数量。

证书导入

 

SSL 证书:选择要导入到交换机的 SSL 证书。

 

密钥导入

 

SSL 密钥:选择导入到交换机的 SSL 密钥。

 

4.4.4SSH 配置

SSHSecure Shell,安全外壳)是由 IETFInternet Engineering Task Force,因特网工程任务组)所制定,建立在应用层和传输层基础上的安全协议。SSH 加密连接所提供的功能类似于一个 telnet 连接,但是传统的 telnet 远程管理方式在本质上是不安全的,因为它在网络上是使用明文传送口令和数据的,别有用心的人可以很容易的截获这些口令和数据。当通过一个不能保证安全的网络环境

 

 

远程登录到设备时,SSH 功能可以提供强大的加密和认证安全保障,它可以对所有传输的数据进行加密,可以有效防止远程管理过程中的信息泄露问题。

 

SSH 是由服务器端和客户端组成的,并且有 V1 V2 两个不兼容的版本。在通讯过程中,SSH 服务器与客户端会自动互相协商 SSH 版本号和加密算法,协商一致后,由客户端向服务器端发起请求登录的认证请求,认证通过后双方即可进行信息的交互。本交换机支持 SSH 服务器功能,可以使用 SSH 客户端软件通过 SSH 连接方式登录交换机。

SSH 密钥导入是将 SSH 的公钥文件导入至交换机中。如果密钥导入成功,交换机会优先选用密钥认证的方式接受 SSH 登入。

进入页面的方法:系统管理>>安全管理>>SSH 配置

 

4-17 SSH 配置

条目介绍:

全局配置

 

SSH 功能 选择是否启用 SSH 功能

 

 

 

协议版本 1 选择是否启用对协议版本 1 的支持

 

协议版本 2 选择是否启用对协议版本 2 的支持

静默时长 填写静默时长。该时间内客户端无任何操作时,连接会自动断开

默认为 120 秒。

 

最大连接数 填写 SSH 同时可允许的最大连接数,连接数若满,将无法再建立

的连接。默认为 5

加密算法 选择所需的加密算法

 

密钥完整性算法 选择所需的密钥完整性算法

 

密钥导入

 

密钥类型 选择所要导入的密钥类型。本机支持 SSH-1 RSASSH-2 RSA 

SSH-2 DSA 三种类型的密钥。

密钥文件 选择要导入的密钥文件

 

导入密钥 点击此按键,将所选的 SSH 密钥导入交换机

组网应用 1

组网需求

使用 SSH 功能的密码认证的方式登录交换机,交换机已启用 SSH 功能。推荐使用第三方客户端软件 PuTTY

配置步骤

打开软件,登录 PuTTY 的主界面。在“Host Name”处填写交换机的 IP 地址;“Port”保持默认的

22“Connection type”处选择 SSH 的接入方式。如下图所示。

 

 

点击<Open>按键,即可登录到交换机。操作方法与 telnet 相同,输入登录用户名和登录密码,即可继续进行配置操作。如下图所示。

 

组网应用 2

组网需求

使用 SSH 功能的密钥认证的方式登录交换机,交换机已启用 SSH 功能。推荐使用第三方客户端软件 PuTTY

配置步骤

选择密钥类型和密钥长度,并生成 SSH 密钥。如下图所示。

 

 

密钥生成后,将公钥和私钥文件保存在主机上。如下图所示。

在交换机配置页面上,将保存至主机上的公钥文件导入交换机中。

 

SW-5024

 

 

经过上面步骤后,公钥和私钥文件都已导入,接着即可进入版本、密钥与算法协商配置操作。打开 PuTTY 的主界面,输入 IP 地址并选择连接类型为 SSH 后,点击<open>按钮与服务器建立连接并进行协商。

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

协商成功后,输入用户名进行登录,如果你不需要输入密码即可登陆成功,表明密钥认证已经成功。如下图所示。

4.4.5Telnet 配置

在这个页面上,您可以在交换机上启用/禁用 Telnet 功能。

 

 

进入页面的方法:系统管理安全管理→Telnet 配置

 

 

4-21 接入控制

 

以下的条目会显示在这个屏幕上:全局配置

Telnet:在交换机上选择全局启用/禁用 Telnet 功能。

 

4.5SDM 模板

SDM(交换机数据库管理)为用户提供了不同的模板来有效地管理硬件 TCAM 资源。用户可以根据应用程序环境选择适当的模板。

 

4.5.1SDM 模板配置

此页面可以配置和查看 SDM 模板视图。

进入页面的方法:菜单模板→系统→SDM 模板配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figure 4-22 SDM Template Config

 

 

 

可选模板

 

当前模板序号:显示当前使用的 SDM 模板。

 

下一个模板:显示下次重启后将被使用的 SDM 模板。选择模板:选择下次重启后将被使用的 SDM 模板。 模板列表

模板布局: 显示模板名称

 

IP ACL 规则数: 显示 IP ACL 规则数,包括 Lay3 ACL  Lay4 ACL

 

MAC ACL 规则数: 显示二层 ACL 规则数。组合 ACL 规则数: 显示组合 ACL 规则数。 IPv6 ACL 规则数:              显示 IPv6 ACL 规则数。

ARP 防护条目数: 显示用于 ARP 防护的条目数

 

IPv6 防护规则数: 显示 IPv6 源防护规则数

 

 

 

5.二层交换

二层交换模块主要用于配置交换机的基本功能,包括端口管理汇聚管理流量统计地址表管理以及 L2TP 五个部分。

5.1端口管理

端口管理用于配置交换机端口的基本属性,包括端口配置端口监控端口安全端口隔离环路监测五个配置页面。

 

5.1.1端口配置

端口配置用来配置交换机端口的各项基本参数。端口状态选择禁用时,交换机将丢弃来自这个端口的数据包。当交换机端口长时间不使用时,可以将该端口设为禁用,可有效减小交换机的功耗,待使用时再将该端口设为启用。

端口基本参数将会直接影响端口的工作方式,请结合实际情况进行配置。进入页面的方法:二层交换>>端口管理>>端口配置

5-1 端口配置

条目介绍:

端口配置

 

选择 勾选端口配置端口参数,可多选

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

端口:

 

 

显示交换机的端口号。

类型:

显示交换机端口类型。

描述:

填写端口的描述信息,以区分各个端口的用途。

状态:

选择端口状态。只有状态为启用时,端口才能正常转发数据包。

速率、双工:

选择端口的传输速率及传输模式。与交换机相连的设备必须与交换

 

机的传输速率及双工状态保持一致。当选择“Auto”选项时,该端口的

 

速率双工由自动协商决定。默认为 Auto。对于 SFP 端口,本系列

 

交换机暂不提供自动协商。

流控:

选择端口的流控状态。启用流控能够同步接收端和发送端的速度,

 

防止因速率不一致导致的网络丢包。

LAG

显示端口当前所属的汇聚组。

注意:

端口状态配置为禁用则不能通

从属于同一个汇聚组的所有成

 

过该端口管理交换机,请将要进行管理的端口配置为启用状态。员端口的相应参数配置应该保持一致。

 

5.1.2端口监控

端口监控是一种数据包获取技术,通过配置交换机,可以实现将一个/几个端口被监控端口)的数据包复制到一个特定的端口监控端口,在监控端口接有一台安装了数据包分析软件的主机,对收集到的数据包进行分析,从而达到了网络监控和排除网络故障的目的。

进入页面的方法:二层交换>>端口管理>>端口监控

 

5-2 端口监控

条目介绍:

监控组列表

 

监控组 显示监控组的组号

监控端口 显示每个监控组的唯一的一个监控端口号

 

监控方式: 显示每个监控组的监控方式。分为入口监控和出口监控。被监控端口: 显示每个监控组的所有被监控端口。

 

SW-5024

 

 

操作 点击<编辑>按键,对每个监控组的配置进行修改

 

点击<编辑>按键,显示界面如下图所示:

 

 

5-3 编辑监控组

条目介绍:

监控组选择

 

选择组号: 选择需要进行配置的监控组组号。监控端口配置

监控端口: 在此处选择该监控组的监控端口。被监控端口

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

选择:

 

 

勾选端口配置为被监控端口,可多选。

端口:

显示交换机的端口号。

入口监控:

对被监控端口收到的数据进行监控,复制到监控端口。

出口监控:

对被监控端口发出的数据进行监控,复制到监控端口。

LAG

显示端口当前所属的汇聚组。汇聚组成员端口不能选为监控端口和

 

被监控端口。

注意:

 

 

 

 

 

 

5.1.3端口安全

交换机地址表维护着端口和接入端的 MAC 地址的对应关系,并以此建立交换路径,地址表的大小是固定的。地址表攻击是指利用工具产生欺骗 MAC,快速填满地址表,交换机地址表被填满后,交换机将以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探,攻击获取网络信息。地址表满了后,数据流以泛洪的方式发送到所有端口,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。

 

端口安全通过限制端口的最大学习 MAC 数目,来防范 MAC 地址攻击并控制端口的网络流量。如果端口启用端口安全功能,将动态学习接入的 MAC 地址,当学习地址数达到最大值时停止学习。此后,MAC 地址未被学习的网络设备将不能再通过该端口接入网络,以保证安全性。

进入页面的方法:二层交换>>端口管理>>端口安全

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

5-4 端口安全

 

条目介绍:

端口安全

 

选择 勾选端口配置端口安全,可多选

端口 显示交换机的端口号

 

最大学习地址数: 填写对应端口最多可以学习的 MAC 地址数目。默认为 64已学习地址数:              显示对应端口已经学习的 MAC 地址数目。

学习模式 选择 MAC 地址学习的模式

动态:MAC 地址学习受老化时间的限制,老化时间过后,所学MAC 地址将被删除。

静态:MAC 地址学习不受老化时间的限制,只能手动进行删除。交换机重启后该条目清空。

永久:MAC 地址学习不受老化时间的限制,只能手动进行删除。交换机重启后该条目保持不变。

 

状态 选择是否启用端口安全功能

 

SW-5024

 

 

5.1.4端口隔离

通过端口隔离功能,可以为交换机的任意物理端口指定转发端口。设置了端口隔离功能后,每个物理端口只能向自己的转发端口转发数据包。

进入页面的方法:二层交换>>端口管理>>端口隔离

 

5-5 端口隔离

条目介绍:

端口隔离列表

 

端口 显示交换机的端口号

转发端口 显示可转发的端口列表

 

5.1.5环路监测

环路监测(Loopback Detection)通过环路监测数据包检测交换机连接的网络中是否存在环路,当检测出环路时根据用户设定处理相应的端口。

进入页面的方法:二层交换>>端口管理>>环路监测

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

5-6 环路监测

 

条目介绍:

 

全局配置

 

 

环路监测功能:

选择是否启用交换机的环路监测功能。

 

环路监测间隔:

设置环路监测的时间间隔,默认值为 30

 

自动恢复时间:

设置被阻塞环路端口的自动恢复时间,设置值为环路监测间隔的整

 

 

数倍,默认为 3

 

页面自动刷新:

选择是否启用页面的自动刷新功能。

 

自动刷新间隔:

设置页面自动刷新的时间间隔,默认值为 6

端口配置

 

 

端口选择:

点击<选择>按钮,可根据所输端口号快速选择相应端口。

 

选择:

勾选端口配置端口参数,可多选。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

端口:

 

 

显示交换机的端口号。

状态:

选择是否启用此功能。

处理模式:

选择端口发现环路时的处理模式:

 

Alert:端口上发现环路时只发出报警信息。

 

Port based:端口上发现环路时发出报警信息,同时阻塞端口。

恢复模式:

选择端口被阻塞后的恢复模式:

 

Auto:端口被阻塞后,经过自动恢复时间后将自动解除阻塞。

 

Manual:端口被阻塞后只能手动接触阻塞状态。

环路状态:

显示该端口是否监测到外部环路。

阻塞状态:

显示该端口是否因为监测到环路而处于阻塞状态。

LAG

显示该端口当前所属的汇聚组。

手动恢复:

重置选定端口状态,解除阻塞。

注意:

环路监测务必与风暴抑制配合

 

 

使用。

 

5.2汇聚管理

LAGLink Aggregation Group,端口汇聚组)是将交换机的多个物理端口汇聚在一起形成一个逻辑端口,同一汇聚组内的多条链路可视为一条逻辑链路。端口汇聚可以实现流量在汇聚组中各个成员端口之间进行分担,以增加带宽。同时,同一汇聚组的各个成员端口之间彼此动态备份,提高了连接可靠性。

 

属于同一个汇聚组中的成员端口必须有一致的配置,这些配置主要包括 STPQoSGVRPVLAN、端口属性、MAC 地址学习等。具体说明如下:

开启 GVRP802.1Q VLAN语音 VLAN生成树QoS 配置DHCP 侦听端口配置(速率双工、流控)功能的端口,若属于汇聚组成员,则他们的配置需保持一致。

 

开启端口安全端口监控MAC 地址过滤静态 MAC 地址绑定802.1X 认证功能的端口,不能加入汇聚组。

开启 ARP 防护DoS 防护功能的端口,建议不要将其加入汇聚组。

如果需要配置汇聚组,建议在本功能处优先配置汇聚组后,再去其它功能处配置汇聚组的其它功能。

 

SW-5024

 

 

按照汇聚方式的不同,端口汇聚可以分为两类:手动配置和LACP 配置。本功能包括汇聚列表手动配置LACP 配置三个配置页面。

5.2.1汇聚列表

在本页可以查看到交换机当前的全部汇聚组。

进入页面的方法:二层交换>>汇聚管理>>汇聚列表

 

5-7 汇聚列表

条目介绍:

全局配置

 

选路算法 根据选路算法规则,选择转发数据的端口

源目的 MAC 地址:仅使用数据包中的源目的 MAC 地址信息。源目的 IP 地址:仅使用数据包中的源目的 IP 地址信息。

汇聚列表

 

选择 勾选汇聚组进行删除,可多选

 

组号 显示汇聚组的序号

描述 显示汇聚组的描述信息

 

成员 显示属于汇聚组的物理端口

操作 对单个汇聚组进行相应配置

编辑:修改汇聚组的描述和成员端口。

查看:查看汇聚组的端口状态信息。点击<查看>按键,可以看到所选汇聚组的详细信息。

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

 

5.2.2手动配置


5-8 汇聚组状态

 

 

在本页可以对汇聚组进行手动配置,手动配置的汇聚端口的 LACP 状态为禁用。进入页面的方法:二层交换>>汇聚管理>>手动配置

 

5-9 手动配置

条目介绍:

汇聚组配置

 

汇聚组号 选择汇聚组的序号,组号格式为 LAG*

 

SW-5024

 

 

该组描述: 显示汇聚组的描述信息。成员端口

成员端口 勾选属于汇聚组的物理端口,清空表示删除该汇聚组

 

5.2.3LACP 配置

LACPLink Aggregation Control Protocol,链路汇聚控制协议)是基于 IEEE802.3ad 标准用来实

现链路动态汇聚与解汇聚的协议。汇聚的双方通过协议交互汇聚信息,将匹配的链路汇聚在一起收发数据,汇聚组内端口的添加和删除是协议自动完成的,具有很高的灵活性并提供了负载均衡的能力。

 

启用端口的 LACP 功能后,该端口向对端通告本端的系统优先级、系统 MAC、端口优先级、端口号和操作 Key(由端口的物理属性、上层协议信息和管理 Key 决定)。设备优先级高的一端将主导汇聚及解汇聚,设备优先级由系统优先级和系统 MAC 决定,系统优先级值小的设备优先级高,系统优先级值相同时系统 MAC 较小的设备优先级高。设备优先级高的一端将根据端口优先级、端口号以及操作 Key 选择汇聚端口,操作 Key 相同的端口才能被选入同一个汇聚组,同一个汇聚组内端口优先级值小的端口会被优先选择,当端口优先级相同的时候,端口号小的会被优先选择。双方交互汇聚信息后被选择的端口将汇聚在一起收发数据。

在本页可以配置交换机的 LACP 功能。

进入页面的方法:二层交换>>汇聚管理>>LACP 配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

5-10LACP 配置

 

条目介绍:

 

全局配置

 

 

系统优先级:

与系统的 MAC 地址一起决定设备优先级,设备优先级高的一端将主

 

 

导汇聚及解汇聚。默认为 32768

 

LACP 配置

 

 

选择:

勾选端口配置端口 LACP 功能,可多选。

 

端口:

显示交换机的端口号。

 

管理 Key

处于同一汇聚组的成员,需配置相同的管理Key

 

端口优先级:

决定了成为汇聚组成员的端口的优先级。端口优先级值小的端口会

 

 

被优先选择。若端口优先级相同,则端口号小的会被优先选择。默

 

 

认为 32768

 

模式:

显示交换机模式

 

状态:

选择相应端口是否启用 LACP 功能。

 

 

 

LAG 显示端口当前所属的汇聚组。

 

5.3流量统计

流量统计用于统计流经各个端口的数据信息,本功能包括流量概览详细统计两个配置页面。

 

5.3.1流量概览

 

流量概览用来显示交换机各端口的流量信息,便于监控网络流量和分析网络异常。进入页面的方法:二层交换>>流量统计>>流量概览

 

5-11流量概览

条目介绍:

自动刷新

 

自动刷新 选择是否启用自动刷新功能

 

刷新周期: 填写自动刷新的时间周期。默认为 10 秒。流量概览

端口选择: 点击<选择>按键,可根据所输端口号,快速查找端口条目。端口: 显示交换机的端口号。

接收数据包数: 统计交换机各端口接收的数据包数,不包括错误的数据包。发送数据包数:              统计交换机各端口发送的数据包数。

接收字节数 统计交换机各端口接收的字节数,包括错误的数据包的字节数

 

 

 

发送字节数 统计交换机各端口发送的字节数

信息查询 点击查询相应端口的详细统计信息

 

5.3.2详细统计

详细统计用来统计各端口传输数据包的详细信息,便于定位网络问题。进入页面的方法:二层交换>>流量统计>>详细统计

 

5-12详细统计

条目介绍:

 

自动刷新

 

 

自动刷新:

选择是否启用自动刷新功能。

 

刷新周期:

填写自动刷新的时间周期。

 

详细统计

 

 

端口:

输入要查看流量信息的交换机端口号。

 

接收信息统计:

统计该端口接收数据包的详细信息。

 

发送信息统计:

统计该端口发送数据包的详细信息。

 

广播包:

端口接收/发送的含有效广播地址的数据包数目(不含错误帧)

 

 

 

组播包: 端口接收/发送的含有效组播地址的数据包数目(不含错误帧)。单播包 端口接收/发送的含有效单播地址的数据包数目(不含错误帧)

Alignment 错误包 端口接收的长度为 64-1518 字节的校验和错误且字节数不对齐的

据帧数目。

 

小于 64 字节包 端口接收的长度小于 64 字节的数据帧数目(不含错误帧)

64 字节包 端口接收的长度为 64 字节的数据帧数目(包含错误帧)

65-127 字节包 端口接收的长度为 65-127 字节的数据帧数目(包含错误帧)

128-255 字节包 端口接收的长度为 128-255 字节的数据帧数目(包含错误帧)

256-511 字节包 端口接收的长度为 256-511 字节的数据帧数目(包含错误帧)

512-1023 字节包 端口接收的长度为 512-1023 字节的数据帧数目(包含错误帧)

大于 1023 字节包 端口接收的长度大于 1023 字节小于 jumbo 帧长的数据帧数目(

含错误帧)

冲突包 端口工作在半双工模式下发送数据包时产生的冲突包数目

 

5.4地址表管理

交换机的主要功能是对报文进行转发,也就是根据报文的目的 MAC  地址将报文输出到相应的端口。地址表包含了端口间报文转发的地址信息,是交换机实现报文快速转发的基础。地址表中的表项可以通过自动学习和手动绑定两种方式进行更新和维护,多数地址表条目都是通过自动学习功能来创建和维护的,而对于某些相对固定的连接来说,手动绑定可以提高交换机的效率,通过 MAC地址过滤功能可以使交换机对不期望转发的数据帧进行过滤,从而提升了网络安全性。

地址表的分类及特点如下表所示:

 

 

地址表类别

 

配置方式

 

有无老化时间

重启后是否被保留

已绑定的 MAC 地址与

(配置保存后

端口的关系

静态地址表

手动配置

在同一 VLAN 中,已绑

定的 MAC 地址不能被

其它端口学习

动态地址表

自动学习

已绑定的 MAC 地址可

以重新被其它端口学习

过滤地址表

手动配置

-

 

本功能包括地址表显示静态地址表动态地址表过滤地址表四个配置页面。

 

5.4.1地址表显示

在本页可以查看到交换机地址表的全部信息。

进入页面的方法:二层交换>>地址表管理>>地址表显示

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

 

 

 

5-13 地址表显示

条目介绍:

 

查询选项

 

 

MAC 地址:

填写欲查找条目需包含的 MAC 地址信息。

 

VLAN ID

填写欲查找条目需包含的 VLAN ID 信息。

 

端口:

选择欲查找条目需包含的交换机端口。

 

地址类型:

选择欲查找条目需包含的地址类型信息。

 

 

全部:显示全部地址表条目。

 

 

静态:显示静态地址表条目。

 

 

动态:显示动态地址表条目。

 

 

过滤:显示过滤地址表条目。

 

地址表

 

 

MAC 地址:

显示交换机学习到的 MAC 地址。

 

VLAN ID

显示 MAC 地址条目对应的 VLAN ID

 

端口:

显示 MAC 地址条目对应的交换机端口。

 

地址类型:

显示 MAC 地址的类型。

 

老化状态:

显示 MAC 地址的老化状态。

 

SW-5024

 

5.4.2静态地址表

静态地址表记录了端口的静态地址。静态地址是不会老化的 MAC 地址,它区别于一般的由端口学习得到的动态地址。静态地址只能手动添加和删除,不受最大老化时间的限制。这对于某些相对固定的连接来说,可减少地址学习步骤,从而提高交换机的转发效率。静态地址表也可以显示在端口安全功能中自动学习到的静态 MAC 地址。

进入页面的方法:二层交换>>地址表管理>>静态地址表

 

5-14 静态地址表

条目介绍:

 

新建条目

 

 

MAC 地址:

填写静态绑定的 MAC 地址。

 

VLAN ID

填写 MAC 地址条目对应的 VLAN ID

 

端口:

选择静态绑定的交换机端口号。

 

查找条目

 

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

查找选项:

 

 

选择静态地址表的显示规则,可以快速查找到所需的条目。

 

MAC:填写欲查找条目需包含的 MAC 地址信息。

 

VLAN ID:填写欲查找条目需包含的 VLAN ID 信息。

 

端口号:配置欲查找条目需包含的交换机端口号。

静态地址表

 

选择:

勾选条目进行删除或修改该条目对应的交换机端口号,可多选。

MAC 地址:

显示静态绑定的 MAC 地址。

VLAN ID

显示 MAC 地址条目对应的 VLAN ID

端口:

显示 MAC 地址条目对应的交换机端口。可以在此修改与静态 MAC

 

地址绑定的端口,但是修改后的端口必须是 VLAN 的成员端口。

地址类型:

显示 MAC 地址的类型。

老化状态:

显示 MAC 地址的老化状态。

注意:

 

 

 

 

 

 

 

 

 

 

5.4.3动态地址表

动态地址是交换机通过自动学习获取的 MAC 地址,交换机通过自动学习新的地址和自动老化掉不再使用的地址来不断更新其动态地址表。

 

交换机的地址表的容量是有限的,为了最大限度利用地址表的资源,交换机使用老化机制来更新地址表,即:系统在动态学习地址的同时,开启老化定时器,如果在老化时间内没有再次收到相同地址的报文,交换机就会把该 MAC 地址从表项删除。

在本页可以配置交换机的动态地址表功能。

进入页面的方法:二层交换>>地址表管理>>动态地址表

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

5-15 动态地址表

 

条目介绍:

老化配置

 

 

自动老化:

选择是否启用自动老化。

 

老化时间:

填写地址老化时间。默认为 300 秒。

 

查找条目

 

 

查找选项:

选择动态地址表的显示规则,可以快速查找到所需的条目。

 

 

MAC:填写欲查找条目需包含的 MAC 地址信息。

 

 

VLAN ID:填写欲查找条目需包含的 VLAN ID 信息。

 

 

端口号:选择欲查找条目需包含的交换机端口号。

 

 

LAG ID:选择欲查找条目需包含的 LAG ID

 

动态地址表

 

 

选择:

勾选动态地址条目进行删除或将该条目绑定为静态地址,可多选。

 

MAC 地址:

显示动态绑定的 MAC 地址。

 

VLAN ID

显示 MAC 地址条目对应的 VLAN ID

 

端口:

显示 MAC 地址条目对应的交换机端口。

 

地址类型:

显示 MAC 地址的类型。

 

老化状态:

显示 MAC 地址的老化状态。

 

绑定:

将动态绑定的地址条目转化为静态绑定。

 

说明:

 

 

SW-5024

 

 

5.4.4过滤地址表

通过配置过滤地址,允许交换机对不期望转发的数据帧进行过滤,过滤地址不会被老化,只能手工进行添加和删除。在过滤地址表中添加受限的 MAC 地址后,交换机将自动过滤掉源/目的地址为这个地址的帧,以达到安全的目的。过滤地址表中的地址对所有的交换机端口都生效。

进入页面的方法:二层交换>>地址表管理>>过滤地址表

5-16 过滤地址表

条目介绍:

新建条目

 

 

MAC 地址:

填写过滤的 MAC 地址。

 

VLAN ID

填写 MAC 地址条目对应的 VLAN ID

查找条目

 

 

查找选项:

选择过滤地址表的显示规则,可以快速查找到所需的条目。

 

 

MAC:填写欲查找条目需包含的 MAC 地址信息。

 

 

VLAN ID:填写欲查找条目需包含的 VLAN ID 信息。

过滤地址表

 

 

选择:

勾选过滤地址条目进行删除,可多选。

 

MAC 地址:

显示过滤的 MAC 地址。

 

VLAN ID

显示 MAC 地址条目对应的 VLAN ID

 

端口:

此处为"--",表示无指定端口。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

地址类型:

 

 

显示 MAC 地址的类型。

老化状态:

显示 MAC 地址的老化状态。

注意:

已加入到过滤地址表中的地址

802.1X 模块开启,此功能禁

 

不能被加入到静态地址表中,也不能被端口动态绑定。用。

5.4.5MAC 通知配置

 

MAC 通知功能用于监视 MAC 地址表的状态,以及在每个端口上学习的 MAC 地址。进入页面的方法:二层交换地址表管理→MAC 通知配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

以下的条目会显示在这个屏幕上:全局配置

全局配置:全局启用/禁用 MAC 通知。

满表通知:MAC 地址表满时,启用/禁用 MAC 地址表满的通知。

 

通知间隔: 指定通知之间的间隔时间。它的范围从 1  1000 秒,默认时间间隔

秒。

 

 

 

端口配置

 

选择:

选择指定的端口(s)配置。它是多选的。

 

 

端口:

显示端口号。

 

 

学习模式更改:

启用/禁用在端口上的学习模式更改通知。该端口的学习模式包括:

 

态、静态和永久。

 

 

超过学习的最大数

启用/禁用在端口上的超过最大数的学习通知。默认情况下,每个端口

:

上最多的 MAC 地址是 64

 

 

新学习的 MAC:

启用/禁用在端口上的新学习的 MAC 通知。

 

5.4.6MAC VLAN 安全

MAC VLAN 安全功能用于在指定的 VLAN 中配置 MAC 地址安全。进入页面的方法:二层交换地址表管理→MAC VLAN 安全

 

以下的条目会显示在这个屏幕上:

VLAN 安全配置

 

VLAN ID:输入 VLAN ID 来配置它的 MAC 地址安全。

最大学习 MAC :指定在这个 VLAN 中可以学习的最大 MAC 地址数。

状态: 选择对新数据包的处理方法(其源 MAC 地址不在当前 VLAN 地址

 

 

 

 

 

 

VLAN 安全列表


·丢弃:当学习的 MAC 数量超过 VLAN 安全项的最大学习数量时,数据包将被丢弃。

·转发:当学习的 MAC 数量超过 VLAN 安全项的最大学习数量时,数据包被转发,但不会被学习。

·禁用:VLAN 安全条目存在,但不会生效。

 

 

选择:选择一个或多个条目进行删除。

 

 

 

VLAN ID: 显示 VLAN 安全条目的 VLAN ID

 

最多学习的 MAC 显示 VLAN 安全条目下的最大 MAC 

数量:

学习号: :显示 VLAN 安全条目下的学习 MAC 数量

 

状态: 显示 VLAN 安全条目的模式

 

操作: 点击可编辑最大学习的 MAC 数和模式

 

5.5L2TP

 

L2TP(第二层隧道协议)是一个对服务提供者的功能,可以跨不同的 ISP 网络传输数据包并维护每个客户的第二层协议配置。支持的二层协议有 STP(生成树协议)GVRP(GARP VLAN 注册协议)CDP(思科发现协议)VTP(VLAN 中继协议)PAgP(端口聚合协议)UDLD(单向链接检测)PVST +每个 VLAN 生成树+)

当启用 L2TP 并且交换机接收到从 UNI 端口来的特定的第 2 层协议数据包时,交换机会用特殊的 MAC 地址封装这些包并通过 NNI 端口跨不同的服务提供者来发送他们。ISP 网络中的设备不处理这些数据包,而是将它们转发为正常的数据包。ISP 网络的外端交换机接收到 NNI 端口上的这些数据包,并将其 MAC 地址恢复到原来的第二层协议目的地 MAC 地址。

L2TP 协议通常是使用 VLAN VPN 功能。因此,连接到 ISP 网络的 NNI 端口被配置为 VPN 连接端口。

5-1 A 典型 L2TP 拓扑

 

 

5.5.1L2TP Config

进入页面的方法:二层交换→L2TP→L2TP 配置

 

5-2 L2TP 配置

配置步骤:

 

全局配置下使能全局第二层隧道协议。在端口配置下配置隧道和协议类型。

单击应用保存您的配置。条目解释:

UNIT:1/LAGS: 单击 1 配置物理端口。单击 LAGS 配置链接聚合组。选择: 指定端口来配置其 L2TP 特性。它是多选的。

类型: 根据网络中的连接设备选择端口类型。没有:在这个端口禁用 L2TP

UNI:指定端口的类型作为 UNI,如果是连接到用户的本地网络。

NNI:指定端口的类型作为 NNI,如果是连接到 ISP 网络。

 

协议: 选择支持 2 层协议的类型。在发送到 ISP 网络之前,指定协议的

解封装,以恢复他们的 2 层协议和 MAC 地址。

STP:使能协议隧道 STP 的数据包。

GVRP:使能 GVRP 包的协议隧道。

 

 

 

01000CCCCCCC:对于目的地 MAC 地址为 01000CCCCCCC,包

CDPVTP PAgPUDLD,使能协议数据包的隧道 01000CCCCCCD:对于 PVST +包,使能协议隧道。

所有: 支持所有上述第二层隧道协议。

 

阈值: 配置可以接受封装的每秒发包数。超过阈值的数据包将被丢弃。如果没有指定协议,则阈值将应用于每一种 2 层协议类型。

LAG: 显示端口的聚合组。

 

 

 

 6.VLAN

以太网是一种基于 CSMA/CDCarrier Sense Multiple Access/Collision Detect,载波侦听多路访问

/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。通过交换机实现 LAN 互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了 VLANVirtual Local Area Network)技术,这种技术可以把一个 LAN 划分成多个逻辑的 LAN——VLAN,每个 VLAN 是一个广播域,VLAN 内的主机间通信就和在一个 LAN 内一样,而 VLAN 间则不能直接互通,这样,广播报文被限制在一

VLAN 内。同一个 VLAN 内的主机通过传统的以太网通信方式进行报文的交互,而不同 VLAN

内的主机之间则需要通过路由器或三层交换机等网络层设备进行通信。如图 6-1 所示。

6-1VLAN 示意图

VLAN 的优点如下:

 

提高网络性能。将广播包限制在 VLAN 内,从而有效控制网络的广播风暴,节省了网络带宽,从而提高网络处理能力。

 

增强网络安全。不同 VLAN 的设备不能互相访问,不同 VLAN 的主机不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。

 

简化网络管理。同一个虚拟工作组的主机不会局限在某个物理范围内,简化了网络的管理,方便了不同区域的人建立工作组。

 

VLAN 的划分不受物理位置的限制,不在同一物理位置范围的主机可以属于同一个 VLAN;一个 VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机。本交换机支持的 VLAN 划分方式包括 802.1Q VLANMAC VLAN 和协议 VLAN 三种。MAC VLAN 和协议 VLAN 仅对 untag 数据包和优先级 tag 数据包生效,当一个数据包同时满足 802.1Q VLANMAC VLAN 和协议 VLAN 时,交换机将按照 MAC VLAN、协议 VLANPVID 的顺序来处理数据包,在相应 VLAN 中转发数据包。

6.1802.1Q VLAN

由于普通交换机工作在 OSI 模型的数据链路层,若要交换机能够识别不同 VLAN 的数据包,只能对数据包的数据链路层封装进行 VLAN 识别。因此,VLAN 识别字段被添加到数据链路层封装中。

 

 

 

 IEEE 802.1Q 协议为了标准化 VLAN 实现方案,对带有 VLAN 标识的数据包结构进行了统一规定。协议规定在目的 MAC 地址和源 MAC 地址之后封装 4 个字节的 VLAN Tag,用以标识 VLAN的相关信息,如图 6-2 所示。VLAN Tag 包含四个字段,分别是 TPIDTag Protocol Identifier,标签协议标识符)、PriorityCFICanonical Format Indicator,标准格式指示位)VLAN ID

 

6-2VLAN Tag 组成字段

TPID:用来表示本数据帧是带有 VLAN Tag 的数据。该字段长度为 16bit。协议规定的缺省取值

0x8100

Priority:用来表示数据包的传输优先级。

CFI:以太网交换机中,CFI 总被设置为 0。由于兼容特性,CFI 常用于以太网类网络和令牌环类网络之间,如果在以太网端口接收的帧 CFI 设置为 1,表示该帧不进行转发,这是因为以太网端口是一个无标签端口。

VLAN ID:用来标识该报文所属 VLAN 的编号。该字段长度为 12bit,取值范围为 0~4095。由 0 4095 通常不使用,所以 VLAN ID 的取值范围一般为 1~4094VLAN ID 简称 VID

交换机利用 VLAN ID 来识别报文所属的 VLAN,当接收到的数据包不携带 VLAN Tag 时,交换机会为该数据包封装带有接收端口缺省 VLAN ID VLAN Tag,将数据包在接收端口的缺省 VLAN中进行传输。

 

本手册中,对包含 VLAN Tag 字段的数据包我们简称为 tag 帧,untag 帧指数据包中没有 VLAN Tag 字段的数据包,优先级 tag 帧指数据包中有 VLAN Tag 字段,但 VLAN ID 0 的数据包。

端口的三种链路类型

 

在创建 802.1Q VLAN 时,需要根据端口连接的设备设置端口的链路类型。端口的链路类型有下面三种:

 

ACCESS:端口只能属于 1 VLAN,出口规则为 UNTAG,多为连接用户终端设备的端口。ACCESS 类型端口加入了其它 VLAN 时,则自动退出原有 VLAN

TRUNK:端口可以允许多个 VLAN 通过,可以接收和发送多个 VLAN 的报文,常用于网络设备之间级连。在网络中 VLAN 经常跨接在不同交换机上,TRUNK 类型端口的出口规则为 TAG,能够保证转发各种 VLAN 的数据包时不改变其携带的 VLAN 信息。

GENERAL:端口可以允许多个 VLAN 通过,可以接收和发送多个 VLAN 的报文,可以用于网络设备之间连接,也可以用于连接用户设备。GENERAL 类型端口的出口规则可以根据该端口连接设备的实际情况灵活配置。

PVID VLAN 数据包处理关系

PVIDPort VLAN ID,就是端口的缺省 VID。当交换机的端口接收到的报文不带 VLAN Tag

时,交换机会根据接收端口的 PVID 值为该报文插入 VLAN Tag,并进行转发。

当在局域网中划分 VLAN 时,PVID 是每个端口的一个重要参数,表示端口默认所属的 VLAN。它有两个用途:

 

 

 当端口收到untag 报文时,将根据 PVID 为数据包插入 VLAN Tag

PVID 指定了端口的默认广播域,即当端口接收到 UL 包或广播包的时候,交换机将这些数据包在该端口的缺省 VLAN 内广播。

端口的链路类型本质上是交换机对出入端口的 VLAN Tag 的处理方式,详细规则如表 6-1 所示。

 

 

端口类型

 

对接收报文的处理

 

发送报文时的处理

 

报文不带 Tag

报文带Tag

 

Access

 

 

 

VID端口 PVID,接收报文。

 

去掉 Tag 后,发送报文。

 

 

VID≠端口 PVID,丢弃报文。

 

Trunk

 

接收报文,并为

 

 

 

保持原有 Tag 发送报文。

 

报文添加缺省的

VID 属于端口允许通过的

 

 

General

 

VLAN Tag 即输

 

 

入端口的 PVID

VLAN ID 时,接收报文。

当出口规则配置为 TAG 时,

 

 

VID 不属于该端口允许通过

保持原有 tag 发送报文。

 

 

VLAN ID 时,丢弃报文。

当出口规则配置为 UNTAG

 

 

 

时,去 tag 后发送报文。

6-1 端口类型与 VLAN 数据处理关系

IEEE 802.1Q VLAN 功能包括 VLAN 配置端口配置两个配置页面。

6.1.1VLAN 配置

VLAN 配置页面中可以查看当前已经创建的 802.1Q VLAN。进入页面的方法:VLAN>>802.1Q VLAN>>VLAN 配置

 

6-3查看 VLAN 列表

 

在缺省情况下,为了保证交换机在出厂情况下能正常通信,所有端口的缺省 VLAN 均为 VLAN1只有属于 VLAN1 的端口才能访问交换机 Web 页面。VLAN1 无法编辑和删除。

条目介绍:

 

VLAN 配置列表

 

选择 勾选条目进行删除,可多选

 

VLAN ID 显示 VLAN ID

名称 显示 VLAN 的描述信息

成员 显示 VLAN 的端口成员

 

 

 

操作: 对单个 VLAN 条目进行相应操作。编辑:修改 VLAN 配置。

查看:查看 VLAN 配置信息。

点击<编辑>按键,可以对相应的 VLAN 进行编辑。点击<新建>按键,可以创建新的 VLAN

6-4 创建或编辑 802.1Q VLAN

条目介绍:

VLAN 配置

 

VLAN ID 填写 VLAN ID

VLAN 名称 填写 VLAN 的描述信息,以便区分各个 VLAN 的用途

 

 

6.1.2端口配置

在创建 802.1Q VLAN 时,需要对端口连接的设备进行了解,以便设置各端口的参数。进入页面的方法:VLAN>>802.1Q VLAN>>端口配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

6-5 802.1Q VLAN—端口配置

 

条目介绍:

 

VLAN 端口配置

 

 

选择 勾选端口配置端口类型和 PVID 值,可多选

端口 显示交换机的端口号

 

端口类型 选择交换机的端口类型。默认为 ACCESS

 ACCESS:该端口只能加入一个 VLAN,出口规则为 UNTAGPVID 值与当前 VLAN ID 的值保持相同。如果 VLAN 删除,相应端口的 PVID 会自动置为默认值 1

TRUNK:该端口可加入多个 VLAN,出口规则为 TAGPVID 

可设置为当前端口加入的任意一个 VLAN VID 值。

GENERAL:该端口可加入多个 VLAN,且允许根据不同 VLAN选择不同的出口规则,默认出口规则为 UNTAGPVID 值可设置为当前端口加入的任意一个 VLAN VID 值。

PVID 填写交换机物理端口的 PVID 值。默认为 1

LAG 显示端口当前所属的汇聚组。

所属 VLAN 查询本端口所加入的 VLAN 信息

 

 

点击<查询>按键,可以查询相应端口所属。

6-6 查看端口所属 VLAN

条目介绍:

 

端口加入的 VLAN

 

VLAN ID

显示 VLAN ID

名称:

显示 VLAN 的名称信息。

从该 VLAN 移除:

点击<移除>按键,将本端口从相应 VLAN 中移除。

 

802.1Q VLAN 配置步骤:

 

说明

1

设置端口类型

必选操作。在 VLAN>>802.1Q VLAN>> 端口配置页面根据端口连接的设备设置端口类型。

2

VLAN

VLAN>>802.1Q VLAN>>VLAN < >

必选操作。在 配置页面中点击 新建 按键创建 VLAN,请输入 VLAN ID 并对其进行描述,在此页面中请同时勾选 VLAN 包含的端口。

3

/VLAN

编辑 查看

VLAN>>802.1Q VLAN>>VLAN < > <

可选操作。在 配置页面点击 编辑 或查看>按键,可以对相应的 VLAN 进行编辑和查看。

4

删除 VLAN

可选操作。在 VLAN>>802.1Q VLAN>>VLAN 配置页面勾选相应的 VLAN

条目,点击<删除>按键进行删除。

6.2MAC VLAN

 

MAC VLAN VLAN 的另一种划分方法,根据每个主机的 MAC 地址来划分 VLAN,即对每个主机的 MAC 地址均划分到 VLAN 中。MAC VLAN 的优点在于,将 MAC 地址与 VLAN 绑定后,该MAC 地址对应的设备可以随意切换端口,只要连接到相应 VLAN 的成员端口即可,而不必改变 VLAN 成员的配置。

MAC VLAN 中数据包处理有如下特点:

当端口收到 UNTAG 数据包时,首先查看是否创建配置相应的 MAC VLAN,若已创建 MAC VLAN,则给数据包插入 MAC VLAN TAG;若没有相应的 MAC VLAN,则根据接收端口的 PVID 值给数据包插入TAG,并将数据包在相应的 VLAN 中转发。

当端口收到TAG 数据包时,交换机按照 802.1Q VLAN 的方式处理该帧。如果接收端口允许该

VLAN 的数据包通过,则正常转发;如果不允许,则丢弃该数据包。

 

 

 

将某个主机的 MAC 划分到 802.1Q VLAN 中后,为了保证该主机能够在此 VLAN 内正常通信,请将其接入端口设置成相应的 802.1Q VLAN 成员。详情请查看表 6-1 端口类型与 VLAN 数据处理关系。

6.2.1MAC VLAN

 

MAC VLAN 页面中,可以创建 MAC VLAN 并查看当前已创建的 MAC VLAN。进入页面的方法:VLAN>>MAC VLAN>>MAC VLAN

 

6-7 创建并查看 MAC VLAN

条目介绍:

 

MAC VLAN 配置

 

 

MAC 地址:

输入 MAC 地址。

 

MAC 描述:

输入对 MAC 地址的描述,以便区分各个 MAC 的用途。

 

VLAN ID

输入该 MAC VLAN 对应的 VLAN ID,此 VLAN 必须是输入端口所

 

 

在的 802.1Q VLAN

 

MAC VLAN 列表

 

 

选择:

勾选条目进行删除,可多选。

 

MAC 地址:

显示 MAC 地址。

 

MAC 描述:

显示此 MAC 的描述信息,以便区分各个 MAC 的设备。

 

VLAN ID

显示该 MAC 对应的 VLAN ID

 

操作:

点击对应条目<编辑>按键,可以修改该条目的参数。修改完毕后,

 

 

点击<修改>按键,修改内容生效。

MAC VLAN 配置步骤:

步骤

操作

说明

 

 

 

 

 

 

VLAN VLAN>>802.1Q VLAN>>VLAN <

 

 

 

 

 

 

 

 

 

6.2.2端口启用

在端口启用页面中,您可以启用端口的 MAC VLAN 功能,只有启用了端口的 MAC VLAN 功能,MAC VLAN 功能才能生效。

 

进入页面的方法:VLAN→MAC VLAN→端口使能 

 

 

6-1 开启 MAC VLAN 端口

配置过程

UNIT:单击 1 以配置物理端口。单击 LAGS 配置链路聚合组。

选择您想要设为 MAC VLAN 的端口。默认情况下,所有端口都禁用了 MAC VLAN 的功能。

 

操作

描述

1

设置端口类型

必选操作。在 VLAN>>802.1Q VLAN>>端口配置页面结合实际网络

结构设置端口链路类型。

 

2

创建 VLAN.

必选操作。在

配置页面中点击 新

VLAN>>802.1Q VLAN>>VLAN

<

>按键创建 VLAN,请输入 VLAN ID 并对其进行描述,在此页面中

请同时勾选 VLAN 包含的端口。

 

3

创建 MAC VLAN.

必选操作。在 VLAN>>MAC VLAN>>MAC VLAN 页面创建 MAC

VLAN。创建了 MAC VLAN 后,对应 MAC 地址的设备在交换机上的

连接端口也必须是 VLAN 成员,才能保证正常通信。

 

4

选择您要启用 MAC

必选操作。在 VLAN>>MAC VLAN>>端口使能页面中,选择和启用

 

 

 

步骤

操作

描述

 

VLAN 的端口

端口的 MAC VLAN 功能。

 

6.3协议 VLAN

 

协议VLAN 是按照网络层协议来划分VLAN,可将网络中应用的服务类型与协议 VLAN 进行绑定,并实现特定目标。通过配置协议 VLAN,交换机可以对端口上收到的未携带 VLAN Tag 的报文进行分析,根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配,为匹配成功的报文添加相应的VLAN Tag,实现将属于指定协议的数据自动分发到特定的 VLAN 中传输的功能。对于希望针对具体应用和服务来管理用户的网络管理员,可通过划分协议 VLAN 来进行管理。

以太网数据封装格式

 

为清楚地了解交换机对报文协议的识别过程,先简略介绍以太网常用的数据封装格式。目前以太网的报文封装主要有两种,分别为 Ethernet II 封装和 802.2/802.3 封装,两种报文的封装格式如下:

Ethernet II 封装

802.2/802.3 封装

DASA 分别表示报文的目的 MAC 地址和源 MAC 地址,数字表示此字段的长度,单位为字节,如源目的 MAC 地址字段共占用了 12 字节。

由于以太网报文的最大长度为 1500 字节,转换成 16 进制数字为 0x05DC,所以 802.2/802.3封装的 Length 字段取值范围为 0x00000x05DC。而 Ethernet II 型封装中的 Type 字段取值范围为 0x06000xFFFFType Length 字段取值为 0x05DD0x05FF 的报文将被认为是非法报文,交换机将直接丢弃。交换机根据这两个字段的取值范围的不同来区分 Ethernet II 802.2/802.3 型报文。

802.2/802.3 封装有 3 种扩展封装格式:

802.3raw 封装

在源地址和目的地址之后只封装 Length 字段,之后即是 DATA,没有其他字段。目前只有 IPX 议支持 802.3 raw 封装。802.3 raw 封装在 Length 字段后两个字节的取值固定为 0xFFFF

802.2LLCLogic Link Control,逻辑链路控制)封装

在源、目的地址后封装 LengthDSAPDestination Service Access Point,目的服务访问 点)、SSAPSource Service Access Point,源服务访问点)Control 字段,其中 Control

字段的取值固定为 3802.2 LLC 封装中的 DSAP SSAP 是用来标识上层协议类型的字段。例如,当两个字段同时取值为 0xE0 时,表示上层协议为 IPX

 

 

 

802.2 SNAPSub-Network Access Protocol,子网接入协议)封装按 802.3 标准型报文进行封装。在 802.2 SNAP 封装中,DSAP SSAP 字段的取值均固定为 0xAAControl 字段取值3。交换机根据DSAP SSAP 字段的取值区分 802.2 LLC 802.2 SNAP 封装。

以太网报文到底采用哪种封装格式,取决于发送该报文的设备,同一个设备可能可以同时发送两种格式的报文。目前最常使用的封装格式是 Ethernet II 封装格式。

IP 协议、ARP 协议、和 RARP 协议均支持 802.3 Ethernet II 两种报文封装格式,但是并非所有协议都支持上述所有封装格式。交换机通过匹配两种封装类型的特征值来区分报文所属的协议。

 

交换机对报文协议的匹配规则

 

交换机协议VLAN 的实现方式

 

本交换机可以通过协议模板来匹配报文,根据协议在指定的 VLAN 中传输报文。协议模板是用来匹配报文所属协议类型的标准,包括封装格式协议类型两部分。在创建协议 VLAN 前需要设定相应的协议模板。表 6-2 是常见网络层协议支持的封装格式,设置协议模板可以参考。同时交换机也预设的部分协议模板,可以直接根据相应的协议模板创建协议 VLAN

 

封装

 

 

 

 

协议

Ethernet II

802.3 raw

802.2 LLC

802.2 SNAP

IP0x0800

支持

不支持

不支持

支持

 

 

 

 IPX0x8137

支持

支持

支持

支持

AppleTalk0x809B

支持

不支持

不支持

支持

 

6-2 常见协议支持的封装格式本交换机对各种VLAN 数据包处理特点

当端口收到UNTAG 数据包时,首先查看是否创建配置相应的协议 VLAN,若已创建协议 VLAN,则给数据包插入协议VLAN TAG;若没有相应的协议 VLAN,则根据接收端口的 PVID 值给数据包插入TAG,并将数据包在相应的 VLAN 中转发。

当端口收到TAG 数据包时,交换机按照 802.1Q VLAN 的方式处理该帧。如果接收端口属于携带该VLAN TAG 的数据包通过,则正常转发;如果不属于,则丢弃该数据包。

创建了协议VLAN 后,为了保证数据的正常传输,请将协议VLAN 的使能端口设置为相应

802.1Q VLAN 成员。详情请查看表 6-1 端口类型与VLAN 数据处理关系。

6.3.1协议组列表

在协议组列表页面中,可以查看、创建或编辑协议 VLAN进入页面的方法:VLAN>>协议 VLAN>>协议组列表

6-8 协议组列表

条目介绍:

协议 VLAN 列表

 

选择 勾选条目进行删除,可多选

 

协议类型 显示协议 VLAN 的协议类型

VLAN ID 显示协议 VLAN ID

成员 显示协议 VLAN 成员端口

操作: 点击对应条目<编辑>按键,可以修改该条目的参数。修改完毕后,点击<修改>按键,修改内容生效。

点击<新建>按钮,可以创建新的协议 VLAN

6.3.2协议组配置

在此页面中,可以修改相应的协议 VLAN

 

 

进入页面的方法:VLAN>>协议 VLAN>>协议组配置

 

6-9 协议组配置

条目介绍:

协议组配置

 

协议类型 选择需要修改的协议 VLAN 类型

VLAN ID 配置协议 VLAN ID

协议组成员

 

端口选择:

勾选协议 VLAN 成员端口,将成员端口与协议 VLAN 进行关联。设

 

置了协议 VLAN 成员端口后,当这些端口收到 Untag 数据包时,将

 

优先判断是否存在相应的协议 VLAN。若存在,则将数据包在相应

 

的协议 VLAN 中转发数据包;若不存在,则将数据包按照 802.1Q

 

VLAN 规则进行转发。

注意:

 

 

 

 

 

 

 

6.3.3协议模板

配置协议VLAN 前应先配置协议模板,本交换机在出厂默认情况下已经定义了IPARP RARP

等协议模板,若需要更多的协议模板时,请在此页面中添加。进入页面的方法:VLAN>>协议 VLAN>>协议模板

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

 

 

6-10 协议模板

条目介绍:

协议模板配置

 

 

协议类型:

配置新定义的协议模板的名称。

 

以太网类型:

配置该协议模板中协议类型值。

 

帧格式:

配置该协议使用的封装格式。

 

协议模板列表

 

 

选择:

勾选条目进行删除,可多选。

 

序号:

显示协议序号。

 

协议类型:

显示协议模板的名称。

 

协议类型:

显示该协议模板中协议类型值。

 

注意:

当协议模板与 VLAN 

 

 

定后,将无法删除协议模板。

协议 VLAN 配置步骤:

 

操作

说明

1

设置端口类型

必选操作。在 VLAN>>802.1Q VLAN>>端口配置页面结合实

际网络结构设置端口链路类型。协议 VLAN 成员端口的在协

VLAN 中出口规则需要设置为 Untag

2

创建 VLAN

必选操作。在 VLAN>>802.1Q VLAN>>VLAN 配置页面中点

<新建>按键创建 VLAN,请输入 VLAN ID 并对其进行描述,

 

 

 

操作

说明

 

 

在此页面中请同时勾选 VLAN 包含的端口。

3

创建协议模板

必选操作。配置协议 VLAN 前应先在 VLAN>>协议 VLAN>>

协议模板页面配置协议模板。

4

创建协议 VLAN

必选操作。在 VLAN>>协议 VLAN>>协议组列表页面中点击<

新建>按键来创建协议 VLAN

5

编辑/查看 VLAN

可选操作。在 VLAN>>协议 VLAN>>协议组列表页面点击<

>按键对相应的 VLAN 进行编辑。

6

删除 VLAN

可选操作。在 VLAN>>协议 VLAN>>协议组列表页面勾选相

应的 VLAN 条目,点击<删除>按键进行删除。

 

6.4802.1Q VLAN 功能的组网应用

组网需求

交换机 A 连接了计算机 A 和服务器 B交换机 B 连接了计算机 B 和服务器 A计算机 A 和服务器 A 同属于一个部门;计算机 B 和服务器 B 同属于一个部门;

两个部门以 VLAN 划分,相互之间不能通信。组网图

 

图中的“P 数字表示交换机的端口号。

 

 

配置步骤

配置交换机 A

 

 

 

 

必选操作。 端口配置页面设置端 的类

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

配置交换机 B

 

 

VLAN>>802.1Q VLAN>> 7

VLAN10 VLAN>>802.1Q VLAN>>VLAN < >

VLAN20 VLAN>>802.1Q VLAN>>VLAN < >

 

 

6.5MAC VLAN 功能的组网应用

组网需求

交换机 A 和交换机 B 分别连接到两个会议室,会议室为各部门共用;笔记本 A 和笔记本 B 为会议室专用电脑,分别属于不同部门;

两个部门分别属于 VLAN10 VLAN20。现要求这两台笔记本电脑无论在哪个会议室使用,均只能访问自己部门的服务器,即服务器 A 和服务器 B

笔记本 A 和笔记本 B MAC 地址分别为 00-19-56-8A-4C-7100-19-56-82-3B-70

 

 

组网图

图中的“P 数字表示交换机的端口号。配置步骤

配置交换机 A

 

 

 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

配置交换机 B

 

 

 

 

必选操作。 端口配置页面设置端 的端

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 设置端口类型

 

 

必选操作。 端口配置页面设置端

 

 

和端口

 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

6.6协议 VLAN 功能的组网应用

组网需求

平面部门通过内部交换机 A 的端口 1 连入公司局域网;平面部门中分别有 IP 主机和 AppleTalk 主机;

IP 主机需要 IP 网络服务器提供服务,属于 VLAN10AppleTalk 主机需要 AppleTalk 服务器提供服务,属于 VLAN20

交换机 A 分别连接了 IP 网络服务器和 AppleTalk 网络服务器;

 

 

组网图

图中的“P 数字表示交换机的端口号。配置步骤

配置交换机 A

 

 

 

 

必选操作。 端口配置页面设置端 和端

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 

 

 

 

 

1 设置端口类型

 

 

必选操作。 端口配置页面设置端

 

 

和端口

 

 

 

 

 

 必选操作。 配置页面中点击 新建 

 

 

 

 

 

VLAN20 VLAN>>802.1Q VLAN>>VLAN <>

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6.7VLAN VPN

 

VLAN VPN(虚拟私有网络)是近年来随着 Internet 的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。VLAN-VPN 通过在运营商接入端为用户的私网报文封装外层 VLAN Tag,使报文携带两层 VLAN Tag, 穿越运营商的骨干网络。

VLAN-VPN 功能为您提供了以下好处:

为小型局域网或企业内部网提供了简单的二层 VPN 解决方案。节约公用网络 VLAN ID 资源。

用户可以规划自己的私网 VLAN ID,不会导致和公网 VLAN ID 冲突。

ISP 进行网络升级时,用户网络可以在不改变当前配置的情况下正常工作

此外,该交换机支持调整 VLAN VPN 数据包的 TPID 值。TPID(标签协议标识符)VLAN Tag 中的一个字段。IEEE 802.1 Q 定义 TPID 的默认值是 0x8100。该交换机采用协议定义的 TPID 默认值

0x8100。其他制造商可以在 VLAN-VPN 数据包的外部 tag 中使用其他 TPID (0x9100 0x9200)。为兼容其他厂商的设备,该交换机可以调整 VLAN-VPN 数据包的 TPID 值,您可以自己配置。当一个端口接收到一个数据包时,这个端口会将数据包的外部 VALN tag 替换成用户自己定义的 TPID 值,再重新发送数据包。因此,发送到公共网络的 VLAN-VPN 数据包可以被其他制造

商的设备所识别。

 

以太网数据包中 TPID 字段的位置与不带 VLAN tag 数据包中的协议类型字段的位置相同。因此,为了避免在交换机转发或接收数据包时发生冲突,您不能将以下表中所列的协议类型值配置为 TPID 值。

 

协议类型

数值

ARP

0x0806

IP

0x0800

MPLS

0x8847/0x8848

IPX

0x8137

 

 

 

协议类型

数值

IS-IS

0x8000

LACP

0x8809

802.1X

0x888E

6-1常用的以太网帧协议类型值本功能包括 VPN 配置、端口使能VLAN 映射三个配置页面。

 

6.7.1VPN 配置

在这个页面,你可以启用/禁用 VPN 功能,调整 VLAN-VPN 数据包的全局 TPID,使能 VPN 上联端口。VPN 模式启用时,交换机将根据 VLAN 映射条目对接收到的有标记的数据包添加一个标记。

进入页面的方法:VLAN→VLAN VPN→VPN 配置

 

6-2VPN 全局配置

 

以下的条目显示在这个屏幕上: 

 

全局配置

 

VPN 模式

选择启用/禁用 VLAN-VPN 功能。

全局 TPID

填写全局 TPID

VPN 上联端口

 

单元

单击 1 以配置物理端口。单击 LAGS 配置链路聚合组。

VPN 上联端口

勾选端口作为 VPN 上联端口。

 

注意:

如果启用了 VPN 模式

 

 

,请在 VLAN 映射功能页面上创建 VLAN 映射条目。

 

 

6.7.2端口使能

在这个页面上,可以启用端口的 VLAN VPN 功能。只有启用了端口,VLAN 映射功能的配置才能生效。

 

6-3 开启 VLAN 映射端口

VPN 端口使能

UNIT 单击 1 以配置物理端口。单击 LAGS 配置链路聚合组。勾选端口启用 VLAN VPN 功能,默认情况下所有端口都不启用 VLAN VPN 功能。

6.7.3VLAN 映射

VLAN 映射功能将根据 VLAN 映射关系,在数据包的 VLAN tag 之前插入一个新的 VLAN tag。数据包可以在新的 VLAN 中转发。如果启用了 VLAN VPN 功能,接收到的已经携带 VLAN tag 的数据包将会基于 VLAN 映射条目再封装上一个 tag,变成双重标记的数据包,在新的 VLAN 中继续转发。

进入页面的方法:VLAN→VLAN VPN→VLAN 映射

 

6-4 新建 VLAN 映射端口

 

 

 

以下的条目显示在这个屏幕上: 

 

全局配置

 

 

VLAN 映射:

启用/禁用 VLAN 映射功能

 

VLAN 映射配置

 

 

端口

选择或者输入端口号。

 

C VLAN

Customer VLAN ID用户 VLAN ID

 

SP VLAN

Service Provider VLAN ID服务商 VLAN ID

 

名称

配置 VLAN 映射条目名称。

VLAN 映射列表

 

 勾选条目进行删除,可多选

端口 显示 VLAN 端口

C_VLAN 显示 C_VLAN 信息。

SP_VLAN 显示 SP_VLAN 信息。

名称 显示 VLAN 名称信息

操作: 点击对应条目【编辑】按键,可以修改该条目的参数。修

完毕后,点击【修改】按键,修改内容生效。单击<编辑>可以进行 VLAN 映射列表相关配置

 

 

6-5 VLAN 映射入口配置

 

 

 

 

VLAN VPN 功能的配置过程:

 

 

步骤

操作

 

启用 VPN 模式。

必选操作。在 VLAN→VLAN VPN→VPN 配置页面使能 VPN

模式。

 

配置全局 TPID

可选操作。在 VLAN→VLAN VPN→VPN 配置页面基于上联端口连接的设备,配置全局 TPID

 

设置 VPN 上联端口。

必选操作。在 VLAN→VLAN VPN→VPN 配置页面设置端口为 VPN 上联端口。连接到主干网络的端口需设置为上联端口。

 

创建 VLAN 映射条目。

必选操作。在 VLAN→VLAN VPN→VLAN 映射页面根据实际的应用需求配置 VLAN 映射条目。

 

创建 SP(服务提供者)VLAN

可选操作。在 VLAN→802.1Q VLAN 页面创建 SP VLAN。创

VLAN 的步骤,请参考 802.1Q VLAN 章节。

 

VLAN 映射功能的配置过程:

 

步骤

操作

描述

 

创建 VLAN 映射条目。

必选操作。在 VLAN→VLAN VPN→VLAN 映射页面根据实际的应用需求配置 VLAN 映射条目。

 

启用端口的 VLAN 映射功能。

必选操作。VLAN→VLAN VPN→端口使能页面使能端口的 VLAN 映射功能。

 

创建 SP(服务提供者)VLAN

可选操作。在 VLAN→802.1Q VLAN 页面创建 SP VLAN。创VLAN 的步骤,请参考 802.1Q VLAN 章节。

6.8GVRP

GVRPGARP VLAN Registration ProtocolGARP VLAN 注册协议)GARPGeneric Attribute

Registration Protocol,通用属性注册协议)的一种应用。它通过在端口动态注册和注销 VLAN 息来达到创建或删除 VLAN 的目的,并传播 VLAN 信息到其它交换机中,减少配置 VLAN 时烦琐的手动操作。

GARP 简介

 

GARP 提供了一种机制,用于协助同一个局域网内的交换成员之间分发、传播和注册某种信息。GARP本身不作为一个实体存在于设备中,遵循 GARP 协议的应用实体称为 GARP 应用,GVRP 就是 GARP的一种应用。当 GARP 应用实体存在于设备的某个端口上时,该端口称为 GARP 应用实体。

网络中的 GARP 应用实体之间通过传递 GARP 消息来完成相关的信息交换,GARP 协议定义有三类消息,分别为 Join 消息、Leave 消息和 LeaveAll 消息,三种消息完成相关属性信息的注册或注销。

 

 

 

Join 消息:当一个 GARP 应用实体希望其它设备注册自己的属性信息时,它将对外发送 Join 息;当收到其它实体的 Join 消息或本设备静态配置了某些属性,需要其它 GARP 应用实体进行注册时,它也会向外发送Join 消息。

Leave 消息:当一个 GARP 应用实体希望其它设备注销自己的属性信息时,它将对外发送 Leave 消息;当收到其它实体的 Leave 消息注销某些属性或静态注销了某些属性后,它也会向外发送 Leave 消息。

LeaveAll 消息:每个 GARP 应用实体启动后,将同时启动 LeaveAll 定时器。当该定时器超时后, GARP 应用实体将对外发送 LeaveAll 消息,LeaveAll 消息用来注销所有的属性,以使其它 GARP应用实体重新注册本实体上所有的属性信息。

 

通过消息交互,所有待注册的属性信息可以传播到同一局域网中的所有 GARP 应用实体。

 

GARP 消息发送的时间间隔通过定时器来控制。GARP 协议定义了四种定时器,用于控制 GARP

消息的发送周期:

 

Hold 定时器:GARP 应用实体接收到其它设备发送的注册信息时,不会立即将该注册信息作为一条 Join 消息对外发送,而是启动 Hold 定时器,当该定时器超时后,GARP 应用实体将此时段内收到的所有注册信息放在同一个Join 消息中向外发送,从而节省带宽资源。

Join 定时器:GARP 应用实体可以通过将每个 Join 消息向外发送两次来保证消息的可靠传输,在第一次发送的 Join 消息没有得到回复的时候,GARP 应用实体会第二次发送 Join 消息。两次 Join消息发送之间的时间间隔用Join 定时器来控制。

Leave 定时器:当一个 GARP 应用实体希望注销某属性信息时,将对外发送 Leave 消息,接收到该消息的 GARP 应用实体启动 Leave 定时器,如果在该定时器超时之前没有收到 Join 消息,则注销该属性信息。

 

LeaveAll 定时器:每个 GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后,

GARP 应用实体将对外发送LeaveAll 消息,以使其它 GARP 应用实体重新注册本实体上所有的属性

息。随后再启动LeaveAll 定时器,开始新的一轮循环。

GVRP 简介

 

GVRP GARP 的一种应用。它基于 GARP 的工作机制,维护设备中的 VLAN 动态注册信息,并传播VLAN 信息到其它设备中。

设备启动 GVRP 特性后,能够接收来自其它设备的 VLAN 注册信息,并动态更新本地的 VLAN 册信息,包括当前的 VLAN 成员、这些 VLAN 成员可以通过哪个端口到达等;同时设备能够将本地的 VLAN 注册信息向其它设备传播,以便使同一局域网内所有设备的 VLAN 信息一致。GVRP传播的 VLAN 注册信息既包括本地手工配置的静态注册信息,也包括来自其它设备的动态注册信息。

 

在本交换机中,只有TRUNK 类型端口才能作为GVRP 应用实体,维护交换机的VLAN 注册信息。

GVRP 的端口注册模式有三种:NormalFixed Forbidden,各模式描述如下:

Normal 模式:允许该端口动态注册、注销VLAN,传播动态VLAN 以及静态VLAN 信息。

 

 

 

Fixed 模式:禁止该端口动态注册、注销 VLAN,只传播静态VLAN 信息,不传播动态VLAN 信息。Fixed 模式的端口只允许本端口所属的静态 VLAN 信息通过。

Forbidden 模式:禁止该端口动态注册、注销 VLAN,不传播除VLAN1 以外的任何的VLAN 息。

Forbidden 模式的端口,只允许系统默认 VLANVLAN1)通过。进入页面的方法:VLAN>>GVRP>>GVRP 配置

 

6-11 配置 GVRP

 

条目介绍:

全局配置

 

GVRP 功能 选择是否启用交换机的 GVRP 功能

端口配置

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

端口选择:

 

 

点击<选择>按键,可根据所输端口号快速查找相应条目。

选择:

勾选端口,配置端口 GVRP 功能参数,可多选。

端口:

显示交换机的端口号。

状态:

选择是否启用此功能。端口启用 GVRP 功能之前需要将端口类型设

 

置为 Trunk

注册模式:

选择端口的注册模式。

 

Normal 模式:允许该端口动态注册、注销 VLAN,传播动态 VLAN

 

以及静态 VLAN 信息。

 

Fixed:禁止该端口动态注册、注销 VLAN,只传播静态 VLAN 

 

息,不传播动态 VLAN 信息。

 

Forbidden:禁止该端口动态注册、注销 VLAN,只允许缺省 VLAN

 

通过。

LeaveAll 定时器:

每个端口启动 GARP 后,同时启动 LeaveAll 定时器,端口将对外循

 

环发送 LeaveAll 消息,以使其它端口重新注册其所有的属性信息。

 

LeaveAll 定时器的取值范围为 1000-30000 厘秒。

Join 定时器:

GARP 端口可以将每个 Join 数据包向外发送两次来保证消息的可靠

 

传输,两次发送之间的时间间隔用 Join 定时器来控制。Join 定时器

 

的取值范围为 20-1000 厘秒。

Leave 定时器:

接收到Leave 数据包的 GARP 端口启动Leave 定时器,如果在该

 

定时器超时之前没有收到 Join 数据包,则注销相应属性信息。Leave

 

定时器的取值范围为 60-3000 厘秒。

LAG

显示端口当前所属的汇聚组。

注意:

LeaveAll 定时器值要大于等于 10

 

 

Leave 定时器,Leave 定时器值要大于等于 2 Join 定时器。

 

GVRP 配置步骤:

 

步骤

操作

说明

 

设置端口类型

必选操作。在 VLAN>>802.1Q VLAN>>端口配置页面将端口类型设置为TRUNK

 

启用 GVRP 功能

必选操作。在 VLAN>>GVRP 页面启用 GVRP 功能。

 

配置端口的注册模式以及各定时器时长。

必选操作。在 VLAN>>GVRP 页面中根据实际应用情况设置端口的参数并启用端口。

 

6.9私有 VLAN

 

私有 VLAN 旨在节省 VLAN 资源、防止广播风暴。为保证用户信息安全,易于服务提供商管理,在校园网络中,服务提供者通常要求每个用户是 2 层分离的,VLAN 可以解决这个问题。然而,IEEE

 

 

 

802.1Q 协议规定一个设备最多只能支持 4094 VLAN。如果一个服务提供者为每个用户分配一个 VLANVLAN 将远远不够,这将导致服务提供者能够支持的用户数量比较有限。

私有 VLAN 采用 2 VLAN 结构。私有 VLAN 包含一个主 VLAN 和一个辅助 VLAN,提供一种机制来实现不同端口的 2 层分离。对于上行设备,从下游接收到的所有数据包没有 VLAN 标记,上行设备需要识别主 VLAN 而不是辅助 VLAN。因此,它们可以在不考虑底层 VLAN 配置的情况下节VLAN 资源。与此同时,服务提供者可以为每个用户分配一个单独的辅助 VLAN,实现用户 2 隔离。

私有 VLAN 技术主要用于校园或企业网络实现用户的 2 层分离和节省 VLAN 资源。私有 VLAN 的组成

Promiscuous 端口: Promiscuous 端口与上行设备连接和通信。Promiscuous 端口的PVID 与主

VLAN ID 相同,一个Promiscuous 端口只能加入到一个主 VLAN

 

Host 端口:Host 端口与终端设备连接并通信。Host 端口的PVID 与辅助VLAN ID 相同,一个Host

端口只能属于一个私有 VLAN

 

VLAN:一个私有 VLAN 包括一个主 VLAN 和一个辅助 VLAN。主 VLAN 是上行设备可以识别的用户 VLAN 但不是终端用户所在的实际 VLAN。私有 VLAN 中的每个端口都是主 VLAN 的成员。主 VLAN Promiscuous 端口可以和Host 端口通信,也可以和其他 Promiscuous 端口通信。

辅助 VLAN:辅助VLAN 是终端用户所在的实际VLAN。辅助VLAN 与主 VLAN 相关联,用于从主机到上行设备的通信。辅助 VLAN 有两种类型:

隔离 VLAN-与隔离端口相关联的 VLAN 是隔离 VLAN。每个隔离 VLAN 必须绑定一个主

VLAN

团体 VLAN-与团体端口相关联的 VLAN 是团体 VLAN。每个团体 VLAN 必须绑定一个主

VLAN

私有 VLAN 特性

 

一个私有VLAN 包含一个主 VLAN 和一个辅助VLAN一个VLAN 不能同时被设置为主VLAN 和辅助 VLAN一个辅助VLAN 只能加入一个私有VLAN

一个主VLAN 可以与多个辅助VLAN 关联,从而创建多个私有 VLAN私有 VLAN 的实现

为了确保从上行设备中无法看到辅助 VLAN 信息,并且节省VLAN 资源,私有VLAN(包含一个主 VLAN 和一个辅助VLAN)需要以下特点:

从不同辅助VLAN 转发的数据包可以通过Promiscuous 端口发送到上行设备,并且没有辅助

VLAN 信息。

从主VLAN 转发的数据包可以通过Host 端口发送到终端用户,并且没有主 VLAN 信息。PVLAN 配置和端口配置页面上实现了私有 VLAN 的功能。

 

 

6.9.1PVLAN 配置

在这个页面上,您可以创建私有 VLAN 并查看当前定义的私有VLAN 信息。进入页面的方法:VLAN→私有 VLAN→PVLAN

 

6-6 新建私有 VLAN

 

以下的条目会显示在屏幕上: 

创建私有 VLAN

 

 

VLAN

填写主 VLAN ID

 

辅助 VLAN

填写辅助 VLAN ID

 

辅助 VLAN 类型

显示私有 VLAN 的辅助 VLAN 类型。

查找条目

 

 

查找选项

选择私有 VLAN 的显示规则,可以帮助您快速查找到所需的条目。

 

全部

填写欲查找条目需包含的主 VLAN ID 或辅助 VALN ID

 

VLAN ID

填写欲查找条目需包含的主 VLAN ID

 

辅助 VLAN ID

填写欲查找条目需包含的辅助 VLAN ID

 

私有 VLAN

 

 

选择

勾选条目进行删除或修改交换机私有 VLAN 配置信息,可多选。

 

VLAN

显示私有 VLAN 的主 VLAN ID

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

辅助 VLAN

 

 

显示私有 VLAN 的辅助 VLAN ID

端口

显示私有 VLAN 的端口号。

     

 

 

6.9.2端口配置

私有 VLAN 支持的接口类型有两种:Promiscuous Host。一般来说,Promiscuous 端口和上行设备相连,Host 端口和用户端的电脑或者服务器相连。

进入页面的方法:VLAN→私有 VLAN→端口配置

 

 

 

6-7 端口配置

以下的条目显示在屏幕上: 

端口配置

 

选择的端口

在此处选择需配置的端口号。你可以手动输入一个或者从下面的

 

端口列表中选择一个。

端口类型

从下拉列表中选择端口类型。

VLAN

指定端口所属的主 VLAN

辅助 VLAN

指定端口所属的辅助 VLAN

 

 

私有 VLAN 端口列表

 

端口 显示私有 VLAN 的端口号

端口类 显示对应的端口类型

 

配置过程:

 

步骤

操作

描述

1

创建私有 VLAN

必选操作。在 VLAN→私有 VLAN→PVLAN 配置页面输入主 VLAN 和辅助 VLAN,选择一种辅助 VLAN,然后单击创建按钮。

2

添加端口到私有 VLAN

必选操作。在 VLAN→私有 VLAN→端口配置页面中选择所需的端口和配置端口类型并单击应用按钮。

3

删除 VLAN

可选操作。在 VLAN→私有 VLAN→PVLAN 配置页面中,选                              择所需删除 VLAN 的条目,单击删除按钮。

 

 

7.生成树

STPSpanning Tree Protocol,生成树协议)是根据 IEEE 802.1D 标准建立的,用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免设备由于重复接收相同的报文所造成的报文处理能力下降的问题发生。

STP 采用的协议报文是 BPDUBridge Protocol Data Unit,桥协议数据单元),也称为配置消息, BPDU 中包含了足够的信息来保证设备完成生成树的计算过程。STP 即是通过在设备之间传递 BPDU 来确定网络的拓扑结构。

BPDU 格式及字段说明

要实现生成树的功能,交换机之间传递 BPDU 报文实现信息交互,所有支持 STP 协议的交换机都会接收并处理收到的报文。该报文在数据区里携带了用于生成树计算的所有有用信息。

标准生成树的 BPDU 帧格式及字段说明:

 

Protocol identifier协议标识 Version 协议版本 Message type BPDU 类型 Flag 标志位

Root ID 根桥 ID,由 2 字节的优先级和 6 字节 MAC 地址构成

Root path cost 根路径开销

Bridge ID ID,表示发送 BPDU 的桥的 ID,由 2 字节优先级和 6 字节 MAC 地址构成

Port ID 端口 ID,标识发出 BPDU 的端口

Message age BPDU 生存时间

Maximum age 当前 BPDU 的老化时间,即端口保存 BPDU 的最长时间

Hello time 根桥发送 BPDU 的周期

Forward delay 表示在拓扑改变后,交换机在发送数据包前维持在监听和学习状态的时间

STP 的基本概念

IDBridge Identifier:桥 ID 是桥的优先级和其 MAC 地址的综合数值,其中桥优先级是一个可以设定的参数。桥 ID 越低,则桥的优先级越高,这样可以增加其成为根桥的可能性。

 

 

 根桥Root Bridge:具有最小桥 ID 的交换机是根桥。请将环路中所有交换机当中最好的一台设置为根桥交换机,以保证能够提供最好的网络性能和可靠性。

 

指定桥Designated Bridge):在每个网段中,到根桥的路径开销最低的桥将成为指定桥,数据包将通过它转发到该网段。当所有的交换机具有相同的根路径开销时,具有最低的桥 ID 的交换机会被选为指定桥。

根路径开销Root Path Cost):一台交换机的根路径开销是根端口的路径开销与数据包经过的所有交换机的根路径开销之和。根桥的根路径开销是零。

 

桥优先级Bridge Priority:是一个用户可以设定的参数,数值范围从 0 61440。设定的值越小,优先级越高。交换机的桥优先级越高,才越有可能成为根桥。

 

根端口Root Port):非根桥的交换机上离根桥最近的端口,负责与根桥进行通信,这个端口到根桥的路径开销最低。当多个端口具有相同的到根桥的路径开销时,具有最高端口优先级的端口会成为根端口。

指定端口Designated Port:指定桥上向本交换机转发数据的端口。

端口优先级Port Priority:数值范围从 0 255,值越小,端口的优先级就越高。端口的优先级越高,才越有可能成为根端口。

 

路径开销Path Cost):STP 协议用于选择链路的参考值。STP 协议通过计算路径开销,选择较强壮的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构。

生成树基本概念的组网示意图如图 7-1 所示。交换机 ABC 三者顺次相连,经 STP 计算过后,交换机 A 被选为根桥,端口 2 和端口 6 之间的线路被阻塞。

桥:交换机 A 为整个网络的根桥;交换机 B 是交换机 C 的指定桥。

端口:端口 3 和端口 5 分别为交换机 B 和交换机 C 的根端口;端口 1 和端口 4 分别为交换机 A

和交换机 B 的指定端口;端口 6 为交换机 C 的阻塞端口。

 

7-1 生成树基本概念组网图

STP 定时器

联络时间Hello Time):

 

数值范围从 1 秒到 10 秒。是指根桥向其它所有交换机发出 BPDU 数据包的时间间隔,用于交换机检测链路是否存在故障。

 

 

老化时间Max. Age):

数值范围从 6 秒到 40 秒。如果在超出老化时间之后,还没有收到根桥发出的 BPDU 数据包,那么交换机将向其它所有的交换机发出 BPDU 数据包,重新计算生成树。

传输时延Forward Delay):

数值范围从 4 秒到 30 秒。是指交换机的端口状态迁移所用的时间。

 

当网络故障引发生成树重新计算时,生成树的结构将发生相应的变化。但是重新计算得到的新配置消息无法立刻传遍整个网络,如果端口状态立刻迁移的话,可能会产生暂时性的环路。为此,生成树协议采用了一种状态迁移的机制,新的根端口和指定端口开始数据转发之前要经过 2 倍的传输时延,这个延时保证了新的配置消息已经传遍整个网络。

STP 模式的 BPDU 的优先级比较原则假定有两条 BPDU X Y,则:

如果 X 的根桥 ID 小于 Y 的根桥 ID,则 X 优于 Y

如果 X Y 的根桥 ID 相同,但 X 的根路径开销小于 Y,则 X 优于 Y

如果 X Y 的根桥 ID 和根路径开销相同,但 X 的桥 ID 小于 Y,则 X 优于 Y

如果 X Y 的根桥 ID、根路径开销和桥 ID 相同,但 X 的端口 ID 小于 Y,则 X 优于 Y

STP 的计算过程初始状态

每台交换机在初始时会生成以自己为根桥的 BPDU,根路径开销为 0,指定桥 ID 为自身设备 ID指定端口为本端口。

最优 BPDU 的选择

每台交换机都向外发送自己的 BPDU,同时也会收到其它交换机发送的 BPDU。比较过程如下表所述:

 

步骤

内容

 

当端口收到的 BPDU 比本端口 BPDU 的优先级低时,交换机将丢弃接收到的 BPDU保留该端口的 BPDU;否则,交换机将接收到的 BPDU 替换成为该端口的 BPDU

 

交换机将所有端口的 BPDU 进行比较,选出最优的 BPDU 作为本交换机的 BPDU

 

 

 

 

根桥的选择


7-1最优 BPDU 的选择

 

通过交换配置消息,设备之间比较根桥 ID,网络中根桥 ID 最小的设备被选为根桥。根端口、指定端口的选择

根端口、指定端口的选择过程如下表所述:

 

步骤

内容

 

非根桥交换机将接收到最优 BPDU 的那个端口指定为根端口。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

7-2根端口、指定端口的选择

RSTP

RSTPRapid Spanning Tree Protocol,快速生成树协议)是优化版的 STP,他大大缩短了端口进

入转发状态的延时,从而缩短了网络最终达到拓扑稳定所需要的时间。RSTP 的端口状态实现快速迁移的前提如下:

 

根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据。

 

指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态。

RSTP 的基本概念

边缘端口Edge Port):直接与终端相连而不是与其它交换机相连的端口。点对点链路:是两台交换机之间直接连接的链路。

MSTP

MSTPMultiple Spanning Tree Protocol,多生成树协议)是在 STP RSTP 的基础上,根据 IEEE 协会制定的 802.1S 标准建立的,他既可以快速收敛,也能使不同 VLAN 的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。

MSTP 的特点如下:

MSTP 通过 VLAN-实例映射表,把 VLAN 和生成树联系起来,将多个 VLAN 捆绑到一个实例中,并以实例为基础实现负载均衡。

MSTP 把一个生成树网络划分成多个域,每个域内形成多棵内部生成树,各个生成树之间彼此独立。

 

 

 MSTP 在数据转发过程中实现 VLAN 数据的负载分担。

MSTP 兼容 STP RSTP

MSTP 的基本概念

MST Multiple Spanning Tree Region,多生成树域):由具有相同域配置和相同 VLAN-实例映射关系的交换机所构成。

ISTInternal Spanning Tree,内部生成树):MST 域内的一棵生成树。

CSTCommon Spanning Tree,公共生成树):连接网络内所有 MST 域的单生成树。

CISTCommon and Internal Spanning Tree,公共和内部生成树):连接网络内所有设备的单生成

树,由 IST CST 共同构成。

MSTP 基本概念的组网图如图 7-2 所示。

 

7-2 MSTP 基本概念组网图

MSTP 的基本原理

 

MSTP 将整个网络划分为多个 MST 域,各个域之间通过计算生成 CST;域内则通过计算生成多棵生成树,每棵生成树都被称为是一个多生成树实例。MSTP STP 一样,使用 BPDU 进行生成树的计算,只是 BPDU 中携带的是 MSTP 的配置信息。

MSTP 模式的 BPDU 优先级比较原则假定有两条 MSTP BPDU X Y,则:

如果 X 的总根 ID 小于 Y 的总根 ID,则 X 优于 Y

如果 X Y 的总根 ID 相同,但 X 的外部路径开销小于 Y,则 X 优于 Y

 

如果 X Y 的总根 ID 和外部路径开销相同,但 X 的域根 ID 小于 Y 的域根 ID,则 X 优于 Y;如果 X

Y 的总根 ID、外部路径开销和域根 ID 相同,但 X 的内部路径开销小于 Y,则 X 优于 Y

如果 X Y 的总根 ID、外部路径开销、域根 ID 和内部路径开销相同,但 X 的桥 ID 小于 Y,则 X

优于 Y

如果 X Y 的总根 ID、外部路径开销、域根 ID、内部路径开销和桥 ID 均相同,但 X 的端口 ID

小于Y,则 X 优于Y

 

 

 端口状态

MSTP 中,根据端口是否转发数据和如何处理 BPDU 报文,可将端口状态划分为以下四种:转发:接收并转发数据,接收并发送 BPDU 报文,进行地址学习。

学习:不接收或转发数据,接收并发送 BPDU 报文,进行地址学习。

阻塞:不接收或转发数据,接收但不发送 BPDU 报文,不进行地址学习。断开:物理链路断开。

端口角色

MSTP 的端口角色分为以下几种:

根端口:到根桥的路径开销最低,负责向根桥方向转发数据的端口。指定端口:负责向下游网段或设备转发数据的端口。

Master 端口:连接 MST 域到总根的端口,位于整个域到总根的最短路径上。替换端口:根端口和 Master 端口的备份端口。

备份端口:指定端口的备份端口。禁用端口:物理链路断开的端口。

端口角色的示意图如图 7-3 所示。

7-3 端口角色示意图

生成树模块主要用于配置交换机的生成树功能,包括基本配置端口配置MSTP 实例以及安全配四个部分。

 

7.1基本配置

基本配置用于配置和查看交换机生成树功能的全局属性,本功能包括基本配置生成树信息两个配置页面。

 

 

7.1.1基本配置

配置生成树前请明确各交换机在每个生成树实例中的地位,每个生成树实例中只有一台交换机处于根桥地位。配置交换机的生成树功能,首先需要在本页配置交换机生成树的全局功能和相关参数。

 

进入页面的方法:生成树>>基本配置>>基本配置

7-4 基本配置

条目介绍:

 

全局配置

 

 

生成树功能:

选择是否启用交换机的生成树功能。

 

生成树模式:

选择交换机的生成树模式。

 

 

STP:生成树兼容模式。

 

 

RSTP:快速生成树兼容模式。

 

 

MSTP:多重生成树模式。

参数配置

 

 

CIST 优先级:

填写交换机的 CIST 优先级。CIST 优先级是确定交换机是否会被选

 

 

为根桥的重要依据,同等条件下优先级高的交换机将被选为根桥。

 

 

值越小,表示优先级越高。默认为 32768,且必须是 4096 的倍数。

 

联络时间:

填写交换机发送协议报文的周期,用于检测链路是否存在故障。并

 

 

且,(联络时间+1老化时间。默认为 2 秒。

 

老化时间:

填写协议报文在交换机中能够保存的最大生存期。默认为 20 秒。

 

传输时延:

在网络拓扑改变后,交换机的端口状态迁移的延时时间。并且,

 

 

(传输延时-1老化时间。默认为 15 秒。

 

流量限制:

填写在每个联络时间内,端口最多能够发送的协议报文的速度。默

 

 

认为 5pps

最大跳数 填写协议报文被转发的最大跳数,它限制了生成树的规模。默认为 20 

 

7.1.2生成树信息

本页用来查看交换机生成树功能的相关参数。

进入页面的方法:生成树>>基本配置>>生成树信息

 

 

 

 

 

7.2端口配置


7-5 基本信息

 

 

本页用来配置交换机端口的 CIST 参数。

进入页面的方法:生成树>>端口配置>>端口配置

 

 

7-6 端口配置

 

条目介绍:

端口配置

 

端口选择: 点击<选择>按键,可根据所输端口号,快速选择相应端口。选择: 勾选端口配置端口 STP 功能,可多选。

端口 显示交换机的端口号

状态 选择该端口是否启用 STP 功能

优先级: 确定与该端口连接的端口是否会被选为根端口的重要依据。同等条件下优先级高的端口将被选为根端口。值越小,表示优先级越高。默认为 128,范围 0-240,且为 16 的倍数。

外部路径开销 在不同 MST 域之间的路径上,用于选择路径和计算路径开销的

考值,同时也是确定该端口是否会被选为根端口的依据。值越小,表示优先级越高。

 

内部路径开销  MST 域内的路径上,用于选择路径和计算路径开销的参考值

同时也是确定该端口是否会被选为根端口的依据。值越小,表示优先级越高。

边缘端口: 选择是否启用边缘端口。边缘端口由阻塞状态向转发状态迁移时,可实现快速迁移,无需等待延迟时间。

点对点链路 选择端口的点对点链路状态。以点对点链路相连的两个端口,如

为根端口或者指定端口,则可以快速迁移到转发状态,从而减少不必要的转发延迟时间。

协议迁移 启用端口开始一次协议迁移检查

工作模式 显示端口所处的生成树模式

 

 

 

端口角色 显示端口在生成树实例中担任的角色

根端口:到根桥的路径开销最低,负责向根桥方向转发数据的端口。

指定端口:负责向下游网段或设备转发数据的端口。

Master 端口:连接多生成树域到总根的端口,位于整个域到总根的最短路径上。

替换端口:根端口和 Master 端口的备份端口。备份端口:指定端口的备份端口。

禁用端口:物理链路断开的端口。

端口状态 显示端口所处的工作状态

转发:接收并转发数据,接收并发送协议报文,进行地址学习。

学习:不接收或转发数据,接收并发送协议报文,进行地址学习。

阻塞:不接收或转发数据,接收但不发送协议报文,不进行地址学习。

断开:物理链路断开。

LAG 显示端口当前所属的汇聚组。

 

7.3MSTP 实例

MSTP 设置了 VLAN-实例映射表(VLAN 和生成树的对应关系表),把 VLAN 和生成树联系起来。通过增加 MSTP 实例(将多个 VLAN 整合到一个集合中),将多个 VLAN 捆绑到一个实例中,并以实例为基础实现负载均衡。

 

只有当多台交换机的 MST 域名、MST 域的修订级别、VLAN-实例映射表完全相同时,它们才能属于同一个 MST 域。本功能包括域配置实例配置实例端口三个配置页面。

7.3.1域配置

本页用来配置 MST 域的域名和修订级别。

进入页面的方法:生成树>>MSTP 实例>>域配置

 

 

 

 

7-7 域配置

 

条目介绍:

域配置

 

域名 填写域名来标识 MST 域,最长可用 32 个字符

修订级别 填写修订级别来标识 MST 

 

7.3.2实例配置

实例配置是 MST 域的一个属性,用来描述 VLAN 和生成树实例的映射关系。请按需要将 VLAN 分配至不同的实例,每个实例就是一个“VLAN ,不受其它实例和公共生成树的影响。

进入页面的方法:生成树>>MSTP 实例>>实例配置

 

7-8 实例配置

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

条目介绍:

 

实例配置

 

实例 ID 选择:

点击<选择>按键,可根据所输 ID 号,快速选择相应实例。

选择:

勾选条目配置实例状态及优先级,可多选。

实例 ID

显示交换机的实例 ID 号。

状态:

选择是否启用相应实例。

优先级:

在对应实例 ID 中,确定该交换机是否会被选为根桥的重要依据。默

 

认为 32768,且必须是 4096 的倍数。

VLAN ID

填写该实例 ID 所包含的 VLAN ID。若之前已存在 VLAN ID,在此

 

修改后,之前的 VLAN ID 将被清空,并映射至 CIST 中。

 

VLAN-实例映射

 

VLAN ID

填写需要添加的 VLAN ID。若对应实例 ID 中已有 VLAN ID,在此

 

修改后,新的 VLAN ID 将被添加,而不会将之前的覆盖。

实例 ID

填写实例 ID

注意:

 

 

 

 

 

7.3.3实例端口

端口在不同的生成树实例中可以担任不同的角色,本页用来配置不同实例 ID 中的端口的参数,同时在此可以查看端口在特定实例中的状态信息。

进入页面的方法:生成树>>MSTP 实例>>实例端口

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

7-9 实例端口

 

条目介绍:

实例端口配置

 

实例 ID 选择需要配置端口属性的实例 ID

端口选择: 点击<选择>按键,可根据所输端口号,快速选择相应端口。选择: 勾选端口配置端口的优先级和路径开销,可多选。

端口 显示交换机的端口号

优先级 在对应实例 ID 中,确定与该端口连接的端口是否会被选为根端口

重要依据。默认为 128,范围 0-240,且为 16 的倍数。

路径开销  MST 域内的对应实例中,用于选择路径和计算路径开销的参

值,同时也是确定该端口是否会被选为根端口的依据。值越小,表示优先级越高。

端口角色 显示端口在生成树实例中担任的角色

 

 

 

端口状态 显示端口所处的工作状态

LAG 显示端口当前所属的汇聚组。

 

安全树功能全局配置步骤:

 

 

 

 

 

 

 

 的全局参 必选操作。在生成树 基本配 基本配置页面,开启

 

 

 

 

配置端口  必选操作。生成树 端口配置 端口配置页面进行配置

 

 

 

 

 

 

 

必选操作。生成树

 

 

实例 域配置实例配置页面,

 

 

 

 

 

 

配置实例端口的

 

 

 可选操作。生成

 

 

实例 实例端口页面,为

 

 

 

 

7.4安全配置

通过配置设备的保护功能,来防止生成树网络中的设备遭受各种形式的恶意攻击。本功能包括端口保护TC 保护两个配置页面。

7.4.1端口保护

环路保护:

 

在网络拓扑稳定时,交换机通过不断接收上游交换机发送的 BPDU 报文,来保持本机各个端口的端口状态。但是当发生链路拥塞或者单向链路故障时,位于下游的交换机无法收到 BPDU 报文,将会重新计算生成树,重新选择端口角色,这时阻塞端口会迁移到转发状态,从而导致网络中产生环路。

 

环路保护功能会抑制这种环路的产生。对于启用了环路保护的端口,当没有接收到上游交换机发送BPDU 报文,引起 STP 重新计算时,不论其端口角色如何,该端口将一直被设置为阻塞状态。

根桥保护:

 

在设计网络拓扑时,CIST 的根桥和备份根桥大多处于一个高带宽的核心域内。但是,当维护人员错误配置或遭受到网络中的恶意攻击时,网络中的合法根桥有可能会收到优先级更高的 BPDU 文,致使当前合法根桥失去了根桥的地位,从而导致网络拓扑结构的错误变动。这种错误的变动,使得原来应该通过高速链路的流量被牵引到低速链路上,引起网络拥塞。

 

为了防止这种情况发生,MSTP 提供根桥保护功能:对于启用了根桥保护功能的端口,他在所有实例上的端口角色只能为指定端口。当该端口收到优先级更高的 BPDU 时,立刻将该端口的端口状态转化为阻塞状态,不再转发报文(相当于将此端口相连的链路断开)。当在 2 倍的传输时延时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。

 

 

TC 保护

交换机收到 TC-BPDU 报文(网络拓扑发生变化的通知报文)后,会将本机的地址表项删除。当有人伪造 TC-BPDU 报文恶意攻击交换机时,交换机短时间内收到大量 TC-BPDU 报文,频繁的删除操作给交换机带来很大负担,给网络的稳定带来很大隐患。通过在交换机上启用 TC 保护功能,可以避免交换机频繁地删除地址表项。

 

启用 TC 保护功能后,交换机在“TC 保护周期内,收到 TC-BPDU 的最大数目为“TC 保护阈值所设的数目,超过该数目后,交换机在该周期内不再进行地址表删除操作。这样就可以避免频繁地删除转发地址表项。

BPDU 保护

交换机上直接与 PC 或服务器相连的端口会被设置为边缘端口,以实现这些端口的快速迁移。当这些端口接收到 BPDU 报文时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑结构的变化。而这些端口一般情况下不会收到 BPDU 报文。如果有人用伪造的 BPDU 文恶意攻击交换机,就会引起网络拓扑的震荡。

 

MSTP 提供 BPDU 保护功能来防止这种攻击:启用了 BPDU 保护功能后,如果边缘端口收到了 BPDU 报文,MSTP 就将这些端口关闭,同时通知网管这些端口被 MSTP 关闭,被关闭的端口只能由网络管理人员来恢复。

BPDU 过滤

BPDU 过滤用来防止恶意的 BPDU 洪泛攻击。交换机收到恶意的 BPDU 报文以后,会向网络中的其它交换机转发,致使网络内的交换机不停的进行 STP 计算,从而导致交换机的 CPU 占用率过高或者 BPDU 报文的协议状态错误等。

启用了 BPDU 报文过滤功能的端口,将不再接收和转发任何 BPDU 报文,但是会向外发送自身的

BPDU 报文,从而防止交换机受到 BPDU 报文的攻击,保证 STP 计算的正确性。

 

在本页可以对交换机的各个端口配置上述几种保护功能,建议对符合条件的端口启用保护功能。进入页面的方法:生成树>>安全配置>>端口保护

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

7-10 端口保护

条目介绍:

 

端口保护

 

端口选择:

点击<选择>按键,可根据所输端口号,快速选择相应端口。

选择:

勾选端口配置端口保护功能,可多选。

端口:

显示交换机的端口号。

环路保护:

防止由于链路拥塞或者单向链路故障,导致下游设备重新计算生成树,由此产

 

生的网络环路现象。

根桥保护:

防止当前合法根桥会失去根桥的地位,引起网络拓扑结构的错误变动。

TC 保护:

防止恶意伪造的 TC 报文在 STP 协议网络中传播,导致桥设备的地址表不断清

 

空,而引起的网络吞吐量下降。

BPDU 保护:

防止边缘端口受到恶意伪造的协议报文的攻击。

BPDU 过滤:

防止 STP 协议网络中协议报文泛洪。

LAG

显示端口当前所属的汇聚组。

 

7.5STP 功能的组网应用

组网需求

交换机 ABCDE 均支持 MSTP 功能;

 

 

A 为中心交换机;

BC 为汇聚层交换机,DEF 为接入层交换机; 整个网络中共有 6 VLAN,为 VLAN101-VLAN106

所有设备运行 MSTP,并且所有设备均属于同一个 MST 域;

VLAN101103 105 的数据流量以 B 为根桥,VLAN102104 106 的数据流量以 C 为根桥。阻断网络中的环路,并能达到数据转发过程中 VLAN 数据的冗余备份以及负载分担效果。

组网图

配置步骤

配置交换机 A

 

 

 

 

 

生成 基本配 基本配置页面,启用生成树功能

 

 

 

 

 

 

 

 

 

 

 

  实例映

 

 

生成树

 

 

 实例配置页面,配 

 

 

 

 

配置交换机 B

 

 

 

 

 

 

 

 

2 启用生成树功能。

 

 

生成 基本配 基本配置页面,启用生成树功能

 

 

 

 

 

 

 

 

 

 域的域名和修订级

 

 

生成树

 

 

 域配置页面,配置域名为 

 

 

 

 

 

 

 

 

 

实例映射

 

 

生成树

 

 

 实例配置页面,配 

 

 

 

 

 

 

 

 

 

将交换机

 

 

 

 

配置为实例

 

 

 

 

的根桥

 

 

 

 

生成树

 

 

 

 

 实例配置页面,将实 

 

 

 

 

 

 

将交换机

 

 

配置为实例

 

 

的指定

 

 

生成树

 

 

 实例配置页面,将实 

 

 

 

 

配置交换机 C

 

 

 

 

 

 

 

 

 

生成 基本配 基本配置页面,启用生成树功能

 

 

 

 

 

 

 

3 配置

 

 

域的域名和修订级别

 

 

生成树

 

 

 域配置页面,配置域名为 

 

 

 

 

 

4  

 

 

实例映射

 

 

生成树

 

 

 实例配置页面,配 

 

 

 

 

 

 

 

 

 

将交换机

 

 

 

 

配置为实例

 

 

 

 

的指定

 

 

 

 

生成树

 

 

 

 

 实例配置页面,将实 

 

 

 

 

 

 

将交换机

 

 

配置为实例

 

 

的根桥

 

 

生成树

 

 

 实例配置页面,将实 

 

 

配置交换机 D

 

 

 

 

 

 

 

 

 

生成 基本配 基本配置页面,启用生成树功能

 

 

 

 

 

 

 

 

 

 

4 配置

 

 

 实例映

 

 

生成树

 

 

 实例配置页面,配 

 

 

 

 

 

交换机 E 和交换机 F 的配置方法同交换机 D

拓扑稳定以后两个实例所生成的动态拓扑结构

对于实例 1VLAN 101 103 105而言,连通的链路为下图中红色的路径,灰色的路径断开。

对于实例 2VLAN 102 104 106而言,连通的链路为下图中蓝色的路径,灰色的路径断开。

 

 

 

 

配置建议

所有交换机的端口均建议启用“TC 保护功能。 根桥交换机的所有端口建议启用根桥保护功能。非边缘端口建议启用环路保护功能。

连接 PC 与服务器的边缘端口,建议启用“BPDU 保护“BPDU 过滤功能。

回目录

 

 

 

8.以太网 OAM

 

OAM 概略

 

以太网 OAM(操作、管理和维护)是一个二层协议,用于以太网的监控和故障诊断。通过两个 OAM

实体之间交换 OAMPDUs,它可以将网络状态报告给网络管理员,以促进网络管理。

以太网 OAM 是一个慢协议,它对带宽要求非常有限。帧传输速率限制在每秒 10 帧,因此,OAM对数据流量的影响是可以忽略不计的。

 

用户通过在两个点到点连接的设备上启用以太网 OAM 功能,可以监控这两台设备之间的链路状态OAM 可以从以下三点来监视链路状态。

链路性能监测:对链路的各种性能进行监测。

 

故障侦测和告警:通过发送检测报文来探测链路的连通性,当链路出现故障时及时通知网络管理员。

 

环路测试:通过非以太网 OAM 协议报文的环回来检测链路故障。

以太网 OAM 是一种监控网络故障的工具,目前主要用于解决以太网接入最后一公里中常见的链路问题。

 

OAMPDUs

 

有六个类型的 OAMPDUs。下面的图显示了最常用的 OAMPDUs,即信息 OAMPDU、事件通知 OAMPDU 和环回控制 OAMPDU

8-1OAMPDUs

如图 8-1 所示,OAMPDUs 是标准长度的以太网帧。它们必须是无标记的,范围从 64 1518 字节。 

1) Dest addr  OAMPDU  Dest addr ( 目 的 地 MAC 地 址 ) 是 慢 协 议 组 播 

(01:80:c2:00:00:02).

Source addSource addr OAMPDU 传播端口相关的 MAC 地址。

Typetype 字段是固定的 0x8809

Sub-typesub-type 字段是固定的 0x03Flagsflag 字段包含 OAM 实体的状态位。

Codecode 字段标识 OAMPDU 的特定类型。如上所述,信息 OAMPDU,事件通知 OAMPDU

和环回控制 OAMPDU 是常用的,及其代码分别为 0x000x010x04。三种 OAMPDUs 描述

 

116

 

 

 

如下。

 

OAMPDU用于将 OAM 实体的状态信息(包括本地信息、远端信息和自定义信息)发给远端

OAM 实体,以保持以太网 OAM 连接。

事件通知 OAMPDU一般用于链路监控,对连接本端和远端 OAM 实体的链路上所发生的故障进行告警。

 

环回控制 OAMPDU主要用于远端环回控制,用来控制远端设备的 OAM 环回状态,该报文中带有使能或去使能环回功能的信息,根据该信息开启或关闭远端环回功能。

 

OAM 功能

IEEE 802.3 57 条所定义的,第一英里的以太网,OAM 功能包括 OAM 发现、链路监控、远端故障指示和远端环回。

 

发现

 

发现是以太网 OAM 的第一阶段。在这个阶段,一个 OAM 实体发现其他 OAM 实体,使用信息

OAMPDUs 来建立连接。

至于 OAM 连接,OAM 实体可以选择两种模式:主动和被动。只有激活的 OAM 实体可以启动 OAM连接过程。被动的 OAM 实体等待和响应 OAM 连接建立请求。相互关联的 OAM 实体告知对端  OAM 配置信息,以确定 OAM 链接能否建立。通过交换信息,然后确定 OAM 可以建立连接。只有当环回、链接检测和链接事件的设置在两边都匹配的情况下,才能建立一个 OAM 连接。

 

8-2OAM 发现

主动 OAM 模式和被动 OAM 模式如下所示

 

 

项目

主动 OAM 模式

被动 OAM 模式

启动 OAM 发现

提供

不提供

回应 OAM 发现

提供

提供

传输信息 OAMPDUs

提供

提供

传输事件通知 OAMPDUs

提供

提供

传输信息 OAMPDUs

 

Data/Pad 

 

提供

 

提供

段为空

 

 

 

 

 

 

 

项目

主动 OAM 模式

被动 OAM 模式

传输环回控制 OAMPDUs

提供

不提供

回应环回控制 OAMPDUs

提供(如果两边都是

 

提供

主动 OAM 模式

传输特定组织 OAMPDUs

提供

提供

8-1 主动 OAM 模式与被动 OAM 模式之间的差异

 

OAM 建立连接后,OAM 实体双方交换信息OAMPDUs,定期保持 OAM 连接有效。如果 5 秒不接收信息 OAMPDUOAM 实体认为 OAM 连接无效。

链路监控

链路监控能在多种情况下检测和定位链路故障。当链路上发现有问题时,设备将发送事件通知

OAMPDUs 报告链路事件。链路事件被描述如下:

 

OAM 链路事件

 

描述

 

错误信号周期

如果符号错误的数量在某一特定时间内超过阈值,就

会发生错误信号周期事件。

 

 

 

错误帧

如果错误帧的数量超过了某一特定时间段内的阈值,

就会发生错误帧事件。

 

 

 

错误帧周期

如果在特定数量的接收帧中的错误帧的数量超过阈值,就会发生错误帧周期事件。

错误帧秒数

如果错误帧秒数超过阈值,就会发生错误帧秒数事件。 

 

8-2 OAM 连接事件

以太网的故障检测非常困难,特别是在网络物理通信没有中断而网络性能缓慢下降的情况下。

OAMPDU 中的 flag 允许 OAM 实体转达失败条件。失败条件如下:

链路错误:对端链路信号丢失。它在信息 OAMPDU 中每秒发送一次。

致命故障:一个不可恢复的错误,比如电源故障发生。这是立即和连续发送的。紧急事件:未指定的紧急事件发生。这是立即和连续发送的。

定期在 OAM 实体之间发送信息 OAMPDUsOAM 实体可以通知对端 OAM 链路错误。因此,网络管理员可以及时了解链路故障并及时采取行动。

 

远端环回

 

远端环回帮助确保在安装期间或在故障排除期间的链路质量。OAM 建立连接后,主动的 OAM 体可以使用环回控制 OAMPDU 使其对端进入环回模式。

启用了远端环回,主动的 OAM 实体发送远端环回请求和对端回应。如果对端在环回模式下,它沿着原来的路径返回除了 OAMPDUs 和暂停帧外的所有帧。通过这些返回帧,管理员可以测试链路性能,比如延迟、抖动和帧损耗率。

 

 

下面的图显示了远端环回是如何工作的。

 

 

 

8.1基本配置


8-3 远程环回

 

 

在基本配置页面上,您可以在指定的端口上启用以太网 OAM 功能,并将其 OAM 模式配置为主动或被动。此外,您还可以查看发现信息页面上的连接状态。

 

8.1.1基本配置

进入页面的方法:以太网 OAM→基本配置基本配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

8-4 基本配置

以下的条目显示在屏幕上:基本配置

选择: 勾选条目配置端口,可多选

模式: 选择以太网 OAM 工作模式

状态: 选择是否启用以太网 OAM 功能

 

 

 

8.1.2发现信息

进入页面的方法:以太网 OAM→基本配置发现信息

 

8-5 发现信息

 

 

以下的条目显示在屏幕上:本端

本地客户端部分显示了本地 OAM 实体的信息。

 

OAM:

显示选定的端口上 OAM 功能是否启用或禁用。

 

 

模式:

显示所选端口的 OAM 模式。

 

 

 

 

 

 

以太网 OAM 报文最大

显示以太网 OAM 报文的最大长度。

 

 

长度:

 

 

 

远端环回:

显示本地客户端是否支持远程环回功能

 

 

 

 

 

单向链路:

显示本地客户端是否支持单向 OAM 操作。

 

 

链路监控:

显示本地客户端是否支持链路监控功能。

 

 

MIB 变量获取:

显示本地客户端是否支持变量请求。如果支持,本地客户端可以向

 

远程客户端发送一些变量请求,以了解远程客户端响应的链接状态。

 

 

 

报文版本: 显示信息 OAMPDU 报文的 information TLV 的版本

运行状态:  显示 OAM 连接的操作状态

Disable: 在该端口上 OAM 是禁用的。

LinkFault: 当检测到有链路故障,则传输带有链路故障指示的

OAMPDUs 报文。

PassiveWait: 端口是在被动模式下,则等待查看对端设备是否开启 OAM 功能。

ActiveSendLocal: 端口是在主动模式下,则发送本地信息。

SendLocalAndRemote: 本地端口发现了对端但尚未接受或拒绝对端的配置。

SendLocalAndRemoteOK: 本地设备同意 OAM 对端实体。 PeeringLocallyRejected: 本地 OAM 实体拒绝远程对端 OAM实体。

PeeringRemotelyRejected: 远程 OAM 实体拒绝本地设备。

NonOperHalfDuplex: 由于以太网 OAM 功能没有完全设计工作在半双工端口。这个值表示启用了以太网 OAM,但是端口处于半双工操作中。

 

 

环回状态: 显示回路状态

No Loopback:本地客户端和远程客户端不在环回模式。 Local Loopback: 本地客户端在环回模式。

Remote Loopback: 远程客户端在环回模式。

 

8.2链路监控

通过链路监控,您可以检测和发现各种环境下的数据链路层故障。以太网 OAM 通过交互事件通知 OAMPDU 来监控链路。当一端 OAM 实体监控到一般链路事件时,将向其对端发送事件通知 OAMPDU 以进行通报。

进入页面的方法:以太网 OAM→链接监控链路监控

 

 

 

8-6 链路监控

 

以下的条目显示在屏幕上:链接监控配置

链路事件: 选择要进行监控的链路事件

选择: 为配置选择所需的端口。它是多选的

 

检测阈值: 输入触发链路事件的检测阈值

 

检测窗口: 输入链路事件的检测窗口

 

通知: 选择是否启用事件通知

 

8.3远端故障指示

以太网故障通常比较难诊断,特别是当物理通信仍然正常而网络性能却在慢慢下降。OAMPDU 义了一个标志(Flag 域)允许以太网 OAM 实体将故障信息通知给对端,该标志定义了 OAM 支持的链路事件。

进入页面的方法:以太网 OAM→远端故障指示远程故障指示

 

 

 

8-7 远程失败提示

 

以下的条目显示在屏幕上: 

远程故障指示配置

 

选择: 勾选条目配置端口,可多选

 

端口: 显示交换机的端口号

致命故障通知: 选择是否启用致命故障通知

紧急事件通知: 选择是否启用紧急事件通知

 

 

8.4远端环回

本端 OAM 实体可以发送环回控制 OAMPDU 给对端 OAM 实体请求进入远端环回模式。该功能为链路问题的解决提供了必要的帮助。在远端环回模式下,当收到除 OAMPDU 以外的报文时,会将其按原路返回。

进入页面的方法:以太网 OAM→远端环回远端环回

 

 

 

 

 

 

8-8 远程环回

以下的条目显示在屏幕上: 

 

远程回路配置

 

选择:

 

勾选条目配置端口,可多选。

端口:

显示交换机的端口号。

收到远端环回请求:

选择忽略或者处理收到的远端环回请求。

远端环回:

选择开始或者停止远端环回功能。

 

 

 

 

8.5统计信息

您可以查看关于特定端口的详细以太网 OAM 流量信息和事件日志信息的统计信息。

 

 

8.5.1统计信息


 

 

8-9 统计信息

以下的条目显示在屏幕上:

 

统计

 

信息 OAMPDUs: 显示接收、发送信息 OAMPDU 的数目

Unique 事 件  显示接收、发送 Unique 事件通知 OAMPDU 的数目

OAMPDUs:

Duplicate 事件通 显示接收、发送 Duplicate 事件通知 OAMPDU 的数目

OAMPDUs:

MIB   显示接收、发送 MIB 变量请求 OAMPDU 的数目

OAMPDUs:

MIB   显示接收、发送 MIB 变量回应 OAMPDU 的数目

OAMPDUs:

环回控制 OAMPDUs: 显示接收、发送环回控制 OAMPDU 的数目

 

 

 

     显示接收、发送组织自定义 OAMPDU 的数目

OAMPDUs:

未支持 OAMPDUs: 显示接收、发送未支持 OAMPDU 的数目

 

OAM 导致的帧丢失: 显示由于 OAM 子层内部发送错误导致帧丢失的数目

 

8.5.2事件日志


 

 

8-10 事件记录

以下的条目显示在屏幕上::

 

事件日志统计

 

本端: 显示发生在本端的链路事件数目

 

远端: 显示发生在远端的链路事件数目

 

错误信号周期事件: 显示发生在本端、远端的错误信号周期事件数目

 

错误帧事件: 显示发生在本端、远端的错误帧事件数目

 

错误帧周期事件: 显示发生在本端、远端的错误帧周期事件数目。错误帧秒数事件: 显示发生在本端、远端的错误帧秒数事件数目

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

致命故障:

 

 

显示发生在本端、远端的致命故障数目。

紧急事件:

显示发生在本端、远端的紧急事件数目。

事件日志表

 

类型: 显示链路事件的类型

 

位置: 显示链路事件发生的位置

 

时间: 显示链路事件发生的时间

 

检测值: 显示在检测窗口期间检测到的错误数目

 

检测窗口: 显示链路事件的检测窗口

 

检测阈值: 显示链路事件的检测阈值

 

累计错误: 显示自从 OAM 子层重置之后累计检测到的错误数目

 

8.6DLDP

DLDP 概略

 

DLDP(设备连接检测协议)是一个 2 层协议,可以监控光纤或铜质双绞线的链路状态,来检测是否存在单向链路。当出现单向链路时,本端设备可以通过链路层收到对端设备发送的报文,但对端设备不能收到本端设备的报文。单向链路会引起一系列问题,比如生成树拓扑环路等。一旦检测到单向链路,DLDP 就可以自动关闭相关端口,或者通知用户。

DLDP 运行机制

  1. DLDP 链接状态

DLDP 定义了一个设备的 6 个链接状态:初始化、未连通、活动、通告、探测和单通。

 

状态

描述

初始化

DLDP 是禁用的。

未连通

DLDP 是启用的,但是链路是关闭的。

活动

 

这个状态是暂时的,它表明:

 

1.DLDP 是启用的,链路正在建立。

2.这个设备中的邻居条目是空的。

 

 

 

 

这个状态表示没有检测到任何单向链路,包括两种情况:

 

 

1.该设备与所有的邻居建立双向链路。

2.DLDP 仍处于活动状态超过 5 秒。

 

探测

如果一个设备从一个未知的邻居那里接收到一个数据包,就会从活动状态进入

这个状态。在这种状态下,设备将发送探测数据包,以检测链路是否为单向的。

这个状态表示检测到一个单向链路。

 

SW-5024

 

8-3DLDP 连接状态

  1. DLDP 工作过程

通常的 DLDP 工作过程如下:

 

 

8-11 DLDP 进程

1: 当启用 DLDPDLDP 链接状态将变为未连通。

2: DLDP 使能链路建立起来,DLDP 链接状态将变为活动。该设备将在这个状态下发送带有

resynchronization 标记的通告包发给对端设备。

3: 如果在 5 秒内设备没有收到任何 DLDP 数据包,DLDP 链路状态将变到通告。

4: 从一个未知的邻居处收到一个数据包,设备的链接状态将从活动变到探测,然后发送几个探测数据包检测连接状态。

5: 如果设备接收到 echo 数据包,它们之间的链接状态将被标记为双向链接和 DLDP 状态将从探测变到通告。通告状态的设备会发送通告数据包。

6: 如果指定的一段时间后设备没有收到 echo 数据包,该链接将被标记为单向,并且 DLDP 态将从探测变到单通。该端口将自动或手动关闭(取决于所配置的关闭模式)

典型的双向链路检测过程是 245典型的单向链路检测过程是一个 246.

 

DLDP 页面上,您可以启用全局 DLDP 状态,并配置通告包和端口关闭模式的时间间隔。您还可以配置端口状态的刷新频率,并手动重置特定端口的 DLDP 状态。

进入页面的方法:以太网 OAM→DLDP→DLDP 配置.

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

8-12 DLDP 配置

以下的条目显示在屏幕上:全局配置

DLDP 状态:在这里您可以启用或禁用 DLDP

 

广告间隔时间:设置广告间隔在 1 30 秒之间。默认值为 5 秒。

 

关闭模式: 使 DLDP 处于自动模式或手动模式以关闭检测到的单向链路

默认为自动模式。

 

 

 

Web 页面刷新状态: 在这里您可以启用或禁用自动刷新

 

Web 页面刷新间隔: Web 刷新间隔设置为 1  100 秒。默认值为 5 

 

端口配置

 

选择: 选择 DLDP 配置所需的端口,可多选

 

端口: 交换机端口列表

DLDP 状态: 开启或禁用 DLDP 功能

 

协议状态: 显示端口的 DLDP 协议状态

 

链接状态: 显示端口的链路状态

 

邻居状态: 显示端口的邻居状态

 

配置过程:

操作

描述

 

 

1

全局使能 DLDP

必选操作。在以太网 OAM→DLDP→DLDP 配置,配置全局

 

DLDP 状态。

 

2

在特定端口上使能

必选操作。在以太网 OAM→DLDP→DLDP 配置, 配置端口

 

DLDP

DLDP 状态。

 

3

配置关闭模式

可选操作。在以太网 OAM→DLDP→DLDP 配置,关闭模式配

 

置为自动或手动。

 

4

重置 DLDP 状态

可选操作。在以太网 OAM→DLDP→DLDP 配置,选择指定的

端口或端口配置表中选择所有端口并单击重置按钮来恢复他们

的状态。

 

8.7DLDP 的应用例子

网络需求

设备 A 和设备 B 通过两对光纤连接,这两对光纤交叉连接,如图 8-13 所示。

在检测到单向链路的时候应该断开连接,并且通过 DLDP 来关闭的端口可以在光纤对连接正确后恢复。

 

 

 

网络框图

 

8-13 DLDP 应用例子

 

 

配置过程

 

操作

描述

1

全局使能 DLDP

必选操作。在以太网 OAM→DLDP→DLDP 配置,配置设备

A B DLDP 状态。

2

在特定端口上使能

DLDP

必选操作。在以太网 OAM→DLDP→DLDP 配置,启用以太网端口 1/0/27 1/0/28 DLDP

3

配置关闭模式

必选操作。在以太网 OAM→DLDP→DLDP 配置,配置关闭模式。

4

检查端口状态

必选操作。在以太网 OAM→DLDP→DLDP 配置,选择端口

1/0/27 1/0/28,点击重置按钮。

千兆以太网端口 1/0/27 1/0/28 中的 DLDP 信息如下所示:

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

这四个端口连接正确后,选择端口 1/0/27 1/0/28,然后单击重置按钮来恢复。

 

 

 

9.组播管理

 

组播概述

 

在网络中,存在着三种发送报文的方式:单播、广播、组播。数据采用单播Unicast方式传输时,服务器会为每一个接收者单独传输一份信息,如果有多个接收者存在,网络上就会重复地传输多份相同内容的信息,这样将会大量占用网络资源。数据采用广播Broadcast)方式传输时,系统会把信息一次性的传送给网络中的所有用户,不管他们是否需要,任何用户都会接收到广播来的信息。

 

当前,诸如视频会议和视频点播等单点发送、多点接收的多媒体业务正在成为信息传送的重要组成部分。在一点发送多点接收的前提下,单播方式适合用户较少的网络,而广播方式适合用户稠密的网络,当网络中需求某信息的用户量不确定时,单播和广播方式效率很低。这时组播(multicast)应运而生,它实现了网络中单点到多点的高效数据传送,能够节约大量网络带宽,降低网络负载。组播传输信息的方式如图 8-1 所示。

 

 

 

 

组播的特点是:


8-1 组播传输信息的方式

 

服务对象不固定,通常是一对多的关系;

把服务对象看成一个组,发送端只需要发送一次数据到相关网络设备即可;

 

134

 

 

 

 每个用户可以随时加入或退出组播组;

实时性要求较高,允许一定的丢帧现象发生。

IPv4 组播地址

IPv4 组播 IP 地址:

根据 IANAInternet Assigned Numbers Authority,因特网编号授权委员会)规定,组播报文的 IP地址使用 D IP 地址,组播 IP 地址范围是 224.0.0.0239.255.255.255。其中,几个特殊组播 IP 地址段的范围及说明如下:

 

组播地址范围

说明

224.0.0.0224.0.0.255

路由协议及其它底层拓扑发现和维护协议的保留地址

224.0.1.0224.0.1.255

会议及电视会议

239.0.0.0239.255.255.255

局域网内部使用地址,不能用于 internet

8-1 特殊的组播 IP 地址段

IPv4 组播 MAC 地址:

 

以太网传输单播 IP 报文的时候,目的 MAC 地址使用的是接收者的 MAC 地址。但是在传输组播报文时,传输目标不再是一个具体的接收者,而是一个成员不确定的组,所以需要使用组播 MAC 址作为目的地址,组播 MAC 地址是一个逻辑的 MAC 地址。

IANA 规定,组播 MAC 地址的高 24bit 位是以 01-00-5E 开头,低 23bit 为组播 IP 地址的低

23bit,映射关系如图 8-2 所示:

8-2 组播 MAC 地址和组播 IP 地址的对应关系

由于 IP 组播地址的高 4bit 1110,标识了组播组,而低 28bit 中只有 23bit 被映射到组播 MAC地址上,这样 IP 组播地址中就会有 5bit 没有使用,从而出现了 32 IP 组播地址映射到同一 MAC 地址上的结果。

组播地址表

 

交换机在转发组播数据时是根据组播地址表来进行的。由于组播数据不能跨越 VLAN 传输,因此组播地址表的第一部分是 VLAN ID,当交换机收到组播数据包时,数据包只能在接收端口所在的 VLAN 内转发。组播地址表对应的出口端口不是一个,而是一组端口列表。转发数据时,交换机根据组播数据的目的组播地址查找组播地址表,如果在组播地址表中查不到相应的条目,则把该组播数据广播,即向接收端口所在 VLAN 内的所有端口上转发;如果能查找到对应的条目,则目的地址应该是一组端口列表,于是交换机把这个组播数据复制成多份,每份转发到一个端口,从而完成组播数据的交换。组播地址表一般格式如图 8-3 所示。

 

 

 

 VLAN ID

组播 IP

端口

8-3 组播地址表

IGMP 侦听

 

网络中的主机通过发送 IGMPInternet Group Management Protocol,互联网组管理协议)报文向临近的路由器申请加入(或离开)组播组,当上层路由设备将组播数据转发下来后,交换机负责将组播数据转发给主机。IGMP 侦听(IGMP Snooping)是组播约束机制,交换机用他来完成组播组的动态注册,运行 IGMP 侦听的交换机通过侦听和分析主机与组播路由器之间交互的 IGMP 报文来管理和控制组播组,从而可以有效抑制组播数据在网络中扩散。

组播管理模块主要用于配置交换机的组播管理功能,包括 IGMP 侦听MLD 侦听组播地址表个部分。

 

9.1IGMP 侦听

IGMP 侦听的工作过程

交换机侦听用户主机与路由器之间的交互 IGMP 报文,跟踪组播信息及其申请的端口。当交换机侦听到主机向路由器发出报告报文(IGMP Report)时,交换机便把该端口加入组播地址表中;当交换机侦听到主机发送的离开报文IGMP Leave时,路由器会发送该端口的特定组查询报文

Group-Specific Query),若还有其它主机需要该组播,则将回应报告报文,若路由器收不到任何主机的回应, 交换机便把该端口从组播地址表中删除。路由器会定时发查询报文 IGMP Query),交换机收到查询报文后,如果在一定的时间段内没有收到主机的报告报文,便把该端口从组播表中删除。

IGMP 报文

运行了 IGMP 侦听的交换机对不同类型的 IGMP 报文的处理方法如下。

  1. 查询报文(IGMP Query

 

由路由器发出,又可分为通用查询报文和特定组查询报文。路由器定时发出通用查询报文,以查询该网段有哪些组播组的成员。当路由器收到 IGMP 离开报文后,会通过接收端口向该组播组发送 IGMP 特定组查询报文,交换机会将此报文转发,以确定该端口中是否还有组播组的其它组成员。

对于通用查询报文,交换机会将此报文通过 VLAN 内除接收端口以外的其它端口转发,并对接收端口做出相应的处理:如果接收端口不是已有路由器端口,则将其加入路由器端口列表,并启用路由器端口时间;如果是已有路由器端口,则直接重置路由器端口时间。

对于特定组查询报文,交换机要向被查询的组播组的成员转发 IGMP 特定组查询报文。报告报文(IGMP Report

由主机发出,当主机想主动加入某一组播组或对路由器查询报文给予响应时产生此种报文。

 

在收到 IGMP 报告报文时,交换机将此报文通过 VLAN 内的路由器端口转发出去,同时从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做相应的处理:如果接收端口是新成员端口,则将其加入到组播地址表中,并启用该端口的成员端口时间;如果接收端口是旧成员端口,则直接重置成员端口时间。

 

 

  1. 离开报文(IGMP Leave

运行 IGMPv1 的主机离开组播组时不会发送 IGMP 离开报文,因此交换机无法立即获知主机离开的信息。但是,由于主机离开组播组后不会再发送 IGMP 报告报文,因此当其对应的成员端口时间超时后,交换机就会将该端口从相应的组播地址表中删除。运行 IGMPv2 IGMPv3 的主机离开组播组时,会通过发送 IGMP 离开报文,以通知组播路由器自己离开了某个组播组。

当交换机从某一端口收到 IGMP 离开报文时,为了确认此端口下是否还有其它组成员存在,交换机向此端口转发特定组查询报文,然后重置成员端口时间为离开滞后时间,离开滞后时间超时后,交换机将此端口从相应的组播地址表中删除。如果删除离开端口后组播组中没有其它组成员存在,则将整个组播组删除。

IGMP 侦听的基本概念相关端口

路由器端口Router Port):交换机上连接路由组播设备的端口。成员端口Member Port):交换机上连接组播组成员的端口。

相关定时器

 

路由器端口时间:这段时间内,如果交换机没从路由器端口接收到查询报文,就认为该路由器端口失效。默认是 300 秒。

成员端口时间:这段时间内,如果交换机没有从成员端口接收到报告报文,就认为该成员端口不再有主机属于组播组。默认是 260 秒。

离开滞后时间:从主机发送离开报文到交换机把该主机端口从组播组中删除的间隔时间。默认是 1 秒。

 

本功能包括基本配置端口参数VLAN 参数、组播 VLAN、查询器配置、配置文件配置、配置文件绑定、报文统计、IMGP 认证九个配置页面。

9.1.1基本配置

配置本交换机的 IGMP 侦听功能,首先要在本页配置 IGMP 侦听的全局功能和相关参数。

如果交换机收到的组播数据没有在组播地址表内,该组播数据会在 VLAN  内广播;当交换机启用 未知组播报文丢弃功能后,交换机收到不在组播地址表中的组播数据报文时,会将此报文丢弃,从而节省带宽,并提高系统的处理效率,请根据实际情况配置该功能。

进入页面的方法:组播管理>>IGMP 侦听>>基本配置

 

 

 

8-4 基本配置

 

条目介绍:

全局配置

 

IGMP 侦听 选择是否启用交换机的 IGMP 侦听功能

未知组播报文 选择交换机对未知组播报文的处理方法

 

Report 报文抑制:   选择是否开启 Report 报文抑制功能,如果开启该功能,则特定组播组的第一个 Report 报文将发往路由器端口,接下来的 Report 报文将被抑制,不发往路由器端口。Report 报文抑制功能有助于减少网络中 IGMP 数据包的流量。

IGMP 侦听信息

 

描述 显示 IGMP 侦听的配置项

成员 显示对应配置项的成员

 

9.1.2端口参数

本页用来配置交换机端口的 IGMP 侦听属性。

进入页面的方法:组播管理>>IGMP 侦听>>端口参数

 

 

 

 

8-5 端口参数

条目介绍:

 

端口配置

 

选择:

勾选条目配置端口的 IGMP 侦听功能,可多选。

端口号:

显示交换机的端口号。

IGMP 侦听:

选择该端口是否启用 IGMP 侦听功能。

快速离开功能:

当端口启动快速离开功能后,交换机收到 IGMP 离开报文时,直接

 

将该端口从组播组中删除。

LAG

显示端口当前所属的汇聚组。

注意:

 

 

 

 

 

9.1.3VLAN 参数

IGMP 侦听所建立的组播组是基于 VLAN 广播域的,不同的 VLAN 可以设置不同的 IGMP 参数。本页用于配置每个 VLAN IGMP 侦听参数。

 

 

进入页面的方法:组播管理>>IGMP 侦听>>VLAN 参数

 

8-6 VLAN 参数

条目介绍:

 

VLAN 参数

 

 

VLAN ID

填写启用 IGMP 侦听功能的 VLAN ID

 

路由器端口时间:

在所设时间内,如果交换机没有从路由器端口接收到查询报文,就

 

 

认为该路由器端口失效。

 

成员端口时间:

在所设时间内,如果交换机没有从成员端口接收到报告报文,就认

 

 

为该成员端口失效。

 

静态路由器端口:

选择静态配置的路由器端口,多用于拓扑稳定的网络中。

 

禁用路由器端口:

选择禁用被配置成路由器端口的端口。

 

VLAN 列表

 

 

选择:

勾选条目配置 VLAN 参数,可多选。

 

VLAN ID

显示 VLAN ID

 

路由器端口时间:

显示 VLAN 的路由器端口时间。

 

成员端口时间:

显示 VLAN 的成员端口时间。

 

 

 

静态路由器端口: 显示 VLAN 的静态路由器端口。动态路由器端口 显示 VLAN 的动态路由器端口

禁用路由器端口 显示 VLAN 内禁止被配置成路由器端口的端口

 

配置步骤:

 

 

 

 

 

 侦听功

 

 

必选操作。在组播管理

 

 

 基本配置端口配置

 

 

 

 

 

 

 

 

 

9.1.4组播 VLAN

对于传统的组播数据转发方式,当处于不同 VLAN 的用户加入同一个组播组时,组播路由器会为每个包含接收者的 VLAN 复制并转发一份组播数据。这样的组播点播方式,浪费了大量的带宽。

通过配置组播 VLAN,可以有效的解决上述问题。将交换机的端口加入到组播 VLAN 中并启用 IGMP 侦听功能,使不同 VLAN 内的用户共用一个组播 VLAN 接收组播数据,组播数据只在组播 VLAN 内进行传输,从而节省了带宽。同时由于组播 VLAN 与普通的 VLAN 完全隔离,安全和带宽都得以保证。

 

配置组播 VLAN 之前,需要在 802.1Q VLAN 功能处预先配置一个 VLAN 作为组播 VLAN,并将相应的端口加入此 VLAN 中。组播 VLAN 启用后,在 VLAN 参数页面中为其它 VLAN 配置的组播参数将失效,即组播数据不再通过除组播 VLAN 以外的其它 VLAN 转发。

进入页面的方法:组播管理>>IGMP 侦听>>组播 VLAN

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

8-7 组播 VLAN

 

条目介绍:

组播 VLAN

 

组播 VLAN 选择是否启用组播 VLAN

VLAN ID 填写组播 VLAN VLAN ID

路由器端口时间: 在所设时间内,如果交换机没有从路由器端口接收到查询报文,就认为该路由器端口失效。

成员端口时间: 在所设时间内,如果交换机没有从成员端口接收到报告报文,就认为该成员端口失效。

替换源 IP 指定 IGMP 数据包源 IP 地址被替换后的 IP 地址

 

SW-5024

 

 

动态路由器端口 显示组播 VLAN 的动态路由器端口

静态路由器端口: 选择静态配置的路由器端口,多用于拓扑稳定的网络中。禁用路由器端口:              选择禁用被配置成路由器端口的端口

 

 

 

 

 

 

 

 

 

 

配置步骤:

 

 

 

 

1 启用

 

 

侦听功能

 

 

必选操作。在组播管理

 

 

 基本配置端口配置页面

 

 

 

 

 

 

 

 

 

 

 

 

3配置组播

 

 

的参数

 

 

可选操作。进入组播管理

 

 

 

 

 

页面,启用

 

 

 

 

 

 

 

4查看配置情况

 

 

若配置成功,则在组播管 侦听 基本配置页面中的 

 

 

 

 

组网应用:

组网需求

组播源通过路由器转发组播数据,组播数据流通过交换机被转发到接收端用户 A 和用户 B。路由器:WAN 口与组播源相连;LAN 口与交换机相连,且通过 VLAN3 转发数据。

交换机:端口 3 与路由器相连,且通过 VLAN3 转发数据;端口 4 与用户 A 相连,且通过 VLAN4

转发数据;端口 5 与用户 B 相连,且通过 VLAN5 转发数据。用户 A:与交换机的端口 4 相连。

用户 B:与交换机的端口 5 相连。

配置组播 VLAN,使用户 A 和用户 B 通过组播 VLAN 接收组播数据。组网图

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

配置步骤配置交换机:

 

 

VLAN VLAN>>802.1Q VLAN VLAN3 4 5 VLAN3

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IGMG >>IGMP >> IGMP

 

 

 

 

 

VLAN >>IGMP >> VLAN VLAN

 

 

 

VLAN >>IGMP >> “IGMP  

 

 

 

9.1.5查询器配置

在运行了 IGMP 的组播网络中,会有一台三层组播设备充当 IGMP 查询器,负责发送 IGMP 查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据。而网络中的二层设备可以通过侦听三层组播设备与主机之间交互的 IGMP 报文来建立二层组播转发表项,实现二层组播转发。但是,在一个没有三层组播设备的网络中,由于没有设备负责 IGMP 查询

 

 

 

器的功能,这样网络中不会周期性存在 IGMP 协议交互的报文,二层设备也无法通过侦听 IGMP报文来建立二层的组播转发表项。为了解决这个问题,可以在二层设备上使用 IGMP 侦听查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据。本页面主要用于配置 IGMP 侦听查询器的相关参数。

进入页面的方法:组播管理→IGMP 侦听查询器配置

9-1 查询配置

条目介绍:

IGMP 侦听查询器配置

 

VLAN ID 输入需要启动查询器的 VLAN ID

查询时间间隔: 输入查询间隔时间。查询器会按照间隔时间发送通用查询报文。最大响应时间:              输入主机响应查询器发送的通用查询报文的最大响应时间。

通用查询报文源 IP 输入通用查询报文的源 IP 地址。不可以是组播 IP 或者广播 IP

IGMP 侦听查询器表

 

选择 选择需要配置的 VLAN 条目

VLAN ID 显示 VLAN ID

查询间隔 显示查询间隔

最大响应时间 显示最大响应时间

 

通用查询报文源 IP 显示通用查询报文的源 IP 地址

 

 

9.1.6配置文件配置

在启用了 IGMP 侦听功能后,您可以通过配置组播过滤,来限制端口能加入的组播地址范围,从而限制用户对组播节目的点播。

进入页面的方法:组播管理→IGMP 侦听配置文件配置

 

 

 

 

 

9-2 配置文件

 

条目介绍:

 

创建配置文件

 

配置文件 ID 输入您想创建的配置文件 ID,区间为 1-999

模式 配置文件的过滤模式

允许:只允许加入配置文件中 IP 地址范围内的组播组。拒绝:拒绝加入配置文件中 IP 地址范围内的组播组。

显示设置

 

显示设置: 选择显示配置文件条目的规则。全部:显示所有配置条目。

配置文件 ID:显示所选 ID 对应的配置条目。

IGMP 配置文件信息

 

选择:

 

 

选择需要进行配置的条目。

配置文件

ID

显示配置文件 ID

模式:

 

显示配置文件的过滤模式。

 

 

允许:只允许加入配置文件中 IP 地址范围内的组播组。

 

 

拒绝:拒绝加入配置文件中 IP 地址范围内的组播组。

绑定端口:

 

显示配置文件所绑定的端口。

操作:

 

点击编辑按钮可以配置该配置文件的模式和过滤 IP 地址区间。

 

 

 

 

9.1.7配置文件绑定

当交换机接收到 IGMP 报文时,检查绑定到接入端口的配置文件 ID 以确定端口是否可以加入组播组。如果没有过滤组播 IP,交换机则将该端口加入到组播组的转发端口列表中,否则交换机将丢弃 IGMP 报文信息。您可以通过设置组播组来让不同用户访问。

进入页面的方法:组播管理→IGMP 侦听配置文件绑定

 

9-3 配置文件绑定

条目介绍:

 

配置文件与最大加入组数目绑定

 

选择 选择所需的端口进行配置。可多选

端口 显示端口号。可多选

 

配置文件 ID 与端口绑定的配置文件 ID

最大加入组数目 端口允许加入的最大组播组数目

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

溢出操作:

 

 

当端口所加入组播组数等于或超过最大组播组数时采取的动作。

 

丢弃:不再加入新的组播组,接收到的报文信息将被丢弃。

 

替换:允许加入新的组播组,已有的最小组播组将被替换。

LAG

显示端口所属的汇聚组。

 

 

配置过程:

 

步骤

操作

描述

1

创建配置文件

必选操作

。在组播管理→IGMP 

 

配置文件配置页面上配

IGMP 配置文件 ID 和模式。

 

 

 

2

配置 IP 范围

必选操作。点击组播管理→IGMP 侦听配置文件配置页面上

IGMP 配置文件信息的编辑按钮,配置 IGMP 配置文件的模

式和 IP 范围。

 

 

 

3

配置文件绑定

可选操作。在组播管理→IGMP

 

配置文件绑定页面上进

行绑定文件绑定。

 

 

 

9.1.8报文统计

您可以在本页查看交换机各端口的组播报文流量信息,便于您监控网络中 IGMP 报文。进入页面的方法:组播管理→IGMP 侦听报文统计

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

 

 

 

9-4 报文统计

以下的条目显示在屏幕上: 

自动刷新

 

 

自动刷新:

选择启用/禁用自动刷新功能。

 

刷新周期:

填写自动刷新的时间周期。

 

IGMP 统计

 

 

端口:

显示交换机的端口号。

 

查询报文:

显示端口接收到的查询报文的数目。

 

报告报文V1):

显示端口接收到的 IGMPv1 报告报文的数目。

 

报告报文V2):

显示端口接收到的 IGMPv2 报告报文的数目。

 

报告报文V3):

显示端口接收到的 IGMPv3 报告报文的数目。

 

离开报文:

显示端口接收到的离开报文的数目。

 

错误报文:

显示端口接收到的错误报文的数目。

 

 

9.1.9IGMP 认证

IGAPInternet Group membership Authentication ProtocolIGMP 认证协议)是一个组播认证协议,用来对想要加入受限组播源的用户进行认证。

进入页面的方法:组播管理→IGMP 侦听→IGMP 认证

 

9-5 IGMP 认证

 

以下的条目显示在屏幕上: 

计费配置

 

认证计费: 启用或禁用 IGMP 认证计费功能。端口配置

选择 选择所需的端口进行配置。可多选

 

端口号 显示交换机的端口号

 

 

 

IGMP 认证 选择启用或禁用端口的 IGMP 认证功能

LAG 显示端口所属的汇聚组。

 

9.2MLD 侦听

MLD 侦听

 

MLD SnoopingMulticast Listener Discovery SnoopingMLD 侦听)是运行在交换机上的 IPv6 组播约束机制,用于管理和控制 IPv6 组播组。启用 MLD 侦听功能可以有效地避免组播数据在网络中

广播。启用 MLD 侦听,IPv6 组播数据可以选择性地转发到希望接收数据的端口列表,避免产生泛洪。IPv6 中的 MLD 侦听类似于 IPv4 中的 IGMP 侦听功能。

运行 MLD 侦听功能的交换机会侦听用户主机与路由器之间的交互 MLD 报文,跟踪 MLD 信息及其申请的端口。当交换机侦听到主机向路由器发出报告报文(MLD Report)时,交换机便把该端口加

入组播地址表中;当交换机侦听到主机发送的离开报文(MLD Done Leave)时,路由器会发送该端口的特定组播地址查询报文(Multicast-Address-Specific Query),若还有其它主机需要该组 播,则将回应报告报文,若路由器收不到任何主机的回应,交换机便把该端口从组播地址表中删 除。路由器会定时发查询报文(MLD Query),交换机收到查询报文后,如果在一定的时间段内没有收到主机的报告报文,便把该端口从组播表中删除。

MLD 侦听的基本概念

MLD 消息

MLD 查询报文:MLD 路由器发出,查询报文包括通用查询报文和特定组播地址查询报文。

MLD 报告报文:当主机想主动加入某一组播组或对路由器查询报文给予响应时,它将产生此种报

MLD 离开报文:当主机想离开一个组播组,它将发送一个 MLD 离开报文来通知 IPv6 组播路由器。相关端口

路由器端口:交换机上连接 MLD 路由器的端口

成员端口:交换机上连接组播组成员的端口。相关定时器

路由器端口老化时间:这段时间内,如果交换机没从路由器端口接收到 MLD 查询报文,就认为该路由器端口失效。默认是 300 秒。

成员端口老化时间:这段时间内,如果交换机没有从成员端口接收到 MLD 报告报文,就认为该成员端口不再有主机属于多播组。默认是 260 秒。

通用查询间隔:路由器发送通用查询报文的时间间隔。

最后监听成员查询间隔:交换机发出特定组播地址查询报文的时间间隔。

 

 

最后监听成员查询次数:如果 MLD 报告报文没有得到回应,交换机在组播地址老化之前发送的特定组播地址查询报文的数量。

MLD 侦听过程通用查询

MLD 路由器会定期发送 MLD 通用查询报文来查询组播组是否有包含成员。在接收 MLD 通用查询报文后,交换机会将此报文通过 VLAN 内除接收端口以外的其它端口转发,并对接收端口做出相应的处理:如果接收端口不是已有路由器端口,则将其加入路由器端口列表,并启用路由器端口时间;如果是已有路由器端口,则直接重置路由器端口时间。

成员报告

当主机想主动加入某一组播组或对路由器 MLD 查询报文给予响应时,主机会发出 MLD 报告报文。

 

在收到 MLD 报告报文时,交换机将此报文通过 VLAN 内的路由器端口转发出去,同时从该报文中解析出主机要加入的组播组地址。如果组播组不存在,将会创建新的组播组条目。交换机同时会对该报文的接收端口做相应的处理:如果接收端口是新成员端口,则将其加入到组播地址表中,并启用该端口的成员端口时间;如果接收端口是旧成员端口,则直接重置成员端口时间。

成员离开

主机离开组播组时,会通过发送 MLD 离开报文,以通知组播路由器自己离开了某个组播组。

当交换机从某一端口收到 MLD 离开报文时,为了确认此端口下是否还有其它组成员存在,交换机向此端口转发特定组播地址查询报文。用户可以根据特定组播地址查询报文的数量和时间间隔来控制一个端口的成员是否被移除。如果在交换机最大响应时间内没有收到来自该端口的报告信息,该端口将从组播组中删除。如果被删除的端口是组播组的最后一个成员,那么组播组也会被删除。交换机将把 MLD 离开报文发送给 VLAN 路由器端口。

IPv6 中,2 层交换机可以使用 MLD 侦听来限制组播流量的泛洪,IPv6 组播数据有选择地转发到要接收数据的端口列表。

 

本功能包括基本配置端口参数VLAN 参数、组播 VLAN、查询器配置、配置文件配置、配置文件绑定、报文统计八个配置页面。

 

9.2.1基本配置

配置本交换机的 MLD 侦听功能,首先要在本页配置 MLD 侦听的全局功能和相关参数。进入页面的方法:组播管理→MLD 侦听基本配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

 

 

 

9-6 侦听配置

以下的条目显示在屏幕上: 

全局配置

 

 

MLD 侦听:

选择是否启用交换机的 MLD 侦听功能。

 

未知组播报文:

选择交换机对未知组播报文的处理方法。

 

Report 报文抑制:

选择是否开启 Report 报文抑制功能,如果开启该功能,则特定组播

 

 

组的第一个 Report 报文将发往路由器端口,接下来的 Report 报文

 

 

将被抑制,不发往路由器端口。Report 报文抑制功能有助于减少网

 

 

络中 IGMP 数据包的流量。

 

路由器端口时间:

在所设时间内,如果交换机没从路由器端口接收到 MLD 查询报文,

 

 

就认为该路由器端口失效。

 

成员端口时间:

在所设时间内,如果交换机没有从成员端口接收到 MLD 报告报文

 

 

就认为该成员端口失效。

 

最后监听成员查询次

输入最后监听成员查询次数。当组播组没有其他组播成员端口,

 

数:

会发送该次数的特定组查询报文检查是否还有其他组播成员。

 

MLD 侦听信息

 

 

描述:

显示 MLD 侦听的配置项。

 

 

 

成员文 显示对应配置项的成员

组播 VLAN 的配置过程

 

操作

描述

1

创建 VLAN

必选操作。在 VLAN>>802.1Q VLAN 功能处,点击创建按钮

创建一个 VLAN,输入 VLAN ID VLAN 的描述,并指定它

的成员端口。

2

全局启用 MLD 侦听。

必选操作。在组播管理>>MLD 侦听>>基本配置页面,全局启

用交换机的 MLD 侦听功能。

3

启用 VLAN 中的 MLD 侦听。

必选操作。在组播管理→MLD 侦听→VLAN 参数配置页面,

指定 VLAN ID

4

启用组播 VLAN

必选操作。在组播管理→MLD 侦听组播 VLAN 页面,使能

组播 VLAN 功能并指定组播 VLAN ID

9.2.2端口参数

本页用来配置交换机端口的 MLD 侦听属性。

进入页面的方法:组播管理>>MLD 侦听>>端口参数

 

 

 

 

 

 

 

9-7 端口配置

以下的条目显示在屏幕上: 

 

端口配置

 

选择:

勾选条目配置端口的 MLD 侦听功能,可多选。

端口号:

显示交换机的端口号。

MLG 侦听:

选择该端口是否启用 MLD 侦听功能。

快速离开功能:

端口启动快速离开功能后,交换机收到 MLD 离开报文时,直接将该

 

端口从组播组中删除。

LAG

显示端口所属的汇聚组。

 

 

9.2.3VLAN 参数

MLD 侦听所建立的组播组是基于 VLAN 广播域的,不同的 VLAN 可以设置不同的 MLD 参数。本页用于配置每个 VLAN MLD 侦听参数。

进入页面的方法:组播管理>>MLD 侦听>>VLAN 参数

 

 

 

 

9-8 VLAN 配置

 

条目介绍:

 

VLAN 配置

 

 

VLAN ID

填写启用 MLD 侦听功能的 VLAN ID

 

路由器端口时间:

在所设时间内,如果交换机没有从路由器端口接收到查询报文,就

 

 

认为该路由器端口失效。

 

成员端口时间:

在所设时间内,如果交换机没有接收到成员端口发送的报告报文,

 

 

就认为该成员端口失效。

 

静态路由器端口:

选择静态配置的路由器端口,多用于拓扑稳定的网络中。

 

禁用路由器端口:

选择禁用配置成路由器端口的端口。

 

VLAN 列表

 

 

选择:

勾选条目配置 VLAN 参数,可多选。

 

VLAN ID

显示 VLAN ID

 

路由器端口时间:

显示 VLAN 的路由器端口时间。

 

成员端口时间:

显示 VLAN 的成员端口时间。

 

 

 

静态路由器端口: 显示 VLAN 的静态路由器端口。动态路由器端口 显示 VLAN 的动态路由器端口

禁用路由器端口 显示 VLAN 内禁止被配置成路由器端口的端口

 

9.2.4组播 VLAN

对于传统的组播数据转发方式,当处于不同 VLAN 的用户加入同一个组播组时,组播路由器会为每个包含接收者的 VLAN 复制并转发一份组播数据。这样的组播点播方式,浪费了大量的带宽。

通过配置组播 VLAN,可以有效的解决上述问题。将交换机的端口加入到组播 VLAN 中并启用 MLD 侦听功能,使不同 VLAN 内的用户共用一个组播 VLAN 接收组播数据,组播数据只在组播 VLAN 内进行传输,从而节省了带宽。同时由于组播 VLAN 与普通的 VLAN 完全隔离,安全和带宽都得以保证。

 

配置组播 VLAN 之前,需要在 802.1Q VLAN 功能处预先配置一个 VLAN 作为组播 VLAN,并将相应的端口加入此 VLAN 中。组播 VLAN 启用后,在 VLAN 参数页面中为其它 VLAN 配置的组播参数将失效,即组播数据不再通过除组播 VLAN 以外的其它 VLAN 转发。

进入页面的方法:组播管理>>MLD 侦听>>组播 VLAN

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

9-9 组播 VLAN 配置

 

条目介绍:

组播 VLAN

 

组播 VLAN 选择是否启用组播 VLAN

VLAN ID 填写组播 VLAN VLAN ID

路由器端口时间: 在所设时间内,如果交换机没有从路由器端口接收到查询报文,就认为该路由器端口失效。

 

成员端口时间 在所设时间内,如果交换机没有接收到成员端口发送的报告报文

就认为该成员端口失效。

 

替换源 IP 指定 IGMP 数据包源 IP 地址被替换后的 IP 地址

静态路由器端口 选择静态配置的路由器端口,多用于拓扑稳定的网络中

 

 

 

动态路由器端口: 显示组播 VLAN 的动态路由器端口。禁用路由器端口: 选择禁用被配置成路由器端口的端口。

 

 

9.2.5查询器配置

在运行了 MLD 的组播网络中,会有一台三层组播设备充当 MLD 查询器,负责发送 MLD 查询报 文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据。而网络中的二层设备可以通过侦听三层组播设备与主机之间交互的 MLD 报文来建立二层组播转发表

项,实现二层组播转发。但是,在一个没有三层组播设备的网络中,由于没有设备负责 MLD 查询器的功能,这样网络中不会周期性存在 MLD 协议交互的报文,二层设备也无法通过侦听 MLD 报文来建立二层的组播转发表项。为了解决这个问题,可以在二层设备上使用 MLD 侦听查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据。本页面主要用于配置 MLD 侦听查询器的相关参数。

进入页面的方法:组播管理→MLD 侦听查询器配置

 

9-10侦听配置

 

以下的条目显示在屏幕上: 

MLD 侦听查询器配置

 

 

 

VLAN ID 输入需要启动查询器的 VLAN ID

查询间隔: 输入查询间隔时间。查询器会按照间隔时间发送通用查询报文。最大响应时间:              输入主机响应查询器发送的通用查询报文的最大响应时间。

通用查询报文源 IP 输入通用查询报文的源 IP 地址。不可以是组播 IP 或者广播 IP

MLD 侦听查询器列表

 

VLAN ID 显示 VLAN ID

查询间隔 显示查询间隔

最大响应时间 显示最大响应时间

 

通用查询报文源 IP 显示通用查询报文源 IP 地址

 

9.2.6配置文件配置

在启用了 MLD 侦听功能后,您可以通过配置组播过滤,来限制端口能加入的组播地址范围,从而限制用户对组播节目的点播。

进入页面的方法:组播管理→MLD 侦听配置文件配置

 

9-11配置文件

 

条目介绍:  创建 MLD 配置文件

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

配置文件 ID

 

 

输入您想创建的配置文件 ID,区间为 1-999

模式:

配置文件的过滤模式。

 

允许:只允许加入配置文件中 IP 地址范围内的组播组。

 

拒绝:拒绝加入配置文件中 IP 地址范围内的组播组。

显示设置

 

显示设置:

选择显示配置文件条目的规则。

 

全部:显示所有配置条目。

 

配置文件 ID:显示所选 ID 对应的配置条目。

 

MLD 配置文件信息

 

选择:

 

 

选择需要进行配置的条目

配置文件

ID

显示配置文件 ID

模式:

 

显示配置文件的过滤模式。

 

 

允许:只允许加入配置文件中 IP 地址范围内的组播组。

 

 

拒绝:拒绝加入配置文件中 IP 地址范围内的组播组。

绑定端口:

 

显示配置文件所绑定的端口。

操作:

 

点击编辑按钮可以配置该配置文件的模式和过滤 IP 地址区间。

 

9.2.7配置文件绑定

当交换机接收到 MLD 报文时,检查绑定到接入端口的配置文件 ID 以确定端口是否可以加入组播组。如果没有过滤组播 IP,交换机则将该端口加入到组播组的转发端口列表中,否则交换机将丢弃 MLD 报文信息。您可以通过设置组播组来让不同用户访问。

进入页面的方法:组播管理→MLD 侦听配置文件绑定

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

9-12配置文件

 

条目介绍: 

配置文件和最大加入组数目绑定

 

选择 选择所需的端口进行配置。可多选

 

端口 显示端口号。可多选

 

配置文件 ID 与端口绑定的配置文件 ID

最大加入组数目 端口允许加入的最大组播组数目

溢出操作 当端口所加入组播组数等于或超过最大组播组数时采取的动作

丢弃:不再加入新的组播组,接收到的报文信息将被丢弃。替换:允许加入新的组播组,已有的最小组播组将被替换。

LAG 显示端口所属的汇聚组。

 

配置过程:

 

 

 

2

配置 IP 范围

 

 

 

必选操作。点击组播管理→IGMP 侦听配置文件配置页面上

 

 

 

 

 

IGMP 配置文件信息的编辑按钮,配置 IGMP 配置文件的模

 

 

 

 

 

式和 IP 范围。

 

 

3

配置文件绑定

可选操作。在组播管理→MLD 侦听配置文件绑定页面上进行绑定文件绑定。

             

 

 

9.2.8报文统计

您可以在本页查看交换机各端口的组播报文流量信息,便于您监控网络中 MLD 报文。进入页面的方法:组播管理→MLD 侦听报文统计

 

9-13报文统计

自动更新

 

自动更新 选择是否启用自动刷新功能

刷新周期 填写自动刷新的时间周期

 

MLD 统计

 

 

 

端口 显示交换机的端口号

查询报文 显示端口接收到的查询报文的数目

 

报告报文(V1):   显示端口接收到的 MLDv1 报告报文的数目。报告报文(V2):   显示端口接收到的 MLDv2 报告报文的数目。离开报文:              显示端口接收到的离开报文的数目。

错误报文 显示端口接收到的错误报文的数目

 

9.3组播地址表

在网络中,信息接收者可以加入各自所需的组播组,交换机在转发组播数据时是根据组播地址表来进行的。

 

本功能包括 IPv4 组播地址表IPv4 静态组播地址表、IPv6 组播地址表IPv6 静态组播地址表个配置页面。

 

9.3.1IPV4 组播地址表

在本页可以查看到交换机中已存在的所有 IPv4 组播地址表信息。组播地址范围是 224.0.0.0239.255.255.255,可以加入的有效组播地址范围是 224.0.1.0239.255.255.255

进入页面的方法:组播管理>>组播地址表>>IPV4 组播地址表

 

8-8 地址表显示

条目介绍:

显示设置

 

显示设置: 选择组播地址表的显示规则,可以帮助您快速查找到所需的条目。全部: 显示全部组播 IP 条目。

组播 IP:设置欲查找条目需包含的组播 IP 地址信息。 VLAN ID:设置欲查找条目需包含的 VLAN ID 信息。端口:设置欲查找条目需包含的端口。

组播IP

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

组播 IP

 

 

显示组播 IP 地址。

VLAN ID

显示组播组对应的 VLAN ID

转发端口:

显示组播组的转发端口。

 

9.3.2IPv4 静态组播地址表

IPv4 静态组播地址表不是通过 IGMP 侦听学习到的,不受动态组播组及组播过滤的影响,对于某些固定的组播组,可以提高数据传输质量并增加安全性。

进入页面的方法:组播管理>>组播地址表>>IPv4 静态组播地址表

8-9 静态地址表

条目介绍:

 

新建条目

 

 

组播 IP

填写静态绑定的组播 IP 地址

 

VLAN ID

填写组播 IP 对应的 VLAN ID

 

转发端口:

填写组播 IP 的转发端口

 

显示设置

 

 

 

 

显示设置 选择静态组播 IP 表的显示规则,可以帮助您快速查找到所需的条目

全部:显示全部静态组播 IP 表条目。

组播 IP:设置欲查找条目需包含的组播 IP 地址信息。 VLAN ID:设置欲查找条目需包含的 VLAN ID 信息。端口:设置欲查找条目需包含的端口。

静态组播 IP 地址表

 

选择 勾选条目进行删除,可多选

 

组播 IP 显示绑定的组播 IP 地址

VLAN ID 显示组播组对应的 VLAN ID

转发端口 显示组播组的转发端口

 

9.3.3IPv6 组播地址表

在本页可以查看到交换机中已存在的所有 IPv6 组播地址表信息。进入页面的方法:组播管理>>组播地址表>>IPV6 组播地址表

 

 

 

 

9-14 IPv6 组播列表

以下的条目显示在屏幕上: 

显示设置

 

 

显示设置:

选择组播地址表的显示规则,可以帮助您快速查找到所需的条目。

 

 

全部: 显示全部组播 IP 条目。

 

 

组播 IP:设置欲查找条目需包含的组播 IP 地址信息。

 

 

VLAN ID:设置欲查找条目需包含的 VLAN ID 信息。

 

 

端口:设置欲查找条目需包含的端口。

 

组播IP

 

 

组播 IP

显示组播 IP 地址。

 

VLAN ID

显示组播组对应的 VLAN ID

 

转发端口:

显示组播组的转发端口。

 

 

9.3.4IPv6 静态组播地址表

IPv6 静态组播地址表不是通过 MLD 侦听学习到的,不受动态组播组及组播过滤的影响,对于某些固定的组播组,可以提高数据传输质量并增加安全性。

进入页面的方法:组播管理>>组播地址表>>IPv6 静态组播地址表

 

 

 

 

 

9-15 IPv6 组播列表

以下的条目显示在屏幕上: 

新建条目

 

 

组播 IP

填写静态绑定的组播 IP 地址

 

VLAN ID

填写组播 IP 对应的 VLAN ID

 

转发端口:

填写组播 IP 的转发端口

 

显示设置

 

 

显示设置 选择静态组播 IP 表的显示规则,可以帮助您快速查找到所需的条目

全部:显示全部静态组播 IP 表条目。

组播 IP:设置欲查找条目需包含的组播 IP 地址信息。 VLAN ID:设置欲查找条目需包含的 VLAN ID 信息。端口:设置欲查找条目需包含的端口。

 

 

静态组播表

 

选择 勾选条目进行删除,可多选

 

组播 IP 显示绑定的组播 IP 地址

VLAN ID 显示组播组对应的 VLAN ID

转发端口 显示组播组的转发端口

 

 

 

10.路由

在网络中通常由传统路由器或者运行了路由协议的以太网交换机实现不同网络间的数据转发。路由是指路由器根据收到的数据包的目的地址选择最优路径,并转发到通往目标网络的下一个网络节点的过程,而此路径上的最后一个路由节点则将数据转发给目标主机。

 

在一次路由过程中选择最优路径是路由器需要完成的最重要的工作。路由器通过维护一张路由表来记录网络中的路径信息,并根据一定的路由选择协议在路由表中选择一条最优路径进行数据转发。常用的路由选择协议有 RIPOSPF BGP 等等,不同的协议有不同的算法,对于发往同一目标网络的路径选择结果也可能不一样。路由表中的每一个路由条目基本都包含如下基本属性:

目的网络地址:用于标识该条路由条目所指向的目标网络。子网掩码:用于标识目标网络的子网掩码。

下一跳地址:用于指定通往目标网络的下一跳路由节点,路由器将数据转发给下一跳路由节点后,由下一跳路由节点将数据发往再下一跳路由节点或目标网络。下一跳路由必须是本地可达的,配置路由条目时可以通过 ping 工具测试是否可达。

下一跳接口:用于标识数据从本地发出的出接口。

路由条目的来源有三种,分别为直连路由、静态路由和动态路由。

直连路由:通过数据链路层协议发现的,通常为与路由器直接连接的网络的路由。

 

静态路由:由网络管理员手动配置的一种特殊路由,不随着网络拓扑的改变而自动变化,多用于网络规模较小,拓扑结构固定的网络中。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手动修改路由表中相关的静态路由信息。

 

动态路由:通过相互连接的路由器之间交换彼此的路由信息,然后通过路由选择协议计算出自身的路由表信息,可随着网络拓扑的改变而自动变化,简化了网络管理工作。

 

10.1接口

网络接口是一种三层模式下的虚拟接口,主要用于实现 VLAN、路由端口之间的三层互通。每个 VLAN 接口对应一个 VLAN,路由端口对应一个物理端口,环回接口是纯软件接口的。网络接口通过地址与子网掩码参数确定了一个 IP 网段(或称为 IP 子网),并作为该网段的网关对需要跨网段的报文进行基于 IP 地址的三层转发。

您可以在这个页面上配置系统的三层接口。 进入页面的方法:路由功能接口接口设置

 

 

 

 

 

 

10-1 接口配置

以下的条目显示在屏幕上: 

创建接口

 

 

接口 ID

输入网络接口对应的 IDVLAN ID、环回 ID 或用户端口。

 

IP 地址模式:

设置 IP 地址申请模式。 无:无 IP, 静态:手动设置, DHCP

 

 

通过 DHCP 申请, BOOTP:通过 BOOTP 申请。

 

IP 地址:

设置网络接口的 IP 地址。

 

子网掩码:

设置网络接口 IP 地址的子网掩码。

 

管理状态:

设置网络接口的管理状态。选择关闭来关闭此接口的三层功能。

 

接口名称:

设置网络接口的接口名称。

 

 

 

接口列表

 

 

选择:

选择接口条目进行修改或删除。

 

ID:

显示该网络接口对应的 ID

 

模式:

显示 IP 地址申请模式。

 

IP 地址

显示网络接口的 IP 地址。

 

子网掩码:

显示该网络接口的子网掩码。

 

接口名称:

显示该网络接口的接口名称。

 

状态:

显示网络接口的当前运行状态 。 只有当管理状态为开启、 line

 

 

protocol UP 并且设置了 IP 地址的情况下,运行状态为 UP

 

操作:

单击'编译'修改网络接口设置, 或单击'详细'查看详细信息。

 

 

IPv4 接口

点击编辑显示如下图片:

 

10-2 IPv4 接口配置

 

 

修改接口

 

接口 ID: 此接口对应 IDVLAN ID 环回 ID 或端口号

IP 地址模式: 设置 IP 地址申请模式。 无:无 IP, 静态:手动设置, DHCP

通过 DHCP 申请, BOOTP:通过 BOOTP 申请。

IP 地址: 设置接口 IP

子网掩码: 设置接口子网掩码

管理状态: 设置接口管理状态。选择'关闭'可以关闭接口的三层功能

接口名: 设置接口名称

 

 

 

 

创建第二 IP

 

IP 地址: 指定接口的第二 IP 地址

子网掩码: 指定接口的第二 IP 地址的子网掩码

 

 

第二 IP 列表

 

选择: 选择要删除的第二 IP

IP 地址: 显示当前接口的第二 IP 地址

子网掩码: 显示第二 IP 地址的子网掩码

 

 

IPv6 接口

点击编辑来显示如下图片:

10-3 系统 IPv6

 

以下的条目显示在屏幕上:

 

 

IPv6 全局配置

IPv6 功能:接口 ID:

 

 

选择启用/禁用按钮全局配置交换机的 IPv6 功能。

选择开启 IPv6 功能的接口 ID,接口类型包括 VLAN、路由端口、汇聚接口

 

 

IPv6 链路本地地址配置

 

链路本地地址配置方 您可以根据需要,让系统自动生成一个链路本地地址,或者使用纯

: 手工的方式配置链路本地地址。

手动: 选择此选项时,您需要手工配置链路本地地址。

自动: 选择此选项时,交换机会自动生成一个链路本地地址。

IPv6 链路本地地址: 当使用手动方式配置链路本地地址时,在此输入交换机的链路本地地址。

 

链路本地地址状态: 显示交换机链路本地地址的状态

正常: 表明链路本地地址状态是正常的。 试探: 表明链路本地地址可能是新配置的。

重复: 表明交换机的链路本地地址与链路上其它节点重复,此时不能用 IPv6 地址(包括链路本地地址和全球地址)访问交换机

通过 RA 消息配置 IPv6 全球地址

 

允许使用 RA 消息进行当该选项被启用时,系统将接受来自路由器的 RA 消息进行全球地

全球地址自动配置:址的自动配置。通过 DHCPv6 获取全球地址

启用通过 DHCPv6 当该选项被启用时,系统将尝试使用 DHCPv6 获取全球地址。

取全球地址

 

手动添加 IPv6 全球地址

 

配置方式: EUI-64: 当使用 EUI-64 方式时,您仅需指定一个地址前缀,

统将自动为你生成一个全球地址。

EUI-64: 当使用非 EUI-64 方式时,您需要指定一个完整的

IPv6 全球地址

IPv6 全球地址: 当使用 EUI-64 方式配置全球地址时,在此输入地址前缀。当使用非 EUI-64 方式配置全球地址时,在此输入完整的 IPv6 地址。

系统当前 IPv6 全球地址列表

 

选择: 您可以在此选择要修改或删除的 IPv6 全球地址

 

IPv6 全球地址: 当修改 IPv6 全球地址的时候,在此输入新的 IPv6 全球地址

 

前缀长度: 当修改 IPv6 全球地址的时候,在此输入新的 IPv6 全球地址前缀长度。

 

地址类型: 显示全球地址的配置模式

手动: 表示对应地址是用户手动配置的

自动: 表示对应地址是系统通过接收 RA 消息自动生成,或者通DHCPv6 获取

首选时间: 显示全球地址的首选时间

 

 

 

有效时间: 显示全球地址的有效时间

 

状态: 显示全球地址的状态

正常: 表明全球地址状态是正常的。 试探: 表明全球地址可能是新配置的。

重复: 表明全球地址与链路上其它节点重复,此时不能用该

IPv6 全球地址访问交换机。

单击细节显示下面的图::

 

10-4 接口详细信息

 

详细信息

 

接口 ID:显示网络接口 IDVLAN ID、环回 ID 或用户端口

IP 地址模式: 显示 IP 地址申请模式。 None:无 IP Static:手动设置, DHCP

通过 DHCP 申请, BOOTP:通过 BOOTP 申请。

IP  显示 IP 地址和子网掩码

 

第二 IP: 显示第二 IP 地址和子网掩码

 

接口状态: 显示网络接口当前状态。只有设置了 IP,管理状态为'开启',并且连

状态为'连接'时,接口状态才为'连接’。

连接状态: 显示是否有上联端口接入到当前网络接口

 

管理状态:  显示网络接口管理状态。如果设置为'关闭' 那么接口的三层功能将被关闭。

 

 

 

接口名称 显示网络接口名称

 

 

接口设置信息

显示接口的详细设置信息。

10.2路由表

该页面显示由不同路由协议生成的路由信息摘要。

10.2.1IPv4 路由表

进入页面的方法:路由功能路由表→IPv4 路由表

10-5 路由表

 

以下的条目显示在屏幕上: 

路由信息汇总

 

路由协议 显示路由协

 

目的网络: 显示路线的目的地

下一跳地址: 显示下一个数据包应该发送到哪个 IP 地址

管理距离: 显示路线的管理距离。距离越小,优先级越高。度量值: 显示路由的度量。

接口名称 显示出路接口的描述

 

10.2.2IPv6 路由表

进入页面的方法:路由功能路由表→IPv6 路由表

10-6 IPv6 路由表

 

以下的条目显示在屏幕上: 

路由信息汇总

 

 

 

路由协议 显示路由协

 

目的网络: 显示路线的目的地

下一跳地址: 显示下一个数据包应该发送到哪个 IP 地址

管理距离: 显示路线的管理距离。距离越小,优先级越高。度量值: 显示路由的度量。

接口名称 显示出路接口的描述

 

10.3静态路由

静态路由是由管理员手动配置的特殊路由,因此不能随网络拓扑结构自动改变。因此,静态路由通常在相对简单和稳定的网络中使用。静态路由的适当配置可以极大地提高网络性能。

10.3.1IPv4 静态路由条目

静态路由是一种特殊的路由,它是由管理员手工配置,不随网络拓扑的改变而自动变化,故多用于网络规模较小,拓扑结构固定的网络中,具有简单、高效、可靠等优点。

进入页面的方法:路由功能静态路由→IPV4 静态路由条目

 

10-7 静态路由配置

 

以下的条目显示在屏幕上: 

静态路由配置

 

目的地址 设定数据报文需要到达的目的 IP 地址

子网掩码: 设定目的 IP 地址的子网掩码

下一跳地址: 指定一个 IP 地址,交换机下一步会将符合条件的数据包转发到该地址上。

 

管理距离: 指定路由条目的管理距离。管理距离越小,优先级越高。静态路由条目

 

 

 

选择 选择静态路由条目进行修改

 

目的地址 显示数据报包需要到达的目的 IP 地址

子网掩码: 显示目的 IP 地址的子网掩码

下一跳地址 显示下一跳地址

 

管理距离: 显示路由条目的管理距离。管理距离越小,优先级越高。度量值 显示路由的度量。

接口名称 显示网络接口的接口名称

 

10.3.2IPv6 静态路由条目

进入页面的方法:路由功能静态路由→IPV6 静态路由条目

 

10-8 静态路由配置

 

以下的条目显示在屏幕上: 

IPv6 路由

 

IPv6 路由 开启/关闭 IPv6 

 

静态路由配置

 

目的地址 设定数据报文需要到达的目的 IP 地址

子网掩码: 设定目的 IP 地址的子网掩码

下一跳地址: 指定一个 IP 地址,交换机下一步会将符合条件的数据包转发到该地址上。

 

管理距离: 指定路由条目的管理距离。管理距离越小,优先级越高。静态路由条目

 

 

 

选择 选择静态路由条目进行修改

 

目的地址 显示数据报包需要到达的目的 IP 地址

下一跳地址 显示下一跳地址

管理距离: 显示路由条目的管理距离。管理距离越小,优先级越高。度量值 显示路由的度量。

接口名 显示网络接口的接口名称

 

10.4DHCP 服务器

DHCP 模块用于配置交换机的 DHCP 功能,包括两个子菜单、DHCP 服务器和 DHCP 中继。

DHCP(动态主机配置协议)TCP / IP 网络上给主机网络配置的协议,它提供了一个框架,用于给主机分配配置信息。DHCP 增加了可重复利用的网络地址和其他的配置选项自动分配的能力。DHCP捕捉 DHCP 参与者的行为,这样管理员可以管理网络中主机的参数。

工作站和个人电脑在互联网上激增,因此维护网络的复杂性增加了一个数量级。给每个客户端分配本地网络资源就代表了这样一种困难。在大多数环境中,将这种任务委托给用户是不合理的。事实上,解决方案是将资源定义为统一格式并自动分配。

DHCP 负责将互联网地址和一些其他资源分配给客户。

10.4.1DHCP 服务器

用于开启或关闭 DHCP 服务器。当 DHCP 服务器开启时 DHCP 中继会同时开启。

进入页面的方法:路由功能→DHCP 服务器→DHCP 服务 

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

10-9 DHCP 服务器

 

以下的条目显示在屏幕上: 

 

全局配置

 

 

DHCP 服务器:

开启或关闭 DHCP 服务器。

 

Option 60

配置 DHCP Option 60 选项字段,如果该选项字段不为空且运行

 

 

CAPWAP 协议的客户端通过 DHCP 向服务器请求获取 option 60 选项

 

 

时,服务器发出的报文将会带上该选项。

 

Option 138

配置 DHCP Option 138 选项字段,如果该选项字段不为空且运行

 

 

CAPWAP 协议的客户端通过 DHCP 向服务器请求获取 option 138 选项

 

 

时,服务器发出的报文将会带上该选项。

 

Ping 配置

 

 

Ping 报文数:

每次确定 IP 存在的时候发出的报文数。

 

Ping 超时:

Ping 超过该时间则认为指定 IP 不存在。

不分配 IP 设置

 

起始 IP 地址:不分配的起始 IP 地址。

 

结束 IP 地址:不分配的结束 IP 地址。

 

 

不分配 IP 列表

 

选择 选择删除不分配的 IP 地址池的条目

 

序号 显示序号信息

起始 IP 地址 显示不分配的 IP 地址池的起始 IP 地址

结束 IP 地址 显示不分配的 IP 地址池的结束 IP 地址

 

10.4.2地址池设置


 

 

10-10 地址池设置

 

以下的条目显示在屏幕上: 

DHCP 服务器地址池

 

地址池名称: 地址池的名称,最大支持 8 个字符。网络地址: 地址池网络地址。

掩码 地址池掩码

 

租期 客户端能使用从该地址池所分配的 IP 地址的时间

 

 

 

默认网关 配给客户端的网关,最大可设置 8 个,为可选配置

DNS 服务器: 分配给客户端的 DNS 服务器,最大可设置 8 个,为可选配置。 Netbios 服务器:              配给客户端的 WINS 服务器,最大可设置 8 个,为可选配置。 Netbios 节点类型: 客户端 Netbios 节点类型,可设置为空,为可选配置。

下一个服务器地址: 引导过程的下一个服务器地址,为可选配置

客户端域名 给客户端设置的域名,为可选配置

启动文件名: 引导过程中用到的镜像文件名,为可选配置。地址池列表

选择 选择删除 IP 地址池的条目

 

名称 显示 IP 池的名称

网络号 显示 IP 池的网络地址

租期 显示租期

掩码 显示 IP 池的子网掩码

 允许您查看或修改相应的 IP 池的信息

 

10.4.3静态绑定

可将 MAC 地址与 IP 地址进行绑定,服务器收到已绑定 MAC DHCP 请求时,会将所绑定的 IP

 

 

10-11 手动绑定

 

以下的条目显示在屏幕上: 

 

 

DHCP 服务器静态绑定设置

 

地址池名称: 地址池的名称,从已配置地址池中选取。绑定 IP MAC 地址绑定的 IP 地址。

绑定方式: 设定 IP 与客户端 ID 绑定或者 IP 与硬件地址绑定。客户端 ID 绑定的客户端 ID

硬件地址 所绑定的 MAC 地址

硬件类型: 选择为 Ethernet 或者 IEEE802 类型。静态绑定列表

显示 IP 地址和硬件地址绑定条目的列表。

10.4.4绑定表


 

 

 

10-12 已分配IP 列表

已分配 IP 列表

 

选择 选择对应条

 

ID 显示客户端的 ID

IP 地址 显示交换机分配给客户端的 IP 地址

客户端 ID/MAC 地址: 显示客户端的 MAC 地址。类型: 显示这个绑定条目的类型。剩余租期(秒)  显示剩余租期时间

10.4.5报文统计

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

10-13 报文统计

 

 

 

 

以下的条目显示在屏幕上: 

接收报文

 

BOOTREQUEST显示接收到的 Bootp Request 报文数目。 DHCPDISCOVER显示接收到的 Discover 报文数目。 DHCPREQUEST 显示接收到的 Request 报文数目。 DHCPDECLINE:显示接收到的 Decline 报文数目。 DHCPRELEASE:显示接收到的 Release 报文数目。 DHCPINFORM:显示接收到的 Inform 报文数目。

发送报文

 

BOOTREPLY:显示发送的 Bootp Reply 报文数目。

 

DHCPOFFER 显示发送的 Offer 报文数目。

DHCPACK 显示发送的 Ack 报文数目。

DHCPNAK: 显示发送的 Nak 报文数目。配置过程:

 


 

 

 

 

 

 


 

 

 

10.5DHCP 中继

10.5.1全局配置

 

通过 DHCP 中继功能,交换机能在不同的接口或子网中获取 IP 地址。在特定的接口中指定 DHCP

服务器,开启 DHCP 中继功能并指定服务器的地址,在其他接口的设备就能获取 IP 地址。DHCP可以减少网络中 DHCP 服务器的数量。

 

 

10-14 全局设置

 

以下的条目显示在屏幕上: 

全局配置

 

DHCP 中继:开启或关闭 DHCP 中继。

 

Option 82 的配置

 

Option 82 支持:选择是否启用 Option 82 字段。

 

已存在 option 82 保留: 保留数据包中的 Option 字段信息。

替换: 替换数据包中的 Option 字段信息,替换为交换机自定义的选项内

容。

丢弃: 丢弃包含 Option 82 字段的数据包。

Option 82 自定义: 选择交换机是否自定义 Option 82 选项内容。

电路 ID 子选项 输入交换机自定义的 Option 82 选项中电路 ID 子选项的内容

远程 ID 子选 输入交换机自定义的 Option 82 选项中远程 ID 子选项的内容

 

 

 

 

 

10.5.2接口中继配置

该页面允许您在指定的接口上配置 DHCP 服务器。  进入页面的方法:路由功能→DHCP 中继接口中继配置

 

10-15 DHCP 服务器

 

以下的条目显示在屏幕上: 

添加 DHCP 服务器地址

 

接口 ID 选择接口类型,输入接口 ID

 

服务器地址 输入 DHCP 服务器的 IP 地址

DHCP 服务器列表

 

选择 选择需要管理的 DHCP 服务器条目

 

接口 ID 显示接口 ID

服务器地址: DHCP 服务器地址

 

配置过程:

 

步骤

操作

描述

1

使能DHCP 中继。

必选操作。在路由功能→DHCP 中继全局配置页面,启用

DHCP 中继功能。

2

.配置选项 82 支持。

可选操作。在路由功能→DHCP 中继全局配置页面,配置

Option 82 参数。

3

配置 DHCP 服务器。

 

必选操作。在路由功能→DHCP 中继→DHCP 服务器页面,指

定的 DHCP 服务器的 IP 地址。

 

 

10.6ARP

 

地址解析协议(ARP)记录 ARP 映射表中 IP 地址和 MAC 地址之间的映射关系。您还可以在页面静 ARP 中定义一个静态 ARP 缓存条目。

10.6.1ARP 

进入页面的方法:路由功能→ARP→ARP

 

10-16 ARP 列表

 

以下的条目显示在屏幕上: 

ARP 列表

 

接口 ARP 条目对应的网络接口

IP 地址 ARP 条目中的 IP 地址

MAC 地址 ARP 条目中 IP 对应的 MAC 地址

类型 ARP 条目类型,例如:静态或者动态

10.6.2静态 ARP

 

 

10-17 静态 ARP

 

 

 

 

 

 

 

ARP 配置

 

 

IP 地址:

设定 ARP 条目中的 IP 地址。

 

MAC 地址:

设定 ARP 条目中 IP 对应的 MAC 地址。

 

ARP 条目

 

 

选择:

选择静态 ARP 条目进行修改。

 

IP 地址:

ARP 条目中的 IP 地址。

 

MAC 地址:

ARP 条目中 IP 对应的 MAC 地址。

 

 

 

 

回目录

 

 

 

11.服务质量

服务质量模块主要用于流量控制管理和优先级配置,针对各种网络应用的不同需求,为其提供不同的服务质量,对带宽资源进行最优配置,从而提供更高质量的网络服务体验,包括 QoS 配置流量管理以及语音 VLAN 三个部分。

11.1QoS 配置

QoSQuality of Service 即服务质量)功能用以提高网络传输的可靠性,提供高质量的网络服务体验。在传统的 IP 网络中,所有的报文都被无区别的等同对待,网络尽最大的努力(Best-Effort)发送报文,但对时延、可靠性等性能不能提供任何保证。伴随着网络技术、多媒体技术的飞速发展, IP 网在现有的 wwwFTPE-mail 等服务的基础上,越来越多承载交互式多媒体通信业务如电视会议、远程教学、视频点播、可视电话等,而每种业务要求的传输时延、可变迟延、吞吐量和丢包率都不同。因此,为用户各种业务提供不同的服务质量(QoS成为 Internet 发展的重要挑战。

通常所说的 QoS,是针对各种网络应用的不同需求,为其提供不同的服务质量,如提供专用带宽,减少报文丢失率,降低报文传送时延及时延抖动等。即在带宽不充裕的情况下,对各种服务流量占用带宽的矛盾做一个平衡。

 

QoS 工作原理

 

本交换机通过在入口阶段对数据流进行分类,然后在出口阶段将不同类型的数据流映射到不同优先级的队列,最后依据调度模式来决定不同优先级队列的数据包被转发的方式,从而实现了 QoS 功能。

9-1QoS 工作原理报文分类:依据一定的匹配规则识别出对象。

映射:用户可以根据优先级模式,将进入交换机的报文映射到不同的优先级队列中。本交换机提供三种优先级模式:基于端口的优先级、802.1P 优先级和 DSCP 优先级。

 

队列调度:当网络拥塞时,必须解决多种数据流同时竞争使用资源的问题,通常采用队列调度加以解决。本交换机共提供了四种调度模式,分别是严格优先级模式SP)、加权轮询优先级模式WRRSP+WRR 模式和无优先级模式Equ)。

优先级模式

190

 

 

 

本交换机共有基于端口的优先级、IEEE 802.1P 优先级和 DSCP 优先级三种模式。其中基于端口的优先级是默认被启用的,其它两种优先级模式可供选择。

 

基于端口的优先级

 

端口优先级只是端口的一个属性值,在设置了端口优先级后,数据流会根据入端口的 CoS 值以及

802.1P CoS 到队列之间的映射关系来确定数据流的出口队列。

  1. 802.1P 优先级

9-2802.1Q 的帧格式

如图所示,每一个 802.1Q Tag 中都有一个 Pri 域,该域由三个 bit 为组成,取值范围是 0~7802.1P 优先级就是根据 Pri 的域值来决定数据帧的优先级。通过交换机的配置页面可配置不同的 Pri域对应不同的优先级,交换机发送数据帧时,会根据数据帧的 Tag 决定发送的优先级。对于 Untagged 帧,交换机则按照该入口端口的默认优先级对数据帧进行 QoS 处理。

  1. DSCP 优先级

 

9-3IP 报文

 

如图所示,IP 报文头部的 ToSType of Service,服务类型)字段共有 8bit,前 3 bit 表示的是 IP 优先级,取值范围是 0~7RFC2474 重新定义了 IP 报文头部的 ToS 域,称之为 DS 域。其中 DSCP

Differentiated Services Codepoint,差分服务编码点)优先级用该域的前 6 bit05bit)表示,取值范围为 063,后 2 bit67bit是保留位。通过交换机的配置页面,可以配置不同的 DS 字段对应不同的优先级,交换机发送 IP 包时,会根据 IP 包的 DS 域决定发送的优先级。对于非 IP 包,交换机则根据是否启用 802.1P 优先级以及数据帧是否带有 Tag 来决定采用哪种优先级模式。

 

 

 

调度模式

 

在网络拥塞时,通常采用队列调度来解决多个数据流同时竞争使用资源的问题。本交换机共实现了 8 个调度队列—TC0 TC7,其中 TC0 对应最低优先级的队列,TC7 对应到最高优先级的队列。同时,本交换机共提供了四种调度模式,分别是严格优先级模式(SP)、加权轮询优先级模式

WRRSP+WRR 模式和无优先级模式(Equ

SP-Mode:严格优先级模式。SP 模式的调度算法是交换机优先转发当前优先级最高的数据帧,等最高优先级数据帧全部转发完后,再转发次高级优先级的数据帧。本交换机有 8 个出口队 列,依次为TC0-TC7,在 SP 队列模式下他们的优先级依次升高,TC7 有最高优先级。SP 列的缺点是,在拥塞发生时,如果较高优先级队列中长时间有报文存在,那么低优先级队列中的报文就会由于得不到服务而饿死

9-4严格优先级模式

WRR-ModeWRR 优先级模式。WRR 模式的调度算法是在队列之间按权重比值进行轮流调 度,以保证每个队列都得到一定的服务时间。加权值表示获取资源的比重。WRR 队列避免了采SP 调度时低优先级中的报文可能长时间得不到服务的缺点,并且虽然多个队列调度是轮询进行的,但是对每个队列不是固定的分配服务时间,如果队列为空则马上更换下一个队列调

度,这样可以充分利用带宽资源。TC0-TC7 的默认权重比是 1:2:4:8:16:32:64:127

 

 

9-5WRR 优先级模式

 

SP+WRR-ModeSP+WRR 优先级模式,这种模式是前两种模式的混合。在这种模式下,交换机提供了两个调度组,分别是 SP 组和 WRR 组。其中 SP 组和 WRR 组之间遵循的是严格优先级调度规则,而 WRR 组内部队列遵循的是 WRR 调度模式。在 SP + WRR 模式中,TC7 和权重设为 0 的队列属于 SP 组;其他权重非 0 的队列属于 WRR 组,并且它们的权重可以设为 0

127。这种情况下,安排队列的时候,交换机允许 TC7 和权重为 0 的队列占据 SP 模式下的整个带宽,WRR 组中的队列会根据它们的比率来占据带宽。

Equ-Mode:无优先级模式。这种模式下所有队列公平的占用带宽,实际上这是 WRR 模式的一种特殊情况,所有的队列权重比是 1:1:1:1:1:1:1:1

本交换机实现了基于端口、基于 802.1P 和基于 DSCP 的三种优先级模式以及四个队列调度模式。端口优先级以 CoS 0 CoS1…CoS 7 表示。QoS 配置功能包括端口配置DSCP 映射802.1P/CoS 映射队列调度模式四个配置页面。

11.1.1端口配置

在基本配置页面中,可以进行基于端口优先级的配置。进入页面的方法:服务质量>>QoS 配置>>端口配置

 

 

 

9-6 基本配置

 

条目介绍:

端口优先级配置

 

选择 勾选端口配置端口优先级,可多选

端口 显示交换机的物理端口

优先级 配置端口的所属优先级等级

LAG 显示当前端口所属的汇聚组。

配置步骤:

 

 

>>QoS >>

 

 

 

3

选择调度模式

>>QoS

>>

 

必选操作。进入服务质量

队列调度模式

页面设置调度模式。

 

 

 

11.1.2调度模式

在这个页面上,您可以选择交换机的调度模式。当网络拥挤时,许多包争夺资源的问题必须解决,通常是以队列调度的方式解决的。交换机根据优先级队列和调度算法设置控制数据包的转发顺序。

优先级被标记为TC0TC1…TC7

进入页面的方法:服务质量QoS 配置调度模式

 

11-1 调度模式

以下的条目显示在屏幕上:调度模式配置

调度模式: 选择一个调度模式

SP-Mode严格的优先级模式。在这种模式下,具有更高优先级

的队列将占据整个带宽。只有在具有较高优先级的队列为空时,才会发送具有较低优先级的包。

WRR-Mode:权重循环模式。在这种模式下,根据每个队列的权重值,所有队列中的信息包都按顺序发送。的重量值 TC0-TC7 以分别定制他们的值 1:2:4:8:16:32:64:127

SP+WRR-Mode:格的优先级+权重循环模式。在这种模式下,交 换机提供两个调度组,SP 组和 WRR 组。SP 组在 WRR 组之前被 处理。

Equ-Mode: 在这 种模式下,所有队列都占用带宽 。 权重为

1:1:1:1:1:1:1:1

 

 

 

队列权重: 输入 8  TC 队列的队列权重。选择配置 Equ-Mode 时不可用

SP-Mode 调度模式。

 

11.1.3802.1P

802.1P 配置页面中,可以配置 802.1P 优先级。802.1P 802.1Q tag 中的Pri 字段进行了的定义,利

用该字段可以将数据包划分为 8 个优先级。开启 802.1P 优先级后,交换机根据数据包是否带有

802.1Q

tag 来确定所使用的优先级模式。对于带有 tag 的数据包,应用 802.1P 优先级;否则应用端口优先级。

进入页面的方法:服务质量>>QoS 配置>>802.1P

 

9-8 802.1P 优先级

条目介绍:

Tag CoS 到出口队列映射配置

 

Tag-id/CoS-id

IEEE802.1P 协议里规定的 8 个优先级等级。

队列 TC-id

对应不同等级的优先级队列。以 TC0TC1…TC7 表示。

 

 

配置步骤:

 

 

>>QoS >>802.1P/CoS

 

 

 

 

 

 

 

>>QoS >>

 

 

11.1.4DSCP

DSCP 映射配置页面中,可以进行 DSCP 优先级的配置。DSCPDiffServ Code Point,区分服务编码点)IEEE IP ToS 字段的重定义,利用该字段可以将 IP 报文划分为 64 个优先级。开DSCP 优先级后,如果转发的数据包是 IP 报文,则交换机应用 DSCP 优先级;对于非 IP 文,交换机则根据是否启用 802.1P 优先级以及数据帧是否带有 tag 来决定采用哪种优先级模式。

9-7 DSCP 优先级

条目介绍:

优先级配置

 

DSCP 优先级 选择是否启用 DSCP 优先级

优先级

 

DSCP 数据包的 DSCP 优先级,优先级级别为 0~63

优先级 将数据包根据 DSCP 优先级映射到 802.1P 优先级 CoS0~CoS7

配置步骤:

 

 

 

 

 

>>QoS >>802.1P/CoS

 

 

 

 

 

>>QoS >>

 

 

 

11.2流量管理

流量管理用于限制交换机端口的带宽和广播流量,保证网络正常有效的运行,包括带宽控制风暴抑制两个配置页面。

 

11.2.1带宽控制

带宽控制是通过设定端口可用带宽,来控制端口的输入/输出数据传输速率,从而合理地分配和利用网络带宽。

进入页面的方法:服务质量>>流量管理>>带宽控制

 

9-10 带宽控制

条目介绍:

带宽控制

 

端口选择: 点击<选择>按键,可根据所输端口号,快速选中相应端口。选择: 勾选端口以配置端口带宽,可多选也可不选。

 

 

 

入口带宽bps):

配置端口接收数据时的带宽,可从下拉菜单中选择或者手动输入。

 

若选择手动输入,则系统会自动选择与 64Kbps 整数倍最近的值作

 

为入口带宽。若选择禁用选项,则该端口的入口带宽控制会被取消,

 

该端口的入口带宽将恢复为最大带宽。

出口带宽bps):

配置端口转发数据时的带宽,可从下拉菜单中选择或者手动输入。

 

若选择手动输入,则系统会自动选择与 64Kbps 整数倍最近的值作

 

为出口带宽。若选择禁用选项,则该端口的出口带宽控制会被取消,

 

该端口的出口带宽将恢复为最大带宽。

LAG

显示端口当前所属的汇聚组。勾选某个汇聚组的成员端口时,会自

 

动选择所有该汇聚组成员,以保证同一汇聚组中所有成员的端口风

 

暴抑制参数一致。

注意:

若端口已启用广播风暴抑

 

若在设置入口带宽或出口带值作为出口带宽。例如:正的出口带宽。

在端口上启用出口带宽限

 

 

制,再启用入口带宽限制将使其失效。

 

宽时选择了手动输入,则系统会自动选择与 64Kbps 整数倍最近的输入 1023Kbps 作为出口带宽,则系统会自动选择 1024Kbps 作为真

 

制时,建议将各端口的流量控制禁用,以保证交换机的正常工作。

 

11.2.2风暴抑制

广播风暴是指网络上的广播帧由于不断被转发导致数量急剧增加而影响正常的网络通讯,严重降低网络性能。广播风暴的判断标准为一个端口是否在短时间内连续收到许多个广播帧。风暴抑制是指用户可以限制端口上允许接收的广播流量大小,当该类流量超过用户设置的阈值后,系统将丢弃超出流量限制的广播帧,防止广播风暴的发生,从而保证网络的正常运行。

本交换机可以对三种常见的广播帧(广播包、组播包、UL 包)进行限制。进入页面的方法:服务质量>>流量管理>>风暴抑制

9-11 风暴抑制

 

 

条目介绍:

 

风暴抑制

 

选择:

勾选端口以配置风暴抑制参数,可多选也可不选。

广播包抑制(bps):

对由普通广播引起的风暴进行抑制。配置广播包的最大接收速度,

 

超出流量部分的数据包将被丢弃。选择禁用选项时将关闭相应端口

 

的广播包抑制。

组播包抑制(bps):

对由组播引起的风暴进行抑制。配置组播包的最大接收速度,超出

 

流量部分的数据包将被丢弃。选择禁用选项时将关闭相应端口的组

 

播包抑制。

UL 包抑制bps):

交换机对未学习到地址的单播包(UL 包)进行广播,对由此引起的

 

风暴进行控制。配置 UL 包的最大接收速度,超出流量部分的数据

 

包将被丢弃。选择禁用选项时将关闭相应端口的 UL 包抑制。

LAG

显示端口当前所属的汇聚组。勾选某个汇聚组的成员端口时,会自

 

动选择所有该汇聚组成员,以保证同一汇聚组中所有成员的端口风

 

暴抑制参数一致。

注意:

若端口已启用入口带宽限制,

 

 

再启用广播风暴抑制将使其失效。

11.3语音 VLAN

 

语音VLAN 是为语音数据流而专门划分的VLAN。通过划分语音VLAN 可以使语音数据自动被划分到语音VLAN 中进行传输,便于对语音流进行有针对性的 QoSQuality of Service,服务质量)配置,提高语音流量的传输优先级,保证通话质量。

语音数据流识别方法

 

本交换机可以根据数据包中的源 MAC 地址字段来判断该数据流是否为语音数据流。源 MAC 地址符合系统设置的语音设备 OUIOrganizationally Unique Identifier,全球统一标识符)地址的报文被认为是语音数据流,被划分到语音 VLAN 中传输。

OUIOrganizationally Unique IdentifierMAC 地址的前 24 位(二进制),是IEEEInstitute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球

唯一的标识符,从 OUI 地址可以判断出该设备是哪一个厂商的产品。下表是常见语音设备商家产品的 OUI 地址,已在本交换机中设置为缺省 OUI 地址,设定不同的掩码可以调节交换机对 MAC地址匹配的深度。

 

序号

OUI 地址

设备商家

1

00-01-E3-00-00-00

Siemens phone

2

00-03-6B-00-00-00

Cisco phone

3

00-04-0D-00-00-00

Avaya phone

4

00-60-B9-00-00-00

Philips/NEC phone

 

 

 

 5

00-D0-1E-00-00-00

Pingtel phone

6

00-E0-75-00-00-00

Polycom phone

7

00-E0-BB-00-00-00

3com phone

9-1 本交换机中缺省 OUI 地址

端口的语音 VLAN 模式

 

端口的语音VLAN 模式包括自动模式和手动模式,是指端口加入语音 VLAN 的方式。

 

自动模式:系统利用 IP 电话上电时发出的协议报文(UNTAG 报文),通过识别报文的源 MAC,匹OUI 地址,匹配成功后,系统将自动把语音报文的输入端口加入语音 VLAN,配置报文的优先级。在设备上可以设置语音 VLAN 的老化时间。如果在老化时间内,系统没有从输入端口收到任何语音报文,系统将把该端口从语音VLAN 中删除。端口的添加/删除过程由系统自动实现。

手动模式:需要手动把 IP 电话接入端口加入语音 VLAN 中,再通过识别报文的源 MAC,匹配 OUI

地址,匹配成功后,系统将下发 ACL 规则、配置报文的优先级。

 

在实际应用中,端口模式的设置需要结合语音设备发出的报文形式和端口的链路类型来进行设置,具体请参考下表。

 

端口语音

 

语音流类型

 

端口链路类型及处理方式

VLAN 模式

自动模式

TAG 语音流

ACCESS:不支持。

TRUNK:支持,但接入端口的缺省 VLAN 不能是语音 VLAN

GENERAL:支持,但接入端口的缺省 VLAN 不能是语音 VLAN

同时接入端口在语音 VLAN 中的出口规则必须为 TAG

UNTAG 语音流

ACCESS:支持。

TRUNK:不支持。

GENERAL:支持,但接入端口的缺省 VLAN 不能是语音 VLAN

同时接入端口在语音 VLAN 中的出口规则必须为 UNTAG

手动模式

TAG 语音流

ACCESS:不支持。

TRUNK:支持,但接入端口的缺省 VLAN 不能是语音 VLAN

GENERAL:支持,但接入端口的缺省 VLAN 不能是语音 VLAN

同时接入端口在语音 VLAN 中的出口规则必须为 TAG

UNTAG 语音流

ACCESS:支持。

TRUNK:不支持。

GENERAL:支持,但接入端口的缺省 VLAN 必须是语音 VLAN

同时接入端口在语音 VLAN 中的出口规则必须为 UNTAG

9-2 端口模式与语音数据流的处理关系

语音 VLAN 安全模式

 

 

 

当端口使能了语音 VLAN 功能后,通过配置端口的安全模式还可以过滤数据流。若启用安全模式,则端口只转发语音数据包,对于其它源 MAC 地址不匹配 OUI 地址的数据包,端口将直接丢弃。若禁用安全模式,则端口转发所有数据包。

 

安全模式

报文类型

处理方式

 

 

启用

UNTAG 报文

当该报文源 MAC 地址是可识别的 OUI 地址时,允许该

带有语音 VLAN TAG 的报文

报文在语音 VLAN 内传输,否则将该报文丢弃。

带有其它 VLAN TAG

 

的报文

根据指定端口是否允许该 VLAN 通过来对报文进行转

发和丢弃的处理,不受语音 VLAN 安全模式的影响。

 

 

禁用

UNTAG 报文

不对报文的源 MAC 地址进行检查,所有报文均可在语

带有语音 VLAN TAG 的报文

VLAN 内传输。

带有其它 VLAN TAG

 

的报文

根据指定端口是否允许该 VLAN 通过来对报文进行转

发和丢弃的处理,不受语音 VLAN 安全模式的影响。

9-3 安全模式与各种数据的处理关系

 

11.3.1全局配置

在全局配置页面中,可以设置语音 VLAN 的全局参数,包括VLAN ID、老化时间、以及语音数据包的传输优先级等等。

进入页面的方法:服务质量>>语音 VLAN>>全局配置

9-12 语音 VLAN 全局配置

条目介绍:

全局配置

 

语音 VLAN 选择是否启用语音 VLAN 功能

VLAN ID 输入该语音 VLAN VLAN ID

老化时间: 设置自动模式下的端口成员在 OUI 地址老化后的存活时间。语音优先级: 选择端口发送语音数据包时的数据传输优先级。

 

 

11.3.2端口配置

在启用语音 VLAN 功能之前,需要在端口配置页面中配置各端口的功能参数。进入页面的方法:服务质量>>语音 VLAN>>端口配置

9-13 语音 VLAN 端口配置

 

条目介绍:

端口配置

 

选择 勾选端口配置端口的语音 VLAN 参数,可多选

端口 显示交换机的端口号

 

成员模式 设置端口加入语音 VLAN 的方式,有手动和自动两种方式

自动:交换机根据端口是否收到语音数据自动维护端口加入或退出语音 VLAN

手动:请根据需要手动设置端口加入或退出语音 VLAN

 

 

 

安全模式: 设置端口转发数据包的模式。 禁用:端口转发所有数据。 启用:端口只转发语音数据。

成员状态 显示端口当前在语音 VLAN 中的状态

LAG 显示端口当前所属的汇聚组。

 

 

11.3.3OUI 配置

本交换机支持新建 OUI 条目,将特殊语音设备的 MAC 地址添加到交换机支持的 OUI 信息中,并以

OUI 地址判断数据是否是语音数据。当交换机接收到数据包时,将分析数据包并判断是否是语音数据,如果是语音数据则将该端口自动加入语音 VLAN

进入页面的方法:服务质量>>语音 VLAN>>OUI 配置

9-14 语音 VLAN OUI 配置

条目介绍:

 

新建条目

 

 

OUI 地址:

输入语音设备的 OUI 地址。

 

OUI 掩码:

输入 OUI 地址掩码,常见为 FF-FF-FF-00-00-00

 

OUI 描述:

对此 OUI 进行描述,以便区分不同 VoIP 设备。

 

OUI 列表

 

 

OUI 地址:

显示语音设备的 OUI 地址。

 

 

 

OUI 掩码 显示语音设备的 OUI 地址掩码

OUI 描述 显示此 OUI 的描述信息

 

语音 VLAN 配置步骤:

 

 

 

 

 

 

 

 

 

 

OUI >> VLAN>>OUI

 

 

 

>> VLAN>> VLAN

 

 

 

VLAN >> VLAN>> VLAN

 

 

 

 

 

回目录

 

 

 

12.PoE

PoEPower over Ethernet,以太网供电,又称远程供电)是指设备通过以太网线对外接 PD

Powered Device,受电设备)设备(IP 电话、无线 AP、网络摄像头等)进行远程供电。 PoE 系统组成

PoE 系统通常包括 PSE PD

PSE

 

PSEPower Sourcing Equipment,供电设备)是指可以通过以太网线对连接在其上的 PD设备进行供电的设备。PSE 会自动寻找、检测 PD,对 PD 分类,并向其供电。当检测到 PD拔出后,PSE 停止供电。

PD

 

PDPowered Device,受电设备)是接受 PSE 供电的设备。分为标准 PD 和非标准 PD标准 PD 是指符合 IEEE802.3af 标准的 PD 设备。PD 设备在接受 PoE 电源供电的同时,允许连接其他电源供电,进行电源冗余备份。

PoE 的优点

连接简捷:网络终端不需外接电源,只需要一根网线;

可靠:PD 设备可接受 PoE 电源供电或连接其他电源,即具备电源冗余备份功能;标准:符合 IEEE 802.3af 标准和 IEEE 802.3at 标准,使用全球统一的电源接口;

应用前景广泛:可以用于 IP 电话、无线 APAccess Point,接入点)、便携设备充电器、刷卡机、网络摄像头、数据采集等。

 

SW-5024 的每个 RJ45 口都支持 PoE 功能,能自动检测 PD 设备,并为符合 IEEE 802.3af IEEE 802.3at 标准的 PD 设备供电。整个交换机能提供的最大功率是 384W,每个 PoE 端口能提供的最大功率是 30W

PoE 功能配置包括 PoE 配置PoE 时间段两个部分。

12.1PoE 配置

SW-5024 上的所有 RJ45 口都可以用于为标准 PD 设备供电,由于系统以及每个端口所能提供的功率是有限的,为了保证给每个 PD 提供合适的功率以及充分利用系统功率,必须要对交换机进行一些设置。当功率超过了系统功率上限,或不能给 PD 提供合适的功率时,交换机会根据这些设置断开对某些设备的供电。当检测到 PD 拔出后,交换机会停止对其供电。

PoE 配置包括 PoE 配置PoE Profile 两个配置页面。

12.1.1PoE 配置

PoE 配置页面,可以对 PoE 功能的相关参数进行配置。进入页面的方法:PoE>>PoE 配置>>PoE 配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

10-1PoE 配置

 

条目介绍:

 

全局配置

 

 

系统功率限制:

配置交换机能提供的最大功率。

 

系统功率:

显示当前使用的系统功率。

 

剩余电量:

显示当前剩余的系统功率。

 

端口配置

 

 

端口选择:

点击<选择>按键,可根据所输端口号快速选择相应条目。

 

选择:

勾选端口配置端口的 PoE 参数,可多选。

 

端口:

显示交换机的端口号。

 

状态:

选择是否启用端口的 PoE 功能。

 

优先级:

当剩余功率不够时,与供电管理方式一起决定对新接入的 PD 的供

 

 

电方式,优先级等级包括高、中、低三种。

 

最大功率(0.1w-30w)

设定相应端口能提供的最大功率。Class 1 代表 4wClass 2 代表

 

 

7wClass 3 代表 15.4wClass 4 代表 30w。也可以选择自动或者

 

 

手动输入,手动输入范围值为 0.1w-30w

 

时间段:

为端口选择供电的时间段。如果选择无限制,该端口将一直供电。

 

PoE Profile

选择 Profile 文件应用到已选端口。应用了 Profile 文件的端口的以下

 

 

三个 PoE 属性不可编辑:状态、优先级、最大功率。

 

功率(w)

显示端口当前的功率。

 

SW-5024

 

 

电流(mA) 显示端口当前的电流

电压(v) 显示端口当前的电压

PD Class 显示连接的 PD 设备所属的类别。

供电状态 显示端口当前的供电状态

 

 

12.1.2PoE 配置文件

PoE Profile 文件用于对具有相同属性的 PoE 接口进行批量配置,以简化用户的操作。在 PoE Profile 文件中,配置了端口的三个 PoE 属性:状态、优先级、最大功率。创建一个 PoE Profile 件,然后将其应用于相应的端口,可简化配置过程。

PoE Profile 页面,可以创建新的 PoE Profile 文件或查看 PoE Profile 列表。进入页面的方法:PoE>>PoE 配置>>PoE 配置文件

10-2PoE Profile

条目介绍:

 

创建 PoE Profile

 

文件名称 输入 Profile 文件的名称

PoE 状态 选择启用或禁用相应端口的 PoE 功能

PoE 优先级 当剩余功率不够时,与供电管理方式一起决定对新接入的 PD 

电方式,优先级等级包括高、中、低三种。

 

功率限制: 设定相应端口能提供的最大功率。Class 1 代表 4wClass 2 代表 7wClass 3 代表 15.4wClass 4 代表 30w。也可以选择自动或者手动输入,手动输入范围值为 0.1w-30w

PoE 配置文件

 

选择 选择 Profile 条目进行删除

文件名称 显示 Profile 文件的名称

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

PoE 状态:

 

 

显示 Profile 文件中设置的端口 PoE 状态。

PoE 优先级:

显示 Profile 文件中设置的端口 PoE 优先级。

最大功率:

显示 Profile 文件中设置的端口 PoE 最大功率。

 

 

12.2时间段

当用户需要某些端口在特定时间段供电时,可以先配置时间段,然后将其应用于这些端口即可。这些端口将只在指定的时间段内供电。

 

本交换机可设置的时间段包括绝对时间、周期时间和节假日。绝对时间可以设置在自然日内的生效日期,周期时间则可以设置在每周的固定工作日生效,同时可以根据需要设置节假日来应对某些特殊意义的日期。在每个时间段内,还可以设置四个小的时间片段使生效时间更灵活。

本功能包括 PoE 时间段列表新建 PoE 时间段PoE 节假日定义三个配置页面。

12.2.1PoE 时间段列表

PoE 时间段列表页面,可以查看当前已添加的时间段信息。进入页面的方法:PoE>>时间段>>时间段信息

10-3 查看 PoE 时间段列表

条目介绍:

时间段列表

 

选择 选择时间段条目进行删除

序号 显示时间段条目的序号

时间片段名称 显示时间段的名称

应用模式 显示时间段的应用模式

状态 显示时间段的状态

 

操作 点击相应按键可以查看或编辑相应时间段的详细配置信息

 

12.2.2新建 PoE 时间段

在新建 PoE 时间段页面,可以添加时间段信息。进入页面的方法:PoE>>时间段>>新建时间段

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

10-4 新建 PoE 时间段

 

条目介绍:

时间段定义

 

名称 填写时间段的名称,便于区分各个时间段的信息

假期: 选择不包含节假日后,当系统日期在节假日内时,使用该时间段的端口将停止供电。

 

时间片段

 

绝对时间: 配置时间段的绝对时间模式。只有当系统日期在绝对时间内时,使用该时间段的端口才会供电。

 

周期: 配置时间段的周期模式。只有当系统日期在周期时间内时,使用该时间段的端口才会供电。

起始时间 配置时间段中时间片段的起始时间

结束时间: 配置时间段中时间片段的结束时间。时间片段列表

序号 显示时间片段的序号

 

 

 

起始时间 显示时间段中时间片段的起始时间

结束时间 显示时间段中时间片段的结束时间

 

操作 点击删除即可删除相应的时间片段

 

 

12.2.3假期定义

PoE 节假日定义可以提供与工作日不同的供电方式。在本页面,可以根据工作安排自行定义节假日。进入页面的方法:PoE>>时间段>> PoE 节假日定义

10-5 PoE 节假日定义

条目介绍:

 

节假日定义

 

 

起始日期:

配置节假日起始日期。

 

结束日期:

配置节假日结束日期。

 

节假日名称:

填写节假日名称,请输入英文字符。

 

节假日列表

 

 

选择:

选择节假日条目进行删除。

 

序号:

显示节假日条目的序号。

 

节假日名称:

显示节假日名称。

 

起始日期:

显示节假日起始日期。

 

结束日期:

显示节假日结束日期。

 

 

回目录

 

 

 

13.访问控制

随着网络规模的扩大以及流量的增加,如何有效地控制网络安全和分配带宽已成为网络管理的重要内容。ACLAccess Control List,访问控制列表)功能,通过配置报文的匹配规则和处理方式来实现对数据包的过滤功能,从而有效防止非法用户对网络的访问。另外 ACL 功能也可以控制流量,节约网络资源。ACL 功能对网络安全的控制提供了很大的方便。

在本交换机中,ACL 功能可以对数据包的 L2-L4 层的协议字段进行匹配。通过定义时间段可以设ACL 规则的生效时间,配置 policy 可以对匹配了 ACL 规则的数据包进行处理。

13.1时间段配置

当用户配置的 ACL 规则需要在特定时间段生效时,可以先配置时间段,然后设置 ACL 规则直接引用该时间段即可。ACL 规则只在指定的时间段内生效,从而实现基于时间段的 ACL 过滤。

本交换机可设置的时间段包括绝对时间、周期时间和节假日。绝对时间可以设置在自然日内的生效日期,周期时间则可以设置在每周的固定工作日生效,同时可以根据需要设置节假日来应对某些特殊意义的日期。在每个时间段内,还可以设置四个小的时间片段使生效时间更灵活。

本功能包括时间段列表新建时间段节假日定义三个配置页面。

 

13.1.1时间段列表

在时间段列表页面,可以查看当前已添加的时间段信息。进入页面的方法:访问控制>>时间段配置>>时间段列表

11-1 查看时间段列表

条目介绍:

时间段列表

 

选择 选择时间段条目进行删除

序号 显示时间段条目的序号

时间段名字 显示时间段的名称

时间片段 显示时间段中的时间片段

 

应用模式 显示时间段的应用模式

操作 点击相应按键可以查看或编辑相应时间段的详细配置信息

 

13.1.2新建时间段

在新建时间段页面,可以添加时间段信息。

 

212

 

 

进入页面的方法:访问控制>>时间段配置>>新建时间段

11-2 创建时间段

 

条目介绍:

 

时间段定义

 

 

时间段名称:

填写时间段的名称,便于区分各个时间段的信息。

 

节假日:

配置时间段的节假日模式。只有当系统日期在节假日内时,基于该

 

 

时间段的 ACL 规则才能生效。

 

绝对时间:

配置时间段的绝对时间模式。只有当系统日期在绝对时间内,基于

 

 

该时间段的 ACL 规则才能生效。

 

周期:

配置时间段的周期模式。只有当系统日期在周期时间内,基于该时

 

 

间段的 ACL 规则才能生效。

 

时间片段

 

 

起始时间:

配置时间段中时间片段的起始时间。

 

结束时间:

配置时间段中时间片段的结束时间。

 

时间片段列表

 

序号 显示时间片段的序号

起始时间 显示时间段中时间片段的起始时间

结束时间 显示时间段中时间片段的结束时间

操作 点击删除即可删除相应的时间片段

 

 

13.1.3假期定义

 

节假日定义可以提供与工作日不同的安全访问控制策略。在本页面,可以根据工作安排自行定义节假日。进入页面的方法:访问控制>>时间段配置>>节假日定义

11-3 节假日定义

条目介绍:

节假日定义

 

起始日期 配置节假日起始日期

 

终止日期 配置节假日终止日期

假日名称: 填写假日名称,请输入英文字符。节假日列表

选择 选择节假日条目进行删除

序号 显示节假日条目的序号

假日名称 显示假日名称

 

起始日期 显示节假日起始日期

终止日期 显示节假日终止日期

 

13.2ACL 配置

ACL 功能中,一个 ACL 可以包括多个规则,而每个规则可以针对数据包中特定字段内容进行匹配。在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,交换机将对该报文执行第一次匹配的规则指定的动作,以此来提高交换机的效率。

ACL 配置功能包括 ACL 列表、新建 ACLMAC ACL、标准 IP ACL 和扩展 IP ACL 五个配置页面。

 

13.2.1ACL 列表

ACL 列表页面,可以查看交换机中当前已配置的 ACL 详细信息。

 

 

进入页面的方法:访问控制>>ACL 配置>>ACL 列表

11-4 查看 ACL 列表

条目介绍:

 

ACL 显示

 

选择 ACL 选择已创建的 ACL

ACL 类型 显示该 ACL 的类型

规则排序: 显示该 ACL 内部的规则如何排序。规则列表

此处可以查看或编辑 ACL 内部的详细规则信息,点击条目的操作按键可以对规则条目进行排序。

13.2.2新建 ACL

在新建 ACL 页面,可以创建 ACL

进入页面的方法:访问控制>>ACL 配置>>新建 ACL

 

11-5 创建 ACL

条目介绍:

创建 ACL

 

ACL ID 配置 ACL ID

规则排序 配置该 ACL 内部的规则如何排序。默认为用户配置

用户配置:按照用户配置规则的先后顺序进行规则匹配。

 

 

13.2.3MAC ACL

MAC ACL 根据数据包的源 MAC 地址、目的 MAC 地址、VLAN、二层协议类型等二层信息制定匹配规则,对数据包进行相应的分析处理。

进入页面的方法:访问控制>>ACL 配置>>MAC ACL

11-6 MAC ACL 添加规则

条目介绍:

MAC ACL

 

访问控制列表 ID 选择需要配置的 ACL ID

规则 ID 填写规则 ID

安全操作 选择交换机对满足匹配规则的数据包的处理方式。默认为允许

允许:转发数据包。

丢弃:丢弃数据包。

MAC 填写规则包含的源 MAC 地址信息

 

目的 MAC 填写规则包含的目的 MAC 地址信息

 

地址掩码 填写 MAC 地址掩码,掩码置 1 表示严格匹配

 

VLAN ID 配置规则包含的 VLAN 信息。

以太网类型 配置规则包含的以太网类型信息

 

用户优先级 选择该规则对数据包的 tag 优先级字段的匹配要求。默认为无限制

 

时间段 选择规则生效的时间段名称。默认为无限制

 

 

13.2.4标准 IP ACL

标准 IP ACL 可以根据数据包的 IP 地址信息制定匹配规则,对数据包进行相应的分析处理。进入页面的方法:访问控制>>ACL 配置>>标准 IP ACL

11-7 为标准 IP ACL 添加规则

条目介绍:

 

标准 IP ACL

 

访问控制列表 ID 选择需要配置的 ACL ID

规则 ID 填写规则 ID

安全操作 选择交换机对满足匹配规则的数据包的处理方式。默认为允许

允许:转发数据包。

丢弃:丢弃数据包。

IP 填写规则包含的源 IP 地址信息

 

目的 IP 填写规则包含的目的 IP 地址信息

 

地址掩码 填写 IP 地址掩码,掩码置 1 表示严格匹配

时间段 选择规则生效的时间段名称

 

13.2.5扩展 IP ACL

扩展 IP ACL 可以根据报文的源 IP 地址信息、目的 IP 地址信息、IP 承载的协议类型、协议的特性等信息来制定匹配规则,对数据包进行相应的分析处理。

进入页面的方法:访问控制>>ACL 配置>扩展 IP ACL

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

11-8 为扩展 IP ACL 添加规则

 

条目介绍:

 

扩展 IP ACL

 

访问控制列表 ID 选择需要配置的 ACL ID

规则 ID 填写规则 ID

安全操作 选择交换机对满足匹配规则的数据包的处理方式。默认为允许

允许:转发数据包。

丢弃:丢弃数据包。

IP 填写规则包含的源 IP 地址信息

 

目的 IP 填写规则包含的目的 IP 地址信息

 

地址掩码 填写 IP 地址掩码,掩码置 1 表示严格匹配

 

IP 协议 选择规则包含的 IP 协议信息

 

TCP Flag IP 协议选择 TCP 时,此处配置 Flag 匹配条件。

 

源端口号  IP 协议选择 TCP/UDP 时,此处配置规则包含的 TCP/UDP 

口号。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

目的端口号:

 

 

IP 协议选择 TCP/UDP 时,此处配置规则包含的 TCP/UDP 目的

 

端口号。

DSCP

填写规则包含的 DSCP 域信息。

IP ToS

填写规则包含的 IP ToS 字段信息。

IP Pre

填写规则包含的 IP Precedence 字段信息。

时间段:

选择规则生效的时间段名称。

 

13.2.6组合 ACL

组合 ACL 可以根据报文的源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址等信息来制定匹配规则,对数据包进行相应的分析处理。

进入页面的方法:访问控制>>ACL 配置组合 ACL

 

13-1 组合 ACL

 

以下的条目显示在屏幕上: 

创建组合规则

 

访问控制列表 ID 选择需要配置的 ACL

 

规则 ID 填写规则 ID

 

安全操作 选择交换机对满足匹配规则的数据包的处理方式

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

 

允许:转发数据包。

 

丢弃:丢弃数据包

MAC

填写规则包含的源 MAC 地址信息。

目的 MAC

填写规则包含的目的 MAC 地址信息。

地址掩码:

填写 MAC 地址掩码,掩码置 1 表示严格匹配。

VLAN ID

输入规则中包含的 VLAN ID

以太网类型:

配置规则包含的以太网类型信息。

用户优先级:

选择该规则对数据包的 tag 优先级字段的匹配要求。默认为无限制。

S-IP

输入规则中包含的源 IP 地址。

D-IP

输入规则中包含的目的 IP 地址。

掩码:

输入 IP 地址的子网掩码。如果设置为 1,它必须严格匹配地址。

时间段:

选择规则生效的时间段名称。

 

注意:

 

组合 ACL 绑定到一个接口或 VLAN 之前,您应该配置 SDM 模板为默认“enterpriseV4”并保存您的配置。有关 SDM 模板配置的更多信息,请参见 SDM 模板。

13.2.7IPv6 ACL

 

IPv6 ACL 可以根据报文的源 IPv6 地址、目的 IPv6 地址、端口号等信息来制定匹配规则,对数据包进行相应的分析处理。

进入页面的方法:访问控制>>ACL 配置IPv6 ACL

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

13-2 IPv6 ACL 配置

 

以下的条目显示在屏幕上: 

创建 IPv6 规则

 

访问控制列表 ID 选择需要配置的 ACL

 

规则 ID 填写规则 ID

 

安全操作 选择交换机对满足匹配规则的数据包的处理方式

允许:转发数据包。拒绝:丢弃数据包。

DSCP 填写规则包含的 DSCP 域信息。

流标签 输入规则中的流标签

 

IPv6 IP 输入规则中的源 IPv6 地址,可以输入 128 位,但只支持高 64 

 

地址掩码 填写 IP 地址掩码,掩码置 1 表示严格匹配

 

IPv6 目的 IP 输入规则中的目的 IPv6 地址,可以输入 128 位,但只支持高 64 

 

地址掩码 填写 IP 地址掩码,掩码置 1 表示严格匹配

 

 

 

时间段 选择规则生效的时间段名称

 

13.3Policy 配置

Policy 功能是将 ACL 规则和处理方式组合起来,组成一个访问控制策略,对符合相应 ACL 规则的数据包进行控制,处理方式包括流镜像、流监控、QoS 重标记和端口重定向。

Policy 配置功能包括 Policy 列表新建 Policy、配置 Policy 三个配置页面。

13.3.1Policy 列表

Policy 页面可以查看数据包处理方式,对匹配了 ACL 规则的数据包的执行相对应的处理方式。进入页面的方法:访问控制>>Policy 配置> Policy 列表

11-9 查看 Policy 列表

条目介绍:

 

Policy 显示

 

 

选择 Policy

选择需要查看的 policy 名称。当需要删除相应的 policy 时,选择后

 

 

点击删除按键即可。

 

Action 列表

 

 

选择:

选择动作条目进行删除。

 

序号:

显示动作条目的序号。

 

ACL ID

显示此 Policy 中包含的 ACL

 

流镜像:

显示此 Policy 中的流镜像端口。

 

流监管:

显示该 Policy 中添加的流监管动作信息。

 

端口重定向:

显示该 Policy 中添加的端口重定向动作信息。

 

QoS 重标记:

显示该 Policy 中添加的 QoS 重标记动作信息。

 

操作:

点击<编辑>按键,可以对编辑相应的 policy 条目。

 

 

13.3.2新建 Policy

在此页面中可以创建 Policy

进入页面的方法:访问控制>>Policy 配置>新建 Policy

11-10 创建 Policy

条目介绍:

 

创建 Policy

 

Policy 名称 填写 Policy 的名称

 

13.3.3配置 Policy

在此页面中,可以配置 Policy 对应的 ACL 规则以及包含的动作,此动作是对匹配了相应 ACL 规则的数据包的处理方式。

进入页面的方法:访问控制>>Policy 配置>配置 Policy

11-11 Policy 添加 ACL 并设置动作

条目介绍:

 

Policy 设置

 

选择 Policy 选择 Policy 的名称

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

选择 ACL

 

 

选择 ACL 作为 Policy 作用的对象。

流镜像:

配置该 Policy 的数据包执行流镜像动作,镜像到选定的端口。

流监管:

配置该 Policy 的数据包执行流限速动作。

 

额定速率:为匹配了相应 ACL 的数据包配置额定转发速率。

 

超速处理:为超过额定速率的数据包选择处理方式。

端口重定向:

配置该 Policy 的数据包执行端口重定向动作,改变转发端口。

 

指定出口端口:将匹配了相应 ACL 的数据包指定到固定端口转

 

发。

QoS 重标记:

配置该 Policy 的数据包执行 QoS 动作,根据 QoS 功能具体配置情

 

况转发。

 

DSCP:为匹配了相应 ACL 的数据包指定 DSCP 域。

 

本地优先级:为匹配了相应 ACL 的数据包指定优先级。

 

13.4ACL 绑定

只有将 ACL 和端口/VLAN 绑定,ACL 才能生效;同样只有绑定了 ACL 的端口和 VLAN 才会对接收到的数据包根据 ACL 进行匹配处理。

绑定配置功能包括绑定列表、端口绑定、VLAN 绑定三个配置页面。

13.4.1绑定列表

在此页面中可以查看已进行端口/VLAN 绑定的 ACL 条目。进入页面的方法:访问控制>>ACL 绑定>绑定列表

 

11-12 绑定列表

 

SW-5024

 

 

条目介绍:

选择显示模式

 

选择显示模式 请根据需要选择显示模式

 

ACL 绑定列表

 

选择 选择绑定条目进行删除

序号 显示绑定条目的序号

 

ACL ID 显示绑定的 ACL ID

绑定接口 显示与相应 ACL 绑定的端口号或 VLAN ID

方向 显示绑定的方向

 

13.4.2端口绑定

在此页面中可以将 ACL 与端口进行绑定。

进入页面的方法:访问控制>> ACL 绑定>端口绑定

 

11-13 ACL 与端口进行绑定

条目介绍:

端口绑定配置

 

ACL ID 选择需要绑定的 ACL ID

端口: 配置需要绑定的端口号。端口绑定列表

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

序号:

 

 

显示绑定条目的序号。

ACL ID

显示绑定的 ACL ID

端口:

显示与相应 ACL 绑定的端口号。

方向:

显示绑定的方向。

 

13.4.3VLAN 绑定

在此页面中可以将 ACL VLAN 进行绑定。

进入页面的方法:访问控制>> ACL 绑定>VLAN 绑定

11-14 ACL VLAN 进行绑定

条目介绍:

 

VLAN 绑定配置

 

ACL ID 选择需要绑定的 ACL ID

VLAN ID 填写需要绑定的已建立的 VLAN ID

VLAN 绑定列表

 

序号:

显示绑定条目的序号。

ACL ID

显示绑定的 ACL ID

VLAN ID

显示与相应 ACL 绑定的 VLAN ID

方向:

显示绑定的方向。

 

配置步骤:

 

操作

说明

1

配置 ACL 规则

必选操作。在访问控制>>ACL 配置标签页中配置 ACL 规则

对数据包进行匹配。

2

ACL 与端口/VLAN 绑定

必选操作。在访问控制>>ACL 绑定标签页中将 ACL 与端口

/VLAN 进行绑定,将 ACL 应用到相应的端口/VLAN 上。

 

 

13.5绑定配置

只有将 Policy 和端口/VLAN 绑定,Policy 才能生效;将 Policy 与端口/VLAN 进行绑定后,端口和 VLAN 会对接收到的数据包根据 Policy 进行匹配处理。绑定配置功能将 Policy 应用到某个端口或VLAN 上。

绑定配置功能包括绑定列表、端口绑定、VLAN 绑定三个配置页面。

13.5.1绑定表

在此页面中可以查看已进行端口/VLAN 绑定的 Policy 条目。进入页面的方法:访问控制>>绑定配置>绑定列表

 

 

 

13-3 绑定列表

以下的条目显示在屏幕上:

 

选择显示模式

 

选择显示模式:

请根据需要选择显示模式

Policy 绑定 VLAN 列表

选择:

选择绑定条目进行删除。

序号:

显示绑定条目的序号。

Policy 名称:

显示绑定的 Policy 名称。

绑定接口:

显示与相应 Policy 绑定的 VID

方向:

显示绑定的方向。

 

 

Policy 绑定端口列表

 

选择 选择绑定条目进行删除

序号 显示绑定条目的序号

 

Policy 名称 显示绑定的 Policy 名称

绑定接口 显示与相应 Policy 绑定的端口号

方向 显示绑定的方向

 

13.5.2端口绑定

在此页面中可以将 Policy 与端口进行绑定。

进入页面的方法:访问控制>>绑定配置>端口绑定

 

 

 

 

13-4 端口绑定配置

以下的条目显示在屏幕上: 

端口绑定配置

 

 

Policy 名称:

选择要绑定的 policy 的名称。

 

端口:

选择要绑定的端口号。

 

端口绑定列表

 

 

序号:

显示绑定条目的序号。

 

Policy 名称:

显示绑定的 Policy 名称。

 

端口:

显示与相应 Policy 绑定的端口号。

 

 

 

方向 显示绑定的方向

 

13.5.3VLAN 绑定

在此页面中可以将 Policy VLAN 进行绑定。

进入页面的方法:访问控制>>绑定配置>VLAN 绑定

 

 

 

13-5 VLAN 绑定配置

以下的条目显示在屏幕上: 

 

VLAN-绑定配置

 

 

Policy 名称:

选择要绑定的 policy 的名称。

 

VLAN ID

填写需要绑定的已建立的 VLAN ID

 

VLAN-绑定列表

 

 

序号:

显示绑定条目的序号。

 

Policy 名称:

显示绑定的 Policy 名称。

 

VLAN ID

显示与相应 Policy 绑定的 VLAN ID

 

方向:

显示绑定的方向。

 

配置过程:

 

操作

描述

1

配置 ACL 规则

必选操作。在访问控制→ACL 配置页面配置ACL 规则

对数据

包进行匹配

 

2

配置 policy

必选操作。在访问控制>>Policy 配置页面配置 Policy,对匹

配了相应 ACL 规则的数据包,通过 Policy 设置进行处理。

3

绑定 policy 到端口/VLAN

必选操作。在访问控制>>绑定配置三个标签页中将 Policy 

端口/VLAN 进行绑定,将 Policy 应用到相应的端口/VLAN 上。

13.6访问控制功能组网应用

组网需求

 

 

研发部门的管理人员自由访问公司论坛,管理人员 MAC 地址为 00-46-A5-5D-12-C3研发部门工作人员在工作时间可以访问公司论坛。

市场部人员在工作时间不能访问公司论坛。市场部和研发部门之间互相不能访问。

组网图

配置步骤

 

 

 

 

 

 

 

 

访问控制

 

 

配置 新建

 

 

页面,创 

 

 

 

操作

说明

2

2

4

配置

>>ACL >> ACL ACL 100

访问控制    配置 新建   页面,创建   

访问控制>>ACL 配置>>标准 IP ACL 页面,选择 ACL 100,创建规则 1,安全操作设置为丢弃;设置源 IP 10.10.70.0,掩码为 255.255.255.0设置目的 IP 10.10.50.0,掩码为 255.255.255.0;时间段选择无限制。

访问控制>>ACL 配置>>标准 IP ACL 页面,选择 ACL 100,创建规则 2,安全操作设置为允许;设置源 IP 10.10.70.0,掩码为 255.255.255.0设置目的 IP 10.10.88.5,掩码为 255.255.255.255;时间段选择 work_time

访问控制>>ACL 配置>>标准 IP ACL 页面,选择 ACL 100,创建规则 3,安全操作设置为丢弃;设置源 IP 10.10.70.0,掩码为 255.255.255.0设置目的 IP 10.10.88.5,掩码为 255.255.255.255;时间段选择无限制。

访问控制>>Policy 配置>>新建 Policy 页面,创建 Policy,名称定为 limit1

访问控制>>Policy 配置>>配置 Policy 页面,将 ACL 100 应用到 Policy limit1

访问控制>>绑定配置>>端口绑定页面,选择 Policy limit1 与端口 16 定。

3

3

4

配置

>>ACL >> ACL ACL 101

访问控制    配置 新建   页面,创建   

访问控制>>ACL 配置>>标准 IP ACL 页面,选择 ACL 101,创建规则 4,安全操作设置为丢弃;设置源 IP 10.10.50.0,掩码为 255.255.255.0设置目的 IP 10.10.70.0,掩码为 255.255.255.0;时间段选择无限制。

访问控制>>ACL 配置>>标准 IP ACL 页面,选择 ACL 101,创建规则 5,安全操作设置为丢弃;设置源 IP 10.10.50.0,掩码为 255.255.255.0设置目的 IP 10.10.88.5,掩码为 255.255.255.255;时间段选择 work_time

访问控制>>Policy 配置>>新建 Policy 页面,创建 Policy,名称定为 limit2

访问控制>>Policy 配置>>配置 Policy 页面,将 ACL 101 应用到 Policy limit2

访问控制>>绑定配置>>端口绑定页面,选择 Policy limit2 与端口 15 定。

 

 

 

回目录

 

 

 

14.网络安全

网络安全模块为保护局域网安全提供了多项安全措施,包括四元绑定IPv6-MAC 绑定DHCP 侦听

DHCPv6 侦听ARP 防护ND 检测IP 源防护DoS 防护802.1X 认证PPPoE 以及 AAA

请根据实际需要进行配置。

 

14.1四元绑定

四元绑定,是将计算机的 MAC 地址、IP 地址、所属 VLAN 以及与之相连的交换机的端口号四者绑定,以下这四个参数信息简称四元信息。该功能可以启用 ARP 防护和 IP 源防护,只有符合绑定关系的计算机才能访问网络。

本交换机支持如下三种四元绑定方式:

 

手动绑定,通过手动方式绑定局域网用户的四元信息。当可以全面获取正确的局域网用户的四元信息时,可通过此方式进行绑定。

 

扫描绑定:通过 ARP 扫描获取局域网用户的四元信息,并根据实际需要选择扫描结果进行绑定。此绑定方式只需在相应的功能页面输入 IP 地址段进行扫描。

DHCP 侦听:通过 DHCP 侦听功能侦听 DHCP 广播包,记录数据包中的 IPMAC VLAN ID 等信息。当局域网中搭建了 DHCP 服务器给局域网用户分配 IP 地址时,DHCP 侦听功能可以很方便地记录局域网用户的四元信息。

 

此三种方式也称为四元绑定条目的三个来源。三种来源的四元绑定条目信息必须完全不一致,以避免冲突。如果四元绑定条目发生冲突,只有来源优先级最高的条目生效。此三种来源方式中,手动绑定优先级最高,其次是扫描绑定,DHCP 侦听优先级最低。

本功能包括绑定列表手动绑定扫描绑定

 

14.1.1绑定列表

 

在绑定列表页面中,可以查看当前交换机已进行四元绑定的局域网计算机条目信息。进入页面的方法:网络安全>>四元绑定>>绑定列表

 

12-1 查看四元绑定信息

 

 

条目介绍:

搜索条目

 

来源: 选择查看不同来源的四元绑定条目。 全部来源:查看全部四元绑定条目。

手动添加:只查看手动添加的四元绑定条目。

ARP 扫描:只查看通过 ARP 扫描获得的四元绑定条目。

DHCP 侦听:只查看通过 DHCP 侦听获得的四元绑定条目。

IP 单击选择按钮,根据您输入的 IP 地址快速选择相应的条目。

 

四元绑定表

 

选择:

勾选条目可修改主机名及防护范围,可多选。

主机名:

显示主机描述名称。

IP 地址:

显示主机 IP 地址。

MAC 地址:

显示主机 MAC 地址。

VLAN ID

显示 VLAN ID

端口:

显示主机连接的交换机端口。

防护范围:

显示并编辑此条目支持的防护范围。

来源:

显示此条目的来源。

冲突:

显示此绑定条目与其它条目的冲突状态。

 

警告:表示此条目冲突可能是由于 MSTP 等功能造成的。

 

严重:已确定的冲突条目。

注意:

冲突等级为严重的条目

 

 

只有来源优先级最高的一条生效。

14.1.2手动绑定

当已经获取了局域网用户的四元信息时,可以将四元信息静态绑定。进入页面的方法:网络安全>>四元绑定>>手动绑定

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

12-2 手动绑定四元信息

 

条目介绍:

手动绑定

 

主机名 输入主机描述名称

 

IP 地址 输入主机 IP 地址

 

MAC 地址 输入主机 MAC 地址

 

VLAN ID 输入 VLAN ID

 

端口 输入主机连接的交换机端口

 

防护范围 选择此条目支持的防护范围

 

绑定: 点击此按键将上述输入信息进行绑定。手动绑定条目

选择 勾选条目进行删除

 

主机名 显示主机描述名称

 

IP 地址 显示主机 IP 地址

 

MAC 地址 显示主机 MAC 地址

 

VLAN ID 显示 VLAN ID

 

 

 

 端口 显示主机连接的交换机端口

 

防护范围 显示此条目支持的防护范围

 

冲突 显示此绑定条目与其它条目的冲突状态

警告:表示此条目冲突可能是由于 MSTP 等功能造成的。严重:已确定的冲突条目。

 

14.1.3扫描绑定

ARPAddress Resolution Protocol,地址解析协议)用于将网络层的 IP 地址解析为数据链路层地址。 IP 地址只是主机在网络层中的地址,如果要将网络层中数据包传送给目的主机,必须知道目的主机的数据链路层地址(比如以太网络 MAC 地址)。因此必须将 IP 地址解析为数据链路层地址。

ARP 协议用于将 IP 地址解析为 MAC 地址,并在主机内部维护一张 ARP 表,记录最近与本主机通信的其它主机的 MAC 地址与 IP 地址的对应关系。当主机需要与陌生主机通信时,首先进行 ARP地址解析,ARP 地址解析过程如图 12-3 所示:

12-3 ARP 地址解析图

A 在自己的 ARP 表中查询是否存在主机 B IP 地址和 MAC 地址的对应条目。若存在,直接向主B 发送数据。若不存在,则 A 向整个局域网中广播一份称为“ARP 请求的数据链路帧,这个请求包含发送端(即主机 AIP 地址和 MAC 地址以及接收端(即主机 BIP 地址。

局域网的每个主机接收到主机 A 广播的 ARP 请求后,目的主机 B 识别出这是发送端在询问它

IP 地址,于是给主机 A 发出一个 ARP 应答。这个应答包含了主机 B MAC 地址。

主机 A 接收到主机 B 发出的 ARP 应答后,就将主机 B IP 地址与 MAC 地址的对应条目添加自己的 ARP 表中,以便后续报文的转发。

扫描绑定功能即通过交换机向局域网或 VLAN 发送指定 IP 段的 ARP 请求报文,当收到相应的 ARP 应答报文时,将分析 ARP 应答报文来获得四元信息。由此可见,通过扫描绑定功能可以很方便的将局域网用户的四元信息进行绑定。

进入页面的方法:网络安全>>四元绑定>>扫描绑定

 

 

 

 

12-4 扫描绑定四元信息

 

条目介绍:

 

ARP 扫描

 

 

起始 IP 地址:

输入起始 IP 地址。

 

结束 IP 地址:

输入结束 IP 地址。

 

VLAN ID:

输入 VLAN ID,在相应的 VLAN 中进行扫描。若留空,则发送 untag

 

 

数据包进行扫描。

 

扫描:

点击<扫描>按键将对局域网计算机进行扫描。

 

扫描结果

 

 

选择:

勾选条目进行删除。

 

主机名:

显示主机描述名称或对主机进行描述以便区分。

 

IP 地址:

显示主机 IP 地址。

 

MAC 地址:

显示主机 MAC 地址。

 

VLAN ID

显示 VLAN ID

 

端口:

显示主机连接的交换机端口。

 

防护范围:

显示此条目支持的防护范围或者对此条目开启防护功能。

 

冲突 显示此绑定条目与其它条目的冲突状态

警告:表示此条目冲突可能是由于 MSTP 等功能造成的。严重:已确定的冲突条目。

14.2IPv6-MAC 绑定

IPv6-MAC 绑定,是将计算机的 MAC 地址、IPv6 地址、所属 VLAN 以及与之相连的交换机的端口号四者绑定。该功能可以启用 ND 侦听和 IPv6 防护,只有符合绑定关系的计算机才能访问网络。

 

 

本交换机支持如下三种绑定方式:

 

手动绑定,通过手动方式绑定局域网用户的四元信息。当可以全面获取正确的局域网用户的四元信息时,可通过此方式进行绑定。

 

ND 侦听:通过 ND 侦听功能侦听重复地址检测过程,并记录主机的 IP 地址、MAC 地址、

VLAN 和主机的连接端口号,可通过此方式进行绑定。

DHCP 侦听:通过 DHCPv6 侦听功能侦听 DHCPv6 广播包,记录 DHCPv6 服务器给局域网用户分配 IPv6 地址的过程,并记录主机的 IPMAC 地址、VLAN 和主机的连接端口号,可通过此方式进行绑定。

 

此三种方式也称为四元绑定条目的三个来源。三种来源的四元绑定条目信息必须完全不一致,以避免冲突。如果四元绑定条目发生冲突,只有来源优先级最高的条目生效。此三种来源方式中,手动绑定优先级最高,其次是 DHCPv6 侦听,ND 侦听优先级最低。

本功能包括绑定列表手动绑定ND 侦听

14.2.1绑定列表

进入页面的方法:网络安全→IPv6-MAC 地址绑定绑定列表

14-1绑定列表

 

条目介绍:

搜索条目

 

来源 查看不同来源的四元绑定条目

全部来源:查看全部四元绑定条目。

手动添加:只查看手动添加的四元绑定条目。

ND 侦听:只查看通过 ND 侦听获得的条目。

DHCP 侦听:只查看通过 DHCPv6 侦听获得的四元绑定条目。

IP 单击选择按钮,根据您输入的 IPv6 地址快速选择相应的条目。

 

绑定列表

 

选择 勾选条目可修改主机名及防护范围,可多选

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

主机名:

 

 

显示主机描述名称。

IP 地址:

显示主机 IP 地址。

MAC 地址:

显示主机 MAC 地址。

VLAN ID

显示 VLAN ID

端口:

显示主机连接的交换机端口。

防护范围:

显示并编辑此条目支持的防护范围。

活动状态:

显示条目的活动状态。

来源:

显示此条目的来源。

 

冲突 显示此绑定条目与其它条目的冲突状态

警告:表示此条目冲突可能是由于 MSTP 等功能造成的。严重:已确定的冲突条目。

 

14.2.2手动绑定

当已经获取了局域网用户的四元信息时,可以将四元信息静态绑定。进入页面的方法:网络安全→IPv6-MAC 地址绑定手动绑定

14-2手动绑定

 

条目介绍:

手动绑定

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

主机名:

 

 

输入主机描述名称。

IP 地址:

输入主机 IP 地址。

MAC 地址:

输入主机 MAC 地址。

VLAN ID

输入 VLAN ID

防护范围:

选择此条目支持的防护范围。

端口:

输入主机连接的交换机端口。

绑定:

点击此按键将上述输入信息进行绑定。

 

手动绑定条目

 

选择 勾选条目进行删除

 

主机名 显示主机描述名称

 

IP 地址 显示主机 IP 地址

 

MAC 地址 显示主机 MAC 地址

 

VLAN ID 显示 VLAN ID

 

端口 显示主机连接的交换机端口

 

防护范围 显示此条目支持的防护范围

 

活动状态 显示该条目的活动状态

 

冲突 显示此绑定条目与其它条目的冲突状态

警告:表示此条目冲突可能是由于 MSTP 等功能造成的。严重:已确定的冲突条目。

14.2.3ND 侦听

ND 侦听功能用于侦听重复地址检测过程,并记录主机的 IP 地址、MAC 地址、VLAN 和主机的连接端口号,进行自动绑定。

进入页面的方法:网络安全→IPv6-MAC 地址绑定→ND 侦听

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

14-3 ARP 侦听

 

条目介绍:

ND 侦听

 

ND 侦听 全局启用/禁用 ND 侦听功能

 

VLAN ID 在指定 VLAN 中启用/禁用 ND 侦听功能。

 

VLAN 配置显示 显示已启用 ND 侦听功能的 VLAN ID

 

 

 端口配置

 

选择 选择所需的端口进行配置,可多选

 

端口 显示端口号

 

最大条目 设置端口通过 ND 侦听功能可以学习到的最大绑定条目

LAG 显示端口属于的汇聚组。

 

14.3DHCP 侦听

随着网络规模的不断扩大和网络复杂度的提高,经常出现计算机的数量超过可供分配的 IP 地址的情况。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的 IP 地址也必须经常更新,从而导致网络配置越来越复杂。DHCPDynamic Host Configuration Protocol,动态主机配置协议)是在 BOOTP 协议基础上进行了优化和扩展而产生的一种网络配置协议,并有效解决了上面这些问题。

DHCP 工作原理

DHCP 采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配

IP 地址等配置信息,以实现网络资源的动态配置。通常一台服务器可以为多台客户端分配 IP,如12-5 所示:

12-5DHCP 网络典型应用

针对 DHCP 客户端的需求不同,DHCP 服务器提供三种 IP 地址分配策略:

手工分配地址:由管理员为少数特定客户端(WWW 服务器等)静态绑定 IP 地址。通过

DHCP 将固定 IP 地址分配给客户端。

自动分配地址:DHCP 服务器为客户端分配租期为无限长的 IP 地址。

动态分配地址:DHCP 服务器为客户端分配具有一定有效期限的 IP 地址,当使用期限到期后,客户端需要重新申请地址。

绝大多数客户端均通过动态分配地址的方式获取 IP 地址,其获取 IP 地址的过程如下图所示:

 

 

 

 

12-6动态获取 IP 地址的过程

发现阶段,客户端以广播方式发送 DHCP-DISCOVER 报文寻找 DHCP 服务器。

提供阶段,DHCP 服务器接收到客户端发送的 DHCP-DISCOVER 报文后,根据 IP 地址分配的优先次序从地址池中选出一个 IP 地址,与其它参数一起通过 DHCP-OFFER 报文发送给客户端(发送方式根据客户端发送的 DHCP-DISCOVER 报文中的 flag 字段决定,具体请见 DHCP 报文格式的介绍)。

选择阶段,如果有多台 DHCP 服务器向该客户端发来 DHCP-OFFER 报文,客户端只接受第一个收到的 DHCP-OFFER 报文,然后以广播方式发送 DHCP-REQUEST 报文,该报文中包含

DHCP 服务器在 DHCP-OFFER 报文中分配的 IP 地址。

确认阶段,DHCP 服务器收到 DHCP 客户端发来的 DHCP-REQUEST 报文后,只有 DHCP 户端选择的服务器会进行如下操作:如果确认地址分配给该客户端,则返回 DHCP-ACK 文;否则将返回 DHCP-NAK 报文,表明地址不能分配给该客户端。

Option 82

DHCP 报文格式基于 BOOTP 的报文格式,共有 8 种类型的报文,每种报文的格式相同。DHCPBOOTP 消息的不同主要体现在选项(Option字段,并利用 Option 字段来实现功能扩展。例DHCP 可以利用 Option 字段传递控制信息和网络配置参数,实现地址的动态分配,为客户端提供更加丰富的网络配置信息。更多 DHCP Option 选项的介绍,请参见 RFC 2132

Option 82 选项记录了 DHCP 客户端的位置信息,交换机接收到 DHCP 客户端发送给 DHCP 服务器的请求报文后,在该报文中添加 Option 82,并转发给 DHCP 服务器。管理员可以从 Option 82中获得 DHCP 客户端的位置信息,以便定位 DHCP 客户端,实现对客户端的安全和计费等控制。支持 Option 82 的服务器还可以根据该选项的信息制订 IP 地址和其它参数的分配策略,提供更加灵活的地址分配方案。

 

Option 82 最多可以包含 255 个子选项。若定义了 Option 82,则至少要定义一个子选项。目前本交换机支持两个子选项:Circuit ID电路 ID 子选项)Remote ID远程 ID 子选项)。由于 Option 82 的内容没有统一规定,不同厂商通常根据需要进行填充。目前本交换机对子选项的填充内容如下,电路 ID 选项的填充内容是接收到 DHCP 客户端请求报文的端口所属 VLAN 的编号以及端口号,远程 ID 子选项的填充内容是接收到 DHCP 客户端请求报文的 DHCP Snooping 设备的 MAC 地址。

DHCP 服务欺骗攻击

 

 

 

 DHCP 工作过程中,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器,不仅会给网络造成混乱,也对网络安全造成很大威胁。这种网络中出现非法的 DHCP 服务器,通常分为两种情况:

用户不小心配置的 DHCP 服务器,由此引起的网络混乱非常常见。

黑客将正常的 DHCP 服务器中的 IP 地址耗尽,然后冒充合法的 DHCP 服务器,为客户端分配 IP 地址等配置参数。例如黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS服务器地址,在用户毫无察觉的情况下被引导至预先配置好的假的金融网站或电子商务网站,骗取用户的帐户和密码,如图 12-7 所示。

12-7DHCP 服务欺骗攻击

DHCP 侦听是运行在交换机上的一种 DHCP 安全特性。通过设置 DHCP 服务器的连接端口为授信端口,只处理授信端口发来的 DHCP 响应报文;通过监听 DHCP 报文,记录用户从 DHCP 服务器获取局域网用户的四元信息,进行绑定后与 ARP 攻击防护配合使用;同时也可以过滤不可信任的 DHCP 信息,防止局域网中发生 DHCP 服务欺骗攻击,提高网络的安全性。

14.3.1全局配置

进入页面的方法:网络安全→DHCP 侦听全局配置

 

 

 

 

14-4 DHCP 侦听

 

条目介绍:

DHCP 侦听配置

 

DHCP 侦听 选择启用/禁用 DHCP 侦听功能

 

VLAN ID 在指定 VLAN 中启用/禁用 DHCP 侦听功能。

 

VLAN 配置显示 显示已启用 DHCP 侦听功能的 VLAN ID

 

14.3.2端口配置

进入页面的方法:网络安全→DHCP 侦听端口配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

14-5 DHCP 侦听

DHCP 侦听端口配置

 

选择 勾选端口配置端口参数,可多选

 

端口 显示交换机的端口号

 

授信端口 选择是否配置端口为授信端口,只有授信端口才正常转发来自正

DHCP 服务器端的消息,请将连接有 DHCP 服务器的端口设为授信端口。

 

MAC 验证 选择是否启用 MAC 验证功能。DHCP 消息中有两个字段存储着

户端的 MAC 地址,MAC 验证功能会对这两个字段进行比较,如果不同,则将消息丢弃。

 

流量控制 选择是否对 DHCP 数据包启用流量控制功能,超出流量部分的 DHCP

数据包将被丢弃。

 

Decline 侦听 选择是否启用端口的 Decline 侦听功能

LAG 显示端口当前所属的汇聚组。

 

 

14.3.3Option82 配置

进入页面的方法:网络安全→DHCP 侦听→Option 82 配置

14-6 Option 82 配置

Option 82 配置

 

选择 勾选端口配置端口参数,可多选

 

端口 显示交换机的端口号

 

Option 82 支持 选择是否启用 Option 82 功能

 

已存在 Option 82  当客户端的 DHCP 请求数据包已经有 Option 82 字段时,选择对

理:

字段的操作。如果已经启用 Option 82 功能,DHCP 服务器回复报

文中的option 82 字段将会被移除,与所配置的对此字段的操作无关。

保留:保留数据包中的 Option 字段信息。

替换:替换数据包中的 Option 字段信息,替换为交换机自定义的选项内容。

丢弃:丢弃包含 Option 82 字段的数据包。

 

电路 ID 自定义 开启或禁用自定义 Option 82 选项电路 ID 子选项。当选择禁用时

电路 ID 子选项默认的内容是接收到 DHCP 客户端请求报文的端口所属 VLAN 的编号以及端口号。

电路 ID 子选项 输入交换机自定义的 Option 82 选项中电路 ID 子选项的内容

 

远程 ID 自定 开启或禁用自定义 Option 82 选项中远程 ID 子选项。当选择禁用时

远程 ID 子选项默认的内容是接收到 DHCP 客户端请求报文的

DHCP Snooping 设备的 MAC 地址。

 

 

 

远程 ID 输入交换机自定义的 Option 82 选项中远程 ID 子选项的内容

 

14.4DHCPv6 侦听

 

DHCPv6 侦听功能可以侦听主机从 DHCPv6 服务器获取 IPv6 地址的过程,记录用户从 DHCPv6

进入页面的方法:网络安全→DHCPv6 侦听→DHCPv6 侦听

 

 

 

 

14-7 DHCPv6 侦听

 

DHCPv6 侦听

 

 

DHCPv6 侦听:

选择启用/禁用 DHCP 侦听功能。

 

VLAN ID

在指定 VLAN 中启用/禁用 DHCP 侦听功能

 

VLAN 配置显示:

显示已启用 DHCP 侦听功能的 VLAN ID

 

信任端口

 

 

信任端口:

将端口配置为信任端口,只有信任端口才能转发来自 DHCPv6 服务

 

 

器端的报文。

 

 

14.5ARP 防护

根据 11.1.3 扫描绑定所述的 ARP 地址解析过程可知,利用 ARP 协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于 ARP 协议是基于网络中的所有主机或者网关都

 

 

 

 为可信任的前提制定的,因此在实际复杂的网络中,此过程存在大量的安全隐患,从而导致针对 ARP 协议的欺骗攻击非常常见。网关仿冒、欺骗网关、欺骗终端用户和 ARP 泛洪攻击均是在学校等大型网络中常见的 ARP 攻击,以下简单介绍这几种常见攻击:

网关仿冒

 

攻击者发送错误的网关 MAC 给受害者,而网络中的受害者收到这些 ARP 响应报文时,自动更新

ARP 表,导致不能正常访问网络。如图 12-9 所示。

12-9 ARP 攻击-网关仿冒示意图

如图,攻击者发送伪造的网关 ARP 报文给局域网中的正常用户,相应的局域网用户收到此报文后更新自己的 ARP 表项。当局域网中正常用户要与网关进行通信时,将数据包封装上错误的目的 MAC 地址,导致通信中断。

欺骗网关

攻击者发送错误的终端用户的 IP/MAC 的对应关系给网关,导致网关无法和合法终端用户正常通信。

如图 12-10 所示。

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 12-10 ARP 攻击-欺骗网关示意图

如图,攻击者发送伪造的用户 A ARP 报文给网关,网关收到此报文后更新自己的 ARP 表项,当网关与局域网中用户 A 进行通信时,将数据包封装上错误的目的 MAC 地址,导致通信中断。

欺骗终端用户

 

攻击者发送错误的终端用户/服务器的 IP/MAC 的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。如图 12-11 所示。

12-11 ARP 攻击-欺骗普通用户示意图

 

 

 

 如图,攻击者发送伪造的用户 A ARP 报文给用户 B,用户 B 收到此报文后更新自己的 ARP 项,当用户 B 与用户 A 进行通信时,将数据包封装上错误的目的 MAC 地址,导致通信中断。

中间人攻击

 

攻击者不断向局域网中计算机发送错误的 ARP  报文,使受害主机一直维护错误的 ARP  表项。当局域网主机互相通信时,将数据包发给攻击者,再由攻击者将数据包进行处理后转发。在这个过程中,攻击者窃听了通信双方的数据,而通信双方对此并不知情。这就是中间人攻击。如图 12-12 所示。

12-12 中间人攻击

假设同一个局域网内,有 3 台主机通过交换机相连:

主机:IP 地址为 192.168.0.101MAC 地址为 00-00-00-11-11-11

 

主机:IP 地址为 192.168.0.102MAC 地址为 00-00-00-22-22-22;攻击者:IP 地址为 192.168.0.103MAC 地址为 00-00-00-33-33-33

首先,攻击者向主机 A 和主机 B 发送伪造的 ARP 应答报文。

A 主机和 B 主机收到此 ARP 应答后,更新各自的 ARP 表。

A 主机和 B 主机通信时,将数据包发送给错误的 MAC 地址,即攻击者。

攻击者窃听了通信数据后,将数据包处理后再转发到正确的 MAC 地址,使 A 主机和 B 主机保持正常的通信。

攻击者连续不断地向 A 主机和 B 主机发送伪造的 ARP 响应报文,使二者的始终维护错误

ARP 表。

A 主机和 B 主机看来,彼此发送的数据包都是直接到达对方的,但在攻击者看来,其担当的就第三者的角色。这种嗅探方法,也被称作中间人的方法。

ARP 泛洪攻击

攻击者伪造大量不同 ARP 报文在同网段内进行广播,消耗网络带宽资源,造成网络速度急剧降低;同时,网关学习此类 ARP 报文,并更新 ARP 表,导致 ARP 表项被占满,无法学习合法用户ARP 表,导致合法用户无法访问外网。

 

 

 

在本交换机中,通过四元绑定功能在用户接入交换机时即对用户的四元信息进行绑定;而在 ARP防护功能中则利用在交换机中绑定的四元信息对 ARP 报文进行检查,过滤非法 ARP 报文。通过上述两步可以很好的对局域网中 ARP 攻击进行防御。

本功能包括ARP 欺骗ARP 攻击报文统计三个功能配置页面。

14.5.1ARP 欺骗

ARP 欺骗功能,通过四元绑定表对交换机收到的 ARP 报文进行检查,过滤非法的 ARP 报文,以此防御局域网中的 ARP 攻击。

进入页面的方法:网络安全>>ARP 防护>>ARP 欺骗

 

12-13 ARP 欺骗

条目介绍:

 

ARP 欺骗

 

ARP 欺骗 选择启用并单击<提交>按键即可启用防 ARP 欺骗功能

信任端口

 

信任端口 勾选无须启用防 ARP 欺骗功能的信任端口。上联端口、路由端口

LAG 端口等特殊端口均应配置为信任端口。在启用防 ARP 欺骗功能之前,应先配置 ARP 信任端口,以免影响正常通信。

 

配置步骤:

 

 

 

 

>> >>

 

 

 

 

 

 

 

>>ARP >> ARP

 

 

 

 

 

ARP >>ARP >> ARP

 

 

 

14.5.2ARP 攻击

ARP 攻击功能对交换机的各端口处理的合法 ARP 数据包设定阀值,在单位时间内不可超过设定值。超过设定值时,交换机将停止处理 ARP 数据包 300 秒,能够有效的避免 ARP 泛洪攻击。

进入页面的方法:网络安全>>ARP 防护>>ARP 攻击

12-14 ARP 攻击

条目介绍:

 

ARP 攻击配置

 

选择 勾选端口配置端口防 ARP 攻击功能参数,可多选

端口 显示交换机的端口号

 

防护功能 选择是否启用防 ARP 攻击功能

速率 填写端口每秒允许接收的 ARP 数据包个数

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

当前速率:

 

 

显示端口当前收到的 ARP 数据包速率。

状态:

显示端口当前防 ARP 攻击状态。

LAG

显示端口当前所属的汇聚组。

操作:

点击<恢复>按键使端口恢复正常状态,并重新启用防 ARP  攻击功能。

注意:

建议 LAG 端口不要开启防 AR

 

 

P 攻击功能。

 

14.5.3报文统计

通过报文统计功能,可以直观地查看各个端口收到的非法 ARP 数据包个数,并以此定位网络问题,并采取相应的防护措施。

 

进入页面的方法:网络安全>>ARP 防护>>报文统计

12-15报文统计

条目介绍:

自动刷新

 

 

 

自动刷新 设置是否自动刷新端口统计情况

刷新周期 设置自动刷新周期

 

ARP 非法数据包统计

 

端口 显示交换机的端口号

 

信任端口 显示端口是否是 ARP 信任端口

非法 ARP 报文 显示端口收到的非法 ARP 数据包数量

14.6ND 探测

ND (Neighbor Discovery Protocol)探测功能可以保护交换机免受 IPv6 路由欺骗,IPv6 重复地址检测欺骗和 IPv6 地址解析欺骗等恶意 NDP 攻击。

进入页面的方法:网络安全→ND 探测→ND 探测

 

14-8 ND 检测

ND 检测

 

ND 检测 选择启用/禁用 ND 探测功能

 

VLAN ID 在指定 VLAN 上启用/禁用 ND 探测功能。

 

VLAN 配置显示 显示已启用 ND 检测的 VLAN ID

 

信任端口

 

 

 

信任端口 选择启用/禁用端口作为信任端口。只有信任端口才能转发路由器广

告信息和重定向消息。

 

14.7IP 源防护

IP 源保护根据四元绑定列表过滤 IP 数据包。数据包只有匹配绑定规则才可以被处理,以此提高带宽利用率。

进入页面的方法:网络安全→IP 源防护

14-9 IP 源防护

 

以下的条目显示在屏幕上: 

ip 源保护配置

 

选择 勾选端口配置 IP 源防护功能,可多选

端口 显示交换机的端口号

防护类型 选择端口的安全类型

禁用:禁用端口的 IP 源防护功能。

SIP+MAC数据包的 IP、源 MAC 地址、端口号只有匹配四元绑定列表才可以被处理。

 

 

 

IPv6 安全类型 选择端口的安全类型

禁用:禁用端口的 IPv6 源防护功能。

SIPv6+MAC数据包的 IPv6、源 MAC 地址、端口号只有匹配四元绑定列表才可以被处理。

 

LAG 显示端口当前所属的汇聚组。

 

14.8DoS 防护

DoSDenial of Service,拒绝服务)攻击是指攻击者利用网络协议实现的缺陷,耗尽被攻击对象的资源,使目标计算机或网络无法提供正常的服务或资源访问甚至崩溃。

DoS 攻击的具体的影响如下:

耗尽服务器的资源,包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。使服务器疲于响应此类报文,导致网络瘫痪。

 

由于交换机接收到此类报文需经过 CPU 处理,因此若请求报文数量过多,会导致交换机 CPU

利用率持续上升,无法正常工作。

 

本交换机通过解析 IP 数据包,分析数据包中的特定字段,并判断是否符合 DoS 攻击数据包的特征。对于非法的数据包,交换机将直接丢弃;而对于某些正常的数据包,由于流量过大可能导致受害主机瘫痪时,交换机可以对此类数据包进行限速。本交换机能够防护的 DoS 攻击种类如表 12-1 所示。

 

DoS 攻击类型

攻击特征

 

Land Attack

向目标主机发送一个特别伪造的 SYN 包,其 IP 源地址和目的地址

都被设置为目标主机的 IP 地址,这种包可以造成被攻击主机因试图

与自己建立连接而陷入死循环,从而很大程度上降低了系统性能。

 

Scan SYNFIN

TCP 标志位 SYNFIN 位被置 1 的数据包。由于 SYN 标志用来初

始化连接的,FIN 标志用来表示发端已完成发送任务请求关闭连接,

所以 SYN/FIN 肯定是非法的数据包,本交换机能够识别此类攻击。

Xmascan

TCP 序号置为 0FINURGPSH 位置为 1 的数据包。

 

NULL Scan

TCP 序号置为 0,所有控制位置为 0 的数据包。在正常的 TCP 连接

以及数据传输过程中,不会出现所有控制位置 0 的情况,此类数据

包为非法的数据包。

SYN sPort less 1024

TCP SYN 标志位置 1,源端口小于 1024 的数据包。

 

Blat Attack

数据包的 L4 源端口等于目的端口且 URG 置位。此攻击方式类似于

Land Attack,被攻击主机因尝试和自己建立连接使系统性能下降。

 

Ping Flooding

利用 Ping 广播风暴,淹没整个目标系统,以至于该系统不能响应合

法的通信。

 

 

 

 

 SYN/SYN-ACK F

的,如果

每当我们进行一次标准的 TCP 连接,都会有一个三次握手的过程,而 TCP-SYN Flood 只进行前两个步骤,服务方在一定时间内等待请 looding 求方 ASK 消息。由于一台服务器可用的 TCP 连接是有限攻击方发送大量此类连接请求,则服务方 TCP 连接队列将会很快阻塞,系统资源和可用带宽急剧下降,无法提供正常的网络服务,从而造成拒绝服务。

 

12-1 本交换机支持的 DoS 防护种类在此页面中可以根据实际需要启用合适的 DoS 防护策略。进入页面的方法:网络安全>>DoS 防护>>DoS 防护

12-16DoS 防护

条目介绍:

全局配置

 

DoS 攻击防护 选择是否启用交换机的 DoS 防护功能

攻击防护列表

 

选择 勾选启用相应 DoS 防护

防护类型 显示防护类型

 

14.9802.1X 认证

802.1X 协议是 IEEE802 LAN/WAN 委员会为了解决无线局域网网络安全问题提出的。后来该协议作为局域网端口的一个普通接入控制机制应用于以太网中,主要用于解决以太网内认证和安全方面的问题,在局域网接入设备的端口这一级对所接入的设备进行认证和控制。

 

 

 

 本交换机可以作为一个认证系统来对网络中的计算机进行认证。连接在端口上的用户设备如果能通过交换机认证,就可以访问局域网中的资源;如果不能通过交换机认证,则无法访问局域网中的资源。

802.1X 体系结构

802.1X 的系统是采用典型的 Client/Server 体系结构,包括三个实体,如图 12-17 所示。

12-17802.1X 认证的体系结构

客户端:局域网中的一个实体,多为普通计算机,用户通过客户端软件发起 802.1X 认证,并由设备端对其进行认证。客户端软件必须为支持 802.1X 认证的用户终端设备。

设备端:通常为支持 802.1X 协议的网络设备,如本交换机,为客户端提供接入局域网的物理/逻辑端口,并对客户端进行认证。

 

认证服务器:为设备端提供认证服务的实体,例如可以使用 RADIUS 服务器来实现认证服务器的认证和授权功能。该服务器可以存储客户端的相关信息,并实现对客户端的认证和授权。为了保证认证系统的稳定,可以为网络设置一个备份认证服务器。当主认证服务器出现故障时,备份认证服务器可以接替认证服务器的工作,保证认证系统的稳定。

802.1X 认证工作机制

IEEE 802.1X 认证系统使用 EAPExtensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交换。

在客户端与设备端之间,EAP 协议报文使用 EAPOL 封装格式,直接承载于 LAN 环境中。 在设备端与 RADIUS 服务器之间,可以使用两种方式来交换信息。一种是 EAP 协议报文使用

EAPOREAP over RADIUS封装格式承载于 RADIUS 协议中;另一种是设备端终结 EAP

协议报文,采用包含 PAPPassword Authentication Protocol,密码验证协议)CHAP

 Challenge Handshake Authentication Protocol , 质询握手验证协议 属性的报文与

RADIUS 服务器进行认证。

 

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端根据 RADIUS 服务器的指示(Accept Reject)决定受控端口的授权/非授权状态。

802.1X 认证过程

 

 

 

 认证过程可以由客户端主动发起,也可以由设备端发起。一方面当设备端探测到有未经过认证的用户使用网络时,就会主动向客户端发送 EAP-Request/Identity 报文,发起认证;另一方面客户端可以通过客户端软件向设备端发送 EAPOL-Start 报文,发起认证。

802.1X 系统支持 EAP 中继方式和 EAP 终结方式与远端 RADIUS 服务器交互完成认证。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。

EAP 中继方式

EAP 中继方式是 IEEE 802.1X 标准规定的,将 EAP(扩展认证协议)承载在其它高层协议中,如 EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP 继方式需要 RADIUS 服务器支持 EAP 属性:EAP-Message Message-Authenticator。本交换机支持的 EAP 中继方式是 EAP-MD5EAP-MD5 认证过程如图 12-18 所示。

12-18EAP-MD5 认证过程

当用户有访问网络需求时打开 802.1X 客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求(EAPOL-Start 报文)。此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程。

设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity 报文)要求用户的客户端程序发送输入的用户名。

 

客户端程序响应设备端发出的请求, 将用户名信息通过数据帧(EAP-Response/Identity 报文)发送给设备端。设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request报文)送给认证服务器进行处理。

RADIUS 服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通

RADIUS Access-Challenge 报文发送给设备端,由设备端转发给客户端程序。

 

 

 客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge 报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的,生成 EAP-Response/MD5 Challenge 报文),并通过设备端传给认证服务器。

RADIUS 服务器将收到的已加密的密码信息(RADIUS Access-Request 报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息

RADIUS Access-Accept 报文和 EAP-Success 报文)

设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。

 

客户端也可以发送 EAPOL-Logoff 报文给设备端,主动要求下线,设备端把端口状态从授权状态改变成未授权状态。

EAP 终结方式

EAP 终结方式将 EAP 报文在设备端终结并映射到 RADIUS 报文中,利用标准 RADIUS 协议完成认证、授权和计费。设备端与 RADIUS 服务器之间可以采用 PAP 或者 CHAP 认证方法。本交换机支持的 EAP 终结方式是 PAPPAP 认证过程如图 12-19 所示。

12-19PAP 认证过程

PAP 模式中,交换机对用户口令信息进行加密,然后把用户名、随机加密字和客户端加密后的口令信息一起转发给认证服务器进行相关的认证处理;而在 EAP-MD5 模式中,随机加密字由认证服务器产生,交换机只负责把认证信息报文封装后转发。

802.1X 定时器

802.1X 认证过程中会启动多个定时器以控制接入用户、设备以及 RADIUS 服务器之间进行合理、有序的交互。本交换机中的 802.1X 定时器主要有以下三种:

客户端认证超时定时器:当交换机向客户端发送报文后,交换机启动此定时器,若在该定时器设置的时长内,交换机没有收到客户端的响应,交换机将重发该报文。

 

 

 

认证服务器超时定时器:当交换机向认证服务器发送报文后,交换机启动此定时器,若在该定时器设置的时长内,交换机没有收到认证服务器的响应,交换机将重发认证请求报文。

 

静默定时器:对用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置),在静默期间,交换机不再处理该用户的认证请求。

Guest VLAN

Guest VLAN 功能用来允许未通过认证的用户访问某些特定资源。

用户认证端口在通过 802.1X 认证之前属于一个缺省 VLAN(即 Guest VLAN,用户访问该 VLAN 内的资源不需要认证,但此时不能够访问其它网络资源;认证成功后,端口离开 Guest VLAN,用户可以访问其它的网络资源。

用户可以在 Guest VLAN 中获取 802.1X 客户端软件、升级客户端或执行其它一些用户升级程序。如果因为没有专用的认证客户端或者客户端版本过低等原因,导致一定的时间内端口上无客户端认证成功,本交换机会把该端口加入到 Guest VLAN

开启 802.1X 特性并正确配置 Guest VLAN 后,当交换机向客户端发送 EAP-Request/Identity 报文而没有收到客户端的回应时,该端口将按照各自的链路类型被加入到 Guest VLAN 内。此时如果 Guest VLAN 中有用户发起认证且认证失败,相应连接端口仍会留在 Guest VLAN 内;如果认证成功,端口离开 Guest VLAN,加入配置的 VLAN 中。用户下线后,端口将返回 Guest VLAN 中。

本交换机 802.1X 认证功能包括全局配置端口配置两个配置页面。

14.9.1全局配置

在全局配置功能页面,可以开启全局 802.1X 认证功能,选择本交换机提供的认证方法,并设置

Guest VLAN 以及各种定时器来协调整个系统的 802.1X 认证过程。进入页面的方法:网络安全>>802.1X 认证>>全局配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

12-20全局配置

 

条目介绍:

 

全局配置

 

 

802.1X 功能:

选择是否启用 802.1X 认证功能。

 

认证模式:

选择 802.1X 认证模式。

 

 

EAP-MD5:交换机与认证服务器之间运行 EAP 协议,EAP 帧中

 

 

封装认证数据,将该协议承载在其它高层次协议中(RADIUS),

 

 

以便穿越复杂的网络到达认证服务器。

 

 

PAP:用户端与交换机之间运行 EAP 协议,交换机将 EAP 消息

 

 

转换为其它认证协议(RADIUS,传递用户认证信息给认证

 

 

服务器系统。

 

握手检测:

设置是否启用握手检测。

 

访客 VLAN

选择是否启用 Guest VLAN 功能。

 

访客 VLAN ID

填写启用 Guest VLAN VLAN IDGuest VLAN 中的用户可以访

 

 

问指定的网络资源。

 

计费:

设置是否计费。

 

认证参数配置

 

 

静默:

选择是否启用静默计时器。

 

静默时长:

填写静默时长。用户认证失败后,在静默时间内不再处理同一用户

 

 

802.1X 认证请求。

 

 

 

重复发送次数 填写认证报文的最大重传次数

客户端响应超时: 填写交换机等待客户端响应的最大等待时间。若交换机在设定时间内没有收到客户端的回复,则重发报文。

 

14.9.2端口配置

在端口配置功能页面,可以根据实际的网络情况设置端口的 802.1X 功能特性。进入页面的方法:网络安全>>802.1X 认证>>端口配置

12-21 端口配置

条目介绍:

端口配置

 

选择 勾选端口,配置端口的 802.1X 认证状态,可多选

端口 显示交换机端口号

 

状态 选择该端口是否启用 802.1X 认证

访客 VLAN 选择该端口是否启用 Guest VLAN

控制模式 选择该端口的控制模式

自动:端口需要进行认证。

强制已认证:端口不需要认证即可访问网络。强制不认证:端口永远无法通过认证。

 

 

 

控制类型 选择该端口的控制类型

基于 MAC:该端口连接的所有计算机都需要认证。

基于 Port:该端口连接的某个用户通过认证后,其它用户均无须认证即可访问网络。

 

授权状态 显示此端口的授权状态

LAG 显示端口当前所属的汇聚组。

 

14.10PPPoE

PPPoE ID 插入页面上,您可以在全局启用 PPPoE ID 插入功能。每个端口的 PPPoE ID 插入特性和类型都可以单独配置。

进入页面的方法:网络安全→PPPoE 配置PPPoE ID 插入

 

14-10 PPPoE ID 插入配置

以下的条目显示在屏幕上: 

全局配置

 

PPPoE ID 插入:

全局启用/禁用 PPPoE 电路 ID 插入功能。

端口配置

 

选择 勾选需要配置的端口,可多选

端口 显示交换机的端口号

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

电路 ID

 

 

启用/禁用 PPPoE 电路 ID 插入特性。

电路 ID 类型:

指定端口的电路 ID 类型。

UDF 值:

如果电路 ID 类型选择 UDF,用户可以指定最大长度为 40 个字符的

 

字符串,用于编码电路 ID 选项。

远程 ID

启用或禁用 PPPoE 远程 ID 插入特性。

远程 ID 值:

用户可以指定最大长度为 40 个字符的字符串,用于编码远程 ID 

 

项。

 

14.11AAA

AAA 简介

Authentication(认证)、Authorization(授权)Accounting(计费)的简称,提供了认证、授权、计费三种安全功能。这三种安全功能的具体作用如下:

认证:验证用户是否可以获得网络访问权。授权:授权用户可以使用哪些服务。

计费:记录用户使用网络资源的情况

用户可以只使用 AAA 提供的一种或两种安全服务。

 

用户名和密码成对使用, 用于登录和权限验证。 认证可以在交换机本地处理, 也可以在

RADIUS/TACACS+服务器处理。本地用户名和密码身份验证可以在 4.2 章节中的用户管理中配置。

访问应用程序

本交换机支持通过 ConsoleTelnetSSH HTTP 进行身份认证。

RADIUS/TACACS+服务器

用户可以通过 RADIUS/TACACS+服务器对交换机和服务器之间的连接进行配置。服务器组

用户可以自定义服务器组,服务器组可以包含多个运行同样安全协议的服务器,比如 RADIUS  TACACS+。在服务器列表中,用户可以定义服务器的响应顺序。当用户尝试接入交换机时,交换机将会请求服务器组中的第一个服务器进行认证,如果在一定时间内没有收到响应,第二个服务器将进行响应,以此类推。

 

本交换机有两个内置的认证服务器组,一个是 RADIUS,另一个是 TACACS+。这两个服务器组不能删除,用户自定义的 RADIUS/TACACS+服务器也将自动加入这两个服务器组。

14.11.1全局配置

在全局配置页面上,您可以全局启用/禁用 AAA 功能。进入页面的方法:网络安全→AAA→全局配置

 

SW-5024

 

14-11 全局配置

 

配置过程

 

AAA 全局启用/禁用 AAA 功能

 

14.11.2提升特权

在提升特权配置页面上,您可以将当前登录用户从访客升级到管理员,并获得管理员级别的权限。认证密码可以通过 RADIUS/TACACS+服务器、用户自定义服务器组或本地交换机认证。

进入页面的方法:网络安全→AAA→全局配置

 

 

 

 

14-12 提升特权

 

配置过程

 

 

启用 Admin

输入使能密码并单击提交按钮,当前登录的用户从访客升级到管理

 

员。只有管理员用户才能配置以下 AAA 设置

14.11.3RADIUS 服务器配置

该页面用于配置运行 RADIUS 安全协议的认证服务器。进入页面的方法:网络安全→AAA→ RADIUS 配置

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

14-13 RADIUS 配置

配置过程

在配置服务器页面中配置 RADIUS 服务器的 IP 地址和其他相关参数。在服务器列表页面中查看、编辑和删除 RADIUS 服务器。

配置服务器

 

 

服务器 IP

输入运行 RADIUS 安全协议的服务器的 IP

 

共享密钥:

输入 RADIUS 服务器和交换机之间的共享密钥。RADIUS 服务器和

 

 

交换机通过密钥字符串来加密密码和交换响应信息。

 

认证端口:

指定 RADIUS 服务器上用于身份验证请求的 UDP 目的端口。

 

计费端口:

指定 RADIUS 服务器上用于计数请求的 UDP 目的端口。

 

重传次数:

指定如果服务器不响应,对服务器的请求次数。

 

超时时长:

指定在重新发送之前,交换机等待服务器应答的时间间隔。

 

服务器列表

 

 

选择:

选择服务器 IP。支持多选。

 

服务器 IP

显示运行 RADIUS 安全协议的服务器的 IP

 

共享密钥:

输入 RADIUS 服务器和交换机之间的共享密钥。RADIUS 服务器和

 

 

交换机通过密钥字符串来加密密码和交换响应信息。

 

认证端口:

指定 RADIUS 服务器上用于身份验证请求的 UDP 目的端口。

 

计费端口:

指定 RADIUS 服务器上用于计数请求的 UDP 目的端口。

 

重传次数:

指定如果服务器不响应,对服务器的请求次数。

 

超时时长:

指定在重新发送之前,交换机等待服务器应答的时间间隔。

 

 

14.11.4TACACS+服务器配置

该页面用于配置运行TACACS+安全协议的认证服务器。进入页面的方法:网络安全→AAA→TACACS + 配置

14-14 TACACS+ 服务器配置

配置过程

在配置服务器页面中配置 TACACS+服务器的 IP 地址和其他相关参数。在服务器列表页面中查看、编辑和删除 TACACS+服务器。

配置服务器

 

 

服务器 IP

输入运行 TACACS +安全协议的服务器 IP

 

超时时长:

指定在重新发送之前,交换机等待服务器应答的时间间隔。

 

共享密钥:

输入 TACACS +服务器和交换机之间的共享密钥。TACACS+服务器

 

 

和交换机通过密钥字符串来加密密码和交换响应信息。

 

端口:

指定 TACACS +服务器的TCP 端口。

 

 

服务器列表

 

 

选择:

选择服务器 IP。支持多选。

 

服务器 IP

输入运行 TACACS +安全协议的服务器 IP

 

超时时长:

指定在重新发送之前,交换机等待服务器应答的时间间隔。

 

共享密钥:

输入 TACACS +服务器和交换机之间的共享密钥。TACACS+服务器

 

 

和交换机通过密钥字符串来加密密码和交换响应信息。

 

端口:

指定 TACACS +服务器的TCP 端口。

 

 

14.11.5认证服务器组配置

在认证服务器组页面上,用户可以对运行相同安全协议的认证服务器进行分组。交换机有两个内置的认证服务器组,一个是 RADIUS,另一个是 TACACS+。这两个服务器组不能编辑或删除。一个组中的服务器按顺序进行响应。

进入页面的方法:网络安全→AAA→服务器组

 

 

14-15 新建服务器组

14-16 添加服务器到服务器组

配置过程

配置服务器组名称和服务器类型,创建一个服务器组。点击服务器组列表中的编辑,配置相应的服务器组。

选择您以前创建的服务器 IP 并单击添加,添加服务器到服务器组。(14-36)

条目描述

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

服务器组:

 

 

定义服务器组名称。

服务器类型:

指定服务器类型为 RADIUS TACACS +

服务器 IP

选择您先前配置的服务器 IP

14.11.6认证方法列表配置

在进行 AAA 认证之前,您需要先定义一个认证方法列表。认证方法列表描述了用户认证的顺序和认证方法。

 

交换机使用认证方法列表中的第一个方法来认证用户,如果第一个方法没有得到响应,交换机会选择认证下一个认证方法。此过程会一直持续,直到认证成功或者所有认证方法都全部尝试过。如果认证方法全部尝试过后仍然认证失败,意味着安全服务器或者本地交换机拒绝这个用户接入,认证过程将会中止,不会再尝试其他认证方法。

进入页面的方法:网络安全→AAA→方法列表

14-17 认证方法列表

配置过程

输入认证方法列表名称。

指定身份认证类型为登录或启用。

 

 

 

配置认证方法的优先级。这些选项包括 radiustacacs、本地和用户自定义服务器组。在身份认证登录方法列表和身份认证启用方法列表中查看和删除配置方法优先级列表。

条目描述

 

方法列表名 定义认证方法列表名称

方法类型 指定身份认证类型为登录或启用

方法: 指定身份认证方法。只有当前面的方法没有响应时,才会尝试下一个认证方法。如果失败了,则不会。

 

Local 在交换机中使用本地数据库进行身份验证。

None 不使用身份认证。

Radius 使用远程 radius 服务器/服务器组进行身份认证。

Tacacs 使用远程 tacacs +服务器/服务器组进行身份认证。

用户自定义服务器组 使用用户自定义服务器组进行身份认证

14.11.7应用身份认证列表配置

用户可以使用以下访问应用程序配置身份认证方法列表: consoletelnetssh  http  进入页面的方法:网络安全→AAA→全局配置

14-18 应用认证配置

配置过程

选择应用程序模块。

 

从登录列表下拉菜单中配置认证方法列表。该选项为访问交换机的普通用户定义了身份认证方法。

 

 

 

从授权列表下拉菜单中配置认证方法列表。这个选项为需要管理员权限的用户定义了身份认证 方法。

条目描述

 

选择 勾选需要配置的端口,可多选

模块 访问应用程序列表

登陆列表 使用之前配置的方法列表配置登录应用程序

提权列表: 使用之前配置的方法列表配置将访客级别提升到管理员级别的应用程序

 

14.11.8802.1X 认证服务器配置

这个页面是用来配置使用 802.1X 身份认证计费IGMP 认证的 RADIUS 服务器组。进入页面的方法:网络安全→AAA→Dot1x 列表

 

14-19 802.1X 配置

配置过程

在全局配置和端口配置中配置 802.1X 功能。请参阅 802.1X 获取更多详细信息。Dot1x 认证方法列表中配置 802.1X 身份认证 RADIUS 服务器组。

Dot1x 计费方法列表中配置 802.1X 计费RADIUS 服务器组。

14.11.9默认设置

缺省情况下禁用 AAA 功能 缺省情况下不配置使能密码。

RADIUS 服务器的认证端口是 1812,计费端口是 1813,重传次数 2 次,超时时长 5 秒。

TACACS+服务器的通信端口是 49,超时时长 5 秒。所有 RADIUS 服务器都在 RADIUS 服务器组中添加。

所有 TACACS +服务器都在 TACACS+服务器组中添加。

 

 

缺省情况下认证登录方法列表包括 local,默认的登录用户名和密码都是 admin

缺省情况下认证启用方法列表是空的,这意味着用户可以在没有密码的情况下使用管理员特权。缺省情况下console / telnet / ssh / http 访问应用程序使用默认登录列表和默认启用列表。

缺省情况下 802.1 X 认证和 802.1X 计费都使用 radius 服务器组。

 

 

 

回目录

 

 

 

15.SNMP

 

SNMP 概述

SNMPSimple Network Management Protocol,简单网络管理协议)是目前 UDP/IP 网络中应用最为广泛的网络管理协议,它提供了一个管理框架来监控和维护互联网设备。SNMP 结构简单,使用方便,并且能够屏蔽不同设备的物理差异,实现对不同设备的自动化管理,所以得到了广泛的支持和应用,目前大多数网络管理系统和平台都是基于 SNMP 的。

SNMP 的最大优势就是设计简单,他既不需要复杂的实现过程,也不会占用太多的网络资源,便于使用。SNMP 的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。在网络正常工作时,SNMP 可实现统计、配置和测试等功能;当网络出故障时,可实现各种错误检测和恢复功能。

SNMP 的管理框架

SNMP 包括三个网络元素:SNMP 管理者(SNMP Manager),SNMP 代理(SNMP Agent), MIB 库(Management Information Base,管理信息库)。

SNMP 管理者:运行在 SNMP 客户端程序的工作站,提供了非常友好的人机交互页面,方便网络管理员完成绝大多数的网络设备管理工作。

 

SNMP 代理:驻留在被管理设备上的一个进程,负责接受、处理来自 SNMP 管理者的请求报文。在一些紧急情况下,SNMP 代理也会通知 SNMP 管理者事件的变化。

MIB :被管理对象的集合。它定义了被管理对象的一系列的属性:对象的名字、对象的访问权限和对象的数据类型等。每个 SNMP 代理都有自己的 MIBSNMP 管理者根据权限可以对 MIB 中的对象进行读/写操作。

SNMP 管理者是 SNMP 网络的管理者,SNMP 代理是 SNMP 网络的被管理者,他们之间通过

SNMP 协议来交互管理信息。SNMP 管理者、SNMP 代理、MIB 库三者的关系如图 13-1 所示。

 

13-1SNMP 网元关系图

SNMP 的协议版本

本交换机提供了 SNMPv3 的管理功能,同时兼容 SNMPv1 SNMPv2cSNMP 管理者和 SNMP

代理的 SNMP 版本需要一致,它们之间才能相互通信,可以根据自己的应用需求,选择不同安全级别的管理模式。

 

SNMPv1:采用团体名(Community Name认证。团体名用来定义 SNMP 管理者和 SNMP 代理的关系。如果 SNMP 报文携带的团体名没有得到设备的认可,该报文将被丢弃。团体名起到了类似于密码的作用,用来限制 SNMP 管理者对 SNMP 代理的访问。

SNMPv2c:也采用团体名认证。它在兼容 SNMPv1 的同时又扩充了 SNMPv1 的功能。

274

 

 

 

 SNMPv3SNMPv3 在前两个版本 v1v2c 的基础上大大加强了安全性和用户可控制性,他采用VACMView-based Access Control Model,基于视图的访问控制模型)USMUser-Based Security Model,基于用户的安全模型)的认证机制。用户可以设置认证和加密功能,认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对 SNMP 管理者和 SNMP 代理之间的传输报文进行加密,以免被窃听。通过有无认证和有无加密等功能组合,可以为 SNMP 管理者和 SNMP 代理之间的通信提供更高的安全性。

MIB 库简介

MIB 是以树状结构进行存储的。树的节点表示被管理对象,它可以用从根开始的一条路径唯一地识别,被管理对象可以用一串数字唯一确定,这串数字是被管理对象的 OIDObject Identifier,对象标识符)。MIB 的结构如图 13-2 所示。图中,B OID {1.2.1.1}A OID {1.2.1.1.5}

 

13-2MIB 树结构

SNMP 配置概要创建视图

MIB  视图是全部 MIB 管理对象的一个子集。管理对象以 OIDObject  Identifier,对象标识符)来表示,通过配置管理对象的视图类型包括/排除),来达到控制该管理对象能否被管理的目的。各管理对象的 OID 可以在 SNMP 管理软件上找到。

创建 SNMP 

创建完视图之后,需要创建 SNMP 组,只有组名安全模式安全级别三项均相同的组,才被认为是同一个组。同时可以为各个 SNMP 组添加只读/只写/通知视图,从而满足了处于不同组内的用户对交换机功能的访问权限不同的需求。

创建用户

用户创建于 SNMP 组中,SNMP 管理端使用此处创建的用户及其认证/加密密码来登录 SNMP 代理端。

 

SNMP 模块主要用于配置交换机的 SNMP 功能,包括 SNMP 配置通知管理两个部分。

15.1SNMP 配置

在本功能处可以配置 SNMP 的各项基本功能,包括全局配置视图管理组管理用户管理体管理五个配置页面。

 

15.1.1全局配置

配置交换机的 SNMP 功能,首先需要在本页配置交换机 SNMP 的全局功能。

 

 

进入页面的方法:SNMP>>SNMP 配置>>全局配置

 

13-3全局配置

条目介绍:

全局配置

 

SNMP 功能 选择是否启用交换机的 SNMP 功能

 

本地引擎配置

 

本地引擎 ID 填写本地 SNMP 实体的引擎 ID。本地用户建立在本地引擎之下

 

远程引擎配置

 

远程引擎 ID 填写 SNMP 管理端的引擎 ID。远程用户建立在远程引擎之下

 

15.1.2视图管理

SNMP 报文中使用管理变量(OID)来描述交换机中的管理对象,MIBManagement Information Base,管理信息库)是所监控网络设备的管理变量的集合。视图用来控制管理变量是如何被管理的。本页用来配置 SNMP 的视图。

进入页面的方法:SNMP>>SNMP 配置>>视图管理

 

 

 

13-4视图管理

 

条目介绍:

 

新建视图

 

 

视图名称:

填写视图条目的名称。一个视图可以有多个同名的视图条目。

 

MIB 子树 OID

填写该视图条目的管理变量(OID

 

视图类型:

选择 OID 的类型。

 

 

包括:该 OID 可以被管理软件管理。

 

 

排除:该 OID 不能被管理软件管理。

 

视图列表

 

 

选择:

勾选条目进行删除。同一视图下的所有视图条目会被同时选择。

 

视图名称:

显示视图名称。

 

视图类型:

显示对应 OID 的类型。

 

MIB 子树 OID

显示对应视图下的管理变量(OID

 

15.1.3组管理

本页用来配置 SNMP 的组,组内的用户通过只读、只写、通知视图来达到访问控制的目的。进入页面的方法:SNMP>>SNMP 配置>>组管理

 

 

13-5组管理

 

条目介绍:

 

组配置

 

 

组名:

填写组名。与安全模式安全级别三项共同组成该组的标识,三

 

 

项均相同才被认为是同一组。

 

安全模式:

选择组的安全模式。

 

 

v1SNMP v1,采用团体名(Community Name认证,也可以

 

 

团体管理页面直接进行配置。

 

 

v2cSNMP v2c,采用团体名(Community Name认证,也可

 

 

以在团体管理页面直接进行配置。

 

 

v3SNMP v3,采用 USM 认证。

 

安全级别:

选择 SNMP v3 的组的安全级别。

 

只读视图:

选择只读视图,对所选的视图只能被查看不能被编辑。

 

只写视图:

选择只写视图,对所选的视图只能被编辑不能被查看。若要进行读

 

 

写操作,则需要同时在只读视图中添加。

 

通知视图:

选择通知视图,管理软件可以接收到所选视图发送的异常警报信息。

 

组列表

 

 

选择:

勾选条目进行删除,可多选。

 

组名:

显示 SNMP 组的组名。

 

安全模式:

显示组的安全模式。

 

安全级别:

显示组的安全级别。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

只读视图:

 

 

显示组中具有只读权限的视图名称。

只写视图:

显示组中具有只写权限的视图名称。

通知视图:

显示组中具有通知权限的视图名称。

操作:

点击对应条目的<编辑>按键,可以修改该条目的视图。修改完毕后

 

点击<修改>按键,修改内容生效。

 

15.1.4用户管理

SNMP 管理软件可以通过用户的方式对交换机进行管理。用户建立在组之下,与其所属的组具有相同的安全级别和访问控制权限。本页用来配置 SNMP 的用户。

进入页面的方法:SNMP>>SNMP 配置>>用户管理

13-6 用户管理

条目介绍:

用户配置

 

用户名 填写用户名

 

用户类型 选择用户类型

本地用户:建立在本地引擎下的用户。

远程用户:建立在远程引擎下的用户。

组名: 选择组名。通过组名安全模式安全级别来确定用户所属的组。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

安全模式:

 

 

选择安全模式。

安全级别:

选择安全级别。

认证模式:

选择 SNMP v3 用户的认证模式。

 

无:不认证。

 

MD5:信息摘要算法。

 

SHA:安全散列算法,比 MD5 的安全性更高。

认证密码:

输入认证密码。

加密模式:

选择 SNMP v3 用户的加密模式。

 

无:不加密。

 

DES:数据加密标准。

加密密码:

输入加密密码。

用户列表

 

选择:

勾选条目进行删除,可多选。

用户名:

显示用户名。

用户类型:

显示用户类型。

组名:

显示组名。

安全模式:

显示安全模式。

安全级别:

显示安全级别。

认证模式:

显示认证模式。

加密模式:

显示加密模式。

操作:

点击对应条目的<编辑>按键,可以修改该用户所属的组。修改完毕

 

后点击<修改>按键,修改内容生效。

 

15.1.5团体管理

SNMP v1 SNMP v2c 采用团体名(Community Name)认证,团体名起到了类似于密码的作用。若使用的是 SNMP v1 SNMP v2c,配置完视图之后,可以直接在本页配置 SNMP 的团体。进入页面的方法:SNMP>>SNMP 配置>>团体管理

 

 

 

 

13-7 团体管理

 

条目介绍:

团体配置

 

团体名 填写团体名

 

权限 选择该团体对视图的访问权限

只读:团体对相应视图具有只读权限。读写:团体对相应视图具有读写权限。

MIB 视图 选择团体可访问的视图

 

团体列表

 

选择 勾选条目进行删除,可多选

 

团体名 显示团体名

 

权限 显示团体对视图的访问权限

 

MIB 视图 显示团体可访问的视图

 

操作: 点击对应条目的<编辑>按键,可以修改该团体的访问视图及访问权限。修改完毕后点击<修改>按键,修改内容生效。

 

SNMP 功能配置步骤:

若使用 SNMPv3 版本

 

步骤

操作

说明

 

 

 

步骤

操作

说明

1

启用 SNMP 全局功能

必选操作。在 SNMP>>SNMP 配置 >>

全局配置页面,启用

交换机的 SNMP 功能。

2

创建视图

可选操作。在 SNMP>>SNMP 配置 >>

视图管理页面,创建

管理对象的视图。默认视图名为 viewDefaultOID 1

3

创建 SNMP 

必选操作。在 SNMP>>SNMP 配置>>组管理页面,创建

SNMPv3 类型的组,并为组添加不同访问权限的视图。

4

创建 SNMP 组内的用户

必选操作。在 SNMP>>SNMP 配置 >>

用户管理页面,创建

SNMPv3 组内的用户,并配置用户的认证/加密模式及密码。

若使用 SNMPv1 版本或 SNMPv2c 版本

 

 

 

 

 

 全局功能

 

 

必选操作。在

 

 

 全局配置页面,启

 

 

 

 

 

可选操作。  视图管理页面,创

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

15.2通知管理

通知管理功能是交换机主动向管理软件报告某些视图的重要事件(如设备重启等),便于管理员通过管理软件对交换机一些特定事件进行及时监控和处理。

通知报文分为以下两种:

Trap:发送 Trap 报文通知 SNMP 管理者。

 

Inform:发送 Inform 报文通知 SNMP 管理者,并且要求 SNMP 管理者返回信息。交换机发送 Inform报文后,若经过超时时间仍没有收到 Inform 回应报文,则会重发 Inform 报文。超过重传次数后,将不再重复发送该 Inform 报文。Inform 具有更高的可靠性,仅在 SNMP v2c SNMP v3 可以使用。

本页用来配置 SNMP 的通知管理功能。

进入页面的方法:SNMP>>通知管理>>通知管理

 

 

 

 

 

 

13-8 通知管理

条目介绍:

 

新建条目

 

 

目的 IP 地址:

填写管理主机的 IP 地址。

 

UDP 端口:

填写管理主机上启用供通知过程使用的 UDP 端口,与 IP 地址共同

 

 

作用。默认为 162

 

团体名/用户名:

配置管理软件的团体名/用户名。

 

安全模式:

选择用户的安全模式。

 

安全级别:

配置 SNMP v3 的用户的安全级别。

 

通知类型:

选择使用的通知报文的类型。

 

 

Trap:以 Trap 方式发送通知。

 

 

Inform:以 Inform 方式发送通知,Inform 具有更高的可靠性。

 

重传:

填写 Inform 报文的重传次数。交换机发送 Inform 报文后,若经过超

 

 

时时间仍没有收到 Inform 回应报文,则会重发 Inform 报文。超过重

 

 

传次数后,将不再重复发送 Inform 报文。默认为 3

 

超时:

填写交换机等待 Inform 回应报文的时间。超过该时间后,将重新发

 

 

Inform 报文。默认为 100 秒。

 

目的主机列表

 

 

选择:

勾选条目进行删除,可多选。

 

目的 IP 地址:

显示管理主机的 IP 地址。

 

UDP 端口:

显示管理主机上启用供通知过程使用的 UDP 端口。

 

团体名/用户名:

显示管理软件的团体名/用户名。

 

安全模式:

显示用户的安全模式。

 

安全级别:

显示 SNMP v3 的用户的安全级别。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

通知类型:

 

 

显示使用的通知报文的类型。

超时:

显示 Inform 报文的重传次数。

重传:

显示收到 Inform 报文回应报文的超时时间。

操作:

点击对应条目的<编辑>按键,可以修改该通知条目的参数。修改完

 

毕后点击<修改>按键,修改内容生效。

 

15.3RMON

RMONRemote Monitoring,远程网络监视完全基于 SNMP 体系结构,是 IETFInternet Engineering Task Force,因特网工程任务组)提出的标准监控规范,他使 SNMP 更为有效、更为积极主动地监控远程设备。利用 RMON 功能,网管可以快速跟踪网络、网段或设备出现的故障,积极采取防范措施,防止网络资源的失效。同时 RMON MIB 也可以记录网络性能和故障的数据,可以在任何时候访问历史数据从而进行有效的故障诊断。RMON 减少了 SNMP 管理者同代理间的通信流量,使得网管可以简单而有效地管理大型网络。

RMON 的工作原理

RMON 代理在 RMON MIB 中存储网络信息,交换机置入 RMON 代理后,具有了 RMON 探测的功能。管理者使用 SNMP 的基本命令与 RMON 代理交互数据信息,收集网络管理信息。但是由于设备资源的限制,管理者无法获取 RMON MIB 的全部数据,一般只可以收集到四个组的信息,这四个组是:历史组、事件组、统计组和警报组。

RMON

本交换机支持 RMON 规范(RFC1757中定义的历史组、事件组、统计组和警报组。

 

RMON 

功能

元素

历史组

周期性地收集网络统计信

采样端口、采用间隔、创建者。

息,存储起来以便日后提

取,从而有效的监测网络。

事件组

定义事件序号及事件的处

事件描述、事件类型、创建者、用户名。

理方式。此处定义的事件主

要用在警报组中警报触发

产生的事件。

统计组

监测报警变量在指定端口

丢弃数据包、丢弃字节、数据包发送、广播数据包、组播

的统计值。

数据包、CRC 错误帧、过小(或超大)的数据报文、冲

 

突帧以及以下长度的数据包:6465~127128~255

 

256~511512~1023 1024~10240 字节。

警报组

定期对指定的警报变量进

警报变量、样例类型、时间间隔、阈值上限、阈值下限、

行监测,一旦计数器超过阈

警报触发方式。

值则触发警报。

 

在本功能处可以配置 RMON 的各个组,包括历史采样事件配置警报管理三个配置页面。

 

SW-5024

 

15.3.1统计


 

 

15-9 报文统计

 

以下的条目显示在屏幕上: 

统计信息配置

 

ID  输入统计条目的 ID 号,从 1  65535

端口 输入或选择用于收集统计信息的以太网接口

所有者 输入所有者名称

状态 选择统计条目的状态

有效:条目存在且是有效的。

存在:条目存在,但不是有效的。

统计表

 

选择 选择想要删除的相应统计条目。它是多选的

ID  显示统计条目的 ID 

端口 显示用于收集统计信息的以太网接口

创建者 显示所有者名称

状态 显示统计条目的状态

 

15.3.2历史组

本页用来配置 RMON 的历史组。

进入页面的方法:SNMP>>RMON>>历史采样

 

 

13-9 历史采样

 

条目介绍:

历史采样控制

 

选择 勾选条目配置采样属性

序号 显示采样条目的序号

采样端口 选择进行采样的端口

采样间隔(秒): 填写端口采样的时间间隔。默认为 1800 秒。创建者: 填写创建该采样条目的实体。

状态 选择是否启用所选采样条目

 

15.3.3事件配置

本页用来配置 RMON 的事件组。

进入页面的方法:SNMP>>RMON>>事件组

 

 

13-10 事件配置

 

条目介绍:

事件配置

 

选择 勾选条目配置事件属性

序号 显示事件条目的序号

用户名: 填写事件所属的用户。当对应事件需要发送通知时,将会根据此用户名进行发送。

描述 填写该事件的描述信息

类型 选择事件的类型

无:不做任何操作。

日志:将事件记录在交换机中,通过 SNMP 管理软件读取。

通知:向管理主机发送报警消息。

日志&通知:将事件记录在交换机中并向管理主机发送报警消息。

创建者 填写创建该事件条目的实体

状态 选择是否启用所选事件条目

 

15.3.4警报组

本页用来配置 RMON 的统计组和警报组。

进入页面的方法:SNMP>>RMON>>警报管理

 

 

 

 

 

13-11 警报配置

条目介绍:

 

事件配置

 

选择:

勾选条目配置警报属性。

序号:

显示警报条目的序号。

计数器:

选择警报变量。

端口:

选择进行警报监视的端口号。

样例类型:

为警报变量选择取样的方法,再将取样的值与阈值进行比较。

 

绝对值:在一个取样周期结束时将取样结果直接与阈值进行比较。

 

增量:将现在值减去上一次取样值之后的增量与阈值进行比较。

上升阈值:

填写触发警报的上升阈值。默认为 100

上升事件:

选择触发上升阈值警报的事件的序号。

下降阈值:

填写触发警报的下降阈值。默认为 100

下降事件:

选择触发下降阈值警报的事件的序号。

启动警报:

选择警报触发的方式。

 

上升:只在触发上升阈值后触发警报。

 

下降:只在触发下降阈值后触发警报。

 

全部:触发上升和下降阈值均触发警报。

时间间隔(秒):

填写警报的时间间隔。默认为 1800 秒。

创建者:

填写创建该警报条目的实体。

状态:

选择是否启用所选警报条目。

注意:

当警报变量的采样值在同警报和下降警报是交替产

 

 

一方向上连续多次超过阈值时,只会在第一次产生警报事件。即上升生的,出现了一次上升警报,则下一次必为下降警报。

回目录

 

 

 

16.LLDP

链路层发现协议 LLDPLink Layer Discovery Protocol是一个二层协议,在符合 IEEE802 标准的局域网络中,允许网络设备周期性地向邻居设备通告自己的设备信息。LLDP 根据 IEEE802.1AB 标准把设备的标识、性能和配置等信息组织成不同的 TLVType/Length/Value,类型/长度/值),并封装在 LLDPDULink Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给邻居设备,邻居设备收到这些信息后将其以标准的 MIBManagement Information Base,管理信息库)形式保存起来。网络管理系统可以通过管理协议 SNMPSimple Network Management Protocol,简单网络管理协议)获取到这些信息,以查询及判断链路的通信状况。

为了描述网络的物理拓扑和拓扑中的相关系统,IETFInternet Engineering Task Force, 互联网工程任务组)组织提出了标准 MIB,一些公司也提出了私有 MIB。但是,IEEE 802 局域网站点并没有统一的标准来传输 MIB 信息。LLDP 解决了这一问题。LLDP 协议允许不同厂商的网络设备协同工作,运行 LLDP 协议的设备能够自动检测并学习邻居设备的信息。LLDP 还可以使运行不同网络层协议的系统互相学习对方的设备信息。

SNMP 应用可以利用 LLDP 获取的信息,进行网络故障排除,从而提高网络的稳定性,维持正确的网络拓扑。

LLDPDU

每一个 LLDPDU 携带四个必须的 TLV 以及一个或者多个可选的 TLV。如下图所示,Chassis ID TLVPort ID TLVTTL TLV End TLV 是每个 LLDPDU 所必须携带的四个 TLV。可选的 TLV是由网络管理系统决定的,它们提供了关于本地 LLDP 设备的详细信息。

 

LLDPDU 的最大长度由特定的传输速率和协议所允许的最大报文长度决定。就 IEEE 802.3 MAC

协议来说,LLDPDU 的最大长度是不带 TAG 的基本 MAC 帧的最大长度,即 1500 字节。

LLDP 工作机制

LLDP 的工作模式

每个端口都可以分别配置LLDPDU 的接收和发送功能,这样端口可以配置四种工作模式:发送接收:既发送也接收 LLDPDU

只接收:只对接收到的 LLDPDU 进行处理,而不向外发送 LLDPDU只发送:只向外发送LLDPDU,而不对接收到的 LLDPDU 进行处理。禁用:既不向外发送LLDPDU,也不对接收到的 LLDPDU 进行处理。

LLDPDU 的传输机制

当端口工作在发送接收模式或者只发送模式时,设备会周期性地向邻居设备发送 LLDPDU 以通告自己的信息。

当本地设备发生变化时,设备会发送变化通告。当本地设备在短时间内频繁变化时,为避

289

 

 

免设备连续地发送 LLDPDU 而导致网络阻塞,NMSNetwork Management System,网络管理系统)将会设定一个报文发送时延,以确保 LLDPDU 的发送有一个固定的最小时间差。

 

当端口的工作模式由禁用或者只接收模式切换为发送接收模式或者只发送模式时,该设备的快速启动机制将被激活,报文的发送间隔变为 1s,快速发出一些 LLDPDU  之后,设备恢复正常的发送周期。

LLDPDU 的接收机制

当端口工作在发送接收模式或只接收模式时,设备会对收到的 LLDP 报文及其携带的 TLV 进行有效性检查,通过检查后再将邻居信息保存到本地,并根据 TTLTime To Live,生存时间) TLV

TTL 的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息。

TLV

TLV LLDPDU 的基本组成单位,是 Type/Length/Value 的简称,即类型/长度/值。基本 TLV 格式如下图所示:

每个 TLV 的类型都是不一样的,根据 TLV 的类型可以判断TLV 中的信息类型。下表是目前定义的各种 TLV 的详细信息。

 

 

 

TLV 类型

TLV 名称

是否必须

127

组织定义

允许不同的组织、软件和设备生产商定义向邻居设

备发送信息的 TLV

TLV 一般分为两类,基本 TLV 和组织定义的 TLV基本 TLV

基本 TLV 是实现 LLDP 协议必不可少的,它们包含网络管理的基本信息。组织定义的 TLV

不同的组织定义了许多不同的 TLV。端口 VLAN ID、协议 VLAN IDVLAN 名称以及协议标识 TLV 都是 IEEE 802.1 定义的,MAC/PHY 配置/状态、供电能力、链路聚合以及最大帧长度 TLV 是由 IEEE 802.3 定义的。

 

本交换机中所支持的可携带 TLV 如下表所示:

 

端口描述

用以向邻居发布本端口的 IEEE 802 局域网工作站规定的端口描述。

系统能力

用以向邻居发布本地设备支持的功能和这些功能是否允许的信息。

系统描述

用以向邻居发布本地设备包含系统硬件、软件版本等系统信息的描

述。

系统名称

用以向邻居发布本地设备的系统名称。

管理地址

用以向邻居发布本地设备的管理地址,网络管理协议可以通过该地

址对本地设备进行管理。

端口 VLAN ID

用以向邻居发布本端口所处 802.1Q VLAN ID

协议 VLAN ID

用以向邻居发布本端口所处协议 VLAN ID

VLAN 名称

用以向邻居发布本端口所处 VLAN 被指派的名称。

链路聚合

用以向邻居发布本端口当前的链路聚合信息,包括本端口是否具有

链路聚合能力、是否处于聚合状态以及处于链路聚合状态时的端口

ID

MAC/PHY 配置/状态

用以向邻居发布本端口的端口属性,包括端口支持的速率双工、当

前工作的速率双工以及是手工设置还是自动协商而得到的速率双

工。

最大帧长度

用以向邻居发布本端口的 MAC PHY 支持的最大帧长度。

供电能力

用以向邻居发布本端口的基本供电信息。

14-1 本交换机中所支持的可携带 TLV

LLDP 模块主要用来配置交换机的 LLDP 功能,包括基本配置设备信息设备统计和 LLDP-MED

 

 

 

四个部分。

 

16.1基本配置

本功能包括基本配置端口配置两个功能配置页面。

 

16.1.1基本配置

配置交换机的 LLDP 功能,首先需要在本页配置交换机 LLDP 的全局功能和相关参数。进入页面的方法:LLDP>>基本配置>>基本配置

 

14-1基本配置

条目介绍:

全局配置

 

LLDP 功能: 选择是否启用 LLDP

 

参数配置

 

发送间隔:配置本地设备向邻居设备发送 LLDPDU 的时间间隔。默认为 30 秒。

 

TTL 乘数: TTL 乘数用以控制本地设备发送的 LLDPDU TTL 字段的值, TTL 即为本地信息在邻居设备上的存活时间。TTL=TTL 乘数*发送间隔。默认值为 4

延迟时间: 配置本地设备向邻居设备发送 LLDPDU 的延迟时间。当本地配置发生变化时,将延迟指定时间再发送 LLDPDU 通知邻居设备,从而可以避免由于本地配置频繁变化而导致 LLDPDU 的频繁发送。默认值为 2 秒。

 

初始化延迟: 当端口 LLDP 工作模式改变时,将延迟一段时间再进行初始化,以避免端口 LLDP 工作模式频繁改变导致端口不断执行初始化。默认值为 3 秒。

 

 

 

Trap 信息间隔: 配置本地设备向网管系统发送 Trap 信息的发送时间间隔。通过调整该时间间隔,可以避免由于邻居信息频繁变化而导致 Trap 信息的频繁发送。默认值为 5 秒。

 

快速报文: 当端口 LLDP  工作式从禁(或只接收)切换为送接收或只备尽本设机制 LLDP 短为 1 秒,数量的 LLDPDU 期。默认 3 个。

 

16.1.2端口配置

在本页可以配置所有端口的 LLDP 参数。

进入页面的方法:LLDP>>基本配置>>端口配置

 

14-2端口配置

条目介绍:

全局配置

 

选择 勾选端口配置端口参数,可多选

 

 

 

端口 显示交换机的端口号

 

端口状态: 选择端口的 LLDP 工作状态

发送接收: 既发送也接收 LLDPDU

只接收:只对接收到的 LLDPDU 进行处理,而不向外发送

LLDPDU

只发送: 只向外发送 LLDPDU,而不对接收到的LLDPDU 行处理。

禁用: 既不向外发送 LLDPDU,也不对接收到的LLDPDU 行处理。

 

SNMP 通知: 配置本端口是否启用 SNMP 通知。启用此功能时,如果发生 trap 

件,本地设备将会通知 SNMP 服务器。

 

TLV 字段: 配置发送的 LLDPDU 中包含的 TLV 类型

 

16.2设备信息

本功能包括本地信息邻居信息两个配置页面。

 

16.2.1本地信息

在本页可以查看各端口的配置参数及系统参数。进入页面的方法:LLDP>>设备信息>>本地信息

 

14-3本地信息

 

 

条目介绍:

自动刷新

 

自动刷新: 选择是否启用自动刷新功能

 

刷新周期: 填写自动刷新的时间周期。默认为 30 

 

本地信息

 

端口选择:点击快速选择相应端口。

 

16.2.2邻居信息

在本页可查看邻居设备的信息。

进入页面的方法:LLDP>>设备信息>>邻居信息

 

 

14-4邻居信息

条目介绍:

自动刷新

 

自动刷新: 选择是否启用自动刷新功能

 

刷新速度: 填写自动刷新的时间周期。默认为 5 

 

邻居设备信息

 

端口选择:点击快速选择相应端口。

 

 

16.3设备统计

在本页可以查看本地设备 LLDP 相关统计信息。进入页面的方法:LLDP>>设备统计>>统计信息

 

14-5统计信息

条目介绍:

 

自动刷新

 

 

自动刷新:

选择是否启用自动刷新功能。

 

刷新周期:

填写自动刷新的时间周期。默认为 5 秒。

 

全局统计

 

 

更新时间:

显示此统计数据的更新时间。

 

邻居总数:

显示最新更新时本地设备已经创建的邻居数量。

 

删除总数:

显示最新更新时本地设备已经删除的邻居数量。

 

丢弃总数:

显示最新更新时本地设备已经丢弃的邻居数量。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

超时总数:

 

 

显示最新更新时本地设备上已经老化的邻居数量。

详细统计

 

端口:

显示本地端口号。

发送报文:

显示本端口已经发送的 LLDPDU 数量。

接收报文:

显示本端口已经接收到的 LLDPDU 数量。

丢弃报文:

显示本端口丢弃的 LLDPDU 数量。

错误报文:

显示本端口接收的错误 LLDPDU 数量。

超时邻居:

显示本端口连接的邻居设备中老化邻居的数量。

丢弃 TLV

显示本端口接收LLDPDU 时,丢弃的 TLV 数量。

未知 TLV

显示本端口接收的 LLDPDU 中包含的未知 TLV 的数量。

 

16.4LLDP-MED

LLDP-MED Link Layer Discovery Protocol-Media Endpoint Discovery,用于媒体终端发现的链路层发现协议)LLDP 协议的一个扩展,它仅适用于 LLDP-MED 规定的网络连接设备和终端设备之间的交互。

LLDP-MED 包括全局配置端口配置本地信息邻居信息四个页面。

16.4.1全局配置

在本页可以配置本地设备的 LLDP-MED 参数。

进入页面的方法:LLDP>> LLDP-MED >>全局配置

 

14-6全局配置

条目介绍:

 

LLDP-MED 参数配置

 

快速报文个数  LLDP-MED 的快速发送机制启动时,会连续发送指定个数的包

LLDP-MED 信息的LLDPDU,其默认值为 4

 

设备类型: LLDP-MED 规定了两种设备类型,分别是网络连接设备(Network Connectivity Device)和终端设备(Endpoint Device),其中终端设备又可以分为 III  III 型共三种。交换机是一种网络连接设备。

 

SW-5024

 

16.4.2端口配置

在本页可以配置所有端口的 LLDP-MED 状态和 TLV。进入页面的方法:LLDP>> LLDP-MED >>端口配置

 

14-7端口配置

条目介绍:

 

LLDP-MED 端口配置

 

选择 勾选端口配置端口参数,可多选

 

端口 显示交换机的端口号

 

LLDP-MED 状态 启用/禁用端口的 LLDP-MED 功能

启用:启用端口的 LLDP-MED 功能,同时端口的LLDP 状态会被设置为发送接收。

禁用:禁用端口的 LLDP-MED 功能。

 

TLV 字段 选择发送的 LLDPDU 中包含的 LLDP-MED  TLV 信息

 

点击<详细>按键即可进入如下页面,在本页可以配置端口发送的 LLDPDU 中包含的可选 LLDP-MED

TLV

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

14-8 TLV 字段

条目介绍:

TLV 字段

 

网络策略 网络策略 TLV 允许网络连接设备和终端设备发布本端口的 VLAN 

置与二层和三层属性。

 

设备地址 设备地址 TLV 提供了向相邻设备发布本地设备物理地址信息的

力。您可以在设备地址参数中配置设备端口的详细地址。如果没有配置设备地址参数而又包含了设备地址 TLV,那么将会使用一个默认的地址信息。

 

扩展供电能力: 扩展供电能力 TLV 允许 LLDP-MED 连接设备和终端设备之间交互详细的供电信息,例如供电优先级、供电状态等

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

资产信息:

 

 

资产信息中包含七种基本的资产信息 TLV,分别为硬件版本 TLV

 

固件版本 TLV、软件版本 TLV、序列号 TLV、制造厂商名称 TLV

 

模块名称 TLV 和资产跟踪 ID TLV

 

设备地址参数

 

紧急号码 紧急号码是紧急呼叫服务使用的号码,用以呼叫 CAMA 或者 PSAP

字符长度介于 10 25 之间。

 

普通地址 普通地址使用 IETF 规定的地址信息格式

类型:描述本地设备充当的设备角色,当前有三种选择:DHCP

服务器,switch LLDP-MED 终端。

国家代码:ISO 3166 规定的代表国家的两个字符的代码,例如

CNUS 等。

语言、省/州等:普通地址的详细信息。

 

16.4.3本地信息

在本页可以查看所有端口的 LLDP-MED 配置信息。进入页面的方法:LLDP>> LLDP-MED >>本地信息

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

14-9 本地信息

条目介绍:

 

自动刷新

 

 

自动刷新:

选择是否启用自动刷新功能。

 

刷新周期:

填写自动刷新的时间周期。默认为 30 秒。

 

本地信息

 

 

端口选择:

点击快速选择相应端口。

 

本地端口:

显示本地端口号。

 

设备类型:

显示 LLDP-MED 规定的本地设备类型。

 

应用类型:

显示本地设备支持的各种应用。

 

 

 

媒体策略未知标记 显示网络策略 TLV 中包含的未知标记位设置

 

已标记 VLAN 显示应用所需 VLAN Tag 类型:tagged 或者 untagged

 

VLAN ID 显示端口所处 802.1Q VLAN ID 值。

二层优先级 显示特定应用使用的二层优先级

 

QOS DSCP  显示特定应用使用的 DSCP 

 

供电类型 显示 LLDP-MED 设备的供电类型: 供电设备(PSEPower

Sourcing Entity )或者受电设备(PDPowered Device

供电来源 显示供电设备或者受电设备的供电来源

 

端口供电优先级: 显示本端口供电信息在所有端口中的位置,当供电能力不足时,供电优先级低的端口将停止供电,以满足高优先级的端口供电。

 

端口 PoE 能提供的 显示本端口通过 PoE 能给 PD 设备提供的最大电量值

量值:

 

16.4.4邻居信息

在本页可以查看所有端口邻居的 LLDP-MED 信息。进入页面的方法:LLDP>> LLDP-MED >>邻居信息

 

14-10 邻居信息

 

 

条目介绍:

自动刷新

 

自动刷新 选择是否启用自动刷新功能

 

刷新周期 填写自动刷新的时间周期。默认为 5 

 

LLDP-MED 邻居信息

 

端口选择:点击快速选择相应端口。

 

回目录

 

 

 

17.系统维护

系统维护模块将管理交换机的常用系统工具组合在一起,为定位并排除交换机和网络故障提供便捷的方法。

运行状态:对交换机内存和 CPU 进行监控。

系统日志:通过系统日志查看在交换机上的配置参数并找出错误的配置。系统诊断:检测与交换机连接的线缆是否有故障及对端设备的可用性。 网络诊断:检测目标是否可达以及目标与交换机之间的路由跳数。

17.1运行状态

在本功能中可以通过曲线数据监控交换机 CPU 和内存的使用情况,CPU 和内存使用率应该在一定数值上下波动。当 CPU 和内存使用率波动较大且明显增大时,请检查网络是否受到攻击。

本功能包括 CPU 监控内存监控两个配置页面。

17.1.1CPU 监控

进入页面的方法:系统维护>>运行状态>>CPU 监控

 

16-1CPU 监控

 

304

 

 

点击<监控>按键,图中会每隔 4 秒反馈一次监控数值,显示交换机 CPU 使用率。

17.1.2内存监控

进入页面的方法:系统维护>>运行状态>>内存监控

 

16-2内存监控

点击<监控>按键,图中会每隔 4 秒反馈一次监控数值,显示交换机内存使用率。

17.2sFlow 监控

sFlow 是一种可以精确监控高速网络流量的技术。sFlow 监控系统由 sFlow 代理(嵌入在交换机或路由器或独立探测器中)和中央 sFlow 收集器组成。sFlow 代理运用采样技术对监控的网络设备进行流量统计采样。sFlow 收集器对来自 sFlow 代理的数据进行处理。

本功能包括 sFlow 收集和 sFlow 采样两个功能页面。

17.2.1sFlow 收集

进入页面的方法:系统维护>>sFlow 监控>>sFlow 收集

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

17-1 sFlow 收集

配置过程:

 

点击开启全局使能 sFlow 功能,并配置 sFlow 代理的 IP 地址。例如,您可以将交换机的管理

IP 设置为 sFlow 代理的 IP

选择你想要使用的收集器,并进行相关参数配置。

 

 

条目描述: 

全局配置

sFlow 状态

全局启用 禁用

功能。

 

/

sFlow

代理地址

sFlow 代理的 IPv4 地址。

sFlow 版本

显示 sFlow 版本。

 

收集器配置

 

 选择要配置的收集器。可多选

收集器 ID 在此处显示收集器 ID。最多可配置 4 个收集器

 填写收集器的描述信息

收集器 IP 指定收集器的 IP 地址

收集器端 指定收集器的端口号

最大数据 指定单个数据报中可以发送的最大字节数

超时(s) 指定收集器的老化时间。收集器将在超时时间过后失效。如果超时时

设置为 0,收集器的生命周期无限长。

生命周期(s) 指定收集器的生命周期。生命周期将从超时开始倒计时

 

 

17.2.2sFlow 采样

进入页面的方法:系统维护>>sFlow 监控>>sFlow 采样

 

17-2 sFlow 采样

配置过程:

配置一个或多个端口作为采样器,并进行相关参数配置。一个端口只能绑定到一个收集器。

 

 

条目描述:

 

 选择要配置成采样器的端口

 显示交换机的端口号

收集器 ID  sFlow 采样器选择 sFlow 收集器。采样器将通过 sFlow 代理将数据

发送给收集器。当收集器 ID 0,表示未选择收集器。

进口速 指定采样器的进口采样频率

出口速 指定采样器的出口采样频率

最大包 指定从采样数据报复制的最大字节数

LAG 显示端口所属的汇聚组。

 

 

17.2.3 默认设置

 

功能

默认设置

 

全局 sFlow

 

禁用

sFlow 代理

代理地址未定义。

 

sFlow 收集器

收集器端口是 6343

最大数据报是 300 个字节。

其他参数未定义。

 

sFlow 采样器

收集器 ID 0,表示未选择收集器。

进口速率为 0,表示不取样。

出口速率是 0,表示不取样。

最大包头是 128 个字节。

17.3系统日志

本交换机提供的日志系统能够对所有的系统信息进行记载、分类、管理,为网络管理员监控设备运行情况和诊断设备故障提供强有力的支持。

本交换机的系统日志分为八个等级,如表 16-1 所示。

 

级别名称

等级

描述

emergencies

0

系统不可用信息

alerts

1

需要立刻做出反应的信息

critical

2

严重信息

errors

3

错误信息

warnings

4

警告信息

notifications

5

正常出现但是重要的信息

informational

6

需要记录的通知信息

debugging

7

调试过程产生的信息

16-1 日志等级

本功能包括日志列表本地日志远程日志日志导出四个功能页面。

 

17.3.1日志列表

系统日志可以保存到两个不同的地方:日志缓冲区和日志文件。日志缓冲区的日志信息在交换机重启后将会丢失,日志文件里的日志信息在交换机重启后仍然有效。日志列表显示了日志缓冲区中的系统日志信息。

进入页面的方法:系统维护>>系统日志>>日志列表

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

16-3日志列表

 

条目介绍:

系统日志列表

 

序号:

显示该日志信息的序号。

时间:

显示该日志信息的发生时间。需先在系统管理>>系统配置>>系统时

 

间页面进行配置后,系统日志才能获取到正确的时间。

模块名:

显示该日志信息所属功能模块,从下拉列表可选择显示某一模块的

 

日志信息。

严重级别:

显示该日志信息的严重级别,从下拉列表选择某一级别,可显示小

 

于或等于该级别值的日志信息。

日志信息:

显示该日志信息的内容。

注意:

 

 

 

 

 

17.3.2本地日志

本地日志是指保存在本交换机上的所有系统日志信息。在缺省情况下,所有的系统日志将保存到日志缓冲区,而等级为 level_0 level_3 的系统日志将同时保存到日志文件中。在此页面中可以对日志的存储区进行配置。

 

 

进入页面的方法:系统维护>>系统日志>>本地日志

 

16-4本地日志

条目介绍:

系统日志列表

 

选择 勾选相应的日志输出方向进行配置

 

日志缓冲区: 日志列表页面上显示的即为缓冲区中的信息,在断电重启后这些信息将会丢失。

日志文件: 日志文件中的日志信息在断电重启后不会丢失,可通过导出日志文件来查看。

 

严重级别: 限定各个输出方向上系统日志的严重级别。只有级别值小于或等于该值的系统日志才会进行输出。

 

状态 启用/禁用该输出方向

 

17.3.3远程日志

远程日志功能可以将本交换机的系统日志发送到日志服务器上。日志服务器相当于一个可维护的共用消息区,它可以对网络中各设备产生的日志信息进行集中的监控和管理。

进入页面的方法:系统维护>>系统日志>>远程日志

 

 

 

 

16-5 日志服务器

 

条目介绍:

日志服务器

 

选择 勾选相应的日志服务器进行配置

 

序号 日志服务器序号。本交换机共支持 4 个日志服务器

服务器 IP 配置日志服务器的 IP 地址

UDP 端口号 发送/接收系统日志时所用到的 UDP 端口号,这里使用标准的 514

端口。

 

严重级别: 限定发往各个服务器上系统日志的严重级别。只有级别值小于或等于该值的系统日志才会发送到相应的服务器。

 

状态 启用/禁用该服务器

 

17.3.4日志导出

日志导出功能可以将保存在交换机里的日志信息以文件的形式导出,作为设备诊断和统计分析之用。尤其在发生严重错误导致系统崩溃时,可在重启后导出日志信息,以获取跟错误相关的一些重要信息,为诊断设备提供支持。

进入页面的方法:系统维护>>系统日志>>日志导出

16-6 日志导出

 

 

条目介绍:

日志文件导出

 

导出日志文件:点击此按键导出日志文件中的日志信息。

 

 

17.4系统诊断

本交换机提供了线缆检测和环回检测功能。

 

17.4.1线缆检测

线缆检测功能能够检测与交换机相连的线缆是否有故障以及故障的位置,利用此功能可以辅助日常工程安装诊断。

 

进入页面的方法:系统维护>>系统诊断>>线缆检测

 

 

16-7 线缆检测

条目介绍:

线缆检测

 

检测端口:选择要进行线缆检测的端口。

 

 

SW-5024

24-Port Gigabit Managed PoE Switch with 4 SFP Slots

 

 

线对:

 

 

显示线对序号。

线路状态:

检测端口连接的线缆的状态。可能显示的状态有:正常、短路、开

 

路、阻抗失配。另外还可能出现线路不支持检测或检测失败的情况。

 

开路:线路中有断开现象,造成这种情况的原因一般是水晶头处

 

线缆接触不良,可用线缆测试设备进行故障点定位。

 

短路:线路金属内芯互相接触,导致短路。

 

阻抗失配:网线质量问题。

 

线路长度:

若线路为正常状态,显示该线缆的长度范围。

出错长度(米):

若线路为短路、开路或阻抗失配状态,则显示该线缆的出错长度。

注意:

这里的长度是指线缆绕对

检测结果仅供参考,特殊

 

的长度,不是线缆表皮的长度,线缆检测的长度可能存在误差。的情况也可能会检测错误或失败。

 

17.5网络诊断

本交换机提供了 Ping 检测和 Tracert 检测功能。

17.5.1Ping 检测

Ping 检测功能可以检测交换机与某网络设备是否可达,方便网络管理员检查网络的连通性,定位网络故障。

Ping 检测过程如下:

交换机向目标设备发送 ICMP 请求报文;

如果网络工作正常,则目标设备在接收到该报文后,向交换机返回 ICMP 应答报文;显示相关统计信息;

如果网络工作异常,源设备将显示目的地址不可达或超时等提示信息。进入页面的方法:系统维护>>网络诊断>>Ping 检测

 

16-9 Ping 检测

条目介绍:

 

 

Ping 检测

 

目标 IP 地址 填写需要测试的目标节点的 IP 地址

发送次数: 填写 Ping 检测时发送的检测包次数。建议使用缺省值。发送报文长度:    填写 Ping 检测时发送的检测包长度。建议使用缺省值。时间间隔:              发送 ICMP 请求报文的时间间隔。

17.5.2Tracert 检测

Tracert 检测可以查看交换机到目标节点所经过的路由器。当网络出现故障时,使用该命令可以分析出现故障的网络节点。

IP 数据包首部中包含一个 TTL 字段,当数据包在网络中转发时,每经过一个路由 TTL 字段的值

1。当接收的 IP 数据包的 TTL 字段为 0 1 时,路由器将此数据包丢弃,并给发送源回复一个

ICMP 超时报文。这样能有效防止数据包在网络发生故障时,无休止地在网络中流动。

Tracert 检测过程如下:

交换机发送一个TTL 1 的报文给目的设备;

第一跳(即该报文所到达的第一个路由器)回应一个 TTL 超时的 ICMP 报文(该报文中含有第一跳的 IP 地址),这样交换机就得到了第一个路由器的地址;

交换机重新发送一个 TTL 2 的报文给目的设备;

第二跳回应一个TTL 超时的 ICMP 报文,这样交换机就得到了第二个路由器的地址;

重复以上过程直到最终到达目的设备,交换机就得到了从它到目的设备所经过的所有路由器的地址。

进入页面的方法:系统维护>>网络诊断>>Tracert 检测

16-10 Tracert 检测

条目介绍:

Tracert 检测

 

目标 IP 填写目的设备的 IP 地址

最大跳数 填写测试报文发送的最大跳数

 

 

 

18.软件系统维护

在本交换机中,可以通过 FTP 功能加载软件。FTPFile Transfer Protocol,文件传输协议)TCP/IP协议族中属于应用层协议,主要用于在远端服务器和本地主机之间传输文件,是 IP 网络上传输文件的通用协议。当交换机软件出故障导致无法正常启动时,也可以采用 FTP 功能重新加载软件。

18.1硬件连接图

17-1利用 FTP 加载软件连接图

FTP 服务器通过端口 1 连接到交换机。

配置计算机通过 Console 口与交换机连接。配置计算机和 FTP 服务器可以是同一台主机。

将交换机软件存储在 FTP 服务器的共享目录下,并记录相应用户名、密码以及交换机软件名称,以便后续使用。

 

18.2配置超级终端

完成硬件连接后,请按照下面步骤配置管理计算机的超级终端,以便管理交换机。选择开始>>所有程序>>附件>>通讯>>超级终端,打开超级终端。

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

17-2 打开超级终端

弹出如图 17-3 所示的连接描述窗口,在名称处键入一个名称,点击确定

17-3连接描述

 

SW-5024

 

 

 在图 17-4 中选择连接串口,点击确定

17-4连接端口选择

在图 17-5 中对端口进行参数设置:每秒位数“38400”,数据位“8”,奇偶校验,停止位“1”数据流控制,然后点击确定即可。

 

 

 

18.3密码重置


17-5 端口属性设置

 

 

请按照下面提示步骤进行操作:

将配置计算机的串口连接到交换机的Console 口,并打开配置成功的超级终端。

将交换机断电重启,当在超级终端界面中看到提示信息“Hit any key to stop autoboot”,用户需要在 3 秒内按下任意按键进入bootUtil 菜单。如下图所示:

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

按下“6”按键选择“Password recovery”选项,并按下“Y”按键删除所有用户名和密码。复位后恢复到出厂默认设置,登录交换机的用户名和密码均为admin。

 

 

 

回目录

 

SW-5024

 

 

 附录A 802.1X 客户端软件使用说明

802.1X 体系结构中,客户端作为接入设备需要安装相应的客户端软件,且软件遵循 802.1X 协议标准才能够顺利通过认证。当使用本交换机进行认证时,请使用我司提供的客户端软件进行认证。

安装说明

双击安装软件图标,弹出安装语言选择对话框,如下图 1 所示

1选择安装语言对话框

单击下一步进入安装准备过程,如下图 2 所示:

 

 

2准备安装对话框

等待片刻,系统准备工作完成后,将自动弹出欢迎对话框,如下图 3 所示,此时可点击<取消>终止安装过程:

3欢迎对话框

点击<下一步>进行安装路径的选择,如下图 4 所示。点击<更改…>可以选择合适的安装路径。

 

 

4安装路径对话框

至此,安装所需参数已确定。点击<下一步>,弹出安装对话框。如下图 5 所示:

5正在安装

点击<安装>,开始安装 802.1X 客户端软件,如下图 6 所示:

 

 

6安装过程

等待片刻,将弹出安装完成对话框。如下图 7 所示:

7安装完成对话框

根据页面提示,安装完成后,如果计算机上没有安装 WinPcap 4.0.2 版本以上的软件,将无法使用该 802.1X 客户端进行认证。请在网上下载 WinPcap 软件并安装。点击<完成>退出。

卸载说明

当需要卸载 802.1X 时,可以按照下面步骤执行:

 

SW-5024

 

 

选择:开始 >> 所有程序 >> 802.1X >>卸载 802.1X 客户端进行客户端软件卸载。软件卸载准备对话框如下图 8 所示:

8软件卸载准备

点击<>,开始卸载软件,如下图 9 所示:

9卸载软件

卸载结束后,点击<完成>关闭窗口即可,如下图 10 所示:

 

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

 

 

 

使用说明


10 完成卸载

 

 

 

安装完成后,双击桌面 802.1X 客户端软件图 运行应用程序,弹出程序主对话框如下

11 所示:

 

 

11 主对话框

在用户名和密码中输入服务器端设定好的用户名和密码,注意用户名和密码均不得多于 16 个字符。

点击<属性>按键,弹出属性对话框,可以对拨号属性进行适当的设置,如下图 12 所示:

12 属性对话框

单播方式发送 802.1X 报文(非触发报文):选择此项时,客户端将以组播的方式向交换机申请认证,然后以单播方式发送认证报文。

登陆后自动更新 IP 地址:如果接入网络中设置了 DHCP 服务器为客户端分配 IP,请选择此项功能。

认证成功后 DHCP 服务器会自动给客户端分配 IP 地址,客户端获得新的 IP 地址后才能访问网络。

握手超时后自动重拨:选择此项时,如果客户端在一定的时间内没有收到交换机的握手应答报文,则说明客户端和交换机的连接可能出现问题,这时客户端软件将自动重新发起连接。

 

在主窗口如图 11 界面下如果点击<连接>,将弹出认证状态对话框显示认证过程,如下图 13 示:

 

 

 

13 认证状态对话框

当顺利的通过认证后,会显示一个认证通过对话框,如下图 14 所示:

14 认证通过对话框

双击系统托盘中的连接状态图标,将弹出连接状态对话框,如下图 15 所示

 

 

 

常见问题:


15 连接状态对话框

 

 

当我运行该软件的时候为什么会出现如下图所示的错误对话框?

16 缺失 DLL 对话框

答:如果出现图 16 对话框,说明缺少了支持的 DLL 文件,如果没有安装 WinPcap 4.0.2 或以上版本,请先到 http://www.winpcap.org 下载安装最新版本 WinPcap 软件,然后重新运行该客户端。

可以使用该软件拨号其它公司生产的交换机吗?

答:不可以,该软件是专门为我司交换机定制。

如果我设置保存密码会不会不安全?

答:不会,保存到配置文件中的密码已经经过加密。

 

 

回目录

 

 

 

 附录 B

技术参数规格

参数项

参数内容

 

 

 

 

 

 

 

支持的标准和协议

IEEE 802.3 10Base-T 以太网

IEEE 802.3u 100Base-TX 快速以太网

IEEE 802.3ab 1000Base-T 千兆以太网

IEEE 802.3z 千兆以太网(光纤

ANSI/IEEE 802.3 N-Way 自动协商

IEEE 802.3x 流量控制

 

IEEE 802.1p 优先级

 

IEEE 802.1q VLAN

 

IEEE 802.1X 基于端口的访问认证

CSMA/CD Ethernet

 

IEEE 802.3af

 

IEEE 802.3at

 

 

数据传输速率

以太网:10Mbps 半双工,20Mbps 全双工

快速以太网:100Mbps 半双工,200Mbps 全双工

千兆以太网:2000Mbps 全双工

 

网络介质

10Base-T3 类或以上 UTP/STP≤100m

100Base-TX5 类或以上 UTP/STP≤100m

1000Base-T:超 5 类或以上 UTP/STP≤100m

传输方式

存储转发

背板带宽

56Gbps

MAC 地址学习

自动更新,支持 16K 地址空间

 

包转发速率

10Base-T14881pps/端口

100Base-TX148810pps/端口

1000Base-T1488095pps/端口

交流输入

100-240V~ 50/60Hz 6.0A

工作温度

0~40

存储温度

-40~70

工作湿度

10%~90%RH 无凝结

存储湿度

5%~90%RH 无凝结

 

 

回目录