回目录

2.产品介绍

2.1产品简介

SW-5024 交换机是为构建高安全、高性能网络需求而专门设计的新一代智能以太网交换机，具有完备的安全策略、完善的 QoS 策略、丰富的 VLAN 特性、易管理维护等特点。系统采用全新的软硬件平台，在安全接入策略、多业务支持、易管理和维护等方面为用户提供了全新的技术特性和解决方案，是理想的办公网、校园网的汇聚、接入层交换机以及中小企业、分支机构的核心交换机。

2.2产品特性

完备的网络接入安全策略一键快速绑定

支持 PORT/MAC/IP/VLAN ID 四元绑定，提供手动添加、自动扫描、DHCP 侦听三种绑定方式，支持跨 VLAN 扫描，根据不同网络环境，轻松实现快速绑定。

ARP 攻击防护

内置特有的 ARP 入侵检测功能，对不匹配四元绑定表的非法 ARP 欺骗报文直接丢弃，有效杜绝内

ARP 攻击；支持对非法 ARP 报文统计，帮助用户迅速定位 ARP 攻击源；同时还支持防合法

ARP 报文的泛滥攻击。

DoS 攻击防护

内置深层次攻击检测功能，通过解析 IP 数据包，查看数据包中的特定字段是否符合 DoS 攻击数据包的特征，并采取相应的防护措施，直接丢弃非法数据包或者对合法的数据包进行限速，并且还能主动探测追踪 DoS 攻击的源头。

防 MAC 地址攻击

支持端口安全特性，可以有效防御 MAC 地址攻击。可以实现基于 MAC 地址允许或限制流量，每个端口允许设定最大 MAC 地址数量，支持静态配置或交换机动态学习，全面保障网络安全。

多层次，多元化的访问控制策略访问控制（ACL）

强大硬件 ACL 能力，深度识别报文，支持 L2~L4 数据流分类，提供基于源 MAC 地址、目的 MAC

地址、源 IP 地址、目的 IP 地址、IP 协议类型、TCP/UDP 端口等定义 ACL。策略控制（Policy）

支持基于端口、VLAN 下发 ACL，对符合相应 ACL 规则的数据包实现流分类，可进行流镜像、流监控、QoS 重标记和端口重定向四种行为控制，轻松实现网络监控，数据流量控制，优先级重标记和数据转发控制。

时间段控制

新增基于时间段的 ACL 控制，提供节假日、绝对时间、周期以及时间片段设置功能，多种时间段的灵活组合可轻松实现对时间精确控制的访问需求。

802.1X 认证

支持基于端口和基于 MAC 的 802.1X 认证，在用户接入网络时完成必要的身份认证，保证接入用户的合法性，支持 Guest VLAN，轻松设置来宾用户接入访问权限。

丰富的 VLAN 特性

IEEE 802.1Q VLAN

IEEE 802.1Q VLAN 符合国际标准，完美融合了 Port VLAN，与主流设备完全兼容，加上人性化的操作方式，使组网更加便捷、准确、高效。

MAC VLAN

通过 MAC 地址划分 VLAN，使用户可以灵活更改接入位置而不必重新划分 VLAN，在极大提高组网的灵活性的同时，简化了网络拓扑结构和配置管理。

协议 VLAN

通过协议来划分 VLAN，对特殊应用可设置自定义协议，实现安全通信。 GVRP

基于 GARP 的工作机制，用来维护设备中的 VLAN 动态注册信息，使得局域网内的 VLAN 配置更快捷、方便。

完善多业务融合能力

QoS

支持基于端口、IEEE802.1p 以及 DSCP 三种优先级模式，支持 Equ 、SP （ Strict Priority ）、WRR

（Weighted Round Robin）、SP+WRR 四种队列调度算法，每个端口 8 个输出队列，可以将不同优先级的报文映射到不同输出队列，保障关键业务数据优先处理，满足不同业务对基础网络的需求。

流量控制

带宽控制支持端口双向限速，限速的控制粒度为 64Kbps；风暴抑制支持对广播包、组播包、UL 包限速，避免网络资源被恶意浪费，提高网络效率。

语音 VLAN

内置语音设备 OUI 地址识别功能，通过 Voice VLAN 技术，对语音流进行有针对性的 QoS 配置，能够很好的解决语音设备数据流优先级的调整问题，保证通话质量。

组播管理

支持 IGMP V1/V2/V3，通过 IGMP Snooping 技术，能很好的支持组播应用，如 IPTV、视频会议等

等；支持组播 VLAN，有效避免带宽浪费，减轻上游设备的组播负担；静态组播地址表减少学习时间，提高组播转发效率；未知组播报文丢弃功能，节省带宽，提高系统处理效率。

高可靠性设计生成树

支持传统的 STP/RSTP/MSTP 二层链路保护技术，极大提高链路的容错、冗余备份能力，保证网络的稳定运行。支持 TC（Topology Change）报文保护，避免当设备受到恶意的 TC 报文攻击时，频繁的删除操作给设备带来很大负担。同时还支持环路保护、根桥保护、BPDU 保护、BPDU过滤等功能。

链路汇聚

提供手工汇聚、动态LACP 两种汇聚模式，能有效增加链路带宽，提高链路的可靠性，同时可以实现负载均衡、链路备份。

灵活、安全的网络管理系统管理

支持 CLI 命令行（Console，Telnet，SSHV1/V2 ），Web 网管（HTTP、SSL V2/V3/TLSV1）， SNMP（V1/V2c/V3）等多种管理方式。

安全管理

通过身份过滤检测技术，能够很好的解决设备安全管理难题，支持两级用户管理，提供管理人员数限制功能，增强配置安全性。

网络监控

支持端口双向数据监控，结合网络分析软件可以实时监控网络运行状态，RMON 功能可以实现统计和告警功能，用于网络中管理设备对被管理设备的远程监控和管理。

系统维护

支持 CPU、内存实时监控，支持 VCT 电缆检查以及端口环回测试，方便定位网络故障点，同时支持 Ping、Tracert 命令操作，轻松分析出现故障的网络节点。

系统日志

提供免费的日志服务器软件，为用户提供对设备系统日志的数据库统计分析功能，有效监控设备运行和网络状况。

集群管理

支持 NDP（邻居发现）、NTDP（邻居拓扑发现）和 Web 集群管理（仅支持被管理），轻松打造

“零费用、免软件”的统一管理方式，支持信息产业部相关标准，兼容其它主流厂商的集群管理。

2.3产品外观

2.3.1前面板

交换机的前面板由 24 个 10/100/1000Mbps RJ45 端口、4 个 SFP 口、2 个 Console 口和指示灯组成。如下图所示。

2-1 前面板

24 个 1000Mbps 自适应 RJ45 端口

SW-5024 有 24 个 10/100/1000Mbps RJ45 端口，分别对应一个 10/100/1000Mbps 指示灯。

4 个 SFP 端口

SFP 模块卡扩展槽位于千兆 RJ45 端口的右边，标识为 25-28 口。

2 个 Console 端口

交换机控制端口，用于连接计算机或其他终端的串口以监控和配置交换机。其中，当您使用 Windows 电脑通过 USB 线来管理交换机时，USB 驱动需要手动安装。在配件 CD 中有 USB Console Driver.exe 的驱动文件。

指示灯

交换机有 PWR、SYS、PoE Max、FAN、Speed or PoE(1-24 口)、1000Base-X（25-28 口）指示灯，可以通过指示灯监控交换机的工作状态。

SW-5024 有一个指示灯模式转换开关，可以改变指示灯的指示状态。当 Speed 指示灯点亮时，端口指示灯指示的是数据传输速率。当 PoE 指示灯点亮时，端口指示灯指示的是端口的供电状态。缺省情况下 Speed 指示灯亮。按下指示灯模式转换开关，可以切换指示灯的指示状态。

当 Speed 指示灯点亮时，端口指示灯指示的是数据传输速率，如下表所示。

当 PoE 指示灯点亮时，端口指示灯指示的是端口的供电状态，如下表所示。

2.3.2后面板

交换机后面板由电源接口、防盗锁孔和防雷接地柱组成，如下图所示：

电源接口

图 2-2 后面板

位于后面板左侧。SW-5024 接入电源需为 100-240V~ 50/60Hz 6.0A 的交流电源。防雷接地柱

位于电源接口左侧，请使用导线接地，以防雷击。防盗锁孔

将锁（未提供）插入锁孔内防止交换机被盗。

回目录

3.配置指南

3.1登录 Web 页面

第一次登录时，请确认以下几点：

交换机已正常加电启动，任一端口已与管理主机相连。

管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装 IE 6.0 或以上版本的浏览器。

管理主机 IP 地址已设为与交换机端口同一网段，即 192.168.0.X（X 为 2 至 254 之间的任意整数），子网掩码为 255.255.255.0。

为保证更好地体验 Web 页面显示效果，请将显示器的分辨率调整到 1024×768 或以上像素。打开浏览器，在地址栏输入 http://192.168.0.1 登录交换机的 Web 页面。

交换机登录页面如图 3-1 所示。

图 3-1 登录页面

在此页面输入交换机管理帐号的用户名和密码，出厂默认值均为 admin。成功登录后可以看到当前端口连接状态和交换机的系统信息，如图 3-2 所示。

 图 3-2 系统信息

3.2Web 页面简介

3.2.1页面总览

交换机典型的 Web 页面如图 3-3 所示。

 3-3 典型 Web 页面

左侧为一级、二级菜单栏，右侧上方长条区域为菜单下的标签页，当一个菜单包含多个标签页时，可以点击标签页的标题在同级菜单下切换标签页。右侧标签页下方区域可分为三部分，条目配置区、列表管理区以及提示和注意区。

3.2.2页面常见按键及操作

主菜单区按键

条目配置区常见按键

列表管理区常见按键

回目录

 4.系统管理

系统管理模块主要用于配置交换机的系统属性，包括系统配置、用户管理、系统工具、安全管理以

SDM 模板。

4.1系统配置

系统配置用于配置交换机的基本属性，本功能包括系统信息、设备描述、系统时间、夏令时管理和串口设置五个配置页面。

4.1.1系统信息

本页面用来查看本交换机的端口连接状态和系统信息。

端口状态指示了本交换机的 24 个 10/100/1000Mbps RJ45 端口以及 4 个 SFP 扩展模块槽的工作状态，其中标识为 1-24 的端口是 10/100/1000Mbps RJ45 端口，标识为 25~28 的端口是光纤模块端口。

进入页面的方法：系统管理>>系统配置>>系统信息

图 4-1 系统信息

条目介绍：

端口状态

  1000M 端口未接入设备。

  1000M 端口工作速率为 1000Mbps。

  1000M 端口工作速率为 100Mbps /10Mbps。   SFP 端口未接入设备。

  SFP 端口工作速率为 1000Mbps。   SFP 端口工作速率为 100Mbps。

当鼠标移到某端口上时，会显示该端口的详细信息，如下图所示。

图 4-2 端口信息

条目介绍：

端口信息

端口： 显示交换机的端口号。

类型： 显示端口的端口类型。

速率: 显示端口的最大传输速率。

状态： 现在端口的状态。

点击某端口，会显示此端口的带宽利用率，即实际传输速率与其最大传输速率的百分比，图中每隔秒反馈一次监控值。查看各个端口的带宽利用率，可以了解各端口的流量概况，便于监控网络流

量和分析网络异常。如下图所示。

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

图 4-3 带宽利用率

条目介绍：

带宽利用率

接收 点击后，显示此端口接收数据的带宽利用率。

发送 点击后，显示此端口发送数据的带宽利用率。

4.1.2设备描述

本页面用来配置交换机的描述信息，包括设备名称、设备位置、联系方法。进入页面的方法：系统管理>>系统配置>>设备描述

图 4-4 设备描述

条目介绍：

设备描述

设备名称：填写交换机的名称。

设备位置： 填写交换机的位置信息。

联系方法： 填写联系方法。

4.1.3系统时间

本页面用来配置交换机的系统时间。系统时间是交换机工作时使用的时间，其它功能（如访问控制）中的时间信息以此处为准。可以选择手动设置时间或者连接到一个 NTP（网络时间协议）服务器获

UTC 时间，也可以获取当前管理 PC 的时间作为交换机的系统时间。进入页面的方法：系统管理>>系统配置>>系统时间

图 4-5 系统时间

条目介绍：

• 时间信息

当前系统时间： 显示交换机当前的日期、时间。当前时间来源： 显示交换机当前的时间来源。

• 时间配置

手动配置时间： 勾选后，手动配置日期、时间。

NTP 服务器获取时勾选后，配置时区和 NTP 服务器的 IP 地址，交换机将自动获取 UTC

间： 时间。此时交换机必须连接至 NTP 服务器。时区：选择所在的时区。

首选/备选 NTP 服务器：填写 NTP 服务器的 IP 地址。时间获取周期：设定从 NTP 服务器获取时间的周期。

从管理主机获取时间： 勾选后，将管理主机的时间配置为交换机的系统时间。

4.1.4夏令时配置

本页面用于配置交换机的夏令时功能。

进入页面的方法：系统管理>>系统配置>>夏令时

图 4-6 夏令时配置

条目介绍：

夏令时配置

夏令时状态： 选择启用或禁用夏令时功能。

预定义模式： 选择一个预定义的夏令时配置。

美国：三月的第二个星期天 02:00 ~ 十一月的第一个星期天

02:00。

澳大利亚: 十月的第一个星期天 02:00 ~ 四月的第一个星期天

03:00。

欧洲: 三月的最后一个星期天 01:00 ~ 十月的最后一个星期天

01:00。

新西兰: 九月的最后一个星期天 02:00 ~ 四月第一个星期天

03:00。

4.1.5串口设置

在这个页面上，您可以配置串口的波特率。

选择系统→系统信息→串口设置，配置下面的页面。

图 4-7 串口设置

以下的条目会显示在这个屏幕上：串口设置

波特率: 配置串口的波特率。它在默认情况下是 38400 bps。

数据位: 显示默认的数据位。

奇偶校验位: 显示奇偶校验位。

停止位: 显示停止位。

4.2用户管理

用户管理用来限制登录交换机 Web 页面的用户的访问权限和身份，以保护交换机的有效配置。本功能包括用户列表和用户配置两个配置页面。

4.2.1用户列表

可以在本页查看到当前交换机存在的全部用户。进入页面的方法：系统管理>>用户管理>>用户列表

4.2.2用户配置

图 4-8 用户列表

本页用来配置登录交换机 Web 页面的用户的身份类型。本交换机提供四种类型的用户：管理员，操作员，高级用户和普通用户。管理员，可以编辑、修改和查看交换机各个功能的配置；操作员，操作员可以编辑，修改和查看大部分不同功能的设置；高级用户: 高级用户可以编辑，修改和查看不同功能的设置；普通用户：仅可以查看交换机各个功能的配置情况。本说明书内如无特殊说明，均以“管理员”身份登录时的 Web 页面为准。

进入页面的方法：系统管理>>用户管理>>用户配置

图 4-9 用户配置

条目介绍：

用户信息

用户名： 填写登录 Web 页面的用户名。

访问等级： 选择该用户名的访问等级。

密码： 填写该用户名的登录密码。

确认密码： 再次输入该用户名的登录密码，两次输入的密码需保持一致。

• 用户列表

选择： 勾选条目进行删除，可多选。但是不可以对当前登录用户自身进行删除。

序号、用户名、类型、 显示当前用户的序号、用户名、用户类型和用户状态。状态：

操作： 点击对应条目的<编辑>按键，可以修改该条目的用户信息。修改完毕后点击<修改>按键，修改内容生效。但是不允许修改当前登录用户自身的用户类型和状态。

4.3系统工具

系统工具功能集中对交换机的配置文件进行管理。

4.3.1Boot 配置

在这个页面上，您可以配置交换机的 boot 文件。当交换机启动时，将从当前镜像启动。如果失败 了，交换机将尝试从备份镜像启动。如果这也失败了，你将进入 bootutil 菜单。

进入页面的方法：系统管理→系统工具→启动参数

图 4-10 Boot 配置

以下的条目会显示在这个屏幕上：启动参数

选择: 选择单元(s)。

成员: 显示成员。

当前镜像: 显示当前的启动镜像。

下次启动镜像: 选择下一个启动镜像。

备份镜像: 选择备份的 boot 镜像。

4.3.2配置导入

进入页面的方法：系统管理>>系统工具>>配置导入.

4-11 配置导入

条目介绍：

配置文件导入

配置文件导入：从用户备份的配置文件中恢复配置。

4.3.3配置导出

在这个页面上，您可以下载当前的配置，并将它作为文件保存到您的计算机中，以备将来的配置恢复。

进入页面的方法：系统→系统工具→配置导出

4-12 配置备份

以下的条目会显示在这个屏幕上：配置备份

指定成员: 选择一个交换机来导出配置文件。

单击导出按钮将当前启动配置文件保存到您的计算机中。建议您在升级之前采取这一措施。

4.3.4软件升级

本交换机可以通过 Web 方式升级系统文件，系统升级后将获得更完善的功能。进入页面的方法：系统管理>>系统工具>>软件升级

4-12 软件升级

4.3.5系统重启

在此处可以重新启动交换机，交换机重启后自动返回到登录页面。重启前请先保存当前配置，否则重启后，未保存的配置信息将丢失。

进入页面的方法：系统管理>>系统工具>>系统重启

4-14 系统重启

4.3.6计划重启

在这个页面上，您可以为交换机设置一个重新启动计划。用户可以用两种模式来配置重新启动的时间表。第一个是在特定的时间间隔内重新启动交换机。第二种是在特定的时间和日期重新启动交换机。

用户可以选择是否在重新启动之前保存配置。如果没有选择重新启动之前保存，那么重新启动的时间表将在下一次重新启动之后被删除。

进入页面的方法：系统→系统工具→计划重启

图 4-15 重启计划设置

以下的条目会显示在这个屏幕上：重新启动计划设置

时间间隔:指定一段时间。交换机将在这段时间后重新启动。它的范围从 1 到

43200 分钟。如果用户选择了在重新启动之前保存，这个重新启动计划设置的配置仍会保留。

时间: 用 HH:MM 的格式指定交换机重启的时间。

日期: 日期应该在 30 天内。如果没有指定日期和时间设置比上面的时间晚，则交换机会晚启动；否则交换机将第二天重新启动。

重启前保存: 选择在重新启动之前保存交换机的配置。

4.3.7软件复位

通过软件复位，可以将交换机恢复为出厂设置状态，所有配置数据将被清除。进入页面的方法：系统管理>>系统工具>>软件复位

4-16 软件复位

4.4安全管理

安全管理功能是针对不同的远程登录方式，采取相应的安全措施，以增强用户管理交换机的安全性。

4.4.1安全配置

本页用来限制登录交换机 Web 页面的用户的身份及人数，从而增强了交换机配置管理的安全性。其中，管理员及受限用户的定义请参考 4.2 用户管理。

进入页面的方法：系统管理>>安全管理>>安全配置

图 4-17 身份限制

条目介绍：

• 身份限制

限制类型： 选择限制用户身份的类型。

• 基于 IP：用来限制访问交换机 Web 页面的用户的 IP 网段。

• 基于 MAC：用来限制访问交换机 Web 页面的用户的主机 MAC

地址。

• 基于端口：用来限制访问交换机 Web 页面的交换机端口号。

接入端口： 选择不同的接入端口，如 SNMP, Telnet, SSH 等。

IP 地址、掩码： 选择“基于 IP”时才能进行配置。只允许指定 IP 网段的用户才可以通

过 Web 页面访问交换机。

MAC 地址： 选择“基于 MAC”时才能进行配置。只允许指定 MAC 地址的用户才

可以通过 Web 页面访问交换机。

4.4.2HTTP 配置

HTTP(超级文本传输协议)的帮助下，您可以通过标准的浏览器来管理交换机。HTTP 的标准开发是由 Internet 工程任务小组和万维网联盟协调的。

在这个页面下，您可以配置 HTTP 功能。

进入页面的方法：系统→安全管理→HTTP 配置

图 4-18 HTTP 配置

以下的条目会显示在这个屏幕上：全局配置

HTTP: 选择启用/禁用交换机上的 HTTP 功能。超时配置

超时时间:如果在超时时间内对 Web 管理页面不做任何处理，系统将自动退

出。如果您想要重新配置，请再次登录。

管理人数限制

人数限制功能：

管理员人数:操作员人数：

高级用户人数：

普通用户人数：

选择启用/禁用数量控制功能。

输入作为管理员登录网页管理的最大用户数量。输入作为操作员登录网页管理的最大用户数量。输入作为高级用户登录网页管理的最大用户数量。输入作为普通用户登录网页管理的最大用户数量。

4.4.3HTTPS 配置

SSL（Secure Sockets Layer，安全套接层）是一个安全协议，它为基于 TCP 的应用层协议提供安全连接，如为普通的 HTTP 连接提供更安全的 HTTPS 连接。SSL 协议广泛地用于 Web 浏览器与服务器之间的身份认证和加密数据传输，多使用在电子商务、网上银行等领域，为网络上数据通讯提供安全性保证。

SSL 协议提供的服务主要有：

对用户和服务器进行基于证书的身份认证，确保数据发送到正确的用户和服务器；对传输数据进行加密，以防止数据中途被窃取；

维护数据的完整性，确保数据在传输过程中不被改变。

SSL 采用非对称加密技术，使用“密钥对”进行数据的加密/解密，“密钥对”由一个公钥（包含在证书中）和一个私钥构成。初始时交换机里已有默认的证书（自签名）和对应私钥，也可以通过证书/密钥导入功能替换默认的密钥对，但 SSL 证书/密钥必须配对导入，否则 HTTPS 不能正常连接。

本功能生效后，即可通过 https://192.168.0.1 登录交换机的 Web 页面。初次使用交换机默认的证书通过 HTTPS 登陆交换机时，浏览器可能会提示“该证书是自签名的而不被信任”或“证书错误”，此时请将此证书添加为信任证书，或者继续浏览此网站即可。

该交换机还支持对 IPv6 的 HTTPS 连接。配置 IPv6 地址( 例如， 3001:1) 后， 您可以通过

https://[3001:1] 登录到交换机的网页管理页面。在这个页面上，您可以配置 HTTPS 功能。

进入页面的方法：系统管理→安全管理→HTTPS 配置

4-19 HTTPS 配置

以下的条目会显示在这个屏幕上：

加密套件配置

RSA_WITH_RC4_128_MD5:与 RC4 128 位加密密钥交换密钥和 MD5 交换消息

摘要。默认情况下，它是启用的。

RSA_WITH_RC4_128_SHA: 与 RC4 128 位加密密钥交换密钥和 SHA 交换消

息摘要。默认情况下，它是启用的。

RSA_WITH_DES_CBC_SHA: 与 DES-CBC 消息加密交换密钥和 SHA 交换消

息摘要。默认情况下，它是启用的。

RSA_WITH_3DES_EDE_CBC_SHA: 与 3DES 和 DES-EDE3-CBC 消息加密交换密钥和

SHA 交换消息摘要。默认情况下，它是启用的。

超时配置

超时时间:如果在超时时间内对 Web 管理页面不做任何处理，系统将自动退

出。如果您想要重新配置，请再次登录。

管理人数限制

人数限制功能: 选择启用/禁用人数限制功能。

管理员人数: 输入作为管理员登录网页管理的最大用户数量。

高级用户人数: 输入作为高级用户人数登录网页管理的最大用户数量。高级用户人数: 输入作为普通用户人数登录网页管理的最大用户数量。访客数量:              输入作为访客登录网页管理的最大用户数量。

证书导入

SSL 证书:选择要导入到交换机的 SSL 证书。

密钥导入

SSL 密钥:选择导入到交换机的 SSL 密钥。

4.4.4SSH 配置

SSH（Secure Shell，安全外壳）是由 IETF（Internet Engineering Task Force，因特网工程任务组）所制定，建立在应用层和传输层基础上的安全协议。SSH 加密连接所提供的功能类似于一个 telnet 连接，但是传统的 telnet 远程管理方式在本质上是不安全的，因为它在网络上是使用明文传送口令和数据的，别有用心的人可以很容易的截获这些口令和数据。当通过一个不能保证安全的网络环境

远程登录到设备时，SSH 功能可以提供强大的加密和认证安全保障，它可以对所有传输的数据进行加密，可以有效防止远程管理过程中的信息泄露问题。

SSH 是由服务器端和客户端组成的，并且有 V1 和 V2 两个不兼容的版本。在通讯过程中，SSH 服务器与客户端会自动互相协商 SSH 版本号和加密算法，协商一致后，由客户端向服务器端发起请求登录的认证请求，认证通过后双方即可进行信息的交互。本交换机支持 SSH 服务器功能，可以使用 SSH 客户端软件通过 SSH 连接方式登录交换机。

SSH 密钥导入是将 SSH 的公钥文件导入至交换机中。如果密钥导入成功，交换机会优先选用密钥认证的方式接受 SSH 登入。

进入页面的方法：系统管理>>安全管理>>SSH 配置

4-17 SSH 配置

条目介绍：

全局配置

SSH 功能： 选择是否启用 SSH 功能。

协议版本 1： 选择是否启用对协议版本 1 的支持。

协议版本 2： 选择是否启用对协议版本 2 的支持。

静默时长： 填写静默时长。该时间内客户端无任何操作时，连接会自动断开。

默认为 120 秒。

最大连接数： 填写 SSH 同时可允许的最大连接数，连接数若满，将无法再建立新

的连接。默认为 5。

加密算法： 选择所需的加密算法。

密钥完整性算法： 选择所需的密钥完整性算法。

• 密钥导入

密钥类型： 选择所要导入的密钥类型。本机支持 SSH-1 RSA，SSH-2 RSA 和

SSH-2 DSA 三种类型的密钥。

密钥文件： 选择要导入的密钥文件。

导入密钥： 点击此按键，将所选的 SSH 密钥导入交换机。

组网应用 1：

组网需求

使用 SSH 功能的“密码认证”的方式登录交换机，交换机已启用 SSH 功能。推荐使用第三方客户端软件 PuTTY。

配置步骤

打开软件，登录 PuTTY 的主界面。在“Host Name”处填写交换机的 IP 地址；“Port”保持默认的

22；“Connection type”处选择 SSH 的接入方式。如下图所示。

点击<Open>按键，即可登录到交换机。操作方法与 telnet 相同，输入登录用户名和登录密码，即可继续进行配置操作。如下图所示。

组网应用 2：

组网需求

使用 SSH 功能的“密钥认证”的方式登录交换机，交换机已启用 SSH 功能。推荐使用第三方客户端软件 PuTTY。

配置步骤

选择密钥类型和密钥长度，并生成 SSH 密钥。如下图所示。

密钥生成后，将公钥和私钥文件保存在主机上。如下图所示。

在交换机配置页面上，将保存至主机上的公钥文件导入交换机中。

SW-5024

经过上面步骤后，公钥和私钥文件都已导入，接着即可进入版本、密钥与算法协商配置操作。打开 PuTTY 的主界面，输入 IP 地址并选择连接类型为 SSH 后，点击<open>按钮与服务器建立连接并进行协商。

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

协商成功后，输入用户名进行登录，如果你不需要输入密码即可登陆成功，表明密钥认证已经成功。如下图所示。

4.4.5Telnet 配置

在这个页面上，您可以在交换机上启用/禁用 Telnet 功能。

可选模板

当前模板序号:显示当前使用的 SDM 模板。

下一个模板:显示下次重启后将被使用的 SDM 模板。选择模板:选择下次重启后将被使用的 SDM 模板。 模板列表

模板布局: 显示模板名称。

IP ACL 规则数: 显示 IP ACL 规则数，包括 Lay3 ACL 和 Lay4 ACL。

MAC ACL 规则数: 显示二层 ACL 规则数。组合 ACL 规则数: 显示组合 ACL 规则数。 IPv6 ACL 规则数:              显示 IPv6 ACL 规则数。

ARP 防护条目数: 显示用于 ARP 防护的条目数。

IPv6 防护规则数: 显示 IPv6 源防护规则数。

5.二层交换

二层交换模块主要用于配置交换机的基本功能，包括端口管理、汇聚管理、流量统计、地址表管理以及 L2TP 五个部分。

5.1端口管理

端口管理用于配置交换机端口的基本属性，包括端口配置、端口监控、端口安全、端口隔离和环路监测五个配置页面。

5.1.1端口配置

端口配置用来配置交换机端口的各项基本参数。端口状态选择“禁用”时，交换机将丢弃来自这个端口的数据包。当交换机端口长时间不使用时，可以将该端口设为禁用，可有效减小交换机的功耗，待使用时再将该端口设为启用。

端口基本参数将会直接影响端口的工作方式，请结合实际情况进行配置。进入页面的方法：二层交换>>端口管理>>端口配置

图 5-1 端口配置

条目介绍：

端口配置

选择： 勾选端口配置端口参数，可多选。

5.1.2端口监控

端口监控是一种数据包获取技术，通过配置交换机，可以实现将一个/几个端口（被监控端口）的数据包复制到一个特定的端口（监控端口），在监控端口接有一台安装了数据包分析软件的主机，对收集到的数据包进行分析，从而达到了网络监控和排除网络故障的目的。

进入页面的方法：二层交换>>端口管理>>端口监控

图 5-2 端口监控

条目介绍：

• 监控组列表

监控组： 显示监控组的组号。

监控端口： 显示每个监控组的唯一的一个监控端口号。

监控方式： 显示每个监控组的监控方式。分为入口监控和出口监控。被监控端口： 显示每个监控组的所有被监控端口。

SW-5024

操作： 点击<编辑>按键，对每个监控组的配置进行修改。

点击<编辑>按键，显示界面如下图所示：

5-3 编辑监控组

条目介绍：

监控组选择

选择组号： 选择需要进行配置的监控组组号。监控端口配置

监控端口： 在此处选择该监控组的监控端口。被监控端口

5.1.3端口安全

交换机地址表维护着端口和接入端的 MAC 地址的对应关系，并以此建立交换路径，地址表的大小是固定的。地址表攻击是指利用工具产生欺骗 MAC，快速填满地址表，交换机地址表被填满后，交换机将以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探，攻击获取网络信息。地址表满了后，数据流以泛洪的方式发送到所有端口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

端口安全通过限制端口的最大学习 MAC 数目，来防范 MAC 地址攻击并控制端口的网络流量。如果端口启用端口安全功能，将动态学习接入的 MAC 地址，当学习地址数达到最大值时停止学习。此后，MAC 地址未被学习的网络设备将不能再通过该端口接入网络，以保证安全性。

进入页面的方法：二层交换>>端口管理>>端口安全

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

图 5-4 端口安全

条目介绍：

• 端口安全

选择： 勾选端口配置端口安全，可多选。

端口： 显示交换机的端口号。

最大学习地址数： 填写对应端口最多可以学习的 MAC 地址数目。默认为 64。已学习地址数：              显示对应端口已经学习的 MAC 地址数目。

学习模式： 选择 MAC 地址学习的模式。

• 动态：MAC 地址学习受老化时间的限制，老化时间过后，所学的 MAC 地址将被删除。

• 静态：MAC 地址学习不受老化时间的限制，只能手动进行删除。交换机重启后该条目清空。

• 永久：MAC 地址学习不受老化时间的限制，只能手动进行删除。交换机重启后该条目保持不变。

状态： 选择是否启用端口安全功能。

SW-5024

5.1.4端口隔离

通过端口隔离功能，可以为交换机的任意物理端口指定转发端口。设置了端口隔离功能后，每个物理端口只能向自己的转发端口转发数据包。

进入页面的方法：二层交换>>端口管理>>端口隔离

图 5-5 端口隔离

条目介绍：

端口隔离列表

端口： 显示交换机的端口号。

转发端口： 显示可转发的端口列表。

5.1.5环路监测

环路监测（Loopback Detection）通过环路监测数据包检测交换机连接的网络中是否存在环路，当检测出环路时根据用户设定处理相应的端口。

进入页面的方法：二层交换>>端口管理>>环路监测

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

图 5-6 环路监测

条目介绍：

5.2汇聚管理

LAG（Link Aggregation Group，端口汇聚组）是将交换机的多个物理端口汇聚在一起形成一个逻辑端口，同一汇聚组内的多条链路可视为一条逻辑链路。端口汇聚可以实现流量在汇聚组中各个成员端口之间进行分担，以增加带宽。同时，同一汇聚组的各个成员端口之间彼此动态备份，提高了连接可靠性。

属于同一个汇聚组中的成员端口必须有一致的配置，这些配置主要包括 STP、QoS、GVRP、 VLAN、端口属性、MAC 地址学习等。具体说明如下：

开启 GVRP、802.1Q VLAN、语音 VLAN、生成树、QoS 配置、DHCP 侦听及端口配置（速率双工、流控）功能的端口，若属于汇聚组成员，则他们的配置需保持一致。

开启端口安全、端口监控、MAC 地址过滤、静态 MAC 地址绑定、802.1X 认证功能的端口，不能加入汇聚组。

开启 ARP 防护、DoS 防护功能的端口，建议不要将其加入汇聚组。

如果需要配置汇聚组，建议在本功能处优先配置汇聚组后，再去其它功能处配置汇聚组的其它功能。

SW-5024

按照汇聚方式的不同，端口汇聚可以分为两类：手动配置和LACP 配置。本功能包括汇聚列表、手动配置和 LACP 配置三个配置页面。

5.2.1汇聚列表

在本页可以查看到交换机当前的全部汇聚组。

进入页面的方法：二层交换>>汇聚管理>>汇聚列表

图 5-7 汇聚列表

条目介绍：

全局配置

选路算法： 根据选路算法规则，选择转发数据的端口。

源目的 MAC 地址：仅使用数据包中的源目的 MAC 地址信息。源目的 IP 地址：仅使用数据包中的源目的 IP 地址信息。

汇聚列表

选择： 勾选汇聚组进行删除，可多选。

组号： 显示汇聚组的序号。

描述： 显示汇聚组的描述信息。

成员： 显示属于汇聚组的物理端口。

操作： 对单个汇聚组进行相应配置。

• 编辑：修改汇聚组的描述和成员端口。

• 查看：查看汇聚组的端口状态信息。点击<查看>按键，可以看到所选汇聚组的详细信息。

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

5.2.2手动配置

图 5-8 汇聚组状态

在本页可以对汇聚组进行手动配置，手动配置的汇聚端口的 LACP 状态为禁用。进入页面的方法：二层交换>>汇聚管理>>手动配置

图 5-9 手动配置

条目介绍：

汇聚组配置

汇聚组号： 选择汇聚组的序号，组号格式为 LAG*。

SW-5024

该组描述： 显示汇聚组的描述信息。成员端口

成员端口： 勾选属于汇聚组的物理端口，清空表示删除该汇聚组。

5.2.3LACP 配置

LACP（Link Aggregation Control Protocol，链路汇聚控制协议）是基于 IEEE802.3ad 标准用来实

现链路动态汇聚与解汇聚的协议。汇聚的双方通过协议交互汇聚信息，将匹配的链路汇聚在一起收发数据，汇聚组内端口的添加和删除是协议自动完成的，具有很高的灵活性并提供了负载均衡的能力。

启用端口的 LACP 功能后，该端口向对端通告本端的系统优先级、系统 MAC、端口优先级、端口号和操作 Key（由端口的物理属性、上层协议信息和管理 Key 决定）。设备优先级高的一端将主导汇聚及解汇聚，设备优先级由系统优先级和系统 MAC 决定，系统优先级值小的设备优先级高，系统优先级值相同时系统 MAC 较小的设备优先级高。设备优先级高的一端将根据端口优先级、端口号以及操作 Key 选择汇聚端口，操作 Key 相同的端口才能被选入同一个汇聚组，同一个汇聚组内端口优先级值小的端口会被优先选择，当端口优先级相同的时候，端口号小的会被优先选择。双方交互汇聚信息后被选择的端口将汇聚在一起收发数据。

在本页可以配置交换机的 LACP 功能。

进入页面的方法：二层交换>>汇聚管理>>LACP 配置

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

5-10LACP 配置

条目介绍：

LAG： 显示端口当前所属的汇聚组。

5.3流量统计

流量统计用于统计流经各个端口的数据信息，本功能包括流量概览和详细统计两个配置页面。

5.3.1流量概览

流量概览用来显示交换机各端口的流量信息，便于监控网络流量和分析网络异常。进入页面的方法：二层交换>>流量统计>>流量概览

5-11流量概览

条目介绍：

自动刷新

自动刷新： 选择是否启用自动刷新功能。

刷新周期： 填写自动刷新的时间周期。默认为 10 秒。流量概览

端口选择： 点击<选择>按键，可根据所输端口号，快速查找端口条目。端口： 显示交换机的端口号。

接收数据包数： 统计交换机各端口接收的数据包数，不包括错误的数据包。发送数据包数：              统计交换机各端口发送的数据包数。

接收字节数： 统计交换机各端口接收的字节数，包括错误的数据包的字节数。

发送字节数： 统计交换机各端口发送的字节数。

信息查询： 点击查询相应端口的详细统计信息。

5.3.2详细统计

详细统计用来统计各端口传输数据包的详细信息，便于定位网络问题。进入页面的方法：二层交换>>流量统计>>详细统计

5-12详细统计

条目介绍：

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

SW-5024

5.4.2静态地址表

静态地址表记录了端口的静态地址。静态地址是不会老化的 MAC 地址，它区别于一般的由端口学习得到的动态地址。静态地址只能手动添加和删除，不受最大老化时间的限制。这对于某些相对固定的连接来说，可减少地址学习步骤，从而提高交换机的转发效率。静态地址表也可以显示在端口安全功能中自动学习到的静态 MAC 地址。

进入页面的方法：二层交换>>地址表管理>>静态地址表

图 5-14 静态地址表

条目介绍：

5.4.3动态地址表

动态地址是交换机通过自动学习获取的 MAC 地址，交换机通过自动学习新的地址和自动老化掉不再使用的地址来不断更新其动态地址表。

交换机的地址表的容量是有限的，为了最大限度利用地址表的资源，交换机使用老化机制来更新地址表，即：系统在动态学习地址的同时，开启老化定时器，如果在老化时间内没有再次收到相同地址的报文，交换机就会把该 MAC 地址从表项删除。

在本页可以配置交换机的动态地址表功能。

进入页面的方法：二层交换>>地址表管理>>动态地址表

SW-5024 24-Port Gigabit Managed PoE Switch with 4 SFP Slots 

图 5-15 动态地址表

条目介绍：

老化配置

SW-5024

5.4.4过滤地址表

通过配置过滤地址，允许交换机对不期望转发的数据帧进行过滤，过滤地址不会被老化，只能手工进行添加和删除。在过滤地址表中添加受限的 MAC 地址后，交换机将自动过滤掉源/目的地址为这个地址的帧，以达到安全的目的。过滤地址表中的地址对所有的交换机端口都生效。

进入页面的方法：二层交换>>地址表管理>>过滤地址表

图 5-16 过滤地址表

条目介绍：

新建条目

5.4.5MAC 通知配置

MAC 通知功能用于监视 MAC 地址表的状态，以及在每个端口上学习的 MAC 地址。进入页面的方法：二层交换→地址表管理→MAC 通知配置

以下的条目会显示在这个屏幕上：全局配置

全局配置:全局启用/禁用 MAC 通知。

满表通知:当 MAC 地址表满时，启用/禁用 MAC 地址表满的通知。

通知间隔: 指定通知之间的间隔时间。它的范围从 1 到 1000 秒，默认时间间隔为

秒。

5.4.6MAC VLAN 安全

MAC VLAN 安全功能用于在指定的 VLAN 中配置 MAC 地址安全。进入页面的方法：二层交换→地址表管理→MAC VLAN 安全

以下的条目会显示在这个屏幕上：

VLAN 安全配置

VLAN ID:输入 VLAN ID 来配置它的 MAC 地址安全。

最大学习 MAC 数:指定在这个 VLAN 中可以学习的最大 MAC 地址数。

状态: 选择对新数据包的处理方法（其源 MAC 地址不在当前 VLAN 地址表

VLAN 安全列表

·丢弃：当学习的 MAC 数量超过 VLAN 安全项的最大学习数量时，数据包将被丢弃。

·转发：当学习的 MAC 数量超过 VLAN 安全项的最大学习数量时，数据包被转发，但不会被学习。

·禁用：VLAN 安全条目存在，但不会生效。

选择:选择一个或多个条目进行删除。

VLAN ID: 显示 VLAN 安全条目的 VLAN ID。

最多学习的 MAC 显示 VLAN 安全条目下的最大 MAC 数。

数量:

学习号: :显示 VLAN 安全条目下的学习 MAC 数量。

状态: 显示 VLAN 安全条目的模式。

操作: 点击可编辑最大学习的 MAC 数和模式。

5.5L2TP

L2TP(第二层隧道协议)是一个对服务提供者的功能，可以跨不同的 ISP 网络传输数据包并维护每个客户的第二层协议配置。支持的二层协议有 STP(生成树协议)，GVRP(GARP VLAN 注册协议)， CDP(思科发现协议)，VTP(VLAN 中继协议)，PAgP(端口聚合协议)，UDLD(单向链接检测)和 PVST +（每个 VLAN 生成树+)。

当启用 L2TP 并且交换机接收到从 UNI 端口来的特定的第 2 层协议数据包时，交换机会用特殊的 MAC 地址封装这些包并通过 NNI 端口跨不同的服务提供者来发送他们。ISP 网络中的设备不处理这些数据包，而是将它们转发为正常的数据包。ISP 网络的外端交换机接收到 NNI 端口上的这些数据包，并将其 MAC 地址恢复到原来的第二层协议目的地 MAC 地址。