今天給大家分享的是中興網絡裝置的指令大全。花了一天的時間去找手冊和整理、排版,希望對大家有用,覺得好的話還請點個贊,轉發一下。
一、端口配置
端口基本配置
在中興的裝置上,可以對端口參數進行配置,如自動協商、雙工模式、速率、流量控制、端口優先級、mac 數目限制等。
端口參數的配置在全局配置模式下進行,主要包括以下内容。
1. 配置端口狀态
set port [portlist] {enable|disable}
2. 設定端口的自适應功能
set port [portlist] auto {enable|disable}
自适應功能在預設情況下是打開的,設定端口工作方式或端口速率後,自适應功能将自動關閉。
3. 設定端口的工作方式
set port [portlist] duplex {full|half}
對于所有的以太網光口和工作速率為1000m 的以太網電口,端口的工作方式隻能是全雙工,無法改變。
4. 設定端口的速率
set port [portlist] speed {10|100|1000}
對于100m 和1000m 的以太網光口,無法改變端口的速率。
5. 設定端口的帶寬
set port [portlist] bandwidth ingress {off|on rate [64-256000] [tcpdrop|flowcontrol]}
set port [portlist] bandwidth egress {off|on rate [64-256000]}
6. 設定端口的流量控制
set port [portlist] flowcontrol {enable|disable}
7. 設定端口的優先級
set port [portlist] default-priority [0-7]
8. 設定端口的位址學習功能開啟/關閉
set port [portlist] security {enable|disable}
當端口安全設定為enable 時,端口的mac 位址學習功能将被關閉,當端口安全設定為disable 時,斷口将恢複位址學習功能。
9. 設定端口對多點傳播包過濾功能開啟/關閉
set port [portlist] multicast-filter {enable|disable}
10. 設定端口對外供電模式
set port [portlist] poe {auto|force|never}
11. 設定端口速率宣稱
set port [portlist] speedadvertise {maxspeed | {{speed10|speed100|speed1000} {fullduplex|halfduplex}}}
12. 設定端口學習mac 位址數目
set port [portlist] macaddress {on [0-16] | off}
預設情況下端口的mac 位址限制為關閉。
13. 設定端口mac 位址固化保護
set port [portlist] fix-mac on [0-16] { shutdown | protect }
14. 設定端口mac 位址固化自動恢複時間
set port [portlist] fix-mac auto-recover-time {on [5-240]| off}
設定端口固化保護的自動恢複時間,此指令隻有使能了位址固化保護且保護模式為shutdown 模式才可以設定,預設值為30 分鐘。如果設定為off,則為手動恢複模式。
15. 設定端口絞線方式
set port [portlist] mdix {auto|crossover|normal}
16. 為端口建立描述名稱
create port [portname] name [name]
17. 為端口添加描述
set port [portlist] description [string]
端口配置資訊檢視
使用show 指令可以檢視端口的相關資訊。
1. 顯示端口的配置資訊和工作狀态
show port [[portlist]]
2. 顯示端口qos 配置資料
show port [portlist] qos
3. 顯示端口的統計資料
show port [portlist] statistics
4. 清除端口的統計資料
clear port [portlist] {name|statistics|description}
可以清除端口的統計資料。執行該指令後,端口的所有統計資料都将被清零。
5. 顯示端口的機關時間流量的統計資料
show port [portlist] statistics
二、端口鏡像
端口鏡像用于将進入交換機端口(入向鏡像端口)的資料包鏡像到一個入向目的端口(入向監控端口),或将出交換機端口(出向鏡像端口)的資料包鏡像到一個出向目的端口(出向監控端口)。
端口鏡像基本配置
端口鏡像功能的配置包括以下内容。
1. 設定監控端口
set mirror add dest-port [portname] {ingress|egress}
2. 删除監控端口
set mirror delete dest-port [portname] {ingress|egress}
3. 添加鏡像源端口
set mirror add source-port [portlist] {ingress|egress}
4. 删除鏡像源端口
set mirror delete source-port [portlist] {ingress|egress}
5. 顯示端口鏡像的配置
show mirror
三、VLAN配置
vlan(virtual local area network)協定是二層交換裝置的一個基本協定,它使管理者能夠把一個實體的區域網路劃分為多個“虛拟區域網路”。每個vlan 都有一個vlan 辨別号(vlan id),在整個區域網路中唯一的辨別該vlan。多個vlan共享實體區域網路的交換裝置和鍊路。
每個vlan 在邏輯上就像一個獨立的區域網路,同一個vlan 中的所有幀流量都被限制在該vlan 中。跨vlan 的通路隻能通過三層轉發,不能直接通路。這樣就提高了這個網絡的性能,有效的減少了實體區域網路上的整體流量。
vlan 的具體作用展現在:
- 減少網絡上的廣播風暴;
- 增強網絡的安全性;
- 集中化的管理控制。
VLAN基本配置
1. 使能/關閉vlan
set vlan [vlanlist] {enable|disable}
2. 在vlan 中加入指定的端口
set vlan [vlanlist] add port [portlist] [tag|untag]
3. 删除vlan 中指定的端口
set vlan [vlanlist] delete port [portlist]
4. 在vlan 中加入指定的trunk
set vlan [vlanlist] add trunk [trunklist] [tag|untag]
5. 删除vlan 中指定的trunk
set vlan [vlanlist] delete trunk [trunklist]
6. 設定端口的pvid
set port [portlist] pvid [1-4094]
7. 設定trunk 的pvid
set trunk [ trunklist ] pvid [1-4094]
8. 設定vlan 的優先級
set vlan [vlanlist] priority {off|on [0-7]}
9. 配置vlan 的fid
set vlan [vlanlist] fid [1-256]
相同fid 的vlan 可以共享轉發表的條目,大多數廠家不提供fid 的設定,而是預設的讓fid=vid。
10.設定禁止學習端口
set vlan [vlanlist] forbid port [portlist]
啟用gvrp 協定時,禁止學習的端口不能學習該vlan。
11.允許學習端口
set vlan [vlanlist] permit port [portlist]
啟用gvrp 協定時,允許學習的端口可以學習vlan,預設允許學習。
12.設定禁止學習trunk
set vlan [vlanlist] forbid trunk [trunklist]
啟用gvrp 協定時,禁止學習的trunk 不能學習該vlan。
13.允許學習trunk
set vlan [vlanlist] permit trunk [trunklist]
啟用gvrp 協定時,允許學習的trunk 可以學習vlan,預設允許學習。
14. 建立一個vlan 的描述名稱
create vlan [1-4094] name [name]
15. 清除vlan 的名稱
clear vlan [vlanlist] name
16. 顯示vlan 的資訊
show vlan [[vlanlist]]
四、MAC表操作
對mac 表的操作主要包括mac 過濾功能、靜态位址捆綁功能和mac 表老化時間的設定。
- mac過濾功能是使交換機在接收到目的mac 位址為特定mac 位址的資料包時執行丢棄操作。
- 靜态位址捆綁功能是将特定的mac 位址與交換機的端口進行綁定,捆綁後對該mac 不再進行動态學習。
- mac 表老化時間是指動态mac 位址在fdb 表中從最後一次更新到被删除的時間段。
通過設定mac 位址過濾和靜态位址捆綁,可以有效地控制非法使用者侵入網絡,防止一些關鍵的mac 位址被冒用,對網絡安全起到重要的作用。
1. 配置fdb 的過濾位址
set fdb filter [xx.xx.xx.xx.xx.xx] fid [1-256]
2. 在位址表中加入靜态綁定位址
set fdb add [xx.xx.xx.xx.xx.xx] fid [1-256] {port [portname]|trunk [trunkid]} [priority [0-7]]
3. 在位址表中删除一條記錄
set fdb delete [xx.xx.xx.xx.xx.xx] fid [1-256]
4. 設定位址老化時間
set fdb agingtime [15-3600]
預設為240s
5. 顯示fdb 位址老化時間
show fdb agingtime
6. 顯示fdb 表資訊
show fdb dynamic port [portname] [detail]
show fdb [[static|dynamic][detail]]
7. 顯示過濾位址資訊
show fdb filter
8. 顯示基于mac 的fdb 資訊
show fdb mac [xx.xx.xx.xx.xx.xx]
9. 顯示基于port 的fdb 資訊
show fdb port [portname]
10. 顯示基于vlan 的fdb 資訊
show fdb vlan [vlanname]
11. 顯示基于trunk 的fdb 資訊
show fdb trunk [trunkid]
六、Lcap配置
lacp(link aggregation control protocol)即鍊路聚合控制協定,是ieee 802.3ad描述的标準協定。
鍊路聚合(link aggregation)是指将具有相同傳輸媒體類型、相同傳輸速率的實體鍊路段“捆綁”在一起,在邏輯上看起來好像是一條鍊路。鍊路聚合又稱中繼(trunking),它允許交換機之間或交換機和伺服器之間的對等的實體鍊路同時成倍地增加帶寬。是以,它在增加鍊路的帶寬、建立鍊路的傳輸彈性和備援等方面是一種很重要的技術。
聚合的鍊路又稱幹線(trunk)。如果trunk 中的一個端口發生堵塞或故障,那麼資料包會被配置設定到該trunk 中的其他端口上進行傳輸。如果這個端口恢複正常,那麼資料包将被重新配置設定到該trunk 中所有正常工作的端口上進行傳輸。
1. 使能或關閉lacp 功能
set lacp {enable|disable}
lacp 功能的預設狀态是關閉的。
2. 在聚合組中加入指定端口
set lacp aggregator [trunkid] add port [portlist]
3. 在聚合組中删除指定端口
set lacp aggregator [trunkid] delete port [portlist]
端口處于自動協商模式時允許聚合;否則如果端口處于雙工模式則允許聚合,處于半雙工模式則不允許聚合。
4. 設定聚合組聚合模式
set lacp aggregator [trunkid] mode {dynamic|static | mixed }
當聚合組配置成動态模式時,則隻能與運作lacp 的裝置對接。當配置成靜态模式時,如果對端是靜态的trunk(不運作lacp 協定),則進行靜态聚合;當聚合組配置成混合模式時,如果對端是靜态的trunk(不運作lacp協定),則進行靜态聚合;當對端同時存在靜态trunk 和lacp 時,優先考慮lacp 聚合。
5. 配置參與聚合的端口的逾時情況
set lacp port [portlist] timeout {long|short}
逾時情況是指處于聚合狀态的端口沒有收到對端的lacp 協定包時,經過多長時間退出聚合,短逾時是3 秒,長逾時是90 秒。
6. 設定端口參與聚合的模式
set lacp port [portlist] mode {active|passive}
端口參與聚合的模式是指在聚合組非靜态模式下,聚合組内端口以主動或被動方式發送lacp 協定包來更新狀态資訊的方式。當本端端口配置為主動協商模式時,對端端口可配置為主動或被動協商模式;當本端端口配置為被動協商模式時,對端端口隻能配置為主動協商模式,否則不能成功參與聚合(運作lacp 協定時)。
7. 設定lacp 的優先級
set lacp priority [1-65535]
8. 顯示lacp 的配置資訊
show lacp
9. 顯示lacp 聚合組聚合資訊
show lacp aggregator [[trunkid]]
10. 顯示lacp 參與聚合的端口資訊
show lacp port [[portlist ]]
配置聚合組後,可以對它進行各種設定,如設定pvid、加入vlan、靜态綁定mac 位址等。
七、IGMP Snooping配置
由于多點傳播位址不可能出現在封包的源位址中,是以交換機無法學習到多點傳播位址。當交換機收到多點傳播資訊時,會向同一個vlan 中的所有端口廣播。如果不采取措施,就會出現不想要的多點傳播資訊擴散到網絡中每一點的嚴重問題,浪費網絡帶寬資源。
igmp snooping 通過對主機和路由器之間的igmp 協定通信的“監聽”,使多點傳播包隻發送給在多點傳播轉發表中的端口,而不是所有端口,進而限制了區域網路交換機上的多點傳播資訊擴散,減少了不必要的網絡帶寬的浪費,提高了交換機的使用率。
基于源或目的位址的多點傳播過濾,能夠按照使用者在監聽vlan 添加的過濾條目對主機向路由器發送的igmp 協定封包進行過濾處理,增強交換機對多點傳播監聽的控制。
1. 使能或關閉igmp snooping 功能
set igmp snooping {enable|disable}
igmp snooping 功能的預設狀态是關閉的。
當igmp snooping 功能關閉時,對于多點傳播流根據set port multicast 指令的配置進行處理,如果選擇參數forward 則對相應端口進行轉發,如果選擇discard 則對相應端口丢棄。
使能igmp snooping 功能後,對于多點傳播流首先根據監聽到的多點傳播轉發表來轉發,如果沒有查找到該多點傳播轉發表,則按照上述的配置針對端口決定轉發或丢棄。
當igmp snooping 關閉時,對于非路由端口,最好關閉端口的多點傳播轉發功能;而對于路由端口,最好開啟端口的多點傳播轉發功能。
2. 添加對指定vlan 的igmp snooping 功能
set igmp snooping add vlan [vlanlist]
3. 删除對指定vlan 的igmp snooping 功能
set igmp snooping delete vlan [vlanlist]
隻有添加對指定的vlan 進行多點傳播監聽的功能,才能監聽到相應的多點傳播轉發表。本交換機最多支援同時監聽256 個vlan。
4. 使能或關閉對指定vlan 的igmp query 功能
set igmp snooping query vlan [vlanlist] {enable|disable}
使能了igmp snooping 功能後,如果沒有igmp query 路由器存在,則無法完成正常的igmp snooping 的功能,這時可以開啟交換機的igmp query的功能。
如果所監聽的vlan 存在igmp query 路由器,最好關閉本交換機的igmp query 功能。交換機運作的igmp query 版本是v2.0,遵循v2.0 igmp query 路由器選舉功能。當配置了三層端口的ip 和mac 位址,則igmp query 的源ip 和源mac 使用三層配置;否則使用223.255.255.255 和交換機的mac 位址作為igmp query 的源。
5. 添加基于vlan 的靜态多點傳播組
set igmp snooping vlan [vlanname] add group [a.b.c.d]
6. 删除基于vlan 的靜态多點傳播組
set igmp snooping vlan [vlanname] delete group [a.b.c.d]
當已添加了基于此vlan 和某些端口的靜态多點傳播組後,則不再允許添加僅基于此vlan 的靜态多點傳播組;同時,當删除基于vlan 的靜态多點傳播組時,則已添加了基于此vlan 和某些端口的靜态多點傳播組也被同時清除。
7. 添加基于vlan+端口或vlan+聚合口的靜态多點傳播組
set igmp snooping vlan [1-4094] add group [a.b.c.d] port [portlist]
或
set igmp snooping vlan [1-4094] add group [a.b.c.d] trunk [trunklist]
8. 删除基于vlan+端口或vlan+聚合口的靜态多點傳播組
set igmp snooping vlan [1-4094] delete group [a.b.c.d] port [portlist]
或
set igmp snooping vlan [1-4094] delete group [a.b.c.d] trunk[trunklist]
或
set igmp snooping vlan [1-4094] delete group [a.b.c.d]
當運作了igmp snooping 的功能,允許以本交換機的名義注冊基于vlan 或基于vlan+端口的靜态多點傳播組,本交換機支援最多對64 個靜态多點傳播組的注冊。
注冊的靜态多點傳播組隻能是使用者多點傳播位址224.x.x.x~239.x.x.x,不能是保留的多點傳播位址。224.0.0.x 的多點傳播位址不允許注冊。
注冊的靜态多點傳播組所在vlan 必須是已被監聽的vlan。
9. 添加靜态路由端口或聚合口
set igmp snooping vlan [1-4094] add smr port [portlist]
或
set igmp snooping vlan [1-4094] add smr trunk [trunklist]
10.删除靜态路由端口或聚合口
set igmp snooping vlan [1-4094] delete smr port [portlist]
或
set igmp snooping vlan [1-4094] delete smr trunk [trunklist]
當為某個監聽vlan 添加了靜态路由端口或聚合口後,能夠将此端口或聚合口添加到此監聽vlan 對應的所有多點傳播組中,并且多點傳播組中成員端口的加入、離開等封包将同時向路由端口和此靜态路由端口轉發;
11. 設定基于vlan 的多點傳播組數目限制
set igmp snooping add maxnum [1-256] vlan [vlanlist]
12. 清除基于vlan 的多點傳播組數目限制
set igmp snooping delete maxnum vlan [vlanlist]
預設狀态下,每個被監聽的vlan 所能建立的多點傳播組數目為256,當設定了此vlan 的多點傳播組數目後,此vlan 上所能建立的多點傳播組條目不會大于此vlan 限制的多點傳播組數目。
13. 設定多點傳播成員/路由逾時
set igmp snooping timeout [100-2147483647] {host|router}
14. 設定查詢周期
set igmp snooping query_interval [10-2147483647]
15. 設定查詢響應周期
set igmp snooping response_interval [10-250]
16. 設定最後的成員查詢周期
set igmp snooping lastmember_query [10-250]
17. 使能或關閉igmp 的快速離開功能
set igmp snooping fastleave {enable|disable}
運作了igmp snooping 功能,并正确地監聽到了主機加入的端口後,當該端口收到igmp 離開封包時,如果關閉了igmp 的快速離開功能,則交換機将向該端口發送兩次特定組查詢,以确認是否在多點傳播轉發表中删除該端口;如果使能了igmp 的快速離開功能,則不進行特定組查詢,直接從多點傳播轉發表中删除該端口。
當跨vlan 的多點傳播監聽從使能狀态變為關閉狀态時,經過跨vlan 多點傳播監聽的某些監聽結果要經過相應的逾時時長才能正确删除掉。
18. 使能或關閉跨vlan 的igmp snooping 功能
set igmp snooping crossvlan {enable|disable}
當運作了igmp snooping 功能,并利用pvid(default vlan_id)正确地配置一對多的端口轉發形式後,可以利用本交換機跨vlan 的igmpsnooping 功能對不同vlan 之間的igmp 資訊進行監聽并進行跨vlan的多點傳播轉發。
19. 使能或關閉多點傳播過濾功能
set igmp filter {enable|disable}
多點傳播過濾功能的預設狀态是關閉的。
當使能多點傳播過濾功能後,對于多點傳播加入請求的處理,将按照添加的多點傳播過濾條目對其進行過濾後再進行處理;如果多點傳播過濾功能關閉,對于端口的加入請求,将不作任何基于源位址或組位址的過濾操作。
20. 添加基于vlan 的多點傳播組位址過濾
set igmp filter add groupip [a.b.c.d] vlan [vlanlist]
21. 删除基于vlan 的多點傳播組位址過濾
set igmp filter delete groupip [a.b.c.d] vlan [vlanlist]
22. 添加基于vlan 的多點傳播源位址過濾
set igmp filter add sourceip [a.b.c.d] vlan [vlanlist]
在多點傳播過濾使能後,設定了基于vlan 的多點傳播源位址過濾條目後,此vlan内的端口如果收到源位址為此過濾位址的多點傳播加入請求時,本端交換機不對此端口的加入請求進行處理。
23. 删除基于vlan 的多點傳播源位址過濾
set igmp filter delete sourceip [a.b.c.d] vlan [vlanlist]
24. 顯示多點傳播監聽的配置
show igmp snooping
25. 顯示多點傳播監聽結果
show igmp snooping vlan [[vlanname] [host|router]]
26.顯示多點傳播過濾狀态
show igmp filter
27.顯示某監聽vlan 的多點傳播位址過濾條目
show igmp filter vlan [1-4094]
七、IPTV配置
iptv 又稱互動式網絡電視,是由營運商基于寬帶基礎推出的,利用ip 寬帶網絡,集網際網路、多媒體、通信等多種技術于一體,向使用者提供直播電視、視訊點播、上網浏覽等多種互動式服務的業務,使用者可以通過pc 或“ip 機頂盒+電視”的方式使用的業務。
IPTV基本配置
先進入nas 配置管理模式:
config nas
1. iptv 全局參數配置:
設定使用者的最小觀看時間
iptv control log-time
設定全局最大預覽次數
iptv control prvcount count
設定全局最小預覽間隔
iptv control prvinterval
設定全局最大預覽時間
iptv control prvtime
設定全局複位預覽次數的周期
iptv control prvcount reset-period
iptv 使能功能
iptv control {enable|disable}
2. iptv 頻道配置
建立iptv 的頻道
create iptv channel [channellist]
設定頻道名
iptv channel [channellist] name
設定頻道所屬多點傳播vlan
iptv channel [channellist] mvlan
删除頻道
clear iptv channel [channellist]
3. cac(頻道通路控制)配置
建立cac 規則
create iptv cac-rule [rule id]
設定規則名
iptv cac-rule [rulelist] name
設定規則的最大預覽次數,預設為全局最大預覽次數
iptv cac-rule [rulelist] prvcount
設定規則的最大預覽時間,預設為全局最大預覽時間
iptv cac-rule [rulelist] prvtime
設定規則的最小預覽間隔,預設為全局最小預覽間隔
iptv cac-rule [rulelist] prvinterval
設定規則對頻道的權限
iptv cac-rule [rulelist] right
删除規則
clear iptv cac-rule [rulelist]
4. iptv 使用者的管理指令
删除線上的iptv 使用者
clear iptv client
IPTV的維護和診斷
當iptv 遇到問題時,我們可以通過相關的調試指令來幫助定位故障,排除錯誤,其中用到的指令主要是與其相關的show 指令。
1. 顯示iptv 的全局配置資訊
show iptv control
2. 顯示iptv 頻道資訊
show iptv channel
3. 顯示特定頻道号的頻道統計資訊
show iptv channel [id|name]
4. 顯示cac 規則
show iptv cac-rule
5. 顯示cac 規則統計
show iptv cac-rule [id|name]
6. 顯示線上的iptv 使用者
show iptv client
八、MSTP配置
stp(生成樹協定)應用于有環路的網絡,通過一定的算法得到一條通路,并阻斷備援路徑,将環路網絡修剪成無環路的樹型網絡,進而避免封包在環路網絡中的增生和無限循環。當這條通路正常工作時,其餘路徑是關閉的;當這條通路出現故障時,将重新進行計算得到一條新的通路。
rstp(快速生成樹協定)在普通stp 協定的基礎上增加了端口可以快速由blocking 狀态轉變為forwarding 狀态的機制,加快了拓撲的收斂速度。
mstp(多生成樹協定)是在快速和普通生成樹協定基礎上,增加對帶有vlan id的幀轉發的處理。整個網絡拓撲結構可以規劃為總生成樹cist,分為cst(主幹生成樹)和ist(區域生成樹)
在整個多生成樹的拓撲結構中,可以把一個ist 看作一個單個的網橋(交換機),這樣就可以把cst 作為一個rstp 生成樹來進行配置資訊(bpdu)的互動。在一個ist 區域内可以建立多個執行個體,這些執行個體隻在本區域内有效。可以把每一個執行個體等同于一個rstp 生成樹,不同的是還要與區域外的網橋進行bpdu 的互動。
使用者在建立某個執行個體時,必須将一個或多個vlan id 劃入此執行個體中。ist 區域内的網橋上屬于這些vlan的端口通過bpdu的互動,最終構成一個生成樹結構(每個執行個體對應一個生成樹結構)。
這樣,該區域内的網橋在轉發帶有這些vlan id 的資料幀時,将根據對應執行個體的生成樹結構進行轉發。對于要轉發到該區域外的資料幀,無論它帶有何種vlanid,均按照cst 的rstp 生成樹結構進行轉發。
與rstp 相比,mstp 的優點在于:在某個ist 區域中,可以按照使用者設定的生成樹結構對帶有某個vlan id 的資料幀進行轉發,并保證不會造成環路。
1. 使能/關閉stp
set stp {enable|disable}
2. 設定stp 的強制類型
set stp forceversion {mstp|rstp|stp}
3. 設定vlan 和instance 的映射關系
set stp instance [0-15][add|delete] vlan [vlanlist]
該指令建立一個執行個體,并設定vlan 與該執行個體的映射關系。這些vlan 将自動從instance 0 的vlan 映射表中删除,加入建立執行個體的vlan 映射表中。
4. 設定網橋優先級
set stp instance [0-15] bridgeprio [0-61440]
5. 設定執行個體端口優先級
set stp instance [0-15] port [portname] priority [0-255]
6. 設定執行個體trunk 的優先級
set stp instance [0-15] trunk [ trunkid ] priority [0-255]
7. 設定執行個體端口費用
set stp instance [0-15] port [portname] cost [1-200000000]
8. 使能/關閉執行個體端口root 保護
set stp instance [0-15] port [portname] root-guard {enable|disable}
9. 使能/關閉執行個體端口loop 保護
set stp instance [0-15] port [portname]loop-guard{enable|disable}
10. 設定執行個體trunk 費用
set stp instance [0-15] trunk [trunkname] cost [1-200000000]
11. 使能/關閉執行個體trunk root 保護
set stp instance [0-15] trunk [trunkname] root-guard {enable|disable}
12. 使能/關閉執行個體trunk loop 保護
set stp instance [0-15] trunk [trunkname]loop-guard{enable|disable}
13. 使能/關閉端口stp 功能
set stp port [portlist]{enable|disable}
14. 使能/關閉trunk 的stp 功能
set stp trunk [trunklist]{enable|disable}
15. 使能/關閉端口bpdu 保護
set stp port [portlist] bpdu-guard{enable|disable}
16. 設定端口stp 類型檢查
set stp port [portlist] pcheck
17. 設定執行個體端口的linktype 類型
set stp port [portlist] linktype {point-point|shared}
18. 設定執行個體trunk 的linktype 類型
set stp trunk [trunklist] linktype {point-point|shared}
19. 設定執行個體端口的包類型
set stp port [portlist] packettype {ieee|cisco|huawei| hammer|extend}
20. 設定執行個體trunk 的包類型
set stp trunk [trunklist] packettype {ieee|cisco|huawei| hammer|extend }
21. 設定mstp 的時間參數
設定stp 的通告間隔時間
set stp hellotime [1-10]
設定stp 的轉發延遲時間
set stp forwarddelay [4-30]
設定stp 的老化時間
set stp agemax [6-40]
22. 設定mst 的任意兩終端間的最大跳數
set stp hopmax [1-40]
23. 設定mst 的區域名稱
set stp name [name]
24. 設定mst 的版本号
set stp revision [0-65535]
同一區域内mst 的版本号必須相同。
25. 使能/關閉stp relay
set stp relay {enable|disable}
26. 設定邊緣端口
set stp edge-port {add|delete} port [portlist]
27. 設定stp 的hmd5 摘要
set stp hmd5-digest {cisco|huawei}[0,0x00..0-0xff..f]
28. 設定stp 的hmd5 關鍵字
set stp hmd5-key {cisco|huawei}[0,0x00..0-0xff..f]
29. 檢視stp 的相關資訊
顯示stp 的資訊
show stp
顯示stp 執行個體的資訊
show stp instance [[0-15]]
顯示stp 端口的資訊
show stp port [[portlist]]
顯示stp trunk 的資訊
show stp trunk [trunklist]
顯示stp relay 的資訊
show stp relay
九、QoS配置
交換機提供一定的qos 功能,提供優先級控制功能,可以基于資料包的源mac位址優先級、vlan 優先級、802.1p 使用者優先級、三層dscp 優先級或端口預設優先級來決定資料包的優先級。一個資料包優先級決定順序為(前面的優先):
- cpu 發送的資料包優先級(由cpu 決定);
- mgmt 資料包(管理資料包,如bpdu 包)優先級(初始化決定管理包的優先級);
- 靜态源mac 位址優先級;
- valn 優先級;
- 802.1p 使用者優先級;
- 三層dscp 優先級;
- 端口預設優先級。
目前面的優先級決定機制決定資料包的優先級後,後面的優先級決定政策被忽略。如果要使用端口的預設優先級決定端口接收的資料包的優先級時,需滿足以下的所有條件:
- 資料包必須不是cpu 發送的資料包和管理包。
- 資料包的源mac 位址不是靜态位址或端口源位址優先級沒有使能。
- 資料包所在vlan 的優先級沒有使能或端口的vlan 優先級沒有使能。
- 端口的802.1p 使用者優先級沒有使能或資料包不是tag 資料包。
- 端口的dscp 優先級沒有使能。
為交換機配置優先級控制政策後,當交換機接收到相應的資料幀,高優先級的資料幀可以優先傳輸,進而保證關鍵應用。
預設情況下,端口上802.1p 使用者優先級功能是使能的,其他的優先級決定政策是關閉的,使用者可以根據實際需要,基于端口開啟或關閉任意優先級決定政策。
在同時使能端口的802.1p 使用者優先級和三層dscp 優先級,且端口接收的資料包有802.1p 使用者優先級的ip 資料包時,交換機使用資料包的802.1p 使用者優先級決定資料包優先級。
1. 設定隊列排程模式
set qos queue-schedule {sp|wfq}
2. 設定802.1p 使用者優先級到隊列優先級映射
set qos priority-map user-priority [0-7] traffic-class [0-3]
預設情況下,802.1p 使用者優先級到隊列優先級對應關系為:
(0,3)→1;(1,2)→0;(4,5)→2;(6,7)→3
此對應關系在端口使用802.1p使用者優先級或預設優先級決定資料包優先級時來決定資料包所上的隊列。
3. 設定ip dscp 優先級到隊列優先級映射
set qos priority-map ip-priority [0-63] traffic-class [0-3]
預設情況下,802.1p 使用者優先級到隊列優先級對應關系為:
(0~15)→0;(16~31)→1;(32~47)→2;(48~63)→3
此對應表在端口有三層dscp 優先級決定資料包優先級時來決定資料包所上的隊列。
4. 設定封包的最大長度
set qos max-frame-size [1522/1632]
設定封包的最大長度為1522 bytes 或者1632 bytes,預設值為1632bytes。
5. 顯示隊列排程配置
show qos queue-schedule
6. 顯示qos 的802.1p 使用者優先級到隊列優先級映射/三層dscp 優先級到隊列優先級映射
show qos priority-map {user-priority|ip-priority}
十、PVLan配置
pvlan(private vlan)是一個基于端口的vlan。pvlan 是由若幹個共享端口和若幹個隔離端口組成,隔離端口之間不能互相通路,但隔離端口和共享端口之間可以互相通路。目前一個交換機裝置中之支援一個pvlan。
pvlan 的具體應用如隻允許使用者通路伺服器,不允許使用者之間的直接互訪。是以pvlan 的設定隻會在一個完整的pvlan(既有共享端口又有隔離端口)中生效,如果隻配置了共享端口,或者隻配置了隔離端口,pvlan 的設定将失效。
1. 在pvlan 中增加/删除隔離端口/共享端口
set pvlan session [id] {add|delete} {isolated-port [portlist] | promiscuous {port[portname]|trunk[trunkid]}}
2. 顯示pvlan 配置
show pvlan
十一、802.1透傳配置
ieee 802.1x 是基于端口的通路控制協定(port-based network access control)。基于端口的通路控制是對連接配接到區域網路(lan)裝置的使用者進行認證和授權的一種手段。這種認證在區域網路環境中提供了一種點對點的識别使用者的方式。
1. 開啟/關閉802.1x 透傳功能
set dot1x-relay {enable|disable}
2. 顯示802.1x 透傳配置
show dot1x-relay
十二、三層配置
為了實作使用者的遠端登入,需要在交換機上配置ip 端口,當遠端配置主機與交換機上的ip 端口不在同一個網段時,還需要進行靜态路由的配置。
靜态路由是一種簡單的單點傳播路由協定,由使用者指定到達某一目的網段的“下一跳”位址,其中“下一跳”也稱為網關。靜态路由的内容主要包括目的位址、目的位址掩碼、下一跳位址、出接口。目的位址和目的位址掩碼描述目的網絡資訊,下一跳位址和出接口描述本交換機轉發此目的封包的方法。
基本配置
1. 設定三層端口的ip 位址和掩碼
set ipport [0-63] ipaddress {[a.b.c.d/m]|[a.b.c.d] [ a.b.c.d]}
2. 為三層端口綁定vlan
set ipport [0-63] vlan [vlanname]
3. 設定三層端口mac 位址
set ipport [0-63] mac [xx.xx.xx.xx.xx.xx]
如果不設定,則使用交換機的mac 位址。
4. 使能/關閉三層端口
set ipport [0-63] {enable|disable}
在更改一個ip 端口的設定時,先要将端口設定為disable 狀态,然後設定需要修改的項,新的設定将覆寫原來的設定。
可以用以下指令清除端口的某個參數或全部參數,在清除之前同樣要将端口設定為disable 狀态。
clear ipport [0-63] [mac|ipaddress {[a.b.c.d/m]|[a.b.c.d] [a.b.c.d]}|vlan [vlanname]]
在配置好一個ip 端口後,如果要接入的遠端使用者不在接口的網段中,需要使用以下指令設定一條到遠端網絡的靜态路由。
iproute {[a.b.c.d/m]|[a.b.c.d] [ a.b.c.d]} [ a.b.c.d] [[1-15]]
ARP表項配置
1. 增加靜态arp 表項
arp add [a.b.c.d] [xx.xx.xx.xx.xx.xx] [0-63] [vlanname]
2. 删除靜态arp 表項
arp delete [a.b.c.d]
3. 删除所有的arp 表項
clear arp
4. 設定ip 端口arp 表項的老化時間
arp ipport [0-63] timeout [1-1000]
當arp 表項在交換機上存在的時間(此間沒有接收到此ip 位址的封包),大于ip 端口上的老化時間時,交換機将删除此arp 表項。
5. 檢視arp 表中的表項
show arp [static|dynamic|invalid|ipport [0-63] {static|dynamic|invalid} |ipaddress [a.b.c.d]]
十二、接入服務配置
随着寬帶以太網建設規模的迅速擴大,為了滿足接入使用者數量急劇增加和寬帶業務多樣性的要求,在交換機上嵌入了接入服務(nas),以完備接入使用者的認證和管理功能,更好地支援寬帶網絡的計費、安全、營運和管理。
接入服務在運用802.1x 協定和radius 協定的基礎上,實作對使用者接入的認證和管理功能,具有高效、安全、易于營運等優點。
ieee 802.1x 稱為基于端口的通路控制協定(port-based network access control)。
它的協定體系結構包括三個重要部分:
- 用戶端系統、
- 認證系統
- 認證伺服器。
radius(遠端使用者撥号認證系統)是一個在radius server 和radius client 之間進行認證、授權、配置資料資訊互動的協定标準。
radius 采用client/server 模型。在nas 上運作的是client 端,負責傳送使用者資訊到指定的radius 伺服器,并根據伺服器傳回的結果進行相應的操作。
pap(password authentication protocol)是一種簡單的明文驗證方式。nas 要求使用者提供使用者名和密碼,使用者以明文方式傳回使用者資訊。伺服器端根據使用者配置檢視是否有此使用者以及密碼是否正确,然後傳回不同的響應。這種驗證方式的安全性較差,傳送的使用者名和密碼容易被竊取。
chap(challenge handshake authentication protocol)是一種加密的驗證方式,能夠避免建立連接配接時傳送使用者的真實密碼。nas 向使用者發送一個随機産生的挑戰密碼,使用者用自己的密碼和md5 算法對挑戰密碼進行加密,并傳回使用者名和加密的挑戰密碼(加密密碼)。
伺服器端用自己儲存的使用者密碼和md5 算法對挑戰密碼進行加密。比較使用者和伺服器端的加密密碼,根據比較結果傳回不同的響應。
配置802.1x
先進入nas 管理模式:
config nas
1. 開啟/關閉端口的802.1x 功能
aaa-control port [portlist] dot1x {enable|disable}
2. 配置端口的認證控制模式
aaa-control port [portlist] port-mode {auto|force-unauthorized| force-authorized}
可以配置的模式如下:
- auto:從配置成auto 的端口接入的使用者必須通過認證,認證成功與否決定了使用者能否接入成功。
- force-authorized:強制認證通過,使用者不需要認證便可以通過該端口接入。
- force-unauthorized:強制認證不通過,使用者不能通過該端口接入。
預設的認證控制模式為auto。
3. 允許/禁止端口多使用者接入
aaa-control port [portlist] multiple-hosts {enable|disable}
4. 配置端口的最大使用者接入數目
aaa-control port [portlist] max-hosts [0-64]
一個端口可以接入多個使用者,每個使用者有自己獨立的認證和計費過程。一個端口允許有多個使用者接入時,
aaa-control port max-hosts
指令才有意義。
5. 打開/關閉配置重認證機制
dot1x re-authenticate {enable|disable}
6. 配置重認證的時間間隔
dot1x re-authenticate period [1-4294967295]
為了判斷接入的使用者是否一直保持連接配接,nas 可以定時要求接入的使用者進行重認證。重認證需要為每個線上使用者啟動一次完整的認證過程,如果使用者量較大,認證封包将非常頻繁,會對交換機造成一定的負擔。
7. 打開/關閉端口的異常下線檢測機制
aaa-control port [portlist] keepalive {enable|disable}
8. 設定端口的異常下線檢測周期
aaa-control port [portlist] keepalive period [1-3600]
除了重認證機制,為判斷接入使用者是否保持連接配接,nas 子產品還提供了異常下線檢測機制。異常下線檢測隻需要少量的封包互動便可以确定使用者是否線上。
異常下線檢測機制是通過裝置主動向用戶端定期發送檢測請求來實作的。
請求封包利用了802.1x 協定定義的eapol/eap repid 封包,如果收到用戶端的eapol/eap respid 響應說明該使用者線上;如果未收到響應則說明使用者已經下線。
9. 配置端口的認證方式
aaa-control port [portlist] protocol {pap|chap|eap }
使用者接入認證時,在認證伺服器與認證系統之間有三種使用者身份識别方式,包含pap,chap 和eap-md5 方式。系統預設為eap-md5。
10. 配置協定參數
設定認證系統一次認證失敗後到接受下一次認證請求的間隔
dot1x quiet-period [0-65535]
設定認證系統接收不到用戶端回複而重發eapol 資料包的等待時間
dot1x tx-period [1-65535]
設定認證系統接收來自認證用戶端系統的資料包的逾時時間
dot1x supplicant-timeout [1-65535]
設定認證系統接收來自認證伺服器的資料包的逾時時間
dot1x server-timeout [1-65535]
設定認證系統接收來自用戶端的challenge 響應的逾時重傳次數
dot1x max-request [1-10]
802.1x 通過在用戶端系統和認證系統之間傳遞eapol 資料包,在認證系統和認證伺服器之間傳遞radius 資料包實作通路控制。在傳遞資料包的過程中有如下的參數控制:
- quietperiod 是指在一次認證失敗後多長時間内認證系統不接收來自用戶端系統的認證請求,這項功能可以防止使用者試圖不停的進行認證。
- txperiod 是指認證系統在多長時間内沒有收到用戶端系統的回複,将會重發eapol 資料包到用戶端系統。
- supplicant timeout 和servertimeout 是用來表示在認證過程中認證系統接收來自用戶端系統和認證伺服器的資料包的逾時時間。
- max-request 是指在認證過程中,認證系統接收來自用戶端系統的challenge響應的逾時重傳次數。
11. 檢視端口的802.1x 配置
show aaa-control port [[portlist]]
12. 檢視802.1x 協定參數
show dot1x
配置radius
1. 添加/删除一個isp 域
radius isp [ispname] {enable|disable}
在radius 配置中,我們引入了域(isp-domain)的概念。不同的域可能由不同的isp 經營,接入裝置根據使用者輸入的使用者名中的域名部分(使用者名@域名)來區分使用者所屬的域,并将其認證和計費請求發送到相應域的認證和計費伺服器。每個域都有自己的radius 伺服器。
删除某個域後時,同該域相關的所有配置都被删除。
2. 在域中添加認證伺服器
radius isp [ispname] add authentication [a.b.c.d] [[0-65535]]
3. 在域中删除認證伺服器
radius isp [ispname] delete authentication [a.b.c.d]
每個域最多可配置3 個認證伺服器。伺服器的優先級同配置順序相關,最先配置的伺服器的優先級最高,最後配置的伺服器優先級最低。當删除一個伺服器時,後面的伺服器的優先級依次遞增。
4. 在域中添加記帳伺服器
radius isp [ispname] add accounting [a.b.c.d] [[0-65535]]
5. 在域中删除記帳伺服器
radius isp [ispname] delete accounting [a.b.c.d]
每個域最多可配置3 個記帳伺服器。伺服器的優先級同配置順序相關,最先配置的伺服器的優先級最高,最後配置的伺服器優先級最低。當删除一個伺服器時,後面的伺服器的優先級依次遞增。
6. 配置域的用戶端ip 位址
radius isp [ispname] client [a.b.c.d]
域的用戶端的ip 位址必須是交換機上一個接口的ip 位址。
7. 配置域的共享密碼
radius isp [ispname] sharedsecret [string]
共享密碼用于radius 用戶端與radius 伺服器進行資料加密,用戶端與伺服器的配置必須一緻。
8. 指定預設域
radius isp [ispname] defaultisp {enable|disable}
系統中隻能将一個域指定為預設域,系統将所有的沒有指定域名的使用者認證請求都發送到預設域中的radius 認證伺服器。
9. 配置域全帳号
radius isp [ispname] fullaccount {enable|disable}
當指定使用全帳号時,radius 用戶端使用“使用者名@域名”做為使用者名請求radius 伺服器認證;如果沒有指定使用全帳号,使用者名中不包含域名。
10. 配置域描述符
radius isp [ispname] description [string]
11. 配置radius 參數
配置伺服器響應逾時時間
radius timeout [1-255]
配置伺服器響應逾時重傳次數
radius retransmit [1-255]
配置接入伺服器名稱
radius nasname [nasname]
12. 打開/關閉端口的計費功能
aaa-control port [portlist] accounting {enable|disable}
13. 删除發送失敗的radius 記帳中止包
clear accounting-stop { session-id [session-id] | user-name [user-name] | isp-name [isp-name] | server-ip [a.b.c.d]}
14. 檢視radius 配置
show radius [ {ispname [[ispname]] } | {accounting-stop [session-id [session-id]] [user-name [user-name] ] [isp-name [isp-name]] [server-ip [a.b.c.d]] } ]
15. 設定dot1x 協定可使用的私有mac 位址
dot1x add fid [1-256] [ mac [hh.hh.hh.hh.hh.hh]]
一般的802.1x 包的目的mac 位址為0180c2000003,在有些交換機上這個目的mac 位址包不能透傳到認證交換機,為了能透傳,用戶端發出的包就不能用這個目的mac 位址,而使用一個約定的mac 位址,在認證交換機上必須配置這個mac 位址已識别802.1x 包。
如果增加mac 位址時不輸入mac 位址,則為預設值01d0d0ffffff。
16. 删除dot1x 協定可使用的私有mac 位址
dot1x delete fid [1-256]
十三、Qinq配置
qinq 是對基于ieee 802.1q 封裝的隧道協定的形象稱呼,又稱vlan 堆疊。qinq技術是在原有vlan 标簽(内層标簽)之外再增加一個vlan 标簽(外層标簽),外層标簽可以将内層标簽屏蔽起來。
qinq 不需要協定的支援,通過它可以實作簡單的l2vpn(二層虛拟專用網),特别适合以三層交換機為骨幹的小型區域網路。
1. 添加/删除customer 端口
set qinq customer port [portlist] {enable|disable}
2. 添加/删除uplink 端口
set qinq uplink port [portlist] {enable|disable}
3. 設定外層标簽的tpid
set qinq tpid [tpid]
4. 顯示qinq 配置
show qinq
配置qinq 時,spvlan 的customer 端口既可以設定為untagged 端口,也可以設定為tagged 端口。uplink 端口也是如此。
十三、SysLog配置
syslog 日志系統是以太網交換機中不可或缺的一部分,它是系統軟體子產品的資訊樞紐。日志系統管理大多數的重要資訊輸出,并且能夠進行細緻的分類,進而能夠有效地進行資訊篩選,為網絡管理者和開發人員監控網絡運作情況和診斷網絡故障提供了強有力的支援。
syslog 日志系統按照資訊來源進行劃分,依功能子產品進行資訊過濾,滿足使用者的定制要求。
1. 開啟/關閉syslog 功能
set syslog
syslog 功能預設是關閉的。開啟syslog,當資訊量較多時影響交換機的系統性能。
2. 定義syslog 資訊的等級
set syslog level
syslog 資訊的等級如概述中所述,預設設定為informational。
配置syslog 資訊的等級為emergencies 時,資訊将優先發送。
3. 設定syslog 資訊接收伺服器
set syslog add |delete server
本交換機最多可配置5 個syslog server 位址。
4. 開啟/關閉發送syslog 的子產品
set syslog module
開啟/關閉發送syslog 的功能子產品。
5.顯示syslog 配置
show syslog status
十四、NTP配置
ntp(網絡時間協定)是以太網交換機用來實作網絡裝置之間時間同步功能的子產品
1. 開啟/關閉ntp 功能
set ntp
本指令相當于ntp 功能的總開關,配置後其餘的ntp 指令才能生效。ntp 功能打開後,必須在配置了ntp 伺服器ip 位址之後才會真正進行時間同步動作,即要ntp 協定生效的必要條件是:設定了ntp 伺服器ip 位址和ntp 協定功能使能。
2. 設定ntp 伺服器的ip 位址
set ntp server
目前隻允許配置從一個時間伺服器同步時間。若配置多條指令,則後面的配置将覆寫前面的。
3. 設定ntp 協定發送同步時間請求時使用的源位址
set ntp source
預設情況下,交換機沒有配置源位址,ntp 發送同步時間請求時,由ip層決定封包所使用的ip 位址。
4. 顯示ntp 狀态
show ntp
十五、GARP/GVRP配置
garp(generic attribute registration protocol)是一種通用的屬性attribute 注冊協定,通過不同的應用協定,為相同交換網内成員之間動态分發vlan、多點傳播mac 位址等屬性資訊。
gvrp(garp vlan registration protocol)garp vlan 注冊協定是garp 所定義的一種應用協定,它基于garp 的協定機制動态維護交換機中的vlan 資訊。所有支援gvrp 特性的交換機能夠接收來自其他交換機的vlan 注冊資訊,并動态更新本地的vlan 注冊資訊,其中包括交換機上目前的vlan,以及這些vlan 包含了哪些端口等,而且所有支援gvrp 特性的交換機能夠将本地的vlan 注冊資訊向其他交換機傳播,以便根據需要使同一交換網内所有支援gvrp 特性的裝置的vlan 配置在互通性上達成一緻。
1. 使能/關閉系統gvrp 功能
set gvrp
系統gvrp 功能預設處于關閉狀态,該指令用于全局開啟/關閉gvrp。
gvrp 使能要在garp 使能的情況下才能進行。
2. 端口使能/關閉gvrp 功能
set gvrp port [portlist] {enable|disable}
系統端口gvrp 功能預設處于關閉狀态,該指令用于開啟/關閉端口gvrp功能,端口gvrp 功能開啟後可以接受gvrp 協定封包。
3. 配置端口的gvrp 注冊類型功能
set gvrp port [portlist] registration {normal|fixed|forbidden}
系統端口的gvrp 注冊類型預設處于normal 狀态,該指令用于設定端口gvrp 注冊類型,端口注冊類型有三種:
- normal:實體對接收到的garp 消息正常處理,可動态建立、注冊和登出vlan。
- fixed:忽略所有的garp 消息,但仍然在注冊狀态,允許手工建立和注冊vlan,防止vlan 的登出和其他接口注冊此接口所知vlan。
- forbidden:忽略所有的garp 消息,登出除了vlan1 以外的所有vlan,禁止在接口上建立和注冊其他vlan。
4. trunk 端口使能/關閉gvrp 功能
set gvrp trunk [trunklist] {enable|disable}
5. 配置trunk 端口的gvrp 注冊類型功能
set gvrp trunk [trunklist] registration {normal|fixed|forbidden}
系統trunk 端口的gvrp 注冊類型預設處于normal 狀态,該指令用于設定trunk 端口gvrp 注冊類型,trunk 端口注冊類型有三種,每種注冊類型的功能和端口的功能相同。
6. 顯示gvrp 配置資訊
show gvrp
該指令用于顯示gvrp 配置資訊,包括gvrp 使能與否,各端口和trunk端口gvrp 的配置情況。
![寶塔java項目部署日志路徑[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)