基站server調(diào)測(cè)書(shū)H3CS5000系列千兆以太網(wǎng)交換機(jī)

H3C并不確保手冊(cè)內(nèi)容完全沒(méi)有錯(cuò)誤，本手冊(cè)中的所有陳述、信息和建議也不構(gòu)成任何格意粗斜[[]{x|y|...[x|y|...{x|y|...}[x|y|...]#格意<<>[[]/您可以通過(guò)H3C ）獲取的產(chǎn)品資料 與產(chǎn)品資料相關(guān)的主要欄目介紹如下 產(chǎn)品介 產(chǎn)品簡(jiǎn) 業(yè)務(wù)特 準(zhǔn)備工 系統(tǒng)管 升級(jí)軟 故障5- 端口管 5 7端口流量6- 設(shè)備管 1設(shè)置 1 1 2 3 8 9 設(shè)置 設(shè)置 設(shè)置IGMPSnoo7-IGMPSnoo原 IGMPSnoo基本概 IGMPSnoo工作機(jī) 設(shè)置IGMPSnoo7- 設(shè)置 設(shè)置SNMP 安全專 1設(shè)置防MAC地址8-設(shè)置 2 2 3設(shè)置Radius 5設(shè)置 9 9 智能設(shè) 1 1 2 1 1 1組網(wǎng) 1 2 4 4組網(wǎng) 4 4 5 5 5組網(wǎng) 6 6附錄-命令行設(shè) 1 1 1 3 4 8設(shè)置用戶分級(jí)保護(hù)11- 8 設(shè)置802.1q IGMPSnoo設(shè) 開(kāi)啟/關(guān)閉全局IGMPSnoo11- 設(shè)置防11- 附錄-故障排 附錄-缺省配 附錄-產(chǎn)品術(shù) v您想了解什么？通過(guò)搭建Web環(huán)境來(lái)管理設(shè)備，同時(shí)想進(jìn)一步熟悉其設(shè)置通過(guò)Web設(shè)置頁(yè)面來(lái)實(shí)現(xiàn)端口的基本功能，比如：端口屬通過(guò)Web設(shè)置頁(yè)面來(lái)實(shí)現(xiàn)設(shè)備的高級(jí)業(yè)務(wù)功能，比如VLAN規(guī)劃、管理MAC地址表、SNMP、信息中心防、AAA、802.1x等通過(guò)Web設(shè)置頁(yè)面輕松配置設(shè)備，從而滿足企業(yè)的基本組H3CS5000系列千兆以太網(wǎng)交換機(jī)（S5000交換機(jī)）H3C公司目前，S5000交換機(jī)包含如下型號(hào)：表2-1提供2410/100/1000Base-T自協(xié)商的以太網(wǎng)端口、2個(gè)千兆SFP口S5024P-EI23的端口，分別對(duì)應(yīng)10/100/1000Base-T自適應(yīng)以太端口24與之類似。810/100/1000Base-T自協(xié)商的以太網(wǎng)電口、16100Mbps/1000MbpsSFP光模塊接口和一個(gè)Console口表2-2最多支持24個(gè)基于端口的4個(gè)優(yōu)先級(jí)隊(duì)支持WRR、HQ-WRR隊(duì)列支持手工和靜LACP匯支持WEB圖表方式流MAC地址最多支8KMAC地支持Web設(shè)置頁(yè)面管Console支持net管支持SNMP管支持管理PC控支持Syslog（系統(tǒng)日志設(shè)備IP地址分支持在管理VLAN接口上配置IP地支持在管理VLAN接口上通過(guò)DHCP方式獲取IP地MAC支持系統(tǒng)CPU防功登錄Web設(shè)置Web設(shè)置頁(yè)面前，您需要確保管理計(jì)算機(jī)和網(wǎng)絡(luò)滿足一些基本計(jì)算機(jī)建立網(wǎng)絡(luò)換機(jī)，具體配置請(qǐng)參見(jiàn)“5.9設(shè)置管理PC控制”或“11.14.6設(shè)置管理PC控制”）。接狀態(tài)”窗口>按鈕，進(jìn)入“Internet協(xié)議（TCP/IP）屬性”窗口。選擇“使用下面的IP地址”單選按鈕，輸入IP地址（在～54IP地址）輸入“33（此處是交換機(jī)的取消服務(wù)(1)在瀏覽器窗口中，選擇[工具/Internet選項(xiàng)]進(jìn)入“Internet選項(xiàng)”窗口(2)(2)選擇“連接”頁(yè)簽，并單擊<局域網(wǎng)（LAN）面。請(qǐng)確認(rèn)未選中“為L(zhǎng)AN使用 熟悉Web設(shè)置Web設(shè)置頁(yè)面，您可以通過(guò)該設(shè)置頁(yè)面快速地完成所需功能的配置。本章將帶領(lǐng)您先了解和熟悉Web設(shè)置頁(yè)面。成功登錄后，進(jìn)入Web設(shè)置頁(yè)面，如圖4-1所示圖4-1Web表4-1打開(kāi)Web設(shè)置頁(yè)面的頁(yè)面，提供當(dāng)前頁(yè)面操作時(shí)的幫助信（如圖3-1所示） 設(shè)置管理PC換機(jī)當(dāng)前運(yùn)行的軟件版本、MAC地址、管理VLAN等（靜態(tài)設(shè)置或DHCP動(dòng)態(tài)獲?。?、設(shè)置MAC地址老化時(shí)間表5-1MAC地DHCP獲取地提出配置申請(qǐng)，服務(wù)器返回為客戶端分配的IP地址等配置信息，以實(shí)現(xiàn)網(wǎng)絡(luò)資源的動(dòng)態(tài)配置。在DHCP的典型應(yīng)用中，一般包含一臺(tái)服務(wù)器和多臺(tái)客戶端（如PC和便攜機(jī)）如果您想讓交換機(jī)從網(wǎng)絡(luò)上自動(dòng)獲取IP地址（若DHCPServer存在且網(wǎng)絡(luò)正常連接），則可以開(kāi)啟DHCPClient功能開(kāi)啟DHCPClient功能后，您需要通過(guò)Console口下displayip命令來(lái)查看自動(dòng)分配本地IP地設(shè)置交換機(jī)的靜態(tài)IP地設(shè)置交換機(jī)靜態(tài)IP地址的子網(wǎng)掩網(wǎng)關(guān)IP地設(shè)置交換機(jī)的網(wǎng)關(guān)IP地MAC地址老化時(shí)設(shè)置Web開(kāi)啟/關(guān)閉Web登錄功管理net用戶登表5-2當(dāng)您關(guān)閉了Web登錄功能后，用戶登錄Web設(shè)置頁(yè)面時(shí)則不再需要輸入如果您想通過(guò)net方式登錄到交換機(jī)進(jìn)行命令行管理，則必須選中“開(kāi)啟”選項(xiàng)，并設(shè)交換機(jī)支持三種net用戶認(rèn)證方式，如表5-3所示，您可以根據(jù)實(shí)際需求進(jìn)行選表5-3net不認(rèn)證，即net登錄到交換機(jī)時(shí)不提示驗(yàn)證，直接進(jìn)入命令行管理。最多允許創(chuàng)建2個(gè)net用戶（分別對(duì)應(yīng)VTY0用戶界面和VTY1用戶界面）。用戶創(chuàng)建下拉框中選擇“開(kāi)啟”，并設(shè)置net用戶登錄，確認(rèn)后即可完成創(chuàng)建當(dāng)您想修改已創(chuàng)建net用戶的時(shí)，可在“VTY0用戶界面”或“VTY1用戶界面”通過(guò)交換機(jī)的AAA功能模塊設(shè)置net用戶認(rèn)證方案進(jìn)行認(rèn)證，相關(guān)操作請(qǐng)參見(jiàn)“8.2設(shè)通過(guò)NTPNTP基于UDP報(bào)文進(jìn)行傳輸，使用的UDP端為123NTP的目的是對(duì)網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一NTP的本地系統(tǒng)，既可以接受來(lái)自NTP，可以很快將網(wǎng)絡(luò)中設(shè)備的時(shí)鐘同步，同時(shí)也能保證很高的精度。當(dāng)交換機(jī)通過(guò)NTP成功獲取到系統(tǒng)時(shí)間后，該時(shí)間會(huì)根據(jù)您選擇的時(shí)區(qū)做相應(yīng)的調(diào)整。IP地址，單擊<確定>為缺省值（200011000秒）將交換機(jī)恢復(fù)為出廠缺省配地址重新登錄交換機(jī)進(jìn)行設(shè)置和管理；當(dāng)您選擇<恢復(fù)缺省配置>IP地址將交換機(jī)軟件升級(jí)到版本，可使您的設(shè)備性能更穩(wěn)按鈕，選擇的版本文件，頁(yè)面向?qū)В合到y(tǒng)管理→故障設(shè)置管理PC服務(wù)類型分 net協(xié)議的工具設(shè)備。Http：是指可以通過(guò)Web管理頁(yè)面設(shè)備。SNMP：是指可以通過(guò)SNMP管理站設(shè)備。顯示所有管理PC的配置記刪除單條管理PC的配置記批量刪除管理PC的配置記新建管理PC配置（單擊主頁(yè)面面。輸入起始IP地址、結(jié)束IP上待修改管理PC的配置記錄，IP地址、結(jié)IP地址或者重新勾選服務(wù)類型，單擊<確定>按鈕生Web設(shè)置頁(yè)面，可單擊導(dǎo)航欄中的設(shè)置端口表6-1對(duì)于不帶有802.1Q頭的報(bào)文，交換機(jī)將使用端口的優(yōu)先級(jí)作為該端口接收?qǐng)?bào)文 缺省情況下為100%，表示不抑狀態(tài)（通過(guò)端口特性，您可以將需要進(jìn)行控制的端口加入到一個(gè)組中（“開(kāi)啟”表示加入到組；“關(guān)閉”表示退出組），實(shí)現(xiàn)組中的端口之間二層數(shù)據(jù)的，既缺省情況下，端口未加入到只有組內(nèi)各個(gè)端口之間的報(bào)文不能互通，組內(nèi)端口與組外端口的通信不或離開(kāi)該組該聚合組中端口的屬性不受影響當(dāng)未端口加入到已的聚合組時(shí)，該端口為自動(dòng)加入端口特性與以太網(wǎng)端口所屬的VLAN無(wú)Jmo（太網(wǎng)幀長(zhǎng)的長(zhǎng)幀）。對(duì)于這樣的長(zhǎng)幀，系統(tǒng)會(huì)直接丟棄不再進(jìn)行處理。開(kāi)啟允許缺省情況下，端口不支持接收J(rèn)umbo 圖6-1端被鏡像端數(shù)據(jù)監(jiān)測(cè)設(shè)通過(guò)設(shè)置被鏡像端口和端口實(shí)現(xiàn)交換機(jī)本地端口鏡表6-2端口表6-3表6-4端口接收/接收的正常PauseRuntsCRC正確，且數(shù)據(jù)幀長(zhǎng)度小于64字節(jié)的報(bào)文數(shù)CRC正確，且數(shù)據(jù)幀長(zhǎng)度大于1518字節(jié)的報(bào)文數(shù)CRCCRC錯(cuò)誤，且數(shù)據(jù)幀長(zhǎng)度處于64～1518數(shù)據(jù)幀長(zhǎng)度64～1518字節(jié)，且報(bào)文的FCS（幀校驗(yàn)序列）的字節(jié)數(shù)為非整數(shù)的報(bào)文碎片：長(zhǎng)度小于64字節(jié)（長(zhǎng)度可以為整數(shù)或非整數(shù)）且CRC校驗(yàn)長(zhǎng)度錯(cuò)誤幀：報(bào)文中802.3長(zhǎng)度字段與報(bào)文實(shí)際長(zhǎng)度（46～1500字節(jié)）不匹發(fā)送的正常PauseDeferred錯(cuò)誤CollisionsLatecollisions錯(cuò)誤端口進(jìn)行控制，如圖6-2圖6-2查看交換機(jī)各端口入/出端口設(shè)置單個(gè)端口的入/出端口限批量地設(shè)置指定端口的入/批量地設(shè)置指定端口的入/出端口流量流量折線圖中最多顯示120個(gè)抽樣點(diǎn)。相對(duì)于該上限值所占的，當(dāng)超95%，柱狀圖邊框會(huì)有紅色單擊頁(yè)面上的<停止>按鈕，流量監(jiān)控暫停；單擊<恢復(fù)>按鈕，流量監(jiān)通過(guò)速率折線圖端口流單擊柱狀圖中的端或在“端”折線圖底部顯示接收速率和發(fā)送速率鏈路聚合就成為了一條邏輯鏈路Linkaggregation1，這條邏輯鏈路的帶寬等于原先三條以太網(wǎng)物理鏈路的帶圖6-3Selected速率之和，聚合端口的雙工狀態(tài)與Selected成員端口的雙工狀態(tài)一致。LACP基于IEEE802.3ad標(biāo)準(zhǔn)的LACP是一種實(shí)現(xiàn)鏈路動(dòng)態(tài)匯聚與解匯聚的協(xié)議。LACPLACPDU與對(duì)端交互LACPLACPDULACP系統(tǒng)M、端口優(yōu)級(jí)、端和操作e。對(duì)接收到這些息后，這些信與其它口所保存的信息比較以選擇能夠匯聚的端口，從而雙方可以對(duì)端口加入或退出某個(gè)動(dòng)態(tài)匯聚組達(dá)成一致。鏈路聚合LACPSTPSTP開(kāi)啟/關(guān)閉、STP優(yōu)先級(jí)、STP開(kāi)銷、是否開(kāi)啟環(huán)路保護(hù)手工聚合端口的LACP協(xié)議處于關(guān)閉LACP靜態(tài)LACP聚合簡(jiǎn)LACP聚合端口的LACP協(xié)議為開(kāi)啟狀態(tài)。靜態(tài)LACP端口的速率、雙工屬性和鏈路狀態(tài)一致的端口才允許成為Selected狀態(tài)，其他端口均處于Standby狀態(tài)?？谠诓煌木酆辖M內(nèi)的將處于Standby狀態(tài)。設(shè)置鏈路開(kāi)啟了802.1x功能的端查看當(dāng)前的鏈路聚合狀態(tài)及靜態(tài)LACP兩種模式供您選擇（單擊主頁(yè)面上的<新建>按表6-5基于源IP地址和目的IP地址：表示匯聚組中各成員端口根據(jù)源IP地址和目的IP地址進(jìn)行設(shè)置LACP設(shè)置端口LACP顯示當(dāng)前所有端口的LACP參設(shè)置單個(gè)端口的LACP參（單擊主頁(yè)面上端口對(duì)應(yīng)的批量地設(shè)置指定端口的LACP參數(shù)（單擊主頁(yè)面上的<批量表6-6（LACP端口優(yōu)先級(jí)缺省情況下，LACP端口優(yōu)先級(jí)為設(shè)置全局LACP32768于您檢查網(wǎng)絡(luò)中電纜的工作入需要診斷的端，單擊<表6-7設(shè)置設(shè)置設(shè)置設(shè)置IGMP設(shè)置設(shè)置VLANVLANHUB和交換機(jī)作為網(wǎng)絡(luò)連接的基本設(shè)備，在轉(zhuǎn)發(fā)功能方面有一定的局限性：HUB解決以上網(wǎng)絡(luò)問(wèn)題的根本方法就是廣播域。傳統(tǒng)的方法是使用路由器，因?yàn)槁酚善魇且罁?jù)目的為了解決以太網(wǎng)交換機(jī)在局域網(wǎng)中無(wú)法限制廣播的問(wèn)題，VLAN技術(shù)應(yīng)運(yùn)而生。VLAN的組成不受物理位置的限制，因此同一VLAN內(nèi)的主機(jī)也無(wú)須放置在同一物理如圖7-1LAN把一個(gè)物理上的LAN劃分成多個(gè)邏輯上的LAVLANLANVLAN圖7-1VLANVLAN的優(yōu)與傳統(tǒng)以太網(wǎng)相比 具有如下的優(yōu)點(diǎn)VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理增強(qiáng)了LAN的安全性由于報(bào)文在數(shù)據(jù)鏈路層被VLAN劃分的廣播域所因此各個(gè)VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也VLAN功能模式交換機(jī)支持以下兩種VLAN功能?；诙丝诘腣LAN模式：根據(jù)端口所屬的用戶組來(lái)對(duì)報(bào)文進(jìn)行處理，即屬于同一個(gè)用戶組的用戶1和其他三個(gè)用戶能互通但其他三個(gè)用戶之間均。此時(shí)，您就可以通過(guò)此模式來(lái)劃分不同的用戶組進(jìn)行實(shí)現(xiàn)，即將用戶1分別和其他三個(gè)用戶劃分到不同的用戶組。選擇VLAN功能VLAN功能模式改變之后，之前所做的VLAN配置選擇交換機(jī)的VLAN（缺省情況下，VLAN功能模式為802.1QVLAN）設(shè)置802.1QVLAN模式下的VLAN為使交換機(jī)能夠分辨不同VLAN的報(bào)文，需要在報(bào)文中添加標(biāo)識(shí)VLAN的字段。由于交換機(jī)工作在OSI模型的數(shù)據(jù)鏈路層（三層交換機(jī)不在本章節(jié)討論范圍內(nèi)），只能對(duì)報(bào)文的數(shù)據(jù)鏈路層封裝進(jìn)行IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的IEEE802.1Q協(xié)議標(biāo)準(zhǔn)VLAN傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀在目的MAC地址和源MAC地址之后封裝上層協(xié)議的類型字段。 7-2所示圖7-2DAMAC地址，SAMAC地址，Type表示報(bào)文上層協(xié)議的類型字段，Data識(shí)VLAN的相關(guān)信息。圖7-3VLANTag 規(guī)定的0x8100。Priority：用來(lái)表示802.1p的優(yōu)先級(jí)。該字段長(zhǎng)度為3bit04095通常不使用，所以VLANID的取值范圍一般為1～4094。Access端口；Hybrid端口Trunk端口的不同之Hybrid端口允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不帶TagTrunk端口HybridVLAN，需要配置缺省VLAN三種類型的端口可以共存在一臺(tái)交換機(jī)上，但Trunk端口和Hybrid端口之間不能直接切換，只能先Access端口，再設(shè)置為其他類型端口。例如TrunkHybrid端口時(shí)，需要先Trunk端口設(shè)置為Access端口，再設(shè)置為Hybrid端口。表7-1Tag當(dāng)接收到的報(bào)文帶有TagVLANID所對(duì)應(yīng)的VLANTag當(dāng)報(bào)VLANID與端口缺VLANID相同時(shí)，接收當(dāng)報(bào)VLANID與端口缺VLANID不同時(shí)，丟棄刪除報(bào)文的Tag后再轉(zhuǎn)Tag當(dāng)接收到的報(bào)文帶有Tag當(dāng)報(bào)VLANIDVLANID相同時(shí)：去掉Tag，發(fā)送該報(bào)文對(duì)比端口缺省VLANID是否在允許通過(guò)的VLANID中：是，給VLANID所對(duì)應(yīng)的VLANID在允許通VLANID中時(shí)，則接VLANID不在允許VLANID中時(shí)，則VLANIDVLANID不同，且是該端口允許通過(guò)的當(dāng)報(bào)文中攜帶的VLANID是該端口允許通過(guò)的VLANID時(shí)，發(fā)送該報(bào)文，并可以通過(guò)“4設(shè)置Hybrid端口”配置端口創(chuàng)建/顯示/頁(yè)面向?qū)В涸O(shè)備管理→VLAN設(shè)置→802.1Q顯示和查詢交換機(jī)的VLAN信息及其所包含的端口（頁(yè)面。VLAN1缺省包含所有的新建VLAN（<新建>按鈕，進(jìn)入相應(yīng)的頁(yè)面。在“VLANID”文本框中Access端口（單擊主頁(yè)的頁(yè)面。在“VLANID”文本加入VLAN的端口，單擊<（單擊主頁(yè)面上VLAN對(duì)應(yīng)的指定需要加入該VLAN中端顯示交換機(jī)當(dāng)前的Trunk端口新建Trunk端口（單擊主頁(yè)面頁(yè)面。指定Trunk端口，并設(shè)置PVID和端口允許通過(guò)修改Trunk端口（單擊主頁(yè)面PVID和端口允許通過(guò)VLAN，單擊<確定>按端口缺省VLANID及允許通過(guò)的VLAN都須為已存在的VLAN，VLAN的創(chuàng)建請(qǐng)參見(jiàn)“2.創(chuàng)建/顯示/顯示交換機(jī)當(dāng)前的Hybrid端新建Hybrid端口（單擊主頁(yè)面Hybrid端口，并設(shè)置PVID和端口允許通過(guò)PVID和端口允許通過(guò)VLAN，單擊<確定>按在“TaggedVLANVLANIDVLAN的報(bào)文通過(guò)，且出端口時(shí)報(bào)文VLANTag；在“UntaggedVLANVLANIDVLAN的報(bào)文通過(guò)，且出端口文不帶VLANTag。端口缺省的VLANID及允許通過(guò)的VLAN都須為已存在的VLAN，VLAN的創(chuàng)建請(qǐng)參見(jiàn)“2.創(chuàng)建/顯示/VLAN”。設(shè)置基于端口VLAN模式下的頁(yè)面向?qū)В涸O(shè)備管理→VLAN設(shè)置→基于端口顯示和查詢交換機(jī)當(dāng)前的用<新建>按鈕，進(jìn)入相應(yīng)的頁(yè)面。設(shè)置用戶組ID，即VLAN修改用戶組（單擊主頁(yè)面上VLAN對(duì)應(yīng)的表項(xiàng)，進(jìn)入相應(yīng)設(shè)置MAC地址應(yīng)用服務(wù)（比如：認(rèn)證、、上網(wǎng)等）。如圖10-3所示。地址，VLAN則更換為了對(duì)應(yīng)的上行VLANC），從而避免了下發(fā)流量被廣播，保證了業(yè)務(wù)的穩(wěn)定。頁(yè)面向?qū)В涸O(shè)備管理→VLAN設(shè)置→MAC地址同步MAC地址同步（VLAN”和“目的VLAN本框中分別輸入需要做同步MAC地址表及設(shè)置MAC以某個(gè)用戶接收?qǐng)?bào)文），且不支持綁定操作。當(dāng)您開(kāi)啟了指定端口的MAC地址過(guò)濾功能后，交換機(jī)會(huì)根據(jù)該端口下處于“綁定”狀態(tài)的表項(xiàng)對(duì)報(bào)文進(jìn)行過(guò)濾（即系統(tǒng)會(huì)丟棄和綁定表項(xiàng)不匹配的報(bào)文），從而可以有效地控制網(wǎng)絡(luò)。全局管理MAC頁(yè)面向?qū)В涸O(shè)備管理→MAC設(shè)置→MAC顯示顯示和查詢（通過(guò)MAC地址和MAC地址表項(xiàng)信息（主頁(yè)面）將指定的MAC地址表項(xiàng)進(jìn)行綁添加新的MAC地址表項(xiàng)（單擊出的框中設(shè)置MAC地址表（單擊主頁(yè)面中的相應(yīng)MAC地在端口下管理MAC地址表頁(yè)面向?qū)В涸O(shè)備管理→MAC設(shè)置→端口MAC顯示顯示指定端口下MAC地址表將端口下未綁定MAC地址表項(xiàng)進(jìn)行綁定（選擇相應(yīng)的端口號(hào)，并選中該端口下未綁定的MAC地址表項(xiàng)，單擊<綁定>按修改端口下的靜態(tài)或黑洞MAC地址表項(xiàng)（單擊端口下相應(yīng)的MAC地址表項(xiàng)，即可對(duì)該表項(xiàng)設(shè)置MAC地址MAC地址過(guò)濾功能MAC地址過(guò)濾表項(xiàng)，選中“MAC過(guò)濾使能”添加指定端口的靜態(tài)MAC地址QoS功能，在網(wǎng)絡(luò)擁塞發(fā)生時(shí)，系統(tǒng)會(huì)根據(jù)您設(shè)置的報(bào)文優(yōu)先級(jí)信任模式和隊(duì)交換機(jī)支持兩種報(bào)文優(yōu)先級(jí)信任：802.1p優(yōu)先級(jí)（COS）和DSCP。交換機(jī)會(huì)根據(jù)您選擇的信任802.1p優(yōu)先如圖7-4所示，4個(gè)字節(jié)的802.1Q 頭包含了2個(gè)字節(jié)的TPID和2個(gè)字節(jié)的TCI，圖7-5顯示了圖7-5802.1Q范圍為0～7。表7-2802.1p802.1p優(yōu)先級(jí)（十進(jìn)制802.1p優(yōu)先級(jí)（二進(jìn)制01234567表7-3802.1p802.1p1、10、24、36、4DSCP優(yōu)先圖7-6DSToSbit（0～5bit）表示，取值范圍為0～63，后2個(gè)bit（6、7bit）是保留位。表7-4DSCPDSCP優(yōu)先級(jí)（十進(jìn)制DSCP優(yōu)先級(jí)（二進(jìn)制8DSCP優(yōu)先級(jí)（十進(jìn)制DSCP優(yōu)先級(jí)（二進(jìn)制0表7-5DSCPDSCP優(yōu)先1234隊(duì)列調(diào)度HQ-WRR隊(duì)列調(diào)度算法：建立在WRR4個(gè)隊(duì)列占用的帶寬超過(guò)了端口的轉(zhuǎn)發(fā)能力，3WRR調(diào)度。下面僅以WRR隊(duì)列調(diào)度為例進(jìn)行描述。圖7-7WRRWRR隊(duì)列調(diào)度算法在隊(duì)列之間進(jìn)行輪流調(diào)度，保證每個(gè)隊(duì)列都得到一定的服以端口有4個(gè)輸出隊(duì)列為例，WRR可為每個(gè)隊(duì)列配置一個(gè)值（queue4～queue1對(duì)應(yīng)值依次為w4、w3、w2、w1）。對(duì)于一個(gè)100M的端口，如果配置它的WRR隊(duì)列調(diào)度算法的值為8、4、2、1（依次對(duì)應(yīng)w4、w3、w2、w1），這樣可以保證最低優(yōu)先級(jí)隊(duì)列至少獲得設(shè)置報(bào)文優(yōu)先級(jí)信任及隊(duì)列調(diào)度設(shè)置交換機(jī)報(bào)文優(yōu)先級(jí)信任表7-6COS：根據(jù)802.1pDSCP：根據(jù)DSCP缺省情況下，交換機(jī)根據(jù)802.1p優(yōu)先級(jí)將報(bào)文放入對(duì)應(yīng)優(yōu)先缺省情況下，交換機(jī)采用WRR調(diào)度算那么1、2、3、4的數(shù)據(jù)報(bào)文在某個(gè)端口發(fā)生擁塞時(shí)，該端口會(huì)按照1：2：4：8的流量比例來(lái)發(fā)送報(bào)文；如果調(diào)度模式選擇HQ-WRR，交換機(jī)會(huì)首先保4的報(bào)文優(yōu)先發(fā)送出去，然后對(duì)其余3個(gè)隊(duì)列實(shí)行WRR調(diào)度設(shè)置TP據(jù)E的8021D標(biāo)準(zhǔn)建立的，用于在局網(wǎng)中消數(shù)據(jù)鏈層終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無(wú)環(huán)路的樹(shù)型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無(wú)限循環(huán)，避免主機(jī)由于重復(fù)接收相同的報(bào)文造成的報(bào)文處理能力下降的問(wèn)題發(fā)生。STP采用的協(xié)議報(bào)文是BPDU，也稱為BPDUSTP協(xié)議中分為兩類：配 BPDU：用于進(jìn)行生成樹(shù)計(jì)算和生成樹(shù)拓?fù)涞膱?bào)文STP協(xié)議用于選擇鏈路的參考值。STP協(xié)議通過(guò)計(jì)算路徑開(kāi)銷，選擇較為“強(qiáng)壯”的Forwarding：該狀態(tài)下的端口可收 BPDU，也轉(zhuǎn)發(fā)用戶流量量）構(gòu)建MAC地址表。Blocking：僅接收并處理BPDU指定橋ID：由指定橋的優(yōu)先級(jí)和MAC地址組成ID，指定端口為本端口。最優(yōu)配置消息的選擇過(guò)程如表7-7所示表7-712ID相同，則比較根路徑開(kāi)銷，比較方法為：用配置消息中的根路徑開(kāi)銷加上本端口對(duì)應(yīng)的路徑開(kāi)銷，假設(shè)兩者之和為S，則S較小的配置消息優(yōu)先級(jí)較高；端口ID、接收該配置消息的端口ID等。配置消息，設(shè)備之間比較根橋ID，網(wǎng)絡(luò)中根橋ID最小的設(shè)備被選為根橋。根端口、指定端口的選擇過(guò)程如表7-8表7-812根橋ID指定橋ID指定端口ID3B的優(yōu)先級(jí)為1，DeviceC的優(yōu)先級(jí)為2，各個(gè)鏈路的路徑開(kāi)銷分別為5、10、4。圖7-8STPDevice優(yōu)先級(jí)為AP APBP

BP CPCPDevice 優(yōu)先級(jí)為 Device優(yōu)先級(jí)為各臺(tái)設(shè)備的初始狀態(tài)如表7-9表7-9DeviceDeviceDevice各臺(tái)設(shè)備的比較過(guò)程及結(jié)果如表7-10所示表7-10DeviceDeviceABP1DeviceA的配置消息{0，0，0，AP1}，DeviceB發(fā)現(xiàn)BP1的配置消息DeviceDeviceB對(duì)各個(gè)端口的配置消息進(jìn)行比較，選出端口BP1的配置消息為最優(yōu)配置消息，然后將端口BP1定為根端口，它的配置消息不作改變。DeviceBBP1的配置消息和根端口的路徑開(kāi)銷5BP2端口DeviceB使用計(jì)算出來(lái)的配置消息{0，5，1，BP2}和端口BP2上的配置消 CP1的配置消DeviceC發(fā)現(xiàn)接收到的配置消息優(yōu)于本端口的配置消息于是更新端口CP2的配置消端口CP1的配置消息被選為最優(yōu)的配置消息，端口CP1就被定為根端口，將計(jì)算出來(lái)的指定端口配置消息{0，10，2，CP2}CP2的配置消息進(jìn)行比較后，端CP2轉(zhuǎn)為指定端口，它的配置消息被計(jì)算出來(lái)的配置消DeviceCP2會(huì)收DeviceB更新后的配置消息{0，5，1，BP2}，由于收到的配置消息比原配置消息優(yōu)，則DeviceC觸發(fā)更新過(guò)程 端口CP2的根路徑開(kāi)銷9（配置消息的根路徑開(kāi)銷5+CP2對(duì)應(yīng)的路徑4）CP110（配置消息的根路徑開(kāi)0+端口CP1對(duì)應(yīng)的路徑開(kāi)銷10），所以端口CP2的配置消息被選為最優(yōu)的配置消息，端口CP2就被定為根端口，它的配置消息就不作改變 被阻塞，端口配置消息不變，同時(shí)不接收DeviceA轉(zhuǎn)發(fā)的數(shù)據(jù)，直到新圖7-9 o為超時(shí)而被丟棄，設(shè)備重新生成以自己為根的配置消息并向外發(fā)送BPDU，從而生成樹(shù) oTime和MaxAge鏈路故障會(huì)網(wǎng)絡(luò)重新進(jìn)行生成樹(shù)的計(jì)算，生成樹(shù)的結(jié)構(gòu)將發(fā)生相應(yīng)的變化。不過(guò)重新計(jì)算得到2ForwardDelayForwarding狀態(tài)，這個(gè)延時(shí) MaxAge是用來(lái)判斷配置消息在交換機(jī)內(nèi)保存時(shí)間是否“過(guò)時(shí)”的參數(shù)，交換機(jī)會(huì)將過(guò)時(shí)的RSTPForwarding狀態(tài)：既轉(zhuǎn)發(fā)用戶流量又接收/發(fā)送BPDU報(bào)文Learning狀態(tài)：不轉(zhuǎn)發(fā)用戶流量，只接收/發(fā)送BPDU報(bào)文Discarding狀態(tài)：不轉(zhuǎn)發(fā)用戶流量，只接收BPDU報(bào)文設(shè)置STP全局STP的全局參表7-11選擇BPDU報(bào)文處理方缺省情況下，BPDU報(bào)文處理方式為廣端口速率、路徑開(kāi)銷標(biāo)準(zhǔn)及路徑開(kāi)銷值對(duì)應(yīng)表如表7-12o oTime單選框，并在文本框中設(shè)置該定時(shí)器值 oTime為2sMax選中MaxAge單選框，并在文本框中設(shè)置該定時(shí)器值缺省情況下，最大老化時(shí)間為20sForward選中ForwardDelay單選框，并在文本框中設(shè)置該定時(shí)器值缺省情況下，遷移延時(shí)為15s表7-120-10AggregatedLink2AggregatedLink3AggregatedLink4AggregatedLink2AggregatedLink3AggregatedLink44AggregatedLink2AggregatedLink333AggregatedLink43設(shè)置端口STP顯示當(dāng)前交換機(jī)所有端口的STP狀態(tài)及相STPSTP狀態(tài)及相表7-13全局設(shè)置”頁(yè)面中的默認(rèn)路徑開(kāi)銷相關(guān)，相關(guān)描述請(qǐng)參見(jiàn)“7.4.3設(shè)置STP全I(xiàn)GMPSnoo原reportmessage）時(shí)，交換機(jī)就將該主機(jī)加入到相應(yīng)的組播MAC地址表中；當(dāng)?shù)街鳈C(jī)發(fā)出的IGMP離開(kāi)報(bào)文（IGMPleavemessage）時(shí)，交換機(jī)將在相應(yīng)的組播表中刪除該主機(jī)端口。通過(guò)不斷地IGMP報(bào)文，交換機(jī)就可以在二層建立和組播MAC地址表。之后，交換機(jī)就可以根據(jù)該組播MAC地址表轉(zhuǎn)發(fā)來(lái)自路由器的組播報(bào)文。如圖7-10所示，當(dāng)二層交換機(jī)沒(méi)有運(yùn)行IGMPSnoo時(shí)，組播數(shù)據(jù)在二層被廣播；當(dāng)二層交換機(jī)運(yùn)行了IGMPSnoo后，已知組播組的組播數(shù)據(jù)不會(huì)在二層被廣播，而在二層被組播給指定的MulticastpackettransmissionwithoutIGMPSnoo

MulticastpackettransmissionwhenIGMPSnooMulticastMulticastLayer2HostHostMulticastLayer2HostHostHost HostMulticastIGMPSnoo基本概IGMPSnoo相關(guān)端圖7-11IGMPSnoo相關(guān)端如SwitchA的GigabitEthernet0/2和GigabitEthernet0/3端口，以及SwitchB的GigabitEthernet0/2端口。交換機(jī)將本設(shè)備上的所有成員端口都記錄在組播轉(zhuǎn)中。IGMPSnoo端口老化定時(shí)表7-14IGMPSnoo端口老化定時(shí) o報(bào)IGMPSnoo工作機(jī)如果主機(jī)要加入某個(gè)組播組，它會(huì)主組播路由器發(fā)送IGMP成員關(guān)系報(bào)告報(bào)文以加端口的老化定時(shí)器超時(shí)后，交換機(jī)就會(huì)將該端口對(duì)應(yīng)的轉(zhuǎn)項(xiàng)從轉(zhuǎn)中刪除。運(yùn)行IGMPv2的主機(jī)離開(kāi)組播組時(shí)，會(huì)通過(guò)發(fā)送IGMP離開(kāi)組報(bào)文，以通知組播路由器自己離開(kāi)了當(dāng)從一個(gè)成員端口上收到IGMP離開(kāi)組報(bào)文時(shí)，交換機(jī)會(huì)將該報(bào)文通過(guò)VLAN內(nèi)的所有路由器端口當(dāng)IGMP查詢器收到IGMP離開(kāi)組報(bào)文后，從中解析出主機(jī)要離開(kāi)的組播組的地址，并通過(guò)接收端口向該組播組IGMP特定組查詢機(jī)在IGMP特定組查詢報(bào)將其VLAN內(nèi)IGMP成員關(guān)系報(bào)告報(bào)文，則表示該端口下IGMP成員關(guān)系報(bào)告報(bào)文，則表示該端口轉(zhuǎn)項(xiàng)刪除。IGMP頁(yè)面向?qū)В涸O(shè)備管理→IGSP設(shè)置→IGMPSnoo設(shè)置交設(shè)置交換機(jī)IGMP表7-15缺省情況下，路由端口老化時(shí)間為105您可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況來(lái)修改發(fā)送IGMP組查詢報(bào)文的時(shí)間間隔在收到IGMP查詢報(bào)文（包括普遍組查詢和特定組查詢）后，主機(jī)會(huì)為其所加入的從所收到的IGMP查詢報(bào)文的最大響應(yīng)時(shí)間字段獲得）中隨機(jī)選定，當(dāng)定時(shí)器的值減為0時(shí)，主機(jī)就會(huì)向該定時(shí)器對(duì)應(yīng)的組播組發(fā)送IGMP成員關(guān)系報(bào)告報(bào)文合理配置IGMP查詢的最大響應(yīng)時(shí)間，既可以使主機(jī)對(duì)IGMP查詢報(bào)出快速響IGMP普遍組查詢報(bào)文來(lái)說(shuō)，通過(guò)IGMP普遍組查詢的最大響應(yīng)時(shí)間IGMP特定組查詢報(bào)文來(lái)說(shuō)，所配置的發(fā)IGMP特定組查詢報(bào)文的時(shí)間時(shí)間從數(shù)值上與發(fā)送IGMP特定組查詢報(bào)文的時(shí)間間隔相同缺省情況下，主機(jī)端口老化時(shí)間為260VLAN內(nèi)廣播，這樣會(huì)占用大量的網(wǎng)絡(luò)帶寬，影響轉(zhuǎn)發(fā)效率。您可以通過(guò)開(kāi)啟交換頁(yè)面向?qū)В涸O(shè)備管理→IGSP設(shè)置→Fast顯示交換機(jī)所有端口的快速設(shè)置單個(gè)端口的快速刪除功批量設(shè)置端口的快速刪除功設(shè)置SNMPSNMPNMSAgent兩部NMS可以AgentGetRequest、GetNextRequestSetRequest報(bào)文，Agent接收NMS的這些請(qǐng)求報(bào)文后，根據(jù)報(bào)文類型對(duì)MIBReadWriteResponse報(bào)文，并將報(bào)文返回給NMS。Agent在設(shè)備發(fā)生異常情況或狀態(tài)改變時(shí)（比如：設(shè)備重新啟動(dòng)），也會(huì)主NMS發(fā)送Trap報(bào)文，向NMS匯報(bào)所發(fā)生的事件。SNMPv1、SNMPv2c采用團(tuán)體名（CommunityName）SNMP報(bào)文將被丟棄。SNMP團(tuán)體名SNMPNMSSNMPAgent的關(guān)系。團(tuán)體名起到了類似于密碼的作用，可以限制SNMPNMS交換機(jī)上的SNMPAgent。用層次結(jié)構(gòu)命名方案來(lái)識(shí)別管理對(duì)象。整個(gè)層次結(jié)構(gòu)就像一棵樹(shù)，樹(shù)的節(jié)點(diǎn)表示管理對(duì)象，如圖圖7-12MIB1111211B265A設(shè)置SNMP交換機(jī)，具體配置請(qǐng)參見(jiàn)“5.9設(shè)置管理PC控制”）。表7-16SNMP狀設(shè)備的物理位置信息為“HangzhouChina”SNMP版缺省情況下，交換機(jī)同時(shí)開(kāi)啟SNMPv1版本和SNMPv2c版本或模式：團(tuán)體MIB對(duì)象的讀寫（read-write）或者只讀（read-only）權(quán)限。具有只讀頁(yè)面向?qū)В涸O(shè)備管理→SNMP設(shè)置→SNMPTrap設(shè)置設(shè)置交換機(jī)允許發(fā)送的Trap報(bào)文和LinkupLinkdownTrap端口的狀態(tài)（主頁(yè)面）Trap目標(biāo)主機(jī)（在主頁(yè)表7-17WarmstartTrapSNMP模塊重新啟動(dòng)時(shí)，發(fā)送熱啟動(dòng)Trap信LinkupTrapdown狀態(tài)變?yōu)閡pup的Trap信AuthenticationTrap：SNMP模塊認(rèn)證失敗時(shí)，發(fā)送認(rèn)證失敗的Trap信未使能端口：端口發(fā)送Linkup、LinkdownTrap信目標(biāo)主機(jī)IP地設(shè)置接收Trap消息的目標(biāo)主機(jī)IP地端設(shè)置接收TrapUDP缺省情況下，接收Trap消息的UDP端為表7-1801234567表7-19012356表7-20僅不高于指定級(jí)別的日志信息才可發(fā)送到日志主機(jī)，日志等級(jí)的具體描述請(qǐng)參見(jiàn) 日志主機(jī)IP地設(shè)置日志主機(jī)的IP地查看日志通過(guò)單擊<>按鈕將所有的通過(guò)單擊<清除>按鈕刪除所有查看告警通過(guò)單擊<>按鈕將所有的通過(guò)單擊<清除>按鈕刪除所有設(shè)置設(shè)置防MAC地址防MAC地址功能主要防止設(shè)備不斷地學(xué)習(xí)局域網(wǎng)中大量無(wú)效的報(bào)文源MAC地址，使設(shè)備 地址轉(zhuǎn)過(guò)于龐大，導(dǎo)致其轉(zhuǎn)發(fā)性能急劇下降頁(yè)面向?qū)В喊踩珜^(qū)→防→防MAC地址顯示當(dāng)前所有端口可學(xué)習(xí)的MAC地址數(shù)（主頁(yè)面設(shè)置單個(gè)端口可學(xué)習(xí)的MAC地批量設(shè)置指定端口可學(xué)習(xí)的設(shè)置AAAAAA是Authentication、Authorization、Accounting（認(rèn)證、、計(jì)費(fèi)）的簡(jiǎn)稱，是的用戶來(lái)講是服務(wù)器端，對(duì)于服務(wù)器來(lái)說(shuō)是客戶端。AAA的基本組網(wǎng)結(jié)構(gòu)如圖8-1所示。當(dāng)用戶想要通過(guò)某網(wǎng)絡(luò)與NAS建立連接，從而獲得其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí)，NAS起到了驗(yàn)證用戶或?qū)?yīng)連接的作用。NAS負(fù)責(zé)把用戶的認(rèn)證、、計(jì)費(fèi)信息透?jìng)鹘o服務(wù)器（如RADIUS服務(wù)器），RADIUS協(xié)議規(guī)定了NAS與服務(wù)器之間如何傳遞用戶信息。圖8-1的AAA基本組網(wǎng)結(jié)構(gòu)中有兩臺(tái)服務(wù)器，用戶可以根據(jù)實(shí)際組網(wǎng)需求來(lái)決定認(rèn)證、、計(jì)費(fèi)2實(shí)現(xiàn)計(jì)費(fèi)。當(dāng)然，用戶可以只使用AAA提供的一種或兩種安全服務(wù)。例如，公司僅僅想讓員工在某些特對(duì)目前，交換機(jī)的計(jì)費(fèi)功能只適用于802.1x用戶設(shè)置net用戶Console用戶（即Terminal用戶）Web用戶的表8-1net用戶認(rèn)證方案/Web用戶認(rèn)證方案本地認(rèn)證：交換機(jī)時(shí)，需要本地認(rèn)證成功后方可進(jìn)行管理，且您需要通過(guò)radius認(rèn)證：交換機(jī)時(shí)，需要認(rèn)證成功后方可進(jìn)行管理。該認(rèn)證方radius認(rèn)證+本地認(rèn)證：實(shí)現(xiàn)兩種認(rèn)證方案互為備份，即Radius認(rèn)證為RadiusServer未響應(yīng)時(shí)，則系統(tǒng)會(huì)自動(dòng)切換到本當(dāng)采用radius認(rèn)證方案或radius認(rèn)證+本地認(rèn)證方案時(shí)，您需要架設(shè)RadiusServer來(lái)進(jìn)行用戶名和的，同時(shí)需要在交換機(jī)上設(shè)置對(duì)應(yīng)的修改的本地用戶表項(xiàng)， 常應(yīng)用在既要求較高安全性、又允許用戶的各種網(wǎng)絡(luò)環(huán)境中。該協(xié)議定義了基于UDP的Radius幀格式及其消息傳輸機(jī)制，并規(guī)定UDP端口、分別作為認(rèn)證、計(jì)費(fèi)端口。交換機(jī)支持RadiusClient功能，負(fù)責(zé)傳輸用戶信息到指定的RadiusServer，然后根據(jù)從RadiusServer返回的信息進(jìn)行相應(yīng)處理（比如：接受/用戶接入）。責(zé)接收用戶連接請(qǐng)求并認(rèn)證用戶，然后給RadiusClient返回所有需要的信息（比如：接受/RadiusClientRadiusServer之間認(rèn)證消息的交互是通過(guò)共享密鑰的參與來(lái)完成的，并且共享密當(dāng)您配合iMC實(shí)現(xiàn)用戶包月認(rèn)證時(shí)，需要開(kāi)啟802.1x重認(rèn)證功能，便于定時(shí)檢測(cè)用戶的有效狀況。之間一種簡(jiǎn)要的交互流程如圖8-2所示。圖8-2Radius的基本消息交互流程（認(rèn)證+計(jì)費(fèi)當(dāng)您想通過(guò)Radius方案來(lái)認(rèn)證net用戶和Console用戶時(shí)，Radius的基本消息交互流程中RadiusServer認(rèn)證通過(guò)后，RadiusClientHost返回認(rèn)證成功信息，從而Host可以正常地登錄設(shè)備進(jìn)行配置和管理。RadiusClientRadiusServer發(fā)送認(rèn)證請(qǐng)求包RadiusClient根據(jù)接收到的認(rèn)證結(jié)果接入/用戶。如果可以接入用戶，則RadiusRadiusClient按實(shí)時(shí)計(jì)費(fèi)間隔循環(huán)的向RadiusServer發(fā)送實(shí)時(shí)計(jì)費(fèi)請(qǐng)求包RadiusClientRadiusServer發(fā)送計(jì)費(fèi)結(jié)束請(qǐng)求包（Accounting-Request），Status-Type取值為stop。設(shè)置交換機(jī)作為RadiusClientRadiusServer進(jìn)行交互時(shí)的當(dāng)您配置主或從計(jì)費(fèi)服務(wù)器后，802.1X用戶必需要進(jìn)行計(jì)費(fèi)，如果計(jì)費(fèi)失敗用戶不能資源表8-2Radius顯示系統(tǒng)缺省的Radius方案如果在Radius請(qǐng)求報(bào)文（認(rèn)證/請(qǐng)求或計(jì)費(fèi)請(qǐng)求）傳送出去一段時(shí)間后，交換機(jī)能夠得到Radius服務(wù)，這段時(shí)間被稱為RadiusServer響應(yīng)超時(shí)時(shí)長(zhǎng)和Console用戶進(jìn)行認(rèn)證時(shí)，建議保留服務(wù)器響應(yīng)超時(shí)為缺省值設(shè)置Radius請(qǐng)求報(bào)文最大重傳次和Console用戶進(jìn)行認(rèn)證時(shí)，建議保留Radius請(qǐng)求報(bào)文最大重傳次數(shù)為缺省值A(chǔ)ccouting-On報(bào)文，告知Radius服務(wù)器該設(shè)備已經(jīng)重啟，要求Radius服務(wù)器強(qiáng)制該本功能僅適用于Radiu認(rèn)證/計(jì)費(fèi)服務(wù)器為CAMS缺省情況下，實(shí)時(shí)計(jì)費(fèi)間隔為12設(shè)置認(rèn)證/計(jì)費(fèi)服務(wù)器的IP地端設(shè)置認(rèn)證/計(jì)費(fèi)服務(wù)器的UDP端缺省情況下，Radius認(rèn)證服務(wù)器的UDP端為1812，Radius計(jì)費(fèi)服務(wù)器的802.1x802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制（PortBasedNetworkAccessControl）協(xié)議?！盎?02.1x的體系System（客戶端）、AuthenticatorSystem（設(shè)備端）以及AuthenticationServerSystem（認(rèn)證服SupplicantSupplicantAuthenticatorServerSystemcarriedinhigherlayerSupplicant網(wǎng)絡(luò)資源，當(dāng)?shù)谝粋€(gè)用戶下線后，其他用戶也會(huì)被使用網(wǎng)絡(luò)。802.1x的工作服務(wù)器之間傳送PAP協(xié)議報(bào)文或CHAP協(xié)議報(bào)文。802.1x的認(rèn)證交換機(jī)支持EAP-MD5認(rèn)證：驗(yàn)證客戶端的，Radius服務(wù)器發(fā)送MD5加密字圖8-5802.1x的認(rèn)證過(guò)程（EAP-EAPOL-EAP-Request/RADIUSAccess-EAP-Response/ (EAP-Response/EAP-Request/MD5RADIUSAccess-Challenge(EAP-Request/MD5challenge)EAP-Response/MD5RADIUSAccess-Request(EAP-Response/MD5challenge)EAP-端口握手定時(shí)握手請(qǐng)求報(bào)[EAP-Request/Identity握手應(yīng)答報(bào)[EAP-Response/IdentityEAPOL-端口請(qǐng)求（EAPOL-Start報(bào)文）。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開(kāi)始啟動(dòng)給Radius服務(wù)器進(jìn)行處理。Radius服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找過(guò)RadiusAccess-Challenge報(bào)文傳送給交換機(jī)，由交換機(jī)傳給客戶端程序?？蛻舳顺绦蚴盏接山粨Q機(jī)傳來(lái)的加密字（EAP-Request/MD5Challenge報(bào)文）后，用該加密字對(duì)口令部分進(jìn)行加理（此種加密算法通常是不可逆的，生成EAP-Response/MD5Challenge報(bào)文），并通過(guò)交換機(jī)傳給Radius服務(wù)器。Radius服務(wù)器將加密后的口令信息（RadiusAccess-Request報(bào)文）和自己經(jīng)過(guò)加密運(yùn)算后Access-Accept報(bào)文和EAP-Success報(bào)文）。802.1x的定有序的交互。802.1x的定時(shí)器主要有以下幾種：戶可以再重新發(fā)起認(rèn)證，在靜默期間，交換機(jī)不進(jìn)行該用戶的802.1x認(rèn)證相關(guān)處理。重認(rèn)證超時(shí)定時(shí)器：每隔該定時(shí)器設(shè)置的時(shí)長(zhǎng)，交換機(jī)會(huì)定期發(fā)起802.1x重認(rèn)將向Radius服務(wù)器重發(fā)認(rèn)證請(qǐng)求報(bào)文。傳送超時(shí)定時(shí)器：在客戶端主動(dòng)發(fā)起認(rèn)證的情況下，當(dāng)交換機(jī)向客戶端發(fā)送單播Request/Identity請(qǐng)求報(bào)文后，交換機(jī)啟動(dòng)該定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，交換機(jī)沒(méi)有收到客戶端的響應(yīng)，則交換機(jī)將重發(fā)認(rèn)證請(qǐng)求報(bào)文；為了對(duì)不支持主動(dòng)發(fā)起認(rèn)證的802.1x在實(shí)際應(yīng)用中，如果用戶在沒(méi)有安裝802.1x客戶端的情況下，需要某些資源；或者在用戶未認(rèn)證的情況下升級(jí)802.1x客戶端，這些情況可以通過(guò)開(kāi)啟GuestVLAN功能來(lái)解決。802.1x功能的端口發(fā)送觸發(fā)認(rèn)證報(bào)文（EAP-Request/Identity），如果達(dá)到最大發(fā)送次數(shù)后，仍有端口尚未返回響應(yīng)報(bào)文，則交換機(jī)將該端口加入到GuestVLAN802.1x重認(rèn)證 設(shè)置802.1x端口參對(duì)于已經(jīng)加入到某個(gè)匯聚組中的端口，則不允許在該端口上啟 802.1x當(dāng) 用戶時(shí)，如果更改了端口接入方式，則用戶會(huì)被強(qiáng)制下線x端口參數(shù)的設(shè)置以S5024F-SI為例進(jìn)行介紹。用戶握手功能和組播觸發(fā)功能 不支持用戶進(jìn)行開(kāi)啟或關(guān)閉的設(shè)置，默認(rèn)處于開(kāi)顯示所有端口的802.1x功能及設(shè)置單個(gè)端口的802.1x功能及批量設(shè)置指定端口的802.1x功表8-3端口802.1x（802.1x使能802.1x功能狀開(kāi)啟：開(kāi)啟端口的802.1x關(guān)閉：關(guān)閉端口的802.1x缺省情況下，端口的802.1x功能處于關(guān)閉狀“8.3.3設(shè)置802.1x全局參數(shù)”Auto：端口初始狀態(tài)為非狀態(tài)，僅允許EAPoL報(bào)文收發(fā)，不允許用戶網(wǎng)為基于端認(rèn)證：指802.1x認(rèn)證系統(tǒng)基于端口對(duì)接入用戶進(jìn)行認(rèn)證，即只要該物理端于端口GuestVLAN功關(guān)閉：關(guān)閉端口的GuestVLAN功開(kāi)啟：開(kāi)啟端口的GuestVLAN功僅當(dāng)端口接入方式處于基于端口認(rèn)證方式下，才支持GuestVLAN功必須同時(shí)開(kāi)啟全局和端口的GuestVLAN功能，該功能才能生效，相關(guān)操作請(qǐng)參見(jiàn)“8.3.3設(shè)置802.1x全局參數(shù)”設(shè)置802.1x全局參設(shè)置全局802.1x功能及相關(guān)表8-4802.1x功能開(kāi)啟：?jiǎn)⒂萌值?02.1x關(guān)閉：關(guān)閉全局的802.1x缺省情況下，全局的802.1x功能處于關(guān)閉狀 設(shè)置802.1xGuest僅當(dāng)端口接入方式處于基于端口認(rèn)證方式下，才支持GuestVLAN功 設(shè)置802.1xGuestVLAN端口自設(shè)置：保持當(dāng)前設(shè)置狀態(tài)，您可以通過(guò)“8.3.2802.1x端口參數(shù)”針對(duì)端口進(jìn) 為端口自設(shè)置：保持當(dāng)前設(shè)置狀態(tài)，您可以通過(guò)“8.3.2802.1x端口參數(shù)”針對(duì)端口進(jìn)基于MAC地址認(rèn)證802.1x認(rèn)證系統(tǒng)MAC地址對(duì)接入用戶進(jìn)行認(rèn)證，即該物理于端口自設(shè)置：保持當(dāng)前設(shè)置狀態(tài)，您可以通過(guò)“8.3.2802.1x端口參數(shù)”針對(duì)端口進(jìn)設(shè)置802.1x的各定時(shí)器參數(shù)，建議用戶說(shuō)明：802.1x的各定時(shí)器的相關(guān)描述請(qǐng)參見(jiàn)“8.3.14802.1x表9-1口優(yōu)先級(jí)0～7等級(jí)中7、5、3、1。比如：當(dāng)您選擇為“重要”時(shí)，則文件服務(wù)器的端口優(yōu)先級(jí)將被設(shè)置為5為對(duì)智能端口的相關(guān)配置進(jìn)行檢VLANVLAN典型組網(wǎng)配置舉HostAHostCA，但是通過(guò)不同的設(shè)備接入公司網(wǎng)絡(luò)；HostBHostD屬于部B，也通過(guò)不同的設(shè)備接入公司網(wǎng)絡(luò)。為了通信的安全性，也為了避免廣播報(bào)文泛濫，公司網(wǎng)絡(luò)中使用VLAN技術(shù)來(lái)部門間的二層流量。其中部門AVLAN100BVLAN200。HostC能夠互通，HostBHostD圖10-1VLANHostCHostCHostD HostAHostB運(yùn)行Web瀏覽器，在地址欄中輸入 （ 地址），按回 (2)(2)在登錄框中輸入缺省的管理員用戶名admin，：admin及，單擊<登錄>按鈕后便可進(jìn)入Web設(shè)置頁(yè)面802.1QVLAN”。單擊<新建VLANID100，包含端口1。單擊<確定>按鈕生效根據(jù)同樣操作方法創(chuàng)建VLAN單擊“設(shè)備管理→VLAN設(shè)置→Trunk3，允許通過(guò)的VLAN為100、200，單擊<(5)單(5)單擊“保存配置→保存配置”，DeviceB上的配置與DeviceA上的配置完全一樣，不再贅述。C與HostB、HostD之間二層。NMS通過(guò)SNMPv2c對(duì)SNMPAgent（交換機(jī)）進(jìn)行管理，當(dāng)SNMPAgent在故障或者出錯(cuò)的時(shí)候能夠主NMS報(bào)告情況。SNMP設(shè)置”。開(kāi)啟SNMPAgentSNMP基本信和人員的聯(lián)系信息，以方便單擊<新建>按鈕，設(shè)置允許Trap報(bào)文，使用的團(tuán)體名為在使用SNMPv2c版本NMS上需要設(shè)置“只讀團(tuán)體名”和“讀寫團(tuán)體名”。另外，還需要設(shè)置“超時(shí)”時(shí)間和“重試次數(shù)”。您可利用系統(tǒng)完成對(duì)交換機(jī)的查詢和配置操作，參考NMS的配套手冊(cè)。 S1626Isolate-user-vlan功能VLANH3CVLANH3CVLANVLAN202VLANVLAN 802.1QVLAN”，進(jìn)入VLAN所對(duì)應(yīng)的VLAN（此處為：VLAN201、VLAN202、VLAN301、VLAN302）及VLAN1000單擊“設(shè)備管理→VLAN設(shè)置→Hybrid端口Hybrid端單擊<新建>按鈕，將端1設(shè)置為Hybrid端口，PVID1000，且出端口文不帶VLANTag 單擊<新建>按鈕，將端口2-端口4設(shè)置Trunk端口，且允許所有的VLAN通過(guò)2為端口，設(shè)置端1為被鏡像端口（其入端單擊“設(shè)備管理→VLAN設(shè)置→（VLAN201、202、301、S1626上的S1626_A：設(shè)置VLAN1000為IsolateUserVLAN，包含與交換機(jī)相連的上行端口和兩個(gè)VLANVLANVLAN的報(bào)文通過(guò)IsolateUserVLAN的上行端口時(shí)帶VLANTag；S1626_B：設(shè)置VLAN1000為IsolateUserVLAN，包含與交換機(jī)相連的上行端口和兩個(gè)VLANVLANVLAN的報(bào)文通過(guò)IsolateUserVLAN的上行端口時(shí)帶VLANTag。附錄-命令行Web界面相同，則該特性的功能介紹將不再贅述。您可通過(guò)本手冊(cè)中的Web界面設(shè)置獲取相關(guān)的信息。將管理計(jì)算機(jī)的串口通過(guò)配置電纜與交換機(jī)的Console為None（不需要用戶名和）缺省情況下，用戶不能直接通過(guò)net方式登錄設(shè)備。如需采用net方式開(kāi)啟設(shè)備的net功（缺省情況下，設(shè)備沒(méi)有IP地址VTY用戶的認(rèn)證方式（缺省情況下，VTYPassword認(rèn)證 缺省配置下通過(guò)Console。。Windows界面上選擇[開(kāi)始/(所立新的連接（WindowsXP(2)在“連接時(shí)使用”下拉列表框中(2)在“連接時(shí)使用”下拉列表框中(3)在串口的屬性 關(guān)參數(shù)（參數(shù)值如右圖所示）通過(guò)Console口缺省配置登錄設(shè)備不需要進(jìn)行用戶名和認(rèn)證，這種情況可能會(huì)帶來(lái)安全隱患，的安全性。配置Console口登錄認(rèn)證方式的詳細(xì)操作請(qǐng)參見(jiàn)“11.4.2設(shè)置AUX用戶”。通 net服務(wù)器，具體配置請(qǐng)參見(jiàn)“.開(kāi) net用戶本地認(rèn)證（缺省采用本地認(rèn)證方式，具體配置請(qǐng)參見(jiàn)“5.3設(shè) net用戶認(rèn)證方式”或“11.4.3設(shè)置VTY用戶”）。 機(jī)，具體配置請(qǐng)參見(jiàn)“5.9設(shè)置管理PC控制”或“11.14.6設(shè)置管理PC控制”）。在交換機(jī)上正確配置管理VLAN接口的IP地址（在VLAN接口視圖下使用 address命令將與終端相連的以太網(wǎng)端口加入該管理VLAN（在VLAN視圖下使 port命令 的IP地址，否則會(huì)導(dǎo)致 net連接斷開(kāi)。您可以隨時(shí)鍵入“?”以獲 命令行提供類似Doskey的功能，可以執(zhí)行某 歷史命令VLANVLAN接口視圖；表11-1quit斷開(kāi)與交換system-quit返回用戶視r(shí)eturn返回用戶VLAN配置VLAN口視圖下鍵入vlan1VLAN接口視配置VLAN對(duì)應(yīng)的IPinterfacequit返回系統(tǒng)視VLANreturn返回用戶RADIUS方案視r(shí)adiusscheme<H3C> Enablesystemdebugging Displaycurrentsystemfunction Exitfromcurrentcommand Reset Reset Savecurrentconfigurationsystem-viewEnterthesystemview Specifytheterminalcharacteristics Cancelcurrentsetting鍵入一命令，后接以空格分隔的“?”，如果該命令行位置有關(guān)鍵字，則列出全部關(guān)鍵字及其<H3C>display AAA DisplayARPinformationcurrent-configurationCurrentconfiguration Currentsettingofdebugging Displaydhcpclinetinformation 802.1xstatusinformationigmp-snooIGMPinfo- Informationcenterstatusand Interfacestatusandconfiguration IPstatusandconfiguration Displayisolate LACP Portsaggregationmode Displaylogbuffermac- MACaddress displaythemirroringpriority- Prioritytrust Queueschedulingconfigurationinformation DisplayRADIUSconfigurationinformation Thesavedconfigurationinformation<H3C> system-<H3C>displayuser- user- <H3C>disp按下<Tab><H3C>表11-2ToomanyAmbiguousWrongDoskey功能，將用戶鍵入的歷史命令自動(dòng)保存，用戶可以隨時(shí)調(diào)用命令行接10條歷史命令。操作如下表11-3歷史命上光標(biāo)鍵下光標(biāo)鍵表11-4表11-5缺省情況下，進(jìn)入系統(tǒng)視圖時(shí)不需要輸入。但您可以在交換機(jī)系統(tǒng)視圖下配置分級(jí)保護(hù)，使用戶進(jìn)入系統(tǒng)視圖時(shí)進(jìn)行驗(yàn)證。當(dāng)進(jìn)行驗(yàn)證時(shí)，如果在三次以內(nèi)輸入了正確的，則表11-6system--superundosuper-AUX用AUX用戶界面用于通過(guò)Console口對(duì)交換機(jī)進(jìn)行。交換機(jī)只支持一個(gè)AUX用戶界面表11-7進(jìn)入用戶界面視圖system--進(jìn)入AUX用戶界面視number：需要配置的用戶界面的編號(hào)，可選值為AUX用戶支持的認(rèn)證方式有none、password和scheme三種可以通過(guò)Console口登錄到設(shè)備上，這種情況可能會(huì)帶來(lái)安全隱患。功、用戶才能登錄到設(shè)備上。配置認(rèn)證方式為password后，請(qǐng)妥善保存。schee：表示下次用nle登設(shè)時(shí)要行用名認(rèn)，戶或錯(cuò)有用132設(shè)置”。AUX用戶的認(rèn)證方式后，該認(rèn)證方式的設(shè)置不會(huì)立即生效。用戶需要退出命令行接口后重新system--進(jìn)入AUX用戶界面視0證方式為none（即不需要進(jìn)行認(rèn)證）設(shè)置AUX用戶界面的公共屬-詳細(xì)配置請(qǐng)參見(jiàn)“3設(shè)置AUX用戶界面公共行提示符（如<H3C>）如圖11-1所示。system--進(jìn)入AUX用戶界面視為0方式為none（即不需要進(jìn)行認(rèn)證）設(shè)置AUX用戶界面的公共-入登錄并回車，登錄界面中出現(xiàn)命令行提示符（如<H3C>），如圖11-2所示。system--進(jìn)入AUX用戶界面視number：需要配置的用戶界面的編號(hào)，可選值為缺省情況下，用戶通過(guò)Console口登錄，認(rèn)證方式-terminallocal如果采用RADIUS方式認(rèn)證，則需進(jìn)行如下配置：設(shè)備上的RADIUS方案配置請(qǐng)參見(jiàn)“11.13.2設(shè)AAA服務(wù)器上需要配置相關(guān)的用戶名和，具體local-useruser-password設(shè)置本地用戶令級(jí)levelstate狀態(tài)為active，即允許用戶登設(shè)置AUX用戶界面的公共-.有關(guān)AAA、RADIUS的詳細(xì)內(nèi)容，請(qǐng)參見(jiàn)“11.13.2設(shè)置AAA”。<H3C>）11-3所示system--進(jìn)入AUX用戶界面視number：需要配置的用戶界面的編號(hào)，可選值為[seconds值范圍為0～35791值范圍為0～59- system-- 當(dāng)您設(shè)置了VTY用戶認(rèn)證功能后，則通過(guò) net用戶支持的認(rèn)證方式有none、password和scheme三種none：表示下次使用net登錄設(shè)備時(shí)不需要進(jìn)行用戶名和認(rèn)證，任何人都可以通password：表示下次使用net登錄設(shè)備時(shí)需要進(jìn)行認(rèn)證，只有認(rèn)證成功，用戶才Console口登錄到設(shè)備，對(duì)net的配置進(jìn)行查看或修改。用戶認(rèn)證方式及參數(shù)的詳細(xì)介紹請(qǐng)參見(jiàn)“安全配置指導(dǎo)”中的“AAA配置”。配置認(rèn)證方式為scheme后，請(qǐng)妥善保存用戶名及，如果本地認(rèn)證丟失，可以使用Console口登錄到設(shè)備，對(duì)net的配置進(jìn)行查看或修改。如果認(rèn)證丟失，建議您聯(lián)系服務(wù)system--號(hào)，可選值為0、1authentication-mode缺省情況下，VTY用戶界面的認(rèn)證方式為password-詳細(xì)配置請(qǐng)參見(jiàn)“3設(shè)置VTY用戶用戶將直接進(jìn)入VTY用戶界面，如圖11-4所示system--可選值為0、1-<H3C>）11-5所示 system-- -netlocal如果采用RADIUS方式認(rèn)證，則需進(jìn)行如下配置：設(shè)備上的RADIUS方案配置請(qǐng)參見(jiàn)“11.13.2設(shè)AAA服務(wù)器上需要配置相關(guān)的用戶名和，具體local-useruser-password設(shè)置本地用戶令級(jí)levelstate.設(shè)置AUX用戶界面的公共-.有關(guān)AAA、RADIUS的詳細(xì)內(nèi)容，請(qǐng)參見(jiàn)“11.13.2設(shè)置AAA”。并回車，登錄界面中出現(xiàn)命令行提示符（如<H3C>），如圖11-6所示。如果出現(xiàn)“Alluserinterfacesareused,pleasetrylater!”的提示，表示當(dāng)前 net到設(shè)備的 system-- [seconds取值，取值范圍為0～35791值，取值范圍為0～59缺省情況下，VTY界面上啟用了超時(shí)退出功能，時(shí)間為5分則該net用戶將被自動(dòng)斷開(kāi)-表11-17F AUX1 WEB1表11-18displayusersF顯示起始連接位置，即接入的主機(jī)IP地如果您想對(duì)交換機(jī)進(jìn)行管理，必須設(shè)置交換機(jī)管理VLAN接口的IP地址。在創(chuàng)建新的管理VLAN之前，該VLAN必須已經(jīng)存在，且需要?jiǎng)h除當(dāng)前的管理VLAN接口system--vlan-id：VLAN的ID，取值范圍為缺省情況下，交換機(jī)VLAN為VLAN恢復(fù)管理VLAN為缺省配undomanagement--創(chuàng)建/VLAN.system--創(chuàng)建并進(jìn)入管理VLAN范圍為1～4094刪除管理VLAN-設(shè)置管理VLAN接口描述表11-21VLAN接口描述system--進(jìn)入管理VLANvlan-id：管VLAN的ID，取值范圍設(shè)置管理VLANtext：描述管理VLAN接口的字符串，可以包含特殊字符，不包括空格，長(zhǎng)度為1～80個(gè)字符缺省情況下，VLAN接口的描述字符串為該恢復(fù)管理VLAN接口缺省描undo-指定/VLAN接口的靜IPsystem--進(jìn)入管理VLANvlan-interfacevlan-vlan-id：管理VLAN的ID，取ip-address：管理VLAN接口的IP指定管理VLAN接口的靜態(tài)ipaddressip-{ip-maskip-mask：管理VLAN接口靜態(tài)IP缺省情況下，管理VLAN接口IP地址刪除管理VLAN接口的靜態(tài)undoip-<H