今天给大家分享的是中兴网络设备的命令大全。花了一天的时间去找手册和整理、排版,希望对大家有用,觉得好的话还请点个赞,转发一下。
一、端口配置
端口基本配置
在中兴的设备上,可以对端口参数进行配置,如自动协商、双工模式、速率、流量控制、端口优先级、mac 数目限制等。
端口参数的配置在全局配置模式下进行,主要包括以下内容。
1. 配置端口状态
set port [portlist] {enable|disable}2. 设置端口的自适应功能
set port [portlist] auto {enable|disable}自适应功能在缺省情况下是打开的,设置端口工作方式或端口速率后,自适应功能将自动关闭。
3. 设置端口的工作方式
set port [portlist] duplex {full|half}对于所有的以太网光口和工作速率为1000m 的以太网电口,端口的工作方式只能是全双工,无法改变。
4. 设置端口的速率
set port [portlist] speed {10|100|1000}对于100m 和1000m 的以太网光口,无法改变端口的速率。
5. 设置端口的带宽
set port [portlist] bandwidth ingress {off|on rate [64-256000] [tcpdrop|flowcontrol]} set port [portlist] bandwidth egress {off|on rate [64-256000]}6. 设置端口的流量控制
set port [portlist] flowcontrol {enable|disable}7. 设置端口的优先级
set port [portlist] default-priority [0-7]8. 设置端口的地址学习功能开启/关闭
set port [portlist] security {enable|disable}当端口安全设置为enable 时,端口的mac 地址学习功能将被关闭,当端口安全设置为disable 时,断口将恢复地址学习功能。
9. 设置端口对组播包过滤功能开启/关闭
set port [portlist] multicast-filter {enable|disable}10. 设置端口对外供电模式
set port [portlist] poe {auto|force|never}11. 设置端口速率宣称
set port [portlist] speedadvertise {maxspeed | {{speed10|speed100|speed1000} {fullduplex|halfduplex}}}12. 设置端口学习mac 地址数目
set port [portlist] macaddress {on [0-16] | off}缺省情况下端口的mac 地址限制为关闭。
13. 设置端口mac 地址固化保护
set port [portlist] fix-mac on [0-16] { shutdown | protect }14. 设置端口mac 地址固化自动恢复时间
set port [portlist] fix-mac auto-recover-time {on [5-240]| off}设置端口固化保护的自动恢复时间,此命令只有使能了地址固化保护且保护模式为shutdown 模式才可以设置,缺省值为30 分钟。如果设置为off,则为手动恢复模式。
15. 设置端口绞线方式
set port [portlist] mdix {auto|crossover|normal}16. 为端口创建描述名称
create port [portname] name [name]17. 为端口添加描述
set port [portlist] description [string]端口配置信息查看
使用show 命令可以查看端口的相关信息。
1. 显示端口的配置信息和工作状态
show port [[portlist]]2. 显示端口qos 配置数据
show port [portlist] qos3. 显示端口的统计数据
show port [portlist] statistics4. 清除端口的统计数据
clear port [portlist] {name|statistics|description}可以清除端口的统计数据。执行该命令后,端口的所有统计数据都将被清零。
5. 显示端口的单位时间流量的统计数据
show port [portlist] statistics二、端口镜像
端口镜像用于将进入交换机端口(入向镜像端口)的数据包镜像到一个入向目的端口(入向监控端口),或将出交换机端口(出向镜像端口)的数据包镜像到一个出向目的端口(出向监控端口)。
端口镜像基本配置
端口镜像功能的配置包括以下内容。
1. 设置监控端口
set mirror add dest-port [portname] {ingress|egress}2. 删除监控端口
set mirror delete dest-port [portname] {ingress|egress}3. 添加镜像源端口
set mirror add source-port [portlist] {ingress|egress}4. 删除镜像源端口
set mirror delete source-port [portlist] {ingress|egress}5. 显示端口镜像的配置
show mirror三、VLAN配置
vlan(virtual local area network)协议是二层交换设备的一个基本协议,它使管理员能够把一个物理的局域网划分为多个“虚拟局域网”。每个vlan 都有一个vlan 标识号(vlan id),在整个局域网中唯一的标识该vlan。多个vlan共享物理局域网的交换设备和链路。
每个vlan 在逻辑上就像一个独立的局域网,同一个vlan 中的所有帧流量都被限制在该vlan 中。跨vlan 的访问只能通过三层转发,不能直接访问。这样就提高了这个网络的性能,有效的减少了物理局域网上的整体流量。
vlan 的具体作用体现在:
VLAN基本配置
1. 使能/关闭vlan
set vlan [vlanlist] {enable|disable}2. 在vlan 中加入指定的端口
set vlan [vlanlist] add port [portlist] [tag|untag]3. 删除vlan 中指定的端口
set vlan [vlanlist] delete port [portlist]4. 在vlan 中加入指定的trunk
set vlan [vlanlist] add trunk [trunklist] [tag|untag]5. 删除vlan 中指定的trunk
set vlan [vlanlist] delete trunk [trunklist]6. 设置端口的pvid
set port [portlist] pvid [1-4094]7. 设置trunk 的pvid
set trunk [ trunklist ] pvid [1-4094]8. 设置vlan 的优先级
set vlan [vlanlist] priority {off|on [0-7]}9. 配置vlan 的fid
set vlan [vlanlist] fid [1-256]相同fid 的vlan 可以共享转发表的条目,大多数厂家不提供fid 的设置,而是缺省的让fid=vid。
10.设置禁止学习端口
set vlan [vlanlist] forbid port [portlist]启用gvrp 协议时,禁止学习的端口不能学习该vlan。
11.允许学习端口
set vlan [vlanlist] permit port [portlist]启用gvrp 协议时,允许学习的端口可以学习vlan,默认允许学习。
12.设置禁止学习trunk
set vlan [vlanlist] forbid trunk [trunklist]启用gvrp 协议时,禁止学习的trunk 不能学习该vlan。
13.允许学习trunk
set vlan [vlanlist] permit trunk [trunklist]启用gvrp 协议时,允许学习的trunk 可以学习vlan,默认允许学习。
14. 创建一个vlan 的描述名称
create vlan [1-4094] name [name]15. 清除vlan 的名称
clear vlan [vlanlist] name16. 显示vlan 的信息
show vlan [[vlanlist]]四、MAC表操作
对mac 表的操作主要包括mac 过滤功能、静态地址捆绑功能和mac 表老化时间的设置。
通过设置mac 地址过滤和静态地址捆绑,可以有效地控制非法用户侵入网络,防止一些关键的mac 地址被冒用,对网络安全起到重要的作用。
1. 配置fdb 的过滤地址
set fdb filter [xx.xx.xx.xx.xx.xx] fid [1-256]2. 在地址表中加入静态绑定地址
set fdb add [xx.xx.xx.xx.xx.xx] fid [1-256] {port [portname]|trunk [trunkid]} [priority [0-7]]3. 在地址表中删除一条记录
set fdb delete [xx.xx.xx.xx.xx.xx] fid [1-256]4. 设置地址老化时间
set fdb agingtime [15-3600]默认为240s
5. 显示fdb 地址老化时间
show fdb agingtime6. 显示fdb 表信息
show fdb dynamic port [portname] [detail] show fdb [[static|dynamic][detail]]7. 显示过滤地址信息
show fdb filter8. 显示基于mac 的fdb 信息
show fdb mac [xx.xx.xx.xx.xx.xx]9. 显示基于port 的fdb 信息
show fdb port [portname]10. 显示基于vlan 的fdb 信息
show fdb vlan [vlanname]11. 显示基于trunk 的fdb 信息
show fdb trunk [trunkid]六、Lcap配置
lacp(link aggregation control protocol)即链路聚合控制协议,是ieee 802.3ad描述的标准协议。
链路聚合(link aggregation)是指将具有相同传输介质类型、相同传输速率的物理链路段“捆绑”在一起,在逻辑上看起来好像是一条链路。链路聚合又称中继(trunking),它允许交换机之间或交换机和服务器之间的对等的物理链路同时成倍地增加带宽。因此,它在增加链路的带宽、创建链路的传输弹性和冗余等方面是一种很重要的技术。
聚合的链路又称干线(trunk)。如果trunk 中的一个端口发生堵塞或故障,那么数据包会被分配到该trunk 中的其他端口上进行传输。如果这个端口恢复正常,那么数据包将被重新分配到该trunk 中所有正常工作的端口上进行传输。
1. 使能或关闭lacp 功能
set lacp {enable|disable}lacp 功能的缺省状态是关闭的。
2. 在聚合组中加入指定端口
set lacp aggregator [trunkid] add port [portlist]3. 在聚合组中删除指定端口
set lacp aggregator [trunkid] delete port [portlist]端口处于自动协商模式时允许聚合;否则如果端口处于双工模式则允许聚合,处于半双工模式则不允许聚合。
4. 设置聚合组聚合模式
set lacp aggregator [trunkid] mode {dynamic|static | mixed }当聚合组配置成动态模式时,则只能与运行lacp 的设备对接。当配置成静态模式时,如果对端是静态的trunk(不运行lacp 协议),则进行静态聚合;当聚合组配置成混合模式时,如果对端是静态的trunk(不运行lacp协议),则进行静态聚合;当对端同时存在静态trunk 和lacp 时,优先考虑lacp 聚合。
5. 配置参与聚合的端口的超时情况
set lacp port [portlist] timeout {long|short}超时情况是指处于聚合状态的端口没有收到对端的lacp 协议包时,经过多长时间退出聚合,短超时是3 秒,长超时是90 秒。
6. 设置端口参与聚合的模式
set lacp port [portlist] mode {active|passive}端口参与聚合的模式是指在聚合组非静态模式下,聚合组内端口以主动或被动方式发送lacp 协议包来更新状态信息的方式。当本端端口配置为主动协商模式时,对端端口可配置为主动或被动协商模式;当本端端口配置为被动协商模式时,对端端口只能配置为主动协商模式,否则不能成功参与聚合(运行lacp 协议时)。
7. 设置lacp 的优先级
set lacp priority [1-65535]8. 显示lacp 的配置信息
show lacp9. 显示lacp 聚合组聚合信息
show lacp aggregator [[trunkid]]10. 显示lacp 参与聚合的端口信息
show lacp port [[portlist ]]配置聚合组后,可以对它进行各种设置,如设置pvid、加入vlan、静态绑定mac 地址等。
七、IGMP Snooping配置
由于组播地址不可能出现在报文的源地址中,所以交换机无法学习到组播地址。当交换机收到组播信息时,会向同一个vlan 中的所有端口广播。如果不采取措施,就会出现不想要的组播信息扩散到网络中每一点的严重问题,浪费网络带宽资源。
igmp snooping 通过对主机和路由器之间的igmp 协议通信的“监听”,使组播包只发送给在组播转发表中的端口,而不是所有端口,从而限制了局域网交换机上的组播信息扩散,减少了不必要的网络带宽的浪费,提高了交换机的利用率。
基于源或目的地址的组播过滤,能够按照用户在监听vlan 添加的过滤条目对主机向路由器发送的igmp 协议报文进行过滤处理,增强交换机对组播监听的控制。
1. 使能或关闭igmp snooping 功能
set igmp snooping {enable|disable}igmp snooping 功能的缺省状态是关闭的。
当igmp snooping 功能关闭时,对于组播流根据set port multicast 命令的配置进行处理,如果选择参数forward 则对相应端口进行转发,如果选择discard 则对相应端口丢弃。
使能igmp snooping 功能后,对于组播流首先根据监听到的组播转发表来转发,如果没有查找到该组播转发表,则按照上述的配置针对端口决定转发或丢弃。
当igmp snooping 关闭时,对于非路由端口,最好关闭端口的组播转发功能;而对于路由端口,最好开启端口的组播转发功能。
2. 添加对指定vlan 的igmp snooping 功能
set igmp snooping add vlan [vlanlist]3. 删除对指定vlan 的igmp snooping 功能
set igmp snooping delete vlan [vlanlist]只有添加对指定的vlan 进行组播监听的功能,才能监听到相应的组播转发表。本交换机最多支持同时监听256 个vlan。
4. 使能或关闭对指定vlan 的igmp query 功能
set igmp snooping query vlan [vlanlist] {enable|disable}使能了igmp snooping 功能后,如果没有igmp query 路由器存在,则无法完成正常的igmp snooping 的功能,这时可以开启交换机的igmp query的功能。
如果所监听的vlan 存在igmp query 路由器,最好关闭本交换机的igmp query 功能。交换机运行的igmp query 版本是v2.0,遵循v2.0 igmp query 路由器选举功能。当配置了三层端口的ip 和mac 地址,则igmp query 的源ip 和源mac 使用三层配置;否则使用223.255.255.255 和交换机的mac 地址作为igmp query 的源。
5. 添加基于vlan 的静态组播组
set igmp snooping vlan [vlanname] add group [a.b.c.d]6. 删除基于vlan 的静态组播组
set igmp snooping vlan [vlanname] delete group [a.b.c.d]当已添加了基于此vlan 和某些端口的静态组播组后,则不再允许添加仅基于此vlan 的静态组播组;同时,当删除基于vlan 的静态组播组时,则已添加了基于此vlan 和某些端口的静态组播组也被同时清除。
7. 添加基于vlan+端口或vlan+聚合口的静态组播组
set igmp snooping vlan [1-4094] add group [a.b.c.d] port [portlist]或
set igmp snooping vlan [1-4094] add group [a.b.c.d] trunk [trunklist]8. 删除基于vlan+端口或vlan+聚合口的静态组播组
set igmp snooping vlan [1-4094] delete group [a.b.c.d] port [portlist]或
set igmp snooping vlan [1-4094] delete group [a.b.c.d] trunk[trunklist]或
set igmp snooping vlan [1-4094] delete group [a.b.c.d]当运行了igmp snooping 的功能,允许以本交换机的名义注册基于vlan 或基于vlan+端口的静态组播组,本交换机支持最多对64 个静态组播组的注册。
注册的静态组播组只能是用户组播地址224.x.x.x~239.x.x.x,不能是保留的组播地址。224.0.0.x 的组播地址不允许注册。
注册的静态组播组所在vlan 必须是已被监听的vlan。
9. 添加静态路由端口或聚合口
set igmp snooping vlan [1-4094] add smr port [portlist]或
set igmp snooping vlan [1-4094] add smr trunk [trunklist]10.删除静态路由端口或聚合口
set igmp snooping vlan [1-4094] delete smr port [portlist]或
set igmp snooping vlan [1-4094] delete smr trunk [trunklist]当为某个监听vlan 添加了静态路由端口或聚合口后,能够将此端口或聚合口添加到此监听vlan 对应的所有组播组中,并且组播组中成员端口的加入、离开等报文将同时向路由端口和此静态路由端口转发;
11. 设置基于vlan 的组播组数目限制
set igmp snooping add maxnum [1-256] vlan [vlanlist]12. 清除基于vlan 的组播组数目限制
set igmp snooping delete maxnum vlan [vlanlist]缺省状态下,每个被监听的vlan 所能建立的组播组数目为256,当设置了此vlan 的组播组数目后,此vlan 上所能建立的组播组条目不会大于此vlan 限制的组播组数目。
13. 设置组播成员/路由超时
set igmp snooping timeout [100-2147483647] {host|router}14. 设置查询周期
set igmp snooping query_interval [10-2147483647]15. 设置查询响应周期
set igmp snooping response_interval [10-250]16. 设置最后的成员查询周期
set igmp snooping lastmember_query [10-250]17. 使能或关闭igmp 的快速离开功能
set igmp snooping fastleave {enable|disable}运行了igmp snooping 功能,并正确地监听到了主机加入的端口后,当该端口收到igmp 离开报文时,如果关闭了igmp 的快速离开功能,则交换机将向该端口发送两次特定组查询,以确认是否在组播转发表中删除该端口;如果使能了igmp 的快速离开功能,则不进行特定组查询,直接从组播转发表中删除该端口。
当跨vlan 的组播监听从使能状态变为关闭状态时,经过跨vlan 组播监听的某些监听结果要经过相应的超时时长才能正确删除掉。
18. 使能或关闭跨vlan 的igmp snooping 功能
set igmp snooping crossvlan {enable|disable}当运行了igmp snooping 功能,并利用pvid(default vlan_id)正确地配置一对多的端口转发形式后,可以利用本交换机跨vlan 的igmpsnooping 功能对不同vlan 之间的igmp 信息进行监听并进行跨vlan的组播转发。
19. 使能或关闭组播过滤功能
set igmp filter {enable|disable}组播过滤功能的缺省状态是关闭的。
当使能组播过滤功能后,对于组播加入请求的处理,将按照添加的组播过滤条目对其进行过滤后再进行处理;如果组播过滤功能关闭,对于端口的加入请求,将不作任何基于源地址或组地址的过滤操作。
20. 添加基于vlan 的组播组地址过滤
set igmp filter add groupip [a.b.c.d] vlan [vlanlist]21. 删除基于vlan 的组播组地址过滤
set igmp filter delete groupip [a.b.c.d] vlan [vlanlist]22. 添加基于vlan 的组播源地址过滤
set igmp filter add sourceip [a.b.c.d] vlan [vlanlist]在组播过滤使能后,设置了基于vlan 的组播源地址过滤条目后,此vlan内的端口如果收到源地址为此过滤地址的组播加入请求时,本端交换机不对此端口的加入请求进行处理。
23. 删除基于vlan 的组播源地址过滤
set igmp filter delete sourceip [a.b.c.d] vlan [vlanlist]24. 显示组播监听的配置
show igmp snooping25. 显示组播监听结果
show igmp snooping vlan [[vlanname] [host|router]26.显示组播过滤状态
show igmp filter27.显示某监听vlan 的组播地址过滤条目
show igmp filter vlan [1-4094]七、IPTV配置
iptv 又称交互式网络电视,是由运营商基于宽带基础推出的,利用ip 宽带网络,集互联网、多媒体、通信等多种技术于一体,向用户提供直播电视、视频点播、上网浏览等多种交互式服务的业务,用户可以通过pc 或“ip 机顶盒+电视”的方式使用的业务。
IPTV基本配置
先进入nas 配置管理模式:config nas
1. iptv 全局参数配置:
设置用户的最小观看时间
iptv control log-time设置全局最大预览次数
iptv control prvcount count设置全局最小预览间隔
iptv control prvinterval设置全局最大预览时间
iptv control prvtime设置全局复位预览次数的周期
iptv control prvcount reset-periodiptv 使能功能
iptv control {enable|disable}2. iptv 频道配置
创建iptv 的频道
create iptv channel [channellist]设置频道名
iptv channel [channellist] name设置频道所属组播vlan
iptv channel [channellist] mvlan删除频道
clear iptv channel [channellist]3. cac(频道访问控制)配置
创建cac 规则
create iptv cac-rule [rule id]设置规则名
iptv cac-rule [rulelist] name设置规则的最大预览次数,缺省为全局最大预览次数
iptv cac-rule [rulelist] prvcount设置规则的最大预览时间,缺省为全局最大预览时间
iptv cac-rule [rulelist] prvtime设置规则的最小预览间隔,缺省为全局最小预览间隔
iptv cac-rule [rulelist] prvinterval设置规则对频道的权限
iptv cac-rule [rulelist] right删除规则
clear iptv cac-rule [rulelist]4. iptv 用户的管理命令
删除在线的iptv 用户
clear iptv clientIPTV的维护和诊断
当iptv 遇到问题时,我们可以通过相关的调试命令来帮助定位故障,排除错误,其中用到的命令主要是与其相关的show 命令。
1. 显示iptv 的全局配置信息
show iptv control2. 显示iptv 频道信息
show iptv channel3. 显示特定频道号的频道统计信息
show iptv channel [id|name]4. 显示cac 规则
show iptv cac-rule5. 显示cac 规则统计
show iptv cac-rule [id|name]6. 显示在线的iptv 用户
show iptv client八、MSTP配置
stp(生成树协议)应用于有环路的网络,通过一定的算法得到一条通路,并阻断冗余路径,将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。当这条通路正常工作时,其余路径是关闭的;当这条通路出现故障时,将重新进行计算得到一条新的通路。
rstp(快速生成树协议)在普通stp 协议的基础上增加了端口可以快速由blocking 状态转变为forwarding 状态的机制,加快了拓扑的收敛速度。
mstp(多生成树协议)是在快速和普通生成树协议基础上,增加对带有vlan id的帧转发的处理。整个网络拓扑结构可以规划为总生成树cist,分为cst(主干生成树)和ist(区域生成树)
在整个多生成树的拓扑结构中,可以把一个ist 看作一个单个的网桥(交换机),这样就可以把cst 作为一个rstp 生成树来进行配置信息(bpdu)的交互。在一个ist 区域内可以创建多个实例,这些实例只在本区域内有效。可以把每一个实例等同于一个rstp 生成树,不同的是还要与区域外的网桥进行bpdu 的交互。
用户在创建某个实例时,必须将一个或多个vlan id 划入此实例中。ist 区域内的网桥上属于这些vlan的端口通过bpdu的交互,最终构成一个生成树结构(每个实例对应一个生成树结构)。
这样,该区域内的网桥在转发带有这些vlan id 的数据帧时,将根据对应实例的生成树结构进行转发。对于要转发到该区域外的数据帧,无论它带有何种vlanid,均按照cst 的rstp 生成树结构进行转发。
与rstp 相比,mstp 的优点在于:在某个ist 区域中,可以按照用户设定的生成树结构对带有某个vlan id 的数据帧进行转发,并保证不会造成环路。
1. 使能/关闭stp
set stp {enable|disable}2. 设置stp 的强制类型
set stp forceversion {mstp|rstp|stp}3. 设置vlan 和instance 的映射关系
set stp instance [0-15][add|delete] vlan [vlanlist]该命令新建一个实例,并设置vlan 与该实例的映射关系。这些vlan 将自动从instance 0 的vlan 映射表中删除,加入新建实例的vlan 映射表中。
4. 设置网桥优先级
set stp instance [0-15] bridgeprio [0-61440]5. 设置实例端口优先级
set stp instance [0-15] port [portname] priority [0-255]6. 设置实例trunk 的优先级
set stp instance [0-15] trunk [ trunkid ] priority [0-255]7. 设置实例端口费用
set stp instance [0-15] port [portname] cost [1-200000000]8. 使能/关闭实例端口root 保护
set stp instance [0-15] port [portname] root-guard {enable|disable}9. 使能/关闭实例端口loop 保护
set stp instance [0-15] port [portname]loop-guard{enable|disable}10. 设置实例trunk 费用
set stp instance [0-15] trunk [trunkname] cost [1-200000000]11. 使能/关闭实例trunk root 保护
set stp instance [0-15] trunk [trunkname] root-guard {enable|disable}12. 使能/关闭实例trunk loop 保护
set stp instance [0-15] trunk [trunkname]loop-guard{enable|disable}13. 使能/关闭端口stp 功能
set stp port [portlist]{enable|disable}14. 使能/关闭trunk 的stp 功能
set stp trunk [trunklist]{enable|disable}15. 使能/关闭端口bpdu 保护
set stp port [portlist] bpdu-guard{enable|disable}16. 设置端口stp 类型检查
set stp port [portlist] pcheck17. 设置实例端口的linktype 类型
set stp port [portlist] linktype {point-point|shared}18. 设置实例trunk 的linktype 类型
set stp trunk [trunklist] linktype {point-point|shared}19. 设置实例端口的包类型
set stp port [portlist] packettype {ieee|cisco|huawei| hammer|extend}20. 设置实例trunk 的包类型
set stp trunk [trunklist] packettype {ieee|cisco|huawei| hammer|extend }21. 设置mstp 的时间参数
设置stp 的通告间隔时间
set stp hellotime [1-10]设置stp 的转发延迟时间
set stp forwarddelay [4-30]设置stp 的老化时间
set stp agemax [6-40]22. 设置mst 的任意两终端间的最大跳数
set stp hopmax [1-40]23. 设置mst 的区域名称
set stp name [name]24. 设置mst 的版本号
set stp revision [0-65535]同一区域内mst 的版本号必须相同。
25. 使能/关闭stp relay
set stp relay {enable|disable}26. 设置边缘端口
set stp edge-port {add|delete} port [portlist]27. 设置stp 的hmd5 摘要
set stp hmd5-digest {cisco|huawei}[0,0x00..0-0xff..f]28. 设置stp 的hmd5 关键字
set stp hmd5-key {cisco|huawei}[0,0x00..0-0xff..f]29. 查看stp 的相关信息
显示stp 的信息
show stp显示stp 实例的信息
show stp instance [[0-15]]显示stp 端口的信息
show stp port [[portlist]]显示stp trunk 的信息
show stp trunk [trunklist]显示stp relay 的信息
show stp relay九、QoS配置
交换机提供一定的qos 功能,提供优先级控制功能,可以基于数据包的源mac地址优先级、vlan 优先级、802.1p 用户优先级、三层dscp 优先级或端口默认优先级来决定数据包的优先级。一个数据包优先级决定顺序为(前面的优先):
当前面的优先级决定机制决定数据包的优先级后,后面的优先级决定策略被忽略。如果要使用端口的默认优先级决定端口接收的数据包的优先级时,需满足以下的所有条件:
为交换机配置优先级控制策略后,当交换机接收到相应的数据帧,高优先级的数据帧可以优先传输,从而保证关键应用。
默认情况下,端口上802.1p 用户优先级功能是使能的,其他的优先级决定策略是关闭的,用户可以根据实际需要,基于端口开启或关闭任意优先级决定策略。
在同时使能端口的802.1p 用户优先级和三层dscp 优先级,且端口接收的数据包有802.1p 用户优先级的ip 数据包时,交换机使用数据包的802.1p 用户优先级决定数据包优先级。
1. 设置队列调度模式
set qos queue-schedule {sp|wfq}2. 设置802.1p 用户优先级到队列优先级映射
set qos priority-map user-priority [0-7] traffic-class [0-3]默认情况下,802.1p 用户优先级到队列优先级对应关系为:
(0,3)→1;(1,2)→0;(4,5)→2;(6,7)→3
此对应关系在端口使用802.1p用户优先级或默认优先级决定数据包优先级时来决定数据包所上的队列。
3. 设置ip dscp 优先级到队列优先级映射
set qos priority-map ip-priority [0-63] traffic-class [0-3]默认情况下,802.1p 用户优先级到队列优先级对应关系为:
(0~15)→0;(16~31)→1;(32~47)→2;(48~63)→3
此对应表在端口有三层dscp 优先级决定数据包优先级时来决定数据包所上的队列。
4. 设置报文的最大长度
set qos max-frame-size [1522/1632]设置报文的最大长度为1522 bytes 或者1632 bytes,缺省值为1632bytes。
5. 显示队列调度配置
show qos queue-schedule6. 显示qos 的802.1p 用户优先级到队列优先级映射/三层dscp 优先级到队列优先级映射
show qos priority-map {user-priority|ip-priority}十、PVLan配置
pvlan(private vlan)是一个基于端口的vlan。pvlan 是由若干个共享端口和若干个隔离端口组成,隔离端口之间不能相互访问,但隔离端口和共享端口之间可以互相访问。目前一个交换机设备中之支持一个pvlan。
pvlan 的具体应用如只允许用户访问服务器,不允许用户之间的直接互访。因此pvlan 的设置只会在一个完整的pvlan(既有共享端口又有隔离端口)中生效,如果只配置了共享端口,或者只配置了隔离端口,pvlan 的设置将失效。
1. 在pvlan 中增加/删除隔离端口/共享端口
set pvlan session [id] {add|delete} {isolated-port [portlist] | promiscuous {port[portname]|trunk[trunkid]}}2. 显示pvlan 配置
show pvlan十一、802.1透传配置
ieee 802.1x 是基于端口的访问控制协议(port-based network access control)。基于端口的访问控制是对连接到局域网(lan)设备的用户进行认证和授权的一种手段。这种认证在局域网环境中提供了一种点对点的识别用户的方式。
1. 开启/关闭802.1x 透传功能
set dot1x-relay {enable|disable}2. 显示802.1x 透传配置
show dot1x-relay十二、三层配置
为了实现用户的远程登录,需要在交换机上配置ip 端口,当远程配置主机与交换机上的ip 端口不在同一个网段时,还需要进行静态路由的配置。
静态路由是一种简单的单播路由协议,由用户指定到达某一目的网段的“下一跳”地址,其中“下一跳”也称为网关。静态路由的内容主要包括目的地址、目的地址掩码、下一跳地址、出接口。目的地址和目的地址掩码描述目的网络信息,下一跳地址和出接口描述本交换机转发此目的报文的方法。
基本配置
1. 设置三层端口的ip 地址和掩码
set ipport [0-63] ipaddress {[a.b.c.d/m]|[a.b.c.d] [ a.b.c.d]}2. 为三层端口绑定vlan
set ipport [0-63] vlan [vlanname]3. 设置三层端口mac 地址
set ipport [0-63] mac [xx.xx.xx.xx.xx.xx]如果不设置,则使用交换机的mac 地址。
4. 使能/关闭三层端口
set ipport [0-63] {enable|disable}在更改一个ip 端口的设置时,先要将端口设置为disable 状态,然后设置需要修改的项,新的设置将覆盖原来的设置。可以用以下命令清除端口的某个参数或全部参数,在清除之前同样要将端口设置为disable 状态。
clear ipport [0-63] [mac|ipaddress {[a.b.c.d/m]|[a.b.c.d] [a.b.c.d]}|vlan [vlanname]]在配置好一个ip 端口后,如果要接入的远端用户不在接口的网段中,需要使用以下命令设置一条到远端网络的静态路由。
iproute {[a.b.c.d/m]|[a.b.c.d] [ a.b.c.d]} [ a.b.c.d] [[1-15]]ARP表项配置
1. 增加静态arp 表项
arp add [a.b.c.d] [xx.xx.xx.xx.xx.xx] [0-63] [vlanname]2. 删除静态arp 表项
arp delete [a.b.c.d]3. 删除所有的arp 表项
clear arp4. 设置ip 端口arp 表项的老化时间
arp ipport [0-63] timeout [1-1000]当arp 表项在交换机上存在的时间(此间没有接收到此ip 地址的报文),大于ip 端口上的老化时间时,交换机将删除此arp 表项。
5. 查看arp 表中的表项
show arp [static|dynamic|invalid|ipport [0-63] {static|dynamic|invalid} |ipaddress [a.b.c.d]]十二、接入服务配置
随着宽带以太网建设规模的迅速扩大,为了满足接入用户数量急剧增加和宽带业务多样性的要求,在交换机上嵌入了接入服务(nas),以完备接入用户的认证和管理功能,更好地支持宽带网络的计费、安全、运营和管理。
接入服务在运用802.1x 协议和radius 协议的基础上,实现对用户接入的认证和管理功能,具有高效、安全、易于运营等优点。
ieee 802.1x 称为基于端口的访问控制协议(port-based network access control)。
它的协议体系结构包括三个重要部分:
- 客户端系统、
- 认证系统
- 认证服务器。
radius(远程用户拨号认证系统)是一个在radius server 和radius client 之间进行认证、授权、配置数据信息交互的协议标准。
radius 采用client/server 模型。在nas 上运行的是client 端,负责传送用户信息到指定的radius 服务器,并根据服务器返回的结果进行相应的操作。
pap(password authentication protocol)是一种简单的明文验证方式。nas 要求用户提供用户名和密码,用户以明文方式返回用户信息。服务器端根据用户配置查看是否有此用户以及密码是否正确,然后返回不同的响应。这种验证方式的安全性较差,传送的用户名和密码容易被窃取。
chap(challenge handshake authentication protocol)是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。nas 向用户发送一个随机产生的挑战口令,用户用自己的密码和md5 算法对挑战口令进行加密,并返回用户名和加密的挑战口令(加密口令)。
服务器端用自己保存的用户密码和md5 算法对挑战口令进行加密。比较用户和服务器端的加密口令,根据比较结果返回不同的响应。
配置802.1x
先进入nas 管理模式:config nas
1. 开启/关闭端口的802.1x 功能
aaa-control port [portlist] dot1x {enable|disable}2. 配置端口的认证控制模式
aaa-control port [portlist] port-mode {auto|force-unauthorized| force-authorized}可以配置的模式如下:
- auto:从配置成auto 的端口接入的用户必须通过认证,认证成功与否决定了用户能否接入成功。
- force-authorized:强制认证通过,用户不需要认证便可以通过该端口接入。
- force-unauthorized:强制认证不通过,用户不能通过该端口接入。
默认的认证控制模式为auto。
3. 允许/禁止端口多用户接入
aaa-control port [portlist] multiple-hosts {enable|disable}4. 配置端口的最大用户接入数目
aaa-control port [portlist] max-hosts [0-64]一个端口可以接入多个用户,每个用户有自己独立的认证和计费过程。一个端口允许有多个用户接入时,aaa-control port max-hosts 命令才有意义。
5. 打开/关闭配置重认证机制
dot1x re-authenticate {enable|disable}6. 配置重认证的时间间隔
dot1x re-authenticate period [1-4294967295]为了判断接入的用户是否一直保持连接,nas 可以定时要求接入的用户进行重认证。重认证需要为每个在线用户启动一次完整的认证过程,如果用户量较大,认证报文将非常频繁,会对交换机造成一定的负担。
7. 打开/关闭端口的异常下线检测机制
aaa-control port [portlist] keepalive {enable|disable}8. 设置端口的异常下线检测周期
aaa-control port [portlist] keepalive period [1-3600]除了重认证机制,为判断接入用户是否保持连接,nas 模块还提供了异常下线检测机制。异常下线检测只需要少量的报文交互便可以确定用户是否在线。
异常下线检测机制是通过设备主动向客户端定期发送检测请求来实现的。
请求报文利用了802.1x 协议定义的eapol/eap repid 报文,如果收到客户端的eapol/eap respid 响应说明该用户在线;如果未收到响应则说明用户已经下线。
9. 配置端口的认证方式
aaa-control port [portlist] protocol {pap|chap|eap }用户接入认证时,在认证服务器与认证系统之间有三种用户身份识别方式,包含pap,chap 和eap-md5 方式。系统默认为eap-md5。
10. 配置协议参数
设置认证系统一次认证失败后到接受下一次认证请求的间隔
dot1x quiet-period [0-65535]设置认证系统接收不到客户端回复而重发eapol 数据包的等待时间
dot1x tx-period [1-65535]设置认证系统接收来自认证客户端系统的数据包的超时时间
dot1x supplicant-timeout [1-65535]设置认证系统接收来自认证服务器的数据包的超时时间
dot1x server-timeout [1-65535]设置认证系统接收来自客户端的challenge 响应的超时重传次数
dot1x max-request [1-10]802.1x 通过在客户端系统和认证系统之间传递eapol 数据包,在认证系统和认证服务器之间传递radius 数据包实现访问控制。在传递数据包的过程中有如下的参数控制:
- quietperiod 是指在一次认证失败后多长时间内认证系统不接收来自客户端系统的认证请求,这项功能可以防止用户试图不停的进行认证。
- txperiod 是指认证系统在多长时间内没有收到客户端系统的回复,将会重发eapol 数据包到客户端系统。
- supplicant timeout 和servertimeout 是用来表示在认证过程中认证系统接收来自客户端系统和认证服务器的数据包的超时时间。
- max-request 是指在认证过程中,认证系统接收来自客户端系统的challenge响应的超时重传次数。
11. 查看端口的802.1x 配置
show aaa-control port [[portlist]]12. 查看802.1x 协议参数
show dot1x配置radius
1. 添加/删除一个isp 域
radius isp [ispname] {enable|disable}在radius 配置中,我们引入了域(isp-domain)的概念。不同的域可能由不同的isp 经营,接入设备根据用户输入的用户名中的域名部分(用户名@域名)来区分用户所属的域,并将其认证和计费请求发送到相应域的认证和计费服务器。每个域都有自己的radius 服务器。
删除某个域后时,同该域相关的所有配置都被删除。
2. 在域中添加认证服务器
radius isp [ispname] add authentication [a.b.c.d] [[0-65535]]3. 在域中删除认证服务器
radius isp [ispname] delete authentication [a.b.c.d]每个域最多可配置3 个认证服务器。服务器的优先级同配置顺序相关,最先配置的服务器的优先级最高,最后配置的服务器优先级最低。当删除一个服务器时,后面的服务器的优先级依次递增。
4. 在域中添加记帐服务器
radius isp [ispname] add accounting [a.b.c.d] [[0-65535]]5. 在域中删除记帐服务器
radius isp [ispname] delete accounting [a.b.c.d]每个域最多可配置3 个记帐服务器。服务器的优先级同配置顺序相关,最先配置的服务器的优先级最高,最后配置的服务器优先级最低。当删除一个服务器时,后面的服务器的优先级依次递增。
6. 配置域的客户端ip 地址
radius isp [ispname] client [a.b.c.d]域的客户端的ip 地址必须是交换机上一个接口的ip 地址。
7. 配置域的共享密码
radius isp [ispname] sharedsecret [string]共享密码用于radius 客户端与radius 服务器进行数据加密,客户端与服务器的配置必须一致。
8. 指定默认域
radius isp [ispname] defaultisp {enable|disable}系统中只能将一个域指定为默认域,系统将所有的没有指定域名的用户认证请求都发送到默认域中的radius 认证服务器。
9. 配置域全帐号
radius isp [ispname] fullaccount {enable|disable}当指定使用全帐号时,radius 客户端使用“用户名@域名”做为用户名请求radius 服务器认证;如果没有指定使用全帐号,用户名中不包含域名。
10. 配置域描述符
radius isp [ispname] description [string]11. 配置radius 参数
配置服务器响应超时时间
radius timeout [1-255]配置服务器响应超时重传次数
radius retransmit [1-255]配置接入服务器名称
radius nasname [nasname]12. 打开/关闭端口的计费功能
aaa-control port [portlist] accounting {enable|disable}13. 删除发送失败的radius 记帐中止包
clear accounting-stop { session-id [session-id] | user-name [user-name] | isp-name [isp-name] | server-ip [a.b.c.d]}14. 查看radius 配置
show radius [ {ispname [[ispname]] } | {accounting-stop [session-id [session-id]] [user-name [user-name] ] [isp-name [isp-name]] [server-ip [a.b.c.d]] } ]15. 设置dot1x 协议可使用的私有mac 地址
dot1x add fid [1-256] [ mac [hh.hh.hh.hh.hh.hh]]一般的802.1x 包的目的mac 地址为0180c2000003,在有些交换机上这个目的mac 地址包不能透传到认证交换机,为了能透传,客户端发出的包就不能用这个目的mac 地址,而使用一个约定的mac 地址,在认证交换机上必须配置这个mac 地址已识别802.1x 包。
如果增加mac 地址时不输入mac 地址,则为缺省值01d0d0ffffff。
16. 删除dot1x 协议可使用的私有mac 地址
dot1x delete fid [1-256]十三、Qinq配置
qinq 是对基于ieee 802.1q 封装的隧道协议的形象称呼,又称vlan 堆叠。qinq技术是在原有vlan 标签(内层标签)之外再增加一个vlan 标签(外层标签),外层标签可以将内层标签屏蔽起来。
qinq 不需要协议的支持,通过它可以实现简单的l2vpn(二层虚拟专用网),特别适合以三层交换机为骨干的小型局域网。
1. 添加/删除customer 端口
set qinq customer port [portlist] {enable|disable}2. 添加/删除uplink 端口
set qinq uplink port [portlist] {enable|disable}3. 设置外层标签的tpid
set qinq tpid [tpid]4. 显示qinq 配置
show qinq配置qinq 时,spvlan 的customer 端口既可以设置为untagged 端口,也可以设置为tagged 端口。uplink 端口也是如此。
十三、SysLog配置
syslog 日志系统是以太网交换机中不可或缺的一部分,它是系统软件模块的信息枢纽。日志系统管理大多数的重要信息输出,并且能够进行细致的分类,从而能够有效地进行信息筛选,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
syslog 日志系统按照信息来源进行划分,依功能模块进行信息过滤,满足用户的定制要求。
1. 开启/关闭syslog 功能
set syslogsyslog 功能缺省是关闭的。开启syslog,当信息量较多时影响交换机的系统性能。
2. 定义syslog 信息的等级
set syslog levelsyslog 信息的等级如概述中所述,缺省设置为informational。配置syslog 信息的等级为emergencies 时,信息将优先发送。
3. 设置syslog 信息接收服务器
set syslog add |delete server本交换机最多可配置5 个syslog server 地址。
4. 开启/关闭发送syslog 的模块
set syslog module开启/关闭发送syslog 的功能模块。
5.显示syslog 配置
show syslog status十四、NTP配置
ntp(网络时间协议)是以太网交换机用来实现网络设备之间时间同步功能的模块
1. 开启/关闭ntp 功能
set ntp本命令相当于ntp 功能的总开关,配置后其余的ntp 命令才能生效。ntp 功能打开后,必须在配置了ntp 服务器ip 地址之后才会真正进行时间同步动作,即要ntp 协议生效的必要条件是:设置了ntp 服务器ip 地址和ntp 协议功能使能。
2. 设置ntp 服务器的ip 地址
set ntp server目前只允许配置从一个时间服务器同步时间。若配置多条命令,则后面的配置将覆盖前面的。
3. 设置ntp 协议发送同步时间请求时使用的源地址
set ntp source默认情况下,交换机没有配置源地址,ntp 发送同步时间请求时,由ip层决定报文所使用的ip 地址。
4. 显示ntp 状态
show ntp十五、GARP/GVRP配置
garp(generic attribute registration protocol)是一种通用的属性attribute 注册协议,通过不同的应用协议,为相同交换网内成员之间动态分发vlan、组播mac 地址等属性信息。
gvrp(garp vlan registration protocol)garp vlan 注册协议是garp 所定义的一种应用协议,它基于garp 的协议机制动态维护交换机中的vlan 信息。所有支持gvrp 特性的交换机能够接收来自其他交换机的vlan 注册信息,并动态更新本地的vlan 注册信息,其中包括交换机上当前的vlan,以及这些vlan 包含了哪些端口等,而且所有支持gvrp 特性的交换机能够将本地的vlan 注册信息向其他交换机传播,以便根据需要使同一交换网内所有支持gvrp 特性的设备的vlan 配置在互通性上达成一致。
1. 使能/关闭系统gvrp 功能
set gvrp系统gvrp 功能缺省处于关闭状态,该命令用于全局开启/关闭gvrp。gvrp 使能要在garp 使能的情况下才能进行。
2. 端口使能/关闭gvrp 功能
set gvrp port [portlist] {enable|disable}系统端口gvrp 功能缺省处于关闭状态,该命令用于开启/关闭端口gvrp功能,端口gvrp 功能开启后可以接受gvrp 协议报文。
3. 配置端口的gvrp 注册类型功能
set gvrp port [portlist] registration {normal|fixed|forbidden}系统端口的gvrp 注册类型缺省处于normal 状态,该命令用于设置端口gvrp 注册类型,端口注册类型有三种:
- normal:实体对接收到的garp 消息正常处理,可动态创建、注册和注销vlan。
- fixed:忽略所有的garp 消息,但仍然在注册状态,允许手工创建和注册vlan,防止vlan 的注销和其他接口注册此接口所知vlan。
- forbidden:忽略所有的garp 消息,注销除了vlan1 以外的所有vlan,禁止在接口上创建和注册其他vlan。
4. trunk 端口使能/关闭gvrp 功能
set gvrp trunk [trunklist] {enable|disable}5. 配置trunk 端口的gvrp 注册类型功能
set gvrp trunk [trunklist] registration {normal|fixed|forbidden}系统trunk 端口的gvrp 注册类型缺省处于normal 状态,该命令用于设置trunk 端口gvrp 注册类型,trunk 端口注册类型有三种,每种注册类型的功能和端口的功能相同。
6. 显示gvrp 配置信息
show gvrp该命令用于显示gvrp 配置信息,包括gvrp 使能与否,各端口和trunk端口gvrp 的配置情况。