Professional Documents
Culture Documents
Hos 1
Hos 1
4 配置手册(B)
本手册适用于 FlexHammer5010、μHammer3550-24、μHammer3550D-24 和
μHammer3550-48
HOS1.4 配置手册(B)
资料编号 P-18080009-20040628-140
产品版本 V01R04B11
资料状态 发行
版权声明
© 港湾网络有限公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归港湾网络有限公司所有。未得到港湾网络有限公司的书面许可,任何人不得以任
何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将
其全部或部分用于商业用途。
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。港湾网络有限公司在编写该手册的
时候已尽最大努力保证其内容准确可靠,但港湾网络有限公司不对本手册中的遗漏、不准确或错
误导致的损失和损害承担责任。
Copyright
© Copyright Harbour Networks Limited. All rights reserved.
The copyright of this document is owned by Harbour Networks Limited. Without the prior
written permission obtained from Harbour Networks Limited, this document shall not be
reproduced and excerpted in any form or by any means, stored in a retrieval system,
modified, distributed and translated into other languages, applied for a commercial purpose in
whole or in part.
Disclaimer
This document and the information contained herein is provided on an "AS IS" basis. Harbour
Networks Limited may make improvement or changes in this document, at any time and
without notice and as it sees fit. The information in this document was prepared by Harbour
Networks Limited with reasonable care and is believed to be accurate. However, Harbour
Networks Limited shall not assume responsibility for losses or damages resulting from any
omissions, inaccuracies, or errors contained herein.
手册使用说明
读者对象
本手册适用于配置和管理基于 HammerOS(简称 HOS)1.4 的 Hammer 系列交
换机的系统管理员。
内容介绍
本手册对 HOS 1.4 的各功能模块的配置方法和相关命令做了详尽的介绍,同时,
还就系统的一些缺省配置加以说明。
本手册包括如下内容:
章序号 题目 内容描述
第1章 系统管理 介绍了系统管理的方法和相关命令。
第2章 系统监控与诊断 介绍了系统监控与诊断的方法和相关命令。
第3章 配置SNTP 介绍了SNTP协议的配置方法和相关命令。
第4章 日志管理 介绍了日志管理的配置方法和相关命令。
第5章 配置NMS 介绍了NMS协议的配置方法和相关命令。
第6章 配置SNMP 介绍了SNMP协议的配置方法和相关命令。
第7章 配置端口 介绍了端口的配置方法和相关命令。
第8章 配置FDB 介绍了FDB协议的配置方法和相关命令。
第9章 配置VLAN 介绍了VLAN协议的配置方法和相关命令。
第10章 配置STP/RSTP 介绍了STP/RSTP协议的配置方法和相关命令。
第11章 配置IGMP Snooping 介绍了IGMP Snooping的配置方法和相关命令。
第12章 配置ARP 介绍了ARP协议的配置方法和相关命令。
第13章 配置DHCP Relay 介绍了DHCP Relay协议的配置方法和相关命令。
第14章 单播路由基本配置 介绍了路由接口和单播路由的基本配置方法和相
关命令。
第15章 配置RIP 介绍了RIP路由协议的配置方法和相关命令。
第16章 配置OSPF 介绍了OSPF路由协议的配置方法和相关命令。
第17章 配置路由策略 介绍了路由策略的配置方法和相关命令。
第18章 配置组播路由协议 介绍了组播路由协议的配置方法和相关命令。
第19章 配置QoS 介绍了QoS的配置方法和相关命令。
第20章 配置ACL 介绍了ACL的配置方法和相关命令。
第21章 配置带宽限制 介绍了带宽限制的配置方法和相关命令。
第22章 配置802.1x 介绍了802.1x接入的配置方法和相关命令。
第23章 配置RADIUS 介绍了RADIUS协议的配置方法和相关命令。
第24章 配置VRRP 介绍了VRRP协议的配置方法和相关命令。
第25章 配置虚拟堆叠 介绍了虚拟堆叠的配置方法和相关命令。
第26章 配置芯片复位 介绍了芯片复位的配置方法和相关命令。
手册约定
手册中有关图标的约定如下:
图标 说明
这个图标表示提醒用户注意事项。
注意
这个图标主要给出一些与正文相关的信息,同时给用户一些指引,协
助用户更好的理解正文的内容。
提示
获取技术支援
港湾网络有限公司建立了以总部技术支援中心、区域技术支援中心和本地技术支
援中心为主体的完善的三级服务体系,并提供全天候 24 小时×365 天的电话热线
服务。客户在产品使用及网络运行过程中遇到问题时请随时与港湾网络有限公司
各地方的服务支持热线联系。请客户到www.harbournetworks.com获取各地服务
支持热线电话。此外,客户还可通过港湾网络有限公司网站及时了解最新产品动
态,以及下载需要的技术文档。
目录
第 1 章 系统管理................................................................................................................................... 1-1
1.1 管理交换机的途径 ................................................................................................................. 1-1
1.1.1 使用 Console 口连接到交换机.................................................................................. 1-1
1.1.2 使用 Telnet 管理交换机 ............................................................................................. 1-3
1.1.3 管理 Telnet 服务 ......................................................................................................... 1-4
1.2 基本管理信息 ......................................................................................................................... 1-4
1.2.1 常用命令 ...................................................................................................................... 1-4
1.2.2 用户管理 ...................................................................................................................... 1-5
1.2.3 显示版本信息 .............................................................................................................. 1-6
1.2.4 设置终端每屏显示信息的行数 .................................................................................. 1-7
1.2.5 显示设备当前的各种服务状态 .................................................................................. 1-7
1.2.6 设置交换机的名称 ...................................................................................................... 1-7
1.2.7 设置和查看空闲等待时间 .......................................................................................... 1-7
1.2.8 查看当前系统的配置情况 .......................................................................................... 1-8
1.2.9 查看已经保存的系统配置文件 .................................................................................. 1-9
1.2.10 保存当前配置文件 .................................................................................................. 1-10
1.2.11 删除所有已经保存的配置信息 .............................................................................. 1-11
1.2.12 显示连接到交换机的用户信息 .............................................................................. 1-11
1.2.13 强制关闭特定的用户连接 ...................................................................................... 1-12
1.2.14 查看接口状态 .......................................................................................................... 1-12
1.3 时区、时间 ........................................................................................................................... 1-12
1.4 存取配置文件及升级 HammerOS ..................................................................................... 1-13
1.4.1 通过 FTP 协议下载配置文件或 HammerOS ......................................................... 1-13
1.4.2 通过使用 Xmodem 协议下载配置文件或 HammerOS ........................................ 1-14
1.4.3 通过 FTP 协议上传配置文件或 HammerOS ......................................................... 1-16
1.4.4 通过使用 Xmodem 协议上传配置文件或 HammerOS ........................................ 1-17
1.5 重启交换机 ........................................................................................................................... 1-19
1.5.1 重新加电 .................................................................................................................... 1-20
1.5.2 重新启动整机 ............................................................................................................ 1-20
1.6 命令参考 ............................................................................................................................... 1-20
1.6.1 clear ............................................................................................................................ 1-20
1
1.6.2 config sysname.......................................................................................................... 1-20
1.6.3 config timezone......................................................................................................... 1-21
1.6.4 download ftp............................................................................................................. 1-21
1.6.5 download xmodem .................................................................................................. 1-22
1.6.6 enable ......................................................................................................................... 1-22
1.6.7 erase startup-config .................................................................................................. 1-23
1.6.8 exit .............................................................................................................................. 1-23
1.6.9 help ............................................................................................................................. 1-24
1.6.10 hostname.................................................................................................................. 1-24
1.6.11 idle-timeout ............................................................................................................. 1-24
1.6.12 list.............................................................................................................................. 1-25
1.6.13 quit / logout ............................................................................................................ 1-25
1.6.14 reboot........................................................................................................................ 1-25
1.6.15 save configuration .................................................................................................. 1-26
1.6.16 service telnet............................................................................................................ 1-26
1.6.17 show history ............................................................................................................ 1-27
1.6.18 show running-config.............................................................................................. 1-27
1.6.19 show services .......................................................................................................... 1-27
1.6.20 show startup-config................................................................................................ 1-28
1.6.21 show sysname ......................................................................................................... 1-28
1.6.22 show tech-support.................................................................................................. 1-28
1.6.23 show version ........................................................................................................... 1-29
1.6.24 terminal length........................................................................................................ 1-30
1.6.25 upload ftp ................................................................................................................ 1-30
1.6.26 upload xmodem...................................................................................................... 1-31
1.6.27 user add ................................................................................................................... 1-31
1.6.28 user delete................................................................................................................ 1-32
1.6.29 user role admin ....................................................................................................... 1-32
1.6.30 user role normal...................................................................................................... 1-33
1.6.31 who ........................................................................................................................... 1-33
第 2 章 系统监控与诊断....................................................................................................................... 2-1
2.1 ping .......................................................................................................................................... 2-1
2.2 Ping Tracking ......................................................................................................................... 2-2
2.3 traceroute ................................................................................................................................ 2-3
2
2.4 系统资源利用率 ..................................................................................................................... 2-4
2.4.1 查看 CPU 利用率........................................................................................................ 2-4
2.4.2 显示内存状况 .............................................................................................................. 2-4
2.4.3 显示从上次重启交换机到现在的时间间隔 .............................................................. 2-4
2.5 常用调试命令 ......................................................................................................................... 2-5
2.6 命令参考 ................................................................................................................................. 2-5
2.6.1 clear pingtrack statics................................................................................................. 2-5
2.6.2 config systrace............................................................................................................. 2-6
2.6.3 config tracert_mode.................................................................................................... 2-6
2.6.4 create pingtrack........................................................................................................... 2-6
2.6.5 debug all ...................................................................................................................... 2-7
2.6.6 debug ip packet........................................................................................................... 2-7
2.6.7 debug packet ............................................................................................................... 2-8
2.6.8 delete pingtrack .......................................................................................................... 2-8
2.6.9 ping............................................................................................................................... 2-9
2.6.10 show age .................................................................................................................... 2-9
2.6.11 show cpu usage....................................................................................................... 2-10
2.6.12 show debug all ........................................................................................................ 2-10
2.6.13 show debug packet................................................................................................. 2-10
2.6.14 show exception ....................................................................................................... 2-10
2.6.15 show memory status .............................................................................................. 2-11
2.6.16 show pingtrack........................................................................................................ 2-11
2.6.17 show sysmem.......................................................................................................... 2-11
2.6.18 show systrace .......................................................................................................... 2-12
2.6.19 show systrace history ............................................................................................. 2-12
2.6.20 traceroute ................................................................................................................. 2-13
第 3 章 配置 SNTP............................................................................................................................... 3-1
3.1 概述 ......................................................................................................................................... 3-1
3.2 配置 SNTP .............................................................................................................................. 3-1
3.2.1 配置 SNTP 客户端...................................................................................................... 3-1
3.2.2 配置 SNTP 服务器...................................................................................................... 3-2
3.3 配置案例 ................................................................................................................................. 3-2
3.3.1 配置 SNTP................................................................................................................... 3-2
3.4 常用调试功能 ......................................................................................................................... 3-3
3
3.4.1 debug sntp ................................................................................................................... 3-3
3.5 命令参考 ................................................................................................................................. 3-4
3.5.1 cofig [sntp-client | sntp-server] mode..................................................................... 3-4
3.5.2 config sntp-client [enable|disable] .......................................................................... 3-4
3.5.3 config sntp-server [enable|disable] ......................................................................... 3-5
3.5.4 config sntp-server broadcast-interval ...................................................................... 3-6
3.5.5 config sntp-client server ipaddr................................................................................ 3-6
3.5.6 config sntp-client update-interval ............................................................................ 3-7
3.5.7 debug sntp ................................................................................................................... 3-7
3.5.8 no sntp-client mode.................................................................................................... 3-7
3.5.9 no sntp-client update-interval................................................................................... 3-8
3.5.10 no sntp-server broadcast-interval........................................................................... 3-8
3.5.11 no sntp-server mode................................................................................................. 3-8
3.5.12 show debug sntp....................................................................................................... 3-9
3.5.13 show sntp-client........................................................................................................ 3-9
3.5.14 show sntp-server..................................................................................................... 3-10
第 4 章 日志管理................................................................................................................................... 4-1
4.1 概述 ......................................................................................................................................... 4-1
4.2 配置日志管理 ......................................................................................................................... 4-1
4.2.1 日志功能基本配置 ...................................................................................................... 4-1
4.2.2 配置日志信息存储方式 .............................................................................................. 4-1
4.2.3 配置日志信息的显示方式 .......................................................................................... 4-2
4.2.4 查看日志管理的配置情况 .......................................................................................... 4-2
4.3 命令参考 ................................................................................................................................. 4-2
4.3.1 config syslog [add|delete] server............................................................................. 4-2
4.3.2 config syslog [enable|disable].................................................................................. 4-3
4.3.3 config syslog lowest-level.......................................................................................... 4-3
4.3.4 config syslog memory-record ................................................................................... 4-4
4.3.5 config syslog monitor-terminal ................................................................................ 4-4
4.3.6 config syslog server .................................................................................................... 4-4
4.3.7 config syslog type ....................................................................................................... 4-5
4.3.8 config virtual ipaddress ............................................................................................. 4-5
4.3.9 monitor [on|off] ......................................................................................................... 4-6
4.3.10 monitor lowest-level................................................................................................. 4-6
4
4.3.11 monitor timestamp ................................................................................................... 4-7
4.3.12 monitor type.............................................................................................................. 4-7
4.3.13 record command-line ............................................................................................... 4-8
4.3.14 record valid-access ................................................................................................... 4-8
4.3.15 show monitor configuration ................................................................................... 4-9
4.3.16 show syslog ............................................................................................................... 4-9
4.3.17 show syslog configuration....................................................................................... 4-9
4.3.18 show syslog history................................................................................................ 4-10
第 5 章 配置 NMS................................................................................................................................ 5-1
5.1 概述 ......................................................................................................................................... 5-1
5.2 配置 NMS ............................................................................................................................... 5-1
5.2.1 配置 NMS 访问控制组 ............................................................................................... 5-1
5.3 配置案例 ................................................................................................................................. 5-2
5.4 命令参考 ................................................................................................................................. 5-3
5.4.1 config access-control .................................................................................................. 5-3
5.4.2 config nms-access-profile add ipaddress ................................................................ 5-3
5.4.3 config nms-access-profile delete ipaddress............................................................. 5-4
5.4.4 config nms-access-profile snmp ............................................................................... 5-5
5.4.5 config nms-access-profile telnet................................................................................ 5-5
5.4.6 create nms-access-profile........................................................................................... 5-6
5.4.7 delete nms-access-profile........................................................................................... 5-6
5.4.8 show access-control.................................................................................................... 5-6
5.4.9 show nms-access-profile............................................................................................ 5-7
第 6 章 配置 SNMP ............................................................................................................................. 6-1
6.1 概述 ......................................................................................................................................... 6-1
6.1.1 SNMP 概述 .................................................................................................................. 6-1
6.1.2 RMON 概述 ................................................................................................................. 6-2
6.2 命令参考 ................................................................................................................................. 6-2
6.2.1 config snmp community............................................................................................ 6-2
6.2.2 config snmp rmon ...................................................................................................... 6-3
6.2.3 config snmp trapreceiver........................................................................................... 6-3
6.2.4 service snmp................................................................................................................ 6-4
6.2.5 service snmp trap........................................................................................................ 6-5
6.2.6 service snmp trap [hlink|spanning-tree] ................................................................ 6-5
5
6.2.7 show snmp community-string.................................................................................. 6-6
6.2.8 show snmp trap status ............................................................................................... 6-6
6.2.9 show snmp trapreceiver ............................................................................................ 6-6
6.2.10 snmp set port ifspeed ............................................................................................... 6-7
6.2.11 snmp show port ifspeed .......................................................................................... 6-7
第 7 章 配置端口................................................................................................................................... 7-1
7.1 配置端口 ................................................................................................................................. 7-1
7.1.1 配置端口基本参数 ...................................................................................................... 7-1
7.1.2 配置案例 ...................................................................................................................... 7-1
7.2 配置端口镜像 ......................................................................................................................... 7-2
7.2.1 概述.............................................................................................................................. 7-2
7.2.2 配置案例 ...................................................................................................................... 7-2
7.3 配置安全端口 ......................................................................................................................... 7-3
7.3.1 概述.............................................................................................................................. 7-3
7.3.2 配置案例 ...................................................................................................................... 7-3
7.4 配置 Load Sharing................................................................................................................. 7-4
7.4.1 概述.............................................................................................................................. 7-4
7.4.2 Load Sharing 配置规则 .............................................................................................. 7-5
7.4.3 配置案例 ...................................................................................................................... 7-5
7.5 下行环路检测 ......................................................................................................................... 7-6
7.5.1 概述.............................................................................................................................. 7-6
7.5.2 配置案例 ...................................................................................................................... 7-7
7.6 广播包抑制 ............................................................................................................................. 7-8
7.6.1 配置案例 ...................................................................................................................... 7-8
7.7 端口组播智能抑制 ................................................................................................................. 7-8
7.8 端口监视 ................................................................................................................................. 7-9
7.8.1 端口监视镜像 .............................................................................................................. 7-9
7.8.2 端口监视抑制 .............................................................................................................. 7-9
7.9 命令参考 ............................................................................................................................... 7-10
7.9.1 config broadcast_limit.............................................................................................. 7-10
7.9.2 config broadcast_limit [enable|disable]................................................................ 7-10
7.9.3 config loopdetect ...................................................................................................... 7-11
7.9.4 config macgroup ....................................................................................................... 7-11
7.9.5 config mirroring........................................................................................................ 7-12
6
7.9.6 config mirroring [add|delete] port........................................................................ 7-12
7.9.7 config multicast limit ............................................................................................... 7-13
7.9.8 config multicast limit [enable|disable] ................................................................. 7-13
7.9.9 config multicast limit sample.................................................................................. 7-14
7.9.10 config multicast limit snmp-trap disable-port drop-packet ............................. 7-14
7.9.11 config port................................................................................................................ 7-14
7.9.12 config port [add|delete] vlan ............................................................................... 7-15
7.9.13 config port [normal|secure].................................................................................. 7-15
7.9.14 config port auto....................................................................................................... 7-16
7.9.15 config port bpdu ..................................................................................................... 7-16
7.9.16 config port description........................................................................................... 7-17
7.9.17 config port duplex .................................................................................................. 7-18
7.9.18 config port flowcontrol .......................................................................................... 7-18
7.9.19 config port flowrate................................................................................................ 7-19
7.9.20 config port learn...................................................................................................... 7-19
7.9.21 config port mode..................................................................................................... 7-20
7.9.22 config port secure [add|delete] macgroup......................................................... 7-20
7.9.23 config port secure [permit|deny]......................................................................... 7-21
7.9.24 config port speed .................................................................................................... 7-21
7.9.25 config port snmp trap ............................................................................................ 7-22
7.9.26 config port-monitor add port all........................................................................... 7-22
7.9.27 config port-monitor add port bcast...................................................................... 7-23
7.9.28 config port-monitor delete port ............................................................................ 7-23
7.9.29 config port-monitor mirror.................................................................................... 7-24
7.9.30 config port-monitor restrain.................................................................................. 7-24
7.9.31 config sharing.......................................................................................................... 7-25
7.9.32 create macgroup ..................................................................................................... 7-25
7.9.33 create sharing .......................................................................................................... 7-26
7.9.34 delete macgroup ..................................................................................................... 7-26
7.9.35 delete sharing .......................................................................................................... 7-26
7.9.36 loopback port .......................................................................................................... 7-27
7.9.37 show broadcast_limit ............................................................................................. 7-27
7.9.38 show linkinfo........................................................................................................... 7-28
7.9.39 show macgroup ...................................................................................................... 7-28
7
7.9.40 show mirroring ....................................................................................................... 7-29
7.9.41 show perport ........................................................................................................... 7-29
7.9.42 show port ................................................................................................................. 7-29
7.9.43 show port snmp trap.............................................................................................. 7-30
7.9.44 show port-monitor states....................................................................................... 7-30
7.9.45 show sharing ........................................................................................................... 7-31
第 8 章 配置 FDB ................................................................................................................................. 8-1
8.1 概述 ......................................................................................................................................... 8-1
8.2 配置 FDB ................................................................................................................................ 8-2
8.2.1 缺省配置信息 .............................................................................................................. 8-2
8.2.2 配置静态 FDB ............................................................................................................. 8-3
8.2.3 MAC 地址绑定 ............................................................................................................ 8-3
8.2.4 配置老化时间 .............................................................................................................. 8-4
8.2.5 配置静态组播 FDB ..................................................................................................... 8-4
8.3 命令参考 ................................................................................................................................. 8-4
8.3.1 config fdb agingtime .................................................................................................. 8-4
8.3.2 create fdbentry ............................................................................................................ 8-5
8.3.3 create mfdb mac.......................................................................................................... 8-5
8.3.4 delete fdbentry ............................................................................................................ 8-6
8.3.5 delete mfdb mac.......................................................................................................... 8-6
8.3.6 show fdb ...................................................................................................................... 8-7
8.3.7 show fdb permanent .................................................................................................. 8-7
8.3.8 show fdb summary..................................................................................................... 8-8
8.3.9 show mfdb................................................................................................................... 8-8
第 9 章 配置 VLAN.............................................................................................................................. 9-1
9.1 VLAN 概述 ............................................................................................................................. 9-1
9.1.1 VLAN 的分类 .............................................................................................................. 9-1
9.1.2 配置 VLAN 的有关规则 ............................................................................................ 9-4
9.2 配置 VLAN............................................................................................................................. 9-5
9.2.1 配置步骤 ...................................................................................................................... 9-5
9.2.2 配置案例 ...................................................................................................................... 9-5
9.3 VLAN 端口隔离...................................................................................................................... 9-6
9.3.1 概述.............................................................................................................................. 9-6
9.3.2 配置案例 ...................................................................................................................... 9-6
8
9.4 配置 VLAN 子接口................................................................................................................ 9-7
9.4.1 概述.............................................................................................................................. 9-7
9.4.2 配置案例 ...................................................................................................................... 9-7
9.5 配置 Super VLAN ................................................................................................................. 9-8
9.6 配置 Proxy ARP..................................................................................................................... 9-9
9.7 配置 Local Proxy ARP ........................................................................................................ 9-10
9.8 配置扩展 ARP 代理和直连路由 ......................................................................................... 9-11
9.9 命令参考 ............................................................................................................................... 9-13
9.9.1 config ext-proxy-arp................................................................................................. 9-13
9.9.2 config local-proxy-arp.............................................................................................. 9-13
9.9.3 config proxyarp......................................................................................................... 9-14
9.9.4 config proxyarp agetime.......................................................................................... 9-14
9.9.5 config proxyarp delete ............................................................................................. 9-15
9.9.6 config proxyarp searchtime..................................................................................... 9-15
9.9.7 config sub-interface ipaddress ................................................................................ 9-16
9.9.8 config vlan [add|delete] port ................................................................................. 9-16
9.9.9 config vlan [add|delete] subvlan........................................................................... 9-17
9.9.10 config vlan ipaddress ............................................................................................. 9-17
9.9.11 config vlan uplink_port ......................................................................................... 9-18
9.9.12 create sub-interface vlan ........................................................................................ 9-18
9.9.13 create vlan................................................................................................................ 9-19
9.9.14 delete sub-interface vlan........................................................................................ 9-19
9.9.15 delete vlan................................................................................................................ 9-20
9.9.16 ip route <A.B.C.D/M> <interface_name> .......................................................... 9-20
9.9.17 no sub-interface ipaddress .................................................................................... 9-21
9.9.18 no vlan ip ................................................................................................................. 9-21
9.9.19 no vlan uplink_port................................................................................................ 9-21
9.9.20 show ext-proxy-arp ................................................................................................ 9-22
9.9.21 show local-proxy-arp ............................................................................................. 9-22
9.9.22 show proxyarp ........................................................................................................ 9-23
9.9.23 show proxyarp table............................................................................................... 9-23
9.9.24 show sub-interface.................................................................................................. 9-24
9.9.25 show vlan................................................................................................................. 9-24
第 10 章 配置 STP/RSTP................................................................................................................... 10-1
9
10.1 概述 ..................................................................................................................................... 10-1
10.2 设置 STP 模式 .................................................................................................................... 10-1
10.3 配置 STP ............................................................................................................................. 10-1
10.3.1 创建或删除 STP ...................................................................................................... 10-2
10.3.2 使能或关闭 STP ...................................................................................................... 10-2
10.3.3 使能或关闭指定 STP 的端口 ................................................................................. 10-2
10.3.4 配置 STP 的参数 ..................................................................................................... 10-2
10.3.5 显示 STP 状态 ......................................................................................................... 10-3
10.4 配置 RSTP........................................................................................................................... 10-3
10.4.1 使能或者关闭 RSTP ............................................................................................... 10-3
10.4.2 使能或者关闭端口的 RSTP 功能........................................................................... 10-3
10.4.3 配置 RSTP 参数 ...................................................................................................... 10-3
10.4.4 显示 RSTP 状态 ...................................................................................................... 10-4
10.5 常用调试功能 ..................................................................................................................... 10-5
10.5.1 debug stpd ............................................................................................................... 10-5
10.5.2 debug spanning-tree .............................................................................................. 10-5
10.6 命令参考 ............................................................................................................................. 10-6
10.6.1 config spanning-tree............................................................................................... 10-6
10.6.2 config spanning-tree [force-version].................................................................... 10-6
10.6.3 config spanning-tree forward-delay .................................................................... 10-7
10.6.4 config spanning-tree hello-time............................................................................ 10-7
10.6.5 config spanning-tree maximum-age .................................................................... 10-7
10.6.6 config spanning-tree mode.................................................................................... 10-8
10.6.7 config spanning-tree port ...................................................................................... 10-8
10.6.8 config spanning-tree port [edge] .......................................................................... 10-9
10.6.9 config spanning-tree port [mcheck] [yes]............................................................ 10-9
10.6.10 config spanning-tree port p2p ............................................................................ 10-9
10.6.11 config spanning-tree port [path-cost] .............................................................. 10-10
10.6.12 config spanning-tree port priority.................................................................... 10-10
10.6.13 config spanning-tree priority ............................................................................ 10-11
10.6.14 config stpd ........................................................................................................... 10-11
10.6.15 config stpd forwarddelay .................................................................................. 10-12
10.6.16 config stpd hellotime.......................................................................................... 10-12
10.6.17 config stpd maxage............................................................................................. 10-13
10
10.6.18 config stpd priority............................................................................................. 10-13
10.6.19 config stpd vlan .................................................................................................. 10-13
10.6.20 config stpd default hellotime ............................................................................ 10-14
10.6.21 config stpd port................................................................................................... 10-14
10.6.22 config stpd port cost........................................................................................... 10-14
10.6.23 config stpd port priority .................................................................................... 10-15
10.6.24 create stpd............................................................................................................ 10-15
10.6.25 debug spanning-tree .......................................................................................... 10-16
10.6.26 debug stpd ........................................................................................................... 10-16
10.6.27 delete stpd ........................................................................................................... 10-16
10.6.28 show debug stpd ................................................................................................ 10-17
10.6.29 show spanning-tree ............................................................................................ 10-17
10.6.30 show spanning-tree port.................................................................................... 10-19
10.6.31 show stpd port .................................................................................................... 10-19
10.6.32 show stpd............................................................................................................. 10-20
第 11 章 配置 IGMP Snooping........................................................................................................ 11-1
11.1 配置 IGMP Snooping........................................................................................................ 11-1
11.1.1 启动或关闭 IGMP Snooping................................................................................. 11-1
11.1.2 IGMP Snooping 参数配置...................................................................................... 11-1
11.2 配置案例 ............................................................................................................................. 11-1
11.2.1 配置超时时间间隔 .................................................................................................. 11-1
11.3 命令参考 ............................................................................................................................. 11-2
11.3.1 clear igmp snooping vlan ...................................................................................... 11-2
11.3.2 config igmp snooping host_timeout .................................................................... 11-2
11.3.3 config igmp snooping router_timeout................................................................. 11-3
11.3.4 service igmp snooping ........................................................................................... 11-3
11.3.5 show igmp-snooping group.................................................................................. 11-3
11.3.6 show igmp-snooping summary............................................................................ 11-4
11.3.7 show igmp snooping vlan ..................................................................................... 11-4
第 12 章 配置 ARP ............................................................................................................................. 12-1
12.1 ARP 概述 ............................................................................................................................. 12-1
12.2 命令参考 ............................................................................................................................. 12-1
12.2.1 clear arp.................................................................................................................... 12-1
12.2.2 config arp ................................................................................................................. 12-1
11
12.2.3 config arp agetime .................................................................................................. 12-2
12.2.4 config arp keep-alive.............................................................................................. 12-2
12.2.5 debug arp................................................................................................................. 12-3
12.2.6 show arp .................................................................................................................. 12-3
12.2.7 show arp agetime.................................................................................................... 12-4
12.2.8 show arp summary................................................................................................. 12-4
12.2.9 show arp user.......................................................................................................... 12-4
第 13 章 配置 DHCP Relay .............................................................................................................. 13-1
13.1 概述 ..................................................................................................................................... 13-1
13.1.1 DHCP ....................................................................................................................... 13-1
13.1.2 DHCP Relay ( DHCPR )......................................................................................... 13-1
13.2 配置案例 ............................................................................................................................. 13-2
13.3 命令参考 ............................................................................................................................. 13-2
13.3.1 config dhcpr listen .................................................................................................. 13-2
13.3.2 config dhcpr targetip.............................................................................................. 13-3
13.3.3 service dhcpr ........................................................................................................... 13-3
13.3.4 show dhcpr listen ................................................................................................... 13-4
13.3.5 show dhcpr status................................................................................................... 13-4
13.3.6 show dhcpr targetip ............................................................................................... 13-5
第 14 章 单播路由基本配置............................................................................................................... 14-1
14.1 概述 ..................................................................................................................................... 14-1
14.2 配置路由接口 ..................................................................................................................... 14-2
14.2.1 配置环回接口 .......................................................................................................... 14-2
14.3 单播路由基本配置 ............................................................................................................. 14-3
14.3.1 查看路由表 .............................................................................................................. 14-3
14.3.2 静态路由 .................................................................................................................. 14-4
14.3.3 默认路由 .................................................................................................................. 14-5
14.3.4 配置黑洞路由 .......................................................................................................... 14-5
14.4 命令参考 ............................................................................................................................. 14-6
14.4.1 [create|no] interfaces loopback ............................................................................ 14-6
14.4.2 clear ip route [<A.B.C.D/M>|all] ........................................................................ 14-6
14.4.3 clear ip route static ................................................................................................. 14-7
14.4.4 config interfaces loopback ipaddress................................................................... 14-7
14.4.5 config ip route blackhole timeout......................................................................... 14-8
12
14.4.6 ip route ..................................................................................................................... 14-8
14.4.7 ip route <ifname> ................................................................................................... 14-9
14.4.8 ip route null ............................................................................................................. 14-9
14.4.9 show interfaces loopback..................................................................................... 14-10
14.4.10 show ip route....................................................................................................... 14-10
14.4.11 show ip route blackhole..................................................................................... 14-12
第 15 章 配置 RIP............................................................................................................................... 15-1
15.1 概述 ..................................................................................................................................... 15-1
15.2 配置 RIP.............................................................................................................................. 15-3
15.2.1 RIP 协议基本配置.................................................................................................... 15-3
15.2.2 配置 RIP 协议版本.................................................................................................. 15-4
15.2.3 设置端口的认证类型和密码 .................................................................................. 15-5
15.2.4 在端口上配置水平分割 .......................................................................................... 15-6
15.2.5 生成默认路由 .......................................................................................................... 15-6
15.2.6 配置协议的 Administrative Distance .................................................................. 15-7
15.2.7 配置协议时钟 .......................................................................................................... 15-7
15.2.8 重分布路由(redistribute).................................................................................. 15-8
15.2.9 配置缺省 metric...................................................................................................... 15-8
15.3 常用调试功能 ..................................................................................................................... 15-9
15.3.1 debug rip rm............................................................................................................ 15-9
15.3.2 debug rip [events|packet]..................................................................................... 15-9
15.4 常见故障分析 ................................................................................................................... 15-10
15.4.1 RIP 协议无法正常收发报文 ................................................................................. 15-10
15.5 命令参考 ........................................................................................................................... 15-10
15.5.1 debug rip [events|packet]................................................................................... 15-10
15.5.2 debug rip rm.......................................................................................................... 15-11
15.5.3 default-metric........................................................................................................ 15-12
15.5.4 distribute-list ......................................................................................................... 15-12
15.5.5 ip rip authentication mode .................................................................................. 15-13
15.5.6 ip rip receive version............................................................................................ 15-13
15.5.7 ip rip send version................................................................................................ 15-14
15.5.8 ip rip split-horizon................................................................................................ 15-15
15.5.9 neighbor ................................................................................................................. 15-15
15.5.10 network ................................................................................................................ 15-16
13
15.5.11 nexthop compatible-cisco .................................................................................. 15-17
15.5.12 offset-list............................................................................................................... 15-17
15.5.13 passive-interface ................................................................................................. 15-18
15.5.14 redistribute .......................................................................................................... 15-18
15.5.15 router rip.............................................................................................................. 15-19
15.5.16 show debug rip ................................................................................................... 15-19
15.5.17 show ip rip database .......................................................................................... 15-19
15.5.18 timers basic .......................................................................................................... 15-20
15.5.19 version.................................................................................................................. 15-20
第 16 章 配置 OSPF ........................................................................................................................... 16-1
16.1 概述 ..................................................................................................................................... 16-1
16.2 配置 OSPF .......................................................................................................................... 16-2
16.2.1 基本 OSPF 配置 ...................................................................................................... 16-2
16.2.2 设置接口参数 .......................................................................................................... 16-4
16.2.3 配置区域参数 .......................................................................................................... 16-5
16.2.4 配置路由聚合 .......................................................................................................... 16-9
16.2.5 配置虚拟链路 virtual link ................................................................................... 16-10
16.2.6 配置缺省路由 ........................................................................................................ 16-11
16.2.7 配置 OSPF 的管理距离 ........................................................................................ 16-12
16.2.8 配置路由计算的时间间隔 .................................................................................... 16-14
16.2.9 重分布和 route map 的配置................................................................................ 16-14
16.2.10 配置缺省 metric.................................................................................................. 16-16
16.2.11 监控和维护 OSPF ............................................................................................... 16-17
16.3 常见故障分析 ................................................................................................................... 16-19
16.3.1 OSPF 邻接关系没有建立 ....................................................................................... 16-19
16.4 命令参考 ........................................................................................................................... 16-20
16.4.1 area authentication ............................................................................................... 16-20
16.4.2 area default-cost.................................................................................................... 16-21
16.4.3 area range .............................................................................................................. 16-22
16.4.4 area stub................................................................................................................. 16-23
16.4.5 area virtual-link .................................................................................................... 16-23
16.4.6 auto-cost reference-bandwidth ........................................................................... 16-25
16.4.7 clear ip ospf neighbor........................................................................................... 16-26
16.4.8 compatible rfc1583................................................................................................ 16-27
14
16.4.9 debug ospf event................................................................................................... 16-27
16.4.10 debug ospf ism.................................................................................................... 16-27
16.4.11 debug ospf ism [status|events|timers]........................................................... 16-28
16.4.12 debug ospf lsa ..................................................................................................... 16-28
16.4.13 debug ospf lsa [generate|flooding|refresh]................................................... 16-28
16.4.14 debug ospf nsm................................................................................................... 16-29
16.4.15 debug ospf nsm [status|events|timers] ......................................................... 16-29
16.4.16 debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all] ................. 16-30
16.4.17 debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all] [send|recv]
[detail] ............................................................................................................................... 16-30
16.4.18 debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]
[send|recv|detail]........................................................................................................... 16-31
16.4.19 debug ospf rm ..................................................................................................... 16-32
16.4.20 debug ospf rm [interface|redistribute] ........................................................... 16-32
16.4.21 default-information originate ........................................................................... 16-32
16.4.22 default-metric...................................................................................................... 16-33
16.4.23 distance ................................................................................................................ 16-34
16.4.24 distance ospf........................................................................................................ 16-35
16.4.25 distribute-list ....................................................................................................... 16-35
16.4.26 ip ospf authentication-key................................................................................. 16-36
16.4.27 ip ospf cost........................................................................................................... 16-37
16.4.28 ip ospf dead-interval .......................................................................................... 16-37
16.4.29 ip ospf hello-interval .......................................................................................... 16-38
16.4.30 ip ospf message-digest-key ............................................................................... 16-38
16.4.31 ip ospf mtu-ignore .............................................................................................. 16-39
16.4.32 ip ospf network ................................................................................................... 16-39
16.4.33 ip ospf priority .................................................................................................... 16-40
16.4.34 ip ospf retransmit-interval................................................................................. 16-41
16.4.35 ip ospf transmit-delay ........................................................................................ 16-41
16.4.36 neighbor ............................................................................................................... 16-42
16.4.37 network area........................................................................................................ 16-43
16.4.38 passive-interface ................................................................................................. 16-43
16.4.39 redistribute .......................................................................................................... 16-44
16.4.40 router-id ............................................................................................................... 16-44
15
16.4.41 router ospf ........................................................................................................... 16-45
16.4.42 show debug ospf................................................................................................. 16-45
16.4.43 show ip ospf ........................................................................................................ 16-46
16.4.44 show ip ospf border-routers.............................................................................. 16-46
16.4.45 show ip ospf database........................................................................................ 16-47
16.4.46 show ip ospf interface ........................................................................................ 16-48
16.4.47 show ip ospf neighbor........................................................................................ 16-48
16.4.48 show ip ospf request-list.................................................................................... 16-49
16.4.49 show ip ospf retransmission-list....................................................................... 16-49
16.4.50 show ip route summary..................................................................................... 16-50
16.4.51 show ip ospf virtual-links.................................................................................. 16-50
16.4.52 summary-address ............................................................................................... 16-50
16.4.53 timers lsa-group-pacing..................................................................................... 16-51
第 17 章 配置路由策略....................................................................................................................... 17-1
17.1 路由策略概述 ..................................................................................................................... 17-1
17.1.1 访问列表(access-list)......................................................................................... 17-1
17.1.2 前缀列表(prefix-list) ......................................................................................... 17-1
17.1.3 路由映像(routemap)......................................................................................... 17-2
17.2 配置路由策略 ..................................................................................................................... 17-2
17.2.1 配置路由策略的访问列表 ...................................................................................... 17-2
17.2.2 配置路由策略的前缀列表 ...................................................................................... 17-2
17.2.3 配置路由策略的路由映像 ...................................................................................... 17-3
17.3 命令参考 ............................................................................................................................. 17-3
17.3.1 access-list route ....................................................................................................... 17-3
17.3.2 access-list route description .................................................................................. 17-4
17.3.3 ip lan_aggregate...................................................................................................... 17-5
17.3.4 ip prefix-list ............................................................................................................. 17-5
17.3.5 ip prefix-list description......................................................................................... 17-6
17.3.6 match interface........................................................................................................ 17-7
17.3.7 match ip address..................................................................................................... 17-7
17.3.8 match ip address prefix-list................................................................................... 17-8
17.3.9 match ip next-hop................................................................................................... 17-9
17.3.10 match metric.......................................................................................................... 17-9
17.3.11 on-match .............................................................................................................. 17-10
16
17.3.12 route-map ............................................................................................................ 17-11
17.3.13 set ip next-hop..................................................................................................... 17-12
17.3.14 set metric.............................................................................................................. 17-12
17.3.15 set metric-type..................................................................................................... 17-13
17.3.16 show access-list route......................................................................................... 17-14
17.3.17 show ip lan_aggregate ....................................................................................... 17-14
17.3.18 show route-map.................................................................................................. 17-14
第 18 章 配置组播路由协议............................................................................................................... 18-1
18.1 概述 ..................................................................................................................................... 18-1
18.1.1 三层组播概述 .......................................................................................................... 18-1
18.1.2 IGMP 协议 ............................................................................................................... 18-2
18.1.3 PIM-SM 协议 ........................................................................................................... 18-2
18.2 配置组播路由协议 ............................................................................................................. 18-4
18.2.1 IGMP 基本配置 ....................................................................................................... 18-4
18.2.2 PIM-SM 基本配置 ................................................................................................... 18-4
18.2.3 配置动态 RP 发现 ................................................................................................... 18-5
18.3 配置案例 ............................................................................................................................. 18-6
18.3.1 建立组播 .................................................................................................................. 18-6
18.3.2 路由策略 .................................................................................................................. 18-7
18.4 常用调试功能 ..................................................................................................................... 18-8
18.4.1 debug igmp ............................................................................................................. 18-8
18.4.2 debug pim................................................................................................................ 18-8
18.5 命令参考 ............................................................................................................................. 18-9
18.5.1 clear ip igmp group ................................................................................................ 18-9
18.5.2 clear ip mroute ...................................................................................................... 18-10
18.5.3 debug igmp ........................................................................................................... 18-10
18.5.4 debug pim.............................................................................................................. 18-11
18.5.5 ip igmp access-group ........................................................................................... 18-12
18.5.6 ip igmp member-timeout .................................................................................... 18-12
18.5.7 ip igmp packet check-route-alert-opt................................................................. 18-13
18.5.8 ip igmp query-interval......................................................................................... 18-13
18.5.9 ip igmp querier-timeout ...................................................................................... 18-14
18.5.10 ip igmp static-group........................................................................................... 18-15
18.5.11 ip multicast-routing............................................................................................ 18-15
17
18.5.12 ip pim bsr-border................................................................................................ 18-16
18.5.13 ip pim bsr-candidate .......................................................................................... 18-16
18.5.14 ip pim downstream-filter .................................................................................. 18-17
18.5.15 ip pim dr-priority ............................................................................................... 18-17
18.5.16 ip pim message-interval .................................................................................... 18-18
18.5.17 ip pim neighbor-filter......................................................................................... 18-18
18.5.18 ip pim query-interval ......................................................................................... 18-19
18.5.19 ip pim rp-address ............................................................................................... 18-20
18.5.20 ip pim rp-candidate............................................................................................ 18-20
18.5.21 ip pim sparse-mode............................................................................................ 18-21
18.5.22 ip pim source check-ignore ............................................................................... 18-22
18.5.23 ip pim source-dr-filter group ............................................................................ 18-22
18.5.24 ip pim source-dr-filter source ........................................................................... 18-23
18.5.25 show debug igmp ............................................................................................... 18-24
18.5.26 show debug pim ................................................................................................. 18-24
18.5.27 show ip igmp group........................................................................................... 18-24
18.5.28 show ip igmp timers........................................................................................... 18-25
18.5.29 show ip mroute ................................................................................................... 18-25
18.5.30 show ip pim bsr-router ...................................................................................... 18-26
18.5.31 show ip pim interface......................................................................................... 18-26
18.5.32 show ip pim neighbor ........................................................................................ 18-26
18.5.33 show ip pim rp.................................................................................................... 18-27
18.5.34 show ip pim rp-candidate ................................................................................. 18-27
18.5.35 show ip pim rp-hash .......................................................................................... 18-28
18.5.36 show ip rpf........................................................................................................... 18-28
第 19 章 配置 QoS.............................................................................................................................. 19-1
19.1 概述 ..................................................................................................................................... 19-1
19.2 配置 QoS............................................................................................................................. 19-2
19.2.1 基于 MAC 的优先级配置 ...................................................................................... 19-2
19.2.2 基于 PORT 的优先级配置...................................................................................... 19-3
19.2.3 基于 ACL 的优先级配置........................................................................................ 19-3
19.2.4 基于 VLAN 的优先级配置 .................................................................................... 19-4
19.2.5 DiffServ 相关配置 ................................................................................................... 19-4
19.2.6 ToS 相关配置 ........................................................................................................... 19-5
18
19.2.7 带宽限制 .................................................................................................................. 19-6
19.3 命令参考 ............................................................................................................................. 19-7
19.3.1 config acl dscp......................................................................................................... 19-7
19.3.2 config acl meter....................................................................................................... 19-7
19.3.3 config acl priority.................................................................................................... 19-8
19.3.4 config acl tos_p........................................................................................................ 19-8
19.3.5 config dscp [enable|disable]................................................................................. 19-8
19.3.6 config dscp to-802.1p.............................................................................................. 19-9
19.3.7 config dscp to-802.1p map codepoint priority.................................................... 19-9
19.3.8 config mac dot1x authcontrolledmaccontrol .................................................... 19-10
19.3.9 config port bandwidth ......................................................................................... 19-10
19.3.10 config port dscp .................................................................................................. 19-11
19.3.11 config port remap-priority ................................................................................ 19-11
19.3.12 config port remap-priority [on|off] ................................................................. 19-12
19.3.13 config priority qosqueue.................................................................................... 19-12
19.3.14 config tos.............................................................................................................. 19-12
19.3.15 config vlan dot1x authcontrolledvlancontrol ................................................. 19-13
19.3.16 config vlan dscp .................................................................................................. 19-13
19.3.17 config vlan priority............................................................................................. 19-13
19.3.18 config vlan tos_p................................................................................................. 19-14
19.3.19 config WRR-queue bandwidth ......................................................................... 19-14
19.3.20 create fdbentry .................................................................................................... 19-15
19.3.21 create meter ......................................................................................................... 19-15
19.3.22 delete meter ......................................................................................................... 19-16
19.3.23 no acl meter ......................................................................................................... 19-16
19.3.24 no acl priority ...................................................................................................... 19-16
19.3.25 no vlan priority ................................................................................................... 19-17
19.3.26 service qos [enable|disable].............................................................................. 19-17
19.3.27 show acl meter .................................................................................................... 19-18
19.3.28 show bandwidth port......................................................................................... 19-18
19.3.29 show dot1p-QosQueue-mapping..................................................................... 19-18
19.3.30 show dscp ............................................................................................................ 19-19
19.3.31 show dscp map ................................................................................................... 19-19
19.3.32 show meter .......................................................................................................... 19-20
19
19.3.33 show meter detail ............................................................................................... 19-20
19.3.34 show tos_p........................................................................................................... 19-20
19.3.35 show wrr-queue.................................................................................................. 19-21
第 20 章 配置 ACL ............................................................................................................................. 20-1
20.1 配置 ACL............................................................................................................................ 20-1
20.1.1 ACL 概述.................................................................................................................. 20-1
20.1.2 配置 ACL 策略........................................................................................................ 20-1
20.1.3 设置策略计数器(counter)................................................................................. 20-2
20.1.4 过滤带分片的 UDP/TCP 报文.............................................................................. 20-2
20.2 配置 DOT1X-ACL ............................................................................................................. 20-3
20.2.1 DOT1X-ACL 概述 ................................................................................................... 20-3
20.2.2 配置 DOT1X-ACL .................................................................................................. 20-4
20.3 命令参考 ............................................................................................................................. 20-4
20.3.1 clear counter ............................................................................................................ 20-4
20.3.2 create acl [udp|tcp]................................................................................................ 20-5
20.3.3 config acl counter.................................................................................................... 20-6
20.3.4 create acl ethernet ................................................................................................... 20-6
20.3.5 create acl icmp......................................................................................................... 20-6
20.3.6 create acl ip .............................................................................................................. 20-7
20.3.7 create acl mac .......................................................................................................... 20-8
20.3.8 create acl mac-ip ..................................................................................................... 20-9
20.3.9 create counter .......................................................................................................... 20-9
20.3.10 create dot1x-acl group........................................................................................ 20-10
20.3.11 delete acl .............................................................................................................. 20-10
20.3.12 delete dot1x-acl group ....................................................................................... 20-11
20.3.13 delete dot1x-acl group rule ............................................................................... 20-11
20.3.14 service acl............................................................................................................. 20-11
20.3.15 show acl ............................................................................................................... 20-12
20.3.16 show counter ....................................................................................................... 20-12
20.3.17 show dot1x-acl group......................................................................................... 20-12
第 21 章 配置带宽限制....................................................................................................................... 21-1
21.1 基于端口的带宽限制 ......................................................................................................... 21-1
21.2 基于 ACL 的带宽限制 ....................................................................................................... 21-1
21.3 命令参考 ............................................................................................................................. 21-2
20
21.3.1 config acl meter....................................................................................................... 21-2
21.3.2 config port bandwidth ........................................................................................... 21-2
21.3.3 create meter ............................................................................................................. 21-3
21.3.4 delete meter ............................................................................................................. 21-3
21.3.5 show acl meter ........................................................................................................ 21-4
21.3.6 show bandwidth port............................................................................................. 21-4
21.3.7 show meter .............................................................................................................. 21-5
21.3.8 show meter detail ................................................................................................... 21-5
第 22 章 配置 802.1x........................................................................................................................... 22-1
22.1 NAS 概述............................................................................................................................. 22-1
22.2 802.1x 协议 .......................................................................................................................... 22-4
22.2.1 802.1x 体系结构 ....................................................................................................... 22-5
22.2.2 802.1x 认证机制 ....................................................................................................... 22-6
22.2.3 802.1x 协议实现内容 ............................................................................................... 22-8
22.3 配置 802.1x ....................................................................................................................... 22-11
22.3.1 使能/关闭 802.1x 认证服务................................................................................. 22-11
22.3.2 配置协议参数 ........................................................................................................ 22-11
22.3.3 配置对端口的 802.1x 控制 ................................................................................... 22-12
22.3.4 设置用户绑定功能 ................................................................................................ 22-14
22.3.5 设置重新认证机制 ................................................................................................ 22-14
22.3.6 设置异常下线检测机制(keepalive) ............................................................... 22-15
22.3.7 强制用户退出认证状态 ........................................................................................ 22-17
22.3.8 清除 802.1x 统计信息 ........................................................................................... 22-19
22.3.9 配置基于 802.1x 的动态限速功能 ....................................................................... 22-19
22.3.10 802.1x 客户端发现 ............................................................................................... 22-21
22.3.11 802.1x 客户端代理 ............................................................................................... 22-22
22.3.12 用户认证前后,VLAN 的动态跳转.................................................................. 22-23
22.3.13 不同端口分别控制可以接入的用户数 .............................................................. 22-23
22.3.14 按端口流量计费 .................................................................................................. 22-24
22.4 配置 MAC Limit .............................................................................................................. 22-24
22.4.1 概述........................................................................................................................ 22-24
22.4.2 配置案例 ................................................................................................................ 22-25
22.5 Dot1x 与 IAD(语音数据集成)结合使用 .................................................................... 22-27
22.6 802.1x 显示命令 ................................................................................................................ 22-28
21
22.7 命令参考 ........................................................................................................................... 22-29
22.7.1 config dot1x client-discovery disable................................................................. 22-29
22.7.2 config dot1x client-discovery mac...................................................................... 22-30
22.7.3 config dot1x client-logoff time ............................................................................ 22-30
22.7.4 config dot1x client-proxy password................................................................... 22-31
22.7.5 config dot1x low-level-switch- bind .................................................................. 22-32
22.7.6 config dot1x polling ............................................................................................. 22-32
22.7.7 config dot1x port-account.................................................................................... 22-32
22.7.8 config dot1x port-account period ....................................................................... 22-33
22.7.9 config port dot1x client-proxy ............................................................................ 22-33
22.7.10 config port dot1x max-host-count .................................................................... 22-34
22.7.11 config port dot1x port-control-mode ............................................................... 22-34
22.7.12 show dot1x low-level-switch- bind .................................................................. 22-35
22.7.13 show dot1x pae ip............................................................................................... 22-35
第 23 章 配置 RADIUS ..................................................................................................................... 23-1
23.1 Radius 认证技术 ................................................................................................................. 23-1
23.2 Radius 配置命令 ................................................................................................................. 23-1
23.2.1 配置 Radius 认证服务............................................................................................ 23-2
23.2.2 配置 Radius 计费服务............................................................................................ 23-5
23.2.3 设置 Radius CUT 功能 .......................................................................................... 23-7
23.2.4 配置 Session Timeout 处理机制 ........................................................................... 23-9
23.2.5 配置 Radius Server 主备切换功能...................................................................... 23-10
23.2.6 传递用户信息到 RADIUS.................................................................................... 23-11
23.2.7 Console 与 telnet 远程认证 .................................................................................. 23-11
23.2.8 配置 Radius 属性.................................................................................................. 23-12
23.2.9 配置实例 ................................................................................................................ 23-18
23.3 Radius 显示命令 ............................................................................................................... 23-19
23.4 配置域 ............................................................................................................................... 23-19
23.4.1 域的基本配置 ........................................................................................................ 23-20
23.4.2 域的认证配置 ........................................................................................................ 23-21
23.4.3 域的计费配置 ........................................................................................................ 23-22
23.4.4 配置实例 ................................................................................................................ 23-24
23.5 接入服务应用配置案例 ................................................................................................... 23-25
23.5.1 单域认证 ................................................................................................................ 23-25
22
23.5.2 多域认证 ................................................................................................................ 23-26
23.5.3 服务器的主备切换 ................................................................................................ 23-28
23.5.4 基于 802.1x 的动态限速 ....................................................................................... 23-30
23.6 命令参考 ........................................................................................................................... 23-31
23.6.1 clear nas accounting-statistic............................................................................... 23-31
23.6.2 config isp-domain <domain> dhcpr [add-server |delete-server] <A.B.C.D>
............................................................................................................................................ 23-32
23.6.3 config isp-domain <domain> dhcpr gateway <A.B.C.D> vlan <vlanname>
............................................................................................................................................ 23-32
23.6.4 config isp-domain <domain> dhcpr gateway delete....................................... 23-33
23.6.5 config login-auth [enable|disable]..................................................................... 23-34
23.6.6 config login-auth [local|radius] ......................................................................... 23-34
23.6.7 config login-radius domain................................................................................. 23-34
23.6.8 config login-radius time....................................................................................... 23-35
23.6.9 radius config-attribute agent-info default-value.............................................. 23-35
23.6.10 radius config-attribute agent-info vendor-specific ........................................ 23-35
23.6.11 radius config-attribute dhcp-server default-value......................................... 23-36
23.6.12 radius config-attribute dhcp-server vendor-specific ..................................... 23-36
23.6.13 radius config-attribute gateway default-value ............................................... 23-36
23.6.14 radius config-attribute gateway vendor-specific ........................................... 23-37
23.6.15 radius config-attribute ie-agent default-value................................................ 23-37
23.6.16 radius config-attribute ie-agent vendor-specific ............................................ 23-37
23.6.17 radius config-attribute maclimit-base-info default-value ............................. 23-38
23.6.18 radius config-attribute maclimit-base-info vendor-specific ......................... 23-38
23.6.19 radius config-attribute maclimit-punish-time default-value........................ 23-38
23.6.20 radius config-attribute maclimit-punish-time vendor-specific .................... 23-39
23.6.21 radius config-attribute netmask default-value ............................................... 23-39
23.6.22 radius config-attribute netmask vendor-specific ........................................... 23-39
第 24 章 配置 VRRP .......................................................................................................................... 24-1
24.1 概述 ..................................................................................................................................... 24-1
24.1.1 VRRP 协议状态 ....................................................................................................... 24-1
24.1.2 VRRP 配置规则 ....................................................................................................... 24-2
24.2 配置 VRRP.......................................................................................................................... 24-2
24.2.1 配置虚拟路由器的参数 .......................................................................................... 24-2
23
24.3 配置案例 ............................................................................................................................. 24-3
24.4 命令参考 ............................................................................................................................. 24-4
24.4.1 debug vrrp ............................................................................................................... 24-4
24.4.2 show debug vrrp..................................................................................................... 24-4
24.4.3 show vrrp................................................................................................................. 24-5
24.4.4 vrrp advertise-timer ............................................................................................... 24-6
24.4.5 vrrp authentication................................................................................................. 24-6
24.4.6 vrrp ipaddress......................................................................................................... 24-7
24.4.7 vrrp name ................................................................................................................ 24-7
24.4.8 vrrp pingtrack ......................................................................................................... 24-7
24.4.9 vrrp preempt ........................................................................................................... 24-8
24.4.10 vrrp priority........................................................................................................... 24-8
24.4.11 vrrp track ............................................................................................................... 24-9
第 25 章 配置虚拟堆叠....................................................................................................................... 25-1
25.1 概述 ..................................................................................................................................... 25-1
25.2 命令参考 ............................................................................................................................. 25-1
25.2.1 [start|stop] cluster.................................................................................................. 25-1
25.2.2 cluster erase ............................................................................................................. 25-2
25.2.3 cluster reboot........................................................................................................... 25-2
25.2.4 cluster save .............................................................................................................. 25-2
25.2.5 config cluster commander ..................................................................................... 25-3
25.2.6 config cluster member............................................................................................ 25-3
25.2.7 config cluster trap................................................................................................... 25-3
25.2.8 cluster download ftp .............................................................................................. 25-3
25.2.9 show cluster............................................................................................................. 25-4
25.2.10 show cluster snmp trap........................................................................................ 25-4
第 26 章 配置芯片复位....................................................................................................................... 26-1
26.1 命令参考 ............................................................................................................................. 26-1
26.1.1 config device extern-buffer [enable | disable].................................................... 26-1
26.1.2 config device recover mode interrupt [reset|analyses|disable] ..................... 26-1
26.1.3 config device recover mode poll [enable|disable]............................................. 26-2
26.1.4 config device recover mode poll interval <1-600> ............................................. 26-3
26.1.5 config device recover mode poll port [all|one] ................................................. 26-3
26.1.6 show device recover configuration ...................................................................... 26-4
24
HOS 软件基础
HammerOS(简称 HOS)使用命令行接口(CLI)作为操作界面。
在线帮助
HOS 的命令行接口(CLI)提供如下四种在线帮助:
Help 命令
完全帮助
部分帮助
TAB 帮助
Help命令
完全帮助
在任一命令模式下,键入"?"可以获取该命令模式下,所有命令以及各命令的简单
I
HOS 软件基础
描述。例如:
Harbour(config)# ?
access-list Create an access-list
arp Config arp table
backup Backup config
batfile Create a command file
cdp Config CDP
…… ……
部分帮助
键入命令后输入一个空格,然后再键入"?",如果该位置存在关键字,则列出全
部可选的关键字及其简单描述;如果该位置存在参数,则列出相关参数及其描
述。例如:
Harbour(config)# interface ?
atm Config ATM interface
ethernet Config ethernet interface
loopback Config loopback interface
pos Config pos interface
supervlan Config supervlan interface
…… ……
键入一个字符串,其后输入“?”
,如果存在以该字符或字符串开头的命令,则
列出全部以该字符或字符串开头的所有命令及其简单描述。例如:
Harbour(config)# show s?
services Show information of system services status
share-group Traffic class map
slab Show information of system memory cache
snmp Simple Network Management Protocol
sntp-client Show sntp client configuration
…… ……
TAB帮助
II
HOS 软件基础
如果存在多个以该字符或字符串开头的命令,则列出全部以该字符或字符串开
头的所有命令,例如:
Harbour(config)# t(按 Tab 键)
tacc telnet terminal traceroute
如果只存在一个以该字符或字符串开头的命令,则将以该字符或字符串开头的
这个命令补全,并把光标移至最后,等待下一步输入,例如:
Harbour(config)# q(按 Tab 键)
Harbour(config)# quit
如果一个命令比较长不好输入,您可以只输入该命令的前几个
提示 字符,然后使用“Tab”键帮助补齐。
命令语法
1、命令行的所有命令都是不区分大小写的。
提示 2、设置密码时,需要区分大小写。
命令符号
在命令格式中可以看到各种符号,这些符号不是命令本身的一个部分,它们说明了
应该如何输入该条命令。命令格式中符号的含义如下表所示:
符号 含义 应用举例
尖括号 <> 该部分必须输入一个参数。 命令interface vlan <vlanname>
{<1-4094>}*1中,必须在<vlanname>的
位置输入一个合法的VLAN的名字。
中括号 [ ] 和 中括号一般和竖直线配合使 命令config syslog [enable|disable]中,中
竖直线 | 用。中括号括起来的部分表 括号内包含由竖直线分隔的两个可选项,
示这部分命令有几个用竖直 必须输入enable或者disable。
线分隔开的可选项,必须选
择输入其中一项。如果中括
号中只有一个可选项,直接
输入该可选项即可。
III
HOS 软件基础
参数类型
以尖括号“<>”括起来的部分是命令参数,HOS 的命令参数主要有以下四种类型:
数值范围
当尖括号中是两个数值由短横线连接时,表示该参数的取值范围在这两个数值之间。
例如:<1-255>表示用户可以输入大于等于 1 并且小于等于 255 的任意一个整数,
比如 20 就是一个合法的参数。
IP 地址
当尖括号中是 A.B.C.D 时,表示该参数是一个 IP 地址,您必须输入一个合法的 IP
地址值,例如 192.168.0.1 就是一个合法的 IP 地址值。
端口列表
当尖括号中是 portlist 时,表示该参数是输入端口列表。端口列表中的多个端口之间
用逗号","分隔,如果是连续的多个端口号可以用该连续端口的最小端口再加上短
横线"-"再加上该连续端口的最大端口号表示。例如:输入 1,3-6,8 表示的端口列
表为:1,3,4,5,6,8
字符串
当尖括号中所列的不是以上三种情况时,可能表示该参数需要输入的是一个字符串
或者 16 进制数,具体可以在输入命令到该参数部分时,输入问号"?"键查看该部分
参数的命令说明。例如:<macaddr>表示需要输入一个 16 进制的 MAC 地址,输入
005023344325 为一个合法的 MAC 地址,而<name>则表示要输入一个字符串做为
某个对象的名字。
命令简写
输入命令时,可以只输入命令单词或关键字前边的部分字母,只要这部分字母不会
造成歧义,交换机就能够识别该命令,用户可以直接回车执行该命令。对于需要用
户输入的参数如 VLAN 的名字等,则要求完整输入。
例如:创建一个 VLAN,名称为 vlan1:
Harbour(config)# interface vlan vlan1
IV
HOS 软件基础
上述命令也可简写为:
Harbour(config)# int vl vlan1
命令模式
HOS 命令行提供了两种模式,一种是只读模式,另一种是配置模式。在只读模式下
用户只能查看一部分系统配置信息,在配置模式下用户能够查看所有系统配置信息,
并能修改系统配置。在两种模式下,命令提示符的结尾符号、缺省的命令提示符也
不相同。只读模式和配置模式的比较见下表:
只读模式 配置模式
功能权限 只能查看一部分系统配置信息 能够查看所有系统配置信息,并能
修改系统配置
命令提示符 > #
的结尾符号
缺省的 Harbour> Harbour(config)#
命令提示符
行编辑指令
在命令行接口(CLI)中,可以使用如下行编辑指令:
指令 功能
BackSpace键或Ctrl+h 向左删除一个字符
向上箭头键或Ctrl+p 调用上一个历史命令
向左箭头键或Ctrl+b 将光标向左移动一格
向右箭头键或Ctrl+f 将光标向右移动一格
V
HOS 软件基础
向下箭头键或Ctrl+n 如果前边使用过向上箭头调用上一个历史命
令,再单击向下箭头键可以显示下一个历史
命令
Ctrl+a 将光标移动到行首
Ctrl+e 将光标移动到行尾
Ctrl+d 将光标所在位置的字符删除
Ctrl+k 将光标以后的字符全部删除
Ctrl+t 将光标所在的字符和光标左边的那个字符互
相调换,并将光标向右移动一格
Ctrl+u 整行删除
Ctrl+w 将光标左边的字符全部删除
上述命令中的向上箭头键、向左箭头键、向右箭头键和向下箭头键指令只支持利用
Telnet 配置交换机方式,不支持串口配置。而命令 Ctrl+h、Ctrl+p、Ctrl+b、Ctrl+f
和 Ctrl+n 对上述两种登录方式均支持。
no命令
当使用一些命令进行配置后,可以使用其对应的 no 命令来取消配置。
例如:命令 debug sntp 可以打开 SNTP 的 debug 调试开关,其对应的 no 命令 no
debug sntp 则可以关闭该开关。
保存配置
如果希望当前配置在交换机断电或重新启动后依然有效,一定要使用 save
configuration 命令保存当前配置文件。例如:
Harbour(config)# save configuration
Trying to save configuration to flash, please wait...
Preparing data for saving configuration...Done.
VI
第 1 章 系统管理
1 第1章 系统管理
1.1 管理交换机的途径
交换机主要有以下几个管理途径:
使用终端(或者仿终端软件)连接到交换机的串口(Console),通过终端来访
问交换机的命令行接口(CLI)。
使用 Telnet 管理交换机。
使用 SNMP 管理软件管理交换机。
交换机同时能支持多个连接:
一个 Console 口连接
最多同时能支持 3 个 telnet 连接
最多同时能支持 4 个用户连接
一个用户最多同时开 2 个连接
1.1.1 使用Console口连接到交换机
1-1
第 1 章 系统管理
超级终端界面中,打开“文件”菜单,选择“属性”工具条,出现一个窗口,点击
“设置”标签,在终端仿真下拉列表中选择 VT100 即可。如下图所示:
如果连接成功,在终端中看到操作系统启动的界面后,您就可以通过命令行接口对
交换机进行配置了。
例如:通过 Console 口连接登录到交换机后,给交换机配置一个 192.168.0.232 的
IP 地址,按以下步骤进行:
第一步:将交换机的 Console 口和特定终端连接起来,正常给交换机供电。
第二步:待 HammerOS 成功启动后,就可以看到交换机的提示登录信息:
############################################################
# #
# Welcome to HammerOS. #
# #
# Press Return to connect and config this system。 #
# #
############################################################
第三步:此时,系统要求您输入用户名和密码。
如果您是首次登录交换机,您就应该使用缺省的用户名 admin 进行登录,此时
输入登录密码 harbour,按回车键,进入只读模式,输入 enable,按回车,键
入配置模式缺省密码 harbour。
1-2
第 1 章 系统管理
如果您已经分配了一个自己的用户名和密码,而且您已有系统管理员的权限,
那么,登录时就使用自己的用户名和密码。
第四步:当您成功登录交换机时,系统显示如下信息:Harbour(config)#,表明您可
以对命令行进行操作了。
第五步:然后给交换机的某个 VLAN(可以是 default VLAN 或者新创建的 VLAN,
此处以 default VLAN 为例)配置 IP 地址。输入命令:config vlan default ipaddress
192.168.0.232/24。成功执行该命令后,就可以从该 VLAN 的端口上以该 VLAN 的
IP 地址 telnet 到交换机的命令行接口。
第六步:保存配置,键入命令:save configuration
Trying save configuration to flash, please wait ......
Preparing configuration data to save...Done.
Starting write configuration data to flash...Done.
Configuration save to flash successfully.
1.1.2 使用Telnet管理交换机
这里的参数<A.B.C.D>必须与本交换机的 IP 地址在同一网段。
注意
Connected to 192.168.0.232.
Press Ctrl-Q to force exit telnet.
HammerOS Version1.1 on FlexHammer.
Login:
输入用户名和密码进行登录。
1-3
第 1 章 系统管理
1.1.3 管理Telnet服务
1.2 基本管理信息
1.2.1 常用命令
只读模式下的常用命令如下表所示:
表1-1 只读模式下的常用命令
命令 描述
clear 清除屏幕显示
enable 进入配置模式,可以对交换机进行配置和写操作
exit 退出当前配置模式,返回到上一级配置模式
help 显示如何使用命令行中的语法帮助
list 显示当前可用的命令列表
logout 退出登录,断开连接
quit 退出命令行,断开连接(和logout作用相同)
show history 显示已输入的历史命令
show idle-timeout 显示idle timeout(空闲超时)时间
show services 显示当前系统提供的服务
who 显示当前连接到交换机的用户
1-4
第 1 章 系统管理
表1-2 配置模式下的常用命令
命令 描述
enable-password 修改自己进入配置模式的密码
erase {startup-config}*1 删除交换机中保存的系统启动配置信息
hostname <hostname> 给设备重新起个名字
idle-timeout <0-35791> 设置经过多长的空闲时间后,系统自动退出登录
save {configuration}*1 把当前正在运行的配置写到交换机中并保存
show running-config 显示系统当前正在运行的配置
show startup-config 显示系统的启动配置
terminal length <0-512> 设置终端每屏输出的行数
1.2.2 用户管理
用户权限
HammerOS 中提供了两种用户权限:普通用户(NORMAL)和管理员(ADMIN)
。
普通用户能查看大部分系统信息,但不能查看系统中的用户信息和系统的配置
信息(主要指系统中的配置文件内容以及系统全局配置信息)。普通用户登录到
HammerOS 系统后,只能进入只读模式而不能进入配置模式。
管理员能进入配置模式并对系统的所有参数进行查看和设置。系统管理员还能
增加用户帐号、删除用户帐号、设置修改用户密码,以及进行系统的全局信息
的配置等。
缺省用户帐号
系统缺省内置了一个管理员权限的用户帐号,用户名是 admin,缺省密码是 harbour。
缺省用户 admin 的帐号不能被删除,用户也不能被修改,只能修改其密码。缺省的
用户进入配置模式的密码也是 harbour。
添加用户帐号
用 user add 命令可以添加一个用户帐号。例如,增加一个名为 Anna 的用户帐号,
并设置其登录密码为 123456:
Harbour(config)# user add Anna login-password 123456
新添加的用户帐号权限都是普通用户(NORMAL)。下面的命令依次将用户帐号的
权限设置为管理员(ADMIN)和普通用户(NORMAL):
Harbour(config)# user role Anna admin
Harbour(config)# user role Anna normal
查看用户帐号
用下列命令可以查看当前所有的用户帐号:
1-5
第 1 章 系统管理
删除用户帐号
用 user delete 命令可以删掉一个用户帐号:
Harbour(config)# user delete anna
修改密码
具有管理员权限的用户可以修改密码:
管理员修改自己的登录密码,使用命令 login-password,然后根据提示输入新
密码和确认新密码即可。
管理员修改自己进入配置模式的密码,使用命令 enable-password。然后根据提
示输入新密码和确认新密码即可。
管理员能够重新设置其他用户的登录密码和配置模式密码,分别使用命令 user
login-password、user enable-password,然后根据提示输入新密码和确认新密
码即可。
密码区分大小写。
注意
1.2.3 显示版本信息
1-6
第 1 章 系统管理
1.2.4 设置终端每屏显示信息的行数
1.2.5 显示设备当前的各种服务状态
1.2.6 设置交换机的名称
有时为了管理的方便,可以重新设置交换机的名称,这时,系统的提示符会随之改
变。例如,设置主机的名称为 HammerOS:
Harbour(config)# hostname HammerOS
1.2.7 设置和查看空闲等待时间
例如,设置系统的空闲等待时间是 20 分钟,并查看配置结果,可使用如下命令:
Harbour(config)# idle-timeout 20
Harbour(config)# show idle-timeout
Idle time out is set to 20 minutes.
如果用户在 20 分钟内未对系统作任何操作,会自动退出超级终端管理状态,并断
1-7
第 1 章 系统管理
开与终端的连接进入登录前的状态。当参数设置为 0 时,不能自动退出系统。
如果处于学习阶段或者调试设备状态,可以将该参数设置大些
提示 或者设置为 0。
1.2.8 查看当前系统的配置情况
1-8
第 1 章 系统管理
1.2.9 查看已经保存的系统配置文件
查看保存过的系统配置文件内容。具体显示内容与设备的型号、规格、软件、硬件
版本有关。例如:
Harbour(config)# show startup-config
!HammerOS system config file
!version V2.00Build0017
!Basic information config
hostname ESR80
!
!Usermanage config
!
!Ifm config
!
!Arp config
!
!Trunk config
!
!Vlan config
interface vlan default 1
ip address 10.5.4.95 255.255.255.0
exit
!
!Rstp config
!
!Vrrp Configuration
!
!Sntp Config
!
!Dns config
!
!Udpforward Configuration
!
!Dhcp Relay config
!
!Route-policy rules config
!
1-9
第 1 章 系统管理
!Rip config
!
!Ospf config
!
!Bgp config
!
!Igmp config
!
!Pim config
!
!Syslog config
!
!Nms config
!
!end of config
1.2.10 保存当前配置文件
1-10
第 1 章 系统管理
可以把一份好的配置文件保存到文本文件中,在需要的时候(例
如不小心把交换机配置搞乱了,不知道怎样把配置恢复到以前
提示 的状态时)再把配置文件下载到交换机中。参看本手册1.4 节
存取配置文件及升级 HammerOS。
1.2.11 删除所有已经保存的配置信息
例如:
Harbour(config)# erase startup-config
Are you sure want to erase startup-config? [Y/N]y
Trying erase all configuration from flash, please wait ...... finished.
Successfully erase all configuration info from flash.
1.2.12 显示连接到交换机的用户信息
1-11
第 1 章 系统管理
Harbour(config)# who am i
I am *Session [3] : user admin connected from console.
1.2.13 强制关闭特定的用户连接
如果有非法用户连接到交换机,管理员用户可以强制断开其连接。非法用户的
session ID 可以从 who 命令得到。例如,强制关闭掉 session ID 为 5 的用户的会话,
使用如下命令:
Harbour(config)# kill session 5
1.2.14 查看接口状态
1.3 时区、时间
每个交换机都有自己的系统时钟,能够保存当前的日期和时间。用户可以使用命令
进行静态配置。
此外,网络内所有交换机的时钟同步问题可以用 SNTP 解决,SNTP 也能用于给定
网络内所有系统时钟的同步,包括工作站或其它具有时钟的系统。对于各种各样的
工作站和服务器来讲,都有相应的 SNTP 客户端软件。SNTP 的有关内容参见本手
册配置 SNTP。
1-12
第 1 章 系统管理
1.4 存取配置文件及升级
HammerOS
可以把一份好的配置文件保存到文本文件中,在需要的时候(例如不小心把交换机
配置搞乱了,不知道怎样把配置恢复到以前的状态时)再把配置文件下载到交换机
中。此外,也可以将交换机中的配置文件内容上传到本地磁盘文件中。
可以下载和上传 HammerOS 文件来升级和备份设备的操作系统。
下载和上传文件分别以有两种方法:FTP 和 Xmodem。
通过文件的上传和下载,可以很方便地对多台相同配置的交换
提示 机进行配置。
1.4.1 通过FTP协议下载配置文件或
HammerOS
配置步骤
步骤1 具有管理员权限的用户通过串口或者telnet登录并进入配置模式。
步骤2 输入命令download ftp [hammeros|config-file] <A.B.C.D> <username>
<password> <filename>。<A.B.C.D>为文件所在主机的IP地址,<username>
是FTP的用户名,<password>为FTP用户的密码,<filename>为被下载的文
件名。
步骤3 等待下载完毕后,输入reboot命令重新启动交换机。
1-13
第 1 章 系统管理
配置案例
假设 FTP 服务器的 IP 地址为 10.1.30.16,服务器上存在一个名为 sysconfig.txt 的
配置文件,用户 useA 是该 FTP 服务器的合法用户,密码为 harbour。可使用如下
命令通过 FTP 协议下载配置文件:
Harbour(config)#download ftp config-file 10.1.30.16 useA harbour sysconfig.txt
系统显示如下信息:
Trying download file from ftp server, please wait...
1.4.2 通过使用Xmodem协议下载配置文
件或HammerOS
配置步骤
步骤1 具有管理员权限的用户通过串口或者telnet登录并进入配置模式。
步骤2 输入命令download xmodem [hammeros|config-file]{baudrate
[9600|115200]}*1。
步骤3 打开串口超级终端的发送文件菜单,选择要下载的配置文件及Xmodem协议,
下载指定文件。
步骤4 等待下载完毕后,输入reboot命令重新启动交换机。
配置案例
输入命令 download xmodem config-file,系统提示信息如下:
You haven't specified baudrate, system will use default value 9600, same as current
console baudrate.
1-14
第 1 章 系统管理
然后,打开串口超级终端的【发送文件】菜单:
选择“发送”,系统开始下载指定文件信息:
等待下载完毕后,系统显示如下信息,表明下载成功:
1-15
第 1 章 系统管理
1.4.3 通过FTP协议上传配置文件或
HammerOS
配置案例
假设 FTP 服务器的 IP 地址为 10.1.30.16,服务器上存在一个名为 sysconfig.txt 的
空白文件,用户 useA 是该 FTP 服务器的合法用户,并并具有上传文件的写权限,
用户密码为 harbour。可使用如下命令通过 FTP 协议上传配置文件:
Harbour(config)#upload ftp config-file 10.1.30.16 useA harbour sysconfig.txt
系统显示如下信息:
Trying upload file to ftp server, please wait...
Successfully finished Upload file.
Finished.
You've successfully upload config file.
1-16
第 1 章 系统管理
1.4.4 通过使用Xmodem协议上传配置文
件或HammerOS
配置案例
将操作系统文件 HammerOS 上传到本地磁盘文件中:
第一步:在配置模式下,键入命令:
Harbour(config)#upload xmodem hammeros baudrate 115200
系统显示如下信息:
System's current console baudrate is 9600.
You've choosen change console baudrate to 115200 when upload file.
Please change your terminal's baudrate to 115200 in 10 seconds.
After that, you can start receive file.
点击“配置”按钮后,在下图所示的端口设置中,将波特率设为 115200,然后点击
“确定”即可。
1-17
第 1 章 系统管理
第三步:在超级终端中,选择传送菜单的“接收文件”
选择存放操作系统文件所在的目录,使用的接收协议是 Xmodem。
1-18
第 1 章 系统管理
点击“接收”按钮,并输入操作系统文件名称,例如:hammeros.bin。
点击“确定”按钮出现界面如下:
文件上传完毕出现如下提示信息:
Successfully finished upload file.
Finished.
这样,配置信息上传完毕。
1.5 重启交换机
1-19
第 1 章 系统管理
1.5.1 重新加电
设备重新加电,可以通过交换机后面板上的电源开关进行操作,先将开关置为 OFF
状态,再置为 ON 状态,重新加电。
1.5.2 重新启动整机
1.6 命令参考
1.6.1 clear
clear
命令格式
命令功能 清除屏幕显示。
命令模式 只读模式和配置模式
Harbour(config)# clear
配置实例
命令功能 配置用于网络管理的设备名称。
命令模式 配置模式
参数说明 参数 说明 缺省配置
.name 名称,为可包含空格的字符串 Harbour
show sysname
相关命令
1-20
第 1 章 系统管理
命令功能 配置交换机时区。
命令模式 配置模式
参数说明 参数 说明
<name> 本交换机时区名
[positive|negative] 东区/西区
<0-12> 小时
<1-59> 分钟
配置实例 中国时区位于东 8 区:
Harbour(config)#config timezone CST positive 8
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 文件所在主机的IP地址
<username> FTP的用户名
<password> FTP用户的密码
<filename> 下载的文件名
download xmodem
相关命令
upload ftp
upload xmodem
1-21
第 1 章 系统管理
命令模式 配置模式
参数说明 参数 说明
[hammeros|config-file] 下载HammerOS文件或配置文件
baudrate [9600|115200] 下载文件的带宽:9600或115200
download ftp
相关命令
upload ftp
upload xmodem
1.6.6 enable
enable
命令格式
命令功能 由只读模式进入配置模式。
命令模式 只读模式
使用指导 具有管理员权限的用户输入进入配置模式的密码后,可以进入配置模式。
密码区分大小写。
Harbour>enable
配置实例
Password:<enable-password>
Harbour(config)#
enable-password
相关命令
1-22
第 1 章 系统管理
erase {startup-config}*1
命令格式
命令功能 删除交换机中保存的系统启动配置信息。
命令模式 配置模式
使用指导 如果希望重新配置交换机的启动配置信息,请使用此命令删除以前的配置。
save configuration
相关命令
1.6.8 exit
exit
命令格式
命令模式 只读模式和配置模式
Exit
Disconnected.
Thanks for using Harbour Networks's product.
Bye!
quit
相关命令
logout
1-23
第 1 章 系统管理
1.6.9 help
help
命令格式
命令功能 显示如何使用“?”寻求帮助提示。
命令模式 只读模式和配置模式
Harbour(config)#help
配置实例
1.6.10 hostname
hostname <hostname>
命令格式
命令功能 设置主机名称。
命令模式 配置模式
使用指导 在同一个网络中,最好统一规划主机名称。
Harbour(config)#hostname useA
配置实例
useA(config)#
1.6.11 idle-timeout
idle-timeout <0-35791>
命令格式
命令功能 设置系统的空闲超时时间。
命令模式 配置模式
参数说明 参数 说明
<0-35791> 空闲超时时间,单位:分钟
使用指导 该时间是指对交换机进行的相邻两次操作之间所允许的最大空闲时间。当
超过该时间时系统将自动执行 logout 操作。当输入 0 时表示不对系统的空
闲时间进行限制。
Harbour(config)#idle-timeout 10
配置实例
1-24
第 1 章 系统管理
show idle-timeout
相关命令
1.6.12 list
list
命令格式
命令功能 显示当前模式下所有的命令。
命令模式 只读模式和配置模式
Harbour> list
配置实例
quit
命令格式
logout
命令功能 关闭和目标机之间的连接,退出系统。
命令模式 只读模式和配置模式
Harbour> quit
配置实例
Quit.
Disconnected.
Thanks for using Harbour Networks's product.
Bye!
1.6.14 reboot
reboot
命令格式
命令功能 重新启动交换机。
命令模式 配置模式
1-25
第 1 章 系统管理
save configuration
命令格式
命令功能 保存当前的配置。
命令模式 配置模式
使用指导 如果希望当前配置在系统断电或重新启动后依然有效,请一定使用此命令。
erase startup-config
相关命令
命令模式 配置模式
show service
相关命令
1-26
第 1 章 系统管理
show history
命令格式
命令功能 显示最近输入的历史命令。
命令模式 只读模式和配置模式
Harbour>show history
配置实例
show running-config
命令格式
命令功能 显示当前系统配置。
命令模式 配置模式
使用指导 这是一个很常用的命令,可以帮助系统管理员查看当前的系统配置情况。
show services
命令格式
命令功能 显示当前各种服务的状态。
命令模式 只读模式和配置模式
1-27
第 1 章 系统管理
show startup-config
命令格式
命令功能 显示启动配置信息。
命令模式 配置模式
使用指导 只有保存过系统配置文件才可以查看其内容。
show sysname
命令格式
命令功能 显示系统当前的设备名称。
命令模式 配置模式
config sysname
相关命令
命令功能 将交换机的一些基本信息统一输出,便于查看整个系统的状态。
命令模式 配置模式
参数说明 参数 说明
short 指定输出信息的范围
1-28
第 1 章 系统管理
输出“#”标示的命令的结果。
Show version
Show running-config
Show interface
Show port all
Show port all static
Show memory status
Show cpu usage
show syslog contents
show time
show age
show vlan
show service
show fdb
show ip route
show arp
show debug all
show spanning-tree
show stpd
show exception
show systrace history
show syslog history
#show ip route blackhole
#show l3
#show def_table
#show ip mroute cache
#show ip route cache
#show ip fib
#show ip rip
#show ip rip database
#show ip ospf
#show ip ospf neighbor
#show ip ospf database
#show vrrp
#show pim
#show dhcpr packetsstatics
#show nas accounting-statistic
#show dot1x statistic
show version
命令格式
命令功能 显示交换机的版本信息。
命令模式 只读模式和配置模式
使用指导 显示内容包括产品的硬件版本号、软件版本号、生产日期、产品序列号以
及设备的 MAC 地址等。
Harbour>show version
配置实例
1-29
第 1 章 系统管理
命令功能 设置终端每屏显示行数。
命令模式 只读模式和配置模式
参数说明 参数 说明
<0-512> 每屏显示行数,范围从0至512
默认状态 每屏显示 20 行。
命令模式 配置模式
参数说明 参数 说明
[hammeros|config-file] 上传HammerOS文件或配置文件
<A.B.C.D> FTP服务器的IP地址
<username> FTP服务器的用户名
<password> FTP服务器的密码
<filename> 所生成的文件名
download ftp
相关命令
download xmodem
upload xmodem
1-30
第 1 章 系统管理
命令模式 配置模式
参数说明 参数 说明
[hammeros|config-file] 上传HammerOS文件或配置文件
baudrate [9600|115200] 上传文件的带宽:9600或115200
download ftp
相关命令
download xmodem
upload ftp
命令功能 创建一个普通用户帐号。
命令模式 配置模式
参数说明 参数 说明
<username> 用户名
<login_password> 用户登录密码
使用指导 用户名必须为以字母开头的,只包含大写或小写的英文字母、数字、下划
线且长度为 4-20 的字符串。用户登录密码可以是由任意字符组成的长度为
6-20 的字符串。
密码区分大小写。
注意
1-31
第 1 章 系统管理
user delete
相关命令
user role admin
命令功能 删除一个用户帐号。
命令模式 配置模式
参数说明 参数 说明
<username> 欲删除帐号的用户名
user add
相关命令
命令功能 将用户设为管理员权限。
命令模式 配置模式
参数说明 参数 说明
<username> 用户名
<login_password> 用户登录密码
user add
相关命令
1-32
第 1 章 系统管理
命令功能 将管理员设为普通用户权限。
命令模式 配置模式
参数说明 参数 说明
<username> 管理员的用户名
user add
相关命令
user role admin
1.6.31 who
who
命令格式
who am i
命令模式 只读模式和配置模式
Harbour(config)#who
配置实例
SessionID - UserName ------- LOCATION ------- MODE ----
3 admin console CONFIG (That's me.)
Total 1 sessions in current system
Harbour(config)#who am i
1-33
第 2 章 系统监控与诊断
2 第2章 系统监控与诊断
2.1 ping
ping 命令可以用来检测网络的基本连接情况。
ping 命令发送 Internet Control Message Protocol(ICMP)请求报文到网络中的某
个 IP 设备。如果在设定时间内没有收到目的设备响应报文,则输出“REQUEST
TIME OUT”;否则显示响应报文的字节数、报文序号、TTL、响应时间,同时提供
统计信息,包括发送报文个数、接收到响应报文个数、未响应报文数百分比和响应
时间的最小值、最大值和平均值。
普通用户和管理员用户都可以使用 ping 命令。
例如,测试到 IP 地址为 192.168.0.1 的设备的连通性,可以键入命令:
Harbour(config)# ping 192.168.0.1
如果设备连通,则出现以下信息:
PING 192.168.0.1 : 56 data bytes.
Press Ctrl-c to Stop.
如果没有连通则出现以下信息:
PING 192.168.0.1 : 56 data bytes.
Press Ctrl-c to Stop.
2-1
第 2 章 系统监控与诊断
配置步骤
步骤1 create pingtrack < trackname> <A.D.C.D> 创建一个的Ping Track接口
步骤2 show pingtrack [<trackname >|all] {statics}*1 查看已有的Ping Track接口
配置案例
步骤1 创建一个检测192.168.0.1接口状态Ping Track接口,带参数
Harbour(config)# create pingtrack pt0 192.168.0.1 4 1 5 5
2-2
第 2 章 系统监控与诊断
2.3 traceroute
traceroute 命令可以检测交换机到目的地之间数据报经过的路径。
与 ping 命令不同,
traceroute 不但可以测试网络是否连通,还可以获知在数据包的传输路径中哪一个
地方出现问题。traceroute 命令的输出信息包括到达目的地经过的所有网关的 IP 地
址和到该网关所用的时间,如果某网关超时则显示“ * ”。只有管理员权限的用户
才可以使用 traceroute 命令。
例如,
测试交换机发出的数据报到达 IP 地址为 202.96.13.137 的设备所经过的路径:
Harbour(config)# traceroute 202.96.13.137
如果设备连通,则出现以下信息:
Type Control-C to abort.
Tracing the route to 202.96.13.137
如果设备没有连通,出现以下信息:
Type Control-C to abort.
Tracing the route to 202.96.13.137
2-3
第 2 章 系统监控与诊断
2.4 系统资源利用率
2.4.1 查看CPU利用率
2.4.2 显示内存状况
2.4.3 显示从上次重启交换机到现在的时
间间隔
2-4
第 2 章 系统监控与诊断
2.5 常用调试命令
调试命令便于对系统进行监控与诊断。下表为常用的系统调试命令:
表2-1 常用系统调试命令
debug ip packet 调试收发IP报文处理的开关
debug packet 调试收发链路层报文处理的开关
debug all 调试收发报文处理的开关
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用其对应的 no 命令禁用调试功能。
2.6 命令参考
命令模式 配置模式
参数说明 参数 说明
< trackname > 要操作的Ping Track名称
all 清除所有Ping Track的统计信息
show pingtrack
相关命令
2-5
第 2 章 系统监控与诊断
命令功能 配置是否启用保存任务切换信息的功能。
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 启用/禁用
默认状态 禁用。
命令模式 配置模式
参数说明 参数 说明
[udp|icmp] 发送UDP或ICMP数据包
traceroute
相关命令
命令模式 配置模式
2-6
第 2 章 系统监控与诊断
参数说明 参数 说明 缺省配置
< trackname > 要创建的Ping Track对象名称 ——
<A.D.C.D > 要检测的目的主机IP地址 ——
第1个<1-1000 > Ping Track等待回应数据包超时值,单位:秒 5
第2个<1-1000> ping track发包间隔频率值,单位:秒 2
第1个<1-255> 最大连续ping失败的次数,超过此次数则认为 5
目标主机不可达
第2个<1-255> 最大连续ping 成功的次数,超过此次数则认 5
为目标主机可达
delete pingtrack
相关命令
show pingtrack
debug all
命令格式
no debug all
命令功能 打开所有调试手段的开关。
关闭所有调试手段的开关。
命令模式 配置模式
monitor
相关命令
show debug all
命令模式 配置模式
参数说明 参数 说明
[all|icmp|igmp|tcp|udp] 显示全部或指定类型的报文处理信息
[all|input|output] 显示全部收发报文的处理信息、收报的处
理信息或发报的处理信息
2-7
第 2 章 系统监控与诊断
命令功能 调试收发链路层报文处理的开关。
命令模式 配置模式
参数说明 参数 说明
all 显示全部报文处理信息
input 显示收报的处理信息
output 显示发报的处理信息
[<1-4095>|all] 指定vid的报文或所有报文
默认状态 关闭。
monitor
相关命令
show debug packet
命令模式 配置模式
参数说明 参数 说明
< trackname > 要删除的Ping Track名称
create pingtrack
相关命令
2-8
第 2 章 系统监控与诊断
2.6.9 ping
命令功能 检测网络的基本连接情况。
命令模式 配置模式
参数说明 参数 说明
-t 使用t选项后,ping命令将一直向目标IP地址发
送ICMP echo消息,直到用户用Ctrl+c中断。缺
省不用t选项时,ping命令发送完5个ICMP echo
消息即停止。
-count <1-65535> count选项指定ping程序总共发送多少个ICMP
echo消息后退出。
-size <1-6400> size选项指定发送的ICMP echo消息的附加内
容长度。
-waittime <1-255> waittime选项指定ping程序等待多少秒之后如
果还未收到应答就认为目标不可通。
-ttl <1-255> ttl选项指定ICMP数据包的ttl(time to live)值。
-pattern <user_patter> pattern选项指定ICMP数据包中用户自己定义
的1-16个16进制数。
<A.B.C.D> 目标设备的IP地址。
show age
命令格式
命令功能 显示从上次重启交换机到现在的时间间隔。
命令模式 配置模式
2-9
第 2 章 系统监控与诊断
命令模式 配置模式
命令模式 配置模式
debug all
相关命令
命令模式 配置模式
debug packet
相关命令
show exception
命令格式
命令功能 显示系统重启之前的异常信息。
命令模式 只读模式
2-10
第 2 章 系统监控与诊断
命令功能 查看内存当前使用状况。
命令模式 配置模式
show sysmem
相关命令
命令模式 配置模式
参数说明 参数 说明
< trackname > 要显示的Ping Track名称
all 显示所有Ping Track的信息
statics 显示Ping Track的统计信息
show sysmem
命令格式
命令功能 显示系统提供的用户内存空间的使用情况。
2-11
第 2 章 系统监控与诊断
命令模式 配置模式
show systrace
命令格式
命令功能 显示系统当前的任务切换信息。
命令模式 只读模式
使用指导 需要打开保存任务切换信息的开关,否则将没有信息,或者显示开关最近
一次被关闭前的信息。
命令功能 显示系统重启之前的任务切换信息。
命令模式 只读模式
使用指导 只有开启了保存任务信息的开关,并不掉电重启,系统重启之前的任务切
换信息才可以保留。
show systrace
相关命令
2-12
第 2 章 系统监控与诊断
2.6.20 traceroute
命令功能 交换机到目的地之间数据报经过的路径。
命令模式 配置模式
参数说明 参数 说明 缺省配置
-a <A.B.C.D> 设定UDP数据报源IP地址,该参数只对UDP模 ——
式有效
-f <1-30> 指定数据报的初始ttl(time to live)值 1
-m <2-255> 指定数据报的最大ttl(time to live)值,即指定 30
搜寻目的IP设备的最大跳数
-q <1-10> 指定每一跳中的搜索次数 3
-w <1-65535> 指定traceroute程序每一次搜索所等待的时间, 2
单位:秒
config tracert_mode
相关命令
2-13
第 3 章 配置 SNTP
3 第3章 配置 SNTP
3.1 概述
3.2 配置SNTP
3.2.1 配置SNTP客户端
3-1
第 3 章 配置 SNTP
配置步骤
3.2.2 配置SNTP服务器
配置步骤
3.3 配置案例
3.3.1 配置SNTP
案例描述
3-2
第 3 章 配置 SNTP
交换机1 交换机2
SNTP服务器 SNTP客户端
步骤1 配置SNTP服务器工作在anycast模式
Harbour(config)# config sntp-server mode 3
步骤2 使能SNTP服务器
Harbour(config)# config sntp-server enable
步骤3 显示SNTP服务器配置信息
Harbour(config)# show sntp-server
步骤1 配置SNTP客户端工作在Anycast模式
Harbour(config)# config sntp-client mode 3
步骤2 调整SNTP客户端时间同步发送间隔为100秒
Harbour(config)# config sntp-client update-interval 100
步骤3 使能SNTP客户端
Harbour(config)# config sntp-client enable
步骤4 显示SNTP客户端配置信息
Harbour(config)# show sntp-client
3.4 常用调试功能
3-3
第 3 章 配置 SNTP
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug sntp 命令禁用此功能。
3.5 命令参考
命令模式 配置模式
参数说明 参数 说明
[sntp-client | sntp-server] 配置客户端或服务器
<1-3> 工 作 模 式 , <1-3> 分 别 代 表 unicast 、
multicast、anycast
3-4
第 3 章 配置 SNTP
命令模式 配置模式
参数说明 参数 说明
[enable | disable] 使能或关闭
命令模式 配置模式
参数说明 参数 说明
[enable | disable] 使能或关闭
3-5
第 3 章 配置 SNTP
命令功能 配置服务器端的广播周期。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<64-1024> 服务器端的广播周期,单位:秒 64
配置实例 配置时间服务器的广播周期为 66 秒:
Harbour(config)#config sntp-server broadcast-interval 66
no sntp-server broadcast-interval
相关命令
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> SNTP服务器的IP地址
3-6
第 3 章 配置 SNTP
命令功能 配置客户端的刷新周期。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<64-1024> 客户端刷新周期,单位:秒 64
使用指导 客户端的刷新周期是指客户端每隔多长时间向服务器端发起一次时间请求
报文。当客户端工作在 anycast 和 unicast 模式下时,需要配置客户端的时
间刷新周期。
no sntp-client update-interval
相关命令
debug sntp
命令格式
no debug sntp
命令模式 配置模式
no sntp-client mode
命令格式
3-7
第 3 章 配置 SNTP
命令模式 配置模式
no sntp-client update-interval
命令格式
命令模式 配置模式
3.5.10 no sntp-server
broadcast-interval
no sntp-server broadcast-interval
命令格式
命令模式 配置模式
no sntp-server mode
命令格式
3-8
第 3 章 配置 SNTP
命令模式 配置模式
命令模式 配置模式
debug sntp
相关命令
show sntp-client
命令格式
命令模式 配置模式
Harbour(config)#show sntp-client
配置实例
------------sntp client's current state--------------
sntp-client are running.
3-9
第 3 章 配置 SNTP
show sntp-server
命令格式
命令模式 配置模式
Harbour(config)#show sntp-server
配置实例
------------sntp server's current state--------------
sntp-server is running.
sntp-server's mode is unicast.
3-10
第 4 章 日志管理
4 第4章 日志管理
4.1 概述
日志管理主要用来记录整个系统的运行情况以及用户操作行为。完整的日志管理能
够帮助管理员及时了解和监控系统的工作情况,并实时记录系统的异常信息。日志
信息来源于系统中所有的运行模块,日志系统完成信息的收集、管理、存储和显示。
日志信息可以显示到终端 monitor,这种方式主要用于调试和查看系统状态。也可以
存储到日志服务器 server,这种方式用于长期跟踪系统的运行情况以及用户的命令
行操作行为。
4.2 配置日志管理
4.2.1 日志功能基本配置
表4-1 日志功能基本配置常用命令
config syslog [enable|disable] 打开或关闭日志服务功能
config syslog type 配置所要记录的日志信息类型
config syslog lowest-level 配置所要记录日志信息的最低级别
record command-line 打开命令行操作日志记录功能
record valid-access 打开或关闭有效用户通过telnet登录成
功的日志记录功能
config virtual ipaddress 配置发送syslog信息和SNMP trap的
虚拟源IP地址
4.2.2 配置日志信息存储方式
表4-2 配置日志信息存储方式常用命令
config syslog server 打开或关闭日志信息保存到日志服务
[enable|disable] 器的功能
config syslog [add|delete] server 增加或删除一个日志服务器
4-1
第 4 章 日志管理
4.2.3 配置日志信息的显示方式
表4-3 配置日志信息显示方式常用命令
config syslog monitor-terminal 配置日志信息是否输出到用户终端
monitor [on|off] 打开或关闭在本终端显示日志信息的
功能
monitor timestamp 配置是否显示时间信息
monitor lowest-level 配置在终端可以显示的日志信息的最
低级别
monitor type 配置在终端可以显示的日志信息类型
4.2.4 查看日志管理的配置情况
表4-4 查看日志管理的配置情况常用命令
show syslog configuration 查看整个日志管理的配置信息
show monitor configuration 查看对本终端的日志显示属性的配置
情况
4.3 命令参考
命令功能 增加或删除一个日志服务器。
命令模式 配置模式
参数说明 参数 说明
[add|delete] 增加或删除
<A.B.C.D> 日志服务器的IP地址
<1-65535> 日志服务器上接收日志进程的服务端口号
<0-7> 下接设备的编号
使用指导 可以使用一条命令配置日志服务器信息,也可以使用多条子命令进行配置。
4-2
第 4 章 日志管理
命令功能 打开或关闭日志服务。
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 打开或关闭
配置实例 打开日志服务功能:
Harbour(config)#config syslog enable
Successfully changed syslog service to enable
命令功能 配置所要记录日志信息的最低级别。
命令模式 配置模式
参数说明 参数 说明
<0-7> 日志信息级别
4-3
第 4 章 日志管理
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 启用/禁用
默认状态 启用。
命令功能 打开或关闭终端显示日志信息的功能。
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 打开或关闭
使用指导 该命令对所有终端起作用。
配置实例 允许日志信息输出到所有用户终端:
Harbour(config)#config syslog monitor-terminal enable
Successfully changed syslog service logto monitor-terminal to enable.
命令功能 打开或关闭日志信息保存到日志服务器的功能。
4-4
第 4 章 日志管理
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 打开或关闭
使用指导 在配置之前,保证日志服务器服务程序已启动。
配置实例 允许日志保存到日志服务器:
Harbour(config)#config syslog server enable
Successfully changed syslog service logto server enable.
Warning: Syslog server config is empty.Please add syslog server.
命令功能 配置日志管理是否对某一类型的日志信息进行记录。
命令模式 配置模式
参数说明 参数 说明
name 系统中支持的日志类型
all 支持的所有日志类型
4-5
第 4 章 日志管理
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 虚拟源IP地址
auto 自动产生虚拟源IP地址
monitor [on|off]
命令格式
命令功能 打开或关闭在本终端显示日志信息的功能。
命令模式 配置模式
参数说明 参数 说明
[on|off] 打开或关闭
使用指导 该命令只对本终端起作用。
配置实例 允许日志信息输出到本终端:
Harbour(config)#monitor on
Successfully changed your terminal display syslog messages.
命令功能 决定在本终端输出某一级别和某一级别以上的日志信息。
命令模式 配置模式
参数说明 参数 说明
<0-7> 日志信息级别
EMERG,ALERT,CRITERR,CRIT,ERR,WARNING,NOTICE,INFO,
DEBUG。
命令功能 决定是否在本终端输出时间信息。
命令模式 配置模式
参数说明 参数 说明
none 不输出时间信息
time 输出时间信息
datetime 输出日期和时间信息
命令功能 配置在终端可以显示的日志信息类型。
命令模式 配置模式
参数说明 参数 说明
<typename> 日志信息类型
all 所有日志类型
[on|off] 是否显示
使用指导 该命令只对本终端起作用。目前支持的类型有:AUTH,BGP,CLI,
SYSLOG,DEVCTRL,ARP,DOT1X,NAS,OSPF,PORT,FDB,
RADIUS,RIP,ROUTE,SNMP,STP,SYSTEM,VLAN,WEB,SERVICE,
DHCPR 等。
4-7
第 4 章 日志管理
配置实例 在本终端输出所有类型的日志信息:
Harbour(config)#monitor type all on
Successfully changed to display all messages.
命令功能 配置日志管理是否对命令行操作行为进行日志记录。
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 是否进行日志记录
配置实例 允许对命令行操作行为记录日志信息:
Harbour(config)#record command-line enable
Successfully changed syslog record CLI to enable.
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 打开或关闭
4-8
第 4 章 日志管理
命令功能 查看本终端的日志显示属性的配置信息。
命令模式 配置模式
show syslog
命令格式
命令模式 只读模式
命令功能 显示日志管理的所有配置信息。
命令模式 配置模式
4-9
第 4 章 日志管理
-------------------------------------------------------
Syslog Service is up.
--Service Syslog logto flashfile is up.
--Service Syslog logto server is down.
Have no syslog server.
--Service Syslog logto monitor-terminal is up.
-------------------------------------------------------
--Log messages that not lower than level 4 [WARNING].
--Log these types messages:
--Not log these types messages:
:AUTH:BGP:CLI:SYSLOG:DEVCTRL:ARP:DOT1X:NAS:OSPF:PORT:FDB
:RADIUS:RIP:ROUTE:SNMP:STP:SYSTEM:VLAN:WEB:SERVICE:DHCPR
Record command-line is disabled
-------------------------------------------------------
命令模式 只读模式
4-10
第 5 章 配置 NMS
5 第5章 配置 NMS
5.1 概述
访问方式
交换机的访问方式包括远程登录(Telnet)和简单网络管理协议(SNMP)
。针对这
些访问方式,可以通过相应的访问控制命令进行配置,以加强对交换机访问控制的
管理。
访问控制组
5.2 配置NMS
5.2.1 配置NMS访问控制组
5-1
第 5 章 配置 NMS
进行访问控制。
对于 Telnet 和 SNMP 访问方式,配置 NMS 访问控制组的步骤相似,都是以访问控
制组为配置单位,配置访问控制方式、包含的 IP 地址和 IP 网段。
配置步骤
5.3 配置案例
案例描述
配置步骤
步骤1 打开访问控制的开关
Harbour(config)# config access-control on
步骤2 创建一个访问控制组group1
Harbour(config)# create nms-access-profile group1
步骤3 将访问控制组的Telnet开关设为允许访问
5-2
第 5 章 配置 NMS
步骤4 向访问控制组中添加地址网段,属于此网段的IP地址能够Telnet到交换机上
Harbour(config)# config nms-access-profile group1 add ipaddress
12.3.1.0/24
步骤5 想要修改刚才添加的网段,先从访问控制组中删去此网段
Harbour(config)# config nms-access-profile group1 delete ipaddress
12.3.1.0/24
步骤6 重新向访问控制组中添加地址网段
Harbour(config)# config nms-access-profile group1 add ipaddress
12.4.1.0/24
步骤7 查看配置结果
Harbour(config)# show nms-access-profile
5.4 命令参考
命令功能 打开或关闭访问控制。
命令模式 配置模式
参数说明 参数 说明
[telnet|snmp] 配置telnet或snmp的访问控制
[on|off] 打开或关闭
5-3
第 5 章 配置 NMS
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
<A.B.C.D/M> IP地址和子网掩码
<A.B.C.D> <A.B.C.D> IP地址和子网掩码
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
all 所有IP地址
<A.B.C.D/M> IP地址和子网掩码
<A.B.C.D> <A.B.C.D> IP地址和子网掩码
5-4
第 5 章 配置 NMS
<A.B.C.D> <A.B.C.D>
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
[enable|disable] 允许或禁止
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
[enable|disable] 允许或禁止
5-5
第 5 章 配置 NMS
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
delete nms-access-profile
相关命令
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
create nms-access-profile
相关命令
命令功能 查看访问控制功能是否打开。
5-6
第 5 章 配置 NMS
命令模式 配置模式
参数说明 参数 说明
[telnet|snmp] 查看telnet或snmp的访问控制
配置实例 查看所有的访问控制:
Harbour(config)#show access-control
Telnet access-control is : on
SNMP access-control is : on
命令功能 查看访问控制组的配置情况。
命令模式 配置模式
参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
5-7
第 6 章 配置 SNMP
6 第6章 配置 SNMP
6.1 概述
6.1.1 SNMP概述
随着网络技术的飞速发展,网络的数量也越来越多,而网络中的设备来自各个不同
的厂家,如何管理这些设备就变得非常重要。SNMP 就是基于这种需要而产生的。
SNMP(Simple Network Management Protocol,简单网络管理协议)是目前在数
据通讯网中使用得最广泛的网络管理协议,也是被广泛接受和实际使用的工业标准。
它的设计目标是使管理信息能在网络任意两点间传送,使网络管理员可以在网络中
的任何节点检索信息、修改配制、查找故障、诊断故障、规划流量及生成报告。它
采用轮询机制,提供最基本的功能集。SNMP 是一个应用层协议,在传输层采用
UDP 协议。
基于 TCP/IP 的网络管理分成 2 个进程:
用户使用的网络管理站,也叫管理进程;
被管设备端和管理相关的软件叫作代理程序(Agent)或代理进程。
基于 TCP/IP 的网络管理包含 3 个组成部分:
一个管理信息库 MIB(Management Information Base),管理信息库里包含所有
代理进程(SNMP Agent)的所有可以被查询和修改的参数;
关于 MIB 的一套共用的结构和表示符号;
管理进程和代理进程之间的通讯协议,叫作简单网络管理协议 SNMP(Simple
Network Management Protocol),SNMP 中使用 UDP 来进行管理进程和代理
进程之间的通讯。
SNMP 协议 v1 版本定义了 5 种报文:
get-request
get-next-request
set-request
get-response
6-1
第 6 章 配置 SNMP
6.1.2 RMON概述
6.2 命令参考
6-2
第 6 章 配置 SNMP
命令模式 配置模式
参数说明 参数 说明 缺省配置
[readonly|readwrite] 读确认/读写确认字符串 ——
<string> 字符串值 readonly:public;
readwrite:private
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 打开或关闭
6-3
第 6 章 配置 SNMP
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> traprceiver的IP地址
v1/v2c trap的两个版本
<string> community字符串
命令模式 配置模式
show service
相关命令
6-4
第 6 章 配置 SNMP
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 打开或关闭
命令模式 配置模式
参数说明 参数 说明
hlink 对H.Link模块的代理发送trap功能进行控制
spanning-tree 对stp和rstp模块的代理发送trap功能进行控制
maclimit MAC Limit执行惩罚的同时,向网关服务器发送Trap
loop-detect 对loop-detect模块的代理发送trap功能进行控制
multicast-limit 组播抑制功能的同时,向网关服务器发送Trap
on 允许代理发送trap报文功能
off 禁止代理发送trap报文功能
6-5
第 6 章 配置 SNMP
命令模式 配置模式
命令模式 配置模式
命令模式 配置模式
6-6
第 6 章 配置 SNMP
命令功能 网管设置用户对端口速度的配置。
命令模式 配置模式
参数说明 参数 说明
<portno> 端口号
<1-1000000000> 端口速率,单位:bps
auto 缺省状态,代表ifspeed的配置无效,可以用来取消配置
命令模式 配置模式
参数说明 参数 说明
<portno> 端口号
6-7
第 7 章 配置端口
7 第7章 配置端口
7.1 配置端口
7.1.1 配置端口基本参数
配置端口基本参数的常用命令如下:
config port 使能或关闭指定的端口
config port auto 配置端口的自适应模式
config port description 配置端口的端口描述
config port speed 配置端口的速率
config port mode 配置千兆电口的主从模式
config port duplex 配置端口的双工模式
config port flowcontrol 配置端口的流控
config port flowrate 配置端口的收发包速率
config port learn 配置端口的地址学习功能
config port snmp trap 配置端口的link trap功能
loopback port 配置端口自环测试
7.1.2 配置案例
案例描述
关闭端口 3 和 4 的自适应功能,并设置端口的速度为 10Mbps,双工模式为半双工,
同时使能端口的地址学习功能。
7-1
第 7 章 配置端口
配置步骤
步骤1 关闭端口3和4的自适应功能
Harbour(config)#config port 3,4 auto off
步骤2 设置端口3和4的速度为10Mbps
Harbour(config)#config port 3,4 speed 10
步骤3 设置端口3和4的双工模式为半双工
Harbour(config)#config port 3,4 duplex half
步骤4 使能端口的地址学习功能
Harbour(config)#config port 3,4 learn on
步骤5 查看端口3的配置情况
Harbour(config)#show port 3
-------------------------------------------------------------
Port:3's Configuration Information
7.2 配置端口镜像
7.2.1 概述
端口镜像通过将一个或多个端口的数据复制到指定的端口上来实现网络流量分析和
错误诊断。端口镜像基于如下规则:
在一个设备中,只能将一个端口作为镜像的目标端口。
可以将多个端口镜像到一个端口。
可以分别设置镜像端口的发包或者收包。
7.2.2 配置案例
7-2
第 7 章 配置端口
步骤3 镜像源端口25-30的接收包
Harbour(config)#config mirroring 1 add port 25-30 ingress
步骤4 显示端口镜像信息
Harbour(config)#show mirroring
Mirroring information:
The port which mirror to : 5
The ports which egress traffic mirror from : 6 7 8 9 10 11 12
The ports which ingress traffic mirror from : 25 26 27 28 29 30
7.3 配置安全端口
7.3.1 概述
可以对端口的访问使能进行控制,使得端口可以按要求被配置在某个范围内允许使
用,从而达到端口安全的目的。端口安全功能基于如下规则:
1. 每个端口既可以工作在安全模式又可以工作在非安全模式,可以在两种模式之
间进行任意的切换。
2. 端口既可以允许所有的地址使用(此时工作在非安全模式,此模式也是端口的
缺省模式),也可以允许部分或不允许部分地址进行使用。当然,如果需要的话也可
配置为所有的地址都不能使用。
3. 对于用户配置的静态 FDB 地址,无论端口是在安全或非安全模式,这些静态的
FDB 地址在对应的端口上都可以进行访问。也就是说,只要用户配置了某个端口的
静态 FDB,在该端口的地址就可以正常工作。
4. 端口安全不能使用在端口学习状态关闭的情况下。
实现机制
控制端口的访问是通过设置端口的学习位来实现的,即禁止端口的硬件地址学习能
力,同时将需要进行源地址学习的包送往 CPU,由软件处理该地址学习与否,从而
达到基于包的源 MAC 地址控制端口转发。如果该端口允许该 MAC 地址的包访问就
由软件设置软/硬件二层转发表,反之则不设置。
7.3.2 配置案例
案例描述
配置端口 default vlan 中的 2/3 为安全端口,允许 MAC 地址为 001122334455 和
7-3
第 7 章 配置端口
001122334466 的用户访问网络资源。
配置步骤
步骤1 创建地址组
Harbour(config)# create macgroup mg1
步骤2 向地址组中添加MAC地址001122334455 和001122334466
Harbour(config)# config macgroup mg1 add 001122334455
Harbour(config)# config macgroup mg1 add 001122334466
步骤3 查看MAC地址组的信息:包括地址组的名称、所有的地址、与其进行连接的
所有的端口。不输入地址组的名称将显示所有地址组的信息。
Harbour(config)# show macgroup
7.4.1 概述
创建多端口负载均衡组(Load Sharing)可以提升交换机之间的带宽,增加冗余备
份功能。Load Sharing 把多个物理端口捆绑在一起当作一个逻辑端口来使用。例如
在 VLAN 中所看到的 Load Sharing 就是一个逻辑端口。如果 Load Sharing 中的一
个端口发生堵塞或故障,那么数据包会被分配到该 Load Sharing 中的其他端口进行
传输。如果这个坏掉的端口恢复正常,那么数据包将分配到该 Load Sharing 中的所
有端口进行传输,从而提升交换机之间的带宽。当一台交换机的两个以上端口要同
时向相邻的交换机发送数据时,创建 Load Sharing 非常有助于提高传输速度。同时,
Load Sharing 对客户间的数据包的顺序提供了保障。
7-4
第 7 章 配置端口
7.4.3 配置案例
7-5
第 7 章 配置端口
Sharing information:
Master Port: 12 Group Ports: 10 11 12 13 14
Forwarding Port Selecting Mode : Source mac and Destination mac
address
在实际组网中,主端口会随实际物理网络连接状态的变化而改变。创建了 Load
Sharing 后,在配置 VLAN 或 STP 时将该 Load Sharing 作为一个逻辑端口使用,
使用当前状态下该 Load Sharing 逻辑上的主端口(如上例中的端口 12 代表整个
Load Sharing 组中的所有端口)指定该 Load Sharing。进行 VLAN 配置时,对该主
端口的操作等同于对该 Load Sharing 组中的所有端口操作,并且将不能再对 Load
Sharing 中的其他非主端口的端口进行操作。这样,通过对主端口的配置就可以完
成对 Load Sharing 中所有端口的配置。
例如:关闭 Load Sharing 组中的端口 10,11,12,13,14:
配置步骤
步骤1 定义Load Sharing组,包含端口10-14,并以端口12为逻辑上的主端口
Harbour(config)#create sharing 12 grouping 10-14
步骤2 关闭Load Sharing组中的端口10,11,12,13,14
Harbour(config)#config port 12 disable
7.5 下行环路检测
7.5.1 概述
7-6
第 7 章 配置端口
检测后,如果端口下游存在环路,该端口被关闭。在人工检查并排除端口下游的环
路后,要使端口恢复正常,请先 disable 该端口,再 enable 该端口。
7.5.2 配置案例
假设端口 22 的下游存在环路。在使能端口环路检测功能之前,可以看到该端口的
Port State 为 Enabled。使能端口环路检测功能之后再查看端口 22 的信息,可以看
到该端口的 Port State 为 Disabled(self_looped)。
配置步骤
步骤1 查看端口22的信息
Harbour(config)#show port 22
--------------------------------------------------------------
Port:22 's Configuration Information
--------------------------------------------------------------
Port:22 's Configuration Information
7-7
第 7 章 配置端口
7.6 广播包抑制
广播包抑制(Boradcast Limit)功能可以有效地控制端口每秒收到的广播包数量,
有效地防止广播攻击。
7.6.1 配置案例
State Value
_ _ _ _ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _
enable 4096
7.7 端口组播智能抑制
在缺省状态下,端口组播智能抑制功能是关闭的。使能端口组播智能抑制功能后,
可以配置组播抑制的阈值以及组播速率超过阈值的行为。
配置案例
步骤1 使能端口组播智能抑制功能
Harbour(config)# config multicast limit enable
步骤2 配置组播抑制的阈值
Harbour(config)# config multicast limit 4000
步骤3 配置组播速率超过阈值的行为:向网管发警告,不关闭该端口
Harbour(config)# config multicast limit snmp-trap on disable-port
on
步骤4 配置组播抑制的端口统计抽样间隔和样本大小
Harbour(config)# config multicast limit sample interval 10 number
40
7-8
第 7 章 配置端口
7.8 端口监视
为了应付网络上出现大量的攻击报文,可以采取关掉端口的方法,使交换机在有攻
击报文进入的端口暂时不接收报文,这样可以避免网络的攻击。端口监视就是实现
这一目的的。端口监视包括端口监视抑制和端口监视镜像。端口监视抑制主要依据
端口广播报文的数量或端口的流量来判断是否关闭端口。端口监视镜像主要依据端
口广播报文的数量或端口的流量来判断是否把端口镜像到第三方所连接的端口,镜
像过去之后,经过第三方的分析,判断是否有非法数据流,进而决定关闭受攻击的
端口。
可以配置交换机的端口加入端口监视镜像或监视抑制的功能
中,但同一时刻一个端口只能选取一个功能。
注意
7.8.1 端口监视镜像
默认情况下,端口监视镜像功能是关闭的。
端口监视镜像和端口镜像(mirror to)不能同时启动。
注意
配置步骤
步骤1 config port-monitor mirror 使能端口监视镜像功能
步骤2 config port-monitor add port bcast 增加监视广播包的端口
步骤3 config port-monitor add port all 增加监视所有类型包流量的端口
步骤4 show port-monitor states 显示端口监视信息
7.8.2 端口监视抑制
默认情况下,端口监视抑制功能是关闭的。
7-9
第 7 章 配置端口
diable 的端口不能启动端口监视抑制功能。
注意
配置步骤
步骤1 config port-monitor restrain 使能端口监视抑制端口功能
步骤2 config port-monitor add port bcast 增加监视广播包的端口
步骤3 config port-monitor add port all 增加监视所有类型包流量的端口
步骤4 show port-monitor states 显示端口监视信息
7.9 命令参考
命令功能 配置端口的广播包接收数量上限。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<1-262143> 广播包接收数量上限 4096
使用指导 配置每个端口每秒最多可接收的广播包数量,超过此值的广播包将被丢弃。
命令功能 使能/关闭广播包抑制功能。
7-10
第 7 章 配置端口
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 使能/关闭
config broadcast_limit
相关命令
show broadcast_limit
命令功能 使能端口环路检测。
关闭端口环路检测。
命令模式 配置模式
config port
相关命令
show port
命令功能 向地址组中添加/删除地址。
命令模式 配置模式
参数说明 参数 说明
<name> 地址组的名称
[add|delete] 添加/删除地址
<mac> 要添加的地址
使用指导 操作的地址不能是多播或广播地址,只能是单播地址。向地址组中添加地
址的数量上限是 1024,但一个地址组中不能有相同的地址存在。地址的输
7-11
第 7 章 配置端口
入格式为 12 个数字或字母的组合。
命令功能 配置镜像目标端口。
取消端口镜像。
命令模式 配置模式
参数说明 参数 说明
<mirrornum> 镜像配置索引号
<port> 镜像目标端口
使用指导 交换机的任何一个端口都可以作为一个目标端口。被设置为镜像目标端口
的端口不能再被设置成镜像源端口。
show mirroring
相关命令
命令功能 配置镜像源端口组的发包和收包。
命令模式 配置模式
参数说明 参数 说明
<mirrornum> 镜像组的索引号
[add|delete] 镜像组添加/删除源端口
<portlist> 参与镜像的源端口
all 所有源端口参与镜像
[egress|ingress] 镜像源端口的发送/接收包
7-12
第 7 章 配置端口
命令功能 配置组播速率的阈值。
命令模式 配置模式
参数说明 参数 说明
<0-262143> 组播速率的阈值范围,0为不报警
使用指导 组播速率的阈值是硬件丢弃包和软件报警的极限值。
命令功能 使能或关闭端口组播智能抑制功能。
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 使能或关闭
默认状态 端口组播智能抑制功能默认关闭。
7-13
第 7 章 配置端口
命令功能 配置组播抑制的端口统计抽样间隔和样本大小。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<5-60> 抽样间隔,单位:秒 5
<1-120> 样本大小,单位:次 60
命令功能 配置组播速率超过阈值的行为。
命令模式 配置模式
参数说明 参数 说明
snmp-trap [on|off] 是否向网管发警告信息
disable-port [on|off] 是否关闭该端口
drop-packet[on|off] 是否丢弃后续入端口的组播报文
默认状态 缺省状态下,组播速率超过阈值的行为只是硬件的丢弃数据包行为。
配置实例 配置组播超过阈值时候的行为是向网管发警告,不关闭该端口:
Harbour(config)# config multicast limit snmp-trap on disable-port on
7-14
第 7 章 配置端口
命令功能 使能或关闭指定的端口。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[enable|disable] 使能或关闭
默认状态 缺省情况下,端口都是使能的。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
[add|delete] 增加/删除
<.vlanlist> 一个或多个VLAN,参数为可包
含空格的字符串
命令功能 配置端口工作在安全或非安全模式。
命令模式 配置模式
参数说明 参数 说明
7-15
第 7 章 配置端口
使用指导 端口工作在非安全模式时,与端口安全相关的配置将不起作用,只有端口
工作在安全模式这些配置才起作用。可以通过 config port secure
[permit|deny]命令在端口的安全模式之间进行切换。
命令功能 配置端口的自适应模式。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或关闭
命令模式 配置模式
7-16
第 7 章 配置端口
参数说明 参数 说明
<portlist>|all 指定端口或所有端口
[receive|discard] 接收或丢弃
show port
相关命令
命令功能 配置端口的端口描述。
清除端口的端口描述。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
<description> 端口描述
7-17
第 7 章 配置端口
清除端口 1 的端口描述:
Harbour(config)#config port 1 description clear
命令功能 配置端口的双工模式。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[full|half] 端口设置为全双工/半双工模式
使用指导 关闭端口的自适应模式后才可以进行端口双工模式的配置。
命令功能 使能或关闭端口的流量控制功能。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或关闭
7-18
第 7 章 配置端口
配置实例 使能所有端口的流量控制:
Harbour(config)# config port all flowcontrol on
命令功能 配置端口的收发包速率
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[enable|disable] 使能或关闭
命令功能 使能或关闭端口的地址学习功能。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或关闭
7-19
第 7 章 配置端口
命令功能 配置千兆电口的主从模式。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[master|slave] 端口设置成主/从模式
命令功能 配置地址组与安全端口关联。
命令模式 配置模式
参数说明 参数 说明
[<portlist>|all] 端口列表 / 所有端口
[add|delete] 关联或取消关联
[<macfiltername>|all] 地址组的名称 / 所有地址组
使用指导 将地址组与安全端口进行关联就可以结合地址组中的地址和安全端口的状
态进行安全的控制。注意:如果此端口当前为非安全模式,执行该命令会
自动将端口设置为安全模式,如果端口已经是安全的则不会改变端口当前
的 permit/deny 状态控制。端口与地址组之间是多对多的关系。也就是说,
7-20
第 7 章 配置端口
一个端口可以关联多个地址组,一个地址组也可以关联多个端口。
命令功能 配置端口在安全模式下的状态控制。
命令模式 配置模式
参数说明 参数 说明
[<portlist>|all] 端口列表 / 所有端口
[permit|deny] 允许 / 禁止
使用指导 端口工作在安全模式时,可以有两种控制状态:permit/deny。
1、如果选择 permit,则所有与端口相连的地址组中的地址在此端口上将可
以进行访问。注意:如果此端口没有与任何的地址组相连,则此时此端口
将禁止所有的地址进行访问(如果配置了静态的 FDB 除外)。
2、如果选择 deny,则所有与端口相连的地址组中的地址将被禁止在此端
口上进行访问。如果此端口没有与任何的地址组相连,则所有的地址在此
端口上都可以进行访问。如果此端口当前为非安全模式,执行该命令会自
动将端口设置为安全模式。
命令功能 配置端口的速率。
7-21
第 7 章 配置端口
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[10|100|1000] 端口速率设置为10M/100M/1000M模式
使用指导 关闭端口的自适应模式后才可以进行端口速率的配置。
FlexHammer5010 以太网电口的速率只能是 10/100M,不可以配置为
1000M。扩展模块中如果插入的是千兆光模块,则其端口速度也不可以配
置;如果是千兆电口模块,可以配置相应端口速率为 1000M 模式,但必须
指明端口的主从关系,参见命令 config port mode。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[enable|disable] 发送/不发送trap报文
7-22
第 7 章 配置端口
命令功能 配置端口参与端口监视功能,监视所有包的流量值。
命令模式 配置模式
参数说明 参数 说明
<portlist> 指定加入端口监视的端口列表
<1-100> 指定监视端口包的流量阀值,当流入端口的包流量超
过这个数值自动启动端口监视功能,单位:Mbyte
[restrain|mirror] 指定具体加入哪一种监视功能
命令功能 配置端口参与端口监视功能,监视广播包。
命令模式 配置模式
参数说明 参数 说明
<portlist> 指定加入端口监视的端口列表
<500-65535> 指定监视端口广播包的个数阀值,当流入端口的广播
包的个数超过这个数值自动启动端口监视功能
[restrain|mirror] 指定具体加入哪一种监视功能
命令功能 配置端口退出端口监视镜像/抑制端口功能。
命令模式 配置模式
参数说明 参数 说明
7-23
第 7 章 配置端口
<portlist> 指定退出端口监视的端口列表
[restrain|mirror] 指定哪一种监视功能
命令功能 使能端口监视镜像功能。
关闭端口监视镜像功能,删除已经加入到端口监视镜像中的端口。
命令模式 配置模式
参数说明 参数 说明
<portno> 连接第三方的镜像端口
<1-10> 检测启动端口监视镜像的端口的时间间隔,单位:秒
<0-3600> 端口镜像后恢复到初始状态的时间值,单位:秒,0表示
时间无限长,永远不恢复起始状态
命令功能 使能端口监视抑制端口功能。
关闭端口监视抑制端口功能,删除已经加入到端口监视抑制端口的端口。
命令模式 配置模式
参数说明 参数 说明
<1-10> 检测启动端口监视抑制的端口的时间间隔,单位:秒
<0-3600> 端口抑制后恢复到初始状态的时间值,单位:秒,0表示时
间无限长,永远不恢复起始状态
7-24
第 7 章 配置端口
命令模式 配置模式
参数说明 参数 说明
<master_portno> Load Sharing组的主端口号
<rtag> 端口的转发模式
使用指导 端口的转发模式包括以下几种:
smac: 基于源 MAC 地址负载均衡模式
dmac: 基于目的 MAC 地址负载均衡模式
sdmac: 基于源和目的 MAC 地址负载均衡模式
slip: 基于源 IP 地址负载均衡模式
dip: 基于目的 IP 地址负载均衡模式
sdip: 基于源和目的 IP 地址负载均衡模式
show sharing
相关命令
命令功能 创建地址组。
命令模式 配置模式
参数说明 参数 说明
<name> 地址组的名称
使用指导 地址组用于将一些地址汇集到一起,然后可以将这些地址组与端口进行相
连,从而可以进行端口的安全控制。地址组的名称只能由数字或字母组成,
并且必须以字母开头,长度不能超过 30。系统共允许创建 256 个地址组。
7-25
第 7 章 配置端口
命令模式 配置模式
参数说明 参数 说明
<master_portno> 创建的Load Sharing组的主端口号
<portlist> 与该Load Sharing相关的端口列表
delete sharing
相关命令
命令功能 删除已经配置的地址组。
命令模式 配置模式
参数说明 参数 说明
<name> 地址组的名称
all 所有地址组
create macgroup
相关命令
7-26
第 7 章 配置端口
命令模式 配置模式
参数说明 参数 说明
<master_portno> 要删除的Load Sharing组的主端口号
create sharing
相关命令
命令功能 配置端口自环测试。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
internal 内环测试,不需要自环头
external 外环测试,需要插上自环头
detail 输出自环测试过程信息
使用指导 此功能是可选功能。可以选择内环和外环两种的测试方式,对于外环测试
必须插上自环头。对于信息打印的输出可以选择 detail 模式,此时输出测
试过程信息;如不选择则只简单的输出测试结果。如需要查看更加详细的
信息,可以打开 monitor。
扩展卡上的端口不支持端口自环测试。
注意
show broadcast_limit
命令格式
命令功能 显示广播包抑制功能的配置状态。
命令模式 配置模式
7-27
第 7 章 配置端口
State Value
_ _ _ _ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _
enable 10000
config broadcast_limit
相关命令
config broadcast_limit [enable|disable]
show linkinfo
命令格式
命令模式 配置模式
命令功能 显示地址组信息。
命令模式 配置模式
参数说明 参数 说明
<name> 地址组的名称
使用指导 显示地址组的信息:包括地址组的名称、所有的地址、与其进行连接的所
有的端口。不输入地址组的名称将显示所有地址组的信息。
7-28
第 7 章 配置端口
show mirroring
命令格式
命令功能 显示端口镜像信息。
命令模式 配置模式
config mirroring
相关命令
命令功能 显示每个端口的安全信息。
命令模式 配置模式
参数说明 参数 说明
[<portlist>|all] 端口的列表 / 所有端口
使用指导 显示每个端口是安全/非安全模式,如果是安全模式显示与其相关联的所有
的地址组的名称,是 permit 还是 deny 控制状态;此端口所属的地址组是
否是安全的;地址组的地址学习的使能控制。
命令功能 显示端口的信息。
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
7-29
第 7 章 配置端口
all 所有端口
configuration 显示端口配置信息
stats 显示端口流量统计信息
命令模式 配置模式
命令功能 显示端口监视的配置信息。
命令模式 配置模式
7-30
第 7 章 配置端口
enable--
show sharing
命令格式
命令模式 配置模式
Harbour(config)#show sharing
配置实例
7-31
第 8 章 配置 FDB
8 第8章 配置 FDB
8.1 概述
8-1
第 8 章 配置 FDB
动态地址表项
固定地址表项
永久地址表项
8.2 配置FDB
8.2.1 缺省配置信息
关于 FDB 的缺省设置信息如以下表格所示:
8-2
第 8 章 配置 FDB
8.2.2 配置静态FDB
配置步骤
8.2.3 MAC地址绑定
出于网络安全考虑,需要对接入用户进行控制,通过对交换机建立静态 FDB 实现
MAC 地址绑定,可以防止地址假冒。实现 MAC 地址绑定前,需要首先关闭交换机
端口的地址学习功能,然后通过为该端口绑定一个静态 MAC 地址。这样,凡是来
自该 MAC 地址的报文将允许通过,而来自其他陌生 MAC 地址的报文均被丢弃,从
而限制了在该端口上允许通过的 MAC 地址。
设置 MAC 地址绑定的步骤如下:
配置步骤
8-3
第 8 章 配置 FDB
8.2.4 配置老化时间
配置 FDB 表老化时间
老化时间为 0 表示地址表项永远不老化。
8.2.5 配置静态组播FDB
配置步骤
8.3 命令参考
命令模式 配置模式
参数说明 参数 说明 缺省配置
[0|<10-1000000>] 老化时间,单位是秒 80秒
8-4
第 8 章 配置 FDB
命令模式 配置模式
参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN的名称
<portlist> 端口号
<0-7> 优先级
delete fdbentry
相关命令
命令模式 配置模式
参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN名
<portlist> 端口列表
8-5
第 8 章 配置 FDB
命令模式 配置模式
参数说明 参数 说明
<mac_address> 要删除的设备MAC地址
<name> 要删除的设备所属的VLAN名称
使用指导 不输入参数时删除所有的动态地址表项。
create fdbentry
相关命令
命令模式 配置模式
参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN名
8-6
第 8 章 配置 FDB
命令模式 只读模式和配置模式
参数说明 参数 说明
<macaddr> MAC地址
<name> VLAN名
Harbour(config)#show fdb
配置实例 ------- Begin of MAC Address Table Information (all)-------
create fdbentry
相关命令
命令模式 只读模式和配置模式
参数说明 参数 说明
<macaddr> MAC地址
<name> VLAN名
8-7
第 8 章 配置 FDB
create fdbentry
相关命令
命令模式 配置模式
命令模式 配置模式
8-8
第 8 章 配置 FDB
参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN名
8-9
第 9 章 配置 VLAN
9 第9章 配置 VLAN
9.1 VLAN概述
简单地讲,VLAN 是指那些看起来好像在同一个物理局域网中能够相互通信的设备
的集合。对于以端口划分的 VLAN 而言,任何一个端口的集合(甚至交换机上的所
有端口)都可以被看作是一个 VLAN。VLAN 的划分不受硬件设备物理连接的限制,
用户可以通过命令灵活地划分端口,创建定义 VLAN。使用 VLAN 的优点如下:
VLAN 能帮助控制流量
在传统网络中,不管是否必要,大量广播数据被直接送往所有网络设备,从而导致
网络堵塞。而 VLAN 的设置能够使每个 VLAN 只包含那些必须相互通信的设备,从
而减少广播、提高网络效率。
VLAN 提供更高的安全性
每个 VLAN 中的设备只能与本 VLAN 中的设备通信。例如,如果 VLAN Market 的
设备要和 VLAN Sales 的设备通信,则只有通过路由器才能进行,在没有三层路由
设备的情况下两个部门不能直接通信,从而提高了网络安全性能。
VLAN 使网络设备的变更和移动更加方便
在传统网络中,网络管理员不得不在网络设备的变更和移动上花费大量的时间和精
力。如果用户移动到另一个不同的子网,那么每个终端的地址都得重新设置。而使
用 VLAN 则不需要这些复杂繁琐的设置。
9.1.1 VLAN的分类
用户可以根据以下标准创建 VLAN:
物理端口
802.1Q tag
以上标准的组合
9-1
第 9 章 配置 VLAN
1. 以端口划分的 VLAN
2. 以标签划分的 VLAN
4. 指定 VLAN 标签
9-2
第 9 章 配置 VLAN
置情况决定加上或者去掉数据包中的标签。
9-3
第 9 章 配置 VLAN
9.1.2 配置VLAN的有关规则
1. 缺省 VLAN
2. VLAN 的名字
9-4
第 9 章 配置 VLAN
9.2 配置VLAN
9.2.1 配置步骤
配置 VLAN 包括以下步骤:
配置步骤
步骤1 create vlan <name> 创建VLAN并给该VLAN取名
步骤2 config vlan <name> tag <1-4094> 给VLAN指定一个Tag,或者使用创建
时系统分配的Tag
步骤3 config vlan <name> ipaddress 如果需要的话给该VLAN分配IP地址和
<A.B.C.D/M> 子网掩码
步骤4 config vlan <name> [add|delete] 在VLAN中加入端口,可以指定是否使
port <portlist> [tagged|untagged] 用802.1Q tag
步骤5 show vlan {<name>}*1 查看VLAN配置信息
9.2.2 配置案例
案例描述
在交换机上创建一个名为 development 的 VLAN,给该 VLAN 分配 IP 地址
202.106.15.3 和子网掩码 255.255.255.0,然后加入端口 3,6,17-20,并指定端
口为 untagged 模式。
配置步骤
步骤1 创建一个VLAN,名称为development
Harbour(config)#create vlan development
步骤2 给该VLAN分配IP地址192.168.0.232/24
Harbour(config)# config vlan development ipaddress
192.168.0.232/24
步骤3 分配给该VLAN的VLANID是128
Harbour(config)#config vlan development tag 128
步骤4 给该VLAN加入端口3,6,17-20,并指定端口为untagged模式
Harbour(config)#config vlan development add port 3,6,17-20 untagged
步骤5 查看VLAN的配置信息
Harbour(config)#show vlan development
9-5
第 9 章 配置 VLAN
VLAN ID : 128
Name : development
IP Address : 192.168.0.232/24
MAC address : 00:45:32:65:98:72
Tagged Ports :
Untagged Ports : 3 6 17 18 19 20
VLAN ID : 128
Name : development
MAC address : 00:45:32:65:98:72
Tagged Ports : 3
Untagged Ports : 6 17 18 19 20
9.3 VLAN端口隔离
9.3.1 概述
9.3.2 配置案例
案例描述
端口 1 为 vlan iso_vlan 的上行端口,vlan iso_vlan 的其他成员端口 2、3 之间不能
访问,只能各自与上行口通信。
9-6
第 9 章 配置 VLAN
配置步骤
步骤1 创建一个VLAN,名称为development
Harbour(config)#create vlan iso_vlan
步骤2 给该VLAN加入端口3,6,17-20,并指定端口为untagged模式
Harbour(config)#config vlan iso_vlan add port 1,2,3 untagged
步骤3 配置端口1为vlan iso_vlan的上行端口
Harbour(config)#config vlan iso_vlan uplink_port 1
步骤4 查看VLAN的配置信息
Harbour(config)#show vlan iso_vlan
VLAN ID : 2046
Name : iso_vlan
VLAN Type : Normal
MAC address : 00:05:3b:80:00:01
Uplink Port : 1
Tagged Ports :
Untagged Ports : 1 2 3
9.4 配置VLAN子接口
9.4.1 概述
9-7
第 9 章 配置 VLAN
9.4.2 配置案例
案例描述
在 VLAN default 上创建子接口 default_1。
配置步骤
步骤1 在VLAN default上创建一个名称为default_1的子接口
Harbour(config)# create sub-interface default_1 vlan default
步骤2 给子接口default_1配置IP地址1.1.1.1/24:
Harbour(config)# config sub-interface default_1 ipaddress
1.1.1.1/24
步骤3 显示VLAN default上配置的子接口
Harbour(config)#show sub-interface default
9-8
第 9 章 配置 VLAN
VLAN ID : 2046
Name : super1
VLAN Type : Super-VLAN
Mac address : 00:05:3b:58:00:a0
Sub-vlan list : sub1
Tagged Ports :
Untagged Ports :
VLAN ID : 2045
Name : sub1
VLAN Type : Sub-VLAN
Mac address : 00:05:3b:58:00:a0
Parent VLAN : super1
Tagged Ports :
Untagged Ports :
----------------------------------
Total vlans : 3
9-9
第 9 章 配置 VLAN
往 H2 的数据报发送给代理网关;代理网关收到发往 H2 的数据报后,根据转发表中
的信息将数据报转发给 H2。这样,通过代理 ARP 的实现,不同广播域的主机 H1
和主机 H2 之间的通信看上去就象在同一广播域内通信。
如果出于安全考虑,要禁止某 SubVLAN 同其他 SubVLAN 通信,可以关闭该
SubVLAN 的 ProxyARP 功能。
配置案例
步骤1 打开Sub VLAN sub1的ARP代理功能
Harbour(config)#config proxyarp subvlan sub1 enable
步骤2 配置ARP代理的搜索时间间隔
Harbour(config)#config proxyarp searchtime 120
Now search List aging time is 120(s)
步骤3 配置ARP代理的老化时间
Harbour(config)#config proxyarp agetime 300
步骤4 显示Sub VLAN sub1的ARP代理设置
Harbour(config)#show proxyarp subvlan sub1
在如下图所示的网络拓扑中,存在如下需求:
隔离二层的所有流量,全部通过三层设备完成用户间通信
所有流量经过 L3 设备,便于管理,适用于计费、网络监控等应用
9-10
第 9 章 配置 VLAN
用较便宜的二层交换机实现端口隔离,用贵一些的三层设备进行转发
L2 设备下面,condominium 里面可能会还有 L3 设备,该 L3 设备和 L2 设备之
下的其他设备的通信也需要集中到 L3 设备上去
为满足以上需求,系统支持 Local Proxy ARP 功能。Local Proxy ARP 基于接口实
现,侦听子网内的所有 ARP 请求,用三层设备的主机路由表项支持用户间的通信。
L2 sw Room1_1
Isolated
IP Phone
Data End Station
L2 switch
.
. Room1_2
L3 switch
. IP Phone
Data End Station
Condominium 1
Condominium 2
Condominium n
Requirement added by us
L3 switch
9.8 配置扩展ARP代理和直连路由
9-11
第 9 章 配置 VLAN
Vlan1 [network2]
Vlan2 [network3]
L3 switch
9-12
第 9 章 配置 VLAN
9.9 命令参考
命令模式 配置模式
参数说明 参数 说明
<vlanname> VLAN名称
[enable|disable] 打开或关闭
show ext-proxy-arp
相关命令 ip route <A.B.C.D/M> <interface_name>
命令模式 配置模式
9-13
第 9 章 配置 VLAN
参数说明 参数 说明
<vlanname> VLAN名称
[enable|disable] 打开或关闭
使用指导 该配置可以保存。
VLAN 必须配置了 IP 地址才能打开 local-proxy-arp,删除 VLAN 接口,该
功能会被关闭。打开该功能时关闭接口产生 redirect 报文的能力,关闭该
功能时也要恢复接口产生 redirect 报文的能力。
show local-proxy-arp
相关命令
命令模式 配置模式
参数说明 参数 说明
<vlanname> VLAN名称
show proxyarp
相关命令
命令模式 配置模式
参数说明 参数 说明
9-14
第 9 章 配置 VLAN
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 指定的IP地址
命令模式 配置模式
参数说明 参数 说明
<0-300> Proxy ARP的搜索时间间隔,单位:秒
9-15
第 9 章 配置 VLAN
命令模式 配置模式
参数说明 参数 说明
<subifname> 要配置的子接口的名称
<A.B.C.D/M> 要在子接口上配置的IP地址
<A.B.C.D> <A.B.C.D> 要在子接口上配置的IP地址
no sub-interface ipaddress
相关命令
show sub-interface
命令模式 配置模式
参数说明 参数 说明
<name> VLAN的名称
<portlist> 端口列表
tagged 向VLAN添加tagged端口
9-16 untagged 向VLAN添加untagged端口
第 9 章 配置 VLAN
untagged 向VLAN添加untagged端口
命令模式 配置模式
参数说明 参数 说明
第一个<name> Super VLAN的名称
第二个<name> Sub VLAN的名称
命令模式 配置模式
9-17
第 9 章 配置 VLAN
参数说明 参数 说明
<name> VLAN的名称
<A.B.C.D/M> VLAN配置的IP地址和子网掩码
<A.B.C.D> <A.B.C.D> VLAN配置的IP地址和子网掩码
no vlan ip
相关命令
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
<portno> 上行口端口号
no vlan uplink_port
相关命令
命令模式 配置模式
参数说明 参数 说明
<subifname> 要创建的子接口的名称
<vlanname> 子接口所在VLAN的名称
9-18
第 9 章 配置 VLAN
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
delete vlan
相关命令
命令模式 配置模式
参数说明 参数 说明
<subifname> 子接口的名称
<vlanname> 子接口所在VLAN的名称
9-19
第 9 章 配置 VLAN
命令功能 删除 VLAN。
命令模式 配置模式
参数说明 参数 说明
<name> 指定删除的VLAN
all 删除所有的VLAN(default除外)
create vlan
相关命令
命令功能 创建一条直连的接口路由。
删除一条直连的接口路由。
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D/M> 路由的目的IP
<interface_name> 下一跳接口名称
使用指导 指定的下一跳接口存在,才可以创建直连的接口路由。
config ext-proxy-arp
相关命令
9-20
第 9 章 配置 VLAN
命令模式 配置模式
参数说明 参数 说明
<subifname> 要配置的子接口的名称
9.9.18 no vlan ip
no vlan <name> ip
命令格式
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
命令模式 配置模式
9-21
第 9 章 配置 VLAN
参数说明 参数 说明
<name> VLAN名称
命令模式 配置模式
参数说明 参数 说明
<vlanname> VLAN名称
config ext-proxy-arp
相关命令
命令模式 配置模式
参数说明 参数 说明
<vlanname> VLAN名称
9-22
第 9 章 配置 VLAN
config local-proxy-arp
相关命令
命令模式 只读模式、配置模式
参数说明 参数 说明
<vlanname> VLAN名称
config proxyarp
相关命令
命令模式 只读模式、配置模式
参数说明 参数 说明
<A.B.C.D> 显示某一指定IP地址的ARP代理表项
9-23
第 9 章 配置 VLAN
命令模式 配置模式
参数说明 参数 说明
<name> 子接口所在的VLAN的名称
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
9-24
第 10 章 配置 STP/RSTP
10 第10章 配置 STP/RSTP
10.1 概述
10.2 设置STP模式
10.3 配置STP
10-1
第 10 章 配置 STP/RSTP
10.3.1 创建或删除STP
10.3.2 使能或关闭STP
10.3.3 使能或关闭指定STP的端口
10.3.4 配置STP的参数
10-2
第 10 章 配置 STP/RSTP
10.3.5 显示STP状态
10.4 配置RSTP
10.4.1 使能或者关闭RSTP
10.4.2 使能或者关闭端口的RSTP功能
10.4.3 配置RSTP参数
10-3
第 10 章 配置 STP/RSTP
另外,每个端口可以调整以下参数:
Path Cost
Port Priority
P2P 属性
Edge 属性
10.4.4 显示RSTP状态
10-4
第 10 章 配置 STP/RSTP
10.5 常用调试功能
应用环境
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug stpd 命令禁用此功能。
应用环境
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug spanning-tree 命令禁用此功能。
10-5
第 10 章 配置 STP/RSTP
10.6 命令参考
命令模式 配置模式
参数说明 参数 说明
[enable | disable] 使能或关闭
命令模式 配置模式
参数说明 参数 说明
0 交换机运行老的STP协议
2 交换机运行RSTP协议
10-6
第 10 章 配置 STP/RSTP
命令功能 设置本交换机端口状态切换的时间间隔(ForwardDelay)。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<4-30> ForwardDelay,单位:秒 15
配置实例 设置本交换机端口状态切换的时间间隔为 10 秒:
Harbour(config)# config spanning-tree forward-delay 10
命令模式 配置模式
参数说明 参数 说明 缺省配置
<1-10> 发送BPDU的时间间隔,单位:秒 2
10-7
第 10 章 配置 STP/RSTP
命令模式 配置模式
参数说明 参数 说明
<6-40> Maximum-age,单位:秒
命令模式 配置模式
参数说明 参数 说明
[stp|rstp] STP或RSTP模式
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
[yes | no ] 关闭或使能
10-8
第 10 章 配置 STP/RSTP
命令模式 配置模式
参数说明 参数 说明
<port> 端口
[yes | no] 是否进行快速状态转换
使用指导 当交换机的这个端口直接与主机相连,或者这个端口再不与其他交换机连
接的情况下,可以设置端口的 edge 属性为 yes,这样可以使得端口可以进
行快速的状态转换。
命令模式 配置模式
命令模式 配置模式
10-9
第 10 章 配置 STP/RSTP
参数说明 参数 说明
<port> 端口
yes 利用RSTP运算进行端口状态的快速转移
no 不配置
auto RSTP自动检测端口的P2P类型
命令模式 配置模式
参数说明 参数 说明
<port> 端口
auto 端口路径开销使用系统的默认设置
<1-200000000> 设定端口的路径开销
10-10
第 10 章 配置 STP/RSTP
命令模式 配置模式
参数说明 参数 说明 缺省配置
<port> 指定端口 ——
<0-240> 端口优先级 128
命令模式 配置模式
参数说明 参数 说明 缺省配置
<0-61440> 优先级 32768
命令模式 配置模式
10-11
第 10 章 配置 STP/RSTP
参数说明 参数 说明
<name> STP名称
[enable | disable] 使能或关闭
命令功能 配置根桥交换机端口状态切换的时间间隔。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> STPD名称 ——
<4-30> ForwardDelay的取值范围,单位:秒 15
使用指导
ForwardDelay 的时间必须大于等于 HelloTime+2。
注意
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> STPD名称 ——
<1-10> HelloTime,单位:秒 2
使用指导
HelloTime 必须小于等于 ForwardDelay-2。
注意
10-12
第 10 章 配置 STP/RSTP
命令模式 配置模式
参数说明 参数 说明 缺省配置
<6-40> MaxAge的取值范围,单位:秒 20
命令模式 配置模式
参数说明 参数 说明 缺省配置
<0-65535> 优先级 32768
命令模式 配置模式
10-13
第 10 章 配置 STP/RSTP
参数说明 参数 说明
stpd <name> STP域的名称
[add | delete] 增加或删除
vlan <name> VLAN的名称
命令模式 配置模式
参数说明 参数 说明
<name> STPD名称
<portlist> 要操作的端口列表
all 对所有端口进行操作
[enable|disable] 使能或关闭
命令模式 配置模式
参数说明 参数 说明
10-14
第 10 章 配置 STP/RSTP
<name> SPD名称
<portlist> 端口列表
all 所有端口
<1-65535> 端口的路径开销
使用指导 根据端口的当前速度设置不同的端口路径开销缺省值:
10Mbps 端口缺省值为 100
100Mbps 端口缺省值为 19
1000Mbps 端口缺省值为 4
命令模式 配置模式
参数说明 参数 说明
<name> SPD名称
<portlist> 端口列表
all 所有端口
<0-255> 端口优先级系数
10-15
第 10 章 配置 STP/RSTP
命令功能 创建 STP 域。
命令模式 配置模式
参数说明 参数 说明
<name> STP域名
delete stpd
命令模式
命令模式 配置模式
debug stpd
命令格式
no debug stpd
命令模式 配置模式
10-16
第 10 章 配置 STP/RSTP
命令功能 删除 STP 域。
命令模式 配置模式
参数说明 参数 说明
<name> STP域名
create stpd
相关命令
命令模式 配置模式
debug stpd
相关命令
show spanning-tree
命令格式
命令模式 配置模式
10-17
第 10 章 配置 STP/RSTP
------------------------------------------------------------
10-18
第 10 章 配置 STP/RSTP
命令模式 配置模式
参数说明 参数 说明
<port> 端口号
显示端口10的STP状态:
配置实例 Harbour(config)# show spanning-tree port 10
----- port 0/0 infomation in STP domain 2047 -----
Num pri path--cost role span-state lnk p2p edg pen dcost
designated root id
0/10 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
命令模式 配置模式
参数说明 参数 说明
< name> STPD名称
[<portlist>|all] 指定端口列表或所有端口
10-19
第 10 章 配置 STP/RSTP
Priority : 32768
Mac address : 00:05:3b:00:04:90
-- Designated Bridge --
Priority : 32768
Mac address : 00:05:3b:00:04:90
-------------------------------------------------------------------
命令模式 配置模式
参数说明 参数 说明
<name> STPD名称
10-20
第 11 章 配置 IGMP Snooping
11.2 配置案例
11.2.1 配置超时时间间隔
案例描述
配置接口的超时时间间隔:router_timeout = 500 秒,host_timeout = 600 秒。
配置步骤
步骤1 启动IGMP Snooping
Harbour(config)# service igmp snooping enable
步骤2 配置router_timeout = 500秒
Harbour(config)#config igmp snooping router_timeout 500
步骤3 配置host_timeout = 600秒
Harbour(config)#config igmp snooping host_timeout 600
步骤4 查看主机和路由器端口的超时时间间隔
Harbour(config)#show igmp snooping summary
11-1
第 11 章 配置 IGMP Snooping
11.3 命令参考
命令模式 配置模式
参数说明 参数 说明
<name> 指定VLAN的名称
all 所有的VLAN
命令模式 配置模式
参数说明 参数 说明 缺省配置
<10-2147483647> 超时时间间隔,单位:秒 260
11-2
第 11 章 配置 IGMP Snooping
命令模式 配置模式
参数说明 参数 说明 缺省配置
<10-2147483647> 超时时间间隔,单位:秒 260
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 启动或关闭
命令功能 显示组播组信息。
命令模式 配置模式
参数说明 参数 说明
<name> igmp snooping组播组的名称
11-3
第 11 章 配置 IGMP Snooping
Name : default
MAC address : 01:00:5e:7f:ff:fa
Ports : 20 23
VLAN ID : 2047
Name : default
MAC address : 01:00:5e:00:00:09
Ports : 20 23
VLAN ID : 2047
Name : default
MAC address : 01:00:5e:7f:ff:fe
Ports : 20 23
……
命令功能 查看主机和路由器端口的超时时间间隔。
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明
<name> 指定VLAN的名称
11-4
第 12 章 配置 ARP
12 第12章 配置 ARP
12.1 ARP概述
12.2 命令参考
clear arp
命令格式
命令模式 配置模式
命令模式 配置模式
12-1
第 12 章 配置 ARP
参数说明 参数 说明
<A.B.C.D> IP地址
<mac_address> IP地址对应的MAC地址
命令模式 配置模式
参数说明 参数 说明 缺省配置
<1-1440> ARP老化时间,单位:分 20
命令模式 配置模式
参数说明 参数 说明
enable ARP将要老化时将发一个ARP请求,如果收到回应这条
ARP条目被刷新,不会被删除。如果收不到回应,到达老化
时间时,ARP会被删除
disable ARP老化时直接被删除
默认状态 Enable。
12-2
第 12 章 配置 ARP
命令模式 配置模式
参数说明 参数 说明
all 显示所有类型的报文处理信息
input 显示收报的处理信息
output 显示发报的处理信息
命令功能 查看 ARP 表。
命令模式 只读模式、配置模式
参数说明 参数 说明
<A.B.C.D> IP地址
permanent 手工创建的静态ARP表
Harbour(config)#show arp
配置实例
ARP TABLE LIST:
12-3
第 12 章 配置 ARP
命令模式 配置模式
命令模式 配置模式
命令模式 配置模式
show arp
相关命令
12-4
第 13 章 配置 DHCP Relay
13.1 概述
13.1.1 DHCP
13-1
第 13 章 配置 DHCP Relay
13.2 配置案例
配置步骤
步骤1 指定DHCP Relay服务监听VLAN接口e2、e3、e4
Harbour(config)# config dhcpr listen add e2
Harbour(config)# config dhcpr listen add e3
Harbour(config)# config dhcpr listen add e4
步骤2 增加一个DHCP服务器,其IP地址为10.7.100.9
Harbour(config)# config dhcpr targetip add 10.7.100.9
Dhcp relay is up
步骤6 显示DHCP服务器的地址
Harbour(config)# show dhcpr targetip
13.3 命令参考
命令模式 配置模式
参数说明 参数 说明
13-2
第 13 章 配置 DHCP Relay
[add|delete] 增加/删除VLAN接口
<vlanname> VLAN接口的名称
命令模式 配置模式
参数说明 参数 说明
[add|delete] 增加或删除
<A.B.C.D> DHCP服务器的IP地址
<1-32> DHCP服务器序号
ip route
相关命令
13-3
第 13 章 配置 DHCP Relay
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 使能或禁止
命令模式 只读模式、配置模式
命令模式 配置模式
13-4
第 13 章 配置 DHCP Relay
命令模式 只读模式、配置模式
13-5
第 14 章 单播路由基本配置
14 第14章 单播路由基本配置
14.1 概述
路由是三层交换机区别于二层交换机的重要概念。三层交换机实现了 IP 协议及相关
的整个 TCP/IP 协议栈,可以提供三层路由转发功能,即跨越不同 IP 网段的 IP 报
文转发。在这个意义上说,三层交换机的功能与 IP 路由器是类似的。
IP 路由是 IP 协议三层转发的控制信息,它说明最终达到某个网段的“下一步”应
转发到哪里。一条 IP 路由的主要内容是目的地址及掩码、下一跳地址、出接口。其
中目的地址及掩码描述目的地信息,下一跳地址和出接口描述在本交换机应该如何
转发这类报文。
路由接口
路由接口是网络第三层的软件接口,提供网络层上连接的服务。路由协议计算,
SNMP 网络管理都要经过交换机的路由接口。系统支持 loopback 环回接口。
单播路由
IPv4 通讯可以分为单播、组播、广播三大类。通常的 IP 数据通讯都使用单播方式,
即每个报文的接收者有一个明确的唯一的 IP 地址。IP 组播可以支持用户将一个数
据流发送给多个接收者,支持组播的网络会自动在适当的位置复制 IP 组播报文,而
不需要数据源重复发出多份数据,可以显著节省网络带宽占用。而广播方式是无条
件地发送给所有 IP 设备,所以它只少量应用在本地网段内部。
在 IP 设备中,单播路由的获得通常有两种途径,一种是静态配置,由网络管理员通
过命令行等手段明确定义,称为静态路由。在较复杂的网络上,静态配置负担太大,
而且难以及时反映网络拓扑的动态变化,这时可以使用动态路由协议。动态路由协
议通过网络设备之间的报文交互,动态地学习网络拓扑信息,自动生成路由信息。
并且能够在网络拓扑变化时比较迅速地传播变动信息,更新每个设备上的路由表。
目前主流的单播路由协议有 RIP V1/V2、OSPF V2 等。
14-1
第 14 章 单播路由基本配置
14.2 配置路由接口
相关命令:
interface <IFNAME>
show interface {<IFNAME>}*1
14.2.1 配置环回接口
环回接口(LoopBack Interface)是一个几乎被所有平台支持,而与硬件设备无关
的纯软件虚接口,主要用于模拟普通的硬件接口。环回接口总是处于“UP”状态,
因此即使在所有外部接口处于“DOWN”状态时,它仍然能够支持边界网关协议
(BGP)和远程源路由桥接协议(RSRB)会话过程。
同时,在所有其它接口处于“DOWN”状态时,LoopBack Interface 可被用作终端
地址以支持 BGP 会话、RSRB 链路以及 Telnet Console 会话。
通过异步接口,LoopBack Interface 可被用于配置 IPX-PPP(在配置前必须确保运
行 IPX 的异步接口已经配置好了相应的 LoopBack Interface)。
外部路由器或访问服务器的数据报文会路由到达 LoopBack Interface,因此必须给
LoopBack Interface 分配一个子网地址。路由到 LoopBack Interface 的数据报文进
行本地处理后又被路由回源外部路由器或访问服务器。
通过 LoopBack Interface 路由出去、但目的地址不是 LoopBack Interface 地址本身
的 IP 报文将被丢弃。也就是说,LoopBack Interface 同时也扮演着 Null 0 interface
的角色。
由于X.21接口定义规范不包括LoopBack的定义,因此X.21
DTE不支持Loopback。
注意
由于自环接口的特殊性,在接口报文统计中收发报文的个数比普通接口多一倍。
配置步骤
14-2
第 14 章 单播路由基本配置
ipaddress
步骤3 show interfaces loopback 查看LoopBack Interface的配置信息
配置案例
14.3 单播路由基本配置
14.3.1 查看路由表
不熟悉三层交换机或路由器的用户首先要了解的是如何查看路由表。路由表的内容
对于正确的报文转发起到关键性作用。查看路由表的命令是 show ip route。例如:
14-3
第 14 章 单播路由基本配置
Harbour(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route
可以看到,C 开头的路由表示是本交换机的接口路由,它只是说明了本地所直接连
接的网段。S 开头的是静态路由,它是用户配置的。O 开头的是 OSPF 协议自动得
到的路由。
协议类型后面是“*”标志,它说明这个路由当前是生效的。例如第一个路由没有生
效,因为路由表中有了一个相同的接口路由,它的优先级比 OSPF 协议高。
在目的地址后面,[m/n]中的 m 代表路由的优先级。n 代表协议内部的度量值(metric)。
再后面是下一跳地址,和出接口名称(例子中的“v2”
、“v3”
)。最后是路由的生存
时间。
路由的优先级用来管理不同来源的路由。当不同的协议都得到相同目的地的路由时,
系统根据协议的优先级做取舍。协议的优先级是可以由用户修改的。
本系统采用的缺省路由优先级为:
路由类型 缺省优先级
接口路由 0
静态路由 1
RIP 120
OSPF 110
较小的优先级数值代表较高的优先级。
当出接口的状态为 DOWN 时,相关路由会失效或被删除。因为这时交换机不能从
这个接口向外转发报文了。当接口状态变为 UP 时,接口路由和静态路由会立刻生
效,而动态路由也应在较短时间内恢复。
14.3.2 静态路由
静态路由是由用户定义的一条可使数据包从源地址通过指定路径到达目的地址的路
由。当动态路由协议未能创建一条到特定目的的路由时,静态路由就显得尤为重要。
14-4
第 14 章 单播路由基本配置
还可以通过配置某一静态路由为默认路由,把无路由的数据包发送到默认的网关。
配置案例
步骤1 添加一条静态路由
Harbour(config)# ip route 100.0.0.0/16 1.1.1.1
步骤2 显示静态路由信息
Harbour(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route
14.3.3 默认路由
有一类特殊的路由称为默认路由(或缺省路由),即目的地址和掩码为 0.0.0.0/0 的
路由。它可以匹配任何目的地址,所以每个找不到对应路由的报文都将按默认路由
转发。通常默认路由都是在用户认为有必要时通过静态路由配置的。
例如:ip route 0.0.0.0/0 10.0.0.1
这时,本交换机将把每个没有对应路由的报文转发到 10.0.0.1。在网络有一个唯一
出口连接到其他网络时,配置默认路由是很有用的,它可以使交换机所需要的路由
数量大大降低。在计算机上,这个默认路由的下一跳地址称为缺省网关。
14.3.4 配置黑洞路由
黑洞路由是系统把去往某个 IP 地址的包在硬件中丢弃的一种自动保护机制,
使 CPU
不受大流量冲击的作用。黑洞路由应用在网络中主要用于避免由于路由的聚合造成
的路由环路,也可以实现网络中的访问控制,即通过配置一条黑洞路由来限制网络
中的某 IP 网段的用户访问特定的服务。
黑洞路由可以静态配置,也可以动态学习。
14-5
第 14 章 单播路由基本配置
配置动态黑洞路由
配置静态黑洞路由
14.4 命令参考
命令模式 配置模式
参数说明 参数 说明
<1-31> LoopBack Interface号
命令功能 在路由表内的路由信息有误的情况下,通过刷新单条路由或整个路由表,
确保路由信息的准确性。
命令模式 配置模式
14-6
第 14 章 单播路由基本配置
参数说明 参数 说明
<A.B.C.D/M> 由IP地址和子网掩码确定的单个路由表项
all 整个路由表
命令功能 删除所有的静态路由。
命令模式 配置模式
ip route
相关命令
命令模式 配置模式
参数说明 参数 说明
<1-31> LoopBack Interface号
<A.B.C.D/M> IP地址和子网掩码
14-7
第 14 章 单播路由基本配置
命令功能 配置黑洞路由的老化时间。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<0-1200> 老化时间,单位:秒 300
14.4.6 ip route
命令功能 增加静态路由。
对应的 no 命令删除静态路由。
命令模式 配置模式
使用指导 在较简单的网络环境中不需要运行路由协议时,或由于某种原因需要人为
指定路由时,使用静态路由是很合适的。如果在命令中指定了路由优先级,
那么当路由优先级大于静态路由默认的路由优先级时,这条静态路由就会
被动态信息替代。
参数说明 参数 说明
<A.B.C.D/M>或<A.B.C.D > <A.B.C.D> 目的网段的IP地址和子网掩码
<A.B.C.D> 下一跳的IP地址
<1-255> 路由的优先级
14-8
第 14 章 单播路由基本配置
命令功能 配置下一跳为出接口的静态路由。
命令模式 配置模式
参数说明 参数 说明
<ifname> 指定接口名
命令功能 创建静态黑洞路由。
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D/M> 或 <A.B.C.D> 目的网段的IP地址和子网掩码
<A.B.C.D>
<0-0> null interface的id
<1-255> distance
14-9
第 14 章 单播路由基本配置
命令模式 配置模式
参数说明 参数 说明
[<1-31>|all] 指定标号的或所有的环回接口
[accounting] 统计通过该接口发出的各类协议包数量
命令功能 显示全部路由表内容或指定的部分路由表内容。
命令模式 配置模式
14-10
第 14 章 单播路由基本配置
参数说明 参数 说明
<A.B.C.D/M> 显示路由表中目的IP地址为<A.B.C.D>、子
网掩码长度为M的所有路由表项
<A.B.C.D> 显示路由表中目的IP地址为<A.B.C.D>的所
有路由表项
connected 显示路由表中所有直连路由
rip 显示路由表中所有RIP路由
ospf 显示路由表中所有OSPF路由
static 显示路由表中所有静态路由
summary 只显示路由的分类统计值和路由总量信息
Harbour(config)#show ip route
配置实例 Codes: C - connected, S - static, R - RIP, O - OSPF,
>* - selected route
ip route
相关命令
14-11
第 14 章 单播路由基本配置
命令功能 显示黑洞路由的配置信息。
命令模式 配置模式
14-12
第 15 章 配置 RIP
15 第15章 配置 RIP
15.1 概述
RIP 协议的缺陷和解决方法
首先,由于 D-V 算法本身存在缺陷,导致 RIP 协议在防止生成环路、收敛时间等方
面的性能比较差。RIP 采取了一些措施来提高这些方面的性能:RIP 支持水平分割
(Split Horizon)与毒性逆转法(Poison Reverse),并可采用触发更新(Triggered
Update)。
其次,RIP 协议 30 秒钟发送一次更新报文,在带宽占用方面存在一些缺陷。在实际
应用当中可以通过设置 RIP 协议中的报文发送间隔来减小带宽的浪费。
15-1
第 15 章 配置 RIP
RIP 协议的优点
尽管 RIP 协议存在一些缺陷,但在规模较小的网络中表现很好。在简单的网络
当中,RIP 协议可以很快收敛,其性能是非常可以接受的。
RIP 协议配置简单。协议越简单,实现越简单,配置方法越简单。当然,能够支
撑的网络规模就不会很大。
RIP 协议的应用非常广泛。RIP 协议是各个设备供应商的必须支持的协议之一。
在新一代路由协议(如 OSPF,IS-IS)诞生以前,RIP 协议是为数不多的 IGP
(内部网关协议)中最重要、应用最广泛的协议之一,至今仍然有很多网络依
然在使用 RIP 协议。
RIP 协议路由存取机制
运行 RIP 协议的路由器需要管理一个路由信息数据库,网络中所有可达信宿(包括
主机地址和网络地址)在该路由数据库中都存在记录,这些记录称为路由项。路由
信息数据库中包含下列信息:
目的地址:指主机或网络的地址。
下一跳地址:指为到达目的地,本路由器要经过的下一个路由器地址。
接口:指转发报文的接口。
metric 值:指本路由器到达目的地的开销,是一个 0~16 之间的整数。
定时器:路由项最后一次被修改的时间。
路由标记:区分路由为内部路由协议的路由还是外部路由协议的路由的标记。
RIP 协议将所有自己的路由信息和从其它路由器学习到的路由信息都存放于这个路
由信息数据库中。当 RIP 协议发送 response 报文的时候,就会将所有存放于这个
数据库中的路由信息发送出去。
RIP 的启动和运行过程
下面以 RIP v1 为例,描述 RIP 的启动和运行过程(RIP v2 的过程相似,不同的是它
以组播方式进行):
某路由器刚启动 RIP 时,以广播的形式向相邻路由器发送请求报文,相邻路由器的
RIP 收到请求报文后,响应该请求,回送包含本地路由表信息的响应报文。
路由器收到响应报文后,修改本地路由表,同时向相邻路由器发送触发更新报文,
广播路由修改信息。相邻路由器收到触发更新报文后,又向其各自的相邻路由器发
送触发更新报文。在一连串的触发更新广播后,各路由器都能得到并保持最新的路
由信息。
15-2
第 15 章 配置 RIP
同时,RIP 每隔 30 秒向相邻路由器广播本地路由表,相邻路由器在收到报文后,对
本地路由进行维护,选择一条最佳路由,再向其各自相邻网络广播修改信息,使更
新的路由最终能达到全局有效。同时,RIP 采用超时机制对过时的路由进行超时处
理,以保证路由的实时性和有效性。正是通过这些机制,使路由器能够了解到整个
网络路由信息。
HOS 的 RIP 特性
水平分割
触发更新
路由保持
支持 RIPv1 和 RIPv2
支持简单明文认证和 MD5 认证
可配置 RIP 协议计时器
15.2 配置RIP
在 RIP 协议的配置过程中,涉及到三个命令模式,分别是:
路由器配置模式:在 HammerOS 中,这种模式就是配置模式,即输入 enable
密码以后的模式。
RIP 协议配置模式:即输入 router rip 命令以后的模式。
端口配置模式:即输入 interface <name>以后的模式。
15.2.1 RIP协议基本配置
15-3
第 15 章 配置 RIP
配置案例
0为一个简单的 RIP 网络结构。具体配置如下:
简单的 RIP 网络结构
RT1 配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 指定端口运行RIP协议
RT1(config-router)#network 10.0.0.0/24
RT2 配置步骤
步骤1 启动RIP进程
RT2(config)#router rip
步骤2 指定端口运行RIP协议
RT2(config-router)#network 10.0.0.0/24
RT2(config-router)#network 11.0.0.0/24
RT3 配置步骤
步骤1 启动RIP进程
RT3(config)#router rip
步骤2 指定端口运行RIP协议
RT3(config-router)#network 11.0.0.0/24
RT3(config-router)#network 12.0.0.0/24
15.2.2 配置RIP协议版本
15-4
第 15 章 配置 RIP
协议配置模式下的配置步骤
步骤1 启动RIP进程
RT2(config)#router rip
步骤2 配置RT2接收和发送版本1
RT2(config-router)# version 1
步骤3 查看配置信息
show ip rip
端口模式下的配置步骤
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 配置RT2的v1端口接收版本1或版本2
RT2(config-if)# ip rip receive version 1
步骤3 配置RT2的v1端口发送版本1
RT2(config-if)# ip rip send version 1
步骤4 查看配置信息
show ip rip
15.2.3 设置端口的认证类型和密码
配置案例
以0中的 RT2 为例,在 RT2 的 v1 端口上配置明文认证和 MD5 认证:
配置明文认证
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 在RT2的v1端口上配置明文认证
RT2(config-if)#ip rip authentication mode text
步骤3 在这个端口上指定认证的密码为“test”
RT2(config-if)# ip rip authentication string test
15-5
第 15 章 配置 RIP
配置 MD5 认证
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 在RT2的v1端口上配置明文认证
RT2(config-if)# ip rip authentication mode md5
步骤3 在这个端口上指定认证的密码为“test”
RT2(config-if)# ip rip authentication string test
15.2.4 在端口上配置水平分割
通常,对于连接广播类型 IP 网络并使用距离矢量(D-V)算法路由协议的路由器,
可以使用 split horizon(水平分割)机制来减小路由环路产生的可能性。水平分割将
阻止路由信息返回起初发送的方向。这种机制可以优化多路由器环境的通信,尤其
当某个连接崩溃时。但是,在一些非广播网(如 SMDS),水平分割不利于通信,
则需要取消水平分割机制。
配置案例
以0中的 RT2 为例,在 RT2 的 v1 端口上启动水平分割:
配置步骤
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 在RT2的v1端口上启动水平分割
RT2(config-if)# ip rip split-horizon
15.2.5 生成默认路由
配置案例
以0中的 RT1 为例,
在 RT1 上生成默认路由,
使 RT1 向其它路由器发送包含 0.0.0.0/0
15-6
第 15 章 配置 RIP
配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 在RT1上生成默认路由
RT1(config-router)# default-information originate
15.2.6 配置协议的Administrative
Distance
配置案例
以0中的 RT1 为例,配置 RIP 的 Administrative Distance 值。
配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 配置RIP的Administrative Distance值
RT1(config-router)# distance 20
15.2.7 配置协议时钟
RIP 协议使用四个时钟来确定路由更新时间、路由超时时间、路由保持时间和路由
清空时间。这四个时间分别由路由更新计时器、路由超时计时器、路由保持计时器、
路由清空计时器来确定。
路由更新计时器记录周期性更新的时间间隔,通常为 30 秒,每当该计时器重置时
增加小的随机秒数以防止冲突。
每个路由表项都有相关的路由超时计时器,在本系统中,其缺省时间间隔为 180 秒,
15-7
第 15 章 配置 RIP
当路由超时计时器过期时,该路径就标记为失效的,但仍保存在路由表中,直到路
由清空计时器过期才被清掉,其中清空时间间隔为 180 秒。
当路由超时计时器过期时,路由保持计时器也同时被启动,路由保持计时器的缺省
值是 120 秒,在这段时间内,路由器不会接收对这条路由的更新信息。
可以适当改变这些时钟来调整路由协议的执行,使之与实际的网络更适应。
在协议配置模式下,可以利用命令 timers basic 调整路由的更新时钟、超时时钟、
保持时钟和清空时钟值。
配置案例
设置 RT1 的更新时钟、超时时钟、保持时钟、清空时钟时间间隔分别为 40、200、
60 和 130。
配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 设置RT1的更新时钟、超时时钟、保持时钟、清空时钟时间间隔
RT1(config-router)# timers basic 40 200 60 130
15.2.8 重分布路由(redistribute)
为了能使多种路由协议同时运作,可以将一种路由协议的信息引入到另一种路由协
议中,这个过程称为重分布路由。例如,可以让 RIP 协议重分布静态路由。将路由
信息从一种路由协议引入另一种路由协议的操作适用于所有基于 IP 的路由协议。
在协议配置模式下,
使用命令 redistribute 可以将其它路由协议的路由信息引入 RIP。
15.2.9 配置缺省metric
15-8
第 15 章 配置 RIP
配置案例
配置 RT1 上的 RIP 路由的缺省 metric 值。
配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 配置RT1上的RIP路由的缺省metric值
RT1(config-router)# default-metric 5
15.3 常用调试功能
打开 RIP 与路由管理相关的信息。
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug rip rm 命令禁用此功能。
打开 RIP 协议处理中的事件信息或报文的接收和发送信息。
15-9
第 15 章 配置 RIP
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug rip [events|packet]命令禁用此功
能。
15.4 常见故障分析
15.4.1 RIP协议无法正常收发报文
现象 网络不通,RIP协议无法正常收发报文
分析与 1、 运行RIP协议的相连端口没有配置相同的认证类型或密码,通过show
解决 running-config命令查看两端是否一致。
2、 rip没有在应有的端口上启动, 通过show running-config命令查看RIP的配
置。
3、 相连两端的RIP协议版本不一致,通过show running-config命令查看两端
是否一致。
4、 相连两端的IP地址相同,通过show running-config命令查看两端是否一致。
5、 单播线路上对端IP地址与本机配置不一致,通过show running-config命令
查看两端是否一致。
6、 对方(或本机)时钟设置不当,造成路由表不稳定,通过show running-config
命令查看两端是否一致。
7、 水平分割设置不当,造成环路或正常通信受到影响,通过show
running-config命令查看两端是否一致。
8、 物理链路没有正常连通,通过ping命令查看。
15.5 命令参考
命令模式 配置模式
参数说明 参数 说明
15-10
第 15 章 配置 RIP
events 显示RIP事件,包括收发包、时钟以及接口变化等
packet 显示收发的RIP数据包
recv 显示接收的RIP数据包
send 显示发送的RIP数据包
detail 显示接收或发送RIP数据包内容的详细信息
默认状态 调试信息关闭。
使用指导 只有高级用户才可以使用此命令,由于此命令会在命令行上打印大量信息,
占用很多 CPU 资源。 因此强烈建议用户,当调试结束时,一定要用 no debug
rip rm 命令禁用此功能。
monitor
相关命令
show debug rip
debug rip rm
命令格式
no debug rip rm
命令功能 显示路由管理变化信息。
关闭显示路由管理变化信息。
命令模式 配置模式
默认状态 调试信息关闭。
使用指导 只有高级用户才可以使用此命令,由于此命令会在命令行上打印大量信息,
占用很多 CPU 资源。 因此强烈建议用户,当调试结束时,一定要用 no debug
rip rm 命令禁用此功能。
配置实例 在终端显示路由管理变化信息:
Harbour(config)#debug rip rm
Harbour(config)#monitor on
monitor
相关命令
show debug rip
15-11
第 15 章 配置 RIP
15.5.3 default-metric
default-metric <number>
命令格式
no default-metric
no default-metric <number>
命令模式 协议配置模式
参数说明 参数 说明
<number> 设置为默认的metric值,取值范围为1至16
redistribute
相关命令
15.5.4 distribute-list
命令模式 路由协议配置模式
参数说明 参数 说明
<name> 用来过滤的access list的名字
15-12
第 15 章 配置 RIP
[in|out] 将access-list应用于输入/输出数据包
<IFNAME> 引入access-list的接口名称
命令模式 接口配置模式
参数说明 参数 说明
text 采用简单明文认证
md5 采用md5认证
相关命令
15-13
第 15 章 配置 RIP
命令模式 接口配置模式
参数说明 参数 说明
[1] 接口只接收RIPv1报文
[2] 接口只接收RIPv2报文
1 2 接口接收RIPv1和RIPv2报文
命令模式 接口配置模式
参数说明 参数 说明
[1] 接口发送RIPv1报文
[2] 接口发送RIPv2报文
15-14
第 15 章 配置 RIP
命令功能 启动水平分割机制,防止路由环路。
关闭水平分割机制。
命令模式 接口配置模式
参数说明 参数 说明
simple 一般的水平分割
poisoned 具有毒性逆转的水平分割
使用指导 水平分割机制阻止路由信息返回起初发送的方向。
neighbor
相关命令
15.5.9 neighbor
neighbor <A.B.C.D>
命令格式
no neighbor <A.B.C.D>
15-15
第 15 章 配置 RIP
命令功能 指定与一个相邻路由器以点对点模式交换路由信息。
取消与一个相邻路由器以点对点模式交换路由信息。
参数说明 参数 说明
<A.B.C.D> Neighbor的接口地址
使用指导 此命令允许进行点对点交换路由信息。在某些情况下(比如点到多点),并
不是所有的路由器都能理解广播。当相邻路由器不能处理广播路由,则有
必要显式指定一个邻居。neighbor 命令允许网络管理员指定某一路由器作
为 RIP 邻居。在广播网下,neighbor 的主要作用是减少路由交换。该命令
一般和 passive-interface 联合使用。
passive-interface
相关命令
15.5.10 network
network <A.B.C.D/M>
命令格式
no network <A.B.C.D/M>
命令模式 协议配置模式
参数说明 参数 说明
<A.B.C.D/M> 与本交换机直连、要进行RIP通信的网络的IP地
址及子网掩码
router rip
相关命令
15-16
第 15 章 配置 RIP
nexthop compatible-cisco
命令格式
no nexthop compatible-cisco
15.5.12 offset-list
命令模式 协议配置模式
参数说明 参数 说明
<name> access-list名
[in|out] access-list应用于输入/输出RIP数据包
<0-16> 对RIP路由权值(metric)的增加值
<ifname> 限定只修改从指定接口收发的路由表项的
metric
默认状态 未启动。
15-17
第 15 章 配置 RIP
access-list
相关命令
15.5.13 passive-interface
passive-interface <ifname>
命令格式
no passive-interface <ifname>
参数说明 参数 说明
<ifname> 接口名
15.5.14 redistribute
命令功能 重分布路由。
命令模式 路由协议配置模式
default-metric
相关命令
15-18
第 15 章 配置 RIP
router rip
命令格式
no router rip
命令模式 配置模式
network
相关命令
命令模式 配置模式
命令模式 配置模式
15-19
第 15 章 配置 RIP
命令模式 路由协议配置模式
参数说明 参数 说明 缺省配置
<update> 路由更新时钟。路由器根据此时钟,定期发送一 30秒
个包含整个路由表的主动响应信息给所有的相邻
路由器。该时钟有效值为0至16777215秒。
<timeout> 超时时钟。时钟期满,路由项标志为无效路由, 180秒
但仍保留在路由表中一段时间,目的是向相邻路
由器告知此路由已无效。该时钟有效值为1至
16777215秒。
<holddown> 若某条路由是因为接收到来自源接口的“路由不 120秒
可达”信息,而被宣布为Metric=16。则对此条路
由同时启动Holddown Timer和Garbage Timer。
在启动两个定时器的同时,按“触发更新”向外
广播此路由的Metric=16,以使“邻居”知道此路
由不可达。在Holddown Timer超时之前,RIP不
接受任何关于此条路由的路由更新,包括来自源
接口的路由更新。该时钟有效值为1至16777215
秒。
<garbage> 无效路由保持时钟。此时钟期满,则该项路由将 180秒
彻底从路由表中删除。该时钟有效值为1至
16777215秒。
15.5.19 version
version [1|2]
命令格式
no version
命令模式 路由协议配置模式
15-20
第 15 章 配置 RIP
参数说明 参数 说明
[1|2] 指定RIPv1 / RIPv2
默认状态 send:v1;recv:v1,v2。
15-21
第 16 章 配置 OSPF
16 第16章 配置 OSPF
16.1 概述
16-1
第 16 章 配置 OSPF
其它模块引入,也可以把路由信息提供给其它动态路由协议,并且有精确的过
滤和调整能力。
16.2 配置OSPF
16.2.1 基本OSPF配置
配置案例
16-2
第 16 章 配置 OSPF
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
RT2 配置步骤
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
RT3 配置步骤
步骤1 启动OSPF进程
RT3(config)# router ospf
步骤2 配置运行OSPF的网段
RT3(config-router)# network 11.0.0.0/24 area 1
关于 router ID
16-3
第 16 章 配置 OSPF
16.2.2 设置接口参数
OSPF 允许用户按需改变与某一具体接口相关的参数。但是一些接口参数的设置要
求在一个网络中的所有路由器必须一致,否则将无法正确建立邻接关系。这些参数
是通过 ip ospf hello-interval、ip ospf dead-interval 和 ip ospf authentication-key 等
命令来设置的。因此,如果确信要配置这些参数,则一个网络中的所有路由器应该
有相同的配置。
命令 ip ospf hello-interval 用来设置接口上 OSPF 的 hello 间隔。一个网段中的所有
OSPF 接口上,hello 间隔必须相同,才能建立邻居关系。命令 ip ospf authentication
和 ip ospf authentication-key 用来设置接口上的认证方式及相应的认证密码。一个
网段中的所有 OSPF 接口必须具有相同的认证方式和密码,才能建立邻居关系。
配置案例
配置 RT1
步骤1 创建v1端口
RT1(config)# create vlan v1
RT1(config)# interface v1
步骤2 设置接口v1上OSPF的hello间隔
RT1(config-if)# ip ospf hello-interval 15
步骤3 设置接口上的认证方式
RT1(config-if)# ip ospf authentication
步骤4 设置认证密码为“test”
RT1(config-if)# ip ospf authentication key test
16-4
第 16 章 配置 OSPF
配置 RT2
步骤1 创建v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 设置接口v1上OSPF的hello间隔
RT2(config-if)# ip ospf hello-interval 15
步骤3 设置接口上的认证方式
RT2(config-if)# ip ospf authentication
步骤4 设置认证密码为“test”
RT2(config-if)# ip ospf authentication key test
16.2.3 配置区域参数
当接口模式下配置的认证方式和接口所在区域的认证方式不一
致时,则优先考虑接口配置的认证方式。
注意
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
16-5
第 16 章 配置 OSPF
步骤3 设置区域0为MD5认证方式
RT1(config-router)# area 0 authentication message-digest
步骤4 退出OSPF模式
RT1(config-router)# exit
步骤5 创建v1端口
RT1(config)# create vlan v1
RT1(config)# interface v1
步骤6 设置接口上的MD5认证密码为“test”
RT1(config-if)# ip ospf message-digest-key 1 md5 test
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 设置区域0为MD5认证方式
RT2(config-router)# area 0 authentication message-digest
步骤4 退出OSPF模式
RT2(config-router)# exit
步骤5 创建v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤6 设置接口上的MD5认证密码为“test”
RT2(config-if)# ip ospf message-digest-key 1 md5 test
2. STUB 区域配置案例
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 配置区域1为STUB区域
16-6
第 16 章 配置 OSPF
配置 RT3
步骤1 启动OSPF进程
RT3(config)# router ospf
步骤2 配置运行OSPF的网段
RT3(config-router)# network 11.0.0.0/24 area 1
步骤3 配置区域1为STUB区域
RT3(config-router)# area 1 stub
步骤4 退出OSPF模式
RT3(config-router)# exit
16-7
第 16 章 配置 OSPF
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 配置区域1为STUB区域
RT2(config-router-ospf)# area 1 stub
步骤4 配置缺省路由的cost值
RT2(config-router)# area 1 default-cost 25
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 禁止ABR向STUB区域广播除了缺省路由以外的其他summary LSA
RT2(config-router)# area 1 stub no-summary
16-8
第 16 章 配置 OSPF
16.2.4 配置路由聚合
配置案例
图16-2 配置路由聚合
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
16-9
第 16 章 配置 OSPF
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 对属于11.0.0.0/16的网段进行了聚合
RT2(config-router)# area 1 range 11.0.0.0/16
步骤4 从RT1中可以看到聚合后的路由
RT1(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route
在 OSPF 中,规定所有的区域都必须被连接到骨干(backbone)区域。如果骨干区域
的连续性被中断,可以通过创建一个虚拟链路(virtual link)来保持这种连续性。虚拟
链路的两端是 ABR,在两端的路由器上都必须进行相应的配置。同时应注意到在
STUB 区域内不能配置虚拟链路。
配置案例
图16-3 配置虚拟链路
16-10
第 16 章 配置 OSPF
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 指定router id
RT1(config-router)# router-id 1.1.1.1
步骤3 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
RT1(config-router)# network 11.0.0.0/24 area 1
步骤4 在区域1内建立一个虚拟链路
RT1(config-router)# area 1 virtual-link 2.2.2.2
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 指定router id
RT2(config-router)# router-id 2.2.2.2
步骤3 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤4 在区域1内建立一个虚拟链路
RT2(config-router)# area 1 virtual-link 1.1.1.1
步骤5 查看虚拟链路的接口信息
RT2(config-router)# show ip ospf interface
步骤6 查看虚拟链路的邻居信息
RT2(config-router)# show ip ospf neighbor
16.2.6 配置缺省路由
配置案例
16-11
第 16 章 配置 OSPF
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
步骤3 在区域1内建立一个虚拟链路
RT1(config-router)# default-information originate always
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
16.2.7 配置OSPF的管理距离
配置案例
16-12
第 16 章 配置 OSPF
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
步骤3 配置OSPF的管理距离
RT1(config-router)# distance ospf intra-area 60 inter-area 90
external 100
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
RT2(config-router)# redistribute connected
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 0
RT2(config-router)# network 12.0.0.0/24 area 1
步骤3 在RT1上可以看到三种类型OSPF路由的管理值的变化
RT1(config)#sh ip rou
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route
16-13
第 16 章 配置 OSPF
16.2.8 配置路由计算的时间间隔
配置案例
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
步骤3 配置路由计算的时间间隔
RT1(config-router)# timers spf 8 16
配置案例
16-14
第 16 章 配置 OSPF
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
配置 RT2
16-15
第 16 章 配置 OSPF
16.2.10 配置缺省metric
配置案例
配置 RT1
步骤1 启动OSPF进程
RT1(config)# router ospf
步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
配置 RT2
步骤1 启动OSPF进程
RT2(config)# router ospf
RT1(config-router)# redistribute connected
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
步骤3 设置缺省metric值为88
RT1(config-router)# default-metric 88
步骤4 从RT1的路由表中可以看到这个metric值已经生效
RT1(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route
16-16
第 16 章 配置 OSPF
16.2.11 监控和维护OSPF
配置案例
以图 16-5 的组网图为例,下面介绍一下相关的命令及作用。
Show ip ospf database 主要用来显示 LSA 数据库信息,包括各种类型的 LSA。如
果要显示具体的某一类 LSA 信息,可以附加 LSA 的类型参数,显示结果如下。
16-17
第 16 章 配置 OSPF
16-18
第 16 章 配置 OSPF
RT1(config)#show ip ospf
OSPF Routing Process, Router ID: 12.0.0.3
Supports only single ToS (ToS0) routes
This implementation conforms to RFC2328
RFC1583 Compatibility flag is disabled
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Refresh timer 10 secs
Number of external LSA 2
Number of areas attached to this router: 1
16.3 常见故障分析
16.3.1 OSPF邻接关系没有建立
现象 OSPF邻接关系没有建立
分析与 有以下几种可能:
解决 1、 路由器上的OSPF任务没有启动。可以用show ip ospf命令查看。
2、 OSPF在相应的接口上没有启动。可以用show ip ospf interface命令查看。
3、 OSPF接口的hello间隔和dead间隔不一致。可以用show ip ospf interface
命令查看。
4、 在相邻接口上的OSPF网络类型不一致。可以用show ip ospf interface命令
查看。
5、 在相邻接口上的认证类型或密钥不一致。可以用show run命令查看。
6、 OSPF相邻接口所属区域或区域类型不一致。可以用show run和show ip
ospf interface命令查看。
7、 OSPF邻居与本地OSPF实例具有相同的router-ID。可以用show ip ospf查
看。
8、 OSPF的hello报文由于资源的缺乏而得不到及时的处理(例如,CPU和内
存资源的耗尽)。
9、 底层发生问题导致OSPF不能正确地收发hello报文。可通过Ping命令测试,
若从本地路由器ping对端路由器不通,则表明物理连接和下层协议有问题。
16-19
第 16 章 配置 OSPF
16.4 命令参考
参数说明 参数 说明
[<0-4294967295>| 要开启认证的区域(Area)的编号,可以是IP地址
<A.B.C.D>] 形式或数字形式
message-digest 可选,表示采用MD5认证
默认状态 没有认证。
router ospf
router-id 11.0.0.1
network 11.0.0.0/24 area 0
network 12.0.0.0/24 area 1
area 0 authentication
16-20
第 16 章 配置 OSPF
create vlan v1
interface v1
ip ospf authentication-key testpass
exit
create vlan v2
interface v2
ip ospf message-digest-key 1 md5 testpass
exit
参数说明 参数 说明
[<A.B.C.D>|<0-4294967295>] 域(Area)的编号,可以是IP地址模式
或数字形式
<0-16777215> stub area缺省路由的cost
16-21
第 16 章 配置 OSPF
area stub
相关命令
参数说明 参数 说明
[<0-4294967295> area ID,指定对哪个area的路由进行聚合
|<A.B.C.D>]
<A.B.C.D/M> 网络地址,用来指定对哪个网段的路由进行聚合
not-advertise 可选。如果设置了not-advertise,ABR就不会发出聚
合过的路由,而且聚合前的路由也不会发布,用这个
方法可以隐藏起网络信息。相反,如果设置了
advertise,ABR就会发出聚合过的路由,这与不加
选项的默认情况相同。
默认状态 不聚合。
16-22
第 16 章 配置 OSPF
参数说明 参数 说明
[<0-4294967295>|<A.B.C. 区域(Area)的ID,可以是IP地址形式或
D>] 数字形式。
no-summary 可选,只需在ABR上设置,如果配置,相
应的area就成为totally stub area,ABR不
会向totally stub area 内部发送 summary
LSA(第3类LSA),而用一条缺省路由(全
0的路由)指明stub area的网络出口。
16-23
第 16 章 配置 OSPF
参数说明 参数 说明
[<0-4294967295>|<A.B.C. 区域(Area)的ID,可以是IP地址形式或
D>] 数字形式。
message-digest 消息摘要认证。
null 不要认证,与默认情况相同。
16-24
authentication-key 可选。简单明文认证的密码。有效长度是8
<AUTH_KEY> 个字节,而且必须不包含空格,超过的部
第 16 章 配置 OSPF
使用指导 这个命令比较复杂,但是实际上往往只使用最简单的模式就可以满足大部
分需要了,所以请忽略您用不到的部分。如果您的确需 要,可以再回来详
细阅读相关内容。如果有必要,可以为 virtual link 设置各种参数,也可以
设置简单明文认证和 MD5 认证,和普通的认证很相似,同样需要为 area
和 virtual link 同时配置。在逻辑上,virtual link 属于 backbone area,但是
它的认证模式可以和 backbone area 上的认证模式不一致。如果只想删除
virtual link 的某个参数,可以用下面的命令:
参数说明 参数 说明
<1-4294967> 接口带宽
16-25
第 16 章 配置 OSPF
<1-4294967> 接口带宽
默认状态 100Mbps。
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 需要刷新的邻居的router ID
使用指导 当管理员希望从某个邻居重新进行一次数据库同步时,可以使用这个命令。
为了不引起网络的混乱,需要在整个 AS 统一这个配置。一般情况下请不
要修改这个值。
16-26
第 16 章 配置 OSPF
compatible rfc1583
命令格式
no compatible rfc1583
Harbour(config)#router ospf
配置实例 Harbour(config-router)#compatible rfc1583
Harbour(config-router)#exit
命令模式 配置模式
命令功能 使能接口状态机的调试信息输出。
取消接口状态机的调试信息输出。
16-27
第 16 章 配置 OSPF
命令模式 配置模式
命令功能 使能接口状态机的调试信息输出。
取消接口状态机的调试信息输出。
命令模式 配置模式
参数说明 参数 说明
status 输出接口状态机的状态
events 输出接口状态机上发生的事件
timers 输出接口状态机的时钟触发
命令模式 配置模式
16-28
第 16 章 配置 OSPF
命令模式 配置模式
参数说明 参数 说明
generate 输出新产生lsa
flooding 广播lsa
refresh 刷新lsa
命令功能 使能邻居状态机的调试信息输出。
取消邻居状态机的调试信息输出。
命令模式 配置模式
命令功能 使能邻居状态机的调试信息输出。
取消邻居状态机的调试信息输出。
命令模式 配置模式
参数说明 参数 说明
status 输出邻居状态机的状态
events 输出邻居状态机上发生的事件
timers 输出邻居状态机触发的时钟
16-29
第 16 章 配置 OSPF
命令模式 配置模式
参数说明 参数 说明
hello 输出hello报文信息
dd 输出database description报文信息
ls-request 输出request报文信息
ls-update 输出update报文信息
ls-ack 输出ack报文信息
all 输出所有ospf报文类型
命令模式 配置模式
参数说明 参数 说明
hello 输出hello报文信息
16-30
第 16 章 配置 OSPF
dd 输出database description报文信息
ls-request 输出request报文信息
ls-update 输出update报文信息
ls-ack 输出ack报文信息
all 输出所有ospf报文类型
send 输出发送报文信息
recv 输出接收报文信息
detail 输出详细显示报文内容
命令模式 配置模式
参数说明 参数 说明
hello 输出hello报文信息
dd 输出database description报文信息
ls-request 输出request报文信息
ls-update 输出update报文信息
ls-ack 输出ack报文信息
all 输出所有ospf报文类型
send 输出发送报文信息
recv 输出接收报文信息
detail 输出详细显示报文内容
16-31
第 16 章 配置 OSPF
debug ospf rm
命令格式
no debug ospf rm
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明
interface 输出接口添加、删除的信息
redistribute 输出路由重分布的信息
16-32
第 16 章 配置 OSPF
参数说明 参数 说明
always 不论是否产生了由其他协议redistribute来
的缺省路由,都产生一条缺省路由
<1-2> 缺省路由的类型
<0-16777214> 缺省路由的metric
<WORD> 指定一个route-map
16.4.22 default-metric
default-metric <0-16777214>
命令格式
no default-metric
参数说明 参数 说明
<0-16777214> 指定缺省的OSPF metric
16-33
第 16 章 配置 OSPF
16.4.23 distance
distance <1-255>
命令格式
no distance <1-255>
参数说明 参数 说明 缺省配置
<1-255> OSPF路由的distance 110
distance ospf
相关命令
16-34
第 16 章 配置 OSPF
参数说明 参数 说明
intra-area <1-255> 设置intra-area路由的distance
inter-area <1-255> 设置inter-area路由的distance
external <1-255> 设置external路由的distance
distance
相关命令
16.4.25 distribute-list
16-35
第 16 章 配置 OSPF
参数说明 参数 说明
<WORD> 用来过滤的access list的名字
[connected|static|rip] 指定对哪个来源的外部路由的引入进行过滤
配置静态路由。
ip route 1.1.1.0/24 10.0.0.99
ip route 1.1.2.0/24 10.0.0.99
ip route 1.1.3.0/24 10.0.0.99
指定OSPF转发静态路由,并且对它们进行过滤。
router ospf
redistribute static
distribute-list a1 out static
exit
下面是结果:
flex1(config)#show ip ospf database
可以看到只引入了access list允许的路由。其它的路由都被过滤掉了。
16-36
第 16 章 配置 OSPF
参数说明 参数 说明 缺省配置
<AUTH_KEY> 密码,长度为8个有效字节 空字符串
create vlan v1
配置实例
interface v1
ip ospf authentication-key testpass
exit
area authentication
相关命令
参数说明 参数 说明
<1-65535> 端口的metric
16-37
第 16 章 配置 OSPF
参数说明 参数 说明 缺省配置
<1-65535> dead-interval,单位:秒 40
参数说明 参数 说明 缺省配置
<1-65535> OSPF发送Hello包的时间间隔,单位:秒 10
16-38
第 16 章 配置 OSPF
参数说明 参数 说明
<1-255> 密码的ID
<KEY> 密码,16个有效字节
create vlan v2
配置实例
interface v2
ip ospf message-digest-key 1 md5 testpass
exit
area authentication
相关命令
ip ospf mtu-ignore
命令格式
no ip ospf mtu-ignore
create vlan v2
配置实例
interface v2
ip ospf mtu-ignore
exit
命令功能 配置与缺省网络类型不同的网络类型。
16-39
第 16 章 配置 OSPF
其对应的 no 命令恢复原来的网络类型。
参数说明 参数 说明
broadcast 设置网络类型为broadcast
non-broadcast 设置网络类型为NBMA
point-to-mulpoint 设置网络类型为点对多点
point-to-point 设置网络类型为点对点
neighbor(OSPF)
相关命令
frame-relay map
参数说明 参数 说明 缺省配置
<0-255> 优先级 1
16-40
第 16 章 配置 OSPF
interface v1
ip ospf priority 3
exit
参数说明 参数 说明 缺省配置
<3-65535> LSA的重传时间间隔,单位:秒 5
参数说明 参数 说明 缺省配置
<1-65535> transmit-delay,单位:秒 1
16-41
第 16 章 配置 OSPF
16.4.36 neighbor
参数说明 参数 说明 缺省配置
<A.B.C.D> Neighbor的接口地址 ——
<0-255> Neighbor的优先级 0
<1-65535> Neighbor的poll报文间隔 60
16-42
第 16 章 配置 OSPF
参数说明 参数 说明
<A.B.C.D/M> 执行OSPF的网段地址
<A.B.C.D>|<0-4294967295> 设置area ID,支持IP地址模式和数字模式
16.4.38 passive-interface
参数说明 参数 说明
< ifname > 指定端口,禁止通过这个端口的OSPF通讯
16-43
第 16 章 配置 OSPF
router ospf
配置实例
passive-interface v1
exit
16.4.39 redistribute
参数说明 参数 说明
connected|static|rip 指定转发路由的来源,分别表示直连路由、静态
路由、和rip路由
<0-16777214> 因为各路由协议之间的metric不能通用,所以用
这个参数指定转发路由时设置的metric
<1-2> 指定被转发的路由的路径类型
<WORD> 指定一个route-map对转发的路由进行过滤
16.4.40 router-id
router-id <A.B.C.D>
命令格式
no router-id
16-44
第 16 章 配置 OSPF
参数说明 参数 说明
<A.B.C.D> 用IP地址格式指定router ID
router ospf
命令格式
no router ospf
命令模式 配置模式
命令模式 配置模式
16-45
第 16 章 配置 OSPF
show ip ospf
命令格式
命令模式 配置模式
Harbour(config)#show ip ospf
配置实例
OSPF Routing Process, Router ID: 12.0.0.2
Supports only single ToS (ToS0) routes
This implementation conforms to RFC2328
RFC1583Compatibility flag is disabled
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Refresh timer 10 secs
This router is an ASBR (injecting external routing information)
Number of external LSA 0
Number of areas attached to this router: 2
(下面这段是对某个area的描述。)
Area ID: 0.0.0.1
Shortcutting mode: Default, S-bit consensus: ok
Number of interfaces in this area: Total: 1, Active: 1
Number of fully adjacent neighbors in this area: 0
Area has no authentication
Number of full virtual adjacencies going through this area: 0
SPF algorithm executed 3 times
Number of LSA 1
命令模式 配置模式
16-46
第 16 章 配置 OSPF
参数说明 参数 说明
<A.B.C.D> 显示指定类型的LSA的内容,IP用来指定
LSA的link state ID
adv-router <A.B.C.D> 显示指定路由器产生的LSA,IP用来指定路
由器的router ID
16-47
第 16 章 配置 OSPF
命令模式 配置模式
参数说明 参数 说明
<INTERFACE> 端口名
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 用router ID来指定邻居
Detail 显示详细信息
配置实例 下面是不加参数的例子:
16-48
第 16 章 配置 OSPF
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 用router ID来指定邻居
16-49
第 16 章 配置 OSPF
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 用router ID来指定邻居
命令功能 显示路由的分类统计值和路由总量信息。
命令模式 配置模式
命令模式 配置模式
16.4.52 summary-address
summary-address <A.B.C.D/M>
命令格式
summary-address <A.B.C.D/M> not-advertise
no summary-address <A.B.C.D/M>
命令功能 设置外部聚合路由。
16-50
第 16 章 配置 OSPF
参数说明 参数 说明
<A.B.C.D/M> 网络地址,用来指定对哪个网段的路由进行聚合
not-advertise 不通告此条聚合路由
默认状态 缺省状态下不进行路由聚合。
参数说明 参数 说明 缺省配置
<10-1800> 两次LSA刷新的时间间隔,单位:秒 10
16-51
第 17 章 配置路由策略
17 第17章 配置路由策略
17.1 路由策略概述
所谓路由策略,实际上是一种对路由协议收发、引入的路由进行人为干涉的手段,
使网络管理员可以在必要时调整、控制特定路由信息。干涉的方式主要是对路由信
息做过滤,接受某些路由,拒绝另一些路由。有的手段(routemap)也可以对路由
的属性做修改,如人为设置某些路由的下一跳,metric 等。
路由策略属于路由配置工作中的高级内容,只在必要时才使用。由于它是对路由协
议的工作进行人为干涉,应该由有经验的网络管理员设计、实施,以免造成网络路
由方面的故障。
使用路由策略通常要先定义路由过滤规则,可以使用的方式有访问列表、前缀列表
和路由映像。定义过滤规则之后,再把规则应用到路由协议的多种处理环节,从而
达到控制路由处理过程的作用。
17.1.1 访问列表(access-list)
17.1.2 前缀列表(prefix-list)
描述一个 IP 前缀范围是否可接受,用于路由目的地址的过滤。用户可以指定多个 IP
前缀范围,并指定接受或拒绝。前缀列表规定了一个地址前缀的范围,对匹配它的
IP 前缀做判断。
一个 IP 前缀范围形如“10.1.0.0/16,掩码范围为 16-24”
。它可以匹配 10.1.0.0/16、
17-1
第 17 章 配置路由策略
17.1.3 路由映像(routemap)
路由映像(routemap)是专用于路由策略的一种比较复杂的过滤和处理工具。每个
routemap 由一组 match 条件和一组 set 命令构成。其中 match 条件可以匹配路由
的多种属性,而 set 命令则可以修改被匹配路由的很多属性。Routemap 本身又分为
允许和拒绝两种类型,可以指定是否接受匹配的路由。如果没有匹配任何条目,将
对经过过滤的路由进行“拒绝”处理。
17.2 配置路由策略
17.2.1 配置路由策略的访问列表
配置步骤
17.2.2 配置路由策略的前缀列表
配置步骤
17-2
第 17 章 配置路由策略
17.2.3 配置路由策略的路由映像
配置步骤
17.3 命令参考
命令模式 配置模式
参数说明 参数 说明
<name> access-list名称,字符串或正整数
<1-65535> access-list的级别,正整数
[deny| permit] 拒绝或接受匹配的路由信息
<A.B.C.D/M> 指定匹配的IP地址和掩码长度
any 指定匹配所有的路由
使用指导 本命令创建或删除访问列表,之后应使用路由协议的相关命令将其应用到
所需要路由过滤的环节。
每一个 access-list 可包含多个元素,它们在 ACL 中各种描述语句的放置顺
序很重要,因为它的应用是按照描述语句在 ACL 中的顺序,根据各描述语
句的判断条件,对数据包进行检查。一旦找到某一匹配条件,就结束比较
过程,不再检查以后的其他条件判断语句。
访问列表可以配置多个地址范围,使用相同的访问列表名称多次使用此命
令即可。分以下四种情形:
17-3
第 17 章 配置路由策略
对于不同的访问控制元素,不同级别,执行结果:按优先级别加入;
对于不同的访问控制元素,相同级别,执行结果:替代以前的元素;
对于同一个访问控制元素,相同级别;执行结果:对于访问控制列表没有
影响;
对于同一个访问控制元素,不同级别,执行结果:替代以前的级别后,再
按优先级别加入。
在每个 access-list 的最后都有一默认匹配项“deny any”,进行相应配置时
需引起注意。
对接口v2接收的所有的RIP路由进行过滤
配置实例
Harbour(config)#access-list route a1 4 deny 10.1.1.1/16
Harbour(config)#access-list route a1 3 deny 12.1.1.1/16
Harbour(config)#access-list route a1 31 deny 14.1.1.1/16
Harbour(config)#access-list route a1 32 deny 14.1.1.1/16
Harbour(config)#access-list route a1 32 deny 13.1.1.1/16
Harbour(config)#show access-list route
access-list route a1 3 deny 12.1.1.1/16
access-list route a1 4 deny 10.1.1.1/16
access-list route a1 32 deny 13.1.1.1/16
access-list description
相关命令
distribute-list
命令模式 配置模式
参数说明 参数 说明
<name> access-list名称
<desc> 说明字符串
access-list route
相关命令
17-4
第 17 章 配置路由策略
17.3.3 ip lan_aggregate
ip lan_aggregate <A.B.C.D/M>
命令格式
no ip lan_aggregate <A.B.C.D/M>
命令功能 将几个相邻的子网聚合成一个更大的子网。
其对应的 no 命令删除聚合的子网。
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D/M> 聚合后的子网及其掩码
使用指导 将几个相邻的子网聚合成一个更大的子网可以减少网络路由。由于只有 2K
主机表和 16 条网段表,路由条目(包括静态、直连和动态学习等所有路由)
应该小于或等于 16 条(如果存在默认路由,必须小于或等于 15 条,因为
默认路由需要占用 2 条网段表项);否则会有大量的 L3 交换需要软件路由
实现,导致 CPU 负载过重。对于路由条数大于 16 条时的组网,视其情况
可对路由进行汇聚。
17.3.4 ip prefix-list
命令功能 配置前缀列表,允许或拒绝指定目的网段的路由通过。
其对应的 no 命令删除前缀列表。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> 前缀列表的名称,字符串 ——
<seq-no> 前缀列表的序号,1-4294967295 5
[deny|permit] 拒绝或接受指定的地址范围 ——
<A.B.C.D/M> 要匹配的IP地址范围 ——
17-5
第 17 章 配置路由策略
masklen1 匹配范围要求掩码长度大于等于此数值, M
取值为M+1至32
masklen2 匹配范围要求掩码长度小于等于此数值, 32
取值为M+1至32
any 匹配任何IP地址 ——
默认状态 无前缀列表。
使用指导 本命令创建或删除前缀列表,之后应使用路由协议的相关命令将其应用到
所需要路由过滤的环节。必要时可以通过 ge 和 le 子句给出前缀的掩码范
围,要求 M<masklen1<=masklen2。这时可以匹配成功的前缀掩码范围为:
masklen1 <= 被检验的掩码长度 <= masklen2
没有通过 ge 和 le 子句给出前缀的掩码范围时可以匹配成功的前缀掩码范
围为:M <= 被检验的掩码长度 <= 32
前缀列表可以由多个地址段构成。创建时应使用相同的前缀列表名称,但
配置不同的序列号。较小序列号的地址段将首先被匹配。序号可不连续。
在进行地址匹配时,如果一个地址匹配上一个地址段时,对于 permit 类型
的地址段则通过了过滤,对于 deny 类型则没有通过过滤,这时不会检查后
面的地址段。如果地址不在地址段范围中,则检查按序号下一个地址段。
ip prefix-list description
相关命令
命令功能 配置前缀列表的说明文字。
其对应的 no 命令取消对前缀列表的说明文字的配置。
命令模式 配置模式
参数说明 参数 说明
<name> 前缀列表的名称,字符串
<desc> 前缀列表的说明文字,字符串
17-6
第 17 章 配置路由策略
默认状态 无前缀列表说明。
ip prefix-list
相关命令
参数说明 参数 说明
<IFNAME> 接口名
默认状态 无匹配条件。
参数说明 参数 说明
17-7
第 17 章 配置路由策略
<ACLName> access-list名字
默认状态 无匹配条件。
参数说明 参数 说明
<PrefixListName> prefix-list名字
默认状态 无匹配条件。
17-8
第 17 章 配置路由策略
参数说明 参数 说明
<ACLName> access-list名字
默认状态 无匹配条件。
参数说明 参数 说明
<0-4294967295> 路由metric值
默认状态 无匹配条件。
17.3.11 on-match
命令模式 配置模式
参数说明 参数 说明
<1-65535> 路由图配置子句的索引号
使用指导 该命令可以控制路由图中各个子句的执行顺序。在默认情况下,路由图子
句在执行过程中,一旦发现匹配成立,则整个路由图后续的子句不再执行。
通过使用 GOTO 路由图子句的索引号,可以控制路由图继续执行指定的索
引子句,同样通过使用 NEXT 选项可以控制路由图继续执行下一条索引子
句。此命令的使用给路由图使用带来了一定的灵活性,但如果使用不当,
则会引入某些错误,所以建议在一般情况下不要使用此命令。
17-10
第 17 章 配置路由策略
17.3.12 route-map
命令模式 配置模式
参数说明 参数 说明
<name> route map名称
deny 若match匹配,则过滤不通过,
不对指定的路由进行操作
permit 若有match匹配,则过滤通过,
对指定路由将在set命令处理后
进行操作,否则将忽略路由
<1-65535> 该route-map命令的序列号
17-11
第 17 章 配置路由策略
参数说明 参数 说明
<A.B.C.D> 下一跳地址
route-map
相关命令
17-12
第 17 章 配置路由策略
参数说明 参数 说明
<0-4294967295> 路由metric值
route-map
相关命令
参数说明 参数 说明
type-1 路由metric类型1
type-2 路由metric类型2
route-map
相关命令
17-13
第 17 章 配置路由策略
命令功能 显示路由类型的访问列表配置信息。
命令模式 配置模式
配置实例 显示所有用于路由过滤的访问列表:
Harbour(config)#show access-list route
show ip lan_aggregate
命令格式
命令功能 显示所有聚合的子网。
命令模式 只读模式、配置模式
命令模式 配置模式
参数说明 参数 说明
<name> route map名
17-14
第 18 章 配置组播路由协议
18 第18章 配置组播路由协议
18.1 概述
18.1.1 三层组播概述
18-1
第 18 章 配置组播路由协议
层设备,在多个网段之间选择组播转发路由,控制组播数据有效地转发到需要数据
的网段,避免转发到不需要的网段,并可以抑制数据重复转发到一个网段上。
三层组播的上层应用通常包括:视频点播、视频会议、远程教学、电子白板、数据
公告(如股市行情)等。
18.1.2 IGMP协议
18.1.3 PIM-SM协议
组播路由建立了一条沟通数据源和接收者之间的无环数据传输路径;路由项由两部
分组成:匹配条件和接口信息。匹配条件有三种格式:
(S,G)路由 路由匹配条件为源地址和组地址。
(*,G)路由 路由匹配条件为组地址。
(*,*,RP)路由 路由匹配条件为集中点(RP)地址。
接口信息包括入接口(iif)和出接口列表(oifs)。
所有组播路由协议都使用 RPF(反向路径转发)机制来决定是否转发或者丢弃组播数
据包。当组播数据包到达路由设备时,路由器根据数据包的源地址反向查找单播路
18-2
第 18 章 配置组播路由协议
由表以确定该数据包是否从正确的接口进入的,如果检查成功则转发,检查失败则
丢弃。
PIM(Protocol Independent Multicast)协议是一种独立于单播路由协议的组播协议,
分为密集模式(Dense Mode)和稀疏模式(Sparse Mode)两种。密集模式适合于组播
源和接收者物理距离近、数据报文流量大而且持续、接收者密度较大的网络,典型
的例子是局域网;稀疏模式适合于组播源和接收者散布在很大地域且带宽有限的网
络中,典型的例子如 Internet。
在 PIM-SM 协议中,每个设备可能充当以下几种角色:DR(指定路由器) 、RP(集中
点)、BSR(启动消息发出者)。在一个网段上的 PIM 设备将通过竞争产生出 DR 来负
责这个网段上的组播数据收发。RP 是一个组播域中公认的中间节点,是 PIM 网络
中共享路径转发树(RPT)的根。对一个特定的组播组 G,必须在整个组播域中映
射到同一个 RP。BSR 是一个组播域中 bootstrap 信息的收集和定期发送者,它接
受来自候选 RP 的候选通告报文,并定期将它掌握的候选 RP 信息向全网公布。在
边界 DR 上,通过运行 IGMP 协议来管理接收者对特定组 G 的加入/退出信息的。
PIM-SM 协议中,通过维护组播域中各个设备上的组播路由表而形成了转发路径树,
可以将转发树分成两类:以集中点 RP 为根的共享路径树(RPT)和以源 DR 为根的最
优树(SPT)。为了优化组播数据包的转发路径,在通信流量达到某个阀值后从共享
路径转发树切换到以源 DR 为根的转发树。本系统中该切换的流量阈值为 0,即只
要有 RPT 数据流到达就会立刻切换到 SPT。
PIM-SM 协议中的主要协议报文有 7 种,包括:
Hello: 运行 PIM-SM 的接口定期发送 Hello,以便与同网段上的 PIM 设备建立
和维持邻居关系;同时通过 PIM 竞争产生本网段的 DR。
Register: 组播源网段内的 DR(简称源 DR)在收到组播服务器发出的组播报文
后,将该报文封装在注册(register)报文中,用单播方式发送给对应于该组的 RP。
Register-Stop:当不需要再用 RPT 转发时,
RP 向源 DR 发送一个 Register-stop
报文,告知源 DR 停止发送 register 报文。
Join/Prune: 是从下游路由器发往源或者 RP 方向的报文,用于将一个接口加
入到组播路径转发树或将一个接口从组播转发树中剪枝。
Bootstrap: 是 BSR 定期向组播域中其他设备通告候选 RP 时使用的报文。
Assert: 在多介质访问网络(如以太网)中,存在一个以上并列的设备,导致其
中一设备的出接口收到组播数据包时,会引发发送断言报文,竞争产生获胜者。
Cand-RP-Adv: 候选 RP 会定期向 BSR 报告其上配置的候选 RP 信息使用的
报文。
PIM-SM 协议的标准过程:起始时,BSR 会在全网上发布候选 RP 信息,以便形成
18-3
第 18 章 配置组播路由协议
18.2 配置组播路由协议
18.2.1 IGMP基本配置
18.2.2 PIM-SM基本配置
在一个组播域中必须保证至少有一个激活的候选 BSR,对每个组播组必须保证至少
存在一个可以映射到的 RP。配置方法是在选定的设备上,在配置模式下运行 ip pim
bsr 和 ip pim rp。
在接口上启动组播有两种方式:同时启动 PIM 等组播协议和 IGMP 协议,或只启动
IGMP 协议。对于面向只接收组播数据流的最终用户的接口,可以使用 ip igmp only
命令配置该接口只运行 IGMP,以减少网络复杂度。而 ip pim 命令则在接口上同时
启动了 PIM 和 IGMP。
18-4
第 18 章 配置组播路由协议
配置步骤
步骤1 ip multicast-routing 启动组播
步骤2 ip pim bsr 配置BSR和候选RP
ip pim rp
步骤3 ip igmp only 在接口上启动组播
或
ip pim
组播路由的入接口只能是三层板卡端口
注意
18.2.3 配置动态RP发现
配置步骤
步骤1 在v2接口启动PIM-SM协议
Hammer01(config)# interface v2
Hammer01(config-if)# ip pim sparse-mode
Hammer01(config-if)# exit
步骤2 在运行default接口启动IGMP
Hammer01(config)# interface default
Hammer01(config-if)#ip igmp only
Hammer01(config-if)# exit
步骤3 设备Hammer01的default接口为组播组225.0.0.0/8的候选RP
Hammer01(config)# ip pim rp-candidate default group 225.0.0.0/8
步骤4 v2接口为该组播域中一个候选BSR,计算RP映射时的掩码长度为30,在BSR
选举中优先级为20
Hammer01(config)# ip pim bsr-candidate v2 hash-mask-length 30
priority 20
18-5
第 18 章 配置组播路由协议
18.3 配置案例
18.3.1 建立组播
图18-1 建立组播组网图
案例描述
如图 18-1 所示,各个设备的 v25/v26 接口均为三层板卡的接口,具备三层组播转
发功能。Hammer01 做为组播源 DR 出现,Hammer02 做为目的 DR,Hammer03
的两个接口分别作为候选 RP 和 BSR。由于图中 Hammer02 的接口 v2 并不与其他
组播路由器交互,该接口上可以只运行 IGMP 的方式启动组播。
配置步骤
步骤1 Hammer01的配置
Hammer01 (config)# ip multicast-routing
Hammer01 (config)# interface v25
18-6
第 18 章 配置组播路由协议
18.3.2 路由策略
案例描述
现在使用访问控制列表对上例进行控制,假设如下的限制条件:
使源 DR Hammer01 的 v3、v4 接口仅发布组播组为 225.0.0.0/8、源 IP 为
16.1.1.99 的组播报文;
使 Hammer03 的 v25 不能与 23.0.0.0/8 网段内的路由设备建立邻居关系;
使 Hammer03 的 v3 只接受下游设备对组 225.0.3.15 的加入;
使 Hammer02 的 v2 只接受组 225.0.3.15 的成员报告。
配置步骤
步骤1 Hammer01的配置
Hammer01(config)# access-list route sdrgrp_acl permit 225.0.0.0/8
Hammer01(config)# access-list route sdrsrc_acl permit 16.1.1.99/32
Hammer01(config)# interface v3
Hammer01(config-if)# ip pim source-dr-filter group sdrgrp_acl
Hammer01(config-if)# ip pim source-dr-filter source sdrsrc_acl
Hammer01(config-if)# exit
Hammer01(config)# interface v4
Hammer01(config-if)# ip pim source-dr-filter group sdrgrp_acl
Hammer01(config-if)# ip pim source-dr-filter source sdrsrc_acl
18-7
第 18 章 配置组播路由协议
Hammer01(config-if)# exit
步骤2 Hammer03的配置
Hammer03(config)# access-list route neig_acl deny 23.0.0.0/8
Hammer03(config)# access-list route down_acl permit 225.0.3.15/32
Hammer03(config)# interface v25
Hammer03(config-if)# ip pim neighbor-filter neig_acl
Hammer03(config-if)# exit
Hammer03(config)# interface v3
Hammer03(config-if)# ip pim downstream-filter down_acl
步骤3 Hammer02的配置
Hammer02(config)# access-list route igmpgrp_acl permit
225.0.3.15/32
Hammer02(config)# interface v2
Hammer02(config-if)# ip igmp access-group igmpgrp_acl
Hammer02(config-if)# exit
18.4 常用调试功能
应用环境
此命令用来打开 IGMP 调试信息开关。显示 IGMP 报文收发信息或 IGMP 组成员变
化信息。
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug igmp 命令禁用此功能。
应用环境
此命令用来打开 PIM 调试信息开关。
18-8
第 18 章 配置组播路由协议
只有高级用户才可以使用此命令,由于此命令会在命令行上打
印大量信息,占用很多 CPU 资源。因此强烈建议用户,当调试
注意 结束时,一定要用 no debug pim 命令禁用此功能。
18.5 命令参考
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> IGMP组地址
<ifname> 接口名称,大小写敏感
18-9
第 18 章 配置组播路由协议
命令功能 删除组播路由表。
命令模式 配置模式
参数说明 参数 说明
第一个<A.B.C.D> 组地址
第二个<A.B.C.D> 源地址
使用指导 无参数时表示删除整个组播路由表,将停止所有组播路由转发。只输入组
地址时,表示删除所有组地址为指定地址的组播路由项,停止对相关组的
组播转发。输入组地址和源地址时,表示删除一个指定组地址和原地址的
路由。在协议的作用下,路由可能很快得到恢复。
show ip mroute
相关命令
命令模式 配置模式
参数说明 参数 说明
packet 显示IGMP报文收发信息
member 显示IGMP组成员变化信息
默认状态 所有调试开关都关闭。
使用指导 有经验的用户可根据需要打开某些调试开关查看协议运行中输出的调试信
息,帮助分析协议运行状态,解决网络运行问题。
18-10
第 18 章 配置组播路由协议
monitor
相关命令
命令模式 配置模式
参数说明 参数 说明
packet 显示PIM报文收发信息
hello 显示PIM hello报文收发信息
register 显示PIM register报文收发信息
join-prune 显示PIM join-prune报文收发信
息
bootstrap 显示PIM bootstrap报文收发信
息
assert 显示PIM assert报文收发信息
cand-rp 显示PIM cand-rp报文收发信息
all 显示PIM所有报文收发信息
mrt 显示组播路由表更新信息
timer 显示PIM协议中定时器事件信息
默认状态 所有调试开关都关闭。
使用指导 有经验的用户可根据需要打开某些调试开关查看协议运行中输出的调试信
息,帮助分析协议运行状态,解决网络运行问题。
monitor
相关命令
18-11
第 18 章 配置组播路由协议
命令功能 用访问列表控制特定组播组的成员报告。
No 命令用于清除该过滤策略。
命令模式 接口配置模式
参数说明 参数 说明
<access_list> 访问列表的名称
默认状态 本设备不过滤,即接收所有组播组的成员报告。
使用指导 在组播域的边缘路由设备的特定接口上启动该过滤机制后,会对接收到的
IGMP 成员报告报文进行过滤,以保证接受或不接受特定范围内的组播组
成员报告。
access-list route
相关命令
命令模式 配置模式
参数说明 参数 说明
<1-65535> 成员超时时间,单位:秒
18-12
第 18 章 配置组播路由协议
使用指导 按协议规定,成员超时时间为:可靠系数*查询间隔+响应时间,缺省为
2*125+10 秒,即 260 秒。
查询间隔是可以配置的。当查询时间被修改后,成员超时
时间会按这个公式重新计算,可能会不再是原来配置的成
注意 员超时时间。
ip igmp querier-timeout
相关命令
ip igmp query-interval
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明
<1-65535> IGMP查询间隔,单位:秒
18-13
第 18 章 配置组播路由协议
ip igmp member-timeout
相关命令
ip igmp querier-timeout
命令模式 配置模式
参数说明 参数 说明
<60-300> IGMP查询者超时时间,单位:秒
ip igmp member-timeout
相关命令
ip igmp query-interval
18-14
第 18 章 配置组播路由协议
命令模式 接口配置模式
参数说明 参数 说明
<A.B.C.D> 组地址
默认状态 无静态成员。
18.5.11 ip multicast-routing
ip multicast-routing
命令格式
no ip multicast-routing
命令功能 启动三层组播转发功能。
其对应的 no 命令停止组播路由协议。
命令模式 配置模式
默认状态 三层组播转发功能未启动。
ip pim sparse-mode
相关命令
ip igmp only
18-15
第 18 章 配置组播路由协议
ip pim bsr-border
命令格式
no ip pim bsr-border
no ip pim bsr-candidate
命令模式 接口配置模式
命令模式 配置模式
参数说明 参数 说明 缺省配置
<interface> 选择候选BSR IP地址的接口名称 ——
<0-32> BSR计算RP映射时的掩码长度 0
<0-255> 候选BSR竞争BSR的优先级 0(最小)
18-16
第 18 章 配置组播路由协议
20
ip pim rp-candidate
相关命令
命令功能 用访问列表控制下游设备加入特定组播组。
No 命令用于清除该过滤策略。
命令模式 接口配置模式
参数说明 参数 说明
<access_list> 访问列表的名称
默认状态 本设备不过滤,即接受来自下游的所有组播组的加入请求。
access-list route
相关命令
命令模式 接口配置模式
参数说明 参数 说明
<0-4294967294> DR优先级
18-17
第 18 章 配置组播路由协议
<0-4294967294> DR优先级
命令模式 配置模式
参数说明 参数 说明 缺省配置
<1-65535> JOIN-PRUNE消息发送间 60
隔,单位:秒
ip pim query-interval
相关命令
命令功能 用访问列表控制与邻接设备建立邻居关系。
18-18
第 18 章 配置组播路由协议
No 命令用于清除该过滤策略。
命令模式 接口配置模式
参数说明 参数 说明
<access_list> 访问列表的名称
默认状态 本设备不过滤,即可与任一相连组播路由器建立邻居关系。
access-list route
相关命令
命令模式 接口配置模式
参数说明 参数 说明 缺省配置
<1-18724 > HELLO消息发送间隔,单位:秒 30
Harbour(config)# interface v2
配置实例
Harbour(config-if)# ip pim query-interval 25
ip pim message-interval
相关命令
18-19
第 18 章 配置组播路由协议
命令模式 配置模式
参数说明 参数 说明 缺省配置
<A.B.C.D> 静态RP地址 ——
<A.B.C.D/M> RP可以负责的组地址范围 224.0.0.0/4(所有组)
<0-254> 静态RP的优先级 0(最高)
override 覆盖bootstrap消息申明的RP表 ——
ip pim bsr-candidate
相关命令
ip pim rp-address
命令模式 配置模式
参数说明 参数 说明 缺省配置
18-20
第 18 章 配置组播路由协议
ip pim bsr-candidate
相关命令
ip pim rp-address
ip pim sparse-mode
命令格式
no ip pim sparse-mode
命令模式 接口配置模式
18-21
第 18 章 配置组播路由协议
ip multicast-routing
相关命令
ip igmp only
命令功能 在接口上配置多播源地址时不作严格检查。
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 多播源IP地址
<IFNAME> 指定接口名字
使用指导 此命令只用于对特定的多播源地址不在接口直连路由的网段内,而把此源
地址直接当作直连的源对待时使用。通过使用此命令可以实现对指定接口
上的特定多播源地址不作合法性或 RPF 检查,而直接当作直连的源对待,
同时此路由器成为对应于这个组播源的 DR。此命令需要与扩展 ARP 代理
和直连路由配合使用来实现组播的特殊应用。
命令功能 在源 DR 上,用访问列表控制发布特定组地址的组播数据包。
No 命令用于清除该过滤策略。
18-22
第 18 章 配置组播路由协议
命令模式 接口配置模式
参数说明 参数 说明
<access_list> 访问列表的名称
默认状态 本设备不过滤,即发布所有组地址的组播数据包。
使用指导 在源 DR 的特定的接口上启动该过滤机制,在发布组播数据报文时进行过
滤,以保证发布或不发布组播组地址在特定范围内的组播数据包。
access-list route
相关命令
命令功能 在源 DR 上,用访问列表控制发布特定源地址的组播数据包。
No 命令用于清除该过滤策略。
命令模式 接口配置模式
参数说明 参数 说明
<access_list> 访问列表的名称
默认状态 本设备不过滤,即发布所有源的组播数据包。
使用指导 在源 DR 的特定的接口上启动该过滤机制,在发布组播数据报文时进行过
滤,以保证发布或不发布源地址在特定范围内的组播数据包。
通过使用访问列表sdrsrc_acl使得源DR的接口v2仅发送源地址范围为16.0.0.0~
配置实例
16.255.255.255的组播数据包。
Harbour(config)# access-list route sdrsrc_acl permit 16.0.0.0/8
Harbour(config)# interface v2
Harbour(config-if)# ip pim source-dr-filter source sdrsrc_acl
18-23
第 18 章 配置组播路由协议
access-list route
相关命令
命令模式 配置模式
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明
<ifname> 接口名称
<A.B.C.D> 组成员IP地址
18-24
第 18 章 配置组播路由协议
ip igmp static-group
相关命令
命令模式 配置模式
ip igmp member-timeout
相关命令
ip igmp querier-timeout
ip igmp query-interval
命令功能 显示组播路由表。
命令模式 配置模式
参数说明 参数 说明
summary 按种类统计路由数量
18-25
第 18 章 配置组播路由协议
命令模式 配置模式
ip pim bsr-candidate
相关命令
命令模式 配置模式
参数说明 参数 说明
<ifname> 接口名称
命令模式 配置模式
18-26
第 18 章 配置组播路由协议
参数说明 参数 说明
<ifname> 接口名称
show ip pim rp
命令格式
命令模式 配置模式
ip pim rp-candidate
相关命令
show ip pim rp-hash
命令模式 配置模式
ip pim rp-candidate
相关命令
show ip pim rp
18-27
第 18 章 配置组播路由协议
命令模式 配置模式
ip pim rp-candidate
相关命令
show ip pim rp
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> 组播源IP
18-28
第 19 章 配置 QoS
19 第19章 配置 QoS
19.1 概述
QoS 优先级顺序
19-1
第 19 章 配置 QoS
区别服务(DiffServ)
服务类型(ToS)
19.2 配置QoS
19.2.1 基于MAC的优先级配置
配置案例
步骤1 配置基于MAC的优先级
Harbour(config)#create fdbentry 001122334455 vlan default port 5
priority 7
步骤2 查看配置信息
19-2
第 19 章 配置 QoS
****************************MAC
Qos*******************************
MAC address Port VLAN name Priority
00:11:22:33:44:55 5 default 7
19.2.2 基于PORT的优先级配置
配置案例
步骤1 使能端口到802.1p优先级的重新映射功能
Harbour(config)#config port 1 remap-priority on
步骤2 配置端口到802.1p优先级的重新映射
Harbour(config)#config port 1 remap-priority 6
步骤3 查看配置情况
Harbour(config)#show qos port
****************************Port
Qos*******************************
Port: 1's 802.1p priority is 6.
19.2.3 基于ACL的优先级配置
配置步骤
19-3
第 19 章 配置 QoS
配置案例
步骤1 配置基于ACL的优先级
Harbour(config)#config acl test priority 6
步骤2 查看配置信息
Harbour(config)#show qos acl
****************************Acl
Qos*******************************
ACL : test's 802.1p priority is 6.
19.2.4 基于VLAN的优先级配置
配置步骤
配置案例
步骤1 配置基于VLAN的优先级
Harbour(config)#config vlan test priority 7
步骤2 查看配置信息
Harbour(config)#show qos vlan
****************************VLAN
Qos*******************************
VLAN: test's 802.1p priority is 7.
19.2.5 DiffServ相关配置
19-4
第 19 章 配置 QoS
DiffServ 配置步骤
19.2.6 ToS相关配置
19-5
第 19 章 配置 QoS
19.2.7 带宽限制
1. 基于端口的带宽限制
配置步骤
配置案例
步骤1 配置端口的入口带宽限制
Harbour(config)#config port 3 bandwidth input 20
步骤2 配置端口的出口带宽限制
Harbour(config)#config port 3 bandwidth output 20
步骤3 查看端口的带宽限制信息
Harbour(config)#show bandwidth port 3
2. 基于 ACL 的带宽限制
配置步骤
19-6
第 19 章 配置 QoS
19.3 命令参考
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明
acl <name> ACL名称
meter <name> METER名称
no acl meter
相关命令
show acl meter
19-7
第 19 章 配置 QoS
命令模式 配置模式
参数说明 参数 说明
<name> ACL策略名称
<0-7> 优先级
no acl priority
相关命令
show acl priority
命令模式 配置模式
命令模式 配置模式
19-8
第 19 章 配置 QoS
参数说明 参数 说明
[enable|disable] 启动或关闭
命令模式 配置模式
参数说明 参数 说明
[on|off] 打开或关闭
命令模式 配置模式
参数说明 参数 说明
[0-7|8-15|16-23|24-31|32-3 dscp codepoint值
9|40-47|48-55|56-63]
<0-7> 802.1p优先级
19-9
第 19 章 配置 QoS
命令模式 配置模式
参数说明 参数 说明
<mac_addr> mac地址和Mac段掩码
<mac_mask>
auto 在启动dot1x功能的前提下,端口未通过认证的情况下,对源
mac为任何值的报文都不转发,此为默认状态
forceauth 在启动dot1x功能的前提下,无论端口认证状态如何,对源mac
为指定的mac或mac段的报文进行转发
命令功能 配置指定端口的入口/出口带宽和漏桶大小。
命令模式 配置模式
19-10
第 19 章 配置 QoS
参数说明 参数 说明 缺少配置
<portlist> 端口列表 ——
all 所有端口 ——
[input|output] 入口/出口 ——
<0-127> 允许的带宽,单位M(百兆口),8M(千兆口) ——
[smallest|sm 漏桶大小,影响漏桶对突发流量的容忍程度,越 biggest
all|medium|bi 大的值表示对突发流量越能承受,同时反应越迟
g|biggest] 钝,该参数用以调节带宽限制对突发流量的缓冲
灵敏度
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
<0-63> 给端口配置的codepoint的值
命令模式 配置模式
参数说明 参数 说明
19-11
第 19 章 配置 QoS
<portlist> 端口列表
all 所有端口
<0-7> remap-priority
命令模式 配置模式
参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或禁止
命令模式 配置模式
命令模式 配置模式
19-12
第 19 章 配置 QoS
参数说明 参数 说明
[enable|disable] 启动或关闭
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
auto 在启动dot1x功能的前提下,端口未通过认证的情况下,对于携
带任何VLAN信息的报文均不转发,此为默认状态
forceauth 在启动dot1x功能的前提下,无论端口认证状态如何,对携带该
VLAN信息的报文进行转发
命令模式 配置模式
19-13
第 19 章 配置 QoS
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
<0-7> 优先级
no vlan priority
相关命令
show qos vlan
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
<1-7>
命令模式 配置模式
19-14
第 19 章 配置 QoS
参数说明 参数 说明
<low,normal,medium,high> CoS优先级队列
4个CoS优先级队列0、1、2、3分别表示low、normal、medium、high。
使用指导
如果采用严格轮循方式(SP)则执行命令:config WRR-queue bandwidth 0,0,0,0。
这样只有在高优先级的队列清空以后,低优先级队列中的包才转发。
如果采用加权轮循方式(WRR)执行命令:config WRR-queue bandwidth 1,2,3,4。
Low:Norma:Medium:High的权重比例关系为1:2:3:4,即每一次轮循从High
队列中取4个包;从Medium队列中取3个包;从Norma队列中取2个包;从Low队列
中取1个包。这四个参数的取值范围都是1-255。
show wrr-queue
相关命令
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明 缺少配置
<name> METER名称 ——
<0-127> 允许的带宽,单位M(百兆口),8M(千兆口) ——
[smallest|sm 漏桶大小,影响漏桶对突发流量的容忍程度,越 biggest
all|medium|bi 大的值表示对突发流量越能承受,同时反应越迟
g|biggest] 钝,该参数用以调节带宽限制对突发流量的缓冲
灵敏度
19-15
第 19 章 配置 QoS
delete meter
相关命令
show meter
命令模式 配置模式
参数说明 参数 说明
[<name>|all] 指定的或所有的METER
create meter
相关命令
show meter
命令模式 配置模式
参数说明 参数 说明
<name> ACL名称
19-16
第 19 章 配置 QoS
命令模式 配置模式
参数说明 参数 说明
<name> ACL策略名称
命令模式 配置模式
参数说明 参数 说明
<name> VLAN名称
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 使能或禁止
19-17
第 19 章 配置 QoS
命令模式 配置模式
参数说明 参数 说明
<name> ACL名称
命令功能 查看端口的带宽限制。
命令模式 配置模式
参数说明 参数 说明
<portlist> 查看特定端口的带宽限制
all 查看所有端口的带宽限制
19.3.29 show
dot1p-QosQueue-mapping
show dot1p-QosQueue-mapping
命令格式
命令模式 配置模式
19-18
第 19 章 配置 QoS
Harbour(config)#show dot1p-qosqueue-mapping
配置实例
--------Dot1p Priority-----------QoS Queue ---------
--------- 0 -------- Low --------
--------- 1 -------- Low --------
--------- 2 -------- Normal --------
--------- 3 -------- Normal --------
--------- 4 -------- Medium --------
--------- 5 -------- Medium --------
--------- 6 -------- High --------
--------- 7 -------- Low --------
命令模式 配置模式
-------------ACL DSCP-------------
AclName DSCP
------- ----
test 10
-----------------------------------
命令模式 配置模式
19-19
第 19 章 配置 QoS
8-15 1
16-23 2
23-31 3
32-39 4
40-47 5
48-55 6
56-63 7
命令模式 配置模式
参数说明 参数 说明
<name> METER名称
命令模式 配置模式
参数说明 参数 说明
<name> METER名称
命令模式 配置模式
19-20
第 19 章 配置 QoS
参数说明 参数 说明
show wrr-queue
命令格式
命令功能 显示 4 个优先级队列与权重的对应关系。
命令模式 只读模式、配置模式
Harbour(config)#show wrr-queue
配置实例
-------- QoSQueue -------- WRR value --------
-------- Low -------- 1 -----------
-------- Normal -------- 2 -----------
-------- Medium -------- 3 -----------
-------- High -------- 4 -----------
19-21
第 20 章 配置 ACL
20 第20章 配置 ACL
20.1 配置ACL
20.1.1 ACL概述
20.1.2 配置ACL策略
配置案例
步骤1 使能或者关闭ACL功能
Harbour(config)# service acl enable
步骤2 添加基于IP的ACL策略
Harbour(config)#create acl test_ip ip DIP 10.1.30.1/16 SIP
10.1.40.8/16 deny ports any precedence 30
步骤3 添加基于UDP的ACL策略
Harbour(config)#create acl test_udp udp DIP any ip-port 800 SIP any
ip-port 400 deny ports any precedence 10
步骤4 添加基于TCP的ACL策略
Harbour(config)#create acl test_tcp tcp DIP 11.1.30.1/24 ip-port
800 SIP 11.1.0.1/24 ip-port 400 deny ports any precedence 7
步骤5 添加基于MAC+IP的ACL策略
20-1
第 20 章 配置 ACL
20.1.3 设置策略计数器(counter)
20.1.4 过滤带分片的UDP/TCP报文
配置案例
过滤如下报文:
目的IP 源IP 目的端口 源端口
1.1.1.1 2.2.2.2 10 20
20-2
第 20 章 配置 ACL
允许指定流量
步骤1 --------- Example (command image)
create acl r3 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
permit ports any
create acl r2 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
fragment-offset 0 deny ports any
create acl r1 udp DIP 1.1.1.1 ip-port 10 SIP 2.2.2.2 ip-port 20
fragment-offset 0 permit ports any
create acl r3 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
deny ports any
create acl r2 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
fragment-offset 0 permit ports any
create acl r1 udp DIP 1.1.1.1 ip-port 10 SIP 2.2.2.2 ip-port 20
fragment-offset 0 deny ports any
20.2 配置DOT1X-ACL
20.2.1 DOT1X-ACL概述
20-3
第 20 章 配置 ACL
20.2.2 配置DOT1X-ACL
配置案例
步骤1 添加一条针对DOT1X用户组的ACL策略规则
Harbour(config)# create dot1x-acl group 1 rule 15 dip 1.2.2.3/24
permit
步骤2 查看DOT1X-ACL策略
Harbour(config)#show dot1x-acl group all
20.3 命令参考
命令功能 对某个计数器或所有计数器清零。
20-4
第 20 章 配置 ACL
命令模式 配置模式
参数说明 参数 说明
<name> 计数器名称
all 所有计数器
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
exact 精确的长度值,可以在1-65535 ——
间任意指定
upperlimit 长度值的上限,必须是2的幂, ——
配置以后,长度字段的值从0到
(2的幂-1)的流会被选中
range 长度的取值范围,用<起始长度 ——
/范围指数>的方式输入,要求<
起始长度>能够整除2的<范围
指数>次幂,长度字段为<起始
长度>到<起始长度>+2的<范围
指数>次幂-1字节的流会被选中
<value> IP 头 部 TOTAL_LENGTH 域 的 ——
过滤值
DIP [<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
[<dst_port>|any] 匹配目的端口或任意值 ——
SIP [<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[<src_port>|any] 匹配源端口或任意值 ——
fragment-offset <0-8191> 用于过滤分片报文 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0(最低)
20-5
第 20 章 配置 ACL
命令模式 配置模式
参数说明 参数 说明
acl <name> ACL策略名称
counter <name> 计数器名称
命令模式 配置模式
参数说明 参数 说明
<name> ACL策略名称
[<0-65535>|any] 指定以太II协议类型或任意类型
[permit|deny] 允许/禁止
[<portlist>|any] 指定端口列表或任意端口
<0-255> 策略的优先级
20-6
第 20 章 配置 ACL
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
exact 精确的长度值,可以在1-65535 ——
间任意指定
upperlimit 长度值的上限,必须是2的幂, ——
配置以后,长度字段的值从0到
(2的幂-1)的流会被选中
range 长度的取值范围,用<起始长度 ——
/范围指数>的方式输入,要求<
起始长度>能够整除2的<范围
指数>次幂,长度字段为<起始
长度>到<起始长度>+2的<范围
指数>次幂-1字节的流会被选中
<value> IP头部TOTAL_LENGTH域的 ——
过滤值
DIP [<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
SIP [<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[<icmp_type>|any] 匹配ICMP类型或任意值 ——
[<icmp_code>|any] 匹配ICMP代码或任意值 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0(最低)
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
exact 精确的长度值,可以在1-65535 ——
间任意指定
upperlimit 长度值的上限,必须是2的幂, ——
配置以后,长度字段的值从0到
20-7
第 20 章 配置 ACL
(2的幂-1)的流会被选中
range 长度的取值范围,用<起始长度 ——
/范围指数>的方式输入,要求<
起始长度>能够整除2的<范围
指数>次幂,长度字段为<起始
长度>到<起始长度>+2的<范围
指数>次幂-1字节的流会被选中
<value> IP头部TOTAL_LENGTH域的 ——
过滤值
DIP [<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
SIP [<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0(最低)
命令模式 配置模式
参数说明 参数 说明
<name> ACL策略名称
[<dmac> |any] 匹配目的MAC或任意值
[<smac> |any] 匹配源MAC或任意值
[permit|deny] 允许/禁止访问
[<portlist>|any] 指定物理端口号或任意值
<0-255> 策略的优先级
20-8
第 20 章 配置 ACL
相关命令
命令模式 配置模式
参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
[<dst_mac> |any] 匹配目的MAC或任意值 ——
第一个[<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
[<src_mac> |any] 匹配源MAC或任意值 ——
第二个[<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0(最低)
命令功能 创建一个计数器。
删除某个计数器或所有计数器。
命令模式 配置模式
参数说明 参数 说明
20-9
第 20 章 配置 ACL
<name> 计数器名称
all 所有计数器
命令模式 配置模式
参数说明 参数 说明
group <1-20> DOT1X用户组号
rule <1-20> 策略规则号
[<A.B.C.D/M>|any] 匹配目的IP或任意值
[permit|deny] 允许/禁止
命令模式 配置模式
20-10
第 20 章 配置 ACL
参数说明 参数 说明
<name> ACL策略名
all 所有ACL策略
命令模式 配置模式
参数说明 参数 说明
<1-20> DOT1X用户组号
all 全部DOT1X用户组
相关命令
命令模式 配置模式
参数说明 参数 说明
group <1-20> DOT1X用户组号
rule <1-20> 策略规则号
20-11
第 20 章 配置 ACL
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 使能或关闭
命令模式 配置模式
参数说明 参数 说明
<name> ACL策略名
all 所有ACL策略
命令功能 显示某个计数器或所有计数器的信息。
命令模式 配置模式
参数说明 参数 说明
<name> 计数器名称
all 所有计数器
默认状态 参数 说明
<name> 计数器名称
all 所有计数器
20-12
第 20 章 配置 ACL
命令模式 配置模式
参数说明 参数 说明
<1-20> DOT1X用户组号
all 全部DOT1X用户组
20-13
第 21 章 配置带宽限制
21 第21章 配置带宽限制
21.1 基于端口的带宽限制
配置步骤
配置案例
步骤1 配置端口的入口带宽限制
Harbour(config)#config port 3 bandwidth input 20
步骤2 配置端口的出口带宽限制
Harbour(config)#config port 3 bandwidth output 20
步骤3 查看端口的带宽限制信息
Harbour(config)#show bandwidth port 3
21.2 基于ACL的带宽限制
配置步骤
21-1
第 21 章 配置带宽限制
21.3 命令参考
命令模式 配置模式
参数说明 参数 说明
acl <name> ACL名称
meter <name> METER名称
命令功能 配置指定端口的入口/出口带宽和漏桶大小。
命令模式 配置模式
参数说明 参数 说明 缺少配置
<portlist> 端口列表 ——
all 所有端口 ——
[input|output] 入口/出口 ——
<0-127> 允许的带宽,单位M(百兆口),8M(千兆口) ——
21-2
第 21 章 配置带宽限制
命令模式 配置模式
参数说明 参数 说明 缺少配置
<name> METER名称 ——
<0-127> 允许的带宽,单位M(百兆口),8M(千兆口) ——
[smallest|sm 漏桶大小,影响漏桶对突发流量的容忍程度,越 biggest
all|medium|bi 大的值表示对突发流量越能承受,同时反应越迟
g|biggest] 钝,该参数用以调节带宽限制对突发流量的缓冲
灵敏度
delete meter
相关命令
show meter
命令模式 配置模式
21-3
第 21 章 配置带宽限制
参数说明 参数 说明
[<name>|all] 指定的或所有的METER
create meter
相关命令
show meter
命令模式 配置模式
参数说明 参数 说明
<name> ACL名称
命令功能 查看端口的带宽限制。
命令模式 配置模式
参数说明 参数 说明
<portlist> 查看特定端口的带宽限制
all 查看所有端口的带宽限制
21-4
第 21 章 配置带宽限制
命令模式 配置模式
参数说明 参数 说明
<name> METER名称
命令模式 配置模式
参数说明 参数 说明
<name> METER名称
21-5
第 22 章 配置 802.1x
22 第22章 配置 802.1x
22.1 NAS概述
随着宽带以太网建设规模的迅速扩大,为了适应用户数量急剧增加和宽带业务多样
性的要求,港湾网络公司通过在 Hammer 系列交换机上嵌入接入服务来完备用户的
认证和管理功能,以便更好地支持宽带网络的计费、安全、运营和管理的要求。嵌
入了接入服务的 Hammer 交换机称为网络访问服务器(Network Access Server,
NAS)。
接入服务在运用 802.1x 协议和 Radius 协议的基础上,实现对用户接入的认证和管
理功能。使用接入服务主要有以下优点:
简洁高效:纯以太网技术内核,保持 IP 网络无连接特性,去除冗余昂贵的多业
务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务;
容易实现:可在普通 L3、L2、IP DSLAM 上实现,网络综合造价成本低;
安全可靠:在二层网络上实现用户认证,并可以通过设备实现 MAC、端口、账
户和密码等绑定技术,具有很高的安全性;
易于运营:控制流和业务流完全分离,易于实现多业务运营。
接入服务在运用 802.1x 基于端口的访问控制协议的基础上扩展了该协议,实现了基
于用户 MAC 地址的访问控制,可以对设备一个端口上的多个接入用户分别进行认
证和管理,提供对用户接入的灵活控制。同时能够与动态主机配置协议中继代理
(DHCP Relay)相结合,为计费服务器提供用户的 IP 地址。
接入服务提供 3 种身份验证方式:PAP,CHAP 和 EAP-MD5 方式,根据业务运营
的不同需求,可以使用其中任何一种身份验证方式实现接入服务:
1.使用 PAP 方式进行身份验证
如图 22-1 所示,首先用户终端向 Hammer 交换机发送 EAPOL-START 报文请求接
入服务,交换机返回 EAP-REQUEST/IDENTITY 报文到用户终端,要求用户提供身
份标识,用户终端返回 EAP-RESPONSE/IDENTITY 响应报文表示连接建立。然后
交换机发送 EAP-REQUEST/PAP 报文通知用户使用 PAP 方式验证身份,用户终端
发送 EAP-RESPONSE/PAP 报文到交换机,该报文中含有用户名和用户密码。交
换机根据来自用户终端的 EAP-RESPONSE/PAP 报文组装并发送 ACCESS
22-1
第 22 章 配置 802.1x
22-2
第 22 章 配置 802.1x
功。
22-3
第 22 章 配置 802.1x
22.2 802.1x协议
在 IEEE 802 所定义的局域网环境中,只要存在物理的连接口,未经授权的网络设
备就可以直接或通过连接到局域网的设备进入局域网络。随着局域网技术的广泛应
用,在很多网络环境中,往往不希望有未经授权的设备或用户连接到网络,使用网
络提供的资源和服务。特别是在运营网络中的应用,对其安全认证的要求已经提到
了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点,同时又能够对
用户或设备访问网络的合法性提供认证,是目前业界讨论的焦点。IEEE 802.1x 协
议正是在这样的背景下提出的。
IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control
protocol),该协议在利用 IEEE 802 LAN 的优势基础上提供了对连接到局域网的设
备或用户进行认证和授权的一种手段。通过此方式的认证,能够在 LAN 这种多点
访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到 LAN 的一个单
22-4
第 22 章 配置 802.1x
22.2.1 802.1x体系结构
EAPOL
LAN
客户端系统一般指用户终端系统,该终端系统通常需要安装一个客户端软件,用户
通过启动这个客户端软件发起 802.1x 协议的认证过程。为了支持基于端口的接入控
制,客户端系统需支持 EAPOL(Extensible Authentication Protocol Over LAN)协
议。
认证系统通常指那些支持 802.1x 协议的网络设备,如港湾网络公司的 Hammer 系
列交换机和无线访问点设备。支持 802.1x 协议的网络设备对应不同的用户端口(可
以是物理端口,也可以是用户设备的 MAC 地址)有两个逻辑端口:受控(Controlled
Port)端口和不受控端口(Uncontrolled Port)。不受控端口始终处于双向连通状态,
主要用来传递 EAPOL 协议帧,可保证客户端始终能够发出或接受认证。受控端口
只有在认证通过的状态下才可打开,用于传递网络资源和服务。受控端口可配置为
双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,
则受控端口处于未认证状态,用户无法访问认证系统提供的服务。图 1-4 中认证系
统的受控端口处于未认证状态,因此客户端无法访问认证系统提供的服务。
22-5
第 22 章 配置 802.1x
22.2.2 802.1x认证机制
802.1x 作为一种认证协议,在实现的过程中有很多重要的工作机制,这里我们主要
介绍其中四种机制:
认证发起机制
退出认证机制
重新认证机制
认证报文丢失重传机制
1.认证发起机制
认证的发起可以由用户主动发起,也可以由认证系统发起。当认证系统探测到有未
经过认证的用户使用网络时,就会主动发起认证。用户端可以通过客户端软件向认
证系统发送 EAPOL-Start 报文发起认证。
由认证系统发起的认证
当认证系统检测到有未经认证的用户使用网络时,就会发起认证。在认证开始之前,
端口的状态被强制为未认证状态。
22-6
第 22 章 配置 802.1x
22-7
第 22 章 配置 802.1x
(一个小时)。
重新认证的时间设定需要认真的规划,认证系统对端口进入的
MAC 地址的检测能力会影响到该时间的设定。如果对 MAC 地
注意 址的检测比较可靠,则重新认证时间可以设长一些。
4.认证报文丢失重传机制
对于认证系统和客户端之间通信的 EAP 报文,如果发生丢失,由认证系统负责进行
报文的重传,通过一个超时计数器来完成对重传时间的设定。考虑到网络的实际环
境,一般认为认证系统和客户端之间报文丢失的几率比较低,且传送延迟低,因此
设定默认的重传时间为 30 秒钟。
由于对用户身份合法性的认证最终由认证服务器执行,因此认证系统和认证服务器
之间的报文丢失重传也很重要,我们通过建立另一个超时计数器来实现对认证系统
和认证服务器之间重传报文时间的设定。
另外需要注意的是,如果客户端需要通过 DHCP Server 动态获取 IP 地址,那么在
执行 802.1x 认证过程中,只有客户端认证通过后,才会有 DHCP 发起和 IP 地址分
配的过程。
对于未通过认证的客户端,
其所连接的认证系统的端口将丢弃任何 DHCP
请求报文。
22.2.3 802.1x协议实现内容
802.1x 协议在实现整个安全认证的过程中,其三个关键部分(客户端、认证系统、
认证服务器)之间是通过通信协议进行交互的,因此有必要对其相关的通信协议做
一介绍。
EAP 协议
802.1x 协议采用 EAP 协议在客户端、认证系统和认证服务器之间进行通信。EAP
(Extensible Authentication Protocol 扩展的认证协议,RFC 2284)是 PPP 认证
的一个通用协议,支持多种认证机制。EAP 在链路控制(LCP)阶段并不选择好一
种认证机制,而是把这一步推迟到认证阶段,这就允许认证系统在确定某种特定认
证机制之前请求更多的信息。
通过支持 EAP 协议,认证系统只需控制其受控端口的状态,而并不干涉通过非受控
端口在客户端和认证服务器之间传递的认证信息,这样可实现认证流和业务流的完
全分离。可以使用认证服务器来实现各种认证机制,认证系统仅仅需要传送认证信
息,并根据认证返回的结果控制受控端口的状态。
22-8
第 22 章 配置 802.1x
EAP 帧结构如下图所示:
EAP 帧格式中各字段含义如下表所示:
EAPOL 协议
EAPOL 是 EAP 协议在 802.3/以太网上的一种封装技术,称为 EAP over LANs(局
域网上的扩展认证协议),主要用于在客户端和认证系统之间传送 EAP 协议报文,
以允许 EAP 协议报文在 LAN 上传送。
EAPOL 帧结构如下图所示:
22-9
第 22 章 配置 802.1x
EAPOL 帧格式中各字段含义如下:
表22-2 EAPOL 帧格式中各字段含义
字段 占用字节数 描述
PAE Ethernet Type 2个字节 表示协议类型,802.1x分配的协议类型为888E
Protocol Version 1个字节 表示EAPOL 帧的发送方所支持的协议版本号。
本规范使用值为0000 0001
Packet Type 1个字节 表示传送的帧类型,如下几种帧类型:
a) EAP-Packet. 值为 0000 0000 ,表示为EAP
帧
b) EAPOL-Start.值为0000 0001 ,表示为
EAPOL-Start 帧
c) EAPOL-Logoff. 值为0000 0010,表示为
EAPOL-Logoff请求帧
d) EAPOL-Key.值为0000 0011 ,表示为
EAPOL-Key 帧.
e) EAPOL-Encapsulated-ASF-Alert. 值为0000
0100
Packet Body Length 2个字节 表示Packet Body的长度
Packet Body 0或更多字 如果Packet Type为EAP-Packet、EAPOL-Key
节 或EAPOL-Encapsulated-ASF-Alert的值,则
Packet Body取相应的值;对于其他帧类型,该
值为空。
22-10
第 22 章 配置 802.1x
22.3 配置802.1x
22.3.1 使能/关闭802.1x认证服务
22.3.2 配置协议参数
22-11
第 22 章 配置 802.1x
2.配置 txPeriod
配置认证系统向客户端系统重传 EAP-Request/Identity 数据帧的时间间隔,默认值
为 30 秒,使用以下配置命令:
config dot1x tx-period <1-65535>
3.配置 max-req
配置认证系统向客户端重传数据帧的最大次数,默认值是 2,用以下配置命令:
config dot1x max-req <1-10>
4.配置 suppTimeout
配置认证系统接收来自客户端系统的数据包的超时时间,默认值是 30 秒,使用以
下配置命令:
config dot1x supp-timeout <1-65535>
5.配置 serverTimeout
配置认证系统接收来自认证服务器的数据包的超时时间,默认值是 30 秒,使用以
下配置命令:
config dot1x server-timeout <1-65535>
22.3.3 配置对端口的802.1x控制
1.配置端口的认证状态
端口有三种认证状态,分别是 auto、forceauth 和 forceunauth:
auto:此时端口处于接受认证状态,用户能否访问网络完全取决于用户能否认证成
功。缺省配置下,端口的认证状态为 auto。
forceauth:此时端口无条件的处于已授权状态,用户可以不受限制的访问网络。
forceunauth:此时端口无条件的处于未经授权状态,用户不能访问网络。
配置命令如下:
config port [<portlist>|all] dot1x authcontrolledportcontrol [auto|forceauth|
forceunauth]
22-12
第 22 章 配置 802.1x
2.配置端口的控制模式
端口的控制模式有两种:一种是基于端口的控制,另一种是基于 MAC 的控制。在
基于端口控制模式下,一个端口上只要有一个合法用户认证通过,则接在该端口下
的其他用户不需认证即可获得访问权限;而在基于 MAC 控制模式下,一个端口上
的每个用户都要进行独立的认证和计费,只有认证通过的合法用户才能获得访问权
限,未通过认证的用户则无法访问网络。在同一认证系统的不同端口上可同时配置
两种不同的控制模式。
配置端口控制模式的命令如下:
config port [<portlist>|all] dot1x port-control-mode [MAC-based|port-based|
vlan-based]
参数<portlist>表示端口号的列表。一次可以对多个端口进行相同的配置,参数 all
表示对所有的端口进行配置;参数 MAC-based 表示端口的控制模式是基于 MAC 的
控制;参数 port-based 表示端口的控制模式是基于端口的控制。缺省配置下,端口
的控制模式为 MAC-based。
例如:配置交换机的端口 1-4 采用基于端口的控制模式,端口 5-10 采用基于 MAC
的控制模式。
Harbour(config)# config port 1-4 dot1x port-control-mode port-based
Harbour(config)# config port 5-10 dot1x port-control-mode MAC-based
3.设置一个端口最多允许接入客户端的数目
港湾公司 Hammer 系列交换机的一个端口在基于 MAC 的控制模式下可支持多个认
证用户,使用以下命令设置允许端口接入的最大用户数:
config dot1x multiple-host-one-port max-host-count <2-512>
<2-512>表示一个端口允许接入的最大用户数的范围,缺省配置为 255。其中,512
既是一个端口允许接入的最大用户数,也是 Hammer 交换机整个认证系统允许接入
的最大用户数(uHammer24 交换机除外,uHammer24 允许接入的最大用户数是
256,单端口允许接入的最大用户数范围是<2-256>)。该命令只对基于 MAC 控制
模式的端口有效。
例如:设置每个端口允许接入的最大用户数是 10
Harbour(config)# config dot1x multiple-host-one-port max-host-count 10
22-13
第 22 章 配置 802.1x
22.3.4 设置用户绑定功能
默认情况下,端口的用户绑定功能是禁用的,任何用户通过认证系统(Hammer 交
换机)的任何端口都可以请求认证,并在认证通过后访问网络资源。如果希望认证
系统只对特定的用户进行认证,可以设置用户绑定功能。启用该功能后,只有端口
上绑定的用户才可以请求认证,并在通过认证后访问网络资源,未绑定的用户则不
能请求认证。一个端口可以绑定一个或多个用户,如果希望将一个用户绑定到多个
端口,可以打开单用户多端口功能。有关用户绑定的配置命令具体如下:
使能或禁止用户绑定功能
config dot1x binduser [enable|disable]
使能或关闭一个用户绑定到多个端口的功能
config dot1x binduser multi-port-per-user [enable|disable]
在端口处添加或删除绑定的用户
config dot1x binduser [add|delete] port [<portlist>|all] user <username>
清除所有用户绑定信息
config dot1x binduser clear-all
22.3.5 设置重新认证机制
为了保证用户和认证系统(Hammer 系列交换机)之间的链路处于激活状态,而不
因为用户端设备发生故障造成异常死机,从而影响对用户计费的准确性,认证系统
可以定期发起重新认证过程。
1.使能/关闭重新认证机制
使用如下配置命令:
config dot1x re-authentication [enable|disable]
选择 enable 表示使能重新认证机制,选择 disable 表示关闭重新认证机制。系统缺
省设置为关闭重新认证机制。
例如:使能重新认证机制
Harbour(config)# config dot1x re-authentication enable
2.设置重新认证的时间间隔
使用如下配置命令:
22-14
第 22 章 配置 802.1x
重新认证的时间设定需要认真规划,认证系统对端口进入的
MAC 地址的检测能力会影响到该时间的设定。如果对 MAC 地
提示 址的检测比较可靠,则重新认证时间可以设长一些。
22.3.6 设置异常下线检测机制
(keepalive)
除了重新认证机制,为判断接入用户是否保持连接状态,接入模块还提供了另一种
检测机制——异常下线检测机制。重新认证机制需要为每个在线用户启动一次完整
的认证过程,在用户量较大的情况下,启动重新认证功能将导致频繁产生认证报文,
对交换机造成一定的负担,而异常下线检测机制只需要少量的报文交互便可以确定
用户是否在线。有关异常下线检测的命令如下:
1.使能/禁止异常下线检测功能
使用如下配置命令:
config dot1x keepalive[enable|disable]
选择 enable 表示启用异常下线检测功能,选择 disable 表示关闭异常下线检测功能。
系统缺省为关闭该功能。
例如:使能异常下线检测功能
Harbour(config)# config dot1x keepalive enable
2.设置异常下线检测的方法
异常下线检测机制提供两种检测方式:一种方式是由交换机主动向客户端定期发送
检测请求(state-machine),
请求报文利用了 802.1x 协议定义的 EAPOL/EAP ReqId
报文,如果收到客户端的 EAPOL/EAP RespId 响应,说明该用户在线,反之,如果
未收到响应则说明用户已经下线。
另一种方式是由客户端主动向交换机定期发送检测请求报文(ping-pong),发送的
时间间隔 SendKeepaliveRequestPeriod 和允许的最多无响应次数
22-15
第 22 章 配置 802.1x
MaxNoKeepaliveResponseCount 均由交换机决定,并通知给客户端。检测报文没
有利用协议中规定的报文格式,而是定义了专门的格式。交换机收到来自客户端的
检测报文后确认客户端在线并响应客户端的检测请求。如果在规定的时间内(该时
间由命令行配置换算得出,它的值=客户端允许最多不响应次数
MaxNoKeepaliveResponseCount×客户端定期发送 keepalive 请求的时间间隔
SendKeepaliveRequestPeriod + 30)。没有收到客户端的检测请求,说明客户端
已经异常下线。缺省时,系统使用 ping-pong 机制。
配置命令如下:
config dot1x keepalive mechanism [ping-pong|state-machine]
该命令用于设置客户端向交换机定期发送检测报文的时间间隔。时间范围是 60~
600 秒,默认时间间隔是 120 秒。
例如:设置 ping-pong 方式下发送检测报文的时间间隔为 180 秒
Harbour(config)# config dot1x keepalive ping-pong-period 180
5.设置允许客户端未响应的最大次数
使用如下配置命令:
config dot1x keepalive max-no-response-count <2-30>
设置了这条命令参数后,当交换机在规定的响应时间内未收到客户端的响应报文时,
它将再次发送检测报文继续检测。只有客户端未响应的次数超过这个设定的值后,
才确定客户端异常下线,并断开连接。该参数的范围是 2~30 次,缺省值是 5。
22-16
第 22 章 配置 802.1x
例如:设置允许客户端未响应的最大次数为 3
Harbour(config)# config dot1x keepalive max-no-response-count 3
22.3.7 强制用户退出认证状态
出于对管理和安全的考虑,交换机允许管理者强令某个或某些用户退出认证状态,
可根据以下条件强制用户退出:
1.根据客户端的 IP 地址强制用户退出认证状态
使用如下配置命令:
config dot1x pae force-logoff IP <A.B.C.D>
设置了这条命令后,对符合该 IP 地址的客户端,交换机将强制其退出认证状态。
例如:令 IP 地址为 10.10.2.6 的客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff IP 10.10.2.6
2.根据端口访问实体(PAE)的 ID 号强制用户退出认证状态
使用如下配置命令:
config dot1x pae force-logoff id <paeid>
该命令表示对 PAE 的 ID 号为<paeid>的客户端,交换机将强制其退出认证状态。
例如:令 paeid 为 10 的客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff id 10
22-17
第 22 章 配置 802.1x
5.根据端口号强制用户退出认证状态
使用如下配置命令:
config dot1x pae force-logoff port<portno>
该命令强制交换机某个端口下的所有用户都退出认证状态。
例如:令交换机端口 10 上的所有客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff port 10
6.根据用户名强制用户退出认证状态
使用如下配置命令:
config dot1x pae force-logoff username <username>
该命令强制用户名为<username>的用户退出认证状态。
例如:令用户名为 client 的用户退出认证状态
Harbour(config)# config dot1x pae force-logoff username client
7.强制所有用户退出认证状态
使用如下配置命令:
config dot1x pae force-logoff all
该命令强制交换机上的所有 802.1x 用户退出认证状态。
例如:令所有用户退出认证状态
Harbour(config)# config dot1x pae force-logoff all
22-18
第 22 章 配置 802.1x
22.3.8 清除802.1x统计信息
22.3.9 配置基于802.1x的动态限速功能
基于 802.1x 的动态限速功能的整体流程如下:
启动基于 802.1x 的动态限速功能的先决条件是 802.1x 服务和 DHCP Relay 服
务均已启动。之所以要启动 DHCP Relay 服务,是因为下行流需要绑定用户的
IP 地址,L3 模块的限速功能只针对那些自动获取 IP 地址的用户。当启动了基
于 802.1x 的动态限速功能时,系统会默认绑定两种流类型:SMAC 和 DIP。用
户认证通过后,Radius 服务器将分配给用户的上下行带宽等值使用 Access
Accept 报文的属性带回并保存在交换机中。
认证通过后,用户自动申请 IP 地址。802.1x 模块通过 DHCP Relay 模块获取用
户的 IP 地址后对用户进行限速配置,限速配置将用到 Radius 服务器带回的限
速参数,配置方法与命令行手动配置相同。
完成限速配置后,便可实现对用户带宽的限制了。用户下线后,需要清除对该
用户进行的限速配置。
基于 802.1x 的动态限速功能有以下几点需要说明:
22-19
第 22 章 配置 802.1x
有关三层路由引擎的限速配置命令如下:
1.设置三层路由引擎的限速控制
三层路由限速控制的配置命令如下:
config dot1x access-limit route-engine [rate|acl|disable]
根据参数[rate|acl|disable]的不同选项,具体说明如下:
启动基于三层模块的限速功能,输入命令:
config dot1x access-limit route-engine rate
三层路由的限速功能缺省配置时是禁止的,执行上述命令后可以启动三层路由的限
速功能。
启动或停止基于三层模块的访问控制列表功能,输入命令:
config dot1x access-limit route-engine acl
此命令表示启动三层模块的访问控制列表功能,选择这个参数时,需要在交换机上
预先配置好访问控制规则列表,否则执行的 config dot1x access-limit route-engine
acl 命令将不起作用。
基于三层模块的访问控制列表功能与限速功能类似,如果交换机上配有三层路由模
块,那么在启动 802.1x 认证服务后,对认证通过的用户可以打开访问控制功能,对
其访问权限进行控制。在认证过程中,访问控制列表的索引通过 RADIUS Server
的 ACCESS ACCEPT 报文属性带到交换机。如何从属性中接收访问控制列表的索
引,将在后面的 Radius 属性配置中介绍。
禁止三层模块的限速控制功能
使用以下配置命令禁止三层模块的限速控制功能:
22-20
第 22 章 配置 802.1x
由于限速功能是通过路由引擎提供,因此只能对经过三层转发
的数据流提供限速,故要求把用户接入端口与上行端口分别配
注意 置在不同的 VLAN 中。
22.3.10 802.1x客户端发现
相关命令
config dot1x client-discovery disable
22-21
第 22 章 配置 802.1x
22.3.11 802.1x客户端代理
22-22
第 22 章 配置 802.1x
22.3.12 用户认证前后,VLAN的动态跳
转
L3
L2(NAS)
VLAN2 VLAN1
认证后
认证前
PC
相关命令
config port [<portlist>|all] dot1x port-control-mode [mac-based|port-based|
vlan-based]
22.3.13 不同端口分别控制可以接入的用
户数
22-23
第 22 章 配置 802.1x
上述两条命令共同使用时,两者中的最小值生效。
22.3.14 按端口流量计费
按端口流量计费,建议一个端口下只接一个用户,如果一个端口下接多个用户,则
每个用户的流量将是这个端口的总流量除以该端口下的用户数。是否启用该功能的
控制命令如下:
config dot1x port-account [enable|disable]
设置流量统计间隔时间命令如下:
config dot1x port-account period <10-65535>
22.4.1 概述
22-24
第 22 章 配置 802.1x
此功能包括三个命令行,分别起到以下功能:
配置且使能端口 MACLimit 功能
maclimit port [<portlist>|all] on enable <0-128> disable <0-128> pType <0-2>
pTime <0-300>
删除和禁止端口 MACLimit 功能
maclimit port [<portlist>|all] off
查看端口 MACLimit 配置及端口状态
show maclimit port [<portlist>|all]
22.4.2 配置案例
案例描述
在校园网的一个学生宿舍网,假设此宿舍登记有四台计算机,某个寝室的接口连在
µ24 交换机的 port 1,可以有如下的管理方式。
1. 案例 1
配置步骤
2. 案例 2
22-25
第 22 章 配置 802.1x
户,还可以有三台计算机上网,这三台计算机可以在端口得到转发服务;如果交换
机发现,如果出现更多的陌生的野 MAC(一个认证用户和三个合法用户之外),将
会关闭端口学习功能作为惩罚;这样那三台合法用户就都不能再端口得到转发服务,
仅仅只有那台认证过的计算机可以得到服务。惩罚措施对认证过的用户没有效果。
配置步骤
3. 案例 3
配置步骤
4. 案例 4
配置步骤
22-26
第 22 章 配置 802.1x
5. 案例总结
22.5 Dot1x与IAD(语音数据集成)
结合使用
Dot1x 与 IAD(语音数据集成)结合的一种应用的逻辑图如下:
22-27
第 22 章 配置 802.1x
22.6 802.1x显示命令
有关 802.1x 的显示命令如下表所示:
22-28
第 22 章 配置 802.1x
22.7 命令参考
22-29
第 22 章 配置 802.1x
命令模式 配置模式
命令模式 配置模式
使用指导
使 用 该 功 能 , 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意
命令模式 配置模式
参数说明 参数 说明 缺省配置
<30-65535> 时间,单位:秒 60
使用指导 建议该时间配置的相对长一点,以免出现用户频繁认证的现象。
22-30
第 22 章 配置 802.1x
使 用 该 功 能 , 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意
命令模式 配置模式
参数说明 参数 说明 缺省配置
<string> 密码字符串 NULL
使用指导 当不输入参数<sting>时,表示清空当前配置的密码。显示该配置,使用命
令:show port [<portlist>|all] dot1x
使 用 该 功 能 , 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意
22-31
第 22 章 配置 802.1x
命令功能 配置是否绑定用户直连的交换机的信息。
命令模式 配置模式
参数说明 参数 说明
[enable | disable] 是否绑定
默认状态 不绑定
命令模式 配置模式
参数说明 参数 说明 默认配置
<30-3600> 系统发送EAPOL-Request Identifier报文的 30秒
时间间隔
命令功能 配置是否启用按端口流量计费功能。
22-32
第 22 章 配置 802.1x
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 是否启用
默认状态 disable
命令功能 配置流量统计的时间间隔。
命令模式 配置模式
参数说明 参数 说明 缺省配置
<10-65535> 流量统计的时间间隔,单位:秒 30
命令模式 配置模式
参数说明 参数 说明
[<portlist>|all] 指定端口或所有端口
[enable|disable] 启用或关闭
默认状态 disable
22-33
第 22 章 配置 802.1x
使 用 该 功 能 , 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意
命令功能 配置端口允许接入的最大用户数。
命令模式 配置模式
参数说明 参数 说明 缺省配置
[<portlist>|all] 指定端口的列表或所有端口 ——
<1-512> 允许接入的最大用户数 255
22-34
第 22 章 配置 802.1x
命令功能 配置是否启用客户端免安装功能。
命令模式 配置模式
参数说明 参数 说明
vlan-based 启用免客户端功能
默认状态 disable
命令功能 显示用户直连的交换机的绑定状态。
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明
<A.B.C.D> IP地址
22-35
第 23 章 配置 RADIUS
23 第23章 配置 RADIUS
23.1 Radius认证技术
Radius 的全称为(Remote Access Dail-In User Service),它是对远程拨号用户访
问进行认证的一种协议,是在 Radius Server 和 Radius Client 之间进行认证、授权、
计费的协议标准。认证即辨别用户是谁的过程,通常该过程通过输入有效的用户名
和密码实现;授权是指对完成认证过程的用户授予相应权限,解决他能做什么的问
题,在一些身份认证的实现中,认证和授权是统一在一起的;计费(Accounting)
则是统计用户做过什么的过程,包括用户使用的时间和费用,可通过用户占用系统
的时间、接收和发送的信息量来衡量。
Radius 采用 Client/Server 模型,在 NAS 上运行的是 Client 端,负责将用户信息传
送到指定的 Radius 服务器上,并根据服务器返回的结果进行相应的处理。Radius
服务器包括两种类型:授权认证服务器和计费服务器。授权认证服务器(Radius
Authentication Server)负责接受用户的连接请求、验证用户身份,并返回给客户需
要的相关配置信息。一个授权认证服务器也可以作为 Radius 客户的代理,将其连
接到另一个授权认证服务器。计费服务器(Radius Accounting Server)负责接受用
户计费开始请求和计费结束请求,并实现计费功能。
Radius 具有以下属性:
Radius 以 Client/Server 模式工作,实现了对远程用户的身份认证、授权和计费
功能。
Radius Client 主要用来将用户信息传递给 Radius Server;Server 则对用户进
行认证,并返回用户的配置信息。
为保证传输的安全性,在 Client 和 Server 之间传送的数据均以 MD5 方式加密。
认证具有灵活性。采取多种认证机制,包括 PAP 和 CHAP。
23.2 Radius配置命令
当交换机从用户连接请求报文中提取出与用户相关的属性之后,重新组装成 Radius
格式报文,并与 Radius Server 通信以完成后续的认证、计费功能。
23-1
第 23 章 配置 RADIUS
23.2.1 配置Radius认证服务
认证服务器(Authentication Server)具有如下属性:
认证服务器通过 ID 号进行标识。NAS 包含一个认证服务器列表,当 NAS 发送
认证请求时,它从列表中选择最先添加的且处于可用状态的认证服务器,或者
选择由用户指定的认证服务器。因此在配置某个认证服务器时,必须将该服务
器加入到列表中,如果不再使用某个认证服务器了,可以将它从列表中删除。
添加新的认证服务器时,如果指定的 ID 号在服务器列表中已经存在,若仍要在
新的认证服务器上使用这个 ID,需要先删除使用该 ID 的认证服务器,然后再加
入新的认证服务器。
server-ip 是认证服务器的 IP 地址。
client-ip 是 Radius Client 的 IP 地址,即交换机上连接认证服务器的端口所对应
的 IP 地址。
udp-port 端口号,Radius Server 和 Radius Client 通过 UDP 发送数据包,对于
认证服务器而言,这个端口号默认为 1812。
关闭 Radius 认证功能,使用以下配置命令:
radius authentication disable
23-2
第 23 章 配置 RADIUS
4.设置共享密钥
考虑到网络传输的安全性,传递的报文都是经过加密算法封装过的,配置某个认证
服务器 Radius Server 和其 Radius Client 之间的共享密钥<secret>,将该字符串放
到 md5 算法中和其它数据一同参与计算,可以使用以下配置命令:
radius authentication config-server id <0-4> shared-secret {<secret>}*1
其中,<0-4>为 Radius Server 的索引值,<secret>为共享密钥,当输入的参数
{<secret>}*1 为空时,密码将恢复为缺省值“harbour”。
5.设置重传时间间隔
当设备 Radius Client 向 Radius Server 发出请求的一段时间之后没有得到 Radius
Server 的应答,Radius Client 可以向 Radius Server 重传数据包,重传数据包的时
间间隔默认值为 10 秒,可以使用以下配置命令设置这个间隔:
radius authentication config-server id <0-4> retransmit-interval <5-300>
其中,<0-4>为 Radius Server 的索引值,<5-300>为重传时间间隔的取值范围,单
位为秒。
6.设置重传的最大次数
当 Radius Client 需要向 Radius Server 重传数据包时,应配置 Radius Client 重传
该数据包的最大次数,默认值为 3 次,可以使用以下配置命令:
radius authentication config-server id <0-4> max-retransmit-count <2-10>
其中,<0-4>为 Radius Server 的索引值,<2-10>为最大重传次数。
23-3
第 23 章 配置 RADIUS
7.设置最大重传丢弃数
该参数用于判断 Radius Server 是否断掉。当 Radius Client 按上述规定的重传次数
完成重传后,若仍未收到 Radius Server 的回复,则丢弃数据包,系统记录一次重
传丢弃。当丢弃数超过所设置的最大重传丢弃数时,则认为 Radius Server 连接已
断。利用以下命令设置最大重传丢弃数:
radius authentication config-server id <0-4> max-retransmit-drop-count <2-30>
其中,<0-4>为 Radius Server 的索引值,<2-30>为最大重传丢弃数。
8.设置最大发送失败数
该参数用于判断 Radius Server 是否断掉。如果 Radius Client 有超过最大发送失败
数的包没有发送成功,则表明该 Radius Server 的连接已断。利用以下命令设置最
大发送失败数:
radius authentication config-server id <0-4> max-send-fail-count <2-30>
其中,<0-4>为 Radius Server 的索引值,<2-30>为最大发送失败数。
9.设置认证服务器的当前状态
Radius 认证服务器具有三种状态:active、inactive、dead,这三种状态各自表示的
意义说明如下:
表23-1 Radius 认证服务器的三种状态
状态 描述
active 处于此状态的认证服务器能够与交换机一起完成正常的授权认证功能。
inactive 处于此状态的认证服务器不执行认证功能,但交换机仍会定期向该服务器
发送检测报文,以便等待随时在需要的时候将服务器的状态改成active。
dead 处于此状态的认证服务器不执行认证功能,交换机也不向该服务器发送检
测报文。dead状态出现在具有多台备份服务器的情况下。
23-4
第 23 章 配置 RADIUS
23.2.2 配置Radius计费服务
关闭 Radius 计费功能,使用以下配置命令:
radius accounting disable
4.设置共享密钥
考虑到网络传输的安全性,传递的报文都是经过加密算法封装过的,配置某个计费
服务器 Radius Server 和其 Radius Client 之间的共享密钥<secret>,将该字符串放
到 md5 算法中和其它数据一同参与计算,可以使用以下配置命令:
radius accounting config-server id <0-4> shared-secret {<secret>}*1
23-5
第 23 章 配置 RADIUS
5.设置重传时间间隔
当 Radius Client 向 Radius Server 发出请求的一段时间之后没有得到 Radius
Server 的应答,Radius Client 可以向 Radius Server 重传数据包,重传数据包的时
间间隔默认值为 10 秒,可以使用以下配置命令设置这个间隔:
radius accounting config-server id <0-4> retransmit-interval <5-300>
其中,<0-4>为 Radius Server 的索引值,<5-300>为重传时间间隔的取值范围,单
位为秒。
6.设置最大重传次数
Radius Client 向 Radius Server 发送数据包,并等待 Radius Server 的应答。如果
在指定的时间(即重传时间间隔)内没有得到应答,Radius Client 会给计数器加 1,
并重传数据包,直到它得到 Radius Server 的应答、或计数器的值达到您所设定的
最大重传次数为止。
最大重传次数的默认值为 3 次,可以使用以下命令配置:
radius accounting config-server id <0-4> max-retransmit-count <2-10>
其中,<0-4>为 Radius Server 的索引值,<2-10>为最大重传次数。
7.设置最大重传丢弃数
该参数用于判断 Radius Server 是否断掉。当 Radius Client 重传数据包的次数达到
上述设定的最大重传次数时,若仍未收到 Radius Server 的回复,则丢弃数据包,
并给计数器加 1。当计数器的值达到您所设定的最大重传丢弃数时,Radius Client
认为 Radius Server 连接已断。
可以使用以下命令配置最大重传丢弃数:
radius accounting config-server id <0-4> max-retransmit-drop-count <2-30>
其中,<0-4>为 Radius Server 的索引值,<2-30>为最大重传丢弃数。
8.设置最大发送失败数
该参数用于判断 Radius Server 是否断掉。当 Radius Client 发送数据失败时,它会
23-6
第 23 章 配置 RADIUS
9.设置计费服务器的当前状态
Radius 计费服务器具有三种状态:active、inactive、dead,这三种状态各自表示的
意义说明如下:
表23-2 Radius 计费服务器的三种状态
状态 描述
active 处于此状态的计费服务器能够与交换机一起完成正常的计费功能。
inactive 处于此状态的计费服务器不执行计费功能,但交换机仍会定期向该服
务器发送检测报文,以便等待随时在需要的时候将服务器的状态改成
active。
dead 处于此状态的计费服务器不执行计费功能,交换机也不向该服务器发
送检测报文。dead状态出现在具有多台备份服务器的情况下。
使能计费服务、或修改服务器的某些属性时,必须先强制用户
下线,并重新登录,这些设置才会生效。
注意
23-7
第 23 章 配置 RADIUS
第二步:按照相关属性定位用户。
如果没有找到对应用户,则说明该用户不在线,将不予处理;如果找到对应的用户,
则根据配置命令使用以下其中一种方法切断 Radius Server 与 Radius Client 的连
接:
启动重认证机制,由 Radius Server 发送 RADIUS_ACCESS_REJECT 报文拒
绝用户的认证请求。
由交换机自动设置直接切断该用户。
默认配置下,为了保证网络的安全,交换机不检测报文的合法
性便直接断开与用户的连接,从而避免受到非法 CUT 报文的攻
注意 击。
23-8
第 23 章 配置 RADIUS
从列表中删除一个认证服务器,使用以下命令:
radius cut delete-server authentication id <0-4>
Hammer 系列交换机可为每个域最多设置 5 个认证服务器,id <0-4>代表认证服务
器的索引号。
3.向列表中增加/删除计费服务器
向列表中增加一个计费服务器,使用以下命令:
radius cut add-server accounting id <0-4> {udp-port <1-6500>}*1
从列表中删除一个计费服务器,使用以下命令:
radius cut delete-server accounting id <0-4>
Hammer 系列交换机可为每个域最多设置 5 个计费服务器,id <0-4>代表计费服务
器的索引号。
4.设置校验 CUT 报文的方式
CUT 报文的合法性校验默认是关闭的,可以通过以下命令行配置以何种方式校验
CUT 报文的合法性:
radius cut verify-by [authenticator|message-authenticator|none]
参数 authenticator 表示校验 CUT 报文的 authenticator 字段
参数 message-authenticator 表示校验 CUT 报文的 message-authenticator 属性
参数 none 表示不校验 CUT 报文
5.设置处理 CUT 请求机制
Hammer 交换机具有两种处理 CUT 报文的机制:启动重认证机制和直接切断与用
户连接机制:
radius cut process-by [reauthentication|logoff]
参数 reauthentication 表示启动重认证机制处理 CUT 请求;参数 logoff 表示直接断
开与用户的连接。默认为直接断开连接。
23-9
第 23 章 配置 RADIUS
间隔。
配置命令如下:
radius accounting session-timeout-type [logoff|reauthenticate]
选择 logoff 表示按照 RFC2866 标准对 Session Timeout 进行处理;选择
reauthenticate 表示按照设置的重认证时间间隔由服务器对用户进行重认证。默认选
项为 logoff。
23-10
第 23 章 配置 RADIUS
2.设置是否将主备切换信息通知给 dot1x 模块
在发生 Radius 服务器主备切换时,可以设置是否将此信息通知给 dot1x 模块。如果
通知 dot1x 模块,就会让已经认证的用户通过备用服务器进行重认证;如果不通知
dot1x 模块,Radius 服务器主备切换对已经认证的用户是透明的,不会进行重认证。
使用以下命令来配置发生 Radius 服务器主备切换时是否通知 dot1x:
config radius serverswitch-notify [enable|disable]
23.2.6 传递用户信息到RADIUS
23.2.7 Console与telnet远程认证
该功能的目的是将设备管理的帐号密码进行统一、集中管理。从而降低管理难度。
功能说明如下:
超级用户帐号(admin)只能在本地认证,无论是否配置了需要远程认证,在只
读模式输入 enable,不需要输入密码就可以直接进入配置模式,如果需要密码
请执行配置命令 config login-auth enable。
远程认证只支持 PAP 认证。
由于用户的认证方式在我们的域(domain)中配置,域中的默认认证方式为
eap-md5,远程认证默认使用缺省域中的服务器进行认证,因此,如果使用缺
省配置,需要修改 default 域的认证方式为 pap。但当使用 802.1x 接入功能时,
用户一般都通过缺省域 default 认证,并且认证方式一般要求为 eap-md5,这样
就与我们的 Console 与 telnet 远程登录要求的认证方式冲突,因此,建议为
Console 与 telnet 远程认证单独创建一个域,并指定 Console 与 telnet 远程认
证通过该域的服务器进行,当然这个域可以使用与 default 域相同的服务器。
在 radius 服务器上创建帐号时,需指定用户时管理员还是普通用户,管理员可
进入设备的 config 节点,而普通用户只能进入 view 节点。并且 radius 服务器应
能够将用户的级别信息通过 radius 标准属性 6(service-type)返回,service-type
23-11
第 23 章 配置 RADIUS
23.2.8 配置Radius属性
1. 配置 Radius 属性的类型
23-12
第 23 章 配置 RADIUS
使用标准属性携带用户参数
23-13
第 23 章 配置 RADIUS
使用 26 号厂商自定义属性携带用户参数
23-14
第 23 章 配置 RADIUS
31;
VendorId 是 SMI 分配的厂商代码,默认值为 8212(港湾网络有限公司)
2. 恢复 Radius 属性类型的默认值
设置访问控制列表属性类型的默认值
radius config-attribute filter-id default-value
访问控制列表属性类型的默认值为标准厂商属性 26,厂商自定义类型 7
23-15
第 23 章 配置 RADIUS
设置端口反查属性类型的默认值
radius config-attribute path-track default-value
端口反查属性类型的默认值为标准厂商属性 26,厂商自定义类型 33
设置 VLAN ID 属性的默认值
radius config-attribute vlan-id default-value
VLAN Id 属性类型的默认值为标准厂商属性 26,厂商自定义类型 32
设置 VLAN IP 属性的默认值
radius config-attribute vlan-ip default-value
VLAN IP 属性类型的默认值为标准厂商属性 26,厂商自定义类型 31
设置 frame-protocol 属性的默认值
radius config-attribute frame-protocol default
设置 frame-protocol 属性的默认值
radius config-attribute nas-port-type default
3. 配置 Radius 属性的值
23-16
第 23 章 配置 RADIUS
属性值<0-255> 对应协议
1 PPP
2 SLIP
3 AppleTalk Remote Access Protocol (ARAP)
4 Gandalf proprietary SingleLink/MultiLink protocol
5 Xylogics proprietary IPX/SLIP
6 X.75 Synchronous
显示 Radius 属性值的配置:
show radius config-attribute frame-protocol
show radius config-attribute nas-port-type
23-17
第 23 章 配置 RADIUS
4. 配置 Radius 服务器返回带宽值的单位
23.2.9 配置实例
1. 实例 1:
2. 实例 2:
23-18
第 23 章 配置 RADIUS
3. 实例 3:
将上行带宽使用标准属性带回,将下行优先级使用 26 号属性带回,VendorType = 1,
VendorId = 8212
由于 VendorId=8212 是默认配置,所以在命令设置中可以省略。
23.3 Radius显示命令
有关 Radius 信息的显示命令如下表所示:
表23-3 Radius 显示命令列表:
显示命令 功能描述
show radius [accounting|authentication] 显示Radius认证或计费服务器的主备倒换功
server-switch 能是否启用
show radius accounting 显示计费服务器的Session Timeout类型
session-timeout-type
show radius cut process-way 显示CUT请求处理机制
show radius cut verify-way 显示CUT报文校验方式
show radius idpool 显示Radius服务器ID号的使用情况,用于调试
show radius {configuration}*1 显示Radius配置信息
show radius config-attribute 显示Frame-Protocol属性的值
frame-protocol
show radius config-attribute nas-port-type 显示Nas-Port-Type属性的值
show radius config-attribute 显示Radius服务器返回带宽值的单位
bandwidth-unit
show radius custom-attributes 显示Radius属性类型
23.4 配置域
在 Hammer 系列交换机的接入模块中,我们引入了域(isp-domain)的概念。不同
的域可能由不同的 ISP 经营。接入设备根据用户输入的用户名中的域名部分(用户
名@域名)来区分用户所属的域,并将其认证和计费请求发送到相应域的认证服务
器和计费服务器。
建立了域的概念以后,当我们在系统中增加 Radius 服务器时,必须将其分配给相
23-19
第 23 章 配置 RADIUS
23.4.1 域的基本配置
有关域的基本配置命令具体如下:
创建域
create isp-domain <domain>
其中<domain>为所创建的域的域名
删除域
delete isp-domain <domain>
其中<domain>为所要删除的域的域名
配置客户端软件升级的 URL
在设置通过 URL 升级客户端软件之前,应使用以下命令使能该功能:
23-20
第 23 章 配置 RADIUS
23.4.2 域的认证配置
向域中添加/删除认证服务器
config isp-domain <domain> authentication [add-server|delete-server] id <id>
add-server 表示向名为<domain>的域添加认证服务器,delete-server 表示从名为
<domain>的域删除认证服务器。
由于一个域可以包含多个认证服务器,因此需要指定每个认证服务器的 ID 标识
<id>。
配置域的认证模式
每个域有两种认证模式:独立认证模式(independent)和主备认证模式
(primary-backup)。如果使用独立认证模式,当域中的主认证服务器发生故障时,
不把认证转移到域内的备用认证服务器上。如果使用主备认证模式,当域中的主认
证服务器发生故障时,设备自动将认证切换到备用认证服务器上。
配置域的认证模式使用以下配置命令:
config isp-domain <domain> authentication mode [independent|primary-backup]
在<domain>处输入要配置的域的域名。选择 independent 表示使用独立认证模式,
选择 primary-backup 表示使用主备认证模式。缺省的认证模式为 independent。
应当注意的是,若要配置域的认证模式为 primary-backup,需要首先使能 Radius 认
23-21
第 23 章 配置 RADIUS
证服务器的主备切换功能,也就是先做如下配置:
Harbour(config)# radius authentication server-switch enable
指定主认证服务器
config isp-domain <domain> authentication config-server id <id> type primary
使用上述命令可以指定其中一个认证服务器作为主认证服务器。默认情况下,以首
次添加的认证服务器作为主认证服务器。
配置域的认证方式
包括三种认证方式:PAP 认证、CHAP 认证、EAP-MD5 认证。系统默认为 EAP-MD5
认证。配置命令如下:
config isp-domain <domain> authentication type [pap|chap|eap-md5]
23.4.3 域的计费配置
向域中添加/删除计费服务器
config isp-domain <domain> accounting [add-server|delete-server] id <id>
add-server 表示向名为<domain>的域添加计费服务器,delete-server 表示从名为
<domain>的域中删除计费服务器。由于一个域可以包含多个计费服务器,因此需要
指定每个计费服务器的 ID 标识<id>。
配置计费服务器在域中的类型
config isp-domain <domain> accounting config-server id <id> type
[primary|multi|backup]
primay 表示把某个 Radius 计费服务器置为主计费服务器;
multi 表示把某个 Radius
服务器设置成其中一个计费服务器,若该计费服务器是主计费服务器,则保持不变,
因为主计费服务器也属于多个计费服务器中的一个计费服务器;backup 表示把域中
的某个 Radius 计费服务器设置成备份计费服务器,若该计费服务器是主计费服务
23-22
第 23 章 配置 RADIUS
器,则选择第一个备份计费服务器作为主计费服务器。
在缺省情况下,系统将第一个添加的计费服务器作为主计费服务器,其他计费服务
器都为备份服务器。
配置即时计费时间间隔
即时计费功能(Interim Update Accouting)是指在发送计费开始请求和计费结束请求
之间定期发送即时计费请求,以便将在线用户的计费信息定期发送到 Radius 计费
服务器。
配置即时计费请求的时间间隔,并打开发送功能,输入以下命令:
config isp-domain <domain> accounting interim-update-accounting interval
<10-65535>
关闭即时计费请求发送功能,输入以下命令:
config isp-domain <domain> accounting interim-update-accounting disable
默认为 disable(即间隔时间为 0)。
配置开始计费时是否等待用户获取 IP
接入服务支持与 DHCP Relay 功能相结合,DHCP Relay 在获得了 DHCP Server
传来的用户 IP 之后,会通知设备的 NAS 模块,从而可以通过相关命令察看到某用
户动态获得的 IP 地址;当用户主动 release 了自己的 IP 地址之后,我们也可以通
23-23
第 23 章 配置 RADIUS
配置交换机等待用户获取 IP 地址的最长时间:
如果设置为在认证通过之后一定要等到用户获得了 IP 地址再发送计费请求,那么需
要设置经过多长时间之后如果用户还没有得到 IP 地址,则根据超时机制切断该用户
的连接,配置命令如下:
config isp-domain <domain> accounting wait-ip <100-600>
参数<100-600>表示等待的时间,单位是秒,系统默认为等待 100 秒。
23.4.4 配置实例
23-24
第 23 章 配置 RADIUS
23.5 接入服务应用配置案例
23.5.1 单域认证
在交换机的接入服务系统中有一个默认的域 default,如果不使用多域功能,则不必
创建新的域,直接利用 default 域即可。以下我们将介绍实现单域认证的最小配置。
如下图所示,Hammer 交换机的端口 23 和端口 24 各连接一个 Radius 服务器,每
个服务器均具有认证和计费功能。
图23-1 单域认证网络图
配置步骤
步骤1 配置802.1x
步骤1.1 使能802.1x认证服务器
Harbour(config)# config dot1x enable
步骤1.2 将连接服务器的端口23和24的认证状态设为forceauth
Harbour(config)# config port 23-24 dot1x authcontrolledportcontrol
forceauth
步骤2 配置Radius
步骤2.1 增加两台认证计费服务器,每台服务器均具有认证计费功能。设IP地址为
23-25
第 23 章 配置 RADIUS
192.168.0.252的Radius Server(0)的ID为0,IP地址为192.168.0.253的
Radius Server(1)的ID为1。
Harbour(config)# radius authentication add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius authentication add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
步骤2.2 根据以上配置,由于Server(0)是首次添加的认证和计费服务器,因此Server
(0)既是主认证服务器,也是主计费服务器。也可以人为地将Server(1)指
定为主认证服务器或主计费服务器。设置主认证服务器的共享密钥是
“RADIUS-Authentication”
Harbour(config)# radius authentication config-server id 0
shared-secret RADIUS-Authentication
步骤2.3 使能Radius认证计费功能
Harbour(config)# radius authentication enable
Harbour(config)# radius accounting enable
23.5.2 多域认证
23-26
第 23 章 配置 RADIUS
图23-2 多域认证网络图
配置步骤
步骤1 配置802.1x
步骤1.1 使能802.1x认证服务器
Harbour(config)# config dot1x enable
步骤1.2 将连接服务器的端口23和24的认证状态设为forceauth
Harbour(config)# config port 23-24 dot1x authcontrolledportcontrol
forceauth
步骤2 配置Radius
步骤2.1 增加两台认证计费服务器,每台服务器均具有认证计费功能。设IP地址为
192.168.0.252的Radius Server(0)的ID为0,IP地址为192.168.0.253的
Radius Server(1)的ID为1。
Harbour(config)# radius authentication add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius authentication add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
步骤2.2 根据以上配置,由于Server(0)是首次添加的认证和计费服务器,因此Server
(0)既是主认证服务器,也是主计费服务器。也可以人为地将Server(1)指
定为主认证服务器或主计费服务器。设置主认证服务器的共享密钥是
23-27
第 23 章 配置 RADIUS
“RADIUS-Authentication”
Harbour(config)# radius authentication config-server id 0
shared-secret RADIUS-Authentication
步骤2.3 使能Radius认证计费功能
Harbour(config)# radius authentication enable
Harbour(config)# radius accounting enable
步骤3 配置域
步骤3.1 创建两个域,domain1和domain2
Harbour(config)# create isp-domain domain1
Harbour(config)# create isp-domain domain2
步骤3.2 将两个Radius服务器分别添加到domain1和domain2中
Harbour(config)# config isp-domain domain1 authentication
add-server id 0
Harbour(config)# config isp-domain domain1 accounting add-server
id 0
Harbour(config)# config isp-domain domain2 authentication
add-server id 1
Harbour(config)# config isp-domain domain2 accounting add-server
id 1
23.5.3 服务器的主备切换
23-28
第 23 章 配置 RADIUS
图23-3 配置认证服务器主备切换
配置步骤
步骤1 配置802.1x
步骤1.1 使能802.1x认证服务器
Harbour(config)# config dot1x enable
步骤1.2 将连接服务器的端口23和24的认证状态设为forceauth
Harbour(config)# config port 23-24 dot1x authcontrolledportcontrol
forceauth
步骤2 配置Radius
步骤2.1 增加两台认证服务器,设IP地址为192.168.0.252的Radius Server(0)的ID
为0,IP地址为192.168.0.253的Radius Server(1)的ID为1。
Harbour(config)# radius authentication add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius authentication add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
步骤2.2 设置认证服务器的共享密钥是“RADIUS-Authentication”
Harbour(config)# radius authentication config-server id 0
shared-secret RADIUS-Authentication
23-29
第 23 章 配置 RADIUS
步骤2.4 启动Radius认证服务器主备切换功能
Harbour(config)# radius authentication server-switch enable
步骤3 配置域
步骤3.1 创建域domain1
Harbour(config)# create isp-domain domain1
步骤3.2 将两个Radius服务器添加到domain1域中
Harbour(config)# config isp-domain domain1 authentication
add-server id 0
Harbour(config)# config isp-domain domain1 authentication
add-server id 1
步骤3.3 配置域的认证模式为primary-backup
Harbour(config)# config isp-domain domain1 authentication mode
primary-backup
23.5.4 基于802.1x的动态限速
配置步骤
步骤3 启用L3限速功能
Harbour(config)# config dot1x access-limit route-engine rate
步骤4 配置接收带宽值的Radius属性。例如,使用26号厂商自定义属性携带Radius
服务器返回的上下行带宽信息,厂商定义的上行带宽为2,下行带宽为5,厂商
代码是1234
Harbour(config)# radius config-attribute access-bandwidth uplink
vendor-specific 2 1234
Harbour(config)# radius config-attribute access-bandwidth downlink
vendor-specific 5 1234
步骤5 查看配置结果
Harbour(config)# show radius custom-attributes
Attribute Attribute Type ValueType STD/VSA
VendorId
------------------- ---------------------------- ---------
Uplink-Bandwidth 2 integer VSA 1234
Downlink-Bandwidth 5 integer VSA 1234
Uplink-Priority 3 integer VSA
23-30
第 23 章 配置 RADIUS
8212(harbour)
Downlink-Priority 4 integer VSA
8212(harbour)
Intra-Vid 5 integer VSA
8212(harbour)
Extra-Vid 6 integer VSA
8212(harbour)
FILTER-ID 7 integer VSA
8212(harbour)
harbour vlan ip 1 integer VSA
8212(harbour)
harbour vlan id 32 integer VSA
8212(harbour)
harbour path track 33 integer VSA
8212(harbour)
------------------- ---------------------------
步骤8 例如,若限制用户的上下行带宽都为512kbps,则从Radius服务器返回的带宽
值应为512,若设置成功将显示如下结果:
Harbour(config)#show customer-profile
Customer profile total: 2
23.6 命令参考
命令功能 删除计费相关的统计信息。
命令模式 配置模式
23-31
第 23 章 配置 RADIUS
命令模式 配置模式
参数说明 参数 说明
<domain> 域名
[add-server |delete-server] 增加或删除一个服务器配置
<A.B.C.D> DHCP服务器的IP地址
命令模式 配置模式
参数说明 参数 说明
<domain> 域名
<A.B.C.D> DHCP网关IP地址,该地址一般
是VLAN vlanname的子接口的
地 址 , 当 然 , 也 可 以 是 VLAN
23-32
第 23 章 配置 RADIUS
vlanname本身的地址
<vlanname> VLAN名称
命令模式 配置模式
参数说明 参数 说明
<domain> 域名
23-33
第 23 章 配置 RADIUS
命令功能 设置进入配置模式是否需要密码。
命令模式 配置模式
参数说明 参数 说明
[enable|disable] 是否需要密码
命令模式 配置模式
参数说明 参数 说明
[local|radius] 本地认证或远程radius认证
命令模式 配置模式
23-34
第 23 章 配置 RADIUS
参数说明 参数 说明
<domain> 已创建的某个域的域名
命令模式 配置模式
参数说明 参数 说明 缺省配置
<1-600> 超时时间,单位:秒 16
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 25
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
23-35
第 23 章 配置 RADIUS
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 23
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
命令模式 配置模式
23-36
第 23 章 配置 RADIUS
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 21
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 24
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
23-37
第 23 章 配置 RADIUS
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 19
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
命令模式 配置模式
23-38
第 23 章 配置 RADIUS
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 20
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
命令模式 配置模式
命令模式 配置模式
参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 22
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)
23-39
第 23 章 配置 RADIUS
23-40
第 24 章 配置 VRRP
24 第24章 配置 VRRP
24.1 概述
目前指定缺省网关一般有两种方法,一种是使用如最短路径优先(OSPF)协议或路由
信息协议(RIP)等动态路由协议来确定正确的缺省网关。OSPF 和 RIP 能够绕过任意
故障点来选择最佳网关,但动态路由协议对终端系统的处理开销较大,且收敛过程
慢。另一种方法是使用静态配置的缺省网关来减少处理开销。但这种方法的风险是
使作为缺省网关的路由器成为单一故障点。对于一个主机来说,经常使用第二种方
法来实现默认网关配置。
VRRP(Virtual Router Redundancy Protocol)可避免静态指定网关的缺陷。通过
VRRP,一组路由器可以一起协同工作,共同组成一台虚拟路由器。该虚拟路由器
对外配有一个虚拟 IP 地址和 MAC 地址,
VRRP 从路由器组中选出一台作为 master,
负责转发数据包。当主路由器发生故障时,备份路由器会迅速接管主路由器,主机
不必改变缺省网关地址,且此过程对于终端系统是透明的。这样就提供了在故障发
生时更快、更有效地解决方法。
此外,该协议还可以在负载分担应用中发挥作用。例如,VRRP 可以使一台路由器
作为一个 IP 子网的主路由器,同时作为另一个子网的备份路由器。用这种方式配置
的两台路由器可以实现负载分担:每一台路由器都相互作为另一台路由器的冗余备
份路由器。VRRP 协议实现了局域网的冗余性和恢复性,提高了网络的高可靠性。
24.1.1 VRRP协议状态
参与 VRRP 协议的路由器有三种状态,当路由器以这些状态中的其中一种存在时,
它将执行该状态所需要进行的工作。这些 VRRP 状态如下:
初始状态
所有的路由器都是从初始状态开始,这只是个过渡状态。路由器处于此状态时表明
VRRP 还没有运行。
备份状态
24-1
第 24 章 配置 VRRP
处于该状态的路由器通过收发主路由器发来的数据包来监听主路由器的状态,并时
刻准备接管主路由器。
活跃状态
处于活跃状态的路由器称为主路由器,主路由器负责转发被发送到此 VRRP 组的虚
拟 MAC 地址的数据包。并且主路由器还向备份路由器发送周期性广播报文。在一
个 VRRP 组中必须有且只能有一台主路由器。
24.1.2 VRRP配置规则
24.2 配置VRRP
24.2.1 配置虚拟路由器的参数
运行 VRRP 协议,可以根据需要配置虚拟路由器的各种参数。其中必须配置的参数
有:
VRID,取值为 1-255,缺省是 1
IP 地址,和所在接口在同一网段
可调整的参数有:
优先级,缺省为 100
广播间隔,缺省为 1 秒
抢占模式,缺省为抢占模式
认证密码。
24-2
第 24 章 配置 VRRP
名字,缺省为 HOS—VRRP
表24-1 虚拟路由器参数配置常用命令
vrrp ipaddress 配置虚拟路由器的VRID、IP地址并启动
vrrp priority 配置虚拟路由器的优先级
vrrp advertise-timer 配置虚拟路由器的广播间隔
vrrp preempt 配置虚拟路由器的抢占模式
vrrp authentication 配置虚拟路由器的认证密码
vrrp name 配置虚拟路由器的名字
vrrp track 配置备份组接口跟踪
vrrp pingtrack 配置VRRP的Ping Track
24.3 配置案例
案例描述
在交换机 A 和交换机 B 中,都存在名为 default 的 VLAN,在交换机 A 中,分配给
VLAN default 的 IP 地址是 10.1.20.10/24;在交换机 B 中,分配给 VLAN default
的 IP 地址是 10.1.20.30/24。主机的默认网关设为 10.1.20.30。
24-3
第 24 章 配置 VRRP
配置步骤
步骤1 在交换机A中,创建一个虚拟路由器1,分配一个IP地址10.1.20.30,工作接
口是default
Harbour(config)# interface default
Harbour(config-if)# vrrp ipaddress 10.1.20.30
Harbour(config-if)# exit
步骤2 在交换机B中,也创建一个虚拟路由器1,分配一个IP地址10.1.20.30,工作
接口是default
Harbour(config)# interface default
Harbour(config-if)# vrrp ipaddress 10.1.20.30
Harbour(config-if)# exit
24.4 命令参考
debug vrrp
命令格式
no debug vrrp
命令模式 配置模式
24-4
第 24 章 配置 VRRP
命令模式 配置模式
debug vrrp
相关命令
命令功能 显示虚拟路由器的状态信息。
命令模式 配置模式、接口模式
参数说明 参数 说明
<1-255> VRID
Interface Name :a
Router Name :HOS_VRRP
Virtual ID :1
State :initiation
Priority :100
Preempt :on
Advertisement interval :1
Answer arp :off
24-5
第 24 章 配置 VRRP
Authentication :text
Password :HOS
Ip address :10.5.4.1/24
Virtual Mac address :00:00:5e:00:01:01
命令功能 配置虚拟路由器的广播间隔。
恢复虚拟路由器的报文发送间隔为缺省值 1。
命令模式 接口模式
参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<1-5> 广播间隔,单位:秒 1
命令功能 设置虚拟路由器的认证密码。
恢复虚拟路由器的缺省认证密码。
命令模式 接口模式
参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<password> 认证密码 空
24-6
第 24 章 配置 VRRP
命令模式 接口模式
参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<A.B.C.D> 虚拟路由器的IP地址 ——
命令功能 配置虚拟路由器的名字。
恢复虚拟路由器的缺省名字。
命令模式 接口模式
参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<name> 虚拟路由器的名字 HOS-VRRP
命令模式 配置模式
24-7
第 24 章 配置 VRRP
参数说明 参数 说明
第一个<1-255> vrrp virtual router ID
< trackname > ping track名称
第二个<1-255> 优先级数值
命令功能 配置虚拟路由器的抢占模式。
命令模式 接口模式
参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
[on|off] 允许/禁止抢占 on
使用指导 抢占模式是指是否允许优先级高的备份路由器取代低优先级的主路由器的
模式。
命令功能 配置虚拟路由器的优先级。
恢复虚拟路由器优先级的缺省值 100。
24-8
第 24 章 配置 VRRP
命令模式 接口模式
参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<1-254> 优先级 100
命令功能 配置备份组接口跟踪。
命令模式 接口模式
参数说明 参数 说明 缺省配置
第一个<1-255> VRRP组号 1
<IFNAME> 跟踪的端口名
第二个<1-255> 变化的优先级数值 10
24-9
第 25 章 配置虚拟堆叠
25 第25章 配置虚拟堆叠
25.1 概述
堆叠技术是目前在以太网交换机上扩展端口使用较多的一种技术,是一种非标准技
术。各厂商不支持混合堆叠,堆叠模式为各厂商自行制定。它将一组相互连接在一
起的交换机当作一个整体来看待,实现系统的简易本地化集中管理,简化和方便整
体操作。目前流行的堆叠有两种主要形式:菊花链模式和星型模式:
菊花链模式是一种基于堆叠的技术,对交换机的硬件没有特殊的要求,通过相
对高速的端口串连和软件支持,最终构建一个多交换机的环状结构。
星型堆叠是一种高级堆叠技术,对交换机而言,需要提供一独立的高速交换中
心,所有主机通过高速堆叠端口连接到同一的堆叠中心。
系统支持菊花链和星型两种模式的虚拟堆叠。使用堆叠功能可以带来以下好处:
管理交换机不受空间的限制,它们可以都在本地也可以在远端,只要是在堆叠
管理 VLAN 二层网络能够到达的地方,就可以管理到。
节省资源,简化重复性的耗时工作。
节省 IP。
由于实现的是三层堆叠,存在虚 IP 的概念。默认情况下堆叠服务是打开的,并且系
统为每个交换机分配了一虚拟的 IP,系统默认的虚拟 IP 为 172.30.0.1/24 网段,如
果该网段同用户的所有网段不冲突的话,用户不必关心该网段;如果同用户的所用
网段冲突,用户可以通过手工的方式指定不冲突网段。目前的版本有些应用是基于
三层的,所以用户在操作时应先设置好路由,以确保交换机能同网管站连通。
25.2 命令参考
[start|stop] cluster
命令格式
25-1
第 25 章 配置虚拟堆叠
命令功能 启动或关闭虚拟堆叠功能。
命令模式 配置模式
参数说明 参数 说明
[start|stop] 启动或关闭
默认状态 虚拟堆叠默认情况下关闭。
命令功能 擦除堆叠系统中一组交换机的配置。
命令模式 配置模式
cluster save
相关命令
命令功能 重新启动堆叠系统中的一组交换机。
命令模式 配置模式
命令功能 保存堆叠系统中一组交换机的配置。
命令模式 配置模式
cluster erase
相关命令
25-2
第 25 章 配置虚拟堆叠
命令模式 配置模式
命令功能 对堆叠系统中的一台交换机进行配置。
命令模式 配置模式
参数说明 参数 说明
<1-7> 堆叠组号
命令模式 配置模式
25-3
第 25 章 配置虚拟堆叠
命令模式 配置模式
参数说明 参数 说明
[hammeros|config-file] 指定升级HammerOS或配置文件
<A.B.C.D> FTP服务器的IP
show cluster
命令格式
命令功能 查看堆叠成员信息。
命令模式 配置模式
Harbour(config)#show cluster
配置实例
The system is commander,stack cluster information...........
-------------------------------------------------------------------
|ID |duty |deviceType |stackPort |macAddress |
-------------------------------------------------------------------
|0 | commander| FlexHammer5010 |0 | 00-05-3b-00-04-91 |
-------------------------------------------------------------------
|1 | member | FlexHammer5010 |6 | 00-05-3b-00-38-99 |
-------------------------------------------------------------------
|2 | member | FlexHammer5010 |6 | 00-05-3b-58-00-52 |
……
命令模式 配置模式
25-4
第 26 章 配置芯片复位
26 第26章 配置芯片复位
26.1 命令参考
命令功能 增加对于转发芯片使用的外部报文缓存的控制,可以通过这个命令使能和
关闭对于外部报文缓存的使用。
命令模式 配置模式
参数说明 参数 说明
[enable | disable] 使能或关闭报文外部缓存功能
默认状态 使能报文外部缓存功能。
使用指导 当外部报文缓存使用的内存器件出现问题后,如果仍然使用的话可能会给
转发芯片的功能造成影响,这个时候可以通过这个命令关闭掉外部缓存的
使用,这样对于吞吐量会有一些降低,但是报文处理的时延可以变短,而
且避免了外部缓存器件错误造成的影响。
关闭外部报文缓存后,交换机的吞吐量会有所下降,需要
在确定报文外部缓存存在问题时使用这个命令关闭外部报
注意 文缓存。
命令功能 配置对于转发芯片中断上报的芯片内部错误的处理方式。
26-1
第 26 章 配置芯片复位
命令模式 配置模式
参数说明 参数 说明
reset 收到任何芯片中断上报的错误,就直接复位芯片
analyses 收到上报的错误后,对芯片进行发包分析,如果发包不正
常了,则复位芯片,否则不作任何处理
disable 不作任何处理
默认状态 disable,不作任何处理。
使用指导 转发芯片在处理报文的时候,在一些极端情况下会出现一些错误,这些错
误可以通过中断的方式上报给 CPU 处理。目前提供了三种的处理方式: 1、
忽略上报的错误,CPU 只作统计,没有采取措施;2、由于芯片内部处理
出错后可能会导致一些不可知的后果,为了消除这些影响,可以复位芯片;
3、为了减少复位的可能性,可以在收到错误报告了,对芯片进行深一步的
分析,如果分析表明芯片工作不再正常,则可以复位芯片。
有的芯片错误的影响可能会在一段时间以后才能显现出
来,这个时候 analyses 方式就很难检测到这种潜在的影
注意 响。遇上这种情况,需要使用 reset 方式来代替。
命令功能 上面的中断芯片恢复模式,有时候芯片可能碰到一些未知的错误,从而导
致这些错误没有上报给软件;但是这些错误又可能造成芯片转发不正常。
为了弥补中断恢复模式的这种不足,增加了轮询的恢复模式。在这种模式
下,CPU 会定期检测芯片的转发正常情况,如果检测到转发出现问题,则
系统会采取复位芯片的动作。缺省为关闭轮询模式。
命令模式 配置模式
参数说明 参数 说明
enable 使能轮询监控芯片的功能
disable 关闭轮询监控芯片的功能
默认状态 disable,关闭轮询监控芯片的功能
26-2
第 26 章 配置芯片复位
使用指导
在轮询监控芯片的功能打开后,CPU 会定期发出报文检测
芯片的转发情况。这些报文的内容并没有实质性意义。
注意
命令模式 配置模式
参数说明 参数 说明 缺省配置
<1-600> 轮询的时间间隔,单位:秒 10
使用指导
建议不要进行修改该缺省值。
注意
命令模式 配置模式
参数说明 参数 说明
all 选择向所有linkup的端口发包检查
one 选择只向一个内部设定的端口发包进行检查
26-3
第 26 章 配置芯片复位
使用指导
在选择向所有端口发包进行检查的情况下,会占用较多的
CPU 资源,但是不会对业务的正常运行造成影响。
注意
命令功能 查看系统中关于芯片恢复的所有配置情况。
命令模式 配置模式
26-4