管理指南 思科 200 系列智能型交换机管理指南
1 目录 目录 第 1 章 : 目录 1 第 2 章 : 使用入门 8 启动基于 Web 的配置实用程序 8 设备配置快速入门 11 接口命名约定 11 窗口导航 12 第 3 章 : 状态和统计信息 15 系统摘要 15 以太网接口 15 Etherlike 统计信息 16 802.
1 目录 配置文件属性 39 复制 / 保存配置 39 通过 DHCP 进行自动配置 / 映像更新 40 第 6 章 : 管理 48 设备型号 48 系统设置 50 管理接口 52 用户帐户 52 定义闲置会话超时 52 时间设置 52 系统日志 52 文件管理 53 重启设备 53 状况 54 诊断 55 发现 - Bonjour 55 发现 - LLDP 55 发现 - CDP 56 Ping 56 第 7 章 : 管理:时间设置 58 系统时间选项 58 SNTP 模式 60 配置系统时间 60 第 8 章 : 管理:诊断 66 铜缆端口测试 66 显示光纤模块状态 68 配置端口和 VLAN 镜像 69 思科 200 系列智能型交换机管理指南 2
1 目录 查看 CPU 使用率和安全的核心技术 70 第 9 章 : 管理:发现协议 72 Bonjour 72 LLDP 和 CDP 73 配置 LLDP 74 配置 CDP 90 CDP 统计信息 97 第 10 章 : 端口管理 98 配置端口 98 环回检测 102 链路聚合 104 UDLD 109 PoE 109 配置绿色以太网 110 第 11 章 : 端口管理:单向链路检测 116 UDLD 概述 116 UDLD 操作 117 使用指南 119 与其他功能的依赖性 119 默认设置和配置 119 使用说明 120 常见 UDLD 任务 120 配置 UDLD 121 第 12 章 : 智能端口 124 综述 124 什么是智能端口 125 思科 200 系列智能型交换机管理指南 3
1 目录 智能端口类型 125 智能端口宏 127 宏失败和重置操作 128 智能端口功能如何运作 128 自动智能端口 129 错误处理 132 默认配置 132 与其他功能的关系和向后兼容性 132 常见智能端口任务 132 使用基于 Web 的界面配置智能端口 134 内置智能端口宏 138 第 13 章 : 端口管理:PoE 149 设备上的 PoE 149 PoE 属性 151 PoE 设置 152 第 14 章 : VLAN 管理 155 综述 155 常规 VLAN 157 语音 VLAN 163 第 15 章 : 生成树 173 STP 模式 173 STP 状态和全局设置 174 生成树接口设置 175 快速生成树设置 176 第 16 章 : 管理 MAC 地址表 179 静态 MAC 地址 179 动态 MAC 地址 180 思科 200 系列智能型交换机管理指南 4
1 目录 第 17 章 : 组播 182 组播转发 182 组播属性 186 MAC 组地址 186 IP 组播组地址 187 IPv4 组播配置 189 IPv6 组播配置 190 IGMP/MLD Snooping IP 组播组 192 组播路由器端口 193 全部转发 194 未注册的组播 195 第 18 章 : IP 配置 196 综述 196 IPv4 管理和接口 198 域名 209 第 19 章 : 安全 213 配置安全性 214 配置 RADIUS 216 管理访问方法 218 管理访问验证 222 安全敏感数据管理 223 SSL 服务器 223 SSH 客户端 225 配置 TCP/UDP 服务 225 定义风暴控制 227 配置端口安全 227 802.
1 目录 第 20 章 : 安全:802.1x 验证 233 802.1X 概述 233 验证方概述 235 常见任务 238 通过 GUI 进行 802.
1 目录 第 24 章 : SNMP 276 SNMP 版本和工作流程 276 型号 OID 278 SNMP 引擎 ID 279 配置 SNMP 视图 280 创建 SNMP 组 281 管理 SNMP 用户 283 定义 SNMP 社区 284 定义陷阱设置 286 通知接收设备 286 SNMP 通知过滤器 289 思科 200 系列智能型交换机管理指南 7
2 使用入门 本节介绍了基于 Web 的配置实用程序,具体包括以下主题: • 启动基于 Web 的配置实用程序 • 设备配置快速入门 • 接口命名约定 • 窗口导航 启动基于 Web 的配置实用程序 本节介绍了如何导航基于 Web 的交换机配置实用程序。 如果您使用了弹出窗口拦截器,请确保已将其禁用。 浏览器限制 如果正在管理站上使用 IPv6 接口,则可以使用 IPv6 全局地址 (而非 IPv6 链路本地地址)从浏览器访问设备。 启动配置实用程序 打开基于 Web 的配置实用程序的步骤: 步骤 1 打开任一 Web 浏览器。 步骤 2 在浏览器地址栏中输入要配置的设备的 IP 地址,然后按 Enter。 注 当设备使用出厂默认 IP 地址 192.168.1.
使用入门 启动基于 Web 的配置实用程序 2 登录 默认用户名为 cisco,默认密码为 cisco。第一次使用默认用户名和密码登录时,您需要输入新密码。 注 如果您之前没有为 GUI 选择语言,则登录页面的语言将由浏览器所请求的语言以及设 备上配置的语言决定。例如,如果浏览器请求使用中文,且中文已加载到设备中,则 登录页面将自动显示为中文。如果中文尚未加载到设备中,登录页面将显示为英文。 加载到设备中的语言具有一个语言和国家/地区代码 (en-US、 en-GB 等)。若要使登录页面自动以特定语言显 示,根据浏览器请求,浏览器的语言和国家/地区代码请求必须与设备上所加载语言的代码相匹配。如果浏览器 请求仅包含语言代码,而不包含国家/地区代码 (例如:fr)。系统将会采用第一个具有匹配语言代码 (而没有 匹配国家/地区代码,例如:fr_CA)的嵌入式语言。 登录到设备配置实用程序的步骤: 步骤 1 输入用户名/密码。该密码最多可以包含 64 个 ASCII 字符。在设置密码强度规则中介 绍了密码复杂性规则。 步骤 2 如果不使用英文,可以从语言下拉菜单中选择所需的语言。要为设备添加新语言或更 新当
使用入门 启动基于 Web 的配置实用程序 2 密码过期 在以下情况下会显示“新密码”页面: • 首次使用默认用户名 cisco 和密码 cisco 访问设备。此页面会强制您替换出厂默认密码。 • 当密码过期时,此页面会强制您选择新密码。 注销 默认情况下,如果应用程序在十分钟内无活动,将会注销。您可以按定义闲置会话超时一节中所述更改此默 认值。 ! 注意 除非将当前配置复制到启动配置,否则重启设备时,将会删除自上次保存文件以来所 做的所有更改。在注销前请先将当前配置保存到启动配置,以便保留在该会话期间所 做的一切更改。 保存应用程序链接左侧的闪烁的红色 X 图标,表明尚未将当前配置更改保存到启动配 置文件。您可以单击“复制/保存配置”页面上的禁用保存图标闪烁按钮,禁止闪烁。 当设备自动发现一个设备,例如,一台 IP 电话时 (请参阅什么是智能端口),会为该 设备相应地配置端口。这些配置命令将写入当前配置文件中。这将导致您登录时,即 使您没有更改任何配置,“保存”图标也会开始闪烁。 当单击保存时,将出现“复制/保存配置”页面。通过将当前配置文件复制到启动配置 文件来保存该文件。保存后,将不再显
2 使用入门 设备配置快速入门 设备配置快速入门 为通过快速导航简化设备配置,“使用入门”页面提供了最常用页面的链接。 类别 设备状态 快速访问 链接名称 (在页面上) 链接的页面 更改管理应用和服务 “TCP/UDP 服务”页面 更改设备 IP 地址 “IPv4 接口”页面 创建 VLAN “创建 VLAN”页面 配置端口设置 “端口设置”页面 系统摘要 “系统摘要”页面 端口统计信息 “接口”页面 RMON 统计信息 “统计信息”页面 查看日志 “RAM 内存”页面 更改设备密码 “用户帐户”页面 升级设备软件 “升级/备份固件/语言”页面 备份设备配置 “下载/备份配置/日志”页面 配置 QoS “QoS 属性”页面 配置端口镜像 “端口和 VLAN 镜像”页面 在“使用入门”页面上有两个热链接,可将您带入思科 Web 页面了解详情。单击支持链接,您将可以访问设备 产品支持页面,而单击论坛链接,您将可以访问“思科精睿支持社区”页面。 接口命名约定 在 GUI 内,可结合以下元素表示接口: • • 接口类型:以下类型的接口在各种类型的
2 使用入门 窗口导航 窗口导航 本节介绍了基于 Web 的交换机配置实用程序的功能。 应用报头 应用报头显示在每个页面上。可以提供以下应用程序链接: 应用程序链接名称 说明 显示在保存应用程序链接左侧的闪烁的红色 X 图标表明对当前配 置进行了更改,但尚未将更改保存到启动配置文件。您可以在“复 制/保存配置”页面上禁止红色 X 闪烁。 单击保存显示“复制/保存配置”页面。在设备上,通过将当前配 置文件复制到启动配置文件类型来保存该文件。保存后,将不再 显示红色 X 图标和“保存”应用程序链接。设备重启时,会将启 动配置文件类型复制到当前配置,并根据当前配置中的数据设置 设备参数。 用户名 显示登录到设备的用户名。默认的用户名为 cisco。(默认密码是 cisco。) 语言菜单 此菜单提供了以下选项: • 选择语言:从菜单所显示的语言中选择一种语言。此语言将 作为基于 Web 的配置实用程序的语言。 • 下载语言:将一种新语言添加到设备。 • 删除语言:删除设备上的第二种语言。第一种语言 (英文) 无法删除。 • 调试:用来进行转换。如果选择此选项,所有基于 Web 的 配置实
2 使用入门 窗口导航 管理按钮 下表介绍了系统中各页面上显示的常用按钮。 按钮名称 说明 使用此下拉菜单可配置每个页面的条目数。 表示必填字段。 添加 单击该按钮会显示相关的“添加”页面并在表格中添加一个 条目。输入信息并单击应用,可将该更改保存到当前配置中。 单击关闭可返回主页面。单击保存会显示“复制/保存配置” 页面,并在设备上将当前配置保存到启动配置文件类型。 应用 单击该按钮会将更改应用到设备上的当前配置。除非将当前配 置保存到启动配置文件类型或其他文件类型,否则当设备重启 时,当前配置会丢失。单击保存会显示“复制/保存配置”页 面,并在设备上将当前配置保存到启动配置文件类型。 取消 单击该按钮会重置对页面所做的更改。 清除所有接口的计 数器 单击该按钮会将所有接口的统计计数器清零。 清除接口计数器 单击该按钮会将所选接口的统计计数器清零。 清除日志 清除日志文件。 清除表 清除表格条目。 关闭 返回主页面。如果所有更改均未应用到当前配置,将显示一 条消息。 复制设置 表格通常包含一个或多个包含配置设置的条目。无需单独修 改每个条目,而是可以先修改一个条目
2 使用入门 窗口导航 按钮名称 说明 编辑 选择条目,然后单击编辑。此时将显示“编辑”页面,并且 可以对条目进行修改。 1. 单击应用可将更改保存到当前配置中。 2.
3 状态和统计信息 本节介绍如何查看设备统计信息。 其中包含以下主题: • 系统摘要 • 以太网接口 • Etherlike 统计信息 • 802.
3 状态和统计信息 Etherlike 统计信息 • 接口 - 选择接口类型以及要显示其以太网统计信息的具体接口。 • 刷新速率 - 选择刷新接口以太网统计信息的间隔时间。 接收统计信息区域显示关于传入数据包的信息。 • 字节总数 (八位字节) - 接收的八位字节数,包括坏数据包和 FCS 八位字节数,但不包括帧位。 • 单播数据包数 - 接收到的正常单播数据包数。 • 组播数据包数 - 接收到的正常组播数据包数。 • 广播数据包数 - 接收到的正常广播数据包数。 • 带有错误的数据包数 - 接收到的有错误的数据包数。 传输数据统计区域显示关于传出数据包的信息。 • 字节总数 (八位字节) - 传输的八位字节数,包括坏数据包和 FCS 八位字节数,但不包括帧位。 • 单播数据包数 - 传输的正常单播数据包数。 • 组播数据包数 - 传输的正常组播数据包数。 • 广播数据包数 - 传输的正常广播数据包数。 清除或查看统计信息计数器的步骤: • 单击清除接口计数器清除显示的接口的计数器。 • 单击查看所有接口统计信息,在单个页面中查看所有端口。 Etherl
状态和统计信息 802.1X EAP 统计信息 3 系统会针对选定接口显示以下字段。 • 帧校验序列 (FCS) 错误数 - 接收到的未能通过 CRC (循环冗余校验)的帧。 • 信号冲突帧数 - 出现单个冲突,但成功传输的帧。 • 滞后冲突 - 在数据的前 512 位后检测到的冲突。 • 过量冲突 - 由于过量冲突而被拒绝的传输。 • 过大数据包数 - 接收到的大于 2000 八位字节的数据包数。 • 内部 MAC 接收错误 - 由于接收器错误而被拒绝的帧数。 • 已接收的暂停帧数 - 接收到的流控制暂停帧数。 • 已发送的暂停帧数 - 从选定接口传输的流控制暂停帧数。 清除统计信息计数器的步骤: • 单击清除接口计数器清除选定的接口计数器。 • 单击查看所有接口统计信息,在单个页面中查看所有端口。 802.1X EAP 统计信息 802.1x EAP 页面会显示关于发送或接收的 EAP (扩展认证协议)帧的详细信息。要配置 802.1X 功能,请参阅 “802.
状态和统计信息 状况 • 已接收的 EAP 响应/ID 帧数 - 在该端口上接收的 EAP Resp/ID 帧数。 • 已接收的 EAP 响应帧数 - 端口接收的 EAP 响应帧数 (除 Resp/ID 帧外)。 • 已发送的 EAP 请求/ID 帧数 - 在该端口上传输的 EAP Req/ID 帧数。 • 已发送的 EAP 请求帧数 - 该端口传输的 EAP 请求帧数。 • 已接收的无效 EAPOL 帧数 - 在该端口接收的不可识别的 EAPOL 帧数。 • 已接收的 EAP 长度错误帧数 - 此端口上接收的具有无效数据包正文长度的 EAPOL 帧数。 • 最新 EAPOL 帧版本 - 最新收到的 EAPOL 帧上附加的协议版本号。 • 最新 EAPOL 帧源 - 最新收到的 EAPOL 帧上附加的源 MAC 地址。 3 清除统计信息计数器的步骤: • 单击清除接口计数器清除选定的接口计数器。 • 单击刷新可刷新选定的接口计数器。 • 单击查看所有接口统计信息清除所有接口的计数器。 状况 请参阅状况。 RMON RMON (远程网络监控)使设备中的 SNMP
3 状态和统计信息 RMON RMON 统计信息 “统计信息”页面显示关于数据包大小的详细信息和关于物理层错误的信息。显示的信息基于 RMON 标准。过 大的数据包定义为满足以下条件的以太网帧: • 数据包长度大于 MRU 字节大小。 • 尚未检测冲突事件。 • 尚未检测延时冲突事件。 • 尚未检测 Rx 错误事件。 • 数据包具有有效的 CRC。 查看 RMON 统计信息和/或设置刷新速率的步骤: 步骤 1 单击状态和统计信息 > RMON > 统计信息。 步骤 2 选择要显示以太网统计信息的接口。 步骤 3 选择刷新速率,即刷新接口统计信息的间隔时间。 系统会针对选定接口显示以下统计信息。 • 已接收的字节数 - 接收的八位字节数,包括坏数据包和 FCS 八位字节数,但不包括帧位。 • 丢弃事件 - 丢弃的数据包。 • 已接收的数据包 - 接收的正常数据包,包括组播数据包和广播数据包。 • 已接收的广播数据包数 - 接收到的正常广播数据包数。该数量不包括组播数据包。 • 已接收的组播数据包数 - 接收到的正常组播数据包数。 • CRC 和 Align 错误数
3 状态和统计信息 RMON • 冲突数 - 接收的冲突数。如果启用了巨型帧,超时发送帧的阈值将提升为巨型帧的最大大小。 • 64 字节的帧数 - 接收的包含 64 字节的帧数。 • 65 至 127 字节的帧数 - 接收的包含 65-127 字节的帧数。 • 128 至 255 字节的帧数 - 接收的包含 128-255 字节的帧数。 • 256 至 511 字节的帧数 - 接收的包含 256-511 字节的帧数。 • 512 至 1023 字节的帧数 - 接收的包含 512-1023 字节的帧数。 • 超过 1024 字节的帧数 - 接收的包含 1024 - 2000 字节的帧和巨型帧的数量。 清除统计信息计数器的步骤: • 单击清除接口计数器清除选定的接口计数器。 • 单击查看所有接口统计信息,在单个页面中查看所有端口。 RMON 历史 RMON 功能可以监控每个接口的统计信息。 “历史控制表”页面可定义取样频率、要存储的样本数量以及要从中收集数据的端口。 数据经过取样和存储后,将显示在“历史表”页面中,可通过单击历史表进行查看。 输入 RMON 控制信息的步骤:
3 状态和统计信息 RMON • 所有者 - 输入请求 RMON 信息的 RMON 站或用户。 步骤 4 单击应用。条目将添加到“历史控制表”页面中,然后当前配置文件会更新。 步骤 5 单击历史表 (如下所述)查看实际统计信息。 RMON 历史表 “历史表”页面显示特定于接口的统计性网络样本。该样本在上述历史控制表中配置。 查看 RMON 历史统计信息的步骤: 步骤 1 单击状态和统计信息 > RMON > 历史。 步骤 2 单击历史表。 步骤 3 从历史条目编号下拉菜单中,选择要显示的样本条目数 (可选)。 系统会针对选定样本显示以下字段。 • 所有者 - 历史记录表条目所有者。 • 取样编号 - 从该样本中抽取的统计信息。 • 丢弃事件 - 在取样间隔中由于缺少网络资源而删除的数据包数。它可能不表示删除的数据包的精确数量, 而是表示检测到的数据包丢弃次数。 • 已接收的字节数 - 接收的八位字节数,包括坏数据包和 FCS 八位字节数,但不包括帧位。 • 已接收的数据包数 - 接收的数据包数,包括坏数据包、组播数据包和广播数据包。 • 广播数据包数 - 正常广播数据包数 (不
3 状态和统计信息 RMON RMON 事件控制 您可以控制触发告警情况的发生和出现的通知类型。此执行过程如下所示: • 事件页面 - 配置触发告警时发生的事件。可以是记录和 Trap 的任意组合。 • 告警页面 - 配置触发告警的情况。 定义 RMON 事件的步骤: 步骤 1 单击状态和统计信息 > RMON > 事件。 该页面显示以前定义的事件。 此页面上的字段通过“添加 RMON 事件”对话框定义,但“时间”字段除外。 • 时间 - 显示事件发生的时间。(这是位于父窗口的只读表,不能对其进行定义)。 步骤 2 单击添加。 步骤 3 输入参数。 • 事件条目 - 显示新条目的事件条目索引号。 • 说明 - 为该事件输入名称。该名称将用于在“添加 RMON 告警”页面中为事件附加告警。 • 通知类型 - 选择此事件将引发的操作的类型。可选择以下值: • - 无 - 告警消失时不执行操作。 - 日志 (事件日志表) - 触发告警时向事件日志表添加一条日志条目。 - Trap (SNMP 管理器和系统日志服务器) - 告警消失时向远程日志服务器发送 Trap。 -
3 状态和统计信息 RMON RMON 事件日志 “事件日志表”页面会显示发生的事件 (操作)的日志。可记录两种事件:日志或日志和 Trap。当事件与告警 (请参阅“告警”页面)绑定,并达到了告警的条件时,系统会执行事件中的操作。 步骤 1 单击状态和统计信息 > RMON > 事件。 步骤 2 单击事件日志表。 此页面显示了以下字段: • 事件条目编号 - 事件的日志条目编号。 • 日志编号 - (事件中的)日志编号。 • 日志时间 - 输入该日志条目的时间。 • 说明 - 触发告警的事件说明。 RMON 告警 RMON 告警提供了一种机制,可用于设置阈值和取样间隔,以在计数器或代理维护的任何其他 SNMP 对象计数 器上生成异常事件。告警中必须配置上限阈值与下限阈值。超过上限阈值后,不会再生成上升事件,直到超过了 伴随的下限阈值。发出下降告警后,系统会在超过上限阈值时发出下一个告警。 一个或多个告警绑定至事件,表明告警发生时会采取的措施。 可以通过绝对值或计数器值中的变化 (差值)来监控告警计数器。 输入 RMON 告警的步骤: 步骤 1 单击状态和统计信息 > RMON > 告警。
3 状态和统计信息 查看日志 • 计数器值 - 发生的次数。 • 样本类型 - 选择用于生成告警的取样方法。选项如下: - 绝对值 - 如果超过了阈值,则生成告警。 - 差值 - 从当前值中减去上次取样的值,系统会将差值与阈值进行比较。如果超过了阈值,则生成告警。 • 上限阈值 - 输入触发上限阈值告警的值。 • 上升事件 - 选择触发上升事件时要执行的事件。事件将在“事件”页面中创建。 • 下限阈值 - 输入触发下限阈值告警的值。 • 下降事件 - 选择触发下降事件时要执行的事件。 • 启动告警 - 选择启动告警生成的第一个事件。上升被定义为从低阈值向较高阈值变化的行为。 - 上升告警 - 上升值触发上限阈值告警。 - 下降告警 - 下降值触发下限阈值告警。 - 上升和下降 - 上升值和下降值都触发该告警。 • 间隔 - 输入以秒表示的告警间隔。 • 所有者 - 输入接收该告警的用户或网络管理系统的名称。 步骤 4 单击应用。 RMON 告警将保存至当前配置文件中。 查看日志 请参阅查看内存日志。 思科 200 系列智能型交换机管理指南 24
4 管理:系统日志 本节介绍系统记录功能。通过此功能,设备可以生成多个独立的日志。每个日志是一组描述系统事件的消息。 设备可生成以下本地日志: • 将日志发送至 Console 接口。 • 写入到 RAM 中的记录事件循环列表中的日志,重启设备会将其擦除。 • 写入到保存至闪存的循环日志文件的日志,重启不会将其擦除。 此外,还可以通过 SNMP Trap 和系统日志消息的形式将消息发送到远程系统日志服务器上。 本节包含以下小节: • 设置系统日志设置 • 设置远程记录设置 • 查看内存日志 设置系统日志设置 可以按严重性级别选择要记录的事件。系统以在严重性级别首字母两侧加上破折号 (-) 的方式标记每则日志消息 的严重性级别 (紧急除外,其以字母 F 表示)。例如,日志消息 “%INIT-I-InitCompleted:… ” 的严重性级别为 I,表示报告。 下面按照从高到低的顺序列出了事件的严重性级别: • 紧急 - 系统无法使用。 • 警报 - 需要采取措施。 • 严重 - 系统处于高危状态。 • 错误 - 系统出错。 • 警告 - 系统已发出警告。 思科 2
4 管理:系统日志 设置系统日志设置 • 注意 - 系统能够正常工作,但系统已发出通知。 • 报告 - 设备信息。 • 调试 - 提供关于事件的详情。 可以为 RAM 日志和闪存日志选择不同的严重性级别。这些日志将分别在 RAM 内存页面和闪存页面中显示。 选择要存储在日志中的严重性级别后,此级别以上的所有事件都会自动存储在日志中。而此级别以下的事件则不 会存储在日志中。 例如,如果选择了警告,则会将严重性级别为警告及更高 (即严重性级别为“紧急”、“警报”、“严重”、“错 误”和“警告”)的所有事件存储在日志中。但是不会存储严重性级别低于警告 (即严重性级别为“注意”、“报 告”和“调试”)的事件。 设置全局日志参数的步骤: 步骤 1 单击管理 > 系统日志 > 日志设置。 步骤 2 输入参数。 • 记录 - 选择该选项将启用消息记录。 • 系统日志聚合 - 选择该选项可启用系统日志消息和 Trap 汇总。如果启用了该选项,将会汇总最大聚合时 间内的相同和相邻的系统日志消息及 Trap,并会通过一则消息将汇总后的结果发出。将按照消息的到达 顺序发送汇总后的消息。每则消息都会注明已汇总
4 管理:系统日志 设置远程记录设置 设置远程记录设置 使用“远程日志服务器”页面可定义向其发送日志消息的远程系统日志服务器。可以为每个服务器配置其所接收 消息的严重性级别。 定义系统日志服务器的步骤: 步骤 1 单击管理 > 系统日志 > 远程日志服务器。 步骤 2 输入以下字段: • IPv4 源接口 - 选择其 IPv4 地址将在发送给系统日志服务器的系统日志消息中用作 IPv4 地址的源接口。 • IPv6 源接口 - 选择其 IPv6 地址将在发送给系统日志服务器的系统日志消息中用作 IPv6 地址的源接口。 注 如果已选择“自动”选项,系统将使用传出接口上定义的 IP 地址的源 IP 地址。 系统将显示之前配置的每个日志服务器的信息。字段将在下面的添加页面中进行说明。 步骤 3 单击添加。 步骤 4 输入参数。 • 服务器定义 - 选择是按照 IP 地址还是按照名称来识别远程日志服务器。 • IP 版本 - 选择支持的 IP 格式。 • IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络
管理:系统日志 查看内存日志 4 查看内存日志 设备可以写入以下日志: • RAM 中的日志 (在重启过程中被清除)。 • 闪存中的日志 (只能由用户使用指令来清除)。 您可以按严重性配置写入到每个日志的消息,而一则消息可以被写入到多个日志,包括存放在外部系统日志服务 器上的日志。 RAM 内存 RAM 内存页面会按时间先后顺序显示保存到 RAM (缓存)中的所有消息。系统会根据“日志设置”页面中的 配置将这些条目存储到 RAM 日志中。 要查看日志条目,请单击状态和统计信息 > 查看日志 > RAM 内存。 页面顶部有一个按钮,您可以使用该按钮禁用警报图标闪烁。单击该按钮可在禁用和启用间进行切换。 当前记录阈值用于指定所生成的记录等级。您可以通过单击字段名称旁边的编辑进行更改。 此页面包含每个日志文件的以下字段: • 日志索引 - 日志条目编号。 • 日志时间 - 消息生成的时间。 • 严重程度 - 事件严重性。 • 说明 - 描述事件的消息文本。 若要清除日志消息,请单击清除日志。消息即被清除。 闪存 闪存页面会按时间先后顺序显示存储在闪存中的消息。所记录事件的最低严重程度
管理:系统日志 查看内存日志 4 此页面包含每个日志文件的以下字段: • 日志索引 - 日志条目编号。 • 日志时间 - 消息生成的时间。 • 严重程度 - 事件严重性。 • 说明 - 描述事件的消息文本。 若要清除消息,请单击清除日志。消息即被清除。 思科 200 系列智能型交换机管理指南 29
5 管理:文件管理 本节介绍系统文件的管理方式。 其中包括以下主题: • 系统文件 • 升级/备份固件/语言 • 下载/备份配置/日志 • 配置文件属性 • 复制/保存配置 • 通过 DHCP 进行自动配置/映像更新 系统文件 系统文件是指包含配置信息、固件映像或引导代码的文件。 通过这些文件可进行各种操作,例如:选择用于设备引导的固件文件,在设备内部复制不同类型的配置文件,或 在设备和外部设备 (例如外部服务器)之间复制文件。 可用的文件传输方法有以下几种: • 内部复制 • 使用浏览器提供的工具的 HTTP/HTTPS • TFTF/SCP 客户端 (需要 TFTP/SCP 服务器) 设备上的配置文件由其类型定义,文件中包含设备的设置和参数值。 在设备上参考配置时,会依据其配置文件类型 (例如:启动配置或当前配置)而非可由用户修改的文件名进行 参考。 可以将内容从一种配置文件类型复制到另一种配置文件类型,但用户无法更改文件类型名称。 思科 200 系列智能型交换机管理指南 30
管理:文件管理 系统文件 5 设备上的其他文件包括固件、引导代码和日志文件,这些文件称为工作文件。 配置文件是文本文件,将其复制到外部设备 (例如 PC)后,可在文本编辑器 (例如记事本)中对其进行编辑。 文件和文件类型 在设备上可以找到以下类型的配置和工作文件: • 当前配置 - 包含当前设备工作所使用的参数。当您在设备上更改参数值时只会修改这种类型的文件。 如果重启设备,当前配置将会丢失。存储在闪存中的启动配置将覆盖存储在 RAM 中的当前配置。 要保留对设备所做的任何更改,您必须将当前配置保存到启动配置或其他文件类型。 • 启动配置 - 通过将其他配置 (通常为当前配置)复制到启动配置而保存的参数值。 启动配置保留在闪存中,并且在设备重启后会保留。这时,系统会将启动配置复制到 RAM 中并将其标识 为当前配置。 • 镜像配置 - 在下述情况下,由设备创建的启动配置副本: - 设备已连续工作 24 小时。 - 在过去的 24 小时内没有对当前配置进行任何配置更改。 - 启动配置与当前配置一致。 只有系统能够将启动配置复制到镜像配置。但是,系统可以将镜像配置复制到其他文件类型或其
管理:文件管理 升级/备份固件/语言 5 • 按复制/保存配置一节中所述将一种配置文件类型复制到另一种配置文件类型。 • 按通过 DHCP 进行自动配置/映像更新一节中所述启用将配置文件从 DHCP 服务器自动上传到设备的 功能。 本节包含以下主题: • 升级/备份固件/语言 • 下载/备份配置/日志 • 配置文件属性 • 复制/保存配置 • 通过 DHCP 进行自动配置/映像更新 升级/备份固件/语言 升级/备份固件/语言流程可用于: • 升级或备份固件映像。 • 升级或备份引导代码。 • 导入或升级第二语言文件。 支持以下文件传输方法: • 使用浏览器提供的工具的 HTTP/HTTPS • TFTP (需要 TFTP 服务器) • 需要 SCP 服务器的安全复制协议 (SCP) 如果将新语言文件加载到了设备上,便可以从下拉菜单中选择这种新语言。(无需重启设备)。 设备上将存储一个单独的固件映像。操作人员将新固件成功载入到设备之后,在此新固件生效之前必须重启设 备。“摘要”页面在重启之前将继续显示上一映像。 升级/备份固件或语言文件 升级或备份软件映
5 管理:文件管理 升级/备份固件/语言 • 如果选择了TFTP,则转至步骤 3。 • 如果选择了通过 HTTP/HTTPS,则转至步骤 4。 • 如果选择了通过 SCP,则转至步骤 5。 步骤 3 如果选择了通过 TFTP,请按本步骤中所述输入参数。否则,请跳至步骤 4。 请选择以下保存操作之一: • 升级 - 指定将使用 TFTP 服务器上新版本的文件类型替换设备上的该文件类型。 • 备份 - 指定将文件类型副本保存至另一台设备上的文件。 输入以下字段: • 文件类型 - 选择目的文件类型。只会显示有效的文件类型。(文件类型在文件和文件类型一节中做了说 明)。 • TFTP 服务器定义 - 选择是按照 IP 地址还是按照名称来指定 TFTP 服务器。 • IP 版本 - 选择使用 IPv4 还是 IPv6 地址。 • IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并且 只能用于本地网络上的通信。仅支持一个链路本地地址。如果接
管理:文件管理 升级/备份固件/语言 • 5 远程 SSH 服务器验证 - 要启用 SSH 服务器验证 (默认情况下为禁用),请单击编辑。系统将转到 SSH 服务器验证页面以配置 SSH 服务器,然后再返回本页面。使用 SSH 服务器验证页面可选择 SSH 用户验 证方法 (密码或公共/专用密钥),在设备上设置用户名和密码 (如果已选中密码方法),以及根据需要 生成 RSA 或 DSA 密钥。 SSH 客户端验证 - 可通过以下方式进行客户端验证: • 使用 SSH 客户端系统凭证 - 设置永久性 SSH 用户凭证。单击系统凭证可转至“SSH 用户验证”页面,在 该页面设置一次用户/密码即可供日后永久性使用。 • 使用 SSH 客户端一次性凭证 - 输入以下内容: - 用户名 - 为该复制操作输入用户名。 - 密码 - 为该副本输入密码。 注 一次性凭证的用户名和密码将不会保存在配置文件中。 请选择以下保存操作之一: • 升级 - 指定将使用 TFTP 服务器上新版本的文件类型替换设备上的该文件类型。 • 备份 - 指定将文件类型副本保存至另一台设备上的文件。 输入以下字段:
管理:文件管理 下载/备份配置/日志 5 • 如果已启用 SSH 服务器验证 (在“SSH 服务器验证”页面)且 SCP 服务器处于受信状态,则该操作便 会成功。如果 SCP 服务器处于非受信状态,则该操作将失败并显示错误。 • 如果未启用 SSH 服务器验证,则该操作针对任何 SCP 服务器都会成功。 下载/备份配置/日志 通过“下载/备份配置/日志”页面,可实现以下操作: • 将配置文件或日志从设备备份到外部设备中。 • 将配置文件从外部设备还原到设备中。 将配置文件还原至当前配置时,导入的文件会添加旧文件中不存在的任何配置命令,并覆盖现有配置命令中的所 有参数值。 将配置文件还原至启动配置或备份配置文件时,新文件会替换旧文件。 还原至启动配置时,必须重启设备,才能将还原的启动配置作为当前配置使用。可以使用管理接口一节中介绍的 流程重启设备。 配置文件向后兼容性 将配置文件从外部设备还原到设备时,如果设备和新配置文件中的系统模式不同,则可能会出现兼容性问题。此 时: • 如果配置文件已下载到设备中 (使用“下载/备份配置/日志”页面),操作将中止,并且将显示一条消 息,表示必须在“
管理:文件管理 下载/备份配置/日志 5 选择下载或备份作为保存操作。 下载 - 指定将使用其他设备上的文件替换本设备上的文件类型。输入以下字段: a. TFTP 服务器定义 - 选择是按照 IP 地址还是按照域名来指定 TFTP 服务器。 b. IP 版本 - 选择使用 IPv4 还是 IPv6 地址。 注 如果在“服务器定义”中按照名称选择了服务器,则无需选择与 IP 版本相关的选项。 c. IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并 且只能用于本地网络上的通信。仅支持一个链路本地地址。如果接口上存在链路本地地址,此条目会 替换配置中的地址。 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。 d. 链路本地接口 - 从列表中选择链路本地接口。 e. TFTP 服务器 IP 地址/名称 - 输入 TFTP 服务器的 IP 地址或名称。 f.
5 管理:文件管理 下载/备份配置/日志 - 加密 - 将敏感数据以加密的形式包含在备份中。 - 明文模式 - 将敏感数据以明文模式包含在备份中。 注 可用的敏感数据选项由当前用户的 SSD 规则决定。有关详情,请参阅“安全敏感数据管理 > SSD 规 则”页面。 h. 目的文件名 - 输入目的文件名。文件名不能包含斜线 (\ 或 /)、文件名的首字母不能为句点 (.),且文件名的 字符数必须在 1 到 160 之间。(有效字符为:A-Z、 a-z、 0-9、 "."、 "-"、 "_")。 i. 单击应用。将升级或备份该文件。 步骤 4 如果选择了通过 HTTP/HTTPS,请按本步骤中所述输入参数。 选择保存操作。 如果保存操作为下载 (用其他设备上的新版本替换设备上的文件),请执行以下操作。否则,请执行本步骤中的 下一个操作。 a. 源文件名 - 单击浏览选择文件或输入要在传输中使用的路径和源文件名。 b. 目的文件类型 - 选择配置文件类型。只会显示有效的文件类型。(这些文件类型在文件和文件类型一节中做了 说明)。 c.
管理:文件管理 下载/备份配置/日志 5 SSH 客户端验证 - 可通过以下方式进行客户端验证: • 使用 SSH 客户端系统凭证 - 设置永久性 SSH 用户凭证。单击系统凭证可转至“SSH 用户验证”页面,在 该页面设置一次用户/密码即可供日后永久性使用。 • 使用 SSH 客户端一次性凭证 - 输入以下内容: - 用户名 - 为该复制操作输入用户名。 - 密码 - 为该副本输入密码。 • 保存操作 - 选择是备份还是还原系统配置文件。 • SCP 服务器定义 - 选择是按照 IP 地址还是按照域名来指定 SCP 服务器。 • IP 版本 - 选择使用 IPv4 还是 IPv6 地址。 • IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并 且只能用于本地网络上的通信。仅支持一个链路本地地址。如果接口上存在链路本地地址,此条目会 替换配置中的地址。 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。
5 管理:文件管理 配置文件属性 • 目的文件名 - 复制操作的目标文件的名称。 步骤 6 单击应用。将升级或备份该文件。 配置文件属性 “配置文件属性”页面显示各种系统配置文件的创建时间。通过它还可以删除启动配置和备份配置文件。您无法 删除其他配置文件类型。 要对是否创建镜像配置文件进行设置,请清除配置文件并查看配置文件的创建时间: 步骤 1 单击管理 > 文件管理 > 配置文件属性。 此页面显示了以下字段: • 配置文件名称 - 系统文件类型。 • 创建时间 - 文件的修改日期和时间。 步骤 2 如有必要,禁用自动镜像配置。这将禁止自动创建镜像配置文件。禁用该功能后,系 统将删除镜像配置文件 (如有)。请参阅系统文件以了解镜像文件的说明以及可能需 要自动创建镜像配置文件的原因。 步骤 3 如有必要,选择启动配置或备份配置或同时选中两者,然后单击清除文件以删除这些 文件。 复制/保存配置 在任意窗口上单击应用,仅会将设备配置设置的更改存储在当前配置中。要保留当前配置中的参数,必须将当前 配置复制到其他配置类型或保存到其他设备上。 ! 注意 除非将当前配置复制到启动配置或其他配置文件
管理:文件管理 通过 DHCP 进行自动配置/映像更新 5 允许以下内部文件类型复制组合: • 从当前配置到启动配置或备份配置。 • 从启动配置到当前配置、启动配置或备份配置。 • 从备份配置到当前配置、启动配置或备份配置。 • 从镜像配置到当前配置、启动配置或备份配置。 将一种类型的配置文件复制到另一种类型的配置文件的步骤: 步骤 1 单击管理 > 文件管理 > 复制/保存配置。 步骤 2 选择要复制的源文件名。仅显示有效的文件类型 (这些文件类型在文件和文件类型一 节中做了说明)。 步骤 3 选择将由源文件覆盖的目的文件名。 步骤 4 如果您要备份某个配置文件,请选择敏感数据选项,然后为该备份文件选择以下一种 格式。 - 排除 - 敏感数据将不包含在备份文件中。 - 加密 - 敏感数据将以加密的形式包含在备份文件中。 - 明文模式 - 敏感数据将以纯文本形式包含在备份文件中。 注 可用的敏感数据选项由当前用户的 SSD 规则决定。有关详情,请参阅“安全敏感数据管理 > SSD 规 则”页面。 步骤 5 保存图标闪烁字段将表明在有未保存的数据时图标是否会闪烁。要禁用/启用
管理:文件管理 通过 DHCP 进行自动配置/映像更新 • 5 自动配置 - 自动从远程 TFTP/SCP 服务器下载配置文件。自动配置/映像更新过程结束时,设备将使用该 配置文件自动重启。 注 如果同时请求自动映像更新和自动配置,系统将先执行自动映像更新,然后在重启后 执行自动配置,再执行最终重启。 要使用此功能,请使用设备的配置文件和固件映像的位置和名称,在网络中配置 DHCP 服务器。设备在网络中 默认配置为 DHCP 客户端。当 DHCP 服务器为设备分配 IP 地址时,设备还会收到有关配置文件和固件映像的信 息。如果配置文件和/或固件映像与设备上当前使用的文件和/或映像不同,设备会在下载文件和/或映像后自动 重启。本节将介绍这些过程。 除了可以在网络中让设备的配置文件和固件映像保持最新以外,自动更新/配置功能还可以在网络中快速安装新 设备,因为开箱即用设备配置为从网络检索其配置文件和软件映像,而无需系统管理员进行任何手动干预。设备 首次向 DHCP 服务器申请 IP 地址时,会下载 DHCP 服务器指定的配置文件和/或映像,并使用这些文件和/或映 像自动重启。 在自动配置过程中可以使用安全复
管理:文件管理 通过 DHCP 进行自动配置/映像更新 5 自动配置/映像更新过程 DHCP 自动配置功能使用所接收 DHCP 消息中的配置服务器名称/地址和配置文件名/路径 (如果有)。此外, DHCP 映像更新使用消息中的固件间接文件名 (如果有)。在来自 DHCPv4 服务器的 Offer 消息和来自 DHCPv6 服务器的信息应答消息中,这些信息会被指定为 DHCP 选项。 如果在 DHCP 服务器消息中找不到这些信息,系统将使用在“DHCP 自动配置/映像更新”页面中配置的备份 信息。 当触发自动配置/映像更新过程后 (请参阅自动配置/映像更新的触发),会按顺序发生下述事件。 自动映像更新开始: • 交换机使用来自所接收 DHCP 消息中的选项 125 (DHCPv4) 和选项 60 (DHCPv6) (如果有)的间接文 件名。 • 如果 DHCP 服务器未发送固件映像文件的间接文件名,系统将使用“备份间接映像文件名” (来自 “DHCP 自动配置/映像更新”页面)。 • 交换机将下载间接映像文件,并从中提取 TFTP/SCP 服务器的映像文件名。 • 交换机会将 TFTP 服务
管理:文件管理 通过 DHCP 进行自动配置/映像更新 5 缺失选项 • 如果 DHCP 服务器未在 DHCP 选项中发送 TFTP/SCP 服务器地址,且备份 TFTP/SCP 服务器地址参数 未配置,那么: - SCP - 自动配置过程将停止。 - TFTP - 设备将向其 IP 接口上的有限广播地址 (针对 IPv4)或 ALL NODES 地址 (针对 IPv6)发送 TFTP 请求消息,并使用第一个应答的服务器继续自动配置/映像更新过程。 下载协议选项 • 选择复制协议 (SCP/TFTP),如下载协议 (TFTP 或 SCP)中所述。 SCP • 当使用 SCP 下载时,在以下任一情况下,设备将接受任何指定的 SCP/SSH 服务器 (且不对其进行验证): - SSH 服务器验证过程为禁用状态。 SSH 服务器验证在默认情况下为禁用状态,这样便可以为带有 出厂默认配置的设备 (例如开箱设备)下载配置文件。 - SSH 服务器将在 SSH 信任服务器列表中配置。 如果已启用 SSH 服务器验证过程但在 SSH 信任服务器列表中未找到 SSH 服务器,则自动配置过程将 停止
管理:文件管理 通过 DHCP 进行自动配置/映像更新 - 5 在启用无状态 DHCPv6 客户端时重启设备后。 • DHCPv6 服务器数据包中包含配置文件名选项时。 • 当 DHCP 服务器提供间接映像文件名或已配置备份间接映像文件名时,将触发自动映像更新过程。间 接意味着这不是映像本身,而是包含映像路径名称的文件。 确保正确执行 为确保自动配置/映像更新功能正常工作,请注意以下几点: • 存放在 TFTP/SCP 服务器上的配置文件必须符合所支持配置文件的形式和格式要求。在将文件加载到启 动配置之前,会检查文件的形式和格式,但不会检查配置参数的有效性。 • 在 IPv4 中,为确保设备在自动配置/映像更新过程中下载预期的配置和映像文件,建议始终为设备分配 相同的 IP 地址。这可以确保始终为设备分配相同的 IP 地址,并获取在自动配置/映像更新中使用的相同 信息。 DHCP 自动配置/映像更新 可使用以下 GUI 页面配置设备: • 管理 > 文件管理 > DHCP 自动配置/映像更新 - 将设备配置为 DHCP 客户端。 • 管理 > 管理接口 > IPv4 接口 (在第
管理:文件管理 通过 DHCP 进行自动配置/映像更新 5 服务器上的自动配置准备工作 要准备 DHCP 和 TFTP/SCP 服务器,请进行以下操作: TFTP/SCP 服务器 • 将配置文件放置到工作目录下。此文件可以通过从设备复制配置文件进行创建。设备启动时,此文件将成 为当前配置文件。 DHCP 服务器 使用以下选项配置 DHCP 服务器: • • DHCPv4: - 66 (单个服务器地址)或 150 (服务器地址列表) - 67 (配置文件名称) DHCPv6 - 选项 59 (服务器地址) - 选项 60 (配置文件名加间接映像文件名,以逗号分隔) 自动映像更新准备工作 要准备 DHCP 和 TFTP/SCP 服务器,请进行以下操作: TFTP/SCP 服务器 1. 在主目录下创建一个子目录。在其中放置软件映像文件。 2. 创建包含固件版本的路径和名称的间接文件 (例如,包含 cisco\cisco-version.ros 的 indirect-cisco.txt)。 3.
管理:文件管理 通过 DHCP 进行自动配置/映像更新 5 DHCP 服务器 使用以下选项配置 DHCP 服务器 • DHCPv4 - 选项 125 (间接文件名) • DHCPv6 - 选项 60 (配置文件名加间接映像文件名,以逗号分隔) DHCP 客户端工作流程 步骤 1 在“管理”>“文件管理”>“DHCP 自动配置/映像更新”页面中,配置“自动配置” 和/或“自动映像更新”参数。 步骤 2 在“管理”>“管理接口”>“IPv4 接口”页面中,将“IP 地址类型”设置为“动态”。 Web 配置 配置自动配置和/或自动更新的步骤: 步骤 1 单击管理 > 文件管理 > DHCP 自动配置/映像更新。 步骤 2 输入值。 • 通过 DHCP 自动配置 - 选择该字段可启用 DHCP 自动配置。该功能在默认状态下为启用状态,但是可在 此处禁用。 • 下载协议 - 选择以下其中一种选项: - 按文件扩展名自动执行 - 选择该选项可指示自动配置根据配置文件的扩展名使用 TFTP 或 SCP 协议。 如果选中该选项,则无需给出配置文件的扩展名。如果未给出扩展名,则使用默认的扩展名 (如下
管理:文件管理 通过 DHCP 进行自动配置/映像更新 - 5 SCP 的文件扩展名 - 如果选中按文件扩展名自动执行,便可以在此注明文件扩展名。使用 SCP 便可下 载任何带有该扩展名的文件。如果未输入扩展名,则将使用默认的文件扩展名 .
6 管理 本节介绍如何在设备上查看系统信息和配置各种选项。 其中包含以下主题: • 设备型号 • 系统设置 • 管理接口 • 用户帐户 • 定义闲置会话超时 • 时间设置 • 系统日志 • 文件管理 • 重启设备 • 状况 • 诊断 • 发现 - Bonjour • 发现 - LLDP • 发现 - CDP • Ping 设备型号 所有型号均可通过基于 Web 的交换机配置实用程序进行全面管理。 注 有关端口命名约定,请参阅接口命名约定。 思科 200 系列智能型交换机管理指南 48
6 管理 设备型号 下表介绍了不同型号、设备上的端口数量和类型及其 PoE 信息。 型号名称 产品 ID (PID) 设备上的端口说明 PoE 专用 功率 支持 PoE 的端 口数 SG200-18 SLM2016T 16 个 GE 端口 + 2 个 GE 特殊用途组合端口 无 无 SG200-26 SLM2024T 24 个 GE 端口 + 2 个 GE 特殊用途组合端口 无 无 SG200-26P SLM2024PT 24 个 GE 端口 + 2 个 GE 特殊用途组合端口 100W 12 个端口 FE1-FE6, FE13 - FE18 SG200-50 SLM2048T 48 个 GE 端口 + 2 个 GE 特殊用途组合端口 无 无 SG200-50P SLM2048PT 48 个 GE 端口 + 2 个 GE 特殊用途组合端口 180W 24 个端口 FE1-FE12, FE25 - FE36 SF200-24 SLM224GT 24 个 FE 端口 + 2 个 GE 特殊用途组合端口 无 无 SF200-24P SLM
6 管理 系统设置 系统设置 “系统摘要”页面提供了设备的图形视图,并显示设备状态、硬件信息、固件版本信息、一般 PoE 状态以及 其他项目。 显示系统摘要 查看系统信息的步骤: 步骤 1 单击状态和统计信息 > 系统摘要。 系统信息: • 系统说明 - 系统的说明。 • 系统位置 - 设备的实际位置。单击编辑可前往“系统设置”页面输入此信息。 • 系统联系人 - 联系人的姓名。单击编辑可前往“系统设置”页面输入此信息。 • 主机名 - 设备的名称。单击编辑可前往“系统设置”页面输入此信息。默认情况下,设备主机名由单词 device 与设备 MAC 地址的三个最低有效位 (最右侧的六个十六进制数字)组合而成。 • 系统对象 ID - 实体 (在 SNMP 中使用)中包含的网络管理子系统的唯一供应商标识。 • 系统运行时间 - 自上次重启以来所运行的时间。 • 当前时间 - 当前系统时间。 • 基本 MAC 地址 - 设备 MAC 地址。 • 巨型帧 - 巨型帧支持状态。可以使用“端口管理”菜单的“端口设置”页面启用或禁用此支持。 注 巨型帧支持仅在启用且重启设备之后才
6 管理 系统设置 TCP/UDP 服务状态: • HTTP 服务 - 显示 HTTP 服务是处于启用状态还是禁用状态。 • HTTPS 服务 - 显示 HTTPS 服务是处于启用状态还是禁用状态。 • SNMP 服务 - 显示 SNMP 服务是处于启用状态还是禁用状态。 PoE 电源信息:(在支持 PoE 的设备上) • 最大可用 PoE 功率 (W) - PoE 可提供的最大可用功率。 • 总 PoE 功率 (W) - 为连接的 PoE 设备提供的总 PoE 功率。 • PoE 供电模式 - 端口限制或类别限制。 系统设置 输入系统设置的步骤: 步骤 1 单击管理 > 系统设置。 步骤 2 查看或修改系统设置。 • 系统说明 - 显示设备说明。 • 系统位置 - 输入设备的物理位置。 • 系统联系人 - 输入联系人姓名。 • 主机名 - 选择此设备的主机名。在 CLI 命令的提示符中会使用此主机名: - 使用默认设置 - 这些交换机的默认主机名 (系统名称)为:switch123456,其中 123456 代表设备 MAC 地址的最后三个字节 (以十六进制格式
6 管理 管理接口 管理接口 请参阅IPv4 管理和接口。 用户帐户 请参阅配置安全性。 定义闲置会话超时 空闲会话超时可配置 HTTP 会话经过多长时间的空闲后会超时,超时后您必须重新登录才能重建会话。 • HTTP 会话超时 • HTTPS 会话超时 设置 HTTP 或 HTTPS 会话空闲会话超时的步骤: 步骤 1 单击管理 > 空闲会话超时。 步骤 2 从相应列表中为每个会话选择超时时间。超时时间的默认值为 10 分钟。 步骤 3 单击应用,在设备上设置这些配置设置。 时间设置 请参阅管理:时间设置。 系统日志 请参阅管理:系统日志。 思科 200 系列智能型交换机管理指南 52
6 管理 文件管理 文件管理 请参阅管理:文件管理。 重启设备 某些配置更改 (例如启用巨帧支持)需要重启系统才能生效。但是,重启设备会删除当前配置,因此在重启设 备之前先将当前配置保存到启动配置至关重要。单击应用不会将配置保存到启动配置。有关文件和文件类型的详 情,请参阅系统文件部分。 可以使用管理 > 文件管理 > 保存/复制配置或单击窗口顶部的保存来备份设备配置。也可以从远程设备上传配 置。请参阅下载/备份配置/日志一节。 您可能希望将重启时间设置在将来的某个时间。例如,在以下某种情况下,可能会出现这种需求: • 您正在远程设备上执行操作,且这些操作可能会导致与远程设备的连接中断。预安排的重启可以恢复工作 配置并恢复与远程设备的连接。如果这些操作成功,则可以取消延迟重启。 • 重载设备会导致网络连接中断,因而通过使用延迟重启,您可以在用户更加方便的时间 (例如深夜)安 排重启。 重启设备的步骤: 步骤 1 单击管理 > 重启。 步骤 2 单击重启按钮可重启设备。 • 重启 - 可重启设备。由于当前配置中任何未保存的信息在设备重启后都会被丢弃,因此必须单击任何窗口 右上角的保存,以便重启
6 管理 状况 • 使用出厂默认设置重启 - 使用出厂默认配置重启设备。此过程会擦除启动配置文件和备份配置文件。恢复 出厂默认设置时,不会删除镜像配置文件。 • 清除启动配置文件 - 选中此项可在下次启动设备时清除启动配置。 注 清除启动配置文件并重启,不同于使用出厂默认设置重启。使用出厂默认设置重启更具侵入性。 状况 “状况”页面监控配备风扇的所有设备上的风扇状态。根据型号,设备上可能有一个或多个风扇。某些型号根本 没有风扇。 某些设备具有温度传感器,可在过热时保护其硬件。在此情况下,设备在过热时以及过热后的冷却期间会执行以 下操作: 事件 操作 至少有一个温度传感器超出 Warning 阈值 会生成以下信息: 至少有一个温度传感器超出 Critical 阈值 • 系统日志消息 • SNMP Trap 会生成以下信息: • 系统日志消息 • SNMP Trap 将执行以下操作: • 系统 LED 设置为琥珀色常亮 (如果硬件支持)。 • 禁用端口 - 超出 Critical 温度两分钟时,将关闭 所有端口。 • (在支持 PoE 的设备中)禁用 PoE 电路,以
6 管理 诊断 要查看设备状况参数,请单击状态和统计信息 > 状况。 “状况”页面将显示以下字段: • 风扇状态 - 风扇状态。可能的值如下所示: - 正常 - 风扇运转正常。 - 失败 - 风扇无法正常运转。 - 无 - 风扇 ID 不适用于特定型号。 • 风扇方向 - (在适用设备中)风扇转动的方向 (例如:从前往后)。 • 温度 - 选项包括: - 正常 - 温度低于警告阈值。 - 警告 - 温度介于警告阈值与临界阈值之间。 - 严重 - 温度高于临界阈值。 诊断 请参阅管理:诊断。 发现 - Bonjour 请参阅 Bonjour。 发现 - LLDP 请参阅配置 LLDP。 思科 200 系列智能型交换机管理指南 55
6 管理 发现 - CDP 发现 - CDP 请参阅配置 CDP。 Ping Ping 实用程序用于测试是否可以访问远程主机,并测量从设备到目的设备发送数据包所用的往返时间。 Ping 通过向目的主机发送互联网控制消息协议 (ICMP) 回显请求数据包并等待 ICMP 响应来运行,有时称为 pong。它可以测量往返时间并记录任何数据包丢失。 Ping 主机的步骤: 步骤 1 单击管理 > Ping。 步骤 2 通过输入以下字段配置 Ping: • 主机定义 - 选择是按 IP 地址还是名称来指定源接口。此字段会影响源 IP 字段中显示的接口,如下所述。 • IP 版本 - 如果源接口根据其 IP 地址来进行标识,则选择 IPv4 或 IPv6 来指示将以选定格式对其进行输入。 • 源 IP - 选择其 IPv4 地址将在与目标的通信中用作源 IPv4 地址的源接口。如果“主机定义”为“按名称”, 则此下拉字段中会显示所有 IPv4 和 IPv6 地址。如果“主机定义”为“按 IP 地址”,则仅显示“IP 版本” 字段中指定类型的现有 IP 地址。 注 如果选择“自动”选项,系统将根据目的地址
6 管理 Ping 步骤 3 单击激活 Ping 来 Ping 主机。将会显示 Ping 状态,并且消息列表中会添加一条消息, 显示 Ping 操作的结果。 步骤 4 在本页面的 Ping 计数器和状态部分中查看 Ping 结果。 思科 200 系列智能型交换机管理指南 57
7 管理:时间设置 系统时钟同步提供了网络上所有设备之间的参考帧。网络管理、保护、规划和调试的各个方面都涉及确定事件的 发生时间,因此网络时间同步至关重要。如果没有时钟同步,当跟踪安全漏洞或网络使用率时,就无法在设备之 间准确关联日志文件。 不论文件系统位于哪台计算机上,保持修改时间的一致性都十分重要,因此时间同步还能使共享文件系统更加 有序。 鉴于以上原因,在网络上的所有设备上准确配置时间就显得尤为重要。 注 设备支持简单网络时间协议 (SNTP),如果启用了该协议,设备会动态同步设备时间 与 SNTP 服务器时间。设备仅作为 SNTP 客户端工作,且无法为其他设备提供时间 服务。 本节介绍用于配置系统时间、时区和夏令时 (DST) 的选项。其中包含以下主题: • 系统时间选项 • SNTP 模式 • 配置系统时间 系统时间选项 系统时间可由用户手动设置,或从 SNTP 服务器动态设置,也可以与运行 GUI 的 PC 保持同步。如果选择使用 SNTP 服务器,则与该服务器建立通信后将会覆盖手动时间设置。 作为启动过程的一部分,设备始终会配置时间、时区和 DST。这些参数可以通过以下方式获取:
7 管理:时间设置 系统时间选项 时间 以下方法可用于设置设备上的系统时间: • 手动 - 用户必须手动设置时间。 • 通过 PC - 可以使用浏览器信息通过 PC 接收时间。 来自计算机的时间配置将保存到当前配置文件。要让设备能够在重启之后使用来自计算机的时间,必须将 当前配置复制到启动配置。第一个 WEB 登录到设备期间,将设置重启后的时间。 首次配置此功能时,如果尚未设置时间,设备将通过 PC 设置时间。 这种时间设置方法需要配合 HTTP 和 HTTPS 连接使用。 • SNTP - 可以通过 SNTP 时间服务器接收时间。 SNTP 使用 SNTP 服务器作为时钟源,可确保将设备的 网络时间同步精确到毫秒。指定 SNTP 服务器时,如果选择通过主机名进行识别,则 GUI 中会给出三 个建议: - time-a.timefreq.bldrdoc.gov - time-b.timefreq.bldrdoc.gov - time-c.timefreq.bldrdoc.
7 管理:时间设置 SNTP 模式 SNTP 模式 设备可以通过以下其中一种方式从 SNTP 服务器接收系统时间: • 客户端广播接收 (被动模式) - SNTP 服务器广播时间,而设备则监听这些广播。如果设备处于该模式,将 无需定义单播 SNTP 服务器。 • 客户端广播传输(主动模式)- 作为 SNTP 客户端的设备会定期请求 SNTP 时间更新。此模式以下列任何 一种方式工作: - SNTP 任播客户端模式 - 设备向子网中的所有 SNTP 服务器广播时间请求数据包,然后等待服务器 响应。 - 单播 SNTP 服务器模式 - 设备将单播查询发送到一组手动配置的 SNTP 服务器,然后等待服务器响应。 设备支持同时启用以上两种模式,并根据基于最近层级 (距参考时钟的距离)的算法,选择从 SNTP 服务器接 收的最佳系统时间。 配置系统时间 选择系统时间源 使用“系统时间”页面选择系统时间源。如果要以手动方式确定源,请在此处输入时间。 ! 注意 如果系统时间为手动设置并且重启设备,则必须重新输入手动时间设置。 定义系统时间的步骤: 步骤 1 单击管理 > 时间设置 > 系统时间。
7 管理:时间设置 配置系统时间 步骤 2 输入以下参数: 时钟源设置 - 选择用于设置系统时钟的时钟源。 • 主时钟源 (SNTP 服务器) - 如果启用此功能,将从 SNTP 服务器获得系统时间。要使用此功能,还必须在 “SNTP 接口设置”页面中配置到 SNTP 服务器的连接。或者,使用“SNTP 验证”页面强制执行 SNTP 会话验证。 • 备选时钟源 (使用活动 HTTP/HTTPS 会话的 PC) - 选择该选项会通过 HTTP 协议使用配置计算机提供的 时间设置日期和时间。 注 需要将“时钟源设置”设置为以上任何一种模式, RIP MD5 验证才能工作。 手动设置 - 手动设置日期和时间。在没有替代时间源 (如 SNTP 服务器)的情况下使用本地时间: • 日期 - 输入系统日期。 • 本地时间 - 输入系统时间。 时区设置 - 通过 DHCP 服务器或时区偏移使用本地时间。 • 从 DHCP 获取时区 - 选择该选项可实现通过 DHCP 服务器动态配置时区和 DST。能够配置其中一个参 数还是两个参数,取决于在 DHCP 数据包中找到的信息。如果启用该选项,必须在设备上
7 管理:时间设置 配置系统时间 选择按日期可以自定义 DST 的开始时间和结束时间: - 起始时间 - DST 开始的日期和时间。 - 结束时间 - DST 结束的日期和时间。 选择循环可以使用其他方法自定义 DST 的开始时间和结束时间: • • 起始时间 - 每年开始实行 DST 的日期。 - 日期 - 每年开始实行 DST 的日期 (星期几)。 - 周 - 每年开始实行 DST 的星期 (在某月的第几个星期)。 - 月 - 每年开始实行 DST 的月份。 - 时间 - 每年开始实行 DST 的时间。 结束时间 - 每年结束 DST 的日期。例如, DST 每年在本地时间十月的第四个星期五的早上 5:00 点结束, 参数如下: - 日期 - 每年结束 DST 的日期 (星期几)。 - 周 - 每年结束 DST 的星期 (在某月的第几个星期)。 - 月 - 每年结束 DST 的月份。 - 时间 - 每年结束 DST 的时间。 步骤 3 单击应用。系统时间值将写入当前配置文件。 添加单播 SNTP 服务器 最多可配置 16 台单播 SNTP 服务器。 注 要按
7 管理:时间设置 配置系统时间 注 如果已选择“自动”选项,系统将使用传出接口上定义的 IP 地址的源 IP 地址。 本页面会显示每台单播 SNTP 服务器的以下信息: • SNTP 服务器 - SNTP 服务器 IP 地址。根据服务器层级选择首选服务器或主机名。 • 轮询间隔 - 显示是否启用了轮询。 • 验证密钥 ID - 在 SNTP 服务器和设备之间通信所使用的密钥 ID。 • 层级 - 距参考时钟的距离 (用数值表示)。除非已启用轮询间隔,否则 SNTP 服务器无法成为主服务器 (层级 1)。 • 状态 - SNTP 服务器状态。可能的值包括: - 启用 - SNTP 服务器目前正常运行。 - 禁用 - SNTP 服务器目前不可用。 - 未知 - 目前设备正在搜索 SNTP 服务器。 - 正在进行 - SNTP 服务器未完全信任其自有时间服务器时 (例如首次启动 SNTP 服务器时),会发生 这种情况。 • 最近响应 - 上次从该 SNTP 服务器收到响应的日期和时间。 • 偏移 - 服务器时钟相对于本地时钟的预计偏差 (以毫秒为单位)。主机使用 RF
7 管理:时间设置 配置系统时间 • IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并 且只能用于本地网络上的通信。仅支持一个链路本地地址。如果接口上存在链路本地地址,此条目会 替换配置中的地址。 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。 • 链路本地接口 - 从列表中选择链路本地接口 (如果选择的 IPv6 地址类型为“链路本地”)。 • SNTP 服务器 IP 地址 - 输入 SNTP 服务器的 IP 地址。格式取决于所选的地址类型。 • SNTP 服务器 - 从已知 NTP 服务器列表中选择 SNTP 服务器的名称。如果选择其他,请在旁边的字段中 输入 SNTP 服务器的名称。 • 轮询间隔 - 选择该选项将启用针对系统时间信息对 SNTP 服务器的轮询。将会对注册供轮询的所有 NTP 服务器进行轮询,并将从所能访问的层级 (距参考时钟的距离)最低的服务器选择时钟。具有最低层级 的服务器将被视为
7 管理:时间设置 配置系统时间 • SNTP IPv6 任播客户端模式 (客户端广播传输) - 选择该选项可传输请求系统时间信息的 SNTP IPv6 同步数 据包。数据包传输至子网中的所有 SNTP 服务器。 步骤 3 单击应用,以将设置保存到当前配置文件中。 定义 SNTP 验证 SNTP 客户端可以使用 HMAC-MD5 验证响应。 SNTP 服务器与密钥相关联,当与响应本身一起输入 MD5 函数 时会使用该密钥;MD5 的结果也包括在响应数据包中。 使用“SNTP 验证”页面可配置与需要验证的 SNTP 服务器通信时使用的验证密钥。 验证密钥在 SNTP 服务器上通过独立过程创建,该过程取决于用户使用的 SNTP 服务器类型。请咨询 SNTP 服 务器系统管理员,了解详情。 工作流程 步骤 1 在“SNTP 验证”页面中启用验证功能。 步骤 2 在“SNTP 验证”页面中创建一个密钥。 步骤 3 在“SNTP 单播”页面中将此密钥与 SNTP 服务器相关联。 启用 SNTP 验证和定义密钥的步骤: 步骤 1 单击管理 > 时间设置 > SNTP 验证。 步骤 2 选择 SNTP 验证,以
8 管理:诊断 本节包含有关配置端口镜像、运行电缆测试和查看设备工作信息的信息。 其中包含以下主题: • 铜缆端口测试 • 显示光纤模块状态 • 配置端口和 VLAN 镜像 • 查看 CPU 使用率和安全的核心技术 铜缆端口测试 “铜缆测试”页面将显示虚拟电缆测试器 (VCT) 对铜质电缆执行的集成电缆测试的结果。 VCT 执行两种测试: • Time Domain Reflectometry (TDR) 技术测试连接到端口的铜质电缆的质量和特性。最长可以测试 140 米 的电缆。这些结果将在“铜缆测试”页面“测试结果”框中显示。 • 可对活动的 GE 链路执行基于 DSP 的测试,以测量电缆长度。这些结果将在“铜缆测试”页面“高级信 息”框中显示。 运行铜缆端口测试的前提条件 运行该测试之前,请执行以下操作: • (强制)禁用短距模式 (请参阅“端口管理 > 绿色以太网 > 属性”页面) • (可选)禁用 EEE (请参阅“端口管理 > 绿色以太网 > 属性”页面) 使用 VCT 测试电缆时,会使用一条 CAT5 数据电缆。 测试结果的准确率可以有一个错误范围,高级测试的错误范围为
8 管理:诊断 铜缆端口测试 ! 注意 测试端口时,会将端口设置为中断状态,通信会被中断。测试后,端口会恢复连接状 态。不建议在用于运行 基于 Web 的交换机配置实用程序 的端口上运行铜缆端口测 试,因为这会中断与该设备之间的通信。 测试连接到端口的铜质电缆的步骤: 步骤 1 单击管理 > 诊断 > 铜缆测试。 步骤 2 选择要进行铜缆测试的端口。 步骤 3 单击铜缆测试。 步骤 4 当显示该消息时,单击确定确认链路可以中断,或单击取消中止测试。 在“测试结果”框中将显示以下字段: • 最近更新 - 上次在端口上执行测试的时间。 • 测试结果 - 电缆测试结果。可能的值包括: - 良好 - 电缆通过测试。 - 无电缆 - 电缆没有连接到端口。 - 开放电缆 - 电缆只有一端连接。 - 短电缆 - 电缆发生短路。 - 未知测试结果 - 发生错误。 • 与故障的距离 - 端口与电缆上的故障点之间的距离。 • 运行端口状态 - 显示端口处于连接还是中断状态。 如果正在测试的端口是一个千兆端口,高级信息框包含以下信息 (每次进入该页面,都将刷新该信息框): • 电缆长度
管理:诊断 显示光纤模块状态 8 显示光纤模块状态 “光纤模块状态”页面会显示由 SFP (小型封装可热插拔)收发器报告的工作状况。对于不支持数字诊断监控 标准 SFF-8472 的 SFP,可能不会提供某些信息。 MSA 兼容 SFP 支持以下 FE SFP (100 Mbps) 收发器: • MFEBX1:适用于单模光纤 (1310 nm 波长)的 100BASE-BX-20U SFP 收发器,有效距离可达 20 km。 • MFEFX1:适用于多模光纤 (1310 nm 波长)的 100BASE-FX SFP 收发器,有效距离可达 2 km。 • MFELX1:适用于单模光纤 (1310 nm 波长)的 100BASE-LX SFP 收发器,有效距离可达 10 km。 支持以下 GE SFP (1000 Mbps) 收发器: • MGBBX1:适用于单模光纤 (1310 nm 波长)的 1000BASE-BX-20U SFP 收发器,有效距离可达 40 km。 • MGBLH1:适用于单模光纤 (1310 nm 波长)的 1000BASE-LH SFP 收发器,有效距离可达 40
管理:诊断 配置端口和 VLAN 镜像 • 输入功率 - 接收的光功率。 • 发射器故障 - 远程 SFP 报告信号丢失。值为 “True”、“False” 和“无信号 (N/S)”。 • 信号丢失 - 本地 SFP 报告信号丢失。值为 “True” 和 “False”。 • 数据就绪 - SFP 在工作。值为 “True” 和 “False”。 8 配置端口和 VLAN 镜像 在网络设备上,可使用端口镜像将单个设备端口、多个设备端口或整个 VLAN 上看到的网络数据包的副本发送 到设备上另一端口上的网络监控连接。它经常用于需要进行网络流量监控的网络应用 (例如入侵检测系统)。连 接到监控端口的网络分析器会处理用于进行诊断、调试和性能监控的数据包。 最多可以镜像四个源。这可以是四个独立端口和/或 VLAN 的任意组合。 在分配给要进行镜像的 VLAN 的网络端口上收到的数据包将被镜像到分析器端口,即使该数据包最终会被拦截 或丢弃亦如此。如果激活了“传输 (Tx) 镜像”,将会镜像由设备发送的数据包。 镜像并不保证在分析器 (目的)端口上收到来自源端口的所有流量。如果向分析器端口发送的数据超
管理:诊断 查看 CPU 使用率和安全的核心技术 8 步骤 3 输入参数: • 目的端口 - 选择要向其复制数据包的分析器端口。系统会将网络分析器 (例如运行 Wireshark 的 PC)连 接到此端口。如果将一个端口确定为分析器目的端口,它会保留分析器目的端口,直到删除所有条目。 • 源接口 - 选择从其中镜像流量的源端口或源 VLAN。 • 类型 - 选择要将传入流量、传出流量还是这两种类型的流量镜像到分析器端口。如果选择端口,选项如下: - 仅接收 - 对传入数据包进行端口镜像。 - 仅发送 - 对传出数据包进行端口镜像。 - 发送和接收 - 对传入和传出数据包均进行端口镜像。 步骤 4 单击应用。端口镜像将添加到当前配置。 查看 CPU 使用率和安全的核心技术 除终端用户流量之外,设备还处理以下类型的流量: • 管理流量 • 协议流量 • Snooping 流量 过多的流量会使 CPU 不堪重负,并可能影响正常的设备运行。设备使用安全的核心技术 (SCT) 功能,可以确保 设备无论接收的总流量是多少,都能够接收并处理管理和协议流量。默认情况下, SCT 在设备
管理:诊断 查看 CPU 使用率和安全的核心技术 8 该窗口包含 CPU 使用率图表。 Y 轴表示占用百分比, X 轴为样本号。 步骤 2 确保“CPU 使用率”复选框处于启用状态。 步骤 3 选择刷新速率,即刷新统计信息的时间间隔 (以秒为单位的时间段)。为每个时间段 创建一个新样本。 步骤 4 单击应用。 思科 200 系列智能型交换机管理指南 71
9 管理:发现协议 本节提供了有关配置发现的信息。 其中包含以下主题: • Bonjour • LLDP 和 CDP • 配置 LLDP • 配置 CDP Bonjour 作为 Bonjour 客户端,设备会定期将 Bonjour 发现协议数据包广播给直接连接的 IP 子网,以通告它的存在以及 它所提供的服务,例如 HTTP 或 HTTPS。(可使用“安全 > TCP/UDP 服务”页面启用或禁用设备服务。)网络 管理系统或其他第三方应用可发现设备。默认情况下, Bonjour 已启用并在管理 VLAN 上运行。 Bonjour Console 会自动检测并显示该设备。 第 2 层系统模式下的 Bonjour Bonjour 发现只能全局启用,而无法针对每个端口或每个 VLAN 启用它。设备会通告由管理员启用的服务。 同时启用 Bonjour 发现和 IGMP 时, Bonjour 的 IP 组播地址会显示在“添加 IP 组播组地址”页面上。 若禁用 Bonjour 发现,设备会停止服务类型通告,且不会对来自网络管理应用程序的服务请求作出响应。 默认情况下,会在作为管理 VLAN 成员的所
9 管理:发现协议 LLDP 和 CDP LLDP 和 CDP LLDP (链路层发现协议)和 CDP (思科发现协议)都是链路层协议,支持 LLDP 和 CDP 的直接连接邻居可使 用这两种协议通告自身及其功能。默认情况下,设备会定期向所有接口发送 LLDP/CDP 通告,并按照协议的要 求处理入站 LLDP 及 CDP 数据包。 LLDP 和 CDP 协议下,通告将在数据包中编码为 TLV (类型、长度、值)。 应用以下 CDP/LLDP 配置说明: • CDP/LLDP 可全局或按端口启用或禁用。仅当全局启用 CDP/LLDP 时,端口的 CDP/LLDP 功能才有意义。 • 如果全局启用 CDP/LLDP,设备将滤除来自已禁用 CDP/LLDP 端口的入站 CDP/LLDP 数据包。 • 如果全局禁用 CDP/LLDP,设备可配置为丢弃、可识别 VLAN 泛洪或无法识别 VLAN 泛洪所有入站 CDP/ LLDP 数据包。可识别 VLAN 泛洪会将入站 CDP/LLDP 数据包泛洪到接收数据包的 VLAN,其中不包括入 站端口。无法识别 VLAN 泛洪会将入站 CDP/LLDP 数据包泛
管理:发现协议 配置 LLDP 9 配置 LLDP 本节介绍如何配置 LLDP。其中包含以下主题: • LLDP 概述 • LLDP 属性 • LLDP 端口设置 • LLDP MED 网络策略 • LLDP MED 端口设置 • LLDP 端口状态 • LLDP 本地信息 • LLDP 邻居信息 • LLDP 统计信息 • LLDP 过载 LLDP 概述 LLDP 可使网络管理员在多供应商环境中排除故障并强化网络管理。 LLDP 提供了标准化的方法,便于网络设备 向其他系统通告自身并存储已发现的信息。 LLDP 可让设备向相邻设备通告其身份、配置和功能,然后这些相邻设备会将这些数据存储在管理信息库 (MIB) 中。网络管理系统会通过查询这些 MIB 数据库来为网络拓扑建模。 LLDP 是一种链路层协议。默认情况下,设备会按照协议的要求终止并处理所有入站 LLDP 数据包。 LLDP 协议有一个名为 LLDP 媒体终端发现 (LLDP-MED) 的扩展协议,该扩展协议可提供和接受来自 VoIP 电话和 视频电话等媒体终端设备的信息。有关 LLDP-MED 的更多信息
9 管理:发现协议 配置 LLDP 4. 使用“LLDP MED 端口设置”页面将 LLDP MED 网络策略和可选 LLDP-MED TLV 与所需的接口关联。 5. 若要使自动智能端口检测 LLDP 设备的功能,请在“智能端口属性”页面中启用 LLDP。 6.
9 管理:发现协议 配置 LLDP LLDP 端口设置 使用“端口设置”页面可针对每个端口激活 LLDP 和 SNMP 通知,并输入在 LLDP PDU 中发送的 TLV。 要通告的 LLDP-MED TLV 可在“LLDP MED 端口设置”页面进行选择,并且可以配置设备的管理地址 TLV。 定义 LLDP 端口设置的步骤: 步骤 1 单击管理 > 发现协议 - LLDP > 端口设置。 此页面包含端口 LLDP 信息。 步骤 2 选择一个端口,然后单击编辑。 此页面提供了以下字段: • 接口 - 选择要编辑的端口。 • 管理状态 - 为端口选择 LLDP 发布选项。这些值包括: • - 仅发送 - 只发布不发现。 - 仅接收 - 只发现不发布。 - 发送和接收 - 发布并发现。 - 禁用 - 表示在该端口上禁用 LLDP。 SNMP 通知 - 如果选择启用,则会在发生拓扑更改时向 SNMP 通知接收者 (例如 SNMP 管理系统)发送 通知。 在“LLDP 属性”页面的“拓扑更改 SNMP 通知间隔”字段中,可输入发送通知的时间间隔。使用 “SNMP > 通知接收设备 S
9 管理:发现协议 配置 LLDP - 802.3 MAC-PHY - 双工和比特率功能以及发送设备的当前双工和比特率设置。它还表明当前设置是通 过自动协商还是手动配置而产生的。 - 802.3 链路聚合 - 是否可以聚合链路 (与用于传输 LLDP PDU 的端口相关联)。它还表明链路当前是 否已聚合;如果是,则提供聚合的端口标识符。 - 802.3 最大帧大小 - MAC/PHY 实施的最大帧大小功能。 管理地址可选 TLV: • 通告模式 - 选择以下其中一种通告设备 IP 管理地址的方法: - 自动通告 - 指定软件从所有设备的 IP 地址中自动选择一个管理地址进行通告。如果有多个 IP 地址,软 件将选择动态 IP 地址中的最小 IP 地址。如果无动态地址,软件将选择静态 IP 地址中的最小 IP 地址。 • - 无 - 不通告管理 IP 地址。 - 手动通告 - 选择该选项以及要通告的管理 IP 地址。 IP 地址 - 如果选择手动通告,则请从提供的地址中选择管理 IP 地址。 以下字段与 802.
9 管理:发现协议 配置 LLDP 设置 LLDP MED 网络策略 LLDP-MED 网络策略是某特定实时应用 (如语音或视频)的一组相关配置设置。配置之后,网络策略将包含在 出站 LLDP 数据包中发送到相连接的 LLDP 媒体终端设备。媒体终端设备必须根据所接收网络策略中的规定发送 流量。例如,可以为 VoIP 流量创建一个策略,以便指引 VoIP 电话: • 在 VLAN 10 上将语音流量作为已标记数据包进行发送,并设定 802.
9 管理:发现协议 配置 LLDP LLDP MED 端口设置 使用“LLDP MED 端口设置”页面可选择 LLDP-MED TLV 和/或网络策略,使之包含在所需接口的出站 LLDP 通 告中。网络策略使用“LLDP MED 网络策略”页面进行配置。 注 如果语音应用的“LLDP-MED 网络策略” (“LLDP-MED 网络策略”页面)为“自 动”且自动语音 VLAN 正在运行,则对于所有已启用 LLDP-MED 且属于语音 VLAN 成 员的端口,设备将自动为其生成语音应用的“LLDP-MED 网络策略”。 在每个端口上配置 LLDP MED 的步骤: 步骤 1 单击管理 > 发现协议 - LLDP > LLDP MED 端口设置。 此页面将为所有端口显示以下 LLDP MED 设置 (仅列出编辑页面中未介绍的字段): • 位置 - 显示是否传输位置 TLV。 • PoE - 显示是否传输 POE-PSE TLV。 • 清单 - 显示是否传输清单 TLV。 步骤 2 该页面顶部的消息表明是否自动生成语音应用的 LLDP MED 网络策略 (参阅 LLDP 概 述)。单击该链接以更改
9 管理:发现协议 配置 LLDP - 位置 ECS ELIN - 输入要由 LLDP 发布的紧急电话服务 (ECS) ELIN 位置。 步骤 5 单击应用。 LLDP MED 端口设置将写入当前配置文件中。 LLDP 端口状态 “LLDP 端口状态表”页面包含每个端口的 LLDP 全局信息。 步骤 1 要查看 LLDP 端口状态,请单击管理 > 发现协议 - LLDP > LLDP 端口状态。 步骤 2 单击 LLDP 本地信息详情,查看发送给邻居的 LLDP 和 LLDP-MED TLV 的详情。 步骤 3 单击 LLDP 邻居信息详情,查看邻居发送来的 LLDP 和 LLDP-MED TLV 的详情。 LLDP 端口状态全局信息 • 机箱 ID 子类型 - 机箱 ID 的类型 (例如, MAC 地址)。 • 机箱 ID - 机箱的标识符。如果机箱 ID 子类型为 MAC 地址,则会显示设备的 MAC 地址。 • 系统名称 - 设备的名称。 • 系统说明 - 对设备的描述 (使用字母数字格式)。 • 支持的系统功能 - 设备的主要功能,例如,网桥、 WLAN AP 或路由器。
9 管理:发现协议 配置 LLDP LLDP 本地信息 查看在端口上通告的 LLDP 本地端口状态的步骤: 步骤 1 单击管理 > 发现协议 - LLDP > LLDP 本地信息。 步骤 2 选择要显示 LLDP 本地信息的接口。 此页面将为选定接口显示以下字段: 全局 • 机箱 ID 子类型 - 机箱 ID 的类型。(例如, MAC 地址。) • 机箱 ID - 机箱的标识符。如果机箱 ID 子类型为 MAC 地址,则会显示设备的 MAC 地址。 • 系统名称 - 设备的名称。 • 系统说明 - 对设备的描述 (使用字母数字格式)。 • 支持的系统功能 - 设备的主要功能,例如,网桥、 WLAN AP 或路由器。 • 已启用的系统功能 - 设备已启用的主要功能。 • 端口 ID 子类型 - 显示的端口标识符的类型。 • 端口 ID - 端口的标识符。 • 端口说明 - 有关端口的信息,包括制造商、产品名称和硬件/软件版本。 管理地址 显示本地 LLDP 代理的地址表。其他远程管理员可以使用该地址获取与本地设备相关的信息。该地址由以下元素 组成: • 地址子类型
管理:发现协议 配置 LLDP 9 • 自动协商通告功能 - 端口速度自动协商功能,例如, 1000BASE-T 半双工模式、 100BASE-TX 全双工 模式。 • 运行 MAU 类型 - 介质连接单元 (MAU) 类型。 MAU 可执行物理层功能,包括通过对以太网接口进行冲突 检测来转换数字数据和在网络中插入位,例如 100BASE-TX 全双工模式。 802.3 详情 • 802.3 最大帧大小 - 支持的最大 IEEE 802.3 帧大小。 802.3 链路聚合 • 聚合功能 - 表明是否可以聚合接口。 • 聚合状态 - 表明是否已聚合接口。 • 聚合端口 ID - 通告的聚合接口 ID。 802.
9 管理:发现协议 配置 LLDP • PoE 电源优先级 - 端口电源优先级。 • PoE 功率值 - 端口电源值。 • 硬件版本 - 硬件版本。 • 固件版本 - 固件版本。 • 软件版本 - 软件版本。 • 序列号 - 设备序列号。 • 制造商名称 - 设备制造商名称。 • 型号名称 - 设备型号。 • 资产 ID - 资产 ID。 位置信息 • 城市 - 街道地址。 • 坐标 - 地图坐标:纬度、经度和海拔高度。 • ECS ELIN - 紧急电话服务 (ECS) 紧急位置标识号 (ELIN)。 网络策略表 • 应用类型 - 网络策略应用类型,例如语音。 • VLAN ID - 为其定义网络策略的 VLAN ID。 • VLAN 类型 - 为其定义网络策略的 VLAN 类型。该字段可能的值包括: - Tagged - 指示网络策略是为 Tagged VLAN 定义的。 - Untagged - 指示网络策略是为 Untagged VLAN 定义的。 • 用户优先级 - 网络策略用户优先级。 • DSCP - 网络策略 DSCP
9 管理:发现协议 配置 LLDP LLDP 邻居信息 “LLDP 邻居信息”页面包含从邻居设备接收到的信息。 超时 (根据在其间未收到邻居发送的 LLDP PDU 的邻居活动时间 TLV 发送的值)后,将会删除该信息。 查看 LLDP 邻居信息的步骤: 步骤 1 单击管理 > 发现协议 - LLDP > LLDP 邻居信息。 步骤 2 选择要显示 LLDP 邻居信息的接口。 此页面将为选定接口显示以下字段: • 本地端口 - 要将邻居与其连接的本地端口号。 • 机箱 ID 子类型 - 机箱 ID 的类型 (例如, MAC 地址)。 • 机箱 ID - 802 LAN 相邻设备机箱的标识符。 • 端口 ID 子类型 - 显示的端口标识符的类型。 • 端口 ID - 端口的标识符。 • 系统名称 - 已发布的设备名称。 • 存活时间 - 在其后删除该邻居的信息的时间间隔 (以秒为单位)。 步骤 3 选择一个本地端口,然后单击详情。 “LLDP 邻居信息”页面包含以下字段: 端口详情 • 本地端口 - 端口号。 • MSAP 条目 - 设备介质服务接入点 (MSAP) 条
管理:发现协议 配置 LLDP 9 • 系统说明 - 对网络实体的描述 (使用字母数字格式)。它包括系统名称、硬件版本、操作系统和设备支持 的网络软件。该值与 sysDescr 对象相等。 • 支持的系统功能 - 设备的主要功能。这些功能由两个八进制数表示。 0 到 7 位分别表示其他、中继器、网 桥、 WLAN AP、路由器、电话、 DOCSIS 电缆设备以及工作站。 8 到 15 位为保留位。 • 已启用的系统功能 - 设备已启用的主要功能。 管理地址表 • 地址子类型 - 管理的地址子类型,例如 MAC 或 IPv4。 • 地址 - 管理的地址。 • 接口子类型 - 端口子类型。 • 接口编号 - 端口编号。 MAC/PHY 详情 • 支持自动协商 - 端口速度自动协商支持状态。值可能为 True 和 False。 • 已启用自动协商 - 端口速度自动协商活动状态。值可能为 True 和 False。 • 自动协商通告功能 - 端口速度自动协商功能,例如, 1000BASE-T 半双工模式、 100BASE-TX 全双工 模式。 • 运行 MAU 类型 -
管理:发现协议 配置 LLDP 9 802.3 链路聚合 • 聚合功能 - 表明是否可以聚合端口。 • 聚合状态 - 表明当前是否已聚合端口。 • 聚合端口 ID - 通告的聚合端口 ID。 802.
管理:发现协议 配置 LLDP • 制造商名称 - 设备制造商名称。 • 型号名称 - 设备型号。 • 资产 ID - 资产 ID。 9 802.1 VLAN 和协议 • PVID - 通告的端口 VLAN ID。 PPVID PPVID 表 • VID - 协议 VLAN ID。 • 支持 - 支持的端口和协议 VLAN ID。 • 已启用 - 启用的端口和协议 VLAN ID。 VLAN ID VLAN ID 表 • VID - 端口和协议 VLAN ID。 • VLAN 名称 - 通告的 VLAN 名称。 协议 ID • Protocol ID - 通告的协议 ID。 位置信息 按 ANSI-TIA-1057 标准中的 10.2.
9 管理:发现协议 配置 LLDP 网络策略 网络策略表 • 应用类型 - 网络策略应用类型,例如语音。 • VLAN ID - 为其定义网络策略的 VLAN ID。 • VLAN 类型 - 为其定义网络策略的 VLAN 类型 (Tagged 或 Untagged)。 • 用户优先级 - 网络策略用户优先级。 • DSCP - 网络策略 DSCP。 步骤 4 选择端口并单击 LLDP 端口状态表可在“LLDP 端口状态表”中查看详情。 LLDP 统计信息 “LLDP 统计信息”页面会显示每个端口的 LLDP 统计信息。 查看 LLDP 统计信息的步骤: 步骤 1 单击管理 > 发现协议 - LLDP > LLDP 统计信息。 会为每个端口显示以下字段: • 接口 - 接口的标识符。 • 发送帧 (总数) - 已传输的帧数。 • 接收的帧数 • • - 总数 - 已接收的帧数。 - 丢弃 - 丢弃的已接收帧的总数。 - 错误 - 已接收的错误帧总数。 接收的 TLV - 丢弃 - 丢弃的已接收 TLV 的总数。 - 未识别 - 未识别的已接收 TLV
9 管理:发现协议 配置 LLDP LLDP 过载 LLDP 会将信息作为 LLDP 和 LLDP-MED TLV 添加到 LLDP 数据包中。当 LLDP 数据包中包含的信息总量过大, 超过接口支持的最大 PDU 大小时,就会发生 LLDP 过载。 “LLDP 过载”页面会显示 LLDP/LLDP-MED 信息的字节数、其他 LLDP 信息的可用字节数,以及所有接口的过 载状态。 查看 LLDP 过载信息的步骤: 步骤 1 单击管理 > 发现协议 - LLDP > LLDP 过载。 此页面包含每个端口的以下字段: • 接口 - 端口标识符。 • 正在使用的字节总数 - 每个数据包中 LLDP 信息的总字节数。 • 剩余可用字节 - 要添加到各数据包中其他 LLDP 信息的剩余可用字节总数。 • 状态 - 正在传输 TLV 还是已过载。 步骤 2 要查看端口的过载详细信息,请选择该端口,然后单击详情。 此页面包含在该端口上发送的每个 TLV 的以下信息: • • • • LLDP 强制 TLV - 大小 (字节) - 强制 TLV 的字节总数。 - 状态 - 正在传输强制
管理:发现协议 配置 CDP • • • • • 9 通过 MDI 提供的 LLDP MED 扩展电源 - 大小 (字节) - 通过 MDI 提供的 LLDP MED 扩展电源数据包的总字节数。 - 状态 - 通过 MDI 提供的 LLDP MED 扩展电源数据包已发送还是已过载。 802.3 TLV - 大小 (字节) - LLDP MED 802.3 TLV 数据包的总字节数。 - 状态 - LLDP MED 802.
9 管理:发现协议 配置 CDP CDP 属性 与 LLDP 相似,思科发现协议 (CDP) 也是一种便于直接连接邻居相互通告自身及其功能的链路层协议。与 LLDP 不同的是, CDP 是一种思科专有的协议。 CDP 配置工作流程 以下是在设备上配置 CDP 的工作流程示例。您也可以参阅“LLDP/CDP”部分,了解其他 CDP 配置指南。 步骤 1 使用“CDP 属性”页面输入 CDP 全局参数 步骤 2 使用“接口设置”页面按接口配置 CDP 步骤 3 如果使用自动智能端口检测 CDP 设备的功能,请在“智能端口属性”页面中启用 CDP。 有关如何使用 CDP 标识智能端口设备功能的说明,请参阅标识智能端口类型。 输入 CDP 一般参数的步骤: 步骤 1 单击管理 > 发现 - CDP > 属性。 步骤 2 输入参数。 • CDP 状态 - 选择启用设备上的 CDP。 • CDP 帧处理 - 如果未启用 CDP,选择在收到符合所选条件的数据包时要执行的操作: - 桥接 - 根据 VLAN 转发数据包。 - 过滤 - 删除数据包。 - 泛洪 - 无法识别 VLAN 的泛洪,会将传入
9 管理:发现协议 配置 CDP • • • CDP 传输速率 - 发送 CDP 通告更新的速率 (以秒为单位)。可能的选项有: - 使用默认设置 - 使用默认速率 (60 秒) - 用户定义 - 输入速率 (秒)。 设备 ID 格式 - 选择设备 ID 的格式 (MAC 地址或序列号)。可能的选项有: - MAC 地址 - 使用设备的 MAC 地址作为设备 ID。 - 序列号 - 使用设备的序列号作为设备 ID。 - 主机名 - 使用设备的主机名作为设备 ID。 源接口 - 要在帧 TLV 中使用的 IP 地址。可能的选项有: - 使用默认设置 - 使用传出接口的 IP 地址。 - 用户定义 - 使用地址 TLV 中接口 (在接口字段中)的 IP 地址。 • 接口 - 如果为源接口选择用户定义,请选择接口。 • 系统日志语音 VLAN 不匹配 - 选中后,当检测到语音 VLAN 不匹配后,系统将发送系统日志消息。这意 味着传入帧中的语音 VLAN 信息与本地设备通告的信息不匹配。 • 系统日志本征 VLAN 不匹配 - 选中后,当检测到本征 VLAN 不匹配后
9 管理:发现协议 配置 CDP • 报告与 CDP 邻居冲突 - 在编辑页面中启用/禁用的报告选项的状态 (语音 VLAN/本征 VLAN/双工)。 • 邻居数量 - 检测到的邻居数。 该页面底部有四个按钮: • 复制设置 - 选中后,会将配置从一个端口复制到其他端口。 • 编辑 - 下文步骤 2 中解释的字段。 • CDP 本地信息详情 - 引导至“管理 > 发现协议 - CDP > CDP 本地信息”页面。 • CDP 邻居信息详情 - 引导至“管理 > 发现协议 - CDP > CDP 邻居信息”页面。 步骤 2 选择一个端口,然后单击编辑。 此页面提供了以下字段: • 接口 - 选择要定义的接口。 • CDP 状态 - 选择启用/禁用端口的 CDP 发布选项。 注 当设备设置为向管理站发送 Trap 时,以下三个字段属于可选字段。 • 系统日志语音 VLAN 不匹配 - 选择该选项可以在检测到语音 VLAN 不匹配时,发送系统日志消息。这意 味着传入帧中的语音 VLAN 信息与本地设备通告的信息不匹配。 • 系统日志本征 VLAN 不匹配 - 选择该选项可以
管理:发现协议 配置 CDP • • 设备 ID TLV - 设备 ID 类型 - 设备 ID TLV 中通告的设备 ID 类型。 - 设备 ID - 设备 ID TLV 中通告的设备 ID。 系统名称 TLV - • • 本征 VLAN - 在本征 VLAN TLV 中通告的本征 VLAN 标识符。 全/半双工 TLV - • 平台 - 在平台 TLV 中通告的平台标识符。 本征 VLAN TLV - • 版本 - 设备正在运行的软件版本信息。 平台 TLV - • 功能 - 端口 TLV 中通告的功能。 版本 TLV - • 端口 ID - 端口 TLV 中通告的端口标识符。 功能 TLV - • 地址 1-3 - IP 地址 (设备地址 TLV 中通告的)。 端口 TLV - • 系统名称 - 设备的系统名称。 地址 TLV - • 9 双工 - 端口在全双工/半双工 TLV 中通告的是处于全双工还是半双工模式。 设备 TLV - 设备 ID - 在设备 TLV 中通告的、连接到端口的设备类型。 - 设备 VLAN ID - 设备所
9 管理:发现协议 配置 CDP • 用于不信任端口 TLV 的 CoS - • 用于不可信端口的 CoS - 如果在端口上禁用扩展信任,此字段将显示第 2 层 CoS 值,表示 802.1D/ 802.
9 管理:发现协议 配置 CDP • 存活时间 (秒) - 在其后删除该邻居的信息的时间间隔 (以秒为单位)。 • 功能 - 邻居通告的功能。 • 平台 - 来自邻居平台 TLV 的信息。 • 邻居接口 - 邻居的传出接口。 步骤 4 选择一个设备,然后单击详情。 此页面包含有关邻居的以下字段: • 设备 ID - 邻居设备的标识符。 • 系统名称 - 邻居设备 ID 的名称。 • 本地接口 - 帧到达所经由的端口的接口编号。 • 通告版本 - CDP 的版本。 • 存活时间 - 在其后删除该邻居的信息的时间间隔 (以秒为单位)。 • 功能 - 设备的主要功能。这些功能由两个八进制数表示。 0 到 7 位分别表示其他、中继器、网桥、 WLAN AP、路由器、电话、 DOCSIS 电缆设备以及工作站。 8 到 15 位为保留位。 • 平台 - 邻居的平台的标识符。 • 邻居接口 - 帧到达所经由的邻居的接口编号。 • 本征 VLAN - 邻居的本征 VLAN。 • 应用 - 邻居上所运行应用的名称。 • 双工 - 邻居接口处于半双工还是全双工模式。
9 管理:发现协议 CDP 统计信息 CDP 统计信息 “CDP 统计信息”页面显示与从某端口收发的 CDP 帧有关的信息。 CDP 数据包从与交换机接口连接的设备接 收,并供智能端口功能使用。有关详情,请参阅配置 CDP。 仅当在全局和某端口上启用了 CDP 时,才会显示该端口的 CDP 统计信息。此操作在 “CDP 属性”页面和 “CDP 接口设置”页面进行。 查看 CDP 统计信息的步骤: 步骤 1 单击管理 > 发现 - CDP > CDP 统计信息。 将为每个接口显示以下字段: 接收/传输的数据包数: • 版本 1 - 接收/发送的 CDP 版本 1 数据包数。 • 版本 2 - 接收/发送的 CDP 版本 2 数据包数。 • 总数 - 接收/发送的 CDP 数据包总数。 “CDP 错误统计信息”部分显示 CDP 错误计数器。 • 非法校验和 - 所接收的具有非法校验和值的数据包数。 • 其他错误 - 除非法校验和外,所接收的其他错误数据包数。 • 邻居数超过最大值 - 由于缺少空间,导致无法在缓存中存储数据包信息的次数。 要清除所有接口的所有计数器,请单击清除所有接口
10 端口管理 本节介绍端口配置、链路聚合和绿色以太网功能。 其中包含以下主题: • 配置端口 • 环回检测 • 链路聚合 • UDLD • 配置绿色以太网 配置端口 工作流程 要配置端口,请执行以下操作: 1. 使用“端口设置”页面配置端口。 2. 使用“LAG 管理”页面启用/禁用链路聚合控制 (LAG) 协议,并将潜在成员端口配置为所需的 LAG。默认情 况下,所有 LAG 均为空。 3. 使用“LAG 设置”页面配置以太网参数,例如 LAG 的速度和自动协商。 4. 使用 LACP 页面为作为动态 LAG 成员或候选成员的端口配置 LACP 参数。 5. 使用“属性”页面配置绿色以太网和 802.3 节能以太网。 6. 使用“端口设置”页面配置每端口的绿色以太网能源模式和 802.3 节能以太网。 7.
10 端口管理 配置端口 端口配置 可在以下页面配置端口。 端口设置 “端口设置”页面显示所有端口的全局设置和每端口设置。此页面可使您通过“编辑端口设置”页面选择并配置 所需端口。 配置端口设置的步骤: 步骤 1 单击端口管理 > 端口设置。 步骤 2 选择巨型帧以支持最大为 10Kb 的数据包。如果未启用 (默认)巨型帧,则系统可支 持最大为 2,000 字节的数据包。要使巨型帧生效,必须在启用该功能之后重启设备。 步骤 3 单击应用以更新全局设置。 巨型帧配置更改仅在使用“复制/保存配置”页面将当前配置文件明确保存到启动配置文件,然后重启设备之后 才会生效。 步骤 4 要更新端口设置,请选择所需端口,然后单击编辑。 步骤 5 修改以下参数: • 接口 - 选择端口编号。 • 端口说明 - 输入用户定义的端口名称或备注。 • 端口类型 - 显示端口类型和速度。可能的选项有: - 铜缆端口 - 常规端口而非组合端口,支持以下值:10M、 100M 和 1000M (类型:铜缆)。 - 组合铜缆端口 - 与铜质 CAT5 电缆连接的组合端口,支持以下值:10M、 100M 和 100
10 端口管理 配置端口 • • 运行自动协商 - 显示端口上的当前自动协商状态。 管理端口速度 - 选择端口的速度。端口类型可确定可用的速度。仅当禁用端口自动协商时,您才可以指定 管理速度。 • 运行端口速度 - 显示作为协商结果的当前端口速度。 • 管理双工模式 - 选择端口双工模式。仅当禁用自动协商时才会配置此字段,并且端口速度会设置为 10M 或 100M。端口速度为 1G 时,始终处于全双工模式。可能的选项有: - 半双工 - 接口仅支持设备和客户端之间在某一时刻的单向传输。 - 全双工 - 接口支持设备和客户端之间的同时双向传输。 • 运行双工模式 - 显示端口当前的双工模式。 • 自动通告 - 选择启用自动协商后,要由其通告的功能。选项如下: - 最大容量 - 可以接受所有端口速度和双工模式设置。 - 10 半双工 - 10 Mbps 速度和半双工模式。 - 10 全双工 - 10 Mbps 速度和全双工模式。 - 100 半双工 - 100 Mbps 速度和半双工模式。 - 100 全双工 - 100 Mbps 速度和全双工模式。 - 1000
10 端口管理 配置端口 • 运行 MDI/MDIX - 显示当前的 MDI/MDIX 设置。 • LAG 中的成员 - 显示端口是否为 LAG 中的成员。 步骤 6 单击应用。“端口设置”将写入当前配置文件中。 错误恢复设置 利用此页面,可以在自动恢复间隔过后,自动重新激活因错误情况而关闭的端口。 配置错误恢复设置的步骤: 步骤 1 单击端口管理 > 错误恢复设置。 步骤 2 输入以下字段: • 自动恢复间隔 - 指定在端口关闭后进行自动错误恢复的时间延时 (如果启用)。 端口假死自动恢复 • 端口安全 - 选择该选项可在端口因违反安全规则而关闭时,启用自动错误恢复。 • 802.1x 单主机违反规则 - 选择该选项可在 802.
端口管理 环回检测 10 环回检测 环回检测 (LBD) 通过将环路协议数据包传输到已启用环路保护的端口之外,来提供环路保护。当交换机发出环路 协议数据包,然后又收到相同的数据包时,会关闭接收到该数据包的端口。 环回检测独立于 STP 运行。发现环路后,系统会将接收到环路的端口置于关闭状态。系统还将发送陷阱,并记 录该事件。网络管理员可以定义检测间隔来设置 LBD 数据包之间的时间间隔。 环回检测协议可以检测以下环路情况: • 短路 - 环回所有接收流量的端口。 • 直接多端口环路 - 交换机通过多个端口连接到其他交换机,同时 STP 会被禁用。 • LAN 区段环路 - 交换机通过一个或多个端口连接到存在环路的 LAN 区段。 LBD 的工作方式 LBD 协议定期广播环回检测数据包。交换机在接收自己的 LBD 数据包时会检测环路。 要使 LBD 对端口有效,以下条件必须成立: • 全局启用 LBD。 • 在端口上启用 LBD。 • 端口工作状态为运行。 • 端口处于 STP 转发/禁用状态 (MSTP 实例转发状态,实例 0)。 LBD 帧通过最高优先级队列在启用 LBD 的
10 端口管理 环回检测 与其他功能进行交互 如果在已启用环回检测的端口上启用 STP,该端口必须为 STP 转发状态。 配置 LBD 工作流程 启用和配置 LBD 的步骤: 步骤 1 在“环回检测设置”页面中为整个系统启用环回检测。 步骤 2 在“环回检测设置”页面中为访问端口启用环回检测。 步骤 3 在“错误恢复设置”页面中为环回检测启用自动恢复。 配置环回检测的步骤: 步骤 1 单击端口管理 > 环回检测设置。 步骤 2 在环回检测全局字段中选择启用以启用此功能。 步骤 3 输入检测间隔。这是传输 LBD 数据包的间隔。 步骤 4 单击应用,以将配置保存到当前配置文件中。 系统还将对每个接口显示以下有关环回检测状态的字段: • 管理 - 环回检测已启用。 • 运行 - 环回检测已启用,但在接口上无效。 步骤 5 在接口类型为字段中选择是在端口上还是在 LAG 上启用 LBD。 步骤 6 选择要启用 LBD 的端口或 LAG,然后单击编辑。 步骤 7 在“环回检测状态”字段中为选定的端口或 LAG 选择启用。 步骤 8 单击应用,以将配置保存到当前配置文件中。 思科 200 系列智能型交
端口管理 链路聚合 10 链路聚合 本节介绍如何配置 LAG。其中包含以下主题: • 链路聚合概述 • 默认设置和配置 • 静态和动态 LAG 工作流程 • 定义 LAG 管理 • 配置 LAG 设置 • 配置 LACP 链路聚合概述 链路聚合控制协议 (LACP) 是 IEEE 规格 (802.
端口管理 链路聚合 10 LAG 管理 通常,系统会将 LAG 处理为单个逻辑端口。特别是, LAG 具有类似于普通端口的端口属性,例如状态和速度。 设备支持 8 个 LAG。 每个 LAG 均具有以下特性: • LAG 中的所有端口必须属于相同的介质类型。 • 要将端口添加到 LAG,该端口不能属于任何 VLAN (默认 VLAN 除外)。 • 不得将某 LAG 中的端口分配给其他 LAG。 • 为静态 LAG 最多分配八个端口,并且最多有 16 个端口可以作为动态 LAG 的候选端口。 • LAG 中的所有端口必须禁用自动协商,但是 LAG 可以启用自动协商。 • 将端口添加到 LAG 后, LAG 的配置将应用至该端口。从 LAG 中删除端口后,将重新应用其原始配置。 • 生成树等协议将 LAG 中的所有端口视作一个端口。 默认设置和配置 默认情况下,端口不是 LAG 的成员,并且不能作为候选端口加入 LAG。 静态和动态 LAG 工作流程 手动创建 LAG 之后,无法添加或删除 LACP,直到编辑 LAG 并删除一个成员之后, LACP 按钮才会变为可 编辑。 要配置
10 端口管理 链路聚合 定义 LAG 管理 “LAG 管理”页面显示全局设置和每个 LAG 的设置。该页面还可使您在“编辑 LAG 成员关系”页面上配置全 局设置并选择和编辑所需 LAG。 选择 LAG 的负载均衡算法的步骤: 步骤 1 单击端口管理 > 链路聚合 > LAG 管理。 步骤 2 选择以下负载均衡算法之一: • MAC 地址 - 按所有数据包上的源和目的 MAC 地址执行负载均衡。 • IP/MAC 地址 - 按 IP 数据包上的源和目的 IP 地址以及非 IP 数据包上的目的和源 MAC 地址执行负载均衡。 步骤 3 单击应用。负载均衡算法将保存至当前配置文件中。 在 LAG 中定义成员或候选端口的步骤: 步骤 1 选择要配置的 LAG,然后单击编辑。 系统将对每个 LAG 显示以下字段 (仅介绍“编辑”页面中没有的字段): • 链路状态 - 显示端口处于连接还是中断状态。 • 活动成员 - LAG 中的活动端口。 • 备用成员 - 此 LAG 的候选端口。 步骤 2 为以下字段输入值: • LAG - 选择 LAG 号。 • LAG 名称 - 输入 LAG
10 端口管理 链路聚合 配置 LAG 设置 “LAG 设置”页面显示所有 LAG 的当前设置表。您可以通过启动“编辑 LAG 设置”页面来配置所选 LAG 的设 置并重新激活挂起的 LAG。 配置 LAG 设置或重新激活挂起的 LAG 的步骤: 步骤 1 单击端口管理 > 链路聚合 > LAG 设置。 步骤 2 选择一个 LAG,然后单击编辑。 步骤 3 为以下字段输入值: • LAG - 选择 LAG ID 号。 • LAG 类型 - 显示组成 LAG 的端口类型。 • 说明 - 输入 LAG 名称或备注。 • 管理状态 - 将选定的 LAG 设置为“启用”或“禁用”。 • 运行状态 - 显示 LAG 当前是否处于运行状态。 • 链路状态 SNMP 陷阱 - 选择该选项可生成 SNMP Trap,可通知 LAG 中端口链路状态的更改。 • 重新激活挂起的 LAG - 选择该选项可重新激活端口 (如果已通过锁定端口安全性选项<300-500>或 ACL 配置禁用 LAG)。 • 管理自动协商 - 在 LAG 上启用或禁用自动协商。自动协商是两个链路伙伴之间的协议,可使 L
10 端口管理 链路聚合 • 管理流量控制 - 在 LAG 上将“流量控制”设置为启用或禁用,或者启用流量控制的自动协商。 • 运行流量控制 - 显示当前的流量控制设置。 步骤 4 单击应用。将更新当前配置文件。 配置 LACP 动态 LAG 启用了 LACP;在 LAG 中定义的每个候选端口上均运行 LACP。 LACP 优先级和规则 LACP 系统优先级和 LACP 端口优先级均用来确定哪些候选端口会成为配有八个以上候选端口的动态 LAG 中的 活动成员端口。 LAG 中选择的候选端口全都连接到同一远程设备。本地交换机和远程交换机均具有 LACP 系统优先级。 以下算法用来确定 LACP 端口优先级来自本地设备还是来自远程设备:将本地 LACP 系统优先级与远程 LACP 系统优先级作比较。优先级最低的设备将控制 LAG 的候选端口选择。如果二者优先级相同,则会比较本地 MAC 地址和远程 MAC 地址。 MAC 地址优先级最低的设备将控制 LAG 的候选端口选择。 动态 LAG 最多可具有 16 个相同类型的以太网端口。最多可有八个端口处于活动状态,而处于备用模式的端口 也不能超过八个。如
10 端口管理 UDLD 设置 LACP 参数设置 使用 LACP 页面为 LAG 配置候选端口并针对每个端口配置 LACP 参数。 在所有因素相同的情况下,当 LAG 配有的候选端口数大于活动端口允许的最大数 (8 个)时,设备会从具有最 高优先级的设备上的动态 LAG 中选择作为活动端口的端口。 注 LACP 设置与不是动态 LAG 成员的端口不相关。 定义 LACP 设置的步骤: 步骤 1 单击端口管理 > 链路聚合 > LACP。 步骤 2 输入 LACP 系统优先级。请参阅 LACP 优先级和规则。 步骤 3 选择一个端口,然后单击编辑。 步骤 4 为以下字段输入值: • 端口 - 选择要为其指定超时值或优先级值的端口号。 • LACP 端口优先级 - 输入端口的 LACP 优先级值。请参阅设置 LACP 参数设置。 • LACP 超时 - 连续 LACP PDU 的发送与接收之间的时间间隔。选择以较快还是较慢的传输速度来定期传输 LACP PDU,具体取决于明确的 LACP 超时首选。 步骤 5 单击应用。将更新当前配置文件。 UDLD 请参阅端口管理:单向链路检测。 PoE
端口管理 配置绿色以太网 10 配置绿色以太网 本节介绍旨在节省设备电源的绿色以太网功能。 其中包括以下各节内容: • 绿色以太网概述 • 全局绿色以太网属性 • 绿色以太网端口属性 绿色以太网概述 绿色以太网是一组功能的通称,这些功能专为保护环境而设计,可降低设备的功耗。绿色以太网与 EEE 的不同 之处在于,所有设备上都可启用绿色以太网电量检测,而 EEE 只能在千兆端口上启用。 绿色以太网功能通过以下方法降低总电能使用量: • 电量检测模式 -在非活动链路上,端口会转变为非活动模式,从而节省电能,同时使端口的管理状态保持 “启用”状态。从此模式恢复为完全运行模式的过程既快速又明显,而且不会丢失任何帧。GE 和 FE 端口 均支持此模式。 • 短距模式 - 该功能可在长度较短的电缆上提供节能功能。分析电缆长度之后,将针对各种电缆长度调整电 能使用量。如果电缆短于 50 米,则设备将使用较少电能来通过电缆发送帧,从而节省能源。仅在 RJ45 GE 端口上支持此模式;此模式不会应用到组合端口。 默认情况下,此模式为全局禁用状态。如果启用了 EEE 模式,则无法启用短距模式 (见下文)。
端口管理 配置绿色以太网 10 通过禁用端口 LED 节能 通过禁用端口 LED 功能,可以节约设备 LED 消耗的电量。由于设备经常处于闲置状态,因此让这些 LED 亮着是 对能源的一种浪费。通过绿色以太网功能,您可以在不需要端口 LED (用于监控链路、速度和 PoE)时将其禁 用,也可以在需要时 (调试、连接其他设备等)启用这些 LED。 在“系统摘要”页面上,设备板图片上显示的 LED 不受 LED 禁用的影响。 可以在“绿色以太网 > 属性”页面禁用端口 LED。 802.3az 节能以太网功能 本节介绍 802.3az 节能以太网 (EEE) 功能。 其中包含以下主题: • 802.3az EEE 概述 • 通告功能协商 • 802.3az EEE 链路级发现 • 802.3az EEE 的可用性 • 默认配置 • 功能之间的交互 • 802.3az EEE 配置工作流程 802.3az EEE 概述 802.3az EEE 旨在在链路上没有流量时节省能源。绿色以太网功能是在端口关闭时节省电量。使用 802.
10 端口管理 配置绿色以太网 通告功能协商 自动协商阶段,将通告 802.3az EEE 支持。使用自动协商,连接的设备可以检测链路另一端设备所支持的能力 (运行模式)、确定共用能力,并配置自身设置以便进行联合运行。自动协商可在连接时执行,可按照管理系统 命令执行,也可以在检测到链接错误时执行。链路建立过程中,链路伙伴的双方将交换各自的 802.3az EEE 功 能。在设备上启用自动协商之后,该功能可自动运行,无需用户交互。 注 如果端口上未启用自动协商,那么将禁用 EEE。唯一的例外情况是,如果链路速度为 1GB,那么即使 禁用了自动协商, EEE 仍将保持启用状态。 802.3az EEE 链路级发现 除了上述功能之外,还将根据 IEEE 标准 802.1AB 协议 (LLDP) 的附录 G 中定义的组织特定的 TLV,使用帧来通 告 802.3az EEE 的功能和设置。 LLDP 用于完成自动协商后,进一步优化 802.3az EEE 运行。 802.3az EEE TLV 用来调整系统苏醒和刷新周期。 802.
10 端口管理 配置绿色以太网 步骤 3 打开“绿色以太网 > 端口设置”页面,确保已在端口上启用 802.3az EEE。 a. 选择一个端口,打开“编辑端口设置”页面。 b. 在端口上选中 802.3 节能以太网 (EEE) 模式 (默认情况下,此功能处于启用状态)。 c. 在 802.3 节能以太网 (EEE) LLDP 中选择是否禁用通过 LLDP 通告 802.3az EEE 功能 (默认情况下,此功能 处于启用状态)。 步骤 4 要在本地设备上查看与 802.3 EEE 相关的信息,请打开“管理 > 发现协议 - LLDP > LLDP 本地信息”页面,查看“802.3 节能以太网 (EEE)”部分中的信息。 步骤 5 要在远程设备上显示 802.3az EEE 的信息,请打开“管理 > 发现协议 - LLDP > LLDP 邻居信息”页面,查看“802.
10 端口管理 配置绿色以太网 绿色以太网端口属性 “端口设置”页面显示每个端口当前的绿色以太网和 EEE 模式,使用“编辑端口设置”页面可配置端口上的绿 色以太网。要在端口上运行绿色以太网模式,必须在“属性”页面中全局激活相应模式。 仅显示具有 GE 端口的设备的 EEE 设置。仅在端口设置为自动协商时, EEE 才会运行。例外情况是,如果端口的 速度为 1GB 或更高,那么即使已禁用自动协商, EEE 仍会运行。 定义每端口绿色以太网设置的步骤: 步骤 1 单击端口管理 > 绿色以太网 > 端口设置。 “端口设置”页面显示以下字段: • 全局参数状态 - 描述启用的功能。 对于每个端口,系统将会列出以下字段: • 端口 - 端口号。 • 电量检测 - 有关电量检测模式的端口状态: • - 管理 - 显示是否启用了电量检测模式。 - 运行 - 显示电量检测模式当前是否处于运行状态。 - 原因 - 如果电量检测模式未处于运行状态,则显示原因。 短距 - 有关短距模式的端口状态: - 管理 - 显示是否启用了短距模式。 - 运行 - 显示短距模式当前是否处于运行状态。 -
10 端口管理 配置绿色以太网 注 该窗口将显示各个端口的短距、电量检测和 EEE 设置;但是,除非已使用“属性”页面全局启用上述 模式,否则这些模式在所有端口上均为禁用状态。要全局启用短距和 EEE,请参阅全局绿色以太网属性。 步骤 2 选择一个端口,然后单击编辑。 步骤 3 选择在该端口上启用还是禁用电量检测模式。 步骤 4 如果设备上带有 GE 端口,选择在该端口上启用还是禁用短距模式。 步骤 5 如果设备上带有 GE 端口,选择在该端口上启用还是禁用 802.3 节能以太网 (EEE) 模式。 步骤 6 如果设备上带有 GE 端口,选择在该端口上启用还是禁用 802.
11 端口管理:单向链路检测 本部分介绍单向链路检测 (UDLD) 功能如何发挥作用。 其中包含以下主题: • UDLD 概述 • UDLD 操作 • 使用指南 • 与其他功能的依赖性 • 默认设置和配置 • 使用说明 • 常见 UDLD 任务 • 配置 UDLD UDLD 概述 UDLD 是一个第 2 层协议,可使通过光纤或双绞线以太网电缆连接的设备检测单向链路。每当本地设备收到来自 相邻设备的流量,但邻居未收到来自本地设备的流量时,就发生了单向链路。 UDLD 的目的是检测邻居未收到本地设备流量的端口 (单向链路),并关闭这些端口。 所有连接的设备都必须支持 UDLD,才能让协议成功检测到单向链路。如果仅本地设备支持 UDLD,则设备无法 检测链路状态。在这种情况下,链路的状态将设置为待定。用户可以进行配置,是关闭处于待定状态的端口还是 仅触发通知。 思科 200 系列智能型交换机管理指南 116
端口管理:单向链路检测 UDLD 操作 11 UDLD 操作 UDLD 状态和模式 根据 UDLD 协议,端口将分配以下状态: • 检测 - 系统正在尝试确定链路是双向还是单向。这是一种临时状态。 • 双向 - 本地设备发送的流量会由其邻居接收,且来自邻居的流量会由本地设备接收。 • 关闭 - 链路为单向。本地设备发送的流量会由其邻居接收,但来自邻居的流量未被本地设备接收。 • 待定 - 由于发生了以下情况之一,系统无法确定端口的状态: - 邻居不支持 UDLD。 或 - 邻居未收到来自本地设备的流量。 此时, UDLD 的行为取决于设备的 UDLD 模式,如下所述。 UDLD 支持以下操作模式: • 正常 如果系统确定端口的链路状态为双向并且 UDLD 信息超时,同时端口上的链路仍在运行,则 UDLD 将尝 试重新建立端口状态。 • 积极 如果系统确定端口的链路状态为双向并且 UDLD 信息超时,则 UDLD 将在较长一段时间后可以确定链路 出现故障时关闭该端口。 UDLD 的端口状态将标记为待定。 发生以下一种情况时,端口上将启用 UDLD: • 端口为光纤端口且 UD
端口管理:单向链路检测 UDLD 操作 11 • UDLD 接收来自相邻设备的 UDLD 消息。它会缓存这些信息,直到过期时间 (消息时间的 3 倍)个结 束。如果在过期之前收到新消息,则新消息中的信息将替换旧消息。 • 过期时间结束后,设备会对收到的信息执行以下操作: • - 如果邻居消息包含本地设备 ID - 端口的链路状态将设置为双向。 - 如果邻居消息不包含本地设备 ID - 端口的链路状态将设置为单向,且端口将关闭。 如果在过期时间范围内未从相邻设备收到 UDLD 消息,端口的链路状态将设置为待定,且会发生以下情况: - 如果设备在正常 UDLD 模式下:将发出通知。 - 如果设备在积极 UDLD 模式下:端口将关闭。 如果接口处于双向或待定状态,则设备将每隔消息时间 (秒)就定期发送一条消息。上述步骤将一再重复执行。 已关闭的端口可在“端口管理 > 错误恢复设置”页面手动重新激活。有关详情,请参阅重新激活关闭的端口。 如果一个接口已关闭且 UDLD 已启用,设备将删除所有邻居信息,并向邻居发送至少一条 ULDL 消息,告知它 们端口已关闭。端口开启后, UDLD 状态
端口管理:单向链路检测 使用指南 11 使用指南 思科不建议您在与不支持或禁用 UDLD 的设备连接的端口上启用 UDLD。如果在与不支持 UDLD 的设备连接的 端口上发送 UDLD 数据包,则会导致端口上出现更多流量,不会提供任何益处。 此外,配置 UDLD 时请考虑以下事项: • 根据关闭单向链接端口的紧急程度设置消息时间。消息时间越短,发送和分析的 UDLD 数据包就越多, 但如果链路为单向,则端口关闭的速度就越快。 • 如果希望在铜缆端口上启用 UDLD,则必须在每个端口上启用。如果全局启用 UDLD,则 UDLD 仅会在光 纤端口上启用。 • 如果只希望在确信链路为单向时关闭端口,请将 UDLD 模式设置为正常。 • 如果您希望在单向和双向链路均丢失时才关闭端口,请将 UDLD 模式设置为积极。 与其他功能的依赖性 • UDLD 和第 1 层。 如果 UDLD 已在端口上启用,则 UDLD 会在端口启用时在端口上活跃运行。如果端口关闭, UDLD 会进 入 UDLD 关闭状态。在此状态下, UDLD 会删除所有已学习的邻居。如果端口已从关闭更改为开启, UDLD 会恢复积极运
端口管理:单向链路检测 使用说明 • 11 默认端口 UDLD 状态: - 光纤接口处于全局 UDLD 状态。 - 非光纤接口处于禁用状态。 使用说明 无需执行任何预备任务。 常见 UDLD 任务 本部分介绍设置 UDLD 的一些常见任务。 工作流程 1:要在光纤端口上全局启用 UDLD,请执行以下步骤: 步骤 1 打开端口管理 > UDLD 全局设置页面。 a. 在消息时间字段中输入值。 b. 在“光纤端口 UDLD 默认状态”字段中,输入已禁用、正常或积极作为全局 UDLD 状态。 步骤 2 单击应用 工作流程 2:要更改光纤端口的 UDLD 配置或要在铜缆端口上启用 UDLD,请执行以下步骤: 步骤 1 打开端口管理 > UDLD 全局设置页面。 a. 选择一个端口。 b.
端口管理:单向链路检测 配置 UDLD 11 工作流程 3:要在端口被 UDLD 关闭且未配置自动重新激活的情况下开启端口,请执行以下步骤: 步骤 1 打开端口管理 > 错误恢复设置页面。 a. 选择一个端口。 b.
11 端口管理:单向链路检测 配置 UDLD UDLD 接口设置 使用“UDLD 接口设置”页面更改特定端口的 UDLD 状态。此处的状态可针对铜缆或光纤端口设置。 要将一组特定的值复制到不止一个端口,请设置一个端口的值,并使用复制按钮将其复制到其他端口。 为接口配置 UDLD 的步骤: 步骤 1 单击端口管理 > UDLD > UDLD 接口设置。 系统将针对所有启用了 UDLD 的端口显示信息,或者,如果您仅筛选了某一组端口,则将针对这组端口显示 信息。 • 端口 - 端口标识符 。 • UDLD 状态 - 可能的状态有: - 已禁用 - UDLD 在设备的所有光纤端口上都为禁用状态。 - 正常 - 如果设备检测到链路为单向,则将关闭接口。如果链路为待定,则将发出通知。 - 积极 - 如果链路为单向,设备将关闭接口。如果链路为单向,则在 UDLD 信息超时后,设备将关闭。 端口状态将标记为待定。 • 双向状态 - 为选定端口选择此字段的值。可能的状态包括: - 检测 - 端口的最新 UDLD 状态正在确定过程中。从上次确定 (如有)或 UDLD 开始在端口上运行开 始,过期时间
端口管理:单向链路检测 配置 UDLD 11 UDLD 邻近 查看所有与本地设备连接的设备的步骤: 步骤 1 单击端口管理 > UDLD > UDLD 邻近。 以下字段会对所有启用了 UDLD 的端口显示: • 接口名称 - 启用了 UDLD 的本地端口的名称。 • 邻近信息: • - 设备 ID - 远程设备的 ID。 - 设备 MAC - 远程设备的 MAC 地址。 - 设备名称 - 远程设备的名称。 - 端口 ID - 远程端口的名称。 状态 - 本地端口上本地设备与相邻设备之间的链路状态。可能的值如下所示: - 检测 - 端口的最新 UDLD 状态正在确定过程中。从上次确定 (如有)或 UDLD 开始在端口上运行开 始,过期时间尚未结束,因此,状态还不确定。 - 双向 - 本地设备发送的流量会由其邻居接收,且来自邻居的流量会由本地设备接收。 - 待定 - 端口及其连接端口之间的链路状态无法确定,原因可能为未收到 UDLD 消息,或者 UDLD 消息 中未包含本地设备 ID。 - 已禁用 - UDLD 已在此端口上禁用。 - 关闭 - 由于端口与连接设备
12 智能端口 本文档介绍智能端口功能。 其中包含以下主题: • 综述 • 什么是智能端口 • 智能端口类型 • 智能端口宏 • 宏失败和重置操作 • 智能端口功能如何运作 • 自动智能端口 • 错误处理 • 默认配置 • 与其他功能的关系和向后兼容性 • 常见智能端口任务 • 使用基于 Web 的界面配置智能端口 • 内置智能端口宏 综述 智能端口功能提供了一种简便的方法来保存和共享通用配置。通过将同一智能端口宏应用到多个接口,这些接口 可以共享一组通用配置。 智能端口宏可按与宏关联的智能端口类型应用到接口。 思科 200 系列智能型交换机管理指南 124
智能端口 什么是智能端口 12 可通过两种方法按智能端口类型将智能端口宏应用到接口: • 静态智能端口 - 您可手动将智能端口类型分配到接口。最终将相应的智能端口宏应用到接口。 • 自动智能端口 - 自动智能端口会等待设备连接到接口,然后再应用配置。当从接口检测到设备时,会自动 应用与连接设备的智能端口类型相对应的智能端口宏 (如果已分配)。 智能端口功能包含多种组件,并与设备上的其他功能相互配合。这些组件和功能将在下文予以说明: • 本节介绍了智能端口、智能端口类型和智能端口宏。 • 语音 VLAN 一节中介绍了语音 VLAN 和智能端口。 • 分别在配置 LLDP 和配置 CDP 部分介绍了智能端口 LLDP 和智能端口 CDP。 此外,常见智能端口任务一节还将介绍典型工作流程。 什么是智能端口 智能端口是可应用内置宏的接口。这些宏旨在提供一种快速配置设备的方法,从而支持通信要求并利用各种网络 设备的功能。如果接口与 IP 电话、打印机或路由器和/或接入点 (AP) 连接,网络接入和 QoS 要求可能不同。 智能端口类型 智能端口类型是指已与智能端口连接或将与之连接的设备的类型
12 智能端口 智能端口类型 智能端口类型都进行命名,以便其描述与接口连接的设备类型。每种智能端口类型都与两个智能端口宏关联。其 中一个宏称为“宏”,用于应用所需的配置。另一个宏称为“反宏”,用于在接口成为其他智能端口类型时,撤 销“宏”执行的所有配置。 下表列出了智能端口类型和自动智能端口的关系 智能端口类型 得到自动智能端口支持 默认得到自动智能端口的支持 未知 否 否 默认 否 否 打印机 否 否 台式机 否 否 访客 否 否 服务器 否 否 主机 是 否 IP 摄像机 否 否 IP 电话 是 是 IP 电话台式机 是 是 交换机 是 是 路由器 是 否 无线接入点 是 是 特殊智能端口类型 有两种特殊的智能端口类型;默认和未知。这两种类型不与宏关联,但是它们存在的目的是显示与智能端口有关 的接口状态。 以下是对这些特殊智能端口类型的介绍: • 默认 本身未分配 (尚未分配)智能端口类型的接口具有“默认”智能端口状态。 如果自动智能端口已向接口分配智能端口类型,而该接口未配置为“自动智能端口永久”状态,则其智能 端
12 智能端口 智能端口宏 • 未知 如果将智能端口宏应用到接口后发生错误,该接口将被分配“未知”状态。这种情况下,智能端口和自动 智能端口功能不会在该接口上运行,直到您修正错误,并应用“重置”动作 (在“接口设置”页面执行) 重新设置智能端口状态。 有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分。 注 在本节中,“过期”一词用来描述通过其 TTL 的 LLDP 和 CDP 消息。如果已启用自动 智能端口同时禁用永久状态,且在最新 CDP 和 LLDP 数据包的 TTL 降为 0 之前不再接 收 CDP 或 LLDP 消息,则反宏将运行,同时智能端口类型将返回默认值。 智能端口宏 智能端口宏是 脚本,用来为特定网络设备配置适宜的接口。 智能端口宏不能与全局宏混为一谈。全局宏对设备进行全局配置,而智能端口宏的范围限于所应用的接口。 要查找宏源,可在“智能端口类型设置”页面上单击查看宏源按钮。 宏与对应的反宏相互配对,并与各智能端口类型相关联。宏应用配置,而反宏移除配置。 两个智能端口宏按照其名称配对,如下所示: • macro_name (如:printer) • no_macr
智能端口 宏失败和重置操作 12 宏失败和重置操作 如果接口的现有配置与智能端口宏之间存在冲突,智能端口宏可能失败。 智能端口宏失败时,系统将发送包含以下参数的系统日志消息: • 端口编号 • 智能端口类型 • 宏中失败 CLI 命令的行号 当接口上的智能端口宏失败时,该接口的状态将设为未知。失败原因可显示在“接口设置”页面、显示诊断弹出 窗口上。 在确定问题来源并修正现有配置或智能端口宏之后,必须先对接口执行重置操作,然后才可重新应用智能端口类 型 (在“接口设置”页面中)。有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分。 智能端口功能如何运作 智能端口宏可按或与宏关联的智能端口类型应用到接口。 某些设备不允许使用 CDP 和/或 LLDP 进行搜索,系统会为与这些设备对应的智能端口类型提供支持,因此这些 智能端口类型必须静态分配到所需的接口。要执行此操作,可导航至“接口设置”页面,选择所需接口的单选按 钮,然后单击编辑。接着,选择想要分配的智能端口类型,根据需要调整参数,然后单击应用。 可通过两种方法按智能端口类型将智能端口宏应用到接口: • 静态智能端口 您可手动将智
12 智能端口 自动智能端口 自动智能端口 为使自动智能端口自动向接口分配智能端口类型,必须在全局启用自动智能端口功能的同时还要在允许配置自动 智能端口的相关接口上启用该功能。默认情况下,将启用自动智能端口并且允许配置所有接口。各接口分配的智 能端口类型由各接口上分别接收的 CDP 和 LLDP 数据包决定。 • 如果多个设备与接口连接,适合所有设备的配置模板将应用到接口 (如果可能)。 • 如果设备已过期 (不再接收来自其他设备的通告),接口配置会根据其永久状态进行更改。如果已启用永 久状态,接口配置将得以保留。如果未启用,智能端口类型将恢复为“默认”。 启用自动智能端口 在“属性”页面上,可通过以下方法全局启用自动智能端口: • 已启用 - 这将手动启用自动智能端口,并立即使其生效。 • 通过自动语音 VLAN 启用 - 如果已启用自动语音 VLAN 且其处于运行状态,通过该选项便可运行自动智 能端口。“通过自动语音 VLAN 启用”是默认设置。 注 除全局启用自动智能端口外,您还必须在所需接口启用自动智能端口。默认情况下, 所有接口都启用自动智能端口。 有关启用自动语音 VLAN 的
12 智能端口 自动智能端口 该映射显示于以下各表中: CDP 功能到智能端口类型的映射 功能名 CDP 位 智能端口类型 路由器 0x01 路由器 TB 网桥 0x02 无线接入点 SR 网桥 0x04 忽略 交换机 0x08 交换机 主机 0x10 主机 IGMP 有条件过滤 0x20 忽略 中继器 0x40 忽略 VoIP 电话 0x80 ip_phone 远程管理设备 0x100 忽略 CAST 电话端口 0x200 忽略 二端口 MAC 中继 0x400 忽略 LLDP 功能到智能端口类型的映射 功能名 LLDP 位 智能端口类型 其他 1 忽略 中继器 IETF RFC 2108 2 忽略 MAC 网桥 IEEE 标准802.1D 3 交换机 WLAN 接入点 IEEE 标准802.
12 智能端口 自动智能端口 LLDP 功能到智能端口类型的映射 (续) 功能名 LLDP 位 智能端口类型 VLAN 网桥 IEEE 标准的 S-VLAN 组件 802.1Q 10 交换机 二端口 MAC 中继 (TPMR) IEEE 标准 802.
12 智能端口 错误处理 错误处理 如果智能端口宏无法应用到接口,您可在“接口设置”页面检查故障点,并在“接口设置”页面和“编辑接口设 置”页面修正错误之后,重置端口并重新应用宏。 默认配置 智能端口始终可用。默认情况下,自动智能端口由自动语音 VLAN 启用,并依靠 CDP 和 LLDP 检测连接设备的 智能端口类型,同时检测智能端口类型 IP 电话、 IP 电话 + 台式机、交换机和无线接入点。 有关语音出厂默认设置的说明,请参阅语音 VLAN。 与其他功能的关系和向后兼容性 交换机默认启用自动智能端口,也可禁用该功能。电话 OUI 无法与自动智能端口及自动语音 VLAN 同时运行。 要启用电话 OUI,必须先禁用自动智能端口。 常见智能端口任务 本节介绍一些设置智能端口和自动智能端口的常见任务。 工作流程 1:要在设备上全局启用自动智能端口,以及在端口上配置自动智能端口,请执行以下步骤: 步骤 1 要在设备上启用自动智能端口功能,请打开“智能端口 > 属性”页面。将管理自动智 能端口设为启用或通过语音 VLAN 启用。 步骤 2 选择是否要使设备处理来自连接设备的 CDP 和/或 LLDP
12 智能端口 常见智能端口任务 步骤 8 必要时选中或取消选中永久状态。 步骤 9 单击应用。 工作流程 2:要将接口配置为静态智能端口,请执行以下步骤: 步骤 1 要在接口上启用自动智能端口功能,请打开“智能端口 > 接口设置”页面。 步骤 2 选择接口,然后单击编辑。 步骤 3 在智能端口应用字段中选择要分配给接口的智能端口类型。 步骤 4 根据需要设置宏参数。 步骤 5 单击应用。 工作流程 3:要调整智能端口宏参数默认值,请执行以下步骤: 通过该步骤,您可完成以下操作: • 查看宏源。 • 更改参数默认值。 • 将参数默认值恢复为出厂设置。 1. 打开“智能端口 > 智能端口类型设置”页面。 2. 选择智能端口类型。 3. 单击查看宏源,查看与所选智能端口类型关联的当前智能端口宏。 4. 单击编辑以打开一个新窗口,在该窗口中您可修改与该智能端口类型绑定的宏中的默认参数值。当自动智能 端口将所选智能端口类型 (如适用)应用到某接口时,将使用这些参数默认值。 5. 在“编辑”页面中,修改字段。 6.
智能端口 使用基于 Web 的界面配置智能端口 12 步骤 5 返回主页面并使用重新应用 (适用于非交换机、路由器或 AP 的设备)或重新应用智 能端口宏 (适用于交换机、路由器或 AP)重新应用该宏,从而实现该智能端口宏在 接口上的运行。 第二种重置单一或多个未知接口的方法是: 步骤 1 在“接口设置”页面中,选择与复选框相同的端口类型。 步骤 2 选择未知,然后单击转至。 步骤 3 单击重置所有未知智能端口。然后,按上述重新应用该宏。 提示 该宏运行失败的原因可能是与在应用该宏之前所进行的配置间存在冲突 (最经常遇到 的是与安全性和风暴控制设置间的冲突)、端口类型错误、用户定义的宏中有错字或 错误命令,以及无效的参数设置。在尝试应用宏之前未选中类型及边界参数,因此在 应用宏时,输入错误或无效的参数值几乎必然会导致失败。 使用基于 Web 的界面配置智能端口 智能端口功能在“智能端口 > 属性”、“智能端口类型设置”和“接口设置”页面中进行配置。 有关语音 VLAN 配置的信息,请参阅语音 VLAN。 有关 LLDP/CDP 配置的信息,请分别参阅配置 LLDP 和配置 CDP 部分。 智能端
智能端口 使用基于 Web 的界面配置智能端口 12 • 运行自动智能端口 - 显示自动智能端口状态。 • 自动智能端口设备检测方法 - 选择是否使用传入 CDP、 LLDP 类型的数据包 (或同时使用两种)检测连接 设备的智能端口类型。要使自动智能端口可对设备进行标识,必须至少选中一个类型。 • 运行 CDP 状态 - 显示 CDP 的运行状态。要使自动智能端口根据 CDP 通告检测智能端口类型,请启 用 CDP。 • 运行 LLDP 状态 - 显示 LLDP 的运行状态。要使自动智能端口根据 LLDP/LLDP-MED 通告检测智能端口类 型,请启用 LLDP。 • 自动智能端口设备检测 - 选择各种设备类型,自动智能端口会将智能端口类型分配到这些设备的接口。如 果未选中,则自动智能端口不会将该智能端口类型分配到任何接口。 步骤 3 单击应用。这将在设备上设置全局智能端口参数。 智能端口类型设置 使用“智能端口类型设置”页面,编辑智能端口类型设置并查看宏源。 默认情况下,每种智能端口类型都与一对内置智能端口宏相关联。要进一步了解有关宏与反宏的信息,请参阅智 能端口类型。内置宏或用户
智能端口 使用基于 Web 的界面配置智能端口 • 12 宏参数 - 在宏中显示以下三种参数的字段: - 参数名称 - 宏中的参数名称。 - 参数值 - 宏中的当前参数值。可在此更改该值。 - 参数说明 - 参数说明。 可通过单击恢复默认设置来恢复默认参数值。 步骤 5 单击应用,将更改保存到当前配置。如果修改与智能端口类型关联的智能端口宏和/或 它的参数值,自动智能端口会自动将该宏重新应用到当前已获得由自动智能端口分配 的智能端口类型的接口。自动智能端口不会将更改应用到通过静态分配方式获得智能 端口类型的接口。 注 因为宏参数不存在类型关联,因此无法验证宏参数。此时,输入任何值都是有效 的。但是,当将智能端口类型分配到接口并应用关联的宏时,无效的参数值可能导 致出错。 智能端口接口设置 使用“接口设置”页面可执行以下任务: • 将特定智能端口类型静态应用到接口 (具有接口特定的宏参数值)。 • 在接口上启用自动智能端口。 • 对应用失败并导致智能端口类型变为未知的智能端口宏进行诊断。 • 智能端口宏运行失败后,将其重新应用到以下其中一种接口类型:交换机、路由器和 AP。
智能端口 使用基于 Web 的界面配置智能端口 • 12 选择一个处于连接状态的接口,然后单击重新应用以重新应用最近应用到该接口的宏。 该重新应用操作还会将该接口添加到所有新创建的 VLAN。 步骤 2 智能端口诊断。 如果智能端口宏失败,接口的智能端口类型将为“未知”。选择未知类型的接口,然后单击显示诊断。这会显示 导致宏应用失败的命令。有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分。纠正该问题 后,继续重新应用宏。 步骤 3 将所有未知接口重置为默认类型。 • 选择与复选框相同的端口类型。 • 选择未知,然后单击转至。 • 单击重置所有未知智能端口。然后,按上述重新应用该宏。这样便会在所有类型为“未知”的接口上执行 重置,这也就意味着所有接口将返回到默认类型。修正宏错误或当前接口配置错误 (或二者皆有)后, 可应用新宏。 注 重置未知类型的接口不会重置失败宏所执行的配置。此操作必须通过手动进行。 将智能端口类型分配到接口或在接口上激活自动智能端口的步骤: 步骤 1 选择一个接口,并单击编辑。 步骤 2 输入各个字段。 • 接口 - 选择端口或 LAG。 • 智
12 智能端口 内置智能端口宏 步骤 3 单击重置可将处于“未知”状态 (由未成功应用宏所致)的接口设置为默认接口。该 宏可在主页面上重新应用。 步骤 4 单击应用更新更改,并将智能端口类型分配到接口。 内置智能端口宏 下文介绍各智能端口类型的内置宏对。每种智能端口类型都有一个用于配置接口的宏,以及一个用于移除配置的 反宏。 在此提供以下智能端口类型的宏代码: • 台式机 • 打印机 • 访客 • 服务器 • 主机 • ip_camera • ip_phone • ip_phone_desktop • 交换机 • 路由器 • 接入点 台式机 [ 台式机 ] #interface configuration, for increased network security and reliability when connecting a desktop device, such as a PC, to a switch port.
智能端口 内置智能端口宏 12 smartport switchport trunk native vlan $native_vlan # port security max $max_hosts port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ no_desktop [no_desktop] #macro description No Desktop # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode
智能端口 内置智能端口宏 12 port security mode max-addresses port security discard trap 60 # smartport storm-control broadcast level 10 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ no_printer [no_printer] #macro description No printer # no switchport access vlan no switchport mode # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multica
智能端口 内置智能端口宏 12 smartport storm-control include-multicast smartport storm-control broadcast enable # spanning-tree portfast # @ no_guest]] [no_guest] #macro description No guest # no switchport access vlan no switchport mode # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ 服务器 [ 服务器 ] #macro description server #macro keywords $native_vlan $max_ho
智能端口 内置智能端口宏 12 spanning-tree portfast # @ no_server [no_server] #macro description No server # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level # spanning-tree portfast auto # @ 主机 [ 主机 ] #macro description host #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: 将在端口上配置的 Untagged VL
智能端口 内置智能端口宏 12 no_host [no_host] #macro description No host # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_camera [ip_camera] #macro description ip_camera #macro keywords $native_vlan # #macro key description: $native_vlan: 将在端
智能端口 内置智能端口宏 12 # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_phone [ip_phone] #macro description ip_phone #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: 将在端口上配置的 Untagged VLAN # $voice_vlan: 语音 VLAN ID # $max_hosts: 端口上允许设备的最大数量 #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 #$
智能端口 内置智能端口宏 12 # smartport switchport trunk allowed vlan remove $voice_vlan no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_phone_desktop [ip_phone_desktop] #macro description ip_phone_desktop #macro keywords $native_vlan $voice_v
智能端口 内置智能端口宏 12 #macro keywords $voice_vlan # #macro key description:$voice_vlan: 语音 VLAN ID # #Default Values are #$voice_vlan = 1 # smartport switchport trunk allowed vlan remove $voice_vlan no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast aut
智能端口 内置智能端口宏 12 no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no spanning-tree link-type # @ 路由器 [ 路由器 ] #macro description router #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: 将在端口上配置的 Untagged VLAN # $voice_vlan: 语音 VLAN ID # #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 # #the default mode is trunk smartport switchport trunk allowed vlan add all smartport switchport trunk native vlan $native_vlan #
智能端口 内置智能端口宏 12 no smartport storm-control broadcast level # no spanning-tree link-type # @ 接入点 [ 接入点 ] #macro description ap #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: 将在端口上配置的 Untagged VLAN 思科 200 系列智能型交换机管理指南 148
13 端口管理:PoE 以太网供电 (PoE) 功能仅在基于 PoE 的设备上提供。如需基于 PoE 的设备列表,请参阅“设备型号”一节。 本节介绍如何使用 PoE 功能。 其中包含以下主题: • 设备上的 PoE • PoE 属性 • PoE 设置 设备上的 PoE PoE 设备为供电设备 (PSE),可通过现有的铜质电缆为连接的受电设备 (PD) 供电,而不会影响网络流量,也无需 更新物理网络或修改网络基础架构。 有关各种型号上 PoE 支持的信息,请参阅设备型号。 PoE 功能 PoE 有如下功能: • 可消除为有线 LAN 上的所有设备输送 110/220 V AC 电能的需求。 • 可消除将所有网络设备靠近电源放置的必要性。 • 可消除在企业中部署双线系统的需求,大大降低安装成本。 只要企业网络部署连接到以太网 LAN 的功率相对较低的设备,就可以使用以太网供电,这类低功率设备包括: • IP 电话 • 无线接入点 • IP 网关 • 音频和视频远程监控设备 思科 200 系列智能型交换机管理指南 149
端口管理:PoE 设备上的 PoE 13 PoE 工作 PoE 分以下几个阶段实施: • 检测 - 在铜质电缆上发送特殊脉冲。如果另一端连接了 PoE 设备,该设备会对这些脉冲做出响应。 • 分类 - 检测阶段结束后,开始供电设备 (PSE) 与受电设备 (PD) 之间的协商。在协商过程中, PD 指定其类 别,这是 PD 所耗的最大功率。 • 功耗 - 分类阶段结束后, PSE 将为 PD 供电。如果 PD 支持 PoE,但未进行分类,则会将其假设为类别 0 (最大)。如果 PD 尝试消耗的功率超过了标准所允许的最大功率,则 PSE 会停止为该端口供电。 PoE 支持两种模式: • 端口限制 - 设备同意提供的最大功率取决于系统管理员配置的值,与分类结果无关。 • 类别功率限制 - 设备同意提供的最大功率取决于分类阶段的结果。这表示将根据客户端的请求设置最 大功率。 PoE 配置注意事项 使用 PoE 功能需要考虑两个因素: • PSE 可以提供的功率 • PD 实际尝试消耗的功率 可以进行以下配置: • 允许 PSE 向 PD 提供的最大功率。 • 在设备工作期间,将
13 端口管理:PoE PoE 属性 • 记录停止供电的原因 • 生成 SNMP Trap ! 注意 连接具有 PoE 功能的交换机时,请注意以下事项: PoE 型号的 Sx200、 Sx300 和 SF500 系列交换机为 PSE,可向连接的 PD 供应直流 电。这些设备包括 VoIP 电话、IP 摄像头和无线接入点。PoE 交换机可以检测出非标准 的旧式 PoE PD 并为其供电。由于要支持旧式 PoE,作为 PSE 的 PoE 设备可能会发生 检测错误,将连接的 PSE (包括其他 PoE 交换机)也当成旧式 PD 并为其供电。 尽管 Sx200/300/500 PoE 交换机是 PSE,且因此应采用交流电供电,但它们也可能 由于检测错误而被另一 PSE 当作旧式 PD 供电。发生这种情况时, PoE 设备可能无法 正常工作,并且可能无法正确地为所连接的 PD 供电。 为防止检测错误,您应禁用 PoE 交换机上用于连接 PSE 的端口的 PoE 功能。您还应先 接通 PSE 设备的电源,然后再将其连接至 PoE 设备。如果某设备被错误地检测为 PD,您应断开该设备与 PoE 端口的连接,并
13 端口管理:PoE PoE 设置 • Trap - 启用或禁用 Trap。如果已启用 Trap,您还必须启用 SNMP,并配置至少一个 SNMP 通知接收 设备。 • 功率 Trap 阈值 - 输入使用率阈值,该值为功率限制的百分比。如果功率超过了该值,便会发出告警。 将显示如下计数器: • 标称功率 - 设备可以为连接的所有 PD 提供的总功率。 • 已消耗功率 - 当前由 PoE 端口消耗的功率。 • 可用功率 - 标称功率减去已消耗的功率所得的值。 步骤 3 单击应用,保存 PoE 属性。 PoE 设置 “PoE 设置”页面会显示关于在接口上启用 PoE 和监控每个端口的当前功率使用和最大功率限制的系统 PoE 信息。 本页面会根据供电模式,通过两种方式限制每个端口的功率: • 端口限制:将功率限制为指定的瓦特数。要使这些设置生效,系统必须为 PoE 端口限制模式。该模式在 PoE“属性”页面中进行配置。 当端口消耗的功率超过端口限制时,将会停止为端口供电。 • 类别限制:根据连接的 PD 的类别限制功率。要使这些设置生效,系统必须为 PoE 类别限制模式。该模式 在
13 端口管理:PoE PoE 设置 配置 PoE 端口设置的步骤: 步骤 1 单击端口管理 > PoE > 设置。下面的列表中是关于“端口限制”供电模式的字段。如 果供电模式为“级别限制”,这些字段会略有不同。 步骤 2 选择一个端口,然后单击编辑。 步骤 3 为以下字段输入值: • 接口 - 选择要配置的端口。 • PoE 管理状态 - 在端口上启用或禁用 PoE。 • 电源优先级 - 选择供电不足时使用的端口优先级:低、高或重要。例如,如果供电使用率在 99%,端口 1 的优先级为高,而端口 3 的优先级为低,则将为端口 1 供电,而拒绝为端口 3 供电。 • 管理功率分配 - 仅当在 PoE“属性”页面中将供电模式设置为“端口限制”才会显示该字段。如果供电模 式为“功率限制”,则请输入为该端口分配的功率 (以毫瓦为单位)。 • 最大功率分配 - 仅当在 PoE“属性”页面中将供电模式设置为“功率限制”才会显示该字段。显示在此端 口上所允许的最大功率。 • 功耗 - 显示分配给连接到所选接口的受电设备的功率 (以毫瓦为单位)。 • 类 - 仅当在 PoE“属性”页面中将
13 端口管理:PoE PoE 设置 • 无效签名计数器 - 显示收到无效签名的次数。 PSE 需通过签名来识别受电设备。签名在受电设备的检测、 分类或维护过程中生成。 步骤 4 单击应用。端口的 PoE 设置将写入当前配置文件。 思科 200 系列智能型交换机管理指南 154
14 VLAN 管理 本节包括以下主题: • 综述 • 常规 VLAN • 语音 VLAN 综述 VLAN 是一个端口逻辑组,与其相关联的设备不论连接到桥接网络的哪个物理 LAN 段,都可以通过以太网 MAC 层互相通信。 VLAN 是一个端口逻辑组,与其相关联的设备不论连接到桥接网络的哪个物理 LAN 段,都可以通过以太网 MAC 层互相通信。 VLAN 说明 系统会使用 1 到 4094 之间的值为每个 VLAN 配置一个唯一的 VLAN ID (VID)。如果桥接网络中的设备上的端口 能够向 VLAN 发送数据并从 VLAN 接收数据,则该端口便为该 VLAN 的成员。如果进入 VLAN 的指定给某端口 的所有数据包都不包含 VLAN 标记,则该端口为 VLAN 的 Untagged 成员。如果进入 VLAN 的指定给某端口的 所有数据包都包含 VLAN 标记,则该端口为 VLAN 的 Tagged 成员。一个端口可以仅是一个 Untagged VLAN 的 成员,也可以是多个 Tagged VLAN 的成员。 处于“VLAN 访问”模式的端口只能是一个 VLAN 的成员。处于“一般”模
VLAN 管理 综述 14 如果帧中不包含 VLAN 标记,或者仅为帧添加了优先级标记,则会根据于接收帧的入站端口处配置的 PVID (端 口 VLAN 标识符)将该帧分类为属于某个 VLAN。 如果启用了入站过滤功能,并且入站端口不是数据包所属 VLAN 的成员,则此帧将于入站端口处被丢弃。仅当 帧的 VLAN 标记中的 VID 为 0 时,才会将该帧视为添加了优先级标记。 属于某 VLAN 的帧会始终处于该 VLAN 之内。这可以通过仅向作为目的 VLAN 成员的出站端口发送或转发帧来 实现。出站端口可以是 VLAN 的 Tagged 成员或 Untagged 成员。 出站端口: • 如果出站端口是目的 VLAN 的 Tagged 成员,并且原始帧不包含 VLAN 标记,则会为此帧添加 VLAN 标记。 • 如果出站端口是目的 VLAN 的 Untagged 成员,并且原始帧包含 VLAN 标记,则会删除此帧的 VLAN 标记。 VLAN 角色 所有 VLAN 流量 (单播/广播/组播)均将处于其 VLAN 之内。连接到不同 VLAN 的设备无法通过以太网 MAC 层彼此直接连接。 设备 VL
VLAN 管理 常规 VLAN 14 QinQ 在“VLAN 管理 > 接口设置”页面中启用。 常规 VLAN 本节将介绍用于配置各种 VLAN 的 GUI 页面。本节将介绍以下过程: • VLAN 配置工作流程 • 默认 VLAN 设置 • VLAN 设置 - 创建 VLAN • 接口设置 • VLAN 成员关系 • 端口到 VLAN • 端口 VLAN 成员关系 VLAN 配置工作流程 配置 VLAN 的步骤: 1. 如果需要,按照默认 VLAN 设置一节的说明更改默认 VLAN。 2. 按照 VLAN 设置 - 创建 VLAN 一节的说明,创建所需 VLAN。 3. 按照接口设置一节的说明,根据需要设置 VLAN 相关端口的配置,并在接口上启用 QinQ。 4. 按照端口到 VLAN一节或端口 VLAN 成员关系一节的说明,将接口分配给 VLAN。 5.
14 VLAN 管理 常规 VLAN • 无法为该 VLAN 指定标签。 • 不能为该 VLAN 指定任何特殊的角色(例如未经验证的 VLAN 或语音 VLAN)。这仅适用于已启用 OUI 的 语音 VLAN。 • 如果某端口不再是任何 VLAN 的成员,则设备会自动将该端口配置为默认 VLAN 的 Untagged 成员。在 以下情况下,端口将不再是 VLAN 的成员:VLAN 已被删除或者已将该端口从 VLAN 删除。 如果默认 VLAN 的 VID 发生更改,则在保存配置和重启设备后,设备会在 VLAN 中的所有端口上执行以下操作: • 从原始默认 VLAN 中删除端口的 VLAN 成员关系 (在重启后生效)。 • 将端口的 PVID (端口 VLAN 标识符)更改为新的默认 VLAN 的 VID。 • 从设备上删除原始默认 VLAN ID。该 ID 必须经过重新创建,然后才能使用。 • 将端口添加为新的默认 VLAN 的未添加 VLAN 标记成员。 更改默认 VLAN 的步骤: 步骤 1 单击 VLAN 管理 > 默认 VLAN 设置。 步骤 2 为以下字段输入值:
14 VLAN 管理 常规 VLAN 创建 VLAN 的步骤: 步骤 1 单击 VLAN 管理 > VLAN 设置。 此时将显示所有已定义 VLAN 的信息。字段将在下面的添加页面下进行定义。以下字段不在添加页面上。 • 发起人 - VLAN 的创建方式: - 静态 - VLAN 为用户定义。 - 默认 - VLAN 为默认 VLAN。 步骤 2 单击添加来添加一个或多个新 VLAN。 使用该页面可创建单个 VLAN 或一系列 VLAN。 步骤 3 要创建单个 VLAN,请选择 VLAN 单选按钮,输入 VLAN ID 及 VLAN 名称 (可选)。 要创建一个 VLAN 范围,请选择范围单选按钮,然后通过输入起始 VID 和结束 VID (包含在内)来指定要创建 的 VLAN 的范围。使用范围功能时,一次可以创建的最多 VLAN 数量是 100。 步骤 4 为新 VLAN 添加以下字段: • VLAN 接口状态 - 选择该选项可关闭 VLAN。在此状态下, VLAN 不会接收来自更高级别的消息, • 或将消息传输至更高级别。例如,如果您关闭已配置 IP 接口的 VLAN, •
14 VLAN 管理 常规 VLAN 步骤 4 为以下字段输入值: • 接口 - 选择端口/LAG。 • 接口 VLAN 模式 - 选择 VLAN 的接口模式。选项如下: - 一般 - 接口可以支持 IEEE 802.
14 VLAN 管理 常规 VLAN VLAN-tagged 帧可以通过可识别 VLAN 或无法识别 VLAN 的网络设备传输。如果目的终端节点可识别 VLAN, 但将从 VLAN 接收流量,则上一个可识别 VLAN 的设备 (如果存在)必须将目的 VLAN 的帧发送到 Untagged 终端节点。 端口到 VLAN 使用“端口到 VLAN”页面显示和配置特定 VLAN 中的端口。 将端口或 LAG 映射到 VLAN 的步骤: 步骤 1 单击 VLAN 管理 > 端口到 VLAN。 步骤 2 选择 VLAN 和接口类型 (端口或 LAG)并单击转至,以针对 VLAN 显示或更改端口 特性。 每个端口或 LAG 的端口模式都会显示为从“接口设置”页面配置的目前端口模式 (“访问”、“中继”、“一 般”或“客户”)。 每个端口或 LAG 均将与其对 VLAN 的目前注册一起显示。 步骤 3 通过从以下列表中选择接口名称并选择所需的选项,来更改接口对 VLAN 的注册: • VLAN 模式 - VLAN 中端口的类型。 • 成员关系类型: - 已禁止 - 不允许接口加入 VLAN。如果端口不是任何
14 VLAN 管理 常规 VLAN 端口 VLAN 成员关系 “端口 VLAN 成员关系”页面将显示设备上的所有端口以及一个各端口所属 VLAN 的列表。 如果某接口基于端口的验证方法为 802.
14 VLAN 管理 语音 VLAN 步骤 5 单击应用。将修改设置,并将其写入当前配置文件中。 要查看接口上的管理和运行 VLAN,请单击详情。 语音 VLAN 在 LAN 中,如果 IP 电话、 VoIP 端点等语音设备和语音系统位于同一个 VLAN 中,则这种 VLAN 被称为语音 VLAN。如果语音设备位于不同的语音 VLAN 中,就需要使用 IP (第 3 层)路由器来进行通信。 本节包含以下主题: • 语音 VLAN 概述 • 语音 VLAN 配置 • 电话 OUI 语音 VLAN 概述 本节包含以下主题: • 动态语音 VLAN 模式 • 自动语音 VLAN、自动智能端口、 CDP 和 LLDP • 语音 VLAN QoS • 语音 VLAN 限制 • 语音 VLAN 工作流 下面是使用适当配置的典型语音部署方案: • UC3xx/UC5xx 托管:所有思科电话和 VoIP 端点都支持此部署模型。对于此模型, UC3xx/UC5xx、思 科电话和 VoIP 端点都位于同一个语音 VLAN 中。 UC3xx/UC5xx 语音 VLAN 的默认值为 VLAN
VLAN 管理 语音 VLAN 14 从 VLAN 的角度来看,上述模型可以在可识别 VLAN 和不可识别 VLAN 中运行。在可识别 VLAN 环境中,语音 VLAN是安装中配置的很多 VLAN 中的一个。不可识别 VLAN 方案与可识别 VLAN 相同,只是语音 VLAN 是唯 一一个 VLAN。 设备始终作为可识别 VLAN 交换机运行。 该设备支持单一语音 VLAN。默认情况下,语音 VLAN 为 VLAN 1。语音 VLAN 的默认值为 VLAN 1。您可以手 动配置不同的语音 VLAN。当自动语音 VLAN 启用时,还可以动态学习语音 VLAN。 要将端口手动添加至语音 VLAN,可根据“配置 VLAN 接口设置”一节中所述使用基本 VLAN 配置实现,或者 手动将语音相关的智能端口宏应用到端口。或者,如果该设备处于“电话 OUI”模式,或已启用“自动智能端 口”,您也可以动态添加端口。 动态语音 VLAN 模式 设备支持两种动态语音 VLAN 模式:电话 OUI (组织唯一标识符)模式和自动语音 VLAN 模式。这两种模式将 影响到语音 VLAN 和/或语音 VLAN 端口成员关系的配置。
14 VLAN 管理 语音 VLAN 设备希望附加语音设备向语音 VLAN 发送 Tagged 数据包。在语音 VLAN 同时也是本征 VLAN 的端口上,也可 发送语音 VLAN Untagged 数据包。 自动语音 VLAN、自动智能端口、 CDP 和 LLDP 默认设置 出厂默认情况下,设备上的 CDP、LLDP 和 LLDP-MED 已启用,自动智能端口模式已启用,基本 QoS 连同信任 DSCP 已启用,并且所有端口都是默认 VLAN 1 的成员,其中 VLAN 1 也是默认的语音 VLAN。 此外,动态语音 VLAN 模式默认为根据触发启用,自动智能端口默认为根据自动语音 VLAN 启用。 语音 VLAN 触发 如果动态语音 VLAN 模式为“启用自动语音 VLAN”,则只有出现一个或多个触发时,语音 VLAN 模式才可运 行。触发可以是静态语音 VLAN 配置、在邻居 CDP 通告中接收的语音 VLAN 信息,以及在语音 VLAN 发现协议 (VSDP) 中接收的语音 VLAN 信息。您可以在必要时立即激活自动语音 VLAN,而无需等待触发。 如果根据自动语音 VLAN 模式启用自动智
VLAN 管理 语音 VLAN • 14 当配置/发现新的语音 VLAN 时,设备将自动创建该语音 VLAN,并将现有语音 VLAN 的所有端口成员关 系全部替换为新的语音 VLAN。这可能会中断或终止现有的语音会话,当更改网络拓扑时预期也会导致此 结果。 自动智能端口与 CDP/LLDP 配合使用,可以在从端口检测到语音端点时维护语音 VLAN 的端口成员关系: • 当 CDP 和 LLDP 启用时,设备会定期发送 CDP 和 LLDP 数据包,向使用的语音端点通告语音 VLAN。 • 当连接至某端口的设备通过 CDP 和/或 LLDP 将自身作为一个语音端点通告时,自动智能端口会为该端口 应用相应的智能端口宏,从而自动将该端口添加至语音 VLAN (如果不存在来自该端口的任何其他设备 通告一个冲突或更高级的功能)。如果某设备将自身作为一台电话通告,则默认的智能端口宏是电话。如 果某设备将自身作为电话与主机或者电话与网桥通告,则默认的智能端口宏是电话 + 桌面。 语音 VLAN QoS 语音 VLAN 可通过使用 LLDP-MED 网络策略传递 CoS/802.
14 VLAN 管理 语音 VLAN • 如果转发数据库 (FDB) 可学习 MAC 地址,将接受语音流。(如果 FDB 中没有可用空间,则不会发生任何 操作。) 语音 VLAN 工作流 设备的自动语音 VLAN、自动智能端口、 CDP 和 LLDP 默认设置涵盖大多数常见的语音部署方案。本节介绍了 当未应用默认配置时,如何部署语音 VLAN。 工作流程 1:配置自动语音 VLAN 的步骤: 步骤 1 打开“VLAN 管理 > 语音 VLAN > 属性”页面。 步骤 2 选择语音 VLAN ID。不能将其设置为 VLAN ID 1 (动态语音 VLAN 无需此步骤)。 步骤 3 设置动态语音 VLAN 为“启用自动语音 VLAN”。 步骤 4 选择自动语音 VLAN 激活方法。 注 如果设备目前正处于“电话 OUI”模式中,则您必须先将其禁用,方可配置自动语音 Vlan。 步骤 5 单击应用。 步骤 6 按常见智能端口任务一节中所述配置智能端口。 步骤 7 按配置 LLDP 和配置 CDP 节中所述,分别配置 LLDP/CDP。 步骤 8 使用“智能端口 > 接口设置”页面启用相关端口上的智能端口特
14 VLAN 管理 语音 VLAN 语音 VLAN 配置 本节介绍了如何配置语音 VLAN。其中包含以下主题: • 配置语音 VLAN 属性 • 自动语音 VLAN 设置 • 电话 OUI 配置语音 VLAN 属性 使用“语音 VLAN 属性”页面完成以下操作: • 查看当前语音 VLAN 的配置情况。 • 配置语音 VLAN 的 VLAN ID。 • 配置语音 VLAN QoS 设置。 • 配置语音 VLAN 模式 (电话 OUI 或自动语音 VLAN)。 • 配置自动语音 VLAN 的触发方式。 查看和配置语音 VLAN 属性的步骤: 步骤 1 单击 VLAN 管理 > 语音 VLAN > 属性。 • 语音 VLAN 设置 (管理状态)框中将显示设备上配置的语音 VLAN 设置。 • 语音 VLAN 设置 (运行状态)框中将显示实际应用于语音 VLAN 部署的语音 VLAN 设置。 步骤 2 为以下字段输入值: • 语音 VLAN ID - 输入要作为语音 VLAN 的 VLAN。 注 语音 VLAN ID、CoS/802.
14 VLAN 管理 语音 VLAN • - 启用电话 OUI - 在“电话 OUI”模式中启用动态语音 VLAN。 - 禁用 - 禁用自动语音 Vlan 或电话 OUI。 自动语音 VLAN 激活 - 如果已启用自动语音 VLAN,可以选择以下选项中的一种激活自动语音 VLAN: - 立即 - 如果启用,将立即激活设备上的自动语音 VLAN,并使之生效。 - 通过外部语音 VLAN 触发器 - 只有当设备检测到某设备通告语音 VLAN 时,才能激活设备上的自动语 音 VLAN,并使之生效。 注 手动重新配置语音 VLAN ID、 CoS/802.
14 VLAN 管理 语音 VLAN • 语音 VLAN ID 更改时间 - 上次更新语音 VLAN 的时间。 步骤 2 单击重启自动语音 VLAN,重置语音 VLAN 为默认语音 VLAN,并在 LAN 中的所有已 启用自动语音 VLAN 的交换机上重启自动语音 VLAN 发现流程。 语音 VLAN 本地表会显示设备上配置的语音 VLAN,以及由直连邻居设备通告的任意语音 VLAN 配置。其中包 含以下字段: • 接口 - 显示在其上接收或配置语音 VLAN 配置的接口。如果显示“无”,则表示设备自身已完成配置。如 果显示接口,则表示已从邻居接收语音配置。 • 源 MAC 地址 - 从其接收语音配置的 UC 的 MAC 地址。 • 源类型 - 从其接收语音配置的 UC 的类型。可能的选项有: - 默认 - 设备上的默认语音 VLAN 配置 - 静态 - 设备上用户定义的语音 VLAN 配置。 - CDP - 通告的语音 VLAN 配置正在运行 CDP 的 UC。 - LLDP - 通告的语音 VLAN 配置正在运行 LLDP 的 UC。 - 语音 VLAN ID - 所通
14 VLAN 管理 语音 VLAN 本节包含以下主题: • 电话 OUI 表 • 电话 OUI 接口 电话 OUI 表 使用“电话 OUI”页面可配置电话 OUI QoS 属性。此外,您还可以配置自动成员关系过期时间。如果指定的时 间段内没有电话活动,则该端口将从语音 VLAN 中删除。 使用“电话 OUI”页面可查看现有 OUI,并添加新的 OUI。 配置电话 OUI 和/或添加新的语音 VLAN OUI 的步骤: 步骤 1 单击 VLAN 管理 > 语音 VLAN > 电话 OUI。 “电话 OUI”页面包含以下字段: • 电话 OUI 运行状态 - 显示 OUI 是否用于标识语音流量。 • CoS/802.1p - 选择将要分配给语音流量的 CoS 队列。 • 重新标记 CoS/802.
14 VLAN 管理 语音 VLAN • 说明 - 输入 OUI 名称。 步骤 6 单击应用。将 OUI 添加至电话 OUI 表。 电话 OUI 接口 在以下一种模式下, QoS 属性可按端口分配给语音数据包: • 全部 - 为语音 VLAN 配置的服务质量 (QoS) 值将应用于在接口上收到的被分类为属于语音 VLAN 的所有传 入帧。 • 电话源 MAC 地址 (SRC) - 为语音 VLAN 配置的 QoS 值会应用到分类为属于语音 VLAN,且在源 MAC 地 址中包含一个 OUI,与已配置电话 OUI 相匹配的所有传入帧。 使用“电话 OUI 接口”页面,根据 OUI 标识符将接口添加至语音 VLAN,并配置语音 VLAN 的 OUI QoS 模式。 在接口上配置电话 OUI 的步骤: 步骤 1 单击 VLAN 管理 > 语音 VLAN > 电话 OUI 接口。 “电话 OUI 接口”页面包含所有接口的语音 VLAN OUI 参数。 步骤 2 若要将接口配置为基于电话 OUI 的语音 VLAN 的候选端口,请单击编辑。 步骤 3 为以下字段输入值: • 接口 - 选择接口。
15 生成树 本节介绍了生成树协议 (STP) (IEEE802.1D 和 IEEE802.
生成树 STP 状态和全局设置 15 STP 状态和全局设置 “STP 状态和全局设置”页面包含用于启用 STP 或 RSTP 的参数。 使用“STP 接口设置”页面和“RSTP 接口设置”页面将端口分别配置为相应模式。 设置 STP 状态和全局设置的步骤: 步骤 1 单击生成树 > STP 状态和全局设置。 步骤 2 输入参数。 全局设置: • 生成树状态 - 选择该选项可在设备上启用。 • STP 环回防护 - 选择该选项可在设备上启用环回防护。 • STP 运行模式 - 选择一种 STP 模式。 • BPDU 处理 - 选择在端口或设备上禁用 STP 时如何管理网桥协议数据单元 (BPDU) 数据包。BPDU 用于传 输生成树信息。 • - 过滤 - 在接口上禁用生成树时,过滤 BPDU 数据包。 - 泛洪 - 在接口上禁用生成树时,泛洪 BPDU 数据包。 路径成本默认值 - 选择用于为 STP 端口分配默认路径成本的方式。分配给接口的默认路径成本随选择的方 式而变化。 - 短 - 为端口路径成本指定 1 到 65,535 的范围。 - 长 - 为端口路径成本指定
15 生成树 生成树接口设置 指定的根: • 网桥 ID - 网桥优先级与设备的 MAC 地址串联在一起。 • 根网桥 ID - 根网桥优先级与根网桥的 MAC 地址串联在一起。 • 根端口 - 可提供从该网桥到根网桥的最低成本路径的端口。(这在网桥不为根网桥的情况下效果很显著。) • 根路径成本 - 从该网桥到根网桥的路径成本。 • 拓扑更改总数 - 已发生的 STP 拓扑更改总数。 • 最近拓扑更改 - 自上次拓扑更改发生以来所用的时间间隔。该时间以“天/小时/分钟/秒”的格式显示。 步骤 3 单击应用。 STP 全局设置将写入当前配置文件。 生成树接口设置 使用“STP 接口设置”页面可针对每个端口配置 STP,及查看该协议学习的信息,例如指定的网桥。 输入的定义的配置对于任何模式的 STP 协议均有效。 在接口上配置 STP 的步骤: 步骤 1 单击生成树 > STP 接口设置。 步骤 2 选择一个接口,并单击编辑。 步骤 3 输入参数 • 接口 - 选择要在其上配置生成树的端口或 LAG。 • STP - 在端口上启用或禁用 STP。 • 边缘端口 - 在端口
15 生成树 快速生成树设置 • BPDU 处理 - 选择在端口或设备上禁用 STP 时如何管理 BPDU 数据包。 BPDU 用于传输生成树信息。 - 使用全局设置 - 选择该选项以使用“STP 状态和全局设置”页面中定义的设置。 - 过滤 - 在接口上禁用生成树时,过滤 BPDU 数据包。 - 泛洪 - 在接口上禁用生成树时,泛洪 BPDU 数据包。 • 路径成本 - 设置端口产生的根路径成本,或使用系统生成的默认成本。 • 优先级 - 设置端口的优先级值。如果网桥在一个环路中连接了两个端口,则优先级值会影响端口选择。优 先级是从 0 到 240 的值,设置增量为 16。 • 端口状态 - 显示端口的目前 STP 状态。 - 已禁用 - 目前在端口上禁用 STP。端口在学习 MAC 地址的同时转发流量。 - 阻塞 - 端口目前被阻塞,无法转发流量 (BPDU 数据除外)或学习 MAC 地址。 - 监听 - 端口处于监听模式。端口无法转发流量,也无法学习 MAC 地址。 - 学习 - 端口处于学习模式。端口无法转发流量,但能够学习新的 MAC 地址。 - 转发
15 生成树 快速生成树设置 输入 RSTP 设置的步骤: 步骤 1 单击生成树 > STP 状态和全局设置。启用 RSTP。 步骤 2 单击生成树 > RSTP 接口设置。此时将显示“RSTP 接口设置”页面: 步骤 3 选择一个端口。 注 仅在选择连接至所测试的网桥伙伴的端口之后,“激活协议迁移”才可用。 步骤 4 如果使用 STP 发现了链路伙伴,请单击激活协议迁移运行协议迁移测试。这可确定使用 STP 的链路伙伴是否仍然存在,如果存在,可确定该链路伙伴是否已迁移到 RSTP。如 果其仍作为 STP 链路存在,则设备将继续使用 STP 与其进行通信。或者,如果它已经 迁移到 RSTP,设备将相应地使用 RSTP。 步骤 5 选择一个接口,并单击编辑。 步骤 6 输入参数: • 接口 - 设置接口,并指定要配置 RSTP 的端口或 LAG。 • 点到点管理状态 - 定义点到点的链路状态。定义为全双工的端口会被视为点到点端口链路。 - 启用 - 如果启用了此功能,该端口便是一个 RSTP 边缘端口,它可以迅速地进入转发模式 (通常在 2 秒以内)。 - 禁用 - 不会出于 RSTP 目的
15 生成树 快速生成树设置 • • 快速链路运行状态 - 显示接口上的快速链路 (边缘端口)模式状态:已启用、已禁用或自动。这些值包括: - 已启用 - 启用快速链路。 - 已禁用 - 禁用快速链路。 - 自动 - 在接口开始活动后的几秒内启用快速链路模式。 端口状态 - 显示特定端口上的 RSTP 状态。 - 已禁用 - 目前在端口上禁用 STP。 - 阻塞 - 端口目前被阻塞,其无法转发流量或学习 MAC 地址。 - 监听 - 端口处于监听模式。端口无法转发流量,也无法学习 MAC 地址。 - 学习 - 端口处于学习模式。端口无法转发流量,但能够学习新的 MAC 地址。 - 转发 - 端口处于转发模式。端口可以转发流量且学习新的 MAC 地址。 步骤 7 单击应用。将更新当前配置文件。 思科 200 系列智能型交换机管理指南 178
16 管理 MAC 地址表 本节介绍了如何将 MAC 地址添加到系统。其中包含以下主题: • 静态 MAC 地址 • 动态 MAC 地址 有两种类型的 MAC 地址:静态地址和动态地址。根据 MAC 地址的类型,可将其与 VLAN 和端口信息一起存储 在静态地址表或动态地址表中。 静态地址由用户进行配置,因此不会过期。 在到达设备的帧中显示的新源 MAC 地址会添加到动态地址表中。此 MAC 地址会根据配置保留一段时间。如果在 这段时间结束之前没有使用相同源 MAC 地址的其他帧到达设备,则 MAC 条目将过期并从动态地址表中删除。 当帧到达设备时,设备会搜索静态或动态地址表中响应/匹配的目的 MAC 地址。如果找到匹配项,则将此帧标 记为通过地址表中指定的端口输出。如果帧的目的 MAC 地址不在这两个地址表中,则会将这些帧传输/广播到 相应 VLAN 上的所有端口。此类帧也称为未知的单播帧。 设备最多支持 8,000 个静态和动态 MAC 地址。 静态 MAC 地址 可以将静态 MAC 地址分配给设备上的特定物理接口和 VLAN。如果在其他接口上检测到静态地址,那么,系统 会忽略该地址,也不会将
16 管理 MAC 地址表 动态 MAC 地址 • MAC 地址 - 输入接口 MAC 地址。 • 接口 - 为条目选择一个接口 (端口或 LAG)。 • 状态 - 选择条目的处理方式。选项如下: - 永久 -系统永远不会删除此 MAC 地址。如果静态 MAC 地址保存在启动配置中,则重启后会保留该 地址。 - 重置即删除 - 重置设备时,会删除静态 MAC 地址。 - 超时即删除 - 当该 MAC 地址过期时将其删除。 - 安全 - 当接口为传统锁定模式 (请参阅配置端口安全)时, MAC 地址是安全的。 步骤 4 单击应用。将在地址表中显示一个新条目。 动态 MAC 地址 动态地址表 (桥接表)中包含通过监控进入设备的帧源地址而获取的 MAC 地址。 为了防止此表溢出并为新 MAC 地址腾出空间,如果在特定的时间段 (称为“过期时间”)内没有接收到相应的 流量,系统会删除该地址。 配置动态 MAC 地址过期时间 配置动态地址过期时间的步骤: 步骤 1 单击 MAC 地址表 > 动态地址设置。 步骤 2 在过期时间字段中输入值。过期时间值介于用户配置的值与该值的两倍减 1 之
16 管理 MAC 地址表 动态 MAC 地址 查询动态地址 查询动态地址的步骤: 步骤 1 单击 MAC 地址表 > 动态地址。 步骤 2 在过滤框中,您可以输入以下查询条件: • VLAN ID - 输入要在地址表中查询的 VLAN ID。 • MAC 地址 - 输入要在地址表中查询的 MAC 地址。 • 接口 - 选择要在地址表中查询的接口。查询功能可以搜索特定单元/插槽、端口或 LAG。 步骤 3 单击转至。将对动态 MAC 地址表进行查询并显示结果。 - 要删除所有动态 MAC 地址,请单击清除表。 思科 200 系列智能型交换机管理指南 181
17 组播 本节介绍了组播转发功能,具体包括以下主题: • 组播转发 • 组播属性 • MAC 组地址 • IP 组播组地址 • IPv4 组播配置 • IPv6 组播配置 • IGMP/MLD Snooping IP 组播组 • 组播路由器端口 • 全部转发 • 未注册的组播 组播转发 组播转发实现了一对多的信息传递。组播应用对于将信息传递给多个客户端非常有用,在这种情况下客户端不需 要接收全部内容。类似于有线电视的服务是一种典型应用,在这种情况下客户端可以加入传输中心的频道,并在 结束之前离开。 仅将数据发送给相关端口。仅对相关端口转发数据可节省链接上的带宽和主机资源。 默认情况下,会将所有组播帧泛洪到 VLAN 的所有端口。通过在“组播 > 属性”页面中启用网桥组播过滤状态, 可以选择性地仅转发到相关端口并过滤 (丢弃)其余端口上的组播。 如果启用过滤,则会将多播帧转发到相关 VLAN 中端口的子网,如多播转发数据库 (MFDB) 中所定义。将对所有 流量实施组播过滤。 思科 200 系列智能型交换机管理指南 182
17 组播 组播转发 表示组播成员关系的常见方法是 (S,G) 标记法,其中 S 是指发送数据组播流的 (单个)源, G 是指 IPv4 或 IPv6 组地址。如果组播客户端可以从特定组播组的任何源接收组播流量,则保存为 (*,G)。 可以配置以下组播帧转发方法之一: • MAC 组地址 - 根据以太网帧中的目的 MAC。 注 可将一个或多个 IP 组播组地址映射至一个 MAC 组地址。根据 MAC 组地址进行转发,可导致 IP 组 播流被转发至没有流接收器的端口。 • IP 组地址 - 根据 IP 数据包的目的 IP 地址 (*,G)。 • 源特定 IP 组地址 - 根据 IP 数据包的目的 IP 地址和源 IP 地址 (S,G)。 IGMPv3 和 MLDv2 支持 (S,G),而 IGMPv1/2 和 MLDv1 仅支持恰好为组 ID 的 (*.
17 组播 组播转发 组播注册 (IGMP/MLD Snooping) 组播注册是监听组播注册协议并对其作出响应的程序。提供的协议有针对 IPv4 的 IGMP 和针对 IPv6 的 MLD 协议。 当在 VLAN 上启用设备中的 IGMP/MLD Snooping 时,该设备会分析其接收的所有 IGMP/MLD 数据包 (来自连 接到设备的 VLAN 和网络中的组播路由器)。 当设备了解到主机正在使用 IGMP/MLD 消息进行注册以接收组播流时 (或者从特定源进行接收),该设备会在 其 MFDB 中添加注册。 系统可支持以下版本: • IGMP v1/v2/v3 • MLD v1/v2 注 设备仅在静态 VLAN 上支持 IGMP/MLD Snooping。它不支持动态 VLAN 上的 IGMP/ MLD Snooping。 全局启用 IGMP/MLD Snooping 后,所有 IGMP/MLD 数据包都将被转发至 CPU。 CPU 则会分析传入的数据包, 然后确定以下信息: • 哪些端口要求加入哪个 VLAN 上的哪些组播组。 • 将哪些端口连接到了生成 IGMP/MLD 查询的组播
17 组播 组播转发 - 通过取得 32 个低序位组播地址并添加前缀 33:33,可映射 IPv6。例如,会将 IPv6 组播地址 FF00:1122:3344 映射至第 2 层组播 33:33:11:22:33:44。 IGMP/MLD 代理 IGMP/MLD 代理是一种简单的 IP 组播协议。 使用 IGMP/MLD 代理复制设备上的组播流量 (例如,边缘盒),可以大大简化这些设备的设计和实施。不支持 更加复杂的组播路由协议,如协议独立组播 (PIM) 或距离矢量组播路由协议 (DVMRP),不仅减少了设备的成本, 而且也减少了运行开销。另一项优点在于可以让代理设备不受核心网络路由器使用的组播路由协议影响。因而可 以将代理设备轻松部署到任何组播网络中。 IGMP/MLD 代理树 IGMP/MLD 代理在一个简单的树拓扑中工作,无需运行复杂的组播路由协议 (例如, PIM)。这足以基于学习组 成员关系信息和代理组成员关系信息使用简单的 IPM 协议,并基于这些信息转发组播路由数据包, 此树必须通过在每台代理设备上指定上游和下游接口来手动配置。此外,还应配置适用于代理树拓扑的 IP 寻址 方案,确保
17 组播 组播属性 组播属性 启用组播过滤并选择转发方法的步骤: 步骤 1 单击组播 > 属性。 步骤 2 输入参数。 • 网桥组播过滤状态 - 选择该选项可启用过滤功能。 • VLAN ID - 选择 VLAN ID 可设置其转发方法。 • IPv6 的转发方法 - 将以下方法之一设置为 IPv6 地址的转发方法:“MAC 组地址”、“IP 组地址”或“源特 定 IP 组地址”。 • IPv4 的转发方法 - 将以下方法之一设置为 IPv4 地址的转发方法:“MAC 组地址”、“IP 组地址”或“源 特定 IP 组地址”。 步骤 3 单击应用。将更新当前配置文件。 MAC 组地址 “MAC 组地址”页面具有以下功能: • 查询并查看来自组播转发数据库 (MFDB) 的与特定 VLAN ID 或特定 MAC 地址组相关的信息。可通过 IGMP/MLD Snooping 动态获取或通过手动输入静态获取此数据。 • 添加或删除 MFDB 的静态条目,该 MFDB 可根据 MAC 目的地址来静态转发信息。 • 显示作为每个 VLAN ID 和 MAC 地址组成员的所有端口/LAG
17 组播 IP 组播组地址 此时将显示在此页面和“IP 组播组地址”页面创建的条目。对于那些在“IP 组播组地址”页面中创建的条目,IP 地址将转换为 MAC 地址。 步骤 4 单击添加以添加静态 MAC 组地址。 步骤 5 输入参数。 • VLAN ID - 定义新组播组的 VLAN ID。 • MAC 组地址 - 定义新组播组的 MAC 地址。 步骤 6 单击应用, MAC 组播组将保存至当前配置文件中。 要配置和显示组中接口的注册,请选择一个地址,然后单击详情。 该页面显示: • VLAN ID - 定于组播组的 VLAN ID。 • MAC 组地址 - 组的 MAC 地址。 步骤 7 从过滤器:接口类型菜单选择端口或 LAG。 步骤 8 单击转至以显示 VLAN 的端口或 LAG 成员关系。 步骤 9 选择每个接口与组播组进行关联的方法: • 静态 - 将接口作为静态成员连接到组播组。 • 动态 - 表示由于 IGMP/MLD Snooping 已将接口添加到组播组。 • 已禁止 - 指定禁止此端口加入此 VLAN 上的这个组播组。 • 无 - 指定端口目前不是此
17 组播 IP 组播组地址 定义和查看 IP 组播组的步骤: 步骤 1 单击组播 > IP 组播组地址。 该页面包含通过 Snooping 学习的所有 IP 组播组地址。 步骤 2 输入进行过滤所需的参数。 • VLAN ID 为 - 定义要显示的组的 VLAN ID。 • IP 版本为 - 选择 IPv6 或 IPv4。 • IP 组播组地址为 - 定义要显示的组播组的 IP 地址。这仅在转发模式为 (S,G) 时才相关。 • 源 IP 地址为 - 定义发送设备的源 IP 地址。如果模式为 (S,G),则输入发送者 S。这与 IP 组地址一起作为要 显示的组播组 ID (S,G)。如果模式为 (*.
17 组播 IPv4 组播配置 • 无 - 表示端口目前不是此 VLAN 上该组播组的成员。默认情况下选定此项,直到选择“静态”或“已 禁止”。 步骤 9 单击应用。将更新当前配置文件。 IPv4 组播配置 以下页面用于配置 IPv4 组播配置: • IGMP Snooping 配置 • IGMP VLAN 设置 IGMP Snooping 配置 要支持选择的 IPv4 组播转发,必须启用网桥组播过滤 (在“组播 > 属性”页面中),并且必须在 IGMP Snooping 页面中针对每个相关 VLAN 全局启用 IGMP Snooping。 在 VLAN 上启用 IGMP Snooping 并识别作为 IGMP Snooping 查询器的设备的步骤: 步骤 1 单击组播 > IPv4 组播配置 > IGMP Snooping。 全局启用 IGMP Snooping 时,监控网络流量的设备可确定哪些主机已请求接收组播流量。仅当同时启用 IGMP Snooping 和网桥组播过滤时,设备才会执行 IGMP Snooping。 步骤 2 启用或禁用以下功能: • IGMP Snooping 状
17 组播 IPv6 组播配置 步骤 5 按照以上说明输入参数。 步骤 6 单击应用。将更新当前配置文件。 注 IGMP Snooping 定时器配置中的更改,如“查询健壮性”、“查询间隔”等,在已创 建的定时器上不起作用。 IGMP VLAN 设置 在特定 VLAN 上配置 IGMP 的步骤: 步骤 1 单击组播 > IPv4 组播配置 > IGMP VLAN 设置。 对于每个启用了 IGMP 的 VLAN,将显示以下字段: • 接口名称 - 在其中定义 IGMP Snooping 的 VLAN。 • 路由器 IGMP 版本 - IGMP Snooping 的版本。 • 查询健壮性 - 输入链路上的预期数据包丢失数。 • 查询间隔 (秒) - 当此设备是选择的查询器时要使用的普通查询的时间间隔。 • 查询最大响应间隔 (秒) - 用来计算插入定期普通查询的最大响应代码的延迟时间。 • 最近成员查询间隔 (毫秒) - 输入要使用的最大响应延迟时间 (如果设备无法从所选查询器发送的特定于组 的查询读取最大响应时间值)。 步骤 2 选择一个接口并单击“Edit”。输入上述字段的值。
17 组播 IPv6 组播配置 在 VLAN 上启用 MLD Snooping 并进行配置的步骤: 步骤 1 单击组播 > IPv6 组播配置 > MLD Snooping。 全局启用 MLD Snooping 时,监控网络流量的设备可确定哪些主机已请求接收组播流量。如果同时启用了 MLD Snooping 和网桥组播过滤,则设备将执行 MLD Snooping。 步骤 2 启用或禁用以下功能: • MLD Snooping 状态 - 选择该选项可在所有接口上全局启用 MLD Snooping。 步骤 3 要在接口上配置 MLD 代理,请选择一个静态 VLAN 并单击编辑。输入以下字段: • MLD Snooping 状态 - 选择该选项可在 VLAN 上启用 MLD Snooping。设备会监控网络流量,以确定哪些 主机已要求接收组播流量。仅当同时启用 MLD Snooping 和网桥组播过滤时,设备才会执行 MLD Snooping。 • 组播路由器端口自动学习 - 选择该选项可启用组播路由器的自动学习。 • 立即离开 - 选择该选项可使交换机删除从转发表发送离开消息的接口,而不必首
组播 IGMP/MLD Snooping IP 组播组 17 MLD VLAN 设置 在特定 VLAN 上配置 MLD 的步骤: 步骤 1 单击组播 > IPv6 组播配置 > MLD VLAN 设置。 对于每个启用了 MLD 的 VLAN,将显示以下字段: • 接口名称 - 显示其 MLD 信息的 VLAN。 • 路由器 MLD 版本 - MLD 路由器的版本。 • 查询健壮性 - 输入链路上的预期数据包丢失数。 • 查询间隔 (秒) - 当此设备是选择的查询器时要使用的普通查询的时间间隔。 • 查询最大响应间隔 (秒) - 用来计算插入定期普通查询的最大响应代码的延迟时间。 • 最近成员查询间隔 (毫秒) - 输入要使用的最大响应延迟时间 (如果设备无法从所选查询器发送的特定于组 的查询读取最大响应时间值)。 步骤 2 要配置某个 VLAN,请选中该 VLAN,然后单击编辑。输入上述字段。 步骤 3 单击应用。将更新当前配置文件。 IGMP/MLD Snooping IP 组播组 “IGMP/MLD Snooping IP 组播组”页面显示从 IGMP/MLD 消息学习的 I
17 组播 组播路由器端口 • VLAN ID 为 - 定义要查询的 VLAN ID。 步骤 4 单击转至。将为每个组播组显示以下字段: • VLAN - VLAN ID。 • 组地址 - 组播组 MAC 地址或 IP 地址。 • 源地址 - 所有指定组端口的发送者地址。 • 包括的端口 - 组播流目的端口的列表。 • 排除的端口 - 不包括在组中的端口的列表。 • 兼容模式 - 通过设备在 IP 组地址上接收的主机注册的最旧版本的 IGMP/MLD。 组播路由器端口 组播路由器 (Mrouter) 端口是连接至组播路由器的端口。当设备转发组播流和 IGMP/MLD 注册消息时,会包括组 播路由器端口编号。为使所有组播路由器都可以反过来将组播流转发到其他子网并将注册消息传递到其他子网, 这是必需的。 静态配置或动态监测端口连接至组播路由器的步骤: 步骤 1 单击组播 > 组播路由器端口。 步骤 2 输入以下查询过滤条件的一部分或全部: • VLAN ID 为 - 为介绍的路由器端口选择 VLAN ID。 • IP 版本为 - 选择组播路由器支持的 IP 版本。 •
17 组播 全部转发 • 无 - 端口当前不是组播路由器端口。 步骤 5 单击应用更新设备。 全部转发 使用“全部转发”页面,可以配置要从特定 VLAN 接收组播流的端口和/或 LAG。此功能需要在“属性”页面中 启用网桥组播过滤。如果禁用网桥组播过滤,则所有组播流量均会被泛洪到设备中的所有端口。 如果连接到端口的设备不支持 IGMP 和/或 MLD,您可以将该端口静态配置为“全部转发”。 IGMP 或 MLD 消息不会被转发到定义为全部转发的端口。 注 该配置仅会影响作为所选 VLAN 的成员的端口。 定义“全部转发”组播的步骤: 步骤 1 单击组播 > 全部转发。 步骤 2 定义以下选项: • VLAN ID 为 - 将显示的端口/LAG 的 VLAN ID。 • 接口类型为 - 定义显示端口还是 LAG。 步骤 3 单击转至。此时将显示所有端口/LAG 的状态。 步骤 4 选择要通过使用以下方法来定义为“全部转发”的端口/LAG: • 静态 - 端口接收所有组播流。 • 已禁止 - 端口无法接收任何组播流,即使 IGMP/MLD Snooping 已指定端口加入组播组。 •
17 组播 未注册的组播 未注册的组播 此功能可用于确保客户仅接收请求的组播组 (已注册),而不接收可能在网络中传输的其他组播组 (未注册)。 通常会将未注册的组播帧转发到 VLAN 中的所有端口。 您可以选择一个端口来接收或拒绝 (过滤)未注册的组播流。该配置适用于其端口为成员 (或将成为成员)的 任何 VLAN。 定义未注册的组播设置的步骤: 步骤 1 单击组播 > 未注册的组播。 步骤 2 选择接口类型为 - 查看端口或 LAG。 步骤 3 单击转至。 步骤 4 定义以下选项: • 端口/LAG - 显示端口 ID 或 LAG ID。 • 显示所选接口的转发状态。可能的值包括: - 转发 - 可将未注册的组播帧转发到选择的接口。 - 过滤 - 可过滤 (拒绝)到所选接口的未注册的组播帧。 步骤 5 单击应用。将保存设置,并更新当前配置文件。 思科 200 系列智能型交换机管理指南 195
18 IP 配置 IP 接口地址由用户手动配置或由 DHCP 服务器自动配置。本节介绍关于手动定义设备 IP 地址,或通过将设备设 置为 DHCP 客户端来定义其 IP 地址的信息。 本节包含以下主题: • 综述 • IPv4 管理和接口 • 域名 综述 第 2 层 IP 寻址 此类设备在管理 VLAN 中最多有一个 IPv4 地址和两个 IPv6 接口 (“本地”接口或隧道)。此 IP 地址和默认网 关可手动配置,也可由 DHCP 进行配置。静态 IP 地址和默认网关在“IPv4 接口”页面上进行配置。设备使用默 认网关 (如果已配置)来和与该设备位于不同 IP 子网的设备进行通信。默认情况下, VLAN 1 为管理 VLAN, 但可修改此设置。仅可通过设备的管理 VLAN 在配置的 IP 地址上访问设备。 IPv4 地址配置的出厂默认设置为 DHCPv4。这表示设备被用作 DHCPv4 客户端,并在启动期间发出 DHCPv4 请求。 如果设备收到 DHCPv4 服务器使用 IPv4 地址进行的 DHCPv4 响应,它会发送地址解析协议 (ARP) 数据包,来 确认该 IP 地址是唯一的。如果
IP 配置 综述 18 设备的 IP 地址分配规则如下: • 除非使用静态 IPv4 地址配置设备,否则设备会发出 DHCPv4 查询,直到收到 DHCPv4 服务器的响应。 • 如果设备上的 IP 地址发生更改,设备会向相应的 VLAN 发出免费 ARP 数据包,来检查 IP 地址冲突问题。 将设备恢复到默认 IP 地址时,此规则也适用。 • 收到来自 DHCP 服务器的新的唯一 IP 地址时,系统状态 LED 会产生变化。如果已设置静态 IP 地址,则 系统状态 LED 也会变为以绿色持续亮起。如果设备正获取 IP 地址并且当前正在使用出厂默认 IP 地址 192.168.1.
18 IP 配置 IPv4 管理和接口 IPv4 管理和接口 在第 2 层系统模式下定义 IPv4 接口 要使用基于 Web 的配置实用程序管理设备,必须定义并知道 IPv4 设备管理 IP 地址。设备 IP 地址可以手动配置 或从 DHCP 服务器自动获得。 配置 IPv4 设备 IP 地址的步骤: 步骤 1 单击管理 > 管理接口 > IPv4 接口。 步骤 2 为以下字段输入值: • 管理 VLAN - 选择用于通过 Telnet 或 Web GUI 访问设备的管理 VLAN。 VLAN1 为默认的管理 VLAN。 • IP 地址类型 - 选择以下其中一个选项: - 动态 - 使用 DHCP 从管理 VLAN 发现 IP 地址。 - 静态 - 手动定义静态的 IP 地址。 注 如果设备为 DHCP 客户端,则支持 DHCP 选项 12(主机名选项)。如果 DHCP 选项 12 是从 DHCP 服 务器获取的,则会保存为该服务器的主机名。设备不会发出 DHCP 选项 12 请求。无论哪种请求, DHCP 服务器均必须配置为发送选项 12,才能使用此功能。 要配置静态 IP 地址,请配
18 IP 配置 IPv4 管理和接口 如果从 DHCP 服务器检索动态 IP 地址,请选择以下启用的字段: • 立即更新 IP 地址 - 可在 DHCP 服务器分配 IP 地址后的任何时间更新设备动态 IP 地址。请注意,根据您的 DHCP 服务器配置,设备可能会在续订后收到新的 IP 地址,从而需要将基于 Web 的配置实用程序设置为 新的 IP 地址。 • 通过 DHCP 进行自动配置 - 显示自动配置功能的状态。您可以通过管理 > 文件管理 > DHCP 自动配置配置 此功能。 步骤 3 单击应用。 IPv4 接口设置将写入当前配置文件。 - 本地 - 表示该路由为本地路径。该类型不能选择,而是由系统创建。 ARP 设备会为位于其直接连接的 IP 子网内的所有已知设备维护一个 ARP (地址解析协议)表。直接连接的 IP 子网 是指设备的 IPv4 接口所连接的子网。当设备需要将数据包发送/路由至本地设备时,它会搜索 ARP 表以取得该 设备的 MAC 地址。ARP 表包含静态地址和动态地址。静态地址是手动配置的,不会过期。设备会根据其收到的 ARP 数据包创建动态地址。动态地址会在超
18 IP 配置 IPv4 管理和接口 • MAC 地址 - IP 设备的 MAC 地址。 • 状态 - 是手动输入条目还是动态学习条目。 步骤 4 单击添加。 步骤 5 输入参数: • IP 版本 - 主机支持的 IP 地址格式。仅支持 IPv4 格式。 • 接口 - 显示管理 VLAN ID。 对于处于第 2 层模式下的设备,只有一个直接连接的 IP 子网,该 IP 子网始终位于管理 VLAN 中。ARP 表 中的所有静态地址和动态地址都位于管理 VLAN 中。 • IP 地址 - 输入本地设备的 IP 地址。 • MAC 地址 - 输入本地设备的 MAC 地址。 步骤 6 单击应用。 ARP 条目将保存至当前配置文件。 IPv6 全局配置 定义 IPv6 全局参数和 DHCPv6 客户端设置的步骤: 步骤 1 单击管理 > 管理接口 > IPv6 全局配置。 步骤 2 为以下字段输入值: • ICMPv6 限速 单位时间间隔 - 输入生成 ICMP 错误消息的频率。 • ICMPv6 限速 单位时间间隔最大消息数 - 输入在每个间隔时间内设备可发送的 ICMP 错误消
18 IP 配置 IPv4 管理和接口 IPv6 接口 可以在端口、 LAG、 VLAN、环回接口或隧道上配置 IPv6 接口。 与其他类型的接口不同,隧道接口应先在“IPv6 隧道”页面进行创建,然后在此页面中的隧道上配置 IPv6 接口。 定义 IPv6 接口的步骤: 步骤 1 单击管理 > 管理接口 > IPv6 接口。 步骤 2 单击应用配置默认区域。 步骤 3 单击添加,在启用了 IPv6 的接口上添加新的接口。 步骤 4 填写以下字段: • IPv6 接口 - 选择 IPv6 地址的具体端口、 LAG、 VLAN、环回接口或 ISATAP 隧道。 步骤 5 要将接口配置为 DHCPv6 客户端,即使接口能够接收来自 DHCPv6 服务器的信息 (例如SNTP 配置和 DNS 信息),请输入 DHCPv6 客户端字段: • 无状态 - 选择该字段可将接口启用为无状态 DHCPv6 客户端。这样可支持从 DHCP 服务器接收配置信息。 • 最小信息刷新时间 - 此值用于设定刷新时间值的下限。如果服务器发送的刷新时间选项小于此值,则将使 用此值。选择无限期 (除非服务器发送此选项,否则不
18 IP 配置 IPv4 管理和接口 步骤 8 单击 IPv6 地址表可为接口手动分配 IPv6 地址 (如果需要)。有关该页面的描述,请 参阅“定义 IPv6 地址”一节。 步骤 9 要添加隧道,请选择 IPv6 隧道表中的一个接口 (在“IPv6 接口”页面定义为隧道), 然后单击 IPv6 隧道表。请参阅 IPv6 隧道 步骤 10 按重新启动按钮开始刷新接收自 DHCPv6 服务器的无状态信息。 DHCPv6 客户端详细信息 详细信息按钮显示接口上接收自 DHCPv6 服务器的信息。 当所选接口定义为 DHCPv6 无状态客户端时,该按钮可用。 按下按钮后,将显示以下字段 (针对接收自 DHCP 服务器的信息): • DHCPv6 运行模式 - 满足以下条件时显示“已启用”: - 接口已启用。 - 已启用 IPv6。 - 已启用 DHCPv6 无状态客户端。 • 无状态服务 - 客户端是否定义为无状态 (从 DHCP 服务器接收配置信息)。 • 最小信息刷新时间 - 见上文。 • 信息刷新时间 - 见上文。 • 已接收的信息刷新时间 - 从 DHCPv6 服务器
18 IP 配置 IPv4 管理和接口 IPv6 隧道 隧道实现了 IPv6 数据包在 IPv4 网络上的传输。每个隧道都有一个源 IPv4 地址,如果是手动隧道,还有一个目 的 IPv4 地址。 IPv6 数据包封装在这些地址之间。 ISATAP 隧道 可在设备上配置的隧道类型称为站内自动隧道寻址协议 (ISATAP) 隧道,是一种点对多点隧道。源地址是设备的 IPv4 地址。 配置 ISATAP 隧道时,目的 IPv4 地址由路由器提供。请注意以下方面: • 会将 IPv6 链路本地地址分配给 ISATAP 接口。会将初始 IP 地址分配给该接口,然后再启用该接口。 • 如果一个 ISATAP 接口处于活动状态,则会使用 ISATAP 至 IPv4 映射,通过 DNS 来解析 ISATAP 路由器 IPv4 地址。如果未解析 ISATAP DNS 记录,则会在主机映射表中搜索 ISATAP 主机名至地址映射。 • 如果未通过 DNS 过程解析 ISATAP 路由器 IPv4 地址,则 ISATAP IP 接口仍处于活动状态。但是,系统没 有用于 ISATAP 流量的默认路由器,直到解析 D
18 IP 配置 IPv4 管理和接口 • ISATAP 请求间隔 - 没有 ISATAP 路由器处于活动状态时,ISATAP 路由器请求消息之间的秒数。该间隔可 以为默认值或用户定义的间隔。 • ISATAP 健壮性 - 用于计算 DNS 或路由器请求查询的间隔。数字越大,查询越频繁。 注 如果 IPv4 接口不在使用中,则 ISATAP 隧道不可用。 步骤 3 单击应用。隧道将保存至当前配置文件。 注 要创建 ISATAP 隧道,请单击创建 ISATAP 隧道按钮。ISATAP 隧道将使用源 IPv4 地址 自动创建。创建 ISATAP 隧道后,此按钮将变为删除 ISATAP 隧道。单击此按钮可删 除 ISATAP 隧道。 注 要关闭隧道,请单击编辑并取消选择“隧道状态”。 定义 IPv6 地址 为 IPv6 接口分配 IPv6 地址的步骤: 步骤 1 单击管理 > 管理接口 > IPv6 地址 步骤 2 要过滤表格,请选择一个接口名称,然后单击转至。会在“IPv6 地址表”中显示该 接口。 步骤 3 单击添加。 步骤 4 为以下字段输入值。 • IPv6 接口 - 显示在其上定义 I
18 IP 配置 IPv4 管理和接口 以下类型的地址可以添加到各种类型的隧道: - 添加到手动隧道 - 全局或任播地址 - 添加到 ISATAP 隧道 - 含 EUI-6 的全局地址 - 6to4 隧道 - 无 • 前缀长度 - 全局 IPv6 前缀的长度,是 0-128 间的值,表示构成前缀 (地址的网络部分)的地址高位的连 续位数。 • EUI-64 - 选择该选项可使用 EUI-64 参数来根据设备的 MAC 地址,使用 EUI-64 格式标识全局 IPv6 地址 的接口 ID 部分。 步骤 5 单击应用。将更新当前配置文件。 IPv6 默认路由器列表 使用“IPv6 默认路由器列表”页面可配置和查看默认 IPv6 路由器地址。该列表中包含一些候选路由器,这些路 由器可能成为用于非本地流量 (可能为空)的设备默认路由器。设备会从列表中随机选择一个路由器。设备支 持一个静态 IPv6 默认路由器。动态默认路由器是将路由器通告发送给设备 IPv6 接口的路由器。 添加或删除 IP 地址时,会发生以下事件: • 删除 IP 接口时,所有默认路由器 IP 地址都会被删除。无法删除动态
18 IP 配置 IPv4 管理和接口 • 状态 - 指定路由器状态。这些值包括: - 可以访问 - 已知可以访问路由器。 - 无法访问 - 已知无法访问路由器。 步骤 2 单击添加以添加静态默认路由器。 步骤 3 输入以下字段: • 链路本地接口 (第 2 层) - 显示传出链路本地接口。 • 默认路由器 IPv6 地址 - 默认路由器的 IP 地址 步骤 4 单击应用。默认路由器将保存至当前配置文件。 定义 IPv6 邻居信息 使用“IPv6 邻居”页面可以配置和查看 IPv6 接口上的 IPv6 邻居列表。 IPv6 邻居表 (也称为 IPv6 邻居发现缓 存)会显示与设备位于同一 IPv6 子网内的 IPv6 邻居的 MAC 地址。该表格是与 IPv4 ARP 表格对等的 IPv6 表 格。当设备需要与其邻居进行通信时,设备会使用 IPv6 邻居表来根据邻居的 IPv6 地址确定 MAC 地址。 该页面会显示自动检测条目或手动配置条目的邻居。每个条目都会显示与该邻居相连接的接口、该邻居的 IPv6 地址和 MAC 地址、条目类型 (静态或动态)以及该邻居的状态。 定义 IPv6
18 IP 配置 IPv4 管理和接口 • 状态 - 指定 IPv6 邻居状态。这些值包括: - 不完整 - 正在解析地址。邻居尚未作出响应。 - 可以访问 - 已知可以访问邻居。 - 过时 - 无法访问之前已知的邻居。在必须发送流量之前不会执行任何操作来验证其可访问性。 - 延迟 - 无法访问之前已知的邻居。接口处于“延迟”状态 (根据预定义的延迟时间)。如果收不到任 何可访问性确认,状态将更改为“探测”。 • 探测 - 无法再访问邻居,并且正发送单播邻居请求探测器,以确认可访问性。 路由器 - 指定邻居是否为路由器 (是或否)。 步骤 2 要将邻居添加到表格中,请单击添加。 步骤 3 为以下字段输入值: • 接口 - 要添加的相邻 IPv6 接口。 • IPv6 地址 - 输入为该接口分配的 IPv6 网络地址。该地址必须为有效的 IPv6 地址。 • MAC 地址 - 输入映射到指定 IPv6 地址的 MAC 地址。 步骤 4 单击应用。将更新当前配置文件。 步骤 5 要将 IP 地址类型从动态更改为静态,请选择地址,然后单击编辑,并使用“编辑 IPv6 邻居”页
18 IP 配置 IPv4 管理和接口 查看 IPv6 路由表 IPv6 转发表包括多个已配置的路由。其中一个路由是默认路由 (IPv6 address:0),该路由使用从“IPv6 默 认路由器列表”中选择的默认路由器,将数据包传送给与设备不在同一 IPv6 子网内的目的设备。除了包含默 认路由之外,该表格还包含动态路由,这些动态路由是使用 ICMP 重定向消息从 IPv6 路由器接收的 ICMP 重 定向路由。如果设备使用的默认路由器不是将流量传输到设备要与其进行通信的 IPv6 子网的路由器,则会发 生这种情况。 查看 IPv6 路由的步骤: 步骤 1 单击管理 > 管理接口 > IPv6 路由。 此页面显示了以下字段: • IPv6 地址 - IPv6 子网地址。 • 前缀长度 - 目的 IPv6 子网地址的 IP 路由前缀长度。它前面有一个正斜杠。 • 接口 - 用于转发数据包的接口。 • 下一跳 - 将数据包转发到的地址。通常,该地址为相邻路由器的地址。可采用以下类型之一。 - 链路本地 - IPv6 接口和 IPv6 地址用于唯一识别单条网络链路上的主机。链路本地地址具有前
18 IP 配置 域名 域名 域名系统 (DNS) 会将域名转换为 IP 地址,以找到这些主机并对其进行寻址。 作为一个 DNS 客户端,设备可通过使用一个或多个配置的 DNS 服务器将域名解析为 IP 地址。 DNS 设置 使用“DNS 设置”页面可启用 DNS 功能、配置 DNS 服务器,以及设置设备使用的默认域名。 步骤 1 单击 IP 配置 > 域名系统 > DNS 设置。 步骤 2 输入参数。 • DNS - 选择该选项可将设备指定为一个 DNS 客户端,它可通过一个或多个配置的 DNS 服务器将 DNS 名 称解析为 IP 地址。 • 轮询重试次数 - 输入在设备决定 DNS 服务器不存在之前向 DNS 服务器发送 DNS 查询的次数。 • 轮询超时 - 输入设备等待 DNS 查询响应的时间 (以秒为单位)。 • 轮询间隔 - 输入超出重试次数后设备发送 DNS 查询数据包的间隔时间 (以秒为单位)。 - 使用默认设置 - 选择使用默认值。 此值 = 2 * (轮询重试次数 + 1) * 轮询超时 • 用户定义 - 选择该选项可输入用户定义的值。 默认参数 - 输入以
18 IP 配置 域名 输入参数。 • IP 版本 - 为 IPv6 选择“版本 6”,或为 IPv4 选择“版本 4”。 • IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并 且只能用于本地网络上的通信。仅支持一个链路本地地址。如果接口上存在链路本地地址,此条目会 替换配置中的地址。 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。 • 链路本地接口 - 如果 IPv6 地址类型为“链路本地”,请选择接收的接口。 • DNS 服务器 IP 地址 - 输入 DNS 服务器的 IP 地址。 • 偏好 - 选择可确定域使用顺序 (从低到高)的值。该选项可有效确定在 DNS 查询过程中不合格名称的完 成顺序。 步骤 5 单击应用。 DNS 服务器将保存至当前配置文件。 搜索列表 搜索列表包含一个由用户使用“DNS 设置”页面定义的静态条目和接收自 DHCPv4 与 DHCPv6 服务器的动 态条目。 查看设备上已
18 IP 配置 域名 • 动态条目 - 这些映射可以在用户使用后由系统添加,也可以是 DHCP 针对设备上配置的每个 IP 地址添加 的条目。可以有 256 条动态条目。 名称解析始终从检查这些静态条目开始、然后继续检查动态 DNS 条目,最后向外部 DNS 服务器发送请求。 可以针对每个主机名的每个 DNS 服务器支持 8 个 IP 地址。 添加主机名及其 IP 地址的步骤: 步骤 1 单击 IP 配置 > 域名系统 > 主机映射。 步骤 2 如果需要,选择清除表选项,以清除主机映射表中的部分或全部条目。 • 仅静态 - 删除静态主机。 • 仅动态 - 删除动态主机。 • 全部动态和静态 - 删除静态和动态主机。 主机映射表将显示以下字段: • 主机名 - 用户定义的主机名或完全合格的名称。 • IP 地址 - 主机 IP 地址。 • IP 版本 - 主机 IP 地址的 IP 版本。 • 类型 - 对缓存而言是动态还是静态条目。 • 状态 - 显示尝试访问主机的结果 - 确定 - 尝试已成功。 - 负高速缓存 - 尝试失败,请勿再次尝试。 - 未响应 -
18 IP 配置 域名 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。 • 链路本地接口 - 如果 IPv6 地址类型为“链路本地”,请选择接收的接口。 • 主机名 - 输入用户定义的主机名或完全合格的名称。主机名只能包含从 A 到 Z 的 ASCII 字母、数字 0 到 9、下划线和连字符。句点 (.
19 安全 本节介绍设备安全和访问控制。系统可处理多种类型的安全。 以下主题列表描述了本节中所介绍的多种类型的安全功能:某些功能用于多种类型的安全或控制,因此它们会在 下面的主题列表中出现两次。 以下各节介绍了管理设备的权限: • 配置安全性 • 配置 RADIUS • 管理访问方法 • 管理访问验证 • 安全敏感数据管理 • SSL 服务器 以下各节介绍了针对设备 CPU 的防攻击保护: • 配置 TCP/UDP 服务 • 定义风暴控制 以下各节介绍了如何通过设备控制终端用户对网络的访问: • 管理访问方法 • 管理访问方法 • 配置 RADIUS • 配置端口安全 • 802.
19 安全 配置安全性 配置安全性 默认的用户名/密码为 cisco/cisco。第一次使用默认用户名和密码登录时,您需要输入新密码。默认情况下, 将启用密码复杂性设置。如果您选择的密码不够复杂 (已在“密码强度”页面中启用密码复杂性设置),系统将 提示您创建其他密码。 设置用户帐户 使用“用户帐户”页面可添加有权访问设备 (只读或读写)的用户,或更改现有用户的密码。 添加用户后 (如下所述),将从系统中移除默认用户。 注 系统不允许删除所有用户。如果选择所有用户,删除按钮会被禁用。 添加新用户的步骤: 步骤 1 单击管理 > 用户帐户。 此页面显示系统中定义的用户及其用户权限等级。 步骤 2 选择密码恢复服务,启用此功能。当此功能启用时,具有设备 Console 端口物理访问 权限的最终用户可以进入引导菜单,并触发密码恢复流程。当引导系统流程结束时, 您无需密码验证即可登录该设备。只有通过 Console,且只有当该 Console 连接至具 有物理访问权限的设备时,才可以进入该设备。 禁用密码恢复机制时,依然可用访问启动菜单,您可以触发密码恢复流程。区别在于,在此情况下,在系统引导 进程期间将
19 安全 配置安全性 设置密码强度规则 密码用于验证访问设备的用户。简单的密码可能会危害安全。因此,默认情况下,将实施密码复杂性要求,并可 在必要时进行配置。密码复杂性要求在密码强度页面上进行配置,该页面可通过安全下拉菜单打开。此外,还可 以在此页面上配置密码过期时间。 定义密码复杂性规则的步骤: 步骤 1 单击安全 > 密码强度。 步骤 2 输入以下密码过期参数: • 密码过期 - 如果选择此选项,则当密码过期时间到期时,系统将提示用户更改密码。 • 密码过期时间 - 输入在提示用户更改密码之前可经过的天数。 注 密码过期时间适用于零长度密码 (无密码)。 步骤 3 选择密码复杂性设置启用密码复杂性规则。 如果已启用密码复杂性,新密码必须符合下列默认设置: • 密码最小长度为 8 个字符。 • 包含至少三个字符类别的字符 (大写字母、小写字母、数字和标准键盘上可用的特殊字符)。 • 不同于当前密码。 • 不得包含连续重复 3 次以上的字符。 • 不能与用户名重复,不能是以反向顺序排列的用户名,或者是通过更改字符大小写产生的任意变体。 • 不能与制造商名重复,不能是以反向
19 安全 配置 RADIUS 配置 RADIUS 远程授权拨入用户服务 (RADIUS) 服务器提供了集中的 802.1X 或基于 MAC 的网络访问控制。设备是一种 RADIUS 客户端,可以使用 RADIUS 服务器来提供集中的安全保护。 组织可建立远程身份验证拨入用户服务 (RADIUS) 服务器,为所有设备提供集中的 802.1X 或基于 MAC 的网络 访问控制。通过这种方式,对组织内所有设备的验证和授权可在一台服务器上执行。 设备可作为 RADIUS 客户端工作,使用 RADIUS 服务器执行以下服务: • 验证 - 对使用用户名和用户定义的密码登录到设备的常规用户和 802.
19 安全 配置 RADIUS 注 如果配置了多个 RADIUS 服务器,设备将使用已配置的可用 RADIUS 服务器优先级选 择设备要使用的 RADIUS 服务器。 设置 RADIUS 服务器参数的步骤: 步骤 1 单击安全 > RADIUS。 步骤 2 若需要,输入默认的 RADIUS 参数。在“默认参数”中输入的值适用于所有服务器。 如果没有 (在“添加 RADIUS 服务器”页面中)为特定服务器输入值,则设备将使用 这些字段中的值。 • 重试次数 - 输入在认为已发生故障之前发送到 RADIUS 服务器之请求的传输次数。 • 应答超时 - 输入设备在重试查询或转换到下一个服务器之前等待从 RADIUS 服务器中返回响应的秒数。 • 无响应时间 - 输入服务请求绕过无响应 RADIUS 服务器之前经过的分钟数。如果值为 0,则表示未绕过服 务器。 • 密钥字符串 - 输入用于在设备与 RADIUS 服务器之间进行验证和加密的默认密钥字符串。此密钥必须与在 RADIUS 服务器上配置的密钥相匹配。密钥字符串用于加密使用 MD5 进行的通信。密钥可以以加密或明 文的形式进行输入。如果您
19 安全 管理访问方法 • 链路本地接口 - 从列表中选择链路本地接口 (如果选择的 IPv6 地址类型为“链路本地”)。 • 服务器 IP 地址/名称 - 按照 IP 地址或名称输入 RADIUS 服务器。 • 优先级 - 输入服务器的优先级。优先级可确定设备尝试联系服务器以验证用户的顺序。设备将首先从优先 级最高的 RADIUS 服务器开始。 0 代表最高优先级。 密钥字符串 - 输入用于验证和加密在设备与 RADIUS 服务器之间通信的密钥字符串。此密钥必须与在 RADIUS 服务器上配置的密钥相匹配。密钥可以加密或明文形式输入。如果选择使用默认设置,设备将尝 试使用默认的密钥字符串验证 RADIUS 服务器。 • 应答超时 - 选择用户定义并输入设备在重试查询或切换到下一个服务器 (如果已达最大重试次数)之前等 待 RADIUS 服务器返回响应的秒数。如果选择使用默认设置,设备将使用默认的超时值。 • 验证端口 - 输入用于验证请求的 RADIUS 服务器端口 UDP 端口号。 • 帐务端口 - 输入用于帐务请求的 RADIUS 服务器端口 UDP 端口号。 • 重试次
19 安全 管理访问方法 规则由包括以下元素的过滤器组成: • 访问方法 - 访问和管理设备的方法: - 超文本传输协议 (HTTP) - 安全 HTTP (HTTPS) - 简单网络管理协议 (SNMP) - 以上全部 • 操作 - 允许或拒绝访问接口或源地址。 • 接口 - 被允许或拒绝访问基于 Web 的配置实用程序的端口、 LAG 或 VLAN。 • 源 IP 地址 - 可允许访问的 IP 地址或子网。 当前选中的访问模板 “访问模板”页面可显示已定义的访问模板,并可用来选择一个将要处于活动状态的访问模板。 当用户尝试通过一种访问方法访问设备时,设备需要查看活动的访问模板是否明确允许通过此方法对设备进行管 理访问。如果找不到匹配项,则拒绝进行访问。 当访问设备的尝试违反了活动的访问模板时,设备会生成一条系统日志消息来向系统管理员发送有关该尝试的 警报。 有关详情,请参阅定义模板规则。 使用“访问模板”页面可以创建访问模板,并添加第一个规则。如果访问模板只包含一个规则,则添加工作即已 完成。若要向模板添加其他规则,请使用“模板规则配置”页面。 步骤 1 单击安全 > 管
19 安全 管理访问方法 • 规则优先级 - 输入规则优先级。当数据包与规则相匹配时,系统会允许或拒绝用户组访问设备。由于根据 首次匹配原则对数据包进行匹配,因此在将数据包与规则进行匹配时,规则优先级至关重要。 1 代表最高 优先级。 • 管理方法 - 选择为其定义了规则的管理方法。选项如下: • • - 全部 - 将所有管理方法分配给规则。 - HTTP - 符合 HTTP 访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝。 - 安全 HTTP (HTTPS) - 符合 HTTPS 访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝。 - SNMP - 符合 SNMP 访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝。 操作 - 选择规则所关联的操作。选项如下: - 允许 - 如果用户与模板中的设置相匹配,则允许该用户访问设备。 - 拒绝 - 如果用户与模板中的设置不匹配,则拒绝该用户访问设备。 应用到接口 - 选择规则所关联的接口。选项如下: - 全部 - 适用于所有端口、 VLAN 和 LAG。 - 用户定义 - 适用于选中的接口
19 安全 管理访问方法 定义模板规则 访问模板最多可包含 128 个规则,以确定有权管理和访问设备的人以及可能使用的访问方法。 访问模板中的每个规则均包含要匹配的操作和条件 (一个或多个参数)。每个规则均具有优先级;会首先检查优 先级最低的规则。如果传入数据包与规则相匹配,则会执行与规则相关联的操作。如果在活动的访问模板中找不 到匹配的规则,则会丢弃数据包。 例如,您可以限制所有 IP 地址对设备的访问,仅允许分配到 IT 管理中心的 IP 地址访问设备。这样一来,仍可以 管理设备,并使其获得另一层的安全。 将模板规则添加到访问模板的步骤: 步骤 1 单击安全 > 管理访问控制 > 模板规则。 步骤 2 选择“过滤器”字段,然后选择一个访问模板。单击转至。 选择的访问模板将显示在模板规则表中。 步骤 3 单击添加添加一条规则。 步骤 4 输入参数。 • 访问模板名称 - 选择一个访问模板。 • 规则优先级 - 输入规则优先级。当数据包与规则相匹配时,系统会允许或拒绝用户组访问设备。由于根据 首次匹配原则对数据包进行匹配,因此在将数据包与规则进行匹配时,规则优先级至关重要。 • 管理方法 -
19 安全 管理访问验证 • 应用到源 IP 地址 - 选择访问模板适用的源 IP 地址类型。源 IP 地址字段适用于子网。请选择以下其中一 个值: - 全部 - 适用于所有类型的 IP 地址。 - 用户定义 - 仅适用于在该字段中定义的 IP 地址类型。 • IP 版本 - 选择支持的源地址 IP 版本:IPv6 或 IPv4。 • IP 地址 - 输入源 IP 地址。 • 掩码 - 为源 IP 地址选择子网掩码的格式,并在以下其中一个字段中输入值: - 网络掩码 - 选择源 IP 地址所归属的子网,并按照点分十进制格式输入子网掩码。 - 前缀长度 - 选择前缀长度,并输入组成源 IP 地址前缀的位数。 步骤 5 单击应用,将规则添加到访问模板。 管理访问验证 您可以为各种管理访问方法分配验证方法,例如 SSH、 Console、 HTTP 和 HTTPS。可以在本地或在 RADIUS 服务器上执行此验证。 如果启用授权,系统会验证用户的身份和读/写权限。如果未启用授权,系统仅验证用户的身份。 使用的授权/验证方法取决于选择验证方法的顺序。如果第一种验证方法不可用,则使用选择
19 安全 安全敏感数据管理 步骤 4 使用箭头在可选方法列与选定的方法列之间移动授权/验证方法。系统按照方法的显示 顺序尝试各个方法。 步骤 5 使用箭头在可选方法列与选定的方法列之间移动验证方法。选择的第一种方法即为使 用的第一种方法。 • RADIUS - 在 RADIUS 服务器上对用户进行授权/验证。您必须已配置了一个或多个 RADIUS 服务器。为 了使 RADIUS 服务器能够授予对基于 Web 的配置实用程序的访问权限, RADIUS 服务器必须返回 ciscoavpair = shell:priv-lvl=15。 • 无 - 允许用户在未经授权/验证的情况下访问设备。 • 本地 - 根据存储在本地设备上的数据检查用户名和密码。这些用户名和密码对是在“用户帐户”页面中 定义的。 注 必须始终最后选择本地或无验证方法。在本地或无之后选择的所有验证方法均会被忽略。 步骤 6 单击应用。选择的验证方法将与访问方法相关联。 安全敏感数据管理 请参阅安全:安全敏感数据管理。 SSL 服务器 本节介绍安全套接字层 (SSL) 功能。 SSL 概述 安全套接字层 (SSL) 功能用于
19 安全 SSL 服务器 要使用用户创建的证书打开 HTTPS 会话,请执行以下操作: 1. 生成证书。 2. 请求 CA 认证证书。 3.
19 安全 SSH 客户端 • 证书请求 - 显示按生成证书请求按钮时创建的密钥。 步骤 5 单击生成证书请求。此操作将会生成密钥,必须在证书颁发机构 (CA) 中输入该密钥。 从证书请求字段复制该密钥。 导入证书的步骤: 步骤 1 单击安全 > SSL 服务器 > SSL 服务器验证设置。 步骤 2 单击导入证书。 步骤 3 输入以下字段: • 证书 ID - 选择活动证书。 • 证书来源 - 显示证书为用户定义。 • 证书 - 复制到已收到证书中。 • 导入 RSA 密钥对 - 选择此项可复制到新 RSA 密钥对中。 • 公共密钥 - 复制到 RSA 公共密钥中。 • 专用密钥 (加密模式) - 选择并复制到加密形式的 RSA 专用密钥中。 • 专用密钥 (明文模式) - 选择并复制到明文形式的 RSA 专用密钥中。 步骤 4 单击应用将更改应用到当前配置。 步骤 5 单击将敏感数据显示为加密模式可以加密模式显示此密钥。单击此按钮后,专用密钥 会以加密形式写入配置文件 (单击“应用”后)。当文本以加密形式显示时,此按钮 会变为将敏感数据显示为明文模式,让您可以再次以明
安全 配置 TCP/UDP 服务 19 设备可提供以下 TCP/UDP 服务: • HTTP - 出厂默认设置为启用 • HTTPS - 出厂默认设置为启用 • SNMP - 出厂默认设置为禁用 此窗口中还会显示活动的 TCP 连接。 配置 TCP/UDP 服务的步骤: 步骤 1 单击安全 > TCP/UDP 服务。 步骤 2 根据显示的服务启用或禁用以下 TCP/UDP 服务。 • HTTP 服务 - 表示 HTTP 服务是处于启用状态还是禁用状态。 • HTTPS 服务 - 表示 HTTPS 服务是处于启用状态还是禁用状态。 • SNMP 服务 - 表示 SNMP 服务是处于启用状态还是禁用状态。 步骤 3 单击应用。服务将写入当前配置文件中。 TCP 服务表显示了每个服务的以下字段: • 服务名称 - 设备正通过其提供 TCP 服务的访问方法。 • 类型 - 服务所使用的 IP 协议。 • 本地 IP 地址 - 设备正通过其提供服务的本地 IP 地址。 • 本地端口 - 设备正通过其提供服务的本地 TCP 端口。 • 远程 IP 地址 - 正请求服务的远程
19 安全 定义风暴控制 定义风暴控制 接收到广播帧、组播帧或未知的单播帧后,系统会对它们进行复制,并将副本发送到所有可能的出口端口。这意 味着,实际上已将它们发送到属于相关 VLAN 的所有端口。这样一来,一个入口帧会转变为多个入口帧,因此 会产生流量风暴隐患。 您可以通过风暴保护来限制进入设备的帧数,并定义计入此限制的帧类型。 如果广播、组播或未知单播帧速率高于用户定义的阈值,超过阈值的帧将被丢弃。 定义风暴控制的步骤: 步骤 1 单击安全 > 风暴控制。 在“编辑风暴控制”页面中,对此页面上除风暴控制速率阈值 (%) 之外的所有字段进行了介绍。它显示了在端口 上应用风暴控制之前未知的单播、组播和广播数据包的总可用带宽的百分比。默认值为端口最大速率的 10%, 它是在“编辑风暴控制”页面中设置的。 步骤 2 选择一个端口,然后单击编辑。 步骤 3 输入参数。 • 接口 - 选择已启用风暴控制的端口。 • 风暴控制 - 选择该选项可启用风暴控制。 • 风暴控制速率阈值 - 输入可用来转发未知数据包的最大速率。此阈值的默认值为 10,000 (针对 FE 设备) 和 100,000 (针对
19 安全 配置端口安全 端口安全具有四种模式: • 传统锁定 - 端口上学习的所有 MAC 地址均被锁定,并且端口未学习任何新 MAC 地址。学习的地址不会 过期或无需重新学习。 • 有限动态锁定 - 设备学习的 MAC 地址数不超过配置的允许地址极限。达到极限之后,设备不会学习其他 地址。在这种模式下,地址不会过期且无需重新学习。 • 永久安全 - 保持当前的动态 MAC 地址与端口相关联,并最多学习端点上允许的最大地址数量 (由允许的 最大地址数量设定)。禁用重新学习和老化。 • 重置即安全删除 - 重置后删除当前与端口相关联的动态 MAC 地址。新的 MAC 地址可作为重置即删除地 址学习,数量最多为端口上允许的最大地址数量。禁用重新学习和老化。 当在新 MAC 地址未经授权的端口 (该端口已按照传统模式进行锁定且具有新 MAC 地址,或者该端口已被动态 锁定且已超过了允许地址的最大数量)上检测到来自该地址的帧时,会调用保护机制,并且可能会执行以下操作 之一: • 丢弃帧 • 转发帧 • 关闭端口 当在另一个端口上发现安全 MAC 地址时,将转发帧,但不会学习该端口上的
19 安全 802.
安全 DoS 防护 19 SCT 确保设备可以接收和处理管理和协议流量,无论收到的总流量为多少。这可通过限制流向 CPU 的 TCP 流 量速率来实现。 该功能与其他功能间没有交互。 SCT 可在“DoS > DoS 防护 > 安全套件设置”页面中进行监控 (详情按钮)。 DoS 攻击类型 DoS 攻击可通过以下方式发起 (仅列举部分): • TCP SYN 数据包 - TCP SYN 数据包洪流 (通常带有错误的发送者地址)可引发攻击。每个数据包通过发 回 TCP/SYN-ACK 数据包 (确认)并等待来自发送者地址的数据包 (响应 ACK 数据包)导致设备生成 半开放式连接。但是,由于发送者地址是错误的,所以永远不会收到响应。这种半开放式连接导致设备原 先可提供的可用连接数减少,因此无法响应合法请求。此外, CPU 可接收的潜在数据包数量有限,而攻 击流量可能会占用此数据包数量。 可在“SYN 保护”页面阻塞这些数据包。 • TCP SYN-FIN 数据包 - 发送 SYN 数据包可创建新的 TCP 连接。发送 TCP FIN 数据包可关闭连接。不能 存在同时带有 SYN 和 FIN 标签的数
19 安全 DoS 防护 • 默认启用 SYN-FIN 防护 (即使已禁用 DoS 防护)。 • 如果启用了 SYN 保护,默认设置为“报告”。默认阈值为每秒 30 个 SYN 数据包。 • 默认情况下,其他所有 DoS 防护功能均为禁用状态。 配置 DoS 防护 可使用以下页面配置此功能。 安全套件设置 配置 DoS 防护全局设置并监控 SCT 的步骤: 步骤 1 单击安全 > DoS 防护 > 安全套件设置,此时将显示安全套件设置。 CPU 保护机制:已启用表示 SCT 已启用。 步骤 2 单击 CPU 使用率旁边的详情,以转到“CPU 使用率”页面并查看 CPU 资源利用率 信息。 步骤 3 单击 TCP SYN 保护旁边的编辑,以转到“SYN 保护”页面并启用此功能。 SYN 保护 在 SYN 攻击中,黑客可能利用网络端口对设备进行攻击,这将消耗 TCP 资源 (缓存)和 CPU 功率。 由于 CPU 使用 SCT 进行保护,流向 CPU 的 TCP 流量会受到限制。但是,如果一个或多个端口受到高速 SYN 数据包的攻击, CPU 仅接收攻击程序的数据包,从而导致拒绝服务。 使
19 安全 DoS 防护 • SYN 保护阈值 - SYN 数据包阻塞前每秒可通过的 SYN 数据包数 (将对端口应用符合 MAC-to-me 规则的 拒绝 SYN)。 步骤 3 单击应用。将定义 SYN 保护,并更新当前配置文件。 SYN 保护接口表显示以下针对各端口或 LAG (根据用户请求)的字段。 • • 当前状态 - 接口状态。可能的值包括: - 正常 - 此端口上未发现攻击。 - 被攻击 - 此端口上发现攻击。 上一个攻击 - 系统发现上一个 SYN-FIN 攻击并采取系统操作 (已报告)的日期。 思科 200 系列智能型交换机管理指南 232
20 安全:802.1x 验证 本部分介绍 802.1X 验证。 其中包含以下主题: • 802.1X 概述 • 验证方概述 • 常见任务 • 通过 GUI 进行 802.1X 配置 802.1X 概述 802.1x 验证可限制未经授权的客户端通过可公开访问的端口连接到局域网。 802.
安全:802.1x 验证 802.1X 概述 20 网络设备可以作为每个端口的客户端/请求方或验证方,或者兼此二职。 客户端或请求方 客户端或请求方是请求访问局域网的网络设备。客户端连接到验证方。 如果客户端使用 802.1x 协议进行验证,则它会运行 802.1x 协议的请求方部分以及 EAP 协议的客户端部分。 验证方 验证方是提供网络服务的网络设备,是请求方端口连接的对象。 以下端口验证模式可受支持 (这些模式在“安全 > 802.1X > 主机和会话验证”中设置): • 单个主机 - 以每个端口单个客户端的方式支持基于端口的验证。 • 多个主机 - 以每个端口多个客户端的方式支持基于端口的验证。 • 多会话 - 以每个端口多个客户端的方式支持基于客户端的验证。 有关详情,请参阅端口主机模式。 在基于 802.1x 的验证中,验证方从 802.
安全:802.1x 验证 验证方概述 20 验证方概述 端口管理验证状态 端口管理状态可确定客户端是否已被授予访问网络的权限。 端口管理状态可在“安全 > 802.1X > 端口验证”页面配置。 可用值如下: • 强制授权 端口验证禁用,并且端口会根据其静态配置传输所有流量,无需请求任何验证。交换机在收到 802.1x EAPOL-start 消息时,会发送带有 EAP success 消息的 802.1x EAP 数据包。 此为默认状态。 • 强制未授权 端口验证禁用,并且端口会通过访客 VLAN 以及未经验证的 VLAN 传输所有流量。有关详情,请参阅定 义主机和会话验证。交换机在收到 802.1x EAPOL-Start 消息时,会发送带有 EAP failure 消息的 802.1x EAP 数据包。 • 自动 根据配置的端口主机模式和端口上配置的验证方法启用 802.1 x 验证。 端口主机模式 端口可置于以下端口主机模式 (在“安全 > 802.
安全:802.
安全:802.1x 验证 验证方概述 20 如下所示: 图1 基于 802.1x 的验证 如标准中所述,设备支持 802.1x 验证机制,以便对 802.
安全:802.1x 验证 常见任务 20 常见任务 工作流程 1:在端口上启用 802.1x 验证: 步骤 1 单击安全 > 802.1X > 属性。 步骤 2 启用基于端口的验证。 步骤 3 选择验证方法。 步骤 4 单击应用,将更新当前配置文件。 步骤 5 单击安全 > 802.1X > 主机和会话验证。 步骤 6 选择所需端口,然后单击编辑。 步骤 7 选择主机验证模式。 步骤 8 单击应用,将更新当前配置文件。 步骤 9 单击安全 > 802.1X > 端口验证。 步骤 10 选择一个端口,然后单击编辑。 步骤 11 将“管理端口控制”字段设置为自动。 步骤 12 定义验证方法。 步骤 13 单击应用,将更新当前配置文件。 工作流程 2:配置 Trap 步骤 1 单击安全 > 802.1X > 属性。 步骤 2 选择所需 Trap。 步骤 3 单击应用,将更新当前配置文件。 工作流程 3:配置基于 802.1x 的验证 步骤 1 单击安全 > 802.1X > 端口验证。 步骤 2 选择所需端口,然后单击编辑。 步骤 3 输入对端口必填的字段。 此页面中的字段如802.
安全:802.1x 验证 通过 GUI 进行 802.1X 配置 20 工作流程 4:配置静默期 步骤 1 单击安全 > 802.1X > 端口验证。 步骤 2 选择一个端口,然后单击编辑。 步骤 3 在“静默期”字段中输入静默期。 步骤 4 单击应用,将更新当前配置文件。 通过 GUI 进行 802.1X 配置 定义 802.1X 属性 802.1X“属性”页面用于在全局启用 802.1X,并定义端口如何进行验证。要发挥 802.1X 的作用,必须在每个 端口上全局且单独地激活 802.1X。 定义基于端口的验证的步骤: 步骤 1 单击安全 > 802.1X > 属性。 步骤 2 输入参数。 • 基于端口的验证 - 启用或禁用基于端口的验证。 如果禁用此选项,则 802.
安全:802.1x 验证 通过 GUI 进行 802.1X 配置 20 802.1X 端口验证 “端口验证”页面可配置每个端口的 802.1X 参数。因为仅当端口处于强制授权状态时,某些配置更改才有可能 实现,例如主机验证,因此我们建议您在进行更改之前,将端口控制更改为“强制授权”。完成配置之后,将端 口控制恢复为以前状态。 注 其上定义了 802.1x 的端口不能成为 LAG 的成员。 定义 802.1X 验证的步骤: 步骤 1 单击安全 > 802.
安全:802.1x 验证 通过 GUI 进行 802.1X 配置 • 20 验证方状态 - 显示定义的端口授权状态。选项如下: - 初始化 - 处于启动阶段。 - 强制授权 - 受控的端口状态设置为“强制授权” (转发流量)。 注 如果端口未处于“强制未授权”状态,则处于自动模式下,且验证方会显示进行中的验证状态。对 端口进行验证之后,状态会显示为“已验证”。 • 时间范围 - 在已启用 802.
20 安全:802.1x 验证 通过 GUI 进行 802.1X 配置 • 接口 - 输入为其启用了主机验证的端口号。 • 主机验证 - 选择其中一种模式。这些模式在上面的端口主机模式部分进行了介绍。 单个主机违反规则设置 (仅在主机验证为“单个主机”时显示): • 违反规则响应措施 - 选择对在单会话/单台主机模式下从其 MAC 地址不是请求方 MAC 地址的主机到达的 数据包所应用的操作。选项如下: - 保护 (丢弃) - 丢弃数据包。 - 限制 (转发) - 转发数据包。 - 关闭 - 丢弃数据包并关闭端口。在重新激活端口或重启设备之前,端口将保持关闭状态。 • Traps - 选择该选项可启用陷阱。 • Trap Frequency - 定义向主机发送陷阱的频率。仅当禁用多台主机时才可定义此字段。 步骤 4 单击应用。设置将写入当前配置文件中。 查看经验证的主机 查看有关经验证的用户详情的步骤: 步骤 1 单击安全 > 802.
21 安全:SSH 客户端 本节介绍了作为 SSH 客户端的设备。 其中包含以下主题: • 安全复制 (SCP) 和 SSH • 保护方法 • SSH 服务器验证 • SSH 客户端验证 • 使用准备 • 常见任务 • GUI 中的 SSH 客户端配置 安全复制 (SCP) 和 SSH Secure Shell (SSH) 是一种网络协议,可在 SSH 客户端 (在此情况下,指设备)与 SSH 服务器之间的安全通 道上实现数据交换。 SSH 客户端可帮助用户管理由一个或多个交换机组成的网络,其中的各种系统文件均存储在中央 SSH 服务器 中。通过网络传输配置文件时,安全复制 (Secure Copy,简称 SCP,一种利用 SSH 协议的应用程序)可确 保用户名/密码等敏感数据不会遭到拦截。 安全复制 (SCP) 用于将固件、引导映像、配置文件和日志文件从中央 SCP 服务器安全传输到设备。 就 SSH 而言,设备上运行的 SCP 是一种 SSH 客户端应用程序,而 SCP 服务器则是一种 SSH 服务器应用程序。 通过 TFTP 或 HTTP 下载文件时,无法确保数据传输的安全
安全:SSH 客户端 保护方法 21 下图说明了可能会在其中使用 SCP 功能的典型网络配置。 典型网络配置 保护方法 将数据从 SSH 服务器传输到设备 (客户端)时, SSH 服务器会使用多种方法验证客户端。具体方法如下所述。 密码 要使用密码方法,首先要确保 SSH 服务器上已建立用户名/密码。尽管此操作无法通过设备的管理系统完成,但 是,在服务器上建立用户名后,可以通过设备的管理系统更改服务器密码。 然后,必须在设备上创建用户名/密码。将数据从服务器传输到设备时,设备提供的用户名/密码必须与服务器上 的用户名/密码相匹配。 可以使用在会话期间协商的一次性对称密钥来加密数据。 虽然多台交换机可使用相同的用户名/密码,但是经管理的每台设备都必须具有自身的用户名/密码。 密码方法是设备上的默认方法。 公共/专用密钥 要使用公共/专用密钥方法,需在 SSH 服务器上创建用户名和公共密钥。在设备上生成公共密钥 (如下所述), 然后将其复制到服务器。本指南未介绍在服务器上创建用户名以及将公共密钥复制到服务器这两项操作。 启动设备时,系统会为其生成 RSA 和 DSA 默认密钥对。其中一个密钥用于加密从
安全:SSH 客户端 SSH 服务器验证 21 如果用户删除了其中一个密钥或将其全部删除,系统会重新生成。 公共/专用密钥存储于设备内存中,并在其中进行加密。密钥是设备配置文件的一部分,专用密钥可以以加密形 式或明文形式对用户显示。 因为无法将专用密钥直接复制为其他设备的专用密钥,所以出现了一种可将专用密钥从一台设备复制到另一台设 备的导入方法 (如导入密钥中所述)。 导入密钥 使用该密钥方法,必须为每个单独的设备创建单独的公共/专用密钥,并且出于安全性的考虑,不能将这些专用 密钥从一台设备直接复制到另一台设备。 如果网络中存在多台交换机,因为公共/专用密钥必须逐个创建然后还要加载到 SSH 服务器,所以为所有交换机 创建公共/专用密钥的过程便可能会很耗时。 要加速此过程,可使用其他功能,将加密的专用密钥安全传输到系统中的所有交换机。 在设备上创建专用密钥后,还可以创建相关联的密码。此密码用于加密专用密钥以及将其导入其余交换机中。通 过这种方法,所有交换机都可以使用相同的公共/专用密钥。 SSH 服务器验证 作为 SSH 客户端的设备仅与信任的 SSH 服务器进行通讯。如果禁用 SSH 服务器验证 (
21 安全:SSH 客户端 SSH 客户端验证 SSH 客户端验证 默认情况下,启用藉由密码进行 SSH 客户端验证,此时用户名/密码是“匿名”的。 用户必须配置以下信息才能进行验证: • 要使用的验证方法。 • 用户名/密码或公共/专用密钥对。 为了支持自动配置开箱即用型设备 (采用出厂默认配置的设备), SSH 服务器验证默认为禁用状态。 支持的算法 在设备 (作为 SSH 客户端)与 SSH 服务器之间建立连接后,该客户端和 SSH 服务器会交换数据,以确定要在 SSH 传输层中使用的算法。 客户端上支持以下算法: • 密钥交换算法 - diffie-hellman • 加密算法 • - aes128-cbc - 3des-cbc - arcfour - aes192-cbc - aes256-cbc 消息验证码算法 - hmac-sha1 - hmac-md5 注 不支持压缩算法。 使用准备 必须先执行以下操作,然后再使用 SCP 功能: • 使用密码验证方法时,必须在 SSH 服务器上设置用户名/密码。 • 使用公共/专用密钥验证方法时,必须
21 安全:SSH 客户端 常见任务 常见任务 本节介绍了一些使用 SSH 客户端执行的常见任务。参考的所有页面均可在菜单树的“SSH 客户端”分支下 找到。 工作流程 1:要配置 SSH 客户端以及将数据传输到 SSH 服务器/传输来自 SSH 服务器的数据,请执行 以下步骤: 步骤 1 确定要使用的验证方法:密码或公共/专用密钥。使用“SSH 用户验证”页面。 步骤 2 如果已选择密码方法,请执行以下步骤: a. 能够实现真正的安全数据传输后,在“SSH 用户验证”页面中创建全局密码,或者在“升级/备份固件/语 言”或“下载/备份配置/日志”页面中创建临时密码。 b. 在“升级/备份固件/语言”页面中选择通过 SCP (藉由 SSH) 选项,以使用 SCP 来升级固件、引导映像或语 言文件。可以在此页面中直接输入密码,或者可以使用在“SSH 用户验证”页面中输入的密码。 c.
21 安全:SSH 客户端 GUI 中的 SSH 客户端配置 步骤 5 单击应用,将公共/专用密钥复制到第二台设备上。 工作流程 3:在 SSH 服务器上更改密码的步骤: 步骤 1 在“更改 SSH 服务器的用户密码”页面中识别服务器。 步骤 2 输入新密码。 步骤 3 单击应用。 GUI 中的 SSH 客户端配置 本节介绍了用于配置 SSH 客户端功能的页面。 SSH 用户验证 使用此页面可选择一种 SSH 用户验证方法。如果选择密码方法,可设置设备的用户名和密码;如果选择公共/专 用密钥方法,可生成 RSA 或 DSA 密钥。 选择一种验证方法并设置用户名/密码/密钥的步骤: 步骤 1 单击安全 > SSH 客户端 > SSH 用户验证。 步骤 2 选择一种 SSH 用户验证方法。这是针对安全复制 (SCP) 定义的全局方法。请选择以 下选项之一: • 藉由密码 - 此选项为默认设置。如果选择此选项,请输入一个密码或保留默认密码。 • 藉由 RSA 公共密钥 - 如果选择此选项,请在 SSH 用户密钥表框中创建一个 RSA 公共/专用密钥。 • 藉由 DSA 公共密钥 - 如果选择此
安全:SSH 客户端 GUI 中的 SSH 客户端配置 21 SSH 用户密钥表针对每个密钥包含以下字段: • 密钥类型 - RSA 或 DSA。 • 密钥来源 - 自动生成或用户定义。 • 指纹 - 从密钥生成的指纹。 步骤 6 要处理 RSA 或 DSA 密钥,请选择 RSA 或 DSA,然后执行以下操作之一: • 生成 - 生成一个新密钥。 • 编辑 - 显示要复制/粘贴到其他设备的密钥。 • 删除 - 删除密钥。 • 详情 - 显示密钥。 SSH 服务器验证 启用 SSH 服务器验证以及定义信任服务器的步骤: 步骤 1 单击安全 > SSH 客户端 > SSH 服务器验证。 步骤 2 选择启用以启用 SSH 服务器验证。 • IPv4 源接口 - 选择其 IPv4 地址将用作与 IPv4 SSH 服务器通信中所用消息的源 IPv4 地址的源接口。 • IPv6 源接口 - 选择其 IPv6 地址将用作与 IPv6 SSH 服务器通信中所用消息的源 IPv6 地址的源接口。 注 如果已选择“自动”选项,系统将使用传出接口上定义的 IP 地址的源 IP 地址。 步骤
安全:SSH 客户端 GUI 中的 SSH 客户端配置 21 • 链路本地接口 - 从接口列表中选择链路本地接口。 • 服务器 IP 地址/名称 - 输入 SSH 服务器的 IP 地址或服务器名称 (取决于服务器定义中的选择)。 • 指纹 - 输入 SSH 服务器的指纹 (从该服务器进行复制)。 步骤 4 单击应用。信任服务器定义将存储在当前配置文件中。 在 SSH 服务器上更改用户密码 在 SSH 服务器上更改密码的步骤: 步骤 1 单击安全 > SSH 客户端 > 更改 SSH 服务器的用户密码。 步骤 2 输入以下字段: • 服务器定义 - 选择按 IP 地址或按名称定义 SSH 服务器。在服务器 IP 地址/名称字段中输入服务器的名称 或 IP 地址。 • IP 版本 - 如果选择按 IP 地址指定 SSH 服务器,请选择 IP 地址是 IPv4 还是 IPv6 地址。 • IP 地址类型 - 如果 SSH 服务器 IP 地址是 IPv6 地址,请选择 IPv6 地址类型。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE
22 安全:安全敏感数据管理 安全敏感数据 (SSD) 是一种能够加强设备上敏感数据 (例如:密码和密钥)保护的结构。该工具利用密码、加 密、访问控制和用户验证来提供一种管理敏感数据的安全解决方案。 该工具还可用于保护配置文件的完整性,确保配置过程的顺利进行以及支持 SSD 零接触自动配置。 • 简介 • SSD 规则 • SSD 属性 • 配置文件 • SSD 管理通道 • 菜单 CLI 和密码恢复 • 配置 SSD 简介 SSD 可保护设备上的敏感数据 (例如密码和密钥),允许和拒绝对基于用户凭证和 SSD 规则加密的明文模式敏 感数据的访问,并可保护包含敏感数据的配置文件,使其免遭破坏。 此外,通过 SSD 还可确保含有敏感数据的配置文件在备份和共享过程中的安全。 用户可通过 SSD 灵活配置所需的敏感数据保护级别;可对明文模式的敏感数据不设保护,可通过基于默认密码加密进 行最低程度的保护,也可通过基于用户定义的密码加密实现更有效的保护。 SSD 将根据 SSD 规则,仅向经过验证和授权的用户授予敏感数据的读取权限。设备将通过用户验证程序验证管理权限并将 其授予用户。 无
安全:安全敏感数据管理 SSD 规则 22 SSD 管理 SSD 管理包括对敏感数据的处理方法和安全性进行定义的诸多配置参数的管理。 SSD 配置参数本身作为敏感数 据也将受到 SSD 的保护。 SSD 的所有配置将通过 SSD 页面执行,只有具有正确权限的用户才能访问这些页面 (请参阅 SSD 规则)。 SSD 规则 SSD 规则对授予管理通道上用户会话的读取权限和默认读取模式作出定义。 SSD 规则将由其用户通过 SSD 管理通道进行唯一识别。不同的 SSD 规则可能适用于同一用户但同时适用于不 同的通道,反之,不同的规则也可能适用于同一通道但同时适用于不同的用户。 读取权限将决定敏感数据的查看方式:仅以加密模式、仅以明文模式、两种模式兼而有之或不允许查看敏感数 据。 SSD 规则本身作为敏感数据也将受到保护。 一台设备总共可支持 32 条 SSD 规则。 当 SSD 规则与用户身份/用户凭证以及作为用户目前/将要访问敏感数据的管理通道的类型实现最佳匹配时,设 备将向用户授予该规则的 SSD 读取权限。 设备会自带一套默认的 SSD 规则。管理员可按需要添加、删除和更改 SSD 规则。 注 设备可能
22 安全:安全敏感数据管理 SSD 规则 • • 通道。规则适用的 SSD 管理通道类型。受支持的通道类型有: - 安全 - 指定该规则仅应用于安全通道。根据不同的设备,可能会支持以下部分或所有的安全通道: 控制台端口界面、 SCP、 SSH 和 HTTPS。 - 不安全 - 指定该规则仅应用于不安全通道。根据不同的设备,可能会支持以下部分或所有的不安全通道: Telnet、 TFTP 和 HTTP。 - 安全 XML SNMP - 指定该规则仅应用于带保密功能的 XML over HTTPS 或 SNMPv3。设备可能支持 或不支持所有的 XML 和 SNMP 安全通道。 - 不安全 XML SNMP - 指定该规则仅应用于不带保密功能的 XML over HTTP 或 SNMPv1/v2 和 SNMPv3。设备可能支持或不支持所有的 XML 和 SNMP 安全通道。 读取权限 - 读取权限与各规则相关联。这些权限可分为以下类别: - (最低)无 - 不允许用户访问任何形式的敏感数据。 - (一般)仅加密模式 - 仅允许用户访问加密的敏感数据。 - (较高)仅明文模式 - 仅允许用
22 安全:安全敏感数据管理 SSD 规则 每一管理通道都允许特定的读取权限。以下是对上述内容的总结。 读取权限 允许的默认读取模式 无 无 仅加密模式 *加密模式 仅明文模式 *明文模式 所有模式 *明文模式、加密模式 * 如果新的读取模式不违反读取权限,可在 SSD“属性”页面临时更改会话的读取模式。 注 请注意以下方面: • 安全 XML SNMP 和不安全 XML SNMP 管理通道的默认读取模式必须与各自的读取权限保持一致。 • 只有安全 XML SNMP 和不安全 XML SNMP 管理通道才允许使用读取权限“无”;常规安全和不安全通 道不允许使用读取权限“无”。 • 在安全和不安全 XML-SNMP 管理通道中不包含敏感数据表示敏感数据将显示为 0 (即:空字符串或 数字 0)。如果用户想查看敏感数据,则必须将规则更改为明文模式。 • 默认情况下,带保密功能和安全通道上 XML 读取权限的 SNMPv3 用户将被视为第 15 级用户。 • 在不安全 XML 和 SNMP (不带保密功能的 SNMPv1、 v2 和 v3)通道上的 SNMP 用户将被视为
22 安全:安全敏感数据管理 SSD 规则 SSD 规则和用户验证 SSD 将根据 SSD 规则,仅向经过验证和授权的用户授予 SSD 权限。设备依靠其用户验证程序来验证和授予管 理权限。要保护设备和其数据 (包括敏感数据和 SSD 配置),使其免遭未授权访问,我们建议在设备上执行用 户验证程序。要确保用户验证程序的顺利进行,您可以使用本地验证数据库,同时确保能够通过外部验证服务器 (例如 RADIUS 服务器)进行安全通信。外部验证服务器的安全通信配置作为敏感数据将受到 SSD 的保护。 注 本地验证的数据库中的用户凭证已受到与 SSD 无关的机制的保护 如果来自某通道的用户发布了一个使用备选通道的操作,则设备将应用 SSD 规则中与该用户凭证和备选通道相 匹配的读取权限和默认读取模式。例如,如果用户通过某安全通道登录并开始 TFTP 上传会话,则系统将应用不 安全通道 (TFTP) 上用户的 SSD 读取权限 默认 SSD 规则 设备具有以下出厂默认规则: 表1 规则密钥 规则操作 用户 通道 读取权限 默认读取模式 第 15 级 安全 XML SNMP 仅明文模式 明文模式
安全:安全敏感数据管理 SSD 属性 22 SSD 属性 SSD 属性是一组参数,这些参数将与 SSD 规则一起定义和控制设备的 SSD 环境。 SSD 环境由以下属性组成: • 控制敏感数据的加密方式。 • 控制配置文件的安全强度。 • 控制当前会话内敏感数据的查看方式。 密码 密码是 SSD 功能中安全机制的基础,用于为敏感数据的加密和解密生成密钥。拥有相同密码的 Sx200、 Sx300、 Sx500 和 SG500X/SG500XG/ESW2-550X 系列交换机能够解密彼此的敏感数据,这些数据通常通过 从密码中生成的密钥进行了加密。 密码必须符合以下规则: • 长度 - 在 8 到 16 个字符之间。 • 字符类别数 - 密码必须至少包含一个大写字符、一个小写字符、一个数字字符和一个特殊字符 (例如: #、 $)。 默认密码和用户定义的密码 所有设备均提供开箱即用的默认密码,用户可以查看。默认密码不会显示在配置文件或 CLI/GUI 中。 如果希望进一步加强保护和提高安全性,管理员应在设备上配置 SSD 以使用用户定义的密码而不是默认密码。 用户定义的密码应严格对外保密,以便
22 安全:安全敏感数据管理 SSD 属性 配置文件密码控制 文件密码控制为用户定义的密码以及在基于文本的配置文件中通过从用户定义的密码生成的密钥来加密的敏感数 据提供了进一步的保护。 以下是现有的密码控制模式: • 无限制 (默认情况下)- 设备在创建配置文件时会将其密码包含在内。这就使任何接受配置文件的设备都 能从文件中学习密码。 • 已限制 - 设备将限制向配置文件导入其密码。已限制模式可防止没有密码的设备访问配置文件中加密的敏 感数据。如果用户不希望在配置文件中显示密码,则应使用该模式。 当设备重置回出厂默认配置后,其本地密码将重置为默认密码。设备将因此无法解密任何加密的敏感数据,无论 是基于从管理会话 (GUI/CLI) 输入的用户定义的密码加密的敏感数据,还是在任何带有限制模式的配置文件 (包 括设备重置回出厂默认配置前由其创建的文件)中加密的敏感数据。这种情况将一直持续到通过用户定义的密码 手动重新配置该设备或该设备从配置文件中学习用户定义的密码为止。 配置文件完整性控制 用户可通过“配置文件完整性控制”创建配置文件,藉此使配置文件免遭破坏或修改。我们建议当设备通过“无 限制配置文
安全:安全敏感数据管理 配置文件 22 配置文件 配置文件中包含设备的配置。设备中将包含一个当前配置文件、一个启动配置文件、一个镜像配置文件 (可选) 和一个备份配置文件。用户可以将配置文件手动上传和下载到远程文件服务器上,反之亦可。设备在使用 DHCP 进行自动配置时,可自动从远程文件服务器上下载其启动配置。存储在远程文件服务器上的配置文件称为远程配 置文件。 当前配置文件中含有设备正在使用的配置。重启后,启动配置中的配置将变成当前配置。当前配置文件和启动配 置文件的格式均为内部格式。镜像配置文件、备份配置文件和远程配置文件均为基于文本的文件,保留它们的目 的通常是为了存档、记录或恢复。在复制、上传和下载源配置文件的过程中,如果配置文件和目标文件的格式不 同,设备会自动将源内容的格式转换成目标文件的格式。 文件 SSD 指示器 在将当前配置文件或启动配置文件复制到基于文本的配置文件中时,设备会生成文件 SSD 指示器并将其置入基 于文本的配置文件中,以显示文件中是含有加密的敏感数据、明文模式的敏感数据,还是不包含敏感数据。 • 如果存在 SSD 指示器,则其必须置于配置标题文件中。 • 不包含
安全:安全敏感数据管理 配置文件 22 SSD 在将备份配置文件、镜像配置文件和远程配置文件复制到启动配置中时会添加以下规则: • 当设备重置回出厂默认配置后,其所有配置 (包括 SSD 规则和属性)都将重置回默认配置。 • 如果源配置文件中包含加密的敏感数据但缺少 SSD 控制块,则设备将拒绝该源文件且会造成复制失败。 • 如果源配置文件中没有 SSD 控制块,启动配置文件中的 SSD 配置将重置回默认配置。 • 如果源配置文件的 SSD 控制块中含有密码,且文件中加密的敏感数据并未通过 SSD 控制块中的密码生 成的密钥进行加密,则设备将拒绝该源文件并会造成复制失败。 • 如果源配置文件中含有 SSD 控制块且该文件的 SSD 完整性检查和/或文件完整性检查失败,则设备将拒 绝该源文件并会造成复制失败。 • 如果源配置文件的 SSD 控制块中部含有密码,则该文件中所有加密的敏感数据必须通过从本地密码生成 的密钥进行加密,或通过从默认密码生成的密钥进行加密,但不能通过前述两种方式同时加密。否则,设 备将拒绝该源文件并会造成复制失败。 • 无论是源配置文件中的 SSD 控制块还是
安全:安全敏感数据管理 配置文件 22 备份配置文件和镜像配置文件 如果已启用自动镜像配置服务,设备将定期通过启动配置文件生成其镜像配置文件。设备始终都会生成带有机 密敏感数据的镜像配置文件。因此,镜像配置文件中的文件 SSD 指示器会始终显示文件中是否含有加密的敏 感数据。 默认情况下,自动镜像配置服务为启用状态。要将自动镜像配置配置为启用或禁用,请单击管理 > 文件管理 > 配置文件属性。 用户可以按如下所述显示、复制和上传完整的镜像和备份配置文件以及会话中的当前读取模式以及源文件中的文 件 SSD 指示器 (根据 SSD 读取权限): • 如果镜像配置文件或备份配置文件中不含有文件 SSD 指示器,则所有用户均可访问该文件。 • 具有“所有权限”读取权限的用户可访问所有的镜像配置文件和备份配置文件。但是,如果会话的当前读 取模式与文件 SSD 指示器不同,则用户会看到一个提示窗口,该窗口显示不允许进行该操作。 • 如果具有“仅明文模式”权限的用户的文件 SSD 指示器显示“无”或“仅明文模式”敏感数据,则这些 用户可以访问镜像和备份配置文件。 • 如果具有“仅加密模式”权限的用户的文件
22 安全:安全敏感数据管理 SSD 管理通道 如果配置文件使用用户密码生成,且 SSD 文件密码控制已受限,则可使用产生的配置文件对期望的目标设备进 行自动配置。但是,要想使用用户定义的密码成功进行自动配置,必须对目标设备进行预先手动配置,使其与生 成该文件的设备使用相同的密码,此过程不是零接触。 如果创建该配置文件的设备处于未限制密码控制模式,则该设备在文件中已包括密码。因此,用户可使用该配置 文件对目标设备进行自动配置,包括并非开箱即用或者处于出厂默认设置的设备,而无需使用密码对目标设备预 先进行手动配置。这是零接触过程,因为目标设备可直接从配置文件学习密码。 注 开箱即用或者处于出厂默认状态的设备使用默认的匿名用户访问 SCP 服务器。 SSD 管理通道 可通过 telnet、 SSH 和 Web 等管理通道对设备进行管理。 SSD 根据通道的安全性和/或协议将其分成以下几 类:安全、不安全、安全-XML-SNMP 和不安全-XML-SNMP。 下面我们将介绍 SSD 认为每种管理通道安全与否。如果认为该通道不安全,表中将会指出类似的安全通道。 管理通道 SSD 管理通道类型 类似的安全管
安全:安全敏感数据管理 菜单 CLI 和密码恢复 22 菜单 CLI 和密码恢复 只有读取权限为“所有模式”或“仅明文模式”的用户允许使用菜单 CLI 接口。拒绝其他用户使用。菜单 CLI 中 的敏感数据始终以明文模式显示。 目前,密码恢复可从引导菜单激活,用户无需身份验证即可登录到终端。如果支持 SSD,只有当本地密码与默 认密码相同时,才允许使用此选项。如果设备已配置用户定义的密码,则该用户将不能激活密码恢复。 配置 SSD 在以下页面中配置 SSD 功能: • 在“属性”页面中设置 SSD 属性。 • 在“SSD 规则”页面中定义 SSD 规则。 SSD 属性 只有具有“仅明文模式”或“所有模式” SSD 读取权限的用户允许设置 SSD 属性。 配置全局 SSD 属性的步骤: 步骤 1 单击安全 > 安全敏感数据管理 > 属性。将显示以下字段: • 当前本地密码类型 - 显示当前正在使用的是默认密码还是用户定义的密码。 步骤 2 输入以下永久设置字段: • 配置文件密码控制 - 按照配置文件密码控制中的说明选择选项。 • 配置文件完整性控制 - 选择后,将启用此功能。请参阅配置
安全:安全敏感数据管理 配置 SSD • 22 确认密码 - 确认新密码。 步骤 2 单击应用。设置将保存到当前配置文件中。 SSD 规则配置 只有具有“仅明文模式”或“所有模式” SSD 读取权限的用户允许设置 SSD 规则。 配置 SSD 规则的步骤: 步骤 1 单击安全 > 安全敏感数据管理 > SSD 规则。 此时将显示当前定义的规则。 步骤 2 要添加新规则,请单击添加。输入以下字段: • • 用户 - 此字段定义规则所应用的用户。请选择以下其中一个选项: - 特定用户 - 选择并输入此规则所应用的特定用户名 (不一定非要定义此用户)。 - 默认用户 (cisco) - 表示此规则所应用的默认用户。 - 第 15 级 - 表示此规则应用于具有 15 级权限的所有用户。 - 全部 - 表示此规则应用于所有用户。 通道 - 此字段定义规则所应用的输入通道的安全级别:请选择以下其中一个选项: - 安全 - 表示此规则仅应用于安全通道(Console、SCP、SSH 和 HTTPS),不包括 SNMP 和 XML 通道。 - 不安全 - 表示此规则仅应用于不安全通道 (
安全:安全敏感数据管理 配置 SSD • 22 默认读取模式 - 所有默认读取模式需遵循规则的读取权限。存在以下选项,但根据规则的读取权限,有些 选项可能会被拒绝。 - 无 - 不允许读取敏感数据。 - 加密模式 - 敏感数据以加密模式提供。 - 明文模式 - 敏感数据以明文模式提供。 步骤 3 单击应用。设置将保存到当前配置文件中。 步骤 4 可以对选定的规则执行以下操作: • 添加、编辑或删除规则 • 恢复为默认设置 - 将用户修改的默认规则恢复为默认规则。 思科 200 系列智能型交换机管理指南 264
23 服务质量 在整个网络中应用服务质量功能,可确保根据所需条件设置网络流量的优先级,从而优先处理所需的流量。 本节包含以下主题: • QoS 功能和组件 • 配置 QoS - 一般 • 管理 QoS 统计信息 QoS 功能和组件 QoS 功能可用于优化网络性能。 QoS 可实现: • 根据以下属性将传入流量分为不同的流量类: - 设备配置 - 入口接口 - 数据包内容 - 以上属性的组合 QoS 包括: • 流量分类 - 根据数据包内容和/或端口,将每个传入数据包分类为属于特定数据流。分配至硬件队列 - 将传 入数据包分配给转发队列。数据包所属流量类所具有的功能会将数据包发送到特定的队列进行处理。请参 阅配置 QoS 队列。 • 其他流量类处理属性 - 将 QoS 机制应用到各种类,包括带宽管理。 思科 200 系列智能型交换机管理指南 265
23 服务质量 配置 QoS - 一般 QoS 操作 使用 QoS 功能时将对类相同的所有流量进行相同的处理,其中包括根据传入帧中指明的 QoS 值确定出口端口上 的出口队列的唯一 QoS 操作。这是第 2 层中的 VLAN 优先级标记 (VPT) 802.
23 服务质量 配置 QoS - 一般 设置 QoS 属性 启用 QoS 的步骤: 步骤 1 单击服务质量 > 一般 > QoS 属性。 步骤 2 在设备上启用 QoS。 步骤 3 选择一种信任模式 (CoS/802.
23 服务质量 配置 QoS - 一般 接口 QoS 设置 使用“接口设置”页面可在设备的每个端口上配置 QoS,如下所示: 已在接口上禁用 QoS 状态 - 端口上的所有入口流量均被映射到尽力服务队列,并且不进行任何分类/优先 级划分。 已启用端口的 QoS 状态 - 端口将根据在整个系统中配置的信任模式 (CoS/802.
23 服务质量 配置 QoS - 一般 也可以将部分较低优先级的队列指定为 WRR 模式,同时保持部分较高优先级的队列为“严格优先级”模式。在 这种情况下,“严格优先级”队列中的流量会始终先于 WRR 队列中的流量发送。仅当“严格优先级”队列中的 流量发送完毕后才会转发 WRR 队列中的流量。(每个 WRR 队列的相对配额取决于其加权)。 选择优先级方法及输入 WRR 数据的步骤: 步骤 1 单击服务质量 > 一般 > 队列。 步骤 2 输入参数。 • 队列 - 显示队列编号。 • 调度方法:请选择以下其中一个选项: - 严格优先级 - 针对所选队列及所有更高优先级队列的流量调度将严格遵循队列优先级。 - WRR - 针对所选队列的流量调度将遵循 WRR。在不为空的 WRR 队列 (表示队列具有要输出的描述 符)之间划分时段。仅当“严格优先级”队列为空时,才会采用此方法。 - WRR 加权 - 如果选择了 WRR,请输入为队列分配的 WRR 加权。 - WRR 带宽百分比 - 显示已为队列分配的带宽。这些值表示 WRR 加权的百分比。 步骤 3 单击应用。将配置队列,并更新当前配置文
23 服务质量 配置 QoS - 一般 802.1p 值 队列 (0-7, 7 为最 (4 个队列 1-4,4 高优先) 为最高优先级) 注 5 4 语音 - 默认思科 IP 电话 6 4 交互操作控制 - LVS 电话 RTP 7 4 网络控制 通过更改“CoS/802.1p 到队列”映射 (CoS/802.1p 到队列)和队列调度方法及带宽分配 (“队列”页面), 可以在网络中达到所需的服务质量。 “CoS/802.1p 到队列”映射仅在 CoS/802.1p 为信任模式并且数据包属于 CoS 信任数据流时才适用。 队列 1 的优先级最低,队列 4 或 8 的优先级最高。 将 CoS 值映射到出口队列的步骤: 步骤 1 单击服务质量 > 一般 > CoS/802.1p 到队列。 步骤 2 输入参数。 • 802.1p - 显示要指定给出口队列的 802.1p 优先级标记值,其中 0 为最低优先级, 7 为最高优先级。 • 输出队列 - 选择 802.
23 服务质量 配置 QoS - 一般 以下各表介绍 4 队列系统的默认 DSCP 到队列映射: DSCP 队列 DSCP 队列 DSCP 队列 DSCP 队列 DSCP 队列 DSCP 队列 DSCP 队列 DSCP 队列 63 55 47 39 31 23 15 7 3 3 4 3 3 2 1 1 62 54 46 38 30 22 14 6 3 3 4 3 3 2 1 1 61 53 45 37 29 21 13 5 3 3 4 3 3 2 1 1 60 52 44 36 28 20 12 4 3 3 4 3 3 2 1 1 59 51 43 35 27 19 11 3 3 3 4 3 3 2 1 1 58 50 42 34 26 18 10 2 3 3 4 3 3 2 1 1 57 49 41 33 25 17 9 1 3 3 4 3 3 2 1 1 56 48 40
23 服务质量 配置 QoS - 一般 配置带宽 使用“带宽”页面,用户可以定义两组值 (入口速率限制和出口整形速率)来确定系统可以接收和发送的流量。 入口速率限制是入口接口每秒能够接收的位数。超过此限制的带宽将被丢弃。 为出口整形输入以下值: • 承诺的信息传输速率 (CIR) 设置允许在出口接口上发送的平均最大数据量,以“位/秒”为单位 • 承诺突发数据大小 (CBS),即允许发送的突发数据量 (即使数据量超出 CIR 也会照常发送)。该值以数据 字节数定义。 输入带宽限制的步骤: 步骤 1 单击服务质量 > 一般 > 带宽。 “带宽”页面会显示每个接口的带宽信息。 % 列为端口带宽除以总端口带宽所得的入口速率限制。 步骤 2 选择一个接口,并单击编辑。 步骤 3 选择端口或LAG接口。 步骤 4 针对选择的接口,为以下字段输入值: • 入口速率限制 - 选择该选项将启用入口速率限制,该限制在下面的字段中定义。 • 入口速率限制 - 输入接口所允许的最大带宽。 注 当接口类型为 LAG 时,不会显示这两个入口速率限制字段。 • 入口承诺突发数据大小 (CBS) - 以数据字节数的
23 服务质量 管理 QoS 统计信息 配置每队列的出口整形 除限制每端口的传输速率 (在“带宽”页面中完成)之外,设备还可以在每队列每端口基础上,限制所选出站 帧的传输速率。出口速率限制由输出负载整形功能执行。 设备将限制除管理帧以外的所有帧。在速率计算中将忽略所有未限制的帧,表示其大小不包括在总限制之内。 可以禁用每队列出口速率整形功能。 定义每队列出口整形功能的步骤: 步骤 1 单击服务质量 > 一般 > 每队列出口整形。 “每队列出口整形”页面会显示每队列的速率限制和突发数据大小。 步骤 2 选择接口类型 (端口或 LAG),然后单击转至。 步骤 3 选择一个端口/LAG,然后单击编辑。 使用该页面可对每个接口上最多八个队列的出口进行整形。 步骤 4 选择接口。 步骤 5 针对每个所需队列,为以下字段输入值: • 启用整形 - 选择该选项可针对队列启用出口整形功能。 • 承诺的信息传输速率 (CIR) - 以千位每秒 (Kbps) 为单位输入最大速率 (CIR)。CIR 是能够发送的平均最大数 据量。 • 承诺突发数据大小 (CBS) - 以字节为单位输入最大突发数据量 (CBS)
23 服务质量 管理 QoS 统计信息 查看队列统计信息 “队列统计信息”页面会根据接口、队列和丢弃优先级显示队列统计信息,包括已转发和已丢弃的数据包的统 计信息。 查看队列统计信息的步骤: 步骤 1 单击服务质量 > QoS 统计信息 > 队列统计信息。 此页面显示了以下字段: • • 刷新速率 - 选择刷新接口以太网统计信息的间隔时间。可用选项有: - 无刷新 - 不刷新统计信息。 - 15 秒 - 每隔 15 秒刷新统计信息。 - 30 秒 - 每隔 30 秒刷新统计信息。 - 60 秒 - 每隔 60 秒刷新统计信息。 计数器设置 - 选项如下: - 设置 1 - 显示“设置 1” (包含所有具有高 DP [丢弃优先级] 的接口和队列)的统计信息。 - 设置 2 - 显示“设置 2” (包含所有具有低 DP 的接口和队列)的统计信息。 • 接口 - 显示此接口的队列统计信息。 • 队列 - 从此队列转发的数据包或丢弃的尾部数据包。 • 丢弃优先级 - 最低的丢弃优先级表示被丢弃的优先级最低。 • 数据包总数 - 被转发的数据包或被丢弃的尾部数据包的数量。
23 服务质量 管理 QoS 统计信息 • 队列 - 选择要显示其统计信息的队列。 • 丢弃优先级 - 输入丢弃优先级,以表示被丢弃的优先级。 步骤 4 单击应用。将添加队列统计信息计数器,并更新当前配置文件。 思科 200 系列智能型交换机管理指南 275
24 SNMP 本节介绍简单网络管理协议 (SNMP) 功能,该功能提供了一种管理网络设备的方法。 其中包含以下主题: • SNMP 版本和工作流程 • 型号 OID • SNMP 引擎 ID • 配置 SNMP 视图 • 创建 SNMP 组 • 管理 SNMP 用户 • 定义 SNMP 社区 • 定义陷阱设置 • 通知接收设备 • SNMP 通知过滤器 SNMP 版本和工作流程 设备可作为 SNMP 代理,并且支持 SNMPv1、 v2 和 v3。交换机还会使用支持的 MIB (管理信息库)中定义的 Trap,将系统事件报告给 Trap 接收器。 SNMPv1 和 v2 为控制对系统的访问,系统中会定义一个社区条目列表。每个社区条目由一个社区字符串及其访问权限组成。系 统仅会对指定具有恰当权限和正确操作的社团的 SNMP 消息作出响应。 SNMP 代理会维护用于管理设备的变量列表。这些变量在管理信息库 (MIB) 中定义。 注 由于其他版本具有安全漏洞,因此建议使用 SNMPv3。 思科 200 系列智能型交换机管理指南 276
24 SNMP SNMP 版本和工作流程 SNMPv3 除具备 SNMPv1 和 v2 提供的功能外,SNMPv3 还可将访问控制和新的 Trap 机制应用到 SNMPv1 和 SNMPv2 PDU。 SNMPv3 还可定义用户安全模式 (USM),该模式包括: • 验证 - 提供数据完整性和数据源验证。 • 隐私 - 防止消息内容泄露。使用密码块链接 (CBC-DES) 技术进行加密。可以只对 SNMP 消息启用验证功 能,也可以一并启用验证和保密功能。但无法在不启用验证功能的情况下单独启用保密功能。 • 时效性 - 防止消息延迟或反演攻击。 SNMP 代理会将传入消息的时间戳与消息的到达时间进行比较。 SNMP 工作流程 注 出于安全方面的考虑,默认情况下应禁用 SNMP。必须先在“安全 > TCP/UDP 服务”页面打开 SNMP,才能通过 SNMP 管理设备。 建议使用下面的一系列操作来配置 SNMP: 如果决定使用 SNMPv1 或 v2,请执行以下操作: 步骤 1 导航至“SNMP -> 社团”页面并单击添加。可以将该社区与访问权限和视图相关联 (在基本模式下),也可以将其与
24 SNMP 型号 OID 如果决定使用 SNMPv3,请执行以下操作: 步骤 1 使用“引擎 ID”页面定义 SNMP 引擎。可创建唯一引擎 ID 或使用默认引擎 ID。应用 引擎 ID 配置会清除 SNMP 数据库。 步骤 2 使用“视图”页面定义 SNMP 视图 (可选)。这会限制社团或组可用的 OID 范围。 步骤 3 使用“组”页面定义组。 步骤 4 使用“SNMP 用户”页面定义用户,在该页面中可以将用户与组相关联。如果未设置 SNMP 引擎 ID,那么将无法创建用户。 步骤 5 使用“Trap 设置”页面启用或禁用 Trap (可选)。 步骤 6 使用“通知过滤器”页面定义通知过滤器 (可选)。 步骤 7 使用“通知接收设备 SNMPv3”页面定义通知接收设备。 支持的 MIB 如需支持的 MIB 列表,请访问以下 URL,并导航到名为思科 MIBS 的下载区域: www.cisco.com/cisco/software/navigator.
24 SNMP SNMP 引擎 ID 型号名称 说明 对象 ID SF200-48 48 个 FE 端口 + 2 个 GE 特殊用途组合端口 9.6.1.87.48.1 SF200-48P FE1-FE48, GE1-GE4。 48 个 FE 端口 + 2 个 GE 特殊用途组合端口 9.6.1.87.48.2 SG200-10FP 10 端口千兆 PoE 智能型交换机 9.6.1.88.10.3 SF200-24FP 24 端口 10/100 PoE 智能型交换机 9.6.1.88.24.3 SG200-26FP 26 端口千兆 PoE 智能型交换机 9.6.1.88.26.3 SG200-50FP 50 端口千兆 PoE 智能型交换机 9.6.1.88.50.3 专用对象 ID 被置于 enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1).
24 SNMP 配置 SNMP 视图 • 无 - 不使用引擎 ID。 • 用户定义 - 输入本地设备引擎 ID。该字段值是一个十六进制字符串 (范围为10 - 64)。该十六进制字符串 中的每个字节都由两个十六进制数字表示。 所有远程引擎 ID 及其 IP 地址均显示在远程引擎 ID 表中。 步骤 3 单击应用。将更新当前配置文件。 远程引擎 ID 表显示引擎的 IP 地址与引擎 ID 之间的映射。添加引擎 ID 的 IP 地址的步骤: 步骤 4 单击添加。输入以下字段: • 服务器定义 - 选择是按照 IP 地址还是名称来指定引擎 ID 服务器。 • IP 版本 - 选择支持的 IP 格式。 • IPv6 地址类型 - 选择 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并 且只能用于本地网络上的通信。仅支持一个链路本地地址。如果接口上存在链路本地地址,此条目会 替换配置中的地址。 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。
24 SNMP 创建 SNMP 组 定义 SNMP 视图的步骤: 步骤 1 单击 SNMP > 视图。 步骤 2 单击添加定义新视图。 步骤 3 输入参数。 • 视图名称 - 输入视图名称 (长度为 0 到 30 个字符)。 • 对象 ID 子树 - 选择 MIB 树中包括在所选 SNMP 视图中或被排除在该视图之外的节点。用于选择对象的选 项如下: - 从列表中选择 - 使用该选项可以导航 MIB 树。按向上箭头可前往所选节点的父节点层或兄弟节点层; 按向下箭头可进入所选节点的子节点层。单击视图中的节点可从一个节点到达其兄弟节点。使用滚动 条可在视图中显示兄弟节点。 - 用户定义 - 输入从列表中选择选项中未提供的 OID (如果需要)。 步骤 4 选择或取消选择包含在视图中。如果选择了此项,会将选定的 MIB 包含在视图中,否 则不会包含这些 MIB。 步骤 5 单击应用。 步骤 6 要验证您的视图配置,请从过滤器:视图名称列表中选择用户定义的视图。默认情况 下,存在以下视图: • 默认 - 可读和可读写视图的默认 SNMP 视图。 • DefaultSuper - 管理员视图
24 SNMP 创建 SNMP 组 因此,在 SNMPv3 中,存在以下三个安全等级: • 无安全验证 (不验证且无隐私) • 验证 (验证且无隐私) • 验证和隐私 SNMPv3 提供了一种方式来控制每个用户能够读取或写入的内容,以及他们会收到的通知。组将定义读/写权限 和安全等级。与 SNMP 用户或社区关联时便可运行。 注 要将非定义视图关联至组,请先在“视图”页面中创建一个视图。 创建 SNMP 组的步骤: 步骤 1 单击 SNMP > 组。 此页面包含现有的 SNMP 组及其安全等级。 步骤 2 单击添加。 步骤 3 输入参数。 • 组名称 - 输入新的组名称。 • 安全模式 - 选择要应用到该组的 SNMP 版本 (SNMPv1、 v2 或 v3)。 可以定义三种类型的具有多种安全等级的视图。对于每种安全等级,可通过输入以下字段针对“读取”、“写 入”和“通知”权限选择视图: • 启用 - 选择此字段可启用“安全等级”。 • 安全等级 - 定义要应用到该组的安全等级。 SNMPv1 和 SNMPv2 不支持“验证”和“隐私”。如果选择 了 SNMPv3,则选择以
24 SNMP 管理 SNMP 用户 - 通知 - 将 Trap 可用的内容限制在选定视图包含的范围内。否则,将不对 Trap 内容进行限制。只能针 对 SNMPv3 选择该选项。 步骤 4 单击应用。 SNMP 组将保存至当前配置文件中。 管理 SNMP 用户 SNMP 用户由登录凭证 (用户名、密码和验证方法),及其工作 (通过与组和引擎 ID 关联实现)的环境和范围 定义。 经过配置的用户具有其组的属性,并具有在关联的视图中配置的访问权限。 网络管理员可使用组将访问权限分配给整组用户而非单个用户。 一个用户只能属于一个组。 要创建 SNMPv3 用户,必须先满足以下条件: • 事先在设备上配置一个引擎 ID。此项操作可在“引擎 ID”页面中完成。 • 必须有一个可用的 SNMPv3 组。可在“组”页面中定义 SNMPv3 组。 显示 SNMP 用户和定义新用户的步骤: 步骤 1 单击 SNMP > 用户。 此页面包含现有用户。 步骤 2 单击添加。 此页面将提供有关将 SNMP 访问控制权限指定给 SNMP 用户的信息。 步骤 3 输入参数。 • 用户名 - 为该用户输入名称。
24 SNMP 定义 SNMP 社区 • 组名称 - 选择该 SNMP 用户所属的 SNMP 组。 SNMP 组在“添加组”页面中定义。 注 属于已删除的组的用户仍会保留,但会处于非活动状态。 • 验证方法 - 选择会根据分配的组名称而变化的验证方法。如果组不需要验证,则用户无法配置任何验证。 选项如下: - 无 - 不使用用户验证。 - MD5 - 通过 MD5 验证方法生成密钥所使用的密码。 - SHA - 通过 SHA (安全散列算法)验证方法生成密钥所使用的密码。 • 验证密码 - 如果通过 MD5 或 SHA 密码实施验证,请在加密模式或明文模式下输入本地用户密码。系统会 将本地用户密码与本地数据库进行比较,本地用户密码最多可以包含 32 个 ASCII 字符。 • 隐私方法 - 选择以下选项之一: • - 无 - 未加密私有密码。 - DES - 根据数据加密标准 (DES) 加密私有密码。 私有密码 - 如果选择了 DES 隐私方法,则需要 16 个字节 (DES 加密密钥)。此字段的长度必须是 32 个 十六进制字符。可以选择加密或明文模式。 步骤 4
24 SNMP 定义 SNMP 社区 定义 SNMP 社区的步骤: 步骤 1 单击 SNMP > 社区。 此页面包含记录已配置的 SNMP 社团及其属性的表格。 步骤 2 单击添加。 使用此页面,网络管理员可以定义和配置新的 SNMP 社团。 步骤 3 SNMP 管理站点 - 单击用户定义,输入可以访问 SNMP 社区的管理站点 IP 地址。单 击全部,表示任何 IP 设备均可以访问该 SNMP 社区。 • IP 版本 - 选择 IPv4 或 IPv6。 • IPv6 地址类型 - 选择支持的 IPv6 地址类型 (如果使用 IPv6)。选项如下: - 链路本地 - IPv6 地址唯一识别单条网络链路上的主机。链路本地地址具有前缀 FE80,无法路由,并 且只能用于本地网络上的通信。仅支持一个链路本地地址。如果接口上存在链路本地地址,此条目会 替换配置中的地址。 - 全局 - IPv6 地址为全局单播 IPV6 类型,可从其他网络看到和访问。 • 链路本地接口 - 如果 IPv6 地址类型为“链路本地”,请选择通过 VLAN 还是 ISATAP 接收。 • IP 地址 - 输入
24 SNMP 定义陷阱设置 定义陷阱设置 使用“Trap 设置”页面可配置是否从设备发送 SNMP 通知,以及在哪些情况下发送通知。可以在“通知接收设 备 SNMPv1, 2”页面或“通知接收设备 SNMPv3”页面中配置 SNMP 通知的接收设备。 定义 Trap 设置的步骤: 步骤 1 单击 SNMP > Trap 设置。 步骤 2 对 SNMP 通知选择启用,将指定设备可以发送 SNMP 通知。 步骤 3 对验证通知选择启用 将启用 SNMP 验证失败通知。 步骤 4 单击应用。 SNMP Trap 设置将写入当前配置文件。 通知接收设备 系统会生成 Trap 消息来报告系统事件 (如 RFC 1215 中所定义)。系统可以生成在支持的 MIB 中定义的 Trap。 Trap 接收器 (亦称通知接收设备)是接收设备发送的 Trap 消息的网络节点。系统会定义一系列通知接收设备 作为 Trap 消息的接收设备。 Trap 接收器条目中包含的节点 IP 地址和 SNMP 凭证与 Trap 消息中包括的节点 IP 地址和 SNMP 凭证相对应。 当发生要求发送 Trap 消息的事件时,系统会将 Tra
24 SNMP 通知接收设备 定义 SNMPv1, 2 通知接收设备 定义 SNMPv1, 2 中的接收设备的步骤: 步骤 1 单击 SNMP > 通知接收设备 SNMPv1, 2。 此页面会显示 SNMPv1, 2 的接收设备。 步骤 2 输入以下字段: • 通知 IPv4 源接口 - 选择其 IPv4 地址将用作与 IPv4 SNMP 服务器通信中通知消息的源 IPv4 地址的源接口。 • Trap IPv4 源接口 - 选择其 IPv6 地址将用作与 IPv6 SNMP 服务器通信中 Trap 消息的源 IPv6 地址的源接口。 • 通知 IPv6 源接口 - 选择其 IPv4 地址将用作与 IPv4 SNMP 服务器通信中通知消息的源 IPv4 地址的源接口。 • Trap IPv6 源接口 - 选择其 IPv6 地址将用作与 IPv6 SNMP 服务器通信中 Trap 消息的源 IPv6 地址的源接口。 注 如果已选择“自动”选项,系统将使用传出接口上定义的 IP 地址的源 IP 地址。 步骤 3 单击添加。 步骤 4 输入参数。 • 服务器定义 - 选择是按照 IP 地址
24 SNMP 通知接收设备 • 通知版本 - 选择 Trap SNMP 版本。 SNMPv1 和 SNMPv2 均可作为 Trap 版本使用,但一次只能启用一个版本。 • 通知过滤器 - 选择该选项,将可以过滤发送到管理站点的 SNMP 通知类型。过滤器在“通知过滤”页面 中创建。 • 过滤条目名称 - 选择定义 Trap 中包含的信息的 SNMP 过滤器 (在“通知过滤”页面中定义)。 步骤 5 单击应用。 SNMP 通知接收设备设置将写入当前配置文件。 定义 SNMPv3 通知接收设备 定义 SNMPv3 中的接收设备的步骤: 步骤 1 单击 SNMP > 通知接收设备 SNMPv3。 此页面会显示 SNMPv3 的接收设备。 • 通知 IPv4 源接口 - 选择其 IPv4 地址将用作与 IPv4 SNMP 服务器通信中通知消息的源 IPv4 地址的源接口。 • Trap IPv4 源接口 - 选择其 IPv6 地址将用作与 IPv6 SNMP 服务器通信中 Trap 消息的源 IPv6 地址的源接口。 • 通知 IPv6 源接口 - 选择其 IPv4 地址将用作与 IPv
24 SNMP SNMP 通知过滤器 • 通知类型 - 选择发送 Trap 还是发送通知。如果需要发送两种类型的通知,则必须创建两个接收设备。 • 超时 - 输入重新发送通知/Trap 之前,设备等待的时间 (以秒为单位)。超时范围:1 到 300,默认值 15 • 重试次数 - 输入设备重新发送通知请求的次数。重试次数:1 到 255,默认值:3 • 用户名 - 从下拉列表中选择接收 SNMP 通知的用户。要接收通知,必须已在“SNMP 用户”页面定义该 用户,且其引擎 ID 必须为远程。 • 安全等级 - 选择将对数据包应用的验证。 注 此处的 “ 安全等级 ” 取决于选定的 “ 用户名 ”。如果将该 “ 用户名 ” 配置为 “ 不验证 ”,那 么 “ 安全等级 ” 仅为 “ 不验证 ”。但是,如果在 “ 用户 ” 页面上将该 “ 用户名 ” 分配为 “ 验 证和隐私 ”,那么此页面上的安全等级可以为 “ 不验证 ”、“ 仅验证 ” 或 “ 验证和隐私 ”。 选项如下: - 不验证 - 表示既不对数据包进行验证,也不对其加密。 - 验证 - 表示对数据包进行验证,但不对其加密
24 SNMP SNMP 通知过滤器 • 过滤器名称 - 输入名称 (长度为 0 到 30 个字符)。 • 对象 ID 子树 - 选择 MIB 树中包括在所选 SNMP 过滤器中或被排除在该过滤器之外的节点。用于选择对象 的选项如下: - 从列表中选择 - 使用该选项可以导航 MIB 树。按向上箭头可前往所选节点的父节点层或兄弟节点层; 按向下箭头可进入所选节点的子节点层。单击视图中的节点可从一个节点到达其兄弟节点。使用滚动 条可在视图中显示兄弟节点。 - 如果使用对象 ID,则是否将输入的对象标识符包括在视图中将取决于是否选择包含在过滤中选项。 步骤 4 选择或取消选择包含在过滤器中。如果选择了此项,会将选定的 MIB 包含在过滤器 中,否则不会包含这些 MIB。 步骤 5 单击应用。将定义 SNMP 视图,并更新当前配置文件。 思科 200 系列智能型交换机管理指南 290
25 Cisco 和 Cisco 徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。若要查看思科的商标列表,请访问此 URL: www.cisco.
