邁普MyPower S3000系列以太網(wǎng)交換機配置手冊

1、目 錄第1章 交換機管理11.1 管理方式11.1.1 帶外管理11.1.2 帶內(nèi)管理51.2 CLI界面111.2.1 配置模式介紹121.2.2 配置語法141.2.3 支持快捷鍵151.2.4 幫助功能151.2.5 對輸入的檢查161.2.6 支持不完全匹配16第2章 交換機基本配置172.1 基本配置172.2 遠程管理182.2.1 Telnet182.2.2 SSH192.3 配置交換機的IP地址212.3.1 配置交換機的IP地址任務序列212.4 SNMP配置232.4.1 SNMP介紹232.4.2 MIB介紹242.4.3 RMON介紹252.4.4 SNMP配置252.

2、4.5 SNMP典型配置舉例282.4.6 SNMP排錯幫助292.5 交換機升級302.5.1 交換機系統(tǒng)文件302.5.2 BootROM模式升級312.5.3 FTP/TFTP升級33第3章 集群網(wǎng)管配置433.1 集群網(wǎng)管介紹433.2 集群網(wǎng)管基本配置433.3 集群網(wǎng)管舉例463.4 集群網(wǎng)管排錯幫助47版權所有ã2009，邁普通信技術股份有限公司，保留所有權利 2第1章 交換機管理1.1 管理方式用戶購買到交換機設備后，需要對交換機進行配置，從而實現(xiàn)對網(wǎng)絡的管理。交換機為用戶提供了兩種管理方式：帶外管理和帶內(nèi)管理。1.1.1 帶外管理帶外管理即通過Console進行管理

3、，通常情況下，在首次配置交換機或者無法進行帶內(nèi)管理時，用戶會使用帶外管理方式。例如：用戶希望通過遠程Telnet來訪問交換機時，必須首先通過Console給交換機配置一個IP地址。用戶用Console管理的步驟如下：第一、搭建環(huán)境：通過串口線連接圖 11 交換機Console管理配置環(huán)境按照圖 11所示，將PC的串口（RS-232接口）和交換機隨機提供的串口線連接，下面是連接中用到的設備說明：設備名稱說明PC機有完好的鍵盤和RS-232串口，并且安裝了終端仿真程序，如Windows 系統(tǒng)自帶超級終端等。串口線一端與PC機的RS-232串口相連；另一端與交換機的Console相連。交換機有完好的

4、Console。第二、進入超級終端：連接成功后，打開Windows 系統(tǒng)自帶超級終端。下面是打開Windows XP 自帶超級終端的示例。1）點擊超級終端：圖 12打開超級終端一2）在“名稱”處填入打開超級終端的名稱，例如把它定義為“Switch”：圖 13打開超級終端二3）在“連接時使用”處，選擇PC機使用的RS-232串口，如連接的是串口1，則選擇串口1，點擊確定按鈕：圖 14 打開超級終端三4）出現(xiàn)COM1屬性，波特率選擇“9600”，數(shù)據(jù)位選擇“8”，奇偶校驗選擇“無”，停止位選擇“1”，數(shù)據(jù)流控制選擇“無”；或者直接點擊“還原默認值”后，點擊確定按鈕：圖15 打開超級終端四5）出現(xiàn)超

5、級終端的配置界面：圖 16 打開超級終端五第三、進入交換機CLI界面：打開交換機的電源開關。在超級終端的配置界面上出現(xiàn)了如下提示，進入到交換機的CLI配置方式：switch>接下來用戶可以輸入相關命令進行管理，命令詳見具體章節(jié)。1.1.2 帶內(nèi)管理所謂帶內(nèi)管理（In-band management），包括通過Telnet程序登錄到交換機，或者通過HTTP協(xié)議訪問交換機。交換機提供帶內(nèi)管理方式可以使連接到交換機中的某些設備具備管理交換機的功能。當交換機的配置出現(xiàn)變更，導致帶內(nèi)管理失效時，可以使用帶外管理對交換機進行配置管理。 通過Telnet管理交換機通過Telnet管理交換

6、機要具備的條件：1) 交換機配置IPv4/IPv6地址；2) 作為Telnet客戶端的主機IP地址與其所屬交換機的VLAN接口的IPv4/IPv6地址在相同網(wǎng)段；3) 若不滿足2），則Telnet客戶端可以通過路由器等設備到達交換機某個IPv4/IPv6地址。本交換機是三層交換機，可以配置多個IPv4/IPv6地址，配置方法見配置交換機的IP地址相關章節(jié)。下面以交換機出廠時的情況舉例，系統(tǒng)只有VLAN1存在。以下是Telnet客戶端Telnet到交換機的VLAN1接口的步驟(以IPv4地址為例)：通過網(wǎng)線連接圖 17 通過Telnet管理交換機第一：配置交換機IP地址，并且啟動交換機的Teln

7、et Server功能。首先配置主機的IP地址，要與交換機的VLAN1接口IP地址在同一個網(wǎng)段。如交換機的VLAN1接口IP地址為51/24，則可以設置主機的IP地址為52/24。在主機上執(zhí)行“ping 51”命令，顯示是否ping通；若ping不通，則檢查原因。下面簡單介紹交換機VLAN1接口的IP地址配置命令，在進行帶內(nèi)管理之前，必須通過帶外管理即Console方式配置交換機的IP地址，配置命令如下（以后如不特殊說明，所有的交換機配置時的提示符均采用Switch）：Switch>Switch>enableSwitch#

8、configSwitch(config)#interface vlan 1Switch(Config-if-Vlan1)#ip address 51 Switch(Config-if-Vlan1)#no shutdown然后在Console的全局配置模式下使用命令telnet-server enable啟動Telnet Server功能。配置如下：Switch>enSwitch#configSwitch(config)# telnet-server enable第二：運行Telnet客戶端程序。運行Windows自帶的Telnet客戶端程序，

9、并且指定Telnet的目的地址。圖 18 運行Windows自帶的telnet客戶端程序第三：登錄交換機。登錄到Telnet的配置界面，需要輸入正確的用戶名和口令，否則交換機將拒絕該Telnet用戶的訪問。該項措施是為了保護交換機免受非授權用戶的非法操作。若交換機沒有設置授權Telnet用戶，則任何用戶都無法進入交換機的Telnet配置界面。因此在允許Telnet方式配置管理交換機時，必須在Console的全局配置模式下使用命令username <username> privilege <privilege> password (0 | 7) <password&

10、gt; 為交換機設置Telnet授權用戶和口令并使用命令authentication line vty login local打開本地驗證方式，其中privilege選項必須存在且為15。如交換機的授權用戶名為test，口令為明文的test，設置方式如下：Switch>enableSwitch#configSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login local在Telnet配置界面上輸入正確的用戶名和口令，Telnet用戶就可成功

11、的進入到交換機的 CLI配置界面。Telnet登錄后與通過Console進入后使用的命令完全一致。圖 19 Telnet配置界面 通過HTTP管理交換機通過HTTP管理交換機要具備的條件：1) 交換機配置IPv4/IPv6地址；2) 作為客戶端的主機IPv4/IPv6地址與其所屬交換機的VLAN接口的IPv4/IPv6地址在相同網(wǎng)段；3) 若不滿足2），則客戶端可以通過路由器等設備到達交換機某個IPv4/IPv6地址。與Telnet用戶登錄交換機類似，只要主機能夠ping/ping6通交換機的IPv4/IPv6地址，并且輸入正確的登錄口令，該主機就可通過HTTP訪問交換機。步驟如

12、下：第一：配置交換機的IP地址，并且啟動交換機的HTTP Server功能。通過帶外管理配置交換機IP地址，參見通過telnet管理交換機一節(jié)。在Console的全局配置模式下使用命令ip http server啟動HTTP Server功能，使能Web配置。配置如下：Switch>enableSwitch#configSwitch(config)#ip http server第二：在配置主機上運行HTTP協(xié)議。在主機上運行Web瀏覽器，在地址欄處輸入交換機的IP地址，或直接運行Windows的HTTP協(xié)議，比如交換機的IP地址為“51”；圖 110 執(zhí)行HTTP協(xié)議

13、在使用IPv6地址訪問交換機時，推薦使用瀏覽器Firefox，版本在1.5以上，比如交換機的IPv6地址為3ffe:506:1:2:3，在地址處輸入交換機的IPv6地址http:/3ffe:506:1:2:3，地址需要用方括號括起來。第三：Web訪問交換機。登錄到Web的配置界面，需要輸入正確的用戶名和口令，否則交換機將拒絕該HTTP訪問。該項措施是為了保護交換機免受非授權用戶的非法操作。若交換機沒有設置授權Web用戶，則任何用戶都無法進入交換機的Web配置界面。因此在允許Web方式管理交換機時，必須在Console方式下的全局配置模式下使用命令username <username>

14、; privilege <privilege> password (0 | 7) <password> 為交換機設置Web授權用戶和口令并使用命令authentication line web login local打開本地驗證方式，其中privilege選項必須存在且為15。如交換機的授權用戶名為admin，口令為明文的admin，設置方式如下：Switch>enableSwitch#configSwitch(config)#username admin privilege 15 password 0 adminSwitch(config)#authentica

15、tion line web login local下面是Web配置的登錄界面：圖 111 Web登錄界面輸入正確的用戶名和密碼，進入交換機的Web配置主界面。圖 112 Web配置界面注意：通過Web配置交換機名稱時，交換機名稱由英文字母構成。WEB顯示的產(chǎn)品名字根據(jù)具體的產(chǎn)品型號顯示。上述WEB圖片是以S3008G -AC舉例說明，其他產(chǎn)品類似。 通過snmp網(wǎng)管軟件管理交換機通過snmp 網(wǎng)管軟件管理交換機要具備的條件：1) 交換機配置IP地址；2) 作為客戶端的主機IP地址與其所屬交換機的VLAN接口的IP地址在相同網(wǎng)段；3) 若不滿足2），則客戶端可以通過路由器等設備到達

16、交換機某個IP地址；4) 開啟了snmp功能。安裝snmp 網(wǎng)管軟件的主機必須能ping通交換機的IP地址，這樣在運行Snmp 網(wǎng)管軟件時，Snmp 網(wǎng)管軟件就能找到交換機設備，并且對其進行可讀寫的操作。具體如何通過Snmp 網(wǎng)管軟件管理交換機在本手冊中不做介紹，請參看Snmp 網(wǎng)管軟件用戶手冊。1.2 CLI界面交換機為用戶提供了三種管理界面：CLI（Command Line Interface命令行）界面、Web界面和Snmp 網(wǎng)管軟件。我們將對CLI界面做詳細的介紹，Web界面與CLI界面功能相似，就略去不介紹了，Snmp網(wǎng)管軟件請參看Snmp 網(wǎng)管軟件用戶手冊。用戶對CLI界面并不陌生

17、，前面我們提到的Console管理方式、Telnet登錄到交換機都是通過CLI界面對交換機進行配置管理的。CLI界面由Shell程序提供，它是由一系列的配置命令組成的，根據(jù)這些命令在配置管理交換機時所起的作用不同，Shell將這些命令分類，不同類別的命令對應著不同的配置模式。下面將介紹交換機的Shell的特點：C 配置模式C 配置語法C 快捷鍵C 幫助功能C 對輸入的檢查C 支持不完全匹配1.2.1 配置模式介紹.圖 113 交換機的Shell配置模式 一般用戶模式用戶進入CLI界面，首先進入的就是一般用戶模式，提示符為“Switch>”，符號“>”為一般用戶模式的提

18、示符。當用戶從特權用戶模式使用命令exit退出時，可以回到一般用戶模式。 特權用戶模式在一般用戶模式使用enable命令，如果已經(jīng)配置了進入特權用戶的口令，則輸入相應的特權用戶口令，即可進入特權用戶模式“Switch#”。當用戶從全局配置模式使用exit退出時，也可以回到特權用戶模式。另外交換機提供“Ctrl+z”的快捷鍵，使得交換機在任何配置模式（一般用戶模式除外），都可以退回到特權用戶模式。在特權用戶模式下，用戶可以查詢交換機配置信息、各個端口的連接情況、收發(fā)數(shù)據(jù)統(tǒng)計等。而且進入特權用戶模式后，可以進入到全局模式對交換機的各項配置進行修改，因此進入特權用戶模式后必須要設置特權

19、用戶口令，防止非特權用戶的非法使用，對交換機配置進行惡意修改，造成不必要的損失。 全局配置模式進入特權用戶模式后，只需使用命令config，即可進入全局配置模式“Switch(config)#”。當用戶在其他配置模式，如接口配置模式、VLAN配置模式時，可以使用命令exit退回到全局配置模式。在全局配置模式，用戶可以對交換機進行全局性的配置，如對MAC地址表、端口鏡像、創(chuàng)建VLAN、啟動IGMP Snooping、STP等。用戶在全局模式還可通過命令進入到接口配置模式對各個接口進行配置。接口配置模式在全局配置模式，使用命令interface就可以進入到相應的接口配置模式。交換機操

20、作系統(tǒng)提供了三種端口類型：1.VLAN接口；2.以太網(wǎng)端口；3.port-channel，因此就有三種接口的配置模式。接口類型進入方式可執(zhí)行操作退出方式VLAN接口在全局配置模式下，輸入命令interface vlan <Vlan-id>。配置交換機的IP等。使用exit命令即可退回全局配置模式。以太網(wǎng)端口在全局配置模式下，輸入命令interface ethernet <interface-list>。配置交換機提供的以太網(wǎng)接口的雙工模式、速率等。使用exit命令即可退回全局配置模式。port-channel在全局配置模式下，輸入命令interface port-cha

21、nnel <port-channel-number>。配置port-channel有關的雙工模式、速率等。使用exit命令即可退回全局配置模式。VLAN配置模式在全局配置模式，使用命令vlan <vlan-id>就可以進入到相應的VLAN配置模式。在VLAN配置模式，用戶可以配置屬于本VLAN的成員端口。執(zhí)行exit命令即可從VLAN配置模式退回到全局配置模式。DHCP地址池配置模式在全局配置模式下用ip dhcp pool <name>命令進入到DHCP地址池配置模式“Switch(Config-<name>-dhcp)#”。在DHCP地址池配

22、置模式下可以配置DHCP地址池的屬性。執(zhí)行exit命令即可從DHCP地址池配置模式退回到全局配置模式。訪問列表配置模式訪問列表類型進入方式可執(zhí)行操作退出方式命名標準IP訪問列表配置模式在全局配置模式下輸入ip access-list standard命令。配置標準訪問列表配置模式。執(zhí)行exit命令即可退回全局配置模式。命名擴展IP訪問列表配置模式在全局配置模式下輸入ip access-list extanded命令。配置擴展訪問列表的參數(shù)。執(zhí)行exit命令即可退回全局配置模式。1.2.2 配置語法交換機為用戶提供的配置命令形式不完全一樣，但它們都遵循交換機配置命令的語法。以下是交換機提供的通用

23、命令格式：cmdtxt <variable> enum1 | | enumN option1 | | optionN 語法說明：黑體字cmdtxt表示命令關鍵字；<variable>表示參數(shù)為變量；enum1 | | enumN 表示在參數(shù)集enum1enumN中必須選一個參數(shù)；option1 | | optionN表示該參數(shù)可選擇一個或者不選。在各種命令中還會出現(xiàn)“< >”， “ ”，“ ”符號的組合使用，如：<variable>，enum1 <variable> | enum2，option1 option2等等。下面是幾種配置命

24、令語法的具體分析：C show version，沒有任何參數(shù)，屬于只有關鍵字沒有參數(shù)的命令，直接輸入命令即可；C vlan <vlan-id>，輸入關鍵字后，還需要輸入相應的參數(shù)值；C firewall enable | disable，此類命令用戶可以輸入firewall enable或者firewall disable；C snmp-server community ro | rw <string>，出現(xiàn)以下幾種輸入情況：snmp-server community ro <string> snmp-server community rw <stri

25、ng>1.2.3 支持快捷鍵交換機為方便用戶的配置，特別提供了多個快捷鍵，如上、下、左、右鍵及刪除鍵 BackSpace等。如果超級終端不支持上下光標鍵的識別，可以使用ctrl+p和ctrl+n來替代。按鍵功能刪除鍵 BackSpace刪除光標所在位置的前一個字符，光標前移上光標鍵“”顯示上一個輸入命令。最多可顯示最近輸入的二十個命令下光標鍵“”顯示下一個輸入命令。當使用上光標鍵回溯到以前輸入的命令時，也可以使用下光標鍵退回到相對于前一個命令的下一個命令左光標鍵“”光標向左移動一個位置左右鍵的配合使用， 可對已輸入的命令做覆蓋修改右光標鍵“”光標向右移動一個位置Ctr+p相當于上光標鍵“

26、”的作用Ctr+n相當于下光標鍵“”的作用Ctr+b相當于左光標鍵“”的作用Ctr+f相當于右光標鍵“”的作用Ctr+z從其他配置模式（一般用戶配置模式除外）直接退回到特權用戶模式Ctr+c打斷交換機ping或其它正在執(zhí)行的命令進程Tab鍵當輸入的字符串可以無沖突的表示命令或關鍵字時，可以使用Tab鍵將其補充成完整的命令或關鍵字1.2.4 幫助功能交換機為用戶提供了兩種方式獲取幫助信息，其中一種方式為使用“help”命令，另一種為“？”方式。幫助使用方法及功能Help在任一命令模式下，輸入“help”命令均可獲取有關幫助系統(tǒng)的簡單描述?！?？”1在任一命令模式下，輸入“?”獲取該命令模式下的所有

27、命令及其簡單描述；2在命令的關鍵字后，輸入以空格分隔的“?”，若該位置是參數(shù)，會輸出該參數(shù)類型、范圍等描述；若該位置是關鍵字，則列出關鍵字的集合及其簡單描述；若輸出 “<cr>” ，則此命令已輸入完整，在該處鍵入回車即可；3在字符串后緊接著輸入“?”，會列出以該字符串開頭的所有命令。1.2.5 對輸入的檢查 成功返回信息通過鍵盤輸入的所有命令都要經(jīng)過 Shell 的語法檢查。當用戶正確輸入相應模式下的命令后，且命令執(zhí)行成功，不會顯示信息。 錯誤返回信息當用戶輸入的命令錯誤，或者參數(shù)范圍，類型，格式有錯誤，交換機會提示錯誤。1.2.6 支持不完全匹配交換機

28、的Shell支持不完全匹配的搜索命令和關鍵字，當輸入無沖突的命令或關鍵字時，Shell 就會正確解析。例如：1. 對特權用戶配置命令“show interface ethernet 1/1”，只要輸入“sh in e 1/1”即可。2. 對特權用戶配置命令 “show running-config”，如果僅輸入“sh r”，系統(tǒng)會報“> Ambiguous command!”，因為Shell無法區(qū)分“show r”是“show radius”命令還是“show running-config”命令，因此必須輸入“sh ru”，Shell才會正確的解析。版權所有ã2009，邁普通信

29、技術股份有限公司，保留所有權利 42第2章 交換機基本配置2.1 基本配置交換機的基本配置包括進入和退出特權用戶模式的命令、進入和退出接口配置模式的命令、設置及顯示交換機的時鐘、顯示交換機的系統(tǒng)版本信息等。命令解釋一般用戶配置模式/特權用戶配置模式enabledisable用戶使用 enable 命令，從一般用戶配置模式進入特權用戶配置模式，disable為退出特權用戶模式命令。特權用戶配置模式config terminal從特權用戶配置模式進入到全局配置模式。各種配置模式exit從當前模式退出，進入上一個模式，如在全局配置模式使用本命令退回到特權用戶配置模式，在特權用戶配置模式使用本命令退回

30、到一般用戶配置模式等。特權用戶配置模式clock set <HH:MM:SS> YYYY.MM.DD設置系統(tǒng)日期和時鐘。show version顯示交換機版本信息。set default恢復交換機的出廠設置。write將當前運行時配置參數(shù)保存到Flash Memory。reload熱啟動交換機。2.2 遠程管理2.2.1 Telnet Telnet簡介Telnet遠程登錄是一個簡單的遠程終端協(xié)議。用戶用Telnet就可在其所在地通告TCP連接注冊（即登錄）到遠程的另一個主機上（使用IP地址或主機名）。Telnet能把用戶的擊鍵傳到遠程的主機，同時也能把遠程主機的輸出通

31、過TCP連接返回到用戶屏幕。這種服務是透明的，因為用戶的感覺是鍵盤和顯示器是直接連接在遠程主機上。Telnet使用客戶服務器模式，在本地的系統(tǒng)為Telnet客戶端，遠程主機為Telnet服務器。交換機既可以作為Telnet服務器也可以作為Telnet客戶端。當交換機作為Telnet服務器時，用戶可以通過Windows或其他操作系統(tǒng)自帶的Telnet客戶端軟件，Telnet登錄到交換機，就如前面介紹帶內(nèi)管理章節(jié)中介紹的一樣。交換機作為Telnet服務器時最多可以同時與5個Telnet客戶端建立TCP連接。當作為Telnet客戶端時，在交換機的特權用戶配置模式下使用telnet命令即可登錄到其他遠

32、端主機。交換機作為Telnet客戶端時只能與一個遠程主機建立TCP連接，如果想與另一個遠程主機建立連接，則必須先斷開與上一個遠程主機的TCP連接。 Telnet任務序列1. 配置Telnet服務器2. 交換機Telnet登錄到遠程主機1. 配置Telnet服務器命令解釋全局配置模式telnet-server enableno telnet-server enable打開交換機的Telnet服務器功能；本命令的no操作為關閉Telnet服務器功能。username <username> privilege <privilege> password 0 | 7

33、 <password>no username <username>配置Telnet登錄到交換機的本地用戶名和口令；本命令的no操作為刪除本地授權Telnet用戶。本地Telnet用戶的執(zhí)行命令權限必須設為15。authenticaion securityip <ip-addr>no authentication securityip <ip-addr>配置Tenet登錄到交換機的安全IP地址；本命令的no操作為刪除授權Telnet安全地址。authenticaion securityipv6 <ipv6-addr>no authent

34、ication securityipv6 <ipv6-addr>配置Tenet登錄到交換機的安全IPv6地址；本命令的no操作為刪除授權Telnet安全地址。authentication line console | vty | web login local | radius | tacacsno authentication line console | vty | web login配置遠程登錄驗證方式。特權模式terminal monitorterminal no monitor使登錄到交換機的Tenet客戶端顯示調(diào)試信息；本命令的no操作為關閉Telnet客戶端顯示調(diào)試信

35、息的功能。2. 交換機Telnet登錄到遠程主機命令解釋特權模式telnet <ip-addr> | <ipv6-addr> | host <hostname> <port>使用交換機提供的Telnet客戶端登錄到遠程主機。2.2.2 SSH SSH簡介SSH是Secure Shell安全外殼的簡寫，它建立在可靠的TCP/IP等通信協(xié)議之上，通過SSH服務器和SSH客戶端軟件之間的密鑰交換，身份認證，加密等算法的協(xié)商，在它們之間建立一條安全的傳輸信息的通道，保證雙方交互的信息不能被任何第三方截取和破譯，從而最大限度的保證了對實現(xiàn)SS

36、H服務器功能的交換機的配置和管理。目前交換機上實現(xiàn)的是符合SSH2.0協(xié)議規(guī)定的SSH服務器。支持SSH2.0標準的終端軟件如SSH Secure Client、putty等可以利用SSH2.0協(xié)議，遠程登陸交換機上的SSH服務器，實現(xiàn)對該交換機的安全的配置和管理。目前SSH服務器支持客戶端軟件對主機的RSA公鑰認證，支持協(xié)議規(guī)定的3DES加密算法，以及SSH服務器對SSH用戶的密碼認證等。 SSH服務器配置任務序列命令解釋全局配置模式ssh-server enableno ssh-server enable打開交換機的SSH服務器功能；本命令的no操作為關閉SSH服務器功能。s

37、sh-user <user-name> password 0 | 7 <password>no ssh-user <user-name>配置SSH客戶端軟件登錄到交換機的用戶名和口令；本命令的no操作為刪除授權SSH用戶。ssh-server timeout <timeout>no ssh-server timeout設置SSH認證超時時間；本命令的no操作恢復缺省的SSH認證超時時間。ssh-server authentication-retries <authentication-retires>no ssh-server aut

38、hentication-retries 設置SSH認證重試次數(shù)；本命令的no操作恢復缺省的SSH認證重試次數(shù)。ssh-server host-key create rsa modulus <modulus>生成新的SSH服務器的RSA主機密鑰對。特權模式terminal monitorterminal no monitor使登錄到交換機的SSH客戶端顯示調(diào)試信息；本命令的no操作為關閉SSH客戶端顯示調(diào)試信息的功能。 SSH服務器配置舉例案例1：組網(wǎng)需求：交換機端運行SSH服務器，終端運行支持SSH2.0標準的客戶端軟件如Secure shell client或put

39、ty等?？蛻舳耸褂糜脩裘兔艽a方式登錄交換機。 交換機首先配置本地的地址，然后增加SSH用戶，啟動SSH服務，這樣SSH2.0客戶端軟件就可以利用交換機配置的用戶名和密碼遠程登錄配置SSH服務的交換機了。Switch(config)#ssh-server enable Switch(config)#interface vlan 1Switch(Config-if-Vlan1)#ip address 00 Switch(Config-if-Vlan1)#exitSwitch(config)#ssh-user test password 0 te

40、st如果是IPv6網(wǎng)絡，終端需要運行支持IPv6功能的SSH客戶端軟件，例如putty6，交換機上除配置本地的地址為IPv6地址外，其它配置不變。2.3 配置交換機的IP地址交換機所有以太網(wǎng)接口都默認為二層（DataLink Layer）端口，進行二層轉(zhuǎn)發(fā)。VLAN接口（Interface VLAN）代表了某一個VLAN的三層接口功能，可以配置IP地址，該IP地址也是交換機的IP地址。VLAN接口相關的配置命令都可以在VLAN接口模式下配置。交換機為用戶提供了三種配置IP地址的方式：C 手工配置方式C BootP方式C DHCP方式手工配置IP地址，即用戶為交換機指定一個IP地址。BootP/

41、DHCP方式是交換機作為BootP/DHCP Client，向BootP/DHCP Server發(fā)出BootPRequest（申請獲取地址的請求包）廣播包，BootP/DHCP Server接收到請求后將地址分配給交換機。另外交換機還具有了DHCP Server的功能，能夠動態(tài)的為DHCP Client分配IP地址、網(wǎng)關地址及DNS服務器地址等網(wǎng)絡參數(shù)。具體DHCP Server的配置參見網(wǎng)絡協(xié)議操作部分。2.3.1 配置交換機的IP地址任務序列1. 進入VLAN接口配置模式2. 手工配置方式3. BootP方式4. DHCP方式1. 進入VLAN接口配置模式 命令解釋全局配置模式interf

42、ace vlan <vlan-id> no interface vlan <vlan-id>創(chuàng)建一個VLAN接口（VLAN接口屬于三層接口）；本命令的no操作為刪除交換機創(chuàng)建的VLAN接口（三層接口）。2.手工配置方式命令解釋VLAN接口配置模式 ip address <ip_address> <mask> secondaryno ip address <ip_address> <mask> secondary配置交換機的VLAN接口的IP地址；本命令的no操作為刪除交換機的VLAN接口的IP地址。ipv6 address

43、 <ipv6-address / prefix-length> eui-64no ipv6 address <ipv6-address / prefix-length>配置IPv6地址，包括可聚合全球單播地址，本地站點地址，本地鏈路地址。本命令的no 操作為刪除IPv6地址。3.BootP方式命令解釋VLAN接口配置模式 ip bootp-client enable no ip bootp-client enable使能交換機為BootP Client，通過BootP協(xié)商方式獲取IP地址及網(wǎng)關地址；本命令的no操作為關閉BootP Client功能。4.DHCP命令解釋

44、VLAN接口配置模式 ip dhcp-client enableno ip dhcp-client enable使能交換機為DHCP Client，通過DHCP協(xié)商方式獲取IP地址及網(wǎng)關地址；本命令的no操作為關閉DHCP Client功能。2.4 SNMP配置2.4.1 SNMP介紹SNMP（Simple Network Management Protocol，簡單網(wǎng)絡管理協(xié)議）是目前使用最廣泛的網(wǎng)絡管理協(xié)議，大量應用于以TCP/IP為基礎的計算機網(wǎng)絡。SNMP是一個不斷發(fā)展著的協(xié)議：SNMP v1簡單、易實現(xiàn)，被眾多廠家支持； SNMPv2c對v1的功能進行了部分修正和豐富，開始支持分層式

45、的網(wǎng)管；SNMPv3在安全性上做了極大的擴充，添加了USM（基于用戶的安全模型）和VACM（基于視圖的訪問控制模型）子系統(tǒng)。SNMP協(xié)議提供了一個在網(wǎng)絡中兩點之間交換管理信息的直接的、基本的方法。SNMP采用輪詢的消息查詢機制，采用被廣泛使用的面向無連接的傳輸層協(xié)議UDP來傳輸消息，因此能夠很好的被現(xiàn)有的計算機網(wǎng)絡支持。SNMP協(xié)議采用管理站/代理模式，因此SNMP結構包括兩個部分：NMS 網(wǎng)絡管理站（Network Management Station），是運行支持SNMP協(xié)議的網(wǎng)管軟件客戶端程序的工作站，在SNMP的網(wǎng)絡管理中起核心作用。Agent 代理，是運行在被管理網(wǎng)絡設備上的服務器端

46、軟件，直接管理被管對象。NMS利用通信手段，通過Agent代理來管理各被管對象。（本款及后續(xù)系列交換機都具有Agent代理功能）。SNMP的NMS和Agent之間通過標準消息進行通信，采取客戶/服務器模式，由NMS發(fā)出請求，Agent做出應答。SNMP共有7種消息類型：C Get-RequestC Get-ResponseC Get-Next-RequestC Get-Bulk-RequestC Set-RequestC TrapC Inform-RequestNMS通過Get-Request、Get-Next-Request，Get-Bulk-Request和Set-Request消息來對A

47、gent發(fā)出查詢和設置管理變量的請求，Agent在收到請求后，用Get-Response消息來對請求進行回復。在某些特殊情況下，如網(wǎng)絡設備端口UP/DOWN、網(wǎng)絡拓樸變化時候，Agent會主動的向NMS發(fā)送Trap消息來通知NMS發(fā)生了異常事件。（當然，NMS還可以通過設置RMON功能，自行對一些情況設置警報，當設定的警報事件觸發(fā)后，Agent將根據(jù)設置發(fā)送Trap或記錄Log，關于RMON，下面有具體介紹）。Inform-Request主要用于NMS之間進行通信，一般應用于分層式的網(wǎng)絡管理。USM提供了完善的加密和鑒別服務，保證了傳輸?shù)陌踩?。根?jù)用戶輸入的密碼，USM對報文進行加密，保證報

48、文在傳輸過程中不被察看，對報文進行鑒別，保證報文在傳輸過程中不被修改。USM的標準加密算法為DES-CBC算法，鑒別算法為HMAC-MD5和HMAC-SHA算法。同時USM提供了時間窗的檢查，防止網(wǎng)絡延遲和重播的干擾。VACM提供了優(yōu)秀的用戶鑒權服務，保證了訪問的安全性。VACM將訪問權限相同的用戶放入同一組中，并為組劃分了讀寫和通告操作的安全范圍，有效地防止了用戶的越權行為。2.4.2 MIB介紹NMS可以訪問的網(wǎng)管信息是經(jīng)過精確的定義的，被完備的組織在一個管理信息數(shù)據(jù)庫中，即MIB。所謂MIB 管理信息庫（Management Information Base），是對于通過網(wǎng)絡管理協(xié)議可以

49、訪問信息的精確定義。它使用一個層次化、結構化的形式，定義了可以從被監(jiān)測網(wǎng)絡設備上獲得的管理信息。ISO ASN.1為MIB定義了一個樹型結構，每個MIB都用這種樹型結構來組織所有的可用信息，樹的每個節(jié)點都包含一個OID 對象標識符(Object Identifier)和一個關于該節(jié)點的簡短文本描述。OID是有句點隔開的一組整數(shù)，它命名節(jié)點并且可以由它指示該節(jié)點在MIB樹型結構中的位置，如下圖所示：圖 21 ASN.1樹實例在該圖中，對象A的OID為，NMS通過這個獨一無二的OID，可以沒有歧義的訪問到這個對象，從而獲取這個對象包含的標準變量。MIB就按照這個結構定義了一個所監(jiān)控網(wǎng)

50、絡設備的標準變量的集合。如果您需要瀏覽Agent的MIB中的變量信息，需要在NMS上運行MIB瀏覽軟件。Agent上的MIB一般包括公有MIB和私有MIB兩部分，公有MIB內(nèi)定義的是公開的，所有NMS都可以訪問的網(wǎng)絡管理信息，私有MIB內(nèi)定義的是各設備特有的屬性信息，需要設備廠商的支持才可以瀏覽和控制。MIB-I RFC1156是SNMP公有MIB庫的第一個版本，后來經(jīng)過擴充，被MIB-II RFC1213所取代，MIB-II保留了MIB-I在原來的MIB樹中的對象標識符。MIB-II下面包含很多子樹，我們將之稱為組，這些組里的對象覆蓋了網(wǎng)絡管理的各個功能域，NMS通過訪問SNMP Agent

51、的MIB庫，就可以得到相應的網(wǎng)絡管理信息。本交換機可以做為SNMP Agent，支持SNMPv1/v2c和SNMPv3。本交換機支持基本的MIB-II、RMON公有MIB，還支持BRIDGE MIB等相關公有MIB，同時支持自定義的私有MIB，基本涵蓋了本款交換機所涉及的各個相關參數(shù)，為網(wǎng)管軟件管理提供全面的支持。2.4.3 RMON介紹RMON是對SNMP標準基本體系的最重要的擴充。RMON是一套MIB定義，其作用是定義標準的網(wǎng)絡監(jiān)視功能和接口，使基于SNMP的管理終端和遠程監(jiān)視器之間能夠通信。RMON提供了一種有效并且高效的方法來監(jiān)視子網(wǎng)范圍內(nèi)的行為。RMON的MIB分為10組，該交換機支

52、持其中最常用的1、2、3、9組，即：統(tǒng)計組(statistics)：維護代理監(jiān)視的每一個子網(wǎng)的基本使用和錯誤統(tǒng)計。歷史組(history)：記錄從統(tǒng)計組可得到的信息的周期性統(tǒng)計樣本。警報組(alarm)：允許管理控制臺人員為RMON代理記錄的任何計數(shù)或整數(shù)設置采樣間隔和報警閾值。事件組(event)：一個關于由RMON代理產(chǎn)生的所有事件的表。其中，警報組需要事件組的實現(xiàn)。統(tǒng)計組和歷史組是顯示現(xiàn)在或以前的一些子網(wǎng)統(tǒng)計數(shù)據(jù)。警報組和事件組則提供了一種可以監(jiān)視網(wǎng)絡上任意整數(shù)型數(shù)據(jù)變化的方法，并在數(shù)據(jù)異常時提供一些警告動作（發(fā)送Trap或者記錄Log）。2.4.4 SNMP配置 SNMP

53、配置任務序列1.打開或關閉SNMP代理服務器功能2.配置SNMP團體字符串及代理設備的屬性3.配置SNMP管理站地址4.配置引擎號5.配置用戶6.配置組7.配置視圖8.配置TRAP9.啟動/關閉RMON1.打開或關閉SNMP代理服務器功能命令解釋全局配置模式 snmp-server enableno snmp-server enable打開交換機作為SNMP代理服務器功能；本命令的no操作為關閉SNMP代理服務器功能。2.配置SNMP團體字符串命令解釋全局配置模式 snmp-server community ro|rw <string>no snmp-server communit

54、y <string>設置交換機的團體字符串；本命令no操作為刪除配置的團體字符串。3.配置SNMP管理站地址命令解釋全局配置模式 snmp-server securityip <ipv4-addr> | <ipv6-addr> no snmp-server securityip <ipv4-addr> | <ipv6-addr> 設置允許訪問本交換機的NMS管理站的安全IPv4或者IPv6地址；本命令的no操作為刪除配置的安全IPv4或者IPv6地址。 snmp-server securityip enablesnmp-server

55、securityip disable打開/關閉NMS管理站的安全IP地址檢查功能。4.配置引擎號命令解釋全局配置模式snmp-server engineid < engine-string >no snmp-server engineid 設置交換機的本地引擎號，用于v3。5.配置用戶命令解釋全局配置模式snmp-server user <use-string> <group-string> encrypted | noencrypted auth md5 | sha <word>no snmp-server user <user-stri

56、ng>為一個SNMP的組添加一個新用戶，完成USM配置，用于v3。6.配置組命令解釋全局配置模式snmp-server group <group-string> noauthnopriv | authnopriv | authpriv read <read-string> write <write-string> notify <notify-string>no snmp-server group <group-string> noauthnopriv | authnopriv | authpriv設置交換機的組信息，完成VACM配置，用于v3。7.配置視圖命令解釋全局配置模式snmp-server view <view-string> <oid-string> include | excludeno snmp-server view <view-string> <oid-string>設置交換機的視圖信息，用于v3。8.配置TRAP命令解釋全局配置模式snmp-server enable trapsno snmp-server enable traps