思科300系列管理型交换机管理指南版本1.
4管理指南目录思科300系列管理型交换机管理指南11目录第1章:目录1第2章:使用入门10启动基于Web的配置实用程序10设备配置快速入门13接口命名约定13窗口导航14第3章:状态和统计信息17系统摘要17以太网接口17Etherlike统计信息18GVRP统计信息19802.
1XEAP统计信息20ACL统计信息21TCAM利用率22状况22RMON23查看日志29第4章:管理:系统日志30设置系统日志设置30设置远程记录设置32查看内存日志33目录思科300系列管理型交换机管理指南21第5章:管理:文件管理35系统文件35升级/备份固件/语言37活动映像40下载/备份配置/日志41配置文件属性45复制/保存配置45通过DHCP进行自动配置/映像更新46第6章:管理54设备型号55系统设置57Console设置(自动波特率支持)59管理接口60用户帐户60定义闲置会话超时60时间设置60系统日志61文件管理61重启设备61路由资源62状况64诊断65发现-Bonjour65发现-LLDP65发现-CDP65Ping65Traceroute67目录思科300系列管理型交换机管理指南31第7章:管理:时间设置68系统时间选项68SNTP模式70配置系统时间70第8章:管理:诊断78铜缆端口测试78显示光纤模块状态80配置端口和VLAN镜像81查看CPU使用率和安全的核心技术82第9章:管理:发现协议84Bonjour84LLDP和CDP85配置LLDP86配置CDP103CDP统计信息110第10章:端口管理111配置端口111环回检测115链路聚合117UDLD123PoE123配置绿色以太网123第11章:端口管理:单向链路检测130UDLD概述130UDLD操作131使用指南133目录思科300系列管理型交换机管理指南41与其他功能的依赖性133默认设置和配置133使用说明134常见UDLD任务134配置UDLD135第12章:智能端口138综述138什么是智能端口139智能端口类型139智能端口宏141宏失败和重置操作142智能端口功能如何运作143自动智能端口143错误处理146默认配置147与其他功能的关系和向后兼容性147常见智能端口任务147使用基于Web的界面配置智能端口149内置智能端口宏153第13章:端口管理:PoE164设备上的PoE164PoE属性166PoE设置167第14章:VLAN管理170综述170常规VLAN177专用VLAN设置184目录思科300系列管理型交换机管理指南51GVRP设置184VLAN组185语音VLAN188访问端口组播TVVLAN198客户端口组播TVVLAN200第15章:生成树203STP模式203STP状态和全局设置204生成树接口设置205快速生成树设置207多生成树209MSTP属性209VLAN到MSTP实例210MSTP实例设置211MSTP接口设置212第16章:管理MAC地址表214静态MAC地址214动态MAC地址215保留的MAC地址216第17章:组播218组播转发218组播属性222MAC组地址223IP组播组地址224IPv4组播配置225IPv6组播配置227IGMP/MLDSnoopingIP组播组229目录思科300系列管理型交换机管理指南61组播路由器端口230全部转发231未注册的组播232第18章:IP配置233综述233IPv4管理和接口236DHCP服务器250IPv6管理和接口256域名268第19章:安全272配置安全性273配置TACACS+275配置RADIUS279管理访问方法282管理访问验证286安全敏感数据管理287SSL服务器287SSH服务器289SSH客户端289配置TCP/UDP服务290定义风暴控制291配置端口安全292802.
1X293DoS防护294DHCPSnooping301IP源防护301ARP检测305目录思科300系列管理型交换机管理指南71第一步跳安全性309第20章:安全:802.
1x验证310802.
1X概述310验证方概述312常见任务320通过GUI进行802.
1X配置321定义时间范围329验证方法和端口模式支持329第21章:安全:IPv6第一步跳安全性332IPv6第一步跳安全性概述333路由器通告防护337邻居发现检测337DHCPv6防护338邻近绑定完整性338IPv6源防护340攻击保护341策略、全局参数和系统默认值342常见任务343默认设置和配置345使用说明345通过WebGUI配置IPv6第一步跳安全性346第22章:安全:安全敏感数据管理360简介360SSD规则361SSD属性365配置文件367SSD管理通道370目录思科300系列管理型交换机管理指南81菜单CLI和密码恢复371配置SSD371第23章:安全:SSH客户端374安全复制(SCP)和SSH374保护方法375SSH服务器验证376SSH客户端验证377使用准备377常见任务378GUI中的SSH客户端配置379第24章:安全:SSH服务器383综述383常见任务383SSH服务器配置页面384第25章:访问控制387访问控制列表387基于MAC的ACL390基于IPv4的ACL392基于IPv6的ACL396ACL绑定399第26章:服务质量401QoS功能和组件401配置QoS-一般403QoS基本模式411QoS高级模式413管理QoS统计信息422目录思科300系列管理型交换机管理指南91第27章:SNMP425SNMP版本和工作流程425型号OID427SNMP引擎ID429配置SNMP视图430创建SNMP组431管理SNMP用户433定义SNMP社区434定义陷阱设置436通知接收设备436SNMP通知过滤器4392思科300系列管理型交换机管理指南10使用入门本节介绍了基于Web的配置实用程序,具体包括以下主题:启动基于Web的配置实用程序设备配置快速入门接口命名约定窗口导航启动基于Web的配置实用程序本节介绍了如何导航基于Web的交换机配置实用程序.
如果您使用了弹出窗口拦截器,请确保已将其禁用.
浏览器限制如果正在管理站上使用IPv6接口,则可以使用IPv6全局地址(而非IPv6链路本地地址)从浏览器访问设备.
启动配置实用程序打开基于Web的配置实用程序的步骤:步骤1打开任一Web浏览器.
步骤2在浏览器地址栏中输入要配置的设备的IP地址,然后按Enter.
注当设备使用出厂默认IP地址192.
168.
1.
254时,其电源LED将持续闪烁.
当设备使用DHCP分配的IP地址或管理员配置的静态IP地址时,电源LED将持续亮起.
使用入门启动基于Web的配置实用程序思科300系列管理型交换机管理指南112登录默认用户名为cisco,默认密码为cisco.
第一次使用默认用户名和密码登录时,您需要输入新密码.
注如果您之前没有为GUI选择语言,则登录页面的语言将由浏览器所请求的语言以及设备上配置的语言决定.
例如,如果浏览器请求使用中文,且中文已加载到设备中,则登录页面将自动显示为中文.
如果中文尚未加载到设备中,登录页面将显示为英文.
加载到设备中的语言具有一个语言和国家/地区代码(en-US、en-GB等).
若要使登录页面自动以特定语言显示,根据浏览器请求,浏览器的语言和国家/地区代码请求必须与设备上所加载语言的代码相匹配.
如果浏览器请求仅包含语言代码,而不包含国家/地区代码(例如:fr).
系统将会采用第一个具有匹配语言代码(而没有匹配国家/地区代码,例如:fr_CA)的嵌入式语言.
登录到设备配置实用程序的步骤:步骤1输入用户名/密码.
该密码最多可以包含64个ASCII字符.
在设置密码强度规则中介绍了密码复杂性规则.
步骤2如果不使用英文,可以从语言下拉菜单中选择所需的语言.
要为设备添加新语言或更新当前语言,请参阅升级/备份固件/语言.
步骤3如果这是首次使用默认用户ID(cisco)和默认密码(cisco)登录,或者密码已过期,将会打开"更改密码"页面.
有关其他信息,请参阅密码过期.
步骤4选择是否选择禁用密码复杂性规则.
有关密码复杂性的详细信息,请参阅"设置密码强度规则"一节.
步骤5输入新密码并单击应用.
如果登录尝试成功,将会显示"使用入门"页面.
如果输入了错误的用户名或密码,将显示错误消息,而窗口上会继续显示"登录"页面.
如果登录时遇到问题,请参阅"管理指导"中的"启动配置实用程序"一节了解详情.
选择启动时不显示此页面,可防止每次登录系统时都显示"使用入门"页面.
如果选择了该选项,系统将打开"系统摘要"页面,而不是"使用入门"页面.
HTTP/HTTPS您可以单击登录以打开HTTP会话(不安全),也可以单击安全浏览(HTTPS)打开HTTP会话(安全).
系统会要求您使用默认的RSA密钥进行合法登录,然后将打开一个HTTPS会话.
注在单击安全浏览(HTTPS)按钮之前,无需输入用户名/密码.
有关如何配置HTTPS的信息,请参阅SSL服务器.
使用入门启动基于Web的配置实用程序思科300系列管理型交换机管理指南122密码过期在以下情况下会显示"新密码"页面:首次使用默认用户名cisco和密码cisco访问设备.
此页面会强制您替换出厂默认密码.
当密码过期时,此页面会强制您选择新密码.
注销默认情况下,如果应用程序在十分钟内无活动,将会注销.
您可以按定义闲置会话超时一节中所述更改此默认值.
!
注意除非将当前配置复制到启动配置,否则重启设备时,将会删除自上次保存文件以来所做的所有更改.
在注销前请先将当前配置保存到启动配置,以便保留在该会话期间所做的一切更改.
保存应用程序链接左侧的闪烁的红色X图标,表明尚未将当前配置更改保存到启动配置文件.
您可以单击"复制/保存配置"页面上的禁用保存图标闪烁按钮,禁止闪烁.
当设备自动发现一个设备,例如,一台IP电话时(请参阅什么是智能端口),会为该设备相应地配置端口.
这些配置命令将写入当前配置文件中.
这将导致您登录时,即使您没有更改任何配置,"保存"图标也会开始闪烁.
当单击保存时,将出现"复制/保存配置"页面.
通过将当前配置文件复制到启动配置文件来保存该文件.
保存后,将不再显示红色X图标和"保存"应用程序链接.
要注销,只需单击任意页面右上角的退出,系统便会注销设备.
如果发生超时,或者您主动注销系统,系统会显示一则消息并显示"登录"页面,同时弹出一则消息,说明应用程序处于已注销状态.
登录后,应用程序会返回到初始页面.
初始页面的内容取决于是否在"使用入门"页面中选择"启动时不显示此页面"选项.
如果未选择该选项,则初始页面为"使用入门"页面.
如果选择了该选项,则初始页面为"系统摘要"页面.
使用入门设备配置快速入门思科300系列管理型交换机管理指南132设备配置快速入门为通过快速导航简化设备配置,"使用入门"页面提供了最常用页面的链接.
在"使用入门"页面上有两个热链接,可将您带入思科Web页面了解详情.
单击支持链接,您将可以访问设备产品支持页面,而单击论坛链接,您将可以访问"思科精睿支持社区"页面.
接口命名约定在GUI内,可结合以下元素表示接口:接口类型:以下类型的接口在各种类型的设备上均有提供:-快速以太网(10/100位)-这种类型的接口显示为FE.
-千兆以太网端口(10/100/1000位)-这种类型的接口显示为GE.
-LAG(端口通道)-这种类型的接口显示为LAG.
-VLAN-这种类型的接口显示为VLAN.
-隧道-这种类型的接口显示为隧道.
接口编号:端口、LAG、隧道或VLANID类别链接名称(在页面上)链接的页面更改管理应用和服务"TCP/UDP服务"页面更改设备IP地址"IPv4接口"页面创建VLAN"创建VLAN"页面配置端口设置"端口设置"页面设备状态系统摘要"系统摘要"页面端口统计信息"接口"页面RMON统计信息"统计信息"页面查看日志"RAM内存"页面快速访问更改设备密码"用户帐户"页面升级设备软件"升级/备份固件/语言"页面备份设备配置"下载/备份配置/日志"页面创建基于MAC的ACL"基于MAC的ACL"页面创建基于IP的ACL"基于IPv4的ACL"页面配置QoS"QoS属性"页面配置端口镜像"端口和VLAN镜像"页面使用入门窗口导航思科300系列管理型交换机管理指南142窗口导航本节介绍了基于Web的交换机配置实用程序的功能.
应用报头应用报头显示在每个页面上.
可以提供以下应用程序链接:应用程序链接名称说明显示在保存应用程序链接左侧的闪烁的红色X图标表明对当前配置进行了更改,但尚未将更改保存到启动配置文件.
您可以在"复制/保存配置"页面上禁止红色X闪烁.
单击保存显示"复制/保存配置"页面.
在设备上,通过将当前配置文件复制到启动配置文件类型来保存该文件.
保存后,将不再显示红色X图标和"保存"应用程序链接.
设备重启时,会将启动配置文件类型复制到当前配置,并根据当前配置中的数据设置设备参数.
用户名显示登录到设备的用户名.
默认的用户名为cisco.
(默认密码是cisco.
)语言菜单此菜单提供了以下选项:选择语言:从菜单所显示的语言中选择一种语言.
此语言将作为基于Web的配置实用程序的语言.
下载语言:将一种新语言添加到设备.
删除语言:删除设备上的第二种语言.
第一种语言(英文)无法删除.
调试:用来进行转换.
如果选择此选项,所有基于Web的配置实用程序标签将消失,其原来的位置上将显示与语言文件中的ID对应的字符串ID.
注要升级语言文件,请使用"升级/备份固件/语言"页面.
退出单击该链接可注销基于Web的交换机配置实用程序.
关于单击该链接会显示设备名称和设备版本号.
帮助单击该链接会显示在线帮助.
如果记录了严重性级别高于严重的系统日志消息,则会显示"系统日志警报状态"图标.
单击该图标将打开RAM内存页面.
访问该页面后,将不会再显示"系统日志警报状态"图标.
要在没有活动的系统日志消息的情况下显示该页面,请单击状态和统计信息>查看日志>RAM内存.
使用入门窗口导航思科300系列管理型交换机管理指南152管理按钮下表介绍了系统中各页面上显示的常用按钮.
按钮名称说明使用此下拉菜单可配置每个页面的条目数.
表示必填字段.
添加单击该按钮会显示相关的"添加"页面并在表格中添加一个条目.
输入信息并单击应用,可将该更改保存到当前配置中.
单击关闭可返回主页面.
单击保存会显示"复制/保存配置"页面,并在设备上将当前配置保存到启动配置文件类型.
应用单击该按钮会将更改应用到设备上的当前配置.
除非将当前配置保存到启动配置文件类型或其他文件类型,否则当设备重启时,当前配置会丢失.
单击保存会显示"复制/保存配置"页面,并在设备上将当前配置保存到启动配置文件类型.
取消单击该按钮会重置对页面所做的更改.
清除所有接口的计数器单击该按钮会将所有接口的统计计数器清零.
清除接口计数器单击该按钮会将所选接口的统计计数器清零.
清除日志清除日志文件.
清除表清除表格条目.
关闭返回主页面.
如果所有更改均未应用到当前配置,将显示一条消息.
复制设置表格通常包含一个或多个包含配置设置的条目.
无需单独修改每个条目,而是可以先修改一个条目,然后再将所选条目复制到多个条目,方法如下:1.
选择要复制的条目.
单击复制设置以显示弹出式窗口.
2.
在至字段中输入目的条目编号.
3.
单击应用保存更改,然后单击关闭返回主页面.
删除在表中选中一个条目后,单击删除以删除该条目.
详情单击该按钮可显示所选条目的相关详情.
使用入门窗口导航思科300系列管理型交换机管理指南162编辑选择条目,然后单击编辑.
此时将显示"编辑"页面,并且可以对条目进行修改.
1.
单击应用可将更改保存到当前配置中.
2.
单击关闭可返回主页面.
转至输入查询过滤条件并单击转至.
查询结果便会显示在页面上.
刷新单击刷新可刷新计数器值.
测试单击测试可执行相关测试.
按钮名称说明3思科300系列管理型交换机管理指南17状态和统计信息本节介绍如何查看设备统计信息.
其中包含以下主题:系统摘要以太网接口Etherlike统计信息GVRP统计信息802.
1XEAP统计信息ACL统计信息TCAM利用率状况RMON查看日志系统摘要请参阅系统设置.
以太网接口"接口"页面会显示每个端口的流量统计信息.
该信息的刷新速率是可以选择的.
该页面对于分析发送和接收的流量数量及其传播方式(单播、组播和广播)非常有用.
状态和统计信息Etherlike统计信息思科300系列管理型交换机管理指南183显示以太网统计信息和/或设置刷新率的步骤:步骤1单击状态和统计信息>接口.
步骤2输入参数.
接口-选择接口类型以及要显示其以太网统计信息的具体接口.
刷新速率-选择刷新接口以太网统计信息的间隔时间.
接收统计信息区域显示关于传入数据包的信息.
字节总数(八位字节)-接收的八位字节数,包括坏数据包和FCS八位字节数,但不包括帧位.
单播数据包数-接收到的正常单播数据包数.
组播数据包数-接收到的正常组播数据包数.
广播数据包数-接收到的正常广播数据包数.
带有错误的数据包数-接收到的有错误的数据包数.
传输数据统计区域显示关于传出数据包的信息.
字节总数(八位字节)-传输的八位字节数,包括坏数据包和FCS八位字节数,但不包括帧位.
单播数据包数-传输的正常单播数据包数.
组播数据包数-传输的正常组播数据包数.
广播数据包数-传输的正常广播数据包数.
清除或查看统计信息计数器的步骤:单击清除接口计数器清除显示的接口的计数器.
单击查看所有接口统计信息,在单个页面中查看所有端口.
Etherlike统计信息Etherlike页面根据EtherlikeMIB标准定义显示每个端口的统计信息.
该信息的刷新速率是可以选择的.
该页面提供关于物理层(第1层)中错误(可能中断流量)的更为详细的信息.
状态和统计信息GVRP统计信息思科300系列管理型交换机管理指南193查看Etherlike统计信息和/或设置刷新速率的步骤:步骤1单击状态和统计信息>Etherlike.
步骤2输入参数.
接口-选择接口类型以及要显示其以太网统计信息的具体接口.
刷新速率-选择刷新Etherlike统计信息的间隔时间.
系统会针对选定接口显示以下字段.
帧校验序列(FCS)错误数-接收到的未能通过CRC(循环冗余校验)的帧.
信号冲突帧数-出现单个冲突,但成功传输的帧.
滞后冲突-在数据的前512位后检测到的冲突.
过量冲突-由于过量冲突而被拒绝的传输.
过大数据包数-接收到的大于2000八位字节的数据包数.
内部MAC接收错误-由于接收器错误而被拒绝的帧数.
已接收的暂停帧数-接收到的流控制暂停帧数.
已发送的暂停帧数-从选定接口传输的流控制暂停帧数.
清除统计信息计数器的步骤:单击清除接口计数器清除选定的接口计数器.
单击查看所有接口统计信息,在单个页面中查看所有端口.
GVRP统计信息GVRP页面显示关于从一个端口发送或接收的GARPVLAN注册协议(GVRP)帧的信息.
GVRP是一种基于标准的第2层网络协议,用于在交换机上自动配置VLAN信息.
它是在对802.
1Q-2005的802.
1ak修订中定义的.
仅当在全局和某端口上启用了GVRP时,才会显示该端口的GVRP统计信息.
请参阅GVRP页面.
查看GVRP统计信息和/或设置刷新速率的步骤:步骤1单击状态和统计信息>GVRP.
步骤2输入参数.
状态和统计信息802.
1XEAP统计信息思科300系列管理型交换机管理指南203接口-选择要显示GVRP统计信息的具体接口.
刷新速率-选择刷新GVRP统计信息的间隔时间.
属性计数器块显示每个接口的各种类型数据包的计数器.
JoinEmpty-接收/传输的GVRPJoinEmpty数据包.
空-接收/传输的GVRP空数据包.
LeaveEmpty-接收/传输的GVRPLeaveEmpty数据包.
JoinIn-接收/传输的GVRPJoinIn数据包.
LeaveIn-接收/传输的GVRPLeaveIn数据包.
LeaveAll-接收/传输的GVRPLeaveAll数据包.
GVRP错误统计信息部分显示GVRP错误计数器.
无效协议ID-无效协议ID错误数.
无效属性类型-无效属性ID错误数.
无效属性值-无效属性值错误数.
无效属性长度-无效属性长度错误数.
无效事件-无效事件数.
清除统计信息计数器的步骤:单击清除接口计数器清除选定的计数器.
单击查看所有接口统计信息,在单个页面中查看所有端口.
802.
1XEAP统计信息802.
1xEAP页面会显示关于发送或接收的EAP(扩展认证协议)帧的详细信息.
要配置802.
1X功能,请参阅"802.
1X属性"页面.
查看EAP统计信息和/或设置刷新速率的步骤:步骤1单击状态和统计信息>802.
1xEAP.
步骤2选择需要轮询统计信息的接口.
步骤3选择刷新EAP统计信息的刷新速率(间隔时间).
状态和统计信息ACL统计信息思科300系列管理型交换机管理指南213系统会针对选定接口显示以下值.
已接收的EAPOL帧数-在该端口上接收的有效EAPOL帧数.
已发送的EAPOL帧数-在该端口上传输的有效EAPOL帧数.
已接收的EAPOL开始帧数-在该端口上接收的EAPOL开始帧数.
已接收的EAPOL注销帧数-在该端口上接收的EAPOL注销帧数.
已接收的EAP响应/ID帧数-在该端口上接收的EAPResp/ID帧数.
已接收的EAP响应帧数-端口接收的EAP响应帧数(除Resp/ID帧外).
已发送的EAP请求/ID帧数-在该端口上传输的EAPReq/ID帧数.
已发送的EAP请求帧数-该端口传输的EAP请求帧数.
已接收的无效EAPOL帧数-在该端口接收的不可识别的EAPOL帧数.
已接收的EAP长度错误帧数-此端口上接收的具有无效数据包正文长度的EAPOL帧数.
最新EAPOL帧版本-最新收到的EAPOL帧上附加的协议版本号.
最新EAPOL帧源-最新收到的EAPOL帧上附加的源MAC地址.
清除统计信息计数器的步骤:单击清除接口计数器清除选定的接口计数器.
单击刷新可刷新选定的接口计数器.
单击查看所有接口统计信息清除所有接口的计数器.
ACL统计信息启用ACL记录功能时,系统会为与ACL规则匹配的数据包生成系统日志通知消息.
查看基于ACL转发或拒绝数据包的接口的步骤:步骤1单击状态和统计信息>ACL.
步骤2选择刷新速率,即刷新页面的时间间隔(以秒为单位的时间段).
为每个时间段创建一组新接口.
系统会显示基于ACL规则转发或拒绝数据包的接口.
状态和统计信息TCAM利用率思科300系列管理型交换机管理指南223管理统计信息计数器的步骤:单击刷新重置计数器.
单击清除计数器清除所有接口的计数器.
TCAM利用率设备架构使用三重内容可寻址存储器(TCAM)来支持线速数据包操作.
TCAM存放由应用生成的规则,如ACL(访问控制列表)、服务质量(QoS)和IP路由,以及用户创建的规则.
有的应用一开始就分配规则.
此外,在系统启动期间初始化的流程会在启动过程中使用它们的一些规则.
要查看TCAM利用率,请单击状态和统计信息>TCAM利用率.
"TCAM利用率"页面显示以下字段:IPv4和非IP的最大TCAM条目数-最大可用TCAM条目数.
IPv4路由-使用中-用于IPv4路由的TCAM条目数.
-最大值-可用于IPv4路由的可用TCAM条目数.
非IP规则-使用中-用于非IP规则的TCAM条目数.
-最大值-可用于非IP规则的可用TCAM条目数.
状况请参阅状况.
状态和统计信息RMON思科300系列管理型交换机管理指南233RMONRMON(远程网络监控)使设备中的SNMP代理能够在指定时间段内前瞻性地监控流量统计信息并向SNMP管理器发送Trap.
本地SNMP代理比较实际的实时计数器与预定义阈值并生成告警,而不需要中央SNMP管理平台进行轮询.
如果用户设置了相对于网络基线的正确阈值,那么这会是一种有效的前瞻性管理机制.
RMON会降低管理器与设备之间的流量,因为SNMP管理器不必频繁地轮询设备来获得信息;而且能使管理器及时地获得状态报告,因为设备会在事件发生时进行报告.
有了这一功能,您可以执行以下操作:查看当前的统计信息(从计数器值被清除的时间起).
您还可以收集这些计数器在一段时间内的值,然后查看列出所收集数据的表格,其中每个收集的数据集都是历史选项卡里的一行.
对计数器值定义有意义的更改,例如"滞后冲突达到一定数量"(定义告警),然后指定发生该事件后执行什么操作(记录、发送Trap或记录并发送Trap).
RMON统计信息"统计信息"页面显示关于数据包大小的详细信息和关于物理层错误的信息.
显示的信息基于RMON标准.
过大的数据包定义为满足以下条件的以太网帧:数据包长度大于MRU字节大小.
尚未检测冲突事件.
尚未检测延时冲突事件.
尚未检测Rx错误事件.
数据包具有有效的CRC.
查看RMON统计信息和/或设置刷新速率的步骤:步骤1单击状态和统计信息>RMON>统计信息.
步骤2选择要显示以太网统计信息的接口.
步骤3选择刷新速率,即刷新接口统计信息的间隔时间.
系统会针对选定接口显示以下统计信息.
已接收的字节数-接收的八位字节数,包括坏数据包和FCS八位字节数,但不包括帧位.
丢弃事件-丢弃的数据包.
已接收的数据包-接收的正常数据包,包括组播数据包和广播数据包.
已接收的广播数据包数-接收到的正常广播数据包数.
该数量不包括组播数据包.
状态和统计信息RMON思科300系列管理型交换机管理指南243已接收的组播数据包数-接收到的正常组播数据包数.
CRC和Align错误数-发生的CRC和Align错误数.
过小数据包数-接收的大小不足(小于64八位字节)的数据包数.
过大数据包数-接收的大小过大(大于2000八位字节)的数据包数.
分片数-接收的片段(小于64八位字节的数据包,不包括帧位,但包括FCS八位字节)数.
超时发送帧数-接收的大于1632八位字节的数据包数.
该数量不包括帧位,但包括具有整数数量八位字节(FCS错误)的坏FCS(帧校验序列)或具有非整数八位字节(校正误差)的坏FCS的FCS八位字节数.
超时发送帧数据包定义为满足以下条件的以太网帧:-数据包数据长度大于MRU.
-数据包具有无效的CRC.
-尚未检测Rx错误事件.
冲突数-接收的冲突数.
如果启用了巨型帧,超时发送帧的阈值将提升为巨型帧的最大大小.
64字节的帧数-接收的包含64字节的帧数.
65至127字节的帧数-接收的包含65-127字节的帧数.
128至255字节的帧数-接收的包含128-255字节的帧数.
256至511字节的帧数-接收的包含256-511字节的帧数.
512至1023字节的帧数-接收的包含512-1023字节的帧数.
超过1024字节的帧数-接收的包含1024-2000字节的帧和巨型帧的数量.
清除统计信息计数器的步骤:单击清除接口计数器清除选定的接口计数器.
单击查看所有接口统计信息,在单个页面中查看所有端口.
RMON历史RMON功能可以监控每个接口的统计信息.
"历史控制表"页面可定义取样频率、要存储的样本数量以及要从中收集数据的端口.
数据经过取样和存储后,将显示在"历史表"页面中,可通过单击历史表进行查看.
状态和统计信息RMON思科300系列管理型交换机管理指南253输入RMON控制信息的步骤:步骤1单击状态和统计信息>RMON>历史.
此页面上显示的字段在下面的"添加RMON历史"页面中定义.
在此页面中定义而不在"添加"页面中定义的唯一一个字段就是:当前的样本数-标准允许RMON不授予所有请求的样本,而是限制每个请求的样本数.
因此,该字段表示实际授予请求的样本数,等于或小于请求的值.
步骤2单击添加.
步骤3输入参数.
新历史条目-显示新的历史表条目的数量.
源接口-选择从中捕获历史记录样本的接口类型.
保存的最大样本数-输入要存储的样本数.
取样间隔-输入以秒表示的从端口收集样本的时间间隔.
该字段的范围是1-3600.
所有者-输入请求RMON信息的RMON站或用户.
步骤4单击应用.
条目将添加到"历史控制表"页面中,然后当前配置文件会更新.
步骤5单击历史表(如下所述)查看实际统计信息.
RMON历史表"历史表"页面显示特定于接口的统计性网络样本.
该样本在上述历史控制表中配置.
查看RMON历史统计信息的步骤:步骤1单击状态和统计信息>RMON>历史.
步骤2单击历史表.
步骤3从历史条目编号下拉菜单中,选择要显示的样本条目数(可选).
系统会针对选定样本显示以下字段.
所有者-历史记录表条目所有者.
取样编号-从该样本中抽取的统计信息.
丢弃事件-在取样间隔中由于缺少网络资源而删除的数据包数.
它可能不表示删除的数据包的精确数量,而是表示检测到的数据包丢弃次数.
状态和统计信息RMON思科300系列管理型交换机管理指南263已接收的字节数-接收的八位字节数,包括坏数据包和FCS八位字节数,但不包括帧位.
已接收的数据包数-接收的数据包数,包括坏数据包、组播数据包和广播数据包.
广播数据包数-正常广播数据包数(不包括组播数据包).
组播数据包数-接收到的正常组播数据包数.
CRCAlign错误数-发生的CRC和Align错误数.
过小数据包数-接收的大小不足(小于64八位字节)的数据包数.
过大数据包数-接收的大小过大(大于2000八位字节)的数据包数.
分片数-接收的片段(小于64八位字节的数据包)数,不包括帧位,但包括FCS八位字节.
超时发送帧数-接收的大于2000八位字节的数据包总数.
该数量不包括帧位,但包括具有整数数量八位字节(FCS错误)的坏FCS(帧校验序列)或具有非整数八位字节(校正误差)的坏FCS的FCS八位字节数.
冲突数-接收的冲突数.
利用率-当前接口流量相对于该接口可以处理的最大流量的百分比.
RMON事件控制您可以控制触发告警情况的发生和出现的通知类型.
此执行过程如下所示:事件页面-配置触发告警时发生的事件.
可以是记录和Trap的任意组合.
告警页面-配置触发告警的情况.
定义RMON事件的步骤:步骤1单击状态和统计信息>RMON>事件.
该页面显示以前定义的事件.
此页面上的字段通过"添加RMON事件"对话框定义,但"时间"字段除外.
时间-显示事件发生的时间.
(这是位于父窗口的只读表,不能对其进行定义).
步骤2单击添加.
步骤3输入参数.
事件条目-显示新条目的事件条目索引号.
状态和统计信息RMON思科300系列管理型交换机管理指南273社区-输入在发送Trap时要包括的SNMP社区字符串(可选).
请注意,必须使用定义SNMPv1,2通知接收设备或定义SNMPv3通知接收设备页面定义社区,以便Trap到达网络管理站.
说明-为该事件输入名称.
该名称将用于在"添加RMON告警"页面中为事件附加告警.
通知类型-选择此事件将引发的操作的类型.
可选择以下值:-无-告警消失时不执行操作.
-日志(事件日志表)-触发告警时向事件日志表添加一条日志条目.
-Trap(SNMP管理器和系统日志服务器)-告警消失时向远程日志服务器发送Trap.
-日志和Trap-告警消失时向事件日志表添加一条日志条目并向远程日志服务器发送Trap.
所有者-输入定义该事件的设备或用户.
步骤4单击应用.
RMON事件将保存至当前配置文件中.
步骤5单击事件日志表,显示已经出现和已经记录的告警日志(请参阅下面的说明).
RMON事件日志"事件日志表"页面会显示发生的事件(操作)的日志.
可记录两种事件:日志或日志和Trap.
当事件与告警(请参阅"告警"页面)绑定,并达到了告警的条件时,系统会执行事件中的操作.
步骤1单击状态和统计信息>RMON>事件.
步骤2单击事件日志表.
此页面显示了以下字段:事件条目编号-事件的日志条目编号.
日志编号-(事件中的)日志编号.
日志时间-输入该日志条目的时间.
说明-触发告警的事件说明.
状态和统计信息RMON思科300系列管理型交换机管理指南283RMON告警RMON告警提供了一种机制,可用于设置阈值和取样间隔,以在计数器或代理维护的任何其他SNMP对象计数器上生成异常事件.
告警中必须配置上限阈值与下限阈值.
超过上限阈值后,不会再生成上升事件,直到超过了伴随的下限阈值.
发出下降告警后,系统会在超过上限阈值时发出下一个告警.
一个或多个告警绑定至事件,表明告警发生时会采取的措施.
可以通过绝对值或计数器值中的变化(差值)来监控告警计数器.
输入RMON告警的步骤:步骤1单击状态和统计信息>RMON>告警.
此时系统会显示以前定义的所有告警.
字段将在下面的"添加RMON告警"页面中进行说明.
除这些字段之外,系统还会显示以下字段:计数器值-显示最近一次取样周期中的统计信息值.
步骤2单击添加.
步骤3输入参数.
告警条目编号-显示告警条目编号.
接口-选择要显示其RMON统计信息的接口的类型.
计数器名称-选择指示衡量事件类型的MIB变量.
计数器值-发生的次数.
样本类型-选择用于生成告警的取样方法.
选项如下:-绝对值-如果超过了阈值,则生成告警.
-差值-从当前值中减去上次取样的值,系统会将差值与阈值进行比较.
如果超过了阈值,则生成告警.
上限阈值-输入触发上限阈值告警的值.
上升事件-选择触发上升事件时要执行的事件.
事件将在"事件"页面中创建.
下限阈值-输入触发下限阈值告警的值.
下降事件-选择触发下降事件时要执行的事件.
启动告警-选择启动告警生成的第一个事件.
上升被定义为从低阈值向较高阈值变化的行为.
-上升告警-上升值触发上限阈值告警.
-下降告警-下降值触发下限阈值告警.
-上升和下降-上升值和下降值都触发该告警.
状态和统计信息查看日志思科300系列管理型交换机管理指南293间隔-输入以秒表示的告警间隔.
所有者-输入接收该告警的用户或网络管理系统的名称.
步骤4单击应用.
RMON告警将保存至当前配置文件中.
查看日志请参阅查看内存日志.
4思科300系列管理型交换机管理指南30管理:系统日志本节介绍系统记录功能.
通过此功能,设备可以生成多个独立的日志.
每个日志是一组描述系统事件的消息.
设备可生成以下本地日志:将日志发送至Console接口.
写入到RAM中的记录事件循环列表中的日志,重启设备会将其擦除.
写入到保存至闪存的循环日志文件的日志,重启不会将其擦除.
此外,还可以通过SNMPTrap和系统日志消息的形式将消息发送到远程系统日志服务器上.
本节包含以下小节:设置系统日志设置设置远程记录设置查看内存日志设置系统日志设置可以按严重性级别选择要记录的事件.
系统以在严重性级别首字母两侧加上破折号(-)的方式标记每则日志消息的严重性级别(紧急除外,其以字母F表示).
例如,日志消息"%INIT-I-InitCompleted:…"的严重性级别为I,表示报告.
下面按照从高到低的顺序列出了事件的严重性级别:紧急-系统无法使用.
警报-需要采取措施.
严重-系统处于高危状态.
错误-系统出错.
警告-系统已发出警告.
管理:系统日志设置系统日志设置思科300系列管理型交换机管理指南314注意-系统能够正常工作,但系统已发出通知.
报告-设备信息.
调试-提供关于事件的详情.
可以为RAM日志和闪存日志选择不同的严重性级别.
这些日志将分别在RAM内存页面和闪存页面中显示.
选择要存储在日志中的严重性级别后,此级别以上的所有事件都会自动存储在日志中.
而此级别以下的事件则不会存储在日志中.
例如,如果选择了警告,则会将严重性级别为警告及更高(即严重性级别为"紧急"、"警报"、"严重"、"错误"和"警告")的所有事件存储在日志中.
但是不会存储严重性级别低于警告(即严重性级别为"注意"、"报告"和"调试")的事件.
设置全局日志参数的步骤:步骤1单击管理>系统日志>日志设置.
步骤2输入参数.
记录-选择该选项将启用消息记录.
系统日志聚合-选择该选项可启用系统日志消息和Trap汇总.
如果启用了该选项,将会汇总最大聚合时间内的相同和相邻的系统日志消息及Trap,并会通过一则消息将汇总后的结果发出.
将按照消息的到达顺序发送汇总后的消息.
每则消息都会注明已汇总的次数.
最大聚合时间-输入汇总系统日志消息的时间间隔.
发起人标识符-可将发起人标识符添加到系统日志消息.
选项如下:-无-系统日志消息中不包含发起人标识符.
-主机名-系统日志消息中包含系统主机名.
-IPv4地址-系统日志消息中包含发送接口的IPv4地址.
-IPv6地址-系统日志消息中包含发送接口的IPv6地址.
-用户定义-输入一个说明,并将其包含在系统日志消息中.
RAM内存记录-选择要记录到RAM中的消息的严重性级别.
闪存记录-选择要记录到闪存中的消息的严重性级别.
步骤3单击应用.
将更新当前配置文件.
管理:系统日志设置远程记录设置思科300系列管理型交换机管理指南324设置远程记录设置使用"远程日志服务器"页面可定义向其发送日志消息的远程系统日志服务器.
可以为每个服务器配置其所接收消息的严重性级别.
定义系统日志服务器的步骤:步骤1单击管理>系统日志>远程日志服务器.
步骤2输入以下字段:IPv4源接口-选择其IPv4地址将在发送给系统日志服务器的系统日志消息中用作IPv4地址的源接口.
IPv6源接口-选择其IPv6地址将在发送给系统日志服务器的系统日志消息中用作IPv6地址的源接口.
注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
系统将显示之前配置的每个日志服务器的信息.
字段将在下面的添加页面中进行说明.
步骤3单击添加.
步骤4输入参数.
服务器定义-选择是按照IP地址还是按照名称来识别远程日志服务器.
IP版本-选择支持的IP格式.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果选择的IPv6地址类型为"链路本地").
日志服务器IP地址/名称-输入日志服务器的IP地址或域名.
UDP端口-输入要向其发送日志消息的UDP端口.
设备-选择从其将系统日志发送给远程服务器的设备值.
只能为服务器指定一个设备值.
如果指定第二个设备代码,其将覆盖第一个设备值.
说明-输入服务器说明.
最低严重程度-选择要发送到服务器的系统日志消息的最低严重性级别.
步骤5单击应用,将会关闭"添加远程日志服务器"页面,添加系统日志服务器,并更新当前配置文件.
管理:系统日志查看内存日志思科300系列管理型交换机管理指南334查看内存日志设备可以写入以下日志:RAM中的日志(在重启过程中被清除).
闪存中的日志(只能由用户使用指令来清除).
您可以按严重性配置写入到每个日志的消息,而一则消息可以被写入到多个日志,包括存放在外部系统日志服务器上的日志.
RAM内存RAM内存页面会按时间先后顺序显示保存到RAM(缓存)中的所有消息.
系统会根据"日志设置"页面中的配置将这些条目存储到RAM日志中.
要查看日志条目,请单击状态和统计信息>查看日志>RAM内存.
页面顶部有一个按钮,您可以使用该按钮禁用警报图标闪烁.
单击该按钮可在禁用和启用间进行切换.
当前记录阈值用于指定所生成的记录等级.
您可以通过单击字段名称旁边的编辑进行更改.
此页面包含每个日志文件的以下字段:日志索引-日志条目编号.
日志时间-消息生成的时间.
严重程度-事件严重性.
说明-描述事件的消息文本.
若要清除日志消息,请单击清除日志.
消息即被清除.
闪存闪存页面会按时间先后顺序显示存储在闪存中的消息.
所记录事件的最低严重程度在"日志设置"页面中配置.
设备重启时,闪存日志会保留.
您可以手动清除这些日志.
要查看闪存日志,请单击状态和统计信息>查看日志>闪存.
当前记录阈值用于指定所生成的记录等级.
您可以通过单击字段名称旁边的编辑进行更改.
管理:系统日志查看内存日志思科300系列管理型交换机管理指南344此页面包含每个日志文件的以下字段:日志索引-日志条目编号.
日志时间-消息生成的时间.
严重程度-事件严重性.
说明-描述事件的消息文本.
若要清除消息,请单击清除日志.
消息即被清除.
5思科300系列管理型交换机管理指南35管理:文件管理本节介绍系统文件的管理方式.
其中包括以下主题:系统文件升级/备份固件/语言活动映像下载/备份配置/日志配置文件属性复制/保存配置通过DHCP进行自动配置/映像更新系统文件系统文件是指包含配置信息、固件映像或引导代码的文件.
通过这些文件可进行各种操作,例如:选择用于设备引导的固件文件,在设备内部复制不同类型的配置文件,或在设备和外部设备(例如外部服务器)之间复制文件.
可用的文件传输方法有以下几种:内部复制使用浏览器提供的工具的HTTP/HTTPSTFTF/SCP客户端(需要TFTP/SCP服务器)设备上的配置文件由其类型定义,文件中包含设备的设置和参数值.
在设备上参考配置时,会依据其配置文件类型(例如:启动配置或当前配置)而非可由用户修改的文件名进行参考.
管理:文件管理系统文件思科300系列管理型交换机管理指南365可以将内容从一种配置文件类型复制到另一种配置文件类型,但用户无法更改文件类型名称.
设备上的其他文件包括固件、引导代码和日志文件,这些文件称为工作文件.
配置文件是文本文件,将其复制到外部设备(例如PC)后,可在文本编辑器(例如记事本)中对其进行编辑.
文件和文件类型在设备上可以找到以下类型的配置和工作文件:当前配置-包含当前设备工作所使用的参数.
当您在设备上更改参数值时只会修改这种类型的文件.
如果重启设备,当前配置将会丢失.
存储在闪存中的启动配置将覆盖存储在RAM中的当前配置.
要保留对设备所做的任何更改,您必须将当前配置保存到启动配置或其他文件类型.
启动配置-通过将其他配置(通常为当前配置)复制到启动配置而保存的参数值.
启动配置保留在闪存中,并且在设备重启后会保留.
这时,系统会将启动配置复制到RAM中并将其标识为当前配置.
镜像配置-在下述情况下,由设备创建的启动配置副本:-设备已连续工作24小时.
-在过去的24小时内没有对当前配置进行任何配置更改.
-启动配置与当前配置一致.
只有系统能够将启动配置复制到镜像配置.
但是,系统可以将镜像配置复制到其他文件类型或其他设备.
可在"配置文件属性"页面禁用自动将当前配置复制到镜像配置的选项.
备份配置-用于系统关机保护或特定工作状态维护的配置文件手动副本.
可以将镜像配置、启动配置或当前配置复制到备份配置文件.
备份配置存放在闪存中,并且当设备重启时会保留.
固件-可控制设备的操作和功能的程序.
更多时候被称为映像.
Boot代码-控制基本系统启动及启动固件映像.
语言文件-能够使基于Web的配置实用程序窗口以选定语言显示的字典.
闪存日志-存储在闪存中的系统日志消息.
文件操作可以执行以下操作来管理固件和配置文件:按升级/备份固件/语言一节中所述升级固件或引导代码,或者更换第二语言.
按活动映像一节中所述查看当前使用的固件映像或选择下次重启时要使用的映像.
按下载/备份配置/日志一节中所述将设备上的配置文件保存到其他设备上的位置.
管理:文件管理升级/备份固件/语言思科300系列管理型交换机管理指南375按配置文件属性一节中所述清除启动配置或备份配置文件类型.
按复制/保存配置一节中所述将一种配置文件类型复制到另一种配置文件类型.
按通过DHCP进行自动配置/映像更新一节中所述启用将配置文件从DHCP服务器自动上传到设备的功能.
本节包含以下主题:升级/备份固件/语言活动映像下载/备份配置/日志配置文件属性复制/保存配置通过DHCP进行自动配置/映像更新升级/备份固件/语言升级/备份固件/语言流程可用于:升级或备份固件映像.
升级或备份引导代码.
导入或升级第二语言文件.
支持以下文件传输方法:使用浏览器提供的工具的HTTP/HTTPSTFTP(需要TFTP服务器)需要SCP服务器的安全复制协议(SCP)如果将新语言文件加载到了设备上,便可以从下拉菜单中选择这种新语言.
(无需重启设备).
设备上存储有两个固件映像.
其中一个映像确定为活动映像,另一个被确定为非活动映像.
升级固件时,新映像总是会替换已标识为非活动映像的映像.
即使在将新固件上传到设备后,设备也会继续使用活动映像(旧版本)引导,直至您使用活动映像一节中介绍的步骤将新映像的状态更改为活动映像.
然后引导设备.
管理:文件管理升级/备份固件/语言思科300系列管理型交换机管理指南385升级/备份固件或语言文件升级或备份软件映像或语言文件的步骤:步骤1单击管理>文件管理>升级/备份固件/语言.
步骤2单击"传输方法".
按以下步骤进行:如果选择了TFTP,则转至步骤3.
如果选择了通过HTTP/HTTPS,则转至步骤4.
如果选择了通过SCP,则转至步骤5.
步骤3如果选择了通过TFTP,请按本步骤中所述输入参数.
否则,请跳至步骤4.
请选择以下保存操作之一:升级-指定将使用TFTP服务器上新版本的文件类型替换设备上的该文件类型.
备份-指定将文件类型副本保存至另一台设备上的文件.
输入以下字段:文件类型-选择目的文件类型.
只会显示有效的文件类型.
(文件类型在文件和文件类型一节中做了说明).
TFTP服务器定义-选择是按照IP地址还是按照名称来指定TFTP服务器.
IP版本-选择使用IPv4还是IPv6地址.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果使用IPv6).
TFTP服务器IP地址/名称-输入TFTP服务器的IP地址或名称.
(用于升级)源文件名-输入源文件的名称.
(用于备份)目的文件名-输入备份文件的名称.
管理:文件管理升级/备份固件/语言思科300系列管理型交换机管理指南395步骤4如果选择了通过HTTP/HTTPS,则只能选择保存操作:升级.
按照本步骤中所述输入参数.
文件类型-选择以下文件类型之一:-固件映像-选择它可升级固件映像.
-语言文件-选择它可升级语言文件.
文件名-单击浏览选择文件或输入要在传输中使用的路径和源文件名.
步骤5如果选择了通过SCP(藉由SSH),请参阅SSH客户端验证以了解说明.
然后输入以下字段:(仅对独有的字段进行说明,对于非独有字段,请参阅上述说明)远程SSH服务器验证-要启用SSH服务器验证(默认情况下为禁用),请单击编辑.
系统将转到SSH服务器验证页面以配置SSH服务器,然后再返回本页面.
使用SSH服务器验证页面可选择SSH用户验证方法(密码或公共/专用密钥),在设备上设置用户名和密码(如果已选中密码方法),以及根据需要生成RSA或DSA密钥.
SSH客户端验证-可通过以下方式进行客户端验证:使用SSH客户端系统凭证-设置永久性SSH用户凭证.
单击系统凭证可转至"SSH用户验证"页面,在该页面设置一次用户/密码即可供日后永久性使用.
使用SSH客户端一次性凭证-输入以下内容:-用户名-为该复制操作输入用户名.
-密码-为该副本输入密码.
注一次性凭证的用户名和密码将不会保存在配置文件中.
请选择以下保存操作之一:升级-指定将使用TFTP服务器上新版本的文件类型替换设备上的该文件类型.
备份-指定将文件类型副本保存至另一台设备上的文件.
输入以下字段:文件类型-选择目的文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
SCP服务器定义-选择是按照IP地址还是按照域名来指定SCP服务器.
IP版本-选择使用IPv4还是IPv6地址.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
管理:文件管理活动映像思科300系列管理型交换机管理指南405-全局-IPv6地址为全局单播IPv6类型,可从其他网络查看和访问.
链路本地接口-从列表中选择链路本地接口.
SCP服务器IP地址/名称-输入SCP服务器的IP地址或域名.
(用于升级)源文件名-输入源文件的名称.
(用于备份)目的文件名-输入备份文件的名称.
步骤6单击应用.
如果文件、密码和服务器地址正确,会出现以下其中一种结果:如果已启用SSH服务器验证(在"SSH服务器验证"页面)且SCP服务器处于受信状态,则该操作便会成功.
如果SCP服务器处于非受信状态,则该操作将失败并显示错误.
如果未启用SSH服务器验证,则该操作针对任何SCP服务器都会成功.
活动映像设备上存储有两个固件映像.
其中一个映像确定为活动映像,另一个被确定为非活动映像.
设备将从设置为活动映像的映像引导.
您可以将已标识为非活动映像的映像更改为活动映像.
(可以使用管理接口一节中介绍的流程重启设备).
选择活动映像的步骤:步骤1单击管理>文件管理>活动映像.
该页面显示以下字段:活动映像-显示当前在设备上处于活动状态的映像文件.
活动映像版本号-显示活动映像的固件版本.
重启后的活动映像-显示重启后处于活动状态的映像.
重启后的活动映像版本号-原样显示重启后的活动映像的固件版本.
步骤2从重启后的活动映像菜单中选择映像,以标识设备重启后作为活动映像的固件映像.
重启后的活动映像版本号会显示设备重启后所使用的活动映像的固件版本.
步骤3单击应用.
将更新活动映像选择.
管理:文件管理下载/备份配置/日志思科300系列管理型交换机管理指南415下载/备份配置/日志通过"下载/备份配置/日志"页面,可实现以下操作:将配置文件或日志从设备备份到外部设备中.
将配置文件从外部设备还原到设备中.
将配置文件还原至当前配置时,导入的文件会添加旧文件中不存在的任何配置命令,并覆盖现有配置命令中的所有参数值.
将配置文件还原至启动配置或备份配置文件时,新文件会替换旧文件.
还原至启动配置时,必须重启设备,才能将还原的启动配置作为当前配置使用.
可以使用管理接口一节中介绍的流程重启设备.
配置文件向后兼容性将配置文件从外部设备还原到设备时,可能会出现以下兼容性问题:更改系统模式-如果下载到设备的配置文件包含系统模式,且此文件中的系统模式与当前系统模式相匹配,则可忽略这些信息.
否则,如果系统模式已更改,可能会出现以下情况:-如果配置文件已下载到设备中(使用"下载/备份配置/日志"页面),操作将中止,并且将显示一条消息,表示必须在"系统设置"页面更改系统模式.
-如果配置文件已在自动配置过程中下载,将删除启动配置文件,且设备会在新的系统模式下自动重启.
将使用空的配置文件配置设备.
下载或备份配置或日志文件备份或还原系统配置文件的步骤:步骤1单击管理>文件管理>下载/备份配置/日志.
步骤2选择传输方法.
步骤3如果选择了通过TFTP,请输入参数.
否则,请跳至步骤4.
选择下载或备份作为保存操作.
下载-指定将使用其他设备上的文件替换本设备上的文件类型.
输入以下字段:a.
TFTP服务器定义-选择是按照IP地址还是按照域名来指定TFTP服务器.
b.
IP版本-选择使用IPv4还是IPv6地址.
管理:文件管理下载/备份配置/日志思科300系列管理型交换机管理指南425注如果在"服务器定义"中按照名称选择了服务器,则无需选择与IP版本相关的选项.
c.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
d.
链路本地接口-从列表中选择链路本地接口.
e.
TFTP服务器IP地址/名称-输入TFTP服务器的IP地址或名称.
f.
源文件名-输入源文件名.
文件名不能包含斜线(\或/),不能以句点(.
)开头,且包含的字符数必须在1到160之间.
(有效字符为:A-Z、a-z、0-9、.
g.
目的文件类型-输入目的配置文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
备份-指定要复制到其他设备上的某个文件的文件类型.
输入以下字段:a.
TFTP服务器定义-选择是按照IP地址还是按照域名来指定TFTP服务器.
b.
IP版本-选择使用IPv4还是IPv6地址.
c.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
d.
链路本地接口-从列表中选择链路本地接口.
e.
TFTP服务器IP地址/名称-输入TFTP服务器的IP地址或名称.
f.
源文件类型-输入源配置文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
g.
敏感数据-选择应如何将敏感数据包含在备份文件中.
可能的选项有:-排除-不将敏感数据包含在备份中.
-加密-将敏感数据以加密的形式包含在备份中.
-明文模式-将敏感数据以明文模式包含在备份中.
注可用的敏感数据选项由当前用户的SSD规则决定.
有关详情,请参阅"安全敏感数据管理>SSD规则"页面.
管理:文件管理下载/备份配置/日志思科300系列管理型交换机管理指南435h.
目的文件名-输入目的文件名.
文件名不能包含斜线(\或/)、文件名的首字母不能为句点(.
),且文件名的字符数必须在1到160之间.
(有效字符为:A-Z、a-z、0-9、.
i.
单击应用.
将升级或备份该文件.
步骤4如果选择了通过HTTP/HTTPS,请按本步骤中所述输入参数.
选择保存操作.
如果保存操作为下载(用其他设备上的新版本替换设备上的文件),请执行以下操作.
否则,请执行本步骤中的下一个操作.
a.
源文件名-单击浏览选择文件或输入要在传输中使用的路径和源文件名.
b.
目的文件类型-选择配置文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
c.
单击应用.
将从其他设备将该文件传输到本设备上.
如果保存操作为备份(将文件复制到其他设备中),请执行以下操作:a.
源文件类型-选择配置文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
b.
敏感数据-选择应如何将敏感数据包含在备份文件中.
可能的选项有:-排除-不将敏感数据包含在备份中.
-加密-将敏感数据以加密的形式包含在备份中.
-明文模式-将敏感数据以明文模式包含在备份中.
注可用的敏感数据选项由当前用户的SSD规则决定.
有关详情,请参阅"安全敏感数据管理>SSD规则"页面.
c.
单击应用.
将升级或备份该文件.
步骤5如果选择了通过SCP(藉由SSH),请参阅GUI中的SSH客户端配置以了解说明.
然后输入以下字段:远程SSH服务器验证-要启用SSH服务器验证(默认情况下为禁用),请单击编辑,它会将您带到SSH服务器验证页面以配置服务器,然后再返回该页面.
使用SSH服务器验证页面可选择SSH用户验证方法(密码或公共/专用密钥),在设备上设置用户名和密码(如果已选中密码方法),以及根据需要生成RSA或DSA密钥.
SSH客户端验证-可通过以下方式进行客户端验证:使用SSH客户端系统凭证-设置永久性SSH用户凭证.
单击系统凭证可转至"SSH用户验证"页面,在该页面设置一次用户/密码即可供日后永久性使用.
管理:文件管理下载/备份配置/日志思科300系列管理型交换机管理指南445使用SSH客户端一次性凭证-输入以下内容:-用户名-为该复制操作输入用户名.
-密码-为该副本输入密码.
保存操作-选择是备份还是还原系统配置文件.
SCP服务器定义-选择是按照IP地址还是按照域名来指定SCP服务器.
IP版本-选择使用IPv4还是IPv6地址.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口.
SCP服务器IP地址/名称-输入SCP服务器的IP地址或名称.
如果保存操作为下载(用其他设备上的新版本替换本设备上的文件),请输入以下字段.
源文件名-输入源文件的名称.
目的文件类型-选择配置文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
如果保存操作为备份(将文件复制到其他设备中),请输入以下字段(除应输入以上列出的那些字段外):源文件类型-选择配置文件类型.
只会显示有效的文件类型.
(这些文件类型在文件和文件类型一节中做了说明).
敏感数据-选择应如何将敏感数据包含在备份文件中.
可能的选项有:-排除-不将敏感数据包含在备份中.
-加密-将敏感数据以加密的形式包含在备份中.
-明文模式-将敏感数据以明文模式包含在备份中.
注可用的敏感数据选项由当前用户的SSD规则决定.
有关详情,请参阅"安全敏感数据管理>SSD规则"页面.
目的文件名-复制操作的目标文件的名称.
步骤6单击应用.
将升级或备份该文件.
管理:文件管理配置文件属性思科300系列管理型交换机管理指南455配置文件属性"配置文件属性"页面显示各种系统配置文件的创建时间.
通过它还可以删除启动配置和备份配置文件.
您无法删除其他配置文件类型.
要对是否创建镜像配置文件进行设置,请清除配置文件并查看配置文件的创建时间:步骤1单击管理>文件管理>配置文件属性.
此页面显示了以下字段:配置文件名称-系统文件类型.
创建时间-文件的修改日期和时间.
步骤2如有必要,禁用自动镜像配置.
这将禁止自动创建镜像配置文件.
禁用该功能后,系统将删除镜像配置文件(如有).
请参阅系统文件以了解镜像文件的说明以及可能需要自动创建镜像配置文件的原因.
步骤3如有必要,选择启动配置或备份配置或同时选中两者,然后单击清除文件以删除这些文件.
复制/保存配置在任意窗口上单击应用,仅会将设备配置设置的更改存储在当前配置中.
要保留当前配置中的参数,必须将当前配置复制到其他配置类型或保存到其他设备上.
!
注意除非将当前配置复制到启动配置或其他配置文件,否则自上次复制文件后所做的所有更改将会在设备重启后全部丢失.
允许以下内部文件类型复制组合:从当前配置到启动配置或备份配置.
从启动配置到当前配置、启动配置或备份配置.
从备份配置到当前配置、启动配置或备份配置.
从镜像配置到当前配置、启动配置或备份配置.
将一种类型的配置文件复制到另一种类型的配置文件的步骤:步骤1单击管理>文件管理>复制/保存配置.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南465步骤2选择要复制的源文件名.
仅显示有效的文件类型(这些文件类型在文件和文件类型一节中做了说明).
步骤3选择将由源文件覆盖的目的文件名.
步骤4如果您要备份某个配置文件,请选择敏感数据选项,然后为该备份文件选择以下一种格式.
-排除-敏感数据将不包含在备份文件中.
-加密-敏感数据将以加密的形式包含在备份文件中.
-明文模式-敏感数据将以纯文本形式包含在备份文件中.
注可用的敏感数据选项由当前用户的SSD规则决定.
有关详情,请参阅"安全敏感数据管理>SSD规则"页面.
步骤5保存图标闪烁字段将表明在有未保存的数据时图标是否会闪烁.
要禁用/启用该功能,可单击禁用/启用保存图标闪烁.
步骤6单击应用.
文件将被复制.
通过DHCP进行自动配置/映像更新自动配置/映像更新功能提供了一种在网络中自动配置CiscoSmallBusiness200、300和500交换机以及升级其固件的便捷方法.
通过该过程,管理员可以在网络中远程确保这些设备的配置和固件为最新.
此功能包含以下部分:自动映像更新-自动从远程TFTP/SCP服务器下载固件映像.
自动配置/映像更新过程结束时,设备将使用该固件映像自动重启.
自动配置-自动从远程TFTP/SCP服务器下载配置文件.
自动配置/映像更新过程结束时,设备将使用该配置文件自动重启.
注如果同时请求自动映像更新和自动配置,系统将先执行自动映像更新,然后在重启后执行自动配置,再执行最终重启.
要使用此功能,请使用设备的配置文件和固件映像的位置和名称,在网络中配置DHCP服务器.
设备在网络中默认配置为DHCP客户端.
当DHCP服务器为设备分配IP地址时,设备还会收到有关配置文件和固件映像的信息.
如果配置文件和/或固件映像与设备上当前使用的文件和/或映像不同,设备会在下载文件和/或映像后自动重启.
本节将介绍这些过程.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南475除了可以在网络中让设备的配置文件和固件映像保持最新以外,自动更新/配置功能还可以在网络中快速安装新设备,因为开箱即用设备配置为从网络检索其配置文件和软件映像,而无需系统管理员进行任何手动干预.
设备首次向DHCP服务器申请IP地址时,会下载DHCP服务器指定的配置文件和/或映像,并使用这些文件和/或映像自动重启.
在自动配置过程中可以使用安全复制协议(SCP)和安全敏感数据(SSD)功能下载含有敏感信息(例如RADIUS服务器密钥和SSH/SSL密钥)的配置文件(请参阅SSH客户端验证和安全:安全敏感数据管理).
下载协议(TFTP或SCP)配置文件和固件映像可以从TFTP或SCP服务器下载.
用户可对要使用的协议进行如下配置:按文件扩展名自动执行-(默认)如果选择了该选项,用户定义的文件扩展名表示带有此扩展名的文件将使用SCP(藉由SSH)下载,而带有其他扩展名的文件将使用TFTP下载.
例如,如果指定的文件扩展名为.
xyz,则可使用SCP下载带有.
xyz扩展名的文件,而带有其他扩展名的文件可使用TFTP下载.
默认扩展名为.
scp.
仅TFTP-无论配置文件名的文件扩展名是什么,都通过TFTP进行下载.
仅SCP-无论配置文件名的文件扩展名是什么,都通过SCP(藉由SSH)进行下载.
SSH客户端验证SCP基于SSH.
默认情况下,禁用远程SSH服务器验证,因此,设备将接受任何开箱使用的远程SSH服务器.
您可以启用远程SSH服务器验证,以便仅允许使用信任服务器列表中的服务器.
客户端(即设备)需要SSH客户端验证参数才能访问SSH服务器.
默认的SSH客户端验证参数为:SSH验证方法:按用户名/密码SSH用户名:anonymousSSH密码:anonymous注当手动下载文件(即未通过DHCP自动配置/映像更新功能进行的下载)时,也可使用SSH客户端验证参数.
自动配置/映像更新过程DHCP自动配置功能使用所接收DHCP消息中的配置服务器名称/地址和配置文件名/路径(如果有).
此外,DHCP映像更新使用消息中的固件间接文件名(如果有).
在来自DHCPv4服务器的Offer消息和来自DHCPv6服务器的信息应答消息中,这些信息会被指定为DHCP选项.
如果在DHCP服务器消息中找不到这些信息,系统将使用在"DHCP自动配置/映像更新"页面中配置的备份信息.
当触发自动配置/映像更新过程后(请参阅自动配置/映像更新的触发),会按顺序发生下述事件.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南485自动映像更新开始:交换机使用来自所接收DHCP消息中的选项125(DHCPv4)和选项60(DHCPv6)(如果有)的间接文件名.
如果DHCP服务器未发送固件映像文件的间接文件名,系统将使用"备份间接映像文件名"(来自"DHCP自动配置/映像更新"页面).
交换机将下载间接映像文件,并从中提取TFTP/SCP服务器的映像文件名.
交换机会将TFTP服务器映像文件的版本与交换机活动映像的版本相比较.
如果这两个版本不同,则将新版本载入非活动映像,然后执行重启,非活动映像将成为活动映像.
使用SCP协议时,系统将生成系统日志消息,通知您重启即将开始.
使用SCP协议时,系统将生成系统日志消息,确认自动更新过程已完成.
使用TFTP协议时,系统日志消息通过复制过程生成.
自动配置开始:设备使用来自所接收DHCP消息的TFTP/SCP服务器名称/地址和配置文件名/路径(DHCPv4选项:66、150和67;DHCPv6选项:59和60)(如果有).
如果DHCP服务器未发送这些信息,系统将使用"备份服务器IP地址/名称"和"备份配置文件名"(来自"DHCP自动配置/映像更新"页面).
如果新配置文件的名称与设备上之前使用的配置文件的名称不同,或设备从未进行过配置,系统将使用新配置文件.
自动配置/映像更新过程结束时,设备将使用新配置文件重启.
系统日志消息通过复制过程生成.
缺失选项如果DHCP服务器未在DHCP选项中发送TFTP/SCP服务器地址,且备份TFTP/SCP服务器地址参数未配置,那么:-SCP-自动配置过程将停止.
-TFTP-设备将向其IP接口上的有限广播地址(针对IPv4)或ALLNODES地址(针对IPv6)发送TFTP请求消息,并使用第一个应答的服务器继续自动配置/映像更新过程.
下载协议选项选择复制协议(SCP/TFTP),如下载协议(TFTP或SCP)中所述.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南495SCP当使用SCP下载时,在以下任一情况下,设备将接受任何指定的SCP/SSH服务器(且不对其进行验证):-SSH服务器验证过程为禁用状态.
SSH服务器验证在默认情况下为禁用状态,这样便可以为带有出厂默认配置的设备(例如开箱设备)下载配置文件.
-SSH服务器将在SSH信任服务器列表中配置.
如果已启用SSH服务器验证过程但在SSH信任服务器列表中未找到SSH服务器,则自动配置过程将停止.
如果信息可用,系统将访问SCP服务器,以从中下载配置文件或映像.
自动配置/映像更新的触发满足以下条件时,会触发通过DHCPv4进行自动配置/映像更新的功能:设备的IP地址在重启时动态分配或续订、通过管理操作显式续订或者由于租用到期而自动续订.
可以在"IPv4接口"页面激活显性续订.
如果启用自动映像更新,当从DHCP服务器接收到间接映像文件名或已配置备份间接映像文件名时,将触发自动映像更新过程.
间接意味着这不是映像本身,而是包含映像路径名称的文件.
如果启用自动配置,当从DHCP服务器接收到配置文件名或已配置备份配置文件名时,将触发自动配置过程.
满足以下条件时,会触发通过DHCPv6进行自动配置/映像更新的功能:DHCPv6服务器向设备发送信息时.
这发生在以下情况下:-当一个启用了IPv6的接口被定义为DHCPv6无状态配置客户端时.
-收到来自服务器的DHCPv6消息时(例如,当您按"IPv6接口"页面上的重新启动按钮时).
-设备刷新DHCPv6信息时.
-在启用无状态DHCPv6客户端时重启设备后.
DHCPv6服务器数据包中包含配置文件名选项时.
当DHCP服务器提供间接映像文件名或已配置备份间接映像文件名时,将触发自动映像更新过程.
间接意味着这不是映像本身,而是包含映像路径名称的文件.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南505确保正确执行为确保自动配置/映像更新功能正常工作,请注意以下几点:存放在TFTP/SCP服务器上的配置文件必须符合所支持配置文件的形式和格式要求.
在将文件加载到启动配置之前,会检查文件的形式和格式,但不会检查配置参数的有效性.
在IPv4中,为确保设备在自动配置/映像更新过程中下载预期的配置和映像文件,建议始终为设备分配相同的IP地址.
这可以确保始终为设备分配相同的IP地址,并获取在自动配置/映像更新中使用的相同信息.
DHCP自动配置/映像更新可使用以下GUI页面配置设备:管理>文件管理>DHCP自动配置/映像更新-将设备配置为DHCP客户端.
管理>管理接口>IPv4接口(在第2层)或IP配置>IPv4管理和接口>IPv4接口(在第3层)-当设备处于第2层系统模式下时,通过DHCP续订IP地址.
默认设置和配置系统中存在以下默认设置:自动配置处于启用状态.
自动映像更新处于启用状态.
设备作为DHCP客户端启用.
远程SSH服务器验证为禁用状态.
开始自动配置/映像更新过程之前的准备工作要使用此功能,设备必须配置为DHCPv4或DHCPv6客户端.
在设备上定义的DHCP客户端类型与在设备上定义的接口类型相关联.
服务器上的自动配置准备工作要准备DHCP和TFTP/SCP服务器,请进行以下操作:TFTP/SCP服务器将配置文件放置到工作目录下.
此文件可以通过从设备复制配置文件进行创建.
设备启动时,此文件将成为当前配置文件.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南515DHCP服务器使用以下选项配置DHCP服务器:DHCPv4:-66(单个服务器地址)或150(服务器地址列表)-67(配置文件名称)DHCPv6-选项59(服务器地址)-选项60(配置文件名加间接映像文件名,以逗号分隔)自动映像更新准备工作要准备DHCP和TFTP/SCP服务器,请进行以下操作:TFTP/SCP服务器1.
在主目录下创建一个子目录.
在其中放置软件映像文件.
2.
创建包含固件版本的路径和名称的间接文件(例如,包含cisco\cisco-version.
ros的indirect-cisco.
txt).
3.
将此间接文件复制到TFTP/SCP服务器的主目录DHCP服务器使用以下选项配置DHCP服务器DHCPv4-选项125(间接文件名)DHCPv6-选项60(配置文件名加间接映像文件名,以逗号分隔)DHCP客户端工作流程步骤1在"管理">"文件管理">"DHCP自动配置/映像更新"页面中,配置"自动配置"和/或"自动映像更新"参数.
步骤2在在第2层系统模式下定义IPv4接口或在第3层系统模式下定义IPv4接口页面中,将"IP地址类型"设置为"动态";并且/或者在IPv6接口页面中,将设备定义为无状态DHCPv6客户端.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南525Web配置配置自动配置和/或自动更新的步骤:步骤1单击管理>文件管理>DHCP自动配置/映像更新.
步骤2输入值.
通过DHCP自动配置-选择该字段可启用DHCP自动配置.
该功能在默认状态下为启用状态,但是可在此处禁用.
下载协议-选择以下其中一种选项:-按文件扩展名自动执行-选择该选项可指示自动配置根据配置文件的扩展名使用TFTP或SCP协议.
如果选中该选项,则无需给出配置文件的扩展名.
如果未给出扩展名,则使用默认的扩展名(如下所示).
-SCP的文件扩展名-如果选中按文件扩展名自动执行,便可以在此注明文件扩展名.
使用SCP便可下载任何带有该扩展名的文件.
如果未输入扩展名,则将使用默认的文件扩展名.
scp.
-仅TFTP-选择该选项可指示仅使用TFTP协议进行自动配置.
-仅SCP-选择该选项可指示仅使用SCP协议进行自动配置.
通过DHCP自动更新映像-选择该字段可启用来自DHCP服务器的固件映像更新.
该功能在默认状态下为启用状态,但是可在此处禁用.
下载协议-选择以下其中一种选项:-按文件扩展名自动执行-选择该选项可指示自动更新根据映像文件的扩展名使用TFTP或SCP协议.
如果选中该选项,则无需给出映像文件的扩展名.
如果未给出扩展名,则使用默认的扩展名(如下所示).
-SCP的文件扩展名-如果选中按文件扩展名自动执行,便可以在此注明文件扩展名.
使用SCP便可下载任何带有该扩展名的文件.
如果未输入扩展名,则将使用默认的文件扩展名.
scp.
-仅TFTP-选择该选项可指示仅使用TFTP协议进行自动更新.
-仅SCP-选择该选项可指示仅使用SCP协议进行自动更新.
SCP的SSH设置-当使用SCP下载配置文件时,请选择以下选项之一:远程SSH服务器验证-单击启用/禁用链接以导航至"SSH服务器验证"页面.
您可在该页面启用下载需使用的SSH服务器验证并在必要时输入信任SSH服务器.
SSH客户端验证-单击"系统凭证"链接以在"SSH用户验证"页面输入用户凭证.
备份服务器定义-选择是按照IP地址还是按照名称来配置备份服务器.
IP版本-选择使用IPv4还是IPv6地址.
管理:文件管理通过DHCP进行自动配置/映像更新思科300系列管理型交换机管理指南535IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果使用IPv6).
步骤3输入以下可选信息,以便在DHCP服务器未提供所需信息时使用.
备份服务器IP地址/名称-输入备份服务器IP地址或名称.
备份配置文件名-输入备份配置文件名.
备份间接映像文件名-输入要使用的间接映像文件名.
这是包含映像路径的文件.
间接映像文件名的一个示例是:indirect-cisco.
scp.
此文件包含固件映像的路径和名称.
此时将显示以下字段:最近自动配置/映像服务器IP地址-最近备份服务器的地址.
最近自动配置文件名称-最近配置文件名称.
步骤4单击应用.
参数将复制到当前配置文件中.
6思科300系列管理型交换机管理指南54管理本节介绍如何在设备上查看系统信息和配置各种选项.
其中包含以下主题:设备型号系统设置Console设置(自动波特率支持)管理接口用户帐户定义闲置会话超时时间设置系统日志文件管理重启设备路由资源状况诊断发现-Bonjour发现-LLDP发现-CDPPingTraceroute管理设备型号思科300系列管理型交换机管理指南556设备型号所有型号均可通过基于Web的交换机配置实用程序进行全面管理.
在第2层系统模式下,设备会作为一个可识别VLAN的网桥并转发数据包.
在第3层系统模式下,设备会执行IPv4路由和可识别VLAN的桥接.
当设备在第3层系统模式下运行时,VLAN速率限制和QoS策略器将无法运行.
其他QoS高级模式功能可正常工作.
注有关端口命名约定,请参阅接口命名约定.
下表介绍了不同型号、设备上的端口数量和类型及其PoE信息.
型号名称产品ID(PID)设备上的端口说明PoE专用功率支持PoE的端口数SG300-28SRW2024-K924个GE端口和4个特殊用途端口-2个上行链路和2个组合端口无无SG300-28PSRW2024P-K924个GE端口和4个特殊用途端口-2个上行链路和2个组合端口180W24SG300-52SRW2048-K948个GE端口和4个特殊用途端口-2个上行链路和2个组合端口无无SF300-08SRW208-K98个FE端口.
无无SF302-08SRW208G-K98个FE端口和2个GE端口无无SF302-08MPSRW208MP-K98个FE端口和2个GE端口124W8SF302-08PSRW208P-K98个FE端口和2个GE端口62W8SF300-24SRW224G4-K924个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口.
无无SF300-24PSRW224G4P-K924个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口.
180W24SF300-48SRW248G4-K948个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口无无SF300-48PSRW248G4P-K948个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口375W48管理设备型号思科300系列管理型交换机管理指南566SF300-24MPSF300-24M-K924端口10/100PoE管理型交换机375W24SG300-28MPSRW2024P-K928端口千兆PoE管理型交换机375W24SG300-52PSG300-52P-K9V.
052端口千兆PoE管理型交换机375W48PoE端口SG300-52MPSG300-52MP-K952端口千兆PoE管理型交换机740W48SG300-10SFPSG300-10SFP-K910端口千兆管理型SFP交换机无无ESW2-350G-52ESW2-350G-52-K952端口千兆管理型交换机无无ESW2-350G-52DCESW2-350G-52DC-K952端口千兆管理型交换机无无SF302-08PPSF302-08PP-K9V.
08端口10/100PoE管理型交换机62W8SF302-08MPPSF302-08MPP-K9V.
08端口10/100PoE管理型交换机124W8SG300-10PPSG300-10PP-K98端口10/100PoE管理型交换机62W8SG300-10MPPSG300-10MPP-K910端口千兆PoE管理型交换机124W8SF300-24PPSF300-24PP-K924端口10/100PoE管理型交换机180W24SF300-24PPSF300-24PP-K924端口10/100PoE管理型交换机180W24SF300-48PPSF300-48PP-K948端口10/100PoE管理型交换机375W48SG300-28SFPSG300-28SFP-K928端口千兆管理型SFP交换机NANA型号名称产品ID(PID)设备上的端口说明PoE专用功率支持PoE的端口数管理系统设置思科300系列管理型交换机管理指南576系统设置"系统摘要"页面提供了设备的图形视图,并显示设备状态、硬件信息、固件版本信息、一般PoE状态以及其他项目.
显示系统摘要查看系统信息的步骤:步骤1单击状态和统计信息>系统摘要.
系统信息:系统运行模式-系统运行模式的说明系统说明-系统的说明.
系统位置-设备的实际位置.
单击编辑可前往"系统设置"页面输入该值.
系统联系人-联系人的姓名.
单击编辑可前往"系统设置"页面输入该值.
主机名-设备的名称.
单击编辑可前往"系统设置"页面输入该值.
默认情况下,设备主机名由单词device与设备MAC地址的三个最低有效位(最右侧的六个十六进制数字)组合而成.
系统对象ID-由系统用来管理设备功能.
系统运行时间-自上次重启以来所运行的时间.
当前时间-当前系统时间.
基本MAC地址-设备MAC地址.
巨型帧-巨型帧支持状态.
可以使用"端口管理"菜单的"端口设置"页面启用或禁用此支持.
注巨型帧支持仅在启用且重启设备之后才会生效.
TCP/UDP服务状态:HTTP服务-显示HTTP服务是处于启用状态还是禁用状态.
HTTPS服务-显示HTTPS服务是处于启用状态还是禁用状态.
SNMP服务-显示SNMP服务是处于启用状态还是禁用状态.
Telnet服务-显示Telnet服务是处于启用状态还是禁用状态.
SSH服务-显示SSH服务是处于启用状态还是禁用状态.
管理系统设置思科300系列管理型交换机管理指南586软件信息:固件版本(活动映像)-活动映像的固件版本号.
固件MD5校验和(活动映像)-活动映像的MD5校验和.
固件版本(非活动)-非活动映像的固件版本号.
固件MD5校验和(非活动映像)-非活动映像的MD5校验和.
启动版本-启动版本号.
启动MD5校验和-启动版本的MD5校验和.
区域设置-第一语言的区域设置.
(第一语言始终是英文.
)语言版本-第一语言或英语的语言包版本.
语言MD5校验和-语言文件的MD5校验和.
PoE电源信息:(在支持PoE的设备上)最大可用PoE功率(W)-PoE可提供的最大可用功率.
总PoE功率(W)-为连接的PoE设备提供的总PoE功率.
PoE供电模式-端口限制或类别限制.
系统设置输入系统设置的步骤:步骤1单击管理>系统设置.
步骤2查看或修改系统设置.
系统说明-显示设备说明.
系统位置-输入设备的物理位置.
系统联系人-输入联系人姓名.
主机名-选择此设备的主机名.
在CLI命令的提示符中会使用此主机名:-使用默认设置-这些交换机的默认主机名(系统名称)为:switch123456,其中123456代表设备MAC地址的最后三个字节(以十六进制格式表示).
-用户定义-输入主机名.
只能使用字母、数字和连字符.
主机名不能以连字符开头或结尾.
其他符号、标点符号字符或空格均不允许使用(如RFC1033、1034、1035中规定).
管理Console设置(自动波特率支持)思科300系列管理型交换机管理指南596系统模式-选择此设备的系统模式.
注如果您在单击应用之后更改系统模式,则需要重启系统,重启之后,启动配置文件将被删除.
-第2层-选择该选项可将设备置于第2层系统模式下.
-第3层-选择该选项可将设备置于第3层系统模式下.
自定义横幅设置-可设置以下横幅:-登录横幅-输入登录前显示在"登录"页面上的文本.
单击预览查看结果.
-欢迎横幅-输入登录后显示在"登录"页面上的文本.
单击预览查看结果.
注当您通过基于Web的配置实用程序定义登录横幅时,也会为CLI接口(Console、Telnet和SSH)激活该横幅.
步骤3单击应用,在当前配置文件中保存这些值.
Console设置(自动波特率支持)可以将Console端口速度设置为以下速度之一:4800、9600、19200、38400、57600和115200,或者设置为"自动检测".
如果选择"自动检测",设备将自动检测Console速度.
如果未启用自动检测,系统会将Console端口速度自动设置为上次手动设置的速度(默认为115,200).
如果已启用自动检测但尚未发现Console波特率,系统会使用速度115,200来显示文本(例如,启动信息).
在"Console设置"页面中启用自动检测后,可以通过将Console连接到设备,然后按两次Enter键来进行激活.
设备将自动检测波特率.
启用自动检测或手动设置Console波特率的步骤:步骤1单击管理>Console设置.
步骤2请选择以下选项之一:自动检测-自动检测Console波特率.
静态-请从提供的速度中选择其中之一.
管理管理接口思科300系列管理型交换机管理指南606管理接口请参阅IPv4管理和接口.
用户帐户请参阅配置安全性.
定义闲置会话超时空闲会话超时可配置管理会话经过多长时间的空闲后会超时,超时后您必须重新登录才能重建以下会话之一:HTTP会话超时HTTPS会话超时Console会话超时Telnet会话超时SSH会话超时设置各种会话的空闲会话超时的步骤:步骤1单击管理>空闲会话超时.
步骤2从相应列表中为每个会话选择超时时间.
超时时间的默认值为10分钟.
步骤3单击应用,在设备上设置这些配置设置.
时间设置请参阅管理:时间设置.
管理系统日志思科300系列管理型交换机管理指南616系统日志请参阅管理:系统日志.
文件管理请参阅管理:文件管理.
重启设备某些配置更改(例如启用巨帧支持)需要重启系统才能生效.
但是,重启设备会删除当前配置,因此在重启设备之前先将当前配置保存到启动配置至关重要.
单击应用不会将配置保存到启动配置.
有关文件和文件类型的详情,请参阅系统文件部分.
可以使用管理>文件管理>保存/复制配置或单击窗口顶部的保存来备份设备配置.
也可以从远程设备上传配置.
请参阅下载/备份配置/日志一节.
您可能希望将重启时间设置在将来的某个时间.
例如,在以下某种情况下,可能会出现这种需求:您正在远程设备上执行操作,且这些操作可能会导致与远程设备的连接中断.
预安排的重启可以恢复工作配置并恢复与远程设备的连接.
如果这些操作成功,则可以取消延迟重启.
重载设备会导致网络连接中断,因而通过使用延迟重启,您可以在用户更加方便的时间(例如深夜)安排重启.
重启设备的步骤:步骤1单击管理>重启.
步骤2单击重启按钮可重启设备.
重启-可重启设备.
由于当前配置中任何未保存的信息在设备重启后都会被丢弃,因此必须单击任何窗口右上角的保存,以便重启后仍保留当前配置.
如果未显示"保存"选项,则表示当前配置与启动配置相同,不需要执行任何操作.
取消重启-如果为将来某个时间安排了重启,可将其取消.
可能的选项有:-立即-立即重启.
管理路由资源思科300系列管理型交换机管理指南626-日期-输入计划重启的日期(月/日)和时间(小时和分钟).
此操作计划在特定时间(使用24小时制)执行软件的重载.
如果您指定月和日,重载将在指定的时间和日期按计划执行.
如果您未指定月份和日期,重载将在当天的指定时间执行(如果指定时间晚于当前时间),或者在次日的指定时间执行(如果指定时间早于当前时间).
指定00:00可在午夜进行重载.
重载必须在24天内进行.
注仅当系统时间通过手动设置或由SNTP设置时,才能使用此选项.
-在-在指定的小时和分钟数之内重启.
最长时间为24天.
恢复出厂默认设置-使用出厂默认配置重启设备.
此过程会擦除启动配置文件和备份配置文件.
恢复出厂默认设置时,不会删除镜像配置文件.
清除启动配置文件-选中此项可在下次启动设备时清除启动配置.
注清除启动配置文件并重启,不同于使用出厂默认设置重启.
使用出厂默认设置重启更具侵入性.
路由资源在第3层模式下使用"路由资源"页面显示TCAM分配并修改总TCAM大小.
TCAM条目可分为以下几组:IP条目-保留用于IP静态路由、设备IP地址和IP主机的TCAM条目.
每种类型产生的TCAM条目数量如下:-IPv4静态路由-每次路由1个条目-IP地址-每个地址2个条目-IP主机-每个主机1个条目非IP条目-保留用于ACL规则、CoS策略器和VLAN速率限制等其他应用的TCAM条目.
当设备处于第3层模式时,查看和修改路由资源的步骤:步骤1单击管理>路由资源.
此时将显示以下字段:邻居(每个邻居1个TCAM条目)-计数是设备中记录的邻居的数量,TCAM条目数是用于邻居的TCAM条目总数.
接口(每个接口2个TCAM条目)-计数是设备接口中的IP地址的数量,TCAM条目数是用于IP地址的TCAM条目总数.
路由(每个路由1个TCAM条目)-计数是设备中记录的路由的数量,TCAM条目数是用于路由的TCAM条目总数.
管理路由资源思科300系列管理型交换机管理指南636总数-显示当前正在使用的TCAM条目的数量.
最大条目数-请选择以下选项之一:-使用默认设置-可用于IP条目的TCAM条目的数量是TCAM大小的25%.
-用户定义-输入一个值.
TCAM资源表将为每个单元显示以下字段:IPv4和非IP的最大TCAM条目数-路由和组播路由的可用TCAM条目数.
IPv4路由-使用中-用于IPv4路由的TCAM条目数.
-最大数-IPv4路由的最大可用TCAM条目数.
非IP规则-使用中-用于非IP规则的TCAM条目数.
-最大数-非IP规则的最大可用TCAM条目数.
您必须先保存当前的配置,再更改TCAM分配设置.
注此页面底部将显示实际正在使用和可用的TCAM条目的摘要.
有关这些字段的说明,请参阅TCAM利用率.
步骤2单击应用以保存新设置.
这可检查TCAM分配的可行性.
如果不正确,将显示一条错误消息.
如果正确,该分配将保存到当前配置文件中,并将执行重启.
管理状况思科300系列管理型交换机管理指南646状况"状况"页面监控配备风扇的所有设备上的风扇状态.
根据型号,设备上可能有一个或多个风扇.
某些型号根本没有风扇.
某些设备具有温度传感器,可在过热时保护其硬件.
在此情况下,设备在过热时以及过热后的冷却期间会执行以下操作:要查看设备状况参数,请单击状态和统计信息>状况.
"状况"页面将显示以下字段:风扇状态-风扇状态.
可能的值如下所示:-正常-风扇运转正常.
-失败-风扇无法正常运转.
-无-风扇ID不适用于特定型号.
事件操作至少有一个温度传感器超出Warning阈值会生成以下信息:系统日志消息SNMPTrap至少有一个温度传感器超出Critical阈值会生成以下信息:系统日志消息SNMPTrap将执行以下操作:系统LED设置为琥珀色常亮(如果硬件支持).
禁用端口-超出Critical温度两分钟时,将关闭所有端口.
(在支持PoE的设备中)禁用PoE电路,以减少功耗和释放的热量.
超出Critical阈值后的冷却期(所有传感器都比Warning阈值至少低2°C).
所有传感器均冷却到比Warning阈值至少低2°C后,将重新启用PHY,且所有端口也将重新开启.
如果风扇状态为"正常",端口将启用.
(在支持PoE的设备中)PoE电路将启用.
管理诊断思科300系列管理型交换机管理指南656风扇方向-(在适用设备中)风扇转动的方向(例如:从前往后).
温度-选项包括:-正常-温度低于警告阈值.
-警告-温度介于警告阈值与临界阈值之间.
-严重-温度高于临界阈值.
诊断请参阅管理:诊断.
发现-Bonjour请参阅Bonjour.
发现-LLDP请参阅配置LLDP.
发现-CDP请参阅配置CDP.
PingPing实用程序用于测试是否可以访问远程主机,并测量从设备到目的设备发送数据包所用的往返时间.
Ping通过向目的主机发送互联网控制消息协议(ICMP)回显请求数据包并等待ICMP响应来运行,有时称为pong.
它可以测量往返时间并记录任何数据包丢失.
管理Ping思科300系列管理型交换机管理指南666Ping主机的步骤:步骤1单击管理>Ping.
步骤2通过输入以下字段配置Ping:主机定义-选择是按IP地址还是名称来指定源接口.
此字段会影响源IP字段中显示的接口,如下所述.
IP版本-如果源接口根据其IP地址来进行标识,则选择IPv4或IPv6来指示将以选定格式对其进行输入.
源IP-选择其IPv4地址将在与目标的通信中用作源IPv4地址的源接口.
如果"主机定义"为"按名称",则此下拉字段中会显示所有IPv4和IPv6地址.
如果"主机定义"为"按IP地址",则仅显示"IP版本"字段中指定类型的现有IP地址.
注如果选择"自动"选项,系统将根据目的地址计算源地址.
目标IPv6地址类型-选择"链路本地"或"全局"作为要输入的目的IP地址的类型.
-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-如果IPv6地址类型为"链路本地",请选择接收的来源.
目标IP地址/名称-要对其执行Ping操作的设备的地址或主机名.
是IP地址还是主机名则取决于主机定义.
Ping间隔-在Ping数据包之间系统等待的时间长度.
Ping操作会按照Ping数量字段中配置的值重复执行相应次数,而不论成功还是失败.
选择使用默认间隔,或者指定您自定的值.
Ping数量-Ping操作的执行次数.
选择使用默认设置,或者指定您自定的值.
状态-显示Ping是成功还是失败.
步骤3单击激活Ping来Ping主机.
将会显示Ping状态,并且消息列表中会添加一条消息,显示Ping操作的结果.
步骤4在本页面的Ping计数器和状态部分中查看Ping结果.
管理Traceroute思科300系列管理型交换机管理指南676TracerouteTraceroute通过向目标主机发送IP数据包,并返回给设备,发现数据包的转发IP路径.
Traceroute页面将显示设备和目标主机间的每一步跳以及到每一步跳处的往返时间.
步骤1单击管理>Traceroute.
步骤2通过在以下字段中输入信息来配置Traceroute:主机定义-选择是按主机IP地址还是主机名来标识主机.
IP版本-如果主机是根据其IP地址来进行标识,则选择IPv4或IPv6来指示将以选定格式对其进行输入.
源IP-选择其IPv4地址将在通信消息中用作源IPv4地址的源接口.
如果"主机定义"为"按名称",则此下拉字段中会显示所有IPv4和IPv6地址.
如果"主机定义"为"按IP地址",则仅显示"IP版本"字段中指定类型的现有IP地址.
主机IP地址/名称-输入主机地址或主机名.
TTL-输入Traceroute允许的最大步跳次数.
此字段用于防止发送帧进入无限循环.
当达到目的地或达到此值时,Traceroute命令将终止.
要使用默认值(30),请选择使用默认设置.
超时-输入在宣布帧丢失之前系统等待帧返回的时间长度,或者选择使用默认设置.
步骤3单击激活Traceroute.
将执行该操作.
此时将显示一个页面,在以下字段中显示每个旅程的往返时间(RTT)和状态:索引-显示步跳的次数.
主机-显示路由至目的地的一个停止.
往返时间(1-3)-显示第一个到第三个帧的往返时间(以毫秒为单位)以及第一个到第三个操作的状态.
7思科300系列管理型交换机管理指南68管理:时间设置系统时钟同步提供了网络上所有设备之间的参考帧.
网络管理、保护、规划和调试的各个方面都涉及确定事件的发生时间,因此网络时间同步至关重要.
如果没有时钟同步,当跟踪安全漏洞或网络使用率时,就无法在设备之间准确关联日志文件.
不论文件系统位于哪台计算机上,保持修改时间的一致性都十分重要,因此时间同步还能使共享文件系统更加有序.
鉴于以上原因,在网络上的所有设备上准确配置时间就显得尤为重要.
注设备支持简单网络时间协议(SNTP),如果启用了该协议,设备会动态同步设备时间与SNTP服务器时间.
设备仅作为SNTP客户端工作,且无法为其他设备提供时间服务.
本节介绍用于配置系统时间、时区和夏令时(DST)的选项.
其中包含以下主题:系统时间选项SNTP模式配置系统时间系统时间选项系统时间可由用户手动设置,或从SNTP服务器动态设置,也可以与运行GUI的PC保持同步.
如果选择使用SNTP服务器,则与该服务器建立通信后将会覆盖手动时间设置.
作为启动过程的一部分,设备始终会配置时间、时区和DST.
这些参数可以通过以下方式获取:通过运行GUI的PC、通过SNTP、通过手动设置值,或者在所有其他方式均失败的情况下通过出厂默认值获取.
管理:时间设置系统时间选项思科300系列管理型交换机管理指南697时间以下方法可用于设置设备上的系统时间:手动-用户必须手动设置时间.
通过PC-可以使用浏览器信息通过PC接收时间.
来自计算机的时间配置将保存到当前配置文件.
要让设备能够在重启之后使用来自计算机的时间,必须将当前配置复制到启动配置.
第一个WEB登录到设备期间,将设置重启后的时间.
首次配置此功能时,如果尚未设置时间,设备将通过PC设置时间.
这种时间设置方法需要配合HTTP和HTTPS连接使用.
SNTP-可以通过SNTP时间服务器接收时间.
SNTP使用SNTP服务器作为时钟源,可确保将设备的网络时间同步精确到毫秒.
指定SNTP服务器时,如果选择通过主机名进行识别,则GUI中会给出三个建议:-time-a.
timefreq.
bldrdoc.
gov-time-b.
timefreq.
bldrdoc.
gov-time-c.
timefreq.
bldrdoc.
gov通过以上任意一个时间源设置时间之后,浏览器将不会再次设置时间.
注SNTP是建议使用的时间设置方法.
时区和夏令时(DST)可以通过以下方式在设备上设置时区和DST:通过DHCP服务器动态配置设备,其中:-动态DST(如果已启用且可以使用)将始终优先于DST的手动配置.
-如果提供源参数的服务器发生故障或者用户禁用了动态配置,则将使用手动设置.
-IP地址的租用期限到期后,时区和DST的动态配置将继续有效.
仅当禁用了动态配置或者该功能发生故障时,手动配置的时区和DST才会成为运行时区和DST.
注DHCP服务器必须提供DHCP选项100,才能进行动态时区配置.
管理:时间设置SNTP模式思科300系列管理型交换机管理指南707SNTP模式设备可以通过以下其中一种方式从SNTP服务器接收系统时间:客户端广播接收(被动模式)-SNTP服务器广播时间,而设备则监听这些广播.
如果设备处于该模式,将无需定义单播SNTP服务器.
客户端广播传输(主动模式)-作为SNTP客户端的设备会定期请求SNTP时间更新.
此模式以下列任何一种方式工作:-SNTP任播客户端模式-设备向子网中的所有SNTP服务器广播时间请求数据包,然后等待服务器响应.
-单播SNTP服务器模式-设备将单播查询发送到一组手动配置的SNTP服务器,然后等待服务器响应.
设备支持同时启用以上两种模式,并根据基于最近层级(距参考时钟的距离)的算法,选择从SNTP服务器接收的最佳系统时间.
配置系统时间选择系统时间源使用"系统时间"页面选择系统时间源.
如果要以手动方式确定源,请在此处输入时间.
!
注意如果系统时间为手动设置并且重启设备,则必须重新输入手动时间设置.
定义系统时间的步骤:步骤1单击管理>时间设置>系统时间.
此时将显示以下字段:实际时间(静态)-设备上的系统时间.
此字段显示DHCP时区或用户定义时区的缩写词(如果用户进行了定义).
最近同步的服务器-上次从其获取系统时间的SNTP服务器的地址、层级和类型.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南717步骤2输入以下参数:时钟源设置-选择用于设置系统时钟的时钟源.
主时钟源(SNTP服务器)-如果启用此功能,将从SNTP服务器获得系统时间.
要使用此功能,还必须在"SNTP接口设置"页面中配置到SNTP服务器的连接.
或者,使用"SNTP验证"页面强制执行SNTP会话验证.
备选时钟源(使用活动HTTP/HTTPS会话的PC)-选择该选项会通过HTTP协议使用配置计算机提供的时间设置日期和时间.
注需要将"时钟源设置"设置为以上任何一种模式,RIPMD5验证才能工作.
这也有助于实现与时间相关联的功能,例如:基于时间的ACL、端口以及某些设备上支持的802.
1端口验证.
手动设置-手动设置日期和时间.
在没有替代时间源(如SNTP服务器)的情况下使用本地时间:日期-输入系统日期.
本地时间-输入系统时间.
时区设置-通过DHCP服务器或时区偏移使用本地时间.
从DHCP获取时区-选择该选项可实现通过DHCP服务器动态配置时区和DST.
能够配置其中一个参数还是两个参数,取决于在DHCP数据包中找到的信息.
如果启用该选项,必须在设备上启用DHCP客户端.
注DHCP客户端支持提供动态时区设置的选项100.
来自DHCP的时区-显示从DHCP服务器配置的时区的缩写词.
缩写词显示在实际时间字段中时区偏移-选择格林威治标准时间(GMT)与本地时间之间的时差(以小时为单位).
例如,巴黎的"时区偏移"为GMT+1,而纽约的"时区偏移"为GMT–5.
时区缩写-输入表示此时区的名称.
缩写词显示在实际时间字段中.
夏令时设置-选择定义DST的方式:夏令时-选择该选项可启用夏令时时间.
时间设置偏移-输入相对于GMT偏移的分钟数(范围为1到1440).
默认为60.
夏令时类型-单击以下选项之一:-美国-依据在美国使用的日期设置DST.
-欧洲-依据在欧盟及其他使用此标准的国家/地区使用的日期设置DST.
-按日期-手动设置DST,通常针对除美国或欧盟国家/地区以外的国家/地区.
按照以下说明输入参数.
-循环-每年在同一天开始实行DST.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南727选择按日期可以自定义DST的开始时间和结束时间:-起始时间-DST开始的日期和时间.
-结束时间-DST结束的日期和时间.
选择循环可以使用其他方法自定义DST的开始时间和结束时间:起始时间-每年开始实行DST的日期.
-日期-每年开始实行DST的日期(星期几).
-周-每年开始实行DST的星期(在某月的第几个星期).
-月-每年开始实行DST的月份.
-时间-每年开始实行DST的时间.
结束时间-每年结束DST的日期.
例如,DST每年在本地时间十月的第四个星期五的早上5:00点结束,参数如下:-日期-每年结束DST的日期(星期几).
-周-每年结束DST的星期(在某月的第几个星期).
-月-每年结束DST的月份.
-时间-每年结束DST的时间.
步骤3单击应用.
系统时间值将写入当前配置文件.
添加单播SNTP服务器最多可配置16台单播SNTP服务器.
注要按名称指定单播SNTP服务器,必须先在设备上配置DNS服务器(请参阅DNS设置).
添加单播SNTP服务器的步骤:步骤1单击管理>时间设置>SNTP单播.
步骤2输入以下字段:SNTP客户端单播-选择该选项可让设备将预定义了SNTP的单播客户端与组播SNTP服务器配合使用.
IPv4源接口-选择其IPv4地址将用作与SNTP服务器通信中消息的源IPv4地址的IPv4接口.
IPv6源接口-选择其IPv6地址将用作与SNTP服务器通信中消息的源IPv6地址的IPv6接口.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南737注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
本页面会显示每台单播SNTP服务器的以下信息:SNTP服务器-SNTP服务器IP地址.
根据服务器层级选择首选服务器或主机名.
轮询间隔-显示是否启用了轮询.
验证密钥ID-在SNTP服务器和设备之间通信所使用的密钥ID.
层级-距参考时钟的距离(用数值表示).
除非已启用轮询间隔,否则SNTP服务器无法成为主服务器(层级1).
状态-SNTP服务器状态.
可能的值包括:-启用-SNTP服务器目前正常运行.
-禁用-SNTP服务器目前不可用.
-未知-目前设备正在搜索SNTP服务器.
-正在进行-SNTP服务器未完全信任其自有时间服务器时(例如首次启动SNTP服务器时),会发生这种情况.
最近响应-上次从该SNTP服务器收到响应的日期和时间.
偏移-服务器时钟相对于本地时钟的预计偏差(以毫秒为单位).
主机使用RFC2030中介绍的算法确定此偏差的值.
延迟-沿服务器时钟与本地时钟之间的网络路径,服务器时钟相对于本地时钟的预计往返延迟.
主机使用RFC2030中介绍的算法确定此延迟的值.
源-如何定义SNTP服务器,例如:手动定义或从DHCPv6服务器定义.
接口-接收数据包的接口.
步骤3要添加单播SNTP服务器,请启用SNTP客户端单播.
步骤4单击添加.
步骤5输入以下参数:服务器定义-选择按照SNTP服务器的IP地址识别SNTP服务器,还是按照名称从列表中选择已知的SNTP服务器.
注要指定已知的SNTP服务器,必须将设备连接到互联网并配置一个DNS服务器,或者配置为使用DHCP可以识别DNS服务器.
(请参阅DNS设置)IP版本-选择IP地址版本:版本6或版本4.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南747IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果选择的IPv6地址类型为"链路本地").
SNTP服务器IP地址-输入SNTP服务器的IP地址.
格式取决于所选的地址类型.
SNTP服务器-从已知NTP服务器列表中选择SNTP服务器的名称.
如果选择其他,请在旁边的字段中输入SNTP服务器的名称.
轮询间隔-选择该选项将启用针对系统时间信息对SNTP服务器的轮询.
将会对注册供轮询的所有NTP服务器进行轮询,并将从所能访问的层级(距参考时钟的距离)最低的服务器选择时钟.
具有最低层级的服务器将被视为主服务器.
具有次低层级的服务器为次服务器,以此类推.
如果主服务器出现故障,设备将轮询所有启用了轮询设置的服务器,并选择具有最低层级的服务器作为新的主服务器.
验证-选择该复选框将启用验证.
验证密钥ID-如果启用了验证,请选择密钥ID值.
(使用"SNTP验证"页面创建验证密钥.
)步骤6单击应用.
将添加STNP服务器,并返回主页.
配置SNTP模式设备可以处于主动和/或被动模式(请参阅SNTP模式了解详情).
启用从子网上的所有服务器接收SNTP数据包和/或启用将时间请求传输到SNTP服务器的步骤:步骤1单击管理>时间设置>SNTP组播/任播.
步骤2请从以下选项中进行选择:SNTPIPv4组播客户端模式(客户端广播接收)-选择该选项可从子网上的任何SNTP服务器接收系统时间IPv4组播传输.
SNTPIPv6组播客户端模式(客户端广播接收)-选择该选项可从子网上的任何SNTP服务器接收系统时间IPv6组播传输.
SNTPIPv4任播客户端模式(客户端广播传输)-选择该选项可传输请求系统时间信息的SNTPIPv4同步数据包.
数据包传输至子网中的所有SNTP服务器.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南757SNTPIPv6任播客户端模式(客户端广播传输)-选择该选项可传输请求系统时间信息的SNTPIPv6同步数据包.
数据包传输至子网中的所有SNTP服务器.
步骤3如果系统处于第3层模式下,请单击添加,以选择用于SNTP接收/传输的接口.
选择一个接口,然后选择接收/传输选项.
步骤4单击应用,以将设置保存到当前配置文件中.
定义SNTP验证SNTP客户端可以使用HMAC-MD5验证响应.
SNTP服务器与密钥相关联,当与响应本身一起输入MD5函数时会使用该密钥;MD5的结果也包括在响应数据包中.
使用"SNTP验证"页面可配置与需要验证的SNTP服务器通信时使用的验证密钥.
验证密钥在SNTP服务器上通过独立过程创建,该过程取决于用户使用的SNTP服务器类型.
请咨询SNTP服务器系统管理员,了解详情.
工作流程步骤1在"SNTP验证"页面中启用验证功能.
步骤2在"SNTP验证"页面中创建一个密钥.
步骤3在"SNTP单播"页面中将此密钥与SNTP服务器相关联.
启用SNTP验证和定义密钥的步骤:步骤1单击管理>时间设置>SNTP验证.
步骤2选择SNTP验证,以支持对设备和SNTP服务器之间的SNTP会话进行验证.
步骤3单击应用更新设备.
步骤4单击添加.
步骤5输入以下参数:验证密钥ID-输入用于内部识别此SNTP验证密钥的数字.
验证密钥-输入用于验证的密钥(最多八个字符).
SNTP服务器必须发送此密钥,设备才会与之同步.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南767信任密钥-选择该选项,可使设备使用此验证密钥仅从SNTP服务器接收同步信息.
步骤6单击应用.
SNTP验证参数将写入当前配置文件.
时间范围可以定义时间范围,并将其与以下类型的命令相关联,以便仅在该时间范围内应用这些命令:ACL8021X端口验证端口状态基于时间的PoE有两种类型的时间范围:绝对值-此类型的时间范围始于特定日期或立即开始,结束于特定日期或没有结束日期.
可在时间范围页面中进行创建,还可以在其中添加循环元素.
循环-此类型的时间范围包含添加到绝对范围的时间范围元素,以及循环开始和结束的时间.
可在"循环范围"页面中进行定义.
如果时间范围既包括绝对范围,也包括循环范围,则仅会在同时达到绝对开始时间和循环时间范围时才会激活与该时间范围相关联的程序.
达到任何一个时间范围后都会禁用该程序.
设备最多可支持10个绝对时间范围.
所有时间规格均可解释为本地时间(夏令时对此没有影响).
要确保时间范围条目在所需时间内有效,必须设置系统时间.
时间范围功能可用于以下目的:例如,限制计算机在办公时间访问网络,执行此功能后将锁定网络端口,并阻塞对其余网络的访问(请参阅配置端口和配置LAG设置)将PoE操作限制在特定的时间段.
绝对时间范围定义绝对时间范围的步骤:步骤1单击管理>时间设置>时间范围.
此时将显示现有时间范围.
步骤2要添加新的时间范围,请单击添加.
管理:时间设置配置系统时间思科300系列管理型交换机管理指南777步骤3输入以下字段:时间范围名称-输入新的时间范围名称.
绝对开始时间-要定义开始时间,请输入以下字段:-立即-选择该选项,时间范围将立即开始.
-日期,时间-输入时间范围的开始日期和时间.
绝对结束时间-要定义结束时间,请输入以下字段:-无限期-选择该选项,时间范围将没有结束日期.
-日期,时间-输入时间范围的结束日期和时间.
步骤4要添加循环时间范围,请单击循环范围.
循环时间范围可以为绝对时间范围添加循环时间元素.
这会限制在绝对范围内的某些时间段内执行操作.
向绝对时间范围添加循环时间范围元素的步骤:步骤1单击管理>时间设置>循环范围.
此时将显示现有的循环时间范围(根据特定的绝对时间范围进行过滤).
步骤2选择要添加循环范围的绝对时间范围.
步骤3要添加新的循环时间范围,请单击添加.
步骤4输入以下字段:循环开始时间-输入时间范围循环开始的日期和时间.
循环结束时间-输入时间范围循环结束的日期和时间.
步骤5单击应用步骤6单击时间范围访问绝对时间范围8思科300系列管理型交换机管理指南78管理:诊断本节包含有关配置端口镜像、运行电缆测试和查看设备工作信息的信息.
其中包含以下主题:铜缆端口测试显示光纤模块状态配置端口和VLAN镜像查看CPU使用率和安全的核心技术铜缆端口测试"铜缆测试"页面将显示虚拟电缆测试器(VCT)对铜质电缆执行的集成电缆测试的结果.
VCT执行两种测试:TimeDomainReflectometry(TDR)技术测试连接到端口的铜质电缆的质量和特性.
最长可以测试140米的电缆.
这些结果将在"铜缆测试"页面"测试结果"框中显示.
可对活动的GE链路执行基于DSP的测试,以测量电缆长度.
这些结果将在"铜缆测试"页面"高级信息"框中显示.
运行铜缆端口测试的前提条件运行该测试之前,请执行以下操作:(强制)禁用短距模式(请参阅"端口管理>绿色以太网>属性"页面)(可选)禁用EEE(请参阅"端口管理>绿色以太网>属性"页面)使用VCT测试电缆时,会使用一条CAT5数据电缆.
测试结果的准确率可以有一个错误范围,高级测试的错误范围为+/-10,基本测试的错误范围为+/-2.
管理:诊断铜缆端口测试思科300系列管理型交换机管理指南798!
注意测试端口时,会将端口设置为中断状态,通信会被中断.
测试后,端口会恢复连接状态.
不建议在用于运行基于Web的交换机配置实用程序的端口上运行铜缆端口测试,因为这会中断与该设备之间的通信.
测试连接到端口的铜质电缆的步骤:步骤1单击管理>诊断>铜缆测试.
步骤2选择要进行铜缆测试的端口.
步骤3单击铜缆测试.
步骤4当显示该消息时,单击确定确认链路可以中断,或单击取消中止测试.
在"测试结果"框中将显示以下字段:最近更新-上次在端口上执行测试的时间.
测试结果-电缆测试结果.
可能的值包括:-良好-电缆通过测试.
-无电缆-电缆没有连接到端口.
-开放电缆-电缆只有一端连接.
-短电缆-电缆发生短路.
-未知测试结果-发生错误.
与故障的距离-端口与电缆上的故障点之间的距离.
运行端口状态-显示端口处于连接还是中断状态.
如果正在测试的端口是一个千兆端口,高级信息框包含以下信息(每次进入该页面,都将刷新该信息框):电缆长度:提供长度的估计值.
对-所测试的电缆对.
状态-线对状态.
红色表示发生故障,绿色表示状态良好.
通道-电缆通道表示该线缆是直通电缆还是交叉电缆.
极性-指示是否为线对激活了自动极性检测和更正.
对间偏移-线对间延迟的差异.
注当端口速度为每秒10Mbit,不能执行TDR测试.
管理:诊断显示光纤模块状态思科300系列管理型交换机管理指南808显示光纤模块状态"光纤模块状态"页面会显示由SFP(小型封装可热插拔)收发器报告的工作状况.
对于不支持数字诊断监控标准SFF-8472的SFP,可能不会提供某些信息.
MSA兼容SFP支持以下FESFP(100Mbps)收发器:MFEBX1:适用于单模光纤(1310nm波长)的100BASE-BX-20USFP收发器,有效距离可达20km.
MFEFX1:适用于多模光纤(1310nm波长)的100BASE-FXSFP收发器,有效距离可达2km.
MFELX1:适用于单模光纤(1310nm波长)的100BASE-LXSFP收发器,有效距离可达10km.
支持以下GESFP(1000Mbps)收发器:MGBBX1:适用于单模光纤(1310nm波长)的1000BASE-BX-20USFP收发器,有效距离可达40km.
MGBLH1:适用于单模光纤(1310nm波长)的1000BASE-LHSFP收发器,有效距离可达40km.
MGBLX1:适用于单模光纤(1310nm波长)的1000BASE-LXSFP收发器,有效距离可达10km.
MGBSX1:适用于多模光纤(850nm波长)的1000BASE-SXSFP收发器,有效距离可达550m.
MGBT1:适用于5类铜缆的1000BASE-TSFP收发器,有效距离可达100m.
要查看光纤测试的结果,请单击管理>诊断>光纤模块状态.
此页面显示了以下字段:端口-连接SFP的端口的端口号.
说明-光纤收发器的说明.
序列号-光纤收发器的序列号.
PID-VLANID.
VID-光纤收发器的ID.
温度-SFP的工作温度(以摄氏度为单位).
电压-SFP的工作电压.
电流-SFP的当前功耗.
输出功率-传输的光功率.
管理:诊断配置端口和VLAN镜像思科300系列管理型交换机管理指南818输入功率-接收的光功率.
发射器故障-远程SFP报告信号丢失.
值为"True"、"False"和"无信号(N/S)".
信号丢失-本地SFP报告信号丢失.
值为"True"和"False".
数据就绪-SFP在工作.
值为"True"和"False".
配置端口和VLAN镜像在网络设备上,可使用端口镜像将单个设备端口、多个设备端口或整个VLAN上看到的网络数据包的副本发送到设备上另一端口上的网络监控连接.
它经常用于需要进行网络流量监控的网络应用(例如入侵检测系统).
连接到监控端口的网络分析器会处理用于进行诊断、调试和性能监控的数据包.
最多可以镜像八个源.
这可以是八个独立端口和/或VLAN的任意组合.
在分配给要进行镜像的VLAN的网络端口上收到的数据包将被镜像到分析器端口,即使该数据包最终会被拦截或丢弃亦如此.
如果激活了"传输(Tx)镜像",将会镜像由设备发送的数据包.
镜像并不保证在分析器(目的)端口上收到来自源端口的所有流量.
如果向分析器端口发送的数据超出了其能够接收的量,则某些数据可能会丢失.
VLAN镜像在非手动创建的VLAN上无效.
例如,如果VLAN23由GVRP创建,而您手动创建VLAN34,则可以创建包括VLAN23、VLAN34或这两者的端口镜像,随后删除VLAN34,则端口镜像中的状态将被设置为未就绪,因为VLAN34已不在数据库中,而VLAN23不是手动创建的.
只有一个镜像实例是全系统支持的.
分析器端口(或VLAN镜像或端口镜像的目的端口)对于所有已镜像的VLAN或端口是相同的.
启用镜像的步骤:步骤1单击管理>诊断>端口和VLAN镜像.
此时将显示以下字段:目的端口-要向其复制流量的端口,即分析器端口.
源接口-要自其向分析器端口发送流量的接口、端口或VLAN.
类型-监控类型:传入端口(接收)、从端口传出(传输)或两者.
状态-显示以下内容之一:-活动-源和目的接口都处于连接状态,并在转发流量.
-未就绪-出于某种原因,源或目的接口(或者两者都)处于中断状态,没有转发流量.
管理:诊断查看CPU使用率和安全的核心技术思科300系列管理型交换机管理指南828步骤2单击添加添加要镜像的端口或VLAN.
步骤3输入参数:目的端口-选择要向其复制数据包的分析器端口.
系统会将网络分析器(例如运行Wireshark的PC)连接到此端口.
如果将一个端口确定为分析器目的端口,它会保留分析器目的端口,直到删除所有条目.
源接口-选择从其中镜像流量的源端口或源VLAN.
类型-选择要将传入流量、传出流量还是这两种类型的流量镜像到分析器端口.
如果选择端口,选项如下:-仅接收-对传入数据包进行端口镜像.
-仅发送-对传出数据包进行端口镜像.
-发送和接收-对传入和传出数据包均进行端口镜像.
步骤4单击应用.
端口镜像将添加到当前配置.
查看CPU使用率和安全的核心技术除终端用户流量之外,设备还处理以下类型的流量:管理流量协议流量Snooping流量过多的流量会使CPU不堪重负,并可能影响正常的设备运行.
设备使用安全的核心技术(SCT)功能,可以确保设备无论接收的总流量是多少,都能够接收并处理管理和协议流量.
默认情况下,SCT在设备上已启用,且不能被禁用.
该功能与其他功能间没有交互.
显示CPU使用率的步骤:步骤1单击管理>诊断>CPU使用率.
将显示"CPU使用率"页面.
"CPU输入速率"字段将显示每秒向CPU输入帧的速率.
管理:诊断查看CPU使用率和安全的核心技术思科300系列管理型交换机管理指南838该窗口包含CPU使用率图表.
Y轴表示占用百分比,X轴为样本号.
步骤2确保"CPU使用率"复选框处于启用状态.
步骤3选择刷新速率,即刷新统计信息的时间间隔(以秒为单位的时间段).
为每个时间段创建一个新样本.
步骤4单击应用.
9思科300系列管理型交换机管理指南84管理:发现协议本节提供了有关配置发现的信息.
其中包含以下主题:BonjourLLDP和CDP配置LLDP配置CDPBonjour作为Bonjour客户端,设备会定期将Bonjour发现协议数据包广播给直接连接的IP子网,以通告它的存在以及它所提供的服务,例如HTTP、HTTPS和Telnet.
(可使用"安全>TCP/UDP服务"页面启用或禁用设备服务.
)网络管理系统或其他第三方应用可发现设备.
默认情况下,管理VLAN上已启用Bonjour.
BonjourConsole会自动检测并显示该设备.
第2层系统模式下的Bonjour当设备处于第2层系统模式时,会在全局启用Bonjour发现,但无法针对每个端口或每个VLAN启用它.
设备会按照"服务"页面上的配置,通告管理员开启的所有服务.
同时启用Bonjour发现和IGMP时,Bonjour的IP组播地址会显示在"添加IP组播组地址"页面上.
若禁用Bonjour发现,设备会停止所有服务类型通告,且不会响应来自网络管理应用的服务请求.
当系统处于第2层系统模式时全局启用Bonjour的步骤:步骤1单击管理>发现-Bonjour.
步骤2选择启用以在设备上全局启用Bonjour发现.
步骤3单击应用.
将根据您的选择,在设备上启用或禁用Bonjour.
管理:发现协议LLDP和CDP思科300系列管理型交换机管理指南859第3层系统模式下的Bonjour在第3层系统模式下,每个接口(VLAN、端口或LAG)都可分配一个IP地址.
启用Bonjour后,设备便可以在具有IP地址的所有接口上发送Bonjour发现数据包.
可以针对端口和/或VLAN单独启用Bonjour.
启用Bonjour后,设备便可以将Bonjour发现数据包发送到IP地址已在Bonjour发现协议接口控制表中与Bonjour关联的接口.
设备在第3层系统模式下运行时,可依次进入IP配置>管理与IP接口>IPv4接口,以便为各接口配置IP地址.
如果删除了一个接口(例如VLAN),则系统会发送Goodbye数据包,以注销设备正从本地网络中的相邻缓存表通告的服务.
Bonjour发现协议接口控制表显示IP地址已与Bonjour功能关联的接口.
任何Bonjour通告只能广播至此表中列出的接口.
请参阅"管理>发现协议-Bonjour"页面上的"Bonjour发现协议接口控制表".
如果可用服务发生更改,则会通告这些更改,注销关闭的服务并注册打开的服务.
如果IP地址发生更改,则会通告该更改.
如果禁用Bonjour,则设备不会发送Bonjour发现通告,也不会监听由其他设备发送的Bonjour发现通告.
当设备处于第3层系统模式时配置Bonjour的步骤:步骤1单击管理>发现-Bonjour.
步骤2选择启用以全局启用Bonjour发现.
步骤3单击应用更新当前配置文件.
步骤4要在某接口上启用Bonjour,请单击添加.
步骤5选择一个接口,然后单击应用.
注单击删除可在接口上禁用Bonjour(仅执行删除操作,而不会执行应用等任何其他操作).
LLDP和CDPLLDP(链路层发现协议)和CDP(思科发现协议)都是链路层协议,支持LLDP和CDP的直接连接邻居可使用这两种协议通告自身及其功能.
默认情况下,设备会定期向所有接口发送LLDP/CDP通告,并按照协议的要求处理入站LLDP及CDP数据包.
LLDP和CDP协议下,通告将在数据包中编码为TLV(类型、长度、值).
应用以下CDP/LLDP配置说明:CDP/LLDP可全局或按端口启用或禁用.
仅当全局启用CDP/LLDP时,端口的CDP/LLDP功能才有意义.
如果全局启用CDP/LLDP,设备将滤除来自已禁用CDP/LLDP端口的入站CDP/LLDP数据包.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南869如果全局禁用CDP/LLDP,设备可配置为丢弃、可识别VLAN泛洪或无法识别VLAN泛洪所有入站CDP/LLDP数据包.
可识别VLAN泛洪会将入站CDP/LLDP数据包泛洪到接收数据包的VLAN,其中不包括入站端口.
无法识别VLAN泛洪会将入站CDP/LLDP数据包泛洪到除入站端口外的所有端口.
全局禁用CDP/LLDP时,系统默认丢弃CDP/LLDP数据包.
您可以分别在"CDP属性"页面和"LLDP属性"页面配置入站CDP/LLDP数据包的丢弃/泛洪操作.
自动智能端口需要启用CDP和/或LLDP.
自动智能端口会根据接口接收的CDP/LLDP通告,自动对接口进行配置.
CDP和LLDP终端设备(如IP电话)会从CDP和LLDP通告中学习语音VLAN配置.
默认情况下,设备会根据所配置的语音VLAN发送CDP和LLDP通告.
有关详细信息,请参阅语音VLAN.
注如果端口位于LAG中,CDP/LLDP将不作区分.
如果多个端口位于LAG中,CDP/LLDP将在各端口上传输数据包,而不会考虑它们在LAG中这一事实.
CDP/LLDP的操作不受接口STP状态的影响.
如果接口已启用802.
1x端口访问控制,仅当该接口经过验证和授权的情况下,设备才可在其上收发CDP/LLDP数据包.
如果端口是镜像目标,则CDP/LLDP会将其视为处于关闭状态.
注CDP和LLDP都是链路层协议,支持CDP/LLDP的直接连接设备可使用这两种协议通告自身及其功能.
如果部署中支持CDP/LLDP的设备不是直接连接且与不支持CDP/LLDP的设备相分离,则仅当不支持CDP/LLDP的设备泛洪发送所接收CDP/LLDP数据包的情况下,它们才能接收来自其他设备的通告.
如果不支持CDP/LLDP的设备执行可识别VLAN泛洪,则支持CDP/LLDP的设备只有在位于同一VLAN中时才能互相接收通告.
如果不支持CDP/LLDP的设备泛洪发送CDP/LLDP数据包,支持CDP/LLDP的设备可以接收来自多个设备的通告.
配置LLDP本节介绍如何配置LLDP.
其中包含以下主题:LLDP概述LLDP属性LLDP端口设置LLDPMED网络策略LLDPMED端口设置LLDP端口状态管理:发现协议配置LLDP思科300系列管理型交换机管理指南879LLDP本地信息LLDP邻居信息LLDP统计信息LLDP过载LLDP概述LLDP可使网络管理员在多供应商环境中排除故障并强化网络管理.
LLDP提供了标准化的方法,便于网络设备向其他系统通告自身并存储已发现的信息.
LLDP可让设备向相邻设备通告其身份、配置和功能,然后这些相邻设备会将这些数据存储在管理信息库(MIB)中.
网络管理系统会通过查询这些MIB数据库来为网络拓扑建模.
LLDP是一种链路层协议.
默认情况下,设备会按照协议的要求终止并处理所有入站LLDP数据包.
LLDP协议有一个名为LLDP媒体终端发现(LLDP-MED)的扩展协议,该扩展协议可提供和接受来自VoIP电话和视频电话等媒体终端设备的信息.
有关LLDP-MED的更多信息,请参阅LLDPMED网络策略.
LLDP配置工作流程以下是可使用LLDP功能执行的操作示例,请按建议的顺序执行.
如需有关LLDP配置的其他说明,请参阅"LLDP/CDP"一节.
LLDP配置页面可在管理>发现LLDP菜单下打开.
1.
使用"LLDP属性"页面输入LLDP全局参数,如发送LLDP更新的时间间隔.
2.
使用"端口设置"页面按端口配置LLDP.
在该页面上,接口可配置为接收/传输LLDPPDU、发送SNMP通知、指定要通告的TLV,以及通告设备的管理地址.
3.
使用"LLDPMED网络策略"页面创建LLDPMED网络策略.
4.
使用"LLDPMED端口设置"页面将LLDPMED网络策略和可选LLDP-MEDTLV与所需的接口关联.
5.
若要使自动智能端口检测LLDP设备的功能,请在"智能端口属性"页面中启用LLDP.
6.
使用"LLDP过载"页面显示过载信息.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南889LLDP属性使用"属性"页面可输入LLDP一般参数,例如全局启用/禁用功能和设置定时器.
输入LLDP属性的步骤:步骤1单击管理>发现协议-LLDP>属性.
步骤2输入参数.
LLDP状态-选择该选项可启用设备上的LLDP(默认启用).
LLDP帧处理-如果未启用LLDP,选择在收到符合所选条件的数据包时要执行的操作:-过滤-删除数据包.
-泛洪-将数据包转发给所有VLAN成员.
TLV通告间隔-输入发送LLDP通告更新的速率(以秒为单位)或使用默认值.
拓扑更改SNMP通知间隔-输入SNMP通知之间的最小时间间隔.
保留时间(以倍数表示)-输入在丢弃LLDP数据包之前保留这些数据包的时间(以TLV通告间隔的倍数计量).
例如,如果"TLV通告间隔"为30秒,而"保留时间(以倍数表示)"为4,则系统会在120秒后丢弃LLDP数据包.
重新初始化延迟-输入在一个LLDP启用/禁用周期之后,禁用LLDP与重新初始化LLDP之间的时间间隔(以秒为单位).
传输延迟-输入由LLDP本地系统MIB中的更改而引发的连续LLDP帧传输之间的时间(以秒为单位).
机箱ID通告-为LLDP消息中的通告选择以下一个选项:-MAC地址-通告设备的MAC地址.
-主机名-通告设备的主机名.
步骤3在快速启动重复计数字段中,输入初始化LLDP-MED快速启动机制时发送LLDP数据包的次数.
有新的端点设备连接至设备时会发生这种情况.
有关LLDPMED的说明,请参阅"LLDPMED网络策略"一节.
步骤4单击应用.
LLDP属性会添加至当前配置文件.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南899LLDP端口设置使用"端口设置"页面可针对每个端口激活LLDP和SNMP通知,并输入在LLDPPDU中发送的TLV.
要通告的LLDP-MEDTLV可在"LLDPMED端口设置"页面进行选择,并且可以配置设备的管理地址TLV.
定义LLDP端口设置的步骤:步骤1单击管理>发现协议-LLDP>端口设置.
此页面包含端口LLDP信息.
步骤2选择一个端口,然后单击编辑.
此页面提供了以下字段:接口-选择要编辑的端口.
管理状态-为端口选择LLDP发布选项.
这些值包括:-仅发送-只发布不发现.
-仅接收-只发现不发布.
-发送和接收-发布并发现.
-禁用-表示在该端口上禁用LLDP.
SNMP通知-如果选择启用,则会在发生拓扑更改时向SNMP通知接收者(例如SNMP管理系统)发送通知.
在"LLDP属性"页面的"拓扑更改SNMP通知间隔"字段中,可输入发送通知的时间间隔.
使用"SNMP>通知接收设备SNMPv1,2"和/或"SNMP>通知接收设备SNMPv3"页面,可定义SNMP通知接收方.
选定的可选TLV-通过将TLV从可用的可选TLV列表移至此列表,来选择要由设备发布的信息.
可用TLV包含以下信息:-端口说明-有关端口的信息,包括制造商、产品名称和硬件/软件版本.
-系统名称-系统的指定名称(使用字母数字格式).
该值与sysName对象相等.
-系统说明-对网络实体的描述(使用字母数字格式).
它包括系统名称、硬件版本、操作系统和设备支持的网络软件.
该值与sysDescr对象相等.
-系统功能-设备的主要功能,以及是否已在设备中启用这些功能.
这些功能由两个八进制数表示.
0到7位分别表示其他、中继器、网桥、WLANAP、路由器、电话、DOCSIS电缆设备以及工作站.
8到15位为保留位.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南909-802.
3MAC-PHY-双工和比特率功能以及发送设备的当前双工和比特率设置.
它还表明当前设置是通过自动协商还是手动配置而产生的.
-802.
3链路聚合-是否可以聚合链路(与用于传输LLDPPDU的端口相关联).
它还表明链路当前是否已聚合;如果是,则提供聚合的端口标识符.
-802.
3最大帧大小-MAC/PHY实施的最大帧大小功能.
管理地址可选TLV:通告模式-选择以下其中一种通告设备IP管理地址的方法:-自动通告-指定软件从所有设备的IP地址中自动选择一个管理地址进行通告.
如果有多个IP地址,软件将选择动态IP地址中的最小IP地址.
如果无动态地址,软件将选择静态IP地址中的最小IP地址.
-无-不通告管理IP地址.
-手动通告-选择该选项以及要通告的管理IP地址.
在设备处于第3层系统模式下并使用多个IP地址进行配置时,建议选择此选项(始终适用于SG500X/ESW2-550X设备).
IP地址-如果选择手动通告,则请从提供的地址中选择管理IP地址.
以下字段与802.
1VLAN和协议相关:PVID-选择该选项可在TLV中通告PVID.
端口和协议VLANID-选择该选项可通告端口和协议VLANID.
VLANID-选择将通告的VLAN.
协议ID-选择将通告的协议.
选定的协议ID-显示选定的协议.
步骤3输入相关信息,然后单击应用.
端口设置将写入当前配置文件中.
LLDPMED网络策略LLDP媒体终端发现(LLDP-MED)是LLDP的扩展协议,可提供以下附加功能来支持媒体终端设备:实现实时应用(如语音和/或视频)的网络策略通告和发现.
发现设备位置以让您创建位置数据库;对于IP电话(VoIP)、紧急电话服务(E-911),则使用IP电话位置信息.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南919故障排除信息.
LLDPMED会向网络管理员发送以下警报:-端口速度与双工模式相冲突-QoS策略配置不正确设置LLDPMED网络策略LLDP-MED网络策略是某特定实时应用(如语音或视频)的一组相关配置设置.
配置之后,网络策略将包含在出站LLDP数据包中发送到相连接的LLDP媒体终端设备.
媒体终端设备必须根据所接收网络策略中的规定发送流量.
例如,可以为VoIP流量创建一个策略,以便指引VoIP电话:在VLAN10上将语音流量作为已标记数据包进行发送,并设定802.
1p优先级为5.
使用DSCP46发送语音流量.
使用"LLDPMED端口设置"页面可将网络策略与端口相关联.
管理员可手动配置一个或多个网络策略以及要发送策略的接口.
管理员负责根据网络策略及其关联的接口,手动创建VLAN及其端口成员关系.
此外,管理员还可指引设备根据其保留的语音VLAN,自动生成并通告语音应用的网络策略.
有关设备如何保留其语音VLAN的详情,请参阅"自动语音VLAN"一节.
定义LLDPMED网络策略的步骤:步骤1单击管理>发现协议-LLDP>LLDPMED网络策略.
此页面包含之前创建的网络策略.
步骤2若要使设备自动根据其保留的语音VLAN,自动生成并通告语音应用的网络策略,请为语音应用的"LLDP-MED网络策略"选择自动.
注选中此框后,用户将无法手动配置语音网络策略.
步骤3单击应用将此设置添加到当前配置文件.
步骤4要定义新策略,请单击添加.
步骤5输入以下值:网络策略编号-选择要创建的策略编号.
应用-选择正为何种类型的应用(流量类型)定义网络策略.
VLANID-输入必须向其发送流量的VLANID.
VLAN类型-选择是否为流量添加标记.
用户优先级-选择要应用于此网络策略所定义流量的流量优先级.
这是CoS值.
DSCP值-选择要与邻居所发送应用数据相关联的DSCP值.
该值可告诉邻居要如何标记它们发送给设备的应用流量.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南929步骤6单击应用.
系统将定义网络策略.
注对于出站LLDP数据包,您必须使用"LLDPMED端口设置"页面手动配置接口,以便将所需的手动定义网络策略包括在内.
LLDPMED端口设置使用"LLDPMED端口设置"页面可选择LLDP-MEDTLV和/或网络策略,使之包含在所需接口的出站LLDP通告中.
网络策略使用"LLDPMED网络策略"页面进行配置.
注如果语音应用的"LLDP-MED网络策略"("LLDP-MED网络策略"页面)为"自动"且自动语音VLAN正在运行,则对于所有已启用LLDP-MED且属于语音VLAN成员的端口,设备将自动为其生成语音应用的"LLDP-MED网络策略".
在每个端口上配置LLDPMED的步骤:步骤1单击管理>发现协议-LLDP>LLDPMED端口设置.
此页面将为所有端口显示以下LLDPMED设置(仅列出编辑页面中未介绍的字段):位置-显示是否传输位置TLV.
PoE-显示是否传输POE-PSETLV.
清单-显示是否传输清单TLV.
步骤2该页面顶部的消息表明是否自动生成语音应用的LLDPMED网络策略(参阅LLDP概述).
单击该链接以更改模式.
步骤3要将其他LLDPMEDTLV和/或一个或多个用户定义的LLDPMED网络策略与某端口相关联,选择该端口,然后单击编辑.
步骤4输入参数:接口-选择要配置的接口.
LLDPMED状态-在此端口上启用/禁用LLDPMED.
SNMP通知-选择在发生拓扑更改时,是否在发现支持MED的终端工作站(例如,SNMP管理系统)时,针对每个端口发送SNMP通知.
选定的可选TLV-通过将TLV从可用的可选TLV列表移至"选定的可选TLV"列表中,来选择可由设备发布的TLV.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南939可用的网络策略-通过将LLDPMED策略从可用的网络策略列表移至"选定的网络策略"列表中,来选择将由LLDP发布的LLDPMED策略.
这些策略在"LLDPMED网络策略"页面中进行创建.
要在通告中包括一个或多个用户定义的网络策略,您还须从可用的可选TLV中选择网络策略.
注必须按照LLDP-MED标准(ANSI-TIA-1057_final_for_publication.
pdf)中定义的精确数据格式,使用十六进制字符在以下字段中输入内容:-位置坐标-输入要由LLDP发布的坐标位置.
-位置城市地址-输入要由LLDP发布的城市地址.
-位置ECSELIN-输入要由LLDP发布的紧急电话服务(ECS)ELIN位置.
步骤5单击应用.
LLDPMED端口设置将写入当前配置文件中.
LLDP端口状态"LLDP端口状态表"页面包含每个端口的LLDP全局信息.
步骤1要查看LLDP端口状态,请单击管理>发现协议-LLDP>LLDP端口状态.
步骤2单击LLDP本地信息详情,查看发送给邻居的LLDP和LLDP-MEDTLV的详情.
步骤3单击LLDP邻居信息详情,查看邻居发送来的LLDP和LLDP-MEDTLV的详情.
LLDP端口状态全局信息机箱ID子类型-机箱ID的类型(例如,MAC地址).
机箱ID-机箱的标识符.
如果机箱ID子类型为MAC地址,则会显示设备的MAC地址.
系统名称-设备的名称.
系统说明-对设备的描述(使用字母数字格式).
支持的系统功能-设备的主要功能,例如,网桥、WLANAP或路由器.
已启用的系统功能-设备已启用的主要功能.
端口ID子类型-显示的端口标识符的类型.
LLDP端口状态表接口-端口标识符.
LLDP状态-LLDP发布选项.
LLDPMED状态-已启用或已禁用.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南949本地PoE-通告的本地PoE信息.
远程PoE-邻居通告的PoE信息.
邻居数量-发现的邻居数目.
第一台设备的邻居功能-显示邻居的主要功能,例如:网桥或路由器.
LLDP本地信息查看在端口上通告的LLDP本地端口状态的步骤:步骤1单击管理>发现协议-LLDP>LLDP本地信息.
步骤2选择要显示LLDP本地信息的接口.
此页面将为选定接口显示以下字段:全局机箱ID子类型-机箱ID的类型.
(例如,MAC地址.
)机箱ID-机箱的标识符.
如果机箱ID子类型为MAC地址,则会显示设备的MAC地址.
系统名称-设备的名称.
系统说明-对设备的描述(使用字母数字格式).
支持的系统功能-设备的主要功能,例如,网桥、WLANAP或路由器.
已启用的系统功能-设备已启用的主要功能.
端口ID子类型-显示的端口标识符的类型.
端口ID-端口的标识符.
端口说明-有关端口的信息,包括制造商、产品名称和硬件/软件版本.
管理地址显示本地LLDP代理的地址表.
其他远程管理员可以使用该地址获取与本地设备相关的信息.
该地址由以下元素组成:地址子类型-在"管理地址"字段中列出的管理IP地址的类型,例如IPv4.
地址-返回的最适合管理用途的地址,通常为第3层地址.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南959接口子类型-用于定义接口编号的编号方法.
接口编号-与此管理地址相关联的具体接口.
MAC/PHY详情支持自动协商-端口速度自动协商支持状态.
已启用自动协商-端口速度自动协商活动状态.
自动协商通告功能-端口速度自动协商功能,例如,1000BASE-T半双工模式、100BASE-TX全双工模式.
运行MAU类型-介质连接单元(MAU)类型.
MAU可执行物理层功能,包括通过对以太网接口进行冲突检测来转换数字数据和在网络中插入位,例如100BASE-TX全双工模式.
802.
3详情802.
3最大帧大小-支持的最大IEEE802.
3帧大小.
802.
3链路聚合聚合功能-表明是否可以聚合接口.
聚合状态-表明是否已聚合接口.
聚合端口ID-通告的聚合接口ID.
802.
3节能以太网(EEE)(如果设备支持EEE)本地发送-表明传输链路伙伴在离开低功耗空闲(LPI模式)后,开始传输数据之前所等待的时间(微秒).
本地接收-表明接收链路伙伴要求传输链路伙伴在低功耗空闲(LPI模式)后,开始传输数据之前所等待的时间(微秒).
远程发送回波-表明本地链路伙伴反射远程链路伙伴的发送值.
远程接收回波-表明本地链路伙伴反射远程链路伙伴的接收值.
MED详情支持的功能-端口上支持的MED功能.
当前功能-端口上启用的MED功能.
设备类-LLDP-MED端点设备类.
设备类可能为:-第1类端点-一般端点类,提供基本LLDP服务.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南969-第2类端点-介质端点类,提供介质流功能以及所有第1类功能.
-第3类端点-通信设备类,提供所有第1类和第2类功能以及位置、911、第2层设备支持和设备信息管理功能.
PoE设备类型-端口PoE类型,例如,已打开电源.
PoE电源-端口电源.
PoE电源优先级-端口电源优先级.
PoE功率值-端口电源值.
硬件版本-硬件版本.
固件版本-固件版本.
软件版本-软件版本.
序列号-设备序列号.
制造商名称-设备制造商名称.
型号名称-设备型号.
资产ID-资产ID.
位置信息城市-街道地址.
坐标-地图坐标:纬度、经度和海拔高度.
ECSELIN-紧急电话服务(ECS)紧急位置标识号(ELIN).
网络策略表应用类型-网络策略应用类型,例如语音.
VLANID-为其定义网络策略的VLANID.
VLAN类型-为其定义网络策略的VLAN类型.
该字段可能的值包括:-Tagged-指示网络策略是为TaggedVLAN定义的.
-Untagged-指示网络策略是为UntaggedVLAN定义的.
用户优先级-网络策略用户优先级.
DSCP-网络策略DSCP.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南979步骤3在页面底部,单击LLDP端口状态表可在LLDP端口状态表中查看详情.
LLDP邻居信息"LLDP邻居信息"页面包含从邻居设备接收到的信息.
超时(根据在其间未收到邻居发送的LLDPPDU的邻居活动时间TLV发送的值)后,将会删除该信息.
查看LLDP邻居信息的步骤:步骤1单击管理>发现协议-LLDP>LLDP邻居信息.
步骤2选择要显示LLDP邻居信息的接口.
此页面将为选定接口显示以下字段:本地端口-要将邻居与其连接的本地端口号.
机箱ID子类型-机箱ID的类型(例如,MAC地址).
机箱ID-802LAN相邻设备机箱的标识符.
端口ID子类型-显示的端口标识符的类型.
端口ID-端口的标识符.
系统名称-已发布的设备名称.
存活时间-在其后删除该邻居的信息的时间间隔(以秒为单位).
步骤3选择一个本地端口,然后单击详情.
"LLDP邻居信息"页面包含以下字段:端口详情本地端口-端口号.
MSAP条目-设备介质服务接入点(MSAP)条目编号.
基本详情机箱ID子类型-机箱ID的类型(例如,MAC地址).
机箱ID-802LAN相邻设备机箱的标识符.
端口ID子类型-显示的端口标识符的类型.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南989端口ID-端口的标识符.
端口说明-有关端口的信息,包括制造商、产品名称和硬件/软件版本.
系统名称-已发布的系统名称.
系统说明-对网络实体的描述(使用字母数字格式).
它包括系统名称、硬件版本、操作系统和设备支持的网络软件.
该值与sysDescr对象相等.
支持的系统功能-设备的主要功能.
这些功能由两个八进制数表示.
0到7位分别表示其他、中继器、网桥、WLANAP、路由器、电话、DOCSIS电缆设备以及工作站.
8到15位为保留位.
已启用的系统功能-设备已启用的主要功能.
管理地址表地址子类型-管理的地址子类型,例如MAC或IPv4.
地址-管理的地址.
接口子类型-端口子类型.
接口编号-端口编号.
MAC/PHY详情支持自动协商-端口速度自动协商支持状态.
值可能为True和False.
已启用自动协商-端口速度自动协商活动状态.
值可能为True和False.
自动协商通告功能-端口速度自动协商功能,例如,1000BASE-T半双工模式、100BASE-TX全双工模式.
运行MAU类型-介质连接单元(MAU)类型.
MAU可执行物理层功能,包括通过对以太网接口进行冲突检测来转换数字数据和在网络中插入位,例如100BASE-TX全双工模式.
通过MDI提供的802.
3电源MDI电源支持端口类-通告的电源支持端口类.
PSEMDI电源支持-表明端口上是否支持MDI电源.
PSEMDI电源状态-表明是否已在端口上启用MDI电源.
PSE电源对控制功能-表明端口上是否支持电源对控制.
PSE电源对-端口上支持的电源对控制类型.
PSE电源类-通告的电源端口类.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南999802.
3详情802.
3最大帧大小-端口上支持的最大通告帧大小.
802.
3链路聚合聚合功能-表明是否可以聚合端口.
聚合状态-表明当前是否已聚合端口.
聚合端口ID-通告的聚合端口ID.
802.
3节能以太网(EEE)远程传输-表明传输链路伙伴在离开低功耗空闲(LPI模式)后,开始传输数据之前所等待的时间(微秒).
远程接收-表明接收链路伙伴要求传输链路伙伴在低功耗空闲(LPI模式)后,开始传输数据之前所等待的时间(微秒).
本地传输回波-表明本地链路伙伴反射远程链路伙伴的传输值.
本地接收回波-表明本地链路伙伴反射远程链路伙伴的接收值.
MED详情支持的功能-已在端口上启用的MED功能.
当前功能-由端口通告的MEDTLV.
设备类-LLDP-MED端点设备类.
设备类可能为:-第1类端点-表明一般端点类,提供基本LLDP服务.
-第2类端点-表明介质端点类,提供介质流功能以及所有第1类功能.
-第3类端点-表明通信设备类,提供所有第1类和第2类功能以及位置、911、第2层交换机支持和设备信息管理功能.
PoE设备类型-端口PoE类型,例如,已打开电源.
PoE电源-端口的电源.
PoE电源优先级-端口电源优先级.
PoE功率值-端口电源值.
硬件版本-硬件版本.
固件版本-固件版本.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南1009软件版本-软件版本.
序列号-设备序列号.
制造商名称-设备制造商名称.
型号名称-设备型号.
资产ID-资产ID.
802.
1VLAN和协议PVID-通告的端口VLANID.
PPVIDPPVID表VID-协议VLANID.
支持-支持的端口和协议VLANID.
已启用-启用的端口和协议VLANID.
VLANIDVLANID表VID-端口和协议VLANID.
VLAN名称-通告的VLAN名称.
协议IDProtocolID-通告的协议ID.
位置信息按ANSI-TIA-1057标准中的10.
2.
4款所述,以十六进制字符输入以下数据结构:城市-城市地址或街道地址.
坐标-位置地图坐标-纬度、经度和海拔高度.
ECSELIN-设备紧急电话服务(ECS)紧急位置标识号(ELIN).
未知-未知的位置信息.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南1019网络策略网络策略表应用类型-网络策略应用类型,例如语音.
VLANID-为其定义网络策略的VLANID.
VLAN类型-为其定义网络策略的VLAN类型(Tagged或Untagged).
用户优先级-网络策略用户优先级.
DSCP-网络策略DSCP.
步骤4选择端口并单击LLDP端口状态表可在"LLDP端口状态表"中查看详情.
LLDP统计信息"LLDP统计信息"页面会显示每个端口的LLDP统计信息.
查看LLDP统计信息的步骤:步骤1单击管理>发现协议-LLDP>LLDP统计信息.
会为每个端口显示以下字段:接口-接口的标识符.
发送帧(总数)-已传输的帧数.
接收的帧数-总数-已接收的帧数.
-丢弃-丢弃的已接收帧的总数.
-错误-已接收的错误帧总数.
接收的TLV-丢弃-丢弃的已接收TLV的总数.
-未识别-未识别的已接收TLV的总数.
邻居的信息删除计数-接口上删除的邻居数.
步骤2单击刷新查看最新统计信息.
管理:发现协议配置LLDP思科300系列管理型交换机管理指南1029LLDP过载LLDP会将信息作为LLDP和LLDP-MEDTLV添加到LLDP数据包中.
当LLDP数据包中包含的信息总量过大,超过接口支持的最大PDU大小时,就会发生LLDP过载.
"LLDP过载"页面会显示LLDP/LLDP-MED信息的字节数、其他LLDP信息的可用字节数,以及所有接口的过载状态.
查看LLDP过载信息的步骤:步骤1单击管理>发现协议-LLDP>LLDP过载.
此页面包含每个端口的以下字段:接口-端口标识符.
正在使用的字节总数-每个数据包中LLDP信息的总字节数.
剩余可用字节-要添加到各数据包中其他LLDP信息的剩余可用字节总数.
状态-正在传输TLV还是已过载.
步骤2要查看端口的过载详细信息,请选择该端口,然后单击详情.
此页面包含在该端口上发送的每个TLV的以下信息:LLDP强制TLV-大小(字节)-强制TLV的字节总数.
-状态-正在传输强制TLV组,还是TLV组已过载.
LLDPMED功能-大小(字节)-LLDPMED功能数据包的字节总数.
-状态-LLDPMED功能数据包已发送还是已过载.
LLDPMED位置-大小(字节)-LLDPMED位置数据包的字节总数.
-状态-LLDPMED位置数据包已发送还是已过载.
LLDPMED网络策略-大小(字节)-LLDPMED网络策略数据包的字节总数.
-状态-LLDPMED网络策略数据包已发送还是已过载.
管理:发现协议配置CDP思科300系列管理型交换机管理指南1039通过MDI提供的LLDPMED扩展电源-大小(字节)-通过MDI提供的LLDPMED扩展电源数据包的总字节数.
-状态-通过MDI提供的LLDPMED扩展电源数据包已发送还是已过载.
802.
3TLV-大小(字节)-LLDPMED802.
3TLV数据包的总字节数.
-状态-LLDPMED802.
3TLV数据包已传输还是已过载.
LLDP可选TLV-大小(字节)-LLDPMED可选TLV数据包的总字节数.
-状态-LLDPMED可选TLV数据包已传输还是已过载.
LLDPMED清单-大小(字节)-LLDPMED清单TLV数据包的总字节数.
-状态-LLDPMED清单数据包已传输还是已过载.
总计-总数(字节)-每个数据包中LLDP信息的总字节数.
-剩余可用字节-每个数据包中,可用于发送其他LLDP信息的剩余可用字节总数.
配置CDP本节介绍如何配置CDP.
其中包含以下主题:CDP属性CDP接口设置CDP本地信息CDP邻居信息CDP统计信息管理:发现协议配置CDP思科300系列管理型交换机管理指南1049CDP属性与LLDP相似,思科发现协议(CDP)也是一种便于直接连接邻居相互通告自身及其功能的链路层协议.
与LLDP不同的是,CDP是一种思科专有的协议.
CDP配置工作流程以下是在设备上配置CDP的工作流程示例.
您也可以参阅"LLDP/CDP"部分,了解其他CDP配置指南.
步骤1使用"CDP属性"页面输入CDP全局参数步骤2使用"接口设置"页面按接口配置CDP步骤3如果使用自动智能端口检测CDP设备的功能,请在"智能端口属性"页面中启用CDP.
有关如何使用CDP标识智能端口设备功能的说明,请参阅标识智能端口类型.
输入CDP一般参数的步骤:步骤1单击管理>发现-CDP>属性.
步骤2输入参数.
CDP状态-选择启用设备上的CDP.
CDP帧处理-如果未启用CDP,选择在收到符合所选条件的数据包时要执行的操作:-桥接-根据VLAN转发数据包.
-过滤-删除数据包.
-泛洪-无法识别VLAN的泛洪,会将传入CDP数据包转发到除入站端口外的所有端口.
CDP语音VLAN通告-选择该选项后,设备会在支持CDP且属于语音VLAN成员的所有端口上,通告CDP中的语音VLAN.
语音VLAN在"语音VLAN属性"页面中进行配置.
CDP强制TLV验证-如果选择,系统将丢弃不包含强制TLV的传入CDP数据包,并且无效错误计数器将递增.
CDP版本-选择要使用的CDP版本.
CDP保持时间-丢弃CDP数据包之前保留这些数据包的时间(以TLV通告间隔的倍数计量).
例如,如果"TLV通告间隔"为30秒,而"保留时间(以倍数表示)"为4,则系统会在120秒后丢弃LLDP数据包.
可能的选项有:-使用默认设置-使用默认时间(180秒)-用户定义-输入时间(秒).
管理:发现协议配置CDP思科300系列管理型交换机管理指南1059CDP传输速率-发送CDP通告更新的速率(以秒为单位).
可能的选项有:-使用默认设置-使用默认速率(60秒)-用户定义-输入速率(秒).
设备ID格式-选择设备ID的格式(MAC地址或序列号).
可能的选项有:-MAC地址-使用设备的MAC地址作为设备ID.
-序列号-使用设备的序列号作为设备ID.
-主机名-使用设备的主机名作为设备ID.
源接口-要在帧TLV中使用的IP地址.
可能的选项有:-使用默认设置-使用传出接口的IP地址.
-用户定义-使用地址TLV中接口(在接口字段中)的IP地址.
接口-如果为源接口选择用户定义,请选择接口.
系统日志语音VLAN不匹配-选中后,当检测到语音VLAN不匹配后,系统将发送系统日志消息.
这意味着传入帧中的语音VLAN信息与本地设备通告的信息不匹配.
系统日志本征VLAN不匹配-选中后,当检测到本征VLAN不匹配后,系统将发送系统日志消息.
这意味着传入帧中的本征VLAN信息与本地设备通告的信息不匹配.
系统日志双工模式不匹配-选中后,当双工模式信息不匹配时,系统将发送系统日志消息.
这意味着传入帧中的双工模式信息与本地设备通告的信息不匹配.
步骤3单击应用.
将定义LLDP属性.
CDP接口设置您可使用"接口设置"页面按端口启用/禁用CDP.
当与CDP邻居存在冲突时也会触发通知.
冲突可能是语音VLAN数据、本征VLAN或双工模式.
设置这些属性后,便能够选择为支持LLDP协议的设备所提供的各种类型的信息.
要通告的LLDP-MEDTLV可在"LLDPMED接口设置"页面中进行选择.
管理:发现协议配置CDP思科300系列管理型交换机管理指南1069定义CDP接口设置的步骤:步骤1单击管理>发现-CDP>接口设置.
此页面会为每个接口显示以下CDP信息.
CDP状态-端口的CDP发布选项.
报告与CDP邻居冲突-在编辑页面中启用/禁用的报告选项的状态(语音VLAN/本征VLAN/双工).
邻居数量-检测到的邻居数.
该页面底部有四个按钮:复制设置-选中后,会将配置从一个端口复制到其他端口.
编辑-下文步骤2中解释的字段.
CDP本地信息详情-引导至"管理>发现协议-CDP>CDP本地信息"页面.
CDP邻居信息详情-引导至"管理>发现协议-CDP>CDP邻居信息"页面.
步骤2选择一个端口,然后单击编辑.
此页面提供了以下字段:接口-选择要定义的接口.
CDP状态-选择启用/禁用端口的CDP发布选项.
注当设备设置为向管理站发送Trap时,以下三个字段属于可选字段.
系统日志语音VLAN不匹配-选择该选项可以在检测到语音VLAN不匹配时,发送系统日志消息.
这意味着传入帧中的语音VLAN信息与本地设备通告的信息不匹配.
系统日志本征VLAN不匹配-选择该选项可以在检测到本征VLAN不匹配时,发送系统日志消息.
这意味着传入帧中的本征VLAN信息与本地设备通告的信息不匹配.
系统日志双工模式不匹配-选择该选项可以在检测到双工模式信息不匹配时,发送系统日志消息.
这意味着传入帧中的双工模式信息与本地设备通告的信息不匹配.
步骤3输入相关信息,然后单击应用.
端口设置将写入当前配置.
管理:发现协议配置CDP思科300系列管理型交换机管理指南1079CDP本地信息查看由CDP协议通告的、与本地设备有关的信息的步骤:步骤1单击管理>发现-CDP>CDP本地信息.
步骤2选择一个本地端口,然后将显示以下字段:接口-本地端口的编号.
CDP状态-显示是否已启用CDP.
设备IDTLV-设备ID类型-设备IDTLV中通告的设备ID类型.
-设备ID-设备IDTLV中通告的设备ID.
系统名称TLV-系统名称-设备的系统名称.
地址TLV-地址1-3-IP地址(设备地址TLV中通告的).
端口TLV-端口ID-端口TLV中通告的端口标识符.
功能TLV-功能-端口TLV中通告的功能.
版本TLV-版本-设备正在运行的软件版本信息.
平台TLV-平台-在平台TLV中通告的平台标识符.
本征VLANTLV-本征VLAN-在本征VLANTLV中通告的本征VLAN标识符.
全/半双工TLV-双工-端口在全双工/半双工TLV中通告的是处于全双工还是半双工模式.
管理:发现协议配置CDP思科300系列管理型交换机管理指南1089设备TLV-设备ID-在设备TLV中通告的、连接到端口的设备类型.
-设备VLANID-设备所使用设备上的VLAN,例如,如果设备是IP电话,该ID为语音VLAN.
扩展信任TLV-扩展信任-启用后,表明端口可以信任,就是说所接收数据包的来源主机/服务器可以信任,可以自我标记数据包.
这种情况下,此类端口上接收的数据包不会重新标记.
禁用此项表明端口不可信任,此时以下字段将有意义.
用于不信任端口TLV的CoS-用于不可信端口的CoS-如果在端口上禁用扩展信任,此字段将显示第2层CoS值,表示802.
1D/802.
1p优先级值.
这是COS值,设备将使用该值对不信任端口上所接收的所有数据包进行重新标记.
功率TLV-请求ID-最后接收的电源请求ID会回显在电源请求TLV中最后接收的请求ID字段.
如果自接口上次转换为"开启"状态以来未收到电源请求TLV,该值为0.
-电源管理ID-每发生以下一个事件,该值将增加1(或2,避免0).
可用功率或管理电源等级字段值发生更改收到电源请求TLV,其中请求ID字段与最后接收的集(或收到首个值时)不同接口转换为"关闭"-可用功率-端口消耗的电源量.
-管理电源等级-显示供电器对受电设备功耗TLV的请求.
设备总是在此字段中显示"无偏好".
CDP邻居信息"CDP邻居信息"页面显示从邻居设备接收到的CDP信息.
超时(根据在其间未收到邻居发送的CDPPDU的邻居活动时间TLV发送的值)后,将会删除该信息.
查看CDP邻居信息的步骤:步骤1单击管理>发现协议-CDP>CDP邻居信息.
步骤2要选择过滤器,请单击过滤器复选框,选择本地接口,然后单击执行.
管理:发现协议配置CDP思科300系列管理型交换机管理指南1099此时将触发过滤器,而且清除过滤器按钮会被激活.
步骤3单击清除过滤器可停止过滤.
"CDP邻居信息"页面包含链路伙伴(邻居)的以下字段:设备ID-邻居的设备ID.
系统名称-邻居的系统名称.
本地接口-要将邻居与其连接的本地端口号.
通告版本-CDP协议版本.
存活时间(秒)-在其后删除该邻居的信息的时间间隔(以秒为单位).
功能-邻居通告的功能.
平台-来自邻居平台TLV的信息.
邻居接口-邻居的传出接口.
步骤4选择一个设备,然后单击详情.
此页面包含有关邻居的以下字段:设备ID-邻居设备的标识符.
系统名称-邻居设备ID的名称.
本地接口-帧到达所经由的端口的接口编号.
通告版本-CDP的版本.
存活时间-在其后删除该邻居的信息的时间间隔(以秒为单位).
功能-设备的主要功能.
这些功能由两个八进制数表示.
0到7位分别表示其他、中继器、网桥、WLANAP、路由器、电话、DOCSIS电缆设备以及工作站.
8到15位为保留位.
平台-邻居的平台的标识符.
邻居接口-帧到达所经由的邻居的接口编号.
本征VLAN-邻居的本征VLAN.
应用-邻居上所运行应用的名称.
双工-邻居接口处于半双工还是全双工模式.
地址-邻居的地址.
机动-接口上由邻居消耗的电源量.
管理:发现协议CDP统计信息思科300系列管理型交换机管理指南1109版本-邻居的软件版本.
注如果使用CDP,单击清除表按钮将断开所有已连接的设备,如果启用自动智能端口,所有端口类型都将更改为默认值.
CDP统计信息"CDP统计信息"页面显示与从某端口收发的CDP帧有关的信息.
CDP数据包从与交换机接口连接的设备接收,并供智能端口功能使用.
有关详情,请参阅配置CDP.
仅当在全局和某端口上启用了CDP时,才会显示该端口的CDP统计信息.
此操作在"CDP属性"页面和"CDP接口设置"页面进行.
查看CDP统计信息的步骤:步骤1单击管理>发现-CDP>CDP统计信息.
将为每个接口显示以下字段:接收/传输的数据包数:版本1-接收/发送的CDP版本1数据包数.
版本2-接收/发送的CDP版本2数据包数.
总数-接收/发送的CDP数据包总数.
"CDP错误统计信息"部分显示CDP错误计数器.
非法校验和-所接收的具有非法校验和值的数据包数.
其他错误-除非法校验和外,所接收的其他错误数据包数.
邻居数超过最大值-由于缺少空间,导致无法在缓存中存储数据包信息的次数.
要清除所有接口的所有计数器,请单击清除所有接口的计数器.
要清除某接口的所有计数器,请选择该接口并单击清除接口计数器.
10思科300系列管理型交换机管理指南111端口管理本节介绍端口配置、链路聚合和绿色以太网功能.
其中包含以下主题:配置端口环回检测链路聚合UDLD配置绿色以太网配置端口工作流程要配置端口,请执行以下操作:1.
使用"端口设置"页面配置端口.
2.
使用"LAG管理"页面启用/禁用链路聚合控制(LAG)协议,并将潜在成员端口配置为所需的LAG.
默认情况下,所有LAG均为空.
3.
使用"LAG设置"页面配置以太网参数,例如LAG的速度和自动协商.
4.
使用LACP页面为作为动态LAG成员或候选成员的端口配置LACP参数.
5.
使用"属性"页面配置绿色以太网和802.
3节能以太网.
6.
使用"端口设置"页面配置每端口的绿色以太网能源模式和802.
3节能以太网.
7.
如果设备支持并启用PoE,则按端口管理:PoE中所述配置该设备.
端口管理配置端口思科300系列管理型交换机管理指南11210端口配置可在以下页面配置端口.
端口设置"端口设置"页面显示所有端口的全局设置和每端口设置.
此页面可使您通过"编辑端口设置"页面选择并配置所需端口.
配置端口设置的步骤:步骤1单击端口管理>端口设置.
步骤2选择巨型帧以支持最大为10Kb的数据包.
如果未启用(默认)巨型帧,则系统可支持最大为2,000字节的数据包.
要使巨型帧生效,必须在启用该功能之后重启设备.
步骤3单击应用以更新全局设置.
巨型帧配置更改仅在使用"复制/保存配置"页面将当前配置文件明确保存到启动配置文件,然后重启设备之后才会生效.
步骤4要更新端口设置,请选择所需端口,然后单击编辑.
步骤5修改以下参数:接口-选择端口编号.
端口说明-输入用户定义的端口名称或备注.
端口类型-显示端口类型和速度.
可能的选项有:-铜缆端口-常规端口而非组合端口,支持以下值:10M、100M和1000M(类型:铜缆).
-组合铜缆端口-与铜质CAT5电缆连接的组合端口,支持以下值:10M、100M和1000M(类型:组合铜缆).
-组合光纤-SFP光纤千兆位接口转换器端口,支持以下值:100M和1000M(类型:组合光纤).
-10G光纤-速度为1G或10G的端口.
注同时使用两个端口时,在组合端口中SFP光纤优先级较高.
管理状态-选择重启设备时端口必须处于"启用"状态还是"禁用"状态.
运行状态-显示端口当前是否处于"启用"状态.
如果端口由于错误而关闭,将会显示错误描述.
链路状态SNMP陷阱-选择该选项可生成SNMPTrap,可通知端口链路状态的更改.
端口管理配置端口思科300系列管理型交换机管理指南11310时间范围-选择该选项可在端口处于"启用"状态时启用时间范围.
如果时间范围未处于活动状态,端口将处于关闭状态.
如果已配置时间范围,则它仅会在人为启用端口时有效.
如果尚未定义时间范围,请单击编辑转至"时间范围"页面.
时间范围名称-选择指定时间范围的模板.
运行时间范围状态-显示时间范围当前处于活动状态还是非活动状态.
自动协商-选择该选项可在端口上启用自动协商.
自动协商可使端口向端口链路伙伴通告其传输速度、双工模式和流量控制能力.
运行自动协商-显示端口上的当前自动协商状态.
管理端口速度-选择端口的速度.
端口类型可确定可用的速度.
仅当禁用端口自动协商时,您才可以指定管理速度.
运行端口速度-显示作为协商结果的当前端口速度.
管理双工模式-选择端口双工模式.
仅当禁用自动协商时才会配置此字段,并且端口速度会设置为10M或100M.
端口速度为1G时,始终处于全双工模式.
可能的选项有:-半双工-接口仅支持设备和客户端之间在某一时刻的单向传输.
-全双工-接口支持设备和客户端之间的同时双向传输.
运行双工模式-显示端口当前的双工模式.
自动通告-选择启用自动协商后,要由其通告的功能.
选项如下:-最大容量-可以接受所有端口速度和双工模式设置.
-10半双工-10Mbps速度和半双工模式.
-10全双工-10Mbps速度和全双工模式.
-100半双工-100Mbps速度和半双工模式.
-100全双工-100Mbps速度和全双工模式.
-1000全双工-1000Mbps速度和全双工模式.
运行通告-显示当前发布到端口邻居的功能.
管理通告字段中指定了以下可能的选项.
偏好模式-为自动协商操作选择接口的主从模式.
请选择以下其中一个选项:-从-以设备端口在自动协商过程中为从的偏好设置开始协商.
-主-以设备端口在自动协商过程中为主的偏好设置开始协商.
邻居通告-显示通过邻居设备(链路伙伴)通告的功能.
背压-在端口上选择"背压"模式(配合使用半双工模式),以降低设备拥挤时的数据包接收速度.
它会禁用远程端口,从而避免其通过拥堵信令来发送数据包.
端口管理配置端口思科300系列管理型交换机管理指南11410流量控制-启用或禁用802.
3x流量控制,或在端口上启用流量控制的自动协商(仅适用于全双工模式).
MDI/MDIX-端口上的介质相关接口(MDI)/具有正反接线自适应功能的介质相关接口(MDIX)状态.
选项如下:-MDIX-选择该项可交换端口的传输和接收对.
-MDI-选择该选项可使用直通电缆将此设备连接到工作站.
-自动-选择该选项可将此设备配置为自动检测连接到其他设备的正确引出线.
运行MDI/MDIX-显示当前的MDI/MDIX设置.
LAG中的成员-显示端口是否为LAG中的成员.
受保护的端口-选择该选项可使端口成为受保护的端口.
(受保护的端口也称为专用VLAN边缘[PVE].
)受保护的端口功能如下:-受保护的端口可在接口(共享同一VLAN的以太网端口和LAG)之间提供第2层隔离保护.
-从受保护的端口接收到的数据包仅可以转发到不受保护的出口端口.
受保护的端口过滤规则也适用于通过软件(例如侦测应用程序)转发的数据包.
-端口保护不受VLAN成员关系的影响.
连接到受保护端口的设备不得与其他端口通信,即使这些端口是同一VLAN的成员.
-端口和LAG均可定义为"受保护的"或"不受保护的".
受保护的LAG在配置LAG设置一节中做了说明.
LAG中的成员-如果端口为LAG的成员,则显示LAG号;否则将此字段留空.
步骤6单击应用.
"端口设置"将写入当前配置文件中.
错误恢复设置利用此页面,可以在自动恢复间隔过后,自动重新激活因错误情况而关闭的端口.
配置错误恢复设置的步骤:步骤1单击端口管理>错误恢复设置.
步骤2输入以下字段:自动恢复间隔-指定在端口关闭后进行自动错误恢复的时间延时(如果启用).
端口假死自动恢复端口安全-选择该选项可在端口因违反安全规则而关闭时,启用自动错误恢复.
802.
1x单主机违反规则-选择该选项可在802.
1x关闭端口时,启用自动错误恢复.
端口管理环回检测思科300系列管理型交换机管理指南11510ACL拒绝-选择该选项可通过ACL操作启用自动错误恢复机制.
STPBPDU防护-选择该选项可在STPBPDU防护关闭端口时,启用自动错误恢复机制.
STP环回防护-在STP环回防护关闭端口时,启用自动恢复.
UDLD-选择该选项可为UDLD关闭状态启用自动错误恢复机制.
环回检测-选择该选项可为环回检测关闭的端口启用错误恢复机制.
步骤3单击应用以更新全局设置.
手动重新激活端口的步骤:步骤1单击端口管理>错误恢复设置.
将显示未激活端口及其挂起原因的列表.
步骤2选择要重新激活的接口.
步骤3单击重新激活.
环回检测环回检测(LBD)通过将环路协议数据包传输到已启用环路保护的端口之外,来提供环路保护.
当交换机发出环路协议数据包,然后又收到相同的数据包时,会关闭接收到该数据包的端口.
环回检测独立于STP运行.
发现环路后,系统会将接收到环路的端口置于关闭状态.
系统还将发送陷阱,并记录该事件.
网络管理员可以定义检测间隔来设置LBD数据包之间的时间间隔.
环回检测协议可以检测以下环路情况:短路-环回所有接收流量的端口.
直接多端口环路-交换机通过多个端口连接到其他交换机,同时STP会被禁用.
LAN区段环路-交换机通过一个或多个端口连接到存在环路的LAN区段.
端口管理环回检测思科300系列管理型交换机管理指南11610LBD的工作方式LBD协议定期广播环回检测数据包.
交换机在接收自己的LBD数据包时会检测环路.
要使LBD对端口有效,以下条件必须成立:全局启用LBD.
在端口上启用LBD.
端口工作状态为运行.
端口处于STP转发/禁用状态(MSTP实例转发状态,实例0).
LBD帧通过最高优先级队列在启用LBD的端口上传输(如果是LAG,则LBD会在LAG中的每个活动端口成员上传输).
如果检测到环路,交换机将执行以下操作:将接收端口或LAG设置为错误禁用状态.
发出相应的SNMP陷阱.
生成相应的系统日志消息.
配置环回检测默认设置和配置默认情况下,环回检测为禁用状态.
与其他功能进行交互如果在已启用环回检测的端口上启用STP,该端口必须为STP转发状态.
配置LBD工作流程启用和配置LBD的步骤:步骤1在"环回检测设置"页面中为整个系统启用环回检测.
步骤2在"环回检测设置"页面中为访问端口启用环回检测.
步骤3在"错误恢复设置"页面中为环回检测启用自动恢复.
端口管理链路聚合思科300系列管理型交换机管理指南11710配置环回检测的步骤:步骤1单击端口管理>环回检测设置.
步骤2在环回检测全局字段中选择启用以启用此功能.
步骤3输入检测间隔.
这是传输LBD数据包的间隔.
步骤4单击应用,以将配置保存到当前配置文件中.
系统还将对每个接口显示以下有关环回检测状态的字段:管理-环回检测已启用.
运行-环回检测已启用,但在接口上无效.
步骤5在接口类型为字段中选择是在端口上还是在LAG上启用LBD.
步骤6选择要启用LBD的端口或LAG,然后单击编辑.
步骤7在"环回检测状态"字段中为选定的端口或LAG选择启用.
步骤8单击应用,以将配置保存到当前配置文件中.
链路聚合本节介绍如何配置LAG.
其中包含以下主题:链路聚合概述默认设置和配置静态和动态LAG工作流程定义LAG管理配置LAG设置配置LACP端口管理链路聚合思科300系列管理型交换机管理指南11810链路聚合概述链路聚合控制协议(LACP)是IEEE规格(802.
3az)的一部分,可使您将多个物理端口捆绑在一起以形成单个逻辑通道(LAG).
LAG可使设备之间的带宽成倍增加、增强端口灵活性并提供链路冗余.
支持两种类型的LAG:静态-如果在LAG上禁用了LACP,则LAG为静态.
分配给静态LAG的端口组始终为活动成员.
手动创建LAG之后,无法添加或删除LACP选项,直到编辑LAG并删除一个成员(应用之前可以添加回去),之后LACP按钮才会变为可编辑.
动态-如果在LAG上启用了LACP,则LAG为动态.
分配给动态LAG的端口组为候选端口.
LACP可确定哪个候选端口为活动成员端口.
非活动候选端口是准备替换任何失败的活动成员端口的备用端口.
负载均衡转发到LAG的流量在活动成员端口上呈负载均衡状态,从而可获得接近于LAG的所有活动成员端口的聚合带宽的有效带宽.
LAG的活动成员端口上的流量负载均衡由散列式分布函数管理,该函数可根据第2层或第3层数据包报头信息分布单播和组播流量.
设备支持两种模式的负载平衡:按MAC地址-根据所有数据包的目的和源MAC地址.
按IP和MAC地址-根据IP数据包的目的和源IP地址以及非IP数据包的目的和源MAC地址.
LAG管理通常,系统会将LAG处理为单个逻辑端口.
特别是,LAG具有类似于普通端口的端口属性,例如状态和速度.
设备支持32个LAG,每个LAG组中最多有8个端口.
每个LAG均具有以下特性:LAG中的所有端口必须属于相同的介质类型.
要将端口添加到LAG,该端口不能属于任何VLAN(默认VLAN除外).
不得将某LAG中的端口分配给其他LAG.
为静态LAG最多分配八个端口,并且最多有16个端口可以作为动态LAG的候选端口.
LAG中的所有端口必须禁用自动协商,但是LAG可以启用自动协商.
将端口添加到LAG后,LAG的配置将应用至该端口.
从LAG中删除端口后,将重新应用其原始配置.
生成树等协议将LAG中的所有端口视作一个端口.
端口管理链路聚合思科300系列管理型交换机管理指南11910默认设置和配置默认情况下,端口不是LAG的成员,并且不能作为候选端口加入LAG.
静态和动态LAG工作流程手动创建LAG之后,无法添加或删除LACP,直到编辑LAG并删除一个成员之后,LACP按钮才会变为可编辑.
要配置静态LAG,请执行以下操作:1.
在LAG上禁用LACP以将其变为静态.
从端口列表中选择端口并将其移动到LAG成员列表,从而为静态LAG最多分配八个成员端口.
选择LAG的负载均衡算法.
在"LAG管理"页面中执行这些操作.
2.
使用"LAG设置"页面配置LAG的各个方面,例如速度和流量控制.
要配置动态LAG,请执行以下操作:1.
在LAG上启用LACP.
使用"LAG管理"页面从端口列表中选择端口并将其移动到LAG成员列表,从而为动态LAG最多分配16个候选端口.
2.
使用"LAG设置"页面配置LAG的各个方面,例如速度和流量控制.
3.
使用LACP页面设置LAG中的LACP优先级和端口超时.
定义LAG管理"LAG管理"页面显示全局设置和每个LAG的设置.
该页面还可使您在"编辑LAG成员关系"页面上配置全局设置并选择和编辑所需LAG.
选择LAG的负载均衡算法的步骤:步骤1单击端口管理>链路聚合>LAG管理.
步骤2选择以下负载均衡算法之一:MAC地址-按所有数据包上的源和目的MAC地址执行负载均衡.
IP/MAC地址-按IP数据包上的源和目的IP地址以及非IP数据包上的目的和源MAC地址执行负载均衡.
步骤3单击应用.
负载均衡算法将保存至当前配置文件中.
端口管理链路聚合思科300系列管理型交换机管理指南12010在LAG中定义成员或候选端口的步骤:步骤1选择要配置的LAG,然后单击编辑.
系统将对每个LAG显示以下字段(仅介绍"编辑"页面中没有的字段):链路状态-显示端口处于连接还是中断状态.
活动成员-LAG中的活动端口.
备用成员-此LAG的候选端口.
步骤2为以下字段输入值:LAG-选择LAG号.
LAG名称-输入LAG名称或备注.
LACP-选择该选项可在选择的LAG上启用LACP.
此操作可使其成为动态LAG.
仅在将端口移动到下一字段中的LAG之后,才可启用此字段.
端口列表-将那些要分配给LAG的端口从端口列表移动到LAG成员列表中.
可以为每个静态LAG最多分配八个端口,为动态LAG最多分配16个端口.
这些端口为候选端口.
步骤3单击应用.
LAG成员关系将保存至当前配置文件中.
配置LAG设置"LAG设置"页面显示所有LAG的当前设置表.
您可以通过启动"编辑LAG设置"页面来配置所选LAG的设置并重新激活挂起的LAG.
配置LAG设置或重新激活挂起的LAG的步骤:步骤1单击端口管理>链路聚合>LAG设置.
步骤2选择一个LAG,然后单击编辑.
步骤3为以下字段输入值:LAG-选择LAGID号.
LAG类型-显示组成LAG的端口类型.
说明-输入LAG名称或备注.
管理状态-将选定的LAG设置为"启用"或"禁用".
端口管理链路聚合思科300系列管理型交换机管理指南12110运行状态-显示LAG当前是否处于运行状态.
链路状态SNMP陷阱-选择该选项可生成SNMPTrap,可通知LAG中端口链路状态的更改.
时间范围-选择该选项可在端口处于"启用"状态时启用时间范围.
如果时间范围未处于活动状态,端口将处于关闭状态.
如果已配置时间范围,则它仅会在人为启用端口时有效.
如果尚未定义时间范围,请单击编辑转至"时间范围"页面.
时间范围名称-选择指定时间范围的模板.
运行时间范围状态-显示时间范围当前处于活动状态还是非活动状态.
重新激活挂起的LAG-选择该选项可重新激活端口(如果已通过锁定端口安全性选项或ACL配置禁用LAG).
管理自动协商-在LAG上启用或禁用自动协商.
自动协商是两个链路伙伴之间的协议,可使LAG向其伙伴通告自己的传输速率和流量控制(流量控制默认为已禁用).
建议在聚合链路的两端同时启用或同时禁用自动协商,从而确保链路速度保持一致.
运行自动协商-显示自动协商设置.
管理速度-选择LAG速度.
运行LAG速度-显示LAG运行时的当前速度.
管理通告-选择要由LAG通告的功能.
选项如下:-最大容量-所有LAG速度和两种双工模式均可用.
-10全双工-LAG可通告10Mbps速度,模式为全双工.
-100全双工-LAG可通告100Mbps速度,模式为全双工.
-1000全双工-LAG可通告1000Mbps速度,模式为全双工.
-10000全双工-LAG可通告10000Mbps速度,模式为全双工.
运行通告-显示"管理通告"状态.
LAG可将其功能通告给相邻的LAG,以开始协商流程.
管理通告字段中指定了以下可能值.
管理流量控制-在LAG上将"流量控制"设置为启用或禁用,或者启用流量控制的自动协商.
运行流量控制-显示当前的流量控制设置.
受保护的LAG-选择该选项可使LAG成为受保护的端口,以接受第2层隔离保护.
有关受保护的端口和LAG的详情,请参阅设置基本端口配置中的端口配置说明.
步骤4单击应用.
将更新当前配置文件.
端口管理链路聚合思科300系列管理型交换机管理指南12210配置LACP动态LAG启用了LACP;在LAG中定义的每个候选端口上均运行LACP.
LACP优先级和规则LACP系统优先级和LACP端口优先级均用来确定哪些候选端口会成为配有八个以上候选端口的动态LAG中的活动成员端口.
LAG中选择的候选端口全都连接到同一远程设备.
本地交换机和远程交换机均具有LACP系统优先级.
以下算法用来确定LACP端口优先级来自本地设备还是来自远程设备:将本地LACP系统优先级与远程LACP系统优先级作比较.
优先级最低的设备将控制LAG的候选端口选择.
如果二者优先级相同,则会比较本地MAC地址和远程MAC地址.
MAC地址优先级最低的设备将控制LAG的候选端口选择.
动态LAG最多可具有16个相同类型的以太网端口.
最多可有八个端口处于活动状态,而处于备用模式的端口也不能超过八个.
如果动态LAG中的端口数超过8个,链路控制端上的设备将使用端口优先级来确定将哪些端口捆绑到LAG中,以及使哪些端口处于热备份模式.
系统将忽略另一个设备(链路的非控制端)上的端口优先级.
以下是在动态LACP中选择活动端口或备用端口所使用的其他规则:以不同于最高速活动成员的速度运行或以半双工模式运行的任何链路均处于备用状态.
动态LAG中的所有活动端口均以相同波特率运行.
如果链路的端口LACP优先级低于当前活动的链路成员,并且活动成员的数量已达到最大数,则该链路将处于非活动状态和备用模式.
无链路伙伴的LACP为了让LACP创建LAG,应该针对LACP配置链路两端上的端口(即端口发送LACPPDU并处理已接收的PDU).
但是,存在暂时未针对LACP配置其中一个链路伙伴的情况.
例如,链路伙伴处于正在使用自动配置协议接收配置的设备上.
此设备的端口尚未配置为LACP.
如果LAG链路无法启用,则无法配置设备.
双NIC网络引导计算机(例如PXE)也会出现类似情况,它们只有在启动后才能接收LAG配置.
配置多个已配置LACP的端口后,如果在一个或多个端口中启用链路,但是链路伙伴没有对这些端口提供任何LACP响应,那么第一个连接的端口将添加到LACPLAG并处于激活状态(其他端口将成为非候选端口).
例如,通过这种方式,邻居设备便可以使用DHCP获取IP地址,并使用自动配置获取配置.
设置LACP参数设置使用LACP页面为LAG配置候选端口并针对每个端口配置LACP参数.
在所有因素相同的情况下,当LAG配有的候选端口数大于活动端口允许的最大数(8个)时,设备会从具有最高优先级的设备上的动态LAG中选择作为活动端口的端口.
注LACP设置与不是动态LAG成员的端口不相关.
端口管理UDLD思科300系列管理型交换机管理指南12310定义LACP设置的步骤:步骤1单击端口管理>链路聚合>LACP.
步骤2输入LACP系统优先级.
请参阅LACP优先级和规则.
步骤3选择一个端口,然后单击编辑.
步骤4为以下字段输入值:端口-选择要为其指定超时值或优先级值的端口号.
LACP端口优先级-输入端口的LACP优先级值.
请参阅设置LACP参数设置.
LACP超时-连续LACPPDU的发送与接收之间的时间间隔.
选择以较快还是较慢的传输速度来定期传输LACPPDU,具体取决于明确的LACP超时首选.
步骤5单击应用.
将更新当前配置文件.
UDLD请参阅端口管理:单向链路检测.
PoE请参阅端口管理:PoE.
配置绿色以太网本节介绍旨在节省设备电源的绿色以太网功能.
其中包括以下各节内容:绿色以太网概述全局绿色以太网属性绿色以太网端口属性端口管理配置绿色以太网思科300系列管理型交换机管理指南12410绿色以太网概述绿色以太网是一组功能的通称,这些功能专为保护环境而设计,可降低设备的功耗.
绿色以太网与EEE的不同之处在于,所有设备上都可启用绿色以太网电量检测,而EEE只能在千兆端口上启用.
绿色以太网功能通过以下方法降低总电能使用量:电量检测模式-在非活动链路上,端口会转变为非活动模式,从而节省电能,同时使端口的管理状态保持"启用"状态.
从此模式恢复为完全运行模式的过程既快速又明显,而且不会丢失任何帧.
GE和FE端口均支持此模式.
短距模式-该功能可在长度较短的电缆上提供节能功能.
分析电缆长度之后,将针对各种电缆长度调整电能使用量.
如果电缆短于50米,则设备将使用较少电能来通过电缆发送帧,从而节省能源.
仅在RJ45GE端口上支持此模式;此模式不会应用到组合端口.
默认情况下,此模式为全局禁用状态.
如果启用了EEE模式,则无法启用短距模式(见下文).
除了上述绿色以太网功能之外,还可在支持GE端口的设备上启用802.
3az节能以太网(EEE).
EEE可在端口上没有流量时降低功耗.
请参阅802.
3az节能以太网功能了解详情(仅在GE模式下可用).
默认情况下,EEE为全局启用状态.
在指定端口上,如果启用了EEE,则将禁用短距模式.
如果启用了短距模式,EEE将变成灰色.
这些模式在每个端口进行配置,无需考虑端口的LAG成员关系.
设备LED是消耗电能的产品.
设备在大多数时间都是处于闲置状态,因此让这些LED亮着是对能源的一种浪费.
通过绿色以太网功能,您可以在不需要端口LED(用于监控链路、速度和PoE)时将其禁用,也可以在需要时(调试、连接其他设备等)启用这些LED.
在"系统摘要"页面上,设备板图片上显示的LED不受LED禁用的影响.
可以监控节能量、当前功耗和累计节省的电量.
节能总量可看作物理接口若不在绿色以太网模式下运行而本应消耗的电能百分比.
显示的节能量仅为绿色以太网的节能量.
不会显示EEE的节能量.
通过禁用端口LED节能通过禁用端口LED功能,可以节约设备LED消耗的电量.
由于设备经常处于闲置状态,因此让这些LED亮着是对能源的一种浪费.
通过绿色以太网功能,您可以在不需要端口LED(用于监控链路、速度和PoE)时将其禁用,也可以在需要时(调试、连接其他设备等)启用这些LED.
在"系统摘要"页面上,设备板图片上显示的LED不受LED禁用的影响.
可以在"绿色以太网>属性"页面禁用端口LED.
端口管理配置绿色以太网思科300系列管理型交换机管理指南12510802.
3az节能以太网功能本节介绍802.
3az节能以太网(EEE)功能.
其中包含以下主题:802.
3azEEE概述通告功能协商802.
3azEEE链路级发现802.
3azEEE的可用性默认配置功能之间的交互802.
3azEEE配置工作流程802.
3azEEE概述802.
3azEEE旨在在链路上没有流量时节省能源.
绿色以太网功能是在端口关闭时节省电量.
使用802.
3azEEE,可在端口处于启用状态(端口上没有流量)时节省能源.
仅在具有GE端口的设备上支持802.
3azEEE.
使用802.
3azEEE时,链路两端的系统均可禁用部分自身功能,在没有流量时节省能源.
802.
3azEEE支持IEEE802.
3MAC操作,速度为100Mbps和1000Mbps:LLDP用于为两台设备选择最佳参数集.
如果链路伙伴不支持LLDP或已禁用LLDP,802.
3azEEE仍可运行,但可能不会处于最佳运行模式.
802.
3azEEE功能是通过使用名为低功耗闲置(LPI)模式的端口模式实施的.
如果端口上没有流量并启用了该功能,则端口将被置于可大幅降低功耗的LPI模式.
连接的两端(设备端口和连接的设备)均必须支持802.
3azEEE,以便其顺利运行.
没有流量时,两端均会发送信令,表示将要减低功耗.
端口接收到来自两端的信令之后,"保持活动"信令表示端口处于LPI状态下(未处于"禁用"状态)并且已降低功耗.
要使端口一直处于LPI模式,必须从两端不断接收"保持活动"信令.
通告功能协商自动协商阶段,将通告802.
3azEEE支持.
使用自动协商,连接的设备可以检测链路另一端设备所支持的能力(运行模式)、确定共用能力,并配置自身设置以便进行联合运行.
自动协商可在连接时执行,可按照管理系统命令执行,也可以在检测到链接错误时执行.
链路建立过程中,链路伙伴的双方将交换各自的802.
3azEEE功能.
在设备上启用自动协商之后,该功能可自动运行,无需用户交互.
注如果端口上未启用自动协商,那么将禁用EEE.
唯一的例外情况是,如果链路速度为1GB,那么即使禁用了自动协商,EEE仍将保持启用状态.
端口管理配置绿色以太网思科300系列管理型交换机管理指南12610802.
3azEEE链路级发现除了上述功能之外,还将根据IEEE标准802.
1AB协议(LLDP)的附录G中定义的组织特定的TLV,使用帧来通告802.
3azEEE的功能和设置.
LLDP用于完成自动协商后,进一步优化802.
3azEEE运行.
802.
3azEEETLV用来调整系统苏醒和刷新周期.
802.
3azEEE的可用性请查看版本备注,获得支持EEE产品的完整列表.
默认配置默认情况下,802.
3azEEE和EEELLDP处于全局启用和每端口启用状态.
功能之间的交互以下内容将介绍802.
3azEEE与其他功能的交互:如果端口上未启用自动协商,那么将禁用802.
3azEEE运行状态.
唯一的例外情况是,如果链路速度为1GB,那么即使禁用了自动协商,EEE仍将保持启用状态.
如果已启用802.
3azEEE且将启用端口,那么将根据端口苏醒时间的最大值立即开始工作.
在GUI上,如果选中端口上的"短距模式"选项,则该端口的EEE字段不可用.
如果将GE端口上的端口速度更改为10Mbit,则将禁用802.
3azEEE.
仅在GE模式下支持.
802.
3azEEE配置工作流程本节介绍如何配置802.
3azEEE功能,以及查看其计数器的方法.
步骤1打开端口管理>端口设置页面,确保已在端口上启用自动协商.
a.
选择一个端口,打开"编辑端口设置"页面.
b.
选择自动协商字段,确保已启用该字段.
步骤2确保"端口管理>绿色以太网>属性"页面中的802.
3节能以太网(EEE)已全局启用(默认情况下,此功能处于启用状态).
该页面还会显示已节省的能源量.
步骤3打开"绿色以太网>端口设置"页面,确保已在端口上启用802.
3azEEE.
a.
选择一个端口,打开"编辑端口设置"页面.
b.
在端口上选中802.
3节能以太网(EEE)模式(默认情况下,此功能处于启用状态).
端口管理配置绿色以太网思科300系列管理型交换机管理指南12710c.
在802.
3节能以太网(EEE)LLDP中选择是否禁用通过LLDP通告802.
3azEEE功能(默认情况下,此功能处于启用状态).
步骤4要在本地设备上查看与802.
3EEE相关的信息,请打开"管理>发现协议-LLDP>LLDP本地信息"页面,查看"802.
3节能以太网(EEE)"部分中的信息.
步骤5要在远程设备上显示802.
3azEEE的信息,请打开"管理>发现协议-LLDP>LLDP邻居信息"页面,查看"802.
3节能以太网(EEE)"部分中的信息.
全局绿色以太网属性"属性"页面显示设备的绿色以太网模式配置,还可用来对该模式进行配置.
它还会显示当前的节电量.
启用绿色以太网和EEE并查看节电量的步骤:步骤1单击端口管理>绿色以太网>属性.
步骤2为以下字段输入值:电量检测模式-默认情况下,此模式处于禁用状态.
单击该复选框可启用此模式.
短距-如果设备上有GE端口,则全局启用或禁用短距模式.
注如果启用了短距,则必须禁用EEE.
端口LED-选择该选项可启用端口LED.
如果将这些端口LED禁用,它们将无法显示链路状态、活动等.
节能-显示运行环保以太网和短距所节约的电能百分比.
显示的节能量仅指短距模式和电量检测模式节约的电能.
EEE节能量是以端口利用率为基础的,所以具有动态性,因而不会将其考虑在内.
通过比较未启动节能时的最大功耗和当前消耗来计算节约的电能.
累计节省的电量-显示自上一次重启设备所节省的电量.
每当出现影响节电量的事件时都会更新此值.
802.
3节能以太网(EEE)-全局启用或禁用EEE模式.
步骤3单击重置节能计数器-重置"累计节省的电量"信息.
步骤4单击应用.
绿色以太网属性将写入当前配置文件.
端口管理配置绿色以太网思科300系列管理型交换机管理指南12810绿色以太网端口属性"端口设置"页面显示每个端口当前的绿色以太网和EEE模式,使用"编辑端口设置"页面可配置端口上的绿色以太网.
要在端口上运行绿色以太网模式,必须在"属性"页面中全局激活相应模式.
仅显示具有GE端口的设备的EEE设置.
仅在端口设置为自动协商时,EEE才会运行.
例外情况是,如果端口的速度为1GB或更高,那么即使已禁用自动协商,EEE仍会运行.
定义每端口绿色以太网设置的步骤:步骤1单击端口管理>绿色以太网>端口设置.
"端口设置"页面显示以下字段:全局参数状态-描述启用的功能.
对于每个端口,系统将会列出以下字段:端口-端口号.
电量检测-有关电量检测模式的端口状态:-管理-显示是否启用了电量检测模式.
-运行-显示电量检测模式当前是否处于运行状态.
-原因-如果电量检测模式未处于运行状态,则显示原因.
短距-有关短距模式的端口状态:-管理-显示是否启用了短距模式.
-运行-显示短距模式当前是否处于运行状态.
-原因-如果短距模式为处于运行状态,则显示原因.
-电缆长度-显示VCT返回的电缆长度(以米为单位).
注仅在RJ45GE端口上支持短距模式;此模式不会应用到组合端口.
802.
3节能以太网(EEE)-有关EEE功能的端口状态:-管理-显示是否启用了EEE模式.
-运行-显示EEE目前是否在本地端口上运行.
显示是否启用过此功能(管理状态)、是否在本地端口上已启用此功能,以及此功能是否在本地端口上运行.
-LLDP管理-显示是否启用了通过LLDP通告EEE计数器.
-LLDP运行-显示当前是否正在运行通过LLDP通告EEE计数器.
-EEE远程支持-显示链路伙伴上是否支持EEE.
本地和远程链路伙伴必须均支持EEE.
端口管理配置绿色以太网思科300系列管理型交换机管理指南12910注该窗口将显示各个端口的短距、电量检测和EEE设置;但是,除非已使用"属性"页面全局启用上述模式,否则这些模式在所有端口上均为禁用状态.
要全局启用短距和EEE,请参阅全局绿色以太网属性.
步骤2选择一个端口,然后单击编辑.
步骤3选择在该端口上启用还是禁用电量检测模式.
步骤4如果设备上带有GE端口,选择在该端口上启用还是禁用短距模式.
步骤5如果设备上带有GE端口,选择在该端口上启用还是禁用802.
3节能以太网(EEE)模式.
步骤6如果设备上带有GE端口,选择在该端口上启用还是禁用802.
3节能以太网(EEE)LLDP模式(通过LLDP通告EEE功能).
步骤7单击应用.
绿色以太网端口设置将写入当前配置文件.
11思科300系列管理型交换机管理指南130端口管理:单向链路检测本部分介绍单向链路检测(UDLD)功能如何发挥作用.
其中包含以下主题:UDLD概述UDLD操作使用指南与其他功能的依赖性默认设置和配置使用说明常见UDLD任务配置UDLDUDLD概述UDLD是一个第2层协议,可使通过光纤或双绞线以太网电缆连接的设备检测单向链路.
每当本地设备收到来自相邻设备的流量,但邻居未收到来自本地设备的流量时,就发生了单向链路.
UDLD的目的是检测邻居未收到本地设备流量的端口(单向链路),并关闭这些端口.
所有连接的设备都必须支持UDLD,才能让协议成功检测到单向链路.
如果仅本地设备支持UDLD,则设备无法检测链路状态.
在这种情况下,链路的状态将设置为待定.
用户可以进行配置,是关闭处于待定状态的端口还是仅触发通知.
端口管理:单向链路检测UDLD操作思科300系列管理型交换机管理指南13111UDLD操作UDLD状态和模式根据UDLD协议,端口将分配以下状态:检测-系统正在尝试确定链路是双向还是单向.
这是一种临时状态.
双向-本地设备发送的流量会由其邻居接收,且来自邻居的流量会由本地设备接收.
关闭-链路为单向.
本地设备发送的流量会由其邻居接收,但来自邻居的流量未被本地设备接收.
待定-由于发生了以下情况之一,系统无法确定端口的状态:-邻居不支持UDLD.
或-邻居未收到来自本地设备的流量.
此时,UDLD的行为取决于设备的UDLD模式,如下所述.
UDLD支持以下操作模式:正常如果系统确定端口的链路状态为双向并且UDLD信息超时,同时端口上的链路仍在运行,则UDLD将尝试重新建立端口状态.
积极如果系统确定端口的链路状态为双向并且UDLD信息超时,则UDLD将在较长一段时间后可以确定链路出现故障时关闭该端口.
UDLD的端口状态将标记为待定.
发生以下一种情况时,端口上将启用UDLD:端口为光纤端口且UDLD已全局启用.
端口为铜缆端口,且您专门在端口上启用了UDLD.
UDLD的工作方式UDLD在端口上启用后,将执行以下操作:UDLD启动端口检测状态.
在此状态下,UDLD在每个活动接口上定期向所有邻居发送消息.
这些消息包含所有已知邻居的设备ID.
它会根据用户定义的消息时间发送这些消息.
端口管理:单向链路检测UDLD操作思科300系列管理型交换机管理指南13211UDLD接收来自相邻设备的UDLD消息.
它会缓存这些信息,直到过期时间(消息时间的3倍)个结束.
如果在过期之前收到新消息,则新消息中的信息将替换旧消息.
过期时间结束后,设备会对收到的信息执行以下操作:-如果邻居消息包含本地设备ID-端口的链路状态将设置为双向.
-如果邻居消息不包含本地设备ID-端口的链路状态将设置为单向,且端口将关闭.
如果在过期时间范围内未从相邻设备收到UDLD消息,端口的链路状态将设置为待定,且会发生以下情况:-如果设备在正常UDLD模式下:将发出通知.
-如果设备在积极UDLD模式下:端口将关闭.
如果接口处于双向或待定状态,则设备将每隔消息时间(秒)就定期发送一条消息.
上述步骤将一再重复执行.
已关闭的端口可在"端口管理>错误恢复设置"页面手动重新激活.
有关详情,请参阅重新激活关闭的端口.
如果一个接口已关闭且UDLD已启用,设备将删除所有邻居信息,并向邻居发送至少一条ULDL消息,告知它们端口已关闭.
端口开启后,UDLD状态将更改为"检测".
UDLD在邻居上不受支持或已禁用如果UDLD在邻居上不受支持或已禁用,那么设备不会从邻居收到任何UDLD消息.
在这种情况下,设备无法确定链路是单向还是双向.
然后,接口的状态将设置为待定.
重新激活关闭的端口您可以使用以下方式之一重新激活被UDLD关闭的端口:自动-您可以在"端口管理>错误恢复设置"页面将系统配置为自动激活由UDLD关闭的端口.
在这种情况下,如果端口被UDLD关闭,则在自动恢复间隔到期后,端口会自动重新激活.
UDLD会再次开始在端口上运行.
例如,如果链路仍然为单向,则在UDLD过期时间结束后,UDLD会再次将其关闭.
手动-您可以在"端口>错误恢复设置"页面重新激活端口.
端口管理:单向链路检测使用指南思科300系列管理型交换机管理指南13311使用指南思科不建议您在与不支持或禁用UDLD的设备连接的端口上启用UDLD.
如果在与不支持UDLD的设备连接的端口上发送UDLD数据包,则会导致端口上出现更多流量,不会提供任何益处.
此外,配置UDLD时请考虑以下事项:根据关闭单向链接端口的紧急程度设置消息时间.
消息时间越短,发送和分析的UDLD数据包就越多,但如果链路为单向,则端口关闭的速度就越快.
如果希望在铜缆端口上启用UDLD,则必须在每个端口上启用.
如果全局启用UDLD,则UDLD仅会在光纤端口上启用.
如果只希望在确信链路为单向时关闭端口,请将UDLD模式设置为正常.
如果您希望在单向和双向链路均丢失时才关闭端口,请将UDLD模式设置为积极.
与其他功能的依赖性UDLD和第1层.
如果UDLD已在端口上启用,则UDLD会在端口启用时在端口上活跃运行.
如果端口关闭,UDLD会进入UDLD关闭状态.
在此状态下,UDLD会删除所有已学习的邻居.
如果端口已从关闭更改为开启,UDLD会恢复积极运行状态.
UDLD和第2层协议UDLD的运行独立于同一端口上运行的其他第2层协议,如STP或LACP.
例如,无论端口的STP状态如何,也无论端口是否属于LAG,UDLD都会向端口分配一个状态.
默认设置和配置此功能存在以下默认设置:默认状态下,UDLD在设备的所有端口上都为禁用状态.
默认消息时间为15秒.
默认过期时间为45秒(消息时间的3倍).
端口管理:单向链路检测使用说明思科300系列管理型交换机管理指南13411默认端口UDLD状态:-光纤接口处于全局UDLD状态.
-非光纤接口处于禁用状态.
使用说明无需执行任何预备任务.
常见UDLD任务本部分介绍设置UDLD的一些常见任务.
工作流程1:要在光纤端口上全局启用UDLD,请执行以下步骤:步骤1打开端口管理>UDLD全局设置页面.
a.
在消息时间字段中输入值.
b.
在"光纤端口UDLD默认状态"字段中,输入已禁用、正常或积极作为全局UDLD状态.
步骤2单击应用工作流程2:要更改光纤端口的UDLD配置或要在铜缆端口上启用UDLD,请执行以下步骤:步骤1打开端口管理>UDLD全局设置页面.
a.
选择一个端口.
b.
选择默认、已禁用、正常或Aggressive作为端口的UDLD状态.
如果选择了"默认",则端口会接收全局设置.
步骤2单击应用.
端口管理:单向链路检测配置UDLD思科300系列管理型交换机管理指南13511工作流程3:要在端口被UDLD关闭且未配置自动重新激活的情况下开启端口,请执行以下步骤:步骤1打开端口管理>错误恢复设置页面.
a.
选择一个端口.
b.
单击重新激活.
配置UDLD可同时针对所有光纤端口配置UDLD功能(位于"UDLD全局设置"页面),也可以对每个端口单独配置(位于"UDLD接口设置"页面).
UDLD全局设置"光纤端口UDLD默认状态"仅适用于光纤端口.
"消息时间"字段适用于铜缆端口和光纤端口.
全局配置UDLD的步骤:步骤1单击端口管理>UDLD>UDLD全局设置.
步骤2输入以下字段:消息时间-输入发送UDLD消息的时间间隔.
此字段适用于光纤端口和铜缆端口.
光纤端口UDLD默认状态-此字段仅适用于光纤端口.
铜缆端口的UDLD状态必须在"UDLD接口设置"页面单独设置.
可能的状态包括:-已禁用-UDLD在设备的所有端口上都为禁用状态.
-正常-如果链路为单向,设备将关闭接口.
如果链路为待定,则将发送通知.
-积极-如果链路为单向,设备将关闭接口.
如果链路为单向,则在UDLD信息超时后,设备将关闭.
端口状态将标记为待定.
步骤3单击应用,以将设置保存到当前配置文件中.
端口管理:单向链路检测配置UDLD思科300系列管理型交换机管理指南13611UDLD接口设置使用"UDLD接口设置"页面更改特定端口的UDLD状态.
此处的状态可针对铜缆或光纤端口设置.
要将一组特定的值复制到不止一个端口,请设置一个端口的值,并使用复制按钮将其复制到其他端口.
为接口配置UDLD的步骤:步骤1单击端口管理>UDLD>UDLD接口设置.
系统将针对所有启用了UDLD的端口显示信息,或者,如果您仅筛选了某一组端口,则将针对这组端口显示信息.
端口-端口标识符.
UDLD状态-可能的状态有:-已禁用-UDLD在设备的所有光纤端口上都为禁用状态.
-正常-如果设备检测到链路为单向,则将关闭接口.
如果链路为待定,则将发出通知.
-积极-如果链路为单向,设备将关闭接口.
如果链路为单向,则在UDLD信息超时后,设备将关闭.
端口状态将标记为待定.
双向状态-为选定端口选择此字段的值.
可能的状态包括:-检测-端口的最新UDLD状态正在确定过程中.
从上次确定(如有)或UDLD开始在端口上运行开始,过期时间尚未结束,因此,状态还不确定.
-双向-本地设备发送的流量会由其邻居接收,且来自邻居的流量会由本地设备接收.
-待定-端口及其连接端口之间的链路状态无法确定,原因可能为未收到UDLD消息,或者UDLD消息中未包含本地设备ID.
-已禁用-UDLD已在此端口上禁用.
-关闭-由于端口与连接设备之间的链路在积极模式下为待定,因此端口已关闭.
邻近数量-检测到的已连接设备数量.
步骤2要为特定端口修改UDLD状态,请选择端口并单击编辑.
步骤3修改UDLD状态的值.
如果选择默认,端口会接收"全局UDLD设置"页面中光纤端口UDLD默认状态的值.
步骤4单击应用,以将设置保存到当前配置文件中.
端口管理:单向链路检测配置UDLD思科300系列管理型交换机管理指南13711UDLD邻近查看所有与本地设备连接的设备的步骤:步骤1单击端口管理>UDLD>UDLD邻近.
以下字段会对所有启用了UDLD的端口显示:接口名称-启用了UDLD的本地端口的名称.
邻近信息:-设备ID-远程设备的ID.
-设备MAC-远程设备的MAC地址.
-设备名称-远程设备的名称.
-端口ID-远程端口的名称.
状态-本地端口上本地设备与相邻设备之间的链路状态.
可能的值如下所示:-检测-端口的最新UDLD状态正在确定过程中.
从上次确定(如有)或UDLD开始在端口上运行开始,过期时间尚未结束,因此,状态还不确定.
-双向-本地设备发送的流量会由其邻居接收,且来自邻居的流量会由本地设备接收.
-待定-端口及其连接端口之间的链路状态无法确定,原因可能为未收到UDLD消息,或者UDLD消息中未包含本地设备ID.
-已禁用-UDLD已在此端口上禁用.
-关闭-由于端口与连接设备之间的链路在积极模式下为待定,因此端口已关闭.
邻近到期时间(秒)-显示在设备尝试确定端口UDLD状态之前必须经历的时间.
此时间为消息时间的三倍.
邻近消息时间(秒)-显示UDLD消息之间的时间.
12思科300系列管理型交换机管理指南138智能端口本文档介绍智能端口功能.
其中包含以下主题:综述什么是智能端口智能端口类型智能端口宏宏失败和重置操作智能端口功能如何运作自动智能端口错误处理默认配置与其他功能的关系和向后兼容性常见智能端口任务使用基于Web的界面配置智能端口内置智能端口宏综述智能端口功能提供了一种简便的方法来保存和共享通用配置.
通过将同一智能端口宏应用到多个接口,这些接口可以共享一组通用配置.
智能端口宏是CLI(命令行界面)命令脚本智能端口宏可按宏名称或与宏关联的智能端口类型应用到接口.
只有通过CLI才能按照宏名称应用智能端口宏.
有关详情,请参阅CLI指南.
智能端口什么是智能端口思科300系列管理型交换机管理指南13912可通过两种方法按智能端口类型将智能端口宏应用到接口:静态智能端口-您可手动将智能端口类型分配到接口.
最终将相应的智能端口宏应用到接口.
自动智能端口-自动智能端口会等待设备连接到接口,然后再应用配置.
当从接口检测到设备时,会自动应用与连接设备的智能端口类型相对应的智能端口宏(如果已分配).
智能端口功能包含多种组件,并与设备上的其他功能相互配合.
这些组件和功能将在下文予以说明:本节介绍了智能端口、智能端口类型和智能端口宏.
语音VLAN一节中介绍了语音VLAN和智能端口.
分别在配置LLDP和配置CDP部分介绍了智能端口LLDP和智能端口CDP.
此外,常见智能端口任务一节还将介绍典型工作流程.
什么是智能端口智能端口是可应用内置(或用户定义)宏的接口.
这些宏旨在提供一种快速配置设备的方法,从而支持通信要求并利用各种网络设备的功能.
如果接口与IP电话、打印机或路由器和/或接入点(AP)连接,网络接入和QoS要求可能不同.
智能端口类型智能端口类型是指已与智能端口连接或将与之连接的设备的类型.
设备支持以下智能端口类型:打印机台式机访客服务器主机IP摄像机IP电话IP电话+台式机交换机智能端口智能端口类型思科300系列管理型交换机管理指南14012路由器无线接入点智能端口类型都进行命名,以便其描述与接口连接的设备类型.
每种智能端口类型都与两个智能端口宏关联.
其中一个宏称为"宏",用于应用所需的配置.
另一个宏称为"反宏",用于在接口成为其他智能端口类型时,撤销"宏"执行的所有配置.
您可通过以下方法应用智能端口宏:通过关联的智能端口类型.
按名称从智能端口宏静态应用(仅可使用CLI).
智能端口宏可使用CLI和GUI,按其智能端口类型静态进行应用,也可按自动智能端口动态应用.
自动智能端口根据CDP功能、LLDP系统功能和/或LLDP-MED功能,获取连接设备的智能端口类型.
下表列出了智能端口类型和自动智能端口的关系智能端口类型得到自动智能端口支持默认得到自动智能端口的支持未知否否默认否否打印机否否台式机否否访客否否服务器否否主机是否IP摄像机否否IP电话是是IP电话台式机是是交换机是是路由器是否无线接入点是是智能端口智能端口宏思科300系列管理型交换机管理指南14112特殊智能端口类型有两种特殊的智能端口类型;默认和未知.
这两种类型不与宏关联,但是它们存在的目的是显示与智能端口有关的接口状态.
以下是对这些特殊智能端口类型的介绍:默认本身未分配(尚未分配)智能端口类型的接口具有"默认"智能端口状态.
如果自动智能端口已向接口分配智能端口类型,而该接口未配置为"自动智能端口永久"状态,则其智能端口类型将在以下情况下重新初始化为"默认"状态:-在该接口上执行断开/连接操作.
-重启设备.
-与该接口连接的所有设备都已过期,过期的定义是在规定的时间内,没有来自设备的CDP和/或LLDP通告.
未知如果将智能端口宏应用到接口后发生错误,该接口将被分配"未知"状态.
这种情况下,智能端口和自动智能端口功能不会在该接口上运行,直到您修正错误,并应用"重置"动作(在"接口设置"页面执行)重新设置智能端口状态.
有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分.
注在本节中,"过期"一词用来描述通过其TTL的LLDP和CDP消息.
如果已启用自动智能端口同时禁用永久状态,且在最新CDP和LLDP数据包的TTL降为0之前不再接收CDP或LLDP消息,则反宏将运行,同时智能端口类型将返回默认值.
智能端口宏智能端口宏是CLI命令脚本,用来为特定网络设备配置适宜的接口.
智能端口宏不能与全局宏混为一谈.
全局宏对设备进行全局配置,而智能端口宏的范围限于所应用的接口.
要查找宏源,可在CLI特权执行模式下执行显示解析器宏名称[macro_name]命令,或在"智能端口类型设置"页面上单击查看宏源按钮.
宏与对应的反宏相互配对,并与各智能端口类型相关联.
宏应用配置,而反宏移除配置.
智能端口宏失败和重置操作思科300系列管理型交换机管理指南14212有两种智能端口宏类型:内置-这些宏由系统提供.
一个宏应用配置模板,另一个移除配置模板.
内置智能端口宏的宏名称以及它们与之关联的智能端口类型如下:-macro-name(例如:printer)-no_macro-name(例如:no_printer)用户定义-这些宏由用户编写.
有关详情,请参阅CLI参考指南.
要将用户定义的宏与智能端口类型关联,必须同时定义它的反宏.
-smartport-type-name(例如:my_printer)-no_smartport-type-name(例如:no_my_printer)在"编辑智能端口类型设置"页面中,智能端口宏与智能端口类型绑定.
有关各设备类型的内置智能端口宏的列表,请参阅内置智能端口宏.
将智能端口类型应用到接口将智能端口类型应用到接口后,智能端口类型和关联智能端口宏中的配置将保存在当前配置文件中.
如果管理员将当前配置文件保存到启动配置文件中,设备重启后会将智能端口类型和智能端口宏应用到接口,具体包括以下几种情况:如果启动配置文件未为接口指定智能端口类型,它的智能端口类型将设为"默认".
如果启动配置文件指定了静态智能端口类型,接口的智能端口类型将设为此静态类型.
如果启动配置文件指定了由自动智能端口动态分配的智能端口类型:-如果已全部启用自动智能端口全局运行状态、接口自动智能端口状态和永久状态,智能端口类型将设为此动态类型.
-否则将应用对应的反宏,并且接口状态将设为"默认".
宏失败和重置操作如果接口的现有配置与智能端口宏之间存在冲突,智能端口宏可能失败.
智能端口宏失败时,系统将发送包含以下参数的系统日志消息:端口编号智能端口类型宏中失败CLI命令的行号智能端口智能端口功能如何运作思科300系列管理型交换机管理指南14312当接口上的智能端口宏失败时,该接口的状态将设为未知.
失败原因可显示在"接口设置"页面、显示诊断弹出窗口上.
在确定问题来源并修正现有配置或智能端口宏之后,必须先对接口执行重置操作,然后才可重新应用智能端口类型(在"接口设置"页面中).
有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分.
智能端口功能如何运作智能端口宏可按宏名称或与宏关联的智能端口类型应用到接口.
只有通过CLI才能按宏名称应用智能端口宏,有关详情,请参阅CLI指南.
某些设备不允许使用CDP和/或LLDP进行搜索,系统会为与这些设备对应的智能端口类型提供支持,因此这些智能端口类型必须静态分配到所需的接口.
要执行此操作,可导航至"接口设置"页面,选择所需接口的单选按钮,然后单击编辑.
接着,选择想要分配的智能端口类型,根据需要调整参数,然后单击应用.
可通过两种方法按智能端口类型将智能端口宏应用到接口:静态智能端口您可手动将智能端口类型分配到接口.
相应的智能端口宏会应用到接口.
您可在"接口设置"页面手动将智能端口类型分配到接口.
自动智能端口当从接口检测到设备时,会自动应用与连接设备的智能端口类型相对应的智能端口宏(如果有).
自动智能端口默认在全局和接口层启用.
两种情况下,当从接口移除智能端口类型时系统都会运行关联的反宏,并且反宏会以完全相同的方式运行,从而移除所有的接口配置.
自动智能端口为使自动智能端口自动向接口分配智能端口类型,必须在全局启用自动智能端口功能的同时还要在允许配置自动智能端口的相关接口上启用该功能.
默认情况下,将启用自动智能端口并且允许配置所有接口.
各接口分配的智能端口类型由各接口上分别接收的CDP和LLDP数据包决定.
如果多个设备与接口连接,适合所有设备的配置模板将应用到接口(如果可能).
如果设备已过期(不再接收来自其他设备的通告),接口配置会根据其永久状态进行更改.
如果已启用永久状态,接口配置将得以保留.
如果未启用,智能端口类型将恢复为"默认".
智能端口自动智能端口思科300系列管理型交换机管理指南14412启用自动智能端口在"属性"页面上,可通过以下方法全局启用自动智能端口:已启用-这将手动启用自动智能端口,并立即使其生效.
通过自动语音VLAN启用-如果已启用自动语音VLAN且其处于运行状态,通过该选项便可运行自动智能端口.
"通过自动语音VLAN启用"是默认设置.
注除全局启用自动智能端口外,您还必须在所需接口启用自动智能端口.
默认情况下,所有接口都启用自动智能端口.
有关启用自动语音VLAN的详情,请参阅语音VLAN标识智能端口类型如果全局启用自动智能端口(在"属性"页面)并在某接口启用(在"接口设置"页面)该功能,设备会根据连接设备的智能端口类型,将智能端口宏应用到接口.
自动智能端口会根据设备通告的CDP和/或LLDP,获取连接设备的智能端口类型.
例如,如果IP电话与端口连接,它将传输CDP或LLDP数据包来通告其功能.
在接收到这些CDP和/或LLDP数据包之后,设备将获取适用于电话的智能端口类型,然后将对应的智能端口宏应用到连接IP电话的接口.
除非接口上已启用永久自动智能端口,否则,当连接设备过期、断开、重启或接收到冲突功能时,自动智能端口应用的智能端口类型和结果配置将被移除.
过期次数由特定时间内,未收到设备的CDP和/或LLDP通告来决定.
使用CDP/LLDP信息标识智能端口类型设备根据CDP/LLDP功能检测与端口连接的设备类型.
该映射显示于以下各表中:CDP功能到智能端口类型的映射功能名CDP位智能端口类型路由器0x01路由器TB网桥0x02无线接入点SR网桥0x04忽略交换机0x08交换机主机0x10主机IGMP有条件过滤0x20忽略中继器0x40忽略智能端口自动智能端口思科300系列管理型交换机管理指南14512注仅当设定IP电话和主机位之后,智能端口类型才可为ip_phone_desktop.
VoIP电话0x80ip_phone远程管理设备0x100忽略CAST电话端口0x200忽略二端口MAC中继0x400忽略LLDP功能到智能端口类型的映射功能名LLDP位智能端口类型其他1忽略中继器IETFRFC21082忽略MAC网桥IEEE标准802.
1D3交换机WLAN接入点IEEE标准802.
11MIB4无线接入点路由器IETFRFC18125路由器电话IETFRFC42936ip_phoneDOCSIS电缆设备IETFRFC4639和IETFRFC45467忽略仅站IETFRFC42938主机VLAN网桥IEEE标准的C-VLAN组件802.
1Q9交换机VLAN网桥IEEE标准的S-VLAN组件802.
1Q10交换机二端口MAC中继(TPMR)IEEE标准802.
1Q11忽略保留12-16忽略CDP功能到智能端口类型的映射(续)功能名CDP位智能端口类型智能端口错误处理思科300系列管理型交换机管理指南14612多设备与端口连接设备通过连接设备在其CDP和/或LLDP数据包中通告的功能,来获取设备的智能端口类型.
如果多个设备通过某个接口与该设备连接,自动智能端口将考虑通过该接口接收的每个功能通告,以便分配正确的智能端口类型.
类型分配根据以下算法进行:如果接口上的所有设备都通告相同的功能(无冲突),交换机会将匹配的智能端口类型应用到接口.
如果其中某个设备是交换机,将使用交换机智能端口类型.
如果其中某个设备是接入点,将使用无线接入点智能端口类型.
如果其中某个设备是IP电话,而另一个设备是主机,将使用ip_phone_desktop智能端口类型.
如果其中某个设备是IP电话台式机,而另一个设备是IP电话或主机,将使用ip_phone_desktop智能端口类型.
其他所有情况下都将使用默认智能端口类型.
有关LLDP/CDP的详情,请分别参阅配置LLDP和配置CDP部分.
永久自动智能端口接口如果已在接口上启用永久状态,即使在连接设备过期、接口关闭以及设备重启(假设配置已保存)后,自动智能端口已动态应用的接口智能端口类型和配置仍将得到保留.
除非自动智能端口检测到具有其他智能端口类型的连接设备,否则接口的智能端口类型和配置不会发生更改.
如果接口禁用永久状态,当与其连接的设备过期、接口关闭或设备重启后,该接口将恢复为默认智能端口类型.
接口启用永久状态后将消除设备检测延迟,否则该延迟将不可避免.
注只有当应用于接口的、具有智能端口类型的当前配置保存到启动配置文件中时,应用到接口的智能端口类型的永久状态在重启后才会有效.
错误处理如果智能端口宏无法应用到接口,您可在"接口设置"页面检查故障点,并在"接口设置"页面和"编辑接口设置"页面修正错误之后,重置端口并重新应用宏.
智能端口默认配置思科300系列管理型交换机管理指南14712默认配置智能端口始终可用.
默认情况下,自动智能端口由自动语音VLAN启用,并依靠CDP和LLDP检测连接设备的智能端口类型,同时检测智能端口类型IP电话、IP电话+台式机、交换机和无线接入点.
有关语音出厂默认设置的说明,请参阅语音VLAN.
与其他功能的关系和向后兼容性交换机默认启用自动智能端口,也可禁用该功能.
电话OUI无法与自动智能端口及自动语音VLAN同时运行.
要启用电话OUI,必须先禁用自动智能端口.
注当从不支持自动智能端口的固件版本升级到支持自动智能端口的固件级别后,自动语音VLAN将被禁用.
如果在升级前已启用电话OUI,则升级后会禁用自动智能端口,而仍启用电话OUI.
常见智能端口任务本节介绍一些设置智能端口和自动智能端口的常见任务.
工作流程1:要在设备上全局启用自动智能端口,以及在端口上配置自动智能端口,请执行以下步骤:步骤1要在设备上启用自动智能端口功能,请打开"智能端口>属性"页面.
将管理自动智能端口设为启用或通过语音VLAN启用.
步骤2选择是否要使设备处理来自连接设备的CDP和/或LLDP通告.
步骤3在自动智能端口设备检测字段中选择将要检测的设备类型.
步骤4单击应用步骤5要在一个或多个接口上启用启用自动智能端口功能,请打开"智能端口>接口设置"页面.
步骤6选择接口,然后单击编辑.
步骤7在智能端口应用字段中选择自动智能端口.
步骤8必要时选中或取消选中永久状态.
步骤9单击应用.
智能端口常见智能端口任务思科300系列管理型交换机管理指南14812工作流程2:要将接口配置为静态智能端口,请执行以下步骤:步骤1要在接口上启用自动智能端口功能,请打开"智能端口>接口设置"页面.
步骤2选择接口,然后单击编辑.
步骤3在智能端口应用字段中选择要分配给接口的智能端口类型.
步骤4根据需要设置宏参数.
步骤5单击应用.
工作流程3:要调整智能端口宏参数默认值和/或将用户定义的宏对与某种智能端口类型绑定,请执行以下步骤:通过该步骤,您可完成以下操作:查看宏源.
更改参数默认值.
将参数默认值恢复为出厂设置.
将用户定义的宏对(宏及其对应的反宏)与智能端口类型绑定.
1.
打开"智能端口>智能端口类型设置"页面.
2.
选择智能端口类型.
3.
单击查看宏源,查看与所选智能端口类型关联的当前智能端口宏.
4.
单击编辑以打开一个新窗口,在该窗口中您可将用户定义的宏与所选的智能端口类型绑定并/或修改与该智能端口类型绑定的宏中的默认参数值.
当自动智能端口将所选智能端口类型(如适用)应用到某接口时,将使用这些参数默认值.
5.
在"编辑"页面中,修改字段.
6.
如果参数已更改,单击应用重新运行宏;或在必要时单击恢复默认设置,恢复内置宏的默认参数值.
工作流程4:要在智能端口宏失败后重新运行,请执行以下步骤:步骤1在"接口设置"页面,选择一个智能端口类型为"未知"的接口.
步骤2单击显示诊断查看问题.
步骤3排除故障,然后修正问题.
请参考下文中的故障排除提示.
步骤4单击编辑.
将显示一个新窗口,您可在其中单击重置以重新设置接口.
智能端口使用基于Web的界面配置智能端口思科300系列管理型交换机管理指南14912步骤5返回主页面并使用重新应用(适用于非交换机、路由器或AP的设备)或重新应用智能端口宏(适用于交换机、路由器或AP)重新应用该宏,从而实现该智能端口宏在接口上的运行.
第二种重置单一或多个未知接口的方法是:步骤1在"接口设置"页面中,选择与复选框相同的端口类型.
步骤2选择未知,然后单击转至.
步骤3单击重置所有未知智能端口.
然后,按上述重新应用该宏.
提示该宏运行失败的原因可能是与在应用该宏之前所进行的配置间存在冲突(最经常遇到的是与安全性和风暴控制设置间的冲突)、端口类型错误、用户定义的宏中有错字或错误命令,以及无效的参数设置.
在尝试应用宏之前未选中类型及边界参数,因此在应用宏时,输入错误或无效的参数值几乎必然会导致失败.
使用基于Web的界面配置智能端口智能端口功能在"智能端口>属性"、"智能端口类型设置"和"接口设置"页面中进行配置.
有关语音VLAN配置的信息,请参阅语音VLAN.
有关LLDP/CDP配置的信息,请分别参阅配置LLDP和配置CDP部分.
智能端口属性全局配置智能端口功能的步骤:步骤1单击智能端口>属性.
步骤2输入参数.
管理自动智能端口-选中后将全局启用或禁用自动智能端口.
可能的选项有:-禁用-选中后,将在设备上禁用自动智能端口.
-启用-选中后,将在设备上启用自动智能端口.
-通过自动语音VLAN启用-选中该选项后将启用自动智能端口,但是只有在启用自动语音VLAN并使之运行后,自动智能端口才能正常运行.
"通过自动语音VLAN启用"是默认设置.
智能端口使用基于Web的界面配置智能端口思科300系列管理型交换机管理指南15012运行自动智能端口-显示自动智能端口状态.
自动智能端口设备检测方法-选择是否使用传入CDP、LLDP类型的数据包(或同时使用两种)检测连接设备的智能端口类型.
要使自动智能端口可对设备进行标识,必须至少选中一个类型.
运行CDP状态-显示CDP的运行状态.
要使自动智能端口根据CDP通告检测智能端口类型,请启用CDP.
运行LLDP状态-显示LLDP的运行状态.
要使自动智能端口根据LLDP/LLDP-MED通告检测智能端口类型,请启用LLDP.
自动智能端口设备检测-选择各种设备类型,自动智能端口会将智能端口类型分配到这些设备的接口.
如果未选中,则自动智能端口不会将该智能端口类型分配到任何接口.
步骤3单击应用.
这将在设备上设置全局智能端口参数.
智能端口类型设置使用"智能端口类型设置"页面,编辑智能端口类型设置并查看宏源.
默认情况下,每种智能端口类型都与一对内置智能端口宏相关联.
要进一步了解有关宏与反宏的信息,请参阅智能端口类型.
此外,您也可将已进行定制配置的用户定义的宏对与一种智能端口类型相关联.
用户定义的宏仅可通过CLI编写.
有关详情,请参阅CLI参考指南.
内置宏或用户定义的宏可以有参数.
内置宏最多可有三个参数.
在"智能端口类型设置"页面中,编辑智能端口类型的这些参数(由自动智能端口应用),会对这些参数的默认值进行配置.
自动智能端口将使用这些默认值.
注如果自动智能端口已将自动智能端口类型分配给接口,则更改该类型将会使新设置应用到这些接口中.
在这种情况下,绑定无效的宏或设置无效的默认参数值会导致所有此智能端口类型的端口都变为未知.
步骤1单击智能端口>智能端口类型设置.
步骤2要查看与某智能端口类型关联的智能端口宏,请选择该智能端口类型,然后单击查看宏源.
步骤3要修改宏的参数或分配用户定义的宏,请选择智能端口类型,然后单击编辑.
步骤4输入各个字段.
端口类型-选择一种智能端口类型.
宏名称-显示当前与该智能端口类型关联的智能端口宏的名称.
宏类型-选择与该智能端口宏类型关联的一对宏和反宏是内置宏还是用户定义的宏.
智能端口使用基于Web的界面配置智能端口思科300系列管理型交换机管理指南15112用户定义的宏-如果必要,选择要与所选智能端口类型关联的用户定义的宏.
该宏必须已与一个反宏配对.
两个宏按名称进行配对,并在"智能端口宏"一节进行说明.
宏参数-在宏中显示以下三种参数的字段:-参数名称-宏中的参数名称.
-参数值-宏中的当前参数值.
可在此更改该值.
-参数说明-参数说明.
可通过单击恢复默认设置来恢复默认参数值.
步骤5单击应用,将更改保存到当前配置.
如果修改与智能端口类型关联的智能端口宏和/或它的参数值,自动智能端口会自动将该宏重新应用到当前已获得由自动智能端口分配的智能端口类型的接口.
自动智能端口不会将更改应用到通过静态分配方式获得智能端口类型的接口.
注因为宏参数不存在类型关联,因此无法验证宏参数.
此时,输入任何值都是有效的.
但是,当将智能端口类型分配到接口并应用关联的宏时,无效的参数值可能导致出错.
智能端口接口设置使用"接口设置"页面可执行以下任务:将特定智能端口类型静态应用到接口(具有接口特定的宏参数值).
在接口上启用自动智能端口.
对应用失败并导致智能端口类型变为未知的智能端口宏进行诊断.
智能端口宏运行失败后,将其重新应用到以下其中一种接口类型:交换机、路由器和AP.
单击重新应用之前,应进行必要的修正.
有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分.
将智能端口宏重新应用到接口.
在某些情况下,您可能需要重新应用智能端口宏,以便接口上的配置保持最新.
例如,在设备接口上重新应用交换机智能端口宏,将使该接口成为自上次应用宏之后创建的VLAN的一个成员.
您必须熟悉设备上的当前配置以及宏的定义,以便确定重新应用宏是否会对接口产生任何影响.
重置未知接口.
这将使未知接口模式设置为默认模式.
智能端口使用基于Web的界面配置智能端口思科300系列管理型交换机管理指南15212应用智能端口宏的步骤:步骤1单击智能端口>接口设置.
可通过以下方式重新应用关联智能端口宏:选择一组智能端口类型(交换机、路由器或AP),然后单击重新应用智能端口宏.
宏随即会应用到所有选中的接口类型.
选择一个处于连接状态的接口,然后单击重新应用以重新应用最近应用到该接口的宏.
该重新应用操作还会将该接口添加到所有新创建的VLAN.
步骤2智能端口诊断.
如果智能端口宏失败,接口的智能端口类型将为"未知".
选择未知类型的接口,然后单击显示诊断.
这会显示导致宏应用失败的命令.
有关故障排除的提示,请参阅常见智能端口任务一节中的工作流程部分.
纠正该问题后,继续重新应用宏.
步骤3将所有未知接口重置为默认类型.
选择与复选框相同的端口类型.
选择未知,然后单击转至.
单击重置所有未知智能端口.
然后,按上述重新应用该宏.
这样便会在所有类型为"未知"的接口上执行重置,这也就意味着所有接口将返回到默认类型.
修正宏错误或当前接口配置错误(或二者皆有)后,可应用新宏.
注重置未知类型的接口不会重置失败宏所执行的配置.
此操作必须通过手动进行.
将智能端口类型分配到接口或在接口上激活自动智能端口的步骤:步骤1选择一个接口,并单击编辑.
步骤2输入各个字段.
接口-选择端口或LAG.
智能端口类型-显示当前分配到端口/LAG的智能端口类型.
智能端口应用-从智能端口应用下拉菜单中选择智能端口类型.
智能端口应用方法-如果选中自动智能端口,自动智能端口将根据从连接设备接收的CDP和/或LLDP通告,自动分配智能端口类型,同时应用相应的智能端口宏.
要将智能端口类型静态分配给接口并应用相应的智能端口宏,请选择所需的智能端口类型.
永久状态-选中后将启用永久状态.
如果启用,即使接口关闭或设备重启,智能端口类型仍会与接口关联.
仅当接口的智能端口应用为"自动智能端口"时,永久状态才适用.
接口启用永久状态后将消除设备检测延迟,否则该延迟将不可避免.
智能端口内置智能端口宏思科300系列管理型交换机管理指南15312宏参数-在宏中至多显示以下三种参数的字段:-参数名称-宏中的参数名称.
-参数值-宏中的当前参数值.
可在此更改该值.
-参数说明-参数说明.
步骤3单击重置可将处于"未知"状态(由未成功应用宏所致)的接口设置为默认接口.
该宏可在主页面上重新应用.
步骤4单击应用更新更改,并将智能端口类型分配到接口.
内置智能端口宏下文介绍各智能端口类型的内置宏对.
每种智能端口类型都有一个用于配置接口的宏,以及一个用于移除配置的反宏.
在此提供以下智能端口类型的宏代码:台式机打印机访客服务器主机ip_cameraip_phoneip_phone_desktop交换机路由器接入点台式机[台式机]#interfaceconfiguration,forincreasednetworksecurityandreliabilitywhenconnectingadesktopdevice,suchasaPC,toaswitchport.
#macrodescriptionDesktop#macrokeywords$native_vlan$max_hosts##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN智能端口内置智能端口宏思科300系列管理型交换机管理指南15412#$max_hosts:端口上允许设备的最大数量#DefaultValuesare#$native_vlan=DefaultVLAN#$max_hosts=10##theporttypecannotbedetectedautomatically##thedefaultmodeistrunksmartportswitchporttrunknativevlan$native_vlan#portsecuritymax$max_hostsportsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@no_desktop[no_desktop]#macrodescriptionNoDesktop#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@打印机[打印机]#macrodescriptionprinter#macrokeywords$native_vlan##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#DefaultValuesare#$native_vlan=DefaultVLAN智能端口内置智能端口宏思科300系列管理型交换机管理指南15512##theporttypecannotbedetectedautomatically#switchportmodeaccessswitchportaccessvlan$native_vlan##singlehostportsecuritymax1portsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@no_printer[no_printer]#macrodescriptionNoprinter#noswitchportaccessvlannoswitchportmode#noportsecuritynoportsecuritymode#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@guest[访客]#macrodescriptionguest#macrokeywords$native_vlan##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#DefaultValuesare#$native_vlan=DefaultVLAN##theporttypecannotbedetectedautomatically#智能端口内置智能端口宏思科300系列管理型交换机管理指南15612switchportmodeaccessswitchportaccessvlan$native_vlan##singlehostportsecuritymax1portsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@no_guest]][no_guest]#macrodescriptionNoguest#noswitchportaccessvlannoswitchportmode#noportsecuritynoportsecuritymode#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@服务器[服务器]#macrodescriptionserver#macrokeywords$native_vlan$max_hosts##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#$max_hosts:端口上允许设备的最大数量#DefaultValuesare#$native_vlan=DefaultVLAN#$max_hosts=10##theporttypecannotbedetectedautomatically##thedefaultmodeistrunksmartportswitchporttrunknativevlan$native_vlan智能端口内置智能端口宏思科300系列管理型交换机管理指南15712#portsecuritymax$max_hostsportsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlbroadcastenable#spanning-treeportfast#@no_server[no_server]#macrodescriptionNoserver#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevel#spanning-treeportfastauto#@主机[主机]#macrodescriptionhost#macrokeywords$native_vlan$max_hosts##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#$max_hosts:端口上允许设备的最大数量#DefaultValuesare#$native_vlan=DefaultVLAN#$max_hosts=10##theporttypecannotbedetectedautomatically##thedefaultmodeistrunksmartportswitchporttrunknativevlan$native_vlan#portsecuritymax$max_hostsportsecuritymodemax-addressesportsecuritydiscardtrap60#智能端口内置智能端口宏思科300系列管理型交换机管理指南15812smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@no_host[no_host]#macrodescriptionNohost#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ip_camera[ip_camera]#macrodescriptionip_camera#macrokeywords$native_vlan##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#DefaultValuesare#$native_vlan=DefaultVLAN#switchportmodeaccessswitchportaccessvlan$native_vlan##singlehostportsecuritymax1portsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@智能端口内置智能端口宏思科300系列管理型交换机管理指南15912no_ip_camera[no_ip_camera]#macrodescriptionip_camera#noswitchportaccessvlannoswitchportmode#noportsecuritynoportsecuritymode#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ip_phone[ip_phone]#macrodescriptionip_phone#macrokeywords$native_vlan$voice_vlan$max_hosts##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#$voice_vlan:语音VLANID#$max_hosts:端口上允许设备的最大数量#DefaultValuesare#$native_vlan=DefaultVLAN#$voice_vlan=1#$max_hosts=10##thedefaultmodeistrunksmartportswitchporttrunkallowedvlanadd$voice_vlansmartportswitchporttrunknativevlan$native_vlan#portsecuritymax$max_hostsportsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@智能端口内置智能端口宏思科300系列管理型交换机管理指南16012no_ip_phone[no_ip_phone]#macrodescriptionnoip_phone#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID##DefaultValuesare#$voice_vlan=1#smartportswitchporttrunkallowedvlanremove$voice_vlannosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ip_phone_desktop[ip_phone_desktop]#macrodescriptionip_phone_desktop#macrokeywords$native_vlan$voice_vlan$max_hosts##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#$voice_vlan:语音VLANID#$max_hosts:端口上允许设备的最大数量#DefaultValuesare#$native_vlan=DefaultVLAN#$voice_vlan=1#$max_hosts=10##thedefaultmodeistrunksmartportswitchporttrunkallowedvlanadd$voice_vlansmartportswitchporttrunknativevlan$native_vlan#portsecuritymax$max_hostsportsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#智能端口内置智能端口宏思科300系列管理型交换机管理指南16112spanning-treeportfast#@no_ip_phone_desktop[no_ip_phone_desktop]#macrodescriptionnoip_phone_desktop#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID##DefaultValuesare#$voice_vlan=1#smartportswitchporttrunkallowedvlanremove$voice_vlannosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@交换机[交换机]#macrodescriptionswitch#macrokeywords$native_vlan$voice_vlan##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#$voice_vlan:语音VLANID#DefaultValuesare#$native_vlan=DefaultVLAN#$voice_vlan=1##thedefaultmodeistrunksmartportswitchporttrunkallowedvlanaddallsmartportswitchporttrunknativevlan$native_vlan#spanning-treelink-typepoint-to-point#@智能端口内置智能端口宏思科300系列管理型交换机管理指南16212no_switch[no_switch]#macrodescriptionNoswitch#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#nospanning-treelink-type#@路由器[路由器]#macrodescriptionrouter#macrokeywords$native_vlan$voice_vlan##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN#$voice_vlan:语音VLANID##DefaultValuesare#$native_vlan=DefaultVLAN#$voice_vlan=1##thedefaultmodeistrunksmartportswitchporttrunkallowedvlanaddallsmartportswitchporttrunknativevlan$native_vlan#smartportstorm-controlbroadcastlevel10smartportstorm-controlbroadcastenable#spanning-treelink-typepoint-to-point#@no_router[no_router]#macrodescriptionNorouter#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID#智能端口内置智能端口宏思科300系列管理型交换机管理指南16312nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevel#nospanning-treelink-type#@接入点[接入点]#macrodescriptionap#macrokeywords$native_vlan$voice_vlan##macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN13思科300系列管理型交换机管理指南164端口管理:PoE以太网供电(PoE)功能仅在基于PoE的设备上提供.
如需基于PoE的设备列表,请参阅"设备型号"一节.
本节介绍如何使用PoE功能.
其中包含以下主题:设备上的PoEPoE属性PoE设置设备上的PoEPoE设备为供电设备(PSE),可通过现有的铜质电缆为连接的受电设备(PD)供电,而不会影响网络流量,也无需更新物理网络或修改网络基础架构.
有关各种型号上PoE支持的信息,请参阅设备型号.
PoE功能PoE有如下功能:可消除为有线LAN上的所有设备输送110/220VAC电能的需求.
可消除将所有网络设备靠近电源放置的必要性.
可消除在企业中部署双线系统的需求,大大降低安装成本.
只要企业网络部署连接到以太网LAN的功率相对较低的设备,就可以使用以太网供电,这类低功率设备包括:IP电话无线接入点IP网关音频和视频远程监控设备端口管理:PoE设备上的PoE思科300系列管理型交换机管理指南16513PoE工作PoE分以下几个阶段实施:检测-在铜质电缆上发送特殊脉冲.
如果另一端连接了PoE设备,该设备会对这些脉冲做出响应.
分类-检测阶段结束后,开始供电设备(PSE)与受电设备(PD)之间的协商.
在协商过程中,PD指定其类别,这是PD所耗的最大功率.
功耗-分类阶段结束后,PSE将为PD供电.
如果PD支持PoE,但未进行分类,则会将其假设为类别0(最大).
如果PD尝试消耗的功率超过了标准所允许的最大功率,则PSE会停止为该端口供电.
PoE支持两种模式:端口限制-设备同意提供的最大功率取决于系统管理员配置的值,与分类结果无关.
类别功率限制-设备同意提供的最大功率取决于分类阶段的结果.
这表示将根据客户端的请求设置最大功率.
PoE配置注意事项使用PoE功能需要考虑两个因素:PSE可以提供的功率PD实际尝试消耗的功率可以进行以下配置:允许PSE向PD提供的最大功率.
在设备工作期间,将模式从类别功率限制更改为端口限制及从端口限制更改为类别功率限制.
会保留为端口限制模式配置的针对端口的功率值.
注在设备运行时将模式从"级别限制"更改为"端口限制"会强制PD重启,反之亦然.
所允许的针对端口的最大端口限制(以mW为单位的数值限制),限于端口限制模式.
当PD尝试消耗过多功率时生成Trap,以及生成Trap时PD所耗功率占最大功率的百分比.
PoE特定硬件会自动检测PD类别,并根据连接到每个特定端口的设备的类别检测其功率限制(限于类别限制模式).
如果在连接的任意时刻,所连接的PD从设备请求超过所配置的功率分配所允许的功率(不论设备是类别限制模式还是端口限制模式),设备将:维持PoE端口链路的连接/中断状态停止向PoE端口供电端口管理:PoEPoE属性思科300系列管理型交换机管理指南16613记录停止供电的原因生成SNMPTrap!
注意连接具有PoE功能的交换机时,请注意以下事项:PoE型号的Sx200、Sx300和SF500系列交换机为PSE,可向连接的PD供应直流电.
这些设备包括VoIP电话、IP摄像头和无线接入点.
PoE交换机可以检测出非标准的旧式PoEPD并为其供电.
由于要支持旧式PoE,作为PSE的PoE设备可能会发生检测错误,将连接的PSE(包括其他PoE交换机)也当成旧式PD并为其供电.
尽管Sx200/300/500PoE交换机是PSE,且因此应采用交流电供电,但它们也可能由于检测错误而被另一PSE当作旧式PD供电.
发生这种情况时,PoE设备可能无法正常工作,并且可能无法正确地为所连接的PD供电.
为防止检测错误,您应禁用PoE交换机上用于连接PSE的端口的PoE功能.
您还应先接通PSE设备的电源,然后再将其连接至PoE设备.
如果某设备被错误地检测为PD,您应断开该设备与PoE端口的连接,并使用交流电源为其供电,然后再将其重新连接到PoE端口.
PoE属性PoE"属性"页面可选择采用端口限制还是类别限制PoE模式,及指定生成PoETrap.
这些设置需提前输入.
当PD实际连接并消耗功率时,所消耗的功率可能比所允许的最大功率少得多.
在加电重启、初始化和系统配置过程中禁用功率输出,以确保不会损坏PD.
在设备上配置PoE和监控当前功率使用的步骤:步骤1单击端口管理>PoE>属性.
步骤2为以下字段输入值:供电模式-请选择以下选项之一:-端口限制-由用户配置针对每个端口的最大功率限制.
-类限制-由设备类别(从分类阶段获取)决定每个端口的最大功率限制.
注从"端口限制"更改为"级别限制"时(反之亦然),必须禁用PoE端口,并更改功率配置后再次启用.
端口管理:PoEPoE设置思科300系列管理型交换机管理指南16713Trap-启用或禁用Trap.
如果已启用Trap,您还必须启用SNMP,并配置至少一个SNMP通知接收设备.
功率Trap阈值-输入使用率阈值,该值为功率限制的百分比.
如果功率超过了该值,便会发出告警.
将显示如下计数器:标称功率-设备可以为连接的所有PD提供的总功率.
已消耗功率-当前由PoE端口消耗的功率.
可用功率-标称功率减去已消耗的功率所得的值.
步骤3单击应用,保存PoE属性.
PoE设置"PoE设置"页面会显示关于在接口上启用PoE和监控每个端口的当前功率使用和最大功率限制的系统PoE信息.
注可以在设备上针对某一特定时间段配置PoE.
使用此功能,可以为每个端口定义一周中哪几天以及每天哪几个小时启用PoE.
如果未指定时间范围,PoE将处于禁用状态.
若要使用此功能,必须首先在时间范围页面定义一个时间范围.
本页面会根据供电模式,通过两种方式限制每个端口的功率:端口限制:将功率限制为指定的瓦特数.
要使这些设置生效,系统必须为PoE端口限制模式.
该模式在PoE"属性"页面中进行配置.
当端口消耗的功率超过端口限制时,将会停止为端口供电.
类别限制:根据连接的PD的类别限制功率.
要使这些设置生效,系统必须为PoE类别限制模式.
该模式在PoE"属性"页面中进行配置.
当端口消耗的功率超过类别限制时,将会停止为端口供电.
PoE优先级示例:假设:一个48端口设备提供375瓦的总功率.
管理员将所有端口配置为最大可分配30瓦.
这样一来,48个端口乘以30瓦就等于1440瓦,这个数字显然是太大了.
设备无法为每个端口提供足够的功率,因此会根据优先级提供功率.
管理员针对每个端口设置优先级,为其分配可获得的功率量.
这些优先级在"PoE设置"页面中输入.
端口管理:PoEPoE设置思科300系列管理型交换机管理指南16813有关支持PoE的设备型号以及可向PoE端口分配的最大功率说明,请参阅设备型号.
配置PoE端口设置的步骤:步骤1单击端口管理>PoE>设置.
下面的列表中是关于"端口限制"供电模式的字段.
如果供电模式为"级别限制",这些字段会略有不同.
步骤2选择一个端口,然后单击编辑.
步骤3为以下字段输入值:接口-选择要配置的端口.
PoE管理状态-在端口上启用或禁用PoE.
时间范围-选择该选项可启用端口上的PoE.
时间范围名称-如果"时间范围"已启用,请选择要使用的时间范围.
时间范围已在时间范围页面进行过定义.
电源优先级-选择供电不足时使用的端口优先级:低、高或重要.
例如,如果供电使用率在99%,端口1的优先级为高,而端口3的优先级为低,则将为端口1供电,而拒绝为端口3供电.
管理功率分配-仅当在PoE"属性"页面中将供电模式设置为"端口限制"才会显示该字段.
如果供电模式为"功率限制",则请输入为该端口分配的功率(以毫瓦为单位).
最大功率分配-仅当在PoE"属性"页面中将供电模式设置为"功率限制"才会显示该字段.
显示在此端口上所允许的最大功率.
功耗-显示分配给连接到所选接口的受电设备的功率(以毫瓦为单位).
类-仅当在PoE"属性"页面中将供电模式设置为"级别限制",该字段才允许进行输入.
类别将决定功率等级:过载计数器-显示功率过载情况发生的总次数.
短路计数器-显示功率不足情况发生的总次数.
拒绝供电计数器-显示拒绝为受电设备供电情况发生的次数.
类别设备端口提供的最大功率015.
4瓦特14.
0瓦特27.
0瓦特315.
4瓦特430.
0瓦特端口管理:PoEPoE设置思科300系列管理型交换机管理指南16913缺席计数器-显示由于检测不到受电设备,而停止为其供电的情况发生的次数.
无效签名计数器-显示收到无效签名的次数.
PSE需通过签名来识别受电设备.
签名在受电设备的检测、分类或维护过程中生成.
步骤4单击应用.
端口的PoE设置将写入当前配置文件.
14思科300系列管理型交换机管理指南170VLAN管理本节包括以下主题:综述常规VLAN专用VLAN设置GVRP设置VLAN组语音VLAN访问端口组播TVVLAN客户端口组播TVVLAN综述VLAN是一个端口逻辑组,与其相关联的设备不论连接到桥接网络的哪个物理LAN段,都可以通过以太网MAC层互相通信.
VLAN是一个端口逻辑组,与其相关联的设备不论连接到桥接网络的哪个物理LAN段,都可以通过以太网MAC层互相通信.
VLAN说明系统会使用1到4094之间的值为每个VLAN配置一个唯一的VLANID(VID).
如果桥接网络中的设备上的端口能够向VLAN发送数据并从VLAN接收数据,则该端口便为该VLAN的成员.
如果进入VLAN的指定给某端口的所有数据包都不包含VLAN标记,则该端口为VLAN的Untagged成员.
如果进入VLAN的指定给某端口的所有数据包都包含VLAN标记,则该端口为VLAN的Tagged成员.
一个端口可以仅是一个UntaggedVLAN的成员,也可以是多个TaggedVLAN的成员.
VLAN管理综述思科300系列管理型交换机管理指南17114处于"VLAN访问"模式的端口只能是一个VLAN的成员.
处于"一般"模式或"中继"模式的端口可以是一个或多个VLAN的成员.
VLAN解决了安全性和可扩展性问题.
从VLAN发送的流量会始终处于VLAN之内,并且终止于VLAN中的设备.
VLAN通过逻辑方式连接设备,无需实际改变这些设备的位置,因此还可以简化网络配置.
如果帧为VLAN-tagged帧,则会将一个4字节的VLAN标签添加到每个以太网帧.
该标签中包含一个1到4094之间的VLANID和一个0到7之间的VLAN优先级标签(VPT).
有关VPT的详情,请参阅服务质量.
当帧进入可识别VLAN的设备时,设备会根据帧中的4字节VLAN标记将该帧分类为属于某个VLAN.
如果帧中不包含VLAN标记,或者仅为帧添加了优先级标记,则会根据于接收帧的入站端口处配置的PVID(端口VLAN标识符)将该帧分类为属于某个VLAN.
如果启用了入站过滤功能,并且入站端口不是数据包所属VLAN的成员,则此帧将于入站端口处被丢弃.
仅当帧的VLAN标记中的VID为0时,才会将该帧视为添加了优先级标记.
属于某VLAN的帧会始终处于该VLAN之内.
这可以通过仅向作为目的VLAN成员的出站端口发送或转发帧来实现.
出站端口可以是VLAN的Tagged成员或Untagged成员.
出站端口:如果出站端口是目的VLAN的Tagged成员,并且原始帧不包含VLAN标记,则会为此帧添加VLAN标记.
如果出站端口是目的VLAN的Untagged成员,并且原始帧包含VLAN标记,则会删除此帧的VLAN标记.
VLAN角色VLAN作用于第2层.
所有VLAN流量(单播/广播/组播)均将始终处于其VLAN之内.
连接到不同VLAN的设备无法通过以太网MAC层彼此直接连接.
属于不同VLAN的设备只能通过第3层路由器相互通信.
例如,如果每个VLAN代表一个IP子网,则需要IP路由器在VLAN之间路由IP流量.
IP路由器可以是传统路由器,其上的每个接口仅连接到一个VLAN.
在传统IP路由器上收发的流量必须为VLANUntagged.
该IP路由器可以为可识别VLAN的路由器,其上的每个接口可以连接到一个或多个VLAN.
在可识别VLAN的IP路由器上收发的流量可以为VLANTagged,也可以为VLANUntagged.
毗邻的可识别VLAN的设备使用通用VLAN注册协议(GVRP)互相交换VLAN信息.
因此,VLAN信息将通过桥接网络进行传递.
可以根据设备之间交换的GVRP信息,以静态或动态方式创建设备上的VLAN.
VLAN可以是静态的,也可以是动态的(通过GVRP创建),但不能既为静态又为动态.
有关GVRP的详情,请参阅"GVRP设置"一节.
某些VLAN可能具有其他角色,包括:语音VLAN:有关详情,请参阅"语音VLAN"一节.
访客VLAN:在"编缉VLAN验证"页面中设置.
VLAN管理综述思科300系列管理型交换机管理指南17214默认VLAN:有关详情,请参阅"配置默认VLAN设置"一节.
管理VLAN(在第2层系统模式系统中):有关详情,请参阅"第2层IP寻址"一节.
QinQQinQ提供服务提供商网络与客户网络间的隔离.
该设备是一个提供商网桥,支持基于端口、已添加c标记的服务接口.
设备使用QinQ为流量添加称为服务标记(S-tag)的ID标记,然后将其通过网络进行转发.
S-tag用于在保留客户VLAN标记的同时,分离不同客户间的流量.
无论客户流量最初已包含c标记还是未标记,都通过一个TPID0x8100的S-tag进行封装.
利用S-tag,系统可将此流量看作提供商网桥网络中的一个聚合,在该网络中,只能根据S-tagVID(S-VID)进行桥接.
当通过网络服务提供商的基础架构转发流量时,S-Tag将被保留,并在稍后由出站设备将其删除.
QinQ的另一个优势是,无需配置客户的边缘设备.
QinQ在"VLAN管理>接口设置"页面中启用.
专用VLAN专用VLAN功能在端口之间提供第2层隔离.
这意味着在桥接流量级别,共享同一个广播域的端口无法互相通信(这与IP路由有所不同).
专用VLAN中的端口可位于第2层网络中的任何位置,即它们不必位于同一台交换机上.
专用VLAN设计为接收未添加标记或添加了优先级标记的流量以及传输未添加标记的流量.
以下类型的端口可以是专用VLAN的成员:混杂-混杂端口可以与同一个专用VLAN中的所有端口通信.
这些端口连接服务器和路由器.
社区(主机)-社区端口可以定义一组均为同一个第2层域中成员的端口.
这些端口在第2层上与其他社区和隔离端口相隔离.
这些端口连接主机端口.
隔离(主机)-隔离端口在同一个专用VLAN中与其他隔离端口和社区端口之间存在完全的第2层隔离.
这些端口连接主机端口.
专用VLAN包括以下类型:主VLAN-主VLAN用于提供从混杂端口到隔离端口和社区端口的第2层连接.
每个专用VLAN只能有一个主VLAN.
隔离VLAN(也称为辅助VLAN)-隔离VLAN用于使隔离端口可以将流量发送到主VLAN.
每个专用VLAN只能有一个隔离VLAN.
社区VLAN(也称为辅助VLAN)-要在VLAN中创建端口子群(社区),必须为端口添加社区VLAN.
社区VLAN用于提供从社区端口到混杂端口和同一个社区中的其他社区端口的第2层连接.
每个社区可VLAN管理综述思科300系列管理型交换机管理指南17314以有一个社区VLAN,同一个专用VLAN的系统中可以有多个社区VLAN同时共存.
有关如何使用这些VLAN的示例,请参阅图1和图2.
主机流量会发送到隔离VLAN和社区VLAN,而服务器和路由器流量则会发送到主VLAN;在均为同一个专用VLAN中成员的所有VLAN之间,存在共享MAC地址学习(通过交换机支持独立的VLAN学习).
无论隔离和社区VLAN是否学习主机MAC地址,此功能都支持单播流量,同时主VLAN会学习路由器和服务器MAC地址.
专用VLAN端口只能添加到一个专用VLAN.
其他端口类型(例如访问端口或中继端口)可以添加到组成专用VLAN的各个VLAN(因为它们是常规802.
1QVLAN).
通过将交换机间端口设置为中继端口,并将其添加到专用VLAN中的所有VLAN,可以跨多台交换机配置专用VLAN.
交换机间中继端口会收发专用VLAN的各种VLAN(主VLAN、隔离VLAN和社区VLAN)的已标记流量.
交换机支持16个主VLAN和256个辅助VLAN.
VLAN管理综述思科300系列管理型交换机管理指南17414流量下文介绍从主机到服务器/路由器或其他主机的流量.
图1从主机到服务器/路由器的流量VLAN管理综述思科300系列管理型交换机管理指南17514下文介绍服务器/路由器流量(对主机的回复).
图2从服务器/路由器到主机的流量VLAN管理综述思科300系列管理型交换机管理指南17614与其他功能进行交互本节将介绍专用VLAN与其他系统功能之间的交互.
专用VLAN支持的功能虽然以下功能会影响专用VLAN中的所有VLAN,但是只能在主VLAN上启用(而不能在隔离或社区VLAN上启用).
IGMPSnooping和MLDSnooping.
系统会在专用VLAN中的所有VLAN上检测IGMP报告和查询,同时生成的组播条目仅添加到主VLAN的FDB.
完成此功能可以让组播流量进行转发,而不是在主VLAN上泛洪.
隔离VLAN和社区VLAN会继续对组播流量进行泛洪.
DHCPSnooping.
ARP检测.
IP源防护.
系统会阻止在专用VLAN中添加或删除隔离VLAN或社区VLAN,同时启用上述功能.
专用VLAN不支持的功能专用VLAN以及组成专用VLAN的所有VLAN不支持以下功能:自动语音VLAN默认VLANDHCP中继802.
1x未验证的VLAN访客VLANIPv4和IPv6.
IPv4/IPv6可以在主VLAN上进行定义.
隔离和社区端口不允许进行IP连接.
IP连接需要将流量传送到主VLAN上.
专用VLAN端口模式不支持的功能专用VLAN端口模式不支持以下功能:GVRP语音VLANOUI自动检测802.
1x端口请求VLAN802.
1x端口动态VLAN分配组播TVVLAN.
VLAN管理常规VLAN思科300系列管理型交换机管理指南17714注请注意以下说明:端口安全-当端口取消锁定时,VLANFDB表中的MAC条目会刷新.
在功能交互限制方面,专用VLAN中的端口成员关系等同于802.
1QVLAN中的端口成员关系,例如:-端口不能添加到LAG/LACP.
-端口不能配置为端口监控目的.
需要的资源由于专用VLAN包含多个802.
1QVLAN,因此系统需要额外的资源用于专用VLAN中的每个辅助VLAN.
以下功能的资源在专用VLAN中按VLAN进行分配.
动态MAC地址-主VLAN学习的MAC地址会复制到所有社区VLAN和隔离VLAN.
隔离/社区VLAN学习的MAC地址会复制到主VLAN.
DHCPSnooping-需要使用TCAM规则来拦截DHCP流量.
ARP检测-需要使用TCAM规则来拦截ARP流量.
IP源防护-需要使用TCAM规则来转发/丢弃IP流量.
第一步跳安全性-需要使用TCAM规则来拦截IPv6流量(IPv6源防护启用时).
配置原则请注意以下功能配置原则:MSTP-专用VLAN中的所有VLAN必须分配到同一个MSTP实例.
IP源防护-由于所需TCAM资源量的限制,不建议通过专用VLAN将ACL绑定到IP源防护端口上.
常规VLAN本节将介绍用于配置各种VLAN的GUI页面.
本节将介绍以下过程:VLAN配置工作流程默认VLAN设置VLAN设置-创建VLAN接口设置VLAN成员关系VLAN管理常规VLAN思科300系列管理型交换机管理指南17814端口到VLAN端口VLAN成员关系定义GVRP设置VLAN配置工作流程配置VLAN的步骤:1.
如果需要,按照默认VLAN设置一节的说明更改默认VLAN.
2.
按照VLAN设置-创建VLAN一节的说明,创建所需VLAN.
3.
按照接口设置一节的说明,根据需要设置VLAN相关端口的配置,并在接口上启用QinQ.
4.
按照端口到VLAN一节或端口VLAN成员关系一节的说明,将接口分配给VLAN.
5.
按端口VLAN成员关系一节的说明,查看所有接口的目前VLAN端口成员关系.
默认VLAN设置在出厂默认设置下,设备会自动创建VLAN1作为默认VLAN,所有端口的默认接口状态为"中继",并且会将所有端口配置为默认VLAN的Untagged成员.
默认VLAN具有以下特性:该VLAN是独特的非静态/非动态VLAN,并且在默认情况下,所有端口都是它的Untagged成员.
该VLAN无法删除.
无法为该VLAN指定标签.
不能为该VLAN指定任何特殊的角色(例如未经验证的VLAN或语音VLAN).
这仅适用于已启用OUI的语音VLAN.
如果某端口不再是任何VLAN的成员,则设备会自动将该端口配置为默认VLAN的Untagged成员.
在以下情况下,端口将不再是VLAN的成员:VLAN已被删除或者已将该端口从VLAN删除.
RADIUS服务器无法使用动态VLAN分配将默认VLAN分配给802.
1x请求方.
如果默认VLAN的VID发生更改,则在保存配置和重启设备后,设备会在VLAN中的所有端口上执行以下操作:从原始默认VLAN中删除端口的VLAN成员关系(在重启后生效).
将端口的PVID(端口VLAN标识符)更改为新的默认VLAN的VID.
从设备上删除原始默认VLANID.
该ID必须经过重新创建,然后才能使用.
VLAN管理常规VLAN思科300系列管理型交换机管理指南17914将端口添加为新的默认VLAN的未添加VLAN标记成员.
更改默认VLAN的步骤:步骤1单击VLAN管理>默认VLAN设置.
步骤2为以下字段输入值:当前默认VLANID-显示目前的默认VLANID.
重启后的默认VLANID-输入要在重启后用于取代默认VLANID的新VLANID.
步骤3单击应用.
步骤4单击保存(位于窗口的右上角),将当前配置保存到启动配置.
重启设备后,重启后的默认VLANID的值将成为当前默认VLANID.
VLAN设置-创建VLAN您可以创建VLAN,但需通过手动或自动的方式将该VLAN连接到一个以上的端口,该VLAN才会生效.
端口必须始终属于一个或多个VLAN.
300系列设备最多可支持4000个VLAN(包括默认VLAN).
必须使用1到4094之间的值为每个VLAN配置一个唯一的VID.
设备会将VID4095保留为丢弃VLAN.
所有分类为属于丢弃VLAN的数据包都会在入站处被丢弃,而不会被转发到端口.
创建VLAN的步骤:步骤1单击VLAN管理>VLAN设置.
此时将显示所有已定义VLAN的信息.
字段将在下面的添加页面下进行定义.
以下字段不在添加页面上.
发起人-VLAN的创建方式:-GVRP-VLAN为通过通用VLAN注册协议(GVRP)动态创建.
-静态-VLAN为用户定义.
-默认-VLAN为默认VLAN.
步骤2单击添加来添加一个或多个新VLAN.
使用该页面可创建单个VLAN或一系列VLAN.
步骤3要创建单个VLAN,请选择VLAN单选按钮,输入VLANID及VLAN名称(可选).
VLAN管理常规VLAN思科300系列管理型交换机管理指南18014要创建一个VLAN范围,请选择范围单选按钮,然后通过输入起始VID和结束VID(包含在内)来指定要创建的VLAN的范围.
使用范围功能时,一次可以创建的最多VLAN数量是100.
步骤4为新VLAN添加以下字段:VLAN接口状态-选择该选项可关闭VLAN.
在此状态下,VLAN不会接收来自更高级别的消息,或将消息传输至更高级别.
例如,如果您关闭已配置IP接口的VLAN,至VLAN的桥接会继续,但是交换机无法在VLAN上传输和接收IP流量.
链路状态SNMP陷阱-选择该选项可生成链路状态SNMP陷阱.
步骤5单击应用,创建VLAN.
接口设置使用"接口设置"页面可显示和配置所有接口的VLAN相关参数.
配置VLAN设置的步骤:步骤1单击VLAN管理>接口设置.
步骤2选择接口类型(端口或LAG),然后单击转至.
此时将显示端口或LAG及其VLAN参数.
步骤3选择要配置的端口或LAG,然后单击编辑.
步骤4为以下字段输入值:接口-选择端口/LAG.
接口VLAN模式-选择VLAN的接口模式.
选项如下:-一般-接口可以支持IEEE802.
1q规格中定义的所有功能.
接口可以为一个或多个VLAN的Tagged成员或Untagged成员.
-访问-接口为单个VLAN的Untagged成员.
在此模式下配置的端口称为访问端口.
-中继-接口最多可作为一个VLAN的Untagged成员,或者作为零个或更多VLAN的Tagged成员.
在此模式下配置的端口称为中继端口.
-客户-选中此选项可使接口处于QinQ模式.
这可让您在提供商网络间使用自有的VLAN部署(PVID).
如果设备拥有一个或更多客户端口,它将处于Q-in-Q模式.
请参阅QinQ.
-专用VLAN-主机-选择该选项可将接口设置为隔离或社区接口.
然后在"辅助VLAN-主机"字段中选择隔离或社区VLAN.
VLAN管理常规VLAN思科300系列管理型交换机管理指南18114-专用VLAN-混杂-选择该选项可将接口设置为混杂接口.
管理PVID-输入传入的Untagged和添加了优先级标记的帧的所属VLAN的端口VLANID(PVID).
可能的值为1到4094.
帧类型-选择接口可以接收的帧类型.
不属于所配置的帧类型的帧将在入站处被丢弃.
这些帧类型仅在"一般"模式下可用.
可能的值包括:-全部接受-接口接受所有类型的帧:Untagged帧、Tagged帧和添加优先级标记的帧.
-只接受Tagged-接口仅接受添加标记的帧.
-只接受Untagged-接口仅接受Untagged帧和优先级帧.
入口过滤-(仅在"一般"模式下可用)选择该选项可启用入站过滤功能.
如果对接口启用了入站过滤功能,当传入帧所属的VLAN不包括该接口时,接口会丢弃这些传入帧.
入口过滤功能可以在一般端口上禁用或启用,而该功能在访问端口和中继端口上始终启用.
主VLAN-选择专用VLAN中的主VLAN.
主VLAN用于提供从混杂端口到隔离端口和社区端口的第2层连接.
辅助VLAN-主机-为仅需要单个辅助VLAN的主机选择隔离或社区VLAN.
选定的辅助VLAN-对于混杂端口,请从可用的辅助VLAN中将正常数据包转发需要的所有辅助VLAN移至此列表.
混杂和中继端口可以是多个VLAN中的成员.
步骤5单击应用.
参数将写入当前配置文件中.
VLAN成员关系"端口到VLAN"和"端口VLAN成员关系"页面会以多种形式显示端口的VLAN成员关系.
可以使用其向VLAN添加成员关系或从VLAN删除成员关系.
如果对端口禁止默认VLAN成员关系,该端口将不能成为任何其他VLAN的成员.
将为该端口分配4095作为其内部VID.
要正确转发数据包,必须手动配置沿终端节点间的路径传输VLAN流量的可识别VLAN的中间设备,或者这些设备必须通过通用VLAN注册协议(GVRP)动态学习VLAN及其端口成员关系.
两个可识别VLAN的设备(没有可识别VLAN的设备介于两者之间)之间的Untagged端口成员关系必须属于同一VLAN.
换言之,如果这两个设备之间的端口向VLAN发送Untagged数据包或从VLAN接收Untagged数据包,则端口上的PVID必须相同.
否则,流量可能会从一个VLAN泄露到另一个VLAN.
VLAN-tagged帧可以通过可识别VLAN或无法识别VLAN的网络设备传输.
如果目的终端节点可识别VLAN,但将从VLAN接收流量,则上一个可识别VLAN的设备(如果存在)必须将目的VLAN的帧发送到Untagged终端节点.
VLAN管理常规VLAN思科300系列管理型交换机管理指南18214端口到VLAN使用"端口到VLAN"页面显示和配置特定VLAN中的端口.
将端口或LAG映射到VLAN的步骤:步骤1单击VLAN管理>端口到VLAN.
步骤2选择VLAN和接口类型(端口或LAG)并单击转至,以针对VLAN显示或更改端口特性.
每个端口或LAG的端口模式都会显示为从"接口设置"页面配置的目前端口模式("访问"、"中继"、"一般"或"客户").
每个端口或LAG均将与其对VLAN的目前注册一起显示.
步骤3通过从以下列表中选择接口名称并选择所需的选项,来更改接口对VLAN的注册:VLAN模式-VLAN中端口的类型.
成员关系类型:-已禁止-不允许接口加入VLAN(即使通过GVRP注册也不行).
如果端口不是任何其他VLAN的成员,在端口上启用该选项会使该端口成为内部VLAN4095(保留VID)的成员.
-已排除-接口目前不是VLAN的成员.
这是所有端口和LAG的默认选项.
端口可以通过GVRP注册加入VLAN.
-Tagged-接口是VLAN的Tagged成员.
-Untagged-接口为VLAN的非标记成员.
会将UntaggedVLAN帧发送到接口VLAN.
-PVID-选择该选项会将接口的PVID设置为VLAN的VID.
PVID是一个针对端口的设置.
步骤4单击应用.
会将接口分配给VLAN,并写入当前配置文件中.
选择另一个VLANID,可以继续显示和/或配置另一个VLAN的端口成员关系.
端口VLAN成员关系"端口VLAN成员关系"页面将显示设备上的所有端口以及一个各端口所属VLAN的列表.
如果某接口基于端口的验证方法为802.
1x,并且"管理端口控制"为"自动",那么:在对端口进行验证之前,会将其排除在所有VLAN之外(访客和未经验证的端口除外).
在"VLAN到端口"页面中,端口标记有大写的P.
VLAN管理常规VLAN思科300系列管理型交换机管理指南18314当对端口进行验证时,该端口将接收在其中进行配置的VLAN中的成员关系.
将端口分配给一个或多个VLAN的步骤:步骤1单击VLAN管理>端口VLAN成员关系.
步骤2选择接口类型(端口或LAG),然后单击转至.
会针对所选类型的所有接口显示以下字段:接口-端口/LAGID.
模式-在"接口设置"页面中选择的接口VLAN模式.
管理VLAN-显示接口可能所属的所有VLAN的下拉列表.
运行VLAN-显示接口目前所属的所有VLAN的下拉列表.
LAG-如果选择的接口为端口,则会显示该端口所属的LAG.
步骤3选择端口,然后单击加入VLAN按钮.
步骤4为以下字段输入值:接口-选择端口或LAG.
模式-显示在"接口设置"页面中选择的端口VLAN模式.
选择VLAN-要将端口与VLAN关联,请使用箭头键将左侧列表中的VLANID移到右侧列表.
如果默认VLAN添加了标记,则可能会显示在右侧列表中,但无法选择.
标记-选择以下添加标记/PVID选项之一:-已禁止-不允许接口加入VLAN(即使通过GVRP注册也不行).
如果端口不是任何其他VLAN的成员,在端口上启用该选项会使该端口成为内部VLAN4095(保留VID)的成员.
-Tagged-选择端口是否Tagged.
-已排除-接口目前不是VLAN的成员.
这是所有端口和LAG的默认选项.
端口可以通过GVRP注册加入VLAN.
-Tagged-选择端口是否Tagged.
该选项不适用于访问端口.
-Untagged-选择端口是否Untagged.
该选项不适用于访问端口.
-组播TVVLAN-用于使用组播IP的数字TV的接口.
端口加入VLAN标记为组播TVVLAN的VLAN.
有关详情,请参阅访问端口组播TVVLAN.
-PVID-将端口PVID设置为此VLAN.
如果接口为"访问"模式或"中继"模式,设备会自动使接口成为VLAN的Untagged成员.
如果接口为"一般"模式,则必须手动配置VLAN成员关系.
VLAN管理专用VLAN设置思科300系列管理型交换机管理指南18414步骤5单击应用.
将修改设置,并将其写入当前配置文件中.
要查看接口上的管理和运行VLAN,请单击详情.
专用VLAN设置"专用VLAN设置"页面显示已定义的专用VLAN.
创建新专用VLAN的步骤:步骤1单击VLAN管理>专用VLAN设置.
步骤2单击添加按钮.
步骤3为以下字段输入值:主VLANID-选择要在专用VLAN中定义为主VLAN的VLAN.
主VLAN用于提供从混杂端口到隔离端口和社区端口的第2层连接.
隔离VLANID-隔离VLAN用于使隔离端口可以将流量发送到主VLAN.
可用的社区VLAN-将要用作社区VLAN的VLAN移至选定的社区VLAN列表.
社区VLAN用于提供从社区端口到混杂端口和同一个社区中社区端口的第2层连接.
步骤4单击应用.
将修改设置,并将其写入当前配置文件中.
GVRP设置可识别VLAN的相邻设备可使用通用VLAN注册协议(GVRP)来互相交换VLAN信息.
GVRP以通用属性注册协议(GARP)为基础,并通过桥接网络传递VLAN信息.
由于GVRP需要支持添加标记,因此必须在"中继"模式或"一般"模式下配置端口.
当端口使用GVRP加入VLAN时,除非在"端口VLAN成员关系"页面中明确禁止,否则会将该端口作为动态成员添加到VLAN中.
如果VLAN不存在,则会在为该端口启用动态VLAN创建时动态创建VLAN(在"GVRP设置"页面中).
必须在全局并在每个端口上激活GVRP.
激活GVRP后,GARP会传输和接收GARP数据包数据单位(GPDU).
不会传递已定义但未激活的VLAN.
要传递VLAN,它必须至少在一个端口上为活动状态.
VLAN管理VLAN组思科300系列管理型交换机管理指南18514默认情况下,将在全局和端口上禁用GVRP.
定义GVRP设置为接口定义GVRP设置的步骤:步骤1单击VLAN管理>GVRP设置.
步骤2选择GVRP全局状态以全局启用GVRP.
步骤3单击应用设置全局GVRP状态.
步骤4选择接口类型(端口或LAG),然后单击转至,显示该类型的所有接口.
步骤5要为某端口定义GVRP设置,请选择该端口,然后单击编辑.
步骤6为以下字段输入值:接口-选择要编辑的接口(端口或LAG).
GVRP状态-选择该选项将在该接口上启用GVRP.
动态VLAN创建-选择该选项将在该接口上启用动态VLAN创建.
GVRP注册-选择该选项将在该接口上启用使用GVRP进行的VLAN注册.
步骤7单击应用.
将修改GVRP设置,并将其写入当前配置文件中.
VLAN组本节将介绍如何配置VLAN组.
下文介绍以下过程:基于MAC的组VLAN组用于第2层网络上的流量负载均衡.
根据已配置的各种分类(例如VLAN组)将数据包分配给一个VLAN.
如果已定义多个分类机制,则会按照以下顺序将数据包分配给一个VLAN:TAG-如果数据包为Tagged数据包,则可以根据该标签获取VLAN.
基于MAC的VLAN-如果已定义基于MAC的VLAN,则会通过入口接口的源MAC到VLAN映射获取该VLAN.
VLAN管理VLAN组思科300系列管理型交换机管理指南18614PVID-根据端口默认VLANID获取VLAN.
基于MAC的组基于MAC的VLAN分类可根据数据包的源MAC地址分类数据包.
随后,您可以定义每个接口的MAC到VLAN映射.
您可以定义多个基于MAC的VLAN组,每个组包含不同的MAC地址.
可以将这些基于MAC的组分配给特定端口/LAG.
基于MAC的VLAN组不能包含相同端口上范围重叠的MAC地址.
下表介绍各种SKU中基于MAC的VLAN组的可用性:表1基于MAC的VLAN组可用性工作流程定义基于MAC的VLAN组的步骤:1.
将MAC地址分配给一个VLAN组ID(使用"基于MAC的组"页面).
2.
针对每个必需接口:a.
将VLAN组分配给一个VLAN(使用"基于MAC的组到VLAN"页面).
接口必须处于"一般"模式下.
b.
如果接口不属于VLAN,请使用"端口到VLAN"页面手动将其分配给VLAN.
SKU系统模式支持的基于MAC的VLAN组Sx300第2层是第3层否Sx500、Sx500ESW2-550X第2层是第3层否SG500X原生是基本混合-第2层是基本混合-第3层否SG500XG与Sx500相同是VLAN管理VLAN组思科300系列管理型交换机管理指南18714基于MAC的VLAN组请参阅表1,了解有关此功能可用性的说明.
将MAC地址分配给VLAN组的步骤:步骤1单击VLAN管理>VLAN组>基于MAC的组.
步骤2单击添加.
步骤3为以下字段输入值:MAC地址-输入要分配给VLAN组的MAC地址.
注不得将该MAC地址分配给任何其他VLAN组.
前缀掩码-输入以下内容之一:-主机-MAC地址的源主机-长度-MAC地址的前缀组ID-输入用户创建的VLAN组ID号.
步骤4单击应用.
会将该MAC地址分配给一个VLAN组.
针对每个接口将VLAN组分配给VLAN请参阅表1,了解有关此功能可用性的说明.
端口/LAG必须处于"一般"模式下.
将基于MAC的组分配给接口上的一个VLAN的步骤:步骤1单击VLAN管理>VLAN组>基于MAC的组到VLAN.
步骤2单击添加.
步骤3为以下字段输入值:组类型-显示该组是基于MAC的.
接口-输入通过其接收流量的一般接口(端口/LAG).
组ID-选择一个在"基于MAC的组"页面中定义的VLAN组.
VLANID-选择将向其转发来自VLAN组的流量的VLAN.
VLAN管理语音VLAN思科300系列管理型交换机管理指南18814步骤4单击应用,设置VLAN组至VLAN的映射.
此映射不会将接口动态绑定到VLAN;必须将接口手动添加到VLAN.
语音VLAN在LAN中,如果IP电话、VoIP端点等语音设备和语音系统位于同一个VLAN中,则这种VLAN被称为语音VLAN.
如果语音设备位于不同的语音VLAN中,就需要使用IP(第3层)路由器来进行通信.
本节包含以下主题:语音VLAN概述语音VLAN配置电话OUI语音VLAN概述本节包含以下主题:动态语音VLAN模式自动语音VLAN、自动智能端口、CDP和LLDP语音VLANQoS语音VLAN限制语音VLAN工作流下面是使用适当配置的典型语音部署方案:UC3xx/UC5xx托管:所有思科电话和VoIP端点都支持此部署模型.
对于此模型,UC3xx/UC5xx、思科电话和VoIP端点都位于同一个语音VLAN中.
UC3xx/UC5xx语音VLAN的默认值为VLAN100.
第三方IPPBX托管:思科SBTGCP-79xx、SPA5xx电话和SPA8800端点支持此部署模型.
在此模型中,电话使用的VLAN由网络配置确定.
语音和数据VLAN可以分开,也可以不分开.
电话和VoIP端点通过内建IPPBX注册.
IPCentrex/ITSP托管:思科CP-79xx、SPA5xx电话和SPA8800端点支持此部署模型.
对于此模型,电话使用的VLAN由网络配置确定.
语音和数据VLAN可以分开,也可以不分开.
电话和VoIP端点通过"云"中的一个远端SIP代理注册.
VLAN管理语音VLAN思科300系列管理型交换机管理指南18914从VLAN的角度来看,上述模型可以在可识别VLAN和不可识别VLAN中运行.
在可识别VLAN环境中,语音VLAN是安装中配置的很多VLAN中的一个.
不可识别VLAN方案与可识别VLAN相同,只是语音VLAN是唯一一个VLAN.
设备始终作为可识别VLAN交换机运行.
该设备支持单一语音VLAN.
默认情况下,语音VLAN为VLAN1.
语音VLAN的默认值为VLAN1.
您可以手动配置不同的语音VLAN.
当自动语音VLAN启用时,还可以动态学习语音VLAN.
要将端口手动添加至语音VLAN,可根据"配置VLAN接口设置"一节中所述使用基本VLAN配置实现,或者手动将语音相关的智能端口宏应用到端口.
或者,如果该设备处于"电话OUI"模式,或已启用"自动智能端口",您也可以动态添加端口.
动态语音VLAN模式设备支持两种动态语音VLAN模式:电话OUI(组织唯一标识符)模式和自动语音VLAN模式.
这两种模式将影响到语音VLAN和/或语音VLAN端口成员关系的配置.
这两种模式是相互排斥的.
电话OUI在"电话OUI"模式中,语音VLAN必须是一个手动配置的VLAN,而不能是默认的VLAN.
当设备处于"电话OUI"模式中,且端口已手动配置成为加入语音VLAN的候选端口时,如果设备收到包含与其中一个已配置电话OUI相匹配的源MAC地址的数据包时,设备会将该端口动态添加至语音VLAN中.
OUI是以太网MAC地址的前三个字节.
有关电话OUI的详情,请参阅电话OUI.
自动语音VLAN在"自动语音VLAN"模式中,语音VLAN可以是默认的语音VLAN,可以手动进行配置,也可以从UC3xx/5xx等外部设备以及在CDP或VSDP中通告语音VLAN的交换机学习.
VSDP是一个思科定义的语音服务发现协议.
与电话OUI模式根据电话OUI检测语音设备不同,自动语音VLAN模式根据自动智能端口将端口动态添加至语音VLAN.
如果已启用自动智能端口,且检测到某端口附加设备通过CDP和/或LLDP-MED将其自身通告为电话或媒体端点,则会将端口添加至语音VLAN.
语音端点要使语音VLAN正常工作,则必须将思科电话和VoIP端点等语音设备分配给发送和接收语音流量的语音VLAN.
以下列举了一些可能的方案:电话/端点可以静态配置语音VLAN.
电话/端点可以在从TFTP服务器下载的启动文件中获得语音VLAN.
当为电话分配一个IP地址时,DHCP服务器可以指定启动文件和TFTP服务器.
电话/端点从邻居语音系统和交换机的CDP和LLDP-MED通告中,获得语音VLAN信息.
VLAN管理语音VLAN思科300系列管理型交换机管理指南19014设备希望附加语音设备向语音VLAN发送Tagged数据包.
在语音VLAN同时也是本征VLAN的端口上,也可发送语音VLANUntagged数据包.
自动语音VLAN、自动智能端口、CDP和LLDP默认设置出厂默认情况下,设备上的CDP、LLDP和LLDP-MED已启用,自动智能端口模式已启用,基本QoS连同信任DSCP已启用,并且所有端口都是默认VLAN1的成员,其中VLAN1也是默认的语音VLAN.
此外,动态语音VLAN模式默认为根据触发启用,自动智能端口默认为根据自动语音VLAN启用.
语音VLAN触发如果动态语音VLAN模式为"启用自动语音VLAN",则只有出现一个或多个触发时,语音VLAN模式才可运行.
触发可以是静态语音VLAN配置、在邻居CDP通告中接收的语音VLAN信息,以及在语音VLAN发现协议(VSDP)中接收的语音VLAN信息.
您可以在必要时立即激活自动语音VLAN,而无需等待触发.
如果根据自动语音VLAN模式启用自动智能端口,则当自动语音VLAN运行时,将启用自动智能端口.
您还可以在必要时不考虑自动语音VLAN,独自启用自动智能端口.
注此处的默认配置列表适用于固件版本支持开箱即用自动语音VLAN的交换机.
该列表还适用于已升级至支持自动语音VLAN的固件版本的未配置交换机.
注默认设置和语音VLAN触发不会对没有语音VLAN的任何安装和已进行配置的交换机产生任何影响.
您可以按需手动禁用和启用自动语音VLAN和/或自动智能端口,使之适应您的部署.
自动语音VLAN自动语音VLAN负责维护语音VLAN,但是需要根据自动智能端口维护语音VLAN端口成员关系.
当运行自动语音VLAN模式时,将执行以下功能:从直连邻居设备的CDP通告中发现语音VLAN信息.
如果多台邻居交换机和/或路由器(例如,思科统一通信[UC]设备)通告其语音VLAN,将使用MAC地址最低的设备的语音VLAN.
注如果将设备连接至一台思科UC设备,您可能需要使用switchportvoicevlan命令配置UC设备上的端口,以确保UC设备在端口CDP中通告其语音VLAN.
通过使用语音服务发现协议(VSDP),可以同步语音VLAN相关参数和其他已启用自动语音VLAN的交换机.
设备始终使用来自其已识别的优先级最高的源的语音VLAN对自身进行配置.
该优先级基于提供语音VLAN信息的源的源类型和MAC地址.
源类型优先级从高到低分别为:VLAN配置、CDP通告、基于已更改的默认VLAN的默认配置和默认语音VLAN.
数值低的MAC地址比数值高的MAC地址优先级更高.
在发现来自优先级更高的源的新语音VLAN之前,或者在用户重启自动语音VLAN之前,系统将始终保留该语音VLAN.
重启时,设备将语音VLAN重置为默认语音VLAN,并重启自动语音VLAN发现.
VLAN管理语音VLAN思科300系列管理型交换机管理指南19114当配置/发现新的语音VLAN时,设备将自动创建该语音VLAN,并将现有语音VLAN的所有端口成员关系全部替换为新的语音VLAN.
这可能会中断或终止现有的语音会话,当更改网络拓扑时预期也会导致此结果.
注如果设备处于第2层系统模式,则可以只同步位于同一个管理VLAN中的支持VSDP的交换机.
如果设备处于第3层系统模式,则可以同步位于该设备所配置的直连IP子网中支持VSDP的交换机.
自动智能端口与CDP/LLDP配合使用,可以在从端口检测到语音端点时维护语音VLAN的端口成员关系:当CDP和LLDP启用时,设备会定期发送CDP和LLDP数据包,向使用的语音端点通告语音VLAN.
当连接至某端口的设备通过CDP和/或LLDP将自身作为一个语音端点通告时,自动智能端口会为该端口应用相应的智能端口宏,从而自动将该端口添加至语音VLAN(如果不存在来自该端口的任何其他设备通告一个冲突或更高级的功能).
如果某设备将自身作为一台电话通告,则默认的智能端口宏是电话.
如果某设备将自身作为电话与主机或者电话与网桥通告,则默认的智能端口宏是电话+桌面.
语音VLANQoS语音VLAN可通过使用LLDP-MED网络策略传递CoS/802.
1p和DSCP设置.
如果某设备发送LLDP-MED数据包,则LLDP-MED将默认设置为响应语音QoS设置.
支持MED的设备必须使用与LLDP-MED响应所接收的相同的CoS/802.
1p和DSCP值发送其语音流量.
您可以禁止在语音VLAN和LLDP-MED间进行自动更新,并使用其自有网络策略.
若在OUI模式下,设备可以根据OUI另外配置语音流量的映射和重新标记(CoS/802.
1p).
默认情况下,所有接口都是CoS/802.
1p信任接口.
设备将根据语音流中找到的CoS/802.
1p值应用服务质量.
在自动语音VLAN模式下,您可以使用高级QoS覆盖语音流的值.
对于电话OUI语音流,您可以通过指定所需的CoS/802.
1p值,并使用"电话OUI"下面的重新标记选项,覆盖服务质量,并可以选择重新标记语音流的802.
1p.
语音VLAN限制存在以下限制:只支持一个语音VLAN.
定义为语音VLAN的VLAN无法删除.
此外,以下限制也适用于电话OUI:语音VLAN不能是VLAN1(默认VLAN).
语音VLAN不能启用智能端口.
语音VLAN不能支持DVA(动态VLAN分配).
如果语音VLAN模式为"OUI",则语音VLAN不能是访客VLAN.
如果语音VLAN模式为"自动",则语音VLAN可以是访客VLAN.
VLAN管理语音VLAN思科300系列管理型交换机管理指南19214语音VLANQoS决策的优先级高于任何其他QoS决策(策略/ACLQoS决策除外).
仅在当前的语音VLAN没有候选端口时,才能为语音VLAN配置新的VLANID.
候选端口的接口VLAN必须处于"一般"模式或"中继"模式下.
语音VLANQoS将应用于已加入语音VLAN的候选端口以及静态端口.
如果转发数据库(FDB)可学习MAC地址,将接受语音流.
(如果FDB中没有可用空间,则不会发生任何操作.
)语音VLAN工作流设备的自动语音VLAN、自动智能端口、CDP和LLDP默认设置涵盖大多数常见的语音部署方案.
本节介绍了当未应用默认配置时,如何部署语音VLAN.
工作流程1:配置自动语音VLAN的步骤:步骤1打开"VLAN管理>语音VLAN>属性"页面.
步骤2选择语音VLANID.
不能将其设置为VLANID1(动态语音VLAN无需此步骤).
步骤3设置动态语音VLAN为"启用自动语音VLAN".
步骤4选择自动语音VLAN激活方法.
注如果设备目前正处于"电话OUI"模式中,则您必须先将其禁用,方可配置自动语音Vlan.
步骤5单击应用.
步骤6按常见智能端口任务一节中所述配置智能端口.
步骤7按配置LLDP和配置CDP节中所述,分别配置LLDP/CDP.
步骤8使用"智能端口>接口设置"页面启用相关端口上的智能端口特性.
注步骤7和步骤8是可选的,因为这两项在默认情况下处于启用状态.
工作流程2:配置电话OUI方法的步骤步骤1打开"VLAN管理>语音VLAN>属性"页面.
设置动态语音VLAN为"启用电话OUI".
注如果设备目前正处于"自动语音VLAN"模式中,则在您可以配置电话OUI之前,必须将其禁用.
步骤2在"电话OUI"页面中配置电话OUI.
VLAN管理语音VLAN思科300系列管理型交换机管理指南19314步骤3在"电话OUI接口"页面中为端口配置电话OUIVLAN成员关系.
语音VLAN配置本节介绍了如何配置语音VLAN.
其中包含以下主题:配置语音VLAN属性自动语音VLAN设置电话OUI配置语音VLAN属性使用"语音VLAN属性"页面完成以下操作:查看当前语音VLAN的配置情况.
配置语音VLAN的VLANID.
配置语音VLANQoS设置.
配置语音VLAN模式(电话OUI或自动语音VLAN).
配置自动语音VLAN的触发方式.
查看和配置语音VLAN属性的步骤:步骤1单击VLAN管理>语音VLAN>属性.
语音VLAN设置(管理状态)框中将显示设备上配置的语音VLAN设置.
语音VLAN设置(运行状态)框中将显示实际应用于语音VLAN部署的语音VLAN设置.
步骤2为以下字段输入值:语音VLANID-输入要作为语音VLAN的VLAN.
注语音VLANID、CoS/802.
1p和/或DSCP中的更改会导致设备将管理语音VLAN作为静态语音VLAN通告.
如果选择由外部语音VLAN触发自动语音VLAN激活,则需要保持默认值.
CoS/802.
1p-选择一个LLDP-MED要用作语音网络策略的CoS/802.
1p值.
详情请参阅管理>发现>LLDP>LLDPMED网络策略.
DSCP-选择LLDP-MED要用作语音网络策略的DSCP值.
详情请参阅管理>发现>LLDP>LLDPMED网络策略.
VLAN管理语音VLAN思科300系列管理型交换机管理指南19414动态语音VLAN-选择此字段,通过以下一种方式禁用或启用语音VLAN特性:-启用自动语音VLAN-在"自动语音VLAN"模式中启用动态语音VLAN.
-启用电话OUI-在"电话OUI"模式中启用动态语音VLAN.
-禁用-禁用自动语音Vlan或电话OUI.
自动语音VLAN激活-如果已启用自动语音VLAN,可以选择以下选项中的一种激活自动语音VLAN:-立即-如果启用,将立即激活设备上的自动语音VLAN,并使之生效.
-通过外部语音VLAN触发器-只有当设备检测到某设备通告语音VLAN时,才能激活设备上的自动语音VLAN,并使之生效.
注手动重新配置语音VLANID、CoS/802.
1p和/或DSCP,更改其默认值会产生一个静态语音VLAN,该静态语音VLAN的优先级高于从外部源学习的自动语音VLAN.
步骤3单击应用.
VLAN属性将写入当前配置文件中.
自动语音VLAN设置如果已启用自动语音VLAN模式,可以使用自动语音VLAN页面查看相关全局和接口参数.
您还可以单击重启自动语音VLAN,使用此页面手动重启自动语音VLAN.
短暂延时之后,此操作将重置语音VLAN为默认语音VLAN,并在已启用自动语音VLAN的LAN中所有交换机上重启自动语音VLAN发现和同步流程.
注如果源类型处于非活动状态,此操作只会将语音VLAN重置为默认语音VLAN.
查看自动语音VLAN参数的步骤:步骤1单击VLAN管理>语音VLAN>自动语音VLAN.
此页面上的运行状态框将显示有关当前语音VLAN及其源的信息:自动语音VLAN状态-显示是否已启用自动语音VLAN.
语音VLANID-当前语音VLAN标识符源类型-显示根设备发现的语音VLAN的源类型.
CoS/802.
1p-显示LLDP-MED会用作语音网络策略的CoS/802.
1p值.
DSCP-显示LLDP-MED会用作语音网络策略的DSCP值.
根交换机MAC地址-发现或配置语音VLAN的根设备的MAC地址(语音VLAN就是从该设备中学习到的).
VLAN管理语音VLAN思科300系列管理型交换机管理指南19514交换机MAC地址-设备的基本MAC地址.
如果该设备的交换机MAC地址是根交换机MAC地址,则该设备即为自动语音VLAN根设备.
语音VLANID更改时间-上次更新语音VLAN的时间.
步骤2单击重启自动语音VLAN,重置语音VLAN为默认语音VLAN,并在LAN中的所有已启用自动语音VLAN的交换机上重启自动语音VLAN发现流程.
语音VLAN本地表会显示设备上配置的语音VLAN,以及由直连邻居设备通告的任意语音VLAN配置.
其中包含以下字段:接口-显示在其上接收或配置语音VLAN配置的接口.
如果显示"无",则表示设备自身已完成配置.
如果显示接口,则表示已从邻居接收语音配置.
源MAC地址-从其接收语音配置的UC的MAC地址.
源类型-从其接收语音配置的UC的类型.
可能的选项有:-默认-设备上的默认语音VLAN配置-静态-设备上用户定义的语音VLAN配置.
-CDP-通告的语音VLAN配置正在运行CDP的UC.
-LLDP-通告的语音VLAN配置正在运行LLDP的UC.
-语音VLANID-所通告或配置的语音VLAN的标识符语音VLANID-当前语音VLAN的标识符.
CoS/802.
1p-LLDP-MED要用作语音网络策略的通告或配置的CoS/802.
1p值.
DSCP-LLDP-MED要用作语音网络策略的通告或配置的DSCP值.
最佳本地源-显示设备是否已使用此语音VLAN.
可能的选项有:-是-设备使用此语音VLAN同步已启用自动语音VLAN的其他交换机.
除非发现来自更高优先级源的语音VLAN,否则,此语音VLAN便为该网络的语音VLAN.
只能有一个本地源成为最佳本地源.
-否-此本地源并非最佳本地源.
步骤3单击刷新,刷新页面上的信息VLAN管理语音VLAN思科300系列管理型交换机管理指南19614电话OUIOUI是由InstituteofElectricalandElectronicsEngineers,Incorporated(电气电子工程师学会,IEEE)注册机构分配的.
由于IP电话制造商数量有限且被熟知,因此已知的OUI值会导致将相关帧以及在其上发现这些帧的端口自动分配给语音VLAN.
OUI全局表最多可包含128个OUI.
本节包含以下主题:电话OUI表电话OUI接口电话OUI表使用"电话OUI"页面可配置电话OUIQoS属性.
此外,您还可以配置自动成员关系过期时间.
如果指定的时间段内没有电话活动,则该端口将从语音VLAN中删除.
使用"电话OUI"页面可查看现有OUI,并添加新的OUI.
配置电话OUI和/或添加新的语音VLANOUI的步骤:步骤1单击VLAN管理>语音VLAN>电话OUI.
"电话OUI"页面包含以下字段:电话OUI运行状态-显示OUI是否用于标识语音流量.
CoS/802.
1p-选择将要分配给语音流量的CoS队列.
重新标记CoS/802.
1p-选择是否重新标记出站流量.
自动成员关系过期时间-输入在端口上所有检测到的电话MAC地址过期之后,从语音VLAN删除端口的时间延时.
步骤2单击应用,使用这些值更新设备的当前配置.
此时将显示电话OUI表:电话OUI-为OUI保留的MAC地址的前六位.
说明-用户指定的OUI说明.
步骤3单击恢复默认OUI可删除所有用户创建的OUI,而仅在表中保留默认的OUI.
恢复完成之前,OUI信息可能不准确.
这可能需要几秒钟时间.
几秒钟过后,通过退出并重新进入页面来刷新页面.
要删除所有OUI,请选择顶部的复选框.
将选择所有OUI,并可通过单击删除将它们删除.
然后,如果您单击恢复,系统将恢复已知的OUI.
VLAN管理语音VLAN思科300系列管理型交换机管理指南19714步骤4要添加新的OUI,请单击添加.
步骤5为以下字段输入值:电话OUI-输入新的OUI.
说明-输入OUI名称.
步骤6单击应用.
将OUI添加至电话OUI表.
电话OUI接口在以下一种模式下,QoS属性可按端口分配给语音数据包:全部-为语音VLAN配置的服务质量(QoS)值将应用于在接口上收到的被分类为属于语音VLAN的所有传入帧.
电话源MAC地址(SRC)-为语音VLAN配置的QoS值会应用到分类为属于语音VLAN,且在源MAC地址中包含一个OUI,与已配置电话OUI相匹配的所有传入帧.
使用"电话OUI接口"页面,根据OUI标识符将接口添加至语音VLAN,并配置语音VLAN的OUIQoS模式.
在接口上配置电话OUI的步骤:步骤1单击VLAN管理>语音VLAN>电话OUI接口.
"电话OUI接口"页面包含所有接口的语音VLANOUI参数.
步骤2若要将接口配置为基于电话OUI的语音VLAN的候选端口,请单击编辑.
步骤3为以下字段输入值:接口-选择接口.
电话OUIVLAN成员关系-如果已启用,则该接口即为基于电话OUI的语音VLAN的候选端口.
当接收到的数据包与一个已配置电话OUI匹配时,即可将该端口添加至语音VLAN.
语音VLANQoS模式-选择以下选项中的一个:-全部-QoS属性应用于分类为属于语音VLAN的所有数据包上.
-电话源MAC地址-QoS属性仅应用于来自IP电话的数据包上.
步骤4单击应用.
将添加OUI.
VLAN管理访问端口组播TVVLAN思科300系列管理型交换机管理指南19814访问端口组播TVVLAN使用组播TVVLAN,可对位于不同数据VLAN(第2层隔离)中的用户进行组播传输,而不会复制每个用户VLAN的组播传输帧.
用户若位于不同数据VLAN(第2层隔离)且连接到具有不同VLANID成员关系的设备,则可以通过将端口加入到相同组播VLANID来共享相同组播流.
连接到组播服务器的网络端口会静态配置为组播VLANID中的成员.
用户与组播服务器进行通信(通过发送IGMP消息)所经由的网络端口,会接收来自组播服务器的组播流,而且包括组播数据包报头中的组播TVVLAN.
为此,必须将网络端口静态配置为以下类型:中继或一般端口类型(请参阅接口设置)组播TVVLAN上的成员可以将用户接收器端口与组播TVVLAN关联,但前提是必须使用以下其中一种类型定义组播TVVLAN:访问端口客户端口(请参阅客户端口组播TVVLAN).
可以将一个或多个IP组播地址组与相同组播TVVLAN关联.
任何VLAN都可以配置为组播TVVLAN.
分配给组播TVVLAN的端口:加入组播TVVLAN.
通过组播TVVLAN中出口端口的数据包为Untagged数据包.
端口的帧类型参数设置为全部接受,从而允许接收Untagged数据包(请参阅接口设置).
组播TVVLAN配置是按照每个端口进行定义的.
可使用"组播TVVLAN"页面将客户端口配置为组播TVVLAN的成员.
IGMPSnooping组播TVVLAN依赖于IGMPSnooping,这表示:用户使用IGMP消息可加入或离开组播组.
设备根据其在组播TVVLAN上的组播成员关系,执行IGMPSnooping并配置访问端口.
VLAN管理访问端口组播TVVLAN思科300系列管理型交换机管理指南19914设备针对每个在访问端口上接收的IGMP数据包,根据以下规则决定要将数据包与访问VLAN关联还是与组播TVVLAN关联:如果在使用与端口的组播TVVLAN关联的目的组播IP地址的访问端口上接收IGMP消息,则软件会将IGMP数据包与组播TVVLAN关联.
另外,IGMP消息还会关联至访问VLAN,并且只会在该VLAN内转发此IGMP消息.
若出现以下情况,则会丢弃IGMP消息:-访问端口上的STP/RSTP状态为丢弃.
-访问VLAN的MSTP状态为丢弃.
-组播TVVLAN的MSTP状态为丢弃,且IGMP消息与此组播TVVLAN关联.
常规VLAN与组播TVVLAN之间的差异常规VLAN与组播TVVLAN的特性配置工作流程通过以下步骤配置TVVLAN:1.
通过将组播组关联至VLAN(使用"组播组至VLAN"页面)来定义TVVLAN.
2.
指定每个组播VLAN中的访问端口(使用"端口组播VLAN成员关系"页面).
常规VLAN组播TVVLANVLAN成员关系源和所有接收器端口必须为同一数据VLAN中的静态成员.
源和接收器端口不能为同一数据VLAN中的成员.
组注册所有组播组注册均是动态的.
必须将组静态关联至组播VLAN,但工作站的实际注册是动态的.
接收器端口VLAN可用来发送和接收流量(组播和单播).
组播VLAN只能用来通过端口上的工作站接收流量(仅组播).
安全与隔离同一组播流的接收器位于同一数据VLAN中,可相互通信同一组播流的接收器位于不同访问VLAN中,彼此隔离VLAN管理客户端口组播TVVLAN思科300系列管理型交换机管理指南20014组播组至VLAN定义组播TVVLAN配置的步骤:步骤1单击VLAN管理>访问端口组播TVVLAN>组播组至VLAN.
此时将显示以下字段:组播组-组播组的IP地址.
组播TVVLAN-组播数据包所分配给的VLAN.
步骤2单击添加以将组播组关联至VLAN.
可以选择任何VLAN.
选择VLAN后,该VLAN将成为组播TVVLAN.
步骤3单击应用.
将修改组播TVVLAN设置,并将其写入当前配置文件.
端口组播VLAN成员关系定义组播TVVLAN配置的步骤:步骤1单击VLAN管理>访问端口组播TVVLAN>端口组播VLAN成员关系.
步骤2从组播TVVLAN中选择VLAN.
步骤3从接口类型中选择接口.
步骤4候选访问端口列表中包含设备上配置的所有访问端口.
将所需端口移至成员访问端口字段.
步骤5单击应用.
将修改组播TVVLAN设置,并将其写入当前配置文件.
客户端口组播TVVLAN三网融合服务通过单个宽带连接提供三种宽带服务:高速互联网接入视频语音VLAN管理客户端口组播TVVLAN思科300系列管理型交换机管理指南20114三网融合服务专为服务提供商用户提供,同时可保持这些用户之间的第2层隔离.
每个用户都有一个CPEMUX盒.
MUX有多个连接至用户设备(PC、电话等)的访问端口,以及一个连接至访问设备的网络端口.
该CPEMUX盒会根据数据包的VLAN标签,将数据包从网络端口转发到用户的设备中.
每个VLAN均映射到其中一个MUX访问端口.
从用户到服务提供商网络的数据包会作为VLANtagged帧转发,以便区分服务类型,这表示对于每个服务类型,CPE盒中只有唯一的VLANID.
访问设备会使用配置为客户VLAN(外层标签,即S-VID)的用户VLAN,对从用户到服务提供商网络的所有数据包进行封装,来自TV接收器且与组播TVVLAN关联的IGMPSnooping消息除外.
对于也是从TV接收器发送的VOD信息,其发送方式与任何其他类型的流量一样.
在网络端口上接收的、从服务提供商网络到用户的数据包会在服务提供商网络上作为双层标签数据包发送,而外层标签(服务标签,即S-Tag)则代表以下两种VLAN类型的其中之一:用户的VLAN(包括互联网和IP电话)组播TVVLAN内层VLAN(C-Tag)是确定用户网络中的目的地址(通过CPEMUX)的标签.
工作流程1.
将访问端口配置为客户端口(使用"VLAN管理>接口设置"页面).
有关详情,请参阅QinQ.
2.
使用作为TaggedVLAN的用户和组播TVVLAN将网络端口配置为中继端口或一般端口.
(使用"VLAN管理>接口设置"页面.
)3.
创建最多具有4094个不同VLAN的组播TVVLAN.
(通过常规VLAN管理设置完成VLAN的创建)4.
使用"端口组播VLAN成员关系"页面将客户端口关联至组播TVVLAN.
5.
使用"CPEVLAN至VLAN"页面将CPEVLAN(C-TAG)映射至组播TVVLAN(S-Tag).
CPEVLAN至VLAN要支持使用用户VLAN的CPEMUX,用户可能需要多个视频提供商,并且要为每个提供商分配一个不同的外部VLAN.
CPE(内部)组播VLAN必须映射至组播提供商(外部)VLAN.
CPEVLAN映射至组播VLAN之后,便可以加入IGMPSnooping.
VLAN管理客户端口组播TVVLAN思科300系列管理型交换机管理指南20214映射CPEVLAN的步骤:步骤1单击VLAN管理>客户端口组播TVVLAN>CPEVLAN至VLAN.
步骤2单击添加.
步骤3输入以下字段:CPEVLAN-输入在CPE盒上定义的VLAN.
组播TVVLAN-选择映射至CPEVLAN的组播TVVLAN.
步骤4单击应用.
将修改CPEVLAN映射,并将其写入当前配置文件.
端口组播VLAN成员关系与组播VLAN关联的端口必须配置为客户端口(请参阅接口设置).
将端口映射至组播TVVLAN的步骤:步骤1单击VLAN管理>客户端口组播TVVLAN>端口组播VLAN成员关系.
步骤2从组播TVVLAN中选择VLAN.
步骤3从接口类型中选择接口.
步骤4候选客户端口列表中包含设备上配置的所有访问端口.
将所需端口移至成员客户端口字段.
单击应用.
将修改新设置,并将其写入当前配置文件中.
15思科300系列管理型交换机管理指南203生成树本节介绍了生成树协议(STP)(IEEE802.
1D和IEEE802.
1Q),具体包括以下主题:STP模式STP状态和全局设置生成树接口设置快速生成树设置多生成树MSTP属性VLAN到MSTP实例MSTP实例设置MSTP接口设置STP模式STP通过选择性地将链路设置为备用模式,以避免形成环路,从而防止第2层广播域发生广播风暴.
在备用模式下,这些链路会暂时性地停止传输用户数据.
当拓扑发生变化以便能够传输数据时,系统会自动重新激活这些链路.
当主机之间存在备用路由时,产生环路.
扩展网络中的环路可导致交换机无限制转发流量,从而造成流量负载增加、网络效率降低.
STP提供了一种树状拓扑,该拓扑可在网络上的终端工作站之间创建唯一的路径,从而消除环路,其适用于任意部署的交换机和互联链路.
生成树STP状态和全局设置思科300系列管理型交换机管理指南20415设备支持以下生成树协议版本:传统STP-在任意两个终端工作站之间提供单条路径,从而避免和消除环路.
快速STP(RSTP)-检测网络拓扑,以提供更快的生成树聚合.
本协议在网络拓扑本身为树状结构,从而可以实现快速聚合的情况下最有效.
默认情况下,系统会启用RSTP.
多STP(MSTP)-MSTP以RSTP为基础.
MSTP会检测第2层环路,并尝试通过阻止所涉及的端口传输流量来缓解环路造成的影响.
由于在每个第2层域上都存在环路,会发生VLANA中存在环路,而VLANB中没有环路的情况.
如果两个VLAN都在端口X上,而STP为缓解环路造成的影响,将会停止整个端口上的流量传输,包括VLANB流量.
MSTP将通过启用多个STP实例来解决此问题,以便可以分别在每个实例中检测环路及缓解环路造成的影响.
通过将实例与VLAN相关联,每个实例都将与要在其上执行环路检测和缓解的第2层域关联.
这样可实现在一个实例中停止一个端口,例如停止造成环路的VLANA中的流量,而其他不存在环路的域(例如VLANB)中的流量可以保持传输.
STP状态和全局设置"STP状态和全局设置"页面包含用于启用STP、RSTP或MSTP的参数.
分别使用"STP接口设置"页面、"RSTP接口设置"页面和"MSTP属性"页面配置每种模式.
设置STP状态和全局设置的步骤:步骤1单击生成树>STP状态和全局设置.
步骤2输入参数.
全局设置:生成树状态-选择该选项可在设备上启用.
STP环回防护-选择该选项可在设备上启用环回防护.
STP运行模式-选择一种STP模式.
BPDU处理-选择在端口或设备上禁用STP时如何管理网桥协议数据单元(BPDU)数据包.
BPDU用于传输生成树信息.
-过滤-在接口上禁用生成树时,过滤BPDU数据包.
-泛洪-在接口上禁用生成树时,泛洪BPDU数据包.
生成树生成树接口设置思科300系列管理型交换机管理指南20515路径成本默认值-选择用于为STP端口分配默认路径成本的方式.
分配给接口的默认路径成本随选择的方式而变化.
-短-为端口路径成本指定1到65,535的范围.
-长-为端口路径成本指定1到200,000,000的范围.
网桥设置:优先级-设置网桥优先级值.
交换BPDU后,优先级最低的设备将成为根网桥.
如果所有网桥具有相同的优先级,将使用它们的MAC地址来确定根网桥.
网桥优先级值的增量为4096.
例如4096、8192、12288等.
HelloTime-设置根网桥在配置消息之间等待的时间间隔(以秒为单位).
最长不过期时间-设置设备在尝试重新定义其自身配置之前,可用来等待接收配置消息的时间间隔(以秒为单位).
转发延迟-设置网桥在转发数据包之前保持为学习状态的时间间隔(以秒为单位).
有关详情,请参阅生成树接口设置.
指定的根:网桥ID-网桥优先级与设备的MAC地址串联在一起.
根网桥ID-根网桥优先级与根网桥的MAC地址串联在一起.
根端口-可提供从该网桥到根网桥的最低成本路径的端口.
(这在网桥不为根网桥的情况下效果很显著.
)根路径成本-从该网桥到根网桥的路径成本.
拓扑更改总数-已发生的STP拓扑更改总数.
最近拓扑更改-自上次拓扑更改发生以来所用的时间间隔.
该时间以"天/小时/分钟/秒"的格式显示.
步骤3单击应用.
STP全局设置将写入当前配置文件.
生成树接口设置使用"STP接口设置"页面可针对每个端口配置STP,及查看该协议学习的信息,例如指定的网桥.
输入的定义的配置对于任何模式的STP协议均有效.
生成树生成树接口设置思科300系列管理型交换机管理指南20615在接口上配置STP的步骤:步骤1单击生成树>STP接口设置.
步骤2选择一个接口,并单击编辑.
步骤3输入参数接口-选择要在其上配置生成树的端口或LAG.
STP-在端口上启用或禁用STP.
边缘端口-在端口上启用或禁用快速链路.
如果针对端口启用了快速链路模式,则当端口链路连接时,系统会自动将端口状态设置为转发状态.
快速链路会优化STP协议聚合.
选项如下:-启用-立即启用快速链路.
-自动-在接口开始活动后的几秒内启用快速链路.
这样可让STP在启用快速链路之前,解决环路问题.
-禁用-禁用快速链路.
注建议将值设置为"自动",以便在主机连接到设备后,该设备将端口设置为快速链路模式,或者在连接到其他设备后,将端口设置为常规STP端口.
这有助于避免形成环路.
根防护-在设备上启用或禁用"根防护".
"根防护"选项提供了一种在网络中强制执行根网桥放置的方法.
根防护可确保启用此功能的端口为指定端口.
通常,除非根网桥的两个或更多端口连接在一起,否则所有根网桥端口均为指定端口.
如果网桥在启用根网桥的端口上收到高级BPDU,则根防护会将此端口转换为根不一致STP状态.
这种根不一致状态实际上等同于监听状态.
此时不会通过此端口转发任何流量.
这样一来,根防护便可强制确定根网桥的位置.
BPDU防护-在端口上启用或禁用网桥协议数据单元(BPDU)防护功能.
使用BPDU防护,可以强制实施STP域边界,并使活动拓扑保持可预测状态.
启用BPDU防护的端口后的设备无法影响STP拓扑.
接收BPDU时,BPDU防护操作会禁用已配置BPDU的端口.
在这种情况下,会接收BPDU消息并生成相应的SNMPTrap.
BPDU处理-选择在端口或设备上禁用STP时如何管理BPDU数据包.
BPDU用于传输生成树信息.
-使用全局设置-选择该选项以使用"STP状态和全局设置"页面中定义的设置.
-过滤-在接口上禁用生成树时,过滤BPDU数据包.
-泛洪-在接口上禁用生成树时,泛洪BPDU数据包.
路径成本-设置端口产生的根路径成本,或使用系统生成的默认成本.
优先级-设置端口的优先级值.
如果网桥在一个环路中连接了两个端口,则优先级值会影响端口选择.
优先级是从0到240的值,设置增量为16.
生成树快速生成树设置思科300系列管理型交换机管理指南20715端口状态-显示端口的目前STP状态.
-已禁用-目前在端口上禁用STP.
端口在学习MAC地址的同时转发流量.
-阻塞-端口目前被阻塞,无法转发流量(BPDU数据除外)或学习MAC地址.
-监听-端口处于监听模式.
端口无法转发流量,也无法学习MAC地址.
-学习-端口处于学习模式.
端口无法转发流量,但能够学习新的MAC地址.
-转发-端口处于转发模式.
端口可以转发流量且学习新的MAC地址.
指定的网桥ID-显示指定网桥的网桥优先级和MAC地址.
指定的端口ID-显示所选端口的优先级和接口.
指定成本-显示加入STP拓扑的端口的成本.
如果STP检测到环路,则成本越低的端口越不容易被阻塞.
转发转换-显示端口从阻塞状态变成转发状态的次数.
速度-显示端口速度.
LAG-显示端口所属的LAG.
如果端口是某LAG的成员,则LAG设置会覆盖端口设置.
步骤4单击应用.
接口设置将写入当前配置文件.
快速生成树设置使用快速生成树协议(RSTP),可实现更快的STP聚合,而不会创建转发环路.
使用"RSTP接口设置"页面可针对每个端口配置RSTP.
如果将全局STP模式设置为RSTP或MSTP,则在此页面上完成的任何配置均有效.
输入RSTP设置的步骤:步骤1单击生成树>STP状态和全局设置.
启用RSTP.
步骤2单击生成树>RSTP接口设置.
此时将显示"RSTP接口设置"页面:步骤3选择一个端口.
注仅在选择连接至所测试的网桥伙伴的端口之后,"激活协议迁移"才可用.
步骤4如果使用STP发现了链路伙伴,请单击激活协议迁移运行协议迁移测试.
这可确定使用STP的链路伙伴是否仍然存在,如果存在,可确定该链路伙伴是否已迁移到RSTP或MSTP.
如果其仍作为STP链路存在,则设备将继续使用STP与其进行通信.
或者,如果它已经迁移到RSTP或MSTP,设备将相应地使用RSTP或MSTP与其进行通信.
步骤5选择一个接口,并单击编辑.
生成树快速生成树设置思科300系列管理型交换机管理指南20815步骤6输入参数:接口-设置接口,并指定要配置RSTP的端口或LAG.
点到点管理状态-定义点到点的链路状态.
定义为全双工的端口会被视为点到点端口链路.
-启用-如果启用了此功能,该端口便是一个RSTP边缘端口,它可以迅速地进入转发模式(通常在2秒以内).
-禁用-不会出于RSTP目的将该端口视为点到点端口,这表示STP在该端口上将以正常速度而非高速工作.
-自动-使用RSTPBPDU自动确定设备状态.
点到点运行状态-如果将点到点运行状态设置为"自动",则显示点到点运行状态.
角色-显示由STP指定的端口角色,以提供STP路径.
可能的角色有:-根-将数据包转发给根网桥的最低成本路径.
-指定-网桥通过其连接至LAN的接口,可提供从LAN到根网桥的最低成本路径.
-备选-提供从根接口到根网桥的备用路径.
-备份-提供指向生成树叶节点的指定端口路径的备份路径.
这会提供一种配置,其中一个环路中的两个端口会通过一条点到点链路进行连接.
如果LAN具有两条或更多条已建立的、至一个共享网段的连接,则也会使用备份端口.
-已禁用-端口不会加入生成树.
模式-显示目前的生成树模式:传统STP或RSTP.
快速链路运行状态-显示接口上的快速链路(边缘端口)模式状态:已启用、已禁用或自动.
这些值包括:-已启用-启用快速链路.
-已禁用-禁用快速链路.
-自动-在接口开始活动后的几秒内启用快速链路模式.
端口状态-显示特定端口上的RSTP状态.
-已禁用-目前在端口上禁用STP.
-阻塞-端口目前被阻塞,其无法转发流量或学习MAC地址.
-监听-端口处于监听模式.
端口无法转发流量,也无法学习MAC地址.
-学习-端口处于学习模式.
端口无法转发流量,但能够学习新的MAC地址.
-转发-端口处于转发模式.
端口可以转发流量且学习新的MAC地址.
步骤7单击应用.
将更新当前配置文件.
生成树多生成树思科300系列管理型交换机管理指南20915多生成树多生成树协议(MSTP)用于区分各种域(位于不同VLAN上)之间的STP端口状态.
例如,如果端口A由于VLANA上存在环路而在一个STP实例中被阻塞,则可以在另一个STP实例中将该端口置于转发状态.
使用"MSTP属性"页面,您可以定义全局MSTP设置.
配置MSTP的步骤:1.
按STP状态和全局设置页面中所述将"STP运行模式"设置为MSTP.
2.
定义MSTP实例.
每个MSTP实例均会进行计算并构建一个无环路拓扑,从映射到该实例的VLAN桥接数据包.
请参阅VLAN到MSTP实例一节.
3.
决定哪个MSTP实例在哪个VLAN中处于活动状态,并将这些MSTP实例与相应的VLAN相关联.
4.
通过以下操作配置MSTP属性:MSTP属性MSTP实例设置VLAN到MSTP实例MSTP属性全局MSTP会为每个VLAN组配置一个单独的生成树,并在每个生成树实例内保留一条备用路径,所有其他可能的路径全部阻塞.
使用MSTP,可以构建可运行多MST实例(MSTI)的MST区域.
多个区域和其他STP网桥使用一个公共生成树(CST)进行互联.
MSTP与RSTP网桥完全兼容,原因是RSTP网桥可以将MSTPBPDU解译为RSTPBPDU.
这不仅可实现在不更改配置的情况下与RSTP网桥兼容,还会导致MSTP区域之外的所有RSTP网桥将该区域视为一个RSTP网桥,而不管在该区域内存在多少个MSTP网桥.
对于将在同一个MST区域内的两台或更多台交换机,它们必须具有相同的VLAN到MST实例映射、相同的配置修订编号以及相同的区域名称.
将在同一个MST区域内的交换机永远不会被另一个MST区域内的交换机分开.
如果它们被分开,该区域将成为两个独立的区域.
此映射可以在"VLAN到MSTP实例"页面中完成.
如果系统在MSTP模式下运行,请使用此页面.
生成树VLAN到MSTP实例思科300系列管理型交换机管理指南21015定义MSTP的步骤:步骤1单击生成树>STP状态和全局设置.
启用MSTP.
步骤2单击生成树>MSTP属性.
步骤3输入参数.
区域名称-定义MSTP区域名称.
版本-定义标识目前MST配置的修订的未签名16位数.
该字段值的范围为0到65535.
最大跳数-设置丢弃BPDU之前特定区域内可发生的跃点总数.
丢弃BPDU后,端口信息即过期.
该字段值的范围为1到40.
主IST-显示区域的主端口.
步骤4单击应用.
将定义MSTP属性,并更新当前配置文件.
VLAN到MSTP实例使用"VLAN到MSTP实例"页面可将每个VLAN映射到一个多生成树实例(MSTI).
对于要在同一区域中的设备,它们必须具有相同的VLAN到MSTI映射.
注同一个MSTI可以映射到多个VLAN,但每个VLAN只能有一个MST实例与之连接.
如果系统STP模式为MSTP,该页面(及所有MSTP页面)上的配置便会生效.
在300系列交换机上,除实例0之外,最多可预定义七个MST实例(从1-7进行定义).
对于那些未明确映射到某个MST实例的VLAN,设备会自动将其映射到CIST(核心内部生成树)实例.
CIST实例为MST实例0.
将VLAN映射到MST实例的步骤:步骤1单击生成树>VLAN到MSTP实例.
"VLAN到MSTP实例"页面包含以下字段:MSTP实例ID-显示所有MSTP实例.
VLAN-显示所有属于MST实例的VLAN.
步骤2要将VLAN添加到MSTP实例,请选择MSTP实例并单击编辑.
生成树MSTP实例设置思科300系列管理型交换机管理指南21115步骤3输入参数:MSTP实例ID-选择MSTP实例.
VLAN-定义将映射到该MST实例的VLAN.
操作-定义将VLAN添加(映射)到该MST实例,还是从该实例删除VLAN.
步骤4单击应用.
将定义MSTPVLAN映射,并更新当前配置文件.
MSTP实例设置使用"MSTP实例设置"页面可配置和查看每个MST实例的参数.
此为针对每个实例的操作,等同于配置STP状态和全局设置.
输入MSTP实例设置的步骤:步骤1单击生成树>MSTP实例设置.
步骤2输入参数.
实例ID-选择要显示和定义的MST实例.
包含的VLAN-显示映射到所选实例的VLAN.
默认映射为将所有VLAN映射到公共内部生成树(CIST)实例(0).
网桥优先级-为所选MST实例设置此网桥的优先级.
指定的根网桥ID-显示MST实例的根网桥的优先级和MAC地址.
根端口-显示所选实例的根端口.
根路径成本-显示所选实例的根路径成本.
网桥ID-显示所选实例的此设备的网桥优先级和MAC地址.
剩余的跳数-显示保留到下个目的地的跃点数.
步骤3单击应用.
将定义MST实例配置,并更新当前配置文件.
生成树MSTP接口设置思科300系列管理型交换机管理指南21215MSTP接口设置使用"MSTP接口设置"页面可为每个MST实例配置端口MSTP设置,以及查看协议目前已学习到的信息,例如每个MST实例的指定网桥.
配置MST实例中的端口的步骤:步骤1单击生成树>MSTP接口设置.
步骤2输入参数.
实例为-选择要配置的MSTP实例.
接口类型为-选择显示端口列表还是LAG列表.
步骤3单击转至.
此时将显示实例上的接口的MSTP参数.
步骤4选择一个接口,并单击编辑.
步骤5输入参数.
实例ID-选择要配置的MST实例.
接口-选择要为其定义MSTI设置的接口.
接口优先级-设置指定接口和MST实例的端口优先级.
路径成本-在用户定义文本框中输入端口产生的根路径成本,或选择使用默认设置以使用默认值.
端口状态-显示特定MST实例上的特定端口的MSTP状态.
参数定义如下:-已禁用-STP目前被禁用.
-阻塞-该实例上的端口目前被阻塞,无法转发流量(BPDU数据除外)或学习MAC地址.
-监听-该实例上的端口处于监听模式.
端口无法转发流量,也无法学习MAC地址.
-学习-该实例上的端口处于学习模式.
端口无法转发流量,但能够学习新的MAC地址.
-转发-该实例上的端口处于转发模式.
端口可以转发流量且学习新的MAC地址.
-边界-该实例上的端口为边界端口.
其状态继承自实例0,可在"STP接口设置"页面中进行查看.
端口角色-显示每个实例的每个端口或LAG的端口或LAG角色(由MSTP算法指定以提供STP路径):-根-通过此接口转发数据包可提供将数据包转发给根设备的最低成本路径.
-指定-网桥通过其连接至LAN的接口,可提供从LAN到MST实例的根网桥的最低根路径成本.
-备选-该接口提供从根接口到根设备的备用路径.
生成树MSTP接口设置思科300系列管理型交换机管理指南21315-备用-该接口提供指向生成树叶节点的指定端口路径的备用路径.
如果一个环路中的两个端口通过一条点到点链路进行连接,则会出现备用端口.
如果LAN已建立了两条或更多条至一个共享网段的连接,也会出现备用端口.
-已禁用-接口不会加入生成树.
-边界-该实例上的端口为边界端口.
其状态继承自实例0,可在"STP接口设置"页面中进行查看.
模式-显示目前的接口生成树模式.
-如果链路伙伴使用MSTP或RSTP,则显示的端口模式为RSTP.
-如果链路伙伴使用STP,则显示的端口模式为STP.
类型-显示端口的MST类型.
-边界-边界端口可将MST网桥连接至边远地区中的LAN.
如果端口为边界端口,它还可表示链路另一端的设备是在RSTP还是STP模式下工作.
-内部-端口为内部端口.
指定的网桥ID-显示将链路或共享LAN连接到根的网桥ID号.
指定的端口ID-显示指定网桥上将链路或共享LAN连接到根的端口ID号.
指定成本-显示加入STP拓扑的端口的成本.
如果STP检测到环路,则成本越低的端口越不容易被阻塞.
剩余的步跳数-显示到下个目的地剩余的步跳数.
转发转换-显示端口从转发状态变成阻塞状态的次数.
步骤6单击应用.
将更新当前配置文件.
16思科300系列管理型交换机管理指南214管理MAC地址表本节介绍了如何将MAC地址添加到系统.
其中包含以下主题:静态MAC地址动态MAC地址保留的MAC地址有两种类型的MAC地址:静态地址和动态地址.
根据MAC地址的类型,可将其与VLAN和端口信息一起存储在静态地址表或动态地址表中.
静态地址由用户进行配置,因此不会过期.
在到达设备的帧中显示的新源MAC地址会添加到动态地址表中.
此MAC地址会根据配置保留一段时间.
如果在这段时间结束之前没有使用相同源MAC地址的其他帧到达设备,则MAC条目将过期并从动态地址表中删除.
当帧到达设备时,设备会搜索静态或动态地址表中响应/匹配的目的MAC地址.
如果找到匹配项,则将此帧标记为通过地址表中指定的端口输出.
如果帧的目的MAC地址不在这两个地址表中,则会将这些帧传输/广播到相应VLAN上的所有端口.
此类帧也称为未知的单播帧.
设备最多支持8,000个静态和动态MAC地址.
静态MAC地址可以将静态MAC地址分配给设备上的特定物理接口和VLAN.
如果在其他接口上检测到静态地址,那么,系统会忽略该地址,也不会将其写入地址表.
定义静态地址的步骤:步骤1单击MAC地址表>静态地址.
"静态地址"页面包含当前已定义的静态地址.
步骤2单击添加.
步骤3输入参数.
管理MAC地址表动态MAC地址思科300系列管理型交换机管理指南21516VLANID-为端口选择VLANID.
MAC地址-输入接口MAC地址.
接口-为条目选择一个接口(端口或LAG).
状态-选择条目的处理方式.
选项如下:-永久-系统永远不会删除此MAC地址.
如果静态MAC地址保存在启动配置中,则重启后会保留该地址.
-重置即删除-重置设备时,会删除静态MAC地址.
-超时即删除-当该MAC地址过期时将其删除.
-安全-当接口为传统锁定模式(请参阅配置端口安全)时,MAC地址是安全的.
步骤4单击应用.
将在地址表中显示一个新条目.
动态MAC地址动态地址表(桥接表)中包含通过监控进入设备的帧源地址而获取的MAC地址.
为了防止此表溢出并为新MAC地址腾出空间,如果在特定的时间段(称为"过期时间")内没有接收到相应的流量,系统会删除该地址.
配置动态MAC地址过期时间配置动态地址过期时间的步骤:步骤1单击MAC地址表>动态地址设置.
步骤2在过期时间字段中输入值.
过期时间值介于用户配置的值与该值的两倍减1之间.
例如,如果输入300秒,则过期时间将介于300到599秒之间.
步骤3单击应用.
将更新过期时间.
管理MAC地址表保留的MAC地址思科300系列管理型交换机管理指南21616查询动态地址查询动态地址的步骤:步骤1单击MAC地址表>动态地址.
步骤2在过滤框中,您可以输入以下查询条件:VLANID-输入要在地址表中查询的VLANID.
MAC地址-输入要在地址表中查询的MAC地址.
接口-选择要在地址表中查询的接口.
查询功能可以搜索特定单元/插槽、端口或LAG.
步骤3单击转至.
将对动态MAC地址表进行查询并显示结果.
要删除所有动态MAC地址,请单击清除表.
保留的MAC地址如果设备收到目的MAC地址在保留地址范围(根据IEEE标准的规定)内的帧,可以丢弃或桥接此帧.
保留的MAC地址表中的条目可以指定保留的MAC地址,或者指定保留的MAC地址和帧类型:添加保留的MAC地址条目的步骤:步骤1单击MAC地址表>保留的MAC地址.
步骤2单击添加.
步骤3为以下字段输入值:MAC地址-选择要保留的MAC地址.
帧类型-根据以下标准选择帧类型:-以太网V2-适用于具有该特定MAC地址的以太网V2数据包.
-LLC-适用于具有该特定MAC地址的逻辑链路控制(LLC)数据包.
-LLC-SNAP-适用于具有该特定MAC地址的逻辑链路控制/子网接入协议(LLC-SNAP)数据包.
-全部-适用于所有使用特定MAC地址的数据包.
操作-选择以下其中一项操作,以便在接收到符合所选标准的数据包时执行该操作:-网桥-将数据包转发给所有VLAN成员.
管理MAC地址表保留的MAC地址思科300系列管理型交换机管理指南21716-丢弃-删除数据包.
步骤4单击应用.
将保留一个新的MAC地址.
17思科300系列管理型交换机管理指南218组播本节介绍了组播转发功能,具体包括以下主题:组播转发组播属性MAC组地址IP组播组地址IPv4组播配置IPv6组播配置IGMP/MLDSnoopingIP组播组组播路由器端口全部转发未注册的组播组播转发组播转发实现了一对多的信息传递.
组播应用对于将信息传递给多个客户端非常有用,在这种情况下客户端不需要接收全部内容.
类似于有线电视的服务是一种典型应用,在这种情况下客户端可以加入传输中心的频道,并在结束之前离开.
仅将数据发送给相关端口.
仅对相关端口转发数据可节省链接上的带宽和主机资源.
默认情况下,会将所有组播帧泛洪到VLAN的所有端口.
通过在"组播>属性"页面中启用网桥组播过滤状态,可以选择性地仅转发到相关端口并过滤(丢弃)其余端口上的组播.
如果启用过滤,则会将多播帧转发到相关VLAN中端口的子网,如多播转发数据库(MFDB)中所定义.
将对所有流量实施组播过滤.
组播组播转发思科300系列管理型交换机管理指南21917表示组播成员关系的常见方法是(S,G)标记法,其中S是指发送数据组播流的(单个)源,G是指IPv4或IPv6组地址.
如果组播客户端可以从特定组播组的任何源接收组播流量,则保存为(*,G).
可以配置以下组播帧转发方法之一:MAC组地址-根据以太网帧中的目的MAC.
注可将一个或多个IP组播组地址映射至一个MAC组地址.
根据MAC组地址进行转发,可导致IP组播流被转发至没有流接收器的端口.
IP组地址-根据IP数据包的目的IP地址(*,G).
源特定IP组地址-根据IP数据包的目的IP地址和源IP地址(S,G).
IGMPv3和MLDv2支持(S,G),而IGMPv1/2和MLDv1仅支持恰好为组ID的(*.
G).
设备最多支持256个静态和动态组播组地址.
只能为每个VLAN配置上述选项之一.
典型的组播设置当组播路由器在IP子网间路由组播数据包时,能进行组播的第2层交换机会将组播数据包转发到LAN或VLAN中已注册的节点.
典型设置包括在专用和/或公共IP网络间转发组播流的路由器、采用IGMP/MLDSnooping功能的设备以及要接收组播流的组播客户端.
在此设置中,路由器会定期发送IGMP/MLD查询.
组播操作在第2层组播服务中,第2层交换机会接收发送给特定组播地址的单帧.
它会为在每个相关端口上传输的帧创建副本.
当设备启用IGMP/MLDSnooping并接收组播流的帧时,它会将组播帧转发到经过注册可使用IGMP/MLD加入消息接收组播流的所有端口.
系统会维护每个VLAN的组播组列表,并且这会管理每个端口应接收的组播信息.
使用IGMP或MLD协议侦听可以静态地配置或动态地学习组播组及其进行接收的端口.
组播组播转发思科300系列管理型交换机管理指南22017组播注册(IGMP/MLDSnooping)组播注册是监听组播注册协议并对其作出响应的程序.
提供的协议有针对IPv4的IGMP和针对IPv6的MLD协议.
当在VLAN上启用设备中的IGMP/MLDSnooping时,该设备会分析其接收的所有IGMP/MLD数据包(来自连接到设备的VLAN和网络中的组播路由器).
当设备了解到主机正在使用IGMP/MLD消息进行注册以接收组播流时(或者从特定源进行接收),该设备会在其MFDB中添加注册.
系统可支持以下版本:IGMPv1/v2/v3MLDv1/v2注设备仅在静态VLAN上支持IGMP/MLDSnooping.
它不支持动态VLAN上的IGMP/MLDSnooping.
全局启用IGMP/MLDSnooping后,所有IGMP/MLD数据包都将被转发至CPU.
CPU则会分析传入的数据包,然后确定以下信息:哪些端口要求加入哪个VLAN上的哪些组播组.
将哪些端口连接到了生成IGMP/MLD查询的组播路由器(Mrouter).
哪些端口正在接收PIM、DVMRP或IGMP/MLD查询协议.
这些VLAN均显示在"IGMP/MLDSnooping"页面上.
要求加入特定组播组的端口将发送IGMP/MLD报告来指定主机要加入的组.
这将在组播转发数据库中创建转发条目.
IGMPSnooping查询器当没有组播路由器时,IGMP/MLDSnooping查询器将用于支持侦听交换机的第2层组播域.
例如,本地服务器提供了组播内容,但该网络上的路由器(如果存在一个)不支持组播.
可以将设备配置为作为备份查询器的IGMP查询器,或当不存在普通IGMP查询器时对其进行配置.
设备不是全功能IGMP查询器.
如果设备作为IGMP查询器启用,则它会在从组播路由器中未检测到任何IGMP流量(查询)起的60秒后启动.
如果存在其他IGMP查询器,则设备可能会(也可能不会)停止发送查询,具体取决于标准查询器选择流程的结果.
IGMP/MLD查询器活动的速度必须与启用IGMP/MLDSnooping的交换机保持一致.
必须以与Snooping表过期时间相一致的速率发送查询.
如果发送查询的速度低于过期时间,则用户将无法接收组播数据包.
这将在"编辑IGMP/MLDSnooping"页面中执行.
组播组播转发思科300系列管理型交换机管理指南22117如果禁用IGMP/MLD查询器选择机制,则IGMP/MLDSnooping查询器会在启用后60秒延迟发送常规查询消息.
如果没有其他查询器,便会开始发送常规查询消息.
如果检测到其他查询器,便会停止发送常规查询消息.
如果IGMP/MLDSnooping查询器在以下时间间隔内未侦听到其他查询器,则会恢复发送常规查询消息:查询被动间隔=健壮性*查询间隔+0.
5*查询响应间隔.
注如果VLAN上有IPM组播路由器,建议禁用IGMP/MLD查询器选择机制.
组播地址属性组播地址具有以下属性:每个IPv4组播地址均处于224.
0.
0.
0到239.
255.
255.
255的地址范围之内.
IPv6组播地址为FF00:/8.
将IP组播组地址映射至第2层组播地址的步骤:-通过从IPv4地址中取得23个低序位并将它们添加到01:00:5e前缀之后,可以映射IPv4.
标准情况下,前九位IP地址会被忽略,并且会将任何仅不同于这前几位值的IP地址映射至同一第2层地址,这是因为所使用的后23位相同.
例如,会将234.
129.
2.
3映射至MAC组播组地址01:00:5e:01:02:03.
会将最多32个IP组播组地址映射至同一第2层地址.
-通过取得32个低序位组播地址并添加前缀33:33,可映射IPv6.
例如,会将IPv6组播地址FF00:1122:3344映射至第2层组播33:33:11:22:33:44.
IGMP/MLD代理IGMP/MLD代理是一种简单的IP组播协议.
使用IGMP/MLD代理复制设备上的组播流量(例如,边缘盒),可以大大简化这些设备的设计和实施.
不支持更加复杂的组播路由协议,如协议独立组播(PIM)或距离矢量组播路由协议(DVMRP),不仅减少了设备的成本,而且也减少了运行开销.
另一项优点在于可以让代理设备不受核心网络路由器使用的组播路由协议影响.
因而可以将代理设备轻松部署到任何组播网络中.
IGMP/MLD代理树IGMP/MLD代理在一个简单的树拓扑中工作,无需运行复杂的组播路由协议(例如,PIM).
这足以基于学习组成员关系信息和代理组成员关系信息使用简单的IPM协议,并基于这些信息转发组播路由数据包,此树必须通过在每台代理设备上指定上游和下游接口来手动配置.
此外,还应配置适用于代理树拓扑的IP寻址方案,确保代理设备可以赢得IGMP/MLD查询器选择,以便能够转发组播流量.
在树中除了代理设备不应有其他组播路由器,而且树的根应连接到更广泛的组播基础设施.
组播组播属性思科300系列管理型交换机管理指南22217执行基于IGMP/MLD的转发的代理设备具有一个上游接口,以及一个或多个下游接口.
这些设置均为显式配置;没有协议用于确定每个接口的类型.
代理设备通过其下游接口执行IGMP/MLD的路由器部分,通过其上游接口执行IGMP/MLD的主机部分.
只支持一个树.
转发规则和查询器应用以下规则:仅当代理设备为接口上的查询器时,上游接口接收的组播数据包才会转发到所有请求数据包的下游接口.
如果代理设备不是接口上的查询器,则会丢弃下游接口接收的组播数据包.
仅当代理设备为接口上的查询器时,代理设备为查询器的下游接口接收的组播数据包才会转发到上游接口和所有请求数据包的下游接口.
下游接口保护默认情况下,系统会转发到达IGMP/MLD树的接口的IP组播流量.
您可以禁用到达下游接口的IP组播流量转发.
此设置可以在全局范围内实现,也可以在指定的下游接口上实现.
组播属性启用组播过滤并选择转发方法的步骤:步骤1单击组播>属性.
步骤2输入参数.
网桥组播过滤状态-选择该选项可启用过滤功能.
VLANID-选择VLANID可设置其转发方法.
IPv6的转发方法-将以下方法之一设置为IPv6地址的转发方法:"MAC组地址"、"IP组地址"或"源特定IP组地址".
IPv4的转发方法-将以下方法之一设置为IPv4地址的转发方法:"MAC组地址"、"IP组地址"或"源特定IP组地址".
步骤3单击应用.
将更新当前配置文件.
组播MAC组地址思科300系列管理型交换机管理指南22317MAC组地址"MAC组地址"页面具有以下功能:查询并查看来自组播转发数据库(MFDB)的与特定VLANID或特定MAC地址组相关的信息.
可通过IGMP/MLDSnooping动态获取或通过手动输入静态获取此数据.
添加或删除MFDB的静态条目,该MFDB可根据MAC目的地址来静态转发信息.
显示作为每个VLANID和MAC地址组成员的所有端口/LAG的列表,并输入是否对其转发流量.
定义和查看MAC组播组的步骤:步骤1单击组播>MAC组地址.
步骤2输入"过滤器"参数.
VLANID为-设置要显示的组的VLANID.
MAC组地址为-设置要显示的组播组的MAC地址.
如果未指定MAC组地址,页面将包含来自所选VLAN的所有MAC组地址.
步骤3单击转至,将在下侧块中显示MAC组播组地址.
此时将显示在此页面和"IP组播组地址"页面创建的条目.
对于那些在"IP组播组地址"页面中创建的条目,IP地址将转换为MAC地址.
步骤4单击添加以添加静态MAC组地址.
步骤5输入参数.
VLANID-定义新组播组的VLANID.
MAC组地址-定义新组播组的MAC地址.
步骤6单击应用,MAC组播组将保存至当前配置文件中.
要配置和显示组中接口的注册,请选择一个地址,然后单击详情.
该页面显示:VLANID-定于组播组的VLANID.
MAC组地址-组的MAC地址.
步骤7从过滤器:接口类型菜单选择端口或LAG.
步骤8单击转至以显示VLAN的端口或LAG成员关系.
组播IP组播组地址思科300系列管理型交换机管理指南22417步骤9选择每个接口与组播组进行关联的方法:静态-将接口作为静态成员连接到组播组.
动态-表示由于IGMP/MLDSnooping已将接口添加到组播组.
已禁止-指定禁止此端口加入此VLAN上的这个组播组.
无-指定端口目前不是此VLAN上该组播组的成员.
步骤10单击应用,将更新当前配置文件.
注无法在此页面中删除在"IP组播组地址"页面中创建的条目(即使已选定这些条目).
IP组播组地址除组播组由IP地址确定之外,"IP组播组地址"页面与"MAC组地址"页面在其他方面均相似.
使用"IP组播组地址"页面可查询和添加IP组播组.
定义和查看IP组播组的步骤:步骤1单击组播>IP组播组地址.
该页面包含通过Snooping学习的所有IP组播组地址.
步骤2输入进行过滤所需的参数.
VLANID为-定义要显示的组的VLANID.
IP版本为-选择IPv6或IPv4.
IP组播组地址为-定义要显示的组播组的IP地址.
这仅在转发模式为(S,G)时才相关.
源IP地址为-定义发送设备的源IP地址.
如果模式为(S,G),则输入发送者S.
这与IP组地址一起作为要显示的组播组ID(S,G).
如果模式为(*.
G),则输入*以表示组播组仅由目的定义.
步骤3单击转至.
结果将显示在选择下侧块中.
在处于第2层系统模式下的设备上启用Bonjour和IGMP后,将显示Bonjour的IP组播地址.
单击"Add"以添加静态IP多播组地址.
步骤4输入参数.
VLANID-定义要添加的组的VLANID.
IP版本-选择IP地址类型.
组播IPv4组播配置思科300系列管理型交换机管理指南22517IP组播组地址-定义新组播组的IP地址.
源特定-表示该条目包含特定源,并在"IP源地址"字段中添加地址.
否则,该条目将添加为(*,G)条目,即来自任何IP源的IP组地址.
源IP地址-定义要包括的源地址.
步骤5单击应用.
将添加IP组播组,并更新设备.
步骤6要配置和显示IP组地址的注册,请选择一个地址,然后单击详情.
选定的VLANID、IP版本、IP组播组地址和源IP地址将以只读的方式显示在窗口的顶端.
您可以选择过滤器类型:接口类型为-选择显示端口还是LAG.
步骤7为每个接口选择其关联类型.
选项如下:静态-将接口作为静态成员连接到组播组.
动态-将接口作为动态成员连接到组播组.
已禁止-指定禁止将此端口添加到此VLAN上的这个组.
无-表示端口目前不是此VLAN上该组播组的成员.
默认情况下选定此项,直到选择"静态"或"已禁止".
步骤8单击应用.
将更新当前配置文件.
IPv4组播配置以下页面用于配置IPv4组播配置:IGMPSnooping配置IGMPVLAN设置IGMPSnooping配置要支持选择的IPv4组播转发,必须启用网桥组播过滤(在"组播>属性"页面中),并且必须在IGMPSnooping页面中针对每个相关VLAN全局启用IGMPSnooping.
组播IPv4组播配置思科300系列管理型交换机管理指南22617在VLAN上启用IGMPSnooping并识别作为IGMPSnooping查询器的设备的步骤:步骤1单击组播>IPv4组播配置>IGMPSnooping.
全局启用IGMPSnooping时,监控网络流量的设备可确定哪些主机已请求接收组播流量.
仅当同时启用IGMPSnooping和网桥组播过滤时,设备才会执行IGMPSnooping.
步骤2启用或禁用以下功能:IGMPSnooping状态-选择该选项可在所有接口上全局启用IGMPSnooping.
IGMP查询器状态-选择该选项可在所有接口上全局启用IGMP查询器.
步骤3要在接口上配置IGMP代理,请选择一个静态VLAN并单击编辑.
输入以下字段:IGMPSnooping状态-选择该选项可在VLAN上启用IGMPSnooping.
设备会监控网络流量,以确定哪些主机已要求接收组播流量.
仅当同时启用IGMP侦听和网桥组播过滤时,设备才会执行IGMP侦听.
组播路由器端口自动学习-选择该选项可启用组播路由器的自动学习.
立即离开-选择该选项可使交换机删除从转发表发送离开消息的接口,而不必首先向接口发出基于MAC的一般查询.
从主机接收到IGMP组离开消息时,系统会从表条目中删除主机端口.
在中继来自组播路由器的IGMP查询后,如果未从组播客户端接收到任何IGMP成员关系报告,系统会定期检测条目.
启用时,此功能会减少用来阻止发送到设备端口的多余IGMP流量的时间.
最近成员查询计数器-设备中假定不再存在组成员之前所发送的特定于IGMP组的查询数(如果该设备是选择的查询器).
IGMP查询器状态-选择该选项可启用此功能.
如果没有组播路由器,则需要使用此功能.
IGMP查询器选择-是启用还是禁用IGMP查询器选择.
如果启用IGMP查询器选择机制,则IGMPSnooping查询器会支持RFC3810中指定的标准IGMP查询器选择机制.
如果禁用IGMP查询器选择机制,则IGMPSnooping查询器会在启用后60秒延迟发送常规查询消息,如果没有其他查询器,便会开始发送常规查询消息.
当检测到其他查询器时,便会停止发送常规查询消息.
如果IGMPSnooping查询器在通过以下方式计算的查询被动间隔内未侦听到其他查询器,则会恢复发送常规查询消息:健壮性*(查询间隔)+0.
5*查询响应间隔.
IGMP查询器版本-选择当设备成为选择的查询器时要使用的IGMP版本.
如果执行特定于源的IP组播转发的VLAN中存在交换机和/或组播路由器,则选择IGMPv3.
否则,请选择IGMPv2.
查询源IP地址-选择要在发送的消息中使用的设备源接口.
在MLD中,系统会自动选择此地址.
注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
步骤4选择一个VLAN,然后单击编辑.
步骤5按照以上说明输入参数.
步骤6单击应用.
将更新当前配置文件.
注IGMPSnooping定时器配置中的更改,如"查询健壮性"、"查询间隔"等,在已创建的定时器上不起作用.
组播IPv6组播配置思科300系列管理型交换机管理指南22717IGMPVLAN设置在特定VLAN上配置IGMP的步骤:步骤1单击组播>IPv4组播配置>IGMPVLAN设置.
对于每个启用了IGMP的VLAN,将显示以下字段:接口名称-在其中定义IGMPSnooping的VLAN.
路由器IGMP版本-IGMPSnooping的版本.
查询健壮性-输入链路上的预期数据包丢失数.
查询间隔(秒)-当此设备是选择的查询器时要使用的普通查询的时间间隔.
查询最大响应间隔(秒)-用来计算插入定期普通查询的最大响应代码的延迟时间.
最近成员查询间隔(毫秒)-输入要使用的最大响应延迟时间(如果设备无法从所选查询器发送的特定于组的查询读取最大响应时间值).
步骤2选择一个接口并单击"Edit".
输入上述字段的值.
步骤3单击应用.
将更新当前配置文件.
IPv6组播配置以下页面用于配置IPv6组播配置:MLDSnoopingMLDVLAN设置MLDSnooping要支持选择的IPv6组播转发,必须启用网桥组播过滤(在"组播>属性"页面中),并且必须在MLDSnooping页面中针对每个相关VLAN全局启用MLDSnooping.
在VLAN上启用MLDSnooping并进行配置的步骤:步骤1单击组播>IPv6组播配置>MLDSnooping.
全局启用MLDSnooping时,监控网络流量的设备可确定哪些主机已请求接收组播流量.
如果同时启用了MLDSnooping和网桥组播过滤,则设备将执行MLDSnooping.
组播IPv6组播配置思科300系列管理型交换机管理指南22817步骤2启用或禁用以下功能:MLDSnooping状态-选择该选项可在所有接口上全局启用MLDSnooping.
MLD查询器状态-选择该选项可在所有接口上全局启用MLD查询器.
步骤3要在接口上配置MLD代理,请选择一个静态VLAN并单击编辑.
输入以下字段:MLDSnooping状态-选择该选项可在VLAN上启用MLDSnooping.
设备会监控网络流量,以确定哪些主机已要求接收组播流量.
仅当同时启用MLDSnooping和网桥组播过滤时,设备才会执行MLDSnooping.
组播路由器端口自动学习-选择该选项可启用组播路由器的自动学习.
立即离开-选择该选项可使交换机删除从转发表发送离开消息的接口,而不必首先向接口发出基于MAC的一般查询.
从主机接收到MLD组离开消息时,系统会从表条目中删除主机端口.
在中继来自组播路由器的MLD查询后,如果未从组播客户端接收到任何MLD成员关系报告,系统会定期检测条目.
启用时,此功能会减少用来阻止发送到设备端口的多余MLD流量的时间.
最近成员查询计数器-设备中假定不再存在组成员之前所发送的特定于MLD组的查询数(如果该设备是选择的查询器).
-使用查询健壮性-此值在MLDVLAN设置页面中设置.
-用户定义-输入一个用户定义的值.
MLD查询器状态-选择该选项可启用此功能.
如果没有组播路由器,则需要使用此功能.
MLD查询器选择-是启用还是禁用MLD查询器选择.
如果启用MLD查询器选择机制,则MLDSnooping查询器会支持RFC3810中指定的标准MLD查询器选择机制.
如果禁用MLD查询器选择机制,则MLDSnooping查询器会在启用后60秒延迟发送常规查询消息,如果没有其他查询器,便会开始发送常规查询消息.
当检测到其他查询器时,便会停止发送常规查询消息.
如果MLDSnooping查询器在通过以下方式计算的查询被动间隔内未侦听到其他查询器,则会恢复发送常规查询消息:健壮性*(查询间隔)+0.
5*查询响应间隔.
MLD查询器版本-选择当设备成为选择的查询器时要使用的MLD版本.
如果执行特定于源-的IP组播转发的VLAN中存在交换机和/或组播路由器,则选择MLDv2.
否则,请选择MLDv1.
步骤4选择一个VLAN,然后单击编辑.
步骤5按照以上说明输入参数.
步骤6单击应用.
将更新当前配置文件.
注MLDSnooping定时器配置中的更改,如"查询健壮性"、"查询间隔"等,在已创建的定时器上不起作用.
组播IGMP/MLDSnoopingIP组播组思科300系列管理型交换机管理指南22917MLDVLAN设置在特定VLAN上配置MLD的步骤:步骤1单击组播>IPv6组播配置>MLDVLAN设置.
对于每个启用了MLD的VLAN,将显示以下字段:接口名称-显示其MLD信息的VLAN.
路由器MLD版本-MLD路由器的版本.
查询健壮性-输入链路上的预期数据包丢失数.
查询间隔(秒)-当此设备是选择的查询器时要使用的普通查询的时间间隔.
查询最大响应间隔(秒)-用来计算插入定期普通查询的最大响应代码的延迟时间.
最近成员查询间隔(毫秒)-输入要使用的最大响应延迟时间(如果设备无法从所选查询器发送的特定于组的查询读取最大响应时间值).
步骤2要配置某个VLAN,请选中该VLAN,然后单击编辑.
输入上述字段.
步骤3单击应用.
将更新当前配置文件.
IGMP/MLDSnoopingIP组播组"IGMP/MLDSnoopingIP组播组"页面显示从IGMP/MLD消息学习的IPv4和IPv6组地址.
此页面上的信息与"MAC组地址"页面上的信息可能有所不同.
示例如下:假定系统根据基于MAC的组和请求加入以下组播组224.
1.
1.
1和225.
1.
1.
1的端口进行过滤,两者均被映射到同一MAC组播地址01:00:5e:01:01:01中.
在这种情况下,"MAC组播"页面中有一个条目,而此页面上则有两个条目.
查询IP组播组的步骤:步骤1单击组播>IGMP/MLDSnoopingIP组播组.
步骤2设置要搜索的Snooping组类型:IGMP或MLD.
步骤3输入以下查询过滤条件的一部分或全部:组地址为-定义要查询的组播组MAC地址或IP地址.
源地址为-定义要查询的发送者地址.
VLANID为-定义要查询的VLANID.
组播组播路由器端口思科300系列管理型交换机管理指南23017步骤4单击转至.
将为每个组播组显示以下字段:VLAN-VLANID.
组地址-组播组MAC地址或IP地址.
源地址-所有指定组端口的发送者地址.
包括的端口-组播流目的端口的列表.
排除的端口-不包括在组中的端口的列表.
兼容模式-通过设备在IP组地址上接收的主机注册的最旧版本的IGMP/MLD.
组播路由器端口组播路由器(Mrouter)端口是连接至组播路由器的端口.
当设备转发组播流和IGMP/MLD注册消息时,会包括组播路由器端口编号.
为使所有组播路由器都可以反过来将组播流转发到其他子网并将注册消息传递到其他子网,这是必需的.
静态配置或动态监测端口连接至组播路由器的步骤:步骤1单击组播>组播路由器端口.
步骤2输入以下查询过滤条件的一部分或全部:VLANID为-为介绍的路由器端口选择VLANID.
IP版本为-选择组播路由器支持的IP版本.
接口类型为-选择显示端口还是LAG.
步骤3单击转至.
此时将显示与查询条件相匹配的接口.
步骤4为每个端口选择其关联类型.
选项如下:静态-将端口静态配置为组播路由器端口.
动态-(仅显示)通过MLD/IGMP查询将端口动态配置为组播路由器端口.
要启用动态学习组播路由器端口,请转至组播>IGMPSnooping和组播>MLDSnooping页面.
已禁止-不将此端口配置为组播路由器端口,即使此端口上接收IGMP或MLD查询.
如果端口上已启用"已禁止",此端口上将无法学习组播路由器(即此端口上未启用"组播路由器端口自动学习").
组播全部转发思科300系列管理型交换机管理指南23117无-端口当前不是组播路由器端口.
步骤5单击应用更新设备.
全部转发使用"全部转发"页面,可以配置要从特定VLAN接收组播流的端口和/或LAG.
此功能需要在"属性"页面中启用网桥组播过滤.
如果禁用网桥组播过滤,则所有组播流量均会被泛洪到设备中的所有端口.
如果连接到端口的设备不支持IGMP和/或MLD,您可以将该端口静态配置为"全部转发".
IGMP或MLD消息不会被转发到定义为全部转发的端口.
注该配置仅会影响作为所选VLAN的成员的端口.
定义"全部转发"组播的步骤:步骤1单击组播>全部转发.
步骤2定义以下选项:VLANID为-将显示的端口/LAG的VLANID.
接口类型为-定义显示端口还是LAG.
步骤3单击转至.
此时将显示所有端口/LAG的状态.
步骤4选择要通过使用以下方法来定义为"全部转发"的端口/LAG:静态-端口接收所有组播流.
已禁止-端口无法接收任何组播流,即使IGMP/MLDSnooping已指定端口加入组播组.
无-端口当前不是"全部转发"端口.
步骤5单击应用.
将更新当前配置文件.
组播未注册的组播思科300系列管理型交换机管理指南23217未注册的组播此功能可用于确保客户仅接收请求的组播组(已注册),而不接收可能在网络中传输的其他组播组(未注册).
通常会将未注册的组播帧转发到VLAN中的所有端口.
您可以选择一个端口来接收或拒绝(过滤)未注册的组播流.
该配置适用于其端口为成员(或将成为成员)的任何VLAN.
定义未注册的组播设置的步骤:步骤1单击组播>未注册的组播.
步骤2选择接口类型为-查看端口或LAG.
步骤3单击转至.
步骤4定义以下选项:端口/LAG-显示端口ID或LAGID.
显示所选接口的转发状态.
可能的值包括:-转发-可将未注册的组播帧转发到选择的接口.
-过滤-可过滤(拒绝)到所选接口的未注册的组播帧.
步骤5单击应用.
将保存设置,并更新当前配置文件.
18思科300系列管理型交换机管理指南233IP配置IP接口地址由用户手动配置或由DHCP服务器自动配置.
本节介绍关于手动定义设备IP地址,或通过将设备设置为DHCP客户端来定义其IP地址的信息.
本节包含以下主题:综述IPv4管理和接口DHCP服务器IPv6管理和接口域名综述有些功能仅在第2层或第3层系统模式下才可用,如下所述:在第2层系统模式下,设备作为第2层可识别VLAN的设备运行,无路由功能.
在第3层系统模式下,设备具有IP路由功能以及第2层系统模式的功能.
在此系统模式下,第3层端口仍会保留大量的第2层功能,例如生成树协议和VLAN成员关系.
在第3层系统模式下,设备不支持基于MAC的VLAN、动态VLAN分配、VLAN速率限制、SYN速率DoS保护以及高级QoS策略器.
在"管理>系统设置"页面中,可将设备配置为在任意一种模式下工作.
注要从一种系统模式(层)切换到另一种模式(在Sx500设备上),需要强制重启,随后将删除设备的启动配置.
IP配置综述思科300系列管理型交换机管理指南23418第2层IP寻址在第2层系统模式下,此类设备在管理VLAN中最多有一个IPv4地址和两个IPv6接口("本地"接口或隧道).
此IP地址和默认网关可手动配置,也可由DHCP进行配置.
第2层系统模式的静态IP地址和默认网关在"IPv4接口"和"IPv6接口"页面中进行配置.
在第2层系统模式下,设备使用默认网关(如果已配置)来和与该设备位于不同IP子网的设备进行通信.
默认情况下,VLAN1为管理VLAN,但可修改此设置.
在第2层系统模式下运行时,仅可通过设备的管理VLAN在配置的IP地址上访问设备.
IPv4地址配置的出厂默认设置为DHCPv4.
这表示设备被用作DHCPv4客户端,并在启动期间发出DHCPv4请求.
如果设备收到DHCPv4服务器使用IPv4地址进行的DHCPv4响应,它会发送地址解析协议(ARP)数据包,来确认该IP地址是唯一的.
如果ARP响应显示该IPv4地址正在使用中,则设备会向提供IPv4地址的DHCP服务器发送一条DHCPDECLINE消息,并发送另一个重新启动该过程的DHCPDISCOVER数据包.
如果设备在60秒内未收到DHCPv4响应,它会继续发送DHCPDISCOVER查询并采用默认IPv4地址:192.
168.
1.
254/24.
如果同一IP子网内的多个设备使用同一IP地址,则会发生IP地址冲突.
地址冲突需要对与设备发生冲突的DHCP服务器和/或设备执行管理操作.
将VLAN配置为使用动态IPv4地址后,设备会发出DHCPv4请求,直到DHCPv4服务器为其分配IPv4地址.
在第2层系统模式下,只有管理VLAN可以使用静态或动态IP地址进行配置.
在第3层系统模式下,设备上的所有接口类型(端口、LAG和/或VLAN)均能够使用静态或动态IP地址进行配置.
设备的IP地址分配规则如下:在第2层系统模式下,除非使用静态IP地址配置设备,否则设备会发出DHCPv4请求,直到收到DHCP服务器的响应.
如果设备上的IP地址发生更改,设备会向相应的VLAN发出免费ARP数据包,来检查IP地址冲突问题.
将设备恢复到默认IP地址时,此规则也适用.
收到来自DHCP服务器的新的唯一IP地址时,系统状态LED会产生变化.
如果已设置静态IP地址,则系统状态LED也会变为以绿色持续亮起.
如果设备正获取IP地址并且当前正在使用出厂默认IP地址192.
168.
1.
254,则LED会闪烁.
如果客户端必须在其到期日期之前通过DHCPREQUEST消息续租,则相同的规则也适用.
在出厂默认设置下,如果没有静态定义的IP地址或DHCP获取的IP地址可用,则会使用默认IP地址.
有其他IP地址可用时,会自动使用这些地址.
默认IP地址始终在管理VLAN上.
第3层IP寻址在第3层系统模式下,设备可具有多个IP地址.
可将每个IP地址分配给指定的端口、LAG或VLAN.
这些IP地址在第3层系统模式下的"IPv4接口"和"IPv6接口"页面中进行配置.
与只能配置单一IP地址的第2层系统模式相比,此模式可提供更高的网络弹性.
在第3层模式下运行时,可从相应接口的所有IP地址上访问设备.
IP配置综述思科300系列管理型交换机管理指南23518在第3层系统模式下,不提供预定义的默认路由.
要远程管理设备,必须定义默认路由.
所有DHCP分配的默认网关都被存储成默认路由.
此外,您可以手动定义默认路由.
此操作在"IPv4静态路由"和"IPv6路由"页面中进行.
在此指南中,所有为设备配置或分配的IP地址均被称为管理IP地址.
如果第2层和第3层的页面不同,屏幕将显示两个版本.
环回接口概述环回接口是操作状态始终启用的虚拟接口.
如果此虚拟接口上配置的IP地址用作与远程IP应用通信时的本地地址,那么,即使到远程应用的实际路由更改,此通信也不会中止.
环回接口的操作状态始终启用.
您可以在上面定义IP地址(IPv4或IPv6),并将此IP地址用作与远程IP应用进行IP通信的本地IP地址.
只要能够从交换机的任一活动(非环回)IP接口访问远程应用,通信就会保持完整.
另一方面,如果使用IP接口的IP地址与远程应用通信,当IP接口关闭时,通信将终止.
环回接口不支持桥接;它无法成为任何VLAN的成员,也不支持任何第2层协议.
IPv6链路本地接口标识符为1.
当交换机处于第2层模式时,支持以下规则:只支持一个环回接口.
可配置两个IPv4接口:一个在VLAN或以太网端口上,另一个在环回接口上.
如果在默认VLAN上配置IPv4地址,而默认VLAN更改,则交换机会将IPv4地址移动到新的默认VLAN上.
配置环回接口要配置IPv4环回接口,请执行以下操作:在第2层中,在"管理>管理接口>IPv4接口"页面启用"环回接口"并配置其地址.
在第3层中,在"IP配置>IPv4管理和接口>IPv4接口"中添加一个环回接口.
要配置IPv6环回接口,请执行以下操作:在第2层中,在"管理>管理接口>IPv6接口"页面添加一个环回接口.
在"管理>管理接口>IPv6地址"页面配置该接口的IPv6地址.
此页面在SG500X、ESW2-550X和SG500XG设备中不可用.
在第3层中,在"IP配置>IPv6管理和接口>IPv6接口"中添加一个环回接口.
在"IP配置>IPv6管理和接口>IPv6地址"页面配置该接口的IPv6地址.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南23618IPv4管理和接口IPv4接口设备处于第2层或第3层系统模式时可以定义IPv4接口.
在第2层系统模式下定义IPv4接口要使用基于Web的配置实用程序管理设备,必须定义并知道IPv4设备管理IP地址.
设备IP地址可以手动配置或从DHCP服务器自动获得.
配置IPv4设备IP地址的步骤:步骤1单击管理>管理接口>IPv4接口.
步骤2为以下字段输入值:管理VLAN-选择用于通过Telnet或WebGUI访问设备的管理VLAN.
VLAN1为默认的管理VLAN.
IP地址类型-选择以下其中一个选项:-动态-使用DHCP从管理VLAN发现IP地址.
-静态-手动定义静态的IP地址.
注如果设备为DHCP客户端,则支持DHCP选项12(主机名选项).
如果DHCP选项12是从DHCP服务器获取的,则会保存为该服务器的主机名.
设备不会发出DHCP选项12请求.
无论哪种请求,DHCP服务器均必须配置为发送选项12,才能使用此功能.
要配置静态IP地址,请配置以下字段.
IP地址-输入IP地址,并配置以下掩码字段之一:-网络掩码-选择并输入IP地址掩码.
-前缀长度-选择并输入IPv4地址前缀的长度.
环回接口-选择该选项可启用环回接口配置(请参阅环回接口).
环回IP地址-输入环回接口的IPv4地址.
填写环回掩码的以下字段之一:-网络掩码-输入环回接口IPv4地址的掩码.
-前缀长度-输入环回接口IPv4地址的前缀长度.
管理默认网关-选择用户定义并输入默认网关IP地址,或选择无以从接口中删除选择的默认网关IP地址.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南23718运行默认网关-显示当前的默认网关状态.
注如果未使用默认网关配置设备,则它无法与同一IP子网内的其他设备进行通信.
如果从DHCP服务器检索动态IP地址,请选择以下启用的字段:立即更新IP地址-可在DHCP服务器分配IP地址后的任何时间更新设备动态IP地址.
请注意,根据您的DHCP服务器配置,设备可能会在续订后收到新的IP地址,从而需要将基于Web的配置实用程序设置为新的IP地址.
通过DHCP进行自动配置-显示自动配置功能的状态.
您可以通过管理>文件管理>DHCP自动配置配置此功能.
步骤3单击应用.
IPv4接口设置将写入当前配置文件.
在第3层系统模式下定义IPv4接口当设备处于第3层模式时,需要使用"IPv4接口"页面.
使用该模式可以配置多个IP地址来进行设备管理,并提供路由服务.
可以在端口、LAG、VLAN或环回接口上配置IP地址.
在第3层模式下运行时,设备可在设备上配置的直接连接的IP子网之间路由流量.
设备可持续在同一VLAN中的设备之间桥接流量.
用于路由到非直接连接的子网的其他IPv4路由可以在"IPv4静态路由"页面中进行配置.
注设备软件会为在端口或LAG上配置的每个IP地址使用一个VLANID(VID).
设备会使用从4094开始第一个未使用的VID.
-本地-表示该路由为本地路径.
该类型不能选择,而是由系统创建.
ARP设备会为位于其直接连接的IP子网内的所有已知设备维护一个ARP(地址解析协议)表.
直接连接的IP子网是指设备的IPv4接口所连接的子网.
当设备需要将数据包发送/路由至本地设备时,它会搜索ARP表以取得该设备的MAC地址.
ARP表包含静态地址和动态地址.
静态地址是手动配置的,不会过期.
设备会根据其收到的ARP数据包创建动态地址.
动态地址会在超过配置的时间之后过期.
注在第2层模式下,设备会使用ARP表中的IP地址与MAC地址映射,来转发由设备生成的流量.
在第3层模式下,会将该映射信息用于第3层路由以及转发生成的流量.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南23818定义ARP表的步骤:步骤1单击IP配置>IPv4管理和接口>ARP.
步骤2输入参数.
ARP条目过期时间-输入动态地址可在ARP表中保留的时间(秒数).
当动态地址在该表中的时间超过"ARP条目过期时间"时间后,动态地址便会过期.
动态地址过期后,将从表中删除该地址,需要重新学习该地址才能回到表中.
清除ARP表条目-选择要从系统中清除的ARP条目类型.
-全部-立即删除所有静态地址和动态地址.
-动态-立即删除所有动态地址.
-静态-立即删除所有静态地址.
-正常过期时间-根据配置的"正常过期时间"时间删除动态地址.
步骤3单击应用.
ARP全局设置将写入当前配置文件.
ARP表将显示以下字段:接口-IP设备所在的直接连接的IP子网的IPv4接口.
IP地址-IP设备的IP地址.
MAC地址-IP设备的MAC地址.
状态-是手动输入条目还是动态学习条目.
步骤4单击添加.
步骤5输入参数:IP版本-主机支持的IP地址格式.
仅支持IPv4格式.
接口(第3层)-可以在端口、LAG或VLAN上配置IPv4接口.
从设备上已配置IPv4接口列表中选择所需接口.
接口(第2层)-设备上的IPv4接口.
对于处于第2层模式下的设备,只有一个直接连接的IP子网,该IP子网始终位于管理VLAN中.
ARP表中的所有静态地址和动态地址都位于管理VLAN中.
IP地址-输入本地设备的IP地址.
MAC地址-输入本地设备的MAC地址.
步骤6单击应用.
ARP条目将保存至当前配置文件.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南23918ARP代理给定IP子网上的设备可使用代理ARP技术来回答对不在该网络上的网络地址的ARP查询.
注ARP代理功能仅在设备处于第3层模式下时才可用.
ARP代理可识别流量目的地,并提供其他MAC地址作为回复.
用作其他主机的ARP代理,可将LAN流量目的地有效地定向至该主机.
然后,该代理通常会使用其他接口或使用隧道,将捕获的流量路由至预期的目的地.
ARP查询为代理目的而要求其他IP地址,从而导致节点使用其自己的MAC地址进行响应的过程有时也称为发布.
在所有IP接口上启用ARP代理的步骤:步骤1单击IP配置>IPv4管理和接口>ARP代理.
步骤2选择ARP代理,以让设备使用设备MAC地址来响应对远程节点的ARP请求.
步骤3单击应用.
将启用ARP代理,并更新当前配置文件.
UDP中继/IP助手UDP中继/IP助手功能仅在设备处于第3层系统模式下时才可用.
交换机通常不会在IP子网之间路由IP广播数据包.
但是,如果启用此功能,设备可以将从其IPv4接口接收的特定UDP广播数据包中继到特定目的IP地址.
要配置从特定IPv4接口接收的UDP数据包与特定目的UDP端口之间的中继,请添加一个UDP中继:步骤1单击IP配置>IPv4管理和接口>UDP中继/IP助手.
步骤2单击添加.
步骤3选择源IP接口,设备会根据配置的UDP目的端口将UDP广播数据包中继到该接口.
该接口必须为在设备上配置的IPv4接口之一.
步骤4输入设备要中继的数据包的UDP目的端口号.
从下拉列表中选择众所周知的端口或单击端口单选按钮,手动输入号码.
步骤5输入接收UDP数据包中继的目的IP地址.
如果此字段为0.
0.
0.
0,则会丢弃UDP数据包.
如果此字段为255.
255.
255.
255,则会将UDP数据包传输到所有IP接口.
步骤6单击应用.
UDP中继设置将写入当前配置文件.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南24018DHCPv4Snooping/中继DHCPv4SnoopingDHCPSnooping提供了一种安全机制,可防止接收假冒的DHCP响应数据包,并且可记录DHCP地址.
它通过将设备上的端口视为信任端口或不信任端口来实现这一目的.
信任端口是指连接到DHCP服务器且允许分配DHCP地址的端口.
信任端口上接收的DHCP消息允许通过设备.
不信任端口是指不能分配DHCP地址的端口.
默认情况下,在您确定端口为信任端口(在"DHCPSnooping接口设置"页面中)之前,所有端口均被视为不信任端口.
DHCPv4中继DHCP中继可将DHCP数据包中继到DHCP服务器.
第2层和第3层中的DHCPv4在第2层系统模式下,设备可以中继从已启用DHCP中继的VLAN接收的DHCP消息.
在第3层系统模式下,设备还可以中继从没有IP地址的VLAN接收的DHCP消息.
只要在没有IP地址的VLAN上启用DHCP中继,系统便会自动插入选项82.
此插入操作是在特定VLAN中进行的,不会影响选项82插入的全局管理状态.
透明DHCP中继针对透明DHCP中继,如果其中使用的是外部DHCP中继代理,请执行以下操作:启用DHCPSnooping.
启用选项82插入.
禁用DHCP中继.
针对常规DHCP中继:启用DHCP中继.
无需启用选项82插入.
选项82选项82(DHCP中继代理信息选项)会将端口和代理信息传递到中央DHCP服务器,以指示分配的IP地址会物理连接到网络的位置.
选项82的主要目的是帮助DHCP服务器选择最佳IP子网(网络池),通过该子网可获取一个IP地址.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南24118设备上具有以下选项82选项:DHCP插入-将选项82信息添加到没有外部选项82信息的数据包.
DHCP通道-转发包含选项82信息的DHCP数据包;若数据包来自不信任端口,则予以拒绝.
在信任端口上,凡是包含选项82信息的DHCP数据包都会转发.
下表展示了通过DHCP中继、DHCPSnooping和选项82模块的数据包流:可能的情况有:DHCP客户端和DHCP服务器均连接到同一VLAN.
在这种情况下,常规桥接设备会在DHCP客户端和DHCP服务器之间传递DHCP消息.
DHCP客户端和DHCP服务器连接到不同VLAN.
在这种情况下,仅DHCP中继可以且确实会在DHCP客户端和DHCP服务器之间广播DHCP消息.
单播DHCP消息由常规路由器传递,因此,如果在没有IP地址的VLAN上启用DHCP中继,或者设备不是路由器(第2层设备),则需要使用外部路由器.
DHCP中继(且只有DHCP中继)可以将DHCP消息中继到DHCP服务器DHCPv4Snooping、DHCPv4中继和选项82之间的交互以下各表介绍了设备在DHCPSnooping、DHCP中继和选项82的不同组合下的运作方式.
下表介绍了在未启用DHCPSnooping而启用DHCP中继的情况下,对DHCP请求数据包的处理方式.
DHCP中继具有IP地址的VLANDHCP中继没有IP地址的VLAN数据包到达时没有选项82数据包到达时含有选项82数据包到达时没有选项82数据包到达时含有选项82禁用选项82插入发送不含选项82的数据包发送含有原始选项82的数据包中继-插入选项82桥接-不插入选项82中继-丢弃数据包桥接-发送含有原始选项82的数据包已启用选项82插入中继-发送含有选项82的数据包桥接-不发送选项82发送含有原始选项82的数据包中继-发送含有选项82的数据包桥接-不发送选项82中继-丢弃数据包桥接-发送含有原始选项82的数据包IP配置IPv4管理和接口思科300系列管理型交换机管理指南24218下表介绍了在DHCPSnooping和DHCP中继均启用的情况下,对DHCP请求数据包的处理方式:下表介绍了在禁用DHCPSnooping的情况下,对DHCP中继数据包的处理方式:DHCP中继具有IP地址的VLANDHCP中继没有IP地址的VLAN数据包到达时没有选项82数据包到达时含有选项82数据包到达时没有选项82数据包到达时含有选项82禁用选项82插入发送不含选项82的数据包发送含有原始选项82的数据包中继-插入选项82桥接-不插入选项82中继-丢弃数据包桥接-发送含有原始选项82的数据包已启用选项82插入中继-发送含有选项82的数据包桥接-添加选项82(如果端口为信任端口,则会按照DHCPSnooping未启用的情况进行运作)发送含有原始选项82的数据包中继-发送含有选项82的数据包桥接-插入选项82(如果端口为信任端口,则会按照DHCPSnooping未启用的情况进行运作)中继-丢弃数据包桥接-发送含有原始选项82的数据包DHCP中继具有IP地址的VLANDHCP中继没有IP地址的VLAN数据包到达时没有选项82数据包到达时含有选项82数据包到达时没有选项82数据包到达时含有选项82IP配置IPv4管理和接口思科300系列管理型交换机管理指南24318下表介绍了在启用DHCPSnooping和DHCP中继的情况下,对DHCP回复数据包的处理方式:禁用选项82插入发送不含选项82的数据包发送含有原始选项82的数据包中继-丢弃选项82桥接-发送不含选项82的数据包中继-1.
如果设备中生成回复,则会发送不含选项82的数据包2.
如果设备中未生成回复,则会丢弃数据包桥接-发送含有原始选项82的数据包已启用选项82插入发送不含选项82的数据包中继-发送不含选项82的数据包桥接-发送含有选项82的数据包中继-丢弃选项82桥接-发送不含选项82的数据包中继-发送不含选项82的数据包桥接-发送含有选项82的数据包DHCP中继具有IP地址的VLANDHCP中继没有IP地址的VLAN数据包到达时没有选项82数据包到达时含有选项82数据包到达时没有选项82数据包到达时含有选项82DHCP中继具有IP地址的VLANDHCP中继没有IP地址的VLANIP配置IPv4管理和接口思科300系列管理型交换机管理指南24418DHCPSnooping绑定数据库DHCPSnooping可构建一个数据库(称为DHCPSnooping绑定数据库),其衍生自从通过信任端口进入设备的DHCP数据包获取的信息.
该DHCPSnooping绑定数据库包含以下数据:输入端口、输入VLAN、客户端的MAC地址和客户端的IP(如果存在).
IP源防护和动态ARP检查功能还会使用DHCPSnooping绑定数据库来确定合法的数据包源.
DHCP信任端口端口可以是DHCP信任端口,也可以是DHCP不信任端口.
默认情况下,所有端口均为不信任端口.
要将端口创建为信任端口,请使用"DHCPSnooping接口设置"页面.
系统会自动转发来自这些端口的数据包.
来自信任端口的数据包用于创建绑定数据库,将按照下文所述进行处理.
如果未启用DHCPSnooping,所有端口会默认为信任端口.
DHCPSnooping绑定数据库的构建方式以下介绍了在DHCP客户端和DHCP服务器均受信任的情况下,设备对DHCP数据包的处理方式.
可通过此过程构建DHCPSnooping绑定数据库.
禁用选项82插入发送不含选项82的数据包发送含有原始选项82的数据包中继-丢弃选项82桥接-发送不含选项82的数据包中继1.
如果设备中生成回复,则会发送不含选项82的数据包2.
如果设备中未生成回复,则会丢弃数据包桥接-发送含有原始选项82的数据包已启用选项82插入发送不含选项82的数据包发送不含选项82的数据包中继-丢弃选项82桥接-发送不含选项82的数据包发送不含选项82的数据包DHCP中继具有IP地址的VLANDHCP中继没有IP地址的VLANIP配置IPv4管理和接口思科300系列管理型交换机管理指南24518DHCP信任数据包处理方式这些操作包括:步骤1设备发送DHCPDISCOVER以请求一个IP地址,或发送DHCPREQUEST以接受IP地址和租用.
步骤2设备侦听数据包并将IP-MAC信息添加到DHCPSnooping绑定数据库.
步骤3设备转发DHCPDISCOVER或DHCPREQUEST数据包.
步骤4DHCP服务器发送DHCPOFFER数据包以提供一个IP地址,发送DHCPACK以分配一个IP地址,或者发送DHCPNAK以拒绝地址请求.
步骤5设备侦听数据包.
如果DHCPSnooping绑定表中存在的某条目与该数据包匹配,则设备会在收到DHCPACK时,将该条目替换为IP-MAC绑定.
步骤6设备转发DHCPOFFER、DHCPACK或DHCPNAK.
下表总结了对来自信任端口和不信任端口的DHCP数据包的处理方式.
DHCPSnooping绑定数据库存储在永久性存储器中.
DHCPSnooping数据包处理方式数据包类型来自不信任的入口接口来自信任的入口接口DHCPDISCOVER仅转发到信任接口.
仅转发到信任接口.
DHCPOFFER过滤.
根据DHCP信息转发数据包.
如果目的地址未知,则会过滤数据包.
DHCPREQUEST仅转发到信任接口.
仅转发到信任接口.
DHCPACK过滤.
与DHCPOFFER相同,也会将一个条目添加到DHCPSnooping绑定数据库.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南24618DHCPSnooping和DHCP中继如果全局启用DHCPSnooping和DHCP中继,当在客户端VLAN上启用DHCPSnooping时,将应用DHCPSnooping绑定数据库中包含的DHCPSnooping规则,并且会针对中继的数据包,在客户端的VLAN以及DHCP服务器的VLAN中更新DHCPSnooping绑定数据库.
DHCP默认配置下表介绍了DHCPSnooping和DHCP中继的默认选项.
DHCP默认选项DHCPNAK过滤.
与DHCPOFFER相同.
删除条目(如果存在).
DHCPDECLINE检查数据库中是否存在信息.
如果信息存在且与接收消息的接口不匹配,则会过滤数据包.
否则,会将数据包仅转发到信任接口,并且会从数据库中删除条目.
仅转发到信任接口DHCPRELEASE与DHCPDECLINE相同.
与DHCPDECLINE相同.
DHCPINFORM仅转发到信任接口.
仅转发到信任接口.
DHCPLEASEQUERY过滤.
转发.
选项默认状态DHCPSnooping已启用选项82插入未启用选项82通道未启用确认MAC地址已启用备份DHCPSnooping绑定数据库未启用DHCP中继已禁用数据包类型来自不信任的入口接口来自信任的入口接口IP配置IPv4管理和接口思科300系列管理型交换机管理指南24718配置DHCP工作流程配置DHCP中继和DHCPSnooping的步骤:步骤1在IP配置>DHCP>属性页面或安全>DHCPSnooping>属性页面中,启用DHCPSnooping和/或DHCP中继.
步骤2在IP配置>DHCP>接口设置页面中,定义启用DHCPSnooping的接口.
步骤3在IP配置>DHCP>DHCPSnooping接口设置页面中,将接口配置为信任接口或不信任接口.
步骤4可选.
在IP配置>DHCP>DHCPSnooping绑定数据库页面中,将条目添加到DHCPSnooping绑定数据库.
DHCP监听/中继本节介绍了如何通过基于Web的接口实施DHCP中继和DHCPSnooping功能.
属性配置DHCP中继、DHCPSnooping和选项82的步骤:步骤1单击IP配置>IPv4管理和接口>DHCPSnooping/中继>属性或单击安全>DHCPSnooping.
输入以下字段:选项82-选择选项82可将选项82信息插入数据包中.
DHCP中继-选择该选项可启用DHCP中继.
DHCPSnooping状态-选择该选项可启用DHCPSnooping.
如果启用了DHCPSnooping,则可以启用以下选项:-选项82通道-选择该选项可在转发数据包时保留外部选项82信息.
-确认MAC地址-选择该选项可确认第2层报头的源MAC地址是否与DHCP不信任端口上DHCP报头(有效负荷的一部分)中显示的客户端硬件地址相匹配.
-备份数据库-选择该选项可在设备闪存中备份DHCPSnooping绑定数据库.
-备份数据库更新间隔-输入备份DHCPSnooping绑定数据库的频率(如果已选择"备份数据库").
步骤2单击应用.
设置将写入当前配置文件中.
步骤3要定义DHCP服务器,请单击添加.
步骤4输入DHCP服务器的IP地址,并单击应用.
设置将写入当前配置文件中.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南24818接口设置在第2层中,只能在具有IP地址的VLAN上启用DHCP中继和DHCPSnooping.
在第3层中,可以在具有IP地址的任何接口以及具有或没有IP地址的VLAN上启用DHCP中继和DHCPSnooping.
在特定接口上启用DHCPSnooping/中继的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP监听/中继>接口设置.
步骤2要在接口上启用DHCP中继或DHCPSnooping,请单击添加.
步骤3选择要启用的接口和功能:DHCP中继或DHCPSnooping.
步骤4单击应用.
设置将写入当前配置文件中.
DHCPSnooping信任接口对照DHCPSnooping绑定数据库检查来自不信任端口/LAG的数据包(请参阅"DHCPSnooping绑定数据库"页面).
默认情况下,接口为信任接口.
将接口指定为不信任接口的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP监听/中继>DHCPSnooping信任接口.
步骤2选择接口,然后单击编辑.
步骤3选择信任接口(是或否).
步骤4单击应用,以将设置保存到当前配置文件中.
DHCPSnooping绑定数据库有关如何将动态条目添加到DHCPSnooping绑定数据库的说明,请参阅DHCPSnooping绑定数据库的构建方式.
请注意以下有关维护DHCPSnooping绑定数据库的要点:当工作站移至其他接口时,设备不会更新DHCPSnooping绑定数据库.
如果端口已断开,则不会删除该端口的条目.
针对VLAN禁用DHCPSnooping后,将删除为该VLAN收集的绑定条目.
IP配置IPv4管理和接口思科300系列管理型交换机管理指南24918如果数据库已满,DHCPSnooping会继续转发数据包,但不会创建新条目.
请注意,如果IP源防护和/或ARP检测功能处于活动状态,则未在DHCPSnooping绑定数据库中写入的客户端将无法连接到网络.
将条目添加到DHCPSnooping绑定数据库的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP监听/中继>DHCPSnooping绑定数据库.
要在DHCPSnooping绑定数据库中查看条目的子集,请输入相关搜索条件,然后单击转至.
将显示DHCPSnooping绑定数据库中的字段.
这些字段如"添加"页面中所述,IP源防护字段除外:状态--活动-设备上的"IP源防护"处于活动状态.
-非活动-设备上的"IP源防护"不处于活动状态.
原因--没问题-无资源-无侦听VLAN-信任端口步骤2要添加条目,请单击添加.
步骤3输入以下字段:VLANID-预期数据包所在的VLAN.
MAC地址-数据包的MAC地址.
IP地址-数据包的IP地址.
接口-预期数据包所在的单元/插槽/接口.
类型-该字段可能的值包括:-动态-条目具有有限的租用时间.
-静态-已静态配置条目.
租用时间-如果条目是静态的,则输入该条目在DHCP数据库中处于活动状态的时间量.
(如果没有租用时间,则选中"无限期".
)步骤4单击应用.
将定义设置,并更新设备.
IP配置DHCP服务器思科300系列管理型交换机管理指南25018DHCP服务器您可以借助DHCPv4服务器功能将设备配置为DHCPv4服务器.
DHCPv4服务器用于将IPv4地址和其他信息分配到其他设备(DHCP客户端)DHCPv4从用户定义的IPv4地址池分配IPv4地址.
可分为以下模式:静态分配-主机硬件地址或客户端标识符手动映射到一个IP地址.
此项操作将在"静态主机"页面中完成.
动态分配-客户端获取特定时间内(可以是无限期的)可用的租用IP地址.
如果DHCP客户端未更新分配的IP地址,IP地址将在规定时间结束后取消,而客户端必须请求其他IP地址.
此项操作可在"网络池"页面中完成.
功能之间的依赖性DHCP服务器和DHCP客户端无法同时在系统上配置.
也就是说,如果一个接口启用了DHCP客户端,则无法全局启用DHCP服务器.
如果启用了DHCPv4中继,设备将无法配置为DHCP服务器.
默认设置和配置默认情况下,设备未配置为DHCPv4服务器.
如果设备启用为DHCPv4服务器,默认情况下将不会定义网络地址池.
启用DHCP服务器功能的工作流程将设备配置为DHCPv4服务器的步骤:步骤1在"DHCP服务器>属性"页面将设备启用为DHCP服务器.
步骤2如果存在任何您不想分配的IP地址,可在"排除地址"页面进行配置.
步骤3在"网络池"页面定义最多8个网络IP地址池.
步骤4在"静态主机"页面配置即将分配永久IP地址的客户端.
步骤5在"DHCP选项"页面配置所需的DHCP选项.
这将配置要为每个相关DHCP选项返回的值.
IP配置DHCP服务器思科300系列管理型交换机管理指南25118步骤6添加一个IP接口,取值范围为"网络池"页面配置的DHCP池之一.
设备会答复来自此IP接口的DHCP请求.
例如:当池的范围为1.
1.
1.
1-1.
1.
1.
254时,如果希望直接连接的客户端接收来自此已配置池的IP地址,则添加一个此范围内的IP地址.
在"IP配置>IPv4接口"页面执行此操作.
步骤7在"地址绑定"页面查看分配的IP地址.
IP地址可在此页面删除.
DHCPv4服务器将设备配置为DHCPv4服务器的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP服务器>属性以显示"属性"页面.
步骤2选择启用将设备配置为DHCP服务器.
步骤3单击应用.
设备将立即作为DHCP服务器运行.
但是,在创建地址池之前,设备不会为客户端分配IP地址.
网络池当某个设备作为DHCP服务器运行时,必须定义一个或多个IP地址池,设备将从中为客户端分配IP地址.
每个网络池均包括属于特定子网的一系列地址.
这些地址将分配到相应子网内的不同客户端.
当客户端请求IP地址时,作为DHCP服务器运行的设备会根据以下客户端连接类型分配IP地址:直接连接的客户端-设备分配来自某个网络池的地址,该网络池的子网能匹配收到DHCP请求的设备IP接口上配置的子网.
远程客户端-设备获取来自某个网络池的IP地址,该网络池的第一个中继子网(直接连接到客户端)能匹配某个设备IP接口上配置的子网.
-如果消息直接到达(未通过DHCP中继),则该池为本地池并且属于在第2层输入接口上定义的IP子网之一.
在此情况下,池的IP掩码等于IP接口的IP掩码,并且池的最小和最大IP地址都属于IP子网.
-如果消息通过DHCP中继到达,则使用的地址属于由池的最小IP地址和IP掩码指定的IP子网,并且该池为远程池.
您最多可定义八个网络池.
创建IP地址池并定义其租用期限的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP服务器>网络池以显示"网络池"页面.
将显示以前定义的网络池.
步骤2单击添加定义新网络池.
注意,您可以输入"子网IP地址"和"掩码",或者输入"掩码"、"地址池开始"和"地址池结束".
IP配置DHCP服务器思科300系列管理型交换机管理指南25218步骤3输入以下字段:池名-输入池名.
子网IP地址-输入网络池所在的子网.
掩码-输入以下内容之一:-网络掩码-选中并输入该池的网络掩码.
-前缀长度-选中并输入构成地址前缀的位数.
地址池开始-输入网络池IP地址系列中的第一个地址.
地址池结束-输入网络池IP地址系列中的最后一个地址.
租用期限-输入DHCP客户端可以使用来自该池的IP地址的时限.
可配置最长49,710天的租用期限或无限期.
-无限期-租用期限不受限制.
-天-租用期限的天数.
范围为0到49710天.
-小时-租用小时数.
指定天数值后才能添加小时数值.
-分钟-租用分钟数.
指定天数值和小时数值后才能添加分钟数值.
默认路由器IP地址(选项3)-输入DHCP客户端的默认路由器.
域名服务器IP地址(选项6)-选择一个设备DNS服务器(如已配置)或选择其他并输入DHCP客户端可用的DNS服务器的IP地址.
域名(选项15)-输入DHCP客户端域名.
NetBIOSWINS服务器IP地址(选项44)-输入DHCP客户端可用的NetBIOSWINS名称服务器.
NetBIOS节点类型(选项46)-选择解析NetBIOS名称的方式.
有效节点类型包括:-混合-混合使用b节点和p节点.
如果配置为使用h节点,计算机将始终首先尝试p节点,并仅在p节点失败后使用b节点.
此为默认设置.
-混合-结合使用b节点和p节点通信来注册和解析NetBIOS名称.
M节点首先使用b节点,然后再使用p节点(如有必要).
M节点通常不是大型网络的最佳选择,因为它会优先选择b节点进行广播,这会增加网络流量.
-点对点-使用与NetBIOS名称服务器的点对点通信向IP地址注册和解析计算机名.
-广播-使用IP广播消息向IP地址注册和解析NetBIOS名称.
SNTP服务器IP地址(选项4)-选择一个设备SNTP服务器(如已配置)或选择其他并输入DHCP客户端可用的时间服务器的IP地址.
IP配置DHCP服务器思科300系列管理型交换机管理指南25318文件服务器IP地址(siaddr)-输入配置文件下载源位置所在的TFTP/SCP服务器IP地址.
文件服务器主机名(sname/选项66)-输入TFTP/SCP服务器名.
配置文件名称(file/选项67)-输入作为配置文件使用的文件名称.
步骤4单击应用.
将更新当前配置文件.
排除地址默认情况下,DHCP服务器假设池中的所有池地址都可以分配到客户端.
可以排除单个IP地址或IP地址系列.
排除地址会排除在所有DHCP池之外.
定义排除地址系列的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP服务器>排除地址以显示"排除地址"页面.
将显示以前定义的排除IP地址.
步骤2要添加待排除的IP地址系列,请单击添加,然后输入以下字段:起始IP地址-排除IP地址系列中的第一个IP地址.
结束IP地址-排除IP地址系列中的最后一个IP地址.
步骤3单击应用.
将更新当前配置文件.
静态主机您可能想为某些DHCP客户端配置永不更改的永久IP地址.
客户端则作为静态主机.
为特定客户端手动分配永久IP地址的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP服务器>静态主机以显示"静态主机"页面.
将显示静态主机.
步骤2要添加静态主机,请单击添加,然后输入以下字段:IP地址-输入静态分配到主机的IP地址.
主机名-输入主机名,可以为一串符号和一个整数.
掩码-输入静态主机的网络掩码.
-网络掩码-选中并输入静态主机的网络掩码.
-前缀长度-选中并输入构成地址前缀的位数.
IP配置DHCP服务器思科300系列管理型交换机管理指南25418标识符类型-设定识别特定静态主机的方式.
-客户端标识符-输入以十六进制表示的客户端唯一标识,例如:01b60819681172.
或:-MAC地址-输入客户端的MAC地址.
客户端名称-使用标准ASCII字符集输入静态主机名称.
客户端名称不得包含域名.
默认路由器IP地址(选项3)-输入静态主机的默认路由器.
域名服务器IP地址(选项6)-选择一个设备DNS服务器(如已配置)或选择其他并输入DHCP客户端可用的DNS服务器的IP地址.
域名(选项15)-输入静态主机域名.
NetBIOSWINS服务器IP地址(选项44)-输入静态主机可用的NetBIOSWINS名称服务器.
NetBIOS节点类型(选项46)-选择解析NetBIOS名称的方式.
有效节点类型包括:-混合-混合使用b节点和p节点.
如果配置为使用h节点,计算机将始终首先尝试p节点,并仅在p节点失败后使用b节点.
此为默认设置.
-混合-结合使用b节点和p节点通信来注册和解析NetBIOS名称.
M节点首先使用b节点,然后再使用p节点(如有必要).
M节点通常不是大型网络的最佳选择,因为它会优先选择b节点进行广播,这会增加网络流量.
-点对点-使用与NetBIOS名称服务器的点对点通信向IP地址注册和解析计算机名.
-广播-使用IP广播消息向IP地址注册和解析NetBIOS名称.
SNTP服务器IP地址(选项4)-选择一个设备SNTP服务器(如已配置)或选择其他并输入DHCP客户端可用的时间服务器的IP地址.
文件服务器IP地址(siaddr)-输入配置文件下载源位置所在的TFTP/SCP服务器IP地址.
文件服务器主机名(sname/选项66)-输入TFTP/SCP服务器名.
配置文件名称(file/选项67)-输入作为配置文件使用的文件名称.
步骤3单击应用.
将更新当前配置文件.
DHCP选项当设备用作DHCP服务器时,可使用"十六进制"选项配置DHCP选项.
这些选项的说明位于RFC2131中.
这些选项的配置可确定发送给DHCP客户端的回复,其数据包包含对已配置DHCP选项的请求(使用选项55).
示例:DHCP选项66配置为"DHCP选项"页面中TFTP服务器的名称.
收到包含选项66的客户端DHCP数据包时,TFTP服务器将作为选项66的值返回.
IP配置DHCP服务器思科300系列管理型交换机管理指南25518配置一个或多个DHCP选项的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP服务器>DHCP选项.
将显示之前配置的DHCP选项.
步骤2配置尚未配置的选项并填写此字段的步骤:DHCP服务器池名称为-选择"网络池"页面定义的网络地址池之一.
步骤3单击添加并填写以下字段:代码-输入DHCP选项代码.
类型-此字段的单选按钮,可根据DHCP选项的参数类型更改.
选择以下代码之一,并输入DHCP选项参数的值:-十六进制-如果希望输入DHCP选项参数的十六进制值,则选择此选项.
可提供十六进制值来代替其他所有类型的值.
例如,可以提供IP地址的十六进制值,而非IP地址本身.
十六进制值无需验证,因此,如果您输入一个表示非法值的十六进制值,将不会返回任何错误,且客户端可能无法处理来自服务器的DHCP数据包.
-IP-如果希望输入适用于选定DHCP选项的IP地址,则选择此选项.
-IP列表-输入一列由逗号分隔的IP地址.
-Integer-如果希望为选定DHCP选项参数输入整数值,则选择此选项-Boolean-如果选定DHCP选项的参数为Boolean,则选择此选项.
Boolean值-如果类型为"Boolean",则选择要返回的值:True或False.
值-如果类型不是"Boolean",则输入要为此代码发送的值.
说明-输入描述文档目的的文本说明.
步骤4单击应用.
将更新当前配置文件.
地址绑定使用"地址绑定"页面可查看和删除由设备分配的IP地址及其相应的MAC地址.
查看和/或删除地址绑定的步骤:步骤1单击IP配置>IPv4管理和接口>DHCP服务器>地址绑定以显示"地址绑定"页面.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南25618将显示以下有关地址绑定的字段:IP地址-DHCP客户端的IP地址.
地址类型-DHCP客户端地址是显示为MAC地址还是使用客户端标识符.
MAC地址/客户端标识符-以MAC地址或十六进制表示的客户端唯一标识,如01b60819681172.
租用到期-租用期限定义的主机IP地址租用到期日期和时间,或无期限.
类型-IP地址分配到客户端的方式.
可能的选项有:-静态-主机硬件地址映射到一个IP地址.
-动态-从设备动态获取的IP地址在某个特定时间段内属于客户端.
IP地址将在期限结束后取消,届时客户端必须请求其他IP地址.
状态-可能的选项有:-已分配-IP地址已分配.
配置静态主机后,其状态即已分配.
-已被拒-提供了IP地址,但未获得接受,因此未分配.
-已过期-已超过IP地址租期.
-已预分配-在要约的时间到客户端发送DHCPACK的时间之间,一个条目将处于已预分配状态.
然后将变为已分配状态.
步骤2单击删除.
将更新当前配置文件.
IPv6管理和接口Internet协议版本6(IPv6)是一种网络层协议,用于数据包交换的互联网.
设计IPv6是为了替换占据主导的Internet协议IPv4.
由于地址大小从32位地址增加到128位地址,因此IPv6在分配IP地址方面有更大弹性.
IPv6地址写为八组十六进制数(四位一组),例如,FE80:0000:0000:0000:0000:9C00:876A:130B.
缩写形式也可接受,其中可将由零组成的组省略并用"::"替换,例如,::-FE80::9C00:876A:130B.
IPv6节点需要使用中间映射机制来与仅使用IPv4网络的其他IPv6节点进行通信.
此机制称为隧道,可让仅使用IPv6的主机获得IPv4服务,并让独立的IPv6主机和网络访问IPv4基础架构上的IPv6节点.
隧道使用ISATAP或手动机制(请参阅IPv6隧道).
隧道将IPv4网络视为虚拟的IPv6本地链路,该链路将每个IPv4地址映射到一个链路本地IPv6地址.
设备会根据IPv6以太网类型检测IPv6帧.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南25718IPv6全局配置定义IPv6全局参数和DHCPv6客户端设置的步骤:步骤1在第2层系统模式下,单击管理>管理接口>IPv6全局配置.
在第3层系统模式下,单击IP配置>IPv6管理和接口>IPv6全局配置.
步骤2为以下字段输入值:ICMPv6限速单位时间间隔-输入生成ICMP错误消息的频率.
ICMPv6限速单位时间间隔最大消息数-输入在每个间隔时间内设备可发送的ICMP错误消息的最大数目.
DHCPv6客户端设置唯一标识符(DUID)格式-DHCP客户端的唯一标识符,DHCP服务器使用其定位客户端.
可采用以下格式之一:-链接层-(默认).
如果选择该选项,将使用设备MAC地址.
-企业编号-如果选择该选项,请输入以下字段.
企业编号-供应商注册的专用企业编号,由IANA维护.
标识符-供应商定义的十六进制字符串(最多64个十六进制字符).
如果字符数量不为偶数,则在右端添加数字零.
每2个十六进制字符可由句点或冒号隔开.
DHCPv6唯一标识符(DUID)-显示所选标识符.
步骤3单击应用.
更新IPv6全局参数和DHCPv6客户端设置.
IPv6接口可以在端口、LAG、VLAN、环回接口或隧道上配置IPv6接口.
与其他类型的接口不同,隧道接口应先在"IPv6隧道"页面进行创建,然后在此页面中的隧道上配置IPv6接口.
定义IPv6接口的步骤:步骤1在第2层系统模式下,单击管理>管理接口>IPv6接口.
在第3层系统模式下,单击IP配置>IPv6管理和接口>IPv6接口.
步骤2单击应用配置默认区域.
步骤3单击添加,在启用了IPv6的接口上添加新的接口.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南25818步骤4填写以下字段:IPv6接口-选择IPv6地址的具体端口、LAG、VLAN、环回接口或ISATAP隧道.
步骤5要将接口配置为DHCPv6客户端,即使接口能够接收来自DHCPv6服务器的信息(例如SNTP配置和DNS信息),请输入DHCPv6客户端字段:无状态-选择该字段可将接口启用为无状态DHCPv6客户端.
这样可支持从DHCP服务器接收配置信息.
最小信息刷新时间-此值用于设定刷新时间值的下限.
如果服务器发送的刷新时间选项小于此值,则将使用此值.
选择无限期(除非服务器发送此选项,否则不进行刷新)或者用户定义来设定值.
信息刷新时间-此值表示设备对接收自DHCPv6服务器的信息进行刷新的频率.
如果未从服务器收到该选项,将使用此处输入的值.
选择无限期(除非服务器发送此选项,否则不进行刷新)或者用户定义来设定值.
步骤6要配置其他IPv6参数,请输入以下字段:IPv6地址自动配置-选择该字段可启用来自邻居发送的路由器通告的自动地址配置.
注设备不支持来自DHCPv6服务器的有状态地址自动配置.
DAD尝试次数-输入对接口的单播IPv6地址执行重复地址检测(DAD)时发送的连续邻居请求消息的数目.
DAD分配地址之前会验证新的单播IPv6地址的唯一性.
在DAD验证期间,新的地址会保持暂定状态.
在此字段中输入0可禁用对指定接口执行的重复地址检测处理.
在此字段中输入1表示没有后续传输的单次传输.
发送ICMPv6消息-可生成提示无法访问的目的消息.
步骤7单击应用可对选择的接口进行IPv6处理.
常规IPv6接口已自动配置以下地址:根据设备的MAC地址使用EUI-64格式的接口ID的链路本地地址所有节点链路本地组播地址(FF02::1)请求的节点组播地址(格式为FF02::1:FFXX:XXXX)步骤8单击IPv6地址表可为接口手动分配IPv6地址(如果需要).
有关该页面的描述,请参阅"定义IPv6地址"一节.
步骤9要添加隧道,请选择IPv6隧道表中的一个接口(在"IPv6接口"页面定义为隧道),然后单击IPv6隧道表.
请参阅IPv6隧道步骤10按重新启动按钮开始刷新接收自DHCPv6服务器的无状态信息.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南25918DHCPv6客户端详细信息详细信息按钮显示接口上接收自DHCPv6服务器的信息.
当所选接口定义为DHCPv6无状态客户端时,该按钮可用.
按下按钮后,将显示以下字段(针对接收自DHCP服务器的信息):DHCPv6运行模式-满足以下条件时显示"已启用":-接口已启用.
-已启用IPv6.
-已启用DHCPv6无状态客户端.
无状态服务-客户端是否定义为无状态(从DHCP服务器接收配置信息).
DHCPv6服务器地址-DHCPv6服务器地址.
DHCPv6服务器DUID-DHCPv6服务器唯一标识符.
DHCPv6服务器偏好-DHCPv6服务器优先级.
最小信息刷新时间-见上文.
信息刷新时间-见上文.
已接收的信息刷新时间-从DHCPv6服务器接收的刷新时间.
剩余信息刷新时间-下次刷新之前的剩余时间.
DNS服务器-接收自DHCPv6服务器的DNS服务器列表.
DNS域搜索列表-接收自DHCPv6服务器的域列表.
SNTP服务器-接收自DHCPv6服务器的SNTP服务器列表.
POSIX时区字符串-接收自DHCPv6服务器的时区.
配置服务器-包含了接收自DHCPv6服务器的配置文件的服务器.
配置路径名称-从接收自DHCPv6服务器的位于配置服务器上的配置文件路径.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26018IPv6隧道隧道实现了IPv6数据包在IPv4网络上的传输.
每个隧道都有一个源IPv4地址,如果是手动隧道,还有一个目的IPv4地址.
IPv6数据包封装在这些地址之间.
ISATAP隧道可在设备上配置的隧道类型称为站内自动隧道寻址协议(ISATAP)隧道,是一种点对多点隧道.
源地址是设备的IPv4地址(或IPv4地址之一).
配置ISATAP隧道时,目的IPv4地址由路由器提供.
请注意以下方面:会将IPv6链路本地地址分配给ISATAP接口.
会将初始IP地址分配给该接口,然后再启用该接口.
如果一个ISATAP接口处于活动状态,则会使用ISATAP至IPv4映射,通过DNS来解析ISATAP路由器IPv4地址.
如果未解析ISATAPDNS记录,则会在主机映射表中搜索ISATAP主机名至地址映射.
如果未通过DNS过程解析ISATAP路由器IPv4地址,则ISATAPIP接口仍处于活动状态.
但是,系统没有用于ISATAP流量的默认路由器,直到解析DNS过程.
配置隧道注配置隧道后,在"IPv6接口"页面配置IPv6接口.
配置IPv6隧道的步骤:步骤1在第2层系统模式下,单击管理>管理接口>IPv6隧道.
在第3层系统模式下,单击IP配置>IPv6管理和接口>IPv6隧道.
步骤2为以下字段输入值:隧道编号-显示自动隧道路由器域号.
隧道类型-始终为ISATAP.
源IPv4地址-当前设备上所选接口的IPv4地址,用于组成IPv6地址.
-自动-自动从设备上配置的所有IPv4接口中选择最低的IPv4地址.
该选项与第3层上的"接口"选项相同,因为第2层上只有一个接口.
注如果IPv4地址更改,隧道接口的本地地址也会更改.
-手动-输入要使用的源IPv4地址.
配置的IPv4地址必须为设备IPv4接口上的IPv4地址之一.
-接口-(在第3层上)选择要使用的IPv4接口.
ISATAP路由器名-表示特定自动隧道路由器域名的整体字符串.
该名称可以为默认名称(ISATAP)或用户定义的名称.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26118ISATAP请求间隔-没有ISATAP路由器处于活动状态时,ISATAP路由器请求消息之间的秒数.
该间隔可以为默认值或用户定义的间隔.
ISATAP健壮性-用于计算DNS或路由器请求查询的间隔.
数字越大,查询越频繁.
注如果IPv4接口不在使用中,则ISATAP隧道不可用.
步骤3单击应用.
隧道将保存至当前配置文件.
注要创建ISATAP隧道,请单击创建ISATAP隧道按钮.
ISATAP隧道将使用源IPv4地址自动创建.
创建ISATAP隧道后,此按钮将变为删除ISATAP隧道.
单击此按钮可删除ISATAP隧道.
注要关闭隧道,请单击编辑并取消选择"隧道状态".
定义IPv6地址为IPv6接口分配IPv6地址的步骤:步骤1在第2层系统模式下,单击管理>管理接口>IPv6地址.
在第3层系统模式下,单击IP配置>IPv6管理和接口>IPv6地址.
步骤2要过滤表格,请选择一个接口名称,然后单击转至.
会在"IPv6地址表"中显示该接口.
步骤3单击添加.
步骤4为以下字段输入值.
IPv6接口-显示在其上定义IPv6地址的接口.
如果显示*,则代表IPv6未启用但已配置.
IPv6地址类型-选择要添加的IPv6地址类型.
-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
-任播-IPv6地址为任播地址.
该地址会分配到通常属于不同节点的一组接口.
发送到任播地址的数据包将传输到任播地址确定的最近接口(由使用的路由协议定义).
IPv6地址-在第2层中,设备只支持一个IPv6接口.
除了默认链路本地地址和组播地址外,设备将根据它接收的路由器通告自动向接口添加全局地址.
该设备在接口上支持最多128个地址.
每个地址必须是使用以冒号分隔的16位值以十六进制格式指定的有效IPv6地址.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26218以下类型的地址可以添加到各种类型的隧道:-添加到手动隧道-全局或任播地址-添加到ISATAP隧道-含EUI-6的全局地址-6to4隧道-无前缀长度-全局IPv6前缀的长度,是0-128间的值,表示构成前缀(地址的网络部分)的地址高位的连续位数.
EUI-64-选择该选项可使用EUI-64参数来根据设备的MAC地址,使用EUI-64格式标识全局IPv6地址的接口ID部分.
步骤5单击应用.
将更新当前配置文件.
IPv6默认路由器列表使用"IPv6默认路由器列表"页面可配置和查看默认IPv6路由器地址.
该列表中包含一些候选路由器,这些路由器可能成为用于非本地流量(可能为空)的设备默认路由器.
设备会从列表中随机选择一个路由器.
设备支持一个静态IPv6默认路由器.
动态默认路由器是将路由器通告发送给设备IPv6接口的路由器.
添加或删除IP地址时,会发生以下事件:删除IP接口时,所有默认路由器IP地址都会被删除.
无法删除动态IP地址.
尝试插入多个用户定义的地址后,会显示一个警报消息.
尝试插入非链路本地类型的地址(即"fe80:")时,会显示一个警报消息.
定义默认路由器的步骤:步骤1在第2层系统模式下,单击管理>管理接口>IPv6默认路由器列表.
在第3层系统模式下,单击IP配置>IPv6管理和接口>IPv6默认路由器列表.
该页面将为每个默认路由器显示以下字段:接口-默认路由器所在的传出IPv6接口.
默认路由器IPv6地址-默认路由器的链路本地IP地址.
类型-默认路由器配置,包括以下选项:-静态-通过添加按钮将默认路由器添加到此表格.
-动态-动态配置默认路由器.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26318状态-指定路由器状态.
这些值包括:-可以访问-已知可以访问路由器.
-无法访问-已知无法访问路由器.
步骤2单击添加以添加静态默认路由器.
步骤3输入以下字段:链路本地接口(第2层)-显示传出链路本地接口.
默认路由器IPv6地址-默认路由器的IP地址步骤4单击应用.
默认路由器将保存至当前配置文件.
定义IPv6邻居信息使用"IPv6邻居"页面可以配置和查看IPv6接口上的IPv6邻居列表.
IPv6邻居表(也称为IPv6邻居发现缓存)会显示与设备位于同一IPv6子网内的IPv6邻居的MAC地址.
该表格是与IPv4ARP表格对等的IPv6表格.
当设备需要与其邻居进行通信时,设备会使用IPv6邻居表来根据邻居的IPv6地址确定MAC地址.
该页面会显示自动检测条目或手动配置条目的邻居.
每个条目都会显示与该邻居相连接的接口、该邻居的IPv6地址和MAC地址、条目类型(静态或动态)以及该邻居的状态.
定义IPv6邻居的步骤:步骤1在第2层系统模式下,单击管理>管理接口>IPv6邻居.
在第3层系统模式下,单击IP配置>IPv6管理和接口>IPv6邻居.
您可以选择一个清除表选项,以清除IPv6邻居表中的部分或全部IPv6地址.
仅静态-删除静态IPv6地址条目.
仅动态-删除动态IPv6地址条目.
全部动态和静态-删除静态和动态IPv6地址条目.
会为相邻接口显示以下字段:接口-相邻IPv6接口类型.
IPv6地址-邻居的IPv6地址.
MAC地址-映射到指定IPv6地址的MAC地址.
类型-邻居发现高速缓存信息条目类型(静态或动态).
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26418状态-指定IPv6邻居状态.
这些值包括:-不完整-正在解析地址.
邻居尚未作出响应.
-可以访问-已知可以访问邻居.
-过时-无法访问之前已知的邻居.
在必须发送流量之前不会执行任何操作来验证其可访问性.
-延迟-无法访问之前已知的邻居.
接口处于"延迟"状态(根据预定义的延迟时间).
如果收不到任何可访问性确认,状态将更改为"探测".
-探测-无法再访问邻居,并且正发送单播邻居请求探测器,以确认可访问性.
路由器-指定邻居是否为路由器(是或否).
步骤2要将邻居添加到表格中,请单击添加.
步骤3为以下字段输入值:接口-要添加的相邻IPv6接口.
IPv6地址-输入为该接口分配的IPv6网络地址.
该地址必须为有效的IPv6地址.
MAC地址-输入映射到指定IPv6地址的MAC地址.
步骤4单击应用.
将更新当前配置文件.
步骤5要将IP地址类型从动态更改为静态,请选择地址,然后单击编辑,并使用"编辑IPv6邻居"页面.
IPv6前缀列表配置第一步跳安全后,可以根据IPv6前缀定义过滤规则.
这些列表可在"IPv6前缀列表"页面定义.
前缀列表将配置为包含允许或拒绝关键字,以根据匹配条件允许或拒绝前缀.
隐式拒绝可应用于不匹配任何前缀列表条目的流量.
前缀列表条目包含一个IP地址和一个位掩码.
IP地址可用于有类网络、子网或单个主机路由.
位掩码为介于1至32的数字.
前缀列表经过配置,使用ge和le关键字时,可根据精确前缀长度的匹配或范围内的匹配过滤流量.
大于和小于参数用于指定前缀长度的范围,并提供比仅使用网络/长度参数更灵活的配置.
未指定大于或小于参数时,将使用精确匹配处理前缀列表.
如果仅指定了大于参数,则范围在为大于输入的值到完整的32位长度之间.
如果仅指定了小于,则范围在为网络/长度参数和小于输入的值之间.
如果大于和小于参数都输入了,则范围在用于大于和小于的值之间.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26518创建前缀列表的步骤:步骤1(在第3层中)单击IP配置>IPv6管理接口>IPv6前缀列表.
-或(在第2层中)单击管理>IPv6管理接口>IPv6前缀列表.
步骤2单击添加.
步骤3输入以下字段:列表名称-请选择以下其中一个选项:-使用目前列表-选择向之前定义的列表中添加一个前缀.
-创建新列表-输入名称,新建一个列表.
序列号-指定前缀在前缀列表中的位置.
请选择以下其中一个选项:-自动编号-将新的IPV6前缀置于前缀列表的最后一个条目之后.
序列号等于最后一个序列号加5.
如果列表为空,则前缀列表的第一个条目将分配编号5,后面的前缀列表条目编号将以5为增量递增.
-用户定义-将新的IPV6前缀置于参数定义的位置.
如果已存在带有该编号的条目,则将其替换为新的条目.
规则类型-输入前缀列表的规则:-允许-允许与条件匹配的网络.
-拒绝-拒绝与条件匹配的网络.
-说明-文本.
IPv6前缀-IP路由前缀.
前缀长度-IP路由前缀的长度.
大于-要用于匹配的最小前缀长度.
请选择以下其中一个选项:-无限制-没有要用于匹配的最小前缀长度.
-用户定义-要匹配的最小匹配长度.
小于-要用于匹配的最大前缀长度.
请选择以下其中一个选项:-无限制-没有要用于匹配的最大前缀长度.
-用户定义-要匹配的最大匹配长度.
说明-输入前缀列表的说明.
步骤4单击应用,以将配置保存到当前配置文件中.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26618查看IPv6路由表IPv6转发表包括多个已配置的路由.
其中一个路由是默认路由(IPv6address:0),该路由使用从"IPv6默认路由器列表"中选择的默认路由器,将数据包传送给与设备不在同一IPv6子网内的目的设备.
除了包含默认路由之外,该表格还包含动态路由,这些动态路由是使用ICMP重定向消息从IPv6路由器接收的ICMP重定向路由.
如果设备使用的默认路由器不是将流量传输到设备要与其进行通信的IPv6子网的路由器,则会发生这种情况.
查看IPv6路由的步骤:在第2层系统模式下查看IPv6路由条目的步骤:步骤1单击管理>管理接口>IPv6路由.
-或在第3层系统模式下查看IPv6路由条目的步骤:单击IP配置>IPv6管理和接口>IPv6路由.
此页面显示了以下字段:IPv6前缀-目的IPv6子网地址的IP路由前缀.
前缀长度-目的IPv6子网地址的IP路由前缀长度.
它前面有一个正斜杠.
接口-用于转发数据包的接口.
下一跳-将数据包转发到的地址.
通常,该地址为相邻路由器的地址.
可采用以下类型之一.
-链路本地-IPv6接口和IPv6地址用于唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
-点到点-点到点隧道.
度量标准-用于将该路由与IPv6路由器列表中目的相同的其他路由进行比较的值.
所有默认路由具有相同值.
有效期限-在删除数据包之前可将其发送和再次发送的时间段.
路由类型-连接目的的方法以及用于获取条目的方法.
值如下:-本地-一种直接连接的网络,其前缀衍生自手动配置的设备IPv6地址.
-动态-目的地址是间接连接的(远程)IPv6子网地址.
条目是通过ND或ICMP协议动态获取的.
IP配置IPv6管理和接口思科300系列管理型交换机管理指南26718-静态-条目是由用户手动配置的.
DHCPv6中继DHCPv6中继用于向DHCPv6服务器中继DHCPv6消息.
在RFC3315中进行定义.
如果DHCPv6客户端未直接连接到DHCPv6服务器,此DHCPv6客户端直接连接的DHCPv6中继代理(设备)会封装接收自直接连接的DHCPv6客户端的消息,并将其转发到DHCPv6服务器.
在相反方向,中继代理会解开接收自DHCPv6服务器的数据包封装,并将其转发到DHCPv6客户端.
用户必须配置数据包转发的目的DHCP服务器.
可配置两组DHCPv6服务器:全局目标-数据包始终中继到这些DHCPv6服务器.
接口列表-这是按接口列出的DHCPv6服务器.
接口上接收到DHCPv6数据包后,数据包会中继到接口列表(如果存在)上的服务器和全局目标列表上的服务器.
与其他功能的依赖性DHCPv6客户端与DHCPv6中继功能在同一接口上相互排斥.
全局目标配置作为所有DHCPv6数据包中继目标的DHCPv6服务器列表的步骤:步骤1单击IP配置>IPv6管理和接口>DHCPv6中继>全局目标.
步骤2要添加默认DHCPv6服务器,请单击添加.
步骤3输入以下字段:IPv6地址类型-输入客户端消息转发到的目的地址类型.
地址类型可以是链路本地、全局或组播(All_DHCP_Relay_Agents_and_Servers).
DHCPv6服务器IP地址-输入作为数据包转发目标的DHCPv6服务器地址.
(目的)IPv6接口-输入当DHCPv6服务器地址类型为链路本地或组播时传输数据包的接口.
步骤4单击应用.
将更新当前配置文件.
接口设置在接口上启用DHCPv6中继功能以及配置作为DHCPv6数据包中继目标(在接口上收到这些数据包时)的DHCPv6服务器的步骤:IP配置域名思科300系列管理型交换机管理指南26818步骤1单击IP配置>IPv6管理和接口>DHCPv6中继>接口设置.
步骤2要在接口上启用DHCPv6并选择性地为某个接口添加DHCPv6服务器,请单击添加.
输入以下字段:源接口-选择启用DHCPv6中继的接口(端口、LAG、VLAN或隧道).
只使用全局目标-选择该选项仅将数据包转发到DHCPv6全局目标服务器.
IPv6地址类型-输入客户端消息转发到的目的地址类型.
地址类型可以是链路本地、全局或组播(All_DHCP_Relay_Agents_and_Servers).
DHCPv6服务器IP地址-输入作为数据包转发目标的DHCPv6服务器地址.
(目的)IPv6接口-输入当DHCPv6服务器地址类型为链路本地或组播时传输数据包的接口.
步骤3单击应用.
将更新当前配置文件.
域名域名系统(DNS)会将域名转换为IP地址,以找到这些主机并对其进行寻址.
作为一个DNS客户端,设备可通过使用一个或多个配置的DNS服务器将域名解析为IP地址.
DNS设置使用"DNS设置"页面可启用DNS功能、配置DNS服务器,以及设置设备使用的默认域名.
步骤1单击IP配置>域名系统>DNS设置.
步骤2输入参数.
DNS-选择该选项可将设备指定为一个DNS客户端,它可通过一个或多个配置的DNS服务器将DNS名称解析为IP地址.
轮询重试次数-输入在设备决定DNS服务器不存在之前向DNS服务器发送DNS查询的次数.
轮询超时-输入设备等待DNS查询响应的时间(以秒为单位).
轮询间隔-输入超出重试次数后设备发送DNS查询数据包的间隔时间(以秒为单位).
-使用默认设置-选择使用默认值.
此值=2*(轮询重试次数+1)*轮询超时IP配置域名思科300系列管理型交换机管理指南26918-用户定义-选择该选项可输入用户定义的值.
默认参数-输入以下默认参数:-默认域名-输入用于完成不合格主机名的DNS域名.
设备会对非完全限定的域名(NFQDN)进行追加,以将其转换为FQDN.
注不要加入使不合格名称与域名(例如cisco.
com)分离开的起始句点.
-DHCP域搜索列表-单击详情查看设备上配置的DNS服务器列表.
步骤3单击应用.
将更新当前配置文件.
DNS服务器表:将为每个配置的DNS服务器显示以下字段:DNS服务器-DNS服务器的IP地址.
偏好-每个服务器都有偏好值,值越低代表使用几率越高.
源-服务器IP地址源(静态、DHCPv4或DHCPv6)接口-服务器IP地址接口.
步骤4您最多可定义八个DNS服务器.
要添加DNS服务器,请单击添加.
输入参数.
IP版本-为IPv6选择"版本6",或为IPv4选择"版本4".
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-如果IPv6地址类型为"链路本地",请选择接收的接口.
DNS服务器IP地址-输入DNS服务器的IP地址.
偏好-选择可确定域使用顺序(从低到高)的值.
该选项可有效确定在DNS查询过程中不合格名称的完成顺序.
步骤5单击应用.
DNS服务器将保存至当前配置文件.
IP配置域名思科300系列管理型交换机管理指南27018搜索列表搜索列表包含一个由用户使用"DNS设置"页面定义的静态条目和接收自DHCPv4与DHCPv6服务器的动态条目.
查看设备上已配置的域名的步骤:步骤1单击IP配置>域名系统>搜索列表.
将为设备上配置的每个DNS服务器显示以下字段.
域名-设备上可使用的域的名称.
源-该域的服务器IP地址源(静态、DHCPv4或DHCPv6)接口-该域的服务器IP地址接口.
偏好-使用域的顺序(从低到高).
该选项可有效确定在DNS查询过程中不合格名称的完成顺序.
主机映射主机名/IP地址映射存储在主机映射表(DNS缓存)中.
该缓存可包含以下类型的条目:静态条目-手动添加到缓存的映射对.
最多64条静态条目.
动态条目-这些映射可以在用户使用后由系统添加,也可以是DHCP针对设备上配置的每个IP地址添加的条目.
可以有256条动态条目.
名称解析始终从检查这些静态条目开始、然后继续检查动态DNS条目,最后向外部DNS服务器发送请求.
可以针对每个主机名的每个DNS服务器支持8个IP地址.
添加主机名及其IP地址的步骤:步骤1单击IP配置>域名系统>主机映射.
步骤2如果需要,选择清除表选项,以清除主机映射表中的部分或全部条目.
仅静态-删除静态主机.
仅动态-删除动态主机.
全部动态和静态-删除静态和动态主机.
IP配置域名思科300系列管理型交换机管理指南27118主机映射表将显示以下字段:主机名-用户定义的主机名或完全合格的名称.
IP地址-主机IP地址.
IP版本-主机IP地址的IP版本.
类型-对缓存而言是动态还是静态条目.
状态-显示尝试访问主机的结果-确定-尝试已成功.
-负高速缓存-尝试失败,请勿再次尝试.
-未响应-没有响应,但系统可稍后继续尝试.
TTL(秒)-如果是动态条目,将在缓存中保存的时间.
剩余TTL(秒)-如果是动态条目,还能在缓存中保存的时间.
步骤3要添加主机映射,请单击添加.
步骤4输入参数.
IP版本-为IPv6选择版本6,或为IPv4选择版本4.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-如果IPv6地址类型为"链路本地",请选择接收的接口.
主机名-输入用户定义的主机名或完全合格的名称.
主机名只能包含从A到Z的ASCII字母、数字0到9、下划线和连字符.
句点(.
)用于分隔标签.
IP地址-输入单个IP地址或最多八个相关的IP地址(IPv4或IPv6).
步骤5单击应用.
设置将保存到当前配置文件中.
19思科300系列管理型交换机管理指南272安全本节介绍设备安全和访问控制.
系统可处理多种类型的安全.
以下主题列表描述了本节中所介绍的多种类型的安全功能:某些功能用于多种类型的安全或控制,因此它们会在下面的主题列表中出现两次.
以下各节介绍了管理设备的权限:配置安全性配置TACACS+配置RADIUS管理访问方法管理访问验证安全敏感数据管理SSL服务器以下各节介绍了针对设备CPU的防攻击保护:配置TCP/UDP服务定义风暴控制访问控制以下各节介绍了如何通过设备控制终端用户对网络的访问:管理访问方法管理访问方法配置TACACS+配置RADIUS配置端口安全802.
1X时间范围安全配置安全性思科300系列管理型交换机管理指南27319以下各节介绍了对其他网络用户的防御.
这些攻击通过设备进行,而非针对设备.
DoS防护DHCPSnoopingSSL服务器定义风暴控制配置端口安全IP源防护ARP检测访问控制列表第一步跳安全性配置安全性默认的用户名/密码为cisco/cisco.
第一次使用默认用户名和密码登录时,您需要输入新密码.
默认情况下,将启用密码复杂性设置.
如果您选择的密码不够复杂(已在"密码强度"页面中启用密码复杂性设置),系统将提示您创建其他密码.
设置用户帐户使用"用户帐户"页面可添加有权访问设备(只读或读写)的用户,或更改现有用户的密码.
添加15级用户后(如下所述),将从系统中移除默认用户.
注系统不允许删除所有用户.
如果选择所有用户,删除按钮会被禁用.
添加新用户的步骤:步骤1单击管理>用户帐户.
此页面显示系统中定义的用户及其用户权限等级.
步骤2选择密码恢复服务,启用此功能.
当此功能启用时,具有设备Console端口物理访问权限的最终用户可以进入引导菜单,并触发密码恢复流程.
当引导系统流程结束时,您无需密码验证即可登录该设备.
只有通过Console,且只有当该Console连接至具有物理访问权限的设备时,才可以进入该设备.
安全配置安全性思科300系列管理型交换机管理指南27419禁用密码恢复机制时,依然可用访问启动菜单,您可以触发密码恢复流程.
区别在于,在此情况下,在系统引导进程期间将移除所有配置和用户文件,并为终端生成适用的日志消息.
步骤3单击添加以添加新用户,或单击编辑以修改用户.
步骤4输入参数.
用户名-输入新用户名,长度应介于0到20个字符之间.
不允许使用UTF-8字符.
密码-输入一个密码(不允许使用UTF-8字符).
如果已定义密码强度和复杂性,则用户密码必须与设置密码强度规则中配置的策略相符.
确认密码-再次输入密码.
密码强度计-显示密码的强度.
密码强度和复杂性的策略在"密码强度"页面中配置.
用户等级-选择添加/编辑的用户权限级别.
-只读CLI访问(1)-用户不能访问GUI,只能访问不会更改设备配置的CLI命令.
-读/受限写入CLI访问(7)-用户不能访问GUI,只能访问某些可以更改设备配置的CLI命令.
有关详情,请参阅CLI参考指南.
-读/写管理访问(15)-用户能够访问GUI,并配置设备.
步骤5单击应用.
用户将添加到设备的当前配置文件中.
设置密码强度规则密码用于验证访问设备的用户.
简单的密码可能会危害安全.
因此,默认情况下,将实施密码复杂性要求,并可在必要时进行配置.
密码复杂性要求在密码强度页面上进行配置,该页面可通过安全下拉菜单打开.
此外,还可以在此页面上配置密码过期时间.
定义密码复杂性规则的步骤:步骤1单击安全>密码强度.
步骤2输入以下密码过期参数:密码过期-如果选择此选项,则当密码过期时间到期时,系统将提示用户更改密码.
密码过期时间-输入在提示用户更改密码之前可经过的天数.
注密码过期时间适用于零长度密码(无密码).
步骤3选择密码复杂性设置启用密码复杂性规则.
安全配置TACACS+思科300系列管理型交换机管理指南27519如果已启用密码复杂性,新密码必须符合下列默认设置:密码最小长度为8个字符.
包含至少三个字符类别的字符(大写字母、小写字母、数字和标准键盘上可用的特殊字符).
不同于当前密码.
不得包含连续重复3次以上的字符.
不能与用户名重复,不能是以反向顺序排列的用户名,或者是通过更改字符大小写产生的任意变体.
不能与制造商名重复,不能是以反向顺序排列的制造商名,或者是通过更改字符大小写产生的任意变体.
步骤4如果密码复杂性设置已启用,可以配置以下参数:最短密码长度-输入密码所需的最小字符数.
注可以设置零长度密码(无密码),而且依然可以为其分配密码过期时间.
允许的字符重复-字符可以重复输入的次数.
最少字符类别数-输入密码中必须提供的字符类别数.
字符类别包括小写字母(1)、大写字母(2)、数字(3)和符号或特殊字符(4).
新密码必须与当前密码不同-如果选择此选项,则更改密码时新密码不能与当前密码相同.
步骤5单击应用.
密码设置将写入当前配置文件中.
注您可以通过CLI配置用户名-密码等效值和制造商-密码等效值.
有关详情,请参阅CLI参考指南.
配置TACACS+组织可建立终端接入控制器接入控制系统(TACACS+)服务器,为所有设备提供集中的安全保护.
通过这种方式,对组织内所有设备的验证和授权可在一台服务器上执行.
设备可作为TACACS+客户端工作,使用TACACS+服务器执行以下服务:验证-对使用用户名和用户定义的密码登录到设备的用户进行验证.
授权-在登录时执行此服务.
验证会话完成之后,将使用经验证的用户名开始授权会话.
然后,TACACS+服务器将检查用户权限.
帐务-使用TACACS+服务器启用登录会话帐务功能.
让系统管理员可以从TACACS+服务器生成帐务报告.
安全配置TACACS+思科300系列管理型交换机管理指南27619除提供验证和授权服务之外,TACACS+协议还可通过加密TACACS正文消息帮助确保TACACS消息受到保护.
TACACS+仅支持IPv4.
某些TACACS+服务器支持单个连接,其可使设备接收单个连接中的所有信息.
如果TACACS+服务器不支持单个连接,则设备将恢复到多个连接.
使用TACACS+服务器的帐务用户可使用RADIUS或TACACS+服务器启用登录会话帐务功能.
用于TACACS+服务器帐务且可由用户配置的TCP端口是用于TACACS+服务器验证与授权的同一TCP端口.
用户登录或注销时,设备将向TACACS+服务器发送以下信息:默认设置以下默认设置与此功能相关:默认情况下未定义默认TACACS+服务器.
配置TACACS+服务器时,默认情况下帐务功能会禁用.
与其他功能进行交互无法同时在RADIUS和TACACS+服务器上启用帐务.
表2:参数说明包含在开始消息中包含在停止消息中task_id唯一的帐务会话标识符.
是是user用于登录验证而输入的用户名.
是是rem-addr用户IP地址.
是是elapsed-time用户已登录时间.
否是reason会话终止的原因.
否是安全配置TACACS+思科300系列管理型交换机管理指南27719工作流程要使用TACACS+服务器,请执行以下操作:步骤1在TACACS+服务器上开立一个用户帐户.
步骤2在TACACS+页面和"添加TACACS+服务器"页面配置服务器和其他参数.
步骤3在"管理访问验证"页面中选择TACACS+,这样,当用户登录设备时,将在TACACS+服务器而非本地数据库中执行验证.
注如果配置了多个TACACS+服务器,设备将使用已配置的可用TACACS+服务器优先级选择设备要使用的TACACS+服务器.
配置TACACS+服务器TACACS+页面可配置TACACS+服务器.
只有在TACACS+服务器上具有15级权限的用户才能管理设备.
根据下面的用户或组定义中的字符串,为TACACS+服务器上的用户或用户组赋予15级权限:service=exec{priv-lvl=15}配置TACACS+服务器参数的步骤:步骤1单击安全>TACACS+.
步骤2根据需要启用TACACS+帐务.
请参阅使用TACACS+服务器的帐务一节中的说明.
步骤3输入以下默认参数:密钥字符串-输入默认密钥字符串,用于与在加密或明文模式下的所有TACACS+服务器进行通信.
可将设备配置为使用此密钥或使用一个为特定服务器输入的密钥(在"添加TACACS+服务器"页面中输入).
如果您未在此字段中输入密钥字符串,则在"添加TACACS+服务器"页面中输入的服务器密钥必须与TACACS+服务器所使用的加密密钥相匹配.
如果您在此处同时输入了密钥字符串,并且为单个TACACS+服务器输入了密钥字符串,则为单个TACACS+服务器配置的密钥字符串优先级较高.
应答超时-输入设备与TACACS+服务器之间的连接超时之前经过的时间量.
如果未在"添加TACACS+服务器"页面中为特定服务器输入值,则会从此字段中获取该值.
源IPv4接口-选择要在与TACACS+服务器通信的消息中使用的设备IPv4源接口.
安全配置TACACS+思科300系列管理型交换机管理指南27819源IPv6接口-选择要在与TACACS+服务器通信的消息中使用的设备IPv6源接口.
注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
步骤4单击应用.
将TACACS+默认设置添加至当前配置文件.
如果"添加"页面中未定义对等参数,则使用这些设置.
步骤5若要添加一台TACACS+服务器,请单击添加.
步骤6输入参数.
服务器定义-选择以下其中一种方法来识别TACACS+服务器:-按IP地址-如果选择此选项,请在服务器IP地址/名称字段中输入服务器的IP地址.
-按名称-如果选择此选项,请在服务器IP地址/名称字段中输入服务器的名称.
IP版本-选择支持的源地址IP版本:IPv6或IPv4.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果选择的IPv6地址类型为"链路本地").
服务器IP地址/名称-输入TACACS+服务器的IP地址或名称.
优先级-输入使用此TACACS+服务器的顺序.
0代表优先级最高的TACACS+服务器,也是使用的第一个服务器.
如果它无法建立与优先级最高的服务器的会话,设备将尝试使用下一个优先级最高的服务器.
密钥字符串-输入用于在设备与TACACS+服务器之间进行验证和加密的默认密钥字符串.
此密钥必须与在TACACS+服务器上配置的密钥相匹配.
密钥字符串用于加密使用MD5进行的通信.
您可以选择设备上的默认密钥,或者以加密或明文形式输入密钥.
如果您没有加密的密钥字符串(从其他设备获得),可以以明文模式输入密钥字符串,并单击应用.
系统将生成并显示加密的密钥字符串.
如果输入密钥,该密钥将覆盖在主页上为设备定义的默认密钥字符串(如果有).
应答超时-选择用户定义并输入设备与TACACS+服务器之间的连接超时之前经过的时间量.
选择使用默认设置可使用此页面上所显示的默认值.
验证IP端口-输入通过其进行TACACS+会话的端口号.
单个连接-选择后,可以通过单个连接接收所有信息.
如果TACACS+服务器不支持单个连接,则设备将恢复到多个连接.
安全配置RADIUS思科300系列管理型交换机管理指南27919步骤7单击应用.
TACACS+服务器将添加到设备的当前配置文件中.
步骤8要以明文形式显示此页面中的敏感数据,请单击将敏感数据显示为明文模式.
配置RADIUS远程授权拨入用户服务(RADIUS)服务器提供了集中的802.
1X或基于MAC的网络访问控制.
设备是一种RADIUS客户端,可以使用RADIUS服务器来提供集中的安全保护.
组织可建立远程身份验证拨入用户服务(RADIUS)服务器,为所有设备提供集中的802.
1X或基于MAC的网络访问控制.
通过这种方式,对组织内所有设备的验证和授权可在一台服务器上执行.
设备可作为RADIUS客户端工作,使用RADIUS服务器执行以下服务:验证-对使用用户名和用户定义的密码登录到设备的常规用户和802.
1X用户进行验证.
授权-在登录时执行此服务.
验证会话完成之后,将使用经验证的用户名开始授权会话.
然后,RADIUS服务器将检查用户权限.
帐务-使用RADIUS服务器启用登录会话帐务功能.
让系统管理员可以从RADIUS服务器生成帐务报告.
使用RADIUS服务器的帐务用户可使用RADIUS服务器启用登录会话帐务功能.
用于RADIUS服务器帐务且可由用户配置的TCP端口是用于RADIUS服务器验证与授权的同一TCP端口.
默认设置以下默认设置与此功能相关:默认情况下未定义默认RADIUS服务器.
配置RADIUS服务器时,默认情况下帐务功能会禁用.
与其他功能进行交互无法同时在RADIUS和TACACS+服务器上启用帐务.
安全配置RADIUS思科300系列管理型交换机管理指南28019RADIUS工作流程要使用RADIUS服务器,请执行以下操作:步骤1在RADIUS服务器上开立一个设备帐户.
步骤2在RADIUS页面和"添加RADIUS服务器"页面配置服务器和其他参数.
注如果配置了多个RADIUS服务器,设备将使用已配置的可用RADIUS服务器优先级选择设备要使用的RADIUS服务器.
设置RADIUS服务器参数的步骤:步骤1单击安全>RADIUS.
步骤2输入RADIUS帐务选项.
可能的选项有:基于端口的访问控制(802.
1X、基于MAC、Web验证)-指定RADIUS服务器用于802.
1x端口帐务.
基于Web的验证只能在Sx300和SG500设备的第2层模式下使用.
在SG500XG和SG500X设备上,可以在原生模式和高级混合XG模式下使用.
管理访问-指定RADIUS服务器用于用户登录帐务.
基于端口的访问控制和管理访问-指定RADIUS服务器用于用户登录帐务和802.
1x端口帐务.
无-指定RADIUS服务器不用于帐务.
步骤3若需要,输入默认的RADIUS参数.
在"默认参数"中输入的值适用于所有服务器.
如果没有(在"添加RADIUS服务器"页面中)为特定服务器输入值,则设备将使用这些字段中的值.
重试次数-输入在认为已发生故障之前发送到RADIUS服务器之请求的传输次数.
应答超时-输入设备在重试查询或转换到下一个服务器之前等待从RADIUS服务器中返回响应的秒数.
无响应时间-输入服务请求绕过无响应RADIUS服务器之前经过的分钟数.
如果值为0,则表示未绕过服务器.
密钥字符串-输入用于在设备与RADIUS服务器之间进行验证和加密的默认密钥字符串.
此密钥必须与在RADIUS服务器上配置的密钥相匹配.
密钥字符串用于加密使用MD5进行的通信.
密钥可以以加密或明文的形式进行输入.
如果您没有加密的密钥字符串(从其他设备获得),可以以明文模式输入密钥字符串,并单击应用.
系统将生成并显示加密的密钥字符串.
如果已定义密钥字符串,这将会覆盖默认的密钥字符串.
源IPv4接口-选择要在与RADIUS服务器通信的消息中使用的设备IPv4源接口.
源IPv6接口-选择要在与RADIUS服务器通信的消息中使用的设备IPv6源接口.
安全配置RADIUS思科300系列管理型交换机管理指南28119注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
步骤4单击应用.
设备RADIUS默认设置将在当前配置文件中更新.
若要添加RADIUS服务器,请单击添加.
步骤5在字段中输入每个RADIUS服务器的值.
要使用在RADIUS页面中输入的默认值,请选择使用默认设置.
服务器定义-选择是按照IP地址还是名称来指定RADIUS服务器.
IP版本-选择RADIUS服务器IP地址的版本.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果选择的IPv6地址类型为"链路本地").
服务器IP地址/名称-按照IP地址或名称输入RADIUS服务器.
优先级-输入服务器的优先级.
优先级可确定设备尝试联系服务器以验证用户的顺序.
设备将首先从优先级最高的RADIUS服务器开始.
0代表最高优先级.
密钥字符串-输入用于验证和加密在设备与RADIUS服务器之间通信的密钥字符串.
此密钥必须与在RADIUS服务器上配置的密钥相匹配.
密钥可以加密或明文形式输入.
如果选择使用默认设置,设备将尝试使用默认的密钥字符串验证RADIUS服务器.
应答超时-选择用户定义并输入设备在重试查询或切换到下一个服务器(如果已达最大重试次数)之前等待RADIUS服务器返回响应的秒数.
如果选择使用默认设置,设备将使用默认的超时值.
验证端口-输入用于验证请求的RADIUS服务器端口UDP端口号.
帐务端口-输入用于帐务请求的RADIUS服务器端口UDP端口号.
重试次数-选择用户定义并输入在认为已发生故障之前发送到RADIUS服务器的请求次数.
如果选择使用默认设置,设备将使用重试次数的默认值.
无响应时间-选择用户定义并输入服务请求绕过无响应RADIUS服务器之前必须经过的分钟数.
如果选择使用默认设置,设备将使用无响应时间的默认值.
如果输入0分钟,则表示没有无响应时间.
用途类型-输入RADIUS服务器的验证类型.
选项如下:-登录-RADIUS服务器用于验证想要管理设备的用户.
-802.
1X-RADIUS服务器用于802.
1x验证.
安全管理访问方法思科300系列管理型交换机管理指南28219-全部-RADIUS服务器用于验证想要管理设备的用户和802.
1X验证.
步骤6单击应用.
RADIUS服务器定义将添加到设备的当前配置文件中.
步骤7要以明文形式显示页面中的敏感数据,请单击将敏感数据显示为明文模式.
管理访问方法访问模板用于确定如何验证和授权通过各种访问方法访问设备的用户.
访问模板可以限制来自特定源的管理访问.
只有通过活动的访问模板和管理访问验证方法的用户才会获得对设备的管理访问权限.
在任何时间设备上只能有一个访问模板处于活动状态.
访问模板由一个或多个规则组成.
按照访问模板中规则的优先级顺序(从上到下)执行这些规则.
规则由包括以下元素的过滤器组成:访问方法-访问和管理设备的方法:-Telnet-安全Telnet(SSH)-超文本传输协议(HTTP)-安全HTTP(HTTPS)-简单网络管理协议(SNMP)-以上全部操作-允许或拒绝访问接口或源地址.
接口-被允许或拒绝访问基于Web的配置实用程序的端口、LAG或VLAN.
源IP地址-IP地址或子网.
各用户组对管理方法的访问权限可能有所不同.
例如,一个用户组可能只能使用HTTPS会话来访问设备模块,而另一个用户组可能能够使用HTTPS会话和Telnet会话来访问设备模块.
当前选中的访问模板"访问模板"页面可显示已定义的访问模板,并可用来选择一个将要处于活动状态的访问模板.
安全管理访问方法思科300系列管理型交换机管理指南28319当用户尝试通过一种访问方法访问设备时,设备需要查看活动的访问模板是否明确允许通过此方法对设备进行管理访问.
如果找不到匹配项,则拒绝进行访问.
当访问设备的尝试违反了活动的访问模板时,设备会生成一条系统日志消息来向系统管理员发送有关该尝试的警报.
如果已激活仅Console访问模板,则将其禁用的唯一方式是从管理站直接连接到设备上的物理Console端口.
有关详情,请参阅定义模板规则.
使用"访问模板"页面可以创建访问模板,并添加第一个规则.
如果访问模板只包含一个规则,则添加工作即已完成.
若要向模板添加其他规则,请使用"模板规则配置"页面.
步骤1单击安全>管理访问方法>访问模板.
此页面显示所有处于和未处于活动状态的访问模板.
步骤2要更改当前选中的访问模板,请从当前选中的访问模板下拉菜单中选择一个模板,然后单击应用.
此操作可使选择的模板成为当前选中的访问模板.
注如果您选择了"仅Console",则系统会显示一条警告消息.
如果您继续操作,则系统会立即断开您与基于Web的配置实用程序的连接,并且您只能通过Console端口访问设备.
这只适用于提供Console端口的设备类型.
当您选择任何其他访问模板时,系统会根据选择的访问模板显示警告消息,提醒您系统可能会断开您与基于Web的配置实用程序的连接.
步骤3单击确定以选择当前选中的访问模板,或单击取消以停止此操作.
步骤4单击添加以打开"添加访问模板"页面.
您可以使用该页面配置新模板和一个规则.
步骤5输入访问模板名称.
此名称可包含最多32个字符.
步骤6输入参数.
规则优先级-输入规则优先级.
当数据包与规则相匹配时,系统会允许或拒绝用户组访问设备.
由于根据首次匹配原则对数据包进行匹配,因此在将数据包与规则进行匹配时,规则优先级至关重要.
1代表最高优先级.
管理方法-选择为其定义了规则的管理方法.
选项如下:-全部-将所有管理方法分配给规则.
-Telnet-符合Telnet访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-安全Telnet(SSH)-符合SSH访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-HTTP-符合HTTP访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-安全HTTP(HTTPS)-符合HTTPS访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
安全管理访问方法思科300系列管理型交换机管理指南28419-SNMP-符合SNMP访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
操作-选择规则所关联的操作.
选项如下:-允许-如果用户与模板中的设置相匹配,则允许该用户访问设备.
-拒绝-如果用户与模板中的设置不匹配,则拒绝该用户访问设备.
应用到接口-选择规则所关联的接口.
选项如下:-全部-适用于所有端口、VLAN和LAG.
-用户定义-适用于选中的接口.
接口-输入接口编号(如果已选择"用户定义").
应用到源IP地址-选择访问模板适用的源IP地址类型.
源IP地址字段适用于子网.
请选择以下其中一个值:-全部-适用于所有类型的IP地址.
-用户定义-仅适用于在该字段中定义的IP地址类型.
IP版本-输入源IP地址版本:"版本6"或"版本4".
IP地址-输入源IP地址.
掩码-为源IP地址选择子网掩码的格式,并在以下其中一个字段中输入值:-网络掩码-选择源IP地址所归属的子网,并按照点分十进制格式输入子网掩码.
-前缀长度-选择前缀长度,并输入组成源IP地址前缀的位数.
步骤7单击应用.
访问模板将写入当前配置文件中.
现在,您可以选择此访问模板作为当前选中的访问模板.
定义模板规则访问模板最多可包含128个规则,以确定有权管理和访问设备的人以及可能使用的访问方法.
访问模板中的每个规则均包含要匹配的操作和条件(一个或多个参数).
每个规则均具有优先级;会首先检查优先级最低的规则.
如果传入数据包与规则相匹配,则会执行与规则相关联的操作.
如果在活动的访问模板中找不到匹配的规则,则会丢弃数据包.
例如,您可以限制所有IP地址对设备的访问,仅允许分配到IT管理中心的IP地址访问设备.
这样一来,仍可以管理设备,并使其获得另一层的安全.
安全管理访问方法思科300系列管理型交换机管理指南28519将模板规则添加到访问模板的步骤:步骤1单击安全>管理访问控制>模板规则.
步骤2选择"过滤器"字段,然后选择一个访问模板.
单击转至.
选择的访问模板将显示在模板规则表中.
步骤3单击添加添加一条规则.
步骤4输入参数.
访问模板名称-选择一个访问模板.
规则优先级-输入规则优先级.
当数据包与规则相匹配时,系统会允许或拒绝用户组访问设备.
由于根据首次匹配原则对数据包进行匹配,因此在将数据包与规则进行匹配时,规则优先级至关重要.
管理方法-选择为其定义了规则的管理方法.
选项如下:-全部-将所有管理方法分配给规则.
-Telnet-符合Telnet访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-安全Telnet(SSH)-符合Telnet访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-HTTP-将HTTP访问分配给规则.
符合HTTP访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-安全HTTP(HTTPS)-符合HTTPS访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
-SNMP-符合SNMP访问模板标准的用户,在请求访问设备时,会获得允许或遭到拒绝.
操作-选择允许以允许尝试使用配置的访问方法通过按照此规则定义的接口或IP源来访问设备的用户进行访问.
或选择拒绝以拒绝访问.
应用到接口-选择规则所关联的接口.
选项如下:-全部-适用于所有端口、VLAN和LAG.
-用户定义-仅适用于选择的端口、VLAN或LAG.
接口-输入接口编号.
应用到源IP地址-选择访问模板适用的源IP地址类型.
源IP地址字段适用于子网.
请选择以下其中一个值:-全部-适用于所有类型的IP地址.
-用户定义-仅适用于在该字段中定义的IP地址类型.
IP版本-选择支持的源地址IP版本:IPv6或IPv4.
安全管理访问验证思科300系列管理型交换机管理指南28619IP地址-输入源IP地址.
掩码-为源IP地址选择子网掩码的格式,并在以下其中一个字段中输入值:-网络掩码-选择源IP地址所归属的子网,并按照点分十进制格式输入子网掩码.
-前缀长度-选择前缀长度,并输入组成源IP地址前缀的位数.
步骤5单击应用,将规则添加到访问模板.
管理访问验证您可以为各种管理访问方法分配授权和验证方法,例如SSH、Console、Telnet、HTTP和HTTPS.
可以在本地或在TACACS+或RADIUS服务器上执行验证.
如果启用授权,系统会验证用户的身份和读/写权限.
如果未启用授权,系统仅验证用户的身份.
使用的授权/验证方法取决于选择验证方法的顺序.
如果第一种验证方法不可用,则使用选择的下一个方法.
例如,如果选择的验证方法为"RADIUS"和"本地",并且以优先级顺序对所有已配置RADIUS服务器进行查询但未获得响应,则会在本地对用户进行授权/验证.
如果启用授权,并且验证方法失败或用户的权限级别不足,则系统会拒绝用户访问设备.
换句话说,如果某种验证方法验证失败,则设备会停止验证尝试;设备不会继续工作,且不会尝试使用下一个验证方法.
同样,如果未启用授权并且某种方法验证失败,则设备会停止验证尝试.
为访问方法定义验证方法的步骤:步骤1单击安全>管理访问验证.
步骤2输入管理访问方法的应用(类型).
步骤3选择验证按照下述方法列表启用用户验证和授权.
如果未选择该字段,则仅执行验证.
如果启用授权,系统会检查用户的读/写权限.
此权限级别在"用户帐户"页面中设置.
步骤4使用箭头在可选方法列与选定的方法列之间移动授权/验证方法.
系统按照方法的显示顺序尝试各个方法.
步骤5使用箭头在可选方法列与选定的方法列之间移动验证方法.
选择的第一种方法即为使用的第一种方法.
安全安全敏感数据管理思科300系列管理型交换机管理指南28719RADIUS-在RADIUS服务器上对用户进行授权/验证.
您必须已配置了一个或多个RADIUS服务器.
为了使RADIUS服务器能够授予对基于Web的配置实用程序的访问权限,RADIUS服务器必须返回cisco-avpair=shell:priv-lvl=15.
TACACS+-在TACACS+服务器上对用户进行授权/验证.
您必须已配置了一个或多个TACACS+服务器.
无-允许用户在未经授权/验证的情况下访问设备.
本地-根据存储在本地设备上的数据检查用户名和密码.
这些用户名和密码对是在"用户帐户"页面中定义的.
注必须始终最后选择本地或无验证方法.
在本地或无之后选择的所有验证方法均会被忽略.
步骤6单击应用.
选择的验证方法将与访问方法相关联.
安全敏感数据管理请参阅安全:安全敏感数据管理.
SSL服务器本节介绍安全套接字层(SSL)功能.
SSL概述安全套接字层(SSL)功能用于为设备打开HTTPS会话.
HTTPS会话可以使用设备上存在的默认证书打开.
某些浏览器在使用默认证书时会生成警告,因为此证书未由证书颁发机构(CA)签名.
最好使用由可信任CA签名的证书.
要使用用户创建的证书打开HTTPS会话,请执行以下操作:1.
生成证书.
2.
请求CA认证证书.
3.
将已签名证书导入设备.
安全SSL服务器思科300系列管理型交换机管理指南28819默认设置和配置默认情况下,设备包含可以进行修改的证书.
默认情况下,系统会启用HTTPS.
SSL服务器验证设置可能需要生成新的证书才能替换设备上的默认证书.
新建证书的步骤:步骤1单击安全>SSL服务器>SSL服务器验证设置.
SSL服务器密钥表中会显示证书1和2的信息.
除以下字段之外,相关字段会在编辑页面中定义:有效起始日期-指定证书有效期的开始日期.
有效终止日期-指定证书有效期的结束日期.
证书来源-指定证书是由系统生成(自动生成)还是由用户生成(用户定义).
步骤2选择活动证书.
步骤3单击生成证书请求.
步骤4输入以下字段:证书ID-选择活动证书.
通用名称-指定完全合格的设备URL或IP地址.
如果未指定,会默认为设备的最小IP地址(证书生成时).
组织单元-指定组织单元或部门名称.
组织名称-指定组织名称.
位置-指定位置或城市名称.
省/自治区/直辖市-指定省/自治区/直辖市名称.
国家/地区-指定国家/地区名称.
证书请求-显示按生成证书请求按钮时创建的密钥.
步骤5单击生成证书请求.
此操作将会生成密钥,必须在证书颁发机构(CA)中输入该密钥.
从证书请求字段复制该密钥.
安全SSH服务器思科300系列管理型交换机管理指南28919导入证书的步骤:步骤1单击安全>SSL服务器>SSL服务器验证设置.
步骤2单击导入证书.
步骤3输入以下字段:证书ID-选择活动证书.
证书来源-显示证书为用户定义.
证书-复制到已收到证书中.
导入RSA密钥对-选择此项可复制到新RSA密钥对中.
公共密钥-复制到RSA公共密钥中.
专用密钥(加密模式)-选择并复制到加密形式的RSA专用密钥中.
专用密钥(明文模式)-选择并复制到明文形式的RSA专用密钥中.
步骤4单击应用将更改应用到当前配置.
步骤5单击将敏感数据显示为加密模式可以加密模式显示此密钥.
单击此按钮后,专用密钥会以加密形式写入配置文件(单击"应用"后).
当文本以加密形式显示时,此按钮会变为将敏感数据显示为明文模式,让您可以再次以明文形式查看文本.
详情按钮显示证书和RSA密钥对.
这用于将证书和RSA密钥对复制到其他设备(使用复制/粘贴).
单击将敏感数据显示为加密模式后,密钥会以加密形式显示.
SSH服务器请参阅安全:SSH服务器.
SSH客户端请参阅安全:SSH客户端.
安全配置TCP/UDP服务思科300系列管理型交换机管理指南29019配置TCP/UDP服务出于安全考虑,通常会通过"TCP/UDP服务"页面在设备上启用基于TCP或基于UDP的服务.
设备可提供以下TCP/UDP服务:HTTP-出厂默认设置为启用HTTPS-出厂默认设置为启用SNMP-出厂默认设置为禁用Telnet-出厂默认设置为禁用SSH-出厂默认设置为禁用此窗口中还会显示活动的TCP连接.
配置TCP/UDP服务的步骤:步骤1单击安全>TCP/UDP服务.
步骤2根据显示的服务启用或禁用以下TCP/UDP服务.
HTTP服务-表示HTTP服务是处于启用状态还是禁用状态.
HTTPS服务-表示HTTPS服务是处于启用状态还是禁用状态.
SNMP服务-表示SNMP服务是处于启用状态还是禁用状态.
Telnet服务-表示Telnet服务是处于启用状态还是禁用状态.
SSH服务-表示SSH服务器服务是处于启用状态还是禁用状态.
步骤3单击应用.
服务将写入当前配置文件中.
TCP服务表显示了每个服务的以下字段:服务名称-设备正通过其提供TCP服务的访问方法.
类型-服务所使用的IP协议.
本地IP地址-设备正通过其提供服务的本地IP地址.
本地端口-设备正通过其提供服务的本地TCP端口.
远程IP地址-正请求服务的远程设备的IP地址.
远程端口-正请求服务的远程设备的TCP端口.
状态-服务的状态.
安全定义风暴控制思科300系列管理型交换机管理指南29119UDP服务表显示以下信息:服务名称-设备正通过其提供UDP服务的访问方法.
类型-服务所使用的IP协议.
本地IP地址-设备正通过其提供服务的本地IP地址.
本地端口-设备正通过其提供服务的本地UDP端口.
应用实例-UDP服务的服务实例.
(例如,两个发送者向同一目的地发送数据的情况.
)定义风暴控制接收到广播帧、组播帧或未知的单播帧后,系统会对它们进行复制,并将副本发送到所有可能的出口端口.
这意味着,实际上已将它们发送到属于相关VLAN的所有端口.
这样一来,一个入口帧会转变为多个入口帧,因此会产生流量风暴隐患.
您可以通过风暴保护来限制进入设备的帧数,并定义计入此限制的帧类型.
如果广播、组播或未知单播帧速率高于用户定义的阈值,超过阈值的帧将被丢弃.
定义风暴控制的步骤:步骤1单击安全>风暴控制.
在"编辑风暴控制"页面中,对此页面上除风暴控制速率阈值(%)之外的所有字段进行了介绍.
它显示了在端口上应用风暴控制之前未知的单播、组播和广播数据包的总可用带宽的百分比.
默认值为端口最大速率的10%,它是在"编辑风暴控制"页面中设置的.
步骤2选择一个端口,然后单击编辑.
步骤3输入参数.
接口-选择已启用风暴控制的端口.
风暴控制-选择该选项可启用风暴控制.
风暴控制速率阈值-输入可用来转发未知数据包的最大速率.
此阈值的默认值为10,000(针对FE设备)和100,000(针对GE设备).
风暴控制模式-选择其中一种模式:-未知单播、组播和广播-将未知的单播、广播和组播流量计入带宽阈值.
-组播和广播-将广播和组播流量一起计入带宽阈值.
-仅广播-仅将广播流量计入带宽阈值.
安全配置端口安全思科300系列管理型交换机管理指南29219步骤4单击应用.
将修改风暴控制,并更新当前配置文件.
配置端口安全限制用户通过特定的MAC地址访问端口可增强网络安全.
可以动态地学习或静态地配置MAC地址.
端口安全功能可监控接收的和学习的数据包.
限制用户通过特定的MAC地址访问锁定的端口.
端口安全具有四种模式:传统锁定-端口上学习的所有MAC地址均被锁定,并且端口未学习任何新MAC地址.
学习的地址不会过期或无需重新学习.
有限动态锁定-设备学习的MAC地址数不超过配置的允许地址极限.
达到极限之后,设备不会学习其他地址.
在这种模式下,地址不会过期且无需重新学习.
永久安全-保持当前的动态MAC地址与端口相关联,并最多学习端点上允许的最大地址数量(由允许的最大地址数量设定).
禁用重新学习和老化.
重置即安全删除-重置后删除当前与端口相关联的动态MAC地址.
新的MAC地址可作为重置即删除地址学习,数量最多为端口上允许的最大地址数量.
禁用重新学习和老化.
当在新MAC地址未经授权的端口(该端口已按照传统模式进行锁定且具有新MAC地址,或者该端口已被动态锁定且已超过了允许地址的最大数量)上检测到来自该地址的帧时,会调用保护机制,并且可能会执行以下操作之一:丢弃帧转发帧关闭端口当在另一个端口上发现安全MAC地址时,将转发帧,但不会学习该端口上的MAC地址.
除了以上这些操作,您还可以生成Trap,并限制其频率和数量以避免设备过载.
注若要在端口上使用802.
1X,则端口必须处于多主机或多会话模式.
如果端口处于单个模式,则不能在端口上设置安全(请参阅802.
1x"主机和会话验证"页面).
配置端口安全的步骤:步骤1单击安全>端口安全.
步骤2选择要修改的接口,然后单击编辑.
步骤3输入参数.
安全802.
1X思科300系列管理型交换机管理指南29319接口-选择接口名称.
接口状态-选择该选项可锁定端口.
学习模式-选择端口锁定的类型.
要配置此字段,必须取消锁定"接口状态".
仅当锁定接口状态字段时,才会启用"学习模式"字段.
要更改学习模式,必须清除"锁定接口".
更改模式之后,可以恢复"锁定接口"的设置.
选项如下:-传统锁定-立即锁定端口,而不考虑已学习的地址数量.
-有限动态锁定-通过删除与端口相关联的当前动态MAC地址来锁定端口.
端口最多可学习端口上允许的最大地址数量.
同时启用MAC地址的重新学习和过期机制.
-永久安全-保持当前的动态MAC地址与端口相关联,并最多学习端点上允许的最大地址数量(由允许的最大地址数量设定).
启用重新学习和老化.
-重置即安全删除-重置后删除当前与端口相关联的动态MAC地址.
新的MAC地址可作为重置即删除地址学习,数量最多为端口上允许的最大地址数量.
禁用重新学习和老化.
允许的最大地址数量-输入当选择有限动态锁定学习模式时可在端口上学习的MAC地址的最大数.
数值0表示接口上仅支持静态地址.
违反规则响应措施-选择对到达锁定端口的数据包所应用的操作.
选项如下:-丢弃-丢弃来自任何未学习源的数据包.
-转发-转发来自任何未知源的数据包,而无需学习MAC地址.
-关闭-丢弃来自任何未学习源的数据包,并关闭端口.
在重新激活端口或重启设备之前,该端口将保持关闭状态.
Trap-选择该选项可在锁定端口接收到数据包时启用Trap.
这与违反锁定的行为有关.
对于传统锁定,这是指任何接收到的新地址.
对于有限动态锁定,这是指超过允许地址数量的任何新地址.
Trap频率-输入Trap之间的最短时间间隔(以秒为单位).
步骤4单击应用.
将修改端口安全,并更新当前配置文件.
802.
1X请参阅安全:802.
1x验证一章,了解有关802.
1X验证的信息.
其中包括基于MAC和基于web的验证.
安全DoS防护思科300系列管理型交换机管理指南29419DoS防护拒绝服务(DoS)攻击是指黑客企图使用户无法使用设备.
DoS攻击使用外部通信请求让设备饱和,导致其无法响应合法的流量.
此类攻击通常会导致设备CPU过载.
安全的核心技术(SCT)设备用于抵御DoS攻击的方法之一是使用SCT.
在默认情况下,SCT在设备上已启用,且不能被禁用.
思科设备是一种高级设备,除最终用户(TCP)流量之外还可以处理管理流量、协议流量和Snooping流量.
SCT确保设备可以接收和处理管理和协议流量,无论收到的总流量为多少.
这可通过限制流向CPU的TCP流量速率来实现.
该功能与其他功能间没有交互.
SCT可在"DoS>DoS防护>安全套件设置"页面中进行监控(详情按钮).
DoS攻击类型拒绝服务攻击可能涉及以下几种数据包或其他策略:TCPSYN数据包-这种数据包通常带有错误的发送者地址.
每个数据包通过发回TCP/SYN-ACK数据包(确认)并等待来自发送者地址的数据包(响应ACK数据包),使设备将其作为连接请求处理,导致服务器生成半开放式连接.
但是,由于发送者地址是错误的,所以永远不会收到响应.
这种半开放式连接导致设备原先可提供的可用连接数减少,因此无法响应合法请求.
TCPSYN-FIN数据包-发送SYN数据包可创建新的TCP连接.
发送TCPFIN数据包可关闭连接.
不能存在同时带有SYN和FIN标签的数据包.
因此,这些数据包可能会攻击设备,应将其阻塞.
Martian地址-从IP协议的角度,Martian地址是非法的.
有关详情,请参阅Martian地址.
ICMP攻击-向被攻击设备发送恶意ICMP数据包或过量的ICMP数据包,可能导致系统崩溃.
IP分片-向设备发送带有重叠和过大净荷的严重受损IP分片.
由于多种操作系统的TCP/IP分片重组代码中存在漏洞,这种攻击可能导致操作系统崩溃.
Windows3.
1x、Windows95和WindowsNT操作系统,以及版本2.
0.
32和2.
1.
63之前的Linux版本都容易受到此类攻击.
StacheldrahtDistribution-攻击程序使用一种客户端程序连接到处理程序(向僵尸代理发送命令的受损系统),转而又促进了DoS攻击.
代理通过处理程序受到攻击程序的损害.
使用自动例行程序发现程序中存在的漏洞-接受目标远程主机上运行的远程连接.
每个处理程序最多可控制一千个代理.
安全DoS防护思科300系列管理型交换机管理指南29519InvasorTrojan-攻击程序可通过trojan下载僵尸代理(或trojan本身包含僵尸代理).
攻击程序还可以使用能够发现程序缺陷(监听来自远程主机的连接)的自动化工具侵入设备.
这种情况大多发生在设备用作网络服务器时.
BackOrificeTrojan-这是trojan的一种变体,使用BackOriface软件植入trojan.
针对DoS攻击的防御措施拒绝服务(DoS)防护功能通过以下方式帮助系统管理员抵御此类攻击:启用TCPSYN保护.
如果启用此功能,将在发现SYN数据包攻击时发出报告,并暂时关闭受攻击的端口.
如果每秒SYN数据包数超出用户配置的阈值,将判断为SYN攻击.
阻塞SYN-FIN数据包.
阻塞包含保留Martian地址的数据包("Martian地址"页面)阻止TCP连接特定接口("SYN过滤"页面)以及对数据包进行速率限制("SYN速率保护"页面)配置某些ICMP数据包的阻塞状态("ICMP过滤"页面)从特定接口丢弃分片的IP数据包("IP分片过滤"页面)拒绝StacheldrahtDistribution、InvasorTrojan和BackOrificeTrojan的攻击("安全套件设置"页面).
功能之间的依赖性当端口启用DoS保护时,ACL策略和高级QoS策略均不处于活动状态.
如果您试图在已定义ACL的接口上启用DoS防护,或试图在启用DoS防护的接口上定义ACL,则会显示错误消息.
如果接口上有处于活动状态的ACL,将无法阻止SYN攻击.
默认配置DoS防护功能有以下默认设置:默认情况下,DoS防护功能为禁用状态.
默认启用SYN-FIN防护(即使已禁用DoS防护).
如果启用了SYN保护,默认防护模式为阻塞并报告.
默认阈值为每秒30个SYN数据包.
默认情况下,其他所有DoS防护功能均为禁用状态.
安全DoS防护思科300系列管理型交换机管理指南29619配置DoS防护可使用以下页面配置此功能.
安全套件设置注激活DoS防护之前,您必须解除绑定所有绑定到端口的访问控制列表(ACL)策略或高级QoS策略.
当端口启用DoS保护时,ACL策略和高级QoS策略均不处于活动状态.
配置DoS防护全局设置并监控SCT的步骤:步骤1单击安全>DoS防护>安全套件设置,此时将显示安全套件设置.
CPU保护机制:已启用表示SCT已启用.
步骤2单击CPU使用率旁边的详情,以转到"CPU使用率"页面并查看CPU资源利用率信息.
步骤3单击TCPSYN保护旁边的编辑,以转到"SYN保护"页面并启用此功能.
步骤4选择DoS防护以启用该功能.
禁用-禁用该功能.
系统级预防-启用部分功能可阻止StacheldrahtDistribution、InvasorTrojan和BackOrificeTrojan的攻击.
系统级和接口级预防-启用部分功能可阻止StacheldrahtDistribution、InvasorTrojan和BackOrificeTrojan的攻击.
步骤5如果选择系统级预防或系统级预防和接口级预防,则会启用以下一个或多个"DoS防护"选项:StacheldrahtDistribution-丢弃源TCP端口等于16660的TCP数据包.
InvasorTrojan-丢弃目的TCP端口等于2140、源TCP端口等于1024的TCP数据包.
BackOrificeTrojan-丢弃目的UDP端口等于31337、源UDP端口等于1024的UDP数据包.
步骤6根据需要单击以下选项:Martian地址-单击编辑,转至"Martial地址"页面.
SYN过滤-单击编辑,转至"SYN过滤"页面.
SYN速率保护-(仅在第2层)单击编辑,转至"SYN速率保护"页面.
ICMP过滤-单击编辑,转至"ICMP过滤"页面.
安全DoS防护思科300系列管理型交换机管理指南29719IP分片-单击编辑,转至"IP分片过滤"页面.
SYN保护在SYN攻击中,黑客可能利用网络端口对设备进行攻击,这将消耗TCP资源(缓存)和CPU功率.
由于CPU使用SCT进行保护,流向CPU的TCP流量会受到限制.
但是,如果一个或多个端口受到高速SYN数据包的攻击,CPU仅接收攻击程序的数据包,从而导致拒绝服务.
使用SYN保护功能时,CPU计算每秒从每个网络端口进入CPU的SYN数据包数.
如果该数量超过用户定义的特定阈值,将对端口应用符合MAC-to-me规则的拒绝SYN.
此规则以用户定义的间隔(SYN保护期限)从端口上解除绑定.
配置SYN保护的步骤:步骤1单击安全>DoS防护>SYN保护.
步骤2输入参数.
阻塞SYN-FIN数据包-选择以启用此功能.
所有端口均丢弃了同时带SYN和FIN标签的所有TCP数据包.
SYN保护模式-在以下三种模式间选择:-禁用-在特定接口上禁用此功能.
-报告-生成系统日志消息.
超过阈值时端口状态会更改为被攻击.
-阻塞并报告-发现TCPSYN攻击后,指定给系统的TCPSYN数据包会被丢弃,端口状态将更改为已阻塞.
SYN保护阈值-SYN数据包阻塞前每秒可通过的SYN数据包数(将对端口应用符合MAC-to-me规则的拒绝SYN).
SYN保护期限-解除SYN数据包阻塞前的秒数(符合MAC-to-me规则的拒绝SYN从端口上解除绑定).
步骤3单击应用.
将定义SYN保护,并更新当前配置文件.
SYN保护接口表显示以下针对各端口或LAG(根据用户请求)的字段.
当前状态-接口状态.
可能的值包括:-正常-此端口上未发现攻击.
-已阻塞-流量未在此端口上转发.
-被攻击-此端口上发现攻击.
安全DoS防护思科300系列管理型交换机管理指南29819上一个攻击-系统发现上一个SYN-FIN攻击并采取系统操作(已报告或已阻塞并报告)的日期.
Martian地址使用"Martian地址"页面可输入表示攻击的IP地址(如果在网络上看到这些地址).
将丢弃来自这些地址的数据包.
设备支持一组保留的Martian地址,这些地址从IP协议的角度来看是非法的.
支持的保留Martian地址有:在"Martian地址"页面中定义为非法的地址.
从协议角度来看是非法的地址(例如环回地址),包括以下范围中的地址:-0.
0.
0.
0/8(作为源地址的0.
0.
0.
0/32除外)-此地址块中的地址指的是此网络上的源主机.
-127.
0.
0.
0/8-用作Internet主机环回地址.
-192.
0.
2.
0/24-用作文档和示例代码中的TEST-NET.
-224.
0.
0.
0/4(作为源IP地址)-用于IPv4组播地址分配,以前称为D类地址空间.
-240.
0.
0.
0/4(作为目的地址的255.
255.
255.
255/32除外)-保留的地址范围,以前称为E类地址空间.
您还可以为DoS防护添加新的Martian地址.
具有Martian地址的数据包会被丢弃.
定义Martian地址的步骤:步骤1单击安全>DoS防护>Martian地址.
步骤2选择保留的Martian地址,并单击应用以包括系统级防护列表中的保留Martian地址.
步骤3要添加Martian地址,请单击添加.
步骤4输入参数.
IP版本-表示支持的IP版本.
当前仅提供对IPv4的支持.
IP地址-输入将要拒绝的IP地址.
可能的值包括:-来自保留的列表-从保留的列表中选择众所周知的IP地址.
-新IP地址-输入IP地址.
掩码-输入IP地址掩码,以定义拒绝的IP地址范围.
这些值包括:-网络掩码-网络掩码采用点分十进制格式.
-前缀长度-输入IP地址的前缀,以定义为其启用了DoS防护的IP地址的前缀.
安全DoS防护思科300系列管理型交换机管理指南29919步骤5单击应用.
Martian地址将写入当前配置文件中.
SYN过滤使用"SYN过滤"页面可对包含SYN标签且指定给一个或多个端口的TCP数据包进行过滤.
定义SYN过滤器的步骤:步骤1单击安全>DoS防护>SYN过滤.
步骤2单击添加.
步骤3输入参数.
接口-选择在其上定义过滤器的接口.
IPv4地址-输入为其定义了过滤器的IP地址,或选择全部地址.
网络掩码-以IP地址格式输入为其启用了过滤器的网络掩码.
TCP端口-选择要进行过滤的目的TCP端口:-已知端口-从列表中选择端口.
-用户定义-输入端口号.
-全部端口-选择该选项可指示对所有端口进行过滤.
步骤4单击应用.
将定义SYN过滤器,并更新当前配置文件.
SYN速率保护使用"SYN速率保护"页面可对入站端口上接收的SYN数据包数量进行速率限制.
这可以通过对开放以用于处理数据包的新连接数量进行速率限制,减弱SYN洪流对服务器的影响.
仅当设备处于Sx300和SG500设备的第2层系统模式以及SG500X和SG500XG设备的原生模式下时,此功能才可用.
定义SYN速率保护的步骤:步骤1单击安全>DoS防护>SYN速率保护.
此页面显示当前每个接口所定义的SYN速率保护.
步骤2单击添加.
安全DoS防护思科300系列管理型交换机管理指南30019步骤3输入参数.
接口-选择要在其上定义速率保护的接口.
IP地址-输入为其定义了SYN速率保护的IP地址,或选择全部地址.
如果您输入IP地址,请输入掩码或前缀长度.
网络掩码-为源IP地址选择子网掩码的格式,并在以下其中一个字段中输入值:-掩码-选择源IP地址所归属的子网,并按照点分十进制格式输入子网掩码.
-前缀长度-选择前缀长度,并输入组成源IP地址前缀的位数.
SYN速率限制-输入允许的SYN数据包数量.
步骤4单击应用.
将定义SYN速率保护,并更新当前配置.
ICMP过滤使用"ICMP过滤"页面可阻塞来自某些源的ICMP数据包.
这可以减少网络负载,以防备ICMP攻击.
定义ICMP过滤的步骤:步骤1单击安全>DoS防护>ICMP过滤.
步骤2单击添加.
步骤3输入参数.
接口-选择要在其上定义ICMP过滤的接口.
IP地址-输入为其激活了ICMP数据包过滤的IPv4地址,或选择所有地址以阻塞来自所有源地址的ICMP数据包.
如果您输入IP地址,请输入掩码或前缀长度.
网络掩码-为源IP地址选择子网掩码的格式,并在以下其中一个字段中输入值:-掩码-选择源IP地址所归属的子网,并按照点分十进制格式输入子网掩码.
-前缀长度-选择前缀长度,并输入组成源IP地址前缀的位数.
步骤4单击应用.
将定义ICMP过滤,并更新当前配置.
安全DHCPSnooping思科300系列管理型交换机管理指南30119IP分片过滤使用"IP分片"页面可阻塞分片的IP数据包.
配置分片的IP阻塞的步骤:步骤1单击安全>DoS防护>IP分片过滤.
步骤2单击添加.
步骤3输入参数.
接口-选择要在其上定义IP分片的接口.
IP地址-输入已对其分片IP数据包进行过滤的IP网络,或选择所有地址以阻塞来自所有地址的IP分片数据包.
如果您输入IP地址,请输入掩码或前缀长度.
网络掩码-为源IP地址选择子网掩码的格式,并在以下其中一个字段中输入值:-掩码-选择源IP地址所归属的子网,并按照点分十进制格式输入子网掩码.
-前缀长度-选择前缀长度,并输入组成源IP地址前缀的位数.
步骤4单击应用.
将定义IP分片,并更新当前配置文件.
DHCPSnooping请参阅DHCPv4Snooping/中继.
IP源防护IP源防护作为一种安全功能,可用于预防当主机试图使用其邻近的IP地址时引起的攻击.
启用IP源防护时,设备将只向DHCPSnooping绑定数据库中包含的IP地址传输客户端IP流量.
其中包括通过DHCPSnooping添加的地址和手动添加的条目.
如果数据包与数据库中的一个条目匹配,则设备将转发该数据包.
如果不匹配,则丢弃该数据包.
安全IP源防护思科300系列管理型交换机管理指南30219与其他功能进行交互下面这些内容都与IP源防护有关:必须全局启用DHCPSnooping,以便在接口上启用IP源防护.
只有符合以下条件时,IP源防护才能在接口上处于活动状态:-DHCPSnooping已在端口的至少一个VLAN上启用-接口是DHCP不受信任的.
信任端口上的所有数据包都已转发.
如果端口是DHCP受信任的,即使IP源防护在该条件下未处于活动状态,通过在端口上启用IP源防护,依然可以配置静态IP地址的过滤.
当端口状态从DHCP不信任更改为DHCP信任时,静态IP地址过滤条目依然位于绑定数据库中,但是它们将变成不活动状态.
如果端口上配置了源IP和MAC地址过滤,将不能启用端口安全.
IP源防护使用TCAM资源,需要针对每个IP源防护地址条目使用单个TCAM规则.
如果IP源防护条目数量超过TCAM规则的可用数量,则超出的地址将处于不活动状态.
过滤如果端口上已启用IP源防护,则:将允许DHCPSnooping允许的DHCP数据包.
如果已启用源IP地址过滤:-IPv4流量:只允许使用与端口相关联的源IP地址的流量.
-非IPv4流量:允许(包括ARP数据包).
配置IP源防护工作流程配置IP源防护的步骤:步骤1在"IP配置>DHCP>属性"页面或"安全>DHCPSnooping>属性"页面启用DHCPSnooping.
步骤2定义在"IP配置>DHCP>接口设置"页面中启用DHCPSnooping的VLAN.
步骤3在"IP配置>DHCP>DHCPSnooping接口设置"页面中,将接口配置为信任接口或不信任接口.
安全IP源防护思科300系列管理型交换机管理指南30319步骤4在"安全>IP源防护>属性"页面上启用IP源防护.
步骤5根据需要在"安全>IP源防护>接口设置"页面中在不信任的接口上启用IP源防护.
步骤6在"安全>IP源防护>绑定数据库"页面中查看绑定数据库中的条目.
启用IP源防护全局启用IP源防护的步骤:步骤1单击安全>IP源防护>属性.
步骤2选择启用,全局启用IP源防护.
步骤3单击启用,启用IP源防护.
在接口上配置IP源防护如果在不信任端口/LAG上启用IP源防护,将传输DHCPSnooping允许的DHCP数据包.
如果已启用源IP地址过滤,则将按如下说明允许数据包传输:IPv4流量-只允许使用与特定端口相关联的源IP地址的IPv4流量.
非IPv4流量-允许所有非IPv4流量.
有关在接口上启用IP源防护的详情,请参阅与其他功能进行交互.
在接口上配置IP源防护的步骤:步骤1单击安全>IP源防护>接口设置.
步骤2从过滤字段中选择端口/LAG,并单击转至.
此时将显示此单元上的端口/LAG连同以下信息:IP源防护-表示端口上是否已启用IP源防护.
DHCPSnooping信任接口-表示是否是DHCP受信任的接口.
步骤3选择端口/LAG,然后单击编辑.
在IP源防护字段中选择启用,启用该接口上的IP源防护.
步骤4单击应用,将设置复制到当前配置文件.
安全IP源防护思科300系列管理型交换机管理指南30419绑定数据库IP源防护使用DHCPSnooping绑定数据库检查来自不信任端口的数据包.
如果设备尝试向DHCPSnooping绑定数据库写入过多的条目,则超出的条目将始终处于不活动状态.
超过其租用时间的条目将被删除,这样,处于不活动状态的条目可变成活动状态.
请参阅DHCPv4Snooping/中继.
注"绑定数据库"页面将只显示已启用IP源防护端口上定义的DHCPSnooping绑定数据库中的条目.
若要查看DHCPSnooping绑定数据库和TCAM利用率,可以设定插入非活动:步骤1单击安全>IP源防护>绑定数据库.
步骤2DHCPSnooping绑定数据库使用TCAM资源管理数据库.
填写插入非活动字段,选择设备尝试激活非活动条目的频率.
可提供以下选项:重试频率-检查TCAM资源的频率.
从不-从不试图重新激活处于不活动状态的地址.
步骤3单击应用,以保存对当前配置文件进行的上述更改并/或立即重试,以检查TCAM资源.
此时将显示绑定数据库中的条目:VLANID-预期数据包所在的VLAN.
MAC地址-要匹配的MAC地址.
IP地址-要匹配的IP地址.
接口-预计将传输数据包的接口.
状态-显示接口是否处于活动状态.
类型-显示条目是动态还是静态.
原因-如果接口未处于活动状态,显示其原因.
可能的原因有:-没问题-接口处于活动状态.
-无SnoopingVLAN-VLAN上未启用DHCPSnooping.
-信任端口-端口已成为信任端口.
-资源问题-TCAM资源已用尽.
若要查看这些条目的子网,请输入相关搜索标准,并单击转至.
安全ARP检测思科300系列管理型交换机管理指南30519ARP检测ARP通过将IP地址映射到MAC地址,能够在第2层广播域中进行IP通信.
恶意用户可以通过向连接至子网的系统ARP缓存投毒及拦截流向子网上其他主机的流量,攻击连接至第2层网络的主机、交换机和路由器.
之所以能发生这种攻击是因为即使未收到ARP请求,ARP也允许来自主机的无理由回复.
攻击发生后,来自受攻击设备的所有流量将流经攻击者的计算机,然后流向路由器、交换机或主机.
下面显示了一个ARP缓存中毒示例.
ARP缓存中毒主机A、B和C连接至交换机接口A、B和C,它们全部位于同一个子网上.
其IP、MAC地址在括号中显示;例如,主机A使用IP地址IA和MAC地址MA.
当主机A需要在IP层与主机B进行通信时,将广播一条有关与IP地址IB相关联的MAC地址的ARP请求.
主机B使用一个ARP回复进行回应.
交换机和主机A使用主机B的MAC和IP更新其ARP缓存.
主机C可通过广播伪造的ARP响应,将主机与IA(或IB)IP地址和MCMAC地址绑定,向交换机、主机A和主机B的ARP缓存投毒.
使用已中毒ARP缓存的主机将MAC地址MC用作流向IA或IB流量的目的MAC地址,从而使主机C能够拦截该流量.
因为主机C知道与IA和IB相关联的真正的MAC地址,通过将正确的MAC地址用作目的地址,可将拦截的流量转发至这些主机.
主机C将自身插入从主机A到主机B的流量流中,这就是经典的中间人攻击.
安全ARP检测思科300系列管理型交换机管理指南30619ARP如何预防缓存中毒ARP检查功能对于信任和不信任接口都适用(请参阅"安全>ARP检测>接口设置"页面).
接口根据用户分类,如下所示:信任-不检测数据包.
不信任-对数据包进行如上所述的检测.
ARP检测仅在不信任接口上执行.
在信任接口上收到的ARP数据包可完全转发.
当数据包到达不信任接口时,将实施以下逻辑:搜索有关该数据包IP/MAC地址的ARP访问控制规则.
如果找到IP地址,且列表中的MAC地址与数据包的MAC地址相匹配,则该数据包有效;否则,该数据包无效.
如果未找到数据包的IP地址,且该数据包的VLAN已启用DHCPSnooping,则针对该数据包的对搜索DHCPSnooping绑定数据库.
如果找到对,且数据库中的MAC地址和接口与该数据包的MAC地址和入站接口相匹配,则数据包有效.
如果在ARP访问控制规则或DHCPSnooping绑定数据库中未找到该数据包的IP地址,则该数据包无效,会被丢弃.
系统将生成一条系统日志消息.
如果数据包有效,则将其转发,并更新ARP缓存.
如果已选中ARP数据包验证选项("属性"页面),将执行下面的附加验证检查:源MAC-将以太网报头中该数据包的源MAC地址与ARP请求中发送方的MAC地址相比较.
此检查针对ARP请求和响应执行.
目的MAC-将以太网报头中该数据包的目的MAC地址与目的接口MAC地址相比较.
此检查针对ARP响应执行.
IP地址-比较ARP正文,以找出无效和意外IP地址.
地址包括0.
0.
0.
0、255.
255.
255.
255和所有IP组播地址.
将记录使用无效ARP检测绑定的数据包,并将其丢弃.
ARP访问控制表中最多可以定义1024个条目.
ARP检测与DHCPSnooping间的交互如果已启用DHCPSnooping,则ARP检测除了使用ARP访问控制规则之外,还使用DHCPSnooping绑定数据库.
如果未启用DHCPSnooping,则只使用ARP访问控制规则.
安全ARP检测思科300系列管理型交换机管理指南30719ARP默认设置下表介绍ARP默认设置:ARP检测工作流程配置ARP检测的步骤:步骤1在"安全>ARP检测>属性"页面中启用ARP检测,并配置各种选项.
步骤2在"安全>ARP检测>接口设置"页面中将接口配置为ARP信任或不信任.
步骤3在"安全>ARP检测>ARP访问控制"及"ARP访问控制规则"页面中添加规则.
步骤4在"安全>ARP检测>VLAN设置"页面中定义已启用ARP检测的VLAN以及每个VLAN的访问控制规则.
定义ARP检测属性配置ARP检测的步骤:步骤1单击安全>ARP检测>属性.
输入以下字段:ARP检测状态-选择后,将启用ARP检测.
ARP数据包验证-选择后,将启用以下验证检查:-源MAC-将以太网报头中该数据包的源MAC地址与ARP请求中发送方的MAC地址相比较.
此检查针对ARP请求和响应执行.
-目的MAC-将以太网报头中该数据包的目的MAC地址与目的接口MAC地址相比较.
此检查针对ARP响应执行.
选项默认状态动态ARP检测未启用ARP数据包验证未启用在VLAN上启用ARP检测未启用日志缓冲间隔已启用针对已丢弃的数据包生成系统日志消息,时间间隔为5秒安全ARP检测思科300系列管理型交换机管理指南30819-IP地址-比较ARP正文,以找出无效和意外IP地址.
地址包括0.
0.
0.
0、255.
255.
255.
255和所有IP组播地址.
日志缓冲间隔-选择以下其中一个选项:-重试频率-启用针对已丢弃数据包发送系统日志消息.
输入发送该消息的频率.
-从不-禁用针对已丢弃数据包发送系统日志消息.
步骤2单击应用.
将定义设置,并更新当前配置文件.
定义动态ARP检测接口设置针对ARP访问规则表和DHCPSnooping绑定数据库(如果已启用DHCPSnooping)检查来自不信任端口/LAG的数据包(请参阅"DHCPSnooping绑定数据库"页面).
默认情况下,端口/LAG是ARP检测不信任的.
更改端口/LAGARP信任状态的步骤:步骤1单击安全>ARP检测>接口设置.
此时将显示端口/LAG及其ARP信任/不信任状态.
步骤2若要将端口/LAG设置为不信任,选择该端口/LAG,并单击编辑.
步骤3选择信任或不信任,并单击应用,将该设置保存到当前配置文件中.
定义ARP检测访问控制将条目添加至ARP检测表的步骤:步骤1单击安全>ARP检测>ARP访问控制.
步骤2要添加条目,请单击添加.
步骤3输入以下字段:ARP访问控制名称-输入用户创建的名称.
IP地址-数据包的IP地址.
MAC地址-数据包的MAC地址.
安全第一步跳安全性思科300系列管理型交换机管理指南30919步骤4单击应用.
将定义设置,并更新当前配置文件.
定义ARP检测访问控制规则将多条规则添加到以前创建的ARP访问控制组的步骤:步骤1单击安全>ARP检测>ARP访问控制规则.
此时将显示当前定义的访问规则.
步骤2若要将多条规则添加至组,请单击添加.
步骤3选择一个访问控制组,并输入以下字段:IP地址-数据包的IP地址.
MAC地址-数据包的MAC地址.
步骤4单击应用.
将定义设置,并更新当前配置文件.
定义ARP检测VLAN设置在VLAN和使用VLAN的相关访问控制组上启用ARP检测的步骤:步骤1单击安全>ARP检测>VLAN设置.
步骤2若要在VLAN上启用ARP检测,将该VLAN从可用VLAN列表移至已启用VLAN列表.
步骤3若要将一个ARP访问控制组与VLAN相关联,请单击添加.
选择该VLAN编号,并选择以前定义的ARP访问控制组.
步骤4单击应用.
将定义设置,并更新当前配置文件.
第一步跳安全性安全:IPv6第一步跳安全性20思科300系列管理型交换机管理指南310安全:802.
1x验证本部分介绍802.
1X验证.
其中包含以下主题:802.
1X概述验证方概述常见任务通过GUI进行802.
1X配置定义时间范围验证方法和端口模式支持802.
1X概述802.
1x验证可限制未经授权的客户端通过可公开访问的端口连接到局域网.
802.
1x验证是一种客户端-服务器模型.
在此模型中,网络设备具有以下特定角色.
客户端或请求方验证方验证服务器安全:802.
1x验证802.
1X概述思科300系列管理型交换机管理指南31120如下图所示:网络设备可以作为每个端口的客户端/请求方或验证方,或者兼此二职.
客户端或请求方客户端或请求方是请求访问局域网的网络设备.
客户端连接到验证方.
如果客户端使用802.
1x协议进行验证,则它会运行802.
1x协议的请求方部分以及EAP协议的客户端部分.
客户端使用基于MAC或基于Web的验证时无需特殊软件.
验证方验证方是提供网络服务的网络设备,是请求方端口连接的对象.
以下端口验证模式可受支持(这些模式在"安全>802.
1X/MAC/Web验证>主机和会话验证"中设置):单个主机-以每个端口单个客户端的方式支持基于端口的验证.
多个主机-以每个端口多个客户端的方式支持基于端口的验证.
多会话-以每个端口多个客户端的方式支持基于客户端的验证.
有关详情,请参阅端口主机模式.
以下验证方法可受支持:基于802.
1x-在所有验证模式下都可受支持.
基于Mac-在所有验证模式下都可受支持.
基于Web-仅在多会话模式下可受支持.
安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31220在基于802.
1x的验证中,验证方从802.
1x消息(EAPOL帧)中提取EAP消息,并将其传递到验证服务器,在此过程中会使用RADIUS协议.
在基于MAC或基于Web的验证中,验证方本身执行软件的EAP客户端部分.
验证服务器验证服务器执行实际的客户端验证.
设备的验证服务器是带有EAP扩展的RADIUS验证服务器.
开放式访问开放式(监控)访问功能可在802.
1x环境中为由于误配置和/或缺少资源引起的故障而导致的真正的单纯验证失败提供帮助.
开放式访问可帮助系统管理员了解连接到网络的主机的问题、监控不良状况并使这些问题得以修复.
在接口上启用开放式访问时,交换机会将从RADIUS服务器接收的所有失败视为成功,无论验证结果如何,都允许访问连接到接口的工作站网络.
开放式访问可在启用验证的端口上更改阻止流量的正常行为,直到验证和授权成功执行.
验证的默认行为仍然是阻止所有流量,但局域网的可扩展鉴权协议(EAPoL)除外.
但是,开放式访问让管理员可以为所有流量提供不受限制的访问,即便是在启用了验证(基于802.
1X、MAC和/或WEB的验证)的情况下.
当启用RADIUS记帐时,您可以记录验证尝试以及通过审计跟踪了解有哪些人员和设备连接到您的网络.
完成所有这一切操作都不会影响最终用户或与网络连接的主机.
开放式访问可以在802.
1X端口验证页面中激活.
验证方概述端口管理验证状态端口管理状态可确定客户端是否已被授予访问网络的权限.
端口管理状态可在"安全>802.
1X/MAC/Web验证>端口验证"页面配置.
可用值如下:强制授权端口验证禁用,并且端口会根据其静态配置传输所有流量,无需请求任何验证.
交换机在收到802.
1xEAPOL-start消息时,会发送带有EAPsuccess消息的802.
1xEAP数据包.
此为默认状态.
安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31320强制未授权端口验证禁用,并且端口会通过访客VLAN以及未经验证的VLAN传输所有流量.
有关详情,请参阅定义主机和会话验证.
交换机在收到802.
1xEAPOL-Start消息时,会发送带有EAPfailure消息的802.
1xEAP数据包.
自动根据配置的端口主机模式和端口上配置的验证方法启用802.
1x验证.
端口主机模式端口可置于以下端口主机模式(在"安全>802.
1X/MAC/Web验证>主机和会话验证"页面配置):单个主机模式如果有一个经过授权的客户端,则对一个端口进行授权.
一个端口上只能对一台主机进行授权.
如果端口未经授权且访客VLAN为启用状态,则Untagged流量将重新映射到访客VLAN.
除非Tagged流量属于访客VLAN或未经验证的VLAN,否则会被丢弃.
如果端口上未启用访客VLAN,则只有属于未经验证的VLAN的Tagged流量才会被桥接.
如果端口经过授权,来自授权主机的Untagged流量和Tagged流量将根据静态VLAN成员关系端口配置进行桥接.
来自其他主机的流量会被丢弃.
用户可以指定将来自授权主机的Untagged流量重新映射到RADIUS服务器在验证过程中分配的VLAN.
除非Tagged流量属于RADIUS分配的VLAN或未经验证的VLAN,否则会被丢弃.
端口上的RadiusVLAN分配可在"安全>802.
1X/MAC/Web验证>端口验证"页面设置.
多个主机模式如果至少有一个授权客户端,则对端口进行授权.
如果端口未经授权且访客VLAN为启用状态,则Untagged流量将重新映射到访客VLAN.
除非Tagged流量属于访客VLAN或未经验证的VLAN,否则会被丢弃.
如果端口上未启用访客VLAN,则只有属于未经验证的VLAN的Tagged流量才会被桥接.
如果端口经过授权,来自所有与端口连接的主机的Untagged流量和Tagged流量都将根据静态VLAN成员关系端口配置进行桥接.
您可以指定将来自授权端口的Untagged流量重新映射到RADIUS服务器在验证过程中分配的VLAN.
除非Tagged流量属于RADIUS分配的VLAN或未经验证的VLAN,否则会被丢弃.
端口上的RadiusVLAN分配可在"端口验证"页面配置.
安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31420多会话模式与单个主机和多个主机模式不同,多会话模式下的端口不具有验证状态.
此状态会分配给每个与端口连接的客户端.
此模式需要TCAM查询.
由于第3层模式交换机没有为多会话模式分配的TCAM查询,因此,它们支持有限形式的多会话模式,该模式不支持访客VLAN和RADIUSVLAN属性.
端口上允许的最大授权主机数量在"端口配置"页面配置.
无论主机是否经过授权,属于未经验证VLAN的Tagged流量始终会被桥接.
如果VLAN上已定义和启用访客VLAN,那么来自未经授权主机且不属于未经验证VLAN的Tagged流量和Untagged流量将重新映射到访客VLAN;如果端口上未启用访客VLAN,则此类流量会被丢弃.
如果RADIUS服务器为授权主机分配了一个VLAN,则其所有不属于未经验证VLAN的Tagged和Untagged流量都将通过VLAN进行桥接;如果未分配VLAN,其所有流量都将根据静态VLAN成员关系端口配置进行桥接.
第3层路由器模式下的Sx300支持无访客VLAN和RADIUS-VLAN分配的多会话模式:多种验证方法如果交换机启用了不止一种验证方法,则适用如下验证方法层级:802.
1x验证:最高基于WEB的验证基于MAC的验证:最低多种方法可同时运行.
当一种方法成功完成时,客户端会变为已授权状态,优先级更低的方法将停止,而优先级更高的方法则会继续运行.
当同时运行的多种验证方法有一种失败时,其他方法会继续运行.
当验证方法针对一个已由较低优先级验证方法验证的客户端成功完成时,将适用新验证方法的属性.
如果新方法失败,则客户端将保留经旧方法授权的状态.
基于802.
1x的验证基于802.
1x的验证方依赖于802.
1x请求方和验证服务器之间透明的EAP消息.
请求方和验证方之间的EAP消息将封装到802.
1x消息中,而验证方和验证服务器之间的EAP消息将封装到RADIUS消息中.
安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31520如下所示:图3基于802.
1x的验证基于MAC的验证基于MAC的验证是802.
1X验证的替代方法,可使不具有802.
1X请求方功能的设备(如打印机和IP电话)访问网络.
基于MAC的验证使用连接设备的MAC地址来授予或拒绝网络访问权限.
在这种情况下,交换机支持EAPMD5功能,用户名和密码都为客户端MAC地址,如下所示.
图4基于MAC的验证此方法没有任何特定配置.
基于WEB的验证基于WEB的验证用于对请求通过交换机访问网络的最终用户进行验证.
它能够让直接与交换机连接的客户端在获得网络访问权限之前通过强制网络门户机制进行验证.
基于Web的验证是基于客户端的验证,在第2层和第3层的多会话模式下均受支持.
此验证方法按端口启用,当端口启用时,每个主机必须对自身进行验证,然后才能访问网络.
因此,在已启用的端口上,您可以拥有经验证和未经验证的主机.
安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31620如果端口上启用了基于web的验证,交换机将丢弃所有从未经授权客户端进入端口的流量,但ARP、DHCP和DNS数据包除外.
这些数据包可以由交换机转发,这样一来,即使是未经授权的客户端,也可以获取IP地址并解析主机名或域名.
所有来自未经授权客户端且通过IPv4的HTTP/HTTPS数据包都将捕获到交换机的CPU.
当最终用户请求访问网络时,如果端口上启用了基于Web的验证,则在请求的页面显示之前,将首先显示一个登录页面.
用户必须输入其用户名/密码,这将由RADIUS服务器使用EAP协议进行验证.
如果验证成功,用户会获得通知.
现在,用户拥有经验证的会话.
在使用过程中,会话会保持打开状态.
如果在特定时间间隔内未使用会话,会话会关闭.
此时间间隔由系统管理员配置,称为静默时间.
如果会话超时,用户名/密码会被丢弃,并且访客必须重新输入用户名/密码以打开新会话.
请参阅验证方法和端口模式.
验证完成后,交换机将转发端口上所有来自客户端的流量,如下图所示.
图5基于WEB的验证基于Web的验证无法在启用了访客VLAN或RADIUS分配的VLAN功能的端口上配置.
基于Web的验证支持以下页面:登录页面登录成功页面这些页面有预定义的嵌入集.
这些页面可以在"安全>802.
1X/MAC/Web验证>Web验证自定义"页面修改.
您可以预览各个自定义页面.
配置将保存至当前配置文件.
下表介绍哪些SKU支持基于web的验证以及相应的系统模式:SKU系统模式是否支持WBASx300第2层是第3层否Sx500、Sx500ESW2-550X第2层是第3层否安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31720注如果基于web的验证不受支持,则访客VLAN和DVA无法在多会话模式下配置.
如果基于web的验证受到支持,则访客VLAN和DVA可以在多会话模式下配置未经验证的VLAN和访客VLAN未经验证的VLAN和访客VLAN可提供对一类服务的访问权限,该类服务不需要对订用设备或端口进行基于802.
1X或MAC的验证和授权.
访客VLAN是分配给未经授权客户端的VLAN.
您可以在"安全>802.
1X/MAC/Web验证>属性"页面配置访客VLAN以及一个或多个未经验证的VLAN.
未经验证的VLAN是一种允许已授权的和未授权的设备或端口进行访问的VLAN.
未经验证的VLAN具有以下特性:它必须为静态VLAN,并且不能是访客VLAN或默认的VLAN.
必须将成员端口手动配置为Tagged成员.
成员端口必须为中继和/或一般的端口.
访问端口不能是未经验证的VLAN的成员.
经过配置的访客VLAN是具有以下特性的静态VLAN:它必须根据现有的静态VLAN手动进行了定义.
访客VLAN不能用作语音VLAN或未经验证的VLAN.
请参阅VLAN和RADIUS-VLAN分配,查看支持访客VLAN的模式的总结.
主机模式与访客VLAN主机模式可通过以下方式与访客VLAN一起使用:单个主机和多个主机模式属于访客VLAN且到达未经授权端口的Untagged流量和Tagged流量将通过访客VLAN进行桥接.
其他所有流量都会被丢弃.
属于未经验证VLAN的流量将通过VLAN进行桥接.
SG500X原生是基本混合-第2层是基本混合-第3层否SG500XG与Sx500相同是SKU系统模式是否支持WBA安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31820第2层中的多会话模式不属于未经验证的VLAN且来自未经授权客户端的Untagged流量和Tagged流量将使用TCAM规则分配给访客VLAN,并通过访客VLAN进行桥接.
属于未经验证VLAN的Tagged流量将通过VLAN进行桥接.
此模式无法在与基于策略的VLAN相同的界面上配置.
第3层中的多会话模式此模式不支持访客VLAN.
RADIUSVLAN分配或动态VLAN分配RADIUS服务器可以向授权客户端分配VLAN,前提是此选项已在"端口验证"页面启用.
这称为动态VLAN分配(DVA),也称为RADIUS分配的VLAN.
本指南使用"RADIUS分配的VLAN"这一术语.
当端口处于多会话模式下且已启用RADIUS分配的VLAN时,设备会自动添加端口作为RADIUS服务器在验证过程中所分配的VLAN的Untagged成员.
如果Untagged数据包源自经过验证和授权的设备或端口,则设备会将这些数据包划分为分配的VLAN.
有关设备上启用RADIUS分配的VLAN时不同模式如何运作的更多信息,请参阅VLAN和RADIUS-VLAN分配.
注在多会话模式下,RADIUSVLAN分配仅在设备处于第2层系统模式时受到支持.
对于要在已启用DVA的端口处进行验证和授权的设备:RADIUS服务器必须验证该设备,并为其动态分配一个VLAN.
您可以在"端口验证"页面将"RADIUSVLAN分配"字段设置为静态.
这可以让主机根据静态配置进行桥接.
RADIUS服务器必须支持RADIUS属性为tunnel-type(64)=VLAN(13)、tunnel-media-type(65)=802(6)以及tunnel-private-group-id=VLANID的DVA.
启用RADIUS分配的VLAN功能时,主机模式的运作方式如下:单个主机和多个主机模式属于RADIUS分配的VLAN的Untagged流量和Tagged流量将通过此VLAN进行桥接.
其他所有不属于未经验证VLAN的流量都会被丢弃.
完整的多会话模式不属于未经验证的VLAN且来自客户端的Untagged流量和Tagged流量将使用TCAM规则分配给RADIUS分配的VLAN,并通过该VLAN进行桥接.
第3层系统模式下的多会话模式此模式不支持RADIUS分配的VLAN,安全:802.
1x验证验证方概述思科300系列管理型交换机管理指南31920下表介绍访客VLAN和RADIUS-VLAN分配支持,具体取决于验证方法和端口模式.
图例:-端口模式支持访客VLAN和RADIUS-VLAN分配N/S-端口模式不支持验证方法.
违例模式在单个主机模式下,您可以配置未经授权端口上未经授权的主机尝试访问接口时要采取的操作.
此配置可以在"主机和会话验证"页面完成.
可能的选项有:限制-当MAC地址不是请求方MAC地址的站尝试访问接口时,生成一个Trap.
Trap之间的最短时间间隔为1秒.
将转发这些帧,但不会学习其源地址.
保护-丢弃源地址不是请求方地址的帧.
关闭-丢弃源地址不是请求方地址的帧,并关闭端口.
您还可以将设备配置为发送SNMPTrap,且连续Trap之间具有可配置的最短时间间隔.
如果间隔秒数=0,将禁用Trap.
如果未指定最短时间间隔,则限制模式默认为1秒,其他模式默认为0.
静默期静默期是端口(单个主机或多个主机模式)或客户端(多会话模式)在验证交换失败之后无法尝试验证的时段.
在单个主机或多个主机模式下,该时段按端口进行定义;在多会话模式下,该时段按客户端进行定义.
在该静默期内,交换机不接受也不发出验证请求.
静默期仅适用于基于802.
1x和基于Web的验证.
您还可以指定触发静默期的最大登录尝试次数.
数值0表示不限制登录尝试次数.
静默期的持续时间和最大登录尝试次数可在"端口验证"页面设置.
VLAN和RADIUS-VLAN分配验证方法单个主机多个主机多会话第3层中的设备第2层中的设备802.
1xN/SMACN/SWEBN/SN/SN/SN/S安全:802.
1x验证常见任务思科300系列管理型交换机管理指南32020常见任务工作流程1:在端口上启用802.
1x验证:步骤1单击安全>802.
1X/MAC/Web验证>属性.
步骤2启用基于端口的验证.
步骤3选择验证方法.
步骤4单击应用,将更新当前配置文件.
步骤5单击安全>802.
1X/MAC/Web验证>主机和会话验证.
步骤6选择所需端口,然后单击编辑.
步骤7选择主机验证模式.
步骤8单击应用,将更新当前配置文件.
步骤9单击安全>802.
1X/MAC/Web验证>端口验证.
步骤10选择一个端口,然后单击编辑.
步骤11将"管理端口控制"字段设置为自动.
步骤12定义验证方法.
步骤13单击应用,将更新当前配置文件.
工作流程2:配置Trap步骤1单击安全>802.
1X/MAC/Web验证>属性.
步骤2选择所需Trap.
步骤3单击应用,将更新当前配置文件.
工作流程3:配置基于802.
1x的验证或基于Web的验证步骤1单击安全>802.
1X/MAC/Web验证>端口验证.
步骤2选择所需端口,然后单击编辑.
步骤3输入对端口必填的字段.
此页面中的字段如802.
1X端口验证中所述.
步骤4单击应用,将更新当前配置文件.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32120使用复制设置按钮将设置从一个端口复制到另一个端口.
工作流程4:配置静默期步骤1单击安全>802.
1X/MAC/Web验证>端口验证.
步骤2选择一个端口,然后单击编辑.
步骤3在"静默期"字段中输入静默期.
步骤4单击应用,将更新当前配置文件.
工作流程5:配置访客VLAN:步骤1单击安全>802.
1X/MAC/Web验证>属性.
步骤2在"访客VLAN"字段中选择启用.
步骤3在"访客VLANID"字段中选择访客VLAN.
步骤4将"访客VLAN超时"配置为"立即",或者在"用户定义"字段中输入一个值.
步骤5单击应用,将更新当前配置文件.
工作流程6:配置未经验证的VLAN步骤1单击安全>802.
1X/MAC/Web验证>属性.
步骤2选择一个VLAN,然后单击编辑.
步骤3选择一个VLAN.
步骤4或者,取消选中验证以将VLAN变为未经验证的VLAN.
步骤5单击应用,将更新当前配置文件.
通过GUI进行802.
1X配置注基于Web的验证只能在Sx300和SG500设备的第2层模式下使用.
在SG500XG和SG500X设备上,可以在原生模式和高级混合XG模式下使用.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32220定义802.
1X属性802.
1X"属性"页面用于在全局启用802.
1X,并定义端口如何进行验证.
要发挥802.
1X的作用,必须在每个端口上全局且单独地激活802.
1X.
定义基于端口的验证的步骤:步骤1单击安全>802.
1X/MAC/Web验证>属性.
步骤2输入参数.
基于端口的验证-启用或禁用基于端口的验证.
如果禁用此选项,802.
1X、基于MAC和基于web的验证将禁用.
验证方法-选择用户验证方法.
选项如下:-RADIUS,无-首先使用RADIUS服务器执行端口验证.
如果未从RADIUS接收到任何响应(例如,如果服务器已停机),则不会执行验证,且允许进行会话.
如果服务器可用,但是用户凭证不正确,则将拒绝访问,并终止会话.
-RADIUS-在RADIUS服务器上验证用户.
如果未执行验证,则不允许进行会话.
-无-不验证用户.
允许进行会话.
访客VLAN-选择该选项可将访客VLAN用于未经授权的端口.
如果已启用访客VLAN,则所有未经授权的端口会自动加入在访客VLANID字段中选择的VLAN.
如果稍后对端口进行授权,则会从访客VLAN中删除该端口.
访客VLANID-从VLAN列表选择访客VLAN.
访客VLAN超时-定义时间段:-连接之后,如果软件未检测到802.
1X请求方或验证失败,则只会在访客VLAN超时期限过期之后,才将端口添加到访客VLAN.
-如果端口状态从已授权更改为未授权,则只会在访客VLAN超时过期之后才将端口添加到访客VLAN.
Trap设置-要启用Trap,请选择以下一个或多个选项:-802.
1x验证失败陷阱-选择该选项可在802.
1x验证失败时生成Trap.
-802.
1x验证成功陷阱-选择该选项可在802.
1x验证成功时生成Trap.
-MAC验证失败陷阱-选择该选项可在MAC验证失败时生成Trap.
-MAC验证成功陷阱-选择该选项可在MAC验证成功时生成Trap.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32320当交换机处于第2层系统模式下或在SG500XG和SG500X设备上时:-Web验证失败陷阱-选择该选项可在Web验证失败时生成Trap.
-Web验证成功陷阱-选择该选项可在Web验证成功时生成Trap.
-Web验证静默陷阱-选择该选项可在静默期开始时生成Trap.
当设备处于第3层路由器模式时,"VLAN验证表"将显示所有VLAN,并指示VLAN上是否已启用验证.
步骤3单击应用.
802.
1X属性将写入当前配置文件中.
802.
1X端口验证"端口验证"页面可配置每个端口的802.
1X参数.
因为仅当端口处于强制授权状态时,某些配置更改才有可能实现,例如主机验证,因此我们建议您在进行更改之前,将端口控制更改为"强制授权".
完成配置之后,将端口控制恢复为以前状态.
注其上定义了802.
1x的端口不能成为LAG的成员.
定义802.
1X验证的步骤:步骤1单击安全>802.
1X/MAC/Web验证>端口验证.
此页面显示所有端口的验证设置.
步骤2选择一个端口,然后单击编辑.
步骤3输入参数.
接口-选择端口.
当前端口控制-显示当前端口授权的状态.
如果状态为已授权,则端口可能已经过验证,或者管理端口控制为强制授权.
反之,如果状态为未授权,则端口可能未经验证,或者管理端口控制为强制未授权.
管理端口控制-选择管理端口授权状态.
选项如下:-强制未授权-通过将接口转变为未授权状态来拒绝接口访问.
设备不为通过接口的客户端提供验证服务.
-自动-在设备上启用基于端口的验证和授权.
接口根据设备与客户端之间的验证交换在授权状态和未经授权状态之间转换.
-强制授权-对接口进行授权,但不进行验证.
RADIUSVLAN分配-选择该选项可在选择的端口上启用动态VLAN分配.
-禁用-功能未启用.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32420-拒绝-如果RADIUS服务器对请求方进行了授权,但未提供请求方VLAN,请求方将遭到拒绝.
-静态-如果RADIUS服务器对请求方进行了授权,但未提供请求方VLAN,请求方将获得接受.
访客VLAN-选择该选项可指示已为设备启用以前定义的访客VLAN.
选项如下:-已选定-为未授权的端口启用访客VLAN.
如果已启用访客VLAN,则未经授权的端口会自动加入在802.
1X"端口验证"页面的"访客VLANID"字段中选择的VLAN.
验证失败之后,如果在给定端口上全局激活访客VLAN,则会将访客VLAN作为UntaggedVLAN自动分配给未经授权的端口.
-已清除-在端口上禁用访客VLAN.
开放式访问-选择即使端口验证失败,也成功验证端口.
请参阅开放式访问.
基于802.
1X的验证-802.
1X验证是在端口上执行的唯一一种验证方法.
基于MAC的验证-根据请求方的MAC地址验证端口.
仅可在端口上使用8种基于MAC的验证.
注要成功进行MAC验证,RADIUS服务器请求方的用户名和密码必须为请求方的MAC地址.
MAC地址必须为小写字母,并且在输入时不包含.
或-分隔符;例如:0020aa00bbcc.
基于Web的验证-仅适用于第2层交换机模式或者SG500XG和SG500X.
选择该选项可在交换机上启用基于web的验证.
定期重新验证-选择该选项可在指定的重新验证时段之后尝试重新验证端口.
重新验证间隔-输入经过多少秒后对选定端口进行重新验证.
立即重新验证-选择该选项可立即对端口进行重新验证.
验证方状态-显示定义的端口授权状态.
选项如下:-初始化-处于启动阶段.
-强制授权-受控的端口状态设置为"强制授权"(转发流量).
-强制未授权-受控的端口状态设置为"强制未授权"(丢弃流量).
注如果端口未处于"强制授权"或"强制未授权"状态,则处于自动模式下,且验证方会显示进行中的验证状态.
对端口进行验证之后,状态会显示为"已验证".
时间范围-在已启用802.
1x(选中"基于端口"验证)时对经授权可供使用的特定端口进行时间限制.
时间范围名称-选择指定时间范围的模板.
WBA登录尝试最多次数-仅适用于第2层交换机模式或者SG500XG和SG500X.
输入接口上允许的最大登录尝试次数.
选择无限期不进行限制,或选择用户定义设置限制.
WBA最长静默时段-仅适用于第2层交换机模式或者SG500XG和SG500X.
输入接口上允许的静默期最长时段.
选择无限期不进行限制,或选择用户定义设置限制.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32520最大主机数-输入主机上允许的最大授权主机数量.
选择无限期不进行限制,或选择用户定义设置限制.
注将此值设置为1,可在多会话模式下模拟基于web验证的单个主机模式.
静默期-输入在验证交换失败之后设备保持静默状态的秒数.
重新发送EAP-输入在重新发送请求之前设备等待来自请求方(客户端)的对可扩展验证协议(EAP)请求/身份帧的响应的秒数.
最大EAP请求-输入可发送的EAP请求的最大数.
如果在定义时段(请求方超时)之后未接收到响应,则重新启动验证程序.
请求方超时-输入将EAP请求重新发送到请求方之前经过的秒数.
服务器超时-输入设备将请求重新发送到验证服务器之前经过的秒数.
步骤4单击应用.
端口设置将写入当前配置文件中.
定义主机和会话验证使用"主机和会话验证"页面可定义802.
1X在端口上的运作模式以及当检测到违例行为时要执行的操作.
有关这些模式的说明,请参阅端口主机模式.
为端口定义802.
1X高级设置的步骤:步骤1单击安全>802.
1X/MAC/Web验证>主机和会话验证.
会说明所有端口的802.
1X验证参数.
在编辑页面中介绍了除以下字段以外的所有字段.
反入侵次数-显示在单台主机模式下从其MAC地址不是请求方MAC地址的主机到达接口的数据包数量.
步骤2选择一个端口,然后单击编辑.
步骤3输入参数.
接口-输入为其启用了主机验证的端口号.
主机验证-选择其中一种模式.
这些模式在上面的端口主机模式部分进行了介绍.
单个主机违反规则设置(仅在主机验证为"单个主机"时显示):违反规则响应措施-选择对在单会话/单台主机模式下从其MAC地址不是请求方MAC地址的主机到达的数据包所应用的操作.
选项如下:-保护(丢弃)-丢弃数据包.
-限制(转发)-转发数据包.
-关闭-丢弃数据包并关闭端口.
在重新激活端口或重启设备之前,端口将保持关闭状态.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32620Traps-选择该选项可启用陷阱.
TrapFrequency-定义向主机发送陷阱的频率.
仅当禁用多台主机时才可定义此字段.
步骤4单击应用.
设置将写入当前配置文件中.
查看经验证的主机查看有关经验证的用户详情的步骤:步骤1单击安全>802.
1X/MAC/Web验证>已验证的主机.
此页面显示了以下字段:用户名-在每个端口上进行了验证的请求方名称.
端口-端口号.
会话时间(DD:HH:MM:SS)-请求方在端口上保持登录状态的时间量.
验证方法-验证上一个会话所使用的方法.
验证服务器-RADIUS服务器.
MAC地址-显示请求方的MAC地址.
VLANID-端口的VLAN.
锁定的客户端查看因失败登录尝试而锁定的客户端以及对锁定的客户端进行解锁:步骤1单击安全>802.
1X/MAC/Web验证>锁定的客户端.
此时将显示以下字段:接口-端口已锁定.
MAC地址-显示当前端口授权状态.
如果状态为已授权,则端口可能已经过验证,或者管理端口控制为强制授权.
反之,如果状态为未授权,则端口可能未经验证,或者管理端口控制为强制未授权.
剩余时间(秒)-端口仍要保持锁定的时间.
步骤2选择一个端口.
步骤3单击解锁.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32720Web验证自定义此页面支持以多种语言设计基于web的验证页面.
最多可添加4种语言.
注多达5个HTTP用户和1个HTTPS用户可以同时请求基于web的验证.
当这些用户进行验证时,可以有更多用户请求验证.
为基于web的验证添加语言:步骤1单击安全>802.
1X/MAC/Web验证>Web验证自定义.
步骤2单击添加.
步骤3从语言下拉列表中选择一种语言.
步骤4如果此语言为默认语言,则选择设置为默认显示语言.
如果最终用户未选择语言,将显示默认语言页面.
步骤5单击应用,设置将保存到当前配置文件.
自定义web验证页面:步骤1单击安全>802.
1X/MAC/Web验证>Web验证自定义.
此页面显示可以自定义的语言.
步骤2单击编辑登录页面.
步骤3单击编辑1.
此时将显示以下字段:语言-显示页面的语言.
颜色方案-选择对比度选项之一:选择自定义选项后,可用的选项有:-页面背景颜色-输入背景颜色的ASCII码.
选定的颜色将显示在"文本"字段中.
-页眉和页脚背景颜色-输入页眉和页脚背景颜色的ASCII码.
选定的颜色将显示在"文本"字段中.
-页眉和页脚文字颜色-输入页眉和页脚文字颜色的ASCII码.
选定的颜色将显示在"文本"字段中.
-超链接颜色-输入超链接颜色的ASCII码.
选定的颜色将显示在"文本"字段中.
当前徽标图像-选择以下其中一个选项:-无-无徽标.
安全:802.
1x验证通过GUI进行802.
1X配置思科300系列管理型交换机管理指南32820-默认-使用默认徽标.
-其他-选择该选项以输入自定义徽标.
选择其他徽标选项后,可用的选项有:-徽标图像文件名称-输入徽标文件名称或浏览到图像.
-应用文字-输入伴随徽标出现的文字.
-窗口标题文字-输入"登录"页面的标题.
步骤4单击应用,设置将保存到当前配置文件.
步骤5单击编辑2.
此时将显示以下字段:无效用户凭证-输入要在最终用户输入无效用户名和密码时显示的消息文本.
服务不可用-输入要在验证服务不可用时显示的消息文本.
步骤6单击应用,设置将保存到当前配置文件.
步骤7单击编辑3.
此时将显示以下字段:欢迎消息-输入要在最终用户登录时显示的消息文本.
说明消息-输入要对最终用户显示的说明.
RADIUS验证-显示是否已启用RADIUS验证.
如果已启用,则必须在登录页面加入用户名和密码.
用户名文本框-为要显示的用户名文本框选择此选项.
用户名文本框标签-选择要在用户名文本框之前显示的标签.
密码文本框-为显示的密码文本框选择此选项.
密码文本框标签-选择要在密码文本框之前显示的标签.
语言选择-选择该选项可让最终用户选择一个语言.
语言下拉标签-输入语言选择下拉的标签.
登录按钮标签-输入登录按钮的标签.
登录进度标签-输入要在登录过程中显示的文本.
步骤8单击应用,设置将保存到当前配置文件.
步骤9单击编辑4.
此时将显示以下字段:条款和条件-选择该选项可启用条款和条件文本框.
条款和条件警告-输入要作为进入条款和条件的说明显示的消息文本.
安全:802.
1x验证定义时间范围思科300系列管理型交换机管理指南32920条款和条件内容-输入要作为条款和条件显示的消息文本.
步骤10单击应用,设置将保存到当前配置文件.
步骤11编辑5.
此时将显示以下字段:版权-选择该选项可启用版权文本显示.
版权文本-输入版权文本.
步骤12单击应用,设置将保存到当前配置文件.
步骤13单击编辑成功页面.
步骤14单击页面右侧的编辑按钮.
步骤15输入成功消息,这是最终用户成功登录后将显示的文本.
步骤16单击应用,设置将保存到当前配置文件.
若要预览登录或成功消息,单击预览.
若要将GUI界面的默认语言设置为基于Web的验证的默认语言,单击设置默认显示语言.
定义时间范围有关此功能的说明,请参阅时间范围.
验证方法和端口模式支持下表显示了支持的授权方法和端口模式组合.
验证方法和端口模式验证方法单个主机多个主机多会话第3层中的设备第2层中的设备802.
1xMACWEBN/SN/SN/S安全:802.
1x验证验证方法和端口模式支持思科300系列管理型交换机管理指南33020图例:-端口模式还支持访客VLAN和RADIUS-VLAN分配.
N/S-端口模式不支持此验证方法.
注基于Web的验证需要针对输入流量分类的TCAM支持,仅在完整的多会话模式下受支持.
您可以在"端口验证"页面将"最大主机数"参数设置为1,以模拟单个主机模式.
模式行为下表介绍在不同情况下处理验证流量和未经验证流量的方式.
未经验证的流量经验证的流量带访客VLAN不带访客VLAN带RadiusVLAN不带RadiusVLANUntaggedTaggedUntaggedTaggedUntaggedTaggedUntaggedTagged单个主机帧将重映射到访客VLAN除非帧属于访客VLAN或未经授权的VLAN,否则会被丢弃帧会被丢弃除非帧属于未经验证的VLAN,否则会被丢弃帧将重映射到RADIUS分配的VLAN除非帧属于RADIUSVLAN或未经授权的VLAN,否则帧会被丢弃帧将根据静态VLAN配置进行桥接帧将根据静态VLAN配置进行桥接多个主机帧将重映射到访客VLAN除非帧属于访客VLAN或未经授权的VLAN,否则帧会被丢弃帧会被丢弃除非帧属于未经验证的VLAN,否则会被丢弃帧将重映射到Radius分配的VLAN除非帧属于RadiusVLAN或未经授权的VLAN,否则帧会被丢弃帧将根据静态VLAN配置进行桥接帧将根据静态VLAN配置进行桥接精简的多会话N/SN/S帧会被丢弃除非帧属于未经验证的VLAN,否则会被丢弃N/SN/S帧将根据静态VLAN配置进行桥接帧将根据静态VLAN配置进行桥接安全:802.
1x验证验证方法和端口模式支持思科300系列管理型交换机管理指南33120完整的多会话帧将重映射到访客VLAN除非帧属于未经授权的VLAN,否则帧将重映射到访客VLAN帧会被丢弃除非帧属于未经验证的VLAN,否则会被丢弃帧将重映射到RADIUS分配的VLAN除非帧属于未经授权的VLAN,否则帧将重映射到RadiusVLAN帧将根据静态VLAN配置进行桥接帧将根据静态VLAN配置进行桥接未经验证的流量经验证的流量带访客VLAN不带访客VLAN带RadiusVLAN不带RadiusVLANUntaggedTaggedUntaggedTaggedUntaggedTaggedUntaggedTagged21思科300系列管理型交换机管理指南332安全:IPv6第一步跳安全性本节介绍IPv6第一步跳安全性(FHS)的工作原理以及如何在GUI中对其进行配置.
其中包含以下主题:IPv6第一步跳安全性概述路由器通告防护邻居发现检测DHCPv6防护邻近绑定完整性IPv6源防护攻击保护策略、全局参数和系统默认值常见任务默认设置和配置默认设置和配置通过WebGUI配置IPv6第一步跳安全性安全:IPv6第一步跳安全性IPv6第一步跳安全性概述思科300系列管理型交换机管理指南33321IPv6第一步跳安全性概述IPv6FHS是一套用于在启用IPv6的网络中保护链路操作的功能.
它基于邻居发现协议和DHCPv6消息.
在此功能中,第2层交换机(如图6)根据多个不同的规则过滤邻居发现协议消息、DHCPv6消息和用户数据消息.
图6IPv6第一步跳安全性配置IPv6第一步跳安全性的单个独立实例在启用了该功能的各VLAN上运行.
安全:IPv6第一步跳安全性IPv6第一步跳安全性概述思科300系列管理型交换机管理指南33421缩写IPv6第一步跳安全性组件IPv6第一步跳安全性提供以下功能:IPv6第一步跳安全性通用功能RA防护ND检测邻近绑定完整性DHCPv6防护IPv6源防护这些组件可在VLAN上启用或禁用.
每个功能有两个预定义的空策略,名称为:vlan_default和port_default.
第一个连接到未与用户定义策略连接的各VLAN,第二个连接到未与用户定义策略连接的各接口和VLAN.
这些策略无法由用户显式连接.
请参阅策略、全局参数和系统默认值.
名称说明CPA消息证书路径通告消息CPS消息证书路径请求消息DAD-NS消息重复地址检测邻居请求消息FCFS-SAVI先来先服务-源地址验证改进NA消息邻居通告消息NDP邻居发现协议NS消息邻居请求消息RA消息路由器通告消息RS消息路由器请求消息SAVI源地址验证改进安全:IPv6第一步跳安全性IPv6第一步跳安全性概述思科300系列管理型交换机管理指南33521IPv6第一步跳安全性管道功能如果IPv6第一步跳安全性已在VLAN上启用,则交换机会Trap以下消息:路由器通告(RA)消息路由器请求(RS)消息邻居通告(NA)消息邻居请求(NS)消息ICMPv6重定向消息证书路径通告(CPA)消息证书路径请求(CPS)消息DHCPv6消息拦截的RA、CPA和ICMPv6重定向消息将传递到RA防护功能.
RA防护将验证这些信息并丢弃非法消息,而合法消息将传递到ND检测功能.
ND检测将验证这些信息并丢弃非法消息,而合法消息将传递到IPv6源防护功能.
拦截的DHCPv6消息将传递到DHCPv6防护功能.
DHCPv6防护将验证这些信息并丢弃非法消息,而合法消息将传递到IPv6源防护功能.
拦截的数据消息将传递到IPv6源防护功能.
IPv6源防护将使用邻近绑定表验证接收的消息(拦截的数据消息、来自ND检测的NDP消息以及来自DHCPv6防护的DHCPv6消息),丢弃非法消息,并将合法消息传递到转发.
邻近绑定完整性从接收的消息(NDP和DHCPv6消息)中学习邻居,并将其存储在邻近绑定表中.
此外,可以手动添加静态条目.
学习地址后,NBI功能可传递框架以供转发.
拦截的RS、CPSNS和NA消息也会传递到ND检测功能.
ND检测将验证这些信息并丢弃非法消息,然后将合法消息将传递到IPv6源防护功能.
安全:IPv6第一步跳安全性IPv6第一步跳安全性概述思科300系列管理型交换机管理指南33621IPv6第一步跳安全性周界IPv6第一步跳安全性交换机可形成一个周界,将不受信任的区域与受信任的区域隔离开.
周界内的所有交换机都支持IPv6第一步跳安全性,周界内的主机和路由器为受信任的设备.
例如,在图7中交换机B和交换机C是受保护区域内的内部链路.
图7IPv6第一步跳安全性周界邻近绑定策略配置屏幕中的device-role命令指定周界.
每个IPv6第一步跳安全性交换机为由边缘划分的邻居建立绑定.
通过这种方式,绑定条目将在形成周界的IPv6第一步跳安全性设备上分发.
然后,IPv6第一步跳安全性设备可以向周界内部提供绑定完整性,无需为各设备上的所有地址设置绑定.
安全:IPv6第一步跳安全性路由器通告防护思科300系列管理型交换机管理指南33721路由器通告防护路由器通告(RA)防护为处理拦截的RA消息的第一个FHS功能.
RA防护支持以下功能:过滤接收的RA、CPA和ICMPv6重定向消息.
验证接收的RA消息.
过滤接收的RA、CPA和ICMPv6重定向消息RA防护会丢弃未作为路由器角色的接口上的RA和CPA消息.
接口角色在"安全">"IPv6第一步跳安全性">"RA防护设置"页面配置.
RA消息验证RA防护将根据与接口连接的RA防护策略使用过滤验证RA消息.
这些策略可在"RA防护设置"页面配置.
如果消息未通过验证,则会被丢弃.
如果FHS常见组件上的记录数据包丢弃配置已启用,则将发送限速系统日志消息.
邻居发现检测邻居发现(ND)检测支持以下功能:验证接收的邻居发现协议消息.
出口过滤消息验证ND检测可根据与接口连接的ND检测策略验证邻居发现协议消息.
此策略可在"ND检测设置"页面定义.
如果消息未通过策略中定义的验证,则会被丢弃,且将发送限速系统日志消息.
出口过滤ND检测将阻止配置为主机接口的接口上的RS和CPS消息转发.
安全:IPv6第一步跳安全性DHCPv6防护思科300系列管理型交换机管理指南33821DHCPv6防护DHCPv6防护会处理拦截的DHCPv6消息.
DHCPv6防护支持以下功能:过滤接收的DHCPv6消息.
DHCP防护将丢弃在作为客户端角色的接口上接收的DHCPv6回复消息.
接口角色可在"DHCP防护设置"页面配置.
验证接收的DHCPv6消息.
DHCPv6防护将根据与接口连接的DHCPv6防护策略验证匹配过滤的DHCPv6消息.
如果消息未通过验证,则会被丢弃.
如果FHS常见组件上的记录数据包丢弃配置已启用,则将发送限速系统日志消息.
邻近绑定完整性邻近绑定(NB)完整性可建立邻近绑定.
NB完整性的单个独立实例在启用了该功能的各VLAN上运行.
学习通告的IPv6前缀NB完整性学习RA消息中通告的IPv6前缀,并将其保存在邻居前缀表中.
这些前缀用于验证已分配的全局IPv6地址.
默认情况下,此验证为禁用状态.
如果启用,地址将根据"邻近绑定设置"页面中的前缀进行验证.
用于地址验证的静态前缀可在"邻居前缀表"页面中添加.
全局IPv6地址验证NB完整性执行以下验证:如果NS或NA消息中的目标地址为全局IPv6地址,它必须属于RA前缀表中定义的前缀之一.
DHCPv6服务器提供的全局IPv6地址必须属于IPv6前缀列表(在"IP配置">"IPv6前缀列表"页面)中定义的前缀之一.
如果消息未通过此验证,则会被丢弃,且将发送限速系统日志消息.
安全:IPv6第一步跳安全性邻近绑定完整性思科300系列管理型交换机管理指南33921邻近绑定表溢出如果没有用于新建条目的可用空间,则不会创建任何条目,并发送系统日志消息.
建立邻近绑定IPv6第一步跳安全性交换机可使用以下方法发现并记录绑定信息:NBI-NDP方法:从侦听的邻居发现协议消息中学习IPv6地址NBI-DHCP方法:通过从侦听的DHCPv6消息中学习IPv6地址NBI手动方法:通过手动配置IPv6地址将绑定到主机网络的链路层属性.
此属性称为"绑定锚点",包含接口标识符(ifIndex),主机将通过它连接到主机MAC地址.
IPv6第一步跳安全性交换机仅在周界接口上建立绑定(请参阅IPv6第一步跳安全性周界).
绑定信息将保存在邻近绑定表中.
NBI-NDP方法使用的NBI-NDP方法基于RFC6620中规定的FCFS-SAVI方法,不同之处如下:与仅支持链路本地IPv6地址绑定的FCFS-SAVI不同,NBI-NDP还支持绑定全局IPv6地址.
NBI-NDP仅针对从NDP消息中学习的IPv6地址支持IPv6地址绑定.
数据消息的源地址验证由IPv6源地址防护提供.
在NBI-NDP中,地址所有权证明基于先来先服务的原则.
第一个声明给定源地址的主机是该地址的所有者,直到再次获得通知.
如果没有可接受的主机更改,则必须找到一个方法来确定地址所有权,无需使用新协议.
为此,无论何时从NDP消息中首次学习IPv6地址时,交换机都会将地址绑定到接口.
后续包含此IPV6的NDP消息可根据同一绑定锚点来进行检查,以确定发起人拥有该源IP地址.
如果IPv6主机在第2层域中漫游或更改其MAC地址,此规则将发生异常.
此时,主机仍然是IP地址的所有者,但关联的绑定锚点可能会更改.
为配合此情况,定义的NBI-NDP行为将隐含主机是否可通过向上一绑定接口发送DAD-NS消息访问的验证.
如果主机无法在之前记录的绑定锚点处访问,则NBI-NDP将假定新的锚点有效并更改绑定锚点.
如果主机仍然可以使用之前记录的绑定锚点访问,则绑定接口将不会更改.
为减少邻近绑定表的大小,NBI-NDP仅在周界接口上建立绑定(请参阅IPv6第一步跳安全性周界),并使用NS和NA消息通过内部接口分发绑定信息.
在创建NBI-NDP本地绑定之前,设备会发送一个DAD-NS消息,用于查询涉及的地址.
如果主机通过NA消息回复该消息,则发送DAD-NS消息的设备将推断该地址的绑定存在于另一设备中,且不会为其创建本地绑定.
如果没有收到作为DAD-NS消息回复的NA消息,本地设备会推断其他设备中不存在该地址的绑定,并将为该地址创建本地绑定.
安全:IPv6第一步跳安全性IPv6源防护思科300系列管理型交换机管理指南34021NBI-NDP支持有效期限定时器.
定时器的值可在"邻近绑定设置"页面设置.
计时器在每次绑定的IPv6地址得到确认后都将重新启动.
如果计时器过期,设备将发送多达2条DAD-NS消息,其中带有较短间隔,用于验证邻居.
NBI-DHCP方法NBI-NDP方法基于2012年9月11日用于DHCP的SAVI解决方案(draft-ietf-savi-dhcp-15)中规定的SAVI-DHCP方法.
与NBI-NDP类似,NBI-DHCP提供周界绑定,以实现可升级性.
NBI-DHCP和NBI-FCFS方法之间存在以下不同之处:NBI-DHCP遵从DHCPv6消息中公布的状态,因此,无需通过NS/NA消息分发状态.
NB完整性策略与其他IPv6第一步跳安全性功能的运作方式相同,NB完整性在与接口连接的NB完整性策略指定的接口上运行.
这些策略可在"邻近绑定设置"页面设置.
IPv6源防护如果启用邻近绑定完整性(NB完整性),无论是否启用IPv6源防护,IPv6源防护都将验证NDP和DHCPv6消息的源IPv6地址.
如果同时启用IPv6源防护与NB完整性,IPv6源防护将配置TCAM以指定应将哪些IPv6数据帧转发、丢弃或拦截到CPU,并验证所拦截IPv6数据消息的源IPv6地址.
如果未启用NB完整性,IPv6源防护无论是否启用,都不会激活.
如果TCAM没有用于添加新规则的可用空间,TCAM溢出计数器的值会增加,并且会发送速率受限的系统日志消息,其中包含接口标识符、主机MAC地址和主机IPv6地址.
IPv6源防护使用邻近绑定表验证所有接收的IPv6消息的源地址,但以下无需验证即可通过的消息除外:RS消息,如果源IPv6地址等于未指定的IPv6地址.
NS消息,如果源IPv6地址等于未指定的IPv6地址.
NA消息,如果源IPv6地址等于目标地址.
IPv6源防护会丢弃其源IPv6地址等于未指定的IPv6地址的所有其他IPv6消息.
IPv6源防护仅在属于周界的不受信任接口上运行.
在以下条件下,IPv6源防护会丢弃输入的IPv6消息:相邻绑定表不包含IPv6地址相邻绑定表包含IPv6地址,但该地址与另一个接口绑定.
IPv6源防护会通过为未知源IPv6地址发送DAD_NS消息来启动邻居恢复过程.
安全:IPv6第一步跳安全性攻击保护思科300系列管理型交换机管理指南34121攻击保护本节介绍IPv6第一步跳安全性提供的攻击保护防止IPv6路由器欺骗IPv6主机可将接收的RA消息用于以下方面:IPv6路由器发现无状态地址配置恶意主机可能会发送RA消息,将自身通告为IPv6路由器,并为无状态地址配置提供假冒前缀.
RA防护可为IPv6路由器无法连接到的所有接口将接口角色配置为主机接口,从而防止此类攻击.
防止IPv6地址解析欺骗恶意主机可能会发送NA消息,将自身通告为具有给定IPv6地址的IPv6主机.
NB完整性可通过以下方式防止此类攻击:如果给定IPv6地址未知,则邻居请求(NS)消息仅在内部接口上转发.
如果给定IPv6地址已知,则NS消息仅在IPv6地址绑定到的接口上转发.
如果目标IPv6地址与另一个接口绑定,邻居通告(NA)消息会被丢弃.
防止IPv6重复地址检测欺骗IPv6主机必须通过发送特殊NS消息(重复地址检测邻居请求消息(DAD_NS)消息),为每个已分配的IPv6地址执行重复地址检测.
恶意主机可能会发送对DAD_NS消息的回复,将自身通告为具有给定IPv6地址的IPv6主机.
NB完整性可通过以下方式防止此类攻击:如果给定IPv6地址未知,则DAD_NS消息仅在内部接口上转发.
如果给定IPv6地址已知,则DAD_NS消息仅在IPv6地址绑定到的接口上转发.
如果目标IPv6地址与另一个接口绑定,NA消息会被丢弃.
安全:IPv6第一步跳安全性策略、全局参数和系统默认值思科300系列管理型交换机管理指南34221防止DHCPv6服务器欺骗IPv6主机可将DHCPv6协议用于以下方面:无状态信息配置无状态地址配置恶意主机可能会发送DHCPv6回复消息,将自身通告为DHCPv6服务器,并提供假冒无状态信息和IPv6地址.
DHCPv6防护可为DHCPv6服务器无法连接到的所有端口将接口角色配置为客户端端口,从而防止此类攻击.
防止NBD缓存欺骗IPv6路由器支持将IPv6地址映射到上一步跳路由MAC地址的邻居发现协议(NDP).
恶意主机可能会发送带有不同上一步跳转发目的地IPv6地址的IPv6消息,导致NBD缓存溢出.
NDP实现中的一个嵌入式机制可限制邻居发现缓存不完整状态中允许的条目数量.
这可以提供保护,避免表被黑客转发.
策略、全局参数和系统默认值FHS的每个功能都可以单独启用/禁用.
默认情况下,功能都为禁用状态.
功能最初必须在特定VLAN上启用.
启用功能时,您也可以定义该功能验证规则的全局配置值.
如果未定义包含不同验证规则值的策略,则将功能应用到数据包时将使用全局值.
.
策略策略包含在输入数据包上执行的验证规则.
它们可以连接到VLAN,还可以连接到端口和LAG.
如果VLAN上未启用该功能,策略将无效.
策略可以是用户定义的策略,也可以是默认策略(见下文).
默认策略每个FHS功能都存在空的默认策略,这些策略在默认状态下都与所有VLAN和接口连接.
默认策略名为:"vlan_default"和"port_default"(对于各功能):规则可以添加到这些默认策略.
您无法将默认策略手动连接到接口.
默认情况下,它们处于连接状态.
默认策略无法删除.
您只能删除用户定义的配置.
安全:IPv6第一步跳安全性常见任务思科300系列管理型交换机管理指南34321用户定义的策略您可以定义除默认策略以外的策略.
当用户定义的策略连接到接口时,该接口的默认策略将解除连接.
如果用户定义的策略与接口解除连接,则默认策略将重新连接.
在以下情况发生之前,策略不会生效:策略中的功能在包含接口上的VLAN上启用策略连接到接口(VLAN、端口或LAG).
连接一个策略时,该接口的默认策略将解除连接.
从接口移除策略时,默认策略将重新连接.
您只能将1个策略(针对一个功能)连接到VLAN.
如果指定了不同VLAN,则可将多个策略(针对特定功能)连接到一个接口.
验证规则的级别应用于接口上输入数据包的最终规则集通过以下方式构建:在与数据包到达的接口(端口或LAG)连接的策略中配置的规则将添加到此集.
如果在与VLAN连接的策略中配置的规则尚未在端口级别添加,则将添加到此集.
如果全局规则尚未在VLAN或端口级别添加,则将添加到此集.
在端口级别定义的规则将覆盖在VLAN级别设置的规则.
在VLAN级别定义的规则将覆盖全局配置的规则.
全局配置的规则将覆盖系统默认值.
常见任务IPv6第一步跳安全性常见工作流程步骤1在"FHS设置"页面,输入启用了此功能的VLAN列表.
步骤2在同一页面,设置全局数据包丢弃记录功能.
步骤3如果需要,可以配置用户定义的策略,也可以将规则添加到此功能的默认策略.
步骤4使用"策略连接(VLAN)"或"策略连接(端口)"页面将策略连接到VLAN、端口或LAG.
安全:IPv6第一步跳安全性常见任务思科300系列管理型交换机管理指南34421路由器通告防护工作流程步骤1在"RA防护设置"页面,输入启用了此功能的VLAN列表.
步骤2在同一页面,设置在策略中未设置值时使用的全局配置值.
步骤3如果需要,可以配置用户定义的策略,也可以将规则添加到此功能的默认策略.
步骤4使用"策略连接(VLAN)"或"策略连接(端口)"页面将策略连接到VLAN、端口或LAG.
DHCPv6防护工作流程步骤1在"DHCPv6防护设置"页面,输入启用了此功能的VLAN列表.
步骤2在同一页面,设置在策略中未设置值时使用的全局配置值.
步骤3如果需要,可以配置用户定义的策略,也可以将规则添加到此功能的默认策略.
步骤4使用"策略连接(VLAN)"或"策略连接(端口)"页面将策略连接到VLAN、端口或LAG.
邻居发现检测工作流程步骤1在"ND检测设置"页面,输入启用了此功能的VLAN列表.
步骤2在同一页面,设置在策略中未设置值时使用的全局配置值.
步骤3如果需要,可以配置用户定义的策略,也可以将规则添加到此功能的默认策略.
步骤4使用"策略连接(VLAN)"或"策略连接(端口)"页面将策略连接到VLAN、端口或LAG.
邻近绑定工作流程步骤1在"邻近绑定设置"页面,输入启用了此功能的VLAN列表.
步骤2在同一页面,设置在策略中未设置值时使用的全局配置值.
步骤3如果需要,可以配置用户定义的策略,也可以将规则添加到此功能的默认策略.
步骤4在"邻近绑定表"页面添加任何需要的手动条目安全:IPv6第一步跳安全性默认设置和配置思科300系列管理型交换机管理指南34521步骤5使用"策略连接(VLAN)"或"策略连接(端口)"页面将策略连接到VLAN、端口或LAG.
IPv6源防护工作流程步骤1在"IPv6源防护设置"页面,输入启用了此功能的VLAN列表.
步骤2如果需要,可以配置用户定义的策略,也可以将规则添加到此功能的默认策略.
步骤3使用"策略连接(VLAN)"或"策略连接(端口)"页面将策略连接到VLAN、端口或LAG.
默认设置和配置如果IPv6第一步跳安全性已在VLAN上启用,则默认情况下,交换机会Trap以下消息:路由器通告(RA)消息路由器请求(RS)消息邻居通告(NA)消息邻居请求(NS)消息ICMPv6重定向消息证书路径通告(CPA)消息证书路径请求(CPS)消息DHCPv6消息默认情况下,FHS功能处于禁用状态.
使用说明无需执行任何预备任务.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南34621通过WebGUI配置IPv6第一步跳安全性FHS常见设置使用"FHS设置"页面,可在一组指定的VLAN上启用FHS常见功能,并为记录丢弃的数据包设置全局配置值.
如果需要,可以添加策略,也可以将数据包丢弃记录添加到系统定义的默认策略.
配置IPv6第一步跳安全性通用参数的步骤:步骤1单击安全>IPv6第一步跳安全性>FHS设置.
会显示当前定义的策略.
步骤2输入以下全局配置字段:FHSVLAN列表-输入启用了IPv6第一步跳安全性的一个或多个VLAN.
数据包丢弃记录-选择该选项以在数据包通过第一步跳安全性策略丢弃时创建系统日志.
这是未定义策略时的全局默认值.
步骤3单击应用将设置添加到当前配置文件.
步骤4如果需要,通过单击添加创建一个FHS策略.
输入以下字段:策略名称-输入用户定义的策略名称.
数据包丢弃记录-选择该选项以在数据包因此策略中的第一步跳安全性功能而丢弃时创建系统日志.
-继承-使用VLAN或全局配置中的值.
-启用-在数据包因第一步跳安全性而丢弃时创建系统日志.
-禁用-在数据包因第一步跳安全性而丢弃时,不创建系统日志.
将此策略连接到接口的步骤:将策略连接到VLAN-单击该选项可跳转至策略连接(VLAN)页面,您可以从中将此策略连接到VLAN.
将策略连接到接口-单击该选项可跳转至策略连接(端口)页面,您可以从中将此策略连接到端口.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南34721RA防护设置使用"RA防护设置"页面,可在一组指定的VLAN上启用RA防护功能,并为此功能设置全局配置值.
如果需要,可以在此页面添加一个策略或者配置系统定义的默认RA防护策略.
配置RA防护的步骤:步骤1单击安全>IPv6第一步跳安全性>RA防护设置.
步骤2输入以下全局配置字段:RA防护VLAN列表-输入启用了RA防护的一个或多个VLAN.
设备角色-显示以下选项之一,以指定与RA防护端口连接的设备的角色.
-继承-设备角色继承自VLAN或系统默认(客户端).
-路由器-设备角色为路由器.
-主机-设备角色为主机.
最小步跳限制-此字段指示RA防护策略是否将检查已收数据包的最小步跳限制.
-无校验-禁用对步跳数限制下边界的验证.
-用户定义-验证步跳数限制是否大于或等于此值.
最大步跳限制-此字段指示RA防护策略是否将检查已收数据包的最大步跳限制.
-无校验-禁用对步跳数限制上边界的验证.
-用户定义-验证步跳数限制是否小于或等于此值.
上边界的值必须等于或大于下边界的值.
受管配置标签-此字段指定IPv6RA防护策略内已通告受管地址配置标志的验证.
-无校验-禁用对已通告受管地址配置标志的验证.
-接通-启用已通告受管地址配置标志的验证.
-断开-标志的值必须为0.
其他配置标签-此字段指定IPv6RA防护策略内已通告其他配置标志的验证.
-无校验-禁用对已通告其他配置标志的验证.
-接通-启用已通告受管其他标志的验证.
-断开-标志的值必须为0.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南34821最低路由器优先级-此字段指示RA防护策略是否将验证RA防护策略内RA消息中的最小已通告默认路由器优先级值.
-无校验-禁用对已通告默认路由器优先级下边界的验证.
-低-指定允许的最小已通告默认路由器优先级值.
可接受的值如下:低、中和高(见RFC4191).
-中-指定允许的最小已通告默认路由器优先级值.
可接受的值如下:低、中和高(见RFC4191).
-高-指定允许的最小已通告默认路由器优先级值.
可接受的值如下:低、中和高(见RFC4191).
最高路由器优先级-此字段指示RA防护策略是否将验证RA防护策略内RA消息中的最大已通告默认路由器优先级值.
-无校验-禁用对已通告默认路由器优先级上边界的验证.
-低-指定允许的最大已通告默认路由器优先级值.
可接受的值如下:低、中和高(见RFC4191).
-中-指定允许的最大已通告默认路由器优先级值.
可接受的值如下:低、中和高(见RFC4191).
-高-指定允许的最大已通告默认路由器优先级值.
可接受的值如下:低、中和高(见RFC4191).
要创建RA防护策略,请单击添加并输入以上参数.
要配置系统定义的默认策略或现有用户定义的策略,请在策略表中选择相应策略,然后单击编辑.
将此策略连接到接口的步骤:将策略连接到VLAN-单击该选项可跳转至策略连接(VLAN)页面,您可以从中将此策略连接到VLAN.
将策略连接到接口-单击该选项可跳转至策略连接(端口)页面,您可以从中将此策略连接到端口.
DHCPv6防护设置使用"DHCPv6防护设置"页面,可在一组指定的VLAN上启用DHCPv6防护功能,并为此功能设置全局配置值.
如果需要,可以在此页面添加一个策略或者配置系统定义的默认DHCPv6防护策略.
配置DHCPv6防护的步骤:步骤1单击安全>IPv6第一步跳安全性>DHCPv6防护设置.
步骤2输入以下全局配置字段:DHCPv6防护VLAN列表-输入启用了DHCPv6防护的一个或多个VLAN.
设备角色-显示设备角色.
请参阅添加页面中的定义.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南34921最低优先级-此字段指示DHCPv6防护策略是否将检查已收数据包的最小已通告优先级值.
-继承-最低优先级继承自VLAN或系统默认(客户端).
-无校验-禁用对已收数据包最小已通告优先级值的验证.
-用户定义的-验证已通告优先级值是否大于或等于此值.
此值必须小于"最高优先级"值.
最高优先级-此字段指示DHCPv6防护策略是否将检查已收数据包的最大已通告优先级值.
此值必须大于"最低优先级"值.
-继承-最高优先级继承自VLAN或系统默认(客户端).
-无校验-禁用对步跳数限制下边界的验证.
-用户定义的-验证已通告优先级值是否小于或等于此值.
步骤3如果需要,单击添加以创建DHCPv6策略.
步骤4输入以下字段:策略名称-输入用户定义的策略名称.
设备角色-选择服务器或客户端,以指定与DHCPv6防护端口连接的设备的角色.
-继承-设备角色继承自VLAN或系统默认(客户端).
-客户端-设备角色为客户端.
-服务器-设备角色为服务器.
匹配回复前缀-选择该选项可启用对DHCPv6防护策略内已收DHCP回复消息中的已通告前缀的验证.
-继承-值继承自VLAN或系统默认(无校验).
-无校验-不验证已通告前缀.
-匹配列表-要匹配的IPv6前缀列表.
匹配服务器地址-选择该选项可启用对DHCPv6防护策略内已收DHCP回复消息中的DHCP服务器IPv6地址和中继IPv6地址的验证.
-继承-值继承自VLAN或系统默认(无校验).
-无校验-禁用对DHCP服务器IPv6地址和中继IPv6地址的验证.
-匹配列表-要匹配的IPv6前缀列表.
最低优先级-见上文.
最高优先级-见上文.
步骤5单击应用将设置添加到当前配置文件.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35021将此策略连接到接口的步骤:将策略连接到VLAN-单击该选项可跳转至策略连接(VLAN)页面,您可以从中将此策略连接到VLAN.
将策略连接到接口-单击该选项可跳转至策略连接(端口)页面,您可以从中将此策略连接到端口.
邻居发现检测设置使用"邻居发现(ND)检测设置"页面,可在一组指定的VLAN上启用ND检测功能,并为此功能设置全局配置值.
如果需要,可以在此页面添加一个策略或者配置系统定义的默认ND检测策略.
配置ND检测的步骤:步骤1单击安全>IPv6第一步跳安全性>ND检测设置.
步骤2输入以下全局配置字段:ND检测VLAN列表-输入启用了ND检测的一个或多个VLAN.
设备角色-显示设备角色(说明如下).
丢弃不安全的-选择该选项可丢弃IPv6ND检测策略内无CGA或RSA签名选项的消息.
最低安全等级-如果不丢弃不安全的消息,请选择可转发消息的最低安全等级.
-无校验-禁用对安全等级的验证.
-用户定义的-指定要转发的消息的安全等级.
验证源MAC-指定是否全局启用对照链路层地址的源MAC地址检查:-继承-从VLAN或系统默认(已禁用)继承值.
-启用-启用对照链路层地址的源MAC地址检查.
-禁用-禁用对照链路层地址的源MAC地址检查.
步骤3如果需要,单击添加以创建ND检测策略.
步骤4输入以下字段:策略名称-输入用户定义的策略名称.
设备角色-选择服务器或客户端,以指定与ND检测端口连接的设备的角色.
-继承-设备角色继承自VLAN或系统默认(客户端).
-主机-设备角色为主机.
-路由器-设备角色为路由器.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35121丢弃不安全的-见上文.
最低安全等级-见上文.
验证源MAC-见上文.
步骤5单击应用将设置添加到当前配置文件.
将此策略连接到接口的步骤:将策略连接到VLAN-单击该选项可跳转至策略连接(VLAN)页面,您可以从中将此策略连接到VLAN.
将策略连接到接口-单击该选项可跳转至策略连接(端口)页面,您可以从中将此策略连接到端口.
邻近绑定设置临近绑定表是一个包含与设备连接的IPv6邻居的数据库表,从邻居发现协议(NDP)侦听等信息源中创建.
此数据库(或称绑定)表由各种IPv6防护功能用于阻止侦听并重定向攻击.
使用"邻近绑定设置"页面,可在一组指定的VLAN上启用邻近绑定功能,并为此功能设置全局配置值.
如果需要,可以在此页面添加一个策略或者配置系统定义的默认邻近绑定策略.
配置邻近绑定的步骤:步骤1单击安全>IPv6第一步跳安全性>邻近绑定设置.
步骤2输入以下全局配置字段:邻近绑定VLAN列表-输入启用了临近绑定的一个或多个VLAN.
设备角色-显示设备的全局默认角色(周界).
邻近绑定有效期限-输入地址在邻近绑定表中保留的时间长度.
邻近绑定记录-选择该选项可启用邻近绑定表主要事件记录.
地址前缀验证-选择该选项可启用地址的IPv6源防护验证.
全局地址绑定配置:从NDP消息绑定-要更改IPv6邻近绑定策略中允许的全局IPv6地址配置方法的全局配置,请选择以下选项之一:-任意-从NDP消息绑定的全局IPv6允许任意配置方法(无状态和手动).
-无状态-从NDP消息绑定的全局IPv6仅允许无状态自动配置.
-禁用-禁用从NDP消息绑定.
从DHCPv6消息绑定-允许从DHCPv6绑定.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35221邻近绑定条目限制-指定每个接口类型或地址类型的最大邻近绑定条目数量:每个VLAN的条目-指定每个VLAN的邻近绑定限制.
选择"无限制"或输入"用户定义"值.
每个接口的条目-指定每个接口的邻近绑定限制.
选择"无限制"或输入"用户定义"值.
每个MAC地址的条目-指定每个MAC地址的邻近绑定限制.
选择无限制或输入用户定义值.
步骤3如果需要,单击添加以创建邻近绑定策略.
步骤4输入以下字段:策略名称-输入用户定义的策略名称.
设备角色-选择以下选项之一,以指定与邻近绑定策略端口连接的设备的角色.
-继承-设备角色继承自VLAN或系统默认(客户端).
-周界-端口连接到不支持IPv6第一步跳安全性的设备.
-内部-端口连接到支持IPv6第一步跳安全性的设备.
邻近绑定记录-选择以下其中一个选项以指定记录:-继承-记录选项与全局值相同.
-启用-启用绑定表主要事件记录.
-禁用-禁用绑定表主要事件记录.
地址前缀验证-选择以下其中一个选项以指定地址验证:-继承-验证选项与全局值相同.
-启用-启用地址验证.
-禁用-禁用地址验证.
全局地址绑定配置:继承地址绑定设置-启用该选项可使用全局地址绑定设置.
从NDP消息绑定-要更改IPv6邻近绑定策略中允许的全局IPv6地址配置方法的全局配置,请选择以下选项之一:-任意-从NDP消息绑定的全局IPv6允许任意配置方法(无状态和手动).
-无状态-从NDP消息绑定的全局IPv6仅允许无状态自动配置.
-禁用-禁用从NDP消息绑定.
从DHCPv6消息绑定:-选择该选项可启用从DHCPv6绑定.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35321邻近绑定条目限制-见上文.
每个VLAN的条目-选择继承可使用全局值,选择无限制可不对条目数量设置限制,选择用户定义可为该策略设置特定值.
每个接口的条目-选择继承可使用全局值,选择无限制可不对条目数量设置限制,选择用户定义可为该策略设置特定值.
每个MAC地址的条目-选择继承可使用全局值,选择无限制可不对条目数量设置限制,选择用户定义可为该策略设置特定值.
步骤5单击应用将设置添加到当前配置文件.
将此策略连接到接口的步骤:将策略连接到VLAN-单击该选项可跳转至策略连接(VLAN)页面,您可以从中将此策略连接到VLAN.
将策略连接到接口-单击该选项可跳转至策略连接(端口)页面,您可以从中将此策略连接到端口.
IPv6源防护设置使用"IPv6源防护设置"页面,可在一组指定的VLAN上启用IPv6源防护功能.
如果需要,可以在此页面添加一个策略或者配置系统定义的默认IPv6源防护策略.
配置IPv6源防护的步骤:步骤1单击安全>IPv6第一步跳安全性>IPv6源防护设置.
步骤2输入以下全局配置字段:IPv6源防护VLAN列表-输入启用了IPv6源防护的一个或多个VLAN.
端口信任-显示策略在默认情况下针对不受信任的端口.
该选项可以按照策略进行更改.
步骤3如果需要,单击添加以创建第一步跳安全性策略.
步骤4输入以下字段:策略名称-输入用户定义的策略名称.
端口信任-选择策略的端口信任状态:-继承-当策略连接到不受信任的端口时.
-信任-当策略连接到受信任的端口时.
步骤5单击应用连接策略.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35421将此策略连接到接口的步骤:将策略连接到VLAN-单击该选项可跳转至策略连接(VLAN)页面,您可以从中将此策略连接到VLAN.
将策略连接到接口-单击该选项可跳转至策略连接(端口)页面,您可以从中将此策略连接到端口.
策略连接(VLAN)将策略连接到一个或多个VLAN的步骤:步骤1单击安全>IPv6第一步跳安全性>策略连接(VLAN).
已连接的策略列表将与其策略类型、策略名称和VLAN列表一起显示.
步骤2要将策略连接到VLAN,请单击添加并填写以下字段:策略类型-选择要连接到接口的策略类型.
策略名称-选择要连接到接口的策略的名称.
VLAN列表-选择策略要连接的VLAN.
选择所有VLAN或输入一系列VLAN.
步骤3单击应用将设置添加到当前配置文件.
策略连接(端口)将策略连接到一个或多个端口或LAG的步骤:步骤1单击安全>IPv6第一步跳安全性>策略连接(端口).
已连接的策略列表将与其接口号、策略类型、策略名称和VLAN列表一起显示.
步骤2要将策略连接到端口或LAG,请单击添加并填写以下字段:接口-选择在其上连接策略的接口.
策略类型-选择要连接到接口的策略类型.
策略名称-选择要连接到接口的策略的名称.
VLAN列表-选择策略要连接的VLAN.
选择所有VLAN或输入一系列VLAN.
步骤3单击应用将设置添加到当前配置文件.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35521邻近绑定表在邻近绑定表中查看条目的步骤:步骤1单击安全>IPv6第一步跳安全性>邻近绑定表.
步骤2请选择以下其中一个清除表选项:仅静态-清除表中的所有静态条目.
仅动态-清除表中的所有动态条目.
全部动态和静态-清除表中的所有动态和静态条目.
输入以下字段:VLANID-条目的VLANID.
IPv6地址-条目的源IPv6地址.
接口名称-接收数据包的端口.
MAC地址-数据包的邻近MAC地址.
起始-添加IPv6地址的协议(仅适用于动态条目):-静态-手动添加.
-NDP-从邻居发现协议消息获取.
-DHCP-从DHCPv6协议消息获取.
状态-条目的状态:-不确定-新的主机IPv6地址处于验证中.
由于其有效期限不足1秒,因此不显示其过期时间.
-有效-主机IPv6地址已绑定.
到期时间(秒)-在未获得确认时,条目删除前的剩余时间,以秒钟数表示.
TCAM溢出-标记为否的条目因TCAM溢出而不会添加到TCAM中安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35621邻居前缀表在邻居前缀表中,您可以为从NDP消息绑定的全局IPv6地址添加静态前缀.
系统按照学习通告的IPv6前缀中的说明学习动态条目.
将条目添加至邻居前缀表的步骤:步骤1单击安全>IPv6第一步跳安全性>邻居前缀表.
步骤2请选择以下其中一个选项,以清除邻居前缀表:仅静态-仅清除静态条目.
仅动态-仅清除动态条目.
全部动态和静态-清除静态和动态条目.
步骤3将针对现有条目显示以下字段:VLANID-与前缀相关的VLAN.
IPv6前缀-IPv6前缀.
前缀长度-IPv6前缀的长度.
起始-条目是动态(获取)还是静态(手动配置).
自动配置-前缀可以用于无状态配置.
到期时间(秒)-条目在删除前保存的时间.
步骤4单击添加,向表中添加新的条目,并为新条目输入上述字段.
FHS状态显示FHS功能全局配置的步骤:步骤1单击安全>IPv6第一步跳安全性>FHS状态.
步骤2选择报告了FHS状态的端口、LAG或VLAN.
步骤3将针对选定接口显示以下字段:安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35721FHS状态-当前VLAN上的FHS状态:-FHS是否已在当前VLAN上启用.
-数据包丢弃记录:-此功能是否已针对当前接口启用(在全局配置级别或与接口连接的策略中).
RA防护状态-当前VLAN上的RA防护状态:-RA防护是否已在当前VLAN上启用.
-设备角色:-RA设备角色.
-管理型配置标志:-是否已启用对管理型配置标志的验证.
-其他配置标志:-是否已启用对其他配置标志的验证.
-RA地址列表:-要匹配的RA地址列表.
-RA前缀列表:-要匹配的RA前缀列表.
-最小步跳限制:-是否已启用最小RA步跳限制验证.
-最大步跳限制:-是否已启用最大RA步跳限制验证.
-最低路由器优先级:-是否已启用最低路由器优先级验证.
-最高路由器优先级:-是否已启用最高路由器优先级验证.
DHCPv6防护状态-当前VLAN上的DHCPv6防护状态:-DHCPv6防护是否已在当前VLAN上启用.
-设备角色:-DHCP设备角色.
-匹配回复前缀:-是否已启用DHCP回复前缀验证.
-匹配服务器地址:-是否已启用DHCP服务器地址验证.
-最低优先级:-是否已启用最低优先级验证.
-最高优先级:-是否已启用最高优先级验证.
ND检测状态-当前VLAN上的ND检测状态:-ND检测是否已在当前VLAN上启用.
-设备角色:-ND检测设备角色.
-丢弃不安全的:-不安全的消息是否已丢弃.
-最低安全等级:-如果不安全的消息未丢弃,可转发数据包的最低安全等级是哪一级.
-验证源MAC:-是否已启用源MAC地址验证.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35821邻近绑定状态-当前VLAN上的邻近绑定状态:-邻近绑定是否已在当前VLAN上启用.
-设备角色:-邻近绑定设备角色.
-记录绑定:-是否已启用邻近绑定表事件记录.
-地址前缀验证-是否已启用地址前缀验证.
-全局地址配置:-验证哪些消息.
-每个VLAN的最多条目数:-每个VLAN允许的最大动态邻近绑定表条目数量.
-每个接口的最多条目数:-每个接口允许的最大邻近绑定表条目数量.
-每个MAC地址的最多条目数:-每个MAC地址允许的最大邻近绑定表条目数量.
IPv6源防护状态:-当前VLAN上的IPv6源防护状态:-IPv6源防护是否已在当前VLAN上启用.
-端口信任:-端口是否受信任以及如何接收其信任状态.
FHS统计信息显示FHS统计信息的步骤:步骤1单击安全>IPv6第一步跳安全性>FHS统计信息.
步骤2选择刷新速率,即刷新统计信息的间隔时间.
步骤3显示以下全局工作流程计数器:邻近绑定表-由于此表已达最大限制而无法添加到其中的条目数.
邻居前缀表-由于此表已达最大限制而无法添加到其中的条目数.
TCAM-由于TCAM溢出而无法添加的条目数.
步骤4选择一个接口,然后会显示以下字段:NDP(邻居发现协议)消息-显示以下消息类型的已接收及已丢弃消息数量:-RA-路由器通告消息.
-REDIR-重定向消息.
-NS-邻居请求消息.
安全:IPv6第一步跳安全性通过WebGUI配置IPv6第一步跳安全性思科300系列管理型交换机管理指南35921-NA-邻居通告消息.
-RS-路由器请求消息.
DHCPv6消息-显示以下DHCPv6消息类型的已接收和已丢弃消息数量:-ADV-通告消息-REP-回复消息-REC-重新配置消息-REL-REP-中继回复消息-LEAS-REP-租用查询回复消息-RLS-发布的消息-DEC-拒绝消息将显示"FHS丢弃消息表"中的以下字段功能-丢弃的消息类型(DHCPv6防护、RA防护等).
计数-丢弃的消息的数量.
原因-消息丢弃的原因.
22思科300系列管理型交换机管理指南360安全:安全敏感数据管理安全敏感数据(SSD)是一种能够加强设备上敏感数据(例如:密码和密钥)保护的结构.
该工具利用密码、加密、访问控制和用户验证来提供一种管理敏感数据的安全解决方案.
该工具还可用于保护配置文件的完整性,确保配置过程的顺利进行以及支持SSD零接触自动配置.
简介SSD规则SSD属性配置文件SSD管理通道菜单CLI和密码恢复配置SSD简介SSD可保护设备上的敏感数据(例如密码和密钥),允许和拒绝对基于用户凭证和SSD规则加密的明文模式敏感数据的访问,并可保护包含敏感数据的配置文件,使其免遭破坏.
此外,通过SSD还可确保含有敏感数据的配置文件在备份和共享过程中的安全.
用户可通过SSD灵活配置所需的敏感数据保护级别;可对明文模式的敏感数据不设保护,可通过基于默认密码加密进行最低程度的保护,也可通过基于用户定义的密码加密实现更有效的保护.
SSD将根据SSD规则,仅向经过验证和授权的用户授予敏感数据的读取权限.
设备将通过用户验证程序验证管理权限并将其授予用户.
无论是否使用SSD,我们都建议管理员使用本地验证数据库来确保验证程序的顺利进行,并/或确保能够与用户验证程序中使用的外部验证服务器进行安全通信.
总之,SSD可通过SSD规则、SSD属性和用户验证来保护设备上的敏感数据.
设备的SSD规则、SSD属性和用户验证配置本身作为敏感数据也将受到SSD的保护.
安全:安全敏感数据管理SSD规则思科300系列管理型交换机管理指南36122SSD管理SSD管理包括对敏感数据的处理方法和安全性进行定义的诸多配置参数的管理.
SSD配置参数本身作为敏感数据也将受到SSD的保护.
SSD的所有配置将通过SSD页面执行,只有具有正确权限的用户才能访问这些页面(请参阅SSD规则).
SSD规则SSD规则对授予管理通道上用户会话的读取权限和默认读取模式作出定义.
SSD规则将由其用户通过SSD管理通道进行唯一识别.
不同的SSD规则可能适用于同一用户但同时适用于不同的通道,反之,不同的规则也可能适用于同一通道但同时适用于不同的用户.
读取权限将决定敏感数据的查看方式:仅以加密模式、仅以明文模式、两种模式兼而有之或不允许查看敏感数据.
SSD规则本身作为敏感数据也将受到保护.
一台设备总共可支持32条SSD规则.
当SSD规则与用户身份/用户凭证以及作为用户目前/将要访问敏感数据的管理通道的类型实现最佳匹配时,设备将向用户授予该规则的SSD读取权限.
设备会自带一套默认的SSD规则.
管理员可按需要添加、删除和更改SSD规则.
注设备可能并非支持SSD定义的所有通道.
SSD规则的内容SSD规则包含以下内容:用户类型-以下是按最高优先级到最低优先级顺序支持的用户类型:(如果用户与多条SSD规则匹配,则应用具有最高优先级用户类型的规则).
-特定-该规则应用于特定用户.
-默认用户(cisco)-该规则应用于默认用户(cisco).
-第15级-该规则应用于具有15级权限的用户.
-全部-该规则应用于所有用户.
用户名-如果用户类型为"特定",则需要提供用户名.
安全:安全敏感数据管理SSD规则思科300系列管理型交换机管理指南36222通道.
规则适用的SSD管理通道类型.
受支持的通道类型有:-安全-指定该规则仅应用于安全通道.
根据不同的设备,可能会支持以下部分或所有的安全通道:控制台端口界面、SCP、SSH和HTTPS.
-不安全-指定该规则仅应用于不安全通道.
根据不同的设备,可能会支持以下部分或所有的不安全通道:Telnet、TFTP和HTTP.
-安全XMLSNMP-指定该规则仅应用于带保密功能的XMLoverHTTPS或SNMPv3.
设备可能支持或不支持所有的XML和SNMP安全通道.
-不安全XMLSNMP-指定该规则仅应用于不带保密功能的XMLoverHTTP或SNMPv1/v2和SNMPv3.
设备可能支持或不支持所有的XML和SNMP安全通道.
读取权限-读取权限与各规则相关联.
这些权限可分为以下类别:-(最低)无-不允许用户访问任何形式的敏感数据.
-(一般)仅加密模式-仅允许用户访问加密的敏感数据.
-(较高)仅明文模式-仅允许用户访问明文模式的敏感数据.
用户还将拥有SSD参数的读取和写入权限.
-(最高)所有模式-用户拥有加密和明文模式两种权限,并可访问加密模式和明文模式的敏感数据.
用户还将拥有SSD参数的读取和写入权限.
每一管理通道都允许特定的读取权限.
以下是对上述内容的总结.
默认读取模式-所有的默认读取模式均受规则读取权限的限制.
存在以下选项,但有些选项可能会被拒绝,这取决于读取权限.
例如,如果用户的用户定义的读取权限为"无"且默认读取模式为"加密模式",则以用户定义的读取权限为准.
-无-不允许读取敏感数据.
-加密模式-以加密形式显示敏感数据.
-明文模式-以明文形式显示敏感数据.
管理通道允许的读取权限选项安全所有模式、仅加密模式不安全所有模式、仅加密模式安全XMLSNMP无、仅明文模式不安全XMLSNMP无、仅明文模式安全:安全敏感数据管理SSD规则思科300系列管理型交换机管理指南36322每一管理通道都允许特定的读取权限.
以下是对上述内容的总结.
*如果新的读取模式不违反读取权限,可在SSD"属性"页面临时更改会话的读取模式.
注请注意以下方面:安全XMLSNMP和不安全XMLSNMP管理通道的默认读取模式必须与各自的读取权限保持一致.
只有安全XMLSNMP和不安全XMLSNMP管理通道才允许使用读取权限"无";常规安全和不安全通道不允许使用读取权限"无".
在安全和不安全XML-SNMP管理通道中不包含敏感数据表示敏感数据将显示为0(即:空字符串或数字0).
如果用户想查看敏感数据,则必须将规则更改为明文模式.
默认情况下,带保密功能和安全通道上XML读取权限的SNMPv3用户将被视为第15级用户.
在不安全XML和SNMP(不带保密功能的SNMPv1、v2和v3)通道上的SNMP用户将被视为"所有用户".
SNMP社团名称将不用作与SSD规则匹配的用户名.
可通过配置用户名与SNMPv3用户名相匹配的SSD规则来控制特定SNMPv3用户的访问权限.
必须始终至少有一条具有读取权限的规则:仅明文模式或所有模式,因为只有具有这些权限的用户才能访问SSD页面.
在规则的默认读取模式和读取权限中所做的更改将生效,并将立即应用于受到影响的用户和所有处于活动状态的管理会话的通道,但不包括正在进行更改的会话,即使该规则适用于该会话.
当规则更改(添加、删除或编辑)后,系统将更新所有受到影响的CLI/GUI会话.
注当在会话登录时应用的SSD规则在该会话内部更改后,用户必须先退出,然后重新登录以查看更改的内容.
注在执行由XML或SNMP命令发起的文件传输时,优先使用的协议是TFTP.
因此,将应用不安全通道的SSD规则.
读取权限允许的默认读取模式无无仅加密模式*加密模式仅明文模式*明文模式所有模式*明文模式、加密模式安全:安全敏感数据管理SSD规则思科300系列管理型交换机管理指南36422SSD规则和用户验证SSD将根据SSD规则,仅向经过验证和授权的用户授予SSD权限.
设备依靠其用户验证程序来验证和授予管理权限.
要保护设备和其数据(包括敏感数据和SSD配置),使其免遭未授权访问,我们建议在设备上执行用户验证程序.
要确保用户验证程序的顺利进行,您可以使用本地验证数据库,同时确保能够通过外部验证服务器(例如RADIUS服务器)进行安全通信.
外部验证服务器的安全通信配置作为敏感数据将受到SSD的保护.
注本地验证的数据库中的用户凭证已受到与SSD无关的机制的保护如果来自某通道的用户发布了一个使用备选通道的操作,则设备将应用SSD规则中与该用户凭证和备选通道相匹配的读取权限和默认读取模式.
例如,如果用户通过某安全通道登录并开始TFTP上传会话,则系统将应用不安全通道(TFTP)上用户的SSD读取权限默认SSD规则设备具有以下出厂默认规则:可以修改默认规则,但无法删除它们.
如果已更改SSD默认规则,则还可以将它们恢复.
SSD默认读取模式会话覆盖系统将根据用户的读取权限和默认读取模式,在会话中包含加密模式或明文模式的敏感数据.
只要默认读取模式不与会话的SSD读取权限相冲突,便可以临时覆盖它.
该更改将立即在当前会话中生效,直至出现下列情况:用户再次进行更改.
会话终止.
应用于会话用户的SSD规则的读取权限将发生更改且将不再与该会话的当前读取模式兼容.
在这种情况下,该会话读取模式将返回该SSD规则的默认读取模式.
表3规则密钥规则操作用户通道读取权限默认读取模式第15级安全XMLSNMP仅明文模式明文模式第15级安全所有模式加密模式第15级不安全所有模式加密模式全部不安全XMLSNMP无无全部安全仅加密模式加密模式全部不安全仅加密模式加密模式安全:安全敏感数据管理SSD属性思科300系列管理型交换机管理指南36522SSD属性SSD属性是一组参数,这些参数将与SSD规则一起定义和控制设备的SSD环境.
SSD环境由以下属性组成:控制敏感数据的加密方式.
控制配置文件的安全强度.
控制当前会话内敏感数据的查看方式.
密码密码是SSD功能中安全机制的基础,用于为敏感数据的加密和解密生成密钥.
拥有相同密码的Sx200、Sx300、Sx500和SG500X/SG500XG/ESW2-550X系列交换机能够解密彼此的敏感数据,这些数据通常通过从密码中生成的密钥进行了加密.
密码必须符合以下规则:长度-在8到16个字符之间.
字符类别数-密码必须至少包含一个大写字符、一个小写字符、一个数字字符和一个特殊字符(例如:#、$).
默认密码和用户定义的密码所有设备均提供开箱即用的默认密码,用户可以查看.
默认密码不会显示在配置文件或CLI/GUI中.
如果希望进一步加强保护和提高安全性,管理员应在设备上配置SSD以使用用户定义的密码而不是默认密码.
用户定义的密码应严格对外保密,以便有效保障设备上敏感数据的安全性.
用户定义的密码可以明文模式进行手动配置.
也可以衍生自配置文件.
(请参阅敏感数据零接触自动配置).
设备始终会显示用户定义的加密密码.
本地密码设备将维护本地密码,该密码是设备当前配置的密码.
SSD通常会通过从本地密码生成的密钥执行敏感数据的加密和解密.
本地密码可配置为默认密码或用户定义的密码.
默认情况下,本地密码和默认密码是一致的.
可通过命令行界面(如可用)或基于Web的界面上的管理操作更改本地密码.
当启动配置成为设备的当前配置后,本地密码将自动更改为启动配置文件中的密码.
当设备重置回出厂默认配置后,本地密码将重置为默认密码.
安全:安全敏感数据管理SSD属性思科300系列管理型交换机管理指南36622配置文件密码控制文件密码控制为用户定义的密码以及在基于文本的配置文件中通过从用户定义的密码生成的密钥来加密的敏感数据提供了进一步的保护.
以下是现有的密码控制模式:无限制(默认情况下)-设备在创建配置文件时会将其密码包含在内.
这就使任何接受配置文件的设备都能从文件中学习密码.
已限制-设备将限制向配置文件导入其密码.
已限制模式可防止没有密码的设备访问配置文件中加密的敏感数据.
如果用户不希望在配置文件中显示密码,则应使用该模式.
当设备重置回出厂默认配置后,其本地密码将重置为默认密码.
设备将因此无法解密任何加密的敏感数据,无论是基于从管理会话(GUI/CLI)输入的用户定义的密码加密的敏感数据,还是在任何带有限制模式的配置文件(包括设备重置回出厂默认配置前由其创建的文件)中加密的敏感数据.
这种情况将一直持续到通过用户定义的密码手动重新配置该设备或该设备从配置文件中学习用户定义的密码为止.
配置文件完整性控制用户可通过"配置文件完整性控制"创建配置文件,藉此使配置文件免遭破坏或修改.
我们建议当设备通过"无限制配置文件密码控制"使用用户定义的密码时应启用"配置文件完整性控制".
!
注意对受完整性保护的配置文件所做的任何修改都将被视为对该文件的破坏.
设备可通过检查配置文件的"SSD控制"块中的"文件完整性控制"命令来确定配置文件的完整性是否受到了保护.
如果文件的完整性受到保护但设备却发现文件的完整性并不完整,则设备将拒绝该文件.
否则,将接受该文件以作进一步处理.
当基于文本的配置文件下载或复制到启动配置文件中时,设备将检查该文件的完整性.
读取模式每一会话都有一种读取模式.
这将决定敏感数据的显示方式.
读取模式可以为明文模式,敏感数据在其中将显示为常规文本;也可以为加密模式,敏感数据在其中将以加密的形式显示.
安全:安全敏感数据管理配置文件思科300系列管理型交换机管理指南36722配置文件配置文件中包含设备的配置.
设备中将包含一个当前配置文件、一个启动配置文件、一个镜像配置文件(可选)和一个备份配置文件.
用户可以将配置文件手动上传和下载到远程文件服务器上,反之亦可.
设备在使用DHCP进行自动配置时,可自动从远程文件服务器上下载其启动配置.
存储在远程文件服务器上的配置文件称为远程配置文件.
当前配置文件中含有设备正在使用的配置.
重启后,启动配置中的配置将变成当前配置.
当前配置文件和启动配置文件的格式均为内部格式.
镜像配置文件、备份配置文件和远程配置文件均为基于文本的文件,保留它们的目的通常是为了存档、记录或恢复.
在复制、上传和下载源配置文件的过程中,如果配置文件和目标文件的格式不同,设备会自动将源内容的格式转换成目标文件的格式.
文件SSD指示器在将当前配置文件或启动配置文件复制到基于文本的配置文件中时,设备会生成文件SSD指示器并将其置入基于文本的配置文件中,以显示文件中是含有加密的敏感数据、明文模式的敏感数据,还是不包含敏感数据.
如果存在SSD指示器,则其必须置于配置标题文件中.
不包含SSD指示器的基于文本的配置将视为其中不包含敏感数据.
SSD指示器可用于强制执行基于文本的配置文件的SSD读取权限,但在将配置文件复制到当前配置文件或启动配置文件中时,可将其忽略.
在复制文件过程中,可根据用户的说明将文件中的SSD指示器设置为文件中包含机密模式或明文模式的敏感数据或不包含敏感数据.
SSD控制块如果用户要求在文件中包含敏感数据,则设备在从其启动配置文件或当前配置文件创建基于文本的配置文件时,会在该文件中插入一个SSD控制块.
SSD控制块可免遭破坏且其中含有正在创建该文件的设备的SSD规则和SSD属性.
SSD控制块以"ssd-control-start"开始,以"ssd-control-end"结束.
启动配置文件设备目前支持将当前配置文件、备份配置文件和远程配置文件复制到启动配置文件中.
重启后,启动配置中的配置将生效并变成当前配置.
用户可根据SSD读取权限和管理会话的当前SSD读取模式,在启动配置文件中检索加密模式或明文模式的敏感数据.
如果启动配置文件中的密码与本地密码不同,则将不包括启动配置中任何形式的敏感数据的读取权限.
安全:安全敏感数据管理配置文件思科300系列管理型交换机管理指南36822SSD在将备份配置文件、镜像配置文件和远程配置文件复制到启动配置中时会添加以下规则:当设备重置回出厂默认配置后,其所有配置(包括SSD规则和属性)都将重置回默认配置.
如果源配置文件中包含加密的敏感数据但缺少SSD控制块,则设备将拒绝该源文件且会造成复制失败.
如果源配置文件中没有SSD控制块,启动配置文件中的SSD配置将重置回默认配置.
如果源配置文件的SSD控制块中含有密码,且文件中加密的敏感数据并未通过SSD控制块中的密码生成的密钥进行加密,则设备将拒绝该源文件并会造成复制失败.
如果源配置文件中含有SSD控制块且该文件的SSD完整性检查和/或文件完整性检查失败,则设备将拒绝该源文件并会造成复制失败.
如果源配置文件的SSD控制块中部含有密码,则该文件中所有加密的敏感数据必须通过从本地密码生成的密钥进行加密,或通过从默认密码生成的密钥进行加密,但不能通过前述两种方式同时加密.
否则,设备将拒绝该源文件并会造成复制失败.
无论是源配置文件中的SSD控制块还是启动配置文件,设备都会对密码、密码控制和文件完整性(如有)进行配置.
设备配置启动配置文件所用的密码将用于生成解密源配置文件中的敏感数据所需的密钥.
未发现的任何SSD配置都将重置回默认配置.
如果源配置文件中含有SSD控制块,且该文件中含有明文模式的敏感数据但不含有SSD控制块中的SSD配置,则设备将接受该文件.
当前配置文件当前配置文件中含有设备正在使用的配置.
用户可根据SSD读取权限和管理会话的当前SSD读取模式,在当前配置文件中检索加密模式或明文模式的敏感数据.
用户可通过由CLI、XML和SNMP等产生的其他管理操作来复制备份配置文件或镜像配置文件,从而更改当前配置.
当用户直接更改当前配置中的SSD配置时,设备将应用以下规则:如果已打开管理会话的用户没有SSD权限(即所有模式或仅明文模式的读取权限),则设备将拒绝所有的SSD命令.
当从源文件进行复制时,既不会验证文件SSD指示器、SSD控制块完整性和SSD文件完整性,也不会增强它们.
当从源文件进行复制时,如果源文件中的密码为明文模式,则复制将失败.
如果密码为加密模式,则忽略不计.
当在当前配置中直接配置密码(非文件复制)时,必须以明文形式输入命令中的密码.
否则,命令将被拒绝.
配置命令中所含的加密敏感数据将通过由本地密码生成的密钥进行加密,且配置命令将配置为当前配置.
否则,配置命令将显示错误并将不会纳入当前配置文件中.
安全:安全敏感数据管理配置文件思科300系列管理型交换机管理指南36922备份配置文件和镜像配置文件如果已启用自动镜像配置服务,设备将定期通过启动配置文件生成其镜像配置文件.
设备始终都会生成带有机密敏感数据的镜像配置文件.
因此,镜像配置文件中的文件SSD指示器会始终显示文件中是否含有加密的敏感数据.
默认情况下,自动镜像配置服务为启用状态.
要将自动镜像配置配置为启用或禁用,请单击管理>文件管理>配置文件属性.
用户可以按如下所述显示、复制和上传完整的镜像和备份配置文件以及会话中的当前读取模式以及源文件中的文件SSD指示器(根据SSD读取权限):如果镜像配置文件或备份配置文件中不含有文件SSD指示器,则所有用户均可访问该文件.
具有"所有权限"读取权限的用户可访问所有的镜像配置文件和备份配置文件.
但是,如果会话的当前读取模式与文件SSD指示器不同,则用户会看到一个提示窗口,该窗口显示不允许进行该操作.
如果具有"仅明文模式"权限的用户的文件SSD指示器显示"无"或"仅明文模式"敏感数据,则这些用户可以访问镜像和备份配置文件.
如果具有"仅加密模式"权限的用户的文件SSD指示器显示"无"或"加密模式"敏感数据,则这些用户可以访问镜像和备份配置文件.
如果具有"无"权限的用户的文件SSD指示器显示包含加密模式或明文模式的敏感数据,则这些用户不能访问镜像和备份配置文件.
用户不应手动更改与敏感数据有冲突的文件SSD指示器(若文件中存在).
否则,可能会意外地明文显示敏感数据.
敏感数据零接触自动配置SSD零接触自动配置是使用加密的敏感数据对目标设备进行自动配置,而无需使用密码(其密钥用于加密模式的敏感数据)对目标设备进行预先手动配置.
该设备目前支持自动配置,默认情况下即已启用.
如果设备已启用自动配置,将收到DHCP选项,指定文件服务器和引导文件,该设备会将引导文件(远程配置文件)从文件服务器下载至启动配置文件中,然后重启.
注文件服务器可由bootpsiaddr和sname字段以及DHCP选项150指定,也可以在设备上进行静态配置.
用户通过先从包含自动配置的设备中创建要在该配置中使用的配置文件,可以使用加密的敏感数据安全地对目标设备进行自动配置.
必须对设备进行配置和指引,以:加密文件中的敏感数据提高文件内容的完整性包括安全的验证配置命令和SSD规则,正确控制和保护对设备和敏感数据的访问安全:安全敏感数据管理SSD管理通道思科300系列管理型交换机管理指南37022如果配置文件使用用户密码生成,且SSD文件密码控制已受限,则可使用产生的配置文件对期望的目标设备进行自动配置.
但是,要想使用用户定义的密码成功进行自动配置,必须对目标设备进行预先手动配置,使其与生成该文件的设备使用相同的密码,此过程不是零接触.
如果创建该配置文件的设备处于未限制密码控制模式,则该设备在文件中已包括密码.
因此,用户可使用该配置文件对目标设备进行自动配置,包括并非开箱即用或者处于出厂默认设置的设备,而无需使用密码对目标设备预先进行手动配置.
这是零接触过程,因为目标设备可直接从配置文件学习密码.
注开箱即用或者处于出厂默认状态的设备使用默认的匿名用户访问SCP服务器.
SSD管理通道可通过telnet、SSH和Web等管理通道对设备进行管理.
SSD根据通道的安全性和/或协议将其分成以下几类:安全、不安全、安全-XML-SNMP和不安全-XML-SNMP.
下面我们将介绍SSD认为每种管理通道安全与否.
如果认为该通道不安全,表中将会指出类似的安全通道.
管理通道SSD管理通道类型类似的安全管理通道Console安全Telnet不安全SSHSSH安全GUI/HTTP不安全GUI/HTTPSGUI/HTTPS安全XML/HTTP不安全-XML-SNMPXML/HTTPSXML/HTTPS安全-XML-SNMP不带保密功能的SNMPv1/v2/v3不安全-XML-SNMP安全-XML-SNMP带保密功能的SNMPv3安全-XML-SNMP(第15级用户)TFTP不安全SCPSCP(安全复制)安全基于HTTP的文件传输不安全基于HTTPS的文件传输基于HTTPS的文件传输安全安全:安全敏感数据管理菜单CLI和密码恢复思科300系列管理型交换机管理指南37122菜单CLI和密码恢复只有读取权限为"所有模式"或"仅明文模式"的用户允许使用菜单CLI接口.
拒绝其他用户使用.
菜单CLI中的敏感数据始终以明文模式显示.
目前,密码恢复可从引导菜单激活,用户无需身份验证即可登录到终端.
如果支持SSD,只有当本地密码与默认密码相同时,才允许使用此选项.
如果设备已配置用户定义的密码,则该用户将不能激活密码恢复.
配置SSD在以下页面中配置SSD功能:在"属性"页面中设置SSD属性.
在"SSD规则"页面中定义SSD规则.
SSD属性只有具有"仅明文模式"或"所有模式"SSD读取权限的用户允许设置SSD属性.
配置全局SSD属性的步骤:步骤1单击安全>安全敏感数据管理>属性.
将显示以下字段:当前本地密码类型-显示当前正在使用的是默认密码还是用户定义的密码.
步骤2输入以下永久设置字段:配置文件密码控制-按照配置文件密码控制中的说明选择选项.
配置文件完整性控制-选择后,将启用此功能.
请参阅配置文件完整性控制.
步骤3为当前会话选择读取模式(请参阅SSD规则的内容).
步骤4单击应用.
设置将保存到当前配置文件中.
更改本地密码的步骤:步骤1单击更改本地密码,然后输入新的本地密码:默认-使用设备的默认密码.
用户定义(明文模式)-输入新密码.
安全:安全敏感数据管理配置SSD思科300系列管理型交换机管理指南37222确认密码-确认新密码.
步骤2单击应用.
设置将保存到当前配置文件中.
SSD规则配置只有具有"仅明文模式"或"所有模式"SSD读取权限的用户允许设置SSD规则.
配置SSD规则的步骤:步骤1单击安全>安全敏感数据管理>SSD规则.
此时将显示当前定义的规则.
步骤2要添加新规则,请单击添加.
输入以下字段:用户-此字段定义规则所应用的用户.
请选择以下其中一个选项:-特定用户-选择并输入此规则所应用的特定用户名(不一定非要定义此用户).
-默认用户(cisco)-表示此规则所应用的默认用户.
-第15级-表示此规则应用于具有15级权限的所有用户.
-全部-表示此规则应用于所有用户.
通道-此字段定义规则所应用的输入通道的安全级别:请选择以下其中一个选项:-安全-表示此规则仅应用于安全通道(Console、SCP、SSH和HTTPS),不包括SNMP和XML通道.
-不安全-表示此规则仅应用于不安全通道(Telnet、TFTP和HTTP),不包括SNMP和XML通道.
-安全XMLSNMP-表示此规则仅应用于带保密功能的XMLoverHTTPS和SNMPv3.
-不安全XMLSNMP-表示此规则仅应用于不带保密功能的XMLoverHTTP或/和SNMPv1/v2与SNMPv3.
读取权限-读取权限与规则相关联.
这些权限可分为以下类别:-无-级别最低的读取权限.
用户不允许以任何形式获取敏感数据.
-仅明文模式-高于上述级别的读取权限.
用户只允许以明文模式获取敏感数据.
-仅加密模式-中等级别的读取权限.
用户只允许以加密模式获取敏感数据.
-所有模式(明文模式和加密模式)-级别最高的读取权限.
如果用户同时具有加密模式和明文模式权限,可允许以加密模式和明文模式获取敏感数据.
安全:安全敏感数据管理配置SSD思科300系列管理型交换机管理指南37322默认读取模式-所有默认读取模式需遵循规则的读取权限.
存在以下选项,但根据规则的读取权限,有些选项可能会被拒绝.
-无-不允许读取敏感数据.
-加密模式-敏感数据以加密模式提供.
-明文模式-敏感数据以明文模式提供.
步骤3单击应用.
设置将保存到当前配置文件中.
步骤4可以对选定的规则执行以下操作:添加、编辑或删除规则恢复为默认设置-将用户修改的默认规则恢复为默认规则.
23思科300系列管理型交换机管理指南374安全:SSH客户端本节介绍了作为SSH客户端的设备.
其中包含以下主题:安全复制(SCP)和SSH保护方法SSH服务器验证SSH客户端验证使用准备常见任务GUI中的SSH客户端配置安全复制(SCP)和SSHSecureShell(SSH)是一种网络协议,可在SSH客户端(在此情况下,指设备)与SSH服务器之间的安全通道上实现数据交换.
SSH客户端可帮助用户管理由一个或多个交换机组成的网络,其中的各种系统文件均存储在中央SSH服务器中.
通过网络传输配置文件时,安全复制(SecureCopy,简称SCP,一种利用SSH协议的应用程序)可确保用户名/密码等敏感数据不会遭到拦截.
安全复制(SCP)用于将固件、引导映像、配置文件和日志文件从中央SCP服务器安全传输到设备.
就SSH而言,设备上运行的SCP是一种SSH客户端应用程序,而SCP服务器则是一种SSH服务器应用程序.
通过TFTP或HTTP下载文件时,无法确保数据传输的安全性.
如果通过SCP下载文件,则会通过安全通道将信息从SCP服务器下载到设备上.
此安全通道可在验证之前创建,以确保允许用户执行此操作.
虽然本指南未介绍服务器操作,但是设备和SSH服务器上的验证信息必须由用户输入.
安全:SSH客户端保护方法思科300系列管理型交换机管理指南37523下图说明了可能会在其中使用SCP功能的典型网络配置.
典型网络配置保护方法将数据从SSH服务器传输到设备(客户端)时,SSH服务器会使用多种方法验证客户端.
具体方法如下所述.
密码要使用密码方法,首先要确保SSH服务器上已建立用户名/密码.
尽管此操作无法通过设备的管理系统完成,但是,在服务器上建立用户名后,可以通过设备的管理系统更改服务器密码.
然后,必须在设备上创建用户名/密码.
将数据从服务器传输到设备时,设备提供的用户名/密码必须与服务器上的用户名/密码相匹配.
可以使用在会话期间协商的一次性对称密钥来加密数据.
虽然多台交换机可使用相同的用户名/密码,但是经管理的每台设备都必须具有自身的用户名/密码.
密码方法是设备上的默认方法.
公共/专用密钥要使用公共/专用密钥方法,需在SSH服务器上创建用户名和公共密钥.
在设备上生成公共密钥(如下所述),然后将其复制到服务器.
本指南未介绍在服务器上创建用户名以及将公共密钥复制到服务器这两项操作.
启动设备时,系统会为其生成RSA和DSA默认密钥对.
其中一个密钥用于加密从SSH服务器下载的数据.
默认情况下,使用RSA密钥.
安全:SSH客户端SSH服务器验证思科300系列管理型交换机管理指南37623如果用户删除了其中一个密钥或将其全部删除,系统会重新生成.
公共/专用密钥存储于设备内存中,并在其中进行加密.
密钥是设备配置文件的一部分,专用密钥可以以加密形式或明文形式对用户显示.
因为无法将专用密钥直接复制为其他设备的专用密钥,所以出现了一种可将专用密钥从一台设备复制到另一台设备的导入方法(如导入密钥中所述).
导入密钥使用该密钥方法,必须为每个单独的设备创建单独的公共/专用密钥,并且出于安全性的考虑,不能将这些专用密钥从一台设备直接复制到另一台设备.
如果网络中存在多台交换机,因为公共/专用密钥必须逐个创建然后还要加载到SSH服务器,所以为所有交换机创建公共/专用密钥的过程便可能会很耗时.
要加速此过程,可使用其他功能,将加密的专用密钥安全传输到系统中的所有交换机.
在设备上创建专用密钥后,还可以创建相关联的密码.
此密码用于加密专用密钥以及将其导入其余交换机中.
通过这种方法,所有交换机都可以使用相同的公共/专用密钥.
SSH服务器验证作为SSH客户端的设备仅与信任的SSH服务器进行通讯.
如果禁用SSH服务器验证(默认设置),则所有SSH服务器均被视为信任服务器.
如果启用SSH服务器验证,用户必须将信任服务器的条目添加到信任的SSH服务器表中.
此表可为每台信任的SSH服务器(最多16台服务器)存储以下信息,具体包括:服务器IP地址/主机名服务器公共密钥指纹启用SSH服务器验证后,在设备上运行的SSH客户端会使用以下验证过程来验证SSH服务器:设备计算接收的SSH服务器公共密钥的指纹.
设备在信任的SSH服务器表中搜索SSH服务器的IP地址/主机名.
可能会出现以下其中一种情况:-如果未找到服务器IP地址/主机名及其指纹的匹配项,将对服务器进行验证.
-如果已找到匹配的IP地址/主机名,但没有匹配的指纹,搜索将继续进行.
如果找不到匹配的指纹,将完成搜索,但无法进行验证.
-如果找不到匹配的IP地址/主机名,将完成搜索,但无法进行验证.
如果在信任服务器列表中找不到SSH服务器的条目,该过程将无法进行.
安全:SSH客户端SSH客户端验证思科300系列管理型交换机管理指南37723SSH客户端验证默认情况下,启用藉由密码进行SSH客户端验证,此时用户名/密码是"匿名"的.
用户必须配置以下信息才能进行验证:要使用的验证方法.
用户名/密码或公共/专用密钥对.
为了支持自动配置开箱即用型设备(采用出厂默认配置的设备),SSH服务器验证默认为禁用状态.
支持的算法在设备(作为SSH客户端)与SSH服务器之间建立连接后,该客户端和SSH服务器会交换数据,以确定要在SSH传输层中使用的算法.
客户端上支持以下算法:密钥交换算法-diffie-hellman加密算法-aes128-cbc-3des-cbc-arcfour-aes192-cbc-aes256-cbc消息验证码算法-hmac-sha1-hmac-md5注不支持压缩算法.
使用准备必须先执行以下操作,然后再使用SCP功能:使用密码验证方法时,必须在SSH服务器上设置用户名/密码.
使用公共/专用密钥验证方法时,必须将公共密钥存储在SSH服务器上.
安全:SSH客户端常见任务思科300系列管理型交换机管理指南37823常见任务本节介绍了一些使用SSH客户端执行的常见任务.
参考的所有页面均可在菜单树的"SSH客户端"分支下找到.
工作流程1:要配置SSH客户端以及将数据传输到SSH服务器/传输来自SSH服务器的数据,请执行以下步骤:步骤1确定要使用的验证方法:密码或公共/专用密钥.
使用"SSH用户验证"页面.
步骤2如果已选择密码方法,请执行以下步骤:a.
能够实现真正的安全数据传输后,在"SSH用户验证"页面中创建全局密码,或者在"升级/备份固件/语言"或"下载/备份配置/日志"页面中创建临时密码.
b.
在"升级/备份固件/语言"页面中选择通过SCP(藉由SSH)选项,以使用SCP来升级固件、引导映像或语言文件.
可以在此页面中直接输入密码,或者可以使用在"SSH用户验证"页面中输入的密码.
c.
在"下载/备份配置/日志"页面中选择通过SCP(藉由SSH)选项,以使用SCP来下载/备份配置文件.
可以在此页面中直接输入密码,或者可以使用在"SSH用户验证"页面中输入的密码.
步骤3在SSH服务器上设置用户名/密码,或者在SSH服务器上修改密码.
此操作取决于服务器,在此不做说明.
步骤4如果使用的是公共/专用密钥方法,请执行以下步骤:a.
选择使用RSA密钥还是DSA密钥,创建用户名,然后生成公共/专用密钥.
b.
单击详情按钮查看生成的密钥,然后将用户名和公共密钥传输到SSH服务器.
此操作取决于服务器,本指南中不做说明.
c.
在"升级/备份固件/语言"页面中选择通过SCP(藉由SSH)选项,以使用SCP来升级/备份固件或语言文件.
d.
在"下载/备份配置/日志"页面中选择通过SCP(藉由SSH)选项,以使用SCP来下载/备份配置文件.
工作流程2:将公共/专用密钥从一台设备导入另一台设备的步骤:步骤1在"SSH用户验证"页面中生成公共/专用密钥.
步骤2在"安全敏感数据管理>属性"页面中设置SSD属性,并创建一个新的本地密码.
步骤3单击详情查看生成的已加密密钥,然后将它们(包括开始页脚和结束页脚)从"详情"页面复制到外部设备.
分别复制公共密钥和专用密钥.
步骤4登录到其他设备,然后打开"SSH用户验证"页面.
选择所需密钥的类型,然后单击编辑.
粘贴公共/专用密钥.
安全:SSH客户端GUI中的SSH客户端配置思科300系列管理型交换机管理指南37923步骤5单击应用,将公共/专用密钥复制到第二台设备上.
工作流程3:在SSH服务器上更改密码的步骤:步骤1在"更改SSH服务器的用户密码"页面中识别服务器.
步骤2输入新密码.
步骤3单击应用.
工作流程4:定义信任服务器的步骤:步骤1在"SSH服务器验证"页面中启用SSH服务器验证.
步骤2单击添加,添加一台新服务器并输入其识别信息.
步骤3单击应用,将该服务器添加到信任的SSH服务器表中.
GUI中的SSH客户端配置本节介绍了用于配置SSH客户端功能的页面.
SSH用户验证使用此页面可选择一种SSH用户验证方法.
如果选择密码方法,可设置设备的用户名和密码;如果选择公共/专用密钥方法,可生成RSA或DSA密钥.
选择一种验证方法并设置用户名/密码/密钥的步骤:步骤1单击安全>SSH客户端>SSH用户验证.
步骤2选择一种SSH用户验证方法.
这是针对安全复制(SCP)定义的全局方法.
请选择以下选项之一:藉由密码-此选项为默认设置.
如果选择此选项,请输入一个密码或保留默认密码.
藉由RSA公共密钥-如果选择此选项,请在SSH用户密钥表框中创建一个RSA公共/专用密钥.
藉由DSA公共密钥-如果选择此选项,请在SSH用户密钥表框中创建一个DSA公共/专用密钥.
步骤3输入用户名(无论选择什么方法),或者使用默认用户名.
此用户名必须与在SSH服务器上定义的用户名相匹配.
安全:SSH客户端GUI中的SSH客户端配置思科300系列管理型交换机管理指南38023步骤4如果已选择藉由密码方法,请输入一个密码(加密模式或明文模式),或者保留默认的已加密密码.
步骤5请执行以下操作之一:应用-选择的验证方法与访问方法相关.
恢复默认凭证-将恢复默认的用户名和密码(匿名).
将敏感数据显示为明文模式-当前页面的敏感数据将显示为明文模式.
SSH用户密钥表针对每个密钥包含以下字段:密钥类型-RSA或DSA.
密钥来源-自动生成或用户定义.
指纹-从密钥生成的指纹.
步骤6要处理RSA或DSA密钥,请选择RSA或DSA,然后执行以下操作之一:生成-生成一个新密钥.
编辑-显示要复制/粘贴到其他设备的密钥.
删除-删除密钥.
详情-显示密钥.
SSH服务器验证启用SSH服务器验证以及定义信任服务器的步骤:步骤1单击安全>SSH客户端>SSH服务器验证.
步骤2选择启用以启用SSH服务器验证.
IPv4源接口-选择其IPv4地址将用作与IPv4SSH服务器通信中所用消息的源IPv4地址的源接口.
IPv6源接口-选择其IPv6地址将用作与IPv6SSH服务器通信中所用消息的源IPv6地址的源接口.
注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
步骤3单击添加,然后针对信任的SSH服务器输入以下字段:服务器定义-选择以下其中一种方法来识别SSH服务器:-按IP地址-如果选择此选项,请在下面的字段中输入服务器的IP地址.
-按名称-如果选择此选项,请在服务器IP地址/名称字段中输入服务器的名称.
安全:SSH客户端GUI中的SSH客户端配置思科300系列管理型交换机管理指南38123IP版本-如果选择按IP地址指定SSH服务器,请选择IP地址是IPv4还是IPv6地址.
IP地址类型-如果SSH服务器IP地址是IPv6地址,请选择IPv6地址类型.
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从接口列表中选择链路本地接口.
服务器IP地址/名称-输入SSH服务器的IP地址或服务器名称(取决于服务器定义中的选择).
指纹-输入SSH服务器的指纹(从该服务器进行复制).
步骤4单击应用.
信任服务器定义将存储在当前配置文件中.
在SSH服务器上更改用户密码在SSH服务器上更改密码的步骤:步骤1单击安全>SSH客户端>更改SSH服务器的用户密码.
步骤2输入以下字段:服务器定义-选择按IP地址或按名称定义SSH服务器.
在服务器IP地址/名称字段中输入服务器的名称或IP地址.
IP版本-如果选择按IP地址指定SSH服务器,请选择IP地址是IPv4还是IPv6地址.
IP地址类型-如果SSH服务器IP地址是IPv6地址,请选择IPv6地址类型.
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从接口列表中选择链路本地接口.
服务器IP地址/名称-输入SSH服务器的IP地址或服务器名称(取决于服务器定义中的选择).
用户名-此用户名必须与服务器上的用户名相匹配.
旧密码-此密码必须与服务器上的密码相匹配.
安全:SSH客户端GUI中的SSH客户端配置思科300系列管理型交换机管理指南38223新密码-输入新密码,然后在确认密码字段中进行确认.
步骤3单击应用.
将修改SSH服务器中的密码.
24思科300系列管理型交换机管理指南383安全:SSH服务器本节介绍了如何在设备上建立SSH会话.
其中包含以下主题:综述常见任务SSH服务器配置页面综述使用SSH服务器功能,用户可以创建至设备的SSH会话.
类似于建立telnet会话,只是会话会受到保护.
设备上会自动生成公共和专用密钥.
用户可以修改这些密钥.
SSH会话通过特殊的SSH客户端应用(如PuTTY)打开.
SSH服务器可以在以下模式下运行:按内部生成的RSA/DSA密钥(默认设置)-会生成RSA和DSA密钥.
用户登录SSH服务器应用,并在其提供设备IP地址时自动进行验证以打开设备会话.
公共密钥模式-在设备上定义用户.
其RSA/DSA密钥在外部SSH服务器应用(如PuTTY)中生成.
这些密钥会输入设备.
随后用户就可以通过外部SSH服务器应用在设备上打开SSH会话.
常见任务本节介绍一些使用SSH服务功能执行的常见任务.
安全:SSH服务器SSH服务器配置页面思科300系列管理型交换机管理指南38424工作流程1:要使用设备自动创建的(默认)密钥通过SSH登录设备,请执行以下步骤:步骤1在"TCP/UDP服务"页面中启用SSH服务器,并确保"SSH用户验证"页面中已禁用通过公共密钥的SSH用户验证.
步骤2使用设备的IP地址登录外部SSH客户端应用(如PuTTY)(不必使用设备已知的用户名或密钥).
工作流程2:要创建SSH用户并使用该用户通过SSH登录设备,请执行以下步骤:步骤1在外部SSH客户端应用(如PuTTY)上生成RSA或DSA密钥.
步骤2在"SSH用户验证"页面中启用通过公共密钥或密码的SSH用户验证.
步骤3根据需要启用自动登录(请参阅下文的自动登录).
步骤4在"SSH用户验证"页面中添加用户并复制到外部生成的公共密钥中.
步骤5使用设备的IP地址和用户的用户名登录外部SSH客户端应用(如PuTTY).
工作流程3:要将设备A的RSA或DSA密钥导入设备B,请执行以下步骤:步骤1在设备A上的"SSH服务器验证"页面选择RSA或DSA密钥.
步骤2单击详情并将选定密钥类型的公共密钥复制到记事本或其他文本编辑器应用.
步骤3登录到设备B并打开"SSH服务器验证"页面.
选择RSA或DSA密钥,单击编辑并粘贴设备A的密钥.
SSH服务器配置页面本节介绍用于配置SSH服务器功能的页面.
SSH用户验证在"SSH用户验证"页面中,可以启用通过公共密钥和/或密码进行SSH用户验证,并在通过公共密钥进行验证时,添加用于在外部SSH应用(如PuTTY)中创建SSH会话的SSH客户端用户.
在添加用户之前,必须在外部SSH密钥生成/客户端应用(例如PuTTY)中为用户生成RSA或DSA密钥.
安全:SSH服务器SSH服务器配置页面思科300系列管理型交换机管理指南38524自动登录如果在"SSH用户验证"页面中为已在本地用户数据库中配置的用户创建SSH用户名,则可以通过配置自动登录功能阻止其他验证,操作步骤如下:已启用-如果已在本地数据库中定义了用户,且此用户使用公共密钥通过了SSH验证,则将跳过通过本地数据库用户名和密码的验证.
注为此特定管理方法(Console、Telnet和SSH等)配置的验证方法必须为本地(即,不是RADIUS或TACACS+).
有关详情,请参阅管理访问方法.
未启用-通过SSH公共密钥成功进行验证后,即使本地用户数据库中已配置了用户名,也将根据"管理访问验证"页面配置的验证方法再次验证用户.
本页面是可选页面.
您不必在SSH中使用用户验证.
启用验证并添加用户的步骤:步骤1单击安全>SSH服务器>SSH用户验证.
步骤2选择以下字段:SSH用户通过密码验证-选择该选项以使用本地数据库中配置的用户名/密码执行SSH客户端用户验证(请参阅配置安全性).
藉由公共密钥的SSH用户验证-选择该选项以使用公共密钥执行SSH客户端用户验证.
自动登录-如果选择了藉由公共密钥的SSH用户验证功能,此字段便可启用.
请参阅自动登录.
步骤3单击应用.
设置将保存到当前配置文件中.
对于配置的用户,将显示以下字段:SSH用户名-用户的用户名.
密钥类型-指示该密钥是RSA还是DSA密钥.
指纹-从公共密钥生成的指纹.
步骤4单击添加以添加新用户并输入以下字段:SSH用户名-输入用户名.
密钥类型-选择RSA或DSA.
公共密钥-将外部SSH客户端应用(如PuTTY)生成的公共密钥复制到此文本框.
步骤5单击应用保存新用户.
安全:SSH服务器SSH服务器配置页面思科300系列管理型交换机管理指南38624会为所有活动用户显示以下字段:IP地址-活动用户的IP地址.
SSH用户名-活动用户的用户名.
SSH版本-活动用户使用的SSH版本.
密码-活动用户的密码.
验证代码-活动用户的验证代码.
SSH服务器验证设备从出厂默认设置引导后,会自动生成公共和专用RSA和DSA密钥.
用户删除每个相应的用户配置密钥后也会自动生成密钥.
重新生成RSA或DSA密钥或者复制到其他设备上生成的RSA/DSA密钥中的步骤:步骤1单击安全>SSH服务器>SSH服务器验证.
将为每个密钥显示以下字段:密钥类型-RSA或DSA.
密钥来源-自动生成或用户定义.
指纹-从密钥生成的指纹.
步骤2选择RSA或DSA密钥.
步骤3您可以进行以下任何操作:生成-生成指定类型的密钥.
编辑-使您可以复制到来自其他设备的密钥中.
删除-使您可以删除密钥.
详情-使您可以查看生成的密钥.
您还可以在"详情"窗口中单击将敏感数据显示为明文模式.
如果单击此项,这些密钥将显示为明文模式而不是加密形式.
如果密钥已显示为明文模式,则可以单击将敏感数据显示为加密模式以加密形式显示文本.
25思科300系列管理型交换机管理指南387访问控制访问控制列表(ACL)功能是安全机制的一部分.
ACL定义可用作多种机制之一,这些机制用于定义为特定服务质量(QoS)提供的流量.
有关详情,请参阅服务质量.
ACL可让网络管理员定义用于入口流量的模式(过滤器和操作).
在具有活动ACL的端口或LAG上进入设备的数据包会被接受或拒绝进入.
本节包含以下主题:访问控制列表基于MAC的ACL基于IPv4的ACL基于IPv6的ACLACL绑定访问控制列表访问控制列表(ACL)是分类过滤器和操作的已排序列表.
每个单独的分类规则与其操作一起被称为一个访问控制元素(ACE).
每个ACE由多个过滤器组成,这些过滤器可区分流量组以及关联的操作.
一个单独的ACL可能包含一个或多个ACE,这些ACE会与传入帧的内容进行匹配.
会将拒绝操作或允许操作应用于内容与过滤器匹配的帧.
设备最多支持512个ACL以及512个ACE.
如果数据包与ACE过滤器匹配,则会执行ACE操作并停止ACL处理.
如果数据包与ACE过滤器不匹配,则会处理下一个ACE.
如果在处理完一个ACL的所有ACE后都找不到匹配项,并且存在另一个ACL,则会以相似方式处理该ACL.
注如果在所有相关ACL的所有ACE中都找不到匹配项,则会丢弃该数据包(为默认操作).
由于执行此默认丢弃操作,因此您必须将ACE明确添加到ACL中,以允许所需的流量(包括管理流量,例如指向该设备本身的Telnet、HTTP或SNMP).
例如,如果您不希望丢弃ACL中不满足条件的所有数据包,则您必须将最低优先级的ACE明确添加到允许所有流量的ACL中.
访问控制访问控制列表思科300系列管理型交换机管理指南38825如果在与一个ACL绑定的端口上启用了IGMP/MLDSnooping,请在该ACL中添加ACE过滤器,以将IGMP/MLD数据包转发给设备.
否则,IGMP/MLDSnooping将在该端口处失败.
ACL中ACE的顺序很重要,因为ACE是以首次匹配方式应用的.
会从第一个ACE开始,按顺序处理ACE.
ACL可用于确保安全性(例如允许或拒绝一定的流量),也可用于在QoS高级模式下进行流量分类和优先化.
注可使用ACL保护端口,或使用高级QoS策略配置端口,但不可同时使用这两种方法.
每个端口只能有一个ACL,但例外的是,可以同时将一个基于IP的ACL和一个基于IPv6的ACL与一个单独的端口相关联.
要将多个ACL与一个端口相关联,必须使用具有一个或多个类映射的策略.
可以定义以下类型的ACL(具体取决于检查的帧报头部分):MACACL-只检查第2层字段,如定义基于MAC的ACL中所述IPACL-检查IP帧的第3层,如基于IPv4的ACL中所述IPv6ACL-检查IPv4帧的第3层,如定义基于IPv6的ACL中所述如果一个帧与一个ACL中的过滤器相匹配,则会将该帧定义为具有该ACL名称的流量.
在高级QoS中,可以使用此流量名称指代这些帧,并将QoS应用于这些帧.
ACL记录此功能可以向ACE添加记录选项.
当启用此功能时,ACE允许或拒绝任何数据包都会生成与之相关的系统日志通知消息.
如果启用ACL记录,可以通过将ACL绑定到接口按接口指定此功能.
在此情况下,系统会为与接口相关联的允许或拒绝ACE相匹配的数据包生成系统日志.
数据流会定义为具有相同特性的数据包流,如下所示:第2层数据包-相同的源和目的MAC地址第3层数据包-相同的源和目的IP地址第4层数据包-相同的源和目的IP地址及L4端口对于新数据流,从特定接口拦截的首个数据包会导致生成系统日志通知消息.
来自同一个数据流的其他数据通信包会拦截到CPU,但是此数据流的系统日志消息会限制为每5分钟发送一条消息.
此系统日志将通知您在过去5分钟内至少拦截了一个数据包.
系统在处理拦截的数据包后,会转发允许的数据包,并丢弃拒绝的数据包.
每个单元支持的数据流数量为150.
访问控制访问控制列表思科300系列管理型交换机管理指南38925系统日志系统日志消息具有通知严重性级别,并表明数据包是与拒绝规则还是允许规则相匹配.
对于第2层数据包,系统日志会包含以下信息(如果适用):源MAC地址、目的MAC地址、以太网类型、VLAN-ID和CoS队列.
对于第3层数据包,系统日志会包含以下信息(如果适用):源IP地址、目的IP地址、协议、DSCP值、ICMP类型、ICMP代码和IGMP类型.
对于第4层数据包,系统日志会包含以下信息(如果适用):源端口、目的端口和TCP标签.
以下是可能的系统日志的示例:对于非IP数据包:-06-Jun-201309:49:56%3SWCOS-I-LOGDENYMAC:gi0/1:denyACE00:00:00:00:00:01->ff:ff:ff:ff:ff:ff,Ethertype-2054,VLAN-20,CoS-4,trapped对于IP数据包(IPv4和IPv6):-06-Jun-201312:38:53%3SWCOS-I-LOGDENYINET:gi0/1:denyACEIPv4(255)1.
1.
1.
1->1.
1.
1.
10,protocol-1,DSCP-54,ICMPType-EchoReply,ICMPcode-5,trapped对于第4层数据包:-06-Jun-201309:53:46%3SWCOS-I-LOGDENYINETPORTS:gi0/1:denyACEIPv4(TCP)1.
1.
1.
1(55)->1.
1.
1.
10(66),trapped配置ACL本节介绍如何创建ACL以及如何为其添加规则(ACE).
创建ACL工作流程要创建ACL并将其与一个接口相关联,请执行以下操作:1.
创建以下类型的一个或多个ACL:a.
使用"基于MAC的ACL"页面和"基于MAC的ACE"页面创建基于MAC的ACLb.
使用"基于IPv4的ACL"页面和"基于IPv4的ACE"页面创建基于IP的ACLc.
使用"基于IPv6的ACL"页面和"基于IPv6的ACE"页面创建基于IPv6的ACL2.
使用"ACL绑定"页面将ACL与接口相关联.
访问控制基于MAC的ACL思科300系列管理型交换机管理指南39025修改ACL工作流程只有在未使用ACL时,才可以对其进行修改.
下文介绍了解除绑定ACL以对其进行修改的过程:1.
如果ACL不属于QoS高级模式类映射,但已将其与一个接口相关联,请使用"ACL绑定"页面解除其与该接口的绑定.
2.
如果ACL是类映射的一部分并且未与接口绑定,则可以对其进行修改.
3.
如果ACL是一个类映射的一部分,且该类映射属于与一个接口绑定的策略,则您必须按如下所示执行解除绑定的一系列操作:使用策略绑定解除包含类映射的策略与该接口的绑定.
使用配置策略(编辑)从策略中删除包含ACL的类映射.
使用定义类映射删除包含ACL的类映射.
只有在执行这些操作后,才可以按本节所述修改ACL.
基于MAC的ACL基于MAC的ACL用于根据第2层字段过滤流量.
基于MAC的ACL会检查所有帧,看是否有匹配项.
基于MAC的ACL是在"基于MAC的ACL"页面中定义的.
规则是在"基于MAC的ACE"页面中定义的.
定义基于MAC的ACL的步骤:步骤1单击访问控制>基于MAC的ACL.
此页面包含所有当前定义的基于MAC的ACL列表.
步骤2单击添加.
步骤3在ACL名称字段中输入新的ACL的名称.
ACL名称区分大小写.
步骤4单击应用.
基于MAC的ACL将保存至当前配置文件中.
为基于MAC的ACL添加规则注每条基于MAC的规则都会消耗一条TCAM规则.
请注意,TCAM分配将成对执行,这样,对于第一个ACE,将分配2条TCAM规则,第二条TCAM规则将分配给下一个ACE,以此类推.
访问控制基于MAC的ACL思科300系列管理型交换机管理指南39125为ACL添加规则(ACE)的步骤:步骤1单击访问控制>基于MAC的ACE.
步骤2选择一个ACL,然后单击转至.
会列出该ACL中的ACE.
步骤3单击添加.
步骤4输入参数.
ACL名称-显示要为其添加ACE的ACL名称.
优先级-输入ACE的优先级.
会先处理优先级较高的ACE.
1代表最高优先级.
操作-选择找到匹配项时应执行的操作.
选项如下:-允许-转发符合ACE标准的数据包.
-拒绝-丢弃符合ACE标准的数据包.
-关闭-丢弃符合ACE标准的数据包,并禁用从其接收数据包的端口.
可以从"端口设置"页面重新激活这类端口.
记录-选择该选项可启用与ACL规则匹配的ACL流的记录功能.
时间范围-选择后,能够对于具体时间范围限制ACL的使用.
时间范围名称-如果已选中时间范围,请选择要使用的时间范围.
时间范围已在配置系统时间节中进行过定义.
目的MAC地址-如果所有目的地址均可接受,则选择任意;或选择用户定义,以输入一个目的地址或输入目的地址的范围.
目的MAC地址值-输入要将目的MAC地址与其相匹配的MAC地址及其掩码(如果相关).
目的MAC通配符掩码-输入掩码以定义MAC地址的范围.
请注意,此掩码与其他用途的掩码(例如,子网掩码)不同.
在此处,将位设置为1表示不掩盖,设置为0表示掩盖该值.
注指定一个掩码00000000000000000000000011111111(意思是如果匹配,则该位为0,如不匹配,则该位为1).
您需要将有1的数字转换为十进制整数,而每四个0要写成0.
在此示例中,因为11111111=255,因此该掩码将写成:0.
0.
0.
255.
源MAC地址-如果所有源地址均可接受,则选择任意;或选择用户定义,以输入一个源地址或输入源地址的范围.
源MAC地址值-输入要将源MAC地址与其相匹配的MAC地址及其掩码(如果相关).
源MAC通配符掩码-输入掩码以定义MAC地址的范围.
VLANID-输入VLAN标记中要匹配的VLANID部分.
802.
1p-选择包含以使用802.
1p.
访问控制基于IPv4的ACL思科300系列管理型交换机管理指南39225802.
1p值-输入要添加到VPT标记的802.
1p值.
802.
1p掩码-输入要应用于VPT标记的通配符掩码.
以太网类型-输入要匹配的帧以太网类型.
步骤5单击应用.
基于MAC的ACE将保存至当前配置文件中.
基于IPv4的ACL基于IPv4的ACL用于检查IPv4数据包,而不检查其他类型的帧(例如ARP).
可以匹配以下字段:IP协议(按照已知协议的名称或直接按照值)TCP/UDP流量的源端口/目的端口TCP帧的标签值ICMP和IGMP类型和代码源IP地址/目的IP地址(包括通配符)DSCP/IP优先级值注ACL也用作流量定义的构建元素,流量定义用于进行每个流量的QoS处理.
使用"基于IPv4的ACL"页面可以为系统添加ACL.
规则是在"基于IPv4的ACE"页面中定义的.
IPv6ACL是在"基于IPv6的ACL"页面中定义的.
定义基于IPv4的ACL定义基于IPv4的ACL的步骤:步骤1单击访问控制>基于IPv4的ACL.
此页面包含所有当前定义的基于IPv4的ACL.
步骤2单击添加.
步骤3在ACL名称字段中输入新的ACL的名称.
名称区分大小写.
步骤4单击应用.
基于IPv4的ACL将保存至当前配置文件中.
访问控制基于IPv4的ACL思科300系列管理型交换机管理指南39325为基于IPv4的ACL添加规则(ACE)注每条基于IPv4的规则都会消耗一条TCAM规则.
请注意,TCAM分配将成对执行,这样,对于第一个ACE,将分配2条TCAM规则,第二条TCAM规则将分配给下一个ACE,以此类推.
为基于IPv4的ACL添加规则(ACE)的步骤:步骤1单击访问控制>基于IPv4的ACE.
步骤2选择一个ACL,然后单击转至.
会显示当前为选择的ACL定义的所有IPACE.
步骤3单击添加.
步骤4输入参数.
ACL名称-显示ACL的名称.
优先级-输入优先级.
会先处理优先级较高的ACE.
操作-选择为与ACE匹配的数据包分配的操作.
选项如下:-允许-转发符合ACE标准的数据包.
-拒绝-丢弃符合ACE标准的数据包.
-关闭-丢弃符合ACE标准的数据包,并禁用将数据包发送到的端口.
可以从"端口管理"页面重新激活端口.
记录-选择该选项可启用与ACL规则匹配的ACL流的记录功能.
时间范围-选择后,能够对于具体时间范围限制ACL的使用.
时间范围名称-如果已选中时间范围,请选择要使用的时间范围.
时间范围已在配置系统时间节中进行过定义.
协议-选择该选项可根据一个特定协议或协议ID来创建ACE.
选择任意(IPv4)可接受所有IP协议.
或者,从下拉列表从列表中选择选择以下协议之一:-ICMP-Internet控制消息协议-IGMP-Internet组管理协议-IP-in-IP-IP-in-IP封装-TCP-传输控制协议-EGP-外部网关协议-IGP-内部网关协议访问控制基于IPv4的ACL思科300系列管理型交换机管理指南39425-UDP-用户数据报协议-HMP-主机映射协议-RDP-可靠数据报协议-IDPR-域间策略路由协议-IPV6-IPv6-over-IPv4隧道-IPV6:ROUT-对属于通过一个网关的IPv6-over-IPv4路由的数据包进行匹配-IPV6:FRAG-对属于IPv6-over-IPv4碎片报头的数据包进行匹配-IDRP-域间路由协议-RSVP-保留协议-AH-身份验证报头-IPV6:ICMP-Internet控制消息协议-EIGRP-增强型内部网关路由协议-OSPF-首先打开最短路径-IPIP-IP-in-IP-PIM-协议独立组播-L2TP-第2层隧道协议-ISIS-特定于IGP的协议-要匹配的协议ID-不选择名称,而输入协议ID.
源IP地址-如果所有源地址均可接受,则选择任意;或选择用户定义,以输入一个源地址或输入源地址的范围.
源IP地址值-输入要将源IP地址与其相匹配的IP地址.
源IP通配符掩码-输入掩码以定义IP地址的范围.
请注意,此掩码与其他用途的掩码(例如,子网掩码)不同.
在此处,将位设置为1表示不掩盖,设置为0表示掩盖该值.
注指定一个掩码00000000000000000000000011111111(意思是如果匹配,则该位为0,如不匹配,则该位为1).
您需要将有1的数字转换为十进制整数,而每四个0要写成0.
在此示例中,因为11111111=255,因此该掩码将写成:0.
0.
0.
255.
目的IP地址-如果所有目的地址均可接受,则选择任意;或选择用户定义,以输入一个目的地址或输入目的地址的范围.
目的IP地址值-输入要将目的MAC地址与其相匹配的IP地址.
访问控制基于IPv4的ACL思科300系列管理型交换机管理指南39525目的IP通配符掩码-输入掩码以定义IP地址的范围.
源端口-请选择以下选项之一:-任意-与所有源端口匹配.
-从列表选择单个-选择要将数据包与其相匹配的一个单独TCP/UDP源端口.
仅当您在从列表中选择下拉菜单中选择800/6-TCP或800/17-UDP后,才会激活这个字段.
-从编号选择单个-输入要将数据包与其相匹配的一个单独TCP/UDP源端口.
仅当您在从列表中选择下拉菜单中选择800/6-TCP或800/17-UDP后,才会激活这个字段.
-范围-选择要将数据包与其相匹配的TCP/UDP源端口的范围.
可配置八个不同的端口范围(源端口与目的端口共享).
TCP和UDP协议各有八个端口范围.
目的端口-从与上述"源端口"字段相同的一组值中选择一个可用值.
注您必须为ACE指定IP协议,才能输入源端口和/或目的端口.
TCP标签-选择要用来过滤数据包的一个或多个TCP标签.
会转发或丢弃过滤的数据包.
通过TCP标签过滤数据包可以加强数据包控制,从而提高网络安全性.
服务类型-IP数据包的服务类型.
-任意-任意服务类型-要匹配的DSCP-与差分服务代码点(DSCP)相匹配-要匹配的IP优先级-IP优先级是一个TOS(服务类型)模式,网络使用该模式可有助于兑现相应的QoS承诺.
此模式使用IP报头中服务类型字节的3个最高位,如RFC791和RFC1349中所述.
ICMP-如果ACL的IP协议为ICMP,请选择用于过滤用途的ICMP消息类型.
按照名称选择消息类型或输入消息类型编号:-任意-可接受所有消息类型.
-从列表中选择-按照名称选择消息类型.
-要匹配的ICMP类型-要用于过滤用途的消息类型编号.
ICMP代码-ICMP消息可能有一个代码字段,指示如何处理消息.
请选择以下选项之一,以配置是否对此代码进行过滤:-任意-接受所有代码.
-用户定义-输入用于过滤用途的ICMP代码.
访问控制基于IPv6的ACL思科300系列管理型交换机管理指南39625IGMP-如果ACL基于IGMP,请选择用于过滤用途的IGMP消息类型.
按照名称选择消息类型或输入消息类型编号:-任意-可接受所有消息类型.
-从列表中选择-按照名称选择消息类型.
-要匹配的IGMP类型-将用于过滤用途的消息类型编号.
步骤5单击应用.
基于IPv4的ACE将保存至当前配置文件中.
基于IPv6的ACL"基于IPv6的ACL"页面可显示并创建IPv6ACL,该操作会检查单纯基于IPv6的流量.
IPv6ACL不会检查IPv6-over-IPv4或ARP数据包.
注ACL也用作流量定义的构建元素,流量定义用于进行每个流量的QoS处理.
定义基于IPv6的ACL定义基于IPv6的ACL的步骤:步骤1单击访问控制>基于IPv6的ACL.
该窗口包含所定义ACL及其内容的列表步骤2单击添加.
步骤3在ACL名称字段中输入新的ACL的名称.
名称区分大小写.
步骤4单击应用.
基于IPv6的ACL将保存至当前配置文件中.
为基于IPv6的ACL添加规则(ACE)注每条基于IPv6的规则都会消耗两条TCAM规则.
步骤1单击访问控制>基于IPv6的ACE.
访问控制基于IPv6的ACL思科300系列管理型交换机管理指南39725该窗口包含一个指定ACL(规则组)的ACE(规则).
步骤2选择一个ACL,然后单击转至.
会显示当前为选择的ACL定义的所有IPACE.
步骤3单击添加.
步骤4输入参数.
ACL名称-显示要为其添加ACE的ACL名称.
优先级-输入优先级.
会先处理优先级较高的ACE.
操作-选择为与ACE匹配的数据包分配的操作.
选项如下:-允许-转发符合ACE标准的数据包.
-拒绝-丢弃符合ACE标准的数据包.
-关闭-丢弃符合ACE标准的数据包,并禁用将数据包发送到的端口.
可以从"端口管理"页面重新激活端口.
记录-选择该选项可启用与ACL规则匹配的ACL流的记录功能.
时间范围-选择后,能够对于具体时间范围限制ACL的使用.
时间范围名称-如果已选中时间范围,请选择要使用的时间范围.
时间范围已在配置系统时间节中进行过介绍.
协议-选择该选项可根据一个特定协议来创建ACE.
选择任意(IPv6)可接受所有IP协议.
或者,选择以下协议之一:-TCP-传输控制协议.
可让两个主机进行通信并交换数据流.
TCP可保证将数据包送达,并保证按照发送数据包的顺序来传输和接收数据包.
-UDP-用户数据报协议.
传输数据包,但不保证将数据包送达.
-ICMP-将数据包与Internet控制消息协议(ICMP)相匹配.
要匹配的协议ID-输入要匹配的协议的ID.
源IP地址-如果所有源地址均可接受,则选择任意;或选择用户定义,以输入一个源地址或输入源地址的范围.
源IP地址值-输入要将源IP地址与其相匹配的IP地址及其掩码(如果相关).
源IP前缀长度-输入源IP地址的前缀长度.
目的IP地址-如果所有目的地址均可接受,则选择任意;或选择用户定义,以输入一个目的地址或输入目的地址的范围.
目的IP地址值-输入要将目的MAC地址与其相匹配的IP地址及其掩码(如果相关).
访问控制基于IPv6的ACL思科300系列管理型交换机管理指南39825目的IP前缀长度-输入IP地址的前缀长度.
源端口-请选择以下选项之一:-任意-与所有源端口匹配.
-从列表选择单个-选择要将数据包与其相匹配的一个单独TCP/UDP源端口.
仅当您在IP协议下拉菜单中选择800/6-TCP或800/17-UDP后,才会激活这个字段.
-从编号选择单个-输入要将数据包与其相匹配的一个单独TCP/UDP源端口.
仅当您在IP协议下拉菜单中选择800/6-TCP或800/17-UDP后,才会激活这个字段.
-范围-选择要将数据包与其相匹配的TCP/UDP源端口的范围.
目的端口-请选择可用值之一.
(这些可用值与上述源端口字段中的可用值相同).
注您必须为ACL指定IPv6协议,才能配置源端口和/或目的端口.
TCP标签-选择要用来过滤数据包的一个或多个TCP标签.
会转发或丢弃过滤的数据包.
通过TCP标签过滤数据包可以加强数据包控制,从而提高网络安全性.
-设置-如果标签为"设置",则匹配.
-未设置-如果标签为"未设置",则匹配.
-Dontcare-忽略TCP标签.
服务类型-IP数据包的服务类型.
ICMP-如果ACL基于ICMP,请选择用于过滤用途的ICMP消息类型.
按照名称选择消息类型或输入消息类型编号.
如果可接受所有消息类型,请选择任意.
-任意-可接受所有消息类型.
-从列表中选择-从下拉列表中,按名称选择消息类型.
-要匹配的ICMP类型-将用于过滤用途的消息类型编号.
ICMP代码-ICMP消息可能有一个代码字段,指示如何处理消息.
请选择以下选项之一,以配置是否对此代码进行过滤:-任意-接受所有代码.
-用户定义-输入用于过滤用途的ICMP代码.
步骤5单击应用.
访问控制ACL绑定思科300系列管理型交换机管理指南39925ACL绑定将一个ACL与一个接口(端口、LAG或VLAN)绑定后,会将该ACL的ACE规则应用于到达该接口的数据包.
会将与该ACL中任何ACE均不匹配的数据包与默认规则相匹配,该默认规则的操作为丢弃不匹配的数据包.
虽然只能将每个接口与一个ACL绑定,但也可以将多个接口与同一ACL绑定,方法是:将多个接口分组到一个策略映射,然后将该策略映射与该接口绑定.
将一个ACL与一个接口绑定后,便无法编辑、修改或删除该ACL,直到您将其从与其绑定或正在使用它的所有端口中删除.
注可以将接口(端口、LAG或VLAN)绑定到策略或ACL,但它们无法同时绑定到策略和ACL.
将ACL绑定到VLAN的步骤:步骤1单击访问控制>ACL绑定(VLAN).
步骤2选择一个VLAN,然后单击编辑.
如果您需要的VLAN未显示,请新增一个.
步骤3请选择以下选项之一:选择基于MAC的ACL-选择要与该接口绑定的基于MAC的ACL.
选择基于IPv4的ACL-选择要与该接口绑定的基于IPv4的ACL.
选择基于IPv6的ACL-选择要与该接口绑定的基于IPv6的ACL.
默认操作-请选择以下其中一个选项:-拒绝任意-如果数据包与ACL不匹配,将被拒绝(丢弃).
-允许任意-如果数据包与ACL不匹配,将被允许(转发).
注仅当接口上未激活"IP源防护"时,才能定义"默认操作".
步骤4单击应用.
将修改ACL绑定,并更新当前配置文件.
注如果不选择任何ACL,则会将之前与该VLAN绑定的ACL解除绑定.
将ACL绑定到端口或LAG的步骤:步骤1单击访问控制>ACL绑定(端口).
步骤2选择接口类型端口/LAG(端口或LAG).
步骤3单击转至.
针对选择的每种接口类型,会显示该类型的所有接口及其当前ACL的列表:访问控制ACL绑定思科300系列管理型交换机管理指南40025接口-在其上定义ACL的接口的标识符.
MACACL-与接口绑定的MAC类型的ACL(如果有).
IPv4ACL-与接口绑定的IPv4类型的ACL(如果有).
IPv6ACL-与接口绑定的IPv6类型的ACL(如果有).
默认操作-ACL规则的操作(丢弃任意还是允许任意).
注要解除绑定某接口绑定的所有ACL,请选择该接口,然后单击清除.
步骤4选择一个接口,并单击编辑.
步骤5请选择以下选项之一:选择基于MAC的ACL-选择要与该接口绑定的基于MAC的ACL.
选择基于IPv4的ACL-选择要与该接口绑定的基于IPv4的ACL.
选择基于IPv6的ACL-选择要与该接口绑定的基于IPv6的ACL.
默认操作-请选择以下其中一个选项:-拒绝任意-如果数据包与ACL不匹配,将被拒绝(丢弃).
-允许任意-如果数据包与ACL不匹配,将被允许(转发).
注仅当接口上未激活"IP源防护"时,才能定义"默认操作".
步骤6单击应用.
将修改ACL绑定,并更新当前配置文件.
注如果不选择任何ACL,则会将之前与该接口绑定的ACL解除绑定.
26思科300系列管理型交换机管理指南401服务质量在整个网络中应用服务质量功能,可确保根据所需条件设置网络流量的优先级,从而优先处理所需的流量.
本节包含以下主题:QoS功能和组件配置QoS-一般QoS基本模式QoS高级模式管理QoS统计信息QoS功能和组件QoS功能可用于优化网络性能.
QoS可实现:根据以下属性将传入流量分为不同的流量类:-设备配置-入口接口-数据包内容-以上属性的组合QoS包括:流量分类-根据数据包内容和/或端口,将每个传入数据包分类为属于特定数据流.
分类操作由ACL(访问控制列表)完成,并且仅对符合ACL标准的流量进行CoS或QoS分类.
分配至硬件队列-将传入数据包分配给转发队列.
数据包所属流量类所具有的功能会将数据包发送到特定的队列进行处理.
请参阅配置QoS队列.
其他流量类处理属性-将QoS机制应用到各种类,包括带宽管理.
服务质量QoS功能和组件思科300系列管理型交换机管理指南40226QoS操作在"全局设置"页面中输入受信任的头字段类型.
对于该字段的每个值,在"CoS/802.
1p到队列"页面或"DSCP到队列"页面(具体取决于信任模式为CoS/802.
1p还是DSCP)中指定出口队列,指示会通过该队列发送帧.
QoS模式选择的QoS模式将应用到系统中的所有接口.
基本模式-服务等级(CoS).
将对类相同的所有流量进行相同的处理,这是根据传入帧中指明的QoS值确定出口端口上的出口队列的唯一QoS操作.
这可以是第2层中的VLAN优先级标记(VPT)802.
1p值和第3层中的IPv4差分服务代码点(DSCP)值或IPv6流量类(TC)值.
在基本模式下工作时,设备信任此外部分配的QoS值.
数据包的外部分配QoS值将决定其流量类和QoS.
在"全局设置"页面中输入受信任的头字段.
对于该字段的每个值,在"CoS/802.
1p到队列"页面或"DSCP到队列"页面(具体取决于信任模式为CoS/802.
1p还是DSCP)中指定从中发送帧的出口队列.
高级模式-每数据流服务质量(QoS).
在高级模式中,每数据流QoS由一个类映射和/或一个策略器组成:-类映射定义数据流中的流量类型,其中包含一个或多个ACL.
符合这些ACL的数据包将属于该数据流.
-策略器会将配置的QoS应用到数据流.
数据流的QoS配置可由出口队列、DSCP或CoS/802.
1p值,以及对超出模板的(超限)流量执行的操作组成.
禁用模式-在此模式中,会将所有流量映射到单个尽力服务队列,以便为所有类型的流量设置相同的优先级.
一次只能有一个模式处于活动状态.
如果将系统配置为在QoS高级模式下工作,则QoS基本模式的设置将处于非活动状态,反之亦然.
如果更改模式,将发生以下情况:如果从QoS高级模式更改为任何其他模式,将会删除策略模板定义和类映射.
直接绑定到接口的ACL会保持绑定状态.
如果从QoS基本模式更改为高级模式,将不会保留基本模式下的QoS信任模式配置.
如果禁用QoS,会将整形程序和队列设置(WRR/SP带宽设置)重置为默认值.
所有其他用户配置将保持不变.
服务质量配置QoS-一般思科300系列管理型交换机管理指南40326QoS工作流程要配置一般QoS参数,请执行以下操作:步骤1使用"QoS属性"页面为系统选择QoS模式(基本模式、高级模式或禁用模式,如"QoS模式"一节中所述).
下面的工作流程步骤假设您选择启用QoS.
步骤2使用"QoS属性"页面为每个接口指定一个默认的CoS优先级.
步骤3使用"队列"页面为出口队列指定调度方法("严格优先级"或"WRR")及WRR的带宽分配.
步骤4使用"DSCP到队列"页面,为每个IPDSCP/TC值指定一个出口队列.
如果设备处于DSCP信任模式,则会根据传入数据包的DSCP/TC值将传入数据包放入出口队列.
步骤5为每个CoS/802.
1p优先级指定一个出口队列.
如果设备处于CoS/802.
1信任模式,则会根据传入数据包中的CoS/802.
1p优先级将所有传入数据包放入指定的出口队列.
此项操作可使用"CoS/802.
1p到队列"页面完成.
步骤6如果只需要第3层流量,请使用"DSCP到队列"页面为每个DSCP/TC值指定一个队列.
步骤7在以下页面中输入带宽和速率限制:a.
使用"每队列出口整形"页面设置每队列的出口整形.
b.
使用"带宽"页面设置每端口的入口速率限制和出口整形速率.
步骤8通过执行下面的一项操作来配置选择的模式:a.
按配置基本QoS模式的工作流程中所述配置基本模式.
b.
按配置高级QoS模式的工作流程中所述配置高级模式.
配置QoS-一般"QoS属性"页面包含用于设置系统QoS模式(基本模式、高级模式或禁用模式,如"QoS模式"一节中所述)的字段.
此外,还可以使用该页面来定义每个接口的默认CoS优先级.
服务质量配置QoS-一般思科300系列管理型交换机管理指南40426设置QoS属性选择QoS模式的步骤:步骤1单击服务质量>一般>QoS属性.
步骤2设置QoS模式.
可能的选项有:禁用-在设备上禁用QoS.
基本-在设备上启用基本模式的QoS.
高级-在设备上启用高级模式的QoS.
步骤3选择端口/LAG并单击转至以显示/修改设备上的所有端口/LAG及其CoS信息.
以下字段会对所有端口/LAG显示:接口-接口类型.
默认CoS-不包含VLAN标记的传入数据包的默认VPT值.
默认CoS为0.
该默认值仅对Untagged帧有效,而且系统必须处于基本模式,并在"全局设置"页面中选择"信任CoS"的情况下有效.
选择恢复默认设置会为此接口还原出厂CoS默认设置.
要在接口上设置QoS,先选择该接口,然后单击编辑.
步骤1输入参数.
接口-选择端口或LAG.
默认CoS-选择要为不包含VLAN标记的传入数据包指定的默认CoS(服务等级)值.
步骤2单击应用.
接口默认CoS值将保存至当前配置文件.
配置QoS队列设备的每个接口支持4个队列.
编号为4的队列为最高优先级队列,而编号为1的队列为最低优先级队列.
有两种方式可确定队列中流量的处理方式:"严格优先级"和"加权轮循(WRR)".
严格优先级-最先传输最高优先级队列中的出口流量.
最高优先级队列传输完毕后,才会处理更低优先级队列中的流量,从而为编号最高的队列提供最高的流量处理优先级.
服务质量配置QoS-一般思科300系列管理型交换机管理指南40526加权轮循(WRR)-在WRR模式下,从队列发送的数据包数量与队列加权成正比(加权越高,发送的帧越多).
例如,如果最多只可能有四个队列且四个队列都为WRR模式且使用默认加权,则队列1将接收1/15的带宽(假设所有队列均饱和且存在拥塞)、队列2接收2/15的带宽、队列3接收4/15的带宽、队列4接收8/15的带宽.
设备中使用的WRR算法类型并非标准的DeficitWRR(DWRR),而是ShapedDeficitWRR(SDWRR).
排队模式可以在"队列"页面中选择.
如果排队模式为"严格优先级",则优先级将决定处理队列的顺序,从队列4或队列8(最高优先级队列)开始处理,每当完成一个队列后就继续处理下一优先级的队列.
如果排队模式为"加权轮循",则会按照配额处理队列,在一个队列的配额用尽后开始处理另一个队列.
也可以将部分较低优先级的队列指定为WRR模式,同时保持部分较高优先级的队列为"严格优先级"模式.
在这种情况下,"严格优先级"队列中的流量会始终先于WRR队列中的流量发送.
仅当"严格优先级"队列中的流量发送完毕后才会转发WRR队列中的流量.
(每个WRR队列的相对配额取决于其加权).
选择优先级方法及输入WRR数据的步骤:步骤1单击服务质量>一般>队列.
步骤2输入参数.
队列-显示队列编号.
调度方法:请选择以下其中一个选项:-严格优先级-针对所选队列及所有更高优先级队列的流量调度将严格遵循队列优先级.
-WRR-针对所选队列的流量调度将遵循WRR.
在不为空的WRR队列(表示队列具有要输出的描述符)之间划分时段.
仅当"严格优先级"队列为空时,才会采用此方法.
-WRR加权-如果选择了WRR,请输入为队列分配的WRR加权.
-WRR带宽百分比-显示已为队列分配的带宽.
这些值表示WRR加权的百分比.
步骤3单击应用.
将配置队列,并更新当前配置文件.
服务质量配置QoS-一般思科300系列管理型交换机管理指南40626将CoS/802.
1p映射到队列使用"CoS/802.
1p到队列"页面,可以将802.
1p优先级映射到出口队列.
"CoS/802.
1p到队列表"可根据传入数据包VLAN标记中的802.
1p优先级确定数据包的出口队列.
对于传入的Untagged数据包,802.
1p优先级是指定给入口端口的默认CoS/802.
1p优先级.
下表介绍4个队列时的默认映射:通过更改"CoS/802.
1p到队列"映射(CoS/802.
1p到队列)和队列调度方法及带宽分配("队列"页面),可以在网络中达到所需的服务质量.
仅当存在以下条件之一时,"CoS/802.
1p到队列"映射才适用:设备处于QoS基本模式和CoS/802.
1p信任模式设备处于QoS高级模式,且数据包属于CoS/802.
1p信任数据流队列1的优先级最低,队列4或8的优先级最高.
将CoS值映射到出口队列的步骤:步骤1单击服务质量>一般>CoS/802.
1p到队列.
步骤2输入参数.
802.
1p-显示要指定给出口队列的802.
1p优先级标记值,其中0为最低优先级,7为最高优先级.
输出队列-选择802.
1p优先级所映射的出口队列.
支持4或8个出口队列,其中队列4或队列8优先级最高,队列1优先级最低.
802.
1p值(0-7,7为最高优先)队列(4个队列1-4,4为最高优先级)注01后台11尽力服务22最大努力33关键应用-LVS电话SIP43视频54语音-默认思科IP电话64交互操作控制-LVS电话RTP74网络控制服务质量配置QoS-一般思科300系列管理型交换机管理指南40726步骤3针对每个802.
1p优先级,选择它所映射的出口队列.
步骤4单击应用、取消或恢复默认设置.
801.
1p优先级值将映射到队列,并更新当前配置文件,输入的更改将取消或恢复之前定义的值.
将DSCP映射到队列使用"DSCP(IP差分服务代码点)到队列"页面,可以将DSCP值映射到出口队列.
"DSCP到队列表"可根据传入IP数据包的DSCP值确定数据包的出口队列.
数据包的原始VPT(VLAN优先级标记)不会发生更改.
只需更改"DSCP到队列"映射和队列调度方法及带宽分配,即可在网络中达到所需的服务质量.
"DSCP到队列"映射仅在以下条件下适用于IP数据包:设备处于QoS基本模式,DSCP处于信任模式,或者设备处于QoS高级模式,且数据包属于DSCP信任数据流非IP数据包始终分类为尽力服务队列.
服务质量配置QoS-一般思科300系列管理型交换机管理指南40826以下各表介绍4队列系统的默认DSCP到队列映射:将DSCP映射到队列的步骤:步骤1单击服务质量>一般>DSCP到队列.
"DSCP到队列"页面包含入口DSCP.
它将显示传入数据包中的DSCP值及其关联类.
步骤2选择DSCP值所映射的出口队列(流量转发队列).
步骤3选择"RestoreDefaults"会为此接口还原出厂CoS默认设置.
步骤4单击应用.
将更新当前配置文件.
DSCP635547393123157队列33433211DSCP625446383022146队列33433211DSCP615345372921135队列33433211DSCP605244362820124队列33433211DSCP595143352719113队列33433211DSCP585042342618102队列33433211DSCP57494133251791队列33433211DSCP56484032241680队列33433211服务质量配置QoS-一般思科300系列管理型交换机管理指南40926配置带宽使用"带宽"页面,用户可以定义两组值(入口速率限制和出口整形速率)来确定系统可以接收和发送的流量.
入口速率限制是入口接口每秒能够接收的位数.
超过此限制的带宽将被丢弃.
为出口整形输入以下值:承诺的信息传输速率(CIR)设置允许在出口接口上发送的平均最大数据量,以"位/秒"为单位承诺突发数据大小(CBS),即允许发送的突发数据量(即使数据量超出CIR也会照常发送).
该值以数据字节数定义.
输入带宽限制的步骤:步骤1单击服务质量>一般>带宽.
"带宽"页面会显示每个接口的带宽信息.
%列为端口带宽除以总端口带宽所得的入口速率限制.
步骤2选择一个接口,并单击编辑.
步骤3选择端口或LAG接口.
步骤4针对选择的接口,为以下字段输入值:入口速率限制-选择该选项将启用入口速率限制,该限制在下面的字段中定义.
入口速率限制-输入接口所允许的最大带宽.
注当接口类型为LAG时,不会显示这两个入口速率限制字段.
入口承诺突发数据大小(CBS)-以数据字节数的形式输入入口接口的最大突发数据大小.
即使此数据量会暂时增大带宽,使其超出允许的限制,仍可发送这些数据.
该字段仅在接口为端口时可用.
出口整形速率-选择该选项将在接口上启用出口整形.
承诺的信息传输速率(CIR)-输入出口接口的最大带宽.
出口承诺突发数据大小(CBS)-以数据字节数的形式输入出口接口的最大突发数据大小.
即使此数据量会暂时增大带宽,使其超出允许的限制,仍可发送这些数据.
步骤5单击应用.
带宽设置将写入当前配置文件.
服务质量配置QoS-一般思科300系列管理型交换机管理指南41026配置每队列的出口整形除限制每端口的传输速率(在"带宽"页面中完成)之外,设备还可以在每队列每端口基础上,限制所选出站帧的传输速率.
出口速率限制由输出负载整形功能执行.
设备将限制除管理帧以外的所有帧.
在速率计算中将忽略所有未限制的帧,表示其大小不包括在总限制之内.
可以禁用每队列出口速率整形功能.
定义每队列出口整形功能的步骤:步骤1单击服务质量>一般>每队列出口整形.
"每队列出口整形"页面会显示每队列的速率限制和突发数据大小.
步骤2选择接口类型(端口或LAG),然后单击转至.
步骤3选择一个端口/LAG,然后单击编辑.
使用该页面可对每个接口上最多八个队列的出口进行整形.
步骤4选择接口.
步骤5针对每个所需队列,为以下字段输入值:启用整形-选择该选项可针对队列启用出口整形功能.
承诺的信息传输速率(CIR)-以千位每秒(Kbps)为单位输入最大速率(CIR).
CIR是能够发送的平均最大数据量.
承诺突发数据大小(CBS)-以字节为单位输入最大突发数据量(CBS).
CBS是在突发数据量超过CIR的情况下允许发送的最大突发数据量.
步骤6单击应用.
带宽设置将写入当前配置文件.
VLAN入口速率限制注如果设备在第3层模式下,VLAN速率限制功能将不可用.
通过每VLAN速率限制(在"VLAN入口速率限制"页面中执行),可实现VLAN上的流量限制.
如果配置了VLAN入站速率限制,它将限制从设备上的所有端口汇总的流量.
以下限制适用于每VLAN速率限制:它所具有的优先级低于系统中定义的任何其他流量管制.
例如,如果数据包既受QoS速率限制,也受VLAN速率限制,而这两种速率限制冲突,在这种情况下QoS速率限制优先.
服务质量QoS基本模式思科300系列管理型交换机管理指南41126它在设备层面上以及数据包处理器层面的设备中应用.
如果设备上具有多个数据包,配置的VLAN速率限制值将分别应用到每个数据包处理器.
具有最多24个端口的设备有一个数据包处理器,而具有48个或更多端口的设备则有两个数据包处理器.
定义VLAN入口速率限制的步骤:步骤1单击服务质量>一般>VLAN入口速率限制.
此页面会显示VLAN入口速率限制表.
步骤2单击添加.
步骤3输入参数.
VLANID-选择VLAN.
承诺的信息传输速率(CIR)-以千字节每秒为单位输入VLAN可以接受的平均最大数据量.
承诺突发数据大小(CBS)-以数据字节数的形式输入出口接口的最大突发数据量.
即使此数据量会暂时增大带宽,使其超出允许的限制,仍可发送这些数据.
无法针对LAG输入该字段的值.
步骤4单击应用.
将定义VLAN速率限制,并更新当前配置文件.
TCP拥塞避免使用"TCP拥塞避免"页面可激活TCP拥塞避免算法.
该算法可破除或避免拥塞节点(拥塞由众多发送具有相同字节数的数据包的源引起)中的TCP全局同步.
配置TCP拥塞避免的步骤:步骤1单击服务质量>一般>TCP拥塞避免.
步骤2单击启用以启用TCP拥塞避免,然后单击应用.
QoS基本模式在QoS基本模式中,可以将网络中的特定域定义为信任域.
在该域中,将使用802.
1p优先级和/或DSCP标记数据包,以标志数据包需要的服务类型.
该域中的节点可使用这些字段将数据包分配给特定的出口队列.
最初的数据包分类和对这些字段的标记是在信任域的入口流量中完成的.
服务质量QoS基本模式思科300系列管理型交换机管理指南41226配置基本QoS模式的工作流程要配置基本QoS模式,请执行以下操作:1.
使用"QoS属性"页面为系统选择基本模式.
2.
使用"全局设置"页面选择信任行为.
设备支持CoS/802.
1p信任模式和DSCP信任模式.
CoS/802.
1p信任模式在VLAN标记中使用802.
1p优先级.
DSCP信任模式在IP报头中使用DSCP值.
如果存在任何不该信任传入CoS标记的例外端口,请使用"接口设置"页面禁用该端口上的QoS状态.
使用"接口设置"页面可以在端口启用或禁用选择的全局信任模式.
如果端口被禁用,无信任模式,则其所有入口数据包均将按照尽力服务规则转发.
建议在传入数据包中的CoS/802.
1p和/或DSCP值不值得信任的情况下,在端口禁用信任模式.
否则可能会对网络性能产生负面影响.
配置全局设置"全局设置"页面包含用于在设备上启用信任模式的信息(请参阅下面的"信任模式"字段).
如果QoS模式为基本模式,该配置便有效.
进入QoS域的数据包将在QoS域的边缘进行分类.
定义信任配置的步骤:步骤1单击服务质量>QoS基本模式>全局设置.
步骤2设备为基本模式时,选择信任模式.
如果将数据包CoS等级和DSCP标记映射至独立队列,信任模式将确定数据包所分配的队列:CoS/802.
1p-根据VLAN标记中的VPT字段或每端口的默认CoS/802.
1p值(如果传入数据包中没有VLAN标记)将流量映射到队列,实际的VPT到队列映射可以在映射"CoS/802.
1p到队列"页面配置.
DSCP-将根据IP报头中的DSCP字段将所有IP流量映射到队列.
实际的DSCP到队列映射可以在"DSCP到队列"页面中配置.
如果流量不是IP流量,系统会将其映射到尽力服务队列.
CoS/802.
1p-DSCP-已进行过设置的CoS/802.
1p或DSCP.
步骤3选择覆盖入口DSCP,以根据"DSCP覆盖表",使用新值取代传入数据包中的原始DSCP值.
启用"覆盖入口DSCP"后,设备会对出口排队使用新的DSCP值.
还会使用新的DSCP值取代数据包中的原始DSCP值.
注将使用新的(改写后的)DSCP值而非原始DSCP值将帧映射到出口队列.
步骤4如果启用了覆盖入口DSCP,请单击DSCP覆盖表重新配置DSCP.
传入DSCP会显示需要重新标记为替代值的传入数据包DSCP值.
步骤5选择传出DSCP值以指示已映射传出值.
步骤6单击应用.
将使用新DSCP值更新当前配置文件.
服务质量QoS高级模式思科300系列管理型交换机管理指南41326接口QoS设置使用"接口设置"页面可在设备的每个端口上配置QoS,如下所示:已在接口上禁用QoS状态-端口上的所有入口流量均被映射到尽力服务队列,并且不进行任何分类/优先级划分.
已启用端口的QoS状态-端口将根据在整个系统中配置的信任模式(CoS/802.
1p信任模式或DSCP信任模式),为入口流量设置优先级.
输入每个接口的QoS设置的步骤:步骤1单击服务质量>QoS基本模式>接口设置.
步骤2选择端口或LAG以显示端口或LAG列表.
QoS状态会显示是否在接口上启用了QoS.
步骤3选择一个接口,并单击编辑.
步骤4选择端口或LAG接口.
步骤5单击以针对该接口启用或禁用QoS状态.
步骤6单击应用.
将更新当前配置文件.
QoS高级模式符合ACL并被允许进入的帧将使用允许其进入的ACL的名称进行隐式标记.
然后,即可将QoS高级模式操作应用到这些数据流.
在QoS高级模式中,设备会使用策略支持每个数据流的QoS.
策略及其组件具有以下特性及关系:一个策略包含一个或多个类映射.
类映射使用一个或多个关联ACL定义数据流.
仅符合带许可(转发)操作的类映射中的ACL规则(ACE)的数据包将被视为属于同一个数据流,将遵循相同的服务质量.
因此,策略包含一个或多个数据流,每个数据流均有一个用户定义的QoS.
类映射(数据流)的QoS由关联的策略器强制执行.
存在两种策略器:单策略器和集合策略器.
每种策略器通过一个QoS规格进行配置.
单策略器可根据相应的策略器QoS规格将QoS应用到单个类映射,从而应用到单个数据流.
集合策略器可将QoS应用到一个或多个类映射,从而应用到一个或多个数据流.
集合策略器可以支持来自不同策略的类映射.
通过将策略绑定至所需的端口,可将每数据流QoS应用到数据流.
可以将一个策略及其类映射绑定至一个或多个端口,但每个端口最多只能与一个策略绑定.
服务质量QoS高级模式思科300系列管理型交换机管理指南41426注:设备为第2层模式时,单策略器和集合策略器均可用.
不论策略为何,均可以将一个ACL配置到一个或多个类映射.
一个类映射只能属于一个策略.
将使用单策略器的类映射绑定至多个端口时,每个端口都具有其自己的单策略器实例;每个实例在相互独立的端口处对该类映射(数据流)应用QoS.
不论策略和端口为何,集合策略器均会将QoS应用到其在集合中的所有数据流.
高级QoS设置由三部分组成:要符合的规则的定义.
符合单独的一组规则的所有帧将被视为一个数据流.
要对每个数据流中符合规则的帧应用的操作的定义.
将规则和操作的组合绑定至一个或多个接口.
配置高级QoS模式的工作流程要配置高级QoS模式,请执行以下操作:1.
使用"QoS属性"页面为系统选择高级模式.
使用"全局设置"页面选择信任模式.
如果将数据包CoS等级和DSCP标记映射至独立队列,信任模式将确定数据包所分配的队列:如果内部DSCP值与传入数据包中使用的DSCP值不同,请使用"超出策略DSCP重标记"页面将外部值映射到内部值.
该操作将打开"DSCP重新标记"页面.
2.
按"创建ACL的工作流程"中所述创建ACL.
3.
如果定义了ACL,请通过"类映射"页面创建类映射并将ACL与创建的类映射相关联.
4.
使用"策略表"页面创建一个策略,并使用"策略类映射"页面将该策略与一个或多个类映射相关联.
您还可以根据需要,在将类映射关联至策略时,通过将策略器指定给类映射来指定QoS.
单策略器-使用"策略表"页面和"类映射"页面创建将类映射与单策略器关联的策略.
在该策略内,定义单策略器.
集合策略器-使用"集合策略器"页面针对每个数据流创建如下QoS操作:将所有符合的帧发送到同一个策略器(集合策略器).
使用"策略表"页面创建将类映射与集合策略器关联的策略.
5.
使用"策略绑定"页面将策略绑定至接口.
服务质量QoS高级模式思科300系列管理型交换机管理指南41526配置全局设置"全局设置"页面包含用于在设备上启用信任模式的信息.
进入QoS域的数据包将在QoS域的边缘进行分类.
定义信任配置的步骤:步骤1单击服务质量>QoS高级模式>全局设置.
步骤2设备为高级模式时,选择信任模式.
如果将数据包CoS等级和DSCP标记映射至独立队列,信任模式将确定数据包所分配的队列:CoS/802.
1p-根据VLAN标记中的VPT字段或每端口的默认CoS/802.
1p值(如果传入数据包中没有VLAN标记)将流量映射到队列,实际的VPT到队列映射可以在映射"CoS/802.
1p到队列"页面配置.
DSCP-将根据IP报头中的DSCP字段将所有IP流量映射到队列.
实际的DSCP到队列映射可以在"DSCP到队列"页面中配置.
如果流量不是IP流量,系统会将其映射到尽力服务队列.
CoS/802.
1p-DSCP-选择此项对非IP流量使用"信任CoS"模式,对IP流量使用"信任DSCP"模式.
步骤3在默认模式状态字段中为接口选择默认高级模式QoS信任模式(可信任或不可信任).
这可以在高级QoS上提供基本QoS功能,因此默认情况下(无需创建策略),您可以在高级QoS上信任CoS/DSCP.
在QoS高级模式中,"默认模式状态"设置为"不信任"时,接口上配置的默认CoS值将被忽略,并且所有流量都会加入队列1.
有关详情,请参阅"服务质量>QoS高级模式>全局设置"页面.
如果接口上已存在策略,则默认模式无效,系统将按照策略配置采取操作,并将丢弃不匹配的流量.
步骤4选择覆盖入口DSCP,以根据"DSCP覆盖表",使用新值取代传入数据包中的原始DSCP值.
启用"覆盖入口DSCP"后,设备会对出口排队使用新的DSCP值.
还会使用新的DSCP值取代数据包中的原始DSCP值.
注将使用新的(改写后的)DSCP值而非原始DSCP值将帧映射到出口队列.
步骤5如果启用了覆盖入口DSCP,请单击DSCP覆盖表重新配置DSCP.
有关详情,请参阅"DSCP覆盖表"页面.
服务质量QoS高级模式思科300系列管理型交换机管理指南41626配置超出模板DSCP映射如果为类映射(数据流)指定了策略器,则可以指定当数据流中的流量超出QoS规定的限制时执行的操作.
导致数据流超出其QoS限制的流量部分称为超出模板的数据包.
如果超出限制时执行的操作为"超出模板DSCP",设备会根据"超出策略DSCP重标记表",使用新值重新映射超出模板的IP数据包的原始DSCP值.
设备会使用新值为这些数据包指定资源和出口队列.
设备还会使用新的DSCP值实际取代超出模板数据包中的原始DSCP值.
要使用"超出模板DSCP"超出限制操作,请重新映射"超出模板DSCP映射表"中的DSCP值.
否则操作将为空,因为在出厂默认设置下,该表格中的DSCP值会将数据包重新映射到其本身.
本功能将更改DSCP标记,以便在信任的QoS域之间交换传入流量.
更改在一个域中使用的DSCP值,会将该类型的流量的优先级设置为在另一个域中使用的DSCP值,以标识同一类型的流量.
如果系统为QoS基本模式,这些设置便有效,并且一经激活,将作用于整个系统.
例如:假设存在以下三个服务等级:银牌(Silver)、金牌(Gold)和优质(Premier),用于标记这三个等级的DSCP传入值分别为10、20和30.
如果将此流量转发给具有相同的三个服务等级,但使用的DSCP值为16、24和48的另一个服务提供商,则在将这些值映射到传出值时,超出模板DSCP映射会更改这些值.
映射DSCP值的步骤:步骤1单击服务质量>QoS高级模式>超出模板DSCP映射.
使用该页面可设置进入或离开设备的流量的更改DSCP值.
"传入DSCP"会显示需要重新标记为替代值的传入数据包DSCP值.
步骤2选择要将传入值映射至的传出DSCP值.
步骤3单击应用.
将使用新DSCP映射表更新当前配置文件.
步骤4选择恢复默认设置会为此接口还原出厂CoS默认设置.
定义类映射类映射使用ACL(访问控制表)定义数据流.
在类映射中可以包含MACACL、IPACL和IPv6ACL的组合.
按照全部符合或皆符合的原则配置类映射,以符合数据包标准.
按照首个匹配原则(这表示系统将执行与第一个匹配的类映射关联的操作)将类映射与数据包进行匹配.
与同一个类映射匹配的数据包将被视为属于同一个数据流.
注定义类映射不会对QoS产生任何影响;这是一个过渡性步骤,作用是启用将在后续使用的类映射.
服务质量QoS高级模式思科300系列管理型交换机管理指南41726如果需要更复杂的规则集合,可以将多个类映射分组为一个超级组,称为一个策略(请参阅配置策略).
"类映射"页面会显示已定义类映射及组成每个类映射的ACL的列表.
使用该页面可添加/删除类映射.
定义类映射的步骤:步骤1单击服务质量>QoS高级模式>类映射.
此页面会显示已定义的类映射.
步骤2单击添加.
通过选择一个或两个ACL并指定类映射的名称来添加类映射.
如果一个类映射包含两个ACL,您可以指定帧必须与这两个ACL都匹配,或者必须与选择的一个或两个ACL匹配.
步骤3输入参数.
类映射名称-输入新类映射的名称.
匹配ACL类型-要被视为属于该类映射中定义的数据流,数据包必须符合的标准.
选项如下:-IP-数据包必须与类映射中任一基于IP的ACL匹配.
-MAC-数据包必须与类映射中任一基于MAC的ACL匹配.
-IP和MAC-数据包必须与类映射中基于IP的ACL和基于MAC的ACL匹配.
-IP或MAC-数据包必须与类映射中基于IP的ACL或基于MAC的ACL匹配.
IP-为类映射选择基于IPv4的ACL或基于IPv6的ACL.
MAC-为类映射选择基于MAC的ACL.
偏好的ACL-选择先将数据包与基于IP的ACL还是与基于MAC的ACL进行比对.
步骤4单击应用.
将更新当前配置文件.
QoS策略器注如果Sx500设备在第3层系统模式,将不支持QoS策略器.
SG500X设备始终支持.
您可以测量符合一组预定义规则的流量的速率,及强制执行限制,例如限制端口上允许的文件传输流量的速率.
这可以通过在类映射中使用ACL以匹配所需的流量,以及使用策略器对匹配的流量应用QoS来实现.
服务质量QoS高级模式思科300系列管理型交换机管理指南41826策略器通过QoS规格进行配置.
存在两种类型的策略器:单(常规)策略器-单策略器会将QoS应用到单个类映射,以及基于策略器的QoS规格的单个数据流.
将使用单策略器的类映射绑定至多个端口时,每个端口都具有其自己的单策略器实例;每个实例在相互独立的端口处对该类映射(数据流)应用QoS.
单策略器在"策略表"页面中创建.
集合策略器-集合策略器可将QoS应用到一个或多个类映射,从而应用到一个或多个数据流.
集合策略器可以支持来自不同策略的类映射.
不论策略和端口为何,集合策略器均会将QoS应用到其在集合中的所有数据流.
集合策略器在"集合策略器"页面中创建.
如果要与多个类共享策略器,请定义集合策略器.
无法与另一设备中的其他策略器共享端口上的策略器.
每个策略器均使用其自己的QoS规则,通过以下参数的组合进行定义:所允许的最大速率,称为承诺信息速率(CIR),以Kbps计.
以字节表示的流量,称为承诺的最大突发流量(CBS).
这是允许作为临时突发数据传输的流量,即便其超出了所定义的最大速率也会照常传输.
将对超出限制的帧(称为超出模板的流量)应用的操作,可以如常传输或放弃这些帧,或者传输帧,但将它们重新映射到新的DSCP值,该值将使这些帧成为对于设备内的所有后续处理而言优先级更低的帧.
将类映射添加到策略的同时会为该类映射指定策略器.
如果策略器为集合策略器,则必须使用"集合策略器"页面进行创建.
定义集合策略器集合策略器可将QoS应用到一个或多个类映射,从而应用到一个或多个数据流.
集合策略器可以支持来自不同策略的类映射,并且不论策略和端口为何,集合策略器均会将QoS应用到其在集合中的所有数据流.
注只有支持独立第2层系统模式的设备在第2层模式中操作时,设备才支持集合策略器和单个策略器.
定义集合策略器的步骤:步骤1单击服务质量>QoS高级模式>集合策略器.
此页面显示现有的集合策略器.
步骤2单击添加.
步骤3输入参数.
集合策略器名称-输入集合策略器的名称.
入口承诺的信息传输速率(CIR)-以位/秒为单位输入所允许的最大带宽.
请参阅"带宽"页面中的相关说明.
服务质量QoS高级模式思科300系列管理型交换机管理指南41926入口承诺突发数据大小(CBS)-以字节为单位输入最大突发数据量(即使其超出CIR).
请参阅"带宽"页面中的相关说明.
超出操作-选择要对超出CIR的传入数据包执行的操作.
可能的值有:-转发-转发超出已定义的CIR值的数据包.
-丢弃-丢弃超出已定义的CIR值的数据包.
-超出模板DSCP-根据"超出模板DSCP映射表",将超出已定义的CIR值的数据包的DSCP值重新映射到新的值.
步骤4单击应用.
将更新当前配置文件.
配置策略"策略表映射"页面会显示系统中已定义的高级QoS策略列表.
通过该页面,还可以创建和删除策略.
只有绑定到接口的策略才有效(请参阅"策略绑定"页面).
每个策略由以下项目组成:一个或多个ACL(在策略中定义数据流)类映射.
一个或多个集合,其将QoS应用到策略中的数据流.
添加策略后,可以使用"策略表"页面添加类映射.
添加QoS策略的步骤:步骤1单击服务质量>QoS高级模式>策略表.
此页面会显示已定义的策略列表.
步骤2单击策略类映射表显示"策略类映射"页面.
-或单击添加打开"添加策略表"页面.
步骤3在新策略名称字段中输入新策略的名称.
步骤4单击应用.
将添加QoS策略模板,并更新当前配置文件.
服务质量QoS高级模式思科300系列管理型交换机管理指南42026策略类映射可以在一个策略中添加一个或多个类映射.
类映射定义被视为属于同一个数据流的数据包的类型.
注如果设备在第3层模式下工作,您将无法为类映射配置策略器.
设备仅在第2层模式下支持策略器.
在策略中添加类映射的步骤:步骤1单击服务质量>QoS高级模式>策略类映射.
步骤2在过滤中选择一个策略,然后单击转至.
此时将显示该策略中的所有类映射.
步骤3要添加新的类映射,请单击添加.
步骤4输入参数.
策略名称-显示要在其中添加类映射的策略.
类映射名称-选择要与该策略关联的现有类映射.
类映射在"类映射"页面中创建.
操作类型-根据所有匹配数据包的入口CoS/802.
1p和/或DSCP值选择操作.
-使用默认信任模式-忽略入口CoS/802.
1p和/或DSCP值.
将按尽力服务模式发送匹配数据包.
-始终信任-如果选择了此选项,设备将信任匹配数据包的CoS/802.
1p和DSCP.
如果为IP数据包,设备会根据数据包的DSCP值及"DSCP到队列表"将数据包放入出口队列.
否则,将根据数据包的CoS/802.
1p值及"CoS/802.
1p到队列表"指定数据包的出口队列.
-设置-如果选择了该选项,将使用在新值框中输入的值来确定匹配数据包的出口队列,具体如下:如果新值(0.
.
7)为CoS/802.
1p优先级,请使用该优先级值和"CoS/802.
1p到队列表"来确定所有匹配数据包的出口队列.
如果新值(0.
.
63)为DSCP,请使用该新的DSCP和"DSCP到队列表"来确定匹配的IP数据包的出口队列.
否则,请使用新值(1.
.
8)作为所有匹配数据包的出口队列号.
监察类型-仅在第2层系统模式下可用.
为策略选择策略器类型.
选项如下:-无-不使用任何策略.
-单个-策略策略器为单策略器.
-集合-策略策略器为集合策略器.
集合策略器-仅在第2层系统模式下可用.
如果监察类型为集合,请选择先前在"集合策略器"页面中定义的集合策略器.
服务质量QoS高级模式思科300系列管理型交换机管理指南42126如果监察类型为单个,请输入以下QoS参数:入口承诺的信息传输速率(CIR)-以Kbps为单位输入CIR.
请参阅"带宽"页面中的相关说明.
入口承诺突发数据大小(CBS)-以字节为单位输入CBS.
请参阅"带宽"页面中的相关说明.
超出操作-选择要对超出CIR的传入数据包执行的操作.
选项如下:-无-不执行任何操作.
-丢弃-丢弃超出已定义的CIR值的数据包.
-超出模板DSCP-使用从"超出模板DSCP映射"中取得的新DSCP,转发超出已定义的CIR的IP数据包.
步骤5单击应用.
策略绑定"策略绑定"页面显示绑定的策略模板及绑定到的端口.
如果将策略模板绑定到特定端口,则该策略仅在该端口有效.
一个端口只能配置一个策略模板,但一个策略可以绑定至多个端口.
将策略绑定至端口后,该策略会过滤入口流量,并将QoS应用到属于策略中定义的数据流的入口流量.
该策略不会应用到输出到同一端口的流量.
要编辑策略,必须先将其从所绑定的端口删除(解除绑定).
注可以将端口与策略绑定,也可以与ACL绑定,但不能同时都绑定.
定义策略绑定的步骤:步骤1单击服务质量>QoS高级模式>策略绑定.
步骤2如果需要,选择策略名称和接口类型.
步骤3单击转至.
将选择策略.
步骤4为策略/接口选择以下选项:绑定-选择该选项可将策略绑定到接口.
允许任意-选择该选项可在接口上的数据包与任何策略不匹配时转发这些数据包.
注仅当接口上未激活"IP源防护"时,才能定义"允许任意".
步骤5单击应用.
将定义QoS策略绑定,并更新当前配置文件.
服务质量管理QoS统计信息思科300系列管理型交换机管理指南42226步骤6单击显示每个端口的策略绑定以显示每个接口的接口类型(单元端口1/1或LAG):以下字段会对所有端口/LAG显示:策略名称全部允许管理QoS统计信息您可以从这些页面管理单策略器和集合策略器,并可查看队列统计信息.
策略器统计信息单策略器通过单个策略绑定到单个类映射.
集合策略器通过一个或多个策略绑定到一个或多个类映射.
查看单策略器统计信息"单个策略器统计信息"页面表示符合策略类映射中定义的条件的接口接收到的预约带宽内和超出模板的数据包的数量.
注如果设备在第3层模式下,将不会显示该页面.
查看策略器统计信息的步骤:步骤1单击服务质量>QoS统计信息>单策略器统计信息.
此页面显示了以下字段:接口-显示此接口的统计信息.
策略-显示此策略的统计信息.
类映射-显示此类映射的统计信息.
模板内的字节数-接收到的模板内的字节数.
模板外的字节数-接收到的超出模板的字节数.
步骤2单击添加.
步骤3输入参数.
接口-选择为其累积统计信息的接口.
服务质量管理QoS统计信息思科300系列管理型交换机管理指南42326策略名称-选择策略名称.
类映射名称-选择类映射名称.
步骤4单击应用.
将创建一个新的统计信息请求,并更新当前配置文件.
查看集合策略器统计信息查看集合策略器统计信息的步骤:步骤1单击服务质量>QoS统计信息>集合策略器统计信息.
此页面显示了以下字段:集合策略器名称-要查看其统计信息的策略器.
模板内的字节数-接收到的模板内的数据包数量.
模板外的字节数-接收到的超出模板的数据包数量.
步骤2单击添加.
步骤3选择一个集合策略器名称(先前创建的集合策略器之一,系统会为其显示统计信息).
步骤4单击应用.
将创建一个新的统计信息请求,并更新当前配置文件.
查看队列统计信息"队列统计信息"页面会根据接口、队列和丢弃优先级显示队列统计信息,包括已转发和已丢弃的数据包的统计信息.
查看队列统计信息的步骤:步骤1单击服务质量>QoS统计信息>队列统计信息.
此页面显示了以下字段:刷新速率-选择刷新接口以太网统计信息的间隔时间.
可用选项有:-无刷新-不刷新统计信息.
-15秒-每隔15秒刷新统计信息.
-30秒-每隔30秒刷新统计信息.
服务质量管理QoS统计信息思科300系列管理型交换机管理指南42426-60秒-每隔60秒刷新统计信息.
计数器设置-选项如下:-设置1-显示"设置1"(包含所有具有高DP[丢弃优先级]的接口和队列)的统计信息.
-设置2-显示"设置2"(包含所有具有低DP的接口和队列)的统计信息.
接口-显示此接口的队列统计信息.
队列-从此队列转发的数据包或丢弃的尾部数据包.
丢弃优先级-最低的丢弃优先级表示被丢弃的优先级最低.
数据包总数-被转发的数据包或被丢弃的尾部数据包的数量.
丢弃的尾部数据包-被丢弃的尾部数据包所占的百分比.
步骤2单击添加.
步骤3输入参数.
计数器设置-选择计数器集:-设置1-显示"设置1"(包含所有具有高DP[丢弃优先级]的接口和队列)的统计信息.
-设置2-显示"设置2"(包含所有具有低DP的接口和队列)的统计信息.
接口-选择要显示其统计信息的端口.
选项如下:-端口-选择所选单元号上要显示其统计信息的端口.
-全部端口-指定将显示所有端口的统计信息.
队列-选择要显示其统计信息的队列.
丢弃优先级-输入丢弃优先级,以表示被丢弃的优先级.
步骤4单击应用.
将添加队列统计信息计数器,并更新当前配置文件.
27思科300系列管理型交换机管理指南425SNMP本节介绍简单网络管理协议(SNMP)功能,该功能提供了一种管理网络设备的方法.
其中包含以下主题:SNMP版本和工作流程型号OIDSNMP引擎ID配置SNMP视图创建SNMP组管理SNMP用户定义SNMP社区定义陷阱设置通知接收设备SNMP通知过滤器SNMP版本和工作流程设备可作为SNMP代理,并且支持SNMPv1、v2和v3.
交换机还会使用支持的MIB(管理信息库)中定义的Trap,将系统事件报告给Trap接收器.
SNMPv1和v2为控制对系统的访问,系统中会定义一个社区条目列表.
每个社区条目由一个社区字符串及其访问权限组成.
系统仅会对指定具有恰当权限和正确操作的社团的SNMP消息作出响应.
SNMP代理会维护用于管理设备的变量列表.
这些变量在管理信息库(MIB)中定义.
注由于其他版本具有安全漏洞,因此建议使用SNMPv3.
SNMPSNMP版本和工作流程思科300系列管理型交换机管理指南42627SNMPv3除具备SNMPv1和v2提供的功能外,SNMPv3还可将访问控制和新的Trap机制应用到SNMPv1和SNMPv2PDU.
SNMPv3还可定义用户安全模式(USM),该模式包括:验证-提供数据完整性和数据源验证.
隐私-防止消息内容泄露.
使用密码块链接(CBC-DES)技术进行加密.
可以只对SNMP消息启用验证功能,也可以一并启用验证和保密功能.
但无法在不启用验证功能的情况下单独启用保密功能.
时效性-防止消息延迟或反演攻击.
SNMP代理会将传入消息的时间戳与消息的到达时间进行比较.
密钥管理-定义密钥生成、密钥更新和密钥使用.
设备支持基于对象ID(OID)的SNMP通知过滤器.
OID由系统用来管理设备功能.
SNMP工作流程注出于安全方面的考虑,默认情况下应禁用SNMP.
必须先在"安全>TCP/UDP服务"页面打开SNMP,才能通过SNMP管理设备.
建议使用下面的一系列操作来配置SNMP:如果决定使用SNMPv1或v2,请执行以下操作:步骤1导航至"SNMP->社团"页面并单击添加.
可以将该社区与访问权限和视图相关联(在基本模式下),也可以将其与组相关联(在高级模式下).
有两种方式可以定义社区的访问权限:基本模式-可以将社区的访问权限配置为"只读"、"读写"或"SNMP管理".
此外,还可以将社团的访问权限限制为只能通过视图访问特定的MIB对象.
视图在"视图"页面中定义.
高级模式-社区的访问权限由组定义(在"组"页面中定义).
可以使用特定的安全模式来配置组.
组的访问权限为"读取"、"写入"和"通知".
步骤2选择是将SNMP管理站点限制在一个地址,还是允许来自所有地址的SNMP管理.
如果选择将SNMP管理限制在一个地址,则在"IP地址"字段中输入SNMP管理PC的地址.
步骤3在"社区字符串"字段中输入唯一的社区字符串.
步骤4使用"Trap设置"页面启用Trap(可选).
步骤5使用"通知过滤器"页面定义通知过滤器(可选).
步骤6在"通知接收设备SNMPv1,2"页面配置通知接收设备.
SNMP型号OID思科300系列管理型交换机管理指南42727如果决定使用SNMPv3,请执行以下操作:步骤1使用"引擎ID"页面定义SNMP引擎.
可创建唯一引擎ID或使用默认引擎ID.
应用引擎ID配置会清除SNMP数据库.
步骤2使用"视图"页面定义SNMP视图(可选).
这会限制社团或组可用的OID范围.
步骤3使用"组"页面定义组.
步骤4使用"SNMP用户"页面定义用户,在该页面中可以将用户与组相关联.
如果未设置SNMP引擎ID,那么将无法创建用户.
步骤5使用"Trap设置"页面启用或禁用Trap(可选).
步骤6使用"通知过滤器"页面定义通知过滤器(可选).
步骤7使用"通知接收设备SNMPv3"页面定义通知接收设备.
支持的MIB如需支持的MIB列表,请访问以下URL,并导航到名为思科MIBS的下载区域:www.
cisco.
com/cisco/software/navigator.
html型号OID以下为设备型号对象ID(OID):型号名称说明对象IDSG300-108个GE端口和2个特殊用途组合端口(GE/SFP)9.
6.
1.
83.
10.
1SG300-10MP8个GE端口和2个特殊用途组合端口(GE/SFP)9.
6.
1.
83.
10.
3SG300-10P8个GE端口和2个特殊用途组合端口(GE/SFP)9.
6.
1.
83.
10.
2SG300-2016个GE端口和4个特殊用途端口-2个上行链路和2个组合端口9.
6.
1.
83.
20.
1SNMP型号OID思科300系列管理型交换机管理指南42827SG300-2824个GE端口和4个特殊用途端口-2个上行链路和2个组合端口9.
6.
1.
83.
28.
1SG300-28P24个GE端口和4个特殊用途端口-2个上行链路和2个组合端口9.
6.
1.
83.
28.
2SG300-5248个GE端口和4个特殊用途端口-2个上行链路和2个组合端口9.
6.
1.
83.
52.
1SF300-088个FE端口.
9.
6.
1.
82.
08.
4SF302-088个FE端口和2个GE端口9.
6.
1.
82.
08.
1SF302-08MP8个FE端口和2个GE端口9.
6.
1.
82.
08.
3SF302-08P8个FE端口和2个GE端口9.
6.
1.
82.
08.
2SF300-2424个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口.
9.
6.
1.
82.
24.
1SF300-24P24个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口.
9.
6.
1.
82.
24.
2SF300-4848个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口9.
6.
1.
82.
48.
1SF300-48P48个FE端口和4个GE特殊用途端口-2个上行链路和2个组合端口9.
6.
1.
82.
48.
2SG300-52P52端口千兆PoE管理型交换机9.
6.
1.
83.
52.
2SG300-52MP52端口千兆PoE管理型交换机9.
6.
1.
83.
52.
3SG300-10SFP10端口千兆管理型SFP交换机9.
6.
1.
83.
10.
5ESW2-350G-5252端口千兆管理型交换机9.
6.
1.
86.
52.
1ESW2-350G-52DC52端口千兆管理型交换机9.
6.
1.
86.
52.
6SF300-24MP24端口10/100PoE管理型交换机9.
6.
1.
82.
24.
3SG300-28MP28端口千兆PoE管理型交换机9.
6.
1.
83.
28.
3SF302-08P8个FE端口和2个GE端口9.
6.
1.
82.
08.
2SF302-08PP8端口10/100PoE管理型交换机9.
6.
1.
82.
08.
2SF302-08MPP8端口10/100PoE管理型交换机9.
6.
1.
82.
08.
3SG300-10PP8端口10/100PoE管理型交换机9.
6.
1.
83.
10.
2型号名称说明对象IDSNMPSNMP引擎ID思科300系列管理型交换机管理指南42927专用对象ID被置于enterprises(1).
cisco(9).
otherEnterprises(6).
ciscosb(1).
switch001(101)下面.
SNMP引擎ID引擎ID由SNMPv3实体用来唯一标识其自身.
SNMP代理被视为权威SNMP引擎.
这表示该代理会响应传入消息("Get"、"GetNext"、"GetBulk"、"Set"),并将Trap消息发送给管理器.
该代理的本地信息会封装在消息的字段中.
每个SNMP代理都会保留SNMPv3消息交换中使用的本地信息.
默认的SNMP引擎ID由企业编号和默认MAC地址组成.
引擎ID对于管理域必须唯一,以便在一个网络中不会出现拥有相同引擎ID的两个设备.
本地信息存储在以下四个只读MIB变量中:snmpEngineId、snmpEngineBoots、snmpEngineTime和snmpEngineMaxMessageSize.
!
注意如果引擎ID发生更改,将会删除所有已配置的用户和组.
定义SNMP引擎ID的步骤:步骤1单击SNMP>引擎ID.
步骤2选择用于本地引擎ID的选项.
使用默认设置-选择该选项将使用设备生成的引擎ID.
默认的引擎ID以设备MAC地址为基础,并且根据标准进行定义,具体如下:-前4个八位字节-第一位=1,其余为IANA企业编号.
-第五个八位字节-设置为3以表示随后的MAC地址.
-后6个八位字节-设备的MAC地址.
SF300-24PP8端口10/100PoE管理型交换机9.
6.
1.
82.
24.
1SG300-28PP10端口千兆PoE管理型交换机9.
6.
1.
83.
28.
2SF300-24PP24端口10/100PoE管理型交换机9.
6.
1.
82.
24.
1SG300-28PP28端口千兆PoE管理型交换机9.
6.
1.
83.
28.
2SF300-48PP48端口10/100PoE管理型交换机9.
6.
1.
82.
48.
2SG300-28SFP28端口千兆管理型SFP交换机9.
6.
1.
83.
28.
5型号名称说明对象IDSNMP配置SNMP视图思科300系列管理型交换机管理指南43027无-不使用引擎ID.
用户定义-输入本地设备引擎ID.
该字段值是一个十六进制字符串(范围为10-64).
该十六进制字符串中的每个字节都由两个十六进制数字表示.
所有远程引擎ID及其IP地址均显示在远程引擎ID表中.
步骤3单击应用.
将更新当前配置文件.
远程引擎ID表显示引擎的IP地址与引擎ID之间的映射.
添加引擎ID的IP地址的步骤:步骤4单击添加.
输入以下字段:服务器定义-选择是按照IP地址还是名称来指定引擎ID服务器.
IP版本-选择支持的IP格式.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果选择的IPv6地址类型为"链路本地").
服务器IP地址/名称-输入日志服务器的IP地址或域名.
引擎ID-输入引擎ID.
步骤5单击应用.
将更新当前配置文件.
配置SNMP视图视图是MIB子树集合的用户定义标签.
每个子树ID均由相应子树根节点的对象ID(OID)定义.
可以使用熟悉的名称来指定所需子树的根,也可以输入OID(请参阅型号OID).
每个子树要么包括在所定义的视图中,要么被排除在该视图之外.
使用"视图"页面可创建和编辑SNMP视图.
默认视图("默认"、"DefaultSuper")无法更改.
可以在"组"页面中将视图绑定到组,或通过"社团"页面将视图绑定到使用基本访问模式的社团.
SNMP创建SNMP组思科300系列管理型交换机管理指南43127定义SNMP视图的步骤:步骤1单击SNMP>视图.
步骤2单击添加定义新视图.
步骤3输入参数.
视图名称-输入视图名称(长度为0到30个字符).
对象ID子树-选择MIB树中包括在所选SNMP视图中或被排除在该视图之外的节点.
用于选择对象的选项如下:-从列表中选择-使用该选项可以导航MIB树.
按向上箭头可前往所选节点的父节点层或兄弟节点层;按向下箭头可进入所选节点的子节点层.
单击视图中的节点可从一个节点到达其兄弟节点.
使用滚动条可在视图中显示兄弟节点.
-用户定义-输入从列表中选择选项中未提供的OID(如果需要).
步骤4选择或取消选择包含在视图中.
如果选择了此项,会将选定的MIB包含在视图中,否则不会包含这些MIB.
步骤5单击应用.
步骤6要验证您的视图配置,请从过滤器:视图名称列表中选择用户定义的视图.
默认情况下,存在以下视图:默认-可读和可读写视图的默认SNMP视图.
DefaultSuper-管理员视图的默认SNMP视图.
可以添加其他视图.
对象ID子树-显示要包括在SNMP视图中或要排除在该视图之外的子树.
对象ID子树视图-显示是否将已定义的子树包括在所选的SNMP视图中或排除在该视图之外.
创建SNMP组在SNMPv1和SNMPv2中,社区字符串会随SNMP帧一起发送.
社区字符串将作为访问SNMP代理的密码.
但是,帧和社区字符串均未加密.
因此SNMPv1和SNMPv2不安全.
在SNMPv3中,可配置以下安全机制.
验证-设备会检查SNMP用户是否是获授权的系统管理员.
该验证会针对每个帧进行.
隐私-SNMP帧可以传输加密数据.
SNMP创建SNMP组思科300系列管理型交换机管理指南43227因此,在SNMPv3中,存在以下三个安全等级:无安全验证(不验证且无隐私)验证(验证且无隐私)验证和隐私SNMPv3提供了一种方式来控制每个用户能够读取或写入的内容,以及他们会收到的通知.
组将定义读/写权限和安全等级.
与SNMP用户或社区关联时便可运行.
注要将非定义视图关联至组,请先在"视图"页面中创建一个视图.
创建SNMP组的步骤:步骤1单击SNMP>组.
此页面包含现有的SNMP组及其安全等级.
步骤2单击添加.
步骤3输入参数.
组名称-输入新的组名称.
安全模式-选择要应用到该组的SNMP版本(SNMPv1、v2或v3).
可以定义三种类型的具有多种安全等级的视图.
对于每种安全等级,可通过输入以下字段针对"读取"、"写入"和"通知"权限选择视图:启用-选择此字段可启用"安全等级".
安全等级-定义要应用到该组的安全等级.
SNMPv1和SNMPv2不支持"验证"和"隐私".
如果选择了SNMPv3,则选择以下选项之一:-不验证且无隐私-既不为组指定"验证"安全等级,也不为其指定"隐私"安全等级.
-验证且无隐私-验证SNMP消息,并确保SNMP消息源经过验证,但不对消息加密.
-验证和隐私-验证SNMP消息并对它们加密.
视图-选择将视图与组的访问权限(读取、写入和/或通知)相关联可将MIB树的范围限制在组具有访问权限(读取、写入和通知)的范围内.
-读取-所选视图的管理访问权限为只读.
否则,与该组关联的用户或社区将能够读取除控制SNMP本身的MIB之外的所有MIB.
-写入-所选视图的管理访问权限为可写.
否则,与该组关联的用户或社区将能够写入除控制SNMP本身的MIB之外的所有MIB.
SNMP管理SNMP用户思科300系列管理型交换机管理指南43327-通知-将Trap可用的内容限制在选定视图包含的范围内.
否则,将不对Trap内容进行限制.
只能针对SNMPv3选择该选项.
步骤4单击应用.
SNMP组将保存至当前配置文件中.
管理SNMP用户SNMP用户由登录凭证(用户名、密码和验证方法),及其工作(通过与组和引擎ID关联实现)的环境和范围定义.
经过配置的用户具有其组的属性,并具有在关联的视图中配置的访问权限.
网络管理员可使用组将访问权限分配给整组用户而非单个用户.
一个用户只能属于一个组.
要创建SNMPv3用户,必须先满足以下条件:事先在设备上配置一个引擎ID.
此项操作可在"引擎ID"页面中完成.
必须有一个可用的SNMPv3组.
可在"组"页面中定义SNMPv3组.
显示SNMP用户和定义新用户的步骤:步骤1单击SNMP>用户.
此页面包含现有用户.
步骤2单击添加.
此页面将提供有关将SNMP访问控制权限指定给SNMP用户的信息.
步骤3输入参数.
用户名-为该用户输入名称.
引擎ID-选择该用户要连接的本地或远程SNMP实体.
更改或删除本地SNMP引擎ID会删除SNMPv3用户数据库.
要想一并接收通知消息和请求信息,必须定义本地和远程两种用户.
-本地-该用户将连接到本地设备.
-远程IP地址-用户除本地设备之外,还将连接其他SNMP实体.
如果定义了远程引擎ID,则远程设备可以接收通知消息,但无法请求信息.
输入远程引擎ID.
SNMP定义SNMP社区思科300系列管理型交换机管理指南43427组名称-选择该SNMP用户所属的SNMP组.
SNMP组在"添加组"页面中定义.
注属于已删除的组的用户仍会保留,但会处于非活动状态.
验证方法-选择会根据分配的组名称而变化的验证方法.
如果组不需要验证,则用户无法配置任何验证.
选项如下:-无-不使用用户验证.
-MD5-通过MD5验证方法生成密钥所使用的密码.
-SHA-通过SHA(安全散列算法)验证方法生成密钥所使用的密码.
验证密码-如果通过MD5或SHA密码实施验证,请在加密模式或明文模式下输入本地用户密码.
系统会将本地用户密码与本地数据库进行比较,本地用户密码最多可以包含32个ASCII字符.
隐私方法-选择以下选项之一:-无-未加密私有密码.
-DES-根据数据加密标准(DES)加密私有密码.
私有密码-如果选择了DES隐私方法,则需要16个字节(DES加密密钥).
此字段的长度必须是32个十六进制字符.
可以选择加密或明文模式.
步骤4单击应用保存您的设置.
定义SNMP社区SNMPv1和SNMPv2中的访问权限通过在"社团"页面中定义社团进行管理.
社区名称是在SNMP管理站点和设备之间共享的一种密码.
该名称用于验证SNMP管理站点.
由于SNMPv3面向用户而非社区,因此社区只能在SNMPv1和v2中定义.
用户属于具有访问权限的组.
通过"社团"页面可以将社团与访问权限相关联,可以直接关联(基本模式),也可以通过组进行关联(高级模式).
基本模式-可以将社区的访问权限配置为"只读"、"读写"或"SNMP管理".
此外,还可以将社团的访问权限限制为只能通过视图访问特定的MIB对象.
视图在"SNMP视图"页面中定义.
高级模式-社区的访问权限由组定义(在"组"页面中定义).
可以使用特定的安全模式来配置组.
组的访问权限为"读取"、"写入"和"通知".
SNMP定义SNMP社区思科300系列管理型交换机管理指南43527定义SNMP社区的步骤:步骤1单击SNMP>社区.
此页面包含记录已配置的SNMP社团及其属性的表格.
步骤2单击添加.
使用此页面,网络管理员可以定义和配置新的SNMP社团.
步骤3SNMP管理站点-单击用户定义,输入可以访问SNMP社区的管理站点IP地址.
单击全部,表示任何IP设备均可以访问该SNMP社区.
IP版本-选择IPv4或IPv6.
IPv6地址类型-选择支持的IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-如果IPv6地址类型为"链路本地",请选择通过VLAN还是ISATAP接收.
IP地址-输入SNMP管理站点IP地址.
社区字符串-输入用于验证设备管理站点的社区名称.
基本-为所选社区选择此模式.
在此模式下,不存在到任何组的连接.
您可以只选择社区访问级别("只读"、"读写"或"管理"),也可以进一步授予社区对特定视图的访问权限.
默认情况下,该模式会应用到整个MIB.
如果选择该模式,请为以下字段输入值:-访问模式-选择社区的访问权限.
选项如下:只读-将管理访问权限限制为只读.
不能更改社区.
读写-管理访问权限为可读写.
可以对设备配置进行更改,但不能更改社区.
SNMP管理-用户具有所有设备配置选项的访问权限,以及修改社区的权限.
对于除SNMPMIB之外的所有MIB,"SNMP管理"等同于"读写".
要访问SNMPMIB,需要具有"SNMP管理"权限.
-视图名称-选择SNMP视图(要授予对其的访问权限的MIB子树集合).
高级-为选定的社团选择此模式.
-组名称-选择确定访问权限的SNMP组.
步骤4单击应用.
将定义SNMP社区,并更新当前配置文件.
SNMP定义陷阱设置思科300系列管理型交换机管理指南43627定义陷阱设置使用"Trap设置"页面可配置是否从设备发送SNMP通知,以及在哪些情况下发送通知.
可以在"通知接收设备SNMPv1,2"页面或"通知接收设备SNMPv3"页面中配置SNMP通知的接收设备.
定义Trap设置的步骤:步骤1单击SNMP>Trap设置.
步骤2对SNMP通知选择启用,将指定设备可以发送SNMP通知.
步骤3对验证通知选择启用将启用SNMP验证失败通知.
步骤4单击应用.
SNMPTrap设置将写入当前配置文件.
通知接收设备系统会生成Trap消息来报告系统事件(如RFC1215中所定义).
系统可以生成在支持的MIB中定义的Trap.
Trap接收器(亦称通知接收设备)是接收设备发送的Trap消息的网络节点.
系统会定义一系列通知接收设备作为Trap消息的接收设备.
Trap接收器条目中包含的节点IP地址和SNMP凭证与Trap消息中包括的节点IP地址和SNMP凭证相对应.
当发生要求发送Trap消息的事件时,系统会将Trap消息发送到通知接收设备表上所列的每个节点.
使用"通知接收设备SNMPv1,2"页面和"通知接收设备SNMPv3"页面可配置SNMP通知的接收设备,以及向每个接收设备发送的SNMP通知的类型(Trap或通知).
使用"添加/编辑"弹出式窗口可配置通知的属性.
SNMP通知是设备向SNMP管理站点发送的消息,在其中说明发生了某个事件,例如链路连接/中断.
您还可以过滤特定通知,这可以通过在"通知过滤"页面中创建过滤器并将其应用到SNMP通知接收设备来实现.
使用通知过滤器,可以根据将要发送的通知的OID,过滤发送到管理站点的SNMP通知的类型.
SNMP通知接收设备思科300系列管理型交换机管理指南43727定义SNMPv1,2通知接收设备定义SNMPv1,2中的接收设备的步骤:步骤1单击SNMP>通知接收设备SNMPv1,2.
此页面会显示SNMPv1,2的接收设备.
步骤2输入以下字段:通知IPv4源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口.
TrapIPv4源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口.
通知IPv6源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口.
TrapIPv6源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口.
注如果已选择"自动"选项,系统将使用传出接口上定义的IP地址的源IP地址.
步骤3单击添加.
步骤4输入参数.
服务器定义-选择是按照IP地址还是名称来指定远程日志服务器.
IP版本-选择IPv4或IPv6.
IPv6地址类型-选择链路本地或全局.
-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-如果IPv6地址类型为"链路本地",请选择通过VLAN还是ISATAP接收.
接收方IP地址/名称-输入接收Trap的IP地址或服务器名称.
UDP端口-输入接收设备上用于接收通知的UDP端口.
通知类型-选择发送Trap还是发送通知.
如果需要发送两种类型的通知,则必须创建两个接收设备.
超时-输入重新发送通知之前,设备等待的时间(以秒为单位).
重试次数-输入设备重新发送通知请求的次数.
社区字符串-从下拉列表中选择Trap管理器的社区字符串.
社区字符串名称从"社区"页面中所列出的内容中产生.
SNMP通知接收设备思科300系列管理型交换机管理指南43827通知版本-选择TrapSNMP版本.
SNMPv1和SNMPv2均可作为Trap版本使用,但一次只能启用一个版本.
通知过滤器-选择该选项,将可以过滤发送到管理站点的SNMP通知类型.
过滤器在"通知过滤"页面中创建.
过滤条目名称-选择定义Trap中包含的信息的SNMP过滤器(在"通知过滤"页面中定义).
步骤5单击应用.
SNMP通知接收设备设置将写入当前配置文件.
定义SNMPv3通知接收设备定义SNMPv3中的接收设备的步骤:步骤1单击SNMP>通知接收设备SNMPv3.
此页面会显示SNMPv3的接收设备.
通知IPv4源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口.
TrapIPv4源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口.
通知IPv6源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口.
TrapIPv6源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口.
步骤2单击添加.
步骤3输入参数.
服务器定义-选择是按照IP地址还是名称来指定远程日志服务器.
IP版本-选择IPv4或IPv6.
IPv6地址类型-选择IPv6地址类型(如果使用IPv6).
选项如下:-链路本地-IPv6地址唯一识别单条网络链路上的主机.
链路本地地址具有前缀FE80,无法路由,并且只能用于本地网络上的通信.
仅支持一个链路本地地址.
如果接口上存在链路本地地址,此条目会替换配置中的地址.
-全局-IPv6地址为全局单播IPV6类型,可从其他网络看到和访问.
链路本地接口-从列表中选择链路本地接口(如果选择的"IPv6地址类型"为"链路本地").
接收方IP地址/名称-输入接收Trap的IP地址或服务器名称.
UDP端口-输入接收设备上用于接收通知的UDP端口.
SNMPSNMP通知过滤器思科300系列管理型交换机管理指南43927通知类型-选择发送Trap还是发送通知.
如果需要发送两种类型的通知,则必须创建两个接收设备.
超时-输入重新发送通知/Trap之前,设备等待的时间(以秒为单位).
超时范围:1到300,默认值15重试次数-输入设备重新发送通知请求的次数.
重试次数:1到255,默认值:3用户名-从下拉列表中选择接收SNMP通知的用户.
要接收通知,必须已在"SNMP用户"页面定义该用户,且其引擎ID必须为远程.
安全等级-选择将对数据包应用的验证.
注此处的"安全等级"取决于选定的"用户名".
如果将该"用户名"配置为"不验证",那么"安全等级"仅为"不验证".
但是,如果在"用户"页面上将该"用户名"分配为"验证和隐私",那么此页面上的安全等级可以为"不验证"、"仅验证"或"验证和隐私".
选项如下:-不验证-表示既不对数据包进行验证,也不对其加密.
-验证-表示对数据包进行验证,但不对其加密.
-隐私-表示既要对数据包进行验证,又要对其加密.
通知过滤器-选择该选项,将可以过滤发送到管理站点的SNMP通知类型.
过滤器在"通知过滤"页面中创建.
过滤条目名称-选择定义Trap中包含的信息的SNMP过滤器(在"通知过滤"页面中定义).
步骤4单击应用.
SNMP通知接收设备设置将写入当前配置文件.
SNMP通知过滤器使用"通知过滤"页面可配置SNMP通知过滤器和要检查的对象ID(OID).
创建通知过滤器后,可以在"通知接收设备SNMPv1,2"页面和"通知接收设备SNMPv3"页面中将其绑定到通知接收设备.
使用通知过滤器,可以根据要发送的通知的OID,过滤发送到管理站点的SNMP通知的类型.
定义通知过滤器的步骤:步骤1单击SNMP>通知过滤.
"通知过滤"页面包含每个过滤的通知信息.
该表格可以通过"过滤器名称"来过滤通知条目.
步骤2单击添加.
步骤3输入参数.
SNMPSNMP通知过滤器思科300系列管理型交换机管理指南44027过滤器名称-输入名称(长度为0到30个字符).
对象ID子树-选择MIB树中包括在所选SNMP过滤器中或被排除在该过滤器之外的节点.
用于选择对象的选项如下:-从列表中选择-使用该选项可以导航MIB树.
按向上箭头可前往所选节点的父节点层或兄弟节点层;按向下箭头可进入所选节点的子节点层.
单击视图中的节点可从一个节点到达其兄弟节点.
使用滚动条可在视图中显示兄弟节点.
-如果使用对象ID,则是否将输入的对象标识符包括在视图中将取决于是否选择包含在过滤中选项.
步骤4选择或取消选择包含在过滤器中.
如果选择了此项,会将选定的MIB包含在过滤器中,否则不会包含这些MIB.
步骤5单击应用.
将定义SNMP视图,并更新当前配置文件.
思科300系列管理型交换机管理指南44128Cisco和Cisco徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
若要查看思科的商标列表,请访问此URL:www.
cisco.
com/go/trademarks.
文中提及的第三方商标为其相应所有人的财产.
使用"合作伙伴"一词并不意味着思科和任何其他公司之间存在合伙关系.
(1110R)
易探云怎么样?易探云是国内一家云计算服务商家,致力香港服务器、国内外服务器租用及托管等互联网业务,目前主要地区为运作香港BGP、香港CN2、广东、北京、深圳等地区。目前,易探云推出深圳或北京地区的适合挂机和建站的云服务器,国内挂机宝云服务器(可选深圳或北京地区),独立ip;2核2G5M挂机云服务器仅330元/年起!点击进入:易探云官方网站地址易探云国内挂机宝云服务器推荐:1、国内入门型挂机云服务器...
关于Linode,这是一家运营超过18年的VPS云主机商家,产品支持随时删除(按小时计费),可选包括美国、英国、新加坡、日本、印度、加拿大、德国等全球十多个数据中心,最低每月费用5美元($0.0075/小时)起。目前,注册Linode的新用户添加付款方式后可以获得100美元赠送,有效期为60天,让更多新朋友可以体验Linode的产品和服务。Linode的云主机产品分为几类,下面分别列出几款套餐配置...
我们很多老用户对于BuyVM商家还是相当熟悉的,也有翻看BuyVM相关的文章可以追溯到2014年的时候有介绍过,不过那时候介绍这个商家并不是很多,主要是因为这个商家很是刁钻。比如我们注册账户的信息是否完整,以及我们使用是否规范,甚至有其他各种问题导致我们是不能购买他们家机器的。以前你嚣张是很多人没有办法购买到其他商家的机器,那时候其他商家的机器不多。而如今,我们可选的商家比较多,你再也嚣张不起来。...
ciscotftp服务器为你推荐
汇通物流谁帮我查查百世汇通快递都一天多一直显示发货就是没有物流信息,2212028080端口8080是什么端口?neworientalbecoming什么么意思老虎数码86年属虎的吉祥数字和求财方向钟神发战旗TV ID:新年快乐丶未央不见是哪个主播百度关键词分析怎样对关键词进行分析和选择www.haole012.com阜阳有什么好的正规的招聘网站?www.119mm.comwww.kb119.com 这个网站你们能打开不?125xx.comwww.free.com 是官方网站吗?www.zjs.com.cn请问宅急送客服电话号码是多少?
东莞虚拟主机 提供香港vps 如何查询ip地址 新通用顶级域名 西安电信测速 l5639 建站代码 网盘申请 ibrs 百度云1t 支付宝扫码领红包 网站在线扫描 服务器是干什么用的 www789 美国凤凰城 服务器维护 买空间网 攻击服务器 免 windows2008 更多