烽火交换机速配手册.docx
- 文档编号:12787537
- 上传时间:2023-04-22
- 格式:DOCX
- 页数:40
- 大小:472.82KB
烽火交换机速配手册.docx
《烽火交换机速配手册.docx》由会员分享,可在线阅读,更多相关《烽火交换机速配手册.docx(40页珍藏版)》请在冰豆网上搜索。
烽火交换机速配手册
F-ENGINE®
S2000M
以太网交换机
快速配置手册
V1.0
第1章设备简介
S2008M-A
S2016M-A
S2024M-A
S2008MF-B
S2016MF-B
S2024MF-B
S2205A
网管类型
支持SNMP、可基于web、telnet、console进行网管
RMON组
1-统计、2-历史、3-告警、9-事件
扩展槽数
0
1
2
1
2
2
2
MAC地址
8K
8K
8K
8K
8K
8K
4K
传输方式
存储转发
VLAN
支持符合IEEE802.1Q标准的VLAN、支持基于端口的VLAN
TRUNK
支持
支持
支持
支持
支持
支持
支持
电源输入
DC-48V:
-36V~-72V
AC220V:
176V-264V
功耗
6W
9W
12W
6W
9W
12W
30W
工作温度
0~50℃
工作湿度
10%~90%
●注意事项:
1.防代理、安全mac、dot1x、用户数量限制不能同时使用。
2.使用esr、stp时要考虑到端口环回检测。
3.dtag只能用于扩展插卡,用户数量限制、dot1x等功能不能用于扩展插卡。
扩展插卡的流控默认关闭,其它接口的流控默认使能。
4.2205A扩展插槽为千兆插槽,其他交换机为百兆插槽。
●防雷措施:
1.对于S2000智能网管型交换机的电口,如果涉及到室外布线,建议采取防雷保护措施。
S2000交换机的部分端口内置防雷功能,能够有效的防止感应雷电高压对设备造成损坏。
在涉及到室外布线时,请尽量使用内置防雷功能的端口(交换机面板上有符号注释)。
2.本公司提供电源防雷器以及网口防雷器,用户可根据自己的实际需要自行选购.
第2章分项配置说明
2.1带内网管IP配置
S2000M系列交换机只允许在一个vlan上配置ip地址,这个vlan我们也称之为管理vlan。
所以,如果ip数据不是来自于管理vlan,那么也就不能与交换机进行ip通信。
设置管理vlan主要是出于安全的考虑,建议在网络规划时使用一个单独的vlan来只用于管理交换机,使用其它的vlan来进行数据接入,这样普通用户就不能访问交换机的管理界面、从而保证交换机的安全。
在烽火网络交换机上,管理vlan缺省是vlan1。
●CLI方式:
Ø进入系统配置模式
S2000M#config
S2000M(config)#system
Ø配置管理vlan的IP地址:
S2000M(config-system)#ipaddress192.168.1.100/24,或者使用命令:
S2000M(config-system)#ipaddress192.168.1.100255.255.255.0
【配置的IP地址只有在管理vlan上才能访问。
注意:
如果是通过telnet进行配置,如果更改了ip地址,那么管理员需要重新连接到新的ip地址后进行配置】
Ø配置系统的网关:
S2000M(config-system)#gateway192.168.1.254
【注意:
网关需要位于由系统ip地址与掩码所指定的子网内,否则设置不会成功】
Ø改变管理vlan:
S2000M(config-system)#managementvlan2
【本命令修改系统的管理vlan,当修改管理vlan后,以前配置的ip地址、网关就将会在新的vlan上生效】
Ø配置系统周期发送arp请求:
S2000M(config-system)#arp-requesttimer60
【本命令设置系统每60秒发送一个arp请求,如果将timer的值设置为0,则系统不会周期向外发送arp请求】
【用途:
有时候需/要使用一台交换机去替换网络上的另外一台交换机、并且新交换机的IP地址需要与被替换的相同(我们把这个ip地址使用A来代替),而把新交换机刚接入到网络上时,网络上的PC机(或者路由器)的arp表项可能仍然把地址A对应的mac地址记录为被替换交换机的mac地址,所以这些PC机(或者路由器)就不能再与地址A进行IP通信(因为新交换机的mac地址与被替换交换机的不同,因此新交换机不会接收目的mac为被替换交换机的数据)。
而如果设置了让交换机周期的发送arp请求,那么网络上的路由器与PC机就会更新自己的ARP记录,从而可以快速的与新交换机进行IP通信。
】
Ø检验所配置的IP地址:
可以用下面的命令来进行显示:
S2000M#showsystem
【可以使用本命令来显示系统配置】
systemanti-attackdisable(没有使能抵御攻击功能)
systemmacaddress00:
04:
67:
aa:
bb:
cc(交换机的mac地址)
ipaddress10.18.31.44/24(交换机的ip地址为10.18.31.44,掩码为24位长度)
gateway0.0.0.0(没有配置网关)
managementvlan1(管理vlan是vlan1)
arp-requesttimer0(没有使能周期发送arp请求功能)
注意事项:
1.配置的地址只针对管理vlan有效;
2.配置命令ipaddress192.168.1.100/24中“/24”不可遗漏,它代表所配置的ip地址的地址掩码的bit长度;
3.管理vlan(managementvlan)默认为1,只有管理vlan内的pc可以与交换机进行ip通信;当想改变managementvlan为2时,必须首先创建vlan2,然后在系统模式下配置S2000M(config-system)#managementvlan2,之后vlan内的pc就可以与交换机进行通信了;
4.建议不要修改管理vlan
附件:
《需要修改管理vlan时集群网管的配置方法》
●WEB网管方式:
(假设希望将IP地址改为10.18.31.44)
以交换机的原有IP登录后,进入系统配置中的网络配置子目录,配置新地址后点击Apply即可,下面是web配置图:
图1
注意事项:
1.在web网管下修改IP地址后,因为交换机的ip地址发生了改变,如果希望继续通过web网管进行其它配置,那么需要在http浏览器输入新的ip地址、进行登录后才可以继续配置
2.如果修改了管理vlan,那么需要保证ip数据可以通过新的管理vlan访问交换机才可以继续使用web网管。
建议上联口对于所有的vlan都是IEEE802.1qtag端口,并且上联口对应交换机(或者路由器)的接口也是IEEE802.1qtag端口,这样就算是修改了管理vlan,也不至于不能通过web网管来管理交换机。
2.2802.1Qvlan
Ø创建VLAN
S2000M(config)#interfacevlan2
S2000M(config-vlan-2)#
【该命令能够创建vlan,或者进入指定的vlan。
如果只输入一个参数,那么交换机将查看系统中是否已经存在该vlan,如果没有则创建该vlan,并进入该vlan配置节点;如果交换机已经存在该vlan,则进入该vlan配置节点。
如果输入两个参数,则创建从第一个参数至第二个参数之间的所有vlan】
Ø删除VLAN
S2000M(config)#novlan2
【本命令可以输入一个参数或者两个参数,如果输入两个参数,则可以删除从第一个参数到第二个参数之间的所有vlan】
Ø把端口加入vlan
S2000M(config-eth-1)#joinvlan1,3-20tagged
Ø在vlan中设置成员端口
S2000M(config-vlan-5)#member1-3untagged
【该命令用于在vlan配置模式下将多个端口加入这个vlan,并指明这些端口在这个vlan中是标记端口还是非标记端口。
在端口配置模式下使用joinvlan也可以把端口加入vlan中,至于使用哪个命令来把端口加入vlan可以根据配置的方便由管理员灵活使用】
Ø端口退出vlan
S2000M(config-eth-1)#quitvlan5-10
【用于将某个端口从多个vlan中退出】
Øvlan删除成员端口
S2000M(config-vlan-5)#nomember1-3
【该命令用于将多个端口从1个vlan中退出】
Ø设置端口的PVID
S2000M(config-eth-1)#pvid100
【该命令用于设置端口的PVID值,如果某个端口会收到非标记帧时一定要将该端口的PVID值设置为正确的vlan值。
】
Ø设置端口的帧接受类型
S2000MA(config-eth-1)#dot1qacceptall
【all表示该端口接受所有类型的数据帧:
vlan标记帧、优先级帧、非标记帧;参数tagged-only表示该端口只接受vlan标记帧】
Ø设置端口的入过滤
S2000MA(config-eth-1)#dot1qingress-filter(enable︱disable)
【enalbe表示使能端口入过滤,disable表示不使能端口的入过滤。
上面的命令将设置端口1的入过滤使能,当这个端口接收到自己并不属于的vlan的数据时,将把该数据丢弃】
注意事项
1.一个端口可以属于多个vlan,比如端口1可以属于vlan1,也可以属于vlan5;
2.一个端口可以在某些vlan中是标记端口,也可以在其它vlan中是非标记端口。
比如,端口1可以在vlan1至vlan5中是标记端口,也可以在vlan6至vlan10中是非标记端口;
3.如果交换机的端口用于接入用户时(即这个端口收到的数据是非标记帧),除了将这个端口加入正确的vlan外,还需要将端口的PVID更改为接入vlan的值。
比如,端口1用于接入用户,并且网络规划中把这个用户划分到vlan100中,那么除了把端口1配置到vlan100以外,还需要将端口1的PVID值也设置为100;
4.如果一个端口属于多个vlan,建议在配置时把这个端口在这些vlan中都配置为标记端口;
2.3私有VLAN
私有vlan:
可以理解为“端口隔离组”,凡在同一个隔离组内的接口都是不允许互相通信的。
私有vlan的目的主要是隔离交换机上的用户接入端口,以防止用户因为可以互相通信导致互相影响、或者使用代理软件进行上网等。
之所以将该功能命名为“私有vlan”是因为目前已经有很多公司用该名词来命名该功能,为了符合用户的使用习惯,因此烽火网络也将该功能命名为“私有vlan”,但是需要注意的是“私有vlan”跟IEEE802.1Q里提到的vlan其实没有任何关联,并且在意义上恰恰相反:
IEEE802.1Q中的接口是可以互相访问的,“私有vlan”中的接口是不能互相访问的,而且“私有vlan”的作用优先于IEEE802.1QVlan,即,即使几个端口属于同一个IEEE802.1QVlan,如果它们同时也属于某个“私有vlan”,那么它们之间是不能互相通信的。
●CLI方式
S2000M(config)#pvlan1
【上面的命令创建私有vlan1】
S2000M(config-pvlan-1)#isolate-ports2-6
【该命令将交换机上的2-6号接口互相隔离起来,2-6号接口之间不能进行数据转发】
S2000M(config)#nopvlan1
【该命令删除pvlan1,私有vlan1中的接口可以互相访问】
私有vlan的显示:
S2000M#showpvlan
PVlan1isolate-ports2-5
【该命令显示系统中存在的私有vlan】
●WEB方式
使用web浏览器登录交换机的web网管界面,进入vlan配置节点后在点击“基于端口配置vlan”子节点,在配置页面中输入想创建的pvlan以及希望隔离的端口,提交即可,是一个页面实例:
图2
图2的web页面创建了pvlan1,其中2-5号接口是互相隔离的;pvlan2中10-15号接口是互相隔离的。
注意事项:
1.Pvlan内的接口是互相隔离的,与pvlan外的接口无关;
即假设pvlan1内有接口2-5,那么2-5号接口都是是可以与1号接口通信的;
2.Pvlan之间是没有影响的
假设交换机上有pvlan1,隔离2-5号接口;有pvlan2,隔离10-15号接口;那么pvlan1中的接口都是可以与pvlan2中的接口通信;
3.全隔离的实现
假设交换机有一个上联口,其余的接口都是接入的用户,如果希望用户之间不能互相通信,那么可以将除了上联口之外的接口都加入到1个pvlan中。
比如创建pvlan1,把2-26号接口都加入到pvlan1,那么2-26号接口都可以与1号接口通信,但是2-26号接口不能互相通信;
4.一个接口不能位于2个pvlan中
5.S2000MFB交换机支持20条PVLAN,S2000MA交换机做隔离时,pvlan不能跨越端口组。
2.4集群网管
●说明
集群是由一组交换机组成的一个集合,集群管理提供了一种自动收集设备拓扑的方法,并提供了集中、统一的维护管理通道。
对外使用一个IP地址和一个管理接口,并提供了对集群每个成员的管理和访问能力。
一个集群中的交换机存在三种角色,包括命令交换机、成员交换机和候选交换机。
一个集群中有且仅有一台命令交换机,命令交换机可以自动收集设备拓扑,并建立集群,集群建立后,命令交换机提供了一个对集群的管理通道,对成员交换机进行管理。
集群管理协议的主要功能:
1)邻居发现功能
邻居发现功能主要完成发现设备直连的邻居交换机信息。
所谓直连邻居交换机是指与本地设备存在直接相连链路的交换机(非直连的邻居交换机指通过其它交换机设备与本地设备相连的交换机)。
当交换机的接口Enable或UP后,立即从该接口发送3个拓扑发现报文,设备正常运行时,定时向所有激活端口发送拓扑发现报文。
设备在发送拓扑发现报文的同时从所有端口接收拓扑发现报文,并从中提取设备信息,对新发现的信息进行更新存储。
2)拓扑收集功能
拓扑收集功能主要完成命令交换机收集集群的拓扑信息。
命令交换机采用组播地址,定时向所有的候选(成员)交换机发送拓扑请求报文。
接收到拓扑请求报文的设备立即发送拓扑响应报文,其中包含了本设备和其相邻设备的信息。
该设备将拓扑请求报文中的TTL(表示报文收集的范围,单位为跳数)减1,并转发到相应端口,这些端口必须是有邻居设备相连,并在运行STP(生成树协议)的情况下没有阻塞。
相邻的设备收到这些报文后,进行类似的操作,直至拓扑请求报文的TTL为0停止转发。
从而命令交换机能够了解到所有候选(成员)交换机的直连邻居,新发现的邻居将被设置为集群的候选交换机。
3)集群建立和维护功能
候选交换机加入集群的方式可分为命令交换机自动请求加入和手动加入两种。
自动请求加入方式中命令交换机逐一检查候选交换机是否符合条件,如果符合便发送请求加入报文,否则检查下一个候选交换机。
手动方式中命令交换机只对指定的且符合条件的候选交换机发出加入请求。
命令交换机为每个成员交换机都设置了本地握手超时和对端握手超时定时器,成员交换机上也设置了本地握手超时和对端握手超时定时器。
当候选交换机加入集群成为成员交换机后,其状态也相应的变为Active,同时命令交换机将启动与各成员的握手定时器。
此后命令交换机和成员交换机都会定时发送握手报文。
两者在收到对方的握手报文时,都将重新启动对端握手超时定时器,并重新计算超时次数。
如果命令交换机上某个成员交换机的对端握手定时器连续超时三次,即连续三次未收到某成员交换机的握手报文,便会将该成员交换机迁移到Connect状态,并设置为候选交换机。
由于此时命令交换机与该成员的通信可能只是出现了短暂的故障,因此该状态下的候选交换机与一般的候选交换机不同,命令交换机只需要收到一个该候选交换机发送的握手报文,便可以立即将其设置为成员交换机,而不需要请求加入过程的处理。
命令交换机如果在此状态保持时间内未收到该候选交换机的握手报文,则迁移该交换机到Ready状态。
如果某成员交换机连续三次未收到命令交换机的握手报文,便将自身的状态迁移到Connect,且仍然向命令交换机发送握手报文,若在状态保持时间内收到命令交换机的握手,则状态迁移回Active。
集群管理的缺省配置:
1)集群管理系统的缺省配置
初始状态的交换机角色为候选交换机;
管理VLAN缺省为VLAN1;
2)各交换机接口的缺省配置
初始状态下从接口发出的数据报属于VLAN1,且不会携带IEEE802.1QVLAN标记;
接口缺省的PVID为1,即如果收到的数据报不携带IEEE802.1QVLAN标记,则交换机认为该报文在VLAN1上传送;
接口发送邻居发现报文的缺省时间为30秒;
接口老化直连邻居的缺省时间为90秒;
接口缺省在VLAN1上使能集群管理协议。
成员加入/退出集群的配置
只有命令交换机能将候选交换机加入集群成为成员交换机,所以首先需要配置命令交换机。
下面均以S2008M为例,说明在命令行和WEB网管中配置情况。
●CLI配置:
S2000M(config)#sgm
S2000MA(config-sgm)#sgmrolecommander
指定命令交换机已经发现的候选交换机(如系统号为1的候选交换机)加入集群:
S2000M(config-sgm)#memberadd1
如果欲使所有的候选交换机自动加入集群,则
S2000M(config-sgm)#memberaddauto
如果需要将成员交换机(如系统号为1的成员交换机)从集群中退出,成为候选交换机:
S2000M(config-sgm)#memberremove1
●WEB配置:
首先使用IP地址登录某台交换机的WEB网管页面,在集群管理配置页面中选择系统号为0,并设置其角色为“commander”;
待该页面系统号的下拉列表中出现各候选交换机的系统号时,选择其中一个系统号(如系统号1),并将角色设为“member”,便能够将对应该系统号的候选交换机设置为成员交换机;
如果欲使所有的候选交换机自动加入集群,则在集群管理配置页面中选择系统号为0,设置成员加入策略为“automatic”。
如果需要将成员交换机(如系统号为1的成员交换机)从集群中退出,成为候选交换机,操作如下:
选择系统号1,并将角色设为“candidate”。
2.5端口限速&对DLF.MC.BC的限制
●命令说明
Ø设置交换机端口的传输速率控制
Fengine(config-eth-4)#rate-limitrx<0-100000>
Fengine(config-eth-4)#rate-limittx<0-100000>
【该命令用于对交换机端口的传输速率的控制,rx接收数据的控制,tx发送数据的控制某些场合可能需要对端口的速率来进行控制,以便针对不同的用户提供不同带宽,不同的交换机可以配置的速率值可能不同.
<0-100000>:
速率范围(单位:
kbps)0表示没有限制】
Ø设置交换机各端口的数据包的速率限制
Fengine(config-eth-1)#packet-limitbroadcast0-100000>
Fengine(config-eth-1)#packet-limitdlf<0-100000>
Fengine(config-eth-1)#packet-limitmulticast<0-100000>
Fengine(config-eth-1)#packet-limitb-m<0-100000>
Fengine(config-eth-1)#packet-limitb-m-dlf<0-100000>
【该命令用于配置交换机各端口各数据包的速率限制,broadcast为广播包的速率控制,dlf为目的查找失败数据包速率控制,multicast为组播包的速率控制,b-m为广播+组播的速率控制,b-m-dlf为广播+组播+DLF的速率控制.<0-100000>:
速率限制的范围,单位是kbps,取值只能是以下数值之一:
128/256/512/1000/2000/4000/8000/16000/32000/64000参数的含义在不同的交换机上可能意义不一样,在配置前可以查看交换机的实时提示,以避免配置出错】
注意:
在不同设备中,并非各限制值能保持完全一致,例如S2000MA系列交换机不支持单独限制DLF,Multicost.
2.6DTAG
●DTAG概述
S2000M上的DTAG(双标记)功能就是指数据帧中携带两个vlan标记,也就是通常所说的Q-IN-Q功能,数据帧中的第一个vlan标记我们称为外层vlan标记、第二个vlan标记我们称为内层vlan标记。
●命令说明
Ø配置dtag端口收到数据进行转发时以哪个vlan标记进行
S2000M(config)#dtagforward-tag(first|second)
【参数first表示交换机在使能了双标记的端口上接收到数据时,以外层vlan标记进行数据转发;参数second表示交换机在使能了双标记功能的端口上接收到数据时,以内层vlan标记进行转发转发。
】
Ø设置dtag外层标记的TPID
S2000M(config)#dtagprotocol<1-65535>
【参数是一个十进制表示的数值,当使能了双标记的端口有数据发送出去时、外层vlan标记使用的TPID值将使用该命令设置的数值。
缺省双标记使用的TPID是0X8100、即十进制的33024。
上面的命令执行后使能双标记功能的端口发送出去的数据的外层vlan标记的TPID值将为16进制的0X8101】
Ø设置dtag在端口上使能或者失效
S2000M(config-eth-1)#dtag(enable︱disable)
【该命令执行后将会导致1号端口使能双标记功能】
注意:
当一个端口使能双标记功能后,从这个端口发送出去的数据将添加一个vlan标记,该标记中的vlanid为该数据的入端口的PVID,即如果端口1使能双标记、2号端口接收到的数据要从端口1转发出去时,如果2号端口的PVID是3,那么从端口1发送出去的数据的外层vlan标记中的vlan字段将为3;如果3号端口也有数据从端口1转发出去,而且3号端口的PVID是5,那么这个数据从1号端口发送出去时外层vlan标记中的vlan字段数值将是5。
使能dtag功能后,接入端口建议在所有的vlan中都是标记端口,即不直接连接最终用户、而是连接以太网交换机,并且接入端口对端的交换机发送给S2000MA交换机的数据都需要是vlan标记数据。
Ø是否失效端口的dot1q功能
S2000M(config-eth-1)#dtagdot1q(enable︱disable)
【本命令用于设置某个端口是否失效IEEE802.1Q中对于接收到vlan标记数据时的处理流程。
上面的命令执行后,1号端口接收到数据时将以该端口的PVID进行数据转发】
注意:
不要在使能了DTAG功能的端口上失效dot1q功能。
当使用的设备是S2016M-A或者S2024M-A时,一定要在接入端口上(即没有使能
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 烽火 交换机 手册