PDF文库 - 千万精品文档,你想要的都能搜到,下载即用。

4-路由交换机用户手册(基本配置分册).pdf

Manヾ止于心212 页 5.909 MB下载文档
4-路由交换机用户手册(基本配置分册).pdf4-路由交换机用户手册(基本配置分册).pdf4-路由交换机用户手册(基本配置分册).pdf4-路由交换机用户手册(基本配置分册).pdf4-路由交换机用户手册(基本配置分册).pdf4-路由交换机用户手册(基本配置分册).pdf
当前文档共212页 2.88
下载后继续阅读

4-路由交换机用户手册(基本配置分册).pdf

ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 产品版本:2.8.23.B2 中兴通讯股份有限公司 地址:深圳市科技南路55号 邮编:518057 电话:+86-755-26770800 800-830-1118 传真:+86-755-26770801 技术支持网站:http://support.zte.com.cn 电子邮件:800@zte.com.cn 法律声明 本资料著作权属中兴通讯股份有限公司所有。未经著作权人书面许可,任何单位或个人不得以任何方 式摘录、复制或翻译。 侵权必究。 和 是中兴通讯股份有限公司的注册商标。中兴通讯产品的名称和标志是中兴通讯的专有标志 或注册商标。在本手册中提及的其他产品或公司的名称可能是其各自所有者的商标或商名。在未经中 兴通讯或第三方商标或商名所有者事先书面同意的情况下,本手册不以任何方式授予阅读者任何使用 本手册上出现的任何标记的许可或权利。 本产品符合关于环境保护和人身安全方面的设计要求,产品的存放、使用和弃置应遵照产品手册、相 关合同或相关国法律、法规的要求进行。 如果本产品进行改进或技术变更,恕不另行专门通知。 当出现产品改进或者技术变更时,您可以通过中兴通讯技术支持网站http://support.zte.com.cn查询有关 信息。 修订历史 文档版本 发布日期 更新原因 R1.0 2010-02-10 手册第一次发布 资料编号:SJ-20100901084759-002 发布日期:2011-02-10(R1.0) 目录 1 安 全 说 明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1 1.1 安全说明 ............................................................................................................1-1 1.2 符号说明 ............................................................................................................1-1 2 使 用 和 操 作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-1 2.1 配置方式 ............................................................................................................2-1 2.1.1 Console口连接配置 ....................................................................................2-2 2.1.2 Telnet连接配置 .........................................................................................2-4 2.1.3 SSH连接配置 ............................................................................................2-6 2.1.4 SNMP连接配置 .........................................................................................2-8 2.2 命令模式 ............................................................................................................2-9 2.3 命令行使用....................................................................................................... 2-10 2.3.1 在线帮助 ................................................................................................ 2-10 2.3.2 命令缩写 ................................................................................................ 2-12 2.3.3 命令历史 ................................................................................................ 2-12 3 系 统 管 理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-1 3.1 文件系统管理 .....................................................................................................3-1 3.1.1 文件系统介绍 ...........................................................................................3-1 3.1.2 文件系统操作 ...........................................................................................3-2 3.2 FTP/TFTP配置 ...................................................................................................3-3 3.2.1 交换机作为FTP客户端 ..............................................................................3-4 3.2.2 交换机作为TFTP客户端 ............................................................................3-5 3.3 文件备份与恢复..................................................................................................3-6 3.3.1 备份配置文件 ...........................................................................................3-6 3.3.2 恢复配置文件 ...........................................................................................3-6 3.3.3 备份系统软件版本 ....................................................................................3-7 3.3.4 恢复系统软件版本 ....................................................................................3-7 3.4 软件版本升级 .....................................................................................................3-7 I 3.4.1 系统异常时的版本升级..............................................................................3-7 3.4.2 系统正常时的版本升级............................................................................ 3-10 3.5 系统参数设置 ................................................................................................... 3-11 3.5.1 设置系统主机名 ...................................................................................... 3-11 3.5.2 设置系统启动时的问候语 ........................................................................ 3-11 3.5.3 设置特权模式密码 .................................................................................. 3-11 3.5.4 设置Telnet用户和密码 ............................................................................. 3-11 3.5.5 设置系统时间 ......................................................................................... 3-11 3.5.6 设置系统Console口用户连接参数 ............................................................. 3-12 3.5.7 设置系统telnet口用户连接参数................................................................. 3-12 3.5.8 允许多个用户对系统同时进行配置操作 ................................................... 3-12 3.6 系统信息查看 ................................................................................................... 3-12 3.6.1 显示系统软硬件版本信息 ........................................................................ 3-12 3.6.2 显示当前运行的配置信息 ........................................................................ 3-13 3.6.3 一键收集系统信息 .................................................................................. 3-13 3.6.4 一键收集系统故障诊断信息..................................................................... 3-14 3.6.5 系统异常显示以及记录............................................................................ 3-14 3.7 内存检测 .......................................................................................................... 3-14 3.7.1 功能概述 ................................................................................................ 3-14 3.7.2 命令说明 ................................................................................................ 3-14 3.7.3 内存检测配置实例 .................................................................................. 3-16 3.8 系统批量配置 ................................................................................................... 3-17 3.8.1 使用配置文件一键配置系统..................................................................... 3-17 3.9 设备断电告警 ................................................................................................... 3-19 4 端 口 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-1 4.1 端口基本配置 .....................................................................................................4-1 4.1.1 关闭/打开以太网端口 ...............................................................................4-2 4.1.2 使能/关闭以太网端口自动协商..................................................................4-2 4.1.3 以太网端口自动协商能力通告 ...................................................................4-3 4.1.4 设置以太网端口双工模式 ..........................................................................4-3 4.1.5 设置以太网端口速率 .................................................................................4-3 4.1.6 设置以太网端口流量控制 ..........................................................................4-3 II 4.1.7 允许/禁止巨帧通过以太网端口..................................................................4-4 4.1.8 设置端口别名 ...........................................................................................4-4 4.1.9 设置以太网端口广播风暴抑制 ...................................................................4-4 4.1.10 设置以太网端口组播包抑制 .....................................................................4-5 4.1.11 设置以太网端口未知包抑制 .....................................................................4-5 4.1.12 设置以太网端口的链路状态监控方式 .......................................................4-5 4.1.13 显示端口信息 ..........................................................................................4-5 4.1.14 线路诊断分析测试 ...................................................................................4-7 4.2 端口镜像配置 .....................................................................................................4-8 4.2.1 端口镜像概述 ...........................................................................................4-8 4.2.2 配置端口镜像 ...........................................................................................4-8 4.2.3 端口镜像配置实例 ....................................................................................4-8 4.3 端口环回检测配置 ............................................................................................ 4-11 4.3.1 端口环回检测概述 .................................................................................. 4-11 4.3.2 配置端口环回检测 .................................................................................. 4-11 4.3.3 配置端口环回检测实例............................................................................ 4-12 4.4 端口光模块的DOM功能 .................................................................................... 4-13 4.4.1 DOM功能概述 ........................................................................................ 4-13 4.4.2 配置DOM............................................................................................... 4-13 5 网 络 协 议 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-1 5.1 IP地址配置 .........................................................................................................5-1 5.1.1 IP地址概述 ...............................................................................................5-1 5.1.2 配置IP地址 ...............................................................................................5-2 5.1.3 IP地址配置实例 ........................................................................................5-2 5.2 ARP配置 ............................................................................................................5-3 5.2.1 ARP概述 ..................................................................................................5-3 5.2.2 配置ARP ..................................................................................................5-3 5.2.3 ARP配置实例 ...........................................................................................5-4 ACL配 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-1 6 ACL 6.1 ACL概述 ............................................................................................................6-1 6.2 配置ACL ............................................................................................................6-2 6.2.1 配置时间段 ...............................................................................................6-3 III 6.2.2 定义ACL ..................................................................................................6-3 6.2.3 将ACL应用到VLAN虚端口 ........................................................................6-7 6.2.4 将ACL应用到入端口方向 ..........................................................................6-7 6.2.5 将ACL应用到物理端口 ..............................................................................6-8 6.2.6 ACL支持重命名 ........................................................................................6-8 6.3 入端口方向ACL配置实例 ....................................................................................6-9 6.4 ACL的维护与诊断 ............................................................................................ 6-11 QoS配 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-1 7 QoS 7.1 QoS概述.............................................................................................................7-1 7.1.1 流分类......................................................................................................7-2 7.1.2 流量监管 ..................................................................................................7-2 7.1.3 流量整形 ..................................................................................................7-3 7.1.4 添加/删除/修改vlan-id..............................................................................7-3 7.1.5 队列调度及缺省802.1p优先级 ....................................................................7-4 7.1.6 重定向及策略路由 ....................................................................................7-4 7.1.7 优先级标记 ...............................................................................................7-4 7.1.8 流镜像......................................................................................................7-5 7.1.9 流量统计 ..................................................................................................7-5 7.2 配置QoS.............................................................................................................7-5 7.2.1 配置流量监管 ...........................................................................................7-5 7.2.2 配置添加/删除/修改vlan-id .......................................................................7-6 7.2.3 配置流量限速 ...........................................................................................7-7 7.2.4 配置流量带宽限制 ....................................................................................7-7 7.2.5 配置队列调度及端口缺省802.1p优先级.......................................................7-8 7.2.6 配置重定向及策略路由..............................................................................7-8 7.2.7 配置优先级标记 ........................................................................................7-9 7.2.8 配置外层VLAN值......................................................................................7-9 7.2.9 配置流镜像 ............................................................................................. 7-10 7.2.10 配置尾丢弃 ........................................................................................... 7-10 7.2.11 配置流量统计 ........................................................................................ 7-11 7.3 QoS配置实例 .................................................................................................... 7-11 7.3.1 QoS典型配置实例 ................................................................................... 7-11 IV 7.3.2 策略路由配置实例 .................................................................................. 7-13 7.4 QoS的维护与诊断 ............................................................................................. 7-14 DHCP配 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-1 8 DHCP 8.1 DHCP概述 .........................................................................................................8-1 8.2 配置DHCP .........................................................................................................8-2 8.2.1 配置IP地址池............................................................................................8-2 8.2.2 配置DHCP地址池 .....................................................................................8-3 8.2.3 配置DHCP策略.........................................................................................8-5 8.2.4 配置DHCP服务器 .....................................................................................8-6 8.2.5 配置DHCP SNOOPING.............................................................................8-8 8.2.6 配置DHCP中继....................................................................................... 8-10 8.2.7 配置DHCP Client .................................................................................... 8-14 8.3 DHCP配置实例 ................................................................................................ 8-14 8.3.1 DHCP服务器配置实例 ............................................................................ 8-14 8.3.2 DHCP中继配置实例 ................................................................................ 8-16 8.3.3 DHCP snooping防虚假DHCP服务器配置实例 ........................................... 8-17 8.3.4 DHCP snooping防静态IP设置配置实例 ..................................................... 8-17 8.4 DHCP的维护与诊断 ......................................................................................... 8-18 9 VRRP VRRP配 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-1 9.1 VRRP概述 .........................................................................................................9-1 9.2 配置VRRP .........................................................................................................9-1 9.3 VRRP配置实例 ..................................................................................................9-3 9.3.1 基本VRRP配置.........................................................................................9-3 9.3.2 对称VRRP配置.........................................................................................9-3 9.4 VRRP的维护与诊断 ...........................................................................................9-4 10-1 10 网 络 管 理 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 10.1 NTP配置 ........................................................................................................ 10-1 10.1.1 NTP概述............................................................................................... 10-1 10.1.2 配置NTP............................................................................................... 10-1 10.1.3 NTP配置实例........................................................................................ 10-2 10.2 RADIUS配置 .................................................................................................. 10-3 10.2.1 RADIUS概述......................................................................................... 10-3 V 10.2.2 配置RADIUS......................................................................................... 10-3 10.2.3 RADIUS配置实例.................................................................................. 10-4 10.3 SNMP配置 ...................................................................................................... 10-5 10.3.1 SNMP概述 ............................................................................................ 10-5 10.3.2 配置SNMP ............................................................................................ 10-5 10.3.3 SNMP配置实例 ..................................................................................... 10-8 10.4 RMON配置 .................................................................................................... 10-8 10.4.1 RMON概述 .......................................................................................... 10-8 10.4.2 配置RMON .......................................................................................... 10-8 10.4.3 RMON配置实例 ................................................................................... 10-9 10.5 SysLog配置 .................................................................................................... 10-11 10.5.1 SysLog概述 .......................................................................................... 10-11 10.5.2 配置SysLog .......................................................................................... 10-11 10.5.3 SysLog配置实例 ................................................................................... 10-13 10.6 TACACS+配置.............................................................................................. 10-13 10.6.1 TACACS+概述 .................................................................................... 10-13 10.6.2 配置TACACS+ .................................................................................... 10-13 10.6.3 TACACS+配置实例 ............................................................................ 10-16 11-1 DOT1X配 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 11 DOT1X 11.1 DOT1X概述 ................................................................................................... 11-1 11.2 配置DOT1X ................................................................................................... 11-2 11.2.1 配置AAA............................................................................................... 11-2 11.2.2 配置DOT1X参数 ................................................................................... 11-4 11.2.3 配置本地认证用户 ................................................................................. 11-4 11.2.4 管理DOT1X认证接入用户 ..................................................................... 11-5 11.2.5 配置802.1x VLAN跳转 ........................................................................... 11-6 11.3 DOT1X配置实例............................................................................................. 11-6 11.3.1 DOT1X Radius认证应用......................................................................... 11-6 11.3.2 DOT1X中继认证应用 ............................................................................ 11-7 11.3.3 DOT1X本地认证应用 ............................................................................ 11-9 11.3.4 DOT1X多域功能 ................................................................................. 11-10 11.3.5 DOT1X本地认证时的VLAN跳转功能 ................................................... 11-10 VI 11.4 DOT1X的维护与诊断.................................................................................... 11-10 12-1 12 集 群 管 理 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 12.1 集群管理概述 ................................................................................................. 12-1 12.2 配置集群管理 ................................................................................................. 12-3 12.2.1 配置ZDP邻居发现协议 .......................................................................... 12-3 12.2.2 配置ZTP拓扑收集协议 .......................................................................... 12-3 12.2.3 建立集群............................................................................................... 12-4 12.2.4 维护集群............................................................................................... 12-5 12.3 集群管理配置实例........................................................................................... 12-6 12.4 集群管理的维护与诊断.................................................................................... 12-6 IPTV配 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 13-1 13 IPTV 13.1 IPTV概述........................................................................................................ 13-1 13.2 配置IPTV........................................................................................................ 13-1 13.2.1 配置IPTV全局参数 ................................................................................ 13-1 13.2.2 配置IPTV频道 ....................................................................................... 13-2 13.2.3 配置频道访问控制CAC.......................................................................... 13-2 13.2.4 管理IPTV用户 ....................................................................................... 13-3 13.3 IPTV配置实例................................................................................................. 13-4 13.4 IPTV的维护和诊断 .......................................................................................... 13-5 VBAS配 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 14-1 14 VBAS 14.1 VBAS概述 ....................................................................................................... 14-1 14.2 配置VBAS....................................................................................................... 14-1 14.2.1 启用/关闭VBAS..................................................................................... 14-1 14.2.2 启用VLAN VBAS ................................................................................... 14-1 14.2.3 配置VBAS信任端口 ............................................................................... 14-2 14.2.4 设置VBAS端口为用户端口或网络端口 .................................................... 14-2 14.3 VBAS配置实例 ................................................................................................ 14-2 14.4 VBAS的维护与诊断 ......................................................................................... 14-2 ZESR/ZESR+配 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 15-1 15 ZESR/ZESR+ 15.1 ZESR/ZESR+概述 .......................................................................................... 15-1 15.2 配置ZESR/ZESR+ .......................................................................................... 15-1 VII 15.2.1 配置ZESR域保护实例............................................................................ 15-1 15.2.2 配置主环ZESR/ZESR+.......................................................................... 15-2 15.2.3 配置接入环ZESR................................................................................... 15-3 15.2.4 配置ZESR的重启时间............................................................................ 15-4 15.3 ZESR/ZESR+配置实例 ................................................................................... 15-5 15.3.1 ZESR配置实例 ...................................................................................... 15-5 15.3.2 ZESR与ZESR+混合配置实例 ................................................................. 15-9 MVCE配 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 16-1 16 MVCE 16.1 MVCE概述 ..................................................................................................... 16-1 16.1.1 MVCE基础............................................................................................ 16-1 16.1.2 MVCE技术特点 ..................................................................................... 16-2 16.1.3 MVCE关键技术 ..................................................................................... 16-2 16.2 MVCE基本配置 .............................................................................................. 16-2 16.3 MVCE配置实例 .............................................................................................. 16-5 16.4 MVCE的维护与诊断...................................................................................... 16-15 17-1 17 安 全 性 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 17.1 IP Source Guard................................................................................................ 17-1 17.1.1 IP Source Guard概述 ............................................................................... 17-1 17.1.2 配置IP Source Guard ............................................................................... 17-1 17.1.3 IP Source Guard配置实例 ........................................................................ 17-1 17.2 控制平面安全配置........................................................................................... 17-3 17.2.1 控制平面安全概述 ................................................................................. 17-3 17.2.2 控制平面安全命令配置 .......................................................................... 17-4 17.2.3 控制平面安全配置实例 .......................................................................... 17-5 17.2.4 控制平面安全的维护与诊断 ................................................................... 17-5 17.3 DAI配置 ......................................................................................................... 17-6 17.3.1 DAI概述 ............................................................................................... 17-6 17.3.2 配置DAI ............................................................................................... 17-7 17.3.3 DAI的维护与诊断.................................................................................. 17-7 17.3.4 DAI配置实例......................................................................................... 17-7 17.4 MFF配置......................................................................................................... 17-8 17.4.1 MFF概述 ............................................................................................... 17-8 VIII 17.4.2 配置MFF............................................................................................... 17-9 17.4.3 MFF配置实例 ...................................................................................... 17-10 17.4.4 MFF的维护和诊断 ............................................................................... 17-11 M_button功 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 18-1 18 M_button 18.1 M_button功能介绍........................................................................................... 18-1 18.2 M_button功能模式切换 .................................................................................... 18-2 图目录 .................................................................................................... I 表 目 录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III 缩略语表 ............................................................................................... V IX X 前言 手册说明 本手册为《ZXR10 3900E系列(V2.8.23.B2)易维路由交换机用户手册基本配置分册》, 适用于ZXR10 3900E系列(V2.8.23.B2)易维路由交换机(简称ZXR10 3900E,在通用部 分也简称为交换机)包括: l ZXR10 3928E易维路由交换机 l ZXR10 3928E-FI易维路由交换机 l ZXR10 3952E易维路由交换机 ZXR10 3900E的配套手册有: l ZXR10 3900E系列(V2.8.23.B2)易维路由交换机硬件手册 l ZXR10 3900E系列(V2.8.23.B2)易维路由交换机用户手册基本配置分册 l ZXR10 3900E系列(V2.8.23.B2)易维路由交换机用户手册以太网交换分册 l ZXR10 3900E系列(V2.8.23.B2)易维路由交换机用户手册IPv4路由分册 l ZXR10 3900E系列(V2.8.23.B2)易维路由交换机用户手册IPv6分册 ZXR10 3900E系列(V2.8.23.B2)易维路由交换机支持的命令是基于统一平台ZXROS V4.8.23版本。 内容介绍 ZXR10 3900E系列(V2.8.23.B2)易维路由交换机用户手册基本配置分册的章节及其概要 如下所示: 章名 概要 第1章 安全说明 介绍安全说明和符号说明 第2章 使用和操作 介绍了配置方式、命令模式以及命令行的使用 第3章 系统管理 介绍了系统管理,描述了交换机的文件系统及其操作,详细说明 了软件版本升级的步骤 第4章 端口配置 介绍ZXR10 3900E上端口的配置 第5章 网络协议配置 介绍ZXR10 3900E上IP地址和ARP配置 第6章 ACL配置 介绍ACL概念,配置命令和配置实例 第7章 QOS配置 介绍QOS概念,配置命令和配置实例 第8章 DHCP配置 介绍DHCP概念,配置命令和配置实例 I 章名 概要 第9章 VRRP配置 介绍VRRP概念,配置命令和配置实例 第10章 网络管理配置 介绍NTP、RADIUS、SNMP、RMON和SysLog的配置 第11章 DOT1X配置 介绍DOT1X概念,配置命令和配置实例 第12章 集群管理配置 介绍集群管理概念,配置命令和配置实例 第13章 IPTV配置 介绍IPTV概念,配置命令和配置实例 第14章 VBAS配置 介绍VBAS概念,配置命令和配置实例 第15章 ZESR配置 介绍ZESR概念,配置命令和配置实例 第16章 MVCE配置 介绍MVCE概念,配置命令和配置实例 第17章 安全性配置 介绍安全性配置的配置命令和配置实例 第18章 M_Button功能 介绍M_Button功能和模式切换的方法 II 1 安全说明 本章包含如下主题: Ÿ 安全说明 1-1 Ÿ 符号说明 1-1 1.1 安全说明 本设备中存在高温和高压,只有经过培训合格的专业人员才能进行安装、操作和维护。 在设备安装、操作和维护中,必须遵守所在地的安全规范和相关操作规程,否则可能会 导致人身伤害或设备损坏。手册中提到的安全注意事项只作为当地安全规范的补充。 设备中的debug命令会严重影响设备性能,请慎重使用。特别是debug all命令,会把所 有debug进程全打开,在带业务的设备上不应该使用。建议在用户网络正常的情况下, 不要使用debug命令。 中兴通讯不承担任何因违反通用安全操作要求或违反设计、生产和使用设备安全标准而 造成的责任。 1.2 符号说明 对设备进行安装、操作和维护时需要注意的一些内容,采用如下格式进行说明。 警告! 表示若忽视安全告诫,就有可能发生重大或严重伤害事故,或损坏设备。 注意! 表示若忽视安全告诫,就有可能发生伤害事故,或损坏设备。 SJ-20100901084759-002 | 2011-02-10(R1.0) 1-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 说明: 除安全说明以外的需要特别注意的内容。 1-2 SJ-20100901084759-002 | 2011-02-10(R1.0) 2 使用和操作 本章包含如下主题: Ÿ 配置方式 2-1 Ÿ 命令模式 2-9 Ÿ 命令行使用 2-10 2.1 配置方式 ZXR10 3900E提供了多种配置方式,如图2-1所示,用户可以根据所连接的网络选用适当 的配置方式。 1. 串口连接配置 2. TELNET连接配置 3. SSH连接配置 4. SNMP连接配置 图2-1 ZXR10 3900E配置方式 SJ-20100901084759-002 | 2011-02-10(R1.0) 2-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 2.1.1 Console口连接配置 Console口连接配置是ZXR10 3900E的主要配置方式。Console口连接配置采用VT100终端 方式,下面以Window操作系统提供的超级终端工具配置为例进行说明。 1. 开始 → 程 序 → 附 件 → 通 讯 → 将PC机与ZXR10 3900E进行正确连线之后,点击系统的[开 超 级 终 端 ],进行超级终端连接,如图2-2所示。 图2-2 超级终端连接 2. 在出现图2-3时,按要求输入有关的位置信息:国家/地区代码、地区电话号码编号 和用来拨外线的电话号码。 图2-3 位置信息 2-2 SJ-20100901084759-002 | 2011-02-10(R1.0) 2 使用和操作 3. 连接 说 明 对话框时,为新建的连接输入名称并为该连接选择图标。如图2-4所 弹出连 示。 图2-4 新建连接 4. 根据配置线所连接的串行口,选择连接串行口为COM1或者COM2。如图2-5所示。 图2-5 连接配置资料 5. 设置所选串行口的端口属性。端口属性的设置主要包括以下内容:波特率“9600”, 数据位“8”,奇偶校验“无”,停止位“1”,数据流控制“无”,如图2-6所示。 SJ-20100901084759-002 | 2011-02-10(R1.0) 2-3 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 图2-6 端口属性配置设置 确定按钮完成设置。加电启动ZXR10 3900E, 检查前面设定的各项参数正确无误后,点击确 等待系统启动完毕后,进入配置模式进行操作。 2.1.2 Telnet连接配置 可以在本地或远程通过Telnet连接对ZXR10 3900E进行配置。Telnet配置是对ZXR10 3900E 进行远程配置的主要方式。 为了防止非法用户使用Telnet访问交换机,必须在交换机上设置Telnet访问的用户名和密 码,只有使用正确的用户名和密码才能登录到交换机。使用以下命令配置用户名和密码。 username < username>password< password> 为了增强交换机的安全性,交换机可以限制某些IP地址用户telnet登录。使用以下命令配 置允许或者拒绝telnet的IP地址。 line telnet access-class < basic access list> 通过VLAN接口进行Telnet连接,存在以下两种情况: 1. 2-4 通过主机直接连接并Telnet到交换机 a. 通过Console口配置VLAN和VLAN接口的IP地址。 b. 通过Console口配置Telnet登录的用户名和密码。 SJ-20100901084759-002 | 2011-02-10(R1.0) 2 使用和操作 c. 将主机网口连接到交换机的以太网端口。 d. 设置主机的IP地址,必须与VLAN接口的IP地址在同一网段,使主机能够ping通 交换机上VLAN接口的IP地址。 e. 在主机上运行telnet命令,输入VLAN接口的IP地址,登录到交换机。 如图2-7所 示。 图2-7 运行telnet f. 确定 按钮,显示如图2-8所示的窗口。 点击确 图2-8 Telnet登录示意图 g. 根据提示输入正确的用户名和密码,即可进入交换机的配置状态。 SJ-20100901084759-002 | 2011-02-10(R1.0) 2-5 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 说明: a. ZXR10 3900E最多允许16个Telnet用户同时登录。 b. 通过VLAN接口连接到交换机进行Telnet配置时,不能修改或删除接口的IP地址, 或修改连接链路所在交换机端口的属性,否则会导致Telnet连接断开。 2. 通过其他设备(如交换机、路由器)Telnet到交换机 a. 通过Console口配置VLAN和VLAN接口的IP地址。 b. 通过Console口配置Telnet登录的用户名和密码。 c. 以路由器为例,该路由器与交换机相连,从路由器上能够ping通交换机上VLAN 接口的IP地址。 d. 在路由器上运行telnet命令,输入VLAN接口的IP地址,登录到交换机。 2.1.3 SSH连接配置 传统的Telnet、FTP连接存在不安全因素,因为它们在网络上使用明文传送口令和数 据,很容易被攻击者截获。Telnet、FTP的安全验证也存在弱点,容易受到“中间人” (man-in-the-middle)方式的攻击,“中间人”冒充服务器接收客户端发送的数据,然 后再冒充客户端把数据传给真正的服务器。 使用SSH(Secure Shell)可以解决这种安全隐患。SSH为非安全网络上的远程登录和其他 网络服务建立一个安全通道,对传输的所有数据进行加密和压缩,即使有人截获这些数 据也无法得到有用的信息。 目前SSH协议有两个不兼容的版本:SSH v1.x和SSH v2.x,ZXR10 3900E支持SSH v2.0, 提供安全的远程登录功能。 SSH分为服务器和客户端两部分,ZXR10 3900E作为SSH的服务器,主机通过运行SSH客 户端来登录交换机。步骤如下: 1. 使用下列命令在ZXR10 3900E(下文简称交换机)上启动SSH服务器功能。缺省配置 下SSH服务器功能是关闭的。 ZXR10(config)#ssh server enable 2. 配置SSH用户认证方式 全局配置模式下: ZXR10(config)#ssh server authentication mode { local | radius | tacacs } 说明:配置SSH用户的认证方式为本地/radius/tacacs认证。 2-6 SJ-20100901084759-002 | 2011-02-10(R1.0) 2 使用和操作 举例: 启动SSH功能,配置用户认证方式为tacacs认证。 ZXR10(config)#ssh server enable ZXR10(config)#ssh server authentication mode tacacs 3. 将主机网口连接到交换机的以太网端口,通过配置使主机能够ping通交换机上VLAN 接口的IP地址。 4. 在主机上运行SSH客户端软件(常用软件为putty)。 a. 设置SSH服务器的IP地址和端口号,如图2-9所示。 图2-9 设置SSH服务器的IP地址和端口号 b. 设置SSH的版本号,如图2-10所示。 SJ-20100901084759-002 | 2011-02-10(R1.0) 2-7 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 图2-10 设置SSH的版本号 5. Open按钮登录交换机,根据提示输入正确的用户名和密码。 点击Open Open 登录成功后,进入交换机的配置界面,就可以进行正常的配置。 2.1.4 SNMP连接配置 简单网络管理协议(SNMP,Simple Network Management Protocol)是目前最流行的一种 网管协议,通过该协议可以使用一台网管服务器来管理网络中的所有设备。 SNMP采用基于服务器和客户端的管理,后台网管服务器作为SNMP服务器,前台网络 设备ZXR10 3900E作为SNMP客户端。前后台共享同一个MIB管理库,通过SNMP协议进 行通讯。 后台网管服务器需安装支持SNMP协议的网管软件,通过网管软件对ZXR10 3900E进行 管理配置。 2-8 SJ-20100901084759-002 | 2011-02-10(R1.0) 2 使用和操作 2.2 命令模式 为方便用户对交换机进行配置和管理,ZXR10 3900E根据功能和权限将命令分配到不同 的模式下,一条命令只有在特定的模式下才能执行。ZXR10 3900E的主要命令模式如表 2-1所示。 表2-1 命令模式 模式 提示符 进入命令(准入模式) 用户模式 ZXR10> 登录系统后直接进入 特权模式 ZXR10# enable(用户模式) 全局配置模式 ZXR10(config)# configure terminal(特权模式) 端口配置模式 ZXR10(config-fei_1/x)# interface { < interface-name> | byname < by-name> } (全局配置模式) VLAN数据库配置模式 ZXR10(vlan)# vlan database(特权模式) VLAN配置模式 ZXR10(config-vlanX)# vlan { < vlan-id>|< vlan-name> } (全局配置模式) VLAN接口配置模式 ZXR10(config-if-vlanX)# interface { vlan < vlan-id>|< vlan-if> } (全局配置 模式) MSTP配置模式 ZXR10(config-mstp)# spanning-tree mst configuration(全局配置模式) 基本ACL配置模式 ZXR10(config-std-acl)# acl standard { number < acl-number> | name < acl-name> } (全局配置模式) 扩展ACL配置模式 ZXR10(config-ext-acl)# acl extended { number < acl-number> | name < acl-name> } (全局配置模式) 二层ACL配置模式 ZXR10(config-link-acl)# acl link { number < acl-number> | name < acl-name> } (全局配置模式) 混合ACL配置模式 ZXR10(config-hybd-acl)# acl hybrid { number < acl-number> | name < acl-name> } (全局配置模式) VRF配置模式 ZXR10(config-vrf)# ip vrf < vrf-name> (全局配置模式) RIP路由配置模式 ZXR10(config-router)# router rip(全局配置模式) RIP地址族配置模式 ZXR10(config-router-af)# address-family ipv4 vrf < vrf-name> (RIP路由配置 模式) OSPF路由配置模式 ZXR10(config-router)# router ospf < process-id> [ vrf < vrf-name> ] (全局 配置模式) IS-IS路由配置模式 ZXR10(config-router)# router isis [ vrf < vrf-name> ] (全局配置模式) BGP路由配置模式 ZXR10(config-router)# router bgp < as-number> (全局配置模式) BGP地址族配置模式 ZXR10(config-router-af)# address-family { { ipv4 { multicast | vrf < vrf-name> } } | ipv6 } (BGP路由配置模式) PIM-SM路由配置模式 ZXR10(config-router)# SJ-20100901084759-002 | 2011-02-10(R1.0) router pimsm(全局配置模式) 2-9 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 模式 提示符 进入命令(准入模式) 路由映射配置模式 ZXR10(config-route-map)# route-map < map-tag> | { [ < sequence-number> | permit| deny] | < sequence-number> ] } (全局配置 模式) 诊断测试模式 ZXR10(diag)# diagnose(特权模式) 在任何命令模式下输入问号(?)都可以查看该模式下允许使用的命令。 退出各种命令模式的方法如下: 1. 在特权模式下,使用disable命令返回用户模式。 2. 在用户模式和特权模式下,使用exit命令退出交换机;在其他命令模式下,使用exit 命令返回上一模式。 3. 返回到特 在用户模式和特权模式以外的其他命令模式下,使用end命令或按 权模式。 2.3 命令行使用 2.3.1 在线帮助 在任意命令模式下,只要在系统提示符后面输入一个问号(?),就会显示该命令模式下 可用命令的列表。利用在线帮助功能,还可以得到任何命令的关键字和参数列表。 1. 在任意命令模式的提示符下输入问号(?),可显示该模式下的所有命令和命令的简 要说明。举例如下: ZXR10>? Exec commands: disable Turn off privileged commands enable Turn on privileged commands exitExit from the EXEC login Login as a particular user logout Exit from the EXEC pingSend echo messages ping6 Send IPv6 echo messages quitQuit from the EXEC showShow running system information 2-10 telnet Open a telnet connection telnet6 Open a telnet6 connection trace Trace route to destination trace6 Trace route to destination using IPv6 SJ-20100901084759-002 | 2011-02-10(R1.0) 2 使用和操作 who List users who are logining on 2. 在字符或字符串后面输入问号,可显示以该字符或字符串开头的命令或关键字列表。 注意在字符(字符串)与问号之间没有空格。举例如下: ZXR10#co? configure copy ZXR10#co 3. Tab键,如果以该字符串开头的命令或关键字是唯一的,则将其补 在字符串后面按Tab Tab Tab键之间没有空格。举例如下: 齐,并在后面加上一个空格。注意在字符串与Tab Tab ZXR10#con ZXR10#configure 4. (configure和光标之间有一个空格) 在命令、关键字、参数后输入问号(?),可以列出下一个要输入的关键字或参数, 并给出简要解释。注意问号之前需要输入空格。举例如下: ZXR10#configure ? terminal Enter configuration mode ZXR10#configure 5. 如果输入不正确的命令、关键字或参数,回车后用户界面会用“^”符号提供错误隔 离。“^”号出现在所输入的不正确的命令、关键字或参数的第一个字符的下方。举 例如下: ZXR10#von ter ^ % Invalid input detected at '^' marker. ZXR10# 在下列实例中,利用在线帮助功能设置系统时钟。 ZXR10#cl? clear clock ZXR10#clock ? set Set the time and date ZXR10#clock set ? hh:mm:ss Current Time ZXR10#clock set 13:32:00 % Incomplete command. 在实例的最后,系统提示命令不完整,说明需要输入其他的关键字或参数。 SJ-20100901084759-002 | 2011-02-10(R1.0) 2-11 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 说明: 命令行操作中的所有命令不区分大小写。 2.3.2 命令缩写 ZXR10 3900E允许把命令和关键字缩写成能够唯一标识该命令或关键字的字符或字符串, 例如,可以在除端口配置模式和vlan接口配置模式以外的任何模式下把show命令缩写成 sh或sho。 2.3.3 命令历史 用户界面提供了对所输入命令的记录功能,最多可以记录10条历史命令,该功能对重新 调用长的或复杂的命令特别有用。 从记录缓冲区中重新调用命令,执行如表2-2所示操作。 表2-2 调用历史命令操作 命令 作用 或<↑><↑>按< 向前调用缓冲区中的历史命令 或<↓><↓>按< 向后调用缓冲区中的历史命令 在特权模式下使用show history命令可以列出该模式下最新输入的几条命令。 2-12 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 本章包含如下主题: Ÿ 文件系统管理 3-1 Ÿ FTP/TFTP配置 3-3 Ÿ 文件备份与恢复 3-6 Ÿ 软件版本升级 3-7 Ÿ 系统参数设置 3-11 Ÿ 系统信息查看 3-12 Ÿ 内存检测 3-14 Ÿ 系统批量配置 3-17 Ÿ 设备断电告警 3-19 3.1 文件系统管理 3.1.1 文件系统介绍 在ZXR10 3900E中,通常我们接触到的主要存储设备是主控板上的FLASH,ZXR10 3900E 的软件版本文件和配置文件都存储在FLASH中。软件版本升级、配置保存都需要对FLASH 进行操作。 FLASH中缺省包含三个目录,分别是IMG、CFG、DATA。 1. IMG:该目录用于存放软件版本文件。ZXR10 3900E的软件版本文件名为zxr10.zar, 是专用的压缩文件。版本升级就是更改该目录下的软件版本文件。 说明: ZXR10 3900E软件版本文件的名称默认为zxr10.zar,不能修改为别的名称。 2. CFG:该目录用于存放配置文件,配置文件的名称为startrun.dat。当使用命令修改交 换机的配置时,这些信息存放在内存中,为防止配置信息在交换机关电重启时丢失, SJ-20100901084759-002 | 2011-02-10(R1.0) 3-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 需要用write命令将内存中的信息写入FLASH,保存在startrun.dat文件中。当需要清除 交换机中的原有配置,重新配置数据时,可以使用delete命令将startrun.dat文件删除, 然后重新启动交换机。 3. DATA:该目录用于存放记录告警信息的log.dat等文件。 说明: 一般情况下,FLASH中都有这三个目录,如果因为误删除或者是FLASH中遭到破坏导 致没有IMG、CFG、DATA三个目录,可以用mkdir命令手工创建或者用format flash 命令格式化FLASH,格式化FLASH时会自动创建这三个目录。在格式化FLASH后注 意将版本文件拷贝到FLASH中,否则下次重启时只能通过网络加载版本。 3.1.2 文件系统操作 ZXR10 3900E提供了许多命令用于文件操作,命令格式与DOS操作系统的命令类似,常 见文件操作命令如下。 命令 功能 ZXR10#copy < source-device>< source-file>< destination-device>< 在FLASH设备和FTP/TFTP服务器之间 destination-file> 拷贝文件 ZXR10#pwd 查看当前目录路径 ZXR10#dir [ < directory> ] 查看指定设备或目录下的文件和子目录 信息 ZXR10#delete < filename> 删除当前设备指定目录下的文件 ZXR10#cd < directory> 进入指定文件设备或进入当前设备下的 文件目录,并能退回到上一级目录 ZXR10#mkdir< directory> 在当前目录下创建新的子文件目录 ZXR10#rmdir< directory> 删除指定的文件目录 ZXR10#rename < source-filename>< destination-filename> 修改指定文件或目录的名称 ZXR10# ZXR10# 下面通过实例操作来说明文件操作命令的使用。 1. 查看FLASH中当前文件信息。 ZXR10#dir Directory of flash:/ attribute 3-2 size date time name SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 1 drwx 512 MAY-17-2004 14:22:10 img 2 drwx 512 MAY-17-2004 14:38:22 cfg 3 drwx 512 MAY-17-2004 14:38:22 data 16117760 bytes total (3485696 bytes free) ZXR10#cd img ZXR10#dir Directory of flash:/img attribute size date time name 1 drwx 512 MAY-17-2004 14:22:10 . 2 drwx 512 MAY-17-2004 14:22:10 .. 3 -rwx 15922273 MAY-17-2004 14:29:18 zxr10.zar 16117760 bytes total (3485696 bytes free) 2. 在FLASH中创建目录ABC,然后将其删除。 ZXR10#mkdir ABC ZXR10#dir Directory of flash:/ attribute size date time name 1 drwx 512 MAY-17-2004 14:22:10 IMG 2 drwx 512 MAY-17-2004 14:38:22 CFG 3 drwx 512 MAY-17-2004 14:38:22 DATA 4 drwx 512 MAY-17-2004 15:40:24 ABC 65007616 bytes total (48861184 bytes free) ZXR10#rmdir ABC ZXR10#dir Directory of flash:/ attribute size date time name 1 drwx 512 MAY-17-2004 14:22:10 IMG 2 drwx 512 MAY-17-2004 14:38:22 CFG 3 drwx 512 MAY-17-2004 14:38:22 DATA 65007616 bytes total (48863232 bytes free) 3.2 FTP/TFTP配置 ZXR10 3900E可以作为FTP/TFTP的客户端。通过使用FTP/TFTP,可以对ZXR10 3900E 上的文件进行备份与恢复,还可以进行配置的导入与导出。 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-3 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 3.2.1 交换机作为FTP客户端 在后台主机启动FTP服务器软件,把交换机作为客户端进行通信。下面以FTP服务器软件 wftpd为例说明后台FTP服务器的配置。 1. 在后台主机运行wftpd软件,出现如图3-1所示界面。 图3-1 WFTPD界面 2. Security,选择User/Rights… User/Rights…,在弹出的对话框中进行以下操作: 点击菜单项Security Security User/Rights… a. New User… User…按钮新建一个用户,如target,并设置密码; 点击New b. User Name Name下拉框中选中用户名target; 在User c. Home Directory Directory框中输入存放版本文件或配置文件的目录,如D盘的IMG目录。 在Home 完成设置后对话框如图3-2所示。 3-4 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 图3-2 User/Rights安全设置对话框 3. Done按钮完成设置。 点击Done Done 启动FTP服务器后,在交换机上执行copy命令进行文件的备份/恢复和配置的导入/导出。 3.2.2 交换机作为TFTP客户端 在后台主机启动TFTP服务器软件,把交换机作为客户端进行通信。下面以TFTP服务器 软件tftpd为例说明后台TFTP服务器的配置。 1. 在后台主机运行tftpd软件,出现如图3-3所示界面。 图3-3 TFTPD界面 2. Tftpd→Configure),在弹出的对话框中点击Browse Browse按钮,选择存放版 点击菜单项(Tftpd→Configure Tftpd→Configure Browse 本文件或配置文件的目录,如D盘的IMG目录。 完成设置后对话框如图3-4所示。 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-5 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 图3-4 Configure对话框 3. OK按钮完成设置。 点击OK OK 启动TFTP服务器后,在交换机上执行copy命令进行文件的备份/恢复和配置的导入/导 出。 3.3 文件备份与恢复 利用FTP/TFTP可以将ZXR10 3900E上的软件版本文件、配置文件、日志文件等备份到后 台服务器,或从后台服务器恢复备份的文件。 3.3.1 备份配置文件 使用write命令将配置信息保存到startrun.dat文件中后,可以将其备份到后台FTP/TFTP服 务器,防止该文件遭到破坏时无法恢复。 执行如下命令将FLASH中的配置文件备份到连接到交换机业务接口的后台TFTP服务器: ZXR10#copy flash: /cfg/startrun.dat tftp: //168.1.1.1/startrun.dat 3.3.2 恢复配置文件 执行如下命令从连接到交换机业务接口的后台TFTP服务器恢复备份的配置文件: ZXR10#copy tftp: //168.1.1.1/startrun.dat flash: /cfg/startrun.dat 3-6 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 3.3.3 备份系统软件版本 在升级软件版本前,需要将当前运行的版本文件备份到后台服务器,如果新版本加载不 成功,可以从后台服务器恢复旧版本。软件版本文件备份与配置文件备份类似。 执行如下命令将FLASH中的软件版本文件备份到连接到交换机业务接口的后台TFTP服务 器根目录下的img目录: ZXR10#copy flash: /img/zxr10.zar tftp: //168.1.1.1/img/zxr10.zar 3.3.4 恢复系统软件版本 版本恢复的目的是把备份到后台服务器的软件版本文件通过FTP/TFTP重新传到前台交 换机的FLASH中。在版本升级失败时进行恢复操作非常重要。版本恢复操作与版本升级 操作步骤基本相同。 如上所述,ZXR10 3900E支持配置文件的导入/导出功能。通过FTP/TFTP将配置文件 startrun.dat拷贝到后台主机,在后台主机上用文本编辑工具对startrun.dat文件进行编辑, 然后再通过FTP/TFTP将修改后的配置文件拷贝到前台交换机FLASH设备的CFG目录下, 该文件在下次系统重起时生效。 说明: 1. 使用copy命令对后台主机和交换机进行FTP文件传输时,先要设置主机的IP地址与 VLAN接口的IP地址在同一网段,主机连接的交换机端口属于该VLAN,使主机能够 ping通交换机上VLAN接口的IP地址。 2. 利用文本编辑工具对startrun.dat文件进行编辑时,注意格式要符合命令要求,并且配 置文件的头和尾不要进行修改,否则可能导致配置文件无法加载。 3.4 软件版本升级 通常只有在某些功能原有版本不支持或者某些特殊原因导致设备无法正常运行时,才需 要进行软件版本升级。如果版本升级操作不当,可能会导致升级失败,系统无法启动。 因此,在进行软件版本升级之前,维护人员必须熟悉ZXR10 3900E的原理及操作,认真 学习升级步骤。 3.4.1 系统异常时的版本升级 下面描述当ZXR10 3900E无法正常启动时软件版本升级的具体步骤: 1. 将随机附带的串口配置线,RJ45头的一端连接至ZXR10 3900E的配置口(主控板的 Console口),另外一端的DB9接口连接至后台主机串口;两头都是RJ45接口的网线 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-7 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 一端连接至后台主机网口,另一端连接到ZXR10 3900E第一个子卡的任意一个端口, 记住所连接的端口号。 2. 将用于升级的后台主机与交换机的管理以太口的IP地址设置在同一网段。 3. 启动后台FTP服务器。 4. 重启动ZXR10 3900E,在超级终端下根据提示按任意键进入Boot状态。显示如下: ZXR10 System Boot Version: 1.0 Creation date: Dec 31 2002, 14:01:52 (省略) Press any key to stop for change parameters... 2 [ZXR10 Boot]: 在Boot状态下输入“c”,回车后进入参数修改状态。将启动方式改为从后台FTP启 动,将FTP服务器地址改为相应的后台主机地址,将客户端地址及网关地址均改为交 换机管理以太口地址,设置相应子网掩码及FTP用户名和密码。参数修改完毕后, 出现[ZXR10 Boot]:提示。 [ZXR10 Boot]:c '.' = clear field; '-' = go to previous field; ^D = quit Boot Location [0:Net,1:Flash] : 0 Port Number : 24 Client IP [0:bootp]: 168.4.168.168 Netmask: 255.255.0.0 Server IP [0:bootp]: 168.4.168.89 Gateway IP: 168.4.168.168 FTP User: target FTP Password: FTP Password Confirm: Boot Path: zxr10.zar Enable Password: Enable Password Confirm: [ZXR10 Boot]: 5. 输入“@”,回车后系统自动从后台FTP服务器启动版本。 [ZXR10 Boot]:@ Loading... get file zxr10.zar[15922273] successfully! file size 15922273. 3-8 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 ******************************************************************** Welcome to ZXR10 3928E Switch of ZTE Corporation ******************************************************************** ZXR10> 6. 如果正常启动,用show version命令查看新的版本是否已在内存中运行,若仍为旧版 本,说明从后台服务器设置错误,检查后台版本文件以及FTP服务器设置,然后从步 骤1开始重新进行操作。 7. 用delete命令将FLASH中IMG目录下旧的版本文件zxr10.zar删除。如果FLASH的空间 足够,也可以不用删除旧版本,将其改名即可。 8. 将后台FTP服务器中的新版本文件拷入FLASH的IMG目录中。版本文件名为zxr10.zar。 a. 建立临时的用于和主机互通的VLAN接口(假设接口IP地址为:168.4.168.1)。 b. 设置主机的IP地址(假设为168.4.168.89),必须与VLAN接口的IP地址在同一网 段,主机连接的端口属于该VLAN,使主机能够ping通交换机上VLAN接口的IP地 址。 c. 在特权模式下使用copy命令: ZXR10#copy ftp: //168.4.168.89/zxr10.zar@target:target flash: /img/zxr10.zar Starting copying file ................................................................. ................................................................. ...................................... file copied successfully. ZXR10# 9. 查看FLASH中是否有新的版本文件。如果不存在,说明拷贝失败,需执行步骤8重新 拷贝版本。 10. 重新启动ZXR10 3900E,按照步骤4中的办法,将启动方式改为从FLASH启动,这时 要把“Boot path”修改为“/flash/img/zxr10.zar”。 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-9 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 说明: 启动方式也可以在全局配置模式下用nvram imgfile-location local命令改为从FLASH启 动。 11. 在[ZXR10 Boot]:下输入“@”,回车后系统将从FLASH中启动新版本。 12. 正常启动后,查看运行的版本,确认升级是否成功。 3.4.2 系统正常时的版本升级 如果升级之前交换机运行正常,软件版本升级的方法有多种,如将交换机作为FTP或TFTP 的客户端来拷贝版本,利用FTP还可以进行远程升级。下面是将交换机作为FTP的客户 端,在本地进行升级的步骤。 1. 将随机附带的串口配置线,RJ45头的一端连接至ZXR10 3900E的配置口(主控板的 Console口),另外一端的DB9接口连接至后台主机串口;两头都是RJ45接口的网线 一端连接至后台主机网口,另一端连接到ZXR10 3900E的一个端口。 2. 将用于升级的后台主机与交换机相连端口所在VLAN接口的IP地址设置在同一网段, 保证后台主机能够ping通交换机VLAN接口地址。 3. 启动后台FTP服务器。 4. 查看当前运行版本的信息。 5. 用delete命令将FLASH中IMG目录下旧的版本文件删除。如果FLASH的空间足够,也 可以不用删除旧版本,将其改名即可,推荐使用改名方式。 6. 将后台FTP服务器中的新版本文件拷入FLASH的IMG目录中。版本文件名为zxr10.zar。 7. 查看FLASH中IMG目录下是否有新的版本文件,版本文件大小是否后台服务上的版 本文件大小相同。如果文件不存在或者大小不同,说明拷贝失败,需执行步骤5重新 拷贝版本。 8. 重新启动交换机,正常启动后,查看运行的版本,确认升级是否成功。 说明: 远程升级通过telnet对交换机进行控制,使用ftp将主机上的版本文件拷入交换机,然后远 程重启,等待系统运行正常后,需要重新telnet查看版本信息。注意,远程升级要慎重, 不要忘记保存当前配置或对相关文件进行备份。 3-10 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 3.5 系统参数设置 3.5.1 设置系统主机名 系统缺省的主机名为ZXR10,在全局配置模式下使hostname < network-name> 命令可以 修改主机名。 修改主机名后立即生效,提示符中将使用新的主机名。 3.5.2 设置系统启动时的问候语 在全局模式用banner命令可设置问候语,问候语以自定义的字符开始和结束,举例如下: ZXR10(config)#banner incoming C Enter TEXT message. End with the character 'C'. *********************************** Welcome to ZXR10 Switch World ********************************** C ZXR10(config)# 3.5.3 设置特权模式密码 在特权模式下可以设置操作参数,还可以进入配置模式。为防止未经授权的用户随意修 改配置,必须在全局模式设置进入特权模式的密码。 命令 功能 ZXR10(config)#enable secret [ level < level number> ] { 0 < password> 设置特权模式密码 | 5 < password>|< password> } 3.5.4 设置Telnet用户和密码 命令 功能 ZXR10(config)#username < username>password< password> 设置Telnet用户和密码 3.5.5 设置系统时间 命令 功能 ZXR10#clock set < current-time>< month>< day>< year> 设置系统时间 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-11 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 3.5.6 设置系统Console口用户连接参数 命令 功能 ZXR10(config)#line console idle-timeout < idle-timeout> 设置idle-timeout时间 ZXR10(config)#line console absolute-timeout < absolute-timeout> 设置absolute-timeout时间 3.5.7 设置系统telnet口用户连接参数 命令 功能 ZXR10(config)#line telnet access-class < access-list-number> 设置access-class ZXR10(config)#line telnet idle-timeout < idle-timeout> 设置idle-timeout时间 ZXR10(config)#line telnet absolute-timeout < absolute-timeout> 设置absolute-timeout时间 在line console和line telnet后都有参数absolute-timeout和idle-timeout,absolute-timeout指从 建立连接开始到连接超时的时间,idle-timeout指从用户最后一次进行操作后的空闲超时 时间,连接超时后系统会自动断开连接,用户如果需要继续对交换机系统进程操作必须 重新经常登录。缺省absolute-timeout为1440分钟,idle-timeout为120分钟。 3.5.8 允许多个用户对系统同时进行配置操作 ZXR10(config)#multi-user configure 此配置可能会导致交换机配置紊乱,一定要慎重。 3.6 系统信息查看 3.6.1 显示系统软硬件版本信息 执行show version命令后显示类似下面的信息: DUT1(config)#sho ver ZXR10 Router Operating System Software,ZTE Corporation ZXR10 ROS Version V4.08.23 ZXR10_3928E Software, Version ZXR10 5900&5200 V2.8.23.B.08, RELEASE SOFTWARE Copyright (c) 2000-2007 by ZTE Corporation Compiled Jan 20 2010, 08:12:06 System image files are flash: System uptime is 2 days, 20 hours, 39 minutes [MPU] 3-12 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 Main processor: Motorola XPC8241 with 256M bytes of memory 8K bytes of non-volatile configuration memory 16M bytes of processor board System flash (Read/Write) ROM: System Bootstrap, Version: V1.13 , RELEASE SOFTWARE Hardware Version: V1.0, CPLD Version: V1.0 System serial: 4294967295 System temperature(Celsius):40 3.6.2 显示当前运行的配置信息 ZXR10#show running-config 3.6.3 一键收集系统信息 命令 功能 ZXR10#show tech-support { bfd|bgp|common|isis|mpls|ospf|vpls|vrrp} 一键收集系统信息及协议相关信息 使用说明 1. 如果没有可选项,则收集所有的系统信息写入/flash/data/tech.dat文件中。 2. 如果增加协议选项,则收集一般信息与相应协议信息写入/flash/data/tech.dat 文件中。 3. 如果只有common选项,则只收集一般信息写入/flash/data/tech.dat文件中。 一 键 收 集 完 成 时 命 令 行 会 回 显 命 令 执 行 之 前 的 提 示 符 , 此 时 可 以 将 flash 中 的 文 件 /flash/data/tech.dat通过copy命令拷贝到Ftp或者Tftp服务端用文本查看软件如记 事本、写字板等查看。关于文件拷贝命令copy的使用请参见“文件备份与恢复”小节。 使用实例 1. 一键收集所有系统信息。 ZXR10#show tech-support 2. 一键收集一般系统信息以及ospf、isis协议信息。 ZXR10#show tech-support ospf isis 3. 一键收集一般系统信息。 ZXR10#show tech-support common SJ-20100901084759-002 | 2011-02-10(R1.0) 3-13 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 3.6.4 一键收集系统故障诊断信息 命令 功能 ZXR10#show diag info [ all] 一键故障诊断信息收集 使用说明 1. 如 果 不 带 all 选 项 , 执 行 诊 断 命 令 文 件 中 部 分 诊 断 命 令 , 诊 断 信 息 写 入 /flash/data/diaginfo.dat中,此文件是文本格式,可以直接打开阅读。 2. 如果带all选项,则执行诊断命令文件中全部诊断命令,诊断信息会以zar压缩格式写 入文件/flash/data/diaginfo.dat中,此文件是加密的,需要提交中兴技术支 持查看。 一 键 诊 断 完 成 时 命 令 行 会 回 显 命 令 执 行 之 前 的 提 示 符 , 此 时 可 以 将 flash 中 的 文 件 /flash/data/diaginfo.dat通过copy命令拷贝到Ftp或者Tftp服务端,然后根据执行 时是否使用ALL选项进行文件查看。关于文件拷贝命令copy的使用请参见“文件备份与 恢复”小节。 3.6.5 系统异常显示以及记录 命令 功能 ZXR10#show equipment-information 将设备资源信息收集起来将其显示出 来,应用于能使用show命令的所有模式 ZXR10#show trace-information 将设备异常信息收集起来将其显示出 来,应用于能使用show命令的所有模式 3.7 内存检测 3.7.1 功能概述 剩余内存少到一定程度后会导致某些依赖复杂处理过程的功能发生异常,比如,由于 无法获得所需的临时内存而导致任务失败、任务发生执行异常等。在剩余内存少于临界 点时向网管发送告警和写日志记录内存耗尽事件,对及时掌握设备运行状态规避潜在风 险,以及对追踪故障原因都是很必要的手段。 3.7.2 命令说明 3.7.2.1 进入环境配置模式 命令 功能 ZXR10(config)#environ 进入环境配置模式 3-14 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 举例 进入环境配置模式: ZXR10(config)#environ ZXR10(config-environ)# 3.7.2.2 配置剩余内存阈值检测高低报警门限 命令 功能 ZXR10(config-environ)#memory-check-threshold { [ low-level value1 ] | 配置剩余内存阈值检测高低报警门限 [ high-level value2] } value1范围为1~10,默认为10%;value2 范围为11~100,默认为25% ZXR10(config-environ)#no memory-check-threshold 取消配置剩余内存阈值检测高低报警 门限 举例 配置剩余内存阈值检测高低报警门限,高门限为30,低门限为8: ZXR10(config-environ)#memory-check-threshold high-grade 30 low-grade 8 3.7.2.3 配置剩余内存阈值检测时间间隔 命令 功能 ZXR10(config-environ)#memory-check-interval { [ interval value1 ] } 配置剩余内存阈值检测时间间隔 value1范围为1~1800(单位为秒),默 认为1 ZXR10(config-environ)#no memory-check-interval 取消配置剩余内存阈值检测时间间隔 举例 配置剩余内存阈值检测时间间隔,检测间隔时间为30秒: ZXR10(config-environ)#memory-check-interval 30 3.7.2.4 配置剩余内存阈值检测开关 命令 功能 ZXR10(config-environ)#memory-check-switch on 配置剩余内存阈值检测开关,打开开关 默认开关为开 ZXR10(config-environ)#memory-check-switch off 配置剩余内存阈值检测开关,关闭开关 ZXR10(config-environ)#no memory-check-interval 取消配置剩余内存阈值检测开关 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-15 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 举例 配置剩余内存阈值检测开关,打开开关: ZXR10(config-environ)#memory-check-switch on 3.7.3 内存检测配置实例 空配置启动 使用show run查看空配置启动后的状态。 environ memory-check-threshold high-grade 25 low-grade 10 memory-check-interval 1 memory-check-switch on 可以看出各配置参数皆为默认值。 配置检查间隔和门限 ZXR10(config-environ)#memory-check-interval 30 ZXR10(config-environ)#memory-check-threshold high-grade 40 low-grade 5 假设当前的内存使用情况如下,内存的使用率为68.364%,也就是剩余内存为31.636%。 PhyMem: Physical memory (megabyte) Panel MP(M) 1 CPU(5s) CPU(1m) CPU(5m) PhyMem Buffer Memory 10% 256 0% 68.364% 10% 10% 配置过了30秒后,发出如下告警: 00:05:25 01/01/2001 UTC alarm 66 occurred %ENVIRONMENT% MP(M) panel 1 current memory rate is: 31.636% under the high threshold 40% sent by MCP 为了让告警取消,重新配置内存阈值上限。 ZXR10(config-environ)#memory-check-threshold high-grade 30 再过30秒,告警取消。 00:05:55 01/01/2001 UTC alarm 66 cleared %ENVIRONMENT% MP(M) panel 1 current memory rate is: 31.636% exceeds the high threshold 30% sent by MCP 3-16 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 说明:剩余内存超过高门限会取消告警,同样会打印一次信息。 内存报警下限阈值的效果与此类似。相同的是当内存剩余率低于设定值时(如上面设定 的5%)时会发出告警,不同的是当内存剩余率恢复到内存报警下限阈值以上、上限以下 时并没有报警取消的输出,也就是说只有内存剩余率恢复到内存报警上限阈值之上告警 才会清除。 此外整个过程不会出现循环报警,就是说报警如果出现只出现一次。 如上面举例,配置ZXR10(config-environ)#memory-check-threshold high-grade 40 low-grade 5后出现告警,下次检测时间到了后模块发现其状态仍是低于上限阈值高于下限阈值,并 且之前已经发过警告,那么这次就会忽略,而不会再一次报警。 配置检测时间间隔就是调节检测的频率,默认是一秒钟检测一次,也可以根据自己的需 要进行调整,范围为1秒~1800秒(30分钟)。 配置检查开关 ZXR10(config-environ)#memory-check-switch off 上面的配置取消了该功能,但配置仍见,可以用show run查看。 environ memory-check-threshold high-grade 30 low-grade 5 memory-check-interval 30 memory-check-switch off 说明:可见上述配置有效并且仍在,但是在功能关闭的状态下无法进行配置。 可以通过no memory-check-switch和memory-check-switch on重新开启该功能。 以上各步骤中配置的变化都可以通过show run显示出来。 3.8 系统批量配置 3.8.1 使用配置文件一键配置系统 命令 功能 ZXR10(config)#exec file < file name>[< hh:mm:ss>< 定时或者非定时执行一键配置命令 mm-dd-yyyy> ] ZXR10(config)#no exec file 取消系统已有定时执行配置 ZXR10#show exec-cmd-file 显示系统现有的定时执行计划 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-17 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 使用说明 1. 如果带后面的定时选项,则表示指定交换机在指定的年月日时分秒执行前面指定的 配置文件。文件名不需要附加绝对路径或者相对路径,只需要直接列出文件名称, 但在配置之前需要将文件拷贝到交换机Flash中的/flash/cfg/目录下。 2. 文件内容格式要求说明如下:文件开头第一行一定要有configure terminal(简写为con t)命令以便进入配置模式,后续命令根据需要的模式自行修改,然后每个命令为一 行正常添加配置命令。配置完成后最好在最后才加上write命令写配置,中间不宜加 入write命令,另外请注意保持每行命令结尾是换行符,如果从屏幕拷贝下直接粘贴 可能会有不可见其它字符导致执行失败。编辑此文件完成后,上传至交换机Flash 中的/flash/cfg/目录下即可。 3. 如果不带定时选项,则指定交换机立刻执行指定的配置文件,文件要求同上。 4. no exec file用于取消系统已经存在的定时执行配置。当需要重新设定定时时间时,通 常也要执行此命令以便下一个设置能通过检查。 5. show exec-cmd-file可以在除用户模式以外的模式下执行,功能是查看系统现在已有 的定时执行计划,如果存在计划则显示计划具体执行时间以及对应配置文件,如果 不存在计划则显示没有任何定时计划。 6. 一键配置命令是根据参数打开文件,生成的文件名(不带扩展名)和打开文件同 名,只是扩展名从.dat换成了.log,如exec file zerodis.dat命令打开/flash/cfg/zerodis.dat,生成/flash/data/zerodis.log。 使用实例 1. 立即执行配置文件zerodis.dat文件。 ZXR10(config)#exec file zerodis.dat 2. 计划于2009年12月30日19时00分00秒执行配置文件。 ZXR10(config)#exec file zerodis.dat 19:00:00 dec 30 2009 3. 取消系统已有的定时执行计划。 ZXR10(config)#no exec file 4. 一个配置文件 (即上面命令中的zerodispo.dat)内容示例。 con t int vlan 10 ip add 10.1.1.2 255.255.255.0 exit int vlan 20 ip add 20.1.1.3 255.255.255.0 3-18 SJ-20100901084759-002 | 2011-02-10(R1.0) 3 系统管理 exi exi write 5. 显示系统现有的定时执行计划。 ZXR10#show exec-cmd-file 3.9 设备断电告警 设备断电告警是指: 两台设备的告警口之间互联,如果一台设备掉电,另外一台设备可以通过告警口的连接 获取对端设备的电源问题来产生告警,发送trap。 ZXR10 3900E系列设备支持断电告警功能,用平行网线连接一台E系列设备SW1的Alarm Out告警口到另一台E系列设备SW2的Alarm In口,当设备SW1断电后,设备SW2的Alarm 灯变为红色且闪烁。SW1设备正常供电后,SW2的Alarm灯变为正常。 说明: 设备断电告警功能默认是关闭的,需在全局模式下开启该功能才能使用。 SJ-20100901084759-002 | 2011-02-10(R1.0) 3-19 4 端口配置 本章包含如下主题: Ÿ 端口基本配置 4-1 Ÿ 端口镜像配置 4-8 Ÿ 端口环回检测配置 4-11 Ÿ 端口光模块的DOM功能 4-13 4.1 端口基本配置 ZXR10 3900E提供百兆以太网端口和千兆以太网端口。 1. 百兆以太网电口支持全双工/半双工、10/100M及MDI/MDIX自适应功能,缺省工作 在自协商模式,与对端设备协商工作方式和速率。 2. 百兆以太网光口工作在百兆全双工模式,不能配置端口的双工模式和速率,但可以 配置为自协商。 3. 千兆以太网光口工作在千兆全双工模式,不能配置端口的双工模式和速率,但可以 配置为自协商。 4. 千兆以太网电口支持全双工/半双工、10/100/1000M 及MDI/MDIX 自适应 功能,缺 省工作在自协商模式,与对端设备协商工作方式和速率。 系统采用自动添加端口的方式,用户在相应槽位插入接口板,当接口板正常启动后,就 可以看到该接口板的端口已经自动添加到系统端口列表中,注意ZXR10 3900E千兆子卡 不能进行热插拔 ZXR10 3900E按下列方式对端口进行命名: <端口类型>_<槽位号>/<端口号>l<端口类型>包括以下几种: fei 百兆以太网端口 gei 千兆以太网端口 l <槽位号> SJ-20100901084759-002 | 2011-02-10(R1.0) 4-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) ZXR10 3928E/3928E-FI有2个槽位。 ZXR10 3952E有6个槽位。 l <端口号> 接口板上端口的编号,从1开始。 例如: l fei_1/8 表示1号槽位百兆以太网接口板上的第8个端口。 l gei_2/1 表示2号槽位千兆以太网接口板上的第1个端口。 由于各产品的子板数和端口数有所不同,故接口的命名也有区别: 1. 2. ZXR10 3928E/3928E-FI l 24个百兆口属于槽位1,端口的名称分别为fei_1/1~fei_1/24。 l 4个上行的千兆口属于槽位2,端口的名称分别为gei_2/1~gei_2/4。 ZXR10 3952E l 主控板上的16个百兆光口属于槽位1,端口的名称分别为fei_1/1~fei_1/16。 l 4个线卡的从左下、左上、右下、右上分别为2,3,4,5槽位,端口的名称分别 为fei_2/1~fei_2/8,fei_3/1~fei_3/8,fei_4/1~fei_4/8,fei_5/1~fei_5/8。 l 主控板上的扩展卡为6槽位,端口的名称分别为gei_6/1~gei_6/4。 4.1.1 关闭/打开以太网端口 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#shutdown/no shutdown 关闭/打开以太网端口 shutdown命令使端口的物理链路状态变为down,端口link指示灯熄灭。所有端口缺省是 打开的。 4.1.2 使能/关闭以太网端口自动协商 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#negotiation auto/ no negotiation auto 使能/关闭以太网端口自动协商 千兆以太网端口工作在1000M 时,必须打开自协商。 4-2 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 4.1.3 以太网端口自动协商能力通告 命令 功能 ZXR10(config-fei_1/x)#negotiation auto [ speed [ 10| 100] ] 以太网端口自动协商能力通告到10M 或者100M 协商单独设置速度能力的通告,当PHY工作模式为电口的时候,千兆、百兆、十兆、半 双工、全双工的能力,都可以设置是否能通告; 当PHY工作模式为光口的时候,只有半双工、全双工的能力可以设置是否能通告,速度 方面的通告设置无效、不能设置。 说明: negotiation auto speed 100 negotiation auto speed 10 negotiation auto no negotiation auto 四者为互斥关系。 配置nego auto speed 100|10模式后, 端口speed、duplex处于不可配置状态, 只能自适应。 4.1.4 设置以太网端口双工模式 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#duplex { half| full} 设置以太网端口双工模式 4.1.5 设置以太网端口速率 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#speed { 10| 100} 设置以太网端口速率 只有千兆以太网电口可以配置双工模式和速率,配置之前请先禁止端口自协商功能。 4.1.6 设置以太网端口流量控制 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#flowcontrol { enable| disable} 设置以太网端口流量控制 SJ-20100901084759-002 | 2011-02-10(R1.0) 4-3 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 步骤 命令 功能 3 ZXR10(config-fei_1/1)#cable-media mode { auto| mdi| mdix} 设置以太网端口线序自适应 以太网端口使用流量控制抑制一段时间内发送到端口的数据包。当接收缓冲器满时,端 口发送一个“pause”包,通知远程端口在一段时间内暂停发送更多的数据包。以太网端 口还能接收来自其他设备的“pause”包,并按照这个数据包的规定执行操作。 缺省情况下,开启以太网端口线序自适应功能,针对68A和568B两种线序的双绞线自动 适应管脚。配置MDI模式时,不改变双绞线原有管脚。配置MDIX模式时,在RJ-45连接 器上交叉双绞线的1和3管脚,以及2和6管脚。 4.1.7 允许/禁止巨帧通过以太网端口 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#jumbo-frame{ enable| disable} 允许/禁止巨帧通过以太网端口 缺省情况下,最大允许1560字节长的帧通过以太网端口,JUMBO帧被禁止通过。允许 JUMBO帧通过时,最大允许9216字节的帧通过以太网端口。 4.1.8 设置端口别名 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#byname < by-name> 设置端口别名 设置端口别名的目的是为了区分各个端口,方便记忆。对端口进行操作时可以用别名代 替端口名称。 4.1.9 设置以太网端口广播风暴抑制 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#broadcast-limit < value> 设置以太网端口广播风暴抑制 可以限制每秒钟以太网端口允许通过的广播报文的数量。当广播流量超过用户设置的值 时,系统对广播流量作丢弃处理,使广播流量降低到合理的范围,从而有效地抑制广播风 暴,避免网络拥塞,保证网络业务的正常运行。广播风暴抑制以设置的速率作为参数, 速率越小,表示允许通过的广播流量越小。 4-4 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 4.1.10 设置以太网端口组播包抑制 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#multicast-limit < value> 设置以太网端口组播包抑制 ZXR10 3900E组播包抑制功能打开时,端口将按照所配置的每秒钟以太网端口允许通过 的组播报文的数量进行组播包抑制。 4.1.11 设置以太网端口未知包抑制 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#unknowcast-limit < value> 设置以太网端口未知包抑制 ZXR10 3900E未知包抑制功能打开后,端口将按照所配置的每秒钟以太网端口允许通过 的未知包的数量进行未知包抑制。 4.1.12 设置以太网端口的链路状态监控方式 命令 功能 ZXR10(config)#port-mode{ interrupt| poll} 设置以太网端口链路状态监控方式 port-mode poll命令配置设备以轮询的方式监控端口链路状态,即每隔一定的时间扫描全 部端口的链路状态,然后上报链路状态发生变化的端口。port-mode interrupt命令配置设 备以中断的方式监控端口链路状态,当某个端口的链路状态发生变化后会立即上报。在 默认情况下,设备以轮询的方式监控端口链路状态。 4.1.13 显示端口信息 命令 功能 ZXR10#show interface [ < port-name> ] 查看以太网端口状态信息 ZXR10#show running-config interface < port-name> 显示以太网端口配置信息 示例: 1. 查看端口fei_1/2的状态和统计信息。 ZXR10#show int fei_1/2 fei_1/2 is down, line protocol is down Description is none The port is electric SJ-20100901084759-002 | 2011-02-10(R1.0) 4-5 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) Duplex full Mdi type:auto MTU 1500 bytes BW 1000000 Kbits Last clearing of "show interface" counters never 20 seconds input rate : 0 Bps, 0 pps 20 seconds output rate: 0 Bps, 0 pps Interface peak rate : input 0 Bps, output Interface utilization: input 0%, 0 Bps output 0% Input: Packets : 19 Bytes : 1501 Unicasts : 19 Multicasts: 0 Broadcasts : 0 Undersize : 0 Oversize : 0 CRC-ERROR : 0 Dropped : 0 Fragments : 0 Jabber : 0 MacRxErr : 0 Output: Packets : 0 Bytes : 0 Unicasts : 0 Multicasts: 0 Broadcasts : 0 Collision : 0 LateCollision: 0 Total: 64B : 0 65-127B : 19 128-255B : 0 256-511B : 0 512-1023B : 0 2. 1024-2047B: 0 显示端口fei_1/2的配置信息。 ZXR10#sho run in fei_1/2 Building configuration... ! interface fei_1/2 out_index 5 negotiation auto 4-6 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 switchport access vlan 1 switchport qinq normal ! 4.1.14 线路诊断分析测试 ZXR10 3900E支持Cable线路诊断分析测试功能,可以检测线路和线路连接是否异常,并 能准确定位到Cable发生故障的位置,方便网络管理和故障定位。 千兆以太网电口使用网线连接到其他设备。网线中有四对双绞线,当工作在100M时使用 1-2、3-6两对双绞线,当工作在1000M时使用1-2、3-6、4-5、7-8全部四对双绞线。线 路检测可以检测到每一对双绞线的状态,线路状态包括以下几种: 1. Open:线路开路 2. Short:线路短路 3. Good:线路正常 4. Broken:线路开路或短路 5. Unknown:未知或没有检测出结果 6. Crosstalk:线路耦合 7. Fail:检测失败 如果线路故障,测试结果输出线路故障的大致位置;线路诊断分析测试不需要配置,直 接在用户模式以外的其他模式下运行show vct interface 命令。 示例:检测端口fei_1/2的线路。 ZXR10(config)#show vct int fei_1/2 CableStatus Good Pair 1-2 3-6 4-5 7-8 Status Good Good Good Good Length <50m <50m <50m <50m 注意! 使用线路诊断分析测试时将使相关端口重启,端口上的链路先断开再恢复正常。一般只 用来测试有故障的端口,如果端口带有用户,请谨慎使用。 SJ-20100901084759-002 | 2011-02-10(R1.0) 4-7 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 4.2 端口镜像配置 4.2.1 端口镜像概述 端口镜像功能将交换机上一个或多个端口(被镜像端口)的数据复制到一个指定的目的 端口(监控端口)上,通过镜像可以在监控端口上获取这些被镜像端口的数据,以便进 行网络流量分析、错误诊断等。并支持跨设备端口的镜像(RSPAN)。 在ZXR10 3900E上使用端口镜像功能应遵循如下规则: l 最多可支持1组端口镜像,每组最多可支持8个被镜像端口。 l 支持跨接口板的端口镜像,即被镜像端口、监控端口可以在不同接口板上。 l 可以只监控被镜像端口发送的数据或接收的数据。 l 支持跨设备的端口镜像,即被镜像端口、监控端口可以在不同的设备上。 l 支持跨隧道的端口镜像,即设备上作为源的端口的数据流可以通过设备上的GRE隧 道配置进行封装转发到目的监控端。 4.2.2 配置端口镜像 步骤 命令 功能 1 ZXR10(config-fei_1/x)#monitor session < session-number> source [ 设置被镜像端口及数据流方向和监 direction { both| tx| rx} ] 控端口,Session-number的范围1~4 ZXR10(config-fei_1/x)#monitor session < session-number> 设置监控端口,Session-number的 desination 范围1~4 ZXR10(config-fei_1/x)#monitor session < session-number> 设 置 RSPAN 监 控 端 口 , desination [ rspan-vlanid < vlanid> ] [ priority < priorityid > ] Session-number的范围1~4, 2 3 vlanid的范围1~4094,priorityid的 范围0~7 4 ZXR10(config-if)#monitor session < session-number> desination 设 置 ERSPAN 监 控 端 口 , erspan [ ttl < 1 ~ 255> ] [ flags{ disable| enable} ] [ tpid 0x8100] [ Session-number的范围1~4 DSCP < 0 ~ 63> ] 5 ZXR10(config-fei_1/x)#show monitor session | < session-number> 显示端口镜像的配置和状态 4.2.3 端口镜像配置实例 1. 单个设备的端口镜像 如图4-1所示,端口fei_1/3连接了一台计算机,要监控fei_1/1收到的数据和fei_1/2收 发的数据。 4-8 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 图4-1 端口镜像示例 交换机的配置: ZZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#monitor session 1 source direction rx ZXR10(config-fei_1/1)#exit ZXR10(config)#interface fei_1/2 ZXR10(config-fei_1/2)#monitor session 1 source ZXR10(config-fei_1/2)#exit ZXR10(config)#interface fei_1/3 ZXR10(config-fei_1/3)#monitor session 1 destination 显示端口镜像的配置: ZXR10(config)#show monitor session 1 Session 1 ----------------------------------------------Source Ports: Port: fei_1/1 Monitor Direction: rx Port: fei_1/2 Monitor Direction: both Destination Port: Port: fei_1/3 Rspan_vlanid : 0 Rspan_priority: 0 ----------------------------------------------ZXR10(config)# 2. 跨设备的端口镜像(RSPAN) SJ-20100901084759-002 | 2011-02-10(R1.0) 4-9 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 如图4-2所示,在ZXR10 3900E系列交换机上配置跨设备的镜像(RSPAN),例如要 监控fei_1/1收到的数据和fei_1/2收发的数据,端口fei_1/3为连接其他设备的镜像出端 口,RSPAN的VLAN为Vlan 10,优先级为1。 图4-2 端口RSPAN镜像示例 交换机A的配置: ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#monitor session 1 source direction rx ZXR10(config-fei_1/1)#exit ZXR10(config)#interface fei_1/2 ZXR10(config-fei_1/2)#monitor session 1 source ZXR10(config-fei_1/2)#exit 交换机B的配置: ZXR10(config)#interface fei_1/3 ZXR10(config-fei_1/3)#monitor session 1 destination rspan-vlanid 10 priority 1 3. 跨设备的端口镜像(ERSPAN) 交换机的配置: ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#monitor session 1 source direction rx ZXR10(config-fei_1/1)#exit ZXR10(config)#interface tunnel 1 ZXR10(config-tunnel1)#monitor session 1 destination erspan ttl 23 ZXR10(config-tunnel1)#tunnel mode gre ip 4-10 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 ZXR10(config-tunnel1)#tunnel source ipv4 10.1.1.5 ZXR10(config-tunnel1)#tunnel destination ipv4 10.1.1.6 显示端口镜像的配置: ZXR10(config)#show monitor session 1 Session 1 ----------------------------------------------Source Ports: Port: fei_1/1 Monitor Direction: rx Destination Port: Port: tunnel1 ERSPAN : Destination IP :10.1.1.6 Source :10.1.1.5 IP 4.3 端口环回检测配置 4.3.1 端口环回检测概述 ZXR10 3900E支持单端口环回检测。此功能能够检测到交换机下接的用户或者交换机上 的环回,从而对此端口进行处理,避免因下面用户或者设备的环回导致交换机广播风暴 等异常,从而将影响限制到某个端口。 在ZXR10 3900E上可以对交换机的某些端口或者所有端口进行环回检测,缺省为不检测。 支持基于VLAN的环回检测,不仅能够对端口的PVID所在的VLAN进行环回检测,还可 以在端口上针对用户指定的VLAN进行环回检测。一个端口最多可以同时支持8个VLAN 的环回检测。 4.3.2 配置端口环回检测 步骤 命令 功能 1 ZXR10(config)#loop-detect interface < port-name> [ enable | disable] 使能一个或者多个端口的环回检测 功能 2 ZXR10(config)#loop-detect interface < port-name>vlan< vlan-id> 配置端口进行环回检测的VLAN [ enable | disable] SJ-20100901084759-002 | 2011-02-10(R1.0) 4-11 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 步骤 命令 功能 3 ZXR10(config)#loop-detect protect-interface < port-name>< enable 设置环回检测保护端口 | disable> 在交换机检测到端口环回后将根据 此 端 口 的 protect 属 性 进 行 进 一 步 的 操作,如果端口的protect-interface属 性为enable,交换机告警提示检查到 环回,但不对此端口做任何其他操 作;如果端口的protect-interface属性 为disable,在检测到环回时将关闭此 端口。在启动环回检测后,protectinterface属性缺省为disable 4 ZXR10(config)#loop-detect reopen-time < interval> 设置端口检测到环回端口被关闭后 重新激活的时间 5 ZXR10(config)#show loop-detect interface 显示使能环回检测的端口 6 ZXR10(config)#show loop-detect interface-detail < port-name> 显示使能环回检测端口的详细信息 7 ZXR10(config)#show loop-detect protect-interface 显示使能环回检测保护端口 8 ZXR10(config)#show loop-detect reopen-time 显示环回检测关闭端口重新激活时间 4.3.3 配置端口环回检测实例 如图4-3所示,端口fei_1/3连接了一台计算机,登录到交换机进行配置和监测,端口fei_1/1 属于vlan 1和vlan 2,在fei_1/1上启动端口环回检测功能,并在vlan 1和vlan 2内同时进行环 回检测。在fei_1/1下挂一个交换机,此交换机上关闭生成树协议,并将两个端口用网线 自环连接,配置自环的两个端口以及连接到ZXR10 3900E交换机的端口的VLAN属性与 fei_1/1相同。 图4-3 端口环回检测示例 交换机A的配置: ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#switchport mode trunk 4-12 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 ZXR10(config-fei_1/1)#switchport trunk vlan 1-2 ZXR10(config-fei_1/1)#exit ZXR10(config)#loop-detect interface fei_1/1 enable ZXR10(config)#loop-detect protect-interface fei_1/1 enable ZXR10(config)#loop-detect reopen-time 5 ZXR10(config)#loop-detect interface fei_1/1 vlan 1-2 enable 显示启动端口环回检测的端口和端口的详细信息: ZXR10(config)#show loop-detect interface fei_1/1 ZXR10(config)#show loop-detect interface-detail isUp isMonitor Yes Yes reopenTime loopvlan 300 2 fei_1/1 isLoop isProtected Yes Yes vlanRange 1 2 4.4 端口光模块的DOM功能 4.4.1 DOM功能概述 DOM功能(数字诊断功能,digital optical monitoring)是光模块规格的一部分,支持数 字诊断功能的光模块能够读取光模块的温度,电压,电流,发送和接收功率等,另外 每个光模块在出厂的时候都设定了模块工作的一些门限值(包括alarm threshold和warning threshold),启动DOM功能后,可以通过光模块的I2C总线轮询模块的运行状态值,然 后和门限值进行比较,当当前值超出厂家设置的门限值时,可以通过syslog,SNMP trap 等方式发送告警。 4.4.2 配置DOM 4.4.2.1 端口下DOM功能的使能 命令 功能 ZXR10(config-fei_1/x)#optical-inform monitor { enable | disable} SFP DOM轮询检测功能需要在接口下有 命令行使能和关闭,缺省是关闭 使能后可以查看该端口光模块的轮询诊 断相关信息,否则无法显示光模块相关 信息 只支持物理接口(包括百兆/千兆/万兆 口) SJ-20100901084759-002 | 2011-02-10(R1.0) 4-13 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 4.4.2.2 查看当前光模块的温度等信息 命令 功能 ZXR10#show optical-info brief 显示接口的光模块信息,包括温度,电 压,电流,发送和接收功率等简明信息 支持单个接口查看和单板查看 只支持物理接口 举例 显示接口的光模块信息: ZXR10#show optical-inform brief Optical Optical Interface Temperature Voltage Current Tx Power Rx Power Name (Celsius) (mA) (mW) (Volts) (mW) -----------------------------------------------------------fei_1/21 12.00 5.00 60.00 0.00 1.00 fei_1/22 12.00 5.00 60.00 0.00 1.00 fei_1/23 12.00 5.00 60.00 0.00 1.00 fei_1/24 12.00 5.00 60.00 0.00 1.00 ZXR10#show optical-inform brief interface fei_1/23 Optical Optical Interface Temperature Voltage Current Tx Power Rx Power Name (Celsius) (mA) (mW) (mW) (Volts) ------------------------------------------------------------fei_1/23 12.00 5.00 60.00 0.00 1.00 门限阈值与具体硬件光模块支持有关。光模块类型,厂商不同,显示的信息也会有所不 同。 4.4.2.3 查看模块的温度等各种门限值信息 命令 功能 ZXR10#show optical-inform detail [ temperature | voltage | current | 显示接口的光模块信息,包括温度,电 rx-power |tx-power ] [ interface < interface-name> ] 压,电流,发送和接收功率等各种门限 值详细信息 支持单个接口查看和单板查看 命令参数解释: 4-14 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 参数 描述 interface < interface-name> 接口名称 temperature 光模块的温度 voltage 光模块的电压 current 光模块的电流 rx-power 光模块的接收功率 tx-power 光模块的发送功率 只支持物理接口。 举例 显示接口的光模块门限值信息: ZXR10#show optical-inform detail High Alarm Port temperature High Warn Low Warn Low Alarm Temperature Threshold Threshold Threshold Threshold (Celsius) (Celsius) (Celsius) (Celsius) (Celsius) ----------------------------------------------------------fei_1/1 48.1 100.0 100.0 0.0 0.0 fei_1/2 34.9 100.0 100.0 0.0 0.0 ZXR10#Show optical-inform Port detail Voltage High Alarm High Warn Low Warn Low Alarm Voltage Threshold Threshold Threshold Threshold (Volts) (Volts) (Volts) (Volts) (Volts) -----------------------------------------------------fei_1/1 3.30 6.50 6.50 3.50 3.50 fei_1/2 3.30 6.50 6.50 3.50 3.50 门限阈值与具体硬件光模块支持有关。光模块类型,厂商不同,显示的信息也会有所不 同。 SJ-20100901084759-002 | 2011-02-10(R1.0) 4-15 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 4.4.2.4 查看模块超出阀值的记录信息 命令 功能 ZXR10#show optical-inform threshold-alarm [ interface < interface-name> ] 显示接口的光模块信息,包括温度,电 压,电流,发送和接收功率等各种门限 值信息 支持单个接口查看和单板查看 只支持物理接口 举例 显示接口的光模块超出门限值时的告警信息: ZXR10#show optical-inform threshold-alarm Description: tem : temperature vol : volage tx rx : transmit power cur: current : receive power h-w : high-warning(+) h-a : high-alarm(++) l-w : low-warning(-) l-a : low-alarm(--) Interface Name Time in slot (DDDD:HH:MM:SS) Threshold Violation (DDDD:HH:MM:SS) Type(s) of Last Known Threshold Violation ------------------------------------------------------------gei_2/1/22 14:57:27 04/29/2008 14:57:07 04/29/2008 tem h-w -52.00C>=-52.00C 14:57:07 04/29/2008 vol h-w 5.00V>=5.00V 14:57:07 04/29/2008 cur l-w 60.00mA<=80.00mA 14:57:07 04/29/2008 rx l-a -440.00dBm<=-333.01dBm 14:57:07 04/29/2008 rx l-a -440.00dBm<=-333.01dBm gei_2/1/23 14:57:27 04/29/2008 14:57:07 04/29/2008 tem h-w -52.00C>=-52.00C 14:57:07 04/29/2008 vol h-w 5.00V>=5.00V 14:57:07 04/29/2008 cur l-w 60.00mA<=80.00mA 14:57:07 04/29/2008 rx l-a -440.00dBm<=-333.01dBm 4-16 SJ-20100901084759-002 | 2011-02-10(R1.0) 4 端口配置 14:57:07 04/29/2008 rx l-a -440.00dBm<=-333.01dBm 门限阈值与具体硬件光模块支持有关。光模块类型,厂商不同,显示的信息也会有所不 同。 SJ-20100901084759-002 | 2011-02-10(R1.0) 4-17 5 网络协议配置 本章包含如下主题: Ÿ IP地址配置 5-1 Ÿ ARP配置 5-3 5.1 IP地址配置 5.1.1 IP地址概述 IP协议栈中的网络层地址指的就是IP地址。一个IP地址主要由两部分组成:一部分是标 识该地址所属网络的网络位;另一部分是指明该网络上某个特定主机的主机位。 IP地址分为A、B、C、D、E五类,常用的为前三类,D类地址为网络组播地址,E类地 址保留。表5-1列出了每一类IP地址的范围。 表5-1 各类IP地址范围 类别 A类 首部特征位 0 网络位 8 主机位 24 范围 0.0.0.0~127.255.25 5.255 B类 10 16 16 128.0.0.0~191.255. 255.255 C类 110 24 8 192.0.0.0~223.255. 255.255 D类 1110 组播地址 224.0.0.0~239.255. 255.255 E类 1111 保留 240.0.0.0~255.255. 255.255 在A、B、C三类地址中,有一些地址被保留用于私有网络,建议在建立内部网络时使用 私网地址。这些地址是: l A类:10.0.0.0~10.255.255.255 l B类:172.16.0.0~172.31.255.255 SJ-20100901084759-002 | 2011-02-10(R1.0) 5-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) l C类:192.168.0.0~192.168.255.255 这种地址划分方法的初衷是为路由协议的设计提供便利,只从IP地址的首部特征位就可 以判定属于哪一类网络了。但是这种分类方法使得地址空间无法得到最大限度的利用, 随着互联网的急剧膨胀,地址短缺的问题愈来愈突出。 为了更大限度的使用IP地址,可将一个网络划分为多个子网。采用借位的方式,从主机 位的最高位开始借位作为子网位,主机位的剩余部分仍为主机位。这样IP地址的结构就 变为三部分:网络位、子网位和主机位。 网络位和子网位唯一标识一个网络。使用子网掩码确定IP地址中哪些部分属于网络位和 子网位,哪些部分属于主机位。子网掩码为“1”的部分对应IP地址的网络位和子网位, 为“0”的部分对应主机位。 子网的划分大大提高了IP地址的利用率,在一定程度上缓解了IP地址短缺的问题。 关于IP地址的规定: 1. 0.0.0.0在没有IP地址的主机启动时使用,通过RARP、BOOTP、DHCP来获得地址, 在路由表中该地址还用作缺省路由。 2. 255.255.255.255用于广播的目的地址,不能作源地址。 3. 127.X.X.X称为环回地址,即使不知道主机的实际IP地址,也可用该地址代表“本 机”。 4. 仅主机位都为“0”的地址表示该网络本身,主机位都为“1”的地址用作该网络的 广播地址。 5. 合法的主机IP地址其网络部分或主机部分都不能全“0”或全“1”。 5.1.2 配置IP地址 步骤 命令 功能 1 ZXR10(config)#interface < interface-name> 进入接口配置模式 2 ZXR10(config-fei_1/x)#ip address < ip-address>< net-mask>[< 设置接口IP地址 broadcast-address> ] [ secondary] 同一个接口上允许配置多个IP地址。 5.1.3 IP地址配置实例 假设要在ZXR10 3900E上创建vlan1这个三层接口,并配置该接口的IP地址为192.168.3.1, 掩码为255.255.255.0。具体配置如下: ZXR10(config)#interface vlan 1 ZXR10(config-if-vlan1)#ip address 192.168.3.1 255.255.255.0 5-2 SJ-20100901084759-002 | 2011-02-10(R1.0) 5 网络协议配置 使用show ip interface命令可以查看接口的IP地址。 5.2 ARP配置 5.2.1 ARP概述 当一个网络设备向另一个网络设备发送数据时,除了要知道目的设备的IP地址外,还要 知道目的设备的物理地址(MAC地址)。ARP(Address Resolution Protocol)的作用就是 将IP地址映射到物理地址,以保证通信的顺利进行。当网络中的一台设备和另一台物理 地址未知的设备通信时,将首先通过ARP获取对方的物理地址,具体过程如下。 源设备广播带有目的设备IP地址的ARP请求,这个网络上的所有设备都会收到这个ARP 请求。如果一台设备发现请求的是自身的IP地址,则记录发送者的ARP信息并向源设备发 送包含自身MAC地址的ARP应答。源设备通过这个ARP应答获得目的设备的MAC地址。 为了减少网络上的ARP包,并更快的发送数据,IP地址与MAC地址的映射关系被缓存在 本地ARP表中。当设备需要发送数据时,首先根据IP地址查找ARP表,如果在ARP表中 找到目的设备的MAC地址,就不需要再发送ARP请求。同时,由于交换机ARP表的容量 有限,而网络上的设备变动比较频繁,交换机要及时删除旧的ARP表项,更新发生了变 化的ARP表项,ARP表中的动态表项经过一段时间后会自动删除,这段时间称为ARP的 老化时间。 为了增加网络安全,ZXR10 3900E上支持将学习到的动态ARP转换成静态ARP和手工添加 静态ARP和永久ARP表项,静态ARP和永久ARP表项都不参与ARP老化。两者的区别在 于永久ARP在交换机关电重启以后仍然存在,而静态ARP表项在关电重启后则会消失。 为了防止ARP攻击,ZXR10 3900E上支持ARP保护功能,可以限制交换机或者是某个三 层接口学习到的ARP数量。 5.2.2 配置ARP 步骤 命令 功能 1 ZXR10(config)#arp protect { interface | mac | whole} limit-num 配置ARP保护 < number> 2 ZXR10(config)#arp to-static 将学习到的ARP变成静态ARP 3 ZXR10(config)#interface vlan < vlan-id> 进入三层VLAN接口 4 ZXR10(config-if-vlanX)#arp timeout < timeout> 配置在ARP缓冲区中ARP表项的老 化时间 5 ZXR10(config-if-vlanX)#set arp { static| permanent} < 添加ARP表项 ip-address>< hardware-address> 可以使用下列命令删除ARP表项: SJ-20100901084759-002 | 2011-02-10(R1.0) 5-3 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 命令 功能 ZXR10#clear arp-cache interface{ supervlan< id> | vlan< id> } [ < ipaddress> 删除指定接口ARP缓存中的所有动态 | dynamic| permanet| static] ARP表项 5.2.3 ARP配置实例 下面是ARP的一个配置实例。 ZXR10(config)#interface vlan 1 ZXR10(config-if-vlan1)#arp timeout 1200 使用以下命令可以查看指定接口的ARP表项。 ZXR10#show arp [ < interface-name> ] 下例为查看三层接口vlan1的ARP表: ZXR10#show arp Address Age(min) Hardware Addr 10.1.1.1 - 000a.010c.e2c6 Interface vlan1 10.1.100.100 18 00b0.d08f.820a vlan1 10.10.10.2 S 0000.1111.2222 vlan1 10.10.10.3 P 0000.1111.2221 vlan1 ZXR10# show arp结果Age中“-”代表此ARP为交换机VLAN接口的ARP,此ARP由配置交换机 VLAN接口地址时产生,“S”代表此ARP为静态ARP,“P”代表此ARP为手工添加的 永久ARP,数字则代表此ARP最后一次更新后的时间。 5-4 SJ-20100901084759-002 | 2011-02-10(R1.0) 6 ACL配置 本章包含如下主题: Ÿ ACL概述 6-1 Ÿ 配置ACL 6-2 Ÿ 入端口方向ACL配置实例 6-9 Ÿ ACL的维护与诊断 6-11 6.1 ACL概述 网络设备为了过滤数据,需要设置一系列匹配规则,以识别需要过滤的对象。在识别 出特定的对象之后,根据预先设定的策略允许或禁止相应的数据包通过。ACL(Access Control List)可用于实现这些功能。 通常使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。一个ACL中可以 包含一条或多条针对特定类型数据包的规则,这些规则告诉交换机,对于与规则中规定 的选择标准相匹配的数据包是允许还是拒绝通过。由ACL定义的数据包匹配规则,还可 以被其它需要对流量进行区分的场合引用,如在QoS中用于定义流分类规则。 ZXR10 3900E提供以下六种类型的ACL: l 基本ACL:只对源IP地址进行匹配。 l 扩展ACL:对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口 号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP(DiffServ Code Point)、ToS、Precedence进行匹配。 l 二层ACL:对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、 802.1p优先级值进行匹配。 l 混合ACL:对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、 TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配,包括 以上三种类型的所有匹配字段。 l 基本IPv6ACL:只对IPv6的源IP地址进行匹配。 l 扩展IPv6ACL:对IPv6的源和目的地址进行过滤。 SJ-20100901084759-002 | 2011-02-10(R1.0) 6-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 每个ACL都有一个用以识别的访问表号,它是一个数字,不同类型ACL的访问表号范围 如下: l 基本ACL:1~99,1000~1499 l 扩展ACL:100~199,1500~1999 l 二层ACL:200~299 l 混合ACL:300~349 l 基本IPv6ACL:2000~2499 l 扩展IPv6ACL:2500~2999 图6-1 ACL应用在物理端口和VLAN虚端口 ACL可以绑定到物理端口上,也可以绑定到VLAN虚端口上,对物理端口的绑定,又可 以分为三种情况: 1. 入端口VLAN处理。 2. 入端口方向上。 3. 出端口方向上。 如果物理端口在三种情况都有绑定,如果它们的动作冲突的话,后面的动作会覆盖前面 的动作。如果入端口VLAN处理和绑定到VLAN虚端口同时存在,优先执行入端口VLAN 处理,绑定到VLAN虚端口的优先级较低。 6.2 配置ACL ACL的配置包括以下六个步骤,依次进行配置: 6-2 1. 配置时间段。 2. 定义访问控制列表。 3. 将访问控制列表应用到入端口VLAN处理。 4. 将访问控制列表应用到VLAN虚端口。 5. 将访问控制列表应用到入端口方向。 6. 将访问控制列表应用到出端口方向。 SJ-20100901084759-002 | 2011-02-10(R1.0) 6 ACL 配 置 6.2.1 配置时间段 命令 功能 ZXR10(config)#time-range < time-range-name> { { from < hh:mm:ss>配置时间段< mm-dd-yyyy> [ to < hh:mm:ss>< mm-dd-yyyy> } | { < hh:mm:ss>to< hh:mm:ss> { daily | friday | monday | off-day | staturday | sunday | thursday | tuesday | wednesday | working-day} } } 对时间段的配置包括以下几种情况: l 配置每天的时间范围:规定每天的起始时分和结束时分。如果不配置,时间范围就 是一天内的所有时间。 l 配置周期范围:规定周期为每周的星期几。 l 配置日期范围:规定起始日期和结束日期。如果不配置,日期范围就是从配置生效 之日起到系统可以表示的最大时间为止。 6.2.2 定义ACL 配置ACL时,要先进入该ACL的配置模式,然后定义该ACL中的规则。 定义ACL中的规则时请注意以下事项: 1. 如果数据包同时满足多条规则,则匹配排在最前面的那条规则,因此这些规则的顺 序非常重要。一般把范围小的规则放在前面,范围大的规则放在后面。 2. 基于网络安全考虑,在每个ACL的最后,系统自动附加一条隐式的拒绝所有数据包 的deny规则。因此ACL的最后经常需要定义一条允许所有数据包的permit规则。 6.2.2.1 配置基本ACL 步骤 命令 功能 1 ZXR10(config)#acl standard { number < acl-number> | name < 进入基本ACL配置模式 acl-name> | alias < alias-name> } [ match-order { auto | config} ] 2 ZXR10(config-std-acl)#rule < 1-1000> { permit| deny} { < 配置ACL中的规则 source>[< source-wildcard> ] | any} [ time-range < timerange-name> ] 3 ZXR10(config-std-acl)#move < 1-1000> { after | before} < 将某一条规则移到另一条规则的前 1-1000> 面或后面 举例 定 义 一 个 基 本 ACL , 允 许 来 自 192.168.1.0/24 网 段 的 报 文 通 过 , 但 是 拒 绝 源 IP 地 址 为 192.168.1.100的报文。 ZXR10(config)#acl standard number 10 ZXR10(config-std-acl)#rule 1 deny 192.168.1.100 0.0.0.0 SJ-20100901084759-002 | 2011-02-10(R1.0) 6-3 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) ZXR10(config-std-acl)#rule 2 permit 192.168.1.0 0.0.0.255 6.2.2.2 配置扩展ACL 步骤 命令 功能 1 ZXR10(config)#acl extended { number < acl-number> | name < 进入扩展ACL配置模式 acl-name> | alias < alias-name> } [ match-order { auto | config} ] 2 ZXR10(config-ext-acl)#rule < rule-no> { permit| deny} icmp 定义基于ICMP的规则 { < source>< source-wildcard> | any} { < dest>< dest-wildcard> | any} [ < icmp-type> [ icmp-code < icmp-code> ] ] [ precedence < pre-value> ] [ tos < tos-value> ] [ dscp < dscp-value> ] [ time-range < timerange-name> ] 3 ZXR10(config-ext-acl)#rule < rule-no> { permit| deny} { < 定义基于IP或者IP协议号的规则(不 ip-number> | ip} { < source>< source-wildcard> | any} { < dest>< 包括ICMP,TCP,UDP) dest-wildcard> | any} [ precedence < pre-value> ] [ tos < tos-value> ] [ dscp < dscp-value> ] [ time-range < timerange-name> ] 4 ZXR10(config-ext-acl)#rule < rule-no> { permit| deny} tcp { < 定义基于TCP的规则 source>< source-wildcard> | any} { < rule>< port> } { < dest>< dest-wildcard> | any} [ < rule>< port> ] [ established] [ { [ precedence < pre-value> ] [ tos < tos-value> ] [ dscp < dscp-value> ] [ tcp-control < tcp-control-value> ] [ time-range < timerange-name> ] 5 ZXR10(config-ext-acl)#rule < rule-no> { permit| deny} udp 定义基于UDP的规则 { < source>< source-wildcard> | any} { < rule>< port> } { < dest>< dest-wildcard> | any} [ < rule>< port> ] [ precedence < pre-value> ] [ tos < tos-value> ] [ dscp < dscp-value> ] [ time-range < timerange-name> ] 6 ZXR10(config-ext-acl)#move < 1-1000> { after | before} < 将某一条规则移到另一条规则的前 1-1000> 面或后面 举例 定义一个扩展ACL,实现以下功能。 1. 对来自210.168.1.0/24网段、目的IP地址为210.168.2.10、源端口为100、目的端口为200 的UDP报文,允许通过。 2. 对来自192.168.2.0/24网段的BGP报文,拒绝通过。 3. 拒绝所有ICMP报文。 4. 拒绝所有IP协议号为8的报文。 ZXR10(config)#acl extended number 150 ZXR10(config-ext-acl)#rule 1 permit udp 210.168.1.0 0.0.0.255 Eq 100 210.168.2.10 0.0.0.0 eq 200 6-4 SJ-20100901084759-002 | 2011-02-10(R1.0) 6 ACL 配 置 ZXR10(config-ext-acl)#rule 2 deny tcp 192.168.2.0 0.0.0.255 Eq BGP any ZXR10(config-ext-acl)#rule 3 deny icmp any any ZXR10(config-ext-acl)#rule 4 deny 8 any any 6.2.2.3 配置二层ACL 步骤 命令 功能 1 ZXR10(config)#acl link { number < acl-number> | name < acl-name> 进入二层ACL配置模式 | alias < alias-name> } 2 ZXR10(config-link-acl)#rule < rule-no> { permit| deny} 配置ACL中的规则 < protocol> [ cos < cos-vlaue> ] [ egress { < destination-mac>< dest-mac-wildcard> | any} ] [ ingress { < source-mac>< src-mac-wildcard> | any} ] [ time-range < timerange-name> ] 3 ZXR10(config-link-acl)#move < 1-1000> { after | before} < 将某一条规则移到另一条规则的前 1-1000> 面或后面 举例 定义一个二层ACL,允许VLAN 10中源MAC地址为00d0.d0c0.5741、802.1p为5的IP包通 过,并丢弃收到的MPLS(以太网类型为8847)报文。 ZXR10(config)#acl link number 200 ZXR10(config-link-acl)#rule 1 permit ip cos 5 ingress 00d0.d0c0.5741 0000.0000.0000 ZXR10(config-link-acl)#rule 2 deny 8847 6.2.2.4 配置混合ACL 步骤 命令 功能 1 ZXR10(config)#acl hybrid { number < acl-number> | name < 进入混合ACL配置模式 acl-name> | alias < alias-name> } 2 ZXR10(config-hybd-acl)#rule < rule-no> { permit| deny} < 配置ACL中的规则 protocol-numberl> { { < source-ip>< source-ip-wildcard> } | any} [ eq < port-number> ] { { < destination-ip>< dest-ip-wildcard> } | any} [ eq < port-number> ] { < ethernet-protocol-number> | any | arp | ip} [ cos | dinvlan | doutervlan | egress | ingress | time-range] 3 ZXR10(config-hybd-acl)#move < 1-1000> { after | before} < 将某一条规则移到另一条规则的后面 1-1000> 举例 定义一个混合ACL,实现以下功能: 1. 对 来 自 210.168.1.0/24 网 段 、 目 的 IP 地 址 为 210.168.2.10 、 目 的 MAC 地 址 为 00d0.d0c0.5741、源端口为100、目的端口为200的UDP报文,允许通过。 SJ-20100901084759-002 | 2011-02-10(R1.0) 6-5 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 2. 拒绝来自192.168.3.0/24网段的BGP报文。 3. 拒绝源MAC地址为0100.2563.1425的报文。 ZXR10(config)#acl hybrid number 300 ZXR10(config-hybd-acl)#rule 1 permit udp 210.168.1.0 0.0.0.255 Eq 100 210.168.2.10 0.0.0.0 eq 200 any Egress 00d0.d0c0.5741 0000.0000.0000 ZXR10(config-hybd-acl)#rule 2 deny tcp 192.168.3.0 0.0.0.255 Eq BGP any any ZXR10(config-hybd-acl)#rule 3 deny ip any any any ingress 0100.2563.1425 0000.0000.0000 6.2.2.5 配置基本IPv6ACL 步骤 命令 功能 1 ZXR10(config)#ipv6 acl standard { number < acl-number> | name < 进入基本ACL配置模式 acl-name> | alias < alias-name> } 2 ZXR10(config-std-v6acl)#rule < 1-1000> { permit| deny} { < 配置ACL中的规则 source> | any} [ time-range < timerange-name> ] 3 ZXR10(config-std-v6acl)#move < rule-no> { after | before} < 将某一条规则移到另一条规则的前 rule-no> 面或后面 举例 定义一个基本ACL,允许来自3001::/16网段的报文通过。 ZXR10(config)#ipv6 acl standard number 2000 ZXR10(config-std-v6acl)#rule 1 permit 3001::/16 6.2.2.6 配置扩展IPv6ACL 步骤 命令 功能 1 ZXR10(config)#ipv6 acl extended { number < acl-number> | name < 进入基本ACL配置模式 acl-name> | alias < alias-name> } 2 ZXR10(config-ext-v6acl)#rule < 1-1000> { permit| deny} ip { < 配置ACL中的规则 source> | any} { < dest> | any} [ time-range < timerange-name> ] 3 ZXR10(config-ext-v6acl)#move < rule-no> { after | before} < 将某一条规则移到另一条规则的前 rule-no> 面或后面 举例 定义一个基本ACL,允许来自3000::/16网段,目的网段为4000::/16网段的报文通过。 ZXR10(config)#ipv6 acl extended 2500 ZXR10(config-ext-v6acl)#rule 1 permit 3000::/16 4000::/16 6-6 SJ-20100901084759-002 | 2011-02-10(R1.0) 6 ACL 配 置 6.2.3 将ACL应用到VLAN虚端口 定义ACL后,可以将其应用到VLAN虚端口。 步骤 命令 功能 1 ZXR10(config)#vlan < vlan-number> 进入VLAN配置模式 2 ZXR10(config-vlanX)#ip access-group < acl-number> in 将访问控制列表应用到VLAN虚端口 3 ZXR10(config-vlanX)#no ip access-group < acl-number> in 将访问控制列表入端口从VLAN虚 端口解绑定 说明: 将ACL应用到VLAN虚端口,每个VLAN虚端口只能应用一个ACL,新的配置会覆盖旧的 配置。 例如:在VLAN配置模式下,先后配置了以下两条命令: ZXR10(config-vlan1)#ip access-group 10 in ZXR10(config-vlan1)#ip access-group 100 in 那么在VLAN虚端口只有ACL 100生效。 绑定到VLAN的ACL的逻辑是在VLAN之前,和入端口VLAN处理并列,如果两个同时配 置,入端口VLAN处理优先级高于绑定到VLAN虚端口的优先级。绑定到VLAN的ACL只 能匹配该VLAN的数据包,对其他VLAN的数据包没有任何作用。 6.2.4 将ACL应用到入端口方向 定义ACL后,可以将其应用到入端口方向上。 步骤 命令 功能 1 ZXR10(config)#interface< interface-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#ip access-group < acl-number> in 将访问控制列表应用到入端口方向 3 ZXR10(config-fei_1/x)#no ip access-group < acl-number> in 将访问控制列表从入端口方向上解 绑定 SJ-20100901084759-002 | 2011-02-10(R1.0) 6-7 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 说明: 每个入端口方向上,只能应用一个ACL,新的配置会覆盖旧的配置。 例如:在端口配置模式下,先后配置了以下两条命令: ZXR10(config-fei_1/1)#ip access-group 10 in ZXR10(config-fei_1/1)#ip access-group 100 in 那么在入端口方向上只有ACL 100生效,在出端口方向上情况类似。 如果将配置改为: ZXR10(config-fei_1/1)#ip access-group 10 in ZXR10(config-fei_1/1)#ip access-group 100 out 那么ACL 10在入端口方向上生效,ACL 100则在入端口方向上生效。 6.2.5 将ACL应用到物理端口 步骤 命令 功能 1 ZXR10(config)#interface < port-name> 进入端口配置模式 2 ZXR10(config-fei_1/x)#ip access-group < acl-number> in 将访问控制列表应用到物理端口 说明: 一个物理端口只能应用一个ACL,新的配置会覆盖旧的配置。例如:在fei_1/1端口配置 模式下,先后配置了以下两条命令: ZXR10(config-fei_1/1)#ip access-group 10 in ZXR10(config-fei_1/1)#ip access-group 100 in 那么只有ACL 100生效。 6.2.6 ACL支持重命名 使用下面的命令可以为ACL的规则配置一个名字。 步骤 命令 功能 1 ZXR10(config)#acl standard { number < acl-number> | name < 进入基本ACL配置模式 acl-name> } 6-8 SJ-20100901084759-002 | 2011-02-10(R1.0) 6 ACL 配 置 步骤 命令 功能 2 ZXR10(config-std-acl)#rule < 1-100> { permit| deny} { < source> 配置ACL中的规则 [ < source-wildcard> ] | any} [ time-range < timerange-name> ] 3 ZXR10(config-std-acl)#rule-description < 1-100>< 给某一条规则配置名字 rule-description> 示例:定义一个基本ACL,允许来自192.168.1.0/24网段的报文通过,但是拒绝源IP地址 为192.168.1.100的报文,可以给规则1和规则2 分别配置一个名字。 ZXR10(config)#acl standard number 10 ZXR10(config-std-acl)#rule 1 deny 192.168.1.100 0.0.0.0 ZXR10(config-std-acl)#rule-description 1 test1 ZXR10(config-std-acl)#rule 2 permit 192.168.1.0 0.0.0.255 ZXR10(config-std-acl)#rule-description 2 test2 说明: 目前只有IPv4 标准ACL、IPv4 扩展ACL、IPv4 混合ACL、IPv4 二层ACL支持ACL重命名 功能。 6.3 入端口方向ACL配置实例 如图6-2所示,某公司有一台以太网交换机,服务器和部门A、部门B的用户都连接到这 台交换机上,并有以下规定: 1. 部门A和部门B的用户在上班时间(9:00~17:00)不允许访问FTP服务器和VOD服务 器,但可以随时访问Mail服务器。 2. 内部用户可以通过代理192.168.3.100访问Internet,但不允许部门A的用户在上班时间 访问Internet。 3. 部门A和部门B的总经理(IP地址分别为192.168.1.100和192.168.2.100)可以随时访问 Internet和所有服务器。 服务器的IP地址分配如下: l Mail服务器:192.168.4.50。 l FTP服务器:192.168.4.60。 l VOD服务器:192.168.4.70。 SJ-20100901084759-002 | 2011-02-10(R1.0) 6-9 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 图6-2 ACL配置实例 交换机的配置: ZXR10(config)#time-range working-time 9:00:00 to 17:00:00 daily ZXR10(config)#acl extended number 100 ZXR10(config-ext-acl)#rule 1 permit ip 192.168.1.100 0.0.0.0 any ZXR10(config-ext-acl)#rule 2 deny ip 192.168.1.0 0.0.0.255 192.168.4.60 0.0.0.0 time-range working-time ZXR10(config-ext-acl)#rule 3 deny tcp any eq 8888 192.168.4.70 0.0.0.0 time-range working-time ZXR10(config-ext-acl)#rule 4 deny ip any 192.168.3.100 0.0.0.0 time-range working-time ZXR10(config-ext-acl)#rule 5 permit ip any any ZXR10(config)#acl extended number 101 ZXR10(config-ext-acl)#rule 1 permit ip 192.168.2.100 0.0.0.0 any ZXR10(config-ext-acl)#rule 2 deny ip 192.168.2.0 0.0.0.255 192.168.4.60 0.0.0.0 6-10 SJ-20100901084759-002 | 2011-02-10(R1.0) 6 ACL 配 置 time-range working-time ZXR10(config-ext-acl)#rule 3 deny tcp any eq 8888 192.168.4.70 0.0.0.0 time-range working-time ZXR10(config-ext-acl)#rule 4 permit ip any any ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#ip access-group 100 in ZXR10(config-fei_1/1)#exit ZXR10(config)#interface fei_1/2 ZXR10(config-fei_1/2)#ip access-group 101 in ZXR10(config-fei_1/2)#exit 说明: 入端口VLAN处理,绑定到VLAN的ACL以及出端口方向ACL配置处理和入端口方向ACL 配置实例类似。 6.4 ACL的维护与诊断 为了便于ACL的维护与诊断,ZXR10 3900E提供了相关查看命令。 步骤 命令 功能 1 ZXR10#show acl [ < acl-number>|< acl-name> ] 显示所有或指定表号的ACL的内容 2 ZXR10#show running-config interface < interface-name> 查看物理端口是否应用了ACL 3 ZXR10#show access bound 查看哪些端口绑定了哪些ACL 4 ZXR10#show access vlan-bound 查看哪些VLAN绑定了哪些ACL 5 ZXR10#show access brief 查看当前配置的ACL以及rule的数目 SJ-20100901084759-002 | 2011-02-10(R1.0) 6-11 7 QoS配置 本章包含如下主题: Ÿ QoS概述 7-1 Ÿ 配置QoS 7-5 Ÿ QoS配置实例 7-11 Ÿ QoS的维护与诊断 7-14 7.1 QoS概述 传统网络提供的是尽力而为的服务,所有报文都被无区别的对待,网络设备按照先来先 服务的原则尽最大努力把报文送到目的地,但对报文传送的可靠性、传送延迟等性能不 提供任何保证。 随着新应用的不断出现,对网络的服务质量也提出了新的要求,传统网络的“尽力服务” 已经不能满足应用的需要。如VoIP业务、实时图像传输,如果报文传送延时太长,用户 将无法正常使用。为网络提供支持QoS的能力是解决问题的可行方法。 QoS旨在针对各种应用的不同需求,为其提供不同的服务质量,如提供专用带宽、减少报 文丢失率、降低报文传送时延及时延抖动等。为实现上述目的,QoS提供了下列功能: 1. 流分类 2. 流量监管 3. 流量整形 4. 队列调度及缺省802.1p优先级 5. 重定向及策略路由 6. 优先级标记 7. 流镜像 8. 流量统计 9. 添加/删除/修改vlan id SJ-20100901084759-002 | 2011-02-10(R1.0) 7-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 7.1.1 流分类 流(traffic)是指通过交换机的报文。流分类就是对通过交换机的报文进行分类,定义或 描述具有某种特征的报文。 QoS的流分类是基于ACL的,且ACL的规则必须是permit。用户可以根据ACL的一些过滤选 项来对报文进行分类,如报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、 IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP 类型、ICMP Code、DSCP、ToS、Precedence、IN VLAN ID或者 Out Vlan ID、802.1p优 先级值。 7.1.2 流量监管 流量监管就是对某一业务流进行带宽限制,防止其超过规定的带宽,对其它业务流造成 影响。对超出部分的流量可以进行以下操作: l 丢弃或转发。 l 改变其DSCP值。 l 改变其丢弃优先级(高丢弃优先级的报文在队列拥塞时被优先丢弃)。 流量监管不会引入额外的延迟,工作流程如图7-1所示。 图7-1 流量监管工作流程 ZXR10 3900E上实现单速率三色标记(Single Rate Three Color Marker)(RFC2697)和双 速率三色标记(Two Rate Three Color Marker)(RFC2698)功能,两种算法都支持在色 盲(Color-Blind)和色敏感(Color-Aware)模式。 Meter工作在两种模式下:在色盲模式下,它假设包是无色的;而在色敏感模式下,它假 设包是被标记过颜色的。在交换机上,经过交换机的数据包会根据一定的原则(数据包 7-2 SJ-20100901084759-002 | 2011-02-10(R1.0) 7 QoS 配 置 的信息)给每个包分配一个颜色。Maker根据Meter的结果对IP包进行着色,颜色被标记 在DS域中。 下面分别介绍两种标记算法。 1. 单速率三色标记(SrTCM) 本算法被用于Diffserv流量调节器(traffic conditioner)中。SrTCM测量信息流,并根 据三种流量参数(提交信息速率,Committed Information Rate,CIR;提交组量大小 Committed Burst Size,CBS;超量组量大小Excess Burst Size,EBS)对包进行标记,这 三个参数分别称为绿,黄和红标记。一个包通过入口监管时先从CBS桶中取令牌, 如果能取到,包就是绿色。从CBS桶中取不到时从EBS桶中取令牌,如果能取到就是 黄色。如果从EBS中还取不到令牌,包就是红色。默认情况下红色包被丢弃。 2. 双速率三色标记(TrTCM) 本算法被用于Diffserv流量调节器(traffic conditioner)中。trTCM测量IP信息流,并根据 两种速率:峰值信息速率(Peak Information Rate ,PIR)和提交信息速率(Committed Information Rate,CIR)和他们各自相关的组量大小(CBS和PBS)来标记数据包为 绿,黄和红。如果包超过PIR标记为红色,否则,超过CIR标记为黄色,没有超出 CIR标记为绿色。 7.1.3 流量整形 流量整形是对输出报文的速率进行控制,使报文以均匀的速率发送出去。使用流量整形 通常是为了使报文速率与下游设备相匹配,以避免发生拥塞和报文丢弃。 流量整形和流量监管的主要区别在于:流量整形是缓存超过速率限制的报文,使报文 以均匀的速率发送出去,而流量监管则是丢弃超过速率限制的报文。流量整形会增加延 迟,而流量监管不会引入额外的延迟。 7.1.4 添加/删除/修改vlan-id 修改外层标签。 SJ-20100901084759-002 | 2011-02-10(R1.0) 7-3 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 7.1.5 队列调度及缺省802.1p优先级 ZXR10 3900E的每个物理端口支持8个输出队列(队列0~7),称为CoS队列。交换机根 据报文的802.1p所对应的CoS队列进行入端口输出队列操作。当网络发生拥塞时,会出现 多个报文同时竞争使用资源的情况,通常采用队列调度解决这一问题。 ZXR10 3900E支持两种队列调度方式:严格优先级调度(SP)和加权轮循(WRR)。端 口的8个输出队列可以分别采用不同的方式。 l 严格优先级调度(SP) 严格优先级调度就是严格按照队列的优先级来对各个队列的数据进行调度。首先让 最高优先级队列中的报文出队并发送,直到这个队列中的报文发送完,再发送次高 优先级队列中的报文。同样,直到次高优先级队列中的报文发送完后,再发送下一 个优先级队列中的报文,以此类推。 严格优先级调度使得关键业务的报文能够得到优先处理,使关键业务的服务质量得 到保证。但是,低优先级的队列有可能永远得不到处理,发生“饿死”现象。 l 加权轮循(WRR) 加权轮循使每个队列都有机会被调度,不会发生“饿死”现象。但是每个队列接受 调度的时间不同,即各自的权重不同(权重表示每个队列获得资源的比例),高优 先级队列中的报文获得调度的机会高于低优先级队列。 802.1p标签中包含了数据的优先级,如果进入端口的数据没有加802.1p标签,交换机会分 配的一个缺省的802.1p值。 7.1.6 重定向及策略路由 重定向是指根据流分类对具有某种特征的数据报文的转发作出重新决策,改变报文的输 出方向,将其输出到指定的端口、CPU或下一跳IP地址。 将数据报文重定向到下一跳IP地址,可用于实现策略路由。 在报文转发控制方面,基于策略的路由比传统路由控制能力更强,它可以根据ACL中所 匹配的字段来选择转发途径。策略路由可以在一定程度上实现流量工程,使不同服务质 量的流或不同业务的数据(如语音和FTP)走不同的路径。用户对网络性能的要求越来 越高,按业务或用户类别差异来选择不同的数据包转发路径是很有必要的。 7.1.7 优先级标记 优先级标记就是为ACL所描述的特定流重新分配一套服务参数,可以进行以下几种操作。 7-4 1. 改变数据报文的CoS队列,并且改变802.1p值。 2. 改变数据报文的CoS队列,但不改变802.1p值。 SJ-20100901084759-002 | 2011-02-10(R1.0) 7 QoS 配 置 3. 改变数据报文的DSCP值。 4. 改变数据报文的丢弃优先级。 7.1.8 流镜像 流镜像就是将匹配ACL规则的业务流复制到CPU或指定的端口,用于报文的分析和监视, 通常在进行网络故障诊断时使用。 7.1.9 流量统计 流量统计用于统计指定业务流的数据包,以便了解网络的实际情况,合理分配网络资源。 流量统计的主要内容是端口入方向收到的数据包的个数。 7.2 配置QoS 7.2.1 配置流量监管 7.2.1.1 配置一级流量监管 命令 功能 ZXR10(config)#traffic-limit-micro < acl-number>rule-id< rule-no>cir< 配置一级流量监管功能 cir-value>cbs< cbs-value> [ [ [ [ ebs < ebs-value> ] | [ pir < pir-value> { pbs< pbs-value> } [ modified-trtcm] ] ] { mode < mode> [ [ drop-yellow] [ forward-red] [ remark-red-dp { high| low| medium} ] [ remark-red-dscp< value> ] [ remark-yellow-dp { high| low| medium} ] [ remark-yellow-dscp < value> ] ] } ] | [ [ forward-red] [ remark-red-dp { high| low| medium} ] [ remark-red-dscp< value> ] ] ] 在ZXR10 3900E中,使用traffic-limit命令配置流量监管功能,着色算法配置参数有cir、 cbs、ebs、pir,在配置了pir时,表示使用双速率的标记算法,其中的ebs参数表示协议中 规定的pbs参数。 参数modified-trtcm表示配置的是modified双速率三色标记模式(RFC4115),用于和双 速率三色标记模式(RFC2698)做区分。 参数mode < mode> ,blind表示工作在色盲的模式下,aware表示工作在色敏感的模式下。 参数drop-yellow表示是标记为黄色的数据包丢弃,默认情况下转发。 参数forward-red表示是转发标记为红色的数据包,默认情况下是丢弃;如果配置了二级 流量监管,该字段必须配置。 参数remark用与对着色后的数据包的服务参数进行重新标记的功能。 l remark-red-dp:重新改写红色包的丢弃优先级,优先级的参数为高中低。 SJ-20100901084759-002 | 2011-02-10(R1.0) 7-5 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) l remark-red-dscp:重新改写红色包的DSCP优先级,优先级参数为0~63。 l remark-yellow-dp:重新改写黄色包的丢弃优先级,优先级参数为高中低。 l remark-yellow-dscp:重新改写黄色包的DSCP值,优先级参数为0~63。 举例 对端口fei_1/1上目的IP地址为168.2.5.5的数据包进行流量监管,设定带宽为10M。 ZXR10(config)#acl extended number 100 ZXR10(config-ext-acl)#rule 1 permit ip any 168.2.5.5 0.0.0.0 ZXR10(config-ext-acl)#exit ZXR10(config)#traffic-limit_micro 100 rule-id 1 cir 10000 cbs 2000 pir 10001 pbs 2000 mode blind ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#ip access-group 100 in 7.2.2 配置添加/删除/修改vlan-id 命令 功能 ZXR10(config)#qos set change-vlan acl < acl-number>rule< rule-id> { add 添加/删除/修改VLAN的功能 { inner-vlan | outer-vlan} < vlan-id> | change { inner-vlan | outer-vlan} < vlan-id> | delete inner-vlan } 举例 对端口fei_1/1上目的IP地址为168.2.5.1的数据包修改外层vlan-id为100,配置如下: ZXR10(config)#acl extended number 100 ZXR10(config-ext-acl)#rule 1 permit ip any 168.2.5.1 0.0.0.0 ZXR10(config-ext-acl)#exit ZXR10(config)#qos set change-vlan acl 100 rule 1 change out-vlan 100 ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#ip access-group 100 in 7-6 SJ-20100901084759-002 | 2011-02-10(R1.0) 7 QoS 配 置 说明: 出端口方向ACL不支持该功能。 入端口方向ACL仅支持修改外层vlan-id。 绑定到VLAN的ACL和入端口VLAN处理支持该功能所有项。 7.2.3 配置流量限速 命令 功能 ZXR10(config-fei_1/x)#traffic-shape data-rate < rate-value> burst-size 配置端口流量限速 < value> 举例 在端口fei_1/1上进行流量整形,配置入端口速率为20M。 ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#traffic-shape data-rate 20000 burst-size 4 7.2.4 配置流量带宽限制 命令 功能 ZXR10(config-fei_1/x)#traffic-shape queue < queue-no> { 配置队列最大最小带宽限制 max-datarate-limit < max-daterate-vlaue> | min-gua-datarate < min-datarate-vlaue> } 举例 在端口fei_1/1上进行配置队列带宽限制,队列1的最大带宽限制为20M最小带宽保证为 2M,队列2的最大带宽限制为20M,队列3的最小带宽保证为2M。 ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#traffic-shape queue 1 max-datarate-limit 20000 min-gua-datarate 2000 ZXR10(config-fei_1/1)#traffic-shape queue 2 max-datarate-limit 20000 ZXR10(config-fei_1/1)#traffic-shape queue 3 min-gua-datarate 2000 SJ-20100901084759-002 | 2011-02-10(R1.0) 7-7 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 7.2.5 配置队列调度及端口缺省802.1p优先级 ZXR10 3900E支持两种队列调度方式:严格优先级调度(SP)和加权轮循(WRR)。当 两种方式混合使用时,SP优先于WRR。 命令 功能 ZXR10(config-fei_1/x)#queue-mode strict-priority| wrr < Queue 配置队列调度及端口缺省802.1p优先级 number>< Queue weight> 举例 在端口fei_1/1上实施严格优先级调度;在端口fei_1/2上实施WRR调度,队列0~7的权重 依次为10、5、8、10、5、8、9、10;配置端口fei_1/2的缺省802.1p为5。 ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#queue-mode strict-priority ZXR10(config-if)#exit ZXR10(config)#interface fei_1/2 ZXR10(config-fei_1/2)#queue-mode wrr 0 10 ZXR10(config-fei_1/2)#queue-mode wrr 1 5 ZXR10(config-fei_1/2)#queue-mode wrr 2 8 ZXR10(config-fei_1/2)#queue-mode wrr 3 10 ZXR10(config-fei_1/2)#queue-mode wrr 4 5 ZXR10(config-fei_1/2)#queue-mode wrr 5 8 ZXR10(config-fei_1/2)#queue-mode wrr 6 9 ZXR10(config-fei_1/2)#queue-mode wrr 7 10 ZXR10(config-fei_1/2)#priority 5 7.2.6 配置重定向及策略路由 命令 功能 ZXR10(config)#redirect < acl-number>rule-id< rule-no> { cpu| interface 配置重定向 < port-name> | next-hop < ip-address> } 举例 将端口fei_1/4上源IP地址为168.2.5.5的数据包重定向到端口fei_1/3上;同时对目的IP地址 为66.100.5.6的数据包实施策略路由,指定下一跳IP地址为166.88.96.56。 ZXR10(config)#acl extend number 100 ZXR10(config-ext-acl)#rule 1 permit ip 168.2.5.5 0.0.0.0 any 7-8 SJ-20100901084759-002 | 2011-02-10(R1.0) 7 QoS 配 置 ZXR10(config-ext-acl)#rule 2 permit ip any 66.100.5.6 0.0.0.0 ZXR10(config-ext-acl)#exit ZXR10(config)#redirect 100 rule-id 1 interface fei_1/3 ZXR10(config)#redirect 100 rule-id 2 next-hop 166.88.96.56 ZXR10(config)#interface fei_1/4 ZXR10(config-fei_1/4)#ip access-group 100 in 7.2.7 配置优先级标记 命令 功能 ZXR10(config)#priority-mark < acl-number>rule-id< rule-no> { 配置优先级标记 dscp < dscp-value> | cos< cos-value>local-precedence< local-value>drop-precedence< dropl-value> } } 举例 对端口fei_1/1上源IP地址为168.2.5.5的数据包改变其DSCP值为34,并选择输出队列为4。 ZXR10(config)#acl standard number 10 ZXR10(config-std-acl)#rule 1 permit 168.2.5.5 ZXR10(config-std-acl)#exit ZXR10(config)#priority-mark 10 rule-id 1 dscp 34 cos 4 drop-precedence low ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#ip access-group 10 in 7.2.8 配置外层VLAN值 使用以下命令配置匹配ACL规则的流的外层VLAN值。 命令 功能 ZXR10(config)#qos set acl-svlan-map acl { acl-number | acl-name} rule < 配置匹配ACL规则的流的外层VLAN值 rule-id> to out-vlanid-< vlan-id> 举例 接口fei_1/4上符合ACL规则1的流的外层VLAN标志设为2000。 ZXR10(config)#acl standard number 10 ZXR10(config-std-acl)#rule 1 permit 168.2.5.5 ZXR10(config-std-acl)#exit ZXR10(config)#interface fei_1/4 SJ-20100901084759-002 | 2011-02-10(R1.0) 7-9 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) ZXR10(config-fei_1/4)#ip access-group 10 in ZXR10(config-fei_1/4)#exit ZXR10(config)#qos set change-vlan acl 10 rule 1 change outer-vlan 2000 7.2.9 配置流镜像 命令 功能 ZXR10(config)#traffic-mirror < acl-number>rule-id< rule-no> { cpu| 配置流镜像 interface < interface-num> } 举例 将端口fei_1/8上源IP地址为168.2.5.6的数据流镜像到fei_1/4上。 ZXR10(config)#acl standard number 10 ZXR10(config-std-acl)#rule 1 permit 168.2.5.5 ZXR10(config-std-acl)#rule 2 permit 168.2.5.6 ZXR10(config-std-acl)#exit ZXR10(config)#traffic-mirror 10 rule-id 2 interface fei_1/4 ZXR10(config)#interface fei_1/8 ZXR10(config-fei_1/8)#ip access-group 10 in ZXR10(config-fei_1/8)#exit 7.2.10 配置尾丢弃 步骤 命令 功能 1 ZXR10(config)#qos tail-drop < session-index>queue-id< queue-id>配置尾丢弃参数< all-threshold>< yellow-threshold>< red-threshold> 2 ZXR10(config-fei_1/x)#drop-mode tail-drop < session-id> 在端口上使其生效 举例 配置尾丢弃参数,队列1红包的丢弃阈值为120,黄色包的丢弃阈值为120,所有包的丢弃 阈值为240。并把其配置应用到端口fei_1/8上。 ZXR10(config)#qos tail-drop 1 queue-id 1 240 120 120 ZXR10(config)#interface fei_1/8 ZXR10(config-fei_1/8)#drop-mode tail-drop 1 7-10 SJ-20100901084759-002 | 2011-02-10(R1.0) 7 QoS 配 置 7.2.11 配置流量统计 命令 功能 ZXR10(config)#traffic-statistics < acl-number>rule-id< rule-no> pkt-type 配置流量统计 { all| green| red| yellow} statistics-type { byte| packet} 举例 对端口fei_1/8上目的IP地址为67.100.88.0/24网段的数据进行流量统计,统计字节方式和 所有的包。 ZXR10(config)#acl extend number 100 ZXR10(config-ext-acl)#rule 1 permit ip 168.2.5.5 0.0.0.0 any ZXR10(config-ext-acl)#rule 2 permit ip any 67.100.88.0 0.0.0.255 ZXR10(config-ext-acl)#exit ZXR10(config)#traffic-statistics 100 rule-id 2 pkt-type all statistics-type byte ZXR10(config)#interface fei_1/8 ZXR10(config-fei_1/8)#ip access-group 100 in 7.3 QoS配置实例 7.3.1 QoS典型配置实例 如图7-2所示,网络A、网络B以及内部服务器都连接到一台以太网交换机上。内部服务 器中有一台VOD服务器,IP地址为192.168.4.70,为了保证VOD的服务质量,必须为其配 置较高的优先级。内部用户可以通过代理192.168.3.100访问Internet,但需要对网络A和网 络B的带宽进行限制,并进行流量统计。 SJ-20100901084759-002 | 2011-02-10(R1.0) 7-11 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 图7-2 QoS典型配置实例 交换机的配置: ZXR10(config)#acl extend number 100 ZXR10(config-ext-acl)#rule 1 permit tcp any 192.168.4.70 0.0.0.0 ZXR10(config-ext-acl)#rule 2 permit ip any 192.168.3.100 0.0.0.0 ZXR10(config-ext-acl)#rule 3 permit ip any any ZXR10(config-ext-acl)#exit ZXR10(config)#priority-mark 100 rule-id 1 dscp 62 local-precedence 7 ZXR10(config)#traffic-limit 100 rule-id 2 cir 5000 cbs 2000 ebs 3000 mode blind ZXR10(config)#traffic-statistics 100 rule-id 2 pkt-type all statistics-type byte ZXR10(config)#acl extend number 101 ZXR10(config-ext-acl)#rule 1 permit tcp 192.168.2.0 0.0.0.255 192.168.4.70 0.0.0.0 ZXR10(config-ext-acl)#rule 2 permit ip any 192.168.3.100 0.0.0.0 ZXR10(config-ext-acl)#rule 3 permit ip any any ZXR10(config-ext-acl)#exit ZXR10(config)#priority-mark 101 rule-id 1 dscp 62 local-precedence 7 7-12 SJ-20100901084759-002 | 2011-02-10(R1.0) 7 QoS 配 置 ZXR10(config)#traffic-limit 101 rule-id 2 cir 10000 cbs 2000 ebs 3000 mode blind ZXR10(config)#traffic-statistics 101 rule-id 2 pkt-type all statistics-type byte ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#ip access-group 100 in ZXR10(config-fei_1/1)#exit ZXR10(config)#interface fei_1/2 ZXR10(config-fei_1/2)#ip access-group 101 in 7.3.2 策略路由配置实例 当网络中存在多个互联网服务提供商(ISP)出口时,可以通过策略路由为不同组别的用 户选择不同的ISP出口,也可以基于服务的种类来选择不同的ISP出口。 如图7-3所示,交换机连接了两个子网的用户,且有两个ISP出口可供使用,要求根据用 户的IP地址选择不同的出口,子网10.10.0.0/24的用户使用ISP1出口,而子网11.11.0.0/24 的用户使用ISP2出口。 图7-3 策略路由配置实例 交换机的配置: ZXR10(config)#acl standard number 10 ZXR10(config-std-acl)#rule 1 permit 10.10.0.0 0.0.0.255 ZXR10(config-std-acl)#rule 2 permit 11.11.0.0 0.0.0.255 ZXR10(config-std-acl)#exit ZXR10(config)#redirect 10 rule-id 1 next-hop 100.1.1.1 ZXR10(config)#redirect 10 rule-id 2 next-hop 200.1.1.1 SJ-20100901084759-002 | 2011-02-10(R1.0) 7-13 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) ZXR10(config)#interface fei_1/1 ZXR10(config-fei_1/1)#ip access-group 10 in ZXR10(config-fei_1/1)#exit ZXR10(config)#interface fei_1/2 ZXR10(config-fei_1/2)#ip access-group 10 in 7.4 QoS的维护与诊断 命令 功能 ZXR10(config)#show qos [ name < acl-name> | number < acl-number> ] 显示QoS配置信息的命令 举例 ZXR10(config)#show qos traffic-limit-macro template 100 rule-group 1 cir 100000 cbs 100 mode single-or traffic-limit-micro 100 rule-id 1 cir 10000 cbs 100 traffic-limit-macro template-bind 100 group-id 1 with rule-id 1 traffic-limit-micro 100 rule-id 2 cir 20000 cbs 100 traffic-limit-macro template-bind 100 group-id 1 with rule-id 2 traffic-limit-micro 100 rule-id 3 cir 30000 cbs 100 traffic-limit-macro template-bind 100 group-id 1 with rule-id 3 traffic-limit-micro 100 rule-id 4 cir 20000 cbs 100 traffic-limit-macro template-bind 100 group-id 1 with rule-id 4 7-14 SJ-20100901084759-002 | 2011-02-10(R1.0) 8 DHCP配置 本章包含如下主题: Ÿ DHCP概述 8-1 Ÿ 配置DHCP 8-2 Ÿ DHCP配置实例 8-14 Ÿ DHCP的维护与诊断 8-18 8.1 DHCP概述 DHCP(动态主机配置协议)能够让网络上的主机从一个DHCP服务器上获得一个可以 让其正常通信的IP地址以及相关的配置信息。RFC2131详细的描述了DHCP。 DHCP采用UDP作为传输协议,主机发送消息到DHCP服务器的67号端口,服务器回消 息给主机的68号端口。DHCP的工作主要分为以下几步: 1. 主机发送一个请求IP地址和其他配置参数的广播报文DHCPDiscover。 2. DHCP服务器回送一个包含有效IP地址及配置的单播报文DHCPOffer。 3. 主机选择最先到达的DHCPOffer的那个服务器,并向它发送一个广播报文DHCPRequest,表示接受相关配置。 4. 选中的DHCP服务器回送一个确认的单播报文DHCPAck。 至此,主机就可以利用从DHCP服务器获得的IP地址和相关配置进行通信。 DHCP服务器为主机分配的IP地址有三种形式: 1. 管理员将一个IP地址分配给一个确定的主机。 2. 随机的将地址永久性分配给主机。 3. 随机将地址分配给主机使用一段时间。 常用的是第3种形式。地址的有效使用时间段称为租用期。租用期满之前,主机必须向服 务器请求继续租用,服务器接受请求才能继续使用,否则无条件放弃。 SJ-20100901084759-002 | 2011-02-10(R1.0) 8-1 ZXR10 3900E系列 易维路由交换机 用户手册(基本配置分册) 由于默认情况下,路由器不会将收到的广播包从一个子网发送到另一个子网。而当DHCP 服务器和客户主机不在同一个子网时,充当客户主机默认网关的路由器必须将广播包发 送到DHCP服务器所在的子网,这一功能就称为DHCP中继。 ZXR10 3900E既可以作为DHCP服务器也可以充当DHCP中继转发DHCP信息,但在同一 接口下两种功能不能同时使用。 DHCP功能方便了IP地址的分配,但是,随着DHCP服务的广泛应用,也产生了一些问 题。首先,DHCP服务允许一个子网内存在多台DHCP服务器,这就意味着管理员无法 保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址,而不从一些用户 自建的非法DHCP服务器中取得IP地址;其次,在部署DHCP服务的子网中,指定了合法 的IP地址、掩码和网关的主机也可以正常地访问网络,而DHCP服务器却仍然会有可能 将该地址分配给其它主机,这样就会造成地址冲突,影响IP地址的正常分配。 为了解决以上问题,ZXR10 3900E采用DHCP snooping功能防止在网络中设置虚假的DHCP 服务器,这时候连接DHCP服务器的端口必须设置为信任端口。另外,结合动态ARP检 测技术可以防止非法的IP和MAC地址绑定,保证了DHCP服务器能够正常分配IP地址。 8.2 配置DHCP 8.2.1 配置IP地址池 1. 设置一个IP地址池。使用no命令删除某个地址池。 步骤 命令 功能 1 ZXR10(config)#ip pool < word> 创建DHCP功能所使用的IP地址池, 并进入对应名字的地址池的配置模 式。 IP地址池名字,1~16个字符 2 ZXR10(config)#no ip pool < word> 2. 删除名字对应的IP地址池 设置某个IP地址池内IP地址的冲突时间。使用no命令删除原先的配置,恢复缺省的 时间值。 步骤 命令 功能 1 ZXR10(config-ip-pool)#conflict-time < time> 设置某个IP地址池内IP地址的冲突时 间

相关文章
    相关文档
      热门文档
        最新文档
        关于我文库协议免责声明意见反馈站点地图
          Copyright © 2020-2025 PDF文库 All Rights Reserved.  
        陕ICP备19024548号-1