DCN _基本管理操作

2022-02-25 来源：华拓网

基本管理操作目录

第1章交换机管理 .................................................................... 1-1

1.1 管理方式 .......................................................................................... 1-1

1.1.1 带外管理 ................................................................................................... 1-1

1.1.2 带内管理 ................................................................................................... 1-5

1.2 CLI界面 ........................................................................................... 1-10

1.2.1 配置模式介绍 ..........................................................................................1-10 1.2.2 配置语法 .................................................................................................1-12 1.2.3 支持快捷键 .............................................................................................1-13 1.2.4 帮助功能 .................................................................................................1-13 1.2.5 对输入的检查 ..........................................................................................1-14 1.2.6 支持不完全匹配 ......................................................................................1-14

第2章交换机基本配置 ............................................................. 2-1

2.1 基本配置 .......................................................................................... 2-1 2.2 远程管理 .......................................................................................... 2-2

2.2.1 Telnet ........................................................................................................ 2-2

2.2.2 SSH ........................................................................................................... 2-4

2.3 配置交换机的IP地址 ......................................................................... 2-6

2.3.1 配置交换机的IP地址任务序列 .................................................................. 2-6

2.4 SNMP配置 ........................................................................................ 2-7

2.4.1 SNMP介绍 ................................................................................................. 2-7 2.4.2 MIB介绍 ..................................................................................................... 2-8 2.4.3 RMON介绍 ................................................................................................ 2-9 2.4.4 SNMP配置 ...............................................................................................2-10 2.4.5 SNMP典型配置举例 ................................................................................2-13 2.4.6 SNMP排错帮助 .......................................................................................2-14

2.5 交换机升级 ..................................................................................... 2-15

2.5.1 交换机系统文件 ......................................................................................2-15

2.5.2 BootROM模式升级 .................................................................................2-15 2.5.3 FTP/TFTP升级 ........................................................................................2-17

第3章文件系统操作 ................................................................. 3-1

3.1 文件存储设备介绍 ............................................................................ 3-1

基本管理操作目录

3.2 文件系统操作任务配置序列 .............................................................. 3-1 3.3 典型应用 .......................................................................................... 3-2 3.4 排错帮助 .......................................................................................... 3-3

第4章集群网管配置 ................................................................. 4-1

4.1 集群网管介绍 ................................................................................... 4-1 4.2 集群网管基本配置 ............................................................................ 4-1 4.3 集群网管举例 ................................................................................... 4-4 4.4 集群网管排错帮助 ............................................................................ 4-5

基本管理操作第1章交换机管理

第1章交换机管理

1.1 管理方式

用户购买到交换机设备后，需要对交换机进行配置，从而实现对网络的管理。交换机为用户提供了两种管理方式：带外管理和带内管理。

1.1.1 带外管理

带外管理即通过Console进行管理，通常情况下，在首次配置交换机或者无法进行带内管理时，用户会使用带外管理方式。例如：用户希望通过远程Telnet来访问交换机时，必须首先通过Console给交换机配置一个IP地址。

用户用Console管理的步骤如下：

第一、搭建环境：

通过串口线连接

图 1-1 交换机Console管理配置环境

按照图 1-1所示，将PC的串口（RS-232接口）和交换机随机提供的串口线连接，下面是连接中用到的设备说明：

设备名称 PC机串口线交换机说明有完好的键盘和RS-232串口，并且安装了终端仿真程序，如Windows 系统自带超级终端等。一端与PC机的RS-232串口相连；另一端与交换机的Console相连。有完好的Console。 1-1

基本管理操作第1章交换机管理

第二、进入超级终端：

连接成功后，打开Windows 系统自带超级终端。下面是打开Windows XP 自带超级终端的示例。

1）点击超级终端：

图 1-2打开超级终端一

2）在“名称”处填入打开超级终端的名称，例如把它定义为“Switch”：

1-2

基本管理操作第1章交换机管理

图 1-3打开超级终端二

3）在“连接时使用”处，选择PC机使用的RS-232串口，如连接的是串口1，则选择串口1，点击确定按钮：

图 1-4 打开超级终端三

4）出现COM1属性，波特率选择“9600”，数据位选择“8”，奇偶校验选择“无”，停止位选择“1”，数据流控制选择“无”；或者直接点击“还原默认值”后，点击确定按钮：

1-3

基本管理操作第1章交换机管理

图1-5 打开超级终端四

5）出现超级终端的配置界面：

图 1-6 打开超级终端五

第三、进入交换机CLI界面：

打开交换机的电源开关。在超级终端的配置界面上出现了如下提示，进入到交换机的CLI配置方式：

1-4

基本管理操作第1章交换机管理

switch>

接下来用户可以输入相关命令进行管理，命令详见具体章节。

1.1.2 带内管理

所谓带内管理（In-band management），包括通过Telnet程序登录到交换机，或者通过HTTP协议访问交换机，或者通过神州数码网络（北京）有限公司自主研发的snmp网管软件对交换机进行配置管理。交换机提供带内管理方式可以使连接到交换机中的某些设备具备管理交换机的功能。当交换机的配置出现变更，导致带内管理失效时，可以使用带外管理对交换机进行配置管理。

1.1.2.1 通过Telnet管理交换机

通过Telnet管理交换机要具备的条件： 1) 交换机配置IPv4/IPv6地址；

2) 作为Telnet客户端的主机IP地址与其所属交换机的VLAN接口的IPv4/IPv6地址

在相同网段；

3) 若不满足2），则Telnet客户端可以通过路由器等设备到达交换机某个IPv4/IPv6

地址。

本交换机是二层交换机，可以配置多个IP地址，配置方法见配置交换机的IP地址相关章节。下面以交换机出厂时的情况举例，系统只有VLAN1存在。

以下是Telnet客户端Telnet到交换机的VLAN1接口的步骤（以IPv4地址为例)：

通过网线连接

图 1-7 通过Telnet管理交换机

第一：配置交换机IP地址，并且启动交换机的Telnet Server功能。

首先配置主机的IP地址，要与交换机的VLAN1接口IP地址在同一个网段。如交换机的VLAN1接口IP地址为10.1.128.251/24，则可以设置主机的IP地址为10.1.128.252/24。在主机上执行“ping 10.1.128.251”命令，显示是否ping通；若ping不通，则检查原因。

1-5

基本管理操作第1章交换机管理下面简单介绍交换机VLAN1接口的IP地址配置命令，在进行带内管理之前，必须通过带外管理即Console方式配置交换机的IP地址，配置命令如下（以后如不特殊说明，所有的交换机配置时的提示符均采用Switch）： Switch>

Switch>enable Switch#config

Switch(config)#interface vlan 1

Switch(Config-if-Vlan1)#ip address 10.1.128.251 255.255.255.0 Switch(Config-if-Vlan1)#no shutdown

然后在Console的全局配置模式下使用命令telnet-server enable启动Telnet Server功能。配置如下： Switch>enable Switch#config

Switch(config)# telnet-server enable

第二：运行Telnet客户端程序。

运行Windows自带的Telnet客户端程序，并且指定Telnet的目的地址。

图 1-8 运行Windows自带的telnet客户端程序

第三：登录交换机。

登录到Telnet的配置界面，需要输入正确的用户名和口令，否则交换机将拒绝该Telnet用户的访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Telnet用户，则任何用户都无法进入交换机的Telnet配置界面。因此在允许Telnet方式配置管理交换机时，必须在Console的全局配置模式下使用命令username privilege [password (0 | 7) ] 为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式，其中privilege选项必须存在且为15。如交换机的授权用户名为test，口令为明文的test，设置方式如下： Switch>enable Switch#config

Switch(config)#username test privilege 15 password 0 test Switch(config)#authentication line vty login local

1-6

基本管理操作第1章交换机管理在Telnet配置界面上输入正确的用户名和口令，Telnet用户就可成功的进入到交换机的 CLI配置界面。Telnet登录后与通过Console进入后使用的命令完全一致。

图 1-9 Telnet配置界面

1.1.2.2 通过HTTP管理交换机

通过HTTP管理交换机要具备的条件： 1) 交换机配置IPv4/IPv6地址；

2) 作为客户端的主机IPv4/IPv6地址与其所属交换机的VLAN接口的IPv4/IPv6地址

在相同网段； 3) 若不满足2），则客户端可以通过路由器等设备到达交换机某个IPv4/IPv6地址。与Telnet用户登录交换机类似，只要主机能够ping/ping6通交换机的IPv4/IPv6地址，并且输入正确的登录口令，该主机就可通过HTTP访问交换机。步骤如下：

第一：配置交换机的IP地址，并且启动交换机的HTTP Server功能。

通过带外管理配置交换机IP地址，参见通过telnet管理交换机一节。

在Console的全局配置模式下使用命令ip http server启动HTTP Server功能，使能Web配置。配置如下： Switch>enable Switch#config

Switch(config)#ip http server

第二：在配置主机上运行HTTP协议。

在主机上运行Web浏览器，在地址栏处输入交换机的IP地址，或直接运行Windows

1-7

基本管理操作第1章交换机管理的HTTP协议，比如交换机的IP地址为“10.1.128.251”；

图 1-10 执行HTTP协议

在使用IPv6地址访问交换机时，推荐使用浏览器Firefox，版本在1.5以上，比如交换机的IPv6地址为3ffe:506:1:2::3，在地址处输入交换机的IPv6地址http://[3ffe:506:1:2::3]，地址需要用方括号括起来。

第三：Web访问交换机。

登录到Web的配置界面，需要输入正确的用户名和口令，否则交换机将拒绝该HTTP访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Web用户，则任何用户都无法进入交换机的Web配置界面。因此在允许Web方式管理交换机时，必须在Console方式下的全局配置模式下使用命令username privilege [password (0 | 7) ] 为交换机设置Web授权用户和口令并使用命令authentication line web login local打开本地验证方式，其中privilege选项必须存在且为15。如交换机的授权用户名为admin，口令为明文的admin，设置方式如下： Switch>enable Switch#config

Switch(config)#username admin privilege 15 password 0 admin Switch(config)#authentication line web login local 下面是S4600-28P-SI的Web配置的登录界面：

1-8

基本管理操作第1章交换机管理

图 1-11 Web登录界面

输入正确的用户名和密码，进入交换机的Web配置主界面。

图 1-12 Web配置界面

注意：通过Web配置交换机名称时，交换机名称由英文字母构成。

1.1.2.3 通过snmp网管软件管理交换机

通过snmp 网管软件管理交换机要具备的条件： 1) 交换机配置IP地址；

1-9

基本管理操作第1章交换机管理

2) 作为客户端的主机IP地址与其所属交换机的VLAN接口的IP地址在相同网段； 3) 若不满足2），则客户端可以通过路由器等设备到达交换机某个IP地址；

4) 开启了snmp功能。

安装snmp 网管软件的主机必须能ping通交换机的IP地址，这样在运行Snmp 网管软件时，Snmp 网管软件就能找到交换机设备，并且对其进行可读写的操作。具体如何通过Snmp 网管软件管理交换机在本手册中不做介绍，请参看《Snmp 网管软件用户手册》。

1.2 CLI界面

交换机为用户提供了三种管理界面：CLI（Command Line Interface命令行）界面、Web界面和Snmp 网管软件。我们将对CLI界面做详细的介绍，Web界面与CLI界面功能相似，就略去不介绍了，Snmp网管软件请参看《Snmp 网管软件用户手册》。

用户对CLI界面并不陌生，前面我们提到的Console管理方式、Telnet登录到交换机都是通过CLI界面对交换机进行配置管理的。

CLI界面由Shell程序提供，它是由一系列的配置命令组成的，根据这些命令在配置管理交换机时所起的作用不同，Shell将这些命令分类，不同类别的命令对应着不同的配置模式。下面将介绍交换机的Shell的特点：  配置模式  配置语法  快捷键  帮助功能  对输入的检查  支持不完全匹配

1.2.1 配置模式介绍

1-10

基本管理操作第1章交换机管理

.......

....... ....... .......

图 1-13 交换机的Shell配置模式

1.2.1.1 一般用户模式

用户进入CLI界面，首先进入的就是一般用户模式，提示符为“Switch>”，符号“>”为一般用户模式的提示符。当用户从特权用户模式使用命令exit退出时，可以回到一般用户模式。

1.2.1.2 特权用户模式

在一般用户模式使用enable命令，如果已经配置了进入特权用户的口令，则输入相应的特权用户口令，即可进入特权用户模式“Switch#”。当用户从全局配置模式使用exit退出时，也可以回到特权用户模式。另外交换机提供“Ctrl+z”的快捷键，使得交换机在任何配置模式（一般用户模式除外），都可以退回到特权用户模式。

在特权用户模式下，用户可以查询交换机配置信息、各个端口的连接情况、收发数据统计等。而且进入特权用户模式后，可以进入到全局模式对交换机的各项配置进行修改，因此进入特权用户模式后必须要设置特权用户口令，防止非特权用户的非法使用，对交换机配置进行恶意修改，造成不必要的损失。

1.2.1.3 全局配置模式

进入特权用户模式后，只需使用命令config，即可进入全局配置模式“Switch(config)#”。当用户在其他配置模式，如接口配置模式、VLAN配置模式时，可以使用命令exit退回到全局配置模式。

在全局配置模式，用户可以对交换机进行全局性的配置，如对MAC地址表、端口镜像、创建VLAN、启动IGMP Snooping、STP等。用户在全局配置模式还可通过命令进入到接口配置模式对各个接口进行配置。

1-11

基本管理操作第1章交换机管理接口配置模式

在全局配置模式，使用命令interface就可以进入到相应的接口配置模式。交换机操作系统提供了三种端口类型：1.VLAN接口；2.以太网端口；3.port-channel，因此就有三种接口的配置模式。接口类型 VLAN接口进入方式可执行操作退出方式使用exit命令即可退回全局配置模式。使用exit命令即可退回全局配置模式。使用exit命令即可退回全局配置模式。在全局配置模式下，输入命配置交换机的IP令等。 interface vlan 。在全局配置模式下，输入命配置交换机提供的令interface ethernet 以太网接口的双工模式、速率等。。在全局配置模式下，输入命配置port-channel令interface port-channel 有关的双工模式、。速率等。以太网端口 port-channel

VLAN配置模式

在全局配置模式，使用命令vlan 就可以进入到相应的VLAN配置模式。在VLAN配置模式，用户可以配置属于本VLAN的成员端口。执行exit命令即可从VLAN配置模式退回到全局配置模式。 DHCP地址池配置模式

在全局配置模式下用ip dhcp pool 命令进入到DHCP地址池配置模式“Switch(Config--dhcp)#”。在DHCP地址池配置模式下可以配置DHCP地址池的属性。执行exit命令即可从DHCP地址池配置模式退回到全局配置模式。

访问列表配置模式访问列表类型命名标准IP访问列表配置模式命名扩展IP访问列表配置模式进入方式可执行操作退出方式执行exit命令即可退回全局配置模式。执行exit命令即可退回全局配置模式。在全局配置模式下输入ip 配置标准访问列表access-list standard命令。配置模式。在全局配置模式下输入ip 配置扩展访问列表access-list extanded命令。的参数。 1.2.2 配置语法

交换机为用户提供的配置命令形式不完全一样，但它们都遵循交换机配置命令的语法。

以下是交换机提供的通用命令格式：

cmdtxt {enum1 | … | enumN} [option1 | … | optionN]

语法说明：黑体字cmdtxt表示命令关键字；表示参数为变量；{enum1 | … | enumN }表示在参数集enum1~enumN中必须选一个参数；[option1 | … | optionN]表示该参数可选择一个或者不选。在各种命令中还会出现“< >”， “{ }”，“[ ]”符号的组合使用，如：[]，{enum1 | enum2}，[option1 [option2]]等等。

1-12

基本管理操作第1章交换机管理下面是几种配置命令语法的具体分析：

 show version，没有任何参数，属于只有关键字没有参数的命令，直接输入命令即可；  vlan ，输入关键字后，还需要输入相应的参数值；

 firewall {enable | disable}，此类命令用户可以输入firewall enable或者firewall disable；  snmp-server community {ro | rw} ，出现以下几种输入情况：

snmp-server community ro snmp-server community rw

1.2.3 支持快捷键

交换机为方便用户的配置，特别提供了多个快捷键，如上、下、左、右键及删除键 BackSpace等。如果超级终端不支持上下光标键的识别，可以使用ctrl+p和ctrl+n来替代。按键删除键 BackSpace 上光标键“↑” 下光标键“↓” 左光标键“←” 右光标键“→” Ctr+p Ctr+n Ctr+b Ctr+f Ctr+z Ctr+c Tab键功能删除光标所在位置的前一个字符，光标前移显示上一个输入命令。最多可显示最近输入的二十个命令显示下一个输入命令。当使用上光标键回溯到以前输入的命令时，也可以使用下光标键退回到相对于前一个命令的下一个命令光标向左移动一个位置光标向右移动一个位置相当于上光标键“↑”的作用相当于下光标键“↓”的作用相当于左光标键“←”的作用相当于右光标键“→”的作用从其他配置模式（一般用户配置模式除外）直接退回到特权用户模式打断交换机ping或其它正在执行的命令进程当输入的字符串可以无冲突的表示命令或关键字时，可以使用Tab键将其补充成完整的命令或关键字左右键的配合使用，可对已输入的命令做覆盖修改 1.2.4 帮助功能

交换机为用户提供了两种方式获取帮助信息，其中一种方式为使用“help”命令，另一种为“？”方式。帮助 Help “？” 使用方法及功能在任一命令模式下，输入“help”命令均可获取有关帮助系统的简单描述。 1．在任一命令模式下，输入“?”获取该命令模式下的所有命令及其简单描述； 2．在命令的关键字后，输入以空格分隔的“?”，若该位置是参数，会输出该参数类型、范围等描述；若该位置是关键字，则列出关键字的集合及其简单描述；若输出 “” ，则此命令已输入完整，在该处键入回车即可； 3．在字符串后紧接着输入“?”，会列出以该字符串开头的所有命令。 1-13

基本管理操作第1章交换机管理

1.2.5 对输入的检查

1.2.5.1 成功返回信息

通过键盘输入的所有命令都要经过 Shell 的语法检查。当用户正确输入相应模式下的命令后，且命令执行成功，不会显示信息。

1.2.5.2 错误返回信息

当用户输入的命令错误，或者参数范围，类型，格式有错误，交换机会提示错误。

1.2.6 支持不完全匹配

交换机的Shell支持不完全匹配的搜索命令和关键字，当输入无冲突的命令或关键字时，Shell 就会正确解析。例如：

1. 对特权用户配置命令“show interface ethernet 1/0/1”，只要输入“sh in e 1/0/1”即可。 2. 对特权用户配置命令 “show running-config”，如果仅输入“sh r”，系统会报“>

Ambiguous command!”，因为Shell无法区分“show r”是“show radius”命令还是“show running-config”命令，因此必须输入“sh ru”，Shell才会正确的解析。

1-14

基本管理操作第2章交换机基本配置

第2章交换机基本配置

2.1 基本配置

交换机的基本配置包括进入和退出特权用户模式的命令、进入和退出接口配置模式的命令、设置及显示交换机的时钟、显示交换机的系统版本信息等。

命令一般用户配置模式/特权用户配置模式 enable [<1-15>] disable 特权用户配置模式 config [terminal] 各种配置模式解释用户使用 enable 命令，从一般用户配置模式进入特权用户配置模式或修改当前用户权限级别，disable为退出特权用户模式命令。从特权用户配置模式进入到全局配置模式。从当前模式退出，进入上一个模式，如在全局exit 配置模式使用本命令退回到特权用户配置模式，在特权用户配置模式使用本命令退回到一般用户配置模式等。 show privilege 一般用户配置模式和特权用户配置模式之外的其它模式显示当前用户权限。当前处于非一般用户配置模式或特权用户配置end 特权用户配置模式 clock set [YYYY.MM.DD] show version set default write reload show cpu usage show cpu utilization show memory usage

模式时，使用该命令可以直接退回到特权用户配置模式。设置系统日期和时钟。显示交换机版本信息。恢复交换机的出厂设置。将当前运行时配置参数保存到Flash Memory。热启动交换机。显示CPU使用率。显示当前CPU的使用率。显示内存使用率。 2-1

基本管理操作第2章交换机基本配置全局配置模式 banner motd no banner motd set boot password web-auth privilege <1-15> no web-auth privilege

配置使用telnet或通过console等方式登陆交换机认证成功时显示的欢迎信息。设置下次进入bootrom时的密码。设置web登录交换机的级别。 2.2 远程管理 2.2.1 Telnet

2.2.1.1 Telnet简介

Telnet远程登录是一个简单的远程终端协议。用户用Telnet就可在其所在地通告TCP连接注册（即登录）到远程的另一个主机上（使用IP地址或主机名）。Telnet能把用户的击键传到远程的主机，同时也能把远程主机的输出通过TCP连接返回到用户屏幕。这种服务是透明的，因为用户的感觉是键盘和显示器是直接连接在远程主机上。

Telnet使用客户－服务器模式，在本地的系统为Telnet客户端，远程主机为Telnet服务器。交换机既可以作为Telnet服务器也可以作为Telnet客户端。

当交换机作为Telnet服务器时，用户可以通过Windows或其他操作系统自带的Telnet客户端软件，Telnet登录到交换机，就如前面介绍带内管理章节中介绍的一样。交换机作为Telnet服务器时最多可以同时与5个Telnet客户端建立TCP连接。

当作为Telnet客户端时，在交换机的特权用户配置模式下使用telnet命令即可登录到其他远端主机。交换机作为Telnet客户端时只能与一个远程主机建立TCP连接，如果想与另一个远程主机建立连接，则必须先断开与上一个远程主机的TCP连接。

2.2.1.2 Telnet任务序列

1. 配置Telnet服务器

2. 交换机Telnet登录到远程主机

1. 配置Telnet服务器命令全局配置模式 telnet-server enable no telnet-server enable 解释打开交换机的Telnet服务器功能；本命令的no操作为关闭Telnet服务器功能。 2-2

基本管理操作第2章交换机基本配置

配置Telnet登录到交换机的本username [privilege ] 地用户名和口令；本命令的no[password [0 | 7] ] no username 操作为删除本地授权Telnet用户。本地Telnet用户的执行命令权限必须设为15。对VTY（即指Telnet和ssh登录方式）登录用户开启命令授权aaa authorization config-commands no aaa authorization config-commands 功能，相应no命令关闭命令授权功能。只有开启了此功能并且配置了命令授权方法，执行某个命令时才会要求进行授权。 authentication securityip no authentication securityip authentication securityipv6 no authentication securityipv6 配置Telnet登录到交换机的安全IP地址；本命令的no操作为删除授权Telnet安全地址。配置Telnet登录到交换机的安全IPv6地址；本命令的no操作为删除授权Telnet安全地址。定标准的IP ACL规则；本命令的no操作为取消绑定ACL。定标准的IPv6 ACL规则；本命令的no操作为取消绑定ACL。 authentication ip access-class 为Telnet/SSH/Web登录方式绑{|} no authentication ip access-class {|} in no authentication ipv6 access-class authentication line {console | vty | web} login method1 [method2 …] no authentication line {console | vty | web} login authentication enable method1 [method2 …] no authentication enable authorization line {console | vty | web} exec method1 [method2 …] no authorization line {console | vty | web} exec authorization line vty command <1-15> {local | 配置VTY（即指Telnet和sshradius | tacacs} (none|) no authorization line vty command <1-15> 登录方式）登录用户的命令授权方式和授权选择优先级。配置远程登录授权方法列表。配置enable认证方法列表配置远程登录认证方法列表。 authentication ipv6 access-class 为Telnet/SSH/Web登录方式绑 2-3

基本管理操作第2章交换机基本配置 accounting line {console | vty} command <1-15> {start-stop | stop-only | none} method1 [method2…] no accounting line {console | vty} command <1-15> 特权模式使登录到交换机的Telnet客户terminal monitor terminal no monitor 端显示调试信息；本命令的no操作为关闭Telnet客户端显示调试信息的功能。显示通过telnet和ssh登陆的用show users 户信息，包括线路号，登陆的用户名及用户的IP。删除指定线路上登陆的用户，强clear line vty <0-31>

2. 交换机Telnet登录到远程主机命令特权模式解释端登录到远程主机。制telnet或ssh登陆的用户下线。配置登录记账方法列表 telnet [vrf ] { | 使用交换机提供的Telnet客户| host } [] 2.2.2 SSH

2.2.2.1 SSH简介

SSH是Secure Shell安全外壳的简写，它建立在可靠的TCP/IP等通信协议之上，通过SSH服务器和SSH客户端软件之间的密钥交换，身份认证，加密等算法的协商，在它们之间建立一条安全的传输信息的通道，保证双方交互的信息不能被任何第三方截取和破译，从而最大限度的保证了对实现SSH服务器功能的交换机的配置和管理。目前交换机上实现的是符合SSH2.0协议规定的SSH服务器。支持SSH2.0标准的终端软件如SSH Secure Client、putty等可以利用SSH2.0协议，远程登陆交换机上的SSH服务器，实现对该交换机的安全的配置和管理。

目前SSH服务器支持客户端软件对主机的RSA公钥认证，支持协议规定的3DES加密算法，以及SSH服务器对SSH用户的密码认证等。

2.2.2.2 SSH服务器配置任务序列

2-4

基本管理操作第2章交换机基本配置命令全局配置模式 ssh-server enable no ssh-server enable username [privilege 解释打开交换机的SSH服务器功能；本命令的no操作为关闭SSH服务器功能。配置SSH客户端软件登录到交换机的用户] [password [0 | 7] 名和口令；本命令的no操作为删除授权] SSH用户。 no username ssh-server timeout no ssh-server timeout ssh-server authentication-retries no ssh-server authentication-retries 设置SSH认证超时时间；本命令的no操作恢复缺省的SSH认证超时时间。设置SSH认证重试次数；本命令的no操作恢复缺省的SSH认证重试次数。 ssh-server host-key create rsa 生成新的SSH服务器的RSA主机密钥对。 modulus 特权模式 terminal monitor terminal no monitor show crypto key crypto key clear rsa 使登录到交换机的SSH客户端显示调试信息；本命令的no操作为关闭SSH客户端显示调试信息的功能。显示ssh加密密钥。清除ssh加密密钥。 2.2.2.3 SSH服务器配置举例

案例1：

组网需求：交换机端运行SSH服务器，终端运行支持SSH2.0标准的客户端软件如Secure shell client或putty等。客户端使用用户名和密码方式登录交换机。

交换机首先配置本地的地址，然后增加SSH用户，启动SSH服务，这样SSH2.0客户端软件就可以利用交换机配置的用户名和密码远程登录配置SSH服务的交换机了。 Switch(config)#ssh-server enable Switch(config)#interface vlan 1

Switch(Config-if-Vlan1)#ip address 100.100.100.200 255.255.255.0 Switch(Config-if-Vlan1)#exit

Switch(config)#username test privilege 15 password 0 test

如果是IPv6网络，终端需要运行支持IPv6功能的SSH客户端软件，例如putty6，交换机上除配置本地的地址为IPv6地址外，其它配置不变。

2-5

基本管理操作第2章交换机基本配置

2.3 配置交换机的IP地址

交换机所有以太网接口都默认为二层（DataLink Layer）端口，进行二层转发。VLAN接口（Interface VLAN）代表了某一个VLAN的三层接口功能，可以配置IP地址，该IP地址也是交换机的IP地址。VLAN接口相关的配置命令都可以在VLAN接口模式下配置。交换机为用户提供了三种配置IP地址的方式：

 手工配置方式  BootP方式  DHCP方式

手工配置IP地址，即用户为交换机指定一个IP地址。

BootP/DHCP方式是交换机作为BootP/DHCP Client，向BootP/DHCP Server发出BootPRequest（申请获取地址的请求包）广播包，BootP/DHCP Server接收到请求后将地址分配给交换机。另外交换机还具有了DHCP Server的功能，能够动态的为DHCP Client分配IP地址、网关地址及DNS服务器地址等网络参数。具体DHCP Server的配置参见网络协议操作部分。

2.3.1 配置交换机的IP地址任务序列

1. 进入VLAN接口配置模式 2. 手工配置方式 3. BootP方式 4. DHCP方式

1. 进入VLAN接口配置模式命令全局配置模式 interface vlan no interface vlan

2.手工配置方式命令 VLAN接口配置模式 ip address [secondary] [secondary]

2-6

解释本命令配置交换机的VLAN接口的IP地址；的no操作为删除交换机的VLAN接口的IP解释创建一个VLAN接口（VLAN接口属于三层接口）；本命令的no操作为删除交换机创建。的VLAN接口（三层接口） no ip address 地址。基本管理操作第2章交换机基本配置 ipv6 address [eui-64] prefix-length>

3.BootP方式命令 VLAN接口配置模式 ip bootp-client enable no ip bootp-client enable 4.DHCP 命令 VLAN接口配置模式 ip dhcp-client enable no ip dhcp-client enable

解释使能交换机为DHCP Client，通过DHCP协商方式获取IP地址及网关地址；本命令的no操作为关闭DHCP Client功能。解释使能交换机为BootP Client，通过BootP协商方式获取IP地址及网关地址；本命令的no操作为关闭BootP Client功能。配置IPv6地址，包括可聚合全球单播地址，本地站点地址，本地链路地址。本命令的no 操作为删除IPv6地址。 no ipv6 address SNMP（Simple Network Management Protocol，简单网络管理协议）是目前使用最广泛的网络管理协议，大量应用于以TCP/IP为基础的计算机网络。SNMP是一个不断发展着的协议：SNMP v1简单、易实现，被众多厂家支持； SNMPv2c对v1的功能进行了部分修正和丰富，开始支持分层式的网管；SNMPv3在安全性上做了极大的扩充，添加了USM（基于用户的安全模型）和VACM（基于视图的访问控制模型）子系统。

SNMP协议提供了一个在网络中两点之间交换管理信息的直接的、基本的方法。SNMP采用轮询的消息查询机制，采用被广泛使用的面向无连接的传输层协议UDP来传输消息，因此能够很好的被现有的计算机网络支持。

SNMP协议采用管理站/代理模式，因此SNMP结构包括两个部分：NMS 网络管理站（Network Management Station），是运行支持SNMP协议的网管软件客户端程序的工作站，在SNMP的网络管理中起核心作用。Agent 代理，是运行在被管理网络设备上的服务器端软件，直接管理被管对象。NMS利用通信手段，通过Agent代理来管理各被管对象。（本款及后续系列交换机都具有Agent代理功能）。

SNMP的NMS和Agent之间通过标准消息进行通信，采取客户/服务器模式，由NMS

2-7

基本管理操作第2章交换机基本配置发出请求，Agent做出应答。SNMP共有7种消息类型：

 Get-Request  Get-Response  Get-Next-Request  Get-Bulk-Request  Set-Request  Trap

 Inform-Request

NMS通过Get-Request、Get-Next-Request，Get-Bulk-Request和Set-Request消息来对Agent发出查询和设置管理变量的请求，Agent在收到请求后，用Get-Response消息来对请求进行回复。在某些特殊情况下，如网络设备端口UP/DOWN、网络拓朴变化时候，Agent会主动的向NMS发送Trap消息来通知NMS发生了异常事件。（当然，NMS还可以通过设置RMON功能，自行对一些情况设置警报，当设定的警报事件触发后，Agent将根据设置发送Trap或记录Log，关于RMON，下面有具体介绍）。Inform-Request主要用于NMS之间进行通信，一般应用于分层式的网络管理。

USM提供了完善的加密和鉴别服务，保证了传输的安全性。根据用户输入的密码，USM对报文进行加密，保证报文在传输过程中不被察看，对报文进行鉴别，保证报文在传输过程中不被修改。USM的标准加密算法为DES-CBC算法，鉴别算法为HMAC-MD5和HMAC-SHA算法。同时USM提供了时间窗的检查，防止网络延迟和重播的干扰。

VACM提供了优秀的用户鉴权服务，保证了访问的安全性。VACM将访问权限相同的用户放入同一组中，并为组划分了读写和通告操作的安全范围，有效地防止了用户的越权行为。

2.4.2 MIB介绍

NMS可以访问的网管信息是经过精确的定义的，被完备的组织在一个管理信息数据库，是对于通过网络管中，即MIB。所谓MIB 管理信息库（Management Information Base）

理协议可以访问信息的精确定义。它使用一个层次化、结构化的形式，定义了可以从被监测网络设备上获得的管理信息。ISO ASN.1为MIB定义了一个树型结构，每个MIB都用这种树型结构来组织所有的可用信息，树的每个节点都包含一个OID 对象标识符(Object Identifier)和一个关于该节点的简短文本描述。OID是有句点隔开的一组整数，它命名节点并且可以由它指示该节点在MIB树型结构中的位置，如下图所示：

2-8

基本管理操作第2章交换机基本配置

图 2-1 ASN.1树实例

在该图中，对象A的OID为1.2.1.1，NMS通过这个独一无二的OID，可以没有歧义的访问到这个对象，从而获取这个对象包含的标准变量。MIB就按照这个结构定义了一个所监控网络设备的标准变量的集合。

如果您需要浏览Agent的MIB中的变量信息，需要在NMS上运行MIB浏览软件。Agent上的MIB一般包括公有MIB和私有MIB两部分，公有MIB内定义的是公开的，所有NMS都可以访问的网络管理信息，私有MIB内定义的是各设备特有的属性信息，需要设备厂商的支持才可以浏览和控制。

MIB-I [RFC1156]是SNMP公有MIB库的第一个版本，后来经过扩充，被MIB-II [RFC1213]所取代，MIB-II保留了MIB-I在原来的MIB树中的对象标识符。MIB-II下面包含很多子树，我们将之称为组，这些组里的对象覆盖了网络管理的各个功能域，NMS通过访问SNMP Agent的MIB库，就可以得到相应的网络管理信息。

本交换机可以做为SNMP Agent，支持SNMPv1/v2c和SNMPv3。本交换机支持基本的MIB-II、RMON公有MIB，还支持BRIDGE MIB等相关公有MIB，同时支持自定义的私有MIB，基本涵盖了本款交换机所涉及的各个相关参数，为网管软件管理提供全面的支持。

2.4.3 RMON介绍

RMON是对SNMP标准基本体系的最重要的扩充。RMON是一套MIB定义，其作用是定义标准的网络监视功能和接口，使基于SNMP的管理终端和远程监视器之间能够通信。RMON提供了一种有效并且高效的方法来监视子网范围内的行为。

RMON的MIB分为10组，该交换机支持其中最常用的1、2、3、9组，即：统计组(statistics)：维护代理监视的每一个子网的基本使用和错误统计。历史组(history)：记录从统计组可得到的信息的周期性统计样本。

警报组(alarm)：允许管理控制台人员为RMON代理记录的任何计数或整数设置采样间隔和报警阈值。

2-9

基本管理操作第2章交换机基本配置

事件组(event)：一个关于由RMON代理产生的所有事件的表。

其中，警报组需要事件组的实现。统计组和历史组是显示现在或以前的一些子网统计数据。警报组和事件组则提供了一种可以监视网络上任意整数型数据变化的方法，并在数据异常时提供一些警告动作（发送Trap或者记录Log）。

2.4.4 SNMP配置

2.4.4.1 SNMP配置任务序列

1.打开或关闭SNMP代理服务器功能 2.配置SNMP团体字符串及代理设备的属性 3.配置SNMP管理站地址 4.配置引擎号 5.配置用户 6.配置组 7.配置视图 8.配置TRAP 9.启动/关闭RMON

1.打开或关闭SNMP代理服务器功能命令全局配置模式 snmp-server enable no snmp-server enable

2.配置SNMP团体字符串命令全局配置模式解释解释打开交换机作为SNMP代理服务器功能；本命令的no操作为关闭SNMP代理服务器功能。本命令no操作为snmp-server community {ro | rw} {0 | 7} 设置交换机的团体字符串； [access {|}] 删除配置的团体字符串。 [ipv6-access {|}] ] no snmp-server community [access {|}] [ipv6-access {|}]

2-10 [read ] [write 基本管理操作第2章交换机基本配置

3.配置SNMP管理站地址命令全局配置模式解释 IPv4或者IPv6地址；本命令的no操作为删除snmp-server securityip { 设置允许访问本交换机的NMS管理站的安全| } { | } snmp-server securityip enable snmp-server securityip disable

4.配置引擎号命令全局配置模式 snmp-server engineid no snmp-server engineid

5.配置用户命令全局配置模式解释解释设置交换机的本地引擎号，用于v3。打开/关闭NMS管理站的安全IP地址检查功能。配置的安全IPv4或者IPv6地址。 no snmp-server securityip snmp-server user 为一个SNMP的组添加一个新用户，完成 [{authPriv | authNoPriv} USM配置，用于v3。 auth {md5 | sha} ] [access {|}] [ipv6-access {|}] no snmp-server user [access {|}] [ipv6-access {|}] 6.配置组命令全局配置模式 snmp-server group [[read 解释设置交换机的组信息，完成VACM配置，用{noauthnopriv | authnopriv | authpriv} 于v3。 ] [write ] [notify ]] [access {|}]

2-11

基本管理操作第2章交换机基本配置 [ipv6-access {|}] no snmp-server group {noauthnopriv | authnopriv | authpriv} [access {|}] [ipv6-access {|}]

7.配置视图命令全局配置模式解释 snmp-server view 设置交换机的视图信息，用于v3。 {include | exclude} no snmp-server view []

8.配置TRAP 命令全局配置模式 snmp-server enable traps no snmp-server enable traps 解释设置允许设备发送Trap消息，用于v1/v2c/v3。 snmp-server host { 设置接收SNMP的Trap消息的网络管理站v1/v2c中的Trap团体| } {v1 | v2c | {v3 IPv4或者IPv6地址，{Noauthnopriv | Authnopriv | Authpriv}}} 字符串，v3中的用户名和安全级别。本命令 no snmp-server 的no操作为删除指定的接收Trap消息的网host 络管理站的IPv4或者IPv6地址。 { | } {v1 | v2c | {v3 {Noauthnopriv | Authnopriv | Authpriv}}} snmp-server trap-source 设置本交换机发送trap时所使用源IPv4或{ | } { | } 端口配置模式信息的功能。 [no] switchport updown notification 开启或者关闭端口UP/DOWN事件发送trapenable

2-12

IPv6地址；本命令的no操作为删除配置的no snmp-server trap-source 发送trap使用的源IPv4或IPv6地址。基本管理操作第2章交换机基本配置 9.启动/关闭RMON 命令全局配置模式 rmon enable no rmon enable 解释打开/关闭RMON。 2.4.5 SNMP典型配置举例

管理站（NMS）的IP地址是1.1.1.5；交换机（Agent）的IP地址是1.1.1.9。案例1：管理站的网管软件使用SNMP协议从交换机获取数据。配置步骤如下：