华为s系列手册

1. 3500 访问以太网交换机配置
第1章 产品介绍
1.1 产品简介
随着Internet市场的不断发展，用户对通信的需求已从传统的电话、传真、电报等低速业务逐渐向高速的Internet接入、可视电话、视频点播（Video On Demand，VOD）等宽带业务领域延伸。用户对上网速率的需求也越来越高，以太网接入因其成本低、使用简单、速度高而倍受市场的关注。面对迅猛发展的宽带网络建设需求，华为公司根据不同的客户类型需求，推出了Quidway系列以太网交换机。

Quidway S3500系列以太网交换机是华为公司自主开发的L2/L3层以太网交换机，提供线速的二层、三层交换功能及IP路由功能。目前包含的型号为：

l S3526以太网交换机

l S3526 FS以太网交换机

l S3526 FM以太网交换机

l S3526E以太网交换机

l S3526E FS以太网交换机

l S3526E FM以太网交换机

S3526/S3526E以太网交换机提供24个10/100Base-TX固定以太网端口、1个Console口及2个千兆扩展模块插槽，支持1000Base-SX、1000Base-LX、1000Base-T、1000Base-ZX、1000Base-LX GL接口模块及堆叠模块，可以实现上行连接或交换机的堆叠。

& 说明：

S3526和S3526E以太网交换机在软件功能、提供的插槽、端口范围，从总体上是一样的。因此，为提高可读性，在本手册中，除非特别说明，对于S3526/S3526E所共有的功能，将只用S3526代表，而不提及S3526/ S3526E。



S3526 FS/S3526E FS与S3526 FM/S3526E FM以太网交换机的区别仅在于它们提供的固定光端口属性不同：S3526 FS/S3526E FS以太网交换机提供12个百兆单模光端口，S3526 FM/S3526E FM以太网交换机提供12个百兆多模光端口。除此之外它们还分别提供4个扩展模块插槽及1个Console口。其中后面板的两个扩展模块插槽用于连接2个千兆接口模块，支持1000Base-SX、1000Base-LX、1000Base-T、1000Base-ZX、1000Base-LX GL接口模块及堆叠模块，实现上行连接或交换机的堆叠；前面板的两个扩展模块插槽用于连接2个6端口的百兆接口模块。

& 说明：

S3526 FS和S3526E FS以太网交换机，S3526 FM和S3526E FM以太网交换机，在软件功能、提供的插槽、端口范围，从总体上是一样的。因此，为提高可读性，在本手册中，除非特别说明，对于S3526 FS和S3526E FS以太网交换机所共有的功能，将只用S3526 FS代表，而不提及S3526 FS/S3526E FS。对于S3526 FM和S3526E FM以太网交换机所共有的功能，将只用S3526 FM代表，而不提及S3526 FM/S3526E FM。



Quidway S3500系列以太网交换机可作为IP城域网的小区/大楼接入层设备、大型企业和园区网的支干设备及中小型企业网的主干设备。支持的业务如下：

l Internet宽带接入

l 企业网和园区网组网

l 提供多播服务和多播路由功能，支持多播音、视频服务及视频点播（VOD，Video-On-Demand）服务

在本文中Quidway S3500系列以太网交换机简称为S3500系列以太网交换机。

1.2 功能特性列表
表1-1 功能特性列表

特性
说明

VLAN
支持符合IEEE 802.1Q标准的VLAN（Virtual LAN，虚拟局域网）

支持基于端口的VLAN

支持GVRP （GARP VLAN Registration Protocol，GARP VLAN注册协议）

支持VTP（VLAN Trunk Protocol，VLAN干道链路协议）

生成树协议
支持生成树协议及快速生成树协议，符合IEEE 802.1D及IEEE 802.1w标准

流控
支持IEEE 802.3x 流控（全双工）

支持Back-pressure based flow control（背压式流控）（半双工）

组播
支持GMRP（GARP Multicast Registration Protocol，GARP多播注册协议）

支持IGMP（Internet Group Management Protocol，因特网控制消息协议）

支持PIM-DM（Protocol-Independent Multicast-Dense Mode，密集模式下的协议无关组播）

支持PIM-SM（Protocol-Independent Multicast-Sparse Mode，稀疏模式下的协议无关组播）

IP路由
支持静态路由

支持RIP（Routing Information Protocol，路由信息协议） v1/v2

支持OSPF（Open Shortest Path First，开放最短路径优先）

支持EIGRP（Enhanced Inter-Gateway Routing Protocol，增强型内部网关路由协议）

DHCP Relay
支持DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）Relay

端口汇聚
支持端口汇聚

镜像
支持基于流分类的镜像功能

安全特性
用户分级管理和口令保护

支持802.1X认证

包过滤

可靠性
支持VRRP（Virtual Redundancy Routing Protocol，虚拟路由冗余协议）

服务质量（QoS，Quality of Service）
支持带宽控制

支持优先级

支持端口优先级队列

队列调度：支持PQ（Priority Queueing，优先队列）、WRR（Weighted Round Robin，加权循环调度队列）

管理
支持命令行接口（CLI）配置

支持Telnet远程配置

支持通过Console口配置

支持通过Modem拨号配置

支持SNMP管理（支持华为Quidview网管系统，支持RMON 1，2，3，9组MIB）

支持系统日志

支持分级告警

支持HGMP（Huawei Group Management Protocol，华为组管理协议）V1

支持HGMP V2

加载与升级
支持XModem协议实现加载升级

支持FTP、TFTP协议加载升级

维护
支持调试信息输出

支持PING、Tracert

支持Telnet远程维护






第2章 访问以太网交换机
2.1 通过配置口访问以太网交换机
第一步：如图2-1所示，建立本地配置环境，只需将微机（或终端）的串口通过配置口电缆与以太网交换机的配置口连接。


图2-1 通过配置口搭建本地配置环境

第二步：在微机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100，如图2-2至图2-4所示。


图2-2 新建连接


图2-3 连接端口设置


图2-4 端口通信参数设置

第三步：终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，直到出现命令行提示符（如Quidway>）。

第四步：键入命令，配置以太网交换机或查看以太网交换机运行状态，需要帮助可以随时键入“?”，关于具体的命令请参考以后各章节。

2.2 通过Telnet访问以太网交换机
2.2.1 通过微机Telnet到以太网交换机
如果用户已经通过Console口正确配置以太网交换机某VLAN接口的IP地址（在VLAN接口模式下使用ip address命令），并已指定与终端相连的以太网端口属于该VLAN（在VLAN模式下使用switchport命令），这时可以用Telnet通过局域网登录到以太网交换机，然后对以太网交换机进行配置。

第一步：在通过Telnet登录以太网交换机之前，先通过Console口在以太网交换机上对欲登录的Telnet用户进行授权验证：

& 说明：

Telnet用户登录缺省需要口令的验证，如果没有配置口令而通过Telnet登录，则会显示“password required, but none set.”。



Quidway> enable

Password:

Quidway# configure terminal

Enter configuration commands, one per line. End with CTRL/Z.

Quidway(config)# line vty 0

Quidway(config-line-vty0)# password xxxx（xxxx是欲设置的该Telnet用户登录口令）

Quidway(config-line-vty0)# exit

Quidway(config)# enable password xxxx（xxxx是欲设置的该Telnet用户由普通用户模式进入特权用户模式的口令）

第二步：如图2-5所示，建立配置环境，只需将微机以太网口通过局域网与以太网交换机的以太网口连接。


图2-5 通过局域网搭建本地配置环境

第三步：在微机上运行Telnet程序，并设置其终端类型为VT100，如图2-6和图2-7所示。


图2-6 运行Telnet程序


图2-7 与以太网交换机建立Telnet连接

第四步：在微机上键入以太网交换机上与微机相连的以太网口所属VLAN的IP地址，与以太网交换机建立连接，输入已设置的登录口令，然后出现命令行提示符（如Quidway>）。如果出现“Too many users!”的提示，则请稍候再连（S3500系列以太网交换机最多允许5个Telnet用户）。

第五步：使用相应命令配置以太网交换机或查看以太网交换机运行状态。如果想要进入特权用户模式，必须输入已设置的口令。需要帮助可以随时键入“?”，关于具体的命令请参考以后各章节。

& 说明：

通过Telnet配置以太网交换机时，请不要轻易改变以太网交换机的IP地址（修改后可能会导致Telnet连接断开）。



2.2.2 通过以太网交换机Telnet到以太网交换机
通过以太网交换机Telnet到另一台以太网交换机上时，本端作为Telnet Client，对端作为Telnet Server。如果两台交换机在同一局域网内，则其IP地址必须配置在同一网段；如果不在同一局域网内，则必须存在互相到达的路由。

配置环境如图2-8所示，用户登录到一台以太网交换机后，可以输入Telnet命令再登录其它以太网交换机，对其进行配置管理。


图2-8 提供Telnet Client服务

第一步：先通过Console口在作为Telnet Server的以太网交换机上对欲登录的Telnet用户进行授权验证：

& 说明：

Telnet用户登录缺省需要口令的验证，如果没有配置口令而通过Telnet登录，则会显示“password required, but none set.”。



Quidway> enable

Password:

Quidway# configure terminal

Enter configuration commands, one per line. End with CTRL/Z.

Quidway(config)# line vty 0

Quidway(config-line-vty0)# password xxxx（xxxx是欲设置的该Telnet用户登录口令）

Quidway(config-line-vty0)# exit

Quidway(config)# enable password xxxx（xxxx是欲设置的该Telnet用户由普通用户模式进入特权用户模式的口令）

第二步：用户登录到作为Telnet Client的以太网交换机，过程请参考本章“通过微机Telnet到以太网交换机”一节。

第三步：在Telnet Client的以太网交换机上作如下操作：

Quidway> enable

Password:

Quidway# telnet xxxx（xxxx是作为Telnet Server的以太网交换机的主机名或IP地址，若为主机名，则交换机一定要有静态解析功能。）

第四步：输入已设置的登录口令，然后出现命令行提示符（如Quidway>），如果出现“Too many users!”的提示，则请稍候再连。

第五步：使用相应命令配置以太网交换机或查看以太网交换机运行状态。如果想要进入特权用户模式，必须输入已设置的口令。需要帮助可以随时键入“?”，关于具体的命令请参考以后各章节。

2.3 通过Modem拨号访问以太网交换机
第一步：在通过Modem拨号登录以太网交换机之前，先通过Console口在以太网交换机上对欲登录的Modem用户进行授权验证：

& 说明：

Modem用户登录缺省需要口令的验证，如果没有配置口令而通过Modem登录，则会显示“password required, but none set.”。



Quidway> enable

Password:

Quidway# configure terminal

Enter configuration commands, one per line. End with CTRL/Z.

Quidway(config)# line aux 0

Quidway(config-line-aux0)# password xxxx（xxxx是欲设置的该Modem用户登录口令）

Quidway(config-line-aux0)# exit

Quidway(config)# enable password xxxx（xxxx是欲设置的该Modem用户由普通用户模式进入特权用户模式的口令）

& 说明：

建议用户在配置口令后执行write命令，将口令保存在以太网交换机的配置文件中。



Quidway# write

Now writing the running config to flash memory.

Please wait for a while...



write the running config to flash memory successfully

第二步：配置以太网交换机或Modem。

& 说明：

由于支持硬件流控的以太网交换机和不支持硬件流控的以太网交换机在通过Modem访问时，需要分别在交换机和Modem上进行一些配置，在下面的第二步操作中将分别介绍。



l 对于支持硬件流控的以太网交换机（S3526、S3526 FM、S3526 FS），需要在以太网交换机上将Console口配置为Modem方式。

Quidway(config-line-aux0)# modem

l 对于不支持硬件流控的以太网交换机（S3526E、S3526E FM、S3526E FS），需要在与以太网交换机直接相连的Modem上进行以下配置（与终端相连的Modem不需要进行如下配置）。

AT&F ----------------------- Modem恢复出厂设置

ATS0=1 ----------------------- 设置自动应答（振铃一声）

AT&D ----------------------- 忽略DTR信号

AT&K0 ----------------------- 禁止流量控制

AT&R1 ----------------------- 忽略RTS信号

AT&S0 ----------------------- 强制DSR为高电平

ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置

在配置后为了观察 Modem的设置是否正确，可以输入AT&V命令显示配置的结果。

& 说明：

各种Modem配置命令及显示的结果有可能不一样，具体操作请参照Modem的说明书进行。



第三步：如图2-9所示，建立远程配置环境，在微机（或终端）的串口和以太网交换机的Console口分别挂接Modem。


图2-9 搭建远程配置环境

第四步：在远端通过终端仿真程序和Modem向以太网交换机拨号（所拨号码应该是与以太网交换机相连的Modem的电话号码），与以太网交换机建立连接，如图2-10至2-11所示。


图2-10 拨号号码设置


图2-11 在远端微机上拨号

第五步：在远端的终端仿真程序上输入已设置的登录口令，出现命令行提示符（如Quidway>），即可对以太网交换机进行配置或管理。如果想要进入特权用户模式，必须输入已设置的口令。需要帮助可以随时键入“?”，关于具体的命令请参考以后各章节。

2.4 Line配置
2.4.1 Line简介
Line配置是以太网交换机提供的另一种配置方法，用来配置和管理端口数据，从而达到统一管理各种用户配置的目的。

目前S3500系列以太网交换机支持的配置方式有：

l 通过Console口本地配置

l 通过以太网端口利用Telnet远程登录配置

l 通过Console口利用Modem拨号进行远程配置

与这些配置方式对应的是两种类型的Line（线路）：

l AUX口线路（AUX）

“辅助端口”（Auxiliary port）是一种线设备，每台以太网交换机最多只有一个。

l 虚拟线路（VTY）

“虚拟连接”（Virtual port）属于逻辑终端线，用于对以太网交换机进行Telnet访问，通常简称为VTY。

& 说明：

在华为系列以太网交换机中AUX口和Console口是同一个口，所以线路类型中只有AUX口线路类型。



Line的编号有两种方式：绝对编号方式和相对编号方式。

(1) 绝对编号方式，遵守的规则如下：

l 辅助线（AUX）Line编号排在第一位，为line0；

l 虚拟线（VTY）排在辅助线后。第一个VTY的绝对Line编号比辅助线号大1。

(2) 相对Line编号的形式是：线路类型＋编号。此编号是每种类型的终端线的编号。遵守的规则如下：

l 辅助线的编号：AUX 0；

l 虚拟线的编号：第一条为VTY 0，第二条为VTY 1，依此类推。

2.4.2 Line配置
Line的主要配置任务列表如下：

l 进入Line配置模式

l 配置AUX（即Console）口属性

l 配置终端属性

l Line用户配置

l 配置Modem属性

l 配置重定向功能

2.4.3 进入Line配置模式
可以通过下面的命令进入相应的Line配置模式。可以进入单一Line配置模式对一条Line进行配置，也可以进入多条Line配置模式同时配置多条Line。

请在全局配置模式下进行下列配置。

表2-1 进入Line配置模式

操作
命令

进入单一Line配置模式或多条Line配置模式
line [ type-keyword ] line-number [ ending-line-number ]




2.4.4 配置AUX（即Console）口属性
可以通过下面的命令配置AUX（即Console）口的属性，包括速率、流控方式、校验方式、停止位、数据位。

请在Line配置模式下进行下列配置。

1. 配置AUX（即Console）口的传输速率
表2-2 配置AUX（即Console）口的传输速率

操作
命令

配置AUX（即Console）口的传输速率
speed speed-value




缺省情况下，AUX（即Console）口支持的传输速率为9600bit/s。

2. 配置AUX（即Console）口的流控方式
表2-3 配置AUX（即Console）口的流控方式

操作
命令

配置AUX（即Console）口的流控方式
flowcontrol { none | software | hardware }

恢复AUX（即Console）口的流控方式为缺省方式
no flowcontrol




缺省情况下，AUX（即Console）口的流控方式为none，即不进行流控。

3. 配置AUX（即Console）口的校验方式
表2-4 配置AUX（即Console）口的校验方式

操作
命令

配置AUX（即Console）口的校验方式
parity { none | even | odd | mark | space }

恢复AUX（即Console）口的校验方式为缺省方式
no parity




缺省情况下，AUX（即Console）口的校验方式为none，即无校验位。

4. 配置AUX（即Console）口的停止位
表2-5 配置AUX（即Console）口的停止位

操作
命令

配置AUX（即Console）口的停止位
stopbits stop-bit

恢复AUX（即Console）口的停止位为缺省值
no stopbits




缺省情况下，AUX（即Console）口的停止位为1。

5. 配置AUX（即Console）口的数据位
表2-6 配置AUX（即Console）口的数据位

操作
命令

配置AUX（即Console）口的数据位
databits data-bit

恢复AUX（即Console）口数据位为缺省值
no databits




缺省情况下，AUX（即Console）口支持的数据位为8位。

2.4.5 配置终端属性
可以通过下面的命令配置终端属性，包括启动EXEC终端服务、EXEC超时断开设定、锁住Line、配置终端屏幕的一屏长度以及配置历史命令缓冲区大小。

请在Line配置模式下进行下列配置。

1. 启动EXEC终端服务
表2-7 启动EXEC终端服务

操作
命令

启动EXEC终端服务
exec

禁止终端服务
no exec




缺省情况下，在所有的Line上启动EXEC终端服务。

需要注意的是：

l 因为AUX（即Console）口本身就是配置口，为了安全起见，no exec命令在AUX（即Console）口不支持，其它Line均支持。

l 用户不能在自己登录的Line上使用本命令。

l 在任何合法的Line上使用本命令，都需要经过用户的确认。

2. EXEC超时断开设定
表2-8 设置EXEC用户超时断连功能

操作
命令

设置EXEC用户超时断连功能
exec-timeout minutes seconds

禁止EXEC用户超时断连
no exec-timeout




缺省情况下，启动了EXEC超时断连功能，时间为10分钟。也就是说，如果10分钟没有操作，此终端线将自动断开。

配置exec-timeout 0与no exec-timeout产生的效果相同，即关闭超时断连功能。

3. 配置锁住Line
表2-9 锁住Line

操作
命令

锁住Line的使能
lockable

禁止锁住Line
no lockable




4. 设置终端屏幕的一屏长度
表2-10 设置终端屏幕的一屏长度

操作
命令

设置终端屏幕的一屏长度
length screen-length

恢复终端屏幕一屏长度为缺省值
no length




缺省情况下，终端屏幕一屏长度为24行。

length 0表示关闭分屏功能。no length表示恢复缺省设置。

5. 设置历史命令缓冲区大小
表2-11 设置历史命令缓冲区大小

操作
命令

设置历史命令缓冲区大小
history size size-value

恢复历史命令缓冲区大小为缺省值
no history size




缺省情况下，历史缓冲区为10，即可存放10条历史命令。

2.4.6 Line用户配置
Line用户配置包括用户验证的设置、用户优先级的设置以及命令优先级的设置。

1. 验证的配置
可以使用以下命令设置用户登录时是否需要进行验证，以防止非法用户的侵入。

请在Line配置模式下进行下列配置。

表2-12 验证的配置

操作
命令

使能终端验证
login [ local ]

关闭终端验证
no login




缺省情况下，Console口用户登录不需要进行终端验证；而Modem和Telnet用户登录需要进行终端验证。

(1) Line的本地口令验证

当login命令不带参数local，表示需要进行本地口令验证，此时需要使用以下命令配置口令后，才能成功登录。

请在Line配置模式下进行下列配置。

表2-13 设置本地验证的口令

操作
命令

设置本地验证的口令
password [ 0 | 7 ] password

取消本地验证的口令
no password


！在VTY 0上进行如下配置，则用户从VTY 0登录时，需要输入口令huawei才能成功登录。

Quidway(config-line-vty0)# login

Quidway(config-line-vty0)# password huawei

(2) Line的本地用户名和口令验证

当login命令带参数local，表示需要进行本地用户名和口令验证，此时需要使用以下命令配置用户名和口令后，才能成功登录。

请在全局配置模式下进行下列配置。

表2-14 设置本地验证的用户名和口令

操作
命令

设置验证的用户名和口令
user username service-type exec password [ 0 | 7 ] password




！在VTY 0上进行如下配置，则用户从VTY 0登录时，需要输入用户名zbr和口令huawei才能成功登录。

Quidway(config-line-vty0)# login local

Quidway(config)# user zbr service-type exec password 0 huawei

(3) 不验证

Quidway(config-line-vty0)# no login

& 说明：

Modem和Telnet配置用户登录时缺省需要口令的验证，如果没有配置口令即password，则将显示“password required，but none set.”

如果使用no login命令，则Modem和Telnet配置用户登录时不需要进行口令的验证。



2. 用户优先级设置
可以使用以下命令设置Line用户的优先级，以便Line用户登录时直接进入此优先级对应的配置模式，执行此优先级范围以内的命令。从而使用户具有不同的优先级，可以使用不同优先级的命令。

请在Line配置模式下进行下列配置。

表2-15 设置Line用户的优先级

操作
命令

设置Line用户的优先级
privilege level level

恢复Line用户的缺省优先级
no privilege level




缺省优先级为1，对应的是普通用户模式。

需要注意的是，用户使用的命令的优先级必须小于等于用户的优先级。

3. 命令优先级的设置
可以使用以下命令设置指定命令模式指定命令的优先级，从而改变命令的优先级，以便该命令可以被所有优先级大于或等于它的用户使用。

请在全局配置模式下进行下列操作。

表2-16 命令优先级的设置

操作
命令

设置指定命令模式的命令的优先级
privilege mode [ level level | reset ] commandkey




需要注意的是，用户使用的命令的优先级必须小于等于用户的优先级。

2.4.7 Modem属性配置
& 说明：

在S3500系列以太网交换机中，只有S3526、S3526 FM、S3526 FS支持Modem属性配置。



通过Modem访问以太网交换机时，可以通过下面的命令配置Modem的有关参数。

请在Line配置模式下进行下列配置。

表2-17 Modem配置

操作
命令

设置系统收到了RING信号到等待CD_UP的时间间隔
modem answer-timeout seconds

恢复系统缺省的收到RING信号到等待CD_UP的时间间隔
no modem answer-timeout

设置自动应答
modem auto-answer

设置手动应答
no modem auto-answer

设置允许呼入
modem dialin

设置禁止呼入
no modem dialin

设置呼入呼出开关
modem inout

设置禁止呼入呼出
no modem inout




2.4.8 配置重定向功能
1. send
可以通过下面的命令实现Line之间传递命令的功能。

请在特权用户模式下进行下列配置。

表2-18 设置在Line之间传递命令

操作
命令

设置在Line之间传递命令
send { * | linenumber | linetype linenumber }




2. 自动执行命令
可以通过下面的命令配置登录时自动执行命令。当某条命令被配置为自动执行后，当用户重新登录时，将自动执行该命令。

通常的用法是在终端使用以下命令配置telnet命令，使用户自动连接到指定的设备。

请在Line配置模式下进行下列配置。

表2-19 设置自动执行命令

操作
命令

设置自动执行命令
autocommand command

取消自动执行命令
no autocommand


需要注意的是：

l 该命令的使用将导致不能使用该终端线对本系统进行常规的配置，需谨慎使用。

l 在配置autocommand命令并保存配置（执行write操作）之前，要确保可以通过其它手段登录系统以去掉此配置。

！配置用户从AUX（即Console）口登录后，自动执行telnet 10.110.100.1命令。

Quidway(config-line-aux0)# autocommand telnet 10.110.100.1

！退出全局配置模式，重新登录，将自动执行telnet 10.110.100.1命令。

2.4.9 Line的监控和维护
请在除普通用户模式以外的其它配置模式下进行下列操作。

表2-20 显示Line的用户使用信息

操作
命令

显示终端线的用户信息
show users

显示每条终端线的用户信息，包括未激活终端线的用户信息
show users all

显示Line的物理属性和一些配置
show line [ linetype-name ] [ linenumber ]






第3章 命令行接口
3.1 命令行接口
华为系列以太网交换机向用户提供一系列配置命令以及命令行接口，方便用户配置和管理以太网交换机。命令行接口有如下特性：

l 通过Console口进行本地配置。

l 通过Telnet进行本地或远程配置。

l 通过Modem拨号登录到以太网交换机进行远程配置。

l 配置命令分级保护，确保未授权用户无法侵入以太网交换机。

l 用户可以随时键入“?”以获得在线帮助。

l 提供网络测试命令，如Tracert、Ping等，迅速诊断网络是否正常。

l 提供种类丰富、内容详尽的调试信息，帮助诊断网络故障。

l 用Telnet命令直接登录并管理其它以太网交换机。

l 提供FTP服务，方便用户上载、下载文件。

l 提供类似Doskey的功能，可以执行某条历史命令。

l 命令行解释器对关键字采取不完全匹配的搜索方法，用户只需键入无冲突关键字即可解释，如show命令，键入sh即可。

3.2 命令行模式
华为系列以太网交换机的命令行采用分级保护方式，防止未授权用户的非法侵入。

各命令模式是针对不同的配置要求实现的，它们之间有联系又有区别，比如，与以太网交换机建立连接即进入普通用户模式，它只完成查看运行状态和统计信息的简单功能，再键入enable进入特权用户模式（如果设置了enable password，则需输入密码），在特权用户模式下，键入config terminal进入全局配置模式，在全局配置模式下，键入不同的配置命令进入相应的配置模式。

命令行提供如下命令模式：

l 普通用户模式

l 特权用户模式

l 全局配置模式

l 以太网端口配置模式

l VLAN配置模式

l VLAN接口配置模式

l VTP配置模式

l Line配置模式

l HGMP配置模式

l lanswitch配置模式

l OSPF协议配置模式

l RIP协议配置模式

l EIGRP协议配置模式

各命令模式的功能特性、进入各模式的命令等细则如表3-1所示。



表3-1 命令模式功能特性列表

命令模式
功能
提示符
进入命令
退出命令

普通用户模式
查看交换机的简单运行状态和统计信息
Quidway>
与交换机建立连接即进入
exit断开与交换机连接

特权用户模式
查看交换机的全部运行状态和统计信息，进行文件管理和系统管理
Quidway#
在普通用户模式下键入enable
disable返回普通用户模式

exit断开与交换机连接

全局配置模式
配置全局性参数
Quidway(config)#
在特权用户模式下键入configure terminal
exit返回特权用户模式

end返回特权用户模式

以太网端口配置模式
配置以太网端口参数
Quidway(config-if-Ethernet0/1)#
百兆以太网端口模式

在全局配置模式下键入：interface ethernet 0/1
exit返回全局配置模式

end返回特权用户模式

Quidway(config-if-GigabitEthernet1/1)#
千兆以太网端口模式

在全局配置模式下键入：interface gigabitethernet 1/1

VLAN配置模式
配置VLAN参数
Quidway(config-vlan1)#
在全局配置模式下键入vlan 1
exit返回全局配置模式

end返回特权用户模式

VLAN接口配置模式
配置VLAN和VLAN汇聚对应的IP接口参数
Quidway(config-VLAN-Interface1)#
在全局配置模式下键入：interface vlan-interface 1
exit返回全局配置模式

end返回特权用户模式

VTP配置模式
配置VTP协议参数
Quidway(config-vtp)#
在全局配置模式下键入vtp
exit返回全局配置模式

end返回特权用户模式

Line配置模式
配置Line参数
Quidway(config-line0)#
在全局配置模式下键入line 0
exit返回全局配置模式

end返回特权用户模式

HGMP配置模式
集中管理其它交换机
Quidway (config-hgmp)#
在全局配置模式下键入

hgmpserver enable
exit返回全局配置模式

end返回特权用户模式

lanswitch配置模式
管理指定的交换机
Quidway(config-lanswitch1/0/6-/)#
在hgmp配置模式下键入

lanswitch 1/0/6-/
exit返回hgmp配置模式

end返回特权用户模式

OSPF协议配置模式
配置OSPF协议参数
Quidway(config-router-ospf)#
在全局配置模式下键入router ospf
exit返回全局配置模式

end返回特权用户模式

RIP协议配置模式
配置RIP协议参数
Quidway

(config-router-rip)#
在全局配置模式下键入router rip
exit返回全局配置配置模式

end返回特权用户模式

EIGRP协议配置模式
配置EIGRP协议参数
Quidway(config-router- eigrp)#
在全局配置模式下键入router eigrp
exit返回全局配置模式

end返回特权用户模式





& 说明：

命令行提示符以华为系列以太网交换机的名称（缺省为Quidway）作前缀，括号中表明当前的配置模式，后缀“>”表示普通用户，“#”表示特权用户。



3.3 命令行特性功能
3.3.1 命令行在线帮助
命令行接口提供如下几种在线帮助：

l help

l 完全帮助

l 部分帮助

通过上述各种在线帮助能够获取到帮助信息，分别描述如下：

(1) 在任一命令模式下，键入help获取有关帮助系统的简单描述。

Quidway> help

Help may be requested at any point in a command by entering

a question mark '?'. If nothing matches, the help list will

be empty and you must backup until entering a '?' shows the

available options.

Two styles of help are provided:

1. Full help is available when you are ready to enter a

command argument (e.g. 'show ?') and describes each possible

argument.

2. Partial help is provided when an abbreviated argument is entered

and you want to know what arguments match the input

(e.g. 'show use?').

(2) 在任一命令模式下，键入“?”获取该命令模式下所有的命令及其简单描述。

Quidway# ?

Privilege EXEC mode commands:

cd Change current directory

clear Clear buffer

clock Manage the system clock

configure Enter configuration mode

copy Copy from one file to another

debug Debugging functions

delete Delete a file

dir List files on a filesystem

disable Turn off privileged EXEC mode commands

enable Turn on privileged EXEC mode commands

erase Erase startup configuration

exit Exit from the EXEC

format Format file system

ftp Open FTP connection

help Description of the interactive help system

lock Lock the terminal

mkdir Create a new directory

more Display the contents of a file

move Move from one file to another

no Negate a command or set its defaults

ping Open a ping connection

pwd Display current working directory

rename Rename a file

reset Slot

rmdir Remove an existing directory

send Send a message to other tty lines

show Show running system information

squeeze Deleted file permanently

telnet Open a telnet connection

terminal Set terminal line parameters

tracert Trace route to destination

undelete Recover a deleted file

write Write running configuration

(3) 键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。

Quidway# show ?

aaa Display AAA information

acl Access Control List statistics information

arp Show ARP Entry

channel Show Informational channel's content

clock Display the system clock

config-user Can login or logout users

controller Display controller information

debugging Show current setting of debugging switch

dhcp-server Show the relevant information of DHCP server

egress Egress queue

fib fib

flow-action Flow action

ftp-server Display information about ftp-server

ftp-user Display information about ftp-user

garp Generic attribute registration protocol

gmrp GARP multicast registration protocol

gvrp GARP vlan registration protocol

history Display the session history command

igmp-snooping IGMP Snooping

interface Display interface information

ip Global ip configuration subcommands

ipfdb FDB

line TTY line information

link-aggregation Ports aggregation mode

logging Show informational center configuration & content

mac-address Configure MAC address

monitor-port Show the monitor port

rmon RMON information

router Show router information

rule-map Rule for separating stream

running-config Current operating configuration

slot Slot

snmp Snmp statistics

spanning-tree Spanning Tree Protocol

startup-config Contents of startup configuration

tcp Status of TCP connections

time-range Time range

traffic Taffic model

users Display information about terminal lines

version System hardware and software status

vlan Vlan configuration information

vtp VTP configuration

(4) 键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。

Quidway(config)# garp timer leaveall ?

INTEGER<65-32765> Value of timer in centiseconds

(LeaveAllTime > (LeaveTime [On all ports]))

Time must be multiple of 5 centiseconds

Quidway(config)# garp timer leaveall 300 ?

<cr>

<cr>表示该位置无参数，在紧接着的下一个命令行该命令被复述，直接键入回车即可执行。

(5) 键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。

Quidway# d?

debug disable

(6) 键入一命令，后接一字符串紧接“?”，列出命令以该字符串开头的所有关键字。

Quidway# show h?

hosts

(7) 以上帮助信息，均可通过执行terminal language命令切换为中文显示。

3.3.2 命令行错误信息
所有用户键入的命令，如果通过语法检查，则正确执行，否则向用户报告错误信息，常见错误信息参见表3-2。

表3-2 命令行常见错误信息表

英文错误信息
错误原因

Unrecognized command
没有查找到命令

没有查找到关键字

参数类型错

参数值越界

Incomplete command
输入命令不完整

Too many parameters
输入参数太多

Ambiguous command
输入参数不明确




3.3.3 历史命令
命令行接口提供类似Doskey功能，将用户键入的历史命令自动保存，用户可以随时调用命令行接口保存的历史命令，并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如表3-3所示。

表3-3 访问历史命令

操作
按键
结果

访问上一条历史命令
上光标键
如果还有更早的历史命令，则取出上一条历史命令，否则响铃警告。

访问下一条历史命令
下光标键
如果还有更晚的历史命令，则取出下一条历史命令，否则清空命令，响铃警告。




& 说明：

用光标键对历史命令进行访问，在Windows 3.X的Terminal和Telnet下都是有效的，但对于Windows 9X超级终端，↑、↓光标键会无效，这是由于Windows 9X的超级终端对这两个键作了不同解释所致，这时可以用 组合键“Ctrl+P”和“Ctrl+N”来代替↑、↓光标键达到同样目的。



3.3.4 编辑特性
命令行接口提供了基本的命令编辑功能，支持多行编辑，每条命令的最大长度为256个字符，如表3-4所示。

表3-4 编辑功能表

按键
功能

普通按键
若编辑缓冲区未满，则插入到当前光标位置，并向右移动光标，否则，响铃告警

退格键Backspace
删除光标位置的前一个字符，光标前移，若已经到达命令首，则响铃告警

删除键Delete
删除光标位置字符，若已经到达命令尾，则响铃告警

左光标键←
光标向左移动一个字符位置，若已经到达命令首，则响铃告警

右光标键→
光标向右移动一个字符位置，若已经到达命令尾，则响铃告警

上下光标键↑↓
显示历史命令




3.3.5 显示特性
命令行接口提供了如下的显示特性：

l 为方便用户，提示信息和帮助信息可以用中英文两种语言显示。

l 在一次显示信息超过一屏时，提供了暂停功能，这时用户可以有三种选择，如表3-5所示。

表3-5 显示功能表

按键或命令
功能

暂停显示时键入“Ctrl+C”
停止显示和命令执行

暂停显示时键入空格键
继续显示下一屏信息

暂停显示时键入回车键
继续显示下一行信息
__________________
i must win,and i will win.

---

由 7boy 于 05-19-2003 09:06 PM 发表:

2. 端口配置

第1章 以太网端口配置
1.1 以太网端口简介
S3526以太网交换机提供24个10/100Base-T固定以太网端口、1个Console口及2个千兆扩展模块插槽，扩展模块插槽支持1端口1000Base-SX、1端口1000Base-LX和1端口1000Base-T、1端口1000Base-ZX和1端口1000Base-LXGL扩展接口模块。

S3526 FS与S3526 FM以太网交换机的区别仅在于它们前面板上的固定光端口属性不同：S3526 FS以太网交换机提供12个百兆单模光端口，S3526 FM以太网交换机提供12个百兆多模光端口。除此以外它们完全一样，支持4个扩展模块插槽及1个Console口。其中后面板的两个扩展模块插槽支持千兆接口模块，包括1端口1000Base-SX、1端口1000Base-LX、1端口1000Base-T、1端口1000Base-ZX和1端口1000Base-LXGL；前面板的两个扩展模块插槽支持百兆接口模块，包括6端口100Base-FX多模、6端口100Base-FX单模和6端口10/100Base-T。

S3526E以太网交换机提供24个10/100Base-T固定以太网端口、1个Console口及2个扩展模块插槽，扩展模块插槽支持1端口1000Base-SX、1端口1000Base-LX和1端口1000Base-T、1端口1000Base-ZX和1端口1000Base-LXGL扩展接口模块、1端口100Base-FX多模模块、1端口100Base-FX单模模块。

S3526E FM/S3526E FS以太网交换机的区别也仅在它们前面板上的固定光端口属性不同：S3526E FS以太网交换机提供12个百兆单模光端口，S3526E FM以太网交换机提供12个百兆多模光端口。除此以外它们完全一样，支持4个扩展模块插槽及1个Console口。其中后面板的两个扩展模块插槽支持百兆接口模块和千兆接口模块，其中百兆接口模块包括1端口100Base-FX多模模块和1端口100Base-FX单模模块，千兆接口模块包括1端口1000Base-SX、1端口1000Base-LX、1端口1000Base-T、1端口1000Base-ZX和1端口1000Base-LXGL；前面板的两个扩展模块插槽支持百兆接口模块，包括6端口100Base-FX多模、6端口100Base-FX单模和6端口10/100Base-T。

以上以太网交换机支持的以太网端口特性如下：

l 10/100Base-TX以太网端口可以工作在半双工、全双工、自协商模式下，可以与其他网络设备协商确定工作方式和速率，自动选择最合适的工作方式和速率，从而大大简化系统的配置和管理。

l 100Base-FX多模/单模以太网端口不允许设置为10M或半双工方式,可以设置为full（全双工）或auto（自协商）状态，系统缺省设置为速率是100Mbit/s，工作在全双工模式下。100Base-FX多模以太网端口可以为用户提供1个百兆多模光端口；100Base-FX单模以太网端口可以为用户提供1个百兆单模光端口。

l 1000Base-SX/LX以太网端口工作在千兆全双工模式下。1000Base-LX可以为用户提供1个千兆单模光端口；1000Base-SX可以为用户提供1个千兆多模光端口。

l 1000Base-T以太网端口支持MDI/MDI-X自适应，可以工作在半双工、全双工、自协商模式下。当工作在速度为1000M时，只支持全双工和AUTO。

l 1000Base-ZX长距模块和1000Base-LXGL中距模块各提供1个千兆单模光端口，工作在千兆全双工模式下，其工作模式、速率不能被用户设置。

几种以太网端口的配置基本相同，下面一起介绍。

1.2 以太网端口配置
1.2.1 以太网端口配置任务列表
要配置以太网端口的相关特性参数，首先要进入以太网端口配置模式，然后对相关参数进行配置。

以太网端口主要配置任务列表如下：

l 进入以太网端口配置模式

l 打开或关闭以太网端口

l 对以太网端口进行描述

l 设置以太网端口双工状态

l 设置以太网端口速率

l 设置以太网端口的网线类型

l 设置以太网端口的流量控制

l 设置以太网端口广播风暴抑制比

l 设置以太网端口最多可以学习的MAC地址数

l 设置以太网端口的工作模式

l 把当前以太网端口加入到指定VLAN

l 设置以太网端口缺省VLAN ID

l 设置端口的VLAN过滤特性

1.2.2 进入以太网端口配置模式
要对以太网端口进行配置，首先要进入以太网端口配置模式。

请在全局配置模式下进行下列配置。

表1-1 进入以太网端口配置模式

操作
命令

进入以太网端口配置模式
interface{ interface_type interface_num | interface_name }




进入以太网端口配置模式时参数interface_type取Ethernet或GigabitEthernet。

1.2.3 打开/关闭以太网端口
如果要在物理层上对端口进行关闭或重启，可以使用下面的命令。

请在以太网端口配置模式下进行下列配置。

表1-2 打开或关闭以太网端口

操作
命令

关闭以太网端口
shutdown

打开以太网端口
no shutdown




缺省情况下，端口为打开状态。

1.2.4 对以太网端口进行描述
可以使用以下命令对以太网端口进行必要的描述，以区分各个端口。

请在以太网端口配置模式下进行下列配置。

表1-3 对以太网端口进行描述

操作
命令

设置以太网端口描述字符串
description string

删除以太网端口描述字符串
no description




缺省情况下，端口的描述字符串为空字符串。

1.2.5 设置以太网端口双工状态
可以使用以下命令对以太网端口的双工特性进行设置，如全双工、半双工或自协商状态。

请在以太网端口配置模式下进行下列配置。

表1-4 设置以太网端口双工状态

操作
命令

设置以太网端口的双工状态
duplex { half | full | auto }

恢复以太网端口的双工状态为缺省值
no duplex




需要注意的是，100Base-FX多模/单模以太网端口的工作模式由系统设置为全双工模式，不允许用户对其工作模式进行配置。1000Base-SX/LX以太网端口工作在全双工模式下，可以设置为full（全双工）或auto（自协商）状态。

缺省情况下，端口的双工状态为auto（自协商）状态。

1.2.6 设置以太网端口速率
可以使用以下命令对以太网端口的速率进行设置，如10Mbit/s、100Mbit/、1000Mbit/s或自协商。

请在以太网端口配置模式下进行下列设置。

表1-5 设置以太网端口速率

操作
命令

设置百兆以太网端口的速率
speed { 10 | 100 | auto }

设置千兆以太网端口的速率
speed { 10 | 100 | 1000 |auto }

恢复以太网端口的速率为缺省值
no speed


10/100Base-TX以太网端口支持10Mbit/s、100Mbit/s两种速率。

千兆以太网电口在S3500系列以太网交换机中，速率只能设置1000M或auto；双工只能设置full或auto。设置10M或100M时系统会提示“Not support this operation!”。

千兆以太网光端口只支持1000Mbit/s速率，百兆以太网光端口只支持100Mbit/s速率，都不能设置，在这些端口下使用此命令系统会给出提示“Not support this operation!”。

缺省情况下，端口的速率处于auto（自协商）状态。

1.2.7 设置以太网端口网线类型
以太网端口的网线有直连网线及交叉网线，可以使用该命令对网线类型进行设置。

请在以太网端口配置模式下进行下列配置。

表1-6 设置以太网端口网线类型

操作
命令

设置以太网端口连接的网线的类型
mdi { normal | across | auto }

恢复以太网端口的网线类型为缺省值
no mdi




缺省情况下，端口的网线类型为auto（自识别）型。

1.2.8 设置以太网端口流量控制
可以使用以下命令对以太网端口的流量控制进行设置：控制流量或不控制流量。

请在以太网端口配置模式下进行下列配置。

表1-7 设置以太网端口流量控制

操作
命令

开启以太网端口的流量控制
flow-control

关闭以太网端口的流量控制
no flow-control




缺省情况下，端口的流量控制为关闭状态。

1.2.9 设置以太网端口广播风暴抑制比
可以通过该命令，设置端口上允许通过的广播流量的大小，当广播流量超过一定的允许门限后，系统将广播流量作丢弃处理，从而保证网络的业务，使广播所占的流量比例降低到合理的范围。以端口最大的广播流量的线速度百分比作为参数，百分比越小，则允许通过的广播流量也越小；当百分比为100时，则对该端口不做广播风暴抑制。

请在以太网端口配置模式下进行下列配置。

表1-8 设置以太网端口广播风暴抑制

操作
命令

设置以太网端口的广播风暴抑制比例
switchport broadcast-suppression percent

恢复以太网端口的广播风暴抑制比例为缺省值
no switchport broadcast-suppression




缺省情况下，允许通过的广播流量为100%，即不对广播风暴进行抑制。

1.2.10 设置以太网端口最多可以学习的MAC地址数
可以使用该命令来设置以太网端口最多学习到的MAC地址数目。

请在以太网端口配置模式下进行下列配置。

表1-9 设置以太网端口最多可以学习的MAC地址数

操作
命令

设置以太网端口最多可以学习的MAC地址数
mac-address-table max-mac-count count

恢复以太网端口最多可以学习的MAC地址数为缺省值
no mac-address-table max-mac-count




1.2.11 设置以太网端口的工作模式
以太网端口有三种工作模式：access，multi，trunk。端口工作在access模式下只能属于1个VLAN，一般用于接用户计算机的端口；端口工作在trunk模式下可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；端口工作在multi模式下可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于接用户的计算机。Multi端口和trunk端口的不同之处在于multi端口可以允许多个VLAN的报文不打标签，而trunk端口只允许缺省VLAN的报文不打标签。

请在以太网端口配置模式下进行下列设置。

表1-10 设置以太网端口的工作模式

操作
命令

设置端口为access端口
switchport mode access

设置端口为multi端口
switchport mode multi

设置端口为trunk端口
switchport mode trunk

恢复端口为缺省工作模式，即为access端口
no switchport mode




在同1个交换机上multi端口和trunk端口不能并存。即配置了multi端口就不能配置trunk端口，反之亦然。

缺省情况下，端口为access端口。

1.2.12 把当前以太网端口加入到指定VLAN
本配置任务把当前以太网端口加入到指定的VLAN中。Access端口只能加入到1个VLAN中，multi端口和trunk端口可以加入到多个VLAN中。

请在以太网端口配置模式下进行下列设置。

表1-11 把当前以太网端口加入到指定VLAN

操作
命令

把当前access端口加入到指定VLAN
switchport access vlan vlan-id

将当前multi端口加入到指定VLAN
switchport multi vlanvlan_id_list { tagged | untagged }

把当前trunk端口加入到指定VLAN
switchport trunkallowed vlan {vlan_id_list | all }

把当前access端口从指定VLAN删除
no switchport access vlan vlan-id

把当前multi端口从指定VLAN中删除
no switchport multi vlanvlan_id_list

把当前trunk端口从指定VLAN中删除
no switchport trunkallowed vlan {vlan_id_list | all }




需要注意的是：access端口加入的VLAN必须已经存在并且不能是VLAN 1。

执行了本配置，当前以太网端口上就可以通过指定VLAN的报文。Multi端口和trunk端口可以加入到多个VLAN中，从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。multi端口还可以设置哪些VLAN的报文打上标签，哪些不打标签，为实现对不同VLAN报文执行不同处理流程打下基础。

1.2.13 设置以太网端口缺省VLAN ID
Access端口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Multi端口和trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。本配置任务用来设置以太网端口的缺省VLAN ID。

请在以太网端口配置模式下进行下列配置。

表1-12 设置以太网端口缺省VLAN ID

操作
命令

设置multi端口的缺省VLAN ID
switchport multi native vlan vlan_id

设置trunk端口的缺省VLAN ID
switchport trunk native vlan vlan_id

恢复multi端口的缺省VLAN ID为缺省值
no switchport multi native

恢复trunk端口的缺省VLAN ID为缺省值
no switchport trunk native




Multi端口的缺省VLAN ID可以设置为没有创建的VLAN。

正确配置Multi端口的缺省VLAN ID的条件是：本Multi端口的缺省VLAN ID和相连的对端交换机的Multi端口的缺省VLAN ID必须一致。

Trunk端口不能和PVLAN结合使用。当接收到没有标签的报文时，trunk端口将此报文发往缺省VLAN ID标识的VLAN。报文发送和接收遵循IEEE 802.1Q标准。Trunk端口的缺省VLAN必须已经存在。如果trunk端口的缺省VLAN ID代表的VLAN不存在，会发生丢包现象，建议用户不要作这样的配置。

正确配置trunk端口的缺省VLAN ID的条件是：该VLAN必须已经存在，trunk端口上必须已经加入该VLAN，同时本trunk端口的缺省VLAN ID和相连的对端交换机的trunk端口的缺省VLAN ID必须一致。

缺省情况下，Multi端口和trunk端口的缺省VLAN为VLAN 1，access端口的缺省VLAN是本身所属于的VLAN。

1.3 以太网端口监控与维护
请在相应模式下进行下列操作。show命令还可以在除普通用户模式外的所有配置模式下执行；clear命令在特权用户模式下执行，它可以清除以太网端口的统计信息；loopback-detection run命令在全局配置模式下执行；loopback命令在以太网端口配置模式下执行。

表1-13 以太网端口的监控和维护命令

操作
命令

显示端口的所有信息
show interface{ interface_type | interface_typeinterface_num | interface_name }

清除以太网端口的统计信息
clear interface[ interface_type | interface_typeinterface_num | interface_name ]

使用环回测试检验以太网端口是否正常工作
loopback { internal | external }




使用show命令可以查看端口的相关信息，包括端口类型、端口状态、是否双工、端口速率、流控、广播抑制比和是否汇聚端口等。

使用clear命令清除端口信息时，如果不指定端口类型和端口号，则清除交换机上所有的端口信息；如果同时指定端口类型和端口号，则清除指定的端口信息。

使用loopback命令进行环回测试时，端口将不能正确转发数据包，一定时间后环回测试自动结束。如果端口执行了shutdown命令后不能进行环回测试；在进行环回测试时系统将禁止在端口上进行speed，duplex，mdi，shutdown操作；有些端口不支持环回测试，在这些端口上进行环回测试时系统会给出提示。

！显示以太网端口Ethernet0/1的所有信息。

Quidway# show interface ethernet0/1

Ethernet0/1 is up

Hardware is Fast Ethernet, Hardware address is 00e0.fc00.0010

Auto-duplex(Full), Auto-speed(10M), 100_BASE_TX

Flow control is disable

Broadcast suppression ratio is 100

PVID is 1

Tagged VLAN ID:6-7, 11

Mdi type: auto

It is a vlan trunking port, vlan(s) passing this port:

1(default vlan), 2-5, 100

vlan(s) allowed to pass this port:

1(default vlan), 2-5, 50-100

It is not a monitor port

It doesn't belong to a port-aggregation

28 packets output, 3366 bytes, 0 multicast, 1 broadcasts, 0 pause

701 packets input, 148879 bytes, 235 multicast, 425 broadcasts,

0 pause

0 FCS errors

0 long frames

1.4 以太网端口配置举例
1.4.1 配置Trunk端口的缺省VLAN ID
1. 组网需求
S3526系列以太网交换机与对端交换机使用Trunk端口Ethernet0/10相连，本例将为该Trunk端口配置缺省的VLAN ID，验证switchport trunk native vlan命令的使用。switchport trunk native vlan的典型应用是当接收到没有标记的报文时，该Trunk端口将此报文发往缺省VLAN ID标识的VLAN。

2. 组网图


图1-1 配置Trunk型以太网端口的缺省VLAN ID示例图

3. 配置步骤
配置S3526：

！进入以太网端口Ethernet0/10配置模式。

Quidway(config)# interface Ethernet0/10

！配置端口Ethernet0/10为Trunk口，并允许2、6、7到50等VLAN通过。

Quidway(config-if-Ethernet0/10)# switchport mode trunk

Quidway(config-if-Ethernet0/10)# switchport trunk allowed vlan 2 6 7 to 50

！创建VLAN 100。

Quidway(config)# vlan 100

！配置端口Ethernet0/10的缺省VLAN ID为100。

Quidway(config-if-Ethernet0/10)# switchport trunk native vlan 100

！显示端口Ethernet0/10的配置情况。

Quidway(config-if-Ethernet0/10)# show interface Ethernet 0/10

Ethernet0/10 is up

Hardware is Fast Ethernet, Hardware address is 00e0.fc00.0010

Auto-duplex(Full), Auto-speed(10M), 100_BASE_TX

Flow control is disable

Broadcast suppression ratio is 100

PVID is 100

Mdi type: auto

It is a vlan trunking port, vlan(s) passing this port:

1(default vlan), 2-5, 100

vlan(s) allowed to pass this port:

1(default vlan), 2-5, 50-100

It is not a monitor port

It doesn't belong to a port-aggregation

28 packets output, 3366 bytes, 0 multicast, 1 broadcasts, 0 pause

701 packets input, 148879 bytes, 235 multicast, 425 broadcasts,

0 pause

0 FCS errors

0 long frames

1.5 以太网端口排错
故障现象：配置缺省VLAN ID不成功。

故障排除：可以按照如下步骤进行。

l 使用show interface命令检查该端口是否为trunk端口或multi端口。如不是，则应先将其配置成trunk端口或multi端口。

l 接着再配置缺省VLAN ID。





第2章 以太网端口汇聚配置
2.1 以太网端口汇聚简介
S3526以太网交换机中，端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet0/17、Gigabitethernet1/1，所以一台S3526交换机中只能有3个以太网负荷分担组和一个千兆以太网负荷分担组，组内的端口必须连续。

S3526 FM/S3526 FS以太网交换机中，端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1，所以一台S3526 FM/S3526 FS以太网交换机最多有4个负荷分担组。如果组内的端口是同一槽内的端口，则端口号必须连续；如果组内的端口跨越了两个槽，则同一槽内的端口号必须连续，槽号必须连续，且只能从第二个槽第一个端口开始加入负荷分担组。

S3526E、S3526E FM、S3526E FS的端口聚合比较灵活，最多可以配置6个负荷分担组，每组最多8个端口，组内的端口必须连续，可以从任一端口开始进行汇聚。

2.2 以太网端口汇聚配置
2.2.1 以太网端口汇聚配置任务列表
以太网端口汇聚配置任务包括：

l 将一组以太网端口设置为汇聚端口

2.2.2 将一组以太网端口设置为汇聚端口
该配置任务用来设置或删除以太网的汇聚端口。注意只有速率和双工状态完全相同的端口才能汇聚在一起，所以在进行下列操作以前要首先将各个端口的速率和双工状态设置为相同。

请在全局配置模式下进行下列配置。

表2-1 配置以太网端口汇聚

操作
命令

设置以太网汇聚端口
link-aggregation port_num1 to port_num2 { ingress | ingress-egress }

删除以太网汇聚端口
no link-aggregation { master_port_num | all }




2.3 以太网端口汇聚监控与维护
使用以下命令可以查看汇聚端口的相关信息，包括主端口名、其他成员端口名和汇聚端口的模式等。

请在除普通用户模式外的所有配置模式下进行下列操作。

表2-2 显示汇聚以太网端口的信息

操作
命令

显示汇聚端口的信息
show link-aggregation [ master_port_num ]




2.4 以太网端口汇聚配置举例
2.4.1 配置汇聚以太网端口
1. 组网需求
本例将验证端口聚合命令的使用，它将多个端口聚合在一起，以实现对出/入负荷在各成员端口中进行分担。端口聚合的典型应用是将多个Trunk端口聚合在一起，因为Trunk端口上允许多个VLAN通过，Trunk端口上流量较大，需要将流量在各个端口中进行分担。

S3526系列以太网交换机下接S2016以太网交换机，用3个端口汇聚接入S3526；S3526接入端口为Ethernet0/1～Ethernet0/3。

2. 组网图


图2-1 配置聚合以太网端口示例图

3. 配置步骤
配置S3526：

！将以太网端口Ethernet0/1至Ethernet0/3聚合在一起。

Quidway(config)# link-aggregation ethernet0/1 to ethernet0/3 ingress-egress

！显示该汇聚端口的信息。

Quidway(config)# show link-aggregation ethernet0/1

Master port: Ethernet0/1

Other sub-ports:

Ethernet0/2

Ethernet0/3

Mode: ingress-egress

2.5 以太网端口汇聚配置排错
故障现象：配置端口汇聚不成功。

故障排除：可以按照如下步骤进行。

l 首先应检查所输参数中，端口起始值是否正确。如正确，则转下一步。

l 检查端口的总数目是否小于或等于8个。

l 如果两项检查都正确，再转而配置该汇聚端口。
__________________
i must win,and i will win.

---

由 7boy 于 05-19-2003 09:07 PM 发表:

3 vlan配置

第1章 VLAN配置
1.1 VLAN简介
VLAN（Virtual Local Area Network，虚拟局域网），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。

1.2 VLAN配置
1.2.1 VLAN配置任务列表
对VLAN进行配置时，首先应根据需求创建VLAN，之后配置VLAN接口及参数等。

VLAN主要配置任务列表如下：

l 创建/删除VLAN

l 为VLAN指定以太网端口

l 指定/删除VLAN描述字符

l 创建/删除VLAN接口

l 为VLAN接口配置/删除IP地址及掩码

l 打开/关闭VLAN接口

对于S3500系列以太网交换机，通常创建VLAN、为其指定以太网端口、创建相应的VLAN接口以及为该接口配置IP地址及掩码等配置任务是必需的；其余的任务则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

1.2.2 创建/删除VLAN
可以使用下面的命令来创建/删除设备VLAN。

请在全局配置模式下进行下列配置。

表1-1 创建/删除VLAN

操作
命令

创建VLAN并进入VLAN配置模式
vlan vlan_id

删除已创建的VLAN
no vlan vlan_id




创建VLAN时，如果该VLAN已存在，则直接进入该VLAN配置模式；如果该VLAN不存在，则此配置任务将首先创建VLAN，然后进入VLAN配置模式。

vlan_id为VLAN的ID号。注意：缺省VLAN即VLAN 1不能被删除。

1.2.3 给VLAN指定以太网端口
可以使用下面的命令来给VLAN指定以太网端口。

请在VLAN配置模式下进行下列配置。

表1-2 给VLAN指定端口

操作
命令

为指定的VLAN增加以太网端口
switchport{ interface_type interface_num | interface_name [ to interface_type interface_num | interface_name ] }& < 1-10 >

删除指定的VLAN的某些以太网端口
noswitchport{ interface_type interface_num | interface_name [ to interface_type interface_num | interface_name ] }& < 1-10 >




上述与以太网端口相关各参数的意义以及端口编号的具体规则，请参见本书“端口配置”部分的描述，此处不再赘述。

关键字to之后的端口号要大于或等于to之前的端口号，并要保证采用to形式输入的端口类型相同，两者之间包含的端口都存在。

命令中&<1-10>表示参数可重复次数，最小为1，最大为10。另外，所输入的端口中不能包含Trunk类型的端口。

缺省情况下，系统将所有端口都加入到一个缺省的VLAN中，该VLAN的ID为1。

1.2.4 指定/删除VLAN描述字符
可以使用下面的命令来指定/删除VLAN描述字符。

描述字符串是为了区分各个VLAN，如小组名称、部门名称等。

请在VLAN配置模式下进行下列配置。

表1-3 指定/删除VLAN描述字符

操作
命令

给指定的VLAN指定一个描述字符串
description string

删除指定VLAN的描述字符串
no description




缺省情况下，描述字符串为空。

1.2.5 创建/删除VLAN接口
可以使用下面的命令来创建/删除VLAN接口。

请在全局配置模式下进行下列配置。

表1-4 创建/删除VLAN接口

操作
命令

创建或进入VLAN接口配置模式
interface {interface_type interface_num | interface_name }

删除VLAN接口
no interface {interface_type interface_num | interface_name }




创建一个VLAN接口前，必须先创建其所属的VLAN。

在此项配置中参数interface_type取值为VLAN-interface，参数interface_num应取值为VLAN的ID。

1.2.6 给VLAN接口指定/删除IP地址和掩码
为了实现VLAN接口上的网络层功能，可以使用下面的命令给VLAN接口指定/删除IP地址和掩码。

请在VLAN接口配置模式下进行下列配置。

表1-5 给VLAN接口指定/删除IP地址和掩码

操作
命令

给VLAN接口指定IP地址和掩码
ip address ip_address ip_netmask

删除指定VLAN接口的IP地址和掩码
no ip address [ ip_address ip_netmask ]




1.2.7 打开/关闭VLAN接口
可以使用下面的命令来打开/关闭VLAN接口。

请在VLAN接口配置模式下进行下列配置。

表1-6 打开或关闭以太网端口

操作
命令

关闭VLAN接口
shutdown

打开VLAN接口
no shutdown




需要注意的是，打开/关闭VLAN接口的操作对属于该VLAN的以太网端口的打开/关闭状态没有影响。

缺省情况下，当VLAN接口下所有以太网端口状态为DOWN时，VLAN接口为DOWN状态，即关闭状态；当VLAN接口下有一个或一个以上的以太网端口处于UP状态，VLAN接口处于UP状态，即打开状态。

1.3 VLAN监控与维护
请在除普通用户模式外的所有其它配置模式下进行下列操作。

表1-7 VLAN监控与维护

操作
命令

显示VLAN相关信息
show vlan [ vlan_id ]




！显示VLAN 2的所有信息。

Quidway# show vlan 2

Vlan ID: 2

Route interface: configured

IP address: 1.1.1.1

Mask: 255.0.0.0

Description: HUAWEI

Tagged Ports: none

Untagged Ports: Ethernet0/1 Ethernet0/2 Ethernet0/3

以上结果显示VLAN 2的接口IP地址为1.1.1.1，子网掩码为255.0.0.0，其描述信息为HUAWEI，从Ethernet 0/1到Ethernet 0/3都属于该VLAN。

1.4 VLAN典型配置举例
1. 组网需求
现有VLAN2、VLAN3，通过配置将端口Ethernet 0/1和Ethernet 0/2包含到VLAN2中，将端口Ethernet 0/3和Ethernet 0/4包含到VLAN3中。

2. 组网图


图1-1 VLAN配置示例图

3. 配置步骤
！创建VLAN 2并进入其配置模式。

Quidway(config)# vlan 2

！向VLAN 2中加入端口Ethernet 0/1和Ethernet 0/2。

Quidway(config-vlan2)# switchport ethernet 0/1 to ethernet 0/2

！创建VLAN 3并进入其配置模式。

Quidway(config)# vlan 3

！向VLAN 3中加入端口Ethernet 0/3和Ethernet 0/4。

Quidway(config-vlan3)# switchport ethernet0/3 to ethernet 0/4



第2章 GARP/GVRP/VTP配置
2.1 GARP配置
2.1.1 GARP协议简介
GARP（Generic Attribute Registration Protocol）是一种通用的属性注册协议，该协议提供了一种机制用于协助同一个交换网内的交换成员之间分发、传播和注册某种信息（如VLAN、组播地址等）。

GARP本身不作为一个实体存在于交换机中，遵循GARP协议的应用实体称为GARP应用，目前主要的GARP应用为GVRP和GMRP。其中，GVRP的详细介绍请参见本章中“GVRP配置”一节的介绍，GMRP将在“组播配置”部分介绍。当GARP应用实体存在于交换机的某个端口上时，该端口对应于一个GARP应用实体。

通过GARP机制，一个GARP成员上的配置信息会迅速传播到整个交换网。GARP成员可以是终端工作站或网桥。GARP成员通过声明或回收声明通知其它的GARP成员注册或注销自己的属性信息，并根据其它GARP成员的声明或回收声明注册或注销对方的属性信息。

GARP成员之间的信息交换借助于消息完成，GARP起主要作用的消息类型有三类，分别为Join、Leave和LeaveAll。当一个GARP应用实体希望其它交换机注册自己的某属性信息时，将对外发送Join消息。当一个GARP应用实体希望其它交换机注销自己的某属性信息时，将对外发送Leave消息。每个GARP应用实体启动后，将同时启动LeaveAll定时器，当超时后将对外发送LeaveAll消息。Join消息与Leave消息配合确保消息的注销或重新注册。通过消息交互，所有待注册的属性信息可以传播到同一交换网的所有交换机上。

GARP应用实体的协议数据报文的目的MAC地址都是特定的组播MAC地址。支持GARP特性的交换机在接收到GARP应用实体的报文后，会根据其目的MAC地址加以区分并交给不同的GARP应用（如GVRP或GMRP）去处理。

GARP（以及GMRP）在IEEE 802.1p标准（现已合入IEEE 802.1D标准）文本中有详细的表述。S3500系列以太网交换机对符合IEEE标准的GARP提供完备的支持。

2.1.2 GARP配置任务列表
GARP主要配置任务列表如下：

l 配置GARP定时器参数

& 说明：

(1) GARP定时器的值将应用于所有在同一交换网内运行的GARP应用，包括GVRP和GMRP。

(2) 在同一交换网内的所有交换设备的GARP定时器必须设置为相同的值，否则GARP应用将不能正常工作。



2.1.3 配置GARP定时器参数
GARP的定时器包括Hold定时器、Join定时器、Leave定时器和LeaveAll定时器。

GARP应用实体在Join定时器超时后将对外发送Join消息，以使其它GARP应用实体注册自己的信息。

当一个GARP应用实体希望注销某属性信息时，将对外发送Leave消息，接收到该消息的GARP应用实体启动Leave定时器，如果在该定时器超时之前没有再次收到Join消息，则注销该属性信息。

每个GARP应用实体启动后，将同时启动LeaveAll定时器，当该定时器超时后，GARP应用实体将对外发送LeaveAll消息，以使其它GARP应用实体重新注册本实体上所有的属性信息。随后再启动LeaveAll定时器，开始新的一轮循环。

当GARP应用实体接收到某注册信息时，不立即对外发送Join消息，而是启动Hold 定时器，当该定时器超时后，再对外发送Join消息，以便在Hold定时器时间内收到的所有注册信息可以放在同一帧中发送，从而节省带宽资源。

请在以太网端口配置模式下配置Hold定时器、Join定时器和Leave定时器；在全局配置模式下配置LeaveAll定时器。

表2-1 配置GARP定时器

操作
命令

配置GARP的Hold定时器、Join定时器和Leave定时器
garp timer { hold | join | leave }timer_value

配置GARP的LeaveAll定时器
garp timer leaveall timer_value

将GARP的Hold定时器、Join定时器和Leave定时器恢复为缺省值
no garp timer { hold | join | leave }

将GARP的LeaveAll定时器恢复为缺省值
no garp timer leaveall




需要注意的是，Join定时器的值应大于等于2倍Hold定时器的值；Leave定时器的值应大于2倍Join定时器的值并小于LeaveAll定时器的值，否则系统会报错。

缺省情况下，Hold定时器为10厘秒，Join定时器为20厘秒，Leave定时器为60厘秒，LeaveAll定时器为1000厘秒。

2.1.4 GARP监控与维护
请在特权用户模式下进行下列操作。其中，show系列命令还可以在除普通用户模式外的所有其它配置模式下进行。

表2-2 GARP监控与维护

操作
命令

显示GARP的统计信息
show garp statistics [ interface interface-list ]

显示GARP定时器参数
show garp timer [ interface interface-list ]

清除GARP统计信息
clear garp statistics [ interface interface-list ]

开启/关闭GARP的事件调试开关
[ no ] debug garp event




！显示GARP定时器参数值。

Quidway# show garp timer interface Ethernet 0/10

GARP timers on port Ethernet0/10

GARP Join Time : 20 centiseconds

GARP Leave Time : 60 centiseconds

GARP LeaveAll Time : 1000 centiseconds

GARP Hold Time : 10 centiseconds

以上信息表示：以太网端口Ethernet 0/10的GARP定时器的值分别为：Join定时器为20厘秒、Leave定时器为60厘秒、LeaveAll定时器为1000厘秒、Hold定时器为10厘秒。

2.2 GVRP配置
2.2.1 GVRP协议简介
GVRP（GARP VLAN Registration Protocol，GARP VLAN注册协议）是GARP的一种应用，它基于GARP的工作机制，维护交换机中的VLAN动态注册信息，并传播该信息到其它的交换机中。所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息，并动态更新本地的VLAN注册信息，包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播，以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息，也包括来自其它交换机的动态注册信息。

GVRP在IEEE 802.1Q标准文本中有详细的表述。S3500系列以太网交换机对符合IEEE标准的GVRP提供完备的支持。

2.2.2 GVRP配置任务列表
GVRP主要配置任务列表如下：

l 全局开启/关闭GVRP

l 端口开启/关闭GVRP

l 配置GVRP注册类型

在上述各项配置任务中，必须先启动全局GVRP，才能开启端口GVRP；而GVRP注册类型在启动了端口GVRP以后才能生效。此外，GVRP必须在Trunk链路的两端都开启，才能正常工作。

2.2.3 全局开启/关闭GVRP
可以使用下面的命令配置全局开启/关闭GVRP。

请在全局配置模式下进行下列配置。

表2-3 全局开启/关闭GVRP

操作
命令

全局开启GVRP
gvrp

将全局GVRP恢复为缺省关闭状态
no gvrp




缺省情况下，全局GVRP处于关闭状态。

2.2.4 端口开启/关闭GVRP
可以使用下面的命令配置端口开启/关闭GVRP。

请在以太网端口配置模式下进行下列配置。

表2-4 端口开启/关闭GVRP

操作
命令

开启端口GVRP
gvrp

将端口GVRP恢复为缺省关闭状态
no gvrp




需要注意的是，在开启端口GVRP之前，必须先开启全局GVRP，并且开启/关闭端口GVRP必须在Trunk端口操作。

缺省情况下，端口GVRP处于关闭状态。

2.2.5 配置GVRP注册类型
GVRP的注册类型包括：Normal、Fixed和Forbidden。

l 当一个端口被配置为Normal注册模式时，允许在该端口动态或手工创建、注册和注销VLAN。

l 当一个端口被配置为Fixed注册模式时，允许在该端口手工创建和注册VLAN，不允许动态注册或注销VLAN。

l 当一个端口被配置为Forbidden注册模式时，在该端口将注销除VLAN1之外的所有VLAN，并且禁止在该端口创建和注册任何其它VLAN。

请在以太网端口配置模式下进行下列配置。

表2-5 配置GVRP注册类型

操作
命令

配置GVRP注册类型
gvrp registration { normal | fixed | forbidden }

将GVRP注册类型恢复为缺省值
no gvrp registration




缺省情况下，GVRP注册类型为Normal。

2.2.6 GVRP监控与维护
请在特权用户模式下进行下列操作。其中，show系列命令还可以在除普通用户模式外的所有其它配置模式下进行。

表2-6 GVRP监控与维护

操作
命令

显示GVRP统计信息
show gvrp statistics [interface interface-list ]

显示GVRP全局状态信息
show gvrp status

开启/关闭GVRP的数据包或事件调试开关
[ no ] debug gvrp { packet | event}




(1) 显示GVRP统计信息

Quidway# show gvrp statistics interface ethernet 0/10

GVRP statistics on port Ethernet0/10

GVRP Status : Enabled

GVRP Failed Registrations : 0

GVRP Last Pdu Origin : 0000.0000.0000

GVRP Registration Type : Normal

以上信息表示：Ethernet0/10端口的GVRP处于开启状态、失败的GVRP注册项为0、最后的GVRP数据单元来源为0000.0000.0000、注册类型为Normal。

(2) 显示GVRP全局状态信息

Quidway# show gvrp status

GVRP is enabled

以上信息表示：全局GVRP处于开启状态。

2.2.7 GVRP典型配置举例
1. 组网需求
为了实现交换机之间VLAN信息的动态注册和更新，需要在交换机上启动GVRP。

2. 组网图


图2-1 GVRP配置示例图

3. 配置步骤
配置S3526 A：

！将以太网端口Ethernet 0/10配置为Trunk端口，并允许所有VLAN通过。

Quidway(config)# interface ethernet 0/10

Quidway(config-if-Ethernet0/10)# switchport mode trunk

Quidway(config-if-Ethernet0/10)# switchport trunk allowed vlan all

！创建VLAN。

Quidway(config)# vlan 3

Quidway(config-vlan3)# vlan 4

！开启全局GVRP。

Quidway(config)# gvrp

！在Trunk端口上开启端口GVRP。

Quidway(config)# interface ethernet 0/10

Quidway(config-if-Ethernet0/10)# gvrp

配置S3526 B：

！将以太网端口Ethernet 0/11配置为Trunk端口，并允许所有VLAN通过。

Quidway(config)# interface ethernet 0/11

Quidway(config-if-Ethernet0/11)# switchport mode trunk

Quidway(config-if-Ethernet0/11)# switchport trunk allowed vlan all

！开启全局GVRP。

Quidway(config)# gvrp

！在Trunk端口上开启端口GVRP。

Quidway(config)# interface ethernet 0/11

Quidway(config-if-Ethernet0/11)# gvrp

2.3 VTP配置
2.3.1 VTP协议简介
VTP（VLAN Trunk Protocol，VLAN干道协议）的功能与GVRP相似，也是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议。在一台VTP Server上配置一个新的VLAN信息，则该信息将自动传播到本域内的所有交换机，从而减少在多台设备上配置同一信息的工作量，且方便了管理。VTP信息只能在Trunk端口上传播。

任何一台运行VTP的交换机可以工作在三种模式：VTP Server、VTP Client及VTP Transparent。

l VTP Server维护该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN。

l VTP Client也维护该VTP域中所有VLAN信息列表，但不能增加、删除或修改VLAN，任何变化的信息必须从VTP Server发布的通告报文中接收。

l VTP Transparent不参与VTP工作，它虽然忽略所有接收到的VTP信息，但能够将接收到的VTP报文转发出去。它只拥有本设备上的VLAN信息。

其中，VTP Server和VTP Client必须处于同一个VTP域，且一个交换机只能位于一个VTP域中。

S3500系列以太网交换机对VTP V1提供完备的支持。

2.3.2 VTP配置任务列表
VTP主要配置任务列表如下：

l 开启/关闭VTP

l 配置/删除VTP域名

l 配置VTP工作模式

l 配置/删除VTP口令

在上述各项配置任务中，必须先启动VTP并进入VTP配置模式后，才能配置其它功能特性。当关闭VTP后，所配置的其它功能特性均恢复为缺省值。VTP必须在Trunk链路的两端都开启，才能正常工作。

2.3.3 开启/关闭VTP
可以使用下面的命令开启/关闭VTP。

请在全局配置模式下进行下列配置。

表2-7 开启/关闭VTP

操作
命令

开启VTP并进入VTP配置模式
vtp

将VTP恢复为缺省关闭状态
no vtp




需要注意的是，在一个交换机上，GVRP协议与VTP协议不能同时运行。

缺省情况下，VTP处于关闭状态。

2.3.4 配置/删除VTP域名
欲使VTP能够正常工作，必须给每个交换机配置一个VTP域名，一个VTP域内的VTP信息只在该域内传播。以下是一个VTP域正常工作的条件，如果有一个条件不满足，VTP域将中断，信息也将不在两个隔离的端口间传播。

l 同一个VTP域内的所有交换机的域名必须相同；

l 同一个VTP域内的交换机必须邻接；

l 同一个VTP域内的邻接交换机之间的Trunk链路必须激活。

VTP域名的配置有以下两种方式：

l 用户可以使用以下命令在VTP Server或VTP Client上手工配置VTP域名。

l 如果一个交换机没有域名，它可以通过激活的Trunk端口从邻接的交换机获得VTP域名。

请在VTP配置模式下进行下列配置。

表2-8 配置/删除VTP域名

操作
命令

配置VTP域名
vtp domain domain_name

删除VTP域名
no vtp domain




缺省情况下，没有域名。

& 说明：

(1) 如果一个交换机被配置为VTP Server，但没有配置域名，则在该交换机上不能配置VLAN。

(2) 如果一个交换机位于两个VTP域的边界，则该交换机的域名与最初给它发送摘要信息的交换机的域名一致。如果想使该交换机属于另一个VTP域，则必须手工配置域名。



2.3.5 配置VTP工作模式
如前所述，VTP的工作模式分为VTP Server、VTP Client及VTP Transparent三种。

可以使用下面的命令配置VTP工作模式。

请在VTP配置模式下进行下列配置。

表2-9 配置VTP工作模式

操作
命令

配置VTP的工作模式
vtp mode { server | client | transparent }

将VTP的工作模式恢复为缺省模式
no vtp mode




缺省情况下，VTP的工作模式为VTP Server。

2.3.6 配置/删除VTP口令
用户可以使用以下命令为VTP配置口令，如果在某一交换机上配置了口令，则该口令必须在同一VTP域内所有交换机上同时配置且必须相同。VTP口令在所有VTP报文的摘要信息中携带，使用MD5算法加密传播。

请在VTP配置模式下进行下列配置。

表2-10 配置/删除VTP口令

操作
命令

配置VTP口令
vtp password password

删除VTP口令
no vtp passwordpassword




缺省情况下，没有口令。

2.3.7 VTP监控与维护
请在特权用户模式下进行下列操作。其中，show系列命令还可以在除普通用户模式外的所有其它配置模式下进行。

表2-11 VTP监控与维护

操作
命令

清除VTP统计信息
clear vtp counters

显示VTP状态信息
show vtp status

显示VTP统计信息
show vtp counters

开启/关闭VTP的数据包或事件调试开关
[ no ] debug vtp { packet | event }




(1) 显示VTP状态信息

Quidway# show vtp status

VTP state : Disabled

VTP domainname : Not configured

VTP mode : Server

Configuration revision number : 0

Updater Identity : Not configured

Number of existing vlans : 1

Maximum Vlan storage : 1000

以上信息表示：VTP处于关闭状态、没有VTP域名、工作模式为VTP Server、配置版本号为0、没有引起最后一次更新的IP地址、VLAN数目为1、所能支持的最大VLAN数为1000。

(2) 显示VTP统计信息

Quidway# show vtp counters

Number of Summary Advertisements Received : 0

Number Of Advertisements Request Received : 0

Number of Subset Advertisements Received : 0

Number of Summary Advertisement Transmitted : 0

Number of Advertisements Request Transmitted : 0

Number of Subset Advertisements Transmitted : 0

Number of Config Revision Errors : 0

Number of Config Digest Errors : 0

以上信息表示：接收/发送的Summary Advertisement报文数目、Advertisement Request报文数目、Subset Advertisement报文数目、Config Digest错误数目及Config Revision错误数目均为0。

2.3.8 VTP典型配置举例
1. 组网需求
VTP不仅可以实现交换机之间VLAN信息的动态注册和更新，还可以实现与已运行了VTP的交换机动态交换VLAN信息。下图中的交换机为S3500系列以太网交换机，或为其它运行VTP协议的交换机。

2. 组网图
在该组网图中，S3526 A的工作模式为VTP Server，S3526 B的工作模式为VTP Transparent，S3526 C的工作模式为VTP Cilent。



图2-2 VTP配置示例图

3. 配置步骤
配置S3526 A：

！将以太网端口Ethernet 0/5配置为Trunk端口，并允许所有VLAN通过。

Quidway(config)# interface ethernet 0/5

Quidway(config-if-Ethernet0/5)# switchport mode trunk

Quidway(config-if-Ethernet0/5)# switchport trunk allowed vlan all

！开启VTP并进入VTP配置模式。

Quidway(config)# vtp

！配置VTP。

Quidway(config-vtp)# vtp domain vtpdomain

Quidway(config-vtp)# vtp mode server

Quidway(config-vtp)# vtp password 111

！创建VLAN3和VLAN4。

Quidway(config)# vlan 3

Quidway(config)# vlan 4

配置S3526 B：

！将以太网端口Ethernet 0/6、Ethernet 0/7配置为Trunk端口，并允许所有VLAN通过。

Quidway(config)# interface ethernet 0/6

Quidway(config-if-Ethernet0/6)# switchport mode trunk

Quidway(config-if-Ethernet0/6)# switchport trunk allowed vlan all

Quidway(config)# interface ethernet 0/7

Quidway(config-if-Ethernet0/7)# switchport mode trunk

Quidway(config-if-Ethernet0/7)# switchport trunk allowed vlan all

！开启VTP并进入VTP配置模式。

Quidway(config)# vtp

！配置VTP。

Quidway(config-vtp)# vtp mode transparent

Quidway(config-vtp)# vtp password 111

配置S3526C：

！ 将以太网端口Ethernet 0/8配置为Trunk端口，并允许所有VLAN通过。

Quidway(config)# interface ethernet 0/8

Quidway(config-if-Ethernet0/8)# switchport mode trunk

Quidway(config-if-Ethernet0/8)# switchport trunk allowed vlan all

！开启VTP并进入VTP配置模式。

Quidway(config)# vtp

！配置VTP。

Quidway(config-vtp)# vtp mode client

Quidway(config-vtp)# vtp password 111
__________________
i must win,and i will win.

---

由 7boy 于 05-19-2003 09:08 PM 发表:

4 网络协议配置

第1章 IP地址配置
1.1 IP地址简介
1.1.1 IP地址的分类和表示
IP地址长度为32比特，分为四个字节，根据第一个字节的前几位的取值，可以把IP地址分为A、B、C、D、E五类，IP地址分类的规则如下：

l 如果IP地址的第一个字节的最高位为0，则表示其为A类地址；

l 如果IP地址的第一个字节的前两位为10，则表示其为B类地址；

l 如果IP地址的第一个字节的前三位为110，则表示其为C类地址；

l 如果IP地址的第一个字节的前四位为1110，则表示其为D类地址；

l 如果IP地址的第一个字节的前五位为11110，则表示其为E类地址。



图1-1 IP地址格式

其中A、B、C类地址为单播（unicast）地址；D类地址为组播（multicast）地址；E类地址为保留地址，以备将来的特殊用途。

目前大量使用中的IP地址属于A、B、C三类地址。A、B、C三类IP地址分为两个部分：网络地址和主机地址。这三类地址的网络地址部分的长度各不相同：A类地址的第一个字节为网络地址；B类地址的前两个字节为网络地址；C类地址的前三个字节为网络地址。也就是说，最多存在28 ＝128个A类地址；216＝16384个B类地址；224＝2,097,152个C类地址。

IP地址采用点分十进制方式记录。每个IP地址被表示为以小数点隔开的4个十进制整数，每个整数对应一个字节，如10.110.50.101。

1.1.2 子网和掩码
IP协议为每一个网络接口分配一个IP地址。如果一台设备有多个网络接口，则要为该设备分配多个IP地址。同一设备上的多个接口的IP地址没有必然的联系，一个IP地址并不能唯一标识一台设备。

在Internet迅速发展的今天，IP地址消耗殆尽。而传统的IP地址分配方式，对IP地址的浪费非常严重。为了充分利用已有的IP地址，人们提出了地址掩码（mask）和子网（subnet）的概念。

掩码是一个IP地址对应的32位数字，这些数字中一些为1，另外一些为0。原则上这些1和0可以任意组合，不过一般在设计掩码时，把掩码开始连续的几位设置为1。掩码可以把IP地址分为两个部分：子网地址和主机地址。IP地址与掩码中为1的位对应的部分为子网地址，其他的位则是主机地址。A类地址对应的掩码为255.0.0.0；B类地址的掩码为255.255.0.0；C类地址的掩码为255.255.255.0。

使用掩码把一个可以包括1600多万主机的A类网络或6万多台主机的B类网络分割成许多小的网络，每一个小的网络就称之为子网。如一个B类网络地址10.110.0.0就可以利用掩码255.255.224.0，把该网络分为8个子网：10.110.0.0、10.110.32.0、10.110.64.0、10.110.96.0、10.110.128.0、10.110.160.0、10.110.192.0、10.110.224.0（请参见下图），而每个子网可以包括8000多台主机。



图1-2 IP地址子网划分

1.2 IP地址的配置
1.2.1 IP地址配置任务列表
l 配置主机名和对应的IP地址

l 配置VLAN接口IP地址

l IP地址的监控与维护

1.2.2 配置主机名和主机IP地址
请在全局配置模式下进行下列配置。

表1-1 配置主机名和对应的IP地址

操作
命令

配置主机名和对应的IP地址
ip host hostname ip-address

取消主机名和对应的IP地址
no ip host hostname [ ip-address ]




缺省情况下，网络设备没有主机名和对应的IP地址。

1.2.3 配置VLAN接口IP地址
以太网交换机的每个VLAN接口都可以配置一个IP地址。

请在VLAN接口配置模式下进行下列配置。

表1-2 配置VLAN接口IP地址

操作
命令

配置VLAN接口IP地址
ip address ip-address net-mask

删除VLAN接口IP地址
no ip address [ ip-address net-mask ]




通过掩码来标识IP地址包含的网络号，例如：以太网交换机的VLAN接口的IP地址是129.9.30.42，掩码是255.255.0.0，将IP地址与掩码相“与”后，可知以太网交换机的VLAN接口所在网段的地址为129.9.0.0。

缺省情况下，VLAN接口无IP地址。

1.3 IP地址的监控与维护
用户可以通过监控与维护命令查看各网络设备接口上的IP地址配置情况。

请在除普通用户模式之外的所有配置模式下进行下列操作。

表1-3 IP地址的监控与维护

操作
命令

查看网络所有主机和对应的IP地址
show ip hosts

显示各接口的配置状况
show ip interface [ interface_type interface_num | interface_name ]




1.4 IP地址配置举例
1. 组网需求
设置以太网交换机的VLAN接口1的IP地址为129.2.2.1，子网掩码为255.255.255.0。

2. 组网图


图1-3 IP地址配置组网图

3. 配置步骤
！进入VLAN接口1

Quidway(config)# interface vlan 1

！配置VLAN接口1的IP地址

Quidway(config-VLAN-Interface1)# ip address 129.2.2.1 255.255.255.0

1.5 IP地址配置排错
故障一：从以太网交换机Ping不通局域网中某一主机。

故障排除：可以按照如下步骤进行。

l 首先检查交换机连接主机的端口属于哪个VLAN，该VLAN是否配置VLAN接口，VLAN接口的IP地址和主机是否位于同一网段。

l 如果配置正确，可以在交换机上打开ARP调试开关，查看交换机是否正确地发送和接收ARP报文，如果只有发送，没有接收到ARP报文，则可能以太网物理层有问题。



第2章 地址解析协议（ARP）的配置
2.1 ARP简介
1. ARP地址解析的必要性
IP地址不能直接用来进行通信，因为网络设备只能识别MAC地址。IP地址只是主机在网络层中的地址，若要将网络层中传送的数据报交给目的主机，必须知道该主机的物理地址。因此必须将IP地址解析为物理地址。

网络用户通常不愿意使用难于记忆的IP地址，而是愿意使用易于记忆的主机名，因此也需要将主机名解析为IP地址。

2. ARP地址解析的实现过程
以太网上的两台主机需要通信时，双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表，称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射。在主机启动时，ARP映射表为空；当一条ARP映射表项很长时间没有使用时，主机将其从ARP映射表中删除掉，以便节省内存空间和ARP映射表的查找时间。

假设在一个以太网上有两台计算机——主机A和主机B；主机A的IP地址为IP_A，B的IP地址为IP_B，主机A要向主机B发送信息。主机A首先查看自己的ARP映射表，确定其中是否包含有IP_B对应的ARP映射表项。如果找到了对应的MAC地址，则主机A直接利用ARP映射表中的MAC地址，对IP数据包进行帧封装，并将数据发送给主机B；如果在ARP映射表中找不到对应的MAC地址，则主机A将该数据包放入ARP发送等待队列，然后创建一个ARP request，并以广播方式在以太网上发送。ARP request数据包中包含有主机B的IP地址，以及主机A的IP地址和MAC地址。由于ARP request数据包以广播方式发送，以太网上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。主机B首先把ARP request数据包中的请求发起者（即主机A）的IP地址和MAC地址存入自己的ARP映射表中。然后主机B组织ARP响应数据包，在数据包中填入主机B的MAC地址，发送给主机A。这个响应不再以广播形式发送，而是直接发送给主机A。主机A收到响应数据包后，提取出主机B的IP地址及其对应的MAC地址，加入到自己的ARP映射表中，并把放在发送等待队列中的发往主机B的所有数据包都发送出去。

一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。因此下面的内容，只关注静态ARP的配置。

2.2 静态ARP的配置
2.2.1 静态ARP简介
ARP映射表既可以动态维护，也可以手工维护。通常将用户手工配置的IP地址到MAC地址的映射，称之为静态ARP。通过相关的手工维护命令，用户可以显示、增加、删除ARP映射表中的映射项。

2.2.2 静态ARP配置任务列表
静态ARP配置任务列表如下：

l 手工添加/删除静态ARP映射项

l ARP的监控与维护

2.2.3 手工添加/删除静态ARP映射项
请在全局配置模式下进行下列配置。

表2-1 手工添加/删除静态ARP映射项

操作
命令

手工添加静态ARP映射项
arp ip-address mac-address VLANID { interface_type interface_num | interface_name }

手工删除静态ARP映射项
no arp ip-address




静态ARP映射项在以太网交换机正常工作时间一直有效，而动态ARP映射项的有效时间为20分钟。

系统ARP映射表缺省为空，由动态ARP协议获取地址映射。

2.2.4 ARP的监控与维护
请在特权用户模式下进行下列操作。Show命令可以在除普通用户模式外的所有模式下使用。

表2-2 ARP的监控与维护

操作
命令

显示ARP映射表
show arp [ static | dynamic | all | ip-address ]

打开ARP调试信息开关
debug arp packet

关闭ARP调试信息开关
no debug arp packet




缺省显示以太网交换机所有的ARP映射项。

！显示所有ARP项。

Quidway# show arp

IP Address MAC Address VLAN ID Port Name Type

10.1.1.2 00e0.fc01.0102 1 Ethernet0/1 Static

表中有一条映射项，表示IP地址为10.1.1.2，MAC地址为00e0.fc01.0102，该项通过ARP命令配置的。



第3章 DHCP中继配置
3.1 DHCP中继简介
随着网络规模的不断扩大、网络复杂度的不断提高，进行网络配置也变得越来越复杂。在计算机经常移动（如使用便携机或无线网络）、主机数量超过可分配的IP地址等场合下，为方便用户快速接入和退出网络，提高IP地址资源的利用率，人们制定了DHCP协议（Dynamic Host Configuration Protocol，动态主机配置协议）。DHCP协议以客户机——服务器（Client-Server）模式工作，利用该协议，DHCP客户机可以向DHCP服务器动态地请求配置信息，DHCP服务器也可以很方便地为客户机动态配置这些信息。

早期的DHCP协议只适用于DHCP客户机和服务器处于同一个子网内的情况，不可以跨网段工作。因此采用早期的DHCP协议进行动态主机配置，需要为每一个子网设置一个DHCP服务器，这种做法显然是不够经济的。DHCP中继的引入解决了这一难题。DHCP中继在处于不同子网间的DHCP客户机和服务器之间承担中继服务，可以将DHCP协议报文中继到跨网段的目的DHCP服务器（或客户机），于是许多网络上的DHCP客户机可以使用同一个DHCP服务器。这样，既节省开销又便于集中管理。DHCP中继的示意图如下：



图3-1 DHCP中继示意图

DHCP中继工作原理如下：

当DHCP客户机启动并进行DHCP初始化时，它会在本网络广播配置请求报文；如果本网络存在DHCP服务器（如上图中右边的以太网）则不需要DHCP中继直接就可以进行DHCP配置；如果本网络里没有DHCP服务器（如上图中左边的以太网），则与本网络相连的带DHCP中继功能的网络设备（图中为以太网交换机）在收到该广播报文并适当处理后，会将该广播报文转发给其它网络中的DHCP服务器；DHCP服务器根据客户机提供的信息，为其作相应的配置，并通过DHCP中继将该配置信息发送给客户机，完成对客户机的动态配置。

3.2 DHCP中继配置
3.2.1 DHCP中继配置任务列表
l 配置DHCP服务器组对应的DHCP Server的IP地址

l 配置VLAN接口对应的DHCP Server组

3.2.2 配置DHCP服务器组对应的DHCP Server的IP地址
请在全局配置模式下进行下列配置。

表3-1 配置/删除DHCP Server IP

操作
命令

配置DHCP Server的IP地址
dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]

取消DHCP Server的全部IP地址（即主备服务器IP地址置0）
no dhcp-server groupNo




需要注意的是，备份服务器的IP地址不能单独配置，必须与主服务器IP地址一起配置。

缺省情况下，没有配置DHCP Server对应的IP地址，即必须对DHCP Server地址配置后才能使用DHCP中继特性。

3.2.3 配置VLAN接口对应的DHCP Server组
请在VLAN接口配置模式下进行下列配置。

表3-2 配置/删除VLAN接口对应的DHCP Server组

操作
命令

配置VLAN接口对应的DHCP Server组
dhcp-server groupNo

取消VLAN接口对应的DHCP Server组
no dhcp-server




配置VLAN接口对应到新的DHCP服务器组时，不需要先删除原来的对应关系，只需配置新的对应关系即可。

缺省情况下，VLAN接口不对应任何DHCP Server组。

3.2.4 配置DHCP Server组的用户地址表项
为了使配置了DHCP中继的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查，需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。

请在全局配置模式下进行下列配置。

表3-3 配置/删除DHCP Server组的用户地址表项

操作
命令

添加DHCP Server组的用户地址表项
dhcp-client ip_address mac_address { dynamic | static }

删除DHCP Server组的用户地址表项
no dhcp-client ip_address




3.2.5 使能VLAN接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查；禁止VLAN接口上的DHCP安全特性则取消VLAN接口下用户地址合法性的检查。

请在VLAN接口配置模式下进行下列配置。

表3-4 使能/禁止VLAN接口上的DHCP安全特性

操作
命令

使能VLAN接口上的DHCP安全特性
enable address-check

禁止VLAN接口上的DHCP安全特性
disable address-check




3.3 DHCP中继监控和维护
请在特权用户模式下进行下列操作。show命令还可以在全局配置模式下执行。

表3-5 DHCP中继的监控和维护

操作
命令

显示DHCP Server组的相关信息
Show dhcp-server groupNo

显示VLAN接口对应的DHCP Server组的相关信息
show dhcp-server interface { interface_type interface_num | interface_name }

打开DHCP中继调试开关
debug dhcp-relay

显示DHCP Server组的合法用户地址表中所有用户的地址信息
show dhcp-client [ ip_address ]




DHCP中继监控和维护命令的具体说明，请参见《命令参考手册》中“网络协议配置”部分的对应内容。

3.4 DHCP中继配置示例
1. 组网需求
配置用户对应的VLAN接口以及所属的DHCP Server组，以便使用DHCP中继。

2. 组网图


图3-2 配置使用DHCP中继组网图

3. 配置步骤
！配置DHCP Server组1对应的IP地址。

Quidway(config)# dhcp-server 1 ip 1.99.255.36 1.99.255.35

! 配置VLAN接口2对应DHCP Server组1。

Quidway(config-VLAN-Interface2)# dhcp-server 1

！配置DHCP Server组2对应的IP地址。

Quidway(config)# dhcp-server 2 ip 1.88.255.36 1.88.255.35

! 配置VLAN接口3对应DHCP Server组2。

Quidway(config-VLAN-Interface3)# dhcp-server 2

！配置VLAN2的对应端口及网关地址。

Quidway(config)# vlan 2

Quidway(config-vlan2)# switchport ethernet 0/2

Quidway(config)# interface vlan 2

Quidway(config-VLAN-Interface2)# ip address 1.1.2.1 255.255.0.0

！配置VLAN3的对应端口及网关地址。

Quidway(config)# vlan 3

Quidway(config-vlan3)# switchport ethernet 0/3

Quidway(config)# interface vlan 3

Quidway(config-VLAN-Interface3)# ip address 1.2.2.1 255.255.0.0

！Server也要配置到一个VLAN，这个VLAN可以是任意的，但是为实现DHCP中继特性，本例中将Server同客户端配置到不同VLAN内，这里将DHCP Server组1对应的端口的VLAN配置为4000，DHCP Server组2对应的端口的VLAN配置为3001。

Quidway(config)# vlan 4000

Quidway(config-vlan4000)# switchport ethernet 0/4

Quidway(config)# interface vlan 4000

Quidway(config-VLAN-Interface4000)# ip address 1.99.255.1 255.255.0.0

Quidway(config)# vlan 3001

Quidway(config-vlan3001)# switchport ethernet 0/5

Quidway(config)# interface vlan 3001

Quidway(config-VLAN-Interface3001)# ip address 1.88.255.1 255.255.0.0

！在特权用户模式下查看DHCP Server组的配置情况。

Quidway# show dhcp-server 1

！在特权用户模式下查看VLAN接口对应的DHCP Server组号。

Quidway# show dhcp-server interface vlan-interface 2

Quidway# show dhcp-server interface vlan-interface 3

3.5 DHCP中继配置排错
故障之一：用户无法动态申请IP地址。

故障排除：可以按照如下步骤进行：

l 首先使用show dhcp-server groupNo命令检查是否配置了对应的DHCP Server的IP地址；

l 使用show vlan和show ip命令查看是否配置了VLAN以及对应的接口IP地址；

l 然后一定要在控制台ping一下配置的DHCP Server，确定链路是通的；

l 从DHCP server上ping交换机上的DHCP用户所在VLAN接口的IP地址，以确认DHCP server能够正确找到用户所在网段的路由。如果不通，检查DHCP server的缺省网关是否配置为其所在VLAN接口地址

l 若上面的检查都没有问题，可以使用show dhcp-server groupNo命令查看接收的报文情况。如果看到的报文情况是只有discover报文，而没有响应报文，则表示DHCP Server没有将报文送到以太网交换机，这种情况下需要检查DHCP Server是否配置正确。如果上面的检查发现请求报文和响应报文的数目是正常的，可以在特权配置模式下打开调试报文开关debug dhcp-relay，然后使用命令terminal debug将调试信息输出到控制台上，这样在用户申请IP的过程中可以在控制台查看所有的DHCP报文的详细信息，进行问题定位。





第4章 IP性能配置
4.1 配置TCP属性
可以配置的TCP属性包括：

l synwait定时器：当发送SYN报文时，TCP启动synwait定时器，若synwait超时前未收到回应报文，则TCP连接将被终止。synwait定时器的超时时间取值范围为2～600秒，缺省值为75秒。

l finwait定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动finwait定时器，若finwait定时器超时前仍未收到FIN报文，则TCP连接被终止。finwait的取值范围为76～3600秒，finwait的缺省值为675秒。

l 面向连接Socket的接收和发送缓冲区的大小：范围为1～32K字节，缺省值为4K字节。

请在全局配置模式下进行下列配置。

表4-1 配置TCP属性

操作
命令

配置TCP连接建立synwait定时器时间
tcp synwait-time time-value

恢复TCP连接建立synwait定时器时间为缺省值
no tcp synwait-time

配置TCP的FIN_WAIT_2定时器时间
tcp finwait-time time-value

恢复TCP的FIN_WAIT_2定时器时间为缺省值
no tcp finwait-time

配置TCP的Socket接收和发送缓冲区的大小
tcp window-size window-size

恢复TCP的Socket接收和发送缓冲区的大小为缺省值
no tcp window-size




缺省情况下，TCP finwait定时器为675秒，TCP synwait定时器为75秒，面向连接Socket的收发缓冲区大小为4K字节。

4.2 IP性能监控和维护
请在特权用户模式下进行下列操作。show命令可以在除普通用户模式外的所有模式下使用。

表4-2 IP性能监控和维护

操作
命令

显示TCP连接状态
show tcp brief

显示IP层VLAN接口表信息
show ip interface [ interface_type interface_num | interface_name ]

打开IP调试信息开关
debug ip packet

打开TCP调试信息开关
debug tcp packet

打开TCP会话调试信息开关
debug tcp transaction

打开UDP调试信息开关
debug udp




(1) 显示全部TCP连接状态

Quidway# show tcp brief

LocalAddress LocalPort ForeignAddress ForeignPort State

129.102.100.142 23 129.102.001.092 1038 ESTABLISHED

0.0.0.0 23 0.0.0.0 0 LISTEN

以上显示信息表示：一个TCP连接已经建立，该TCP连接的本地IP地址为129.102.100.142，本地端口号为23，远地IP地址为129.102.1.92，远地端口号为1038，另外本地有一个对23号端口监听的服务器。

(2) 显示接口VLAN1的IP接口信息

Quidway# show ip interface vlan1

VLAN-Interface1 is up line protocol is up (spoofing)

Internet Address is 5.5.5.5/8

Broadcast address is 5.255.255.255

MTU is 1500 bytes

0 packets input,0 bytes,0 multicasts

0 output packets,0 bytes,0 multicasts

上面显示信息表示VLAN1接口的链路层协议状态为UP，最大传输单元是1500字节，IP地址为5.5.5.5，广播地址为5.255.255.255，以及该接口报文的收发情况。

4.3 IP性能配置排错
故障现象：IP运转正常，但TCP和UDP协议不能正常工作。

故障排除：可以打开相应的调试开关，查看调试信息。

l 使用命令terminal debug将调试信息输出到控制台上。

l 用debug udp命令打开UDP调试开关，跟踪UDP的数据包。当路由器发送或接收到UDP数据包，就可以实时显示出数据报的内容格式。根据数据报的内容，来发现问题之所在。

以下为UDP数据报的格式：

UDP output packet:

Source IP address:202.38.160.1

Source port:1024

Destination IP Address 202.38.160.1

Destination port: 4296

l 用debug tcp packet或debug tcp transact命令打开TCP调试开关，跟踪TCP的数据包。调试TCP时，有两种方式可供选择：

其一：调试跟踪所有以本设备为一终端的TCP连接的报文

操作如下：

Quidway(config)# terminal debug

Quidway# debug tcp packet

即可实时查看接收或发送的TCP报文，其具体报文格式如下：

TCP output packet:

Source IP address:202.38.160.1

Source port:1024

Destination IP Address 202.38.160.1

Destination port: 4296

Sequence number :4185089

Ack number: 0

Flag :SYN

Packet length :60

Data offset: 10

其二：调试跟踪其中SYN、FIN或RST置位的报文

操作如下：

Quidway(config)# terminal debug
__________________
i must win,and i will win.

---

由 airwolfwang 于 05-19-2003 10:10 PM 发表:

好东西！
这样的东东越多越好！
__________________
生活的美丽，来自于你心底。
世界简单，确实就是如此。

---

由 jlhwlw 于 05-20-2003 09:25 AM 发表:

up,thank you
__________________
飘逸随风

---

由 7boy 于 05-20-2003 12:03 PM 发表:

Part 5 路由协议配置一

第1章 IP路由协议概述
& 说明：

当以太网交换机在运行路由协议时，它将同时具备路由器的功能。本路由协议模块所指的路由器及路由器图标，代表了一般意义下的路由器以及运行了路由协议的以太网交换机。为提高可读性，在手册的描述中将不另行说明。



1.1 IP路由和路由表介绍
1.1.1 路由和路由段
在互联网中进行路由选择要使用路由器。路由器的工作原理是：根据所收到的报文的目的地址选择一个合适的路径（通过某一个网络），将报文传送到下一个路由器；如此逐个传送，直到传送路径上最后的路由器负责将报文递交给目的主机。运行了路由协议的以太网交换机在完成跨网段的IP报文转发和路由时，其功能就相当于一个路由器。

路由器将报文在某一个网络中走过的通路（从进入网络开始到离开网络为止）在逻辑上看成是一个路由单位，并将此路由单位称为一跳，每跳走过的通路称为一个路由段。例如，在下图中，主机A到主机C共经过了3个网络和2个路由器，跳数为3，经过了3个路由段。由此可见，若一结点通过一个网络与另一结点相连接，则此两节点相隔一个路由段，因而在互联网中是相邻的。同理，相邻的路由器是指这两个路由器都连接在同一个网络上。一个路由器到本网络中的某个主机的路由段数算作零。在图中用粗的箭头表示这些路由段。至于每一个路由段具体又由哪几条物理链路构成，路由器并不关心。



图1-1 路由段的概念

由于网络大小可能相差很大，所以每个路由段的实际长度并不相同。因此对于不同的网络，可以将其路由段乘以一个加权系数，用加权后的路由段数来衡量通路的长短。

如果把网络中的路由器看成是网络中的节点，把互联网中的一个路由段看成是网络中的一条链路，那么互联网中的路由选择就与简单网络中的路由选择相似了。采用路由段数最小的路由有时也并不一定是最理想的。例如，经过三个局域网路由段的路由可能比经过两个广域网络路由段的路由快得多。

1.1.2 通过路由表进行选路
路由器转发报文必须依靠路由表。在每个路由器中都保存着一张路由表，表中的每条路由项都指明报文到某子网或某主机应通过路由器的哪个物理端口发送，然后就可到达该路径的下一个路由器，或者不再经过别的路由器而传送到直接相连的网络中的目的主机。

路由表中包含了下列关键项：

l 目的地址：用来标识IP报文的目的IP地址或目的网络，32比特。

l 网络掩码：掩码由若干个连续“1”构成，写成文本形式时既可以用点分十进制表示，也可以用掩码中连续“1”的个数来表示。它与目的地址一起标识目的主机或路由器所在网段的地址。其具体做法，是将目的地址和网络掩码“逻辑与”，然后即得到目的主机或路由器所在网段的地址。例如：某个目的地址为129.102.8.10，掩码为255.255.0.0的主机或路由器所在网段的地址为129.102.0.0。

l 输出接口：说明IP报文将从该路由器的哪个接口转发出去。

l 下一跳IP地址：说明IP报文所经由的下一个路由器。

l 本条路由加入IP路由表的优先级：针对同一目的地，可能存在下一跳不同的若干条路由，这些不同的路由可能是由不同的路由协议发现的，也可以是手工配置的静态路由。优先级高（数值小）的路由将成为当前的最优路由。用户可以配置多条到同一目的地但优先级不同的路由，路由器将按优先级顺序选取唯一的一条路由供转发IP报文时使用。

根据路由目的地的不同，可以划分为：

l 子网路由：目的地为子网。

l 主机路由：目的地为主机。

另外，根据目的地与该路由器是否直接相连，又可分为：

l 直接路由：目的地所在网络与路由器直接相连。

l 间接路由：目的地所在网络与路由器并不直接相连。

为了不使路由表过于庞大，可以设置一条缺省路由。凡遇到查找路由表失败的IP报文，就选择按缺省路由进行转发。

在下图比较复杂的互联网络中，各网络中的数字是该网络的网络地址。路由器R8与三个网络相连，因此有三个IP地址和三个物理端口，其路由表如图所示。



图1-2 路由表示意图

1.2 路由管理策略
S3500以太网交换机支持对静态路由的配置，同时支持RIP、OSPF、Integrated IS-IS以及BGP等多种动态路由协议。用户设置的静态路由和由路由协议发现的动态路由在S3500以太网交换机中是统一管理的。静态路由与各路由协议之间发现或者配置的路由也可以互相共享。

1.2.1 路由协议及其发现路由的优先级
到相同的目的地，不同的路由协议（包括静态路由）可能会发现不同的路由，但并非这些路由都是最优的。事实上，在某一时刻，到某一目的地的当前路由仅能由唯一的路由协议来决定。这样，各路由协议（包括静态路由）都被赋予了一个优先级，当存在多个路由信息源时，具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级（数值越小表明优先级越高）如下表所示。

表1-1 路由协议及其发现路由的缺省优先级

路由协议或路由种类
相应路由的优先级

DIRECT
0

OSPF
10

INTERNAL EIGRP
50

STATIC
60

RIP
100

OSPF ASE
150

EXTERNAL EIGRP
160

IBGP
256

EBGP
256

UNKNOWN
255




在优先级的取值中，0表示直接连接的路由，255表示任何来自不可信源端的路由。

除了直接路由（Direct）和BGP（IBGP、EBGP）外，各动态路由协议的优先级都可根据用户需求，手工进行配置。另外，每条静态路由的优先级都可以不相同。

1.2.2 路由协议之间的共享
由于各路由协议的算法不同，不同的协议可能会发现不同的路由，因此各路由协议之间存在如何共享各自发现结果的问题。S3500以太网交换机支持将一种路由协议发现的路由引入到另一种路由协议中，每种协议都有相应的路由引入机制，具体内容请参见各路由协议的配置指导中“引入外部路由”部分的描述。
__________________
i must win,and i will win.

---

由 7boy 于 05-20-2003 12:04 PM 发表:

Part 6 路由协议配置二

第2章 静态路由配置
2.1 静态路由简介
2.1.1 静态路由的属性及功能
静态路由是一种特殊的路由，它是由网络管理员手工设置的。通过静态路由的设置可以建立一个互通的网络，但这种配置的问题在于：当一个网络故障发生后，静态路由不会自动发生改变以避开故障源，必须由网络管理员手工调整路由，以规避故障源。

在组网结构比较简单的网络中，只需配置静态路由就可以使路由器正常工作。合理设置和使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。

静态路由还有如下的属性：

l 目的地可达的路由，正常的路由都属于这种情况，即IP报文按照目的地标示的路由被送往下一跳，这是静态路由的一般用法。

l 目的地不可达的路由，当到某一目的地的静态路由具有“reject”属性时，任何去往该目的地的IP报文都将被丢弃，并且通知源主机目的地不可达。

l 目的地为黑洞的路由，当到某一目的地的静态路由具有“blackhole”属性时，任何去往该目的地的IP报文都将被丢弃，并且不通知源主机。

其中“reject”和“blackhole”属性一般用来控制本路由器可达目的地的范围，辅助网络故障的诊断。

2.1.2 缺省路由
缺省路由也是一种静态路由。简单地说，缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有当没有合适的路由时，缺省路由才被使用。在路由表中，缺省路由以到网络0.0.0.0（掩码为0.0.0.0）的路由形式出现。可通过命令show ip route的输出看它是否被设置。如果报文的目的地址不能与路由表的任何入口项相匹配，那么路由器将选取缺省路由以转发该报文。如果没有缺省路由且该报文的目的地址不在路由表中，那么在该报文被丢弃的同时，路由器将返回源端一个ICMP报文指出目的地址或网络不可达。

缺省路由在网络中是非常有用的：在一个包含上百个路由器的典型网络中，动态路由选择协议可能耗费较大量的带宽资源，使用缺省路由意味着采用适当带宽的链路来替代高带宽的链路以满足大量用户通信的需求。

2.2 静态路由配置
2.2.1 静态路由配置任务列表
l 设置静态路由

l 设置缺省路由

2.2.2 设置静态路由
请在全局配置模式下进行下列配置。

表2-1 设置静态路由

操作
命令

增加一条静态路由
ip route ip-address { mask | mask-length } { interface-type port-number | gateway-address } [ preference preference-value ] [ reject | blackhole ]

删除一条静态路由
no ip route ip-address { mask | mask-length }[ interface-type port-number | gateway-address ] [ preference value ]




其中各参数的解释如下：

l IP地址和掩码

IP地址和掩码，用点分十进制格式表示。由于要求32位掩码中的“1”必须是连续的，因此点分十进制格式的掩码也可以用掩码长度mask-length来代替（掩码长度是掩码中连续“1”的位数）。

l 发送接口或下一跳地址

在配置静态路由时，可以通过interface-type port-number指定发送接口，也可以通过gateway-address指定下一跳地址，是指定发送接口还是指定下一跳地址要视具体情况而定。

在以下几种情况下可以指定发送接口：

l 对于支持网络地址到链路层地址解析的接口（如以太网接口支持ARP），当ip-address和mask（或mask-length）指定了一个主机地址，而且该目的地址就在该接口的直接连接网络中，这时可以指定发送接口。

l 对于点到点接口，指定发送接口即隐含指定了下一跳地址，这时认为与该接口相连的对端接口地址就是路由的下一跳地址。

实际上，所有的路由项都必须明确下一跳地址。IP在发送报文时，首先根据报文的目的地址寻找路由表中与之匹配的路由。只有路由指定了下一跳地址，链路层才能通过下一跳IP地址找到对应的链路层地址，然后按照该地址将报文转发。

S3500以太网交换机的链路层是以太网，因此既可以指定发送接口interface-type port-number，也可以指定下一跳地址gateway-address。

l 优先级

对优先级preference-value的不同配置，可以灵活应用路由管理策略。

在同一命令中优先级可以多次输入，但只有最后一个有效。

l 其它参数

属性reject和blackhole分别指明不可达路由和黑洞路由。

2.2.3 设置缺省路由
请在全局配置模式下进行下列配置。

表2-2 设置缺省路由

操作
命令

设置缺省路由
ip route 0.0.0.0 { 0.0.0.0 | 0 } { interface-type port-number | gateway-address } [ preference value ] [ reject | blackhole ]

删除缺省路由
no ip route 0.0.0.0 { 0.0.0.0 | 0 } [ interface-type port-number | gateway-address ] [ preference value ]




命令中各参数意义与静态路由的相同。

2.3 静态路由的监控与维护
S3500以太网交换机支持多种方法来显示当前各个层次的路由表信息，为用户对路由表的监控和维护提供了极大的方便。

请在除普通用户模式以外的所有其它配置模式下进行下列操作。

表2-3 路由表的监控

操作
命令

查看路由表摘要信息
show ip route

查看路由表详细信息
show ip route detail

查看指定路由详细信息
show ip route ip-address

查看树形式路由表
show ip route radix

查看静态路由表
show ip route static




(1) 显示路由表摘要信息

Quidway# show ip route

Routing Tables:

Destination/Mask Proto Pref Metric Nexthop Interface

127.0.0.0/8 Static 0 0 127.0.0.1 loopback

127.0.0.1/32 Direct 0 0 127.0.0.1 loopback

138.102.128.0/17 Direct 0 0 138.102.129.7 Vlan-Interface1

输出以列表的方式显示路由表，每一行代表一条路由，从左到右依次为：目的地址/掩码长度、路由协议类型、优先级、度量值（路由权值）、下一跳地址以及输出接口。

(2) 显示路由表详细信息

Quidway# show ip route detail

Routing Tables:

Generate Default: no

+ = Active Route, - = Last Active, * = Both

Destinations: 4 Routes: 4

Holddown: 0 Delete: 9 Hidden: 0

**Destination: 127.0.0.0 Mask: 255.0.0.0

Protocol: *Static Preference: 0

NextHop: 127.0.0.1 Interface: 127.0.0.1(LO0)

State: <NoAdv Int Active Retain Rej>

Age: 19:31:06 Metric: 0/0

**Destination: 127.0.0.1 Mask: 255.255.255.255

Protocol: *Direct Preference: 0

NextHop: 127.0.0.1 Interface: 127.0.0.1(LO0)

State: <NoAdv Int Active Retain>

Age: 114:03:05 Metric: 0/0

先显示整个路由表的统计数据，然后依次输出每条路由的详细描述。路由状态的含义如下表所示：

表2-4 路由表信息

符号
意义

Holddown
当前被Holddown的路由数目——Holddown是某些D-V（distance vector）路由协议（如RIP）为了避免错误路由的扩散、提高路由不可达信息的快速准确传播而采用的一种路由发布策略。它往往在一段时间间隔内固定地发布某条路由，而不管当前实际找到的到同一目的地的路由发生了什么变化。其细节参见具体的路由协议。

Delete
当前被删除的路由数目。

Hidden
当前被隐藏的路由数目——有些路由由于某种原因（如接口Down）暂时不可用，但是又不希望被删除，我们把这种路由隐藏起来，以便以后能重新恢复。




(3) 查看特定的路由信息

Quidway# show ip route 127.0.0.1

**Destination: 127.0.0.1 Mask: 255.255.255.255

Protocol: *Direct Preference: 0

NextHop: 127.0.0.1 Interface: 127.0.0.1(LO0)

State: <NoAdv Int Active Retain>

Age: 114:03:05 Metric: 0/0

该命令将显示到某个特定目的IP地址的全部路由信息。输出信息可帮助用户确认指定的路由是否存在或其具体状态是否正确。

当路由表太大，而用户仅希望显示特定的几条路由的详细信息时，可以使用show ip route A.B.C.D命令将指定路由的具体信息显示出来。该命令的输出信息可帮助用户确认指定的路由是否存在或其具体状态是否正确。

指定路由信息的显示格式与显示详细路由信息的信息格式是相同的。如果指定的是一条自然网段路由，如10.0.0.0，则显示该网段内所有路由的详细信息；否则，只显示指定地址所对应的路由信息。

(4) 查看树形式路由表

Quidway# show ip route radix

Radix tree for INET (2) inodes 20 routes 12:



+-24+--{202.102.10.0

+--4+

| +-24+--{196.100.10.0

| +-32+--{196.100.10.1

+--1+

| +--8+--{172.0.0.0

| +-32+--{172.110.10.1

| +-20+

| | +-32+--{172.110.1.10

| +--9+

| +-32+--{172.10.0.87

+--0+

| | +--8+--{127.0.0.0

| | | +-32+--{127.0.0.1

| +--1+

| | +-16+--{36.7.0.0

| +--2+

| | +-32+--{10.110.255.1

(5) 查看静态路由表

Quidway# show ip route static

Static routes for family INET: (* indicates gateway(s) in use)

1.2.3.0/24 pref 60 <Int> intf Enthernet 3/0/1

127.0.0.0/8 pref 0 <NoAdv Int Retain Rej> intf 127.0.0.1

该命令的显示信息可帮助用户确认对静态路由的配置是否正确，以上信息显示了目的地址/掩码长度、路由的优先级、<状态参数>、及输出接口或下一跳的地址。

2.4 静态路由典型配置举例
本节的例子中，采用的都是具备路由器功能可以运行OSPF路由协议的S3500以太网交换机。

1. 组网需求
如下图所示，图中所有IP地址的掩码均为255.255.255.0，要求通过配置静态路由，使任意两台主机或以太网交换机之间都能两两互通。

2. 组网图


图2-1 静态路由配置举例组网图

3. 配置步骤
！设置以太网交换机Switch A的静态路由。

Switch A(config)# ip route 1.1.3.0 255.255.255.0 1.1.2.2

Switch A(config)# ip route 1.1.4.0 255.255.255.0 1.1.2.2

Switch A(config)# ip route 1.1.5.0 255.255.255.0 1.1.2.2

！设置以太网交换机Switch B的静态路由。

Switch B(config)# ip route 1.1.2.0 255.255.255.0 1.1.3.1

Switch B(config)# ip route 1.1.5.0 255.255.255.0 1.1.3.1

Switch B(config)# ip route 1.1.1.0 255.255.255.0 1.1.3.1

！设置以太网交换机Switch C的静态路由。

Switch C(config)# ip route 1.1.1.0 255.255.255.0 1.1.2.1

Switch C(config)# ip route 1.1.4.0 255.255.255.0 1.1.3.2

！在主机A上配缺省网关为1.1.1.2。

！在主机B上配缺省网关为1.1.5.2。

！在主机C上配缺省网关为1.1.4.1。

至此图中所有主机或以太网交换机之间均能两两互通。

2.5 静态路由故障的诊断与排除
故障现象：

S3500以太网交换机没有配置动态路由协议，接口的物理状态和链路层协议状态均已处于UP，但IP报文不能正常转发。

故障排除：

l 用show ip route static命令查看是否正确配置相应静态路由。

l 用show ip route命令查看该静态路由是否已经生效。
__________________
i must win,and i will win.

---

由 GhostLover 于 05-20-2003 03:24 PM 发表:

可以反图片贴到别的可以上传图片的网站上，然后连接过来，大家看着图文并茂！清楚易懂！

主要是方便偶！


__________________
Study hard!

=============================

我的blog
给我发Mail

---

由 7boy 于 05-20-2003 04:58 PM 发表:

quote:

---

最初由 GhostLover 发布
可以反图片贴到别的可以上传图片的网站上，然后连接过来，大家看着图文并茂！清楚易懂！

主要是方便偶！

---

你的qq?
我用qq传给你。
__________________
i must win,and i will win.

---

由 7boy 于 05-21-2003 10:45 AM 发表:

Part 7 路由协议配置三

第3章 RIP配置
3.1 RIP简介
RIP是Routing Information Protocol（路由信息协议）的简称。它是一种比较简单的动态路由协议，但在实际使用中有着广泛的应用。RIP是一种基于D-V（Distance-Vector）算法的协议，它通过UDP（User Datagram Protocol）数据报交换路由信息，每隔30秒向外发送一次更新报文。如果本地路由器经过180秒没有收到来自对端路由器的路由更新报文，则本地路由器将所有来自对端路由器的路由信息标志为不可达；若某路由信息被标志为不可达后120秒内仍未收到来自对端路由器的更新报文，本地路由器就将该条路由从它维护的路由表中删除。

RIP使用跳数（Hop Count）来衡量到达信宿机即目的地的距离，称为路由权（Routing Metric）。在RIP中，路由器到与它直接相连网络的跳数为0，通过一个路由器可达的网络的跳数为1，其余依此类推。为限制收敛时间，RIP规定Metric取0~15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。

RIP包括RIP-1和RIP-2两个版本（RIP-2支持明文认证和MD5密文认证，并支持可变长子网掩码）。

为提高性能，防止产生路由环，RIP支持水平分割（Split Horizon）与毒性逆转（Poison Reverse），还允许引入其它路由协议所得到的路由。

每个运行RIP的路由器管理一个路由数据库，该路由数据库包含了到网络中所有可达目的地的一个路由项，这些路由项包含下列信息：

l 目的地址：指主机或网络的IP地址。

l 下一跳地址：指为到达目的地要经过的下一个路由器地址。

l 输出接口：指示将报文从哪个接口转发出去。

l Metric值：指本路由器到达目的地的开销，是一个0~16之间的整数。

l 定时器：从路由项最后一次被修改到现在所经过的时间，路由项每次被修改时，定时器重置为0。

l 路由标记：区分本路由为内部路由协议生成的路由还是外部路由协议生成的路由。

RIP启动和运行的整个过程可描述如下：

(1) 某路由器刚启动RIP时，该路由器将以广播的形式向相邻路由器发送请求报文。在收到该请求报文后，相邻路由器（必须也已经启动RIP）将响应该请求－－回送包含本地路由表信息的响应报文。

(2) 发送请求报文的路由器在收到响应报文后，修改本地路由表。

(3) 同时，RIP每隔30秒向相邻的路由器广播本地路由表，相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的路由最终能达到全局有效。同时，RIP采用超时机制对过时的路由进行超时处理，以保证路由的实时性和有效性。RIP作为内部路由协议，正是通过这些机制，使路由器能够了解到整个网络的路由信息。

RIP目前已成为传递路由器与主机路由事实上的标准之一。由于带有三层交换功能的以太网交换机在局域网中转发IP报文的原理与路由器别无二致，因此RIP也被三层以太网交换机生产厂商广泛采用。它可被用于大多数园区网及网络结构较简单、连续性强的地区性网络。对于复杂的大型网络，一般不建议使用RIP。

3.2 RIP的配置
3.2.1 RIP配置任务列表
在各项配置任务中，必须先启动RIP、使能RIP网络后，才能配置其它的功能特性。而配置与接口相关的功能特性不受RIP是否使能的限制。需要注意的是，在关闭RIP后，原来的接口参数也同时失效。

配置任务列表如下：

l 启动RIP

l 使能RIP接口

l 指定接口的RIP版本

l 配置接口报文的零域检查

l 指定接口的工作状态

l 禁止主机路由

l 启动路由聚合功能

l 设置对RIP报文进行认证

l 配置水平分割

l 引入其它协议的路由

l 设置RIP协议的优先级

l 设置附加路由权

l 配置路由过滤

l 复位RIP系统配置

3.2.2 启动RIP
请在全局配置模式下进行下列配置。

表3-1 启动RIP

操作
命令

启动RIP，进入RIP协议配置模式
router rip

退出RIP协议配置模式
no router rip




缺省情况下，不运行RIP。

3.2.3 使能RIP接口
为了灵活地控制RIP工作，可以指定某些接口，将其所在的相应网段配置成RIP网络，使这些接口可收发RIP报文。

请在RIP协议配置模式下进行下列配置。

表3-2 使能RIP接口

操作
命令

在指定的网络接口上应用RIP
network network-number

在指定的网络接口上取消应用RIP
no network network-number




需要注意的是，RIP任务启动后必须指定其工作网段。RIP只在指定网段上的接口运行；对于不在指定网段上的接口，RIP既不在它上面接收和发送路由，也不将它的接口路由转发出去，就好象这个接口不存在一样。network-number为使能或不使能的网络的地址，也可配置为各个接口IP网络的地址。

当对某一地址使用命令network时，效果是使能该地址的网段的接口。例如：network 129.102.1.1，用show running-config和show ip rip命令看到的均是network 129.102.0.0。

缺省情况下，RIP启动后在所有接口上禁用。

3.2.4 指定接口的RIP版本
RIP有RIP-1和RIP-2两个版本，可以指定接口所处理的RIP报文版本。

RIP-1的报文传送方式为广播方式。RIP-2有两种报文传送方式：广播方式和组播方式，缺省将采用组播方式发送报文。RIP-2中组播地址为224.0.0.9。组播发送报文的好处是在同一网络中那些没有运行RIP的主机可以避免接收RIP的广播报文；另外，以组播方式发送报文还可以使运行RIP-1的主机避免错误地接收和处理RIP-2中带有子网掩码的路由。当接口运行RIP-2时，也可接收RIP-1的报文。

请在VLAN接口配置模式下进行下列配置。

表3-3 指定接口的RIP版本

操作
命令

指定接口的RIP版本为RIP-1
ip rip version 1

指定接口的RIP版本为RIP-2
ip rip version 2 [ bcast | mcast ]

将接口运行的RIP版本恢复为缺省值
no ip rip version { 1 | 2 }




缺省情况下，接口接收和发送RIP-1报文；指定接口RIP版本为RIP-2时，缺省使用组播形式传送报文。

3.2.5 配置接口报文的零域检查
根据RFC1058的规定，RIP-1报文中的有些区域必须为零，称之为零域（zero field）。因此当接口版本被设置为RIP-1时，将对报文进行零域检查；若零域的值不为零则拒绝处理。由于RIP-2的报文没有零域，此项配置对RIP-2无效。

请在RIP协议配置模式下进行下列配置。

表3-4 配置接口报文的零域检查

操作
命令

设置对RIP-1报文进行零域检查
checkzero

禁止对RIP-1报文进行零域检查
no checkzero




缺省情况下，RIP-1对报文进行零域检查。

3.2.6 指定接口的工作状态
在VLAN接口配置模式中可指定RIP在接口上的工作状态，如接口上是否运行RIP，即是否在接口发送和接收RIP更新报文；还可单独指定发送（或接收）RIP更新报文。

请在VLAN接口配置模式下进行下列配置。

表3-5 指定接口的工作状态

操作
命令

指示接口运行RIP
ip rip work

禁止接口运行RIP
no ip rip work

允许接口接收RIP更新报文
ip rip input

禁止接口接收RIP更新报文
no ip rip input

允许接口发送RIP更新报文
ip rip output

禁止接口发送RIP更新报文
no ip rip output




no ip rip work命令的功能与no network命令功能相近，但它们并不完全相同。相同点在于，使用任一命令的接口都不收发RIP路由；区别在于：在no ip rip work情况下，其它接口对使用该命令的接口的路由仍然转发；而在no network的情况下，其它接口对使用该命令的接口的路由不再转发，其效果就象少了一个接口。

ip rip work从功能上等价于ip rip input与ip rip output两个命令。

缺省情况下，一个接口既接收RIP更新报文，也发送RIP更新报文。

3.2.7 禁止主机路由
在某些特殊情况下，路由器会收到大量来自同一网段的主机路由，这些路由对于路由寻址没有多少作用，却占用了大量网络资源。可以通过配置禁止主机路由来拒绝所收到的主机路由。

请在RIP协议配置模式下进行下列配置。

表3-6 禁止主机路由

操作
命令

允许接收主机路由
host-route

禁止接收主机路由
no host-route


缺省情况下，路由器接收主机路由。

3.2.8 启动路由聚合功能
所谓的路由聚合是指：同一自然网段内的不同子网的路由在向外（其它网段）发送时聚合成一条自然掩码的路由发送。路由聚合减少了路由表中的路由信息量，也减少了交换信息量。

RIP-1只发送自然掩码的路由，即总是以路由聚合形式向外发送路由。RIP-2支持子网掩码、无类地址域间路由。当需要将所有子网路由广播出去时，可关闭RIP-2的路由聚合功能。

请在RIP协议配置模式下进行下列配置。

表3-7 启动路由聚合功能

操作
命令

启动RIP-2的路由聚合功能
auto-summary

关闭RIP-2的路由聚合功能
no auto-summary




缺省情况下，RIP-2使用路由聚合功能。

3.2.9 设置对RIP报文进行认证
RIP-1不支持报文认证。但当接口运行RIP-2时，可以配置报文的认证方式。

RIP-2支持两种认证方式：明文认证和MD5密文认证。MD5密文认证的报文格式有两种：一种遵循RFC1723（RIP Version 2 Carrying Additional Information）规定，另一种遵循RFC2082（RIP-2 MD5 Authentication）规定。

明文认证不能提供安全保障。由于未经加密的认证字随报文一同传送，所以明文认证不能用于安全性要求较高的情况。

请在VLAN接口配置模式下进行下列配置。

表3-8 设置对RIP报文进行认证

操作
命令

设置对RIP-2进行明文认证的认证字
ip rip authentication simple password-string

设置对RIP-2进行MD5认证的认证字
ip rip authentication md5 key-string password-string

设置对RIP-2进行MD5认证的标识符
ip rip authentication md5 key-id key-id

设置对RIP-2进行MD5认证的报文格式类型
ip rip authentication md5 type { cisco | usual }

取消对RIP-2的认证
no ip rip authentication




缺省情况下，采用MD5认证；若未指定MD5认证类型，将采用遵循RFC2083规定的报文格式类型。

3.2.10 配置水平分割
水平分割是指不从本接口发送从某接口接收到的路由。它可以避免产生路由环。但在某些特殊情况下，却需要禁止水平分割，以牺牲效率来换取路由的正确传播。禁止水平分割对点到点连接的链路不起作用，但对以太网来说是可行的。

请在VLAN接口配置模式下进行下列配置。

表3-9 配置水平分割

操作
命令

启动水平分割
ip rip split

禁止水平分割
no ip rip split




缺省情况下，接口允许水平分割。

3.2.11 引入其它协议的路由
RIP允许用户将其它协议的路由信息引入到路由表中。

在S3500以太网交换机中RIP可引入的路由协议或类型包括：Connected、Static、OSPF和EIGRP。

请在RIP协议配置模式下进行下列配置。

表3-10 引入其它协议的路由

操作
命令

引入其它协议的路由
redistribute protocol [ metric metric ]

取消对其它协议路由的引入
no redistribute protocol




缺省情况下，RIP不引入其它协议的路由。

3.2.12 设置RIP协议的优先级
每一种路由协议都有自己的优先级，协议的优先级将最后决定路由策略采用哪种路由协议获取的路由作为最优路由。优先级的数值越大，其实际的优先级越低。可以手工设定RIP的优先级。

请在RIP协议配置模式下进行下列配置。

表3-11 设置RIP协议的优先级

操作
命令

设置RIP协议的优先级
preference value

将RIP协议的优先级恢复为缺省值
no preference




缺省情况下，RIP的优先级为100。

3.2.13 设置附加路由权
附加路由权（Routing Metric）是对使用RIP的路由添加的输入或输出路由权值，附加路由权并不直接改变路由表中路由的路由权值，而是在接口在接收或发送路由时增加一个指定的权值。

请在VLAN接口配置模式下进行下列配置。

表3-12 设置附加路由权（Metric）

操作
命令

设置接口在接收RIP报文时给路由的附加路由权值
ip rip metricin value

禁止接口在接收RIP报文时给路由附加路由权值
no ip rip metricin

设置接口在发送RIP报文时给路由的附加路由权值
ip rip metricout value

禁止接口在发送RIP报文时给路由附加路由权值
no ip rip metricout




缺省情况下，RIP在发送报文时给路由增加的附加路由权值为1；在接收报文时给路由增加的附加路由权值为0。

3.2.14 配置路由过滤
S3500以太网交换机提供路由过滤功能，通过指定访问列表和地址前缀列表，对路由的引入和发布都可以配置策略规则从而对路由进行过滤。另外，对于引入路由，还可以通过指定邻居以太网交换机来接收特定以太网交换机的RIP报文。

请在RIP协议配置模式下进行下列配置。

1. 配置RIP对接收的路由进行过滤
表3-13 配置RIP对接收路由的过滤

操作
命令

对接收的由指定地址发布的路由信息进行过滤
distribute-list gateway prefix-list-name in

对接收的由指定地址发布的路由信息取消过滤
no distribute-list gateway prefix-list-name in

对接收的全局路由信息进行过滤
distribute-list {access-list-number |
prefix-list prefix-list-name } in

对接收的全局路由信息取消过滤
no distribute-list { access-list-number |
prefix-list prefix-list-name } in




2. 配置RIP对发布的路由进行过滤
表3-14 配置RIP对发布路由的过滤

操作
命令

对发布的路由信息进行过滤
distribute-list { access-list-number | prefix-list
prefix-list-name } out [ routing-protocol ]

对发布的路由信息取消过滤
no distribute-list { access-list-number | prefix-list
prefix-list-name } out [ routing-protocol ]




缺省情况下，RIP不对接收与发布的任何路由信息进行过滤。

3.2.15 复位RIP系统配置
当需要重新配置RIP参数时，可使用该命令恢复RIP的缺省配置。

请在RIP协议配置模式下进行下列配置。

表3-15 复位RIP系统配置

操作
命令

复位RIP系统配置
reset




3.3 RIP的监控与维护
请在特权用户模式下进行下列操作。show ip rip命令还可以在除普通用户模式以外的所有其它配置模式下使用。

表3-16 RIP的监控与维护

操作
命令

显示RIP的当前运行状态及配置信息
show ip rip [ snapshot ]

打开RIP的报文调试信息开关
debug ip rip packet

打开RIP的接收报文情况调试开关
debug ip rip recv

打开RIP的发送报文情况调试开关
debug ip rip send




！显示RIP的当前运行状态及配置信息。

Quidway# show ip rip

RIP is turning on

checkzero is on default-metric : 16

auto-summary is on preference : 100

neighbor：202.38.165.1

以上显示信息表示RIP当前处于运行状态，缺省路由权值为16，路由聚合功能处于打开状态，RIP优先级为100，指定定点传送的邻居为202.38.165.1。

3.4 RIP典型配置举例
本节的例子中，采用的都是具备路由器功能可以运行OSPF路由协议的S3500以太网交换机。

1. 组网需求
图中以太网交换机Switch C通过以太网端口连接到子网129.102.0.0。以太网交换机Switch A、Switch B的以太网端口分别连接到网络131.109.1.0和202.38.165.0。以太网交换机Switch C和Switch A、Switch B通过以太网10.24.40.0连接到一起。正确配置RIP路由协议，使Switch C和Switch A、Switch B彼此能够互通。

2. 组网图

图3-1 RIP典型配置组网图

3. 配置步骤
& 说明：

以下的配置，只列出了与RIP 相关的操作。在进行下列配置之前，请先确保以太网链路层能够正常工作。



(1) 配置Switch A

！配置RIP。

Switch A(config)# router rip

Switch A(config-router-rip)# network 10.24.40.0

Switch A(config-router-rip)# network 131.109.1.0

(2) 配置Switch B

！配置RIP。

Switch B(config)# router rip

Switch B(config-router-rip)# network 202.38.165.0

Switch B(config-router-rip)# network 10.24.40.0

(3) 配置Switch C

！配置RIP。

Switch C(config)# router rip

Switch C(config-router-rip)# network 129.102.0.0

Switch C(config-router-rip)# network 10.24.40.0

3.5 RIP故障的诊断与排除
故障现象：以太网交换机在与对方路由设备物理连接正常的情况下收不到RIP更新报文。

故障排除：相应的接口上RIP没有运行（如执行了no ip rip work命令）或该接口未通过network命令使能。对端路由设备上配置的是组播方式（如执行了ip rip version 2 mcast命令），但在本地以太网交换机上的相应接口没有配置组播方式。
__________________
i must win,and i will win.

---

由 kunyao.hu 于 05-22-2003 10:28 AM 发表:

这样的好文章要是有下载地址就好了。
如果楼主没有FTP，我可以提供下载空间。
望搂主考虑！！！！
__________________
WEB:http://www.hznetwork.com
MSN:kunyao.hu@chinacreator.com
QQ:564945

---

由 7boy 于 05-23-2003 02:17 PM 发表:

Part 8 路由协议配置四

第4章 OSPF配置
4.1 OSPF简介
4.1.1 OSPF概述
OSPF是Open Shortest Path First（开放最短路由优先协议）的缩写。它是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2（RFC2328），其特性如下：

l 适应范围——支持各种规模的网络，最多可支持几百台路由器。

l 快速收敛——在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。

l 无自环——由于OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法本身保证了不会生成自环路由。

l 区域划分——允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用的网络带宽。

l 等值路由——支持到同一目的地址的多条等值路由。

l 路由分级——使用4类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。

l 支持验证——支持基于接口的报文验证以保证路由计算的安全性。

l 组播发送——支持组播地址。

整个网络可看成由多个自治系统（AS）组成，通过收集和传递自治系统链路状态来动态地发现并传播路由达到自治系统的信息同步。每个自治系统又可划分为不同的区域（Area）。如果一个路由器的端口被分配到多个区域内中，这个路由器就被称为区域边界路由器（Area Border Router，简称ABR），它是那些处在区域边缘的连接了多个区域的路由器。所有区域边界路由器和位于它们之间的路由器构成骨干区域（Backbone Area），该区域以0.0.0.0标识。由于所有区域都必须与骨干区域保持逻辑上的连接，特别引入了虚连接的概念，使那些物理上分割的区域仍可保持逻辑上的连通性。连接自治系统的路由器称为自治系统边界路由器（Autonomous System Boundary Router，简称为ASBR）。

4.1.2 OSPF协议路由的计算过程
OSPF协议路由的计算过程可简单描述如下：

l 每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的链路状态数据库（Link State DataBase，简称为LSdb）。每台路由器根据自己周围的网络拓扑结构生成链路状态广播（Link State Advertisement简称为LSA），通过相互之间发送协议报文将LSA发送给网络中其它路由器。这样每台路由器都收到了其它路由器的LSA，所有的LSA放在一起便组成了链路状态数据库。

l 由于LSA是对路由器周围网络拓扑结构的描述，那么LSdb则是对整个网络的拓扑结构的描述。路由器很容易将LSdb转换成一张带权的有向图，这张图便是对整个网络拓扑结构的真实反映。显然，各个路由器得到的是一张完全相同的图。

l 每台路由器都使用SPF算法计算出一棵以自己为根的最短路径树，这棵树给出了到自治系统中各节点的路由，外部路由信息为叶子节点，外部路由可由广播它的路由器进行标记以记录关于自治系统的额外信息。显然，各个路由器各自得到的路由表是不同的。

此外，在一个广播网络环境中（这里的环境指各个路由设备之间都是直接相连，中间没有跨越其他路由设备）为使每台路由器能将本地状态信息，广播到整个自治系统中，此环境中各个路由器之间都要建立邻接关系，这使得任何一台路由器的路由变化都会导致多次传递，既没有必要的，也浪费了宝贵的带宽资源。为解决这一问题，OSPF协议定义了“指定路由器”（Designated Router，简称DR），所有路由器都只将信息发送给DR，由DR将网络链路状态广播出去。这样就减少了多址访问网络上各路由器之间邻接关系的数量。

OSPF协议支持基于接口的报文验证以保证路由计算的安全性；并使用IP多播方式发送和接收报文。

4.1.3 OSPF的协议报文
OSPF有五种报文类型：

l HELLO报文（Hello Packet）：

最常用的一种报文，周期性的发送给本路由器的邻居。内容包括一些定时器的数值、DR、BDR以及自己已知的邻居。

l DD报文（Database Description Packet）：

两台路由器进行数据库同步时，用DD报文来描述自己的LSdb，内容包括LSdb中每一条LSA的摘要（摘要是指LSA的HEAD，通过该HEAD可以唯一标识一条LSA）。这样做是为了减少路由器之间传递信息的量，因为LSA的HEAD只占一条LSA的整个数据量的一小部分，根据HEAD，对端路由器就可以判断出是否已有这条LSA。

l LSR报文（Link State Request Packet）：

两台路由器互相交换过DD报文之后，知道对端的路由器有哪些LSA是本地的LSdb所缺少的，这时需要发送LSR报文向对方请求所需的LSA。内容包括所需要的LSA的摘要。

l LSU报文（Link State Update Packet）：

用来向对端路由器发送所需要的LSA，内容是多条LSA（全部内容）的集合。

l LSAck报文（Link State Acknowledgment Packet）

用来对接收到的LSU报文进行确认。内容是需要确认的LSA的HEAD（一个报文可对多个LSA进行确认）。

4.1.4 与OSPF协议相关的基本概念
1. 路由器ID号
一台路由器如果要运行OSPF协议，必须存在Router ID。如果没有配置ID号，系统会从当前接口的IP地址中自动选一个作为路由器的ID号。

2. DR和BDR
l DR（Designated Router，指定路由器）

在一个广播网络环境中（这里的环境指各个路由设备之间都是直接相连，中间没有跨越其他路由设备）为使每台路由器能将本地状态信息，广播到整个自治系统中，此环境中各个路由器之间都要建立邻接关系，但这使得任何一台路由器的路由变化都会导致多次传递，浪费了宝贵的带宽资源。为解决这一问题，OSPF协议定义了DR，所有路由器都只将信息发送给DR，由DR将网络链路状态广播出去，两台不是DR的路由器（称为DR Other）之间将不再建立邻居关系，也不再交换任何路由信息。

哪一台路由器会成为本网段内的DR并不是人为指定的，而是由本网段中所有的路由器共同选举出来的。

l BDR（Backup Designated Router，备份指定路由器）

如果DR由于某种故障而失效，这时必须重新选举DR，并与网段内其它路由器同步。这需要较长的时间，在这段时间内，路由计算是不正确的。为了能够缩短这个过程，OSPF提出了BDR的概念。BDR实际上是对DR的一个备份，在选举DR的同时也选举出BDR，BDR也和本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后，BDR会立即成为DR。

3. 区域（Area）
随着网络规模日益扩大，当一个巨型网络中的路由器都运行OSPF路由协议时，路由器数量的增多会导致LSdb非常庞大，占用大量的存储空间，并使得运行SPF算法的复杂度增加，导致CPU负担很重；并且，网络规模增大之后，拓扑结构发生变化的概率也增大，网络会经常处于“动荡”之中，造成网络中会有大量的OSPF协议报文在传递，降低了网络的带宽利用率。而且每一次变化都会导致网络中所有的路由器重新进行路由计算。

OSPF协议通过将自治系统划分成不同的区域（Area）来解决上述问题。区域是在逻辑上将路由器划分为不同的组。区域的边界是路由器，这样会有一些路由器属于不同的区域，连接骨干区域和非骨干区域的路由器称作区域边界路由器——ABR，ABR与骨干区域之间既可以是物理连接，也可以是逻辑上的连接。

4. 骨干区域和虚连接
l 骨干区域（Backbone Area）

OSPF划分区域之后，并非所有的区域都是平等的关系。其中有一个区域是与众不同的，它的区域号（Area ID）是0，通常被称为骨干区域。

l 虚连接（Virtual link）

由于所有区域都必须与骨干区域在逻辑上保持连接，特别引入了虚连接的概念，使那些物理上分割的区域仍可保持逻辑上的连通性。

5. 路由聚合
AS被划分成不同的区域，每一个区域通过OSPF边界路由器（Area Border Router，简称ABR）相连，区域间可以通过路由汇聚来减少路由信息，减小路由表的规模，提高路由器的运算速度。ABR在计算出一个区域的区域内路由之后，查询路由表，将其中每一条OSPF路由封装成一条LSA发送到区域之外。

4.1.5 实现上的主要特色
华为路由器所实现的OSPF软件遵循Internet RFC2328，下面列出一些主要特色：

l 支持STUB区域：定义了STUB区域以节省该区域内路由器接收ASE路由时的开销。

l 支持NSSA区域：定义了NSSA区域，以克服Stub区域对于拓扑结构的限制。NSSA是Not-So-Stubby Area的简写。

l 可以和其它动态路由协议共享所发现的路由信息：在现阶段，支持将RIP等动态路由协议和静态路由作为OSPF的外部路由引入到路由器所属的自治系统中去，或将OSPF自身发现的路由信息发布到其它路由协议中去。

l 授权验证字：OSPF对同一区域内的相邻路由器之间可以选择明文串验证字和MD5加密验证字两种报文合法性验证手段。

l 路由器接口参数的灵活配置：在路由器的接口上，可以配置OSPF的参数包括：输出花费、Hello报文发送间隔、重传间隔、接口传输时延、路由优先级、相邻路由器“死亡”时间、报文验证方式和报文验证字等。

l 虚连接：支持创建与配置虚连接。

l 丰富的调试信息：提供了丰富的调试信息帮助用户诊断故障。

4.2 OSPF的配置
OSPF的配置需要在各路由器（包括区域内路由器、区域边界路由器和自治系统边界路由器等）之间相互协作。在未作任何配置的情况下，路由器的各参数将使用缺省值。此时，发送和接收报文都无须进行验证，接口也不属于任何一个自治系统的区域。在改变缺省参数的过程中，请务必保证各路由器之间的配置是一致的。

在各项配置任务中，必须先启动OSPF、指定接口与区域号后，才能配置其它的功能特性。而配置与接口相关的功能特性不受OSPF是否使能的限制。需要注意的是，在关闭OSPF后，原来与OSPF相关的接口参数也同时失效。

4.2.1 OSPF配置任务列表
OSPF的配置任务列表如下：

l 启动OSPF

l 指定接口与区域号

l 配置路由器的ID号

l 配置在OSPF接口上网络类型

l 配置接口上发送报文的开销

l 设置接口在选举DR时的优先级

l 设置邻接点

l 设置Hello报文发送时间间隔

l 设置相邻路由器间失效时间

l 设置发送链路状态更新报文所需时间

l 设置邻接路由器重传LSA的间隔

l 设置OSPF的SPF计算间隔

l 配置OSPF的STUB区域

l 配置OSPF的NSSA区域参数

l 配置OSPF区域路由聚合

l 配置OSPF虚连接

l 配置OSPF区域支持报文验证

l 配置OSPF报文的认证

l 引入其它协议的路由

l 配置OSPF接收外部路由的参数

l 配置OSPF引入缺省路由

l 配置OSPF路由的优先级

l 配置OSPF路由过滤

l 配置接口发送DD报文时是否填MTU值

l 配置禁止接口发送OSPF报文

4.2.2 启动OSPF
请在全局配置模式下进行下列配置。

表4-1 启动/关闭OSPF

操作
命令

启动OSPF，进入OSPF路由协议配置模式
router ospf

关闭OSPF路由协议进程
no router ospf




缺省情况下，不运行OSPF。

4.2.3 指定接口与区域号
OSPF协议将自治系统进一步划分成不同的区域（Area），区域是在逻辑上将路由器划分为不同的组。一些路由器会属于不同的区域，（这样的路由器称作区域边界路由器ABR），而一个网段只能属于一个区域，或者说每个运行OSPF协议的接口必须指明属于某一个特定的区域，区域用区域号来标识。不同的区域之间通过ABR来传递路由信息。

另外，在同一区域内的所有路由器应一致同意该区域的参数配置。因此，在配置同一区域内的路由器时，应该注意大多数配置数据都应该以区域为基础来统一考虑，错误的配置可能会导致相邻路由器之间无法相互传递信息，甚至导致路由信息的阻塞或者自环。

请在协议配置模式下进行下列配置。

表4-2 指定接口与区域号

操作
命令

指定接口与区域号
network address wildcard-mask area area-id

取消接口运行OSPF协议
no network address wildcard-mask area area-id




OSPF任务启动后还必须指定在哪个网段上应用，并配置所属的区域。

4.2.4 配置路由器的ID号
路由器的ID是一个32比特无符号整数，是一台路由器在自治系统中的唯一标识，用户必须配置路由器ID号。手工配置路由器的ID时，必须保证自治系统中任意两台路由器的ID都不相同。通常的做法是将路由器的ID配置为与该路由器某个接口的IP地址一致。

请在全局配置模式下进行下列配置。

表4-3 配置路由器ID号

操作
命令

配置路由器的ID号
router id router-id

取消路由器的ID号
no router id




为保证OSPF运行的稳定性，在进行网络规划时应该确定路由器ID的划分并手工配置。

4.2.5 配置在OSPF接口上网络类型
OSPF协议计算路由是以本路由器邻接网络的拓扑结构为基础的。每台路由器将自己邻接的网络拓扑描述出来，传递给所有其它的路由器。

OSPF根据链路层协议类型将网络分为下列四种类型：

l 广播类型：当链路层协议是Ethernet、FDDI时，OSPF缺省认为网络类型是Broadcast。

l 非广播多路访问（Non Broadcast MultiAccess，简称NBMA）类型：当链路层协议是ATM时，OSPF缺省认为网络类型是NBMA。

l Point-to-Multipoint类型：没有一种链路层协议会被缺省的认为是Point-to-Multipoint类型。点到多点必须是由其他的网络类型强制更改的。最常见的做法是将非全连通的NBMA改为点到多点的网络。

l 点到点类型（Point-to-Point）当链路层协议是PPP，LAPB或POS时，OSPF缺省认为网络类型是Point-to-Point。

NBMA（Non Broadcast MultiAccess）网络是指非广播、多点可达的网络，比较典型的有ATM。可通过配置轮询间隔来指定路由器在与相邻路由器构成邻接关系之前发送轮询Hello报文的时间周期。

在没有多址访问能力的广播网上，可将接口配置成nonbroadcast方式。

若在NBMA网络中并非所有路由器之间都直接可达时，可将接口配置成point-to-multipoint方式。

若该路由器在NBMA网络中只有一个对端，则也可将接口类型改为point-to-point方式。

NBMA与点到多点之间的区别：

l 在OSPF协议中NBMA是指那些全连通的、非广播、多点可达网络。而点到多点的网络，则并不需要一定是全连通的。

l 在NBMA上需要选举DR与BDR，而在点到多点网络中没有DR与BDR。

l NBMA是一种缺省的网络类型，例如：如果链路层协议是ATM，OSPF会缺省的认为该接口的网络类型是NBMA（不论该网络是否全连通）。点到多点不是缺省的网络类型，没有哪种链路层协议会被认为是点到多点，点到多点必须是由其它的网络类型强制更改的。最常见的做法是将非全连通的NBMA改为点到多点的网络。

l NBMA用单播发送报文，需要手工配置邻居。点到多点采用多播方式发送报文。

由于S3500以太网交换机的链路层协议是以太网，所以OSPF认为网络类型是broadcast。一般情况下，请不要改变它的网络类型。

请在接口配置模式下进行下列配置。

表4-4 配置OSPF接口的网络类型

操作
命令

配置接口的网络类型
ip ospf network { broadcast | non-broadcast | point-to-multipoint | point-to-point }




当用户为接口配置了新的网络类型后，原接口的网络类型自动取消。

4.2.6 设置接口发送报文的开销
用户可设置接口发送报文的开销，否则OSPF会根据当前接口的波特率自动计算发送报文的开销。

请在VLAN接口配置模式下进行下列配置。

表4-5 设置VLAN接口发送报文的开销

操作
命令

设置VLAN接口发送报文的开销
ip ospf cost cost

将VLAN接口发送报文的开销恢复为缺省值
no ip ospf cost




缺省情况下，VLAN接口发送报文的开销将根据接口波特率来自动计算：

l 当接口波特率小于2000bit/s时，接口发送报文的缺省开销为：100000000/64000 ＝ 1562。

l 当接口波特率大于100000000bit/s时，接口发送报文的缺省开销为：100000000/100000000 ＝ 1。

l 在其他情况下，缺省开销为：100000000/接口的波特率。

4.2.7 设置接口在选举DR时的优先级
路由器接口的优先级决定了该接口在选举“指定路由器”时所具有的资格，优先级高的在选举权发生冲突时首先考虑。

指定路由器（DR）不是人为指定的，而是由本网段中所有的路由器共同选举出来的。本网段内Priority>0的路由器都可作为“候选人”。在所有自称是DR的路由器中选取priority值最大的当选；若两台路由器的priority值相等，则选Router ID最大的当选DR。选票就是Hello报文，每台路由器将自己选出的DR写入Hello中，发给网段上的每台路由器。当连在同一网段的两台路由器同时宣布自己是“指定路由器”（DR）时，优先级高者胜出。 如果优先级相等，则router ID大者胜出。如果一台路由器的优先级为0，则它不会被选举为“指定路由器”（DR）或“备份指定路由器”（BDR）。

如果DR由于某种故障而失效，则网络中的路由器必须重新选举DR，并与新的DR同步。这需要较长的时间，在这段时间内，路由的计算是不正确的。为了能够缩短这个过程，OSPF提出了BDR（Backup Designated Router）的概念。BDR实际上是对DR的一个备份，在选举DR的同时也选举出BDR，BDR也和本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后，BDR会立即成为DR，由于不需要重新选举，并且邻接关系事先已建立，所以这个过程是非常短暂的。当然这时还需要再重新选举出一个新的BDR，虽然一样需要较长的时间，但并不会影响路由的计算。

需要注意的是：

l 网段中的DR并不一定是priority最大的路由器；同理，BDR也并不一定就是priority第二大的路由器。若DR、BDR已经选择完毕后，一台新路由器加入，即使它的priority值最大，也不会成为该网段中的DR。

l DR是指某个网段中概念，是针对路由器的接口而言的。某台路由器在一个接口上可能是DR，在另一个接口上可能是BDR，或者是DROther。

l 只有在广播或NBMA类型接口时才会选举DR，在点到点或点到多点类型的接口上不需要选举DR。

请在VLAN接口配置模式下进行下列配置。

表4-6 设置接口在选举DR时的优先级

操作
命令

设置接口在选举“指定路由器”时的优先级
ip ospf priority priority_nμm

恢复接口的缺省优先级
no ip ospf priority




缺省情况下，VLAN接口在选举DR时的优先级为1，取值范围为0~255。

4.2.8 设置邻接点
对于接口类型为NBMA的网络需要进行一些特殊的配置。由于无法通过广播Hello报文的形式发现相邻路由器，必须手工为该接口指定相邻路由器的IP地址，以及该相邻路由器是否有选举权等。这些是通过命令neighbor ip-address来指定的，在没有指定priority_nμm时，认为该相邻路由器没有选举权。

请在OSPF协议配置模式下进行下列配置。

表4-7 配置邻接点

操作
命令

配置NBMA接口的邻接点
neighbor ip-address[ priority priority_nμm]

取消配置NBMA接口的邻接点
no neighbor ip-address [ priority priority_nμm]




缺省情况下，NBMA接口的邻接点优先级的取值为1。

4.2.9 设置Hello报文发送时间间隔
Hello报文是最常用的一种报文，它周期性地被发送至邻居路由器，用于发现与维持邻居关系、选举DR与BDR。用户可对发送Hello报文的时间间隔hello-interval的值进行设置。hello-interval值越小，网络的变化将被越快的发现，但将花费更多的网络传输。同一网段的路由器的hello-interval必须相同。

当一台路由器刚启动后，它只向优先级大于0（那些有可能被选举为DR，BDR的路由器）的邻接点发送Hello报文。当网段中的DR，和BDR被选举出来后，再由DR和BDR向所有的邻居发送Hello报文以建立邻接关系。当邻居失效后，路由器将按照poll-interval命令规定的时间间隔来周期性地发送Hello报文直到邻居路由器重新可用，poll-interval的值至少是hello-interval值的3倍。当用户改变了发送Hello报文的时间间隔后，建议最好也要重新设置一下poll-interval的时间间隔。

请在VLAN接口配置模式下进行下列配置。

表4-8 设置Hello 报文发送时间间隔

操作
命令

配置接口发送hello报文的时间间隔
ip ospf hello-interval seconds

恢复接口发送hello报文时间间隔的缺省值
no ip ospf hello-interval

在NBMA接口上配置发送轮询报文的时间间隔
ip ospf poll-interval seconds

恢复发送轮询报文间隔的缺省值
no ip ospf poll-interval




缺省情况下，point-to-point、broadcast类型接口发送Hello报文的时间间隔的值为10秒；point-to-nultipoint、nonbroadcast类型接口发送Hello报文的时间间隔的值为30秒。

4.2.10 设置相邻路由器间失效时间
相邻路由器间的失效时间是指在该时间间隔内若未收到对方的Hello报文，则认为对端路由器失效。用户可对邻居路由器的失效时间dead-interval的值进行设置。dead-interval的值至少是hello-interval值的4倍，同一网段的路由器的dead-interval也必须相同。

请在VLAN接口配置模式下进行下列配置。

表4-9 设置相邻路由器间失效时间

操作
命令

配置相邻路由器间失效时间
ip ospf dead-interval seconds

恢复相邻路由器间失效时间的缺省值
no ip ospf dead-interval




缺省情况下，point-to-point、broadcast类型接口相邻路由器间失效时间的值为40秒；point-to-nultipoint、nonbroadcast类型接口相邻路由器间失效时间的值为120秒。

需要注意的是：在用户修改了网络类型后，hello-interval与dead-interval都将恢复缺省值。

4.2.11 设置发送链路状态更新报文所需时间
LSU报文中链路状态广播（LSA）的老化时间在传送之前要增加transmit-delay秒。该参数的设置主要考虑到接口上发送报文的所需的时间。

LSA在路由器的链路状态数据库（LSdb）中会随着时间老化（每秒钟加1），但在网络的传输过程中却不会，所以有必要在发送之前将老化时间增加transmit-delay秒，这项配置对于低速网络更为重要。

请在VLAN接口配置模式下进行下列配置。

表4-10 设置发送链路状态更新报文所需时间

操作
命令

配置发送链路状态更新报文时间
ip ospf transmit-delay seconds

恢复发送链路状态更新报文时间的缺省值
no ip ospf transmit-delay




缺省情况下，发送链路状态更新报文时间的值为1秒。

4.2.12 设置邻接路由器重传LSA的间隔
当一台路由器向它的邻居发送一条“链路状态广播”（LSA）后，需要等到对方的确认报文。若在retransmit-interval时间内没有收到对方的确认报文，就会向邻居重传这条LSA。用户可对retransmit-interval的值进行设置。

请在VLAN接口配置模式下进行下列配置。

表4-11 设置邻接路由器重传LSA的间隔

操作
命令

配置相邻路由器重传LSA的时间间隔
ip ospf retransmit-interval seconds

恢复相邻路由器重传LSA的时间间隔缺省值
no ip ospf retransmit-interval




缺省情况下，相邻路由器重传LSA的时间间隔的值为5秒。

seconds的值必须大于一个报文在两台路由器之间传送一个来回的时间。

需要注意的是：相邻路由器重传LSA时间间隔的值不要设置得太小，否则将会引起不必要的重传。

4.2.13 设置OSPF的SPF计算间隔
当OSPF的链路状态数据库LSdb发生改变时，需要重新计算最短路径，如果每次改变都立即计算最短路径，将占用大量资源，并会影响路由器的效率，通过调节SPF的计算间隔时间，可以抑制由于网络频繁变化带来的占用过多资源。

请在OSPF协议配置模式下进行下列配置。

表4-12 设置SPF计算间隔

操作
命令

设置SPF计算间隔
spf-schedule-interval seconds

恢复SPF计算间隔
no spf-schedule-interval seconds




缺省情况下，SPF时间间隔为5秒钟。

4.2.14 配置OSPF的STUB区域
Stub区域是一些特定的LSA区域， stub区域的ABR不传播它们接收到的自治系统外部路由，在这些区域中路由器的路由表规模以及路由信息传递的数量都会大大减少。

Stub区域是一种可选的配置属性，但并不是每个区域都符合配置的条件。通常的，stub区域位于自治系统的边界，是那些只有一个ABR的非骨干区域；或者该区域虽然有多个ABR，但这些ABR之间没有配置虚连接。

为保证到自治系统外的路由依旧可达，该区域的ABR将生成一条缺省路由（0.0.0.0），并将此缺省路由发布给区域内的其他非ABR路由器。

配置Stub区域的需要注意下列几点：

l 骨干区域不能配置成Stub区域，虚连接不能穿过Stub区域。

l 如果想将一个区域配置成Stub区域，则该区域中的所有路由器必须都要配置该属性。

l Stub区域内不能存在ASBR，即自治系统外部的路由不能在本区域内传播。

请在OSPF协议配置模式下进行下列配置。

表4-13 配置OSPF的Stub区域

操作
命令

配置一个区域为Stub区域
area area-id stub [ no-sμmmary ]

取消配置的Stub区域
no area area-id stub

配置发送到Stub 区域缺省路由的花费值
area area-id default-cost cost

取消发送到Stub区域缺省路由的花费值
no area area-id default-cost




缺省情况下，不配置Stub区域；发送到Stub区域缺省路由的花费值为1。

关于Stub区域的配置命令有两个：area stub和area default-cost，所有连接到Stub区域的路由器，必须使用area stub命令将该区域配置成stub属性。area default-cost用在连接在该stub区域的边界路由器ABR上。该命令用于配置区域边界路由器发送到Stub区域的缺省路由的花费值。

为了进一步减少发送到Stub区域中的链路状态广播（LSA）的数量，可配置no-sμmmary选项来禁止ABR向Stub区域内发送Type-3的LSAs。

4.2.15 配置OSPF的NSSA区域参数
在RFC1587中增加一类新的区域：NSSA区域，同时增加一类新的LSA：NSSA LSA（或称为Type-7 LSA）。NSSA区域其实是Stub区域的一个变形，它和Stub区域有许多相似的地方。NSSA区域也不允许AS-External-LSA（即Type-5 LSA）注入，但可以允许Type-7 LSA注入。Type-7 LSA由NSSA区域的ASBR产生，在NSSA区域内传播，当Type-7 LSA到达NSSA的ABR时，由ABR将Type-7 LSA转换成AS-External-LSA，传播到其他区域。

例如：在如下的组网中，运行OSPF协议的自治系统包括3个区域：区域1、区域2和区域0，区域0是骨干区域，另外两个自治系统运行RIP协议和IGRP协议。区域1被定义为NSSA区域，运行IGRP的自治系统的IGRP路由传播到NSSA ASBR后，由NSSA ASBR产生Type-7 LSA在区域1内传播，当Type-7 LSA到达NSSA ABR后，转换成Type-5 LSA传播到区域0和区域2。另一方面，运行RIP的自治系统的RIP路由通过区域2的ASBR产生Type-5 LSA在OSPF自治系统中传播，但由于区域1是NSSA区域，所以Type-5 LSA不会到达区域1，NSSA区域和Stub区域在这一点上是一致的。

与Stub区域类似，NSSA区域也不能配置虚连接。



图4-1 NSSA区域

请在OSPF协议配置模式下进行下列配置。

表4-14 配置OSPF的NSSA区域参数

操作
命令

配置一个区域为NSSA区域
area area-id nssa [ default-information-originate ] [ no-redistribute ] [ no-sμmmary ]

取消配置的NSSA区域
no area area-id nssa

配置发送到NSSA区域缺省路由的花费值
area area-id default-cost cost

恢复发送到NSSA区域缺省路由的花费缺省值
no area area-id default-cost


所有连接到NSSA区域的路由器必须使用area nssa命令将该区域配置成NSSA属性。

参数default-information-originate用来产生默认的Type-7 LSA，在ABR上无论路由表中是否存在缺省路由0.0.0.0，都会产生Type-7 LSA缺省路由，在ASBR上当路由表中存在缺省路由0.0.0.0，才会产生Type-7 LSA缺省路由。

参数no-redistribution在ASBR上使得OSPF通过redistribute命令引入的其它外部路由不发布到NSSA区。如果NSSA的路由器既是ASBR也是ABR，一般选用于该参数选项。

为了进一步减少发送到Stub区域中的链路状态广播 （LSA）的数量，可以在ABR上配置no-sμmmary属性，禁止ABR向Stub区域内发送sμmmary_net LSAs（Type-3 LSA）。

area default-cost用在连接在该NSSA区域的边界路由器ABR上。该命令配置区域边界路由器发送到NSSA区域的缺省路由的花费值。

缺省情况下，不配置NSSA区域；发送到NSSA区域缺省路由的花费值为1。

4.2.16 配置OSPF区域路由聚合
路由聚合是指：具有相同前缀的路由信息，ABR可以将它们聚合在一起，只发布一条路由到其它区域。一个区域可以配置多条聚合网段，这样OSPF可以对多个网段进行聚合。ABR向其它区域发送路由信息时，以网段为单位生成Sμm_net_Lsa（Type 3 LSA）。如果该区域中存在一些连续的网段，则可以使用area range命令将这些连续的网段聚合成一个网段。这样ABR只发送一条聚合后的LSA，所有落入本命令指定的聚合网段范围的LSA将不再会被单独发送出去，这样可减少其它区域中链路状态数据库（LSdb）的规模。

例如：一个区域内有如下两个网段：

202.38.160.0 255.255.255.0

202.38.180.0 255.255.255.0

将聚合成一个网段：202.38.0.0 255.255.0.0

一旦将某一网络的聚合网段加入到区域中，该区域中所有落在这一聚合网段内的IP地址的内部路由都不再被独立地广播到别的区域，而只是广播整个聚合网段路由的摘要信息。如果该网段范围用关键字not-advertise限定，则到这一网段路由的摘要信息将不会被广播出去。这个网段是由IP地址/掩码的方式说明的。接收聚合网段和对该网段的限定，可减少区域间路由信息的交流量。

需要注意的是：路由聚合只有在ABR上配置才会有效。

请在OSPF协议配置模式下进行下列配置。

表4-15 配置OSFP区域路由聚合

操作
命令

配置OSPF区域路由聚合
area area-id range ip_address ip_mask [ advertise | notadvertise ]

取消OSPF区域路由聚合
no area area-id range ip_address ip_mask




缺省情况下，区域间路由不进行聚合。

4.2.17 配置OSPF虚连接
OSPF划分区域之后，并非所有的区域都是平等的关系。其中有一个区域是与众不同的，它的区域号area-id是0.0.0.0，通常被称为骨干区域（Backbone Area）。非骨干区域之间的OSPF路由更新是通过骨干区域来交换完成的。OSPF协议规定：所有非骨干区域必须与骨干区域保持连通，即ABR上至少有一个端口应在区域0.0.0.0中。如果一个区域没有与骨干区域0.0.0.0形成直接的物理连接，就必须建立一个虚连接。

如果由于网络拓扑结构的限制可能无法保证物理上连通，可以通过创建虚连接来满足这一要求。虚连接是指在两台ABR之间通过一个非骨干区域内部路由的区域而建立的一条逻辑上的连接通道。它的两端必须是ABR，而且必须在两端同时配置方可生效。虚连接由对端路由器的ID号来标识。为虚连接两端提供一条非骨干区域内部路由的区域称为运输区域（Transit Area），其区域号也必须在配置时指明。

虚连接在穿过转换区域的路由计算出来后被激活，相当于在两个端点之间形成了一个点到点的连接，因此，在这个连接上，和物理接口一样可以配置接口的各参数，如发送HELLO报文间隔等。

“逻辑通道”是指两台ABR之间的多台运行OSPF的路由器只是起到一个转发报文的作用（由于协议报文的目的地址不是这些路由器，所以这些报文对于他们而言是透明的，只是当作普通的IP报文来转发），两台ABR之间直接传递路由信息。这里的路由信息是指由ABR生成的type3的LSA，区域内的路由器同步方式没有因此改变。

需要注意的是：如果自治系统被划分成一个以上的区域，则必须有一个区域是骨干区域，并且保证其它区域与骨干区域直接相连或逻辑上相连，且骨干区域自身也必须是连通的。

请在OSPF协议配置模式下进行下列配置。

表4-16 配置OSPF虚连接

操作
命令

创建并配置虚连接
area area-id virtual-link router-id [ hello-interval seconds ] [ retransmit- interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds] [ [ authentication-key key ] | [ message-digest-key keyid md5 key ] ]

取消创建的虚连接
no area area-id virtual-link router-id [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ [ authentication-key key ] | [ message-digest-key keyid md5 key ] ]




缺省情况下，area-id与router-id无缺省值；hello-interval的值为10秒；retransmit-interval的值为5秒；transmit-delay的值为1秒；dead-interval的值为40秒。

4.2.18 配置OSPF区域支持报文验证
一个区域中所有的路由器的验证类型必须一致（不支持验证、支持明文验证、支持MD5密文验证）。一个网段中所有路由器的验证字口令必须一致。用area authentication-key为该区域的配置明文验证口令；用area message-digest为该区域配置MD5密文验证字口令。

请在OSPF协议配置模式下进行下列配置。

表4-17 配置OSPF区域支持报文验证

操作
命令

配置区域支持MD5报文验证
area area-id authentication [ message-digest ]

取消区域支持MD5验证属性
no area area-id authentication




缺省情况下，区域不支持报文验证的属性。

4.2.19 配置OSPF报文的认证
OSPF支持在相邻路由器之间支持明文验证（simple）或MD5密文验证。

请在VLAN接口配置模式下进行下列配置。

表4-18 配置OSPF报文的认证

操作
命令

配置接口接收使用报文明文验证
ip ospf authentication-key password

取消接口使用报文明文验证口令
no ip ospf authentication-key

配置接口使用报文MD5密文验证
ip ospf message-digest-key key_id md5 key

取消接口使用报文MD5密文验证
no ip ospf message-digest-key




缺省情况下，接口未配置任何明文或MD5验证。

4.2.20 引入其它协议的路由
路由器上各动态路由协议之间可以互相共享路由信息，由于OSPF的特性，其它的路由协议发现的路由总被当作自治系统外部的路由信息处理。在接收命令中，可以指定路由的花费类型、花费值和标记以覆盖缺省的路由接收参数（见“配置OSPF接收外部路由的默认选项”的配置部分）。

OSPF使用4类不同的路由，按优先顺序来说分别是：

l 区域内路由

l 区域间路由

l 第一类外部路由

l 第二类外部路由

区域内和区域间路由描述的是自治系统内部的网络结构；外部路由则描述了应该如何选择到自治系统以外目的地的路由。

第一类外部路由是指接收的是IGP路由（例如RIP，STATIC），由于这类路由的可信程度高一些，所以计算出的外部路由的花费与自治系统内部的路由花费的数量级是相同的并且和OSPF自身路由的花费具有可比性，即到第一类外部路由的花费值=本路由器到相应的ASBR的花费值+ASBR到该路由目的地址的花费值。

第二类外部路由是指接收的是EGP路由，由于这类路由的可信度比较低，所以OSPF协议认为从ASBR到自治系统之外的花费远远大于在自治系统之内到达ASBR的花费。所以计算路由花费时将主要考虑前者，即到第二类外部路由的花费值=ASBR到该路由目的地址的花费值。如果该值相等，再考虑本路由器到相应的ASBR的花费值。

请在OSPF协议配置模式下进行下列配置。

表4-19 引入其它协议的路由

操作
命令

引入其它协议的路由信息
redistributeprotocol[ process-id] [ metricmetric ] [ tag tag-value ] [ type 1 | 2 ] [ route-mapmap-name]

取消引入其它协议路由信息
no redistribute protocol [ process-id ]




缺省情况下，OSPF将不引入其它协议的路由信息。

protocol指定可引入的源路由协议，目前可为connected、static、RIP、IS-IS与BGP。

有关引入路由信息更详细的描述请参见“配置路由策略”部分。

4.2.21 配置OSPF接收外部路由的参数
当OSPF将其它路由协议发现的路由信息引入到本自治系统中时，还需要配置一些额外的参数，如引入路由的缺省花费和缺省标记等。路由标记可以用来标识协议相关的信息，如OSPF接收BGP时用来区分自治系统的编号。

请在OSPF协议配置模式下进行下列配置。

表4-20 配置OSPF接收外部路由的参数

操作
命令

配置OSPF引入外部路由的最小时间间隔
default redistribute interval seconds

恢复引入外部路由最小时间间隔的缺省值
no default redistribute interval

配置OSPF每次引入路由的数量上限
default redistribute limit routes

恢复每次引入外部路由数量上限的缺省值
no default redistribute limit

配置OSPF在接收外部路由时缺省的花费值
default redistribute metric metric

恢复OSPF在接收外部路由时花费的缺省值
no default redistribute metric

配置OSPF在接收外部路由时缺省的标记值
default redistribute tag tag

恢复OSPF在接收外部路由时标记的缺省值
no default redistribute tag

配置OSPF在接收外部路由时缺省的类型
default redistribute type { 1 | 2 }

恢复OSPF接收外部路由类型的缺省值
no default redistribute type




缺省情况下，引入外部路由时无缺省花费值与标记值；引入路由的类型为Type 2；引入外部路由的时间间隔为1秒；每次可引入的外部路由上限为1000条。

4.2.22 配置OSPF引入缺省路由
使用redistribute命令不能引入缺省路由，若要将缺省路由引入到路由表中，必须使用下列命令配置。

请在OSPF协议配置模式下进行下列配置。

表4-21 配置OSPF引入缺省路由

操作
命令

引入缺省路由到OSPF
default-information originate [ always ] [ metric metric-value ] [ type type-value] [ route-map map-name]

取消引入的缺省路由
no default-information originate




缺省情况下，OSPF将不引入任何缺省路由。

4.2.23 配置OSPF路由的优先级
由于路由器上可能同时运行多个动态路由协议，就存在各个路由协议之间路由信息共享和选择的问题。系统为每一种路由协议设置一个优先级，在不同协议发现同一条路由时，优先级高的协议将起决定作用。

请在OSPF协议配置模式下进行下列配置。

表4-22 配置OSPF路由的优先级

操作
命令

配置OSPF协议在各路由协议之间的优先级
preference [ ase ]preference

恢复协议缺省优先级
no preference [ ase ]




缺省情况下，OSPF协议的优先级为10；引入外部路由协议的优先级为150。

4.2.24 配置OSPF路由过滤
请在OSPF协议配置模式下进行下列配置。

1. 配置对OSPF引入的路由进行过滤
表4-23 配置OSPF对引入路由的过滤

操作
命令

配置对引入的全局路由信息进行过滤
distribute-list { access-list-nμmber | prefix prefix-list-name | gateway prefix-list- name } in

取消对引入的全局路由信息进行过滤
no distribute-list { access-list-nμmber | prefix prefix-list-name | gateway prefix- list-name } in




2. 配置对OSPF发布的路由进行过滤
表4-24 配置OSPF对发布路由的过滤

操作
命令

配置OSPF对发布路由的过滤
distribute-list { access-list-nμmber | prefix prefix-list-name } out [ routing- process ]

取消OSPF对发布路由的过滤
no distribute-list { access-list-nμmber | prefix prefix-list-name } out [ routing- process ]




缺省情况下，OSPF将不对引入与发布的路由信息进行过滤。

更详细的描述请参见“路由策略”的“配置路由过滤”部分。

4.2.25 配置接口发送DD报文时是否填MTU值
运行OSPF协议的路由器在进行数据库同步时，使用DD报文（Database Description Packet）描述自己的LSdb。

DD报文中的MTU值缺省为0，用户可以使用本命令可以手工设定指定接口在发送时填写DD报文中的MTU值域，设定的的MTU值是接口的实际MTU值。

请在VLAN接口配置模式下进行下列配置。

表4-25 配置接口发送DD报文时是否填MTU值

操作
命令

使能接口发送DD报文时填MTU值
ip ospf mtu-enable

禁止接口发送DD报文时填MTU值
no ip ospf mtu-enable




缺省情况下接口发送DD报文时不填MTU值，即DD报文中的MTU值为0。

4.2.26 配置禁止接口发送OSPF报文
为使OSPF路由信息不被某一网络中的路由器获得，可使用passive-interface命令来禁止在此接口上发送OSPF报文。

请在OSPF协议配置模式下进行下列配置。

表4-26 禁止/允许接口发送OSPF报文

操作
命令

禁止接口发送OSPF报文
passive-interface interface-type interface-nμmber

允许接口发送OSPF报文
no passive-interface interface-type interface-nμmber




缺省情况下，允许所有接口收发OSPF报文。

将运行OSPF协议的接口指定为Passive状态后，该接口的直连路由仍可以发布出去，但接口的OSPF呼叫报文将被阻塞，接口上无法建立邻居关系。这样可以增强OSPF的组网适应能力，减少系统资源的消耗。

4.3 OSPF的监控与维护
show命令可以在除普通用户模式以外的任意模式下使用，而debug命令则只能在特权用户模式下使用。

表4-27 OSPF的监控和维护

操作
命令

查看OSPF路由过程的一般信息
show ip ospf

查看OSPF统计信息
show ip ospf cμmulative

查看OSPF的LSdb信息
show ip ospf database [ adv-router ip-address][ asbr-sμmmary | database-sμmmary |external | network | router | self-originate | sμmmary ][ ip-address][ adv-router ] [ self-originate ]

查看OSPF邻接点信息
show ip ospf neighbor

查看OSPF下一跳信息
show ip ospf nexthop

查看OSPF路由表信息
show ip ospf routing

查看OSPF虚连接信息
show ip ospf virtual-links

查看OSPF请求列表
show ip ospf request-list

查看OSPF重传列表
show ip ospf retrans-list

查看OSPF ABR及ASBR信息
show ip ospf border-routers

查看OSPF接口信息
show ip ospf interface

查看OSPF错误信息
show ip ospf error

打开OSPF报文调试信息开关
debug ip ospf packet [ ack | dd | hello | request I update ]

打开OSPF事件调试信息信息
debug ip ospf event

打开OSPF LSA报文调试信息开关
debug ip ospf lsa

打开OSPF的SPF调试信息开关
debug ip ospf spf




(1) 查看OSPF主要信息

Quidway# show ip ospf

RouterID: 0.0.0.1 Border Router: Area

Routing preference: Inter/Intra: 10 External: 150

Default ASE parametres: Metric: 1 Tag: 0.0.0.1 Type: 2

SPF computation count: 73

Area 0.0.0.0:

Authtype: none Flags: <>

SPF scheduled: <>

Interface: 10.10.0.2 (pos1/0/0) --> 10.10.0.1

Cost: 10 State: P To P Type: PointToPoint

Priority: 1

DoNotAge Lsa Allowed

Timers: Hello 10, Dead 40, Poll 0, Retransmit 5

Area 0.0.0.1:

Authtype: none Flags: <>

SPF scheduled: <>

Interface: 10.110.10.1 (Ethernet0)

Cost: 10 State: DR Type: Broadcast

Priority: 1

Designated Router: 10.110.10.1

DoNotAge Lsa Allowed

Timers: Hello 10, Dead 40, Poll 0, Retransmit 5



(2) 显示OSPF连接状态数据库信息

Quidway# show ip ospf database

Link State Database

Area: 0.0.0.0

TypeLinkStateID AdvRouter Age Len Sequence Metric Where

Stub 10.10.0.0 0.0.0.1 388 24 0 0 SpfTree

Rtr 0.0.0.1 0.0.0.1 362 48 8000002f 0 SpfTree

Rtr 0.0.0.2 0.0.0.2 389 48 8000002e 0 SpfTree

SNet 10.110.0.0 0.0.0.1 193 28 80000003 10 Inter List

Area: 0.0.0.1

TypeLinkStateID AdvRouter Age Len Sequence Metric Where

Stub 10.110.0.0 0.0.0.1 2074 24 0 0 SpfTree

Rtr 0.0.0.1 0.0.0.1 363 36 80000003 0 SpfTree

SNet 10.10.0.0 0.0.0.1 193 28 80000002 10 Inter List

ASB 0.0.0.2 0.0.0.1 193 28 80000002 10 SμmAsb List

AS External Database

TypeLinkStateID AdvRouter Age Len Sequence Metric Where

ASE 2.2.0.0 0.0.0.2 278 36 80000001 1 initialized



(3) 显示OSPF邻接点信息

Quidway# show ip ospf neighbor

Area 0 interface 10.10.0.2 (pos1/0/0)'s neighbors

RouterID: 0.0.0.2 Address: 10.10.0.1

State: Full Mode: Slave Priority: 1

DR: None BDR: None

Last Hello: 1:11:25 Last Exchange: 55:35

show neighbor命令将会显示路由器邻居的OSPF信息。若未指定路由器标识，该命令将会显示所有OSPF邻居的信息，命令所给出的最重要的信息是与邻居邻接的状况。在查找OSPF网络故障时，也会使用该命令。

(4) 显示OSPF路由表信息

Quidway# show ip ospf routing

RoutingforNetwork

Destination Cost Type NextHop AdvRouter Area

10.110.0.0 10 Stub 10.110.10.1 0.0.0.1 1

10.10.0.0 10 Stub 10.10.0.1 0.0.0.1 0

Routing for ASEs

Destination Cost Type Tag NextHop AdvRotue 2.2.0.0 1 2 1 10.10.0.1 0.0.0.2 Total Nets: 2

Intra Area: 2 Inter Area: 0 ASE: 1

4.4 OSPF典型配置举例
本节的例子中，采用的都是具备路由器功能可以运行OSPF路由协议的S3500以太网交换机。

4.4.1 配置OSPF优先级的DR选择
1. 组网需求
4台具有路由器功能的三层以太网交换机Switch A、Switch B、Switch C、Switch D在同一网段，运行OSPF协议，如下图所示。要求正确配置，使Switch A成为DR，SwitchC成为BDR（Switch A的优先级为100，它是网络上的最高优先级，所以Switch A被选为DR；Switch C的优先级为2，是第二高的优先级，所以被选为BDR；Switch B的优先级为0，这意味着它将无法成为DR；Switch D没有配置优先级而取缺省值为1）。

2. 组网图


图4-2 配置OSPF优先级的DR选择组网图

3. 配置步骤
！配置Switch A

Switch A(config)# interface vlan-interface 1

Switch A(config-Vlan-Interface1)# ip address 192.1.1.1 255.255.255.0

Switch A(config-Vlan-Interface1)# ip ospf priority 100

Switch A(config)# router id 1.1.1.1

Switch A(config)# router ospf

Switch A(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0

！配置Switch B

Switch B(config)# interface vlan-interface 1

Switch B(config-Vlan-Interface1)# ip address 192.1.1.2 255.255.255.0

Switch B(config-Vlan-Interface1)# ip ospf priority 0

Switch B(config)# router id 2.2.2.2

Switch B(config)# router ospf

Switch B(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0

！配置Switch C

Switch C(config)# interface vlan-interface 1

Switch C(config-Vlan-Interface1)# ip address 192.1.1.3 255.255.255.0

Switch C(config-Vlan-Interface1)# ip ospf priority 2

Switch C(config)# router id 3.3.3.3

Switch C(config)# router ospf

Switch C(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0

！配置Switch D

Switch D(config)# interface vlan-interface 1

Switch D(config-Vlan-Interface1)# ip address 192.1.1.4 255.255.255.0

Switch D(config)# router id 4.4.4.4

Switch D(config)# router ospf

Switch D(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0

在Switch A上运行show ip ospf neighbor来显示OSPF邻居，注意Switch A有三个邻居。

Switch A(config)# show ip ospf neighbor

Neighbor pri State Address Interface

4.4.4.4 1 full/DRother 192.1.1.4 Vlan-Interface1

3.3.3.3 2 full/BDR 192.1.1.3 Vlan-Interface1

2.2.2.2 0 full/DRother 192.1.1.2 Vlan-Interface1

每个邻居的状态都是full，这意味着Switch A与它的每个邻居都形成了邻接（Switch A和Switch C必须与网络中的所有以太网交换机形成邻接，才能分别充当网络的DR和BDR）。Switch A是网络中的DR，而Switch C是BDR。其它所有的邻居都是DRother（这意味着它们既不是DR，也不是BDR）。

！将Switch B的优先级改为200

Switch B(config-Vlan-Interface2000)# ip ospf priority 200

在Switch A上运行show ip ospf neighbor来显示OSPF邻居，注意Switch B的优先级变为200；但它并不是DR。

Switch A(config)# show ip ospf neighbor

Neighbor pri State Address Interface

4.4.4.4 1 full/DRother 192.1.1.4 Vlan-Interface1

3.3.3.3 2 full/BDR 192.1.1.3 Vlan-Interface1

2.2.2.2 200 full/DRother 192.1.1.2 Vlan-Interface1

只有当现在的DR不在网络上了后，DR才会改变。关掉Switch A，在Switch D上运行show ip ospf neighbor命令可显示邻居，注意本来是BDR的Switch C成为了DR，并且Switch B现在成为了BDR。

Switch D(config)# show ip ospf neighbor

Neighbor pri State Address Interface

3.3.3.3 2 full/DR 192.1.1.3 Vlan-Interface1

2.2.2.2 200 full/BDR 192.1.1.2 Vlan-Interface1

若网络中所有的以太网交换机被移走后又重新加入，Switch B就被选为DR（优先级为200），Switch B成为了BDR（优先级为100）。关掉所有的以太网交换机再重新启动，这个操作会带来一个新的DR/BDR选择。

Switch D(config)# show ip ospf neighbor

Neighbor pri State Deadtime Address Interface

1.1.1.1 100 full/BDR 00:00:33 192.1.1.1 Vlan-Interface1

3.3.3.3 2 2way/DRother 00:00:33 192.1.1.3 Vlan-Interface1

2.2.2.2 200 full/DR 0:00:30 192.1.1.2 Vlan-Interface1

4.4.2 配置OSPF虚链路
1. 组网需求
在下图中区域2与区域0没有直接相连。要求将区域1用作运输区域来连接区域2和区域0，在区域1的Switch B和Switch C之间正确配置一条虚链路。

2. 组网图


图4-3 配置OSPF虚链路组网图

3. 配置步骤
！配置Switch A

Switch A(config)# interface vlan-interface 1

Switch A(config-Vlan-Interface1)# ip address 192.1.1.1 255.255.255.0

Switch A(config)# router id 1.1.1.1

Switch A(config)# router ospf

Switch A(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0

！配置Switch B

Switch B(config)# interface vlan-interface 7

Switch B(config-Vlan-Interface7)# ip address 192.1.1.2 255.255.255.0

Switch B(config)# interface vlan-interface 8

Switch B(config-Vlan-Interface8)# ip address 193.1.1.2 255.255.255.0

Switch B(config)# router id 2.2.2.2

Switch B(config)# router ospf

Switch B(config-router-ospf)# network 192.1.1.0 0.0.0.255 area 0

Switch B(config-router-ospf)# network 193.1.1.0 0.0.0.255 area 1

Switch B(config-router-ospf)# area 1 virtual-link 3.3.3.3

！配置Switch C

Switch C(config)# interface vlan-interface 1

Switch C(config-Vlan-Interface1)# ip address 152.1.1.1 255.255.255.0

Switch C(config)# interface vlan-interface 2

Switch C(config-Vlan-Interface2)# ip address 193.1.1.1 255.255.255.0

Switch C(config)# router id 3.3.3.3

Switch C(config)# router ospf

Switch C(config-router-ospf)# network 193.1.1.0 0.0.0.255 area 1

Switch C (config-router-ospf)# network 152.1.1.0 0.0.0.255 area 2

Switch C(config-router-ospf)# area 1 virtual-link 2.2.2.2

4.4.3 OSPF故障的诊断与排除
故障之一：如果按前述步骤配置了OSPF，但路由器OSPF却不能正常运行。

故障排除：可按如下步骤进行检查。

局部故障排除：首先检查两台直接相连的路由器之间协议运行是否正常，正常的标志是两台路由器之间neighbor状态机达到FULL状态。（注：在广播和NBMA网络上，两台接口状态是DROther的路由器之间neighbor状态机并不达到FULL状态，而是2 way状态。DR，BDR与其它所有路由器之间达到FULL状态）

l 使用show ip ospf neighbor命令查看：

Quidway# show ip ospf neighbor

Interface: 202.38.160.1 Area: 0.0.0.2

Neighbors:

RouterID: 2.2.2.2 Address: 202.38.160.2

State:FULL Mode: None Priority: 0

DR: 202.38.160.1 BDR: 202.38.160.1

Last Hello: 14:04 Last Exchange: 0

l 查看接口上OSPF信息可用show ip ospf interface命令。

l 检查物理连接及下层协议是否正常运行。可通过Ping命令测试，若从本地路由器Ping对端路由器不通，则表明物理连接和下层协议有问题。

l 如果物理连接和下层协议正常，则检查在接口上配置的OSPF参数，必须保证与和该接口相邻的路由器的参数一致。这些参数包括hello-interval、dead-interval和authentication等。区域（Area）号必须相同；网段与掩码也必须一致（点到点与虚连接的网段与掩码可以不同）。

l 检查在同一接口上dead-interval值应至少为hello-interval值的4倍。

l 若网络的类型为NBMA，则必须手工指定Neighbour。使用neighbor ip-address命令。

l 若网络类型为广播网或NBMA，至少有一个接口的priority应大于零。

l 如果一个Area配置成stub area，则在与这个区域相连的所有路由器中都应将该区域配置成stub area。

l 相邻的两台路由器接口类型必须一致。

l 若配置了两个以上的区域，则至少有一个区域应配成骨干区域（即Area号为0）。

l 应保证骨干区域与所有的区域相连接。

l 虚连接不能穿越Stub区域。

全局故障排除：如果上述步骤无误，但OSPF仍不能发现远端路由，则检查如下配置。

l 若一台路由器配置了两个以上的区域，则至少有一个区域应配成骨干区域（即有一个Area的Area号为0，或配置一条虚连接）。

如下图所示：Router A和Router D上只配置了一个区域，Router B（area0，area1）和Router C（area1，area2）分别配置了两个区域，其中Router B中有一个区域为0，符合要求，但Router C中的两个区域都不为0，则必须在Router C与Router B之间配置一条虚连接。保证area 2与area 0（骨干区域）相连接。



图4-4 OSPF区域示意图

l 虚连接不能穿越stub区域，骨干区域（area 0）也不能配置成Stub区域。即如果Router B与Router C之间配置了一条虚连接，则area 1不能配置成stub area，area 0也不能配置成stub area，上图中只有area 2可以配置成stub area。

l 在Stub区域内的路由器不能接收外部路由。

l 骨干区域必须保证各个节点的连接。
__________________
i must win,and i will win.

---

由 7boy 于 05-23-2003 02:21 PM 发表:

Part 8 组播路由协议

(还有一个是eigrp,因为某些原因，不好贴出来了)

第1章 GMRP配置
1.1 GMRP协议简介
GMRP（GARP Multicast Registration Protocol，GARP组播注册协议）是一种二层组播协议，它是GARP（Generic Attribute Registration Protocol，通用属性注册协议）的一种应用。GMRP的实现基于GARP工作机制，用于维护交换机中的动态组播注册信息。所有支持GMRP特性的交换机都能够接收来自其他交换机的组播注册信息，并动态更新本地的组播注册信息，同时也能将本地的组播注册信息向其它交换机传播，以便使同一交换网内所有支持GMRP特性的设备的组播信息达成一致。GMRP传播的组播注册信息既包括本地手工配置的静态组播注册信息，也包括由其他交换机动态注册到本地交换机的组播注册信息。

1.2 GMRP配置
1.2.1 GMRP配置任务列表
GMRP主要配置任务列表如下：

l 全局开启/关闭GMRP

l 端口开启/关闭GMRP

在各项配置任务中，必须先启动全局GMRP，才能开启端口GMRP。

1.2.2 全局开启/关闭GMRP
请在全局配置模式下进行下列配置。

表1-1 全局开启/关闭GMRP

操作
命令

全局开启GMRP
gmrp

关闭全局GMRP，恢复全局GMRP为缺省状态
no gmrp




缺省情况下，不启动GMRP。

1.2.3 端口开启/关闭GMRP
请在以太网端口配置模式下进行下列配置。

表1-2 端口开启/关闭GMRP

操作
命令

开启端口GMRP
gmrp

关闭端口GMRP，恢复端口GMRP为缺省状态
no gmrp




在开启端口GMRP之前，必须先开启全局GMRP。

缺省情况下，不启动端口GMRP。

1.3 GMRP的监控与维护
请在特权用户配置模式下进行下列操作。其中，show系列命令还可以在除普通用户模式以外的所有配置模式下进行。

表1-3 GMRP监控与维护

操作
命令

显示GMRP统计信息
show gmrp statistics [ interface interface_list ]

显示GMRP全局状态信息
show gmrp status

开启GMRP的事件/报文调试开关
debug gmrp { event | packet }

关闭GMRP的事件/报文调试开关
no debug gmrp { event | packet }




(1) 显示GMRP统计信息

Quidway# show gmrp statistics

GMRP statistics on port Ethernet0/1

GMRP Status : Disabled

GMRP Failed Registrations : 0

GMRP Last Pdu Origin : 0000.0000.0000

以上信息表示：Ethernet 0/1端口的GMRP为开启状态、失败的GMRP注册项为0、最后的GMRP数据单元来源为0000.0000.0000。

(2) 显示GMRP全局状态信息

Quidway# show gmrp status

GMRP is enabled

以上信息表示：全局GMRP是开启状态。

1.4 GMRP典型配置举例
1. 组网需求
为了实现交换机之间组播信息的动态注册和更新，需要在交换机上启动GMRP。

2. 组网图

图1-1 GMRP示例组网图

3. 配置步骤
配置LS_A：

！启动全局GMRP。

Quidway(config)# gmrp

！启动端口GMRP。

Quidway(config)# interface ethernet 0/1

Quidway(config-if-Ethernet0/1)# gmrp

配置LS_B：

！启动全局GMRP。

Quidway(config)# gmrp

！启动端口GMRP。

Quidway(config)# interface ethernet 0/1

Quidway(config-if-Ethernet0/1)# gmrp





第2章 IGMP Snooping配置
2.1 IGMP Snooping协议简介
1. 原理
IGMP Snooping和IGMP协议一样，两者都用于组播组的管理和控制，它们都使用IGMP报文。IGMP协议运行在网络层，而IGMP Snooping则运行在链路层，当二层以太网交换机收到主机和路由器之间传递的IGMP报文时，IGMP Snooping分析IGMP报文所带的信息，在二层建立和维护MAC组播地址表，以后从路由器下发的组播报文就根据MAC组播地址表进行转发。IGMP Snooping只有在收到某一端口的IGMP离开报文或者某一端口的老化时间定时器超时的时候才会主动向端口发IGMP特定组查询报文，除此之外，它不会向端口发任何IGMP报文。

没有IGMP Snooping时组播报文将在二层广播，如下图所示：


图2-1 没有IGMP Snooping时组播报文传播过程

实现IGMP Snooping后,报文将不再在二层广播，而是进行二层组播，如下图：


图2-2 实现IGMP Snooping时组播报文传播过程

2. 实现
实现IGMP Snooping的示意图：


图2-3 实现IGMP Snooping示意图

通过对收到的IGMP报文进行分析后建立MAC组播转发表，以太网交换机可以利用IGMP Snooping实现二层组播。为描述方便，先介绍一下以太网交换机上IGMP Snooping相关的概念：

l 路由器端口（Router Port）：指以太网交换机上直接和组播路由器相连的端口。

l 组播成员端口：与组播组成员主机相连的端口。组播组成员指加入某个组播组的主机。

l MAC组播组：以太网交换机维护的以MAC组播地址标识的组播组。

l 路由器端口老化时间：路由器端口老化定时器设置的时间。如果在此定时器超时的时候还没有收到IGMP通用查询报文，则交换机认为这个端口不再是一个路由器端口，同时把它从所属VLAN中所有的MAC组播组的端口成员中删去。此时间可以手工设置。

l 响应查询最晚时间：当以太网交换机向组播成员端口发送IGMP特定组查询报文的同时会启动一个响应查询定时器，响应查询最晚时间就是该定时器设置的时间。如果在响应查询最晚时间之内没有收到报告报文，就把该端口从组播组端口成员中删去。此时间可以手工设置。

l 组播组成员端口老化时间：当一个端口加入到IP组播组中的时候会同时启动该端口的老化定时器，组播组端口成员老化时间就是该定时器设置的时间。如果在此定时器超时的时候还没有收到IGMP报告报文，则向该端口发送IGMP特定组查询报文。

二层以太网交换机收到IGMP报文后IGMP Snooping的处理过程如下：

l IGMP通用查询报文：IGMP通用查询报文是组播路由器向组播组成员发送的报文，用于查询哪些组播组存在成员。当收到IGMP通用查询报文时，如果收到通用查询报文的端口原来就是路由器端口，则以太网交换机重置该路由器端口的老化定时器；如果收到通用查询报文的端口原来不是路由器端口（即原来这个端口没有和组播路由器相连），则交换机通知组播路由器有成员需要加入某个组播组，同时启动对该路由器端口的老化定时器。

l IGMP特定组查询报文：IGMP特定组查询报文是组播路由器向组播组成员发送的报文，用于查询特定组播组是否存在成员。当以太网交换机收到IGMP特定组查询报文时，只向被查询的IP组播组发特定组查询。

l IGMP报告报文：IGMP报告报文是主机向组播路由器发送的报告报文，用于应答IGMP查询报文或者申请加入某个组播组。当以太网交换机收到IGMP报告报文时，首先判断该报文要加入的IP组播组对应的MAC组播组是否已经存在。如果对应的MAC组播组不存在，只是通知路由器有成员加入某个组播组，则会新建MAC组播组，将接收报告报文的端口加入该MAC组播组中，并启动该端口的老化定时器，然后将该端口所属VLAN下存在的所有路由器端口加入到此MAC组播转发表中，同时新建IP组播组，并将接收报告报文的端口加入到IP组播组中；如果该报文对应的MAC组播组已经存在，但是接收报告报文的端口不在该MAC组播组中，则将接收报告报文的端口加入MAC组播组中并启动该端口的老化定时器，然后判断此报文对应的IP组播组是否存在：如果不存在，则新建IP组播组并把接收报告报文的端口加入到IP组播组中，如果存在则将接收报告报文的端口加入到IP组播组中；如果该报文对应的MAC组播组已存在，并且接收报告报文的端口也已经存在于该MAC组播组，则仅重置接收报告报文的端口上的老化定时器。

l IGMP离开报文：IGMP离开报文是组播组成员向组播路由器发送的报文，用于告知路由器主机离开了某个组播组。当以太网交换机收到对某IP组播组的离开报文，则会向接收此离开报文的端口发送所离开组的特定组查询报文，以确认此端口相连的主机中还有没有此组播组的其他成员，同时启动一个响应查询定时器。如果在该定时器超时的时候还没有收到该组播组的报告报文，则将该端口从相应MAC组播组中删去。如果MAC组播组没有组播成员端口时，交换机将通知组播路由器将该分支从组播树中删除。

3. 特性
l IGMP Snooping能自动发现成为路由器端口的以太网交换机端口；

l 可通过命令行启动/关闭IGMP Snooping功能；

l 可通过命令行按需对IGMP Snooping功能进行配置；

l 当IGMP Snooping运行发生故障时，用户可以通过命令行进行诊断。

2.2 IGMP Snooping配置
2.2.1 IGMP Snooping配置任务列表
IGMP Snooping主要配置任务列表如下：

l 启动/关闭IGMP Snooping

l 配置路由器端口老化时间

l 配置响应查询最晚时间

l 配置组播组端口成员老化时间

在上述的配置任务中，启动IGMP Snooping是必须的，其余则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

2.2.2 启动/关闭IGMP Snooping
为了控制IGMP Snooping是否在二层建立和维护MAC组播转发表，可以使用下面的命令来启动/关闭IGMP Snooping。

请在全局配置模式下进行下列配置。

表2-1 启动/关闭IGMP Snooping

操作
命令

启动/关闭IGMP Snooping
igmp-snooping { enable | disable }

恢复IGMP Snooping为缺省状态
no igmp-snooping




在任何状态下都可以关闭IGMP Snooping；但是IGMP Snooping和GMRP不能同时运行，可以在启动IGMP Snooping之前在特权用户模式下使用命令show gmrp status查看GMRP是否正在运行。

缺省情况下，关闭IGMP Snooping。

2.2.3 配置路由器端口老化时间
本配置任务用来手工设置路由器端口老化时间。如果在路由器端口老化时间之内没有收到路由器的通用查询报文，则把该路由器端口从所有的MAC组播组的端口成员中删去。

请在全局配置模式下进行下列配置。

表2-2 配置端口老化时间

操作
命令

配置端口老化时间
igmp-snooping router-aging-time seconds

恢复端口老化时间缺省值
no igmp-snooping router-aging-time




缺省情况下，端口老化时间为260s。

2.2.4 配置响应查询最晚时间
本配置任务用来手工设置响应查询最晚时间。如果在响应查询最晚时间之内没有收到报告报文，就把该端口从组播组端口成员中删去。

请在全局配置模式下进行下列配置。

表2-3 配置响应查询最晚时间

操作
命令

配置响应查询最晚时间
igmp-snooping max-response-time seconds

恢复响应查询最晚时间的缺省值
no Igmp-snooping max-response-time




缺省情况下，响应查询的最晚时间为10s。

2.2.5 配置组播组成员端口老化时间
本配置任务用来手工设置组播组成员端口老化时间。在成员端口老化时间之内，如果没有收到组播组报告报文，则向该端口发指定组查询，同时启动该IP组播组的响应查询定时器。

请在全局配置模式下进行下列配置。

表2-4 配置组播组成员老化时间

操作
命令

配置组播组成员老化时间
igmp-snooping host-aging-time seconds

恢复组播组成员老化时间的缺省值
no igmp-snooping host-aging-time




缺省情况下，组播组成员端口老化时间为260s。

2.3 IGMP Snooping的监控与维护
请在特权用户模式下进行下列操作。其中，show命令还可以在除普通用户模式外的所有其它配置模式下使用。

表2-5 IGMP Snooping的监控和维护命令

操作
命令

显示当前IGMP Snooping的配置信息
show igmp-snooping configuration

显示IGMP Snooping对收发包的统计信息
show igmp-snooping statistics

显示VLAN下的IP组播组和MAC组播组信息
show igmp-snooping group [ vlan vlanid ]

打开IGMP Snooping的调试开关（异常、组、报文、定时器）
debug igmp-snooping { all | abnormal | group | packet | timers }

关闭IGMP Snooping的调试开关（异常、组、报文、定时器）
no debug igmp-snooping { all | abnormal | group | packet | timers }




(1) show igmp-snooping configuration命令将显示IGMP Snooping的所有配置信息，可以在配置IGMP Snooping后使用此命令查看配置是否是预期的配置。

Quidway# show igmp-snooping configuration

Enable IGMP-Snooping.

The router port timeout is 300 second(s).

The max response timeout is 30 second(s).

The member port timeout is 300 second(s).

上述信息表示：IGMP Snooping已经启动；路由器端口老化时间为300s；响应查询最晚时间为30s；组播组成员老化时间为300s。

(2) show igmp-snooping statistics命令将显示IGMP Snooping运行时对收发包的统计信息，此命令在IGMP Snooping没有按预期建立MAC组播组时对诊断IGMP Snooping很有用。

Quidway# show igmp-snooping statistics

Received IGMP general query packet(s) number:1.

Received IGMP specific query packet(s) number:0.

Received IGMP V1 report packet(s) number:0.

Received IGMP V2 report packet(s) number:1.

Received IGMP leave packet(s) number:0.

Received error IGMP packet(s) number:0.

Sent IGMP specific query packet(s) number:0.

上述信息表示：

l IGMP Snooping收到一个IGMP通用查询报文；

l IGMP Snooping收到零个IGMP特定组查询报文；

l IGMP Snooping收到零个IGMP版本1的报告报文；

l IGMP Snooping收到一个IGMP版本2的报告报文；

l IGMP Snooping收到零个IGMP离开报文；

l IGMP Snooping收到零个IGMP错误报文；

l IGMP Snooping发送零个IGMP特定组查询报文；

(3) show igmp-snooping group命令将显示VLAN下的IP组播组和MAC组播组信息。

Quidway# show igmp-snooping group vlan 2

***************Multicast group table***************

Vlan(id):2.

Router port(s):Ethernet0/1

IP group(s):the following ip group(s) match to one mac group.

IP group address:230.45.45.1

Member port(s):Ethernet0/12

MAC group(s):

MAC group address:01-00-5e-2d-2d-01

Member port(s):Ethernet0/12

上述信息表示：

l 在VLAN 2下存在组播组；

l 路由器端口是Ethernet 0/1；

l IP组播组是230.45.45.1；

l IP组播组成员是Ethernet 0/12；

l MAC组播组是01-00-5e-2d-2d-01。

l MAC组播组成员是Ethernet 0/12。

& 说明：

在显示IP组播组成员和MAC组播组成员时并没有将路由器端口包含进去，而是将路由器端口单独出来并显示在所有本VLAN下的组播组前面。



2.4 IGMP Snooping典型配置举例
2.4.1 启动IGMP Snooping
1. 组网需求
为了实现交换机的IGMP Snooping功能，需要在交换机上启动IGMP Snooping。交换机上的路由器端口接到路由器上，其他非路由器端口则接到用户的PC机上。

2. 组网图

图2-4 配置IGMP Snooping组网图

3. 配置步骤
！显示GMRP的状态。

Quidway# show gmrp status

！当GMRP没有运行时，显示IGMP Snooping当前的状态。

Quidway# show igmp-snooping configuration

！当IGMP Snooping没有启动时，启动IGMP Snooping。

Quidway(config)# igmp-snooping enable

2.5 IGMP Snooping故障诊断与排错
故障现象：交换机不能实现组播功能。

故障排除：

(1) IGMP Snooping没有启动。

l 输入命令show running-config查看IGMP Snooping的状态。

l 如果IGMP Snooping没有启动，则在全局配置模式下输入命令igmp-snooping enable命令启动IGMP Snooping。

(2) IGMP Snooping建立的组播转发表不对。

l 输入命令：show igmp-snooping group查看组播组是否是所预期的。

l 如果IGMP Snooping建立的组播组是不正确的，则向IGMP Snooping开发或维护人员求助。

l 如果排除了原因2，则进入原因分析3。

(3) 底层建立的组播转发表不对。

l 在特权用户模式下打开IGMP Snooping的组开关，然后再输入命令：show igmp-snooping group查看底层的MAC组播转发表和IGMP Snooping的MAC组播转发表是否一致；也可以在特权用户模式下使用命令show mac vlan显示底层在vlanid下所建立的MAC组播转发表是否和IGMP Snooping建立的MAC组播转发表一致。

l 如果不一致则向维护人员求助。







第3章 IGMP配置
3.1 IGMP简介
3.1.1 IP组播的优势
假定在一个大型网络上有100个用户需要接收相同的信息时，传统的解决方案有两种：采用单播（Unicast）方式，把这一信息分别发送100次，以便确保需要数据的用户能够得到所需的数据；采用广播（Broadcast）方式，把信息传送给网络中的所有用户，需要这些数据的用户可直接在网络上获取。以上两种方式都浪费了大量的带宽资源。广播方式还不利于信息的安全和保密。

IP组播（Multicast）技术的出现及时解决了这个问题。组播源将需要传播的信息发送一次，被传递的信息在网络关键节点处不断地进行复制和分发。通过组播方式，信息能被准确高效地传送到每个需要它的用户。简单来说，IP组播是一种保存带宽的技术，它采用的方式是把一个单独的信息流同时传送到许多接收者那里，从而减少了网络的流量。


图3-1 单播与组播传送消息的对比

利用IP组播技术，企业可以节省开支、提高效率。在采用IP组播之前，大型的企业为了把日常数据（比如公司产品价格更新表等）传送给各个分支机构，需要定时把这些数据分别发送给成千上万个不同地点的接收者，既费钱又费时。改用IP组播技术传送这些数据后，企业只要花费少量的费用，就可以省时省心地完成同样的任务。

3.1.2 IP组播特性
在IP组播环境中，所有的信息接收者都加入到对应的组播组内。信息接收者加入组播组后，流向组地址的数据立即开始传输给接收者，组中的所有成员都能接收到数据。因此为了接收数据，信息接收者必须首先成为组播组的成员。组播环境中，数据传向组中的所有成员，非组内成员不会收到这些数据。

IP组播具有下列特性：

l 对组成员的数量和所处位置没有限制。独立的主机可以在任意时刻自由地加入或离开组播组。一台主机在同一时刻可以是多个组播组的成员。

l 即使网络中的一台主机不是某个组播组的成员，该主机也可向这个组播组发送数据。

l 交换机不需要保存所有主机的成员关系，它只需知道物理接口所在的网段上是否已经有主机属于某个组播组；主机只需保存自己加入了哪些组播组的信息。

3.1.3 IP组播地址
组播使用D类IP地址。每个组播地址代表一个组播组，而不是一台主机。由于D类地址的最高四位数是1110，所以组播地址的范围是：224.0.0.0～239.255.255.255。

组播组可分为永久的或临时的。永久组播组拥由一个恒定的组地址，但组中成员数量可以是任意的，甚至还可以为零。那些未被预留下来的组地址，就可被临时组播组利用，但临时组播组中的成员数量却不能为零。

D类地址范围与含义可如下表所示：

表3-1 D类地址的范围及含义

D类地址范围
含义

224.0.0.0~224.0.0.255
预留的组播地址（永久组地址）

224.0.1.0~238.255.255.255
用户可用的组播地址（临时组地址）

239.0.0.0~239.255.255.255
本地被管理的或特定位置的组播地址




常用的预留组播地址列表如下：

表3-2 预留的组播地址列表

D类地址范围
含义

224.0.0.0
基准地址（保留）

224.0.0.1
直连网络上的所有主机的地址

224.0.0.2
子网上所有交换机的地址

224.0.0.3
不分配

224.0.0.4
DVMRP交换机

224.0.0.5
OSPF交换机

224.0.0.6
OSPF DR

224.0.0.7
ST交换机

224.0.0.8
ST主机

224.0.0.9
RIP-2交换机

224.0.0.10
IGRP交换机

224.0.0.11
活动代理

224.0.0.12
DHCP服务器/中继代理

224.0.0.13
所有PIM路由器（三层交换机）

224.0.0.14
RSVP封装

224.0.0.15
所有CBT交换机

224.0.0.16
指定SBM

224.0.0.17
所有SBMS

224.0.0.18
VRRP




3.1.4 IP组播路由协议
组播协议包括两个部分：因特网组播管理协议（IGMP）作为IP组播基本信令协议；组播路由协议（例如：PIM-SM、PIM-DM）实现IP组播流寻径。

1. 主机-路由协议
IGMP定义了主机与交换机之间组播成员关系的建立和维护机制。IGMP是主机可以使用的唯一协议，是整个IP组播的基础。IGMP将有关组成员的信息通知交换机，并使交换机能通过和自己直接相连的主机来了解组内其它成员的信息。

如果局域网中有一个用户通过IGMP宣布加入某组播组，则局域网中的组播交换机就将该信息通过组播路由协议进行传播，最终将该局域网作为一个分支加入组播树（组播信息发布路径集合）。组播树分支中的主机作为某个组的成员开始接收信息后，与该分支相连的交换机周期性地对该组进行查询，检查该分支中是否还有主机作为组内的成员参与其中，只要分支中还有一台主机参与组播信息收发，交换机就继续接收组播数据；当某分支中的所有用户退出该组播组后，该分支就从组播树中被删除掉。

目前，广泛使用是IGMP的Version 1与Version 2，其中：IGMP Version 2指定三种报文类型：组成员查询报文、组成员报告报文和组成员离开报文。

l 组成员查询报文：根据组地址不同又分为普通查询报文、特定组查询报文。交换机通过普通查询报文来了解网络上有哪些组播成员；特定组查询报文用于对某个特定的组播组的成员进行查询，可以避免属于其它组播组的成员发送响应报文。

l 组成员报告报文：当主机接收到一个普通或特定组的组成员查询报文后，将组成员报告以组播方式传送给支持组播的交换机。收到组成员报告后，交换机将报告中的组成员加入到交换机所在网络的组成员列表中。若在特定的响应时间段内，交换机未收到任何组成员报告，即可知晓本地没有组成员，就不再将组播报文传送给它所连接的网络。

l 组成员离开报文：当一台主机离开一个组播组时，IGMP将给网络内所有支持组播的交换机发送一个组成员离开报文。

IGMP在主机与交换机之间是不对称的：主机需要响应交换机的IGMP查询报文（以成员报告报文给予响应）；交换机需要定时的发送普遍查询报文，并根据收到的响应报文，确定自己所在子网上,是否有主机加入某个特定组播组。

2. 组播路由协议
因为组播组地址是虚拟的，组播把数据发送给一组希望接收数据的接收者（组播地址），而不是仅仅传送给一个接收者（单播地址）。所以组播不可能如同单播那样，直接从数据源一端路由到特定的目的地址。

组播路由协议的任务就是构建分发树——从数据源端到多个接收端的无环数据传输路径。组播交换机能采用多种方法来建立数据传输分发树。根据网络的实际情况，常见的组播路由协议可以分成两大类——密集模式组播路由协议和稀疏模式组播路由协议。

(1) 密集模式组播

密集模式组播路由协议适用于小型网络。它假设网络中的每个子网有至少一个接收者要接收组播信息。在密集组播模式下，组播报文被扩散到网络中的所有点，与此伴随着网络资源（带宽和交换机的CPU等）的消耗。为了减少网络资源的消耗，密集模式组播路由协议对没有组播数据转发的分支进行剪枝操作，只保留包含接收站点的分支。被剪掉的分支中，如果存在接收站点有组播数据转发需求，希望重新接收组播数据流，密集模式组播路由协议可以周期性地将剪掉的分支恢复成转发状态。为了减少将被剪掉的分支恢复成转发状态的等待时间，密集模式组播路由协议使用嫁接机制，将希望恢复成转发状态的被剪掉的分支主动加入组播分布树。这种周期性的扩散和剪枝现象是密集模式协议的特征。一般说来，密集模式下数据的转发路径是一棵“有源树”——以“源”为根、组员为枝叶的树。

密集模式下的典型路由协议是：密集模式下的协议无关组播（Protocol-Independent Multicast-Dense Mode，PIM-DM）、距离向量组播路由协议（Distance Vector Multicast Routing Protocol，DVMRP）。

(2) 稀疏模式组播

稀疏模式组播默认所有机器都不需要收组播报文。组播信息接收站点为了接收到特定组播组的数据流，必须向该组播组对应的“汇聚点”发送加入消息，加入消息所经过的路径就变成了共享树的分支。组播信息首先被发送到汇聚点，再沿以汇聚点为根、以组员为叶的“共享树”转发。

稀疏模式组播路由协议周期性地向分支发送加入消息，避免共享树的分支由于没有及时更新而被删除，从而有效地维护共享树。

在稀疏组播模式下，组播数据发送端如果想要给特定的组播组发送数据，首先要在汇聚点进行注册，之后把数据发向汇聚点。当组播数据到达了汇聚点后，数据被复制，然后沿着分发树路径被转发给对其感兴趣的接收者。数据复制仅发生在分发树的分支处，这个过程自动重复，直到报文最终到达目的地。

稀疏模式下的典型路由协议是：稀疏模式下的协议无关组播（Protocol-Independent Multicast-Sparse Mode，PIM-SM）。

3.1.5 IP组播报文转发
与单播模型不同，组播模型不能将转发决定建立在数据报文中的目标地址基础上，而必须将组播信息报文转发到多个外部接口上以便能传送到所有接收站点，因此组播转发过程比单播转发过程更加复杂。

为了保证组播信息报文都是通过最短路径到达交换机，组播模型必须依靠单播路由表或者独立的组播路由表，对组播信息报文的接收接口进行一定的检查，这种检查机制就是大部分组播路由协议进行组播转发的基础——RPF（Reverse Path Forwarding——逆向路径转发）检查。组播应用程序检查到达的组播报文的源地址（如果使用的是有源树，这个源地址就是发送组播报文的源主机的地址；如果使用的是共享树，这个源地址就是共享树的根的地址），以确定此报文到达的入接口处于接收站点至源地址的最短路径上。当组播报文到达交换机时，如果检查通过，报文按照组播转发项进行转发，否则，报文被丢弃。

3.1.6 IP组播应用
1. 信息分配
IP组播使得公司内部的数据可以分配给大量用户。例如，一个有若干连锁店的公司可以使用组播将其定价信息传递给各连锁店的收银机；或者由媒体通过Internet将现场实时信息提供给支持组播的用户，如目前十分流行的远程教育。

2. 数据广播
传统的数据广播，基于广播形式发送需要占用大量的Internet带宽。使用组播技术，数据发布者（如有线电视台等）不但可以将数据（如多点广播节目）发布给Internet上需要这些数据的用户，还能大大减少占用的网络带宽。

3.2 IGMP的配置
3.2.1 IGMP配置任务列表
要配置IGMP协议，必须先使能组播路由功能，然后才能够配置IGMP协议的各个特性。

IGMP的配置任务列表如下：

l 使能组播协议

l 配置交换机成为组成员

l 控制交换机接收哪些组播组加入

l 配置交换机接口运行IGMP的版本号

l 配置IGMP主机发送查询报文的时间间隔

l 配置IGMP最大查询响应时间

l 配置子网中Querier的存活时间

在上述的配置任务中，使能组播协议是必须的，其余则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

3.2.2 使能组播协议
在所有接口上启动IGMP协议，使交换机能发送组播报文。只有使能了组播协议，其它与组播有关的配置才能生效。

请在全局配置模式下进行下列配置。

表3-3 使能/禁用组播协议

操作
命令

使能组播协议
ip multicast-routing

禁用组播协议
no ip multicast-routing




缺省情况下，系统禁用组播协议。

3.2.3 配置交换机接口成为组成员
配置交换机接口成为组成员，不但可使交换机模拟主机行为加入组播组，在实际组网中，还可以使静态组播组加入。

请在VLAN接口配置模式下进行下列配置。

表3-4 配置交换机接口成为组成员

操作
命令

配置交换机接口成为组成员
ip igmp access-group access-list-number [ 1 | 2 ] [ port port-list ]

将交换机接口从组成员中删除
no ip igmp access-group [ port portlist ]




缺省情况下，交换机接口未加入任何组成员。

3.2.4 控制交换机接收哪些组播组加入
组播交换机通过发送IGMP查询报文来确定哪个组播组包括与交换机直接相连的本地组成员。可通过在接口上配置一个过滤器，使那些只有其地址是IP标准访问控制列表中规定的主机才能加入到组播组中。

请在VLAN接口配置模式下进行下列配置。

表3-5 控制交换机接收哪些组播组加入

操作
命令

控制交换机接收哪些组播组的加入
ip igmp join-group groups-address port port-list

取消交换机配置组播组的加入
no ip igmp join-group groups-address port port-list




缺省情况下，没有任何主机加入组播组。

3.2.5 配置交换机接口运行IGMP的版本号
同一子网上的所有系统应支持相同的IGMP版本，但交换机不能自动检测接口当前运行的IGMP版本号。

请在VLAN接口配置模式下进行下列配置。

表3-6 配置交换机接口运行IGMP的版本号

操作
命令

配置交换机接口运行IGMP的版本号
ip igmp version { 1 | 2 }

恢复交换机接口运行IGMP版本号的缺省值
no ip igmp version




缺省情况下，交换机接口运行IGMP Version 2。

需要注意的是：只有当交换机接口运行IGMP Version 2，该项配置才起作用（虽然运行IGMP Version 1时，也能配置该命令）。

3.2.6 配置IGMP主机发送查询报文的时间间隔
交换机需要周期性地向它所连接的网络发送组成员查询报文（Membership Query Message），这个时间间隔由Query Interval定时器来设定。用户可通过配置Query Interval定时器修改IGMP主机发送查询报文的时间间隔。

请在VLAN接口配置模式下进行下列配置。

表3-7 配置IGMP主机发送查询报文的时间间隔

操作
命令

配置IGMP主机发送查询报文的时间间隔
ip igmp query-interval seconds

恢复IGMP主机发送查询报文时间间隔的缺省值
no ip igmp query-interval




缺省情况下，发送查询报文的时间间隔为60秒。

3.2.7 配置IGMP最大查询响应时间
当主机收到交换机定期发来的查询报文后，会为自己加入的每个组播组都启动一个延时定时器（Delay Timers），采用(0，Max Response Time]之间的一个随机数作为初始值，其中的Max Response Time是查询报文指定的最大响应时间（IGMP Version 1的最大查询响应时间固定为10秒）。主机应该在定时器超时前，将组播组成员告知交换机。若交换机在最大查询响应时间超时后还未收到任何组成员报告，就认为已经没有本地组成员，也就不再将其接收的组播报文传送到它所连接的网络。

请在VLAN接口配置模式下进行下列配置。

表3-8 配置IGMP最大查询响应时间

操作
命令

配置IGMP最大查询响应时间
ip igmp query-max-response-time seconds

恢复IGMP最大查询响应时间的缺省值
no ip igmp query-max-response-time




缺省情况下，最大查询响应时间为10秒。

需要注意的是：只有当交换机接口运行IGMP Version 2，该项配置才起作用（虽然运行IGMP Version 1时，也能配置该命令）。

3.2.8 配置子网Querier的存活时间
当一个子网上有多台运行IGMP的交换机时，需要选择一台交换机充当查询者Querier负责向该网段的其它交换机发送查询报文。网络初始化时，该网段内的所有交换机都默认自己为Querier，并向所连接子网的所有组播主机发送普通查询报文，并将收到查询报文的接口的IP地址和发送查询报文接口的IP地址比较，子网中最小IP地址的交换机被选为Querier，其它交换机成为非查询者Non-Querier。

所有非查询者Non-Querier启动一个Other Querier Present Interval定时器，在定时器超时前，只要收到来自Querier的查询报文，定时器就复位。若定时器超时，所有交换机都将恢复为Querier，选举Querier的过程重新开始。

请在VLAN接口配置模式下进行下列配置。

表3-9 配置子网Querier的存活时间

操作
命令

配置子网Querier的存活时间
ip igmp querier-timeout seconds

恢复子网Querier存活时间的缺省值
no ip igmp querier-timeout




缺省情况下，子网Querier的存活时间为120秒。

需要注意的是：只有当交换机接口运行IGMP Version 2时，才能进行该项配置。

3.3 IGMP的监控与维护
请在除了普通用户模式以外的所有配置模式下进行下列操作。

表3-10 IGMP的监控与维护

操作
命令

显示直连子网中组成员的状况
show ip igmp groups [ group-address | interface-type interface-number ]

显示IGMP接口的配置信息
show ip igmp interface [ interface_type interface_number ]

显示IGMP端口的配置信息
show ip igmp switchport [ port_name ]




l 显示直连子网中组成员的状况

Quidway# show ip igmp groups

IGMP Connected Group Membership

Group Address Interface Uptime Expires Last Reporter

224.0.255.1 VLAN-interface1 18:51:41 0:02:15 198.92.37.192

224.2.226.60 VLAN-interface1 1:51:31 0:02:17 198.92.37.192

224.2.127.255 VLAN-interface1 18:51:45 0:02:17 198.92.37.192

226.2.2.2 VLAN-interface2 18:51.47 never 0.0.0.0

224.2.0.1 VLAN-interface2 18:51:43 0:02:14 198.92.37.192

225.2.2.2 VLAN-interface2 18:51:43 0:02:21 198.92.37.33

225.2.2.2 VLAN-interface2 18:51:47 never 0.0.0.0

225.2.2.4 VLAN-interface1 18:18:02 0:02:20 198.92.37.192

225.2.2.4 VLAN-interface2 18:23:32 0:02:55 198.92.36.128





第4章 PIM-DM配置
4.1 PIM-DM简介
PIM-DM（Protocol Independent Multicast——Dense Mode，与协议无关的组播——密集模式）主要适用于下列几种情况：

l 发送者和接收者彼此非常接近，并且网络中组播组接收成员的数量很大。

l 组播报文的流量很大。

l 组播报文的流量是持续的。

PIM-DM利用单播路由表，从源端PIM路由器（三层交换机）构建一棵到所有端节点的组播转发树（Distribution Tree）。在发送组播报文时，PIM-DM认为网络上所有主机都准备接收组播报文，组播源一开始将向网络所有下游节点转发组播报文，无组播组成员的节点将剪枝报文通知上游交换机不用再向下游节点转发数据。当新的成员在剪枝区域中出现时，PIM-DM发送嫁接消息，使被剪枝的路径重新变成转发状态。该机制称为广播——剪枝过程，PIM-DM广播——剪枝机制将周期性地不断进行。PIM-DM在广播——剪枝过程中采用了逆向路径转发（Reverse Path Forwarding，RPF）技术：当一个组播报文到达的时候，交换机首先判断到达路径的正确性。若到达接口是由单播路由指示的通往组播源的接口，那么该组播报文被认为是从正确路径而来；否则该组播报文将作为冗余报文而被丢弃，不进行组播转发。

PIM-DM主要包括下列几种报文：

l Hello报文：Hello报文由运行PIM-DM协议的交换机接口定期发送到同网段其它邻居接口，与PIM-DM邻居建立邻居关系。

l 嫁接报文：主机通过IGMP报告报文来通知交换机它想加入某个组播组，此时端口向上游交换机发送Graft报文，上游交换机收到Graft报文后，就将该端口加入到组播组转发列表中。

l 嫁接应答报文：上游交换机在收到Graft报文后，需要向发送此嫁接报文的下游交换机发送应答报文。

l 剪枝报文：当接口组播转发列表为空时，交换机就向上游交换机发送剪枝报文，通知上游交换机将该交换机从上游交换机的接口邻居列表中删除。

l 断言报文：一个共享网段可能同时有两个上游交换机，它们都可以向该网段转发组播报文，而组播报文的内容相同。为避免这种情况的发生，PIM-DM采用断言报文机制。断言报文机制的执行如下：若上游交换机在共享网段上转发组播报文，它首先向所有运行PIM-DM的交换机发送断言报文，下游交换机通过比较上游交换机发送的断言报文来决定哪个上游交换机作为该网段的转发者。

4.2 PIM-DM的配置
4.2.1 PIM-DM配置任务列表
PIM-DM配置任务列表如下：

l 使能/禁用组播路由

l 启动/禁用PIM-DM协议

l 设置发送Hello报文的时间间隔

在上述的配置任务中，前两项是必需的，第三项则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

4.2.2 使能/禁用组播路由
只有在使能组播路由后，交换机才能接收组播报文。

请在全局配置模式下进行下列配置。

表4-1 使能/禁用组播路由

操作
命令

使能组播路由
ip multicast-routing

禁用组播路由
no ip multicast-routing




缺省情况下，系统禁用组播路由。

4.2.3 启动/禁用PIM-DM协议
PIM-DM协议需要分别在各个接口配置中启动。建议非特殊情况下，在各个接口上都启动PIM-DM协议。

请在VLAN接口配置模式下进行下列配置。

表4-2 启动/禁用PIM-DM协议

操作
命令

启动PIM-DM协议
ip pim dense-mode

禁用PIM-DM协议
no ip pim dense-mode




缺省情况下，系统禁用PIM-DM协议。

4.2.4 设置发送Hello报文的时间间隔
接口启动PIM-DM协议之后，将周期性地向所有PIM路由器（三层交换机）发送为Hello报文，以发现邻居。若接口收到了Hello报文，说明该接口存在相邻的PIM路由器（三层交换机），该接口就将该邻居加入到自己的接口邻居列表中；接口若在指定时间内未收到邻居发来的Hello报文，就认为该邻居已离开组播网络。发送Hello报文的时间间隔可依据与接口相连网络的带宽和类型进行配置。

请在VLAN接口配置模式下进行下列配置。

表4-3 设置发送Hello报文的时间间隔

操作
命令

设置发送Hello报文的时间间隔
ip pim query-interval seconds

恢复发送Hello报文时间间隔的缺省值
no ip pim query-interval




缺省情况下，VLAN接口发送Hello报文的时间间隔为30秒。

4.3 PIM-DM的监控与维护
请在特权用户模式下进行下列操作。其中，show系列命令还可以在除了普通用户模式以外的所有配置模式下使用。

表4-4 PIM-DM的监控与维护

操作
命令

显示组播转发表信息
show ip mfc

显示组播核心路由表
show ip mroute [ group-address ]

显示PIM协议接口信息
show ip pim interface [ interface_type interface_number ]

显示PIM协议组播路由表信息
show ip pim mroute [ group-address ]

显示PIM相邻交换机信息
show ip pim neighbor [ interface interface-type interface-number ]

打开组播转发表调试信息开关
debug ip mforward

打开PIM通用调试信息开关
debug ip pim common { all | events | packets | timers }

打开PIM-DM调试信息开关
debug ip pim dense-mode { alert | all | mrt | recv { all | assert | graft | graft-ack | join | prune } | send { all | assert | graft | graft-ack | join | prune } | timer | warning }




4.4 PIM-DM典型配置举例
1. 组网需求
LS_A有一个端口属于Vlan 10，这个端口接Multicast Source（组播源）；另有一个端口属于Vlan 11，这个端口接LS_B；还有一个端口属于Vlan 12，这个端口接LS_C。通过配置，在Receiver 1、Receiver 2与Multicast Source间实现组播。

2. 组网图

图4-1 PIM-DM配置组网图

3. 配置步骤
只列出LS_A的配置步骤，LS_B、LS_C类同。

！启动组播路由协议。

Quidway(config)# ip multicast-routing

！启动PIM-DM协议。

Quidway(config)# vlan 10

Quidway(config-vlan10)# switchport ethernet 0/2 to ethernet 0/3

Quidway(config-vlan10)# exit

Quidway(config)# vlan 11

Quidway(config-vlan11)# switchport ethernet 0/4 to ethernet 0/5

Quidway(config-vlan11)# exit

Quidway(config)# vlan 12

Quidway(config-vlan12)# switchport ethernet 0/6 to ethernet 0/7

Quidway(config-vlan12)# exit

Quidway(config)# interface vlan-interface 10

Quidway(config-VLAN-interface10)# ip address 1.1.1.1 255.255.0.0

Quidway(config-VLAN-interface10)# ip pim dense-mode

Quidway(config-VLAN-interface10)# exit

Quidway(config)# interface vlan-interface 11

Quidway(config-VLAN-interface11)# ip address 2.2.2.2 255.255.0.0

Quidway(config-VLAN-interface11)# ip pim dense-mode

Quidway(config-VLAN-interface11)# exit

Quidway(config)# interface vlan-interface 12

Quidway(config-VLAN-interface12)# ip address 3.3.3.3 255.255.0.0

Quidway(config-VLAN-interface12)# ip pim dense-mode





第5章 PIM-SM配置
5.1 PIM-SM简介
PIM-SM（Protocol Independent Multicast，Sparse Mode，协议无关组播――稀疏模式）主要适用于下列几种情况：

l 组成员分布相对分散，范围较广

l 网络带宽资源有限

PIM-SM不依赖于特定的单播路由协议。PIM-SM假设某个共享网段上的所有交换机都不需要发送组播报文，交换机只有在主动请求加入某个组播组后，才能收发组播报文。PIM-SM通过设置RP（Rendezvous Point――汇聚点）和BSR（Bootstrap Router――自举路由器）向所有支持PIM-SM的交换机通告组播信息。在PIM-SM中，交换机显式地加入和退出组播组，可以减少数据报文和控制报文占用的网络带宽。

PIM-SM构造以RP根的共享树RPT（RP Path Tree），使组播报文能沿着共享树发送。当主机加入一个组播组时，直接连接的交换机便向汇聚点（RP）发送PIM加入报文；发送者的第一跳交换机把发送者注册到RP上；接收者的DR（Designated Router，指定路由器）将接收者加入到共享树。使用以RP为根的共享树（RPT）进行报文转发，可以减少交换机需要维护的协议状态、提高协议的可伸缩性，降低交换机处理开销。当数据流量达到一定程度时，数据可从共享树RPT（RP Path Tree）切换到基于源的最短路径树SPT（Short Path Tree），以减少网络延迟。

PIM-SM主要包括下面几种报文：

l Hello报文：Hello报文由运行PIM-SM协议的交换机接口定期发送到同网段其它邻居接口，与邻居建立邻居关系，还同时为运行IGMPv1的版本的交换机选择DR。

l 注册报文：当DR收到本地网络上主机发出的组播报文，要将该报文封装在注册报文中单播发送给RP，以便该报文在RP树上分发。注册报文的IP头部中的源地址为DR的地址，目的地址是RP的地址。

l 注册停止报文：由RP单播给注册报文的发送者，用来告诉注册报文的发送停止发送注册报文。

l 加入/剪枝报文：该报文被沿着源或RP的方向发送上去。加入消息用来建立RPT或SPT，当接收者离开组时用剪枝消息剪枝RPT或SPT。该报文包含各个组播路由项加入和剪枝消息。加入消息和剪枝消息放在一个报文中，但是两种报文中任何一种都可以为空。

l 自举报文：交换机要从除了接收到这种报文的接口外的所有的接口发送这种报文。该种报文在BSR中产生，并被所有的交换机转发。用来向。

l 断言报文：在多路访问网络上存在多个交换机，并且某个交换机路由项的出接口收到组播组报文时，要使用这种报文来指定转发者。

l 候选RP信息广播报文：由候选RP定期单播给BSR，用来通告该候选RP服务的组地址集合。

5.2 PIM-SM的配置
5.2.1 PIM-SM配置任务列表
PIM-SM的配置任务列表如下：

l 使能/禁用组播路由

l 启动/禁用PIM-SM协议

l 指定候选BSR

l 指定候选RP

l 设置PIM-SM域边界

l 设置VLAN接口发送Hello报文的时间间隔

l 设置从共享树切换到最短路径树的阈值

在上述的配置任务中，前两项是必须的，其余则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

5.2.2 使能/禁用组播路由
请在全局配置模式下进行下列配置。

表5-1 使能/禁用组播路由

操作
命令

启动组播路由
ip multicast-routing

禁用组播路由
no ip multicast-routing




缺省情况下，系统禁用组播路由。

5.2.3 启动/禁用PIM-SM协议
PIM-SM协议需要分别在各个VLAN接口上配置。建议在非特殊情况下，各个VLAN接口上都应启动PIM-SM协议。

请在VLAN接口配置模式下进行下列配置。

表5-2 启动/禁用PIM-SM协议

操作
命令

启动PIM-SM协议
ip pim sparse-mode

禁用PIM-SM协议
no ip pim sparse-mode




缺省情况下，各VLAN接口禁用PIM-SM协议。

需要注意的是：PIM-SM只在指定的VLAN接口上运行，一个VLAN接口在同一时刻只能运行一个组播路由协议。

5.2.4 指定候选BSR
在一个PIM-SM域中，必须存在唯一的引导交换机BSR（Bootstrap Router）才能确保PIM-SM交换机正常工作。BSR负责收集并发布RP信息。多个候选BSR（Candidate Bootstrap Router，C-BSR）通过自举报文（Bootstrap Message）选举产生唯一公认的BSR。在得知BSR信息之前，C-BSR认为自己是BSR，它们定期在PIM-SM域中广播（广播地址为224.0.0.13）自举报文，该报文中包含BSR的地址和优先级，使用BSR优先级和IP地址来选出BSR，优先级大的为BSR，如果优先级相同，IP地址大的为BSR。候选BSR可通过命令来进行配置，C-BSR应配置在骨干网的交换机上。

BSR是RP的管理者，由BSR来收集和发布整个网络内的RP信息。RP是通过BSR选举产生的。

请在全局配置模式下进行下列配置。

表5-3 指定候选BSR

操作
命令

指定交换机为候选BSR（通过在其某个接口上实现）
ip pim bsr-candidate interface-type interface-number hash-mask-length [ priority ]

禁止某交换机为候选BSR
no ip pim bsr-candidate




缺省情况下，不指定任何候选BSR。

5.2.5 指定候选RP
在PIM-SM协议中，RPT（RP Path Tree）以汇聚点RP（Rendezvous Point）为树根，组成员为叶子。RP是通过BSR选举产生的。在BSR选举产生后，所有的C-RP定期向BSR单播发送C-RP广播消息（C-RP Advertisements），由BSR汇集并向全网扩散发布RP信息（可能多个RP存在，它们各自有不同的组服务范围），这样所有的交换机上都可得到RP信息。

在配置候选RP时，可以指定RP所服务组的范围，它可为所有组播组服务，也可只为其中一部分组播组服务。

请在全局配置模式下进行下列配置。

表5-4 指定候选RP

操作
命令

指定某接口为候选BP
ip pim rp-candidate interface-type interface-number
[ group-list access-list-number [ priority ] ]

禁止某接口为候选BP
no ip pim rp-candidate interface-type
interface-number




缺省情况下，不指定任何接口为候选RP。

通常情况下，只在网络中配置一个C-BSR和一个C-RP，而且通常都是同一台交换机，该交换机应该处于网络核心位置或者与其它交换机的连通较好。同一台交换机上可以多次配置C-BSR，后配置的C-BSR会替代原来配置的C-BSR。推荐用户将C-RP和C-BSR配置在同一台交换机的LoopBack接口上，这样可以减少由于物理接口UP/DOWN造成网络震荡，因为交换机的LoopBack接口始终是UP的。

5.2.6 设置PIM-SM域边界
当网络规模较大时，需要将网络划分为多个组播域，不同的组播域可由不同的RP来负责管理。当配置PIM域边界后，BSR消息和RP消息将不会穿过此边界，但其它PIM报文仍然可以通过域边界。

请在VLAN接口配置模式下进行下列配置。

表5-5 设置PIM-SM域边界

操作
命令

设置PIM域边界
ip pim border

删除PIM域边界
no ip pim border




缺省情况下，不设置任何PIM-SM域边界。

5.2.7 设置VLAN接口发送Hello报文的时间间隔
VLAN接口启动PIM-SM协议之后，将周期性地向所有PIM路由器（三层交换机，组地址为224.0.0.13）发送Hello报文，以发现PIM邻居，这个时间间隔由Query Interval定时器规定。若接口收到了Hello报文，说明该接口存在相邻的PIM路由器（三层交换机），该接口就将该邻居加入到自己的接口邻居列表中；接口若在指定时间内未收到其邻居列表中存在邻居发来的Hello报文，就认为该邻居已离开组播网络。发送Hello报文的时间间隔可依据与接口相连网络的带宽和类型进行配置。

请在VLAN接口配置模式下进行下列配置。

表5-6 设置VLAN接口发送Hello报文的时间间隔

操作
命令

设置VLAN接口发送Hello报文的时间间隔
ip pim query-interval seconds

将VLAN接口发送Hello报文的时间间隔恢复为缺省值
no ip pim query-interval




缺省情况下，VLAN接口发送Hello报文的时间间隔为30秒。

5.2.8 设置从共享树切换到源最短路径树的阈值
PIM-SM交换机最初通过共享树转发组播报文，但是如果组播数据通过的速率超过一定的阈值，组播报文所经过的最后一跳交换机就会发起从共享树到最短路径树的切换过程。

请在全局配置模式下进行下列配置。

表5-7 设置从共享树切换到源最短路径树的阈值

操作
命令

设置从共享树切换到源最短路径树的阈值
ip pim spt-threshold { traffic-rate | infinity } [ group-list list-number ]

将从共享树切换到源最短路径树阈值恢复为缺省值
no ip pim spt-threshold [ group-list list-number ]




缺省情况下，从共享树切换到源最短路径树的阈值为0，也就是说当最后一跳交换机收到第一个组播报文后立即切换到最短路径树。S3526以太网交换机不支持此特性。

5.3 PIM-SM的监控与维护
请在特权用户模式下进行下列操作。其中，show系列命令还可以在除了普通用户模式以外的所有配置模式下使用。

表5-8 PIM-SM的监控与维护

操作
命令

显示组播转发表信息
show ip mfc

显示组播核心路由表
show ip mroute [ group-address ]

显示BSR信息
show ip pim bsr

显示PIM协议接口信息
show ip pim interface [ interface_type interface_number ]

显示PIM协议组播路由表信息
show ip pim mroute [ group-address ]

显示PIM相邻交换机信息
show ip pim neighbor interface [ interface_type interface_number ]

显示组播组对应的RP信息
show ip pim rp-hash [ group-address ]

打开组播转发表调试信息开关
debug ip mforward

打开PIM调试信息开关
debug ip pim common { all | events | packets | timers | detail }

打开PIM-SM调试信息开关
debug ip pim sparse-mode { all | mbr { alert | fresh } | mrt | recv { assert | bootstrap | crpadv | jp | reg | regstop } | send { assert | bootstrap | crpadv | jp | reg | regstop } | timer { assert | bsr | crpadv | ifjob | jp | jpdelay | mrt | probe | spt } | warning }




5.4 PIM-SM典型配置举例
1. 组网需求
在实际的网络中，由于路由设备由不同的厂商提供，设备上的路由协议也会各不相同。但由于PIM协议是独立于特定的单播协议的，所以这里我们不关心单播协议，假定各个交换机之间相互可达。

HostA是某组播组（组播IP地址为：225.0.0.1）的接收者，主机HostB现在开始发送目的地址为225.0.0.1的数据，交换机LS_A通过交换机LS_B接收主机HostB发送的组播数据。当主机HostB发送的组播数据的速率超过10kbps后，将交换机LS_A加入最短路径树中，直接从交换机LS_C处接收主机HostB发送的组播报文。

2. 组网图

图5-1 PIM-SM配置组网图

3. 配置步骤
(1) 配置交换机LS_A

！启动PIM-SM协议。

Quidway(config)# ip multicast-routing

Quidway(config)# vlan 10

Quidway(config-vlan10)# switchport ethernet 0/2 to ethernet 0/3

Quidway(config-vlan10)# exit

Quidway(config)# interface vlan-interface 10

Quidway(config-VLAN-interface10)# ip pim sparse-mode

Quidway(config-VLAN-interface10)# exit

Quidway(config)# vlan 11

Quidway(config-vlan11)# switchport ethernet 0/4 to ethernet 0/5

Quidway(config-vlan11)# exit

Quidway(config)# interface vlan-interface 11

Quidway(config-VLAN-interface11)# ip pim sparse-mode

Quidway(config-VLAN-interface11)# exit

Quidway(config)# vlan 12

Quidway(config-vlan12)# switchport ethernet 0/5 to ethernet 0/6

Quidway(config-vlan12)# exit

Quidway(config)# interface vlan-interface 12

Quidway(config-VLAN-interface12)# ip pim sparse-mode

Quidway(config-VLAN-interface12)# exit

！配置组播组从共享树切换到最短路径树的阈值为10kbit/s。

Quidway(config)# access-list 5 permit 225.0.0.0 0.255.255.255

Quidway(config)# ip pim spt-threshold 10 group-list 5

(2) 配置交换机LS_B

！启动PIM-SM协议。

Quidway(config)# ip multicast-routing

Quidway(config)# vlan 10

Quidway(config-vlan10)# switchport ethernet 0/2 to ethernet 0/3

Quidway(config-vlan10)# exit

Quidway(config)# interface vlan-interface 10

Quidway(config-VLAN-interface10)# ip pim sparse-mode

Quidway(config-VLAN-interface10)# exit

Quidway(config)# vlan 11

Quidway(config-vlan11)# switchport ethernet 0/3 to ethernet 0/4

Quidway(config-vlan11)# exit

Quidway(config)# interface vlan-interface 11

Quidway(config-VLAN-interface11)# ip pim sparse-mode

Quidway(config-VLAN-interface11)# exit

Quidway(config)# vlan 12

Quidway(config-vlan12)# switchport ethernet 0/5 to ethernet 0/6

Quidway(config-vlan12)# exit

Quidway(config)# interface vlan-interface 12

Quidway(config-VLAN-interface12)# ip pim sparse-mode

Quidway(config-VLAN-interface12)# exit

！配置候选BSR。

Quidway(config)# ip pim bsr-candidate vlan-interface 10 30 2

！配置候选RP。

Quidway(config)# access-list 5 permit 225.0.0.0 0.255.255.255

Quidway(config)# ip pim rp-candidate vlan-interface 10 group-list 5

！配置PIM域边界。

Quidway(config)# interface vlan-interface 12

Quidway(config-VLAN-interface12)# ip pim border

当VLAN-interface 12被配置为BSR后，交换机LS_D就收不到交换机LS_B发出的BSR信息，它将被排除在本PIM域之外。

(3) 配置交换机LS_C。

！启动PIM-SM。

Quidway(config)# ip multicast-routing

Quidway(config)# vlan 10

Quidway(config-vlan10)# switchport ethernet 0/2 to ethernet 0/3

Quidway(config-vlan10)# exit

Quidway(config)# interface vlan-interface 10

Quidway(config-VLAN-interface10)# ip pim sparse-mode

Quidway(config-VLAN-interface10)# exit

Quidway(config)# vlan 11

Quidway(config-vlan11)# switchport ethernet 0/3 to ethernet 0/4

Quidway(config-vlan11)# exit

Quidway(config)# interface vlan-interface 11

Quidway(config-VLAN-interface11)# ip pim sparse-mode

Quidway(config-VLAN-interface11)# exit

Quidway(config)# vlan 12

Quidway(config-vlan12)# switchport ethernet 0/5 to ethernet 0/6

Quidway(config-vlan12)# exit

Quidway(config)# interface vlan-interface 12

Quidway(config-VLAN-interface12)# ip pim sparse-mode

Quidway(config-VLAN-interface12)# exit
__________________
i must win,and i will win.

---

由 7boy 于 05-23-2003 02:22 PM 发表:

part 9 qos/acl

第1章 S3526/S3526 F系列的QoS/ACL
1.1 QoS/ACL简介
1.1.1 QoS简介
在传统的分组网络中，所有报文都无区别的等同对待，每个交换机/路由器对所有的报文采用先入先出的策略（FIFO）处理，它尽最大的努力（Best-Effort）将报文送到目的地，但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。

随着计算机网络的高速发展，人们对网络的要求也越来越高。由于对带宽、延迟、抖动敏感的语音、图象、重要数据越来越多地在网上传输，一方面使得网上的业务资源极大地丰富，另一方面则由于经常遭遇网络拥塞，人们对网络传输的服务质量（Quality of Service，简称QoS）提出了更高的要求。

以太网技术是当今所使用的最为广泛的网络技术。目前，以太网不仅成为各种独立的局域网中的主导技术，许多以太网形式的局域网也成为了Internet网的组成部分。而且随着以太网技术的不断发展，以太接入方式也将成为广大普通Internet用户的主要接入方式之一。因此要实现端到端的全网QoS解决方案，不可避免地要考虑以太网上的QoS业务保证的问题。这就需要以太网交换设备应用以太网QoS技术，对不同类型的业务流提供不同等级的QoS保证，尤其是能够支持那些对延时和抖动要求较高的业务流。

1.1.2 流分类及访问控制列表
1. 流
流即业务流（traffic），指所有通过交换机的报文。

2. 流分类
流分类（traffic classification）是指采用一定的规则识别出符合某类特征的报文。而分类规则（classification rule）指配置管理员根据管理需求配置的过滤规则，可以很简单，比如可根据IP报文头的ToS字段，识别出有不同优先级特征的流量；也可以很复杂，如综合链路层（Layer 2）、网络层（layer 3）、传输层（layer 4）信息诸如MAC地址、IP协议、源地址、目的地址、或应用程序的端口号等相关信息来对报文进行分类，即复杂流分类规则。一般的分类依据都局限在封装报文的头部信息，使用报文的内容作为分类的标准是比较少见的。

3. 访问控制列表
进行流分类的目的是为了有区别地提供服务，它必须与某种流控和资源分配动作关联起来，这样才有意义。利用访问控制列表ACL（Access Control List）即可实现将流规则与流操作关联起来的功能，如包过滤、带宽管理、镜像和流统计等。具体采取何种流控动作，与所处的阶段以及网络当前的负载状况有关。例如，当报文进入网络时依据承诺的平均速率对报文进行监管，流出结点之前进行队列调度管理等。

1.1.3 QoS的功能
1. 包过滤
包过滤就是将业务流进行过滤操作，如丢弃操作（deny），即将匹配流分类规则的业务流丢弃，而允许其他所有流量通过。由于S3526、S3526 FM/S3526 FS以太网交换机采用了复杂的流分类规则，这样可以针对业务流的二层报文的各种信息进行过滤，丢弃那些无用的、不可靠、值得怀疑的业务流，从而增强了网络的安全性。

实现包过滤，有两个关键的环节：

第一步：是对进入端口的流量按即定的规则进行流分类；

第二步：对区分出来的流进行过滤——丢弃操作（deny）。deny为缺省的访问控制操作。

2. 流量监管
为了使有限的网络资源可以更好地为用户服务，QoS在输入端口上可以对特定用户的业务流进行监管，使之适应分配给它的那部分网络资源。

3. 端口限速
端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

4. 重定向
用户可以基于自身QoS策略的需要，重新指定报文的转发端口。

5. 优先级标记
以太网交换机可为特定报文提供优先级标记的服务，标记内容包括TOS、DSCP、802.1p等，这些优先级标记分别适用于不同的QoS模型，在不同的模型中被定义。

6. 为报文选择端口输出队列
以太网交换机可为特定报文选择相应的输出队列。

7. 队列调度
当网络拥塞时，必须解决多个报文同时竞争使用资源的问题，通常采用队列调度加以解决。这里介绍三种各具特色的队列调度算法，严格优先级（Strict-Priority Queue，简称PQ）调度、加权轮循（Weighted Round Robin，简称WRR）调度和带最大迟延的WRR算法。

(1) PQ



图1-1 优先队列示意图

PQ（Priority Queueing）队列调度，是针对关键业务型应用设计的。关键业务有一重要的特点，即在拥塞发生时要求优先获得服务以减小响应的延迟。优先队列将所有报文分成最多至4类，分别为高优先队列、中优先队列、正常优先队列和低优先队列（依次为3、2、1、0队列），它们的优先级依次降低。

在队列调度时，PQ严格按照优先级从高到低的次序优先发送较高优先级队列中的分组，当较高优先级队列为空时，再发送较低优先级队列中的分组。这样，将关键业务的分组放入较高优先级的队列，将非关键业务（如E-Mail）的分组放入较低优先级的队列，可以保证关键业务的分组被优先传送，非关键业务的分组在处理关键业务数据的空闲间隙被传送。

PQ的缺点是：拥塞发生时，如果较高优先级队列中长时间有分组存在，那么低优先级队列中的报文就会由于得不到服务而“饿死”。

(2) WRR

WRR队列调度将每个端口分为四个或8个输出队列（3526E为4个队列，依次为3、2、1、0队列，它们的优先级依次降低），队列之间轮流调度，保证每个队列都得到一定的服务时间，WRR可为每个队列配置一个加权值（依次为w3、w2、w1、w0），加权值表示获取资源的比重。如一个100M的端口，配置它的WRR队列调度算法的加权值为50、30、10、10（依次对应w3、w2、w1、w0），这样可以保证最低优先级队列至少获得10Mbit/s带宽，避免了采用PQ调度时低优先级队列中的报文可能长时间得不到服务的缺点。WRR队列还有一个优点是，虽然多个队列的调度是轮循进行的，但对每个队列不是固定地分配服务时间片——如果某个队列为空，那么马上换到下一个队列调度，这样带宽资源可以得到充分的利用。

(3) 带最大迟延的WRR算法

带最大时延的WRR队列调度与一般的WRR相比，一个特别之处是，保证在优先级最高的队列中的报文从进入队列到离开队列的最大时间不超过所设定的最大时延。

8. 流镜像
流镜像，即能将指定的数据包复制到监控端口，以进行网络检测和故障排除。

9. 基于流的流量统计
基于流的流量统计，针对用户感兴趣的报文作统计分析。

1.1.4 QoS在S3526、S3526 F系列中的实现
S3526 F系列包括S3526 FM/S3526 FS以太网交换机。S3526、S3526 F系列实现基于流分类的QoS，它实现以上功能中的包过滤、流量监管、流镜像、为报文选择端口输出队列、基于流的流量统计、PQ队列调度和WRR队列调度。

1.2 QoS/ACL配置
在QoS的配置过程中，都必须首先配置流分类规则，然后配置针对流的动作，接着把流分类规则和动作联系起来形成访问控制列表，将访问控制列表激活就可以实现QoS的功能。包过滤使用的流分类规则最多可定义1953条，镜像功能使用的的规则最多可定义465条，为报文选择输出队列使用的规则最多可以定义465条，流量监管使用的规则最多可以定义512条，统计功能使用的规则最多可以定义4095条，但所有的流分类规则加在一起不能大于4096条；流动作最多可以定义1024条；流量参数最多可以定义256个；时间范围最多可以定义256个；访问控制列表最多可以定义4096条。

1.2.1 包过滤功能的配置
包过滤的配置步骤如下：

l 定义流分类规则

l 定义包过滤动作

l 定义访问控制列表

l 定义时间段

l 激活访问控制列表

1. 定义流分类规则
本配置任务用来定义流分类的规则，作为对数据流进行包过滤的依据。

S3526、S3526 F系列以太网交换机支持综合二、三、四层报文信息共同描述一个流的特征，用这些信息进行复杂的流分类。

(1) 定义三、四层流分类规则

三、四层流分类规则是根据三、四层报文信息制定的规则。

可以使用下面的命令来定义三、四层流分类规则。

请在全局配置模式下进行下列配置。

表1-1 定义三、四层流分类规则

操作
命令

定义流分类规则
rule-map l3 rule-name [ protocol-type { icmp | tcp | udp } ] sourceip souce-wildcard-mask [ { eq | range } { http | telnet | ftp | tftp | dns | snmp | smtp | source-port1 } [ http | telnet | ftp | tftp | dns | snmp | smtp | source-port2 ] ] destinationip destination-wildcard-mask [ { eq | range } { http | telnet | ftp | tftp | dns | snmp | smtp | dest-port1 } [ http | telnet | ftp | tftp | dns | snmp | smtp | dest-port2 ] ]

删除流分类规则
no rule-map { rule-num | rule-name }




其中，rule-name为流分类规则名。protocol-type为报文的协议类型，可以为ICMP、TCP、UDP。对不同的协议类型，有不同的参数组合，

(2) 定义二层流分类规则

二层流分类规则是根据二层报文信息制定的规则。

可以使用下面的命令来定义二层流分类规则。

请在全局配置模式下进行下列配置。

表1-2 定义二层流分类规则

操作
命令

定义流分类规则
rule-map l2rule-name ingress{ inport-num | in-mac | any } egress { outport-num | out-mac | any }

删除流分类规则
no rule-map { rule-num | rule-name }




交换机通过上面两个表格中的命令，根据报文的三、四层或二层信息描述一个流的特征，用这些信息对数据流进行流分类，通过访问控制列表实现对匹配的报文进行包过滤的功能。

缺省情况下不存在配置好的流规则，所以在实现QoS功能的时候必须首先配置相应的流规则。

2. 定义包过滤动作
可以通过下面的命令来配置对匹配流规则的业务流采用的包过滤动作，以实现包过滤功能。

请在全局配置模式下进行下列配置。

表1-3 定义流的动作

操作
命令

定义流的动作
flow-actionaction-name deny

删除流的动作
no flow-action { action-num | action-name }




将流的动作预先定义好，以便在访问控制列表的定义中引用。S3526、S3526 F系列以太网交换机最多可以配置1024个流动作。

包过滤将丢弃匹配流分类规则的业务流，而允许其他所有流量通过。

3. 定义时间段
可以使用下面的命令来预先定义好时间范围，以便在访问控制列表的定义中引用。

请在全局配置模式下进行下列配置。

表1-4 定义时间段

操作
命令

定义一个时间段
time-range range-name from t1-start to t1-end [ from t2-start to t2-end [ from t3-start to t3-end ] ]

删除一个时间段
no time-range range-name




这些时间段是流的动作生效的时间段，最多允许配置三个时间段。

缺省情况下，没有预先定义好的时间段。

4. 定义访问控制列表
可以使用下面的命令来定义访问控制列表，将事先定义好的流分类规则和包过滤动作联系起来，完成访问控制的定义。

请在全局配置模式下进行下列配置。

表1-5 定义ACL列表

操作
命令

定义一个ACL
acl acl-name rule-name action-name [ time-range range-name { on | off } ]

删除一个ACL
no acl { acl-num | acl-name }




如果在配置过程中不选择time-range参数限制访问控制列表中的流动作生效的时间，流动作将在所有时间内生效。S3526、S3526 F系列以太网交换机最多可以配置4096条访问控制列表。

5. 激活访问控制列表
可以使用下面的命令激活访问控制列表。

请在全局配置模式下进行下列配置。

表1-6 激活ACL配置项

操作
命令

激活一个ACL
access-group { acl-num | acl-name }

取消一个ACL
no access-group { acl-num | acl-name }




访问控制列表被激活后将处于活动状态，一旦进入有效时间段，访问控制列表就进入到运行状态，对匹配规则的业务流实行包过滤的操作。

1.2.2 配置流量监管
流量监管的配置步骤如下：

l 定义流分类规则

l 定义流量参数

l 定义流的动作

l 定义ACL作用的时间段

l 定义访问控制列表

l 激活访问控制列表

1. 定义流分类规则
注意：

对于流量监管中的流规则有如下限制：

流量控制动作（QoS）支持MAC-MAC、MAC-any、any-MAC、IP-IP、IP-any和any-IP，即rule-map l2不能使用egress port-num和ingress port-num参数；rule-map l3之后不可以出现网络IP地址（包括任意网络地址0.0.0.0），只能是主机IP地址，且对于4层应用端口号只支持“等于（eq）”操作，不支持协议类型，不支持操作符“range”等。



本配置任务用来定义流分类的规则，作为对数据流进行流量监管的依据。

此配置使用的命令与包过滤中的相同。

2. 定义流量参数
可以使用下面的命令来定义流量参数，以实行流量监管的功能。

请在全局配置模式下进行下列配置。

表1-7 定义流量参数

操作
命令

定义一个流量参数
traffic traffic-name cdr cdr { k | m }

删除一个流量参数
no traffic traffic-name




要进行流量监管，必须先定义QoS流量参数。S3526、S3526 F系列以太网交换机最多可以配置512个流量参数。

参数cdr表示承诺的平均访问速率，配置的范围为200k～100Mbit/s，粒度为32k，最大可配置100000kbit/s。

3. 定义流量监管动作
可以使用下面的命令来定义流量监管动作，以便在访问控制列表的定义中引用。

请在全局配置模式下进行下列配置。

表1-8 定义流的动作

操作
命令

定义流的动作
flow-actionaction-name car traffic-name cos cos

删除流的动作
no flow-action { action-num | action-name }




本配置将cos值与预先定义的流量参数联合定义一个操作：对于满足流分类规则的报文，交换机对其进行流量参数的带宽限制，系统将根据指定的cos值把它们置入相应队列；满足流分类规则，但超过流量参数带宽限制的报文被丢弃。cos值就是802.1p的优先级，取值范围为0～7，cos值为0、1时入0队列，为2、3时入1队列，为4、5时入2队列，为6、7时入3队列。

4. 定义时间段
本配置使用的命令与包过滤配置中的相同，用来定义流量监管生效的时间段。一次最多允许配置三个时间段。

5. 定义访问控制列表
可以使用下面的命令将事先定义好的流分类规则和流量监管动作加入一个访问控制列表中，实现流量监管策略。

请在全局配置模式下进行配置。

表1-9 定义ACL列表

操作
命令

定义一个ACL
acl acl-name rule-name action-name [ time-range range-name { on | off } ]

删除一个ACL
no acl { acl-num | acl-name }




如果在配置过程中不选择time-range参数限制访问控制列表中的流动作生效的时间，流动作将在所有时间内生效。S3526、S3526 F系列以太网交换机最多可以配置4096条访问控制列表。

6. 激活访问控制列表
可以使用下面的命令激活访问控制列表。

请在全局配置模式下进行下列配置。

表1-10 激活ACL配置项

操作
命令

激活一个ACL
access-group { acl-num | acl-name }

取消一个ACL
no access-group { acl-num | acl-name }




访问控制列表被激活后将处于活动状态，一旦进入有效时间段，访问控制列表就进入到运行状态，对匹配规则的业务流实行流量监管。

1.2.3 为报文选择端口输出队列
为报文选择端口输出队列的配置步骤如下：

l 定义流分类规则

l 定义报文的输出队列

l 定义访问控制列表作用的时间段

l 定义访问控制列表

l 激活访问控制列表

1. 定义流分类规则
本配置任务用来定义流分类的规则，作为对数据流打cos标记的依据。

此配置使用的命令与包过滤中的相同。

2. 定义报文的输出队列
可以使用下面的命令来定义报文的输出队列，以便在访问控制列表的定义中引用。

请在全局配置模式下进行下列配置。

表1-11 定义流的动作

操作
命令

定义流的动作
flow-actionaction-name cos cos

删除流的动作
no flow-action { action-num | action-name }




此操作只是定义报文的输出队列。交换机会并根据此定义中的cos值的大小将报文置入对应的硬件队列。cos的取值即是802.1p优先级的取值，取值范围为0～7，cos值为0、1时入0队列，为2、3时入1队列，为4、5时入2队列，为6、7时入3队列。

3. 定义时间段
本配置使用的命令与包过滤配置中的相同，用来定义为报文选择输出队列操作生效的时间段。

4. 定义访问控制列表
可以使用下面的命令将事先定义好的流分类规则和定义好的报文输出队列加入一个访问控制列表中，实现为报文选择端口输出队列的操作。

请在全局配置模式下进行配置。

表1-12 定义ACL列表

操作
命令

定义一个ACL
acl acl-name rule-name action-name [ time-range range-name { on | off } ]

删除一个ACL
no acl { acl-num | acl-name }




如果在配置过程中不选择time-range参数限制访问控制列表中的流动作生效的时间，流动作将在所有时间内生效。

5. 激活访问控制列表
可以使用下面的命令激活访问控制列表，使访问控制列表将处于活动状态，一旦进入有效时间段，访问控制列表就进入到运行状态，将匹配规则的业务流放入相应的端口输出队列。

请在全局配置模式下进行下列配置。

表1-13 激活ACL配置项

操作
命令

激活一个ACL
access-group { acl-num | acl-name }

取消一个ACL
no access-group { acl-num | acl-name }




访问控制列表被激活后将处于活动状态，一旦进入有效时间段，访问控制列表就进入到运行状态，将匹配规则的报文放入相应的端口输出队列。

1.2.4 设置端口输出队列参数
可以使用下面的命令来配置交换机队列调度的算法和参数。

请在全局配置模式下进行下列配置。

表1-14 定义端口输出队列的权值

操作
命令

定义端口输出队列参数
egress queue ports-list weight w0 w1 w2 w3

恢复端口队列调度方式为缺省配置
no egress queue ports-list




S3526、S3526 F系列以太网交换机每个端口有四个输出队列，交换机会根据报文的优先级将业务流放入相应的端口输出队列。关于报文优先级的配置可以参见前面“配置流量监管”和“为报文选择端口输出队列”中的描述。

而输出队列调度可采用PQ（Priority Queuing）或WRR（Weighted Round Robin）两种方式。如果采用WRR方式需要配置四个输出队列的加权值。

缺省情况下，输出队列调度方式为PQ方式。

1.2.5 镜像功能的配置
S3526、S3526 F系列以太网交换机提供基于流分类的镜像功能，即可将匹配流分类规则的业务流复制到指定的监控端口，用于报文的分析和监视。业务流的分类还可以进一步区分为输入（ingress）流或输出（egress）流，镜像时可以选择其一或者二者都选，使监控手段更加灵活。

镜象功能的配置步骤如下：

l 定义监控端口

l 定义流分类规则

l 定义流的镜像动作

l 定义时间段

l 定义访问控制列表

l 激活访问控制列表

1. 定义监控端口
交换机将匹配规则的业务流镜像到（即复制到）一个指定的端口上，然后通过这个指定端口对业务流进行分析监控，这个端口就是监控端口。

可以使用下面的命令定义交换机的监控端口。

请在全局配置模式下进行下列配置。

表1-15 定义监控端口

操作
命令

定义监控端口
monitor-port port -num

删除监控端口
no monitor-port port -num




S3526、S3526 F系列以太网交换机仅可以指定一个监控端口，且不能是汇聚端口或Trunk端口。

2. 定义流分类规则
本配置任务用来定义流分类的规则，作为对流进行镜像的依据。

此配置使用的命令与包过滤中的相同。

S3526、S3526F系列以太网交换机提供基于流规则的镜像。

当需要监控点到点的流量时，如IP到IP、MAC到MAC，只需配置一条流分类命令即可监控输入、输出双方向的业务流。

当需要监控点到多点（即any）的流量时，如监控Ethernet0/1和其它所有端口之间的业务流（双方向的），需要配置如下两条流分类命令：

l 将从Ethernet0/1 输出的业务流镜像到监控端口

rule-map l2 rule1 ingress ethernet 0/1 egress any

l 将从Ethernet0/1 输入的业务流镜像到监控端口

rule-map l2 rule2 ingress any egress ethernet 0/1

ingress、egress所示流量方向如下图所示：



图1-2 ingress、egress所示流量方向示意图

注意：

(1) 两个规则不可同名，否则后配置的规则会覆盖先配置的规则。

(2) 若只需监控单方向的业务流，选择其中之一即可。

(3) 当2层流规则中出现了MAC地址选项，一定要同时配置该MAC地址所属的VLAN ID。



3. 定义流的镜像动作
可以使用下面的命令来定义流的镜像动作，以便在访问控制列表的定义中引用。

请在全局配置模式下进行下列配置。

表1-16 定义流的动作

操作
命令

定义流的动作
flow-actionaction-name monitor-port

删除流的动作
no flow-action { action-num| action-name }




4. 定义时间段
本配置任务用来定义镜像功能生效的时间段。本配置使用的命令与包过滤配置中的相同，配置的注意事项也类似，可以参见前面的描述。

5. 定义访问控制列表
本配置任务用来将流分类规则和镜像动作联系起来，以实现流镜像功能。本配置使用的命令与包过滤配置中的相同，配置的注意事项也类似，可以参见前面的描述。

6. 激活访问控制列表
本配置任务用来激活访问控制列表，使访问控制列表将处于活动状态，一旦进入有效时间段，访问控制列表就进入到运行状态，对匹配规则的业务流实行镜像操作。本配置使用的命令与包过滤配置中的相同，配置的注意事项也类似，可以参见前面的描述。

1.2.6 统计功能的配置
统计功能配置方法与包过滤的配置基本相同，只是在配置流动作时选择关键字gather。

统计功能的配置步骤如下：

l 定义流分类规则

l 定义流的动作

l 定义ACL作用的时间段

l 定义访问控制列表ACL

l 激活ACL配置项

1. 定义流分类规则
本配置任务用来定义流分类的规则，作为对数据流进行统计的依据。

此配置使用的命令与包过滤中的相同。

注意：

对于统计功能中的流规则有如下限制：

流量统计动作只支持MAC-MAC和IP-IP，即rule-map l2不能使用egress port-num/any和ingress port-num/any参数；rule-map l3之后只能是主机IP地址，不可以出现网络IP地址（包括任意网络地址0.0.0.0），不支持任何协议类型，不支持4层应用端口号，也不支持任何端口号操作符。



2. 定义流的统计动作
可以使用下面的命令来定义流的统计动作，以便在访问控制列表的定义中引用。

请在全局配置模式下进行下列配置。

表1-17 定义流的动作

操作
命令

定义流的动作
flow-actionaction-name gather

删除流的动作
no flow-action { action-num | action-name }




3. 定义时间段
本配置任务用来定义统计功能生效的时间段。本配置使用的命令与包过滤配置中的相同，配置的注意事项也类似，可以参见前面的描述。

4. 定义访问控制列表
本配置任务用来将流分类规则和统计动作联系起来，以实现统计功能。本配置使用的命令与包过滤配置中的相同，配置的注意事项也类似，可以参见前面的描述。

5. 激活访问控制列表
本配置任务用来激活访问控制列表，使访问控制列表将处于活动状态，一旦进入有效时间段，访问控制列表就进入到运行状态，对匹配规则的业务流实行统计操作。本配置使用的命令与包过滤配置中的相同，配置的注意事项也类似，可以参见前面的描述。

& 说明：

在统计功能配置后，即可使用show acl statistics命令显示统计结果。如果想对已经定义好的ACL重新统计，可使用clear acl statistics命令将相应流的统计信息清零，之后再显示的信息即为重新统计的结果。



1.3 QoS及访问控制列表的监控与维护
请在全局配置模式下进行check acl操作，在特权用户模式下进行clear acl statistics、debug qacl操作，show命令可以在除普通用户模式外的所有模式下使用。

表1-18 QoS及访问控制列表的监控与维护

操作
命令

检查ACL配置与设备实际配置的一致性
check acl [ acl-num| acl-name ]

流统计信息清零
clear acl statistics [ acl-num | acl-nam ]

显示配置的流量参数
show traffic [ traffic name ]

显示规则列表或一条规则的内容
show rule-map [ rule-num| rule-name ]

显示动作列表或一个动作的内容
show flow-action [ action-num| action-name ]

显示访问控制列表的配置信息
show acl [ acl-num | acl-name ]

显示指定流的统计信息
show acl statistics [acl-num| acl-name ]

显示时间段信息
show time-range [ tange-name ]

显示端口输出队列配置信息
show egress queue [ port-list ]

查看监控端口
show monitor-port




部分监控维护命令的显示信息及说明如下。

(1) 显示流分类规则

Quidway(config)# show rule-map rule1

Rule Name: rule1

Rule Number: 0

Rule Type: L2

L2 Datagram Type: not configured

Ingress Port: Ethernet0/1

Source MAC Address: not configured

Egress Port: Ethernet0/2

Destination MAC Address: not configured

Referenced ACL(s) include:

acl1

以上显示信息的含义分别是：显示的流规则、流规则的序号、流规则类型、第二层协议类型、输入端口、源MAC地址、输出端口、目的MAC地址、相关的ACL等信息。

(2) 显示流动作

Quidway(config)#show flow-action action-1

Normal Status:

Flow-action Name: action-1

Flow-action Number: 0

New COS Value: 7

CAR Action: traf-1

MIRROR Action: not configured

GATHER Action: not configured

DENY Action: not configured

Referenced Acl(s) include:

acl1

以上显示信息的含义分别是：当前状态、流动作名称、序号、流动作列表中各选项的状态（如：cos值、流量参数和镜像、统计、丢弃是否配置等），最后是应用此动作的ACL名称。

(3) 显示访问控制列表

Quidway(config)# show acl acl1

Acl Name: acl1

Acl Number: 0

Referenced Rule Name: rule2

Referenced Action Name: action-1

Referenced Time Range Name: range-1

Time Range Status: on

Access Status: accessed

Run Status: running

以上显示信息的含义分别是：ACL的名称、序号、各项参数的内容（包括应用的流规则、流动作、时间范围）及其相应状态（是否被激活、是否处于有效时间段）。

(4) 显示指定流的统计信息

Quidway# show acl statistics acl1

Acl Name: acl1

Acl Number: 0

Flow Packet Number: 0

Byte Number: 0

Backward Packet Number: 0

Backward Byte Number: 0

以上显示信息的含义分别是：ACL的名称、序号、符合流规则的正向和反向流的数目。

1.4 QoS及访问控制列表配置示例
1. 组网需求
公司企业网通过S3526以太网交换机的百兆端口实现各部门之间的互连。财务部门由Ethernet0/1端口接入（子网地址10.110.0.0），管理部门由Ethernet0/2端口接入（子网地址10.120.0.0），需要保证这两者之间的5M带宽。总裁办公室（10.110.1.2）由Ethernet0/3端口接入，需要保证总裁办公室到其它部门之间的业务最小带宽为50M。工资查询服务器由端口Ethernet0/4接入，禁止管理部门8:00～18:00之间访问。

2. 组网图


图1-3 访问控制典型配置举例

3. 配置步骤
& 说明：

以下的配置，只列出了与QoS/ACL配置相关的命令。



4. 公司财务部门与管理部门业务的流的定义
！定义公司财务部门与管理部门之间的业务流，用Rcom标识。

& 说明：

财务部门与管理部门位于不同网段，应该使用3层流规则，而2层流规则只能用于同一VLAN内部。



Quidway(config)# rule-map l3 Rcom 10.110.0.0 255.255.0.0 10.120.0.0 255.255.0.0

！定义公司财务部门与管理部门业务的对应流动作，用Acom标识。

Quidway(config)# flow-action Acom cos 5

！配置1#端口输出队列参数。

Quidway(config)# egress queue ethernet 0/1 weight 35 10 5 50

！配置2#端口输出队列参数。

Quidway(config)# egress queue ethernet 0/2 weight 35 10 5 50

！将公司一般业务的流加入ACL。

Quidway(config)# acl acl100 Rcom Acom

！激活或应用 acl acl100。

Quidway(config)# access-group acl100

5. 总裁办公室业务的定义
！定义总裁办公室与各个部门之间业务的流分类规则，名字分别为Rpho1、Rpho2、Rpho3、Rpho4。

Quidway(config)# rule-map l2 Rpho1 ingress ethernet 0/3 egress any

Quidway(config)# rule-map l2 Rpho2 ingress any egress ethernet 0/3

Quidway(config)# rule-map l3 Rpho3 10.110.1.2 255.255.0.0 0.0.0.0 0.0.0.0

Quidway(config)# rule-map l3 Rpho4 0.0.0.0 0.0.0.0 10.110.1.2 255.255.0.0



& 说明：

(1) 因为MAC-ANY、IP-ANY是单向起作用的规则，要想保证总裁办公室与其他部门之间的业务（注意“之间”），这时应该再配置一条反方向的流规则Rpho2、Rpho4，即ANY-MAC、ANY-IP。

(2) 如果在端口Ethernet0/3上只挂一台主机，那么就不用添加新规则Rpho2、Rpho4。

(3) 优先级应该和端口队列加权配合使用，才能实现最小带宽保证，因此，为满足总裁办公室去往其他部门的业务，还应该配置端口Ethernet0/4的输出队列参数。如果在端口Ethernet0/3上还挂有其他主机，还应该配置端口Ethernet0/3的输出队列参数。

(4) 由于总裁办公室与财务部门处于同一网段，即10.110.0.0，所以应该配置二层流规则Rpho1（如处于不同网段，则不用配置Rpho1）。



！定义总裁办公室业务流的动作，命名为Apho。

Quidway(config)# flow-action Apho cos 7

！将流加入ACL列表。

Quidway(config)# acl acl101 Rpho1 Apho

Quidway(config)# acl acl102 Rpho2 Apho

Quidway(config)# acl acl103 Rpho3 Apho

Quidway(config)# acl acl104 Rpho4 Apho

！激活或应用 acl101、 acl102、acl103、acl104。

Quidway(config)# access-group acl101

Quidway(config)# access-group acl102

Quidway(config)# access-group acl103

Quidway(config)# access-group acl104

！配置3#端口输出队列参数。

Quidway(config)# egress queue ethernet 0/3 weight 35 10 5 50

！配置4#端口输出队列参数。

Quidway(config)# egress queue ethernet 0/4 weight 35 10 5 50

6. 对访问禁止站点的管理
！为禁止11.120.0.0网络向禁止站点129.110.1.2发送报文定义一条规则，命名为Rdeny。

Quidway(config)# rule-map l3 Rdeny 11.120.0.0 255.255.0.0 129.110.1.2 255.255.0.0

！定义deny流动作，命名为actiondeny。

Quidway(config)# flow-action actiondeny deny

！定义时间段从8点到18点，命名为time8to18。

Quidway(config)# time-range time8to18 from 8:00:00 to 18:00:00

！将对禁止站点访问的流加入列表。

Quidway(config)# acl acl105 Rdeny actiondeny time-range time8to18 on

！激活或应用acl105。

Quidway(config)# access-group acl105





第2章 S3526E系列的ACL
2.1 访问控制列表简介
2.1.1 访问控制列表概述
网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。

ACL根据一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。

由ACL定义的数据包匹配规则，还可以被其它需要对流进行区分的场合引用，如QoS中流分类规则的定义。

2.1.2 匹配顺序的配置
一条访问控制规则可以由多条“permit | deny”语句组成，而每一条语句指定的数据包的范围大小有别，在匹配一个数据包和访问控制规则的时候就存在匹配顺序的问题。可以用下面的命令设置访问控制规则的匹配顺序：

access-list access-list-number match-order { config |auto }

参数说明：

l access-list-number：访问控制规则序号，1到399和1000到1999之间的数字。

l config：指定匹配该规则时按用户的配置顺序。

l auto：指定匹配该规则时系统自动排序。（按“深度优先”的顺序）

缺省情况下匹配顺序为按用户的配置排序，即“config”。用户一旦指定某一条访问控制规则的匹配顺序，就不能再更改该顺序，除非把该规则的内容全部删除，再重新指定其匹配顺序。

auto所用的“深度优先”的原则是指：把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机：129.102.1.1，而129.102.1.1 0.0.255.255则指定了一个网段：129.102.1.1～129.102.255.255，显然前者在访问控制规则中排在前面。具体标准为：对于标准访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口过滤的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于扩展访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。

2.1.3 S3526E系列以太网交换机支持的访问控制列表
S3526E系列包括S3526 E、S3526E FM、S3526E FS以太网交换机。

在S3526E系列以太网交换机中，访问控制列表分为以下几类：

l 基于数字标识的标准访问控制列表。

l 基于名字标识的标准访问控制列表。

l 基于数字标识的扩展访问控制列表。

l 基于名字标识的扩展访问控制列表。

l 基于数字标识的接口访问控制列表。

l 基于数字标识的二层访问控制列表。

l 基于名字标识的二层访问控制列表。

l 基于数字标识的用户自定义型访问控制列表。

l 基于名字标识的用户自定义型访问控制列表。

2.2 ACL配置
2.2.1 配置任务列表
访问控制列表配置包括以下任务：

l 配置时间段

l 定义访问控制列表

l 激活访问控制列表

以上三个步骤必须依次进行，先配置时间段，然后定义访问控制列表，在其中会引用定义好的时间段，最后激活访问控制列表，使其生效。

2.2.2 时间段配置
1. 进入time-range时间配置模式
可以使用下面的命令进入time-range时间配置模式，在此模式下可以进行时间段的配置工作。

请在全局配置模式下进行下列配置。

表2-1 进入time-range时间配置模式

操作
命令

进入time-range配置模式
time-range time-range-name




配置时间段可以有两种形式：配置绝对时间范围和配置周期时间范围。配置绝对时间范围采用的时间是年、月、日、时、分的形式，配置周期时间范围采用的时间是每周的周几、几点、几分的形式。

2. 创建绝对时间范围
可以使用下面的命令来创建绝对时间范围。

请在time-range时间配置模式下进行下列配置。

表2-2 创建绝对时间范围

操作
命令

创建绝对时间范围
absolute [ start time date ] [ end time date ]

删除绝对时间范围
no absolute




如果不配置起始时间，表示对起始时间没有限制，只关心结束时间；如果不配置结束时间，则结束时间为系统可以表示的最大时间。结束时间必须大于起始时间。

绝对时间范围为时间段确定一个大的生效时间，也为周期时间范围限定其发生作用的时间范围。绝对时间段可以配置12个。

3. 创建周期时间范围
可以使用下面的命令来创建周期时间范围。

请在time-range时间配置模式下进行下列配置。

表2-3 创建周期时间范围

操作
命令

创建周期时间范围
periodic days-of-the-week hh:mm to [ day-of-the-week ] hh:mm

删除周期时间范围
no periodic days-of-the-week hh:mm to [ day-of-the-week ] hh:mm




周期时间范围的生效周期为一周。周期时间段最多可以配置32个。

2.2.3 定义访问控制列表
S3526 E系列交换机支持多种访问控制列表，下面分别介绍如何定义这些访问控制列表。

l 定义标准访问控制列表

交换机最多可以定义99条以数字标识的标准访问控制列表（其数字标号取值范围为1～99），最多可以定义1000条以名字标识的标准访问控制列表，一共可以定义3000条子规则。同时交换机最多可以为一条访问控制列表定义128条子规则（此规定同时适用于以数字标识的访问控制列表和以名字标识的访问控制列表）。标准访问控制列表只根据三层源IP制定规则，对数据包进行相应的分析处理。

(1) 定义基于数字标识的标准访问控制列表

基于数字标识的标准访问控制列表就是用数字标识的标准访问控制列表。

可以使用下面的命令来定义基于数字标识的标准访问控制列表。

请在全局配置模式下进行下列配置。

表2-4 定义基于数字标识的标准访问控制列表

操作
命令

定义通过数字引用的标准访问控制列表
access-list access-list-number { deny | permit | match-order { config | auto } } { source-addr source-wildcard | any ] [ fragments ] [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用access-list命令给同一个访问控制列表定义多条规则。

如果定义中不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。

具体参数的含义请参见本章对应的命令参考。

(2) 定义基于名字标识的标准访问控制列表

基于名字标识的标准访问控制列表就是用名字标识的标准访问控制列表。

& 说明：

定义基于名字标识的标准访问控制列表需要进入专门的配置模式：在全局配置模式下使用access-list standard 命令，该命令将同时指定访问列表的匹配顺序；可以使用命令exit退出该配置模式。



可以使用下面的命令来定义基于名字标识的标准访问控制列表。

请在相应配置模式下进行下列配置。

表2-5 定义基于名字标识的标准访问控制列表

操作
命令

进入基于名字标识的标准访问控制列表配置模式（全局配置模式）
access-list standard name [ match-order { config | auto } ]

定义标准访问控制列表规则（基于名字标识的标准访问控制列表配置模式）
{ permit | deny } { source-addr source-wildcard | any } [ fragments ] [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表（全局配置模式）
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用{ permit | deny }命令给同一个访问控制列表定义多条规则。

而且用户一旦指定某一条访问控制列表规则的匹配顺序，就不能再更改该顺序。

缺省情况下访问控制列表中的匹配顺序为按用户配置顺序（config）。

参数详细介绍请参见本章对应的命令参考。

l 定义扩展访问控制列表

交换机最多可以定义100条以数字标识的扩展访问控制列表（其数字标号取值范围为100～199），最多可以定义1000条以名字标识的扩展访问控制列表，一共可以定义3000条子规则。同时交换机最多可以为一条访问控制列表定义128条子规则（此规定同时适用于以数字标识的访问控制列表和以名字标识的访问控制列表）。它根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。扩展访问控制列表支持对三种报文优先级的分析处理：802.1p优先级、IP优先级和DSCP优先级。

(3) 定义基于数字标识的扩展访问控制列表

基于数字标识的扩展访问控制列表就是用数字标识的扩展访问控制列表。

可以使用下面的命令来定义基于数字标识的扩展访问控制列表。

请在全局配置模式下进行下列配置。

表2-6 定义基于数字标识的扩展访问控制列表

操作
命令

定义基于数字标识的扩展访问控制列表
access-list access-list-number2 { permit | deny } [ protocol ] [ established ] { source-addr source-wildcard | any } [ operator port1 [ port2 ] ] { dest-addr dest-wildcard | any } [ operator port1 [ port2 ] ] [ icmp-type [ icmp-code ] ] [ fragments ] { [ precedence precedence ] | [ dscp dscp ] [ tos tos ] } [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用access-list命令给同一个访问控制列表定义多条规则。

扩展访问控制列表的数字标识取值范围为100～199。

需要注意的是，上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，如使用“bgp”来代替BGP协议使用的TCP端口号179。

关于命令的详细描述可以参见对应的命令参考。

(4) 定义基于名字标识的扩展访问控制列表

基于名字标识的扩展访问控制列表就是用名字标识的扩展访问控制列表。

& 说明：

定义基于名字标识的扩展访问控制列表需要进入专门的配置模式：在全局配置模式下使用access-list extended 命令，该命令将同时指定访问列表的匹配顺序。可以使用命令exit退出该配置模式。



可以使用下面的命令来定义基于名字标识的扩展访问控制列表。

请在相应配置模式下进行下列配置。

表2-7 定义基于名字标识的扩展访问控制列表

操作
命令

进入基于名字标识的扩展访问控制列表配置模式（全局配置模式）
access-list extended name [ match-order { config | auto } ]

定义扩展访问控制列表（基于名字标识的扩展访问控制列表配置模式）
{ permit | deny } [ protocol ] [ established ] { source-addr source-wildcard | any } [ operator port1 [ port2 ] ] { dest-addr dest-wildcard | any } [ operator port1 [ port2 ] ] [ icmp-type [ icmp-code ] ] { [ precedence precedence ] | [ dscp dscp ] [ tos tos ] } [ fragments ] [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表（全局配置模式）
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用{ permit | deny }命令给同一个访问控制列表定义多条规则。

而且用户一旦指定某一条访问控制列表规则的匹配顺序，就不能再更改该顺序。

需要注意的是，上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，如使用“bgp”来代替BGP协议使用的TCP端口号179。

缺省情况下访问控制列表中的匹配顺序为按用户配置顺序（config）。

命令的详细描述请参见本章对应的命令参考。

l 定义接口访问控制列表

接口访问控制列表只能通过数字标识来定义，最多可以定义1000条。它根据接收数据包的三层接口等制定分类规则，对数据包进行相应的处理。

可以使用下面的命令来定义基于数字标识的接口访问控制列表。

请在全局配置模式下进行下列配置。

表2-8 定义基于数字标识的接口访问控制列表

操作
命令

定义基于数字标识的接口访问控制列表
access-list access-list-number5 { permit | deny } interface { interface-name | interface-type interface-num | any } [ fragments ] [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用access-list命令给同一个访问控制列表定义多条规则。

基于数字标识的接口访问控制列表的数字标识的取值范围为1000～1999。

命令的详细描述请参见本章对应的命令参考。

& 说明：

在以太网交换机中，不存在三层物理接口，只存在三层Vlan虚接口，因此当命令行提示用户输入接口类型时，只能选择Vlan-interface型的接口，选择了其他类型的接口类型，命令行将会提示失败。



l 定义二层访问控制列表

交换机最多可以定义100条以数字标识的二层访问控制列表（其数字标号取值范围为200～299），最多可以定义1000条以名字标识的二层访问控制列表，一共可以定义3000条子规则。同时交换机最多可以为一条访问控制列表定义128条子规则（此规定同时适用于以数字标识的访问控制列表和以名字标识的访问控制列表）。二层访问控制列表根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行相应处理。

(5) 定义基于数字标识的二层访问控制列表

基于数字标识的二层访问控制列表就是使用数字标识的二层访问控制列表。

可以使用下面的命令来定义基于数字标识的二层访问控制列表。

请在全局配置模式下进行下列配置。

表2-9 定义基于数字标识的二层访问控制列表

操作
命令

定义基于数字标识的二层访问控制列表
access-list access-list-number3 { permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用access-list命令给同一个访问控制列表定义多条规则。

二层访问控制列表的数字标识取值范围为200～299。

上述命令中的interface参数指定的是二层接口，如交换机的以太网端口。

命令的详细描述请参见本章对应的命令参考。

(6) 定义基于名字标识的二层访问控制列表

基于名字标识的二层访问控制列表就是使用名字标识的二层访问控制列表。

& 说明：

定义基于名字标识的二层访问控制列表需要进入专门的配置模式：在全局配置模式下使用access-list link命令，该命令将同时指定访问列表的匹配顺序。可以使用命令exit退出该配置模式。



可以使用下面的命令来定义基于名字标识的二层访问控制列表

请在相应配置模式下进行下列配置。

表2-10 定义基于名字标识的二层访问控制列表

操作
命令

进入基于名字标识的二层访问控制列表配置模式（全局配置模式）
access-list link name [ match-order { config | auto } ]

定义二层访问控制列表（基于名字标识的二层访问控制列表配置模式）
{ permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表（全局配置模式）
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用{ permit | deny }命令给同一个访问控制列表定义多条规则。

而且用户一旦指定某一条访问控制列表规则的匹配顺序，就不能再更改该顺序。

需要注意的是，上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，如使用“bgp”来代替BGP协议使用的TCP端口号179。

缺省情况下访问控制列表中的匹配顺序为按用户配置顺序（config）。

命令的详细描述请参见本章对应的命令参考。

l 定义用户自定义访问控制列表

用户最多可以定义100条以数字标识的用户自定义访问控制列表（其数字标号取值范围为300～399），最多可以定义1000条以名字标识的用户自定义访问控制列表，一共可以定义3000条子规则。同时交换机最多可以为一条访问控制列表定义128条子规则（此规定同时适用于以数字标识的访问控制列表和以名字标识的访问控制列表）。用户自定义访问控制列表根据用户定义的规则字符串来匹配数据报文，对数据报文作出相应的处理。

(7) 定义基于数字标识的用户自定义访问控制列表

基于数字标识的用户自定义访问控制列表就是使用数字标识的用户自定义访问控制列表。

可以使用下面的命令来定义基于数字标识的用户自定义访问控制列表。

请在全局配置模式下进行下列配置。

表2-11 定义基于数字标识的用户自定义访问控制列表

操作
命令

定义基于数字标识的用户自定义访问控制列表
access-list access-list-number4{ permit | deny } { rule-string rule-mask offset }&<1-20> [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表。
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }




在定义过程中，可以多次使用access-list命令给同一个访问控制列表定义多条规则。

用户自定义访问控制列表的数字标识取值范围为300～399。

命令的详细描述请参见本章对应的命令参考。

(8) 配置基于名字标识的用户自定义访问控制列表

基于名字标识的用户自定义访问控制列表就是使用名字标识的用户自定义访问控制列表。

& 说明：

定义基于名字标识的用户自定义访问控制列表需要进入专门的配置模式：在全局配置模式下使用access-list user命令，该命令将同时指定访问列表的匹配顺序。可以使用命令exit退出该配置模式。



可以使用下面的命令来定义基于名字标识的用户自定义访问控制列表。

请在相应配置模式下进行下列配置。

表2-12 定义基于名字标识的用户自定义访问控制列表

操作
命令

进入基于名字标识的用户自定义访问控制列表配置模式（全局配置模式）
access-list user name [ match-order { config | auto } ]

定义用户自定义访问控制列表（用户自定义访问控制列表配置模式）
{ permit | deny } { rule-string rule-mask offset }&<1-20> [ time-range time-range-name ]

删除访问控制列表的所有子项或其中一个子项，或者删除全部访问控制列表（全局配置模式）
no access-list { all | { access-list-number | access-list-name } [ subitem subitem ] }


在定义过程中，可以多次使用{ permit | deny }命令给同一个访问控制列表定义多条规则。

创建一个以“access-list-name”命名的用户自定义访问控制列表，并进入访问控制列表配置模式。其中“access-list-name”参数是字符串，必须以英文字母（即[a～z，A～Z]）开头，而且中间不可以有空格和引号，名字不可以为“all”，系统不区分名字的大小写。

后面的“match-order”语句和用数字引用的访问控制列表规则一样，也是用来指定该规则的匹配顺序。如果不用“match-order”指定，则缺省为按用户配置顺序（config）。而且用户一旦指定某一条访问控制列表规则的匹配顺序，就不能再更改该顺序。

参数详细介绍请参见数字标识的用户自定义访问控制列表。

2.2.4 激活访问控制列表
将访问控制列表定义好后，必须激活之后才能使之生效，即将之应用于交换机的全局或某个接口。

可以使用下面的命令来激活定义好的访问控制列表。

请在全局配置模式下进行下列配置。

表2-13 激活ACL

操作
命令

激活访问控制列表
access-group { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }

取消激活访问控制列表
no access-group { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }




& 说明：

本命令支持同时激活二层访问控制列表和三层访问控制列表，但是要求组合项的动作一致，如果动作冲突（一个是permit另一个是deny）则不能激活。



2.3 访问控制列表的监控与维护
请在 除普通用户模式之外的所有模式下进行下列操作。

表2-14 访问控制列表的监控和维护

操作
命令

显示时间段状况
show time-range[ time-range-name ]

显示访问控制列表的详细配置信息
show access-lists config { all | access-list-number | access-list-name }

显示访问控制列表的下发应用信息
show access-lists runtime all

清除访问控制列表的统计信息
clear access-list counters { all | access-list-number | access-list-name }




具体的参数说明请参见命令参考手册。

2.4 访问控制列表典型配置案例
1. 组网需求
公司企业网通过S3526E以太网交换机的百兆端口实现各部门之间的互连。财务部门的工资查询服务器由Ethernet2/1端口接入（子网地址129.110.1.2）。要求正确配置ACL，限制其它部门在上班时间8:00至12:00访问工资服务器，而总裁办公室（IP地址：129.111.1.2）不受限制，可以随时访问。组网图中交换机为S3526E。

2. 组网图


图2-1 访问控制典型配置举例

3. 配置步骤
& 说明：

以下的配置，只列出了与ACL配置相关的命令。



(1) 定义上班时间时间段

！进入时间段配置模式，该时间段名为time-on-duty。

Quidway(config)# time-rangetime-on-duty

！定义8:00至12:00的周期时间段。

Quidway(config-timerange- time-on-duty)# periodic daily 8:00 to 12:00

(2) 定义到工资服务器的ACL

！进入基于名字的扩展访问控制列表，命名为traffic-to-payserver。

Quidway(config)# acl extended traffic-to-payserver

！定义总裁办公室到工资服务器的访问规则。

Quidway(config-ext-nacl-traffic-to-payserver)# permit ip 129.111.1.2 0.0.0.0 129.110.1.2 0.0.0.0

！定义其它部门到工资服务器的访问规则。

Quidway(config-ext-nacl-traffic-to-payserver)# deny ip any 129.110.1.2 0.0.0.0 time-range time-on-duty

(3) 激活ACL。

！将traffic-to-payserver的ACL应用于交换机所有接口。

Quidway(config-if-Ethernet2/1)# access-group ip-group traffic-to-payserver





第3章 S3526E系列的QoS
3.1 QoS简介
关于QoS的介绍可以参见“S3526/S3526 F系列的QoS/ACL”章节的简介部分。

S3526E系列包括S3526 E、S3526E FM、S3526E FS以太网交换机。

S3526E系列交换机通过对访问控制列表的引用来完成QoS功能，它实现的QoS功能包括流量监管、端口限速、报文重定向、优先级标记、队列调度、流镜像、流量统计等。

3.2 QoS配置
3.2.1 QoS配置任务列表
QoS配置包括以下任务

l 流量监管

l 速率限制

l 重定向配置

l 优先级标记

l 队列调度

l 流镜像

l 流量统计

必须首先定义并激活相应的访问控制列表，才能进行以上的QoS配置。

3.2.2 流量监管
流量监管是基于流的速率限制，它可以监督某一流量的速率，如果流量超出指定的规格，就采用相应的措施，如丢弃那些超出规格的报文或重新设置它们的优先级。

可以使用下面的命令来配置流量监管。

请在以太网端口配置模式下进行下列配置。

表3-1 速率限制配置

操作
命令

基于流的速率限制配置
rate-limit input { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } } target-rate [ exceed-action action ]

取消基于流的速率限制配置
no rate-limit input { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }




在进行此项配置之前一定要先定义并激活相应的访问控制列表。

本配置任务的目的是匹配访问控制列表的数据流实现流量监管：数据的流量不超过设定流量时可以采取一些处理动作，如重新设置报文的优先级；数据的流量超过设定流量采取另外的动作，如丢弃报文。

关于命令的详细描述请参见本章相应的命令参考。

3.2.3 端口限速
端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

可以使用下面的命令进行端口限速配置。

请在以太网端口配置模式下进行下列配置。

表3-2 端口限速配置

操作
命令

基于端口的速率限制配置
line-rate target-rate

取消基于端口的速率限制配置
no line-rate




S3526E系列以太网交换机支持对单个端口的端口限速。

关于命令的详细描述请参见本章对应的命令参考。

3.2.4 报文重定向配置
报文重定向就是用户将要转发的报文重定向到CPU或者重定向到某一个出端口。

可以使用下面的命令来进行报文重定向配置。

请在全局模式下配置。

表3-3 重定向配置

操作
命令

重定向配置配置
traffic-redirect { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } } { cpu | { interface interface-name | interface-type interface-num } }

取消重定向配置的配置
no traffic-redirect { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }




需要注意的是，当报文被重定向到CPU后，将不再被正常转发。

& 说明：

重定向配置仅对访问列表中动作为permit的规则有效。



关于命令的详细描述请参见本章对应的命令参考。

3.2.5 优先级标记配置
优先级标记配置就是为匹配访问控制列表的报文重新标记优先级的策略，所标记的优先级可以填入报文头部反映优先级的域中。

可以使用下面的命令来进行优先级标记配置。

请在全局模式下配置。

表3-4 标记报文优先级（集中式系统）

操作
命令

标记报文优先级
traffic-priority { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } } { [dscp dscp-value ] [ ip-precedence { pre-value | from-cos } ] [ cos { pre-value | from-ipprec } ] [ local-precedence pre-value ] }

取消标记报文优先级的配置
no traffic-priority { access-list-number | access-list-name }


S3526E系列以太网交换机支持为报文打上IP优先级（traffic-priority命令中的ip-precedence指定的值）、DSCP（traffic-priority命令中的dscp指定的值）、802.1p优先级（即traffic-priority命令中的cos值）。用户可以根据实际的QoS的策略要求给报文打上不同的优先级。交换机根据报文的802.1p优先级将报文放入对应的端口输出队列，同时也支持根据traffic-priority命令指定的本地优先级（命令中的local-precedence指定的值）直接将报文放入相应的端口输出队列。如果同时指定的802.1p优先级和本地优先级，交换机将优先采用802.1p优先级把报文放入相应的端口输出队列。

关于命令的详细描述请参见本章对应的命令参考。

3.2.6 队列调度配置
当网络拥塞时，必须解决多个报文同时竞争使用资源的问题，通常采用队列调度加以解决。

可以使用下面的命令来进行队列调度配置。

请在全局配置模式下进行下列配置。

表3-5 设置队列调度算法

操作
命令

设置队列调度算法
queue-scheduler { strict-priority | wrr queue1-weight queue2-weight queue3-weight queue4-weight | wrr-max-delay queue1-weight queue2-weight queue3-weight queue4-weight maxdelay }

恢复队列调度算法的缺省值
no queue-scheduler




S3526E系列以太网交换机支持3种队列调度模式：严格优先调度、加权轮循调度以及带最大时延的加权轮循。

缺省情况下交换机采用为严格优先调度模式。

关于命令的详细描述请参见本章对应的命令参考。

3.2.7 流镜像配置
流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视。

可以使用下面的命令进行流镜像配置。

请在全局配置模式下进行下列配置。

表3-6 流镜像配置

操作
命令

流镜像配置
mirrored-to { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [subitem subitem ] ] } } [ interface interface-name | interface-type interface-num ]

取消流镜像的配置
no mirrored-to { user-group { access-list-number | access-list-name } [subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [subitem subitem ] ] [ link-group { access-list-number | access-list-name } [subitem subitem ] ] } }




关于命令的详细描述请参见本章对应的命令参考。

3.2.8 流量统计配置
流量统计用于统计指定业务流的数据包。

可以使用下面的命令来进行流量统计配置。

请在全局配置模式下进行下列配置。

表3-7 流量统计配置

操作
命令

流量统计配置
traffic-statistic { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }

统计信息清零
clear traffic-statistic { all | user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }

取消流量统计配置
no traffic-statistic { user-group { access-list-number | access-list-name } [ subitem subitem ] | { [ ip-group { access-list-number | access-list-name } [ subitem subitem ] ] [ link-group { access-list-number | access-list-name } [ subitem subitem ] ] } }




关于命令的详细描述请参见本章对应的命令参考。

3.3 QoS的监控与维护
show命令可以在除普通用户模式外的所有模式下使用。

表3-8 QoS的监控与维护

操作
命令

显示所有QoS动作的参数设置
show qos-info all

显示流镜像的参数设置
show qos-info mirrored-to

显示队列调度模式及参数
show queue-scheduler

显示所有端口的QoS设置信息
show qos-interface [ interface-name | interface-type interface-num ] all

显示流量限制的参数设置
show qos-interface[ interface-name | interface-type interface-num ] rate-limit

显示端口限速的参数设置
show qos-interface [ interface-name | interface-type interface-num ] line-rate

显示优先级标记的参数设置
show qos-info traffic-priority

显示重定向的参数设置
show qos-info traffic-redirect

显示流量统计信息
show qos-info traffic-statistic




相关命令显示信息及说明请参见命令参考手册。

3.4 QoS配置示例
1. 组网需求
公司企业网通过S3526E以太网交换机的百兆端口实现各部门之间的互连。财务部门的工资查询服务器由Ethernet2/1端口接入（子网地址129.110.1.2），要求限制其它部门访问服务器的流量，限制流量的平均速率不能超过20M，对符合流量规格的报文设置IP优先级为7，超出规格的报文设置优先级为4。组网图中SWITCH为S3526E。

2. 组网图


图3-1 访问控制典型配置举例

3. 配置步骤
& 说明：

以下的配置，只列出了与QoS/ACL配置相关的命令。



(1) 定义访问工资管理服务器的流量

！进入基于名字标识的扩展访问控制列表，用traffic-to-payserver标识。

Quidway(config)# access-list extended traffic-to-payserver

！定义traffic-to-payserver。

Quidway(config-ext-nacl-traffic-to-payserver)# permit ip any 129.110.1.2 0.0.0.0

(2) 定义对traffic-to-payserver的流量限制

！限制traffic-to-payserver的平均速率为20M，对符合流量规格的报文设置IP优先级为7，超出规格的报文设置优先级为4。

Quidway(config-if-Ethernet0/4)# rate-limit ip-group traffic-to-payserver 20 conform-action set-ip-precedence 7 exceed-action set-ip-precedence 4

part 10 集中管理配置

第1章 堆叠功能配置
1.1 堆叠功能简介
堆叠是由一些通过堆叠口相连的以太网交换机组成的一个管理域，其中包括一个主交换机和若干个从交换机。堆叠在一起的以太网交换机可看作为一个设备，用户可通过主交换机实现对堆叠内所有交换机的管理。

当多个以太网交换机通过堆叠口相连时，用户可以在其中一台进行配置，把它们设置成堆叠，并把当前进行配置的以太网交换机设置为堆叠中的主交换机。

堆叠的建立过程如下：用户首先设置堆叠可选的私网IP地址范围，并启用堆叠功能；然后系统会自动将与主交换机堆叠口相连的交换机加入到堆叠中。主交换机在从交换机加入堆叠时，自动给从交换机分配可用的IP地址。在建立了堆叠后，如果有新的交换机和主交换机通过堆叠口相连，系统将自动把新的交换机加入到堆叠中。

堆叠是通过堆叠口的连接来判断的，只要发现连接断开，从交换机自动退出堆叠。

1.2 堆叠功能配置
1.2.1 堆叠功能配置任务列表
堆叠功能主要配置任务列表如下：

l 配置堆叠IP地址池

l 建立/删除堆叠

l 切换到从交换机上进行配置

1.2.2 配置堆叠IP地址池
在建立堆叠前，用户需首先设置堆叠可选的私网IP地址范围，主交换机将在从交换机加入堆叠时，自动给从交换机分配已设置的IP地址范围内的IP地址。

请在全局配置模式下进行下列配置。

表1-1 配置堆叠IP地址池

操作
命令

配置堆叠IP地址范围
stack ip-pool from-ip-address ip-address-number

恢复堆叠缺省的IP地址范围
no stack ip-pool




需要注意的是，本配置只能在非堆叠交换机上使用。如果堆叠已经建立，则不能修改IP地址范围。

缺省情况下，IP起始地址为172.31.0.1，地址池中的IP地址个数为5。

1.2.3 建立/删除堆叠
当用户使用以下命令建立堆叠时，系统会自动将与主交换机堆叠口相连的交换机加入到堆叠中。堆叠建立后，如果堆叠口连接断开，则从交换机自动退出堆叠。

请在特权用户模式下进行下列配置。

表1-2 建立/删除堆叠

操作
命令

建立堆叠
stack enable

删除堆叠
no stack enable




需要注意的是，删除堆叠操作只能在堆叠主交换机上进行。

1.2.4 切换到从交换机上进行配置
可以使用以下命令从堆叠主交换机上切换到从交换机上进行配置。

请在普通或特权用户模式下进行下列配置。

表1-3 切换到从交换机上进行配置

操作
命令

切换到从交换机上进行配置
stack num




需要注意的是，本命令仅可以从主交换机切换到从交换机，且切换时用户级别不变。如果从从交换机切换回主交换机，则只需输入exit即可。

1.3 堆叠功能监控与维护
请在除普通用户模式外的所有配置模式下进行下列操作。

表1-4 堆叠功能的监控和维护命令

操作
命令

在主交换机上显示堆叠状态信息
show stack [ members ]

在从交换机上显示堆叠状态信息
show stack




在主交换机上使用该命令时，如不带members，将显示本交换机是堆叠的主交换机以及堆叠中包含的交换机数目；如带members，将显示堆叠的成员信息，包括主/从交换机的堆叠号、堆叠的设备名称、MAC地址以及状态等。

在从交换机上使用此命令时，将显示本交换机是堆叠的从交换机、本交换机的堆叠号、堆叠中主交换机的MAC地址。

！在主交换机上显示堆叠信息。

stack_0.Quidway# show stack

Main device for stack.

Total members:2

！在主交换机上显示堆叠成员信息。

stack_0.Quidway# show stack members

Member number: 0

Name:stack_0.Quidway

Device:Quidway S3026

MAC Address:00e0.fc07.0bc0

Member status:Cmdr



Member number: 1

Name:stack_1.Quidway

Device:Quidway S3026

MAC Address:00e0.fc07.58a0

Member status:Up

1.4 堆叠功能配置举例
1. 组网需求
S3526以太网交换机A与S3026以太网交换机B、C通过堆叠口相连，组成一个堆叠组。S3526 A作为主交换机，S3026 B、S3026 C作为从交换机，网络管理员通过S3526 A实现对S3026 B、S3026 C的管理。

2. 组网图


图1-1 配置堆叠功能示例图

3. 配置步骤
！在交换机S3526 A上配置堆叠IP地址池。

Quidway(config)# stack ip-pool 129.10.1.1 5

！在交换机S3526 A上建立堆叠。

Quidway# stack enable

！在主交换机S3526 A上显示堆叠信息。

stack_0.Quidway# show stack

Main device for stack.

Total members:3

！在主交换机S3526 A上显示堆叠成员信息。

stack_0.Quidway# show stack members

Member number: 0

Name:stack_0.Quidway

Device:Quidway S3526

MAC Address:00e0.fc07.0bc0

Member status:Cmdr



Member number: 1

Name:stack_1.Quidway

Device:Quidway S3026

MAC Address:00e0.fc07.58a0

Member status:Up



Member number: 2

Name:stack_2.Quidway

Device:Quidway S3026

MAC Address:00e0.fc07.58a1

Member status:Up

！切换到从交换机S3026 B上进行配置。

stack_0.Quidway# stack 1

stack_1.Quidway#

！在从交换机S3026 B上显示堆叠信息。

stack_1.Quidway# show stack

Slave device for stack.

Member number: 1

Main switch mac address:00e0.fc07.0bc0

！切换回主交换机S3526 A上进行配置。

stack_1.Quidway# exit

stack_0.Quidway#

！切换到从交换机S3026 C上进行配置。

stack_0.Quidway# stack 2

stack_2.Quidway#

！切换回主交换机S3526 A上进行配置。

stack_2.Quidway# exit

stack_0.Quidway#





第2章 HGMP V1配置
2.1 HGMP V1简介
HGMP（Huawei Group Management Protocol，华为组管理协议）主要实现两方面的功能：一是通过本协议，管理设备可以对交换机实现集中管理，如交换机的注册、软件的升级、配置查询和设定、重启动等操作；二是可以通过本协议支持交换机的级联工作方式，即一台交换机可以不与管理设备直接相连，而是通过级联的其他交换机与管理设备相连。

HGMP V1分为HGMP Server和HGMP Client。HGMP Server在管理设备上实现，主要是提供人机命令输入接口，控制维护命令的显示，同时提供一定的数据结构以存储其下挂的多台以太网交换机的相关信息。而HGMP Client则主要要求根据管理设备下发的维护和查询命令作出相应的处理，同时保证与管理设备之间的通信。

HGMP V1在华为系列网络产品中主要用于：

l MA5200作为HGMP Server，下挂的以太网交换机作为HGMP Client。详细情况可以参见MA5200的用户手册。

l S3500系列（包括S3526、S3526 FM、S3526 FS、S3526E、S3526E FM、S3526E FS）、S3000系列（包括S3026、S3026 FM、S3026 FS、S3026E、S3026E FM、S3026E FS）或者2000系列（包括S2026、S2008/S2016、S2403H）以太网交换机作为HGMP Server，S2403F以太网交换机、S2008B/S2016B以太网交换机作为HGMP Client，典型的组网情况如下图所示。



图2-1 HGMP V1典型组网示意图

S3026/S2008/S2016/S2026/S2403H以太网交换机支持HGMP Client，可以接受MA5200的管理，也支持HGMP Server，可以对S2403F、S2008B/S2016B以太网交换机进行管理，但是两种情况不能同时在一个组网环境中应用。

2.2 HGMP Client配置
2.2.1 HGMP Client配置任务列表
& 说明：

S3026、S2026以太网交换机、S2008/S2016以太网交换机、S2403H以太网交换机作为HGMP Client时，必须要通过固定的上行端口与管理设备相连。这些上行端口包括

S3026：Ethernet0/24、Ethernet1/1、Ethernet2/1。

S2026：Ethernet0/24、Ethernet1/1、Ethernet2/1。

S2008：Ethernet0/9、Ethernet0/10、Ethernet1/1。

S2016：Ethernet0/15、Ethernet0/16、Ethernet0/17、Ethernet1/1。

S2403H：Ethernet0/25、Ethernet1/1。



HGMP Client的配置任务如下：

l 在交换机Bootrom中选择HGMP模式

l 在交换机启动后配置HGMP Client

2.2.2 在交换机Bootrom中选择HGMP模式
在交换机上启动HGMP Client必须经过以下步骤：

(1) 用户通过Console口连接交换机。

(2) 在以太网交换机启动的时候使用组合键“Ctrl＋B”进入Bootrom菜单。

(3) 选择选项“6. Set switch HGMP mode”使交换机选择HGMP模式启动。

(4) 系统会提示当前HGMP模式是关闭的，并询问是否确认打开HGMP模式“Current HGMP mode is OFF. Are you sure to turn on HGMP mode? Yes or No(Y/N)”。

(5) 回答“Y”，则系统提示HGMP模式被打开，显示“Turn on HGMP mode successfully!”。此时系统重新进入Bootrom主菜单。用户可以选择选项“0. Reboot”来启动以太网交换机。

经过上述步骤以太网交换机将支持HGMP Client，可以对HGMP Client进行配置。

2.2.3 在交换机启动后配置HGMP Client
在交换机Bootrom中启动HGMP Client后，可以对HGMP Client进行配置。

请在全局配置模式下进行下列配置。

表2-1 开启/关闭HGMP

操作
命令

开启/关闭HGMP
hgmp { enable | disable }

配置是否接受Server的配置数据
hgmp { accept | reject }

恢复HGMP为缺省状态
no hgmp




需要注意的是，必须先启动HGMP，才可以实现通过HGMP协议对交换机进行配置。

缺省情况下，如果以太网交换机在启动的时候在Bootrom中选择了HGMP模式，则交换机启动后HGMP Client是开启的；如果以太网交换机在启动的时候没有选择HGMP模式，则HGMP协议是关闭的并且HGMP的配置命令对用户是不可见的。

2.2.4 HGMP Client监控与维护
请在特权用户模式下进行下列操作，其中，show命令还可以在除普通用户模式外的所有配置模式下进行。

表2-2 HGMP监控与维护

操作
命令

显示HGMP运行状态
show hgmp

显示HGMP调试开关状态
show debug hgmp

开启/关闭HGMP的调试开关
[ no ] debug hgmp { all | err | upgrade | info| packets }




2.3 HGMP Server配置
2.3.1 HGMP Server配置任务列表
& 说明：

华为系列以太网交换机上的HGMP Server主要用来管理S2403F以太网交换机、S2008B/S2016B以太网交换机。

S2403F以太网交换机、S2008B/S2016B以太网交换机作为HGMP Client时，必须要通过固定的上行端口与管理设备相连。这些上行端口包括

S2008B：Ethernet0/8、Ethernet0/9。

S2016B：Ethernet0/15、Ethernet0/16、Ethernet0/17、Ethernet1/1。

S2403F：25、26、27。



HGMP Server的主要配置任务列表如下：

l 在管理设备上启动HGMP Server

l 通过管理设备升级以太网交换机

l 在管理设备上保存下挂交换机的配置数据

l 设置以太网交换机的状态和别名

l 通过管理设备配置特定的低端以太网交换机

2.3.2 在管理设备上启动HGMP Server
可以通过下面的命令在管理设备上启动HGMP Server。

请在管理设备的相应模式下进行下列配置。

表2-3 在管理设备上启动HGMP Server

操作
命令

启动全局HGMP Server功能并进入HGMP配置模式（全局配置模式）
hgmpserver enable

关闭全局HGMP Server功能（全局配置模式）
hgmpserver disable

启动端口HGMP功能（端口配置模式）
hgmpport enable

关闭端口HGMP功能（端口配置模式）
hgmpport disable

恢复全局HGMP Server功能为缺省状态（全局配置模式）
no hgmpserver

配置端口下以太网交换机的星型组网模式
spanning-hub { enable | disable } slotno subslot port-list

显示端口下以太网交换机的星型组网模式信息
display hgmpport-mode




HGMP必须在全局和端口上都启动：首先启动全局HGMP Server，然后启动端口上的HGMP功能。

一般情况下，HGMP Server不管理级联的交换机。如果确实需要管理级联的交换机，则在管理设备的端口下使用命令spanning-hub { enable | disable } slotno subslot port-list定义。

HGMP Server利用以太网交换机的位置lanswitch_loc来维护各个以太网交换机。此位置参数是一个以槽号、子槽号、端口号、序号组成的序列来表示的（如1/0/1-/），并不能表示实际的物理位置，lanswitch_loc的构成如下：slot/subslot/port-/p1/p2/。

其中slot/subslot表示该以太网交换机接在管理设备上的槽位号，对于S3500系列、S3026 F系列、S3026E系列以太网交换机作为管理设备时slot取值为1，subslot取值为0。

port表示该以太网交换机接在管理设备上的端口号。

p1表示该以太网交换机接在第一层以太网交换机的端口号。

p2表示该以太网交换机接在第二层以太网交换机的端口号。

例如：参数为“1/0/3-/”时，表示这是一个直接接在管理设备的1号槽0子槽3号端口的第一层以太网交换机。

参数为“1/0/3-/2/”时，表示这是一个接在第一层以太网交换机2号端口上的第二层以太网交换机，其根节点为管理设备的1号槽0子槽3号端口。

参数为“1/0/3-/2/1/”时，表示这是一个接在第二层以太网交换机1号端口上的第三层以太网交换机，其根节点为管理设备的1号槽0子槽3号端口。

2.3.3 通过管理设备升级以太网交换机
利用HGMP协议，用户可以在管理设备上实现对下挂的以太网交换机进行升级。

(1) 首先需要将升级的程序下载到管理设备的flash memory中。需要说明的是，不能在管理设备启动时从bootrom中下载，而应该在管理设备启动后利用系统提供的FTP、TFTP服务将升级程序下载到管理设备的flash memory中。

下面以系统提供的TFTP为例下载升级程序。此时需要注意网络环境已经搭建好：管理设备的Console口和进行本地配置的主机的串口连接，以太网端口和主机的网口连接；通常在进行本地配置的主机上启动TFTP Server，管理设备作为TFTP client下载文件，二者的IP地址在同一子网内。之后可以进行如下操作。

请在管理设备的全局配置模式下进行下列操作。

表2-4 用TFTP下载文件

操作
命令

用TFTP获取文件
tftp get //A.A.A.A/xxx.yyy mmm.nnn




其中A.A.A.A为TFTP Server的IP地址，xxx.yyy为源文件的名字，mmm.nnn为目的文件名。关于tftp get命令的详细描述可以参见系统管理和维护配置的命令参考。

(2) 将升级程序从管理设备的flash memory下载到管理设备的升级内存区。

请在管理设备的HGMP配置模式下进行如下配置。

表2-5 加载升级程序到管理设备上的升级内存区中

操作
命令

加载以太网交换机的升级程序到管理设备上的升级内存区中
load lswprogram {filename}




其中filename为管理设备的flash memory中的升级文件名，即上一步中的mmm.nnn。

(3) 升级指定的交换机。用户需要通过交换机的位置对交换机进行升级，用户可以使用命令show lanswitch all命令来查询所有注册过的交换机的位置参数。

请在管理设备的HGMP配置模式下进行如下配置。

表2-6 升级指定的交换机

操作
命令

升级指定以太网交换机
upgrade lanswitch { lanswitch_loc } {app | bootrom}

查询已经注册过的以太网交换机的信息
show lanswitch { all | port slot subslot port | position lanswitch_loc } [ error ] [ inactive ]




lanswitch_loc为下挂的以太网交换机的位置参数，以槽号、子槽号、端口号、序号组成的序列来表示，形式如“1/0/1-/”。

(4) 重启下挂的以太网交换机，使升级生效。

请在管理设备的HGMP配置模式下进行如下操作。

表2-7 重启以太网交换机

操作
命令

复位指定的以太网交换机
reset lanswitch { lanswitch_loc }




需要注意的是：一定要保证指定的以太网交换机flash memory有足够的剩余空间，以便将升级程序正确写入flash memory。

(5) 删除管理设备上的升级程序。

管理设备的flash memory的空间是有限的，如果需要升级下挂的不同以太网交换机，就需要将升级完毕后的升级程序删除，以便下载其他交换机的升级程序。

请在管理设备的特权用户模式下进行如下操作。

表2-8 删除管理设备上的升级程序

操作
命令

删除管理设备上的升级程序
delete [ /unreserved ]file-url




关于delete命令的详细描述可以参见系统管理和维护配置的命令参考。

2.3.4 在管理设备上保存下挂交换机的配置数据
用户可以在管理设备上保存被管理交换机的配置数据。

请在管理设备的HGMP配置模式下进行如下操作。

表2-9 保存交换机的配置数据

操作
命令

保存指定以太网交换机配置数据
save lswconfig {lanswitch_loc}

保存以太网交换机的配置数据到flash的指定位置
backup lswconfig




save lswconfig命令可以保存指定的以太网交换机的配置数据到管理设备上的内存，而backup lswconfig保存以太网交换机的配置数据到管理设备flash memory。

2.3.5 设置以太网交换机的状态和别名
HGMP协议以位置来维护各个以太网交换机，而用户无法利用位置参数迅速定位到被管理的以太网交换机。为了便于定位到各个被管理的以太网交换机，可以使用命令set lswname给各个以太网交换机配置别名。

此外，用户可以在管理设备上设置各个交换机的状态为激活或未激活。

请在管理设备的HGMP配置模式下进行如下操作。

表2-10 设置以太网交换机的状态和别名

操作
命令

设置指定以太网交换机的状态
set lanswitch { lanswitch_loc } { inactive | active }

给以太网交换机配置别名
set lswname lanswitch-loclistname-list




需要注意的是，配置完毕后使用backup lswconfig命令将配置保存到管理设备的flash memory中。

2.3.6 通过管理设备配置特定的低端以太网交换机
低端系列以太网交换机包括S2008B/S2016B以太网交换机和S2403F以太网交换机。在管理设备上启动了HGMP Server功能，在低端以太网交换机上启动了HGMP Client功能，就可以通过管理设备来管理下挂的低端以太网交换机。

利用HGMP协议，管理设备可以对下挂的任何一台低端以太网交换机进行配置，取得和本地配置同样的效果，如端口速率配置、端口汇聚配置、VLAN配置、地址表配置、管理VLAN配置等。

(1) 指定某交换机的配置数据为该型号产品统一配置数据。此配置适用于S2008B/S2016B以太网交换机。

可以将某交换机的配置数据指定为产品统一配置数据，这样可以使用auto config命令按照此配置自动设置其他的交换机。

请在管理设备的HGMP配置模式下进行下列配置。

表2-11 指定某交换机的配置数据为该型号产品统一配置数据

操作
命令

指定某交换机的配置数据为该型号产品统一配置数据
set lswconfig { lanswitch_loc } asdefault




(2) 要对一台以太网交换机进行配置，首先要在管理设备上进入这台交换机的配置模式。

请在管理设备的HGMP配置模式下进行下列配置。

表2-12 进入指定以太网交换机的配置模式

操作
命令

进入指定以太网交换机的配置模式
lanswitch { lanswitch_loc }




只有在管理设备上进入指定交换机的配置模式，用户才可以通过管理设备对指定交换机进行配置，如通过管理设备配置指定交换机的端口速率、端口汇聚、VLAN设置等。

(3) 配置指定交换机的端口。此配置适用于S2008B/S2016B以太网交换机。

请在管理设备的lanswitch配置模式下进行下列配置。

表2-13 配置指定交换机的端口

操作
命令

将多个端口设置成一个汇聚端口
set link-aggregation port_list dasa groupid

查询端口汇聚的设置情况
display link-aggregation

配置以太网交换机端口与VLAN的关系
set ports port_list vlanid vlan_id_list [ tagged | untagged ]

设置流控信息
flow ports portlist{ both | no }

设置端口双工状态
duplex ports portlist{ auto | half | full }

设置端口速率
speed ports portlist{ auto | 10m| 100m }




这些配置同样可以通过本地配置实现，关于这些配置的详细描述可以参考所配置交换机的用户手册配置指导分册。

(4) 配置指定交换机的VLAN。此配置适用于S2008B/S2016B以太网交换机。

请在管理设备的lanswitch配置模式下进行下列配置。

表2-14 配置指定交换机的VLAN

操作
命令

设置VLAN属性
set vlanid vlanid portlist

恢复VLAN属性的缺省值
no set vlanid vlanlist

按照缺省配置设置以太网交换机的各项数据
auto config {default | ge-lans} port_start_vlanid




这些配置同样可以通过本地配置实现，关于这些配置的详细描述可以参考所配置交换机的用户手册配置指导分册。

(5) 配置指定交换机的地址表。此配置适用于S2008B/S2016B以太网交换机。

请在管理设备的lanswitch配置模式下进行下列配置。

表2-15 配置S2008B/S2016B的地址表

操作
命令

增加地址表项
add addritem mac-addr { unicast port { aged | noaged } | multicast vlanid port_list mctype }

删除组播地址表项
delete multicast mac-addr vlanid vlanid

删除单播地址表项
delete uniaddr mac-addr

修改组播地址表项
modify multiaddr mac-addr vlanid port_list mctype

修改单播地址表项
modify uniaddr mac-addr { aged | noaged }

在地址表中搜索组播地址
search multiaddr mac-addr-list vlanid vlanid-list

显示指定端口的单播地址表项
display uniaddr port spec_port index shownum

显示指定vlanid的VLAN中的组播地址表项
display multiaddr vlanid vlanid index shownum

查询已经被占用的地址表项的数目
display used addrnum




这些配置同样可以通过本地配置实现，关于这些配置的详细描述可以参考所配置交换机的用户手册配置指导分册。

(6) 对指定的S2403F以太网交换机进行管理IP配置、管理MAC地址配置、端口配置、VLAN配置等。

请在管理设备的lanswitch配置模式下进行下列配置。

表2-16 配置S2403F以太网交换机

操作
命令

按照缺省配置设置以太网交换机的各项数据
auto config { default | ge-lans } port_start_vlanid

显示以太网交换机的管理IP地址、子网掩码和缺省网关
display ip address

设置或者取消以太网交换机的管理IP地址、子网掩码和缺省网关
set ip address ip-address mask [ gateway-address ]

设置以太网交换机的管理MAC地址
set mac mac-address

设置以太网交换机的端口数据
set ports port_list vlanid vlan_id_list [ tagged | untagged ]

设置以太网交换机的VLAN数据
set vlan vlan_index_list { vlanid vlan_id_list [ port_list ] | broadcast port_list [ vlan_id_list ] }

设置以太网交换机端口的工作模式
set workmode port_list { auto | 10M-Full | 10M-Half | 100M-Full | 100M-Half }

允许指定的端口自环
loop ports port_list

禁止指定的端口自环
no loop ports port_list




这些配置同样可以通过本地配置实现，关于这些配置的详细描述可以参考所配置交换机的用户手册配置指导分册。

2.3.7 HGMP Server的监控和维护
请在特权用户模式下进行下列操作，其中，show命令还可以在除普通用户模式外的所有配置模式下进行。

表2-17 HGMP监控与维护

操作
命令

显示HGMP运行状态
show run

开启/关闭HGMP的调试开关
[ no ] debug hgmpserver { all | error }




2.4 HGMP V1配置举例
1. 组网需求
S3526以太网交换机作为管理设备，下面通过端口Ethernet0/1和端口Ethernet0/2挂了两台S2008B以太网交换机。

2. 组网图


图2-2 HGMP集群管理组网图

3. 配置步骤
！在S2008B上启动HGMP Client功能。（参照S2008B的用户手册）

以下配置仅供参考，实际操作应根据实际情况作相应配置。

！在管理设备S3526上启动HGMP Server。

Quidway(config)# hgmpserver enable

Start HGMP protocol successfully!

Quidway(config-hgmp)# spanning-hub enable 1 0 1-2

Quidway(config-hgmp)# exit

Quidway(config)# interface ethernet 0/1

Quidway(config-if-Ethernet0/1)# hgmpport enable

Quidway(config-if-Ethernet0/1)# interface ethernet 0/2

Quidway(config-if-Ethernet0/2)# hgmpport enable

！通过show命令显示已经在管理设备注册的以太网交换机的信息，从而获取各个以太网交换机的位置参数。

Quidway(config) # show lanswitch all

Lanswitch list.........



------------------

No. 1

------------------

Position : LANSWITCH[1/0/1-/]

PortMode : STAR_MODE

Lanswitch Name :

Model : Quidway S2008B

Device ID : Vb.1.1

MacAddr : 00-e0-fc-06-a0-75

Status : NORMAL

Lanswitch list.........



------------------

No. 2

------------------

Position : LANSWITCH[1/0/2-/]

PortMode : STAR_MODE

Lanswitch Name :

Model : Quidway S2008B

Device ID : Vb.1.3

MacAddr : 00-e0-fc-06-a0-55

Status : NORMAL

！通过管理设备设置以太网交换机“1/0/1-/”的别名。

Quidway(config-hgmp)# set lswname 1/0/1-/ switch1

！通过管理设备设置1#S2008B以太网交换机的端口1的双工状态为auto。

Quidway(config-hgmp)# lanswitch 1/0/1-/

Quidway(config-lanswitch1/0/1-/)# duplex ports1auto

！通过管理设备设置2#S2008B以太网交换机的端口1的双工状态为auto。

Quidway(config-hgmp)# lanswitch 1/0/2-/

Quidway(config-lanswitch1/0/2-/)# duplex ports1auto





第3章 HGMP V2配置
3.1 HGMP V2简介
3.1.1 简介
实现HGMP V2功能的主要目的是允许网络管理员通过一个主交换机的公网IP地址，实现对多个交换机的管理。主交换机称为命令交换机，其它被管理的交换机称为成员交换机。成员交换机一般不设置公网IP地址，通过命令交换机重定向来实侄猿稍苯换换墓芾砗臀ぁＣ罱换换统稍苯换换槌闪艘桓觥凹骸薄５湫偷挠τ没肪橙缦峦妓荆?br />


图3-1 集群

集群的优点如下：

l 简化配置管理任务：只需要在命令交换机上配置一个公网IP地址，就可实现对多个交换机的配置和管理，不需要登录到每个成员交换机的配置口上进行配置；

l 提供拓扑发现和显示功能，有助于监视和调试网络；

l 节省IP地址；

l 可以同时对多个交换机进行软件升级和参数配置；

l 不受网络拓扑结构和距离的限制。

3.1.2 集群角色
根据集群中各交换机所处的地位和功能的不同，形成了不同的角色，用户可以通过配置来指定交换机的角色，各种角色可以按一定的规则进行切换。

集群中的角色有命令交换机、成员交换机以及侯选交换机。

l 命令交换机：配置有公网IP地址，为集群内所有的交换机提供管理接口的交换机。管理命令首先发送到命令交换机上由命令交换机处理，如果发现目的是某成员交换机，则转发到成员交换机上处理。命令交换机具有发现邻接信息、收集整个网络的拓扑结构、管理集群、维护集群状态、支持各种代理等功能。

l 成员交换机：集群中的成员，对成员交换机的管理是通过命令交换机重定向来完成的，一般不设置公网 IP地址。成员交换机具有发现邻接信息、接受命令交换机的管理、执行代理发过来的命令、故障/日志上报等功能。

l 侯选交换机：没有加入任何集群中但具有集群能力、能够成为集群成员的交换机。

角色转换规则如下：



图3-2 角色切换规则

l 每个集群必须指定一个且仅有一个命令交换机。在命令交换机被指定后，命令交换机通过收集HDP/HTP信息，确定和发现候选交换机。用户可以通过配置把侯选交换机加入到集群中。

l 候选交换机加入集群后，成为成员交换机；成员交换机被删除后将恢复为候选交换机。

3.1.3 功能组成
集群管理包含以下功能：

l 网络拓扑发现

l 网络拓扑收集

l 成员识别

l 成员管理

其中：

l 网络拓扑发现功能是利用HDP协议来实现的，用来发现直接相连的邻居信息，包括邻接设备的设备类型、软/硬件版本、连接端口等，另外还可提供设备的ID、端口地址、设备能力、硬件平台等信息。

l 网络拓扑收集功能是利用HTP协议来实现的，收集网络中各个设备的连接关系和候选交换机信息，并可以设置拓扑发现的跳数。

l 成员识别功能是通过对集群中的各个成员的定位，使命令交换机可以识别各个成员并向成员分发配置和管理命令。

l 成员管理功能，包括成员的加入、删除、成员交换机对命令交换机的验证和握手间隔等。

集群管理涉及的各项功能的具体配置，下面将分别介绍。

3.2 HDP配置
3.2.1 HDP简介
HDP（Huawei Discovery Protocol）协议是华为专有的用来发现邻接点相关信息的协议。HDP协议具有介质和协议无关性，由于 HDP 运行在数据链路层，因此支持不同网络层协议的系统。

HDP协议用来发现直接相连的邻居信息，包括邻接设备的设备类型、软/硬件版本、连接端口等，另外还可提供设备的ID、端口地址、设备能力、硬件平台等信息。

支持HDP的设备都维护HDP信息表，信息表中的每一表项都是可以老化的，一旦老化时间到，HDP自动删除相应的表项。同时，用户可以清除当前的HDP信息以重新收集邻接信息。

运行HDP的设备定时向所有激活的端口广播带有HDP数据的报文，报文中携带有效保留时间，该时间指示接收设备必须保存该更新数据的时间。接收HDP报文的设备保存报文中的信息，但不转发 HDP报文。收到的信息如果与旧的信息不同，则更新HDP表中的相应数据项；如果相同，则只更新有效保留时间。

3.2.2 HDP配置任务列表
HDP主要配置任务列表如下：

l 全局使能/禁止HDP

l 端口使能/禁止HDP

l 配置HDP信息的有效保留时间

l 配置HDP报文发送的时间间隔

3.2.3 全局使能/禁止HDP
要进行任何端口邻接设备的HDP信息收集都需要使能全局HDP。当全局HDP使能后，将进行HDP信息的定时收集，并提供用户查询；当全局HDP禁止后，将清除交换机保存的所有HDP信息，交换机不再处理任何HDP报文。

请在全局配置模式下进行下列配置。

表3-1 全局使能/禁止HDP

操作
命令

全局使能HDP
hdp run

全局禁止HDP
no hdp run




缺省情况下，全局HDP处于使能状态。

3.2.4 端口使能/禁止HDP
用户可以控制端口HDP使能/禁止状态，从而控制对哪些端口进行邻接节点的信息收集，哪些不收集。如果使能端口HDP，且全局HDP也已使能，则定时收集该端口邻接节点的HDP信息；如果禁止端口HDP，则该端口不能收集和发送HDP信息。

请在以太网端口配置模式下进行下列配置。

表3-2 端口使能/禁止HDP

操作
命令

端口使能HDP
hdp enable

端口禁止HDP
no hdp enable




缺省情况下，端口HDP处于使能状态。

3.2.5 配置HDP信息的有效保留时间
对保留在邻接节点中的本节点信息，用户可以控制相应的有效保留时间。邻接设备在接收到HDP报文时，可以从报文中携带的有效保留时间知道发送报文的邻接设备的HDP信息的有效时间，并在超出有效时间后丢弃该邻接设备的HDP信息。

请在全局配置模式下进行下列配置。

表3-3 配置HDP信息的有效保留时间

操作
命令

配置HDP信息的有效保留时间
hdp holdtime holdtime-in-secs

恢复HDP信息的有效保留时间为缺省值
no hdp holdtime




需要注意的是，HDP信息的有效保留时间一般大于HDP发送时间间隔，否则将引起HDP信息表的不稳定。

缺省情况下，HDP信息的有效保留时间为180秒。

3.2.6 配置HDP报文发送的时间间隔
对邻接节点的HDP信息必须实时更新，以保证邻接节点改变后能够及时更新本地保留的信息。用户可以通过配置命令修改HDP信息的更新频率。

请在全局配置模式下进行下列配置。

表3-4 配置HDP报文发送的时间间隔

操作
命令

配置HDP报文发送的时间间隔
hdp timer timer-in-secs

恢复HDP报文发送的时间间隔为缺省值
no hdp timer




需要注意的是，HDP报文发送时间间隔一般小于HDP信息的有效保留时间，否则将引起HDP信息表的不稳定。

缺省情况下，HDP报文发送时间间隔为60秒。

3.2.7 HDP监控与维护
请在特权用户模式下进行下列操作。其中，show命令还可以在除普通用户模式外的所有配置模式下进行。

表3-5 HDP监控与维护

操作
命令

显示全局HDP配置信息（包括报文发送时间间隔和信息有效保留时间）
show hdp

显示一个指定的HDP发现的邻居设备信息
show hdp entry { mac-address[ protocol | version] }

显示HDP发现的邻居设备的信息
show hdp neighbors [ interface_type interface_num | interface_name ] [ detail]

显示HDP被使能的端口信息
show hdp interface [ interface_type interface_num | interface_name ]

显示HDP流量信息
show hdp traffic

清除HDP邻居信息表中的内容
clear hdp table

清除HDP计数器
clear hdp counters




(1) 显示全局HDP配置信息（包括报文发送时间间隔和信息有效保留时间）

Quidway# show hdp

Global HDP information:

Sending HDP packets every 60 seconds

Sending a holdtime value of 180 seconds

以上信息表示：当前设备的HDP报文发送时间间隔为60秒，邻居保留本设备HDP信息的时间为180秒。

(2) 显示使能HDP的以太网端口Ethernet 0/2的信息。

Quidway#show hdp interface Ethernet 0/2

Ethernet0/2 is up.

Sending HDP packets every 60 seconds

Holdtime is 180 seconds

以上信息表示：以太网端口Ethernet 0/2处于打开状态，HDP报文发送时间间隔为60秒，HDP信息有效保留时间为180秒。

3.3 HTP配置
3.3.1 HTP简介
HTP（Huawei Topology Protocol）协议是华为设备专有的用来收集网络拓扑信息的协议。HTP协议为集群管理提供可加入集群的设备信息，收集指定跳数内的交换机。

HDP协议为HTP协议提供邻接表信息，HTP协议根据邻接信息发送和转发HTP拓扑收集请求，收集一定网络范围内每个设备的HDP信息和它与所有邻居的连接信息。收集完这些信息后，命令交换机或者网管可以根据需要使用这些信息，完成所需的功能。

当成员交换机上的HDP协议发现邻居有变化时，通过握手报文将邻居改变的消息通知命令交换机，命令交换机可以启动HTP协议进行指定拓扑收集，从而使HTP能够及时反映网络拓扑的变化。

3.3.2 HTP配置任务列表
HTP主要配置任务列表如下：

l 全局使能/禁止HTP

l 端口使能/禁止HTP

l 配置拓扑收集范围

l 配置设备转发拓扑收集请求延迟时间

l 配置端口转发拓扑收集请求延迟时间

l 配置定时拓扑收集的时间间隔

l 启动拓扑信息的收集过程

3.3.3 全局使能/禁止HTP
要使设备能够处理HTP报文，必须使能全局HTP。当全局HTP禁止后，将清除交换机保存的所有HTP信息，丢弃所有的HTP报文，禁止发送HTP请求。

请在全局配置模式下进行下列配置。

表3-6 全局使能/禁止HTP

操作
命令

全局使能HTP
htp run

全局禁止HTP
no htp run




缺省情况下，全局HTP处于使能状态。

3.3.4 端口使能/禁止HTP
用户可以控制HTP端口使能/禁止状态，来控制对哪些端口进行发送、接收和转发HTP报文，哪些端口不处理。如果使能端口HTP，且全局HTP也已使能，则可以从该端口发送、接收和转发HTP报文；如果禁止端口HTP，该端口将不再处理HTP报文。

请在以太网端口配置模式下进行下列配置。

表3-7 端口使能/禁止HTP

操作
命令

端口使能HTP
htp enable

端口禁止HTP
no htp enable




需要注意的是，在某些情况下，收集网络拓扑时，只收集设备下行端口连接的网络拓扑，不关心上行端口连接的网络的拓扑结构，此时需要禁止上行端口的HTP协议。

缺省情况下，支持HTP协议的端口使能HTP协议。如果某端口禁止HDP协议，即使使能端口HTP协议，HTP协议仍然不能运行。

3.3.5 配置拓扑收集范围
用户可以配置拓扑收集范围，以收集确定范围内设备的拓扑信息，从而避免无限的扩展收集过程。控制收集范围采用从收集发起开始控制允许发现的跳数的方法。例如，如果设置收集范围为2，则只收集从发起拓扑收集请求的交换机开始两跳内的交换机。

请在全局配置模式下进行下列配置。

表3-8 配置拓扑收集范围

操作
命令

配置拓扑收集范围
htp hop hop-value

恢复拓扑收集范围为缺省值
no htp hop




需要注意的是，只有在发起拓扑收集请求的交换机上进行收集范围的设置才有效。拓扑收集范围越大，要求拓扑收集设备的内存越多。

缺省情况下，拓扑收集范围为3。

3.3.6 配置被收集设备转发拓扑收集请求延迟时间
当拓扑请求报文在网络内扩散时，大量网络设备会同时收到拓扑请求，同时发送响应报文，可能会引起网络拥塞和拓扑收集设备忙。为了减少这种情况的出现，每个被收集设备在接收到拓扑请求后，延迟等待一定时间，第一个端口再开始转发拓扑请求报文。

请在全局配置模式下进行下列配置。

表3-9 配置被收集设备转发拓扑收集请求延迟时间

操作
命令

配置被收集设备转发拓扑收集请求延迟时间
htp hop-delay time

恢复被收集设备转发拓扑收集请求延迟时间为缺省值
no htp hop-delay




缺省情况下，被收集设备转发拓扑收集请求延迟时间为200ms。

3.3.7 配置被收集端口转发拓扑收集请求延迟时间
当拓扑请求报文在网络内扩散时，大量网络设备会同时收到拓扑请求，同时发送响应报文，可能会引起网络拥塞和拓扑收集设备忙。为了减少这种情况的出现，被收集设备的每个端口在接收到拓扑请求后，延迟等待一定时间，下一个端口再开始转发拓扑请求报文。每个端口的发送顺序与拓扑响应报文中包含的邻接设备的排列顺序一致。

请在全局配置模式下进行下列配置。

表3-10 配置被收集端口转发拓扑收集请求延迟时间

操作
命令

配置被收集端口转发拓扑收集请求延迟时间
htp port-delay time

恢复被收集端口转发拓扑收集请求延迟时间为缺省值
no htp port-delay




缺省情况下，被收集端口转发拓扑收集请求延迟时间为20ms。

3.3.8 配置定时拓扑收集的时间间隔
为了及时发现网络拓扑结构的变化，需要定时进行确定范围内全部设备的拓扑收集，以防止局部收集不能反映出来的拓扑的全部变化。

请在全局配置模式下进行下列配置。

表3-11 配置定时拓扑收集的时间间隔

操作
命令

配置定时拓扑收集的时间间隔
htp timer interval-in-mins

恢复定时拓扑收集的时间间隔为缺省值
no htp timer




缺省情况下，定时拓扑收集的时间间隔为0分钟，即不进行定时拓扑收集。

3.3.9 启动拓扑信息的收集过程
当用户想收集网络拓扑信息时，可以使用以下命令启动拓扑信息的收集过程。HTP将在一定网络范围内收集每个设备的HDP信息和它与所有邻居的连接信息，命令交换机或者网管根据这些信息可以知道网络的拓扑结构，从而进行设备的管理与监控。

请在特权用户模式下进行下列配置。

表3-12 启动拓扑信息的收集过程

操作
命令

启动拓扑信息的收集过程
htp start




3.3.10 HTP监控与维护
请在除普通用户模式外的所有配置模式下进行下列操作。

表3-13 HTP监控与维护

操作
命令

显示全局HTP信息
show htp

显示 HTP 收集到的设备信息
show htp device-list [ detail ]




在使用show htp device-list命令时，如果不带detail参数，将显示HTP收集到的设备列表信息；如果带detail参数，将显示HTP收集到的设备的详细信息。

！显示全局HTP信息。

Quidway(config)# show htp

HTP is running.

Hops : 4

Timer : 0 min

Hop Delay : 100 ms

Port Delay: 10 ms

Last collection total time: 92ms

以上信息表示：当前设备HTP全局使能，拓扑收集跳数为4，不进行定时收集，设备转发拓扑收集请求延迟时间为100ms，端口转发拓扑收集请求延迟时间为10ms，上次拓扑收集用时92ms。

！显示HTP收集到的设备列表。

Quidway# show htp device-list

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater

MAC HOP PLATFORM IP CAPABILITY

00e0.fc10.0000 1 Quidway S3526 RTS

00e0.fc07.3c00 3 Quidway S3526 RTS

00e0.fc07.4de0 2 Quidway S3526 192.169.121.257/25 RTS

00e0.fc07.0bc0 0 Quidway S3526 RTS

表3-14 HTP收集的设备列表信息描述

域名
解释

MAC
设备的MAC地址

HOP
距离收集设备的跳数

PLATFORM
设备的平台信息

IP
设备的VLAN1接口的IP及掩码长度

Capability
设备类型。设备可以是一个路由器，桥，透明桥，源路由桥，交换机，一个主机，IGMP 设备，或中继器




3.4 集群配置
3.4.1 集群简介
本节主要介绍与集群管理相关的配置，包括集群的使能与建立、命令交换机公网IP地址的配置、集群成员的加入/删除以及握手间隔的配置等。

每个集群必须指定一个且仅有一个命令交换机。在命令交换机被指定后，命令交换机通过收集HDP/HTP信息，了解网络的拓扑结构，从而进行设备的管理与监控。

3.4.2 集群配置任务列表
在各项配置任务中，必须先使能集群功能，才能配置其他任务。

集群主要配置任务列表如下：

l 使能/禁止集群功能

l 配置集群IP地址池

l 配置命令交换机及集群名称

l 集群成员的加入与删除

l 自动建立集群

l 成员访问

l 配置交换机的有效保留时间

l 配置握手报文定时发送的时间间隔

l 配置集群内部公用的FTP Server、TFTP Server、Logging host及SNMP host

3.4.3 使能/禁止集群功能
在使用集群功能前，必须先使能交换机的集群功能。

如果在命令交换机上执行no cluster run命令，将删除集群以及集群的成员，中止交换机成为命令交换机的功能，同时交换机的集群功能将被禁止，使其不能成为其它集群候选交换机。

如果在成员交换机上执行no cluster run命令，交换机将从集群中退出，集群功能被禁止，并且不能成为候选交换机。

如果在非集群内的交换机上执行no cluster run命令，交换机的集群功能将被禁止，并且不能成为候选交换机。

请在全局配置模式下进行下列配置。

表3-15 使能/禁止集群功能

操作
命令

使能集群功能
cluster run

禁止集群功能
no cluster run




缺省情况下，使能集群功能。

3.4.4 配置集群IP地址池
在建立集群前，用户需首先设置集群中成员交换机使用的私有IP地址范围，当候选交换机加入时，命令交换机动态分配一个能够在集群范围内使用的私有IP地址，并下发给候选交换机，用于集群内部的通信，以实现命令交换机对成员交换机的管理和维护。

请在全局配置模式下进行下列配置。

表3-16 配置集群IP地址池

操作
命令

配置集群IP地址范围
cluster ip-pool commander-ip-address { ip-mask | ip-mask-length}

恢复集群缺省的IP地址范围
no cluster ip-pool




需要注意的是，本配置只能在非集群成员交换机上使用。如果集群已经建立，则不能修改IP地址范围。

缺省情况下，命令交换机的IP地址是172.16.0.1，地址掩码是255.255.240.0，即掩码长度为20。

3.4.5 配置命令交换机及集群名称
每个集群都有自己的名称。由于一个集群只能有一个命令交换机，因此在建立集群时，首先需要指定一个命令交换机。用户可以通过以下命令配置集群的名称，并将当前进行配置的具有命令交换机能力的以太网交换机设置为命令交换机。

外部网络对集群内部各成员的访问、配置、管理、监控等都需要经过命令交换机，命令交换机是访问集群成员的出入口。命令交换机识别并控制集群中的所有成员交换机，不管这些成员交换机分布在网络的什么地方，也不管他们是如何相连的。

为了给用户提供可供参考的候选交换机信息以及网络拓扑结构信息，创建集群前，由命令交换机负责收集拓扑信息。

请在全局配置模式下进行下列配置。

表3-17 配置命令交换机及集群名称

操作
命令

配置命令交换机及集群名称
cluster enable name

删除集群中的所有成员并将命令交换机配置为候选交换机
no cluster enable




需要注意的是，cluster enable命令只能在有命令交换机能力而又不是其他集群成员的交换机上使用。如果交换机已经配置为集群成员，则该命令失败。如果交换机已经配置为命令交换机，且此命令指定的集群名与原有不同，此命令将更改集群名。

缺省情况下，处于非命令交换机，未指定集群名称状态。

3.4.6 集群成员的加入与删除
用户可以指定要加入集群中的候选交换机，也可以删除集群中指定的成员交换机。

请在全局配置模式下进行下列配置。

表3-18 集群成员的加入与删除

操作
命令

集群成员的加入
cluster member [ member-num ] mac-address H.H.H[ password enable-password ]

集群成员的删除
no cluster member n




需要注意的是，集群成员的加入/删除操作必须在命令交换机上进行，否则将返回错误提示信息。

加入集群时可不用指定成员交换机的成员编号，命令交换机会自动为新加入的成员交换机指定可用的下一个成员编号。

当交换机加入到集群中时，它的特权用户密码将由系统自动设置为与命令交换机一样。

3.4.7 自动建立集群
系统给用户提供了一种自动建立集群的功能。用户只要在具有命令交换机能力的交换机上使用以下命令，即可根据提示的信息一步步创建集群。

当用户需要自动创建集群功能时，系统首先提示输入集群名称，接着将列出所有用户指定的跳数范围内发现的侯选交换机列表，提示用户对自动创建集群操作进行确认，在得到确认后，将把所有列出的候选交换机自动加入到创建的集群中。

在自动创建过程中，允许用户输入<CTRL+C>取消当前操作。 此时，对已经加入集群的交换机不进行删除，只是停止加入新的交换机，并且退出自动创建过程。

请在特权用户模式下进行下列配置。

表3-19 自动建立集群

操作
命令

自动建立集群
cluster setup




需要注意的是，用户只能在具有命令交换机能力的设备上才能执行自动创建集群命令。

3.4.8 成员访问
用户可以通过命令交换机对集群中的成员进行管理。在命令交换机上，可以切换到指定的成员交换机上进行配置管理；也可以从成员交换机上切换到命令交换机。

从命令交换机切换到成员交换机时，需要鉴权。如果成员交换机鉴权通过，则允许切换；如果成员交换机的特权用户密码与命令交换机的不同，则拒绝切换。从命令交换机切换到成员交换机时，继承在命令交换机上的用户级别。例如：在命令交换机上的特权用户切换到成员交换机，则在成员交换机上同样是特权用户。

从成员交换机切换到命令交换机时，也需要鉴权，鉴权通过后自动进入普通用户配置模式。

请在普通用户或特权用户模式下进行下列配置。

表3-20 成员访问

操作
命令

成员访问
rcommand { member-num | commander | mac-address H.H.H }




需要注意的是，如果在命令交换机上使用此命令，而成员号n不存在，将显示出错信息。如果想结束切换，则只需输入exit即可。

3.4.9 配置交换机的有效保留时间
集群建立后，由于网络或交换机重启等原因，可能会造成通讯故障。如果故障时间超出用户规定的有效保留时间，成员的状态将显示为“down”。当通讯得到恢复时，相应的成员交换机要重新进行加入（成员重新加入自动进行）；如果故障时间没有超出用户规定的有效保留时间，则不需要重新进行成员加入，成员始终为正常状态。

请在全局配置模式下进行下列配置。

表3-21 配置交换机的有效保留时间

操作
命令

配置交换机的有效保留时间
cluster holdtime holdtime-in-secs

恢复交换机的有效保留时间为缺省值
no cluster holdtime




需要注意的是，本命令仅在命令交换机上执行，由命令交换机把时间值传播给其他的成员交换机。

缺省情况下，交换机的有效保留时间为80秒。

3.4.10 配置握手报文定时发送的时间间隔
在集群内部，成员交换机与命令交换机的实时通讯是通过握手报文来维系的。通过成员交换机和命令交换机之间的定时握手可以监视集群内各成员的状态以及链路状态。

成员交换机加入集群后，就开始定时和命令交换机握手。握手由成员交换机主动发起，定时发送。无论是命令交换机还是成员交换机，如果收到定时握手报文，则认为当前的通讯状态是正常的。

成员交换机如果连续收不到3个命令交换机的握手应答报文，则认为和命令交换机间的通讯故障；同样，如果命令交换机连续收不到3个成员交换机的握手请求报文，则认为和该成员交换机间的通讯故障。

同时，如果成员交换机发现拓扑改变时，它将通过握手报文上报命令交换机来处理。

请在全局配置模式下进行下列配置。

表3-22 配置握手报文定时发送的时间间隔

操作
命令

配置握手报文定时发送的时间间隔
cluster timer interval-in-secs

恢复握手报文定时发送的时间间隔为缺省值
no cluster timer




需要注意的是，本命令仅在命令交换机上执行，由命令交换机把时间值传播给其他的成员交换机。

缺省情况下，握手报文定时发送的时间间隔为8秒。

3.4.11 配置成员交换机的远程控制
如果用户由于某些错误的配置，造成成员交换机的故障时，可以利用命令交换机的远程控制功能对成员交换机进行远程控制（例如，删除启动配置文件并重启成员交换机），以达到恢复命令交换机和成员交换机之间的正常通信的目的。

请在特权用户模式下进行下列配置。

表3-23 配置成员交换机的远程控制

操作
命令

重启成员交换机
cluster reset member { member-num| mac-address H.H.H }[ eraseflash]

配置集群内部通信进行VLAN安全性检查
cluster security vlan vlanid

配置集群内部通信不进行VLAN安全性检查
no cluster security




需要注意的是，以上命令仅在命令交换机上执行。

在使用cluster reset member命令时，用户可以通过eraseflash参数来控制在成员交换机重启时是否删除启动时的配置文件。

3.4.12 配置集群内部公用的FTP Server、TFTP Server、Logging host及SNMP host
在建立集群后，可以为集群统一配置一个日志主机，集群内部成员交换机的所有日志信息都输出到为集群配置的日志主机上。在集群成员交换机输出日志信息时，它直接输出到命令交换机，然后再由命令交换机进行地址转换，把成员交换机的日志报文输出到为集群配置的日志主机上。

同样，可以为集群统一配置一个TRAP主机，集群内部成员交换机的所有trap报文都输出到为集群配置的网管站上。

集群内部的成员交换机想通过命令交换机来访问FTP或TFTP服务器时，先要为集群配置FTP Server或TFTP Server的IP地址，然后集群内部的成员交换机就可以通过命令交换机访问FTP Server或TFTP Server。

请在全局配置模式下进行下列配置。

表3-24 配置集群内部公用的FTP Server、TFTP Server、Logging host及SNMP host

操作
命令

配置集群内部公用的FTP Server
cluster ftp server ip-address

删除集群内部公用的FTP Server
no cluster ftp server

配置集群内部公用的TFTP Server
cluster tftp server ip-address

删除集群内部公用的TFTP Server
no cluster tftp server

配置集群内部公用的logging host
cluster logging host ip-address

删除集群内部公用的logging host
no cluster logging host

配置集群内部公用的SNMP host
cluster snmp host ip-address

删除集群内部公用的SNMP host
no cluster snmp host




需要注意的是，以上命令仅在命令交换机上配置。

3.4.13 集群监控与维护
请在除普通用户模式外的所有配置模式下进行下列操作。

表3-25 集群监控与维护

操作
命令

显示集群状态和统计信息
show cluster

显示候选交换机信息
show cluster candidates [mac-address H.H.H | detail ]

显示集群成员信息
show cluster members[ member-num| detail ]




(1) 显示集群状态和统计信息

在成员交换机上使用此命令将显示集群名，本交换机的成员号，命令交换机的MAC地址、状态以及有效保留时间和定时发送间隔。

在命令交换机上使用此命令将显示集群名、成员个数、集群状态以及有效保留时间和定时发送间隔。

在非集群成员上使用此命令将显示错误信息。

！在命令交换机上显示集群信息。

Huawei_0.Quidway# show cluster

Command device for cluster "Huawei".

Total members:3

Member state: 1 members are unreachable

Heartbeat interval:8

Heartbeat hold-time:80

！在成员交换机上显示集群信息。

Huawei_3.Quidway# show cluster

Member device for cluster "Huawei".

Member number: 3

Command device mac address:00e0.fc07.0bc0

Heartbeat interval:8

Heartbeat hold-time:80

Commander status:Up

！在与命令交换机断开的成员交换机上显示集群信息。

Huawei_2.Quidway# show cluster

Member device for cluster "Huawei".

Member number: 2

Command device mac address:00e0.fc07.0bc0

Heartbeat interval:8

Heartbeat hold-time:80

Commander status:down

(2) 显示候选交换机信息

该命令仅用于命令交换机。

！显示全部候选交换机列表。

Huawei_0.Quidway# show cluster candidates

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater

MAC HOP PLATFORM IP CAPABILITY

00e0.fc07.4de0 1 Quidway S3526 1.5.6.7/16 RTS

00e0.fcf5.e900 3 Quidway S3026 TS

！显示指定候选交换机的信息。

Huawei_0.Quidway# show cluster candidates mac-address 00e0.fc61.c4c0

Hostname : LSW1

MAC : 00e0.fc61.c4c0

Hop : 1

Platform : Quidway S3526

IP : 1.5.6.9/16

Capability: Router Trans-Bridge Switch

！显示全部候选交换机的详细信息。

Huawei_0.Quidway# show cluster candidates detail

Hostname : Quidway

MAC : 00e0.fc00.a01f

Hop : 2

Platform : Quidway S3026

IP :

Capability: Trans-Bridge Switch



Hostname : LSW1

MAC : 00e0.fc07.4de0

Hop : 1

Platform : Quidway S3526

IP : 1.5.6.7/16

Capability: Router Trans-Bridge Switch

(3) 显示集群成员信息

该命令仅用于命令交换机。

！显示集群成员的信息。

Huawei_0.Quidway# show cluster members

SN Device MAC Address Status Name

0 Quidway S3526 00e0.fc07.0bc0 Cmdr Huawei_0.Quidway

1 Quidway S3026 00e0.fc00.a01f Up Huawei_1.Quidway

2 Quidway S3526 00e0.fc07.4de0 Up Huawei_2.LSW1

！显示指定集群成员的信息。

Huawei_0.Quidway# show cluster members 3

Member number: 3

Name:Huawei_3.LSW1

Device:Quidway S3526

MAC Address:00e0.fc07.4de0

Member status:Up

Hops to command device:1

IP: 1.5.6.7/16

Capabilities:Router Trans-Bridge Switch

Version:

Huawei Versatile Routing Platform Software

VRP (tm) Lanswitch Platform Software Version V100R002B09D001

Quidway S3526 Software Version V100R001B02D009, RELEASE SOFTWARE

Copyright (c) 2000-2002 By HUAWEI TECH CO., LTD.

Compiled Jun 11 2002 10:00:51

！显示所有集群成员的详细信息（包括命令交换机和成员交换机）。

Huawei_0.Quidway# show cluster members detail

Member number: 0

Name:Huawei_0.Quidway

Device:Quidway S3526

MAC Address:00e0.fc07.0bc0

Member status:Cmdr

Hops to command device:0

IP: 1.1.200.210/16

Capabilities:Router Trans-Bridge Switch IGMP

Version:

Huawei Versatile Routing Platform Software

VRP (tm) Lanswitch Platform Software Version V100R002B07D001

Quidway S3526 Software Version V100R002B04D001, DEBUG SOFTWARE

Copyright (c) 2000-2002 By HUAWEI TECH CO., LTD.

Compiled Jun 8 2002 17:16:22 by YaoXi



Member number: 1

Name:Huawei_1.Quidway

Device:Quidway S3026

MAC Address:00e0.fc00.a01f

Member status:Up

Hops to command device:2

IP:

Capabilities:Trans-Bridge Switch

Version:

Huawei Versatile Routing Platform Software

VRP (tm) Lanswitch Platform Software Version V100R002B09D001

Quidway S3026 Software Version V100R002B01D009, RELEASE SOFTWARE

Copyright (c) 2000-2002 By HUAWEI TECH CO., LTD.

Compiled Jun 11 2002 10:04:32



Member number: 2

Name:Huawei_2.LSW1

Device:Quidway S3526

MAC Address:00e0.fc07.4de0

Member status:Up

Hops to command device:1

IP: 1.5.6.7/16

Capabilities:Router Trans-Bridge Switch

Version:

Huawei Versatile Routing Platform Software

VRP (tm) Lanswitch Platform Software Version V100R002B09D001

Quidway S3526 Software Version V100R001B02D009, RELEASE SOFTWARE

Copyright (c) 2000-2002 By HUAWEI TECH CO., LTD.

Compiled Jun 11 2002 10:00:51
__________________
i must win,and i will win.

---

由 7boy 于 05-29-2003 09:19 AM 发表:

part 11 stp配置

第1章 Spanning Tree Protocol配置
1.1 STP简介
1.1.1 STP的用途
STP（Spanning Tree Protocol）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

1.1.2 STP的实现方法
STP的基本原理是，通过在交换机之间传递一种特殊的协议报文（IEEE 802.1D协议将这种协议报文称为“配置消息”）来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。

配置消息中主要包括以下内容：

(1) 树根的ID：由树根的优先级和MAC地址组合而成；

(2) 到树根的最短路径开销；

(3) 指定交换机的ID：由指定交换机的优先级和MAC地址组合而成；

(4) 指定端口的ID：由指定端口的优先级和端口编号组成；

(5) 配置消息的生存期：MessageAge；

(6) 配置消息的最大生存期：MaxAge；

(7) 配置消息发送的周期：HelloTime；

(8) 端口状态迁移的延时：ForwardDelay。

指定端口和指定交换机的含义，请参见下面的说明：



图1-1 指定交换机和指定端口示意图

对一台交换机而言，指定交换机就是与本机直接相连并且负责向本机转发数据包的交换机，指定端口就是指定交换机向本机转发数据的端口；对于一个局域网而言，指定交换机就是负责向这个网段转发数据包的交换机，指定端口就是指定交换机向这个网段转发数据的端口。如图所示，Lanswitch A通过端口Ethernet 0/1向Lanswitch B转发数据，则Lanswitch B的配置消息中指定交换机就是Lanswitch A，指定端口就是Lanswitch A的端口Ethernet 0/1；与局域网LAN相连的有两台交换机：Lanswitch B和Lanswitch C，如果Lanswitch B负责向LAN转发数据包，则LAN的指定交换机就是Lanswitch B，指定端口就是Lanswitch B的Ethernet 0/4。

l 生成树协议算法实现的具体过程：

下面结合例子说明生成树协议算法实现的计算过程。

具体的组网如下图所示：



图1-2 举例中的以太网交换机组网图

为描述方便，在举例中仅给出配置消息的前四项：树根ID（以以太网交换机的优先级表示），根路径开销，指定交换机ID（以以太网交换机的优先级表示），指定端口ID（以端口号表示）。如上图所示，Lanswitch A的优先级为0，Lanswitch B的优先级为1，Lanswitch C的优先级为2，各个链路的路径开销如图中所示，分别为5、10、4。

(1) 初始状态

各台交换机的各个端口在初始时会生成以自己为根的配置消息，根路径开销为0，指定交换机ID为自身交换机ID，指定端口为本端口。

Lanswitch A：

端口Ethernet 0/1配置消息：{0，0，0，e0/1}

端口Ethernet 0/2配置消息：{0，0，0，e0/2}

Lanswitch B：

端口Ethernet 0/7配置消息：{1，0，1，e0/7}

端口Ethernet 0/4配置消息：{1，0，1，e0/4}

Lanswitch C：

端口Ethernet 0/1配置消息：{2，0，2，e0/1}

端口Ethernet 0/5配置消息：{2，0，2，e0/5}

(2) 选出最优配置消息

各台交换机都向外发送自己的配置消息。当某个端口收到比自身的配置消息优先级低的配置消息时，交换机会将接收到的配置消息丢弃，对该端口的配置消息不作任何处理。当端口收到比本端口配置消息优先级高的配置消息的时候，交换机就用接收到的配置消息中的内容替换该端口的配置消息中的内容。然后以太网交换机将该端口的配置消息和交换机上的其他端口的配置消息进行比较，选出最优的配置消息

配置消息的比较原则是：

l 树根ID较小的配置消息优先级高；

l 若树根ID相同，则比较根路径开销，比较方法为：用配置消息中的根路径开销加上本端口对应的路径开销之和（设为S），则S较小的配置消息优先级较高；

l 若根路径开销也相同，则依次比较指定交换机ID、指定端口ID、接收该配置消息的端口ID。

为便于表述，本例中假设只需比较树根ID就可以选出最优配置消息。

(3) 确定根端口，并阻塞冗余链路，然后更新指定端口的配置消息

交换机接收最优配置消息的那个端口定为根端口，端口配置消息不作改变；其他端口中，如果某端口的配置消息在过程“选出最优配置消息”中更新过，则交换机将此端口阻塞，端口配置消息不变，此端口将不再转发数据，并且只接收但不发送配置消息；如果某端口的配置消息在过程“选出最优配置消息”中没有更新，则交换机就将其定为指定端口，配置消息要作如下改变：树根ID替换为根端口的配置消息的树根ID；根路径开销替换为根端口的配置消息的根路径开销加上根端口对应的路径开销；指定交换机ID替换为自身交换机的ID；指定端口ID替换为自身端口ID。

例子中各台交换机的比较过程如下：

Lanswitch A：

端口Ethernet 0/1收到Lanswitch B的配置消息，Lanswitch A发现本端口的配置消息优先级高于接收到的配置消息的优先级，就把接收到的配置消息丢弃。端口Ethernet 0/2的配置消息处理过程与端口Ethernet 0/1类似。Lanswitch A发现自己各个端口的配置消息中树根和指定交换机都是自己，则认为自己是树根，各个端口的配置消息都不作任何修改，以后周期性的向外发送配置消息。此时两个端口的配置消息如下：

端口Ethernet 0/1配置消息：{0，0，0，e0/1}。

端口Ethernet 0/2配置消息：{0，0，0，e0/2}。

Lanswitch B：

端口Ethernet 0/7收到来自Lanswitch A的配置消息，经过比较后Lanswitch B发现接收到的配置消息的优先级比端口Ethernet 0/7的配置消息的优先级高，于是更新端口Ethernet 0/7的配置消息。

端口Ethernet 0/4收到来自Lanswitch C的配置消息，Lanswitch B发现该端口的配置消息优先级高于接收到的配置消息的优先级，就把接收到的配置消息丢弃。

则此时各个端口的配置消息如下：端口Ethernet 0/7配置消息：{0，0，0，e0/1}，端口Ethernet 0/4配置消息：{1，0，1，e0/4}。

Lanswitch B对各个端口的配置消息进行比较，选出端口Ethernet 0/7的配置消息为最优配置消息，然后将端口Ethernet 0/7定为根端口，整台交换机各个端口的配置消息都进行如下更新：

根端口Ethernet 0/7配置消息不作改变：{0，0，0，e0/1}。端口Ethernet 0/4配置消息中，树根ID更新为最优配置消息中的树根ID，根路径开销更新为5，指定交换机ID更新为本交换机ID，指定端口ID更新为本端口ID，配置消息变为：{0，5，1，e0/4}。

然后Lanswitch B各个指定端口周期性向外发送自己的配置消息。

Lanswitch C：

端口Ethernet 0/1先会收到来自Lanswitch B端口Ethernet 0/4更新前的配置消息{1，0，1，e0/4}，Lanswitch C触发更新过程，更新后的配置消息如下：{1，0，1，e0/4}。

端口Ethernet 0/5收到来自Lanswitch A的配置消息{0，0，0，e0/2}后Lanswitch C也触发更新过程，更新后的配置消息如下：{0，0，0，e0/2}。

经过比较，端口Ethernet 0/5的配置消息被选为最优的配置消息，端口Ethernet 0/5就被定位根端口，它的配置消息就不作改变；而端口Ethernet 0/1就会被阻塞，端口配置消息也不作改变，同时该端口不接收从Lanswitch B转发的数据（不包括STP的协议报文），直到新的情况发生触发生成树的重新计算，比如从Lanswitch B到Lanswitch C的链路down掉，或者端口收到更优的配置消息。

接着端口Ethernet 0/1会收到Lanswitch B更新后的配置消息{0，5，1，e0/4}，由于收到的配置消息比原配置消息优，则Lanswitch C触发更新过程，更新后的配置消息为：{0，5，1，e0/4}。

同时端口Ethernet 0/5收到来自Lanswitch A配置消息Lanswitch C不会触发更新过程，配置消息仍然为：{0，0，0，e0/2}，

经过比较，端口Ethernet 0/1的配置消息被选为最优的配置消息，端口Ethernet 0/1就被定为根端口，它的配置消息就不作改变，而端口Ethernet 0/5就被阻塞，端口配置消息不变，同时不接收从Lanswitch A转发的数据，直到新的情况触发生成树的计算，比如从Lanswitch B到Lanswitch C的链路down掉。

此时生成树就被确定下来，形状如下图，树根为Lanswitch A：



图1-3 最终稳定的生成树

本例为了描述方便，简化了很多计算、操作内容（比如树根ID和指定交换机ID在实际运算的过程中应该是由交换机的优先级和MAC地址共同组成的，指定端口ID则是由端口优先级和端口MAC地址共同构成；在配置消息的更新过程中，除了前四项会改变以外，其他配置消息也会按照一定的原则进行改变），但计算过程基本如此。

l 生成树协议的配置消息传递机制：

当网络初始化时，所有的交换机都将自己作为树根。交换机的指定端口以HelloTime为周期，定时发送本端口的配置消息；接收到配置消息的端口如果是根端口，则交换机将配置消息中携带的MessageAge按照一定的原则递增，并启动定时器为这条配置消息计时。如果某条路径发生故障，则这条路径上的根端口不会再收到新的配置消息，旧的配置消息将会因为超时而被丢弃，从而引发生成树的重新计算，得到一条新的通路替代发生故障的链路，恢复网络连通性。

不过，重新计算得到的新配置消息不会立刻就传遍整个网络，因此那些没有发现网络拓扑已经改变的旧的根端口和指定端口仍旧会按照原来的路径继续转发数据，如果新选出的根端口和指定端口立刻就开始数据转发的话，可能会造成暂时性的路径回环。为此STP协议采用了一种状态迁移的机制，根端口和指定端口重新开始数据转发之前要经历一个中间状态，中间状态经过ForwardDelay延时后才能进入转发状态，这个延时保证了新的配置消息已经传遍整个网络。

1.1.3 STP在以太网交换机中的实现
以太网交换机所实现的快速生成树协议（Rapid Spanning Tree Protocol，RSTP）是生成树协议的优化版。其“快速”体现在根端口和指定端口进入转发状态的延时在某种条件下大大缩短，从而缩短了网络拓扑稳定需要的时间。

根端口状态快速迁移的条件是：本交换机上旧的根端口已经停止转发数据，而且上游指定端口已经开始转发数据。

指定端口的端口状态快速迁移的条件为：

l 指定端口是边缘端口，即该端口不直接或间接与任何交换机连接。如果指定端口是边缘端口，则可以直接进入转发状态。

l 指定端口与点到点链路相连，即端口是汇聚端口主端口或者自协商结果是全双工模式的端口。用户也可以强行将端口配置为与点到点链路连接，但是这样会引发错误，建议用户不要这样配置。如果指定端口连接着点到点链路，则交换机可以通过与下游交换机握手，得到响应后即刻进入转发状态。

应用快速生成树协议的交换机可以兼容应用生成树协议的交换机，两种协议报文都可以被应用快速生成树协议的交换机识别并应用于生成树计算。

& 说明

RSTP是单生成树协议，一个交换网络内只生成一棵生成树。为了保证VLAN内部可以正常通信，网络内每个VLAN都必须沿着生成树的路径方向分布；否则将会出现有的VLAN由于VLAN内部链路被阻塞而被分隔开，从而VLAN内部无法通信。

对于有特殊要求、VLAN无法沿生成树的路径方向分布的情况，用户需要在该VLAN对应的交换机的端口上关闭RSTP协议。



1.2 RSTP配置
1.2.1 RSTP配置任务列表
RSTP主要配置任务列表如下：

l 开启设备生成树特性

l 开启端口生成树特性

l 配置交换网络的网络直径

l 配置RSTP协议的工作模式

l 配置特定网桥的Bridge优先级

l 配置特定网桥的Forward Delay时间

l 配置特定网桥的Hello Time时间

l 配置特定网桥的Max Age时间

l 配置特定端口的最大发送速率

l 配置特定端口是否可以作为EdgePort

l 配置特定端口的Path Cost

l 配置特定端口的优先级

l 配置特定端口是否与点对点链路相连

l 配置特定端口的mCheck变量

在以上的配置任务中，只有“开启设备生成树特性”和“开启端口生成树特性”为必选配置。如果用户不配置其他的任务，系统会采用这些配置任务的缺省配置。

只有开启设备生成树特性后其他配置才能生效。在启动RSTP之前，可以配置设备或以太网端口的相关参数；启动RSTP后，这些参数将生效；RSTP关闭后，这些配置参数仍被保留；当RSTP重新启动后，这些参数仍将生效。

1.2.2 开启设备生成树特性
可以通过下面的命令开启设备的生成树特性。

请在全局配置模式下进行下列配置。

表1-1 开启/关闭设备Spanning Tree特性

操作
命令

开启/关闭设备RSTP协议
spanning-tree { enable | disable }

将RSTP协议恢复为缺省的关闭状态
no spanning-tree




只有开启了设备的生成树特性，生成树的其他配置才能生效。

需要注意的是，开启设备的生成树特性后，会占用一部分网络资源。

缺省情况下，不运行RSTP。

1.2.3 开启端口生成树特性
可以通过下面的命令开启/关闭指定端口的生成树特性。为了灵活地控制RSTP工作，在开启了交换机的以太网端口RSTP特性后（所有端口上开启RSTP协议），可以关闭交换机上特定以太网端口的RSTP特性，使这些端口不参与生成树计算。

请在以太网端口配置模式下进行下列配置。

表1-2 开启端口生成树特性

操作
命令

在指定端口上开启RSTP协议
spanning-tree enable

在指定端口上关闭RSTP协议
spanning-tree disable




需要注意的是，关闭以太网端口上的RSTP协议后，可能会产生冗余路径。

缺省情况下，设备RSTP启动后在所有端口上开启RSTP协议。

1.2.4 配置交换网络的网络直径
交换网络中任意两台主机都通过特定路径彼此相连，这些路径由一系列网桥构成。网络直径指的是这些路径中网桥个数最多的那条路径，用路径经过的网桥个数来表征。

可以通过下面的命令配置交换网络的网络直径。

请在全局配置模式下进行下列配置。

表1-3 配置交换网络的网络直径

操作
命令

配置交换网络的网络直径
spanning-tree bridge-diameter bridgenum

将交换网络的网络直径恢复为缺省值
no spanning-tree bridge-diameter




需要注意的是，交换网络的网络直径建议不要超过7，可以根据实际的组网情况进行该参数的配置。

缺省情况下，网络直径为7。

1.2.5 配置RSTP协议的工作模式
RSTP协议的工作模式包括两种：RSTP模式、STP兼容模式。RSTP模式只能运用于所有网络设备都运行RSTP的网络环境中，而STP兼容模式可以运用于既有STP又有RSTP的网络环境中。

可以通过下面的命令配置RSTP协议的工作模式。RSTP协议可以和STP协议互通，如果交换网络中存在运行STP协议的网桥，可以通过该命令配置当前的RSTP协议运行在STP兼容模式下，否则可以配置RSTP协议运行在RSTP模式下。

请在全局配置模式下进行下列配置。

表1-4 配置RSTP协议的运行模式

操作
命令

配置RSTP协议的运行模式为STP兼容模式/RSTP模式
spanning-tree mode {stp| rstp }

将RSTP协议的运行模式恢复为缺省值
no spanning-tree mode




一般情况下，如果交换网络中存在运行STP协议的网桥，RSTP协议可以自动从RSTP模式迁移到STP兼容模式下运行。

缺省情况下，RSTP协议运行的是RSTP模式。

1.2.6 配置特定网桥的Bridge优先级
网桥的Bridge优先级的大小决定了这个网桥是否能够被选择为整个生成树的根。通过配置较小的Bridge优先级，可以达到指定某个网桥作为生成树树根的目的。

可以通过下面的命令配置特定网桥的Bridge优先级。

请在全局配置模式下进行下列配置。

表1-5 配置特定网桥的Bridge优先级

操作
命令

配置特定网桥的Bridge优先级
spanning-tree priority bridge-priority

将特定网桥的Bridge优先级恢复为缺省值
no spanning-tree priority




需要注意的是，如果整个交换网络中所有网桥的Bridge优先级采用相同的值，则MAC地址最小的那个网桥将被选择为根。在RSTP协议开启的情况下，如果配置网桥的Bridge优先级，会引起生成树重新计算。

缺省情况下，网桥的Bridge优先级被配置为32768。

1.2.7 配置特定网桥的Forward Delay时间
链路故障会引发网络重新进行生成树的计算，生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络，如果新选出的根端口和指定端口立刻就开始数据转发的话，可能会造成暂时性的路径回环。为此协议采用了一种状态迁移的机制，根端口和指定端口重新开始数据转发之前要经历一个中间状态，中间状态经过Forward Delay时间的延时后才能进入转发状态，这个延时保证了新的配置消息已经传遍整个网络。

可以通过下面的命令配置特定网桥的Forward Delay时间。

请在全局配置模式下进行下列配置。

表1-6 配置特定网桥的Forward Delay特性

操作
命令

配置特定网桥的Forward Delay时间
spanning-tree forward-time centiseconds

将特定网桥的Forward Delay时间恢复为缺省值
no spanning-tree forward-time




网桥的Forward Delay时间的长短与交换网络的网络直径有关。一般来说，网络直径越大，Forward Delay时间就应该配置地越长。需要注意的是，如果Forward Delay时间配置的过小，可能会引入临时的冗余路径；如果Forward Delay时间配置的过大，网络可能会较长时间不能恢复连通。建议用户采用缺省值。

缺省情况下，网桥的Forward Delay时间为15秒。

1.2.8 配置特定网桥的Hello Time时间
网桥每隔一定时间会向周围的网桥发送hello报文，以确认链路是否存在故障。

可以通过下面的命令配置特定网桥的Hello Time时间。

请在全局配置模式下进行下列配置。

表1-7 配置特定网桥的Hello Time时间

操作
命令

配置特定网桥的Hello Time时间
spanning-tree hello-time centiseconds

将特定网桥的Hello Time恢复为缺省值
no spanning-tree hello-time




合适的Hello Time时间值可以保证网桥能够及时发现网络中的链路故障，又不会占用过多的网络资源。需要注意的是，如果用户设置的Hello Time时间值过长，在链路发生丢包时，网桥会误以为链路出现了故障，从而引发网络设备重新计算生成树；如果用户设置的Hello Time时间值过短，网桥将频繁发送重复的配置消息，增加了交换机的负担，浪费了网络资源。

缺省情况下，网桥的Hello Time时间为2秒。

1.2.9 配置特定网桥的Max Age时间
Max Age时间是用来判断配置消息是否“过时”的参数，用户可以根据实际的网络情况对其进行配置。

可以通过下面的命令配置特定网桥的Max Age时间。

请在全局配置模式下进行下列配置。

表1-8 配置特定网桥的Max Age时间

操作
命令

配置特定网桥的Max Age时间
spanning-tree max-age centiseconds

将特定网桥的Max Age时间恢复为缺省值
no spanning-tree max-age




需要注意的是，如果用户配置的Max Age时间过小，网络设备会频繁地计算生成树，而且有可能将网络拥塞误认成链路故障；如果用户配置的Max Age时间过大，网络设备很可能不能及时发现链路故障，不能及时重新计算生成树，从而降低网络的自适应能力。建议用户采用缺省值。

缺省情况下，网桥的Max Age时间为20秒。

1.2.10 配置特定端口的最大发送速率
以太网端口的最大发送速率与端口的物理状态和网络结构有关，用户可以根据实际的网络情况对其进行配置。

可以通过下面的命令配置特定端口的最大发送速率。

请在以太网端口配置模式下进行下列配置。

表1-9 配置特定端口的最大发送速率

操作
命令

配置特定端口的最大发送速率
spanning-tree transit-limit packetnum

将特定端口的最大发送速率恢复为缺省值
no spanning-tree transit-limit




需要注意的是，如果该参数被配置的过大，则单位时间内发送的报文数就很多，从而占用过多的网络资源。建议用户采用缺省值。

缺省情况下，网桥所有以太网端口的最大发送速率为3（这是一个计数器的值，没有单位）。

1.2.11 配置特定端口是否可以作为EdgePort
EdgePort就是边缘端口，即该端口不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连。

可以通过下面的命令配置特定端口是否可以作为EdgePort。

请在以太网端口配置模式下进行下列配置。

表1-10 配置特定端口是否可以作为EdgePort

操作
命令

配置特定端口为边缘端口/非边缘端口
spanning-treeportfast{enable | disable }

将特定端口恢复为缺省的非边缘端口
no spanning-tree portfast




在生成树的重新计算过程中，边缘端口可以直接迁移到转发状态，减少不必要的迁移时间。如果当前的以太网端口没有和任何其它网桥的以太网端口相连，则应该将该端口配置为边缘端口。如果某个特定端口被配置为边缘端口，但是该端口与其它网桥的端口相连，RSTP协议可以自动检测并将其重新配置为非边缘端口。

需要注意的是，如果某以太网端口被配置为非边缘端口，在网络拓扑发生变化后，此端口没有和任何其它网桥的以太网端口相连，变成了边缘端口，用户最好重新将该端口配置为边缘端口，因为RSTP协议无法自动将非边缘端口配置为边缘端口。

对于直接与终端相连的端口，请将该端口设置为边缘端口，这样能够使该端口快速迁移到转发状态。

缺省情况下，网桥所有以太网端口均被配置为非边缘端口。

1.2.12 配置特定端口的Path Cost
Path Cost即路径开销，是与端口相连的链路速率相关的参数。

可以通过下面的命令配置特定端口的Path Cost。

请在以太网端口配置模式下进行下列配置。

表1-11 配置特定端口的Path Cost

操作
命令

配置特定端口的Path Cost
spanning-tree costcost

将特定端口的Path Cost恢复为缺省值
no spanning-tree cost




以太网端口的路径开销和该端口所连接链路的速率有关，链路速率越大，应该将该参数配置的越小。RSTP协议可以自动检测当前以太网端口的链路速率，并换算成相应的路径开销。需要注意的是，配置以太网端口的路径开销会引起生成树重新计算。建议用户采用缺省值，让RSTP协议自己来计算当前以太网端口的路径开销。

缺省情况下，网桥由链路速率直接得到端口的路径开销。

1.2.13 配置特定端口的优先级
端口优先级是确定该端口是否会被选为根端口的重要依据。在生成树的计算过程中，同等条件下优先级高的端口将被选为根端口。

可以通过下面的命令配置特定端口的优先级。

请在以太网端口配置模式下进行下列配置。

表1-12 配置特定端口的优先级

操作
命令

配置特定端口的优先级
spanning-tree port-priority port-priority

将特定端口的优先级恢复为缺省值
no spanning-tree port-priority




通过设定以太网端口的优先级，可以达到将特定的以太网端口包含在生成树内的目的。一般情况下，配置的值越小，端口的优先级就越高，该以太网端口就越有可能包含在生成树内。如果网桥所有的以太网端口采用相同的优先级参数值，则以太网端口的优先级高低就取决于该以太网端口的索引号。需要注意的是，改变以太网端口的优先级会引起生成树重新计算。用户可以根据组网的实际需要来设置端口的优先级。

缺省情况下，网桥所有以太网端口的优先级为128。

1.2.14 配置特定端口是否与点对点链路相连
点到点链路一般指交换机之间相连的链路。

可以通过下面的命令配置特定端口是否与点对点链路相连。

请在以太网端口配置模式下进行下列配置。

表1-13 配置特定端口是否与点对点链路相连

操作
命令

配置特定端口与点对点链路相连
spanning-tree point-to-point forcetrue

配置特定端口没有与点对点链路相连
spanning-tree point-to-point forcefalse

配置RSTP协议自动检测端口是否与点对点链路相连
spanning-tree point-to-point auto

将端口设置为缺省的自动检测是否与点对点链路相连的状态
no spanning-tree point-to-point




点对点链路相连的两个端口可以通过传送同步报文快速迁移到转发状态，减少了不必要的转发延迟时间，如果该参数被配置为自动模式，RSTP协议可以自动检测当前的以太网端口是否与点对点链路相连。需要注意的是：对于汇聚端口，只有汇聚端口的主端口才可以被配置成与点对点链路相连；一个端口工作在自协商模式，协商出来的工作模式是全双工，可以将此端口配置为点到点链路。

用户可以手工强行配置当前以太网端口与点对点链路相连，但是如果该链路不是点到点链路会使系统出现问题，一般情况下建议用户将此配置项设为自动模式，由系统自动发现端口是否与点到点链路相连。

缺省情况下，该参数被配置为auto。

1.2.15 配置特定端口的mCheck变量
假设在一个交换网络中，运行STP协议的交换机和运行RSTP协议的交换机同时存在。RSTP协议可以兼容STP协议，此时在运行RSTP协议的交换机上与运行STP协议的交换机相连的端口工作在STP兼容模式下。在网络比较稳定的情况下，虽然网段内运行STP协议的网桥被拆离，但与之相连的运行RSTP协议的交换机的端口仍然会运行在STP兼容模式下，此时可以通过该命令迫使其迁移到RSTP模式下运行。该命令必须在网桥的RSTP协议工作在RSTP模式下进行配置，如果网桥的协议运行模式被配置为STP兼容模式，该命令无效。

可以通过下面的命令配置特定端口的mCheck变量。

请在以太网端口配置模式下进行下列配置。

表1-14 配置特定端口的mCheck变量

操作
命令

配置特定端口的mCheck变量
spanning-tree mcheck




需要注意的是，该命令必须在网桥运行RSTP协议的情况下进行配置，如果网桥的协议运行模式被配置为STP兼容模式，该命令无效。

1.3 Spanning Tree监控和维护
请在特权用户模式下进行下列操作。其中，show命令还可以在除普通用户模式外的所有模式下进行。

表1-15 RSTP的监控和维护命令

操作
命令

显示本设备及当前端口的配置信息
show spanning-tree [ interface interface-list ]

清除RSTP协议的统计信息
clear spanning-tree [ interface interface-list ]

打开RSTP的调试开关（收发报文、事件、错误等）
debug stp { error | event | packet }
__________________
i must win,and i will win.

---

由 7boy 于 05-29-2003 09:22 AM 发表:

part 12 aaa与安全协议配置

第1章 802.1x配置
1.1 802.1x简介
1.1.1 802.1x标准简介
IEEE 802.1x标准（以下简称802.1x）的主要内容是一种基于端口的网络接入控制（Port Based Network Access Control）协议，IEEE于2001年颁布该标准文本并建议业界厂商使用其中的协议作为局域网用户接入认证的标准协议。802.1x的提出起源于IEEE 802.11标准－－无线局域网用户接入协议标准，其最初目的主要是解决无线局域网用户的接入认证问题；但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。

在符合IEEE 802标准的局域网中，只要与局域网接入控制设备如LANSwitch相接，用户就可以与局域网连接并访问其中的设备和资源。但是对于诸如电信接入、商务局域网（典型的例子是写字楼中的LAN）以及移动办公等应用场合，局域网服务的提供者普遍希望能对用户的接入进行控制，为此产生了本章开始就提到的对“基于端口的网络接入控制”的需求。

顾名思义，“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。

802.1x定义了基于端口的网络接入控制协议，并且仅定义了接入设备与接入端口间点到点这一种连接方式。其中端口既可以是物理端口，也可以是逻辑端口。典型的应用环境如：LANSwitch的每个物理端口仅连接一个用户的计算机工作站（基于物理端口），IEEE 802.11标准定义的无线LAN接入环境（基于逻辑端口）等。

1.1.2 802.1x体系结构
使用802.1x的系统为典型的C/S（Client/Server，客户机/服务器）体系结构，包括三个实体，如下图所示分别为：Supplicant System（接入系统）、Authenticator System（认证系统）以及Authentication Server System（认证服务器系统）。

局域网接入控制设备需要提供802.1x的认证系统（Authenticator System）部分；用户侧的设备如计算机等需要安装802.1x的客户端（Supplicant System）软件，如华为公司提供的802.1x客户端（或如Windows XP自带的802.1x客户端）；802.1x的认证服务器（Authentication Server）系统则一般驻留在运营商的AAA中心。

Authenticator与Authentication Server间通过EAP（Extensible Authentication Protocol，可扩展认证协议）帧交换信息，Supplicant与Authenticator间则以IEEE 802.1x所定义的EAPoL（EAP over LANs，局域网上的EAP）帧交换信息，EAP帧中封装了认证数据，该认证数据将被封装在其它AAA上层协议（如RADIUS）的报文中以穿越复杂的网络到达Authentication Server，这一过程被称为EAP Relay。

Authenticator的端口有分为两种：非受控端口（Uncontrolled Port）和受控端口（Controlled Port）。非受控端口始终处于双向连通状态，用户接入设备可以随时通过这些端口访问网络资源以获得服务；受控端口只有在用户接入设备通过认证后才处于连通状态，才允许用户通过其进一步访问网络资源。端口受控模式可配置为“双向受控”或“仅输入受控”，以适应不同的应用环境要求。



图1-1 802.1x体系结构

802.1x为LANSwitch带来了可运营可管理的特性：基于端口号进行认证时，未通过用户认证的端口不能使用；基于MAC地址进行认证时，未经过认证的接入设备不能访问网络资源。

1.1.3 802.1x的认证过程
802.1x通过EAP帧承载认证信息。标准中共定义了如下几种类型的EAP帧：

l EAP-Packet：认证信息帧，用于承载认证信息。

l EAPoL-Start：认证发起帧，Supplicant主动发起的认证发起帧。

l EAPoL-Logoff：退出请求帧，主动终止已认证状态。

l EAPoL-Key：密钥信息帧，支持对EAP报文的加密。

l EAPoL-Encapsulated-ASF-Alert：用于支持Alert Standard Forum（ASF）的Alerting消息。

其中EAPoL-Start、EAPoL-Logoff和EAPoL-Key仅在Supplicant和Authenticator间存在；EAP-Packet信息由Authenticator System重新封装后传递到Authentication Server System；EAPoL-Encapsulated-ASF-Alert与网管信息相关，由Authenticator终结。上述帧的交互如下图所示。



图1-2 802.1x认证过程

由上述的原理我们可以看到，802.1x提供了一个用户身份认证的实现方案，但是仅仅依靠802.1x是不足以实现该方案的——接入设备的管理者还要对AAA方法进行配置，选择使用RADIUS或本地认证方法，以配合802.1x完成用户的身份认证。AAA方法的具体配置细节，请参见本书的“AAA配置指导”章节。

1.1.4 802.1x在S3500系列以太网交换机中的实现
Quidway S3500系列以太网交换机在802.1x的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了扩展、优化：

l 支持一个物理端口下挂接多个End Station的应用场合；

l 接入控制方式（即对用户的认证方式）不仅可以基于端口，还可以基于MAC地址。

这样就极大地提高了系统的安全性和可管理性。

1.2 802.1x配置
1.2.1 802.1x配置任务列表
802.1x本身的各项配置任务都可以在以太网交换机的全局模式下完成。当全局802.1x没有开启时，可以对端口的802.1x状态进行配置，所配置项会在开启全局802.1x后生效。

& 说明：

请不要同时启动802.1x与RSTP，两者同时启动时不能保证S3500系列以太网交换机的正常工作。



802.1x的主要配置任务列表如下：

l 开启/关闭802.1x特性

l 设置端口接入控制的模式

l 设置端口接入控制方式

l 设置端口接入用户数量的最大值

l 设置允许DHCP触发认证

l 设置认证请求帧的可重复发送次数

l 配置定时器参数

在以上的配置任务中，第一项任务是必配的，否则802.1x无法发挥作用；其余任务则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

1.2.2 开启/关闭802.1x特性
可以通过下面的命令开启/关闭指定端口上的802.1x特性；当不指定任何确定的端口时，开启/关闭全局的802.1x特性。

请在全局配置模式或以太网端口配置模式下进行下列配置。

表1-1 开启/关闭802.1x特性

操作
命令

开启802.1x特性
dot1x [ interface port-list ]

关闭802.1x特性
no dot1x [ interface port-list ]




各端口的802.1x状态在全局802.1x没有开启之前可以配置，但不起作用；在全局802.1x启动后，各端口配置会立即生效。

缺省情况下，全局及端口的802.1x特性均为关闭状态。

1.2.3 设置端口接入控制的模式
可以通过下面的命令来设置802.1x在指定端口上进行接入控制的模式。当没有指定任何确定的端口时，设置的是所有端口进行接入控制的模式。

请在全局或以太网端口配置模式下进行下列配置。

表1-2 设置端口接入控制的模式

操作
命令

设置端口接入控制的模式
dot1x port-control { force-authorized | force-unauthorized | auto } [ interface port-list ]

将端口接入控制的模式恢复为缺省值
no dot1x port-control [ interface port-list ]




缺省情况下，802.1x在端口上进行接入控制的模式为auto（自动识别模式，又称为协议控制模式），即：端口初始状态为非授权状态，仅允许EAPoL报文收发，不允许用户访问网络资源；如果认证流程通过，则端口切换到授权状态，允许用户访问网络资源。这也是最常见的情况。

1.2.4 设置端口接入控制方式
可以通过下面的命令来设置802.1x在指定端口上进行接入控制的方式。当没有指定任何确定的端口时，设置的是所有端口进行接入控制的方式。

请在全局或以太网端口配置模式下进行下列配置。

表1-3 设置端口接入控制方式

操作
命令

设置端口接入控制方式
dot1x port-method { macbased | portbased } [ interface portlist ]

将端口接入控制方式恢复为缺省值
no dot1x port-method [ interface portlist ]




缺省情况下，802.1x在端口上进行接入控制的方式为macbased，即基于MAC地址进行认证。

1.2.5 设置端口接入用户数量的最大值
可以通过下面的命令来设置802.1x在指定端口上可容纳接入用户数量的最大值。当没有指定任何确定的端口时，指示所有端口都可容纳相同数量的接入用户。

请在全局或以太网端口配置模式下进行下列配置。

表1-4 设置端口接入用户数量的最大值

操作
命令

设置端口接入用户数量的最大值
dot1x max-user user-number [ interface port-list ]

将端口接入用户数量的最大值恢复为缺省值
no dot1x max-user [ interface port-list ]




缺省情况下，802.1x在S3500系列以太网交换机所有的端口上都允许最多有256个接入用户。

1.2.6 设置允许DHCP触发认证
可以通过下面的命令来设置802.1x是否允许以太网交换机在用户运行DHCP、申请动态IP地址时就触发对其的身份认证。

请在全局模式下进行下列配置。

表1-5 设置允许DHCP触发认证

操作
命令

允许DHCP触发认证
dot1x dhcp-launch

不允许DHCP触发认证
no dot1x dhcp-launch




缺省情况下，不允许在用户运行DHCP申请动态IP地址时就触发对其的身份认证。

1.2.7 设置认证请求帧的可重复发送次数
可以通过下面的命令来设置以太网交换机可重复向接入用户发送认证请求帧的次数。

请在全局模式下进行下列配置。

表1-6 设置认证请求帧的可重复发送次数

操作
命令

设置认证请求帧的可重复发送次数
dot1x max-req max-req-value

将认证请求帧的可重复发送次数恢复为缺省值
no dot1x max-req




缺省情况下，max-req-value为3，即交换机最多可重复向接入用户发送3次认证请求帧。

1.2.8 配置定时器参数
可以通过下面的命令来配置802.1x的各项定时器参数。

请在全局模式下进行下列配置。

表1-7 配置定时器参数

操作
命令

配置定时器参数
dot1x timeout { quiet-period quiet-period-value| tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value | reauth-period reauth-period-value }

将定时器参数恢复为缺省值
no dot1x timeout { quiet-period | tx-period| supp-timeout | server-timeout | reauth-period }




其中：

quiet-period quiet-period-value：静默定时器，取值范围为10～120，单位为秒。

server-timeout server-timeout-value：RADIUS服务器超时定时器，取值范围为100～300，单位为秒。

supp-timeout supp-timeout-value：Supplicant认证超时定时器，取值范围为10～120，单位为秒。

tx-period tx-period-value：传送超时定时器，取值范围为10～120，单位为秒。

缺省情况下，quiet-period-value为60s；tx-period-value为30s；supp-timeout-value为30s；server-timeout-value为100s。

1.3 802.1x的监控与维护
请在特权用户模式下进行下列操作。其中，show dot1x命令还可以在除普通用户模式以外的所有模式下使用。

表1-8 802.1x的监控与维护

操作
命令

清除802.1x的统计信息
clear dot1x statistics [ interface port-list ]

显示802.1x的配置、运行情况和统计信息
show dot1x [ session | statistics ][ port-list ]

打开802.1x的错误/事件/报文/全部调试开关
debug dot1x { error | event | packet | all }

关闭802.1x的错误/事件/报文/全部调试开关
no debug dot1x { error | event | packet | all }




！显示系统中802.1x的配置信息。

Quidway# show dot1x

802.1X protocol is enable



Configure: Transmit Period 000030 s, Commit Period 000015 s

ReAuth Period 003600 s, ReAuth MaxTimes 000003

Quiet Period 000060 s, Quiet Period Timer is disable

Supp Timeout 000030 s, Server Timeout 000100 s



Total maximum on-line user number is 1024

Total current on-line user number is 0



Ethernet0/1 (Port 0) is link-up

802.1X protocol is enable

The port is a authenticator

Authenticate Mode is auto

Port Control Type is Mac-Base

Max on-line user number is 256



Ethernet0/2 (Port 1) is link-down

802.1X protocol is disable

The port is a authenticator

Authenticate Mode is auto

Port Control Type is Mac-Base

Max on-line user number is 256

……（以下略）

以上显示信息表示：全局的802.1x特性已经开启，各项定时器的取值为多少，最大可接入用户为1024，当前接入用户数为0；端口Ethernet 0/1（port 0）的链路状态为up，该端口上已经启动了802.1x特性，工作在认证系统模式下，其认证方式为auto，基于MAC地址对用户进行认证，该端口最多可容纳的接入用户数为256；端口Ethernet 0/2（port 1）的链路状态为down，没有启动802.1x特性，其它各项属性与port 0相同；以下其它各端口显示信息类同（故省略，不再赘述）。

1.4 802.1x典型配置举例
1. 组网需求
如下图所示，某用户的工作站与以太网交换机Quidway S3526的端口Ethernet 0/1相连接。

交换机的管理者希望在各端口上对用户接入进行认证，以控制其访问Internet；接入控制模式要求是基于MAC地址的接入控制。

所有AAA接入用户都属于一个缺省的域：huawei163.net，该域最多可容纳30个用户；认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线；此外，接入时在用户名后不添加域名，正常连接时如果用户有超过20分钟流量持续小于2000Byte/s的情况则切断其连接。

由两台RADIUS服务器组成的服务器组与交换机相连，其IP地址分别为10.11.1.1和10.11.1.2，要求使用前者作为主认证/从计费服务器，使用后者作为从认证/主计费服务器；设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”，设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，重复发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文，指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

本地802.1x接入用户的用户名为localuser，域名为huawei163.net，密码为localpass，使用明文输入，闲置切断功能处于打开状态。

2. 组网图


图1-3 启动802.1x和RADIUS对接入用户进行AAA操作

3. 配置步骤
& 说明：

下述各配置步骤包含了大部分AAA/RADIUS协议配置命令，对这些命令的介绍，请参见“AAA/RADIUS协议配置”一章的相关章节。

此外，接入用户工作站和RADIUS服务器上的配置略。



！开启指定端口Ethernet 0/1的802.1x特性。

Quidway(config)# dot1x interface ethernet 0/1

！设置接入控制的方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

Quidway(config)# dot1x port-method macbased interface ethernet 0/1

！设置认证方法。

Quidway(config)# aaa authentication auth radius next local

！设置计费方法。

Quidway(config)# aaa accounting charge enable offline

！创建RADIUS组radius1并进入其配置模式。

Quidway(config)# radius-server host radius1

！设置主认证/计费RADIUS服务器的IP地址。

Quidway(config-radius-radius1)# primary auth 10.11.1.1

Quidway(config-radius-radius1)# primary acct 10.11.1.2

！设置从认证/计费RADIUS服务器的IP地址。

Quidway(config-radius-radius1)# second auth 10.11.1.2

Quidway(config-radius-radius1)# second acct 10.11.1.1

！设置系统与认证RADIUS服务器交互报文时的加密密码。

Quidway(config-radius-radius1)# key auth name

！设置系统与计费RADIUS服务器交互报文时的加密密码。

Quidway(config-radius-radius1)# key acct money

！设置系统向RADIUS服务器重发报文的时间间隔与次数。

Quidway(config-radius-radius1)# timeout 5

Quidway(config-radius-radius1)# retransmit 5

！设置系统向RADIUS服务器发送实时计费报文的时间间隔。

Quidway(config-radius-radius1)# realtime-acct-timeout 15

！指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

Quidway(config-radius-radius1)# username-format without-domain

Quidway(config-radius-radius1)# exit

！创建用户域huawei163.net并进入其配置模式。

Quidway(config)# domain huawei163.net

！指定auth为该域用户的认证方法。

Quidway(config-isp-huawei163.net)# authen-scheme auth

！指定charge为该域用户的计费方法。

Quidway(config-isp-huawei163.net)# acct-scheme charge

！指定radius1为该域用户的RADIUS服务器组。

Quidway(config-isp-huawei163.net)# radius-scheme radius1

！设置该域最多可容纳30个用户。

Quidway(config-isp-huawei163.net)# access-limit enable 30

！设置该域用户的闲置切断参数并启动闲置切断功能。

Quidway(config-isp-huawei163.net)# idle-cut data 20 2000

Quidway(config-isp-huawei163.net)# user-template idle-cut enable

！将该域设置为全局缺省域，并且不对接入用户添加域名。

Quidway(config)# global setting domain-default enable huawei163.net no

！添加本地接入用户并设置其参数。

Quidway(config)# user localuser@huawei163.net password 0 localpass service-type 8021x

Quidway(config)# set user localuser@huawei163.net idle-cut enable

！开启全局802.1x特性。

Quidway(config)# dot1x



第2章 AAA和RADIUS协议配置
2.1 AAA和RADIUS协议简介
2.1.1 AAA概述
1. 什么是AAA
AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：

l 哪些用户可以访问网络服务器？

l 具有访问权的用户可以得到哪些服务？

l 如何对正在使用网络资源的用户进行计费？

针对以上问题，AAA必须提供下列服务：

l 认证：验证用户是否可获得访问权。

l 授权：授权用户可使用哪些服务。

l 计费：记录用户使用网络资源的情况。

2. AAA的优点
由于AAA一般采用客户/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息，因此，AAA框架具有如下的优点：

l 具有良好的可扩展性

l 可以使用标准化的认证方法

l 容易控制，便于用户信息的集中管理

l 可以使用多重备用系统来提升整个框架的安全系数

2.1.2 RADIUS协议概述
如前所述，AAA是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们最常使用RADIUS协议来实现AAA。

1. 什么是RADIUS
RADIUS是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，它是一种分布式的、客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（例如，它常被应用来管理使用串口和调制解调器的大量分散拨号用户）。RADIUS系统是NAS（Network Access Server，网络接入服务器）系统的重要辅助部分。

当RADIUS系统启动后，如果用户想要通过与NAS（PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机）建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时，NAS，也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS服务器上有一个用户数据库，其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后，通过对用户数据库的查找、更新，完成相应的认证、授权和计费工作，并把用户所需的配置信息和计费统计数据返回给NAS——在这里，NAS起到了控制接入用户及对应连接的作用，而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。

NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中，交互双方将使用密钥对报文进行加密，以保证用户的配置信息（如密码）被加密后才在网络上传递，从而避免它们被侦听、窃取。

2. RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能，通常整个操作步骤如下：

(1) 将客户端的用户名和加密口令发送至RADIUS服务器。

(2) 用户可从RADIUS服务器收到下述响应报文之一：

l ACCEPT：表明用户通过认证。

l REJECT：表明用户没有通过认证，提示用户重新输入用户名和口令，否则访问被拒绝。

2.1.3 AAA/RADIUS在S3500系列以太网交换机中的实现
由前面的概述，我们可以明白，在这样一个AAA/RADIUS框架中，S3500系列以太网交换机是作为用户接入设备即NAS，相对于RAIDUS服务器来说，S3500系列以太网交换机是RADIUS系统的客户端；换句话说，AAA/RADIUS在S3500系列以太网交换机中实现的是其客户端部分。S3500系列以太网交换机参与的、使用RADIUS认证的组网示意图如下所示。



图2-1 S3526使用RADIUS认证的典型组网图

2.2 AAA配置
2.2.1 AAA配置任务列表
AAA的配置任务列表如下：

l 设置认证/授权方法表

l 设置计费方法表

l 创建/删除ISP域

l 配置ISP域的相关属性

l 配置用户模板属性

l 指定缺省的ISP域

l 添加本地用户

l 配置本地用户属性

l 强制切断用户连接

在以上的配置任务中，创建ISP域是必需的，否则无法区分接入用户的属性；其余任务则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

2.2.2 设置认证/授权方法表
认证/授权方法是指系统对接入用户在请求登录过程中采取的认证/授权策略，可以采用远端认证/授权（RADIUS认证/授权）、本地认证/授权或无须认证/授权三种方法中的一种或几种的组合。

请在全局配置模式下进行下列配置。

表2-1 设置认证/授权方法表

操作
命令

设置认证/授权方法表
aaa authentication scheme-name method1 [ next method2 ]

删除认证/授权方法表
no aaa authentication scheme-name




其中，method1为首次认证/授权方法；method2为二次认证/授权方法。

认证/授权方法的取值可以从以下三种中选择一种：

l radius——使用RADIUS服务器进行认证/授权

l local——由接入设备（即以太网交换机）在本地进行认证/授权

l simple——用户不需要进行认证/授权即可获得服务

上述命令只是设置了一个认证/授权方法表，但要让它实际发挥作用则必须在某个用户域（限定了某类用户）的设置中明确地引用它。

如果系统针对某个用户域引用了认证/授权方法为radius的认证/授权方法表，则系统有必要进行RADIUS服务器的配置（相关配置请见本章的RADIUS配置一节）；并且，远端的RADIUS服务器上必须配置有相关用户的信息。

引用了local认证/授权方法时，系统需要增加本地用户并设置本地用户属性。

引用了simple认证/授权方法时，只要本地存在引用该方法的用户，则不需要对其进行认证/授权，该用户即可获得网络服务。

& 说明：

所谓二次认证/授权方法是指当用户首次认证/授权没有结果（如远端RADIUS服务器没有给出任何响应）时再次进行认证/授权所选择的策略。二次认证/授权方法是可选的，缺省情况下，不配置二次认证/授权方法。

首次认证方法不能为空。如果首次认证/授权即明确地给出了认证/授权结果（例如RADIUS响应用户认证失败），则不再对用户进行二次认证/授权。

另外，local和simple被称为相似的认证/授权方法。请注意，首次和二次认证/授权方法不能被配置成相同或相似的认证/授权方法。



缺省情况下，系统自带一条名为“default”的认证/授权方法表，其首次认证/授权方法为radius，二次认证/授权方法为local。

2.2.3 设置计费方法表
与认证/授权方法表相对应，可以通过下面的命令来设置计费方法表。目前，计费过程只能使用RADIUS协议实现。可以选择使用RADIUS模式下配置的RADIUS服务器组进行计费或不计费。

请在全局配置模式下进行下列配置。

表2-2 设置计费方法表

操作
命令

设置计费方法表
aaa accounting scheme-name { disable | enable { offline | online }}

删除计费方法表
no aaa accounting scheme-name




其中，disable表示不对用户计费；enable表示对用户计费；offline表示对用户计费失败时切断用户与网络的连接；online表示对用户计费失败时让用户继续在线（即保持用户与网络的连接）。

缺省情况下，系统自带一条名为“default”的计费方法表，其具体计费方法为：对用户计费，如果计费失败则切断用户与网络的连接。

2.2.4 创建/删除ISP域
什么是ISP（Internet Service Provider，因特网服务提供商）域？简单点说，ISP域即ISP用户群，一个ISP域即是由同属于一个ISP的用户构成的用户群。一般说来，在“userid@isp-name”形式（例如gw20010608@163.net）的用户名中，“@”后的“isp-name”（如例中的“163.net”）即为ISP域的域名。在S3500系列以太网交换机对用户进行接入控制时，对于用户名为“userid@isp-name”形式的ISP用户，系统就将把“userid”作为用于身份认证的用户名，把“isp-name”作为域名。

引入ISP域的设置是为了支持多ISP的应用环境：在这种环境中，同一个接入设备接入的有可能是不同ISP的用户（例如，S3500系列以太网交换机有可能既被用来接入163用户，也被用来接入169用户）。由于各ISP用户的用户属性（例如用户名及密码构成、服务类型/权限、计费方法等）有可能各不相同，因此有必要通过设置ISP域的方法把它们区别开。在S3500系列以太网交换机的ISP域配置模式下，可以为每个ISP域配置包括AAA策略（认证/授权方法、计费方法、使用的RADIUS服务器组等）在内的一整套单独的ISP域属性。

对于S3500系列以太网交换机来说，每个接入用户都属于一个ISP域。系统中最多可以配置16个ISP域。如果某个用户在登录时没有上报ISP域名，则系统将把它归于缺省的ISP域。具体请参见“指定缺省ISP域”命令的说明。

请在全局配置模式下进行下列配置。

表2-3 创建/删除ISP域

操作
命令

创建ISP域或进入指定ISP域的配置模式
domain isp-name

删除指定的ISP域
no domain isp-name




缺省情况下，系统中没有任何ISP域。

2.2.5 配置ISP域的相关属性
ISP域的相关属性包括引用的认证/授权方法表、引用的计费方法表、RADIUS服务器组、ISP域的状态、可容纳接入用户数的最大值和闲置切断数据。其中：

l 引用的认证/授权方法表、引用的计费方法表分别用来指定系统对该ISP域下所有用户使用的认证/授权方法和计费方法。此命令需与上面的设置认证/授权方法表和设置计费方法表的命令联合使用。

l 引用的RADIUS服务器组指定的是该ISP域下所有用户所使用的RADIUS服务器组的组名。该RADIUS服务器组可被用于进行RADIUS认证或者RADIUS计费。缺省情况下，使用缺省的RADIUS服务器组。此命令需与RADIUS服务器和服务器组的设置命令联合使用，具体请参见本章后面的RADIUS配置一节。

l 每个ISP域有两个状态：active或block。当指示某个ISP域处于active状态时，允许该域下的用户请求网络服务；当指示某个ISP域处于block状态时，不允许该域下的用户请求网络服务，但是不影响已经在线的用户。出于一些特殊的原因考虑，一个ISP域在刚被创建时是处于active状态的，即：在这个时候，允许任何属于该域的用户请求网络服务。

l 可容纳接入用户数的最大值用来指定该ISP域最多可容纳多少个接入用户。缺省情况下，对任何一个ISP域，没有任何可容纳接入用户数的限制。

l 闲置切断属性，又被称为“老化”属性，是指：在指定长度的连续时间段内，如果该ISP域内的某个用户与网络连接的流量（包括一些握手报文在内）不超过规定的流量，则系统认为该连接已经闲置。本配置任务用于设置该属性的取值（即指定时间长度和流量限制）。对于本地用户、或者由于认证后用户及RADIUS服务器均没有明确指出idle-cut是否开启而启用该ISP域下用户模板中idle-cut开关的RADIUS用户，都使用该ISP域下的这套数据。

请在ISP域配置模式下进行下列配置。

表2-4 配置ISP域的相关属性

操作
命令

指定引用的认证/授权方法表
authen-scheme authen-scheme-name

指定引用的计费方法表
acct-scheme acct-scheme-name

指定引用的RADIUS服务器组
radius-scheme radius-scheme-name

设置ISP域的状态
state { active | block }

指定可容纳接入用户数的最大值
access-limit { disable | enable max-user-number }

设置闲置切断数据
idle-cut data max-idle-time minimal-flow




缺省情况下，当一个ISP域被创建以后，其引用的认证/授权方法表为系统缺省的认证/授权方法表（即上文所述的“default”）；其引用的计费方法表为系统缺省的计费方法表（即上文所述的“default”）；其引用的RADIUS服务器组为系统缺省的RADIUS服务器组（名为“default”，相关参数的配置请参见本章的“RADIUS配置”一节）；其状态为active；其可容纳的接入用户没有数量限制；其闲置切断数据为：最大空闲时间30分钟、最小流量3000字节。

2.2.6 配置用户模板属性
所谓用户模板，是指一组缺省用户属性的集合。当某个请求网络服务的用户不具有某项必须具备的属性时，则指定用户模板中的属性作为其缺省属性。目前，用户模板仅能设置用户闲置切断开关：如果在对某个用户进行认证后，用户及RADIUS服务器均没有明确指出其idle-cut是否开启，则指定用户模板中的idle-cut开关状态作为该用户idle-cut开关的状态。

由于用户模板的作用范围局限于一个ISP域，因此对于不同ISP域的用户，需要分别配置用户模板属性。

可以使用下面的命令配置用户模板属性。

请在ISP域配置模式下进行下列配置。

表2-5 配置用户模板属性

操作
命令

配置用户模板属性
user-template idle-cut { disable | enable }




缺省情况下，当一个ISP域被创建以后，其用户模板属性处于disable，即用户闲置切断开关处于关闭状态。

2.2.7 指定缺省的ISP域
如前所述，对于S3526来说，每个接入用户都属于一个ISP域。通常用户会以“userid@isp-name”的形式上报用户名和所属ISP域的域名。但是，如果某个用户在登录时没有上报ISP域名，系统将把它归于缺省的ISP域。

缺省ISP域实际上也是一个普通的ISP域，只是用户名中没有携带域名的用户都属于该域。

可以通过下面的命令来将某个已创建的ISP域指定为缺省的ISP域。

请在全局配置模式下进行下列配置。

表2-6 指定缺省的ISP域

操作
命令

指定缺省的ISP域
global setting domain-default { disable | enable isp-name { no | yes } }




其中，disable表示不设置缺省的ISP域；enable表示设置缺省ISP域；no表示对于没有上报ISP域名的接入用户，系统在把它们归于缺省ISP域的同时，将不在它们的用户名后加上缺省ISP域的域名；yes表示系统在把它们归于缺省ISP域的同时，将在它们的用户名后加上缺省ISP域的域名。

& 说明：

当系统没有设置缺省的ISP域时，不允许没有上报域名的接入用户获得网络服务。



缺省情况下，系统没有任何缺省的ISP域。

2.2.8 添加本地用户
所谓本地用户，是指在NAS上设置的一组用户的集合。该集合以用户名为用户的唯一标识。为使某个请求网络服务的用户可以进行本地认证，需要在NAS上添加相应的本地用户并设置其相关属性。

请在全局配置模式下进行下列配置。

表2-7 添加本地用户

操作
命令

添加本地用户
user username [ password { 0 | 7 } password ] [ service-type 8021x ]




该命令可以添加本地用户，同时可以指定用户的密码（密码可以设定为明文或者密文）以及用户类型（目前针对接入用户仅有8021x的选择）。

缺省情况下，系统中没有任何本地用户。

2.2.9 配置本地用户属性
如前所述，本地用户的属性包括接入限制、闲置切断、密码以及状态，下面对其一一说明：

l 接入限制：多个用户可以同时使用一个本地用户帐号获取网络服务，同时使用者的人数限制即取决于接入限制属性。

l 闲置切断：该属性用于允许/禁止本地用户启用闲置切断功能。而闲置切断的具体数据则取决于用户所在ISP域下的配置。

l 密码：用户进行本地身份认证时的密码。

l 状态：类似于ISP域的设置，本地用户也有active和block这两种状态。如果指定用户处于block状态，则系统是不允许用户请求网络服务的。

请在全局配置模式下进行下列配置。

表2-8 配置本地用户属性

操作
命令

设置接入限制
set user [username ] service-type 8021x access-limit { disable | enable max-access-number }

设置闲置切断
set user [username ] service-type 8021x idle-cut { disable | enable }

设置密码
set user [username ] service-type 8021x password { disable | enable password }

设置状态
set user [username ] service-type 8021x state { active | block }




缺省情况下，本地用户没有接入限制；其闲置切断不打开；没有密码；其状态为active。

2.2.10 强制切断用户连接
在某些时候，可能有必要强制切断某个或某类用户的连接。系统提供了下面的命令以实现这个目的。

请在全局配置模式下进行下列配置。

表2-9 强制切断用户连接

操作
命令

强制切断用户连接
cut connect { domain isp-name | mac mac-address | ucibindex start-ucib-index end-ucib-index | username username }




缺省情况下，不强制切断任何在线的用户连接。

2.3 RADIUS协议配置
S3500系列以太网交换机的RADIUS协议配置，是以RADIUS服务器组为单位进行的。一个RADIUS服务器组在实际组网环境中既可以是一台独立的RADIUS服务器，也可以是两台配置相同、但IP地址不同的主、备RADIUS服务器。由于存在上述情况，因此每个RADIUS服务器组的属性包括：主服务器的IP地址、备份服务器的IP地址、共享密钥以及RADIUS服务器类型等。

实际上，RADIUS协议配置仅仅定义了NAS和RADIUS Server之间进行信息交互所必须的一些参数。为了使这些参数能够生效，还必须在某个ISP域的配置模式下指定该域引用配置有上述参数的RADIUS服务器组，并且指定其认证/授权和计费方法均使用RADIUS认证/授权和计费方法。具体配置命令的细节，请参见前述的“AAA配置”一节。

2.3.1 RADIUS协议配置任务列表
RADIUS协议的配置任务列表如下：

l 创建/删除RADIUS服务器组

l 设置RADIUS服务器的IP地址和端口号

l 设置RADIUS报文的加密密钥

l 设置RADIUS服务器响应超时定时器

l 设置RADIUS请求报文的最大传送次数

l 设置实时计费间隔

l 设置允许实时计费请求无响应的最大次数

l 设置停止计费请求报文的最大发送次数

l 设置支持何种类型的RADIUS服务器

l 设置RADIUS服务器的状态

l 设置发送给RADIUS服务器的用户名格式

在以上的配置任务中，创建RADIUS服务器组是必需的，否则系统将使用缺省的RADIUS计费方法表；其余任务则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

2.3.2 创建/删除RADIUS服务器组
如前所述，RADIUS协议的配置是以RADIUS服务器组为单位进行的。因此，在进行其它RADIUS协议配置之前，必须先创建RADIUS服务器组并进入其配置模式。

可以使用下面命令创建/删除RADIUS服务器组。

请在全局配置模式下进行下列配置。

表2-10 创建/删除RADIUS服务器组

操作
命令

创建RADIUS服务器组并进入其配置模式
radius-server host radius-server-name

删除RADIUS服务器组
no radius-server host radius-server-name




一个RADIUS服务器组可以同时被多个ISP域引用。

缺省情况下，系统中已创建了一个名为“default”的RADIUS服务器组，其各项属性均为缺省值。至于各项属性缺省值的取值，请参见下文。

2.3.3 设置RADIUS服务器的IP地址和端口号
当创建一个新的RADIUS服务器组之后，需要对属于此服务器组的RADIUS服务器的IP地址和UDP端口号进行设置，这些服务器包括认证/授权和计费服务器，而每种服务器又有主服务器和备份服务器的区别，因此最多可以设置4组IP地址和UDP端口号。不过，至少必须配置一个认证/授权服务器和一个计费服务器，以保证认证/授权和计费工作能够进行。

可以使用下面命令设置RADIUS服务器的IP地址和端口号。

请在RADIUS服务器组配置模式下进行下列配置。

表2-11 设置RADIUS服务器的IP地址和端口号

操作
命令

设置主RADIUS认证/授权或计费服务器的IP地址和端口号
primary { acct | auth } ip-address [ port-number ]

将主RADIUS认证/授权或计费服务器的IP地址和端口号恢复为缺省值
no primary { acct | auth }

设置备份RADIUS认证/授权或计费服务器的IP地址和端口号
second { auth | auth } ip-address [ port-number ]

将备份RADIUS认证/授权或计费服务器的IP地址和端口号恢复为缺省值
no second { acct | auth }




在实际组网环境中，上述参数的设置需要根据具体需求来决定。例如：可以指定4组不同的数据以映射4台不同的RADIUS服务器；也可以指定两台服务器互为认证/授权和计费服务的主、备（即A作为主认证/授权服务器和备份计费服务器、B作为备份认证/授权服务器和主计费服务器）；当然，也可以把这4组数据设置得完全一样，使其对应的服务器既作为认证/授权服务器，又作为计费服务器；同时，既作为主服务器，又作为备份服务器。

为了保证NAS与RADIUS服务器能够正常交互，在设置RADIUS服务器的IP地址和UDP端口之前，必须确保RADIUS服务器与NAS的路由连接正常。此外，由于RADIUS协议采用不同的UDP端口来收发认证/授权和计费报文，因此必须将认证/授权端口号和计费端口号设置得不同。RFC2138/2139中建议的认证/授权端口号为1812、计费端口号为1813，但是也可以不选用RFC建议值（尤其是比较早期的RADIUS Server，普遍采用1645作为认证/授权端口号、1646作为计费端口号）。

在使用中，请保证S3500系列以太网交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。一般情况下RADIUS服务器的计费端口号为1813，认证/授权端口号为1812。

缺省情况下，主、备认证/授权和计费服务器的IP地址均为0.0.0.0；其认证/授权服务的UDP端口号为1812，计费服务的UDP端口号为1813。

2.3.4 设置RADIUS报文的加密密钥
RADIUS客户端（即交换机系统）与RADIUS服务器使用MD5算法来加密RADIUS报文，双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下，双方才能彼此接收对方发来的报文并作出响应。

可以使用下面命令设置RADIUS报文的加密密钥。

请在RADIUS服务器组配置模式下进行下列配置。

表2-12 设置RADIUS报文的加密密钥

操作
命令

设置RADIUS认证/授权报文的加密密钥
key auth string

删除RADIUS认证/授权报文的加密密钥
no key auth

设置RADIUS计费报文的加密密钥
key acct string

删除RADIUS计费报文的加密密钥
no key acct




缺省情况下，RADIUS认证/授权报文和RADIUS计费报文的加密密钥均为“huawei”。

2.3.5 设置RADIUS服务器响应超时定时器
如果在RADIUS请求报文（认证/授权请求或计费请求）传送出去一段时间后，NAS还没有得到RADIUS服务器的响应，则有必要重传RADIUS请求报文，以保证用户确实能够得到RADIUS服务。

可以使用下面命令设置RADIUS服务器响应超时定时器。

请在RADIUS服务器组配置模式下进行下列配置。

表2-13 设置RADIUS服务器响应超时定时器

操作
命令

设置RADIUS服务器响应超时定时器
timeout second

将RADIUS服务器响应超时定时器恢复为缺省值
no timeout




缺省情况下，RADIUS服务器响应超时定时器为3秒。

2.3.6 设置RADIUS请求报文的最大传送次数
由于RADIUS协议采用UDP报文来承载数据，因此其通信过程是不可靠的。如果RADIUS服务器在响应超时定时器规定的时长内没有响应NAS，则NAS有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应，则NAS将认为其与当前RADIUS服务器的通信已经中断，并将转而向其它的RADIUS服务器发送请求报文。

可以使用下面命令设置RADIUS请求报文的最大传送次数。

请在RADIUS服务器组配置模式下进行下列配置。

表2-14 设置RADIUS请求报文的最大传送次数

操作
命令

设置RADIUS请求报文的最大传送次数
retransmit retry-time

将RADIUS请求报文的最大传送次数恢复为缺省值
no retransmit




缺省情况下，RADIUS请求报文的最大传送次数为3次。

2.3.7 设置实时计费间隔
为了对用户实施实时计费，有必要设置实时计费的时间间隔。在设置了该属性以后，每隔设定的时间，NAS会向RADIUS服务器发送一次在线用户的计费信息。

可以使用下面命令设置实时计费间隔。

请在RADIUS服务器组配置模式下进行下列配置。

表2-15 设置实时计费间隔

操作
命令

设置实时计费间隔
realtime-acct-timeout minute

将实时计费间隔恢复为缺省值
no realtime-acct-timeout




其中，minute为实时计费间隔时间，单位为分钟，其取值必须为3的整数倍。如果输入值不是3的整数倍，系统将自动调整到3的整数倍（只入不舍，例如输入14时系统自动调整为15；输入13时系统也自动调整为15）。

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求——取值越小，对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大（¦1000）时，尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系：

表2-16 实时计费间隔与用户量之间的推荐比例关系

用户数
实时计费间隔（分钟）

1~99
3

100~499
6

500~999
12

¦1000
¦15




缺省情况下，实时计费间隔为12分钟。

2.3.8 设置允许实时计费请求无响应的最大次数
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到NAS传来的实时计费报文，它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性，有必要在不可预见的故障条件下在NAS端尽量与RADIUS服务器同步切断用户连接。S3500系列以太网交换机提供对连续实时计费请求无响应次数限制的设置——在NAS向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时，NAS将切断用户连接。

可以使用下面的命令设置允许实时计费请求无响应的最大次数。

请在RADIUS服务器组配置模式下进行下列配置。

表2-17 设置允许实时计费请求无响应的最大次数

操作
命令

设置允许实时计费请求无响应的最大次数
permit-failed-count count




考虑一下该值如何计算：假设RADIUS服务器的连接超时时长为T，NAS的实时计费间隔为t，则NAS的count应取为T除以t后取整的数值。因此，在实际应用中，应尽量将T设置为一个能被t整除的数。

缺省情况下，最多允许5次实时计费请求无响应。

2.3.9 设置停止计费请求报文的最大重发次数
由于停止计费请求报文涉及到话单结算、并最终影响收费多少，对用户和ISP都有比较重要的影响，因此NAS应该尽最大努力把它发送给RADIUS计费服务器。所以，如果RADIUS计费服务器对S3500系列以太网交换机发出的停止计费请求报文没有响应，S3500系列以太网交换机应将其缓存在本机上，然后重新发送直到RADIUS计费服务器产生响应，或者在重新发送的次数达到指定的次数限制后将其丢弃。可以使用下面的命令来设置：是否缓存停止计费请求报文；以及如果缓存报文，缓存后的最大重发次数。

请在RADIUS服务器组配置模式下进行下列配置。

表2-18 设置停止计费请求报文的最大重发次数

操作
命令

设置停止计费请求报文的最大重发次数
resend-acctstop-pkt { disable | enable resend-count }




缺省情况下，缓存停止计费请求报文，并且在缓存后，最多可以将缓存的停止计费请求报文重发500次。

2.3.10 设置支持何种类型的RADIUS服务器
S3500系列以太网交换机同时支持标准的RADIUS协议和华为公司自行开发的IP Hotel、201+、Portal等扩展RADIUS业务平台。

可以使用下面的命令来选择支持何种RADIUS服务器类型。

请在RADIUS服务器组配置模式下进行下列配置。

表2-19 设置支持何种类型的RADIUS服务器

操作
命令

设置支持何种类型的RADIUS服务器
server-type { huawei | iphotel | portal | standard }




缺省情况下，RADIUS服务器的类型为standard。

2.3.11 设置RADIUS服务器的状态
对于某个RADIUS服务器组中的主、备服务器（无论是认证/授权服务器还是计费服务器），当主服务器因故障与NAS的通信中断时，NAS会主动地转而与备份服务器交互报文。当主服务器恢复正常后，NAS却不会立即恢复与其通信，而是继续与备份服务器通信；直到备份服务器也出现故障后，NAS才能再转而恢复与主服务器交互报文。为了使NAS在主服务器故障排除后迅速恢复与其通信，需要通过下面的命令手工将主服务器的状态设为up。

当主服务器与备份服务器的状态都为up或都为down时，NAS将只把报文发送到主服务器上。

请在RADIUS服务器组配置模式下进行下列配置。

表2-20 设置RADIUS服务器的状态

操作
命令

设置主RADIUS认证/授权服务器的状态
state primary auth { down | up }

设置主RADIUS计费服务器的状态
state primary acct { down | up }

设置备份RADIUS认证/授权服务器的状态
state second auth { down | up }

设置备份RADIUS计费服务器的状态
state second acct { down | up }




缺省情况下，RADIUS服务器组中各RADIUS服务器的状态均为down。

2.3.12 设置发送给RADIUS服务器的用户名格式
如前所述，接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为ISP域名，S3500系列以太网交换机就是通过该域名来决定将用户归于哪个ISP域的。但是，有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名，在这种情况下，有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此，S3500系列以太网交换机提供下面的命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

表2-21 设置发送给RADIUS服务器的用户名格式

操作
命令

设置发送给RADIUS服务器的用户名格式
username-format { with-domain | without-domain }




& 说明：

如果指定某个RADIUS服务器组不允许用户名中携带有ISP域名，那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS服务器组，否则，会出现虽然实际用户不同（在不同的ISP域中）、但RADIUS服务器认为用户相同（因为传送到它的用户名相同）的错误。



缺省情况下，RADIUS服务器组默认：发送给RADIUS服务器的用户名携带有ISP域名。

2.4 AAA和RADIUS协议的监控与维护
AAA与RADIUS协议的监控和维护命令很多。除了特别标注了配置模式的命令以外，请在特权用户模式下使用下面的命令；此外，show系列命令还可以在除了普通用户模式以外的所有配置模式下使用。

表2-22 AAA和RADIUS协议的监控与维护

操作
命令

显示AAA的相关信息
show aaa

显示所有或指定认证/授权方法表的相关信息
show aaa authentication [ scheme-name ]

显示所有或指定计费方法表的相关信息
show aaa accounting [ scheme-name ]

显示当前ISP域的配置信息（ISP域配置模式下）
display domain

显示所有或指定ISP域的配置信息
show domain [ isp-name ]

显示用户连接的相关信息
show connect [ cut-data ucib-index | domain isp-name | mac mac-address | state { all | online | stop | wait } | ucibindex ucib-index | username username ]

显示本地用户的相关信息
show user [ domain isp-name | idlecut { disable | enable } | service-type 8021x | state { active | block } | username username ]

查看当前RADIUS服务器组的信息（RADIUS服务器组配置模式下）
info

显示所有或指定RADIUS服务器组的配置信息
show radius-setting [ radius-server-name ]

显示RADIUS报文的统计信息
show radius-sum

显示缓存的没有得到响应的停止计费请求报文（全局配置模式下）
show noresponse-acctstop-pkt { server radius-server-name | session-id session-id | time start-time stop-time | user-name username }

删除缓存的没有得到响应的停止计费请求报文（全局配置模式下）
delete noresponse-acctstop-pkt { server radius-server-name | session-id session-id | time start-time stop-time | user-name username }

打开AAA调试开关
debug aaa

关闭AAA调试开关
no debug aaa

打开RADIUS调试开关
debug radius

关闭RADIUS调试开关
no debug radius

打开RADIUS报文调试开关
debug radius-pkt

关闭RADIUS报文调试开关
no debug radius-pkt




2.5 AAA和RADIUS协议典型配置举例
由于AAA/RADIUS协议的配置命令一般与802.1x的配置命令联合使用，因此此处不再赘述。请参见“802.1x配置”一章的“典型配置举例”部分。

2.6 AAA和RADIUS协议故障的诊断与排除
RADIUS协议在TCP/IP协议族中处于应用层，它主要规定NAS与ISP的RADIUS服务器间如何交互用户信息，因此它失效的可能性比较大。

l 故障之一：用户认证/授权总是失败

故障排除：

(1) NAS中的ISP域配置得不正确，因此没有找到认证/授权方法——请仔细查看各ISP域的配置（引用的认证/授权方法表、引用的计费方法表、RADIUS服务器组）是否正确。

(2) 用户名不是“userid@isp-name”的形式，或NAS没有指定缺省的ISP域——请使用正确形式的用户名或在NAS中设定缺省的ISP域。

(3) RADIUS服务器的数据库中没有配置该用户——检查RADIUS服务器的数据库以保证该用户的配置信息确实存在。

(4) 用户侧输入的密码不正确——请保证接入用户输入正确的密码。

(5) RADIUS服务器和NAS的报文加密密码不同——请仔细比较两端的加密密钥，确保它们相同。

(6) NAS与RADIUS服务器之间存在通信故障（可以通过在NAS上ping RADIUS服务器来检查）——请保证NAS与RADIUS服务器之间能够正常通信。

l 故障之二：RADIUS报文无法传送到RADIUS服务器

故障排除：

(1) NAS与RADIUS服务器之间的通信线路不通（物理层/链路层）——请保证线路通畅。

(2) NAS上没有设置相应的RADIUS服务器IP地址——请保证正确设置RADIUS服务器的IP地址。

(3) 认证/授权和计费服务的UDP端口设置得不正确——请保证与RADIUS服务器提供的端口号一致。

l 故障之三：用户认证通过并获得授权，但是不能向RADIUS服务器传送计费话单。

故障排除：

(1) 用户所属的ISP域没有引用计费方法表，且系统缺省为不计费，即不向RADIUS服务器发送用户话单——请保证用户所属的ISP域明确使用RADIUS服务器进行计费。

(2) 计费端口号设置得不正确——请正确设置RADIUS计费端口号。

(3) 计费服务器和认证/授权服务器不是同一台机器，NAS却要求认证/授权和计费在同一个服务器（IP地址相同）——请保证NAS的认证/授权和计费服务器的设置与实际情况相同。

(4) AAA计费方法表中指定使用本地计费、不启动RADIUS计费——请在需要RADIUS服务器进行计费的情况下在AAA计费方法表中明确指定启动RADIUS计费。