您的当前位置：首页 Quidway S3500系列以太网交换机-操作手册12-系统管理操作

Quidway S3500系列以太网交换机-操作手册12-系统管理操作

来源：华佗健康网

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理................................................................................................................1-1

1.1 文件系统配置.....................................................................................................................1-1

1.1.1 文件系统简介...........................................................................................................1-1 1.1.2 目录操作..................................................................................................................1-1 1.1.3 文件操作..................................................................................................................1-2 1.1.4 存储设备操作...........................................................................................................1-2 1.1.5 设置文件系统的提示方式.........................................................................................1-3 1.2 配置文件管理.....................................................................................................................1-3

1.2.1 配置文件管理简介...................................................................................................1-3 1.2.2 查看以太网交换机的当前配置和起始配置...............................................................1-3 1.2.3 保存当前配置...........................................................................................................1-4 1.2.4 擦除Flash Memory中配置文件..............................................................................1-4 1.3 FTP配置............................................................................................................................1-5

1.3.1 FTP简介..................................................................................................................1-5 1.3.2 启动/关闭FTP服务器..............................................................................................1-6 1.3.3 配置FTP服务器的验证和授权................................................................................1-7 1.3.4 配置FTP服务器的运行参数....................................................................................1-7 1.3.5 FTP服务器的显示和调试........................................................................................1-7 1.3.6 FTP客户端介绍.......................................................................................................1-8 1.3.7 交换机作为FTP Client实现配置文件的备份和和软件升级配置举例.......................1-8 1.3.8 交换机作为FTP Server实现配置文件的备份和软件升级配置举例.......................1-10 1.4 TFTP配置........................................................................................................................1-11

1.4.1 TFTP简介.............................................................................................................1-11 1.4.2 配置文件传输模式.................................................................................................1-12 1.4.3 用TFTP下载文件..................................................................................................1-12 1.4.4 用TFTP上传文件..................................................................................................1-13 1.4.5 交换机作为TFTP Client实现配置文件的备份和和软件升级配置举例..................1-13

第2章 MAC地址表管理...........................................................................................................2-1

2.1 MAC地址表管理简介.........................................................................................................2-1 2.2 配置MAC地址表管理........................................................................................................2-2

2.2.1 设置MAC地址表项.................................................................................................2-2 2.2.2 设置系统MAC地址老化时间..................................................................................2-2 2.2.3 设置以太网端口最多可以学习到的MAC地址数.....................................................2-3 2.3 MAC地址表管理的显示和调试..........................................................................................2-3 2.4 MAC地址表管理典型配置举例..........................................................................................2-4

Quidway S3500系列以太网交换机操作手册系统管理

第3章设备管理.......................................................................................................................3-1

3.1 设备管理简介.....................................................................................................................3-1 3.2 配置设备管理.....................................................................................................................3-1

3.2.1 复位以太网交换机...................................................................................................3-1 3.2.2 指定以太网交换机下次启动采用的APP..................................................................3-1 3.2.3 升级BootROM........................................................................................................3-2 3.2.4 设置温度告警阈值...................................................................................................3-2 3.3 设备管理的显示和调试.......................................................................................................3-2 3.4 利用设备管理命令实现远程升级交换机配置举例...............................................................3-3

第4章系统维护与调试............................................................................................................4-1

4.1 系统基本配置.....................................................................................................................4-1

4.1.1 设置交换机的系统名................................................................................................4-1 4.1.2 设置系统时钟...........................................................................................................4-1 4.1.3 设置时区..................................................................................................................4-1 4.1.4 设置夏令时..............................................................................................................4-2 4.2 查看系统状态.....................................................................................................................4-2 4.3 系统调试.............................................................................................................................4-3

4.3.1 打开/关闭调试开关..................................................................................................4-3 4.3.2 显示技术支持信息...................................................................................................4-4 4.4 网络连通测试功能..............................................................................................................4-4 4.5 信息中心功能.....................................................................................................................4-5

4.5.1 信息中心介绍...........................................................................................................4-5 4.5.2 信息中心的配置简介................................................................................................4-8 4.5.3 配置信息发送到日志主机.......................................................................................4-11 4.5.4 配置信息发送到控制台..........................................................................................4-13 4.5.5 配置信息发送到Telnet终端或哑终端....................................................................4-15 4.5.6 配置信息发送到日志缓冲区...................................................................................4-17 4.5.7 配置信息发送到告警缓冲区...................................................................................4-19 4.5.8 配置信息发送到SNMP网管..................................................................................4-21 4.5.9 信息中心的显示和调试..........................................................................................4-23 4.5.10 日志发送到UNIX日志主机的配置举例...............................................................4-23 4.5.11 日志发送到LINUX日志主机的配置举例.............................................................4-25 4.5.12 日志发送到控制台的配置举例.............................................................................4-26

第5章 SNMP配置...................................................................................................................5-1

5.1 SNMP协议介绍.................................................................................................................5-1 5.2 SNMP版本及支持的MIB...................................................................................................5-1 5.3 配置SNMP........................................................................................................................5-2

5.3.1 设置团体名..............................................................................................................5-3 5.3.2 设置系统信息...........................................................................................................5-3

Quidway S3500系列以太网交换机操作手册系统管理

5.3.3 允许或禁止发送Trap...............................................................................................5-4 5.3.4 设置Trap目标主机的地址.......................................................................................5-4 5.3.5 设置Trap报文的保存时间.......................................................................................5-5 5.3.6 设置本地或远端设备的引擎ID................................................................................5-5 5.3.7 设置或删除一个SNMP的组....................................................................................5-5 5.3.8 指定发送Trap的源地址..........................................................................................5-6 5.3.9 SNMP组添加一个新用户或删除一个用户...............................................................5-6 5.3.10 创建或更新视图的信息或删除视图........................................................................5-7 5.3.11 设置Agent接收/发送的SNMP消息包的大小.......................................................5-7 5.3.12 禁止SNMP Agent运行........................................................................................5-7 5.4 SNMP显示和调试..............................................................................................................5-8 5.5 SNMP配置举例.................................................................................................................5-8

第6章 RMON配置...................................................................................................................6-1

6.1 RMON简介........................................................................................................................6-1 6.2 配置RMON........................................................................................................................6-1

6.2.1 添加/删除事件表的一个表项....................................................................................6-2 6.2.2 添加/删除告警表的一个表项....................................................................................6-2 6.2.3 添加/删除扩展RMON告警表的一个表项................................................................6-3 6.2.4 添加/删除历史控制表的一个表项.............................................................................6-4 6.2.5 添加/删除统计表的一个表项....................................................................................6-4 6.3 RMON显示和调试.............................................................................................................6-5 6.4 RMON配置举例.................................................................................................................6-5

第7章 NTP配置.......................................................................................................................7-1

7.1 NTP简介............................................................................................................................7-1

7.1.1 NTP的作用..............................................................................................................7-1 7.1.2 NTP的基本工作原理...............................................................................................7-1 7.2 NTP协议配置.....................................................................................................................7-3

7.2.1 配置NTP工作模式..................................................................................................7-3 7.2.2 配置NTP身份验证功能...........................................................................................7-6 7.2.3 设置NTP验证密钥..................................................................................................7-7 7.2.4 设置指定密钥为可信密钥.........................................................................................7-7 7.2.5 设置本地发送NTP消息的接口................................................................................7-7 7.2.6 设置NTP主时钟.....................................................................................................7-8 7.2.7 设置禁止/允许接口接收NTP消息...........................................................................7-8 7.2.8 设置对本地以太网交换机服务的访问控制权限........................................................7-9 7.2.9 设置本地允许建立的动态sessions数目..................................................................7-9 7.3 NTP显示与调试...............................................................................................................7-10 7.4 NTP典型配置举例...........................................................................................................7-10

7.4.1 配置NTP服务器...................................................................................................7-10

iii

Quidway S3500系列以太网交换机操作手册系统管理

7.4.2 配置NTP对等体举例............................................................................................7-12 7.4.3 配置NTP广播模式................................................................................................7-14 7.4.4 配置NTP组播模式................................................................................................7-15 7.4.5 配置带身份验证的NTP服务器模式......................................................................7-17

第8章 SSH终端服务...............................................................................................................8-1

8.1 SSH终端服务....................................................................................................................8-1

8.1.1 SSH简介.................................................................................................................8-1 8.1.2 SSH服务器配置......................................................................................................8-3 8.1.3 SSH客户端配置......................................................................................................8-7 8.1.4 SSH显示和调试....................................................................................................8-10 8.1.5 SSH配置举例........................................................................................................8-10

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

1.1 文件系统配置

1.1.1 文件系统简介

为了方便用户对Flash等存储设备进行有效的管理以太网交换机提供了文件系统模块文件系统为用户提供了文件和目录的访问管理功能创建删除修改更名以及显示文件的内容等缺省情况下

对于有可能给用户带来损失的命令比如删除文件覆盖文件等

主要包括文件和目录的

文件系统将提示用户进行确认

根据操作对象的不同可以把文件系统操作分为以下几类

z z z z

目录操作文件操作

存储设备操作

设置文件系统的提示方式

1.1.2 目录操作

文件系统可以创建并删除目录

显示当前的工作目录以及指定目录下的文件或目录

的信息可以使用下面的命令来进行相应的目录操作请在用户视图下进行下列配置

表1-1 目录操作

操作

显示当前的工作目录显示目录或文件信息改变当前目录

命令

mkdir directory rmdir directory pwd

dir [ / all ] [ file-url ] cd directory

1-1

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

1.1.3 文件操作

文件系统可以删除文件恢复删除的文件命名拷贝文件

移动文件

相应的文件操作

请在用户视图下进行下列配置

表1-2 文件操作

操作

删除文件恢复删除文件

彻底删除回收站中的文件显示文件的内容重新命名文件拷贝文件移动文件

显示目录或文件信息

命令

delete [ /unreserved ] file-url undelete file-url

reset recycle-bin [ file-url ] more file-url

rename fileurl-source fileurl-dest copy fileurl-source fileurl-dest move fileurl-source fileurl-dest dir [ / all ] [ file-url ]

彻底删除文件显示文件的内容重新

显示指定的文件的信息可以使用下面的命令来进行

注意

使用delete命令删除文件被删除的文件被保存在回收站中仍会占用存储空间如果用户经常使用delete命令删除文件而不是彻底清除文件则可能导致以太网交换机的存储空间不足在这种情况下用户需要查看回收站中是否仍有废弃文件使用reset recycle-bin命令可以将回收站中的废弃文件彻底清除以回收存储空间

1.1.4 存储设备操作

文件系统可以对存储设备进行格式化等操作请在用户视图下进行下列配置

表1-3 存储设备操作

操作

格式化存储设备

format device

命令

1-2

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

1.1.5 设置文件系统的提示方式

可以使用下面的命令来设置当前文件系统的提示方式请在系统视图下进行下列配置

表1-4 文件系统操作

操作

文件系统的提示方式

命令

file prompt { alert | quiet }

1.2 配置文件管理

1.2.1 配置文件管理简介

配置文件管理模块些配置信息配置文件的格式如下

z z z

具有较好的用户操作界面它以命令行文本格式保存用户对以

用户可以非常方便的查阅这

太网交换机进行的配置记录下用户的整个配置过程

以命令格式保存只保存非缺省的配置参数

命令的组织以命令视图为基本框架同一命令视图的命令组织在一起形成一节节与节之间通常用空行或注释行隔开以# 开始的为注释行

文件中各节的安排顺序通常为系统配置物理端口配置逻辑接口配置路由协议配置等

以return为结束

配置文件管理操作包括

z z z

查看以太网交换机的当前配置和起始配置保存当前配置

擦除Flash Memory中配置文件

1.2.2 查看以太网交换机的当前配置和起始配置

以太网交换机上电时系统从Flash Memory中读取配置文件对以太网交换机进行初始化以太网交换机上电时从Flash Memory中读取的配置文件被称为起始配置saved-configuration文件如果Flash Memory中没有配置文件则系统用缺省参数进行初始化

与起始配置相对应

系统运行过程中正在生效的配置称为当前

1-3

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

配置current-configuration置和起始配置

可以使用下面的命令来查看以太网交换机的当前配

下列配置可以在任意视图下执行

表1-5 查看以太网交换机的配置

操作

查看以太网交换机的起始配置

命令

display saved-configuration

display current-configuration [ controller | interface interface-type [ interface-number ] | configuration [ configuration ] ] [ | { begin | exclude | include } regular-expression ]

查看以太网交换机的当前配置

󰀉 说明

配置文件的显示格式与保存格式相同

1.2.3 保存当前配置

用户通过命令行接口可以修改以太网交换机的当前配置

如果想将当前配置作为系

统下次上电时的起始配置请用save命令将当前配置保存到Flash Memory中请在用户视图下进行下列配置

表1-6 保存当前配置

操作

保存当前配置

save

命令

1.2.4 擦除Flash Memory中配置文件

可以使用reset saved-configuration命令擦除Flash Memory中的配置文件配置文件被擦除后以太网交换机下次上电时系统将采用缺省的配置参数进行初始化请在用户视图下进行下列配置

表1-7 擦除Flash Memory中配置文件

操作

擦除Flash Memory中配置文件

命令

reset saved-configuration

在以下情况下用户可能需要擦除Flash Memory中配置文件

1-4

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

以太网交换机软件升级之后Flash Memory中配置文件可能与新版本软件不匹配这时可以用reset saved-configuration命令擦除旧的配置文件

将一台已经使用过的以太网交换机用于新的应用环境原有的配置文件不能适应新环境的需求需要对以太网交换机重新配置这时可以擦除原配置文件后重新配置以太网交换机

1.3 FTP配置

1.3.1 FTP简介

FTP是Internet和IP网络上传输文件的通用方法在万维网WWW出现以前用户使用命令行方式传输文件最通用的应用程序就是FTP虽然目前大多数用户在通常情况下选择使用Email和Web传输文件但是FTP仍然有着比较广泛的用途

FTP协议在TCP/IP协议族中属于应用层协议用于在远端服务器和本地主机之间传输文件

以太网交换机提供的FTP服务包括

FTP Server服务用户可以运行FTP客户端程序登录到服务器上接受用户登录前网络管理员需要事先配置好FTP Server的IP地址的文件

访问服务器上

FTP Client服务用户在微机上通过终端仿真程序或Telnet程序建立与以太网交换机FTP Client的连接后输入ftp X.X.X.XX.X.X.X代表远程FTP Server的IP地址命令建立以太网交换机与远程FTP Server的连接访问远程FTP Server上的文件

NetworkSwitchPC

图1-1 FTP配置示意图

交换机作为FTP Client时的配置

1-5

Quidway S3500系列以太网交换机操作手册系统管理

表1-8 交换机作为FTP Client时的配置

设备

配置

缺省值

第1章文件系统管理

配置说明

用户首先获取FTP用户名和密码然后登录远端的FTP

Server这样才能取得操作相应目录和文件的权限

Switch

可以直接使用ftp命令登录远端的FTP Server

启动FTP Server并作了用户名密码用户的权限等相关的配置

交换机作为FTP Server时的配置

表1-9 交换机作为FTP Server时的配置

设备

配置启动FTP Server功能

Switch

配置FTP服务器的验证和授权配置FTP服务器的运行参数

使用FTP客户端程序登录交换机

缺省值

配置说明

缺省情况下系统用户可以通过display ftp-server命令查关闭FTP服务器看交换机上FTP Server功能的配置信息 - - -

配置FTP用户的用户名作目录

密码

授权的工

配置FTP服务的超时时间

注意

FTP功能可以正常使用的条件是交换机和PC之间路由可达

1.3.2 启动/关闭FTP服务器

可以使用下面的命令在以太网交换机上启动/关闭FTP服务器请在系统视图下进行下列配置

表1-10 启动/关闭FTP服务器

操作

启动FTP服务器关闭FTP服务器

ftp server enable undo ftp server

命令

FTP服务器可同时支持多个用户的访问远端FTP用户向FTP服务器发送请求FTP服务器执行相应的动作

并向用户返回执行的结果

1-6

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

缺省情况下系统关闭FTP服务器

1.3.3 配置FTP服务器的验证和授权

FTP服务器的验证信息包含FTP用户的用户名和密码FTP服务器的授权信息包含提供给FTP用户的工作目录的路径

只有验证通过和授权成功的用户

才能享受

FTP服务器的服务可以使用下面的命令来进行FTP服务器的验证和授权配置请在相应视图下进行下列配置

表1-11 配置FTP服务器的验证和授权

操作

创建新的本地FTP用户并且进入本地用户配置视图系统视图删除本地FTP用户

系统视图

命令

local-user username

undo local-user [ username | all [ service-type ftp ] ]

password { cipher | simple } password service-type ftp ftp-directory directory undo password

undo service-type ftp [ ftp-directory ]

配置FTP用户的验证信息配置FTP用户的授权信息取消FTP用户的验证信息取消FTP用户的授权信息

本地用户视图本地用户视图本地用户视图本地用户视图

只有验证通过和授权成功的用户才能得到FTP服务器的服务

1.3.4 配置FTP服务器的运行参数

可以使用下面的命令来配置FTP服务器的连接空闲时间为了防止未授权用户的非法入侵如果在一定时间内没有收到FTP客户端发来的服务请求FTP服务器则断开与该FTP客户端的连接这个时间就是FTP服务器的连接空闲时间请在系统视图下进行下列配置

表1-12 配置FTP服务器的超时断连时间操作

配置FTP服务器的超时断连时间恢复FTP服务器的超时断连时间的缺省值

ftp timeout minute undo ftp timeout

命令

缺省情况下超时断连时间为30分钟

1.3.5 FTP服务器的显示和调试

在完成上述配置后可以在任意视图下执行display命令显示配置后FTP服务器的运行情况通过查看显示信息验证配置的效果

1-7

Quidway S3500系列以太网交换机操作手册系统管理

表1-13 FTP服务器的显示和调试

操作

查看FTP服务器查看登录的FTP用户

display ftp-server display ftp-user

第1章文件系统管理

命令

display ftp-server命令显示当前FTP服务器的配置情况包括FTP服务器支持的最大用户数和超时断连时间display ftp-user显示登录的FTP用户的详细情况

1.3.6 FTP客户端介绍

FTP客户端是以太网交换机提供给用户的一个附加功能它是一个应用模块不用做任何功能配置此时交换机作为FTP客户端与远程服务器连接并键入FTP客户端的命令来进行相应的操作如建立删除目录等

1.3.7 交换机作为FTP Client实现配置文件的备份和和软件升级配置举例

1. 组网需求

交换机作为FTP Client远端的PC作为FTP Server在FTP Server上作了如下配置配置了一个FTP用户名为switch密码为hello对该用户授权了PC机上Switch目录的读写权限交换机上的一个VLAN接口的IP地址为1.1.1.1PC的IP地址为2.2.2.2交换机和PC之间路由可达

交换机的应用程序switch.app保存在PC上交换机通过FTP从远端的FTP Server上下载switch.app同时将交换机的配置文件vrpcfg.txt上传到FTP Server的目录switch下实现配置文件的备份2. 组网图

NetworkSwitchPC

图1-2 FTP配置示意图

1-8

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

3. 配置步骤

(1) 在PC上配置FTP Server的相关参数配置了一个FTP用户名为switch密

码为hello对该用户授权了PC机上Switch目录的读写权限此处不详细说明

(2) 交换机上的配置 # 用户登录到交换机上

注意

如果交换机的Flash memory空间不够大请删除Flash中原有的应用程序然后再下载新的应用程序到交换机的Flash中

# 在用户视图下输入命令进行FTP连接输入正确用户名和密码登录到FTP Server ftp 2.2.2.2

Trying ... Press CTRL+K to abort Connected. 220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user User(none):switch 331 Give me your password, please Password:***** 230 Logged in successfully

用户可以在本地通过Console口登录到交换机上也可

以通过telnet远程登录到交换机上各种登录方式请参见入门模块的描述

[ftp]

# 进入FTP Server的授权路径 [ftp] cd switch

# 执行put命令将交换机的配置文件vrpcfg.txt上传到FTP Server [ftp] put vrpcfg.txt

# 执行get命令将FTP Server上的文件switch.app下载到交换机的Flash[ftp] get switch.app

# 执行quit命令中断FTP连接退回到用户视图下 [ftp] quit

# 指定下载的程序switch.app为下次启动时的应用程序然后重启交换机实现交换机应用程序的升级

1-9

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

boot boot-loader switch.app reboot

1.3.8 交换机作为FTP Server实现配置文件的备份和软件升级配置举例

1. 组网需求

交换机作为FTP Server远端的PC作为FTP Client在FTP Server上作了如下配置配置了一个FTP用户名为switch密码为hello对该用户授权了交换机上Flash根目录的读写权限交换机上的一个VLAN接口的IP地址为1.1.1.1PC的IP地址为2.2.2.2交换机和PC之间路由可达

交换机的应用程序switch.app保存在PC上PC通过FTP向远端的交换机上传switch.app同时将交换机的配置文件vrpcfg.txt下载到PC实现配置文件的备份2. 组网图

NetworkSwitchPC

图1-3 FTP配置示意图

3. 配置步骤

(1) 交换机上的配置 # 用户登录到交换机上

# 在交换机上开启FTP服务[Quidway] ftp server enable [Quidway] local-user switch

[Quidway-luser-switch] service-type ftp ftp-directory flash: [Quidway-luser-switch] password simple hello

(2) 在PC上运行FTP Client程序同交换机建立FTP连接同时通过上载操作

把交换机的应用程序switch.app上载到交换机的Flash根目录下同时从交换机上下载配置文件vrpcfg.txtFTP Client应用程序由用户自己购买安装Quidway系列交换机不附带此软件

1-10

用户可以在本地通过Console口登录到交换机上也可

以通过telnet远程登录到交换机上各种登录方式请参见入门模块的描述

设置好用户名密码和路径

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

注意

如果交换机的Flash memory空间不够大请删除Flash中原有的应用程序然后再上载新的应用程序到交换机Flash中

(3) 在上载完毕后用户在交换机上进行升级操作

# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序然后重启交换机实现交换机应用程序的升级 boot boot-loader switch.app reboot

1.4 TFTP配置

1.4.1 TFTP简介

TFTPTrivial File Transfer Protocol是一种简单文件传输协议相对于另一种文件传输协议FTPTFTP不具有复杂的交互存取接口和认证控制适用于客户端和服务器之间不需要复杂交互的环境TFTP协议一般在UDP的基础上实现 TFTP协议传输是由客户端发起的当需要下载文件时由客户端向TFTP服务器发送读请求包然后从服务器接收数据并向服务器发送确认当需要上传文件时由客户端向TFTP服务器发送写请求包然后向服务器发送数据并接收服务器的确认

TFTP传输文件有两种模式

一种是二进制模式

用于传输程序文件另一

种是ASCII码模式用于传输文本文件

配置TFTP之前网络管理员需要首先配置好TFTP客户端和服务器的IP地址并且确保客户端和服务器路由可达交换机只能作为TFTP客户端

NetworkSwitchPC

图1-4 TFTP配置示意图

交换机作为TFTP Client时的配置

1-11

Quidway S3500系列以太网交换机操作手册系统管理

表1-14 交换机作为TFTP Client时的配置

设备

配置

配置交换机VLAN接口的IP地址使其和TFTP Server的IP地址在同一网段

Switch

可以直接使用TFTP命令登录远端的TFTP Server上传或者下载文件

启动TFTP Server并作了TFTP工作目录的配置

缺省值

第1章文件系统管理

配置说明

TFTP适用于客户端和服务器之间不需要复杂交互的环境请保证交换机和TFTP Server路由可达

- - -

1.4.2 配置文件传输模式

TFTP传输文件有两种模式一种是二进制模式用于传输程序文件另一种是ASCII码模式用于传输文本文件请在系统视图下进行下列配置

可以使用下面的命令来配置文件传输模式

表1-15 配置文件传输模式

操作

设置TFTP的文件传输模式

命令

tftp { ascii | binary }

缺省情况下TFTP以二进制模式传输文件

1.4.3 用TFTP下载文件

当需要下载文件时客户端向TFTP服务器发送读请求包然后从服务器接收数据并向服务器发送确认可以使用下面的命令利用TFTP下载文件请在系统视图下进行下列配置

表1-16 用TFTP下载文件

操作

用TFTP获取文件

命令

tftp get //X.X.X.X/ path_name1 path_name2

配置命令中X.X.X.X参数代表TFTP服务器的IP地址// X.X.X.X/path_name1指的是要下载的TFTP服务器上的文件信息 path_name2参数代表下载后存储在交换机上的文件名path_name1和path_name2可以不同

1-12

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

1.4.4 用TFTP上传文件

当交换机需要向TFTP服务器上传文件时交换机作为客户端向TFTP服务器发送写请求包传文件

请在系统视图下进行下列配置

表1-17 用TFTP上传文件

操作

用TFTP上传文件

命令

tftp put path_name1 //X.X.X.X/path_name2

然后向服务器发送数据并接收服务器的确认可以使用下面的命令上

配置命令中path_name1参数代表要上传到服务器的文件//X.X.X.X/path_name2指的是文件上传到TFTP服务器的存储目录X.X.X.X参数代表TFTP服务器的IP地址

1.4.5 交换机作为TFTP Client实现配置文件的备份和和软件升级配置举例

1. 组网需求

交换机作为TFTP ClientPC作为TFTP Server在TFTP Server上配置了TFTP的工作路径交换机上的一个VLAN接口的IP地址为1.1.1.1交换机和PC相连的端口属于该VLANPC的IP地址为1.1.1.2

交换机的应用程序switch.app保存在PC上交换机通过TFTP从TFTP Server上下载switch.app同时将交换机的配置文件vrpcfg.txt上传到TFTP Server的工作目录实现配置文件的备份 2. 组网图

NetworkSwitchPC

图1-5 TFTP配置示意图

3. 配置步骤

(1) 在PC上启动了TFTP Server配置TFTP Server的工作目录(2) 交换机上的配置

1-13

Quidway S3500系列以太网交换机操作手册系统管理

第1章文件系统管理

# 用户登录到交换机上

注意

用户可以在本地通过Console口登录到交换机上也可

以通过telnet远程登录到交换机上各种登录方式请参见入门模块的描述

如果交换机的Flash memory空间不够大请删除Flash中原有的应用程序然后再下载新的应用程序到交换机的Flash中

# 进入系统视图

system-view [Quidway]

# 配置VLAN接口的IP地址为1.1.1.1同时保证与PC相连的端口属于这个VLAN本例中以VLAN 1为例[Quidway] interface vlan 1

[Quidway-vlan-interface1] ip address 1.1.1.1 255.255.255.0 [Quidway-vlan-interface1] quit

# 将交换机的应用程序switch.app从TFTP Server下载到交换机 [Quidway] tftp get //1.1.1.2/switch.app switch.app # 将交换机的配置文件vrpcfg.txt上传到TFTP Server [Quidway] tftp put vrpcfg.txt //1.1.1.2/vrpcfg.txt # 执行quit命令退回到用户视图下[Quidway] quit

# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序然后重启交换机实现交换机应用程序的升级 boot boot-loader switch.app reboot

1-14

Quidway S3500系列以太网交换机操作手册系统管理

第2章 MAC地址表管理

2.1 MAC地址表管理简介

为了快速转发报文以太网交换机需要维护MAC地址表MAC地址表的表项包含了与以太网交换机相连的设备的MAC地址及与此设备相连的交换机的端口号MAC地址表中的动态表项非手工配置是由以太网交换机学习得来的以太网交换机学习MAC地址的方法如下如果从某端口假设为端口A收到一个数据帧以太网交换机就会分析该数据帧的源MAC地址假设为MAC-SOURCE并认为目的MAC地址为MAC-SOURCE的报文可以由端口A转发如果MAC地址表中已经包含MAC-SOURCE交换机将对应表项进行更新如果MAC地址表中尚未包含MAC-SOURCE交换机则将这个新MAC地址以及该MAC地址对应的转发端口作为一个新的表项加入到MAC地址表中

系统会直接使用硬件转发

对于目的MAC地址能够在MAC地址表中找到的报文发

对于目的MAC地址不能在地址表中查到的报文系统对报文采用广播方式进行转

如果广播后报文到达了目的MAC地址对应的网络设备目的网络设备将应答此广播报文应答报文中包含了此设备的MAC地址以太网交换机通过地址学习将新的MAC地址加入到MAC地址转发表中去往同一目的MAC地址的后续报文

就可以利用到该新增的MAC地址表项直接进行转发了

MAC AddressMACAMACBMACCMACDPort1122MACDMACAPort 1......Port 2MACDMACA......

图2-1 以太网交换机利用MAC地址表转发报文

以太网交换机提供MAC地址老化的功能如果在一定时间内没有收到来自某网络设备的报文交换机就会把与此设备相关的MAC地址表项删除MAC地址老化对静态MAC地址表项无效

2-1

Quidway S3500系列以太网交换机操作手册系统管理

第2章 MAC地址表管理

用户可以根据网络实际情况人工配置添加或修改MAC地址表项添加或修改的表项可以是静态的表项或者动态的表项

2.2 配置MAC地址表管理

MAC地址表管理配置包括

z z z

设置MAC地址表项

设置系统的MAC地址老化时间

设置以太网端口最多可以学习到的MAC地址数

2.2.1 设置MAC地址表项

管理员根据实际情况可以人工添加修改或删除MAC地址表中的表项可以删除与某个端口相关的所有MAC地址表项只能是单播地址MAC地址表项如动态表项MAC地址表中的表项

表2-1 设置MAC地址表项

操作

添加/修改地址表项删除地址表项

命令

mac-address { static | dynamic } hw-addr interface

{ interface-name | interface-type interface-num } vlan vlan-id undo mac-address [ static | dynamic ] [ [ hw-addr ] interface { interface-name | interface-type interface-num } vlan vlan-id ]

也可以选择删除某类

修改或删除

静态表项可以使用下面的命令来添加

请在系统视图下进行下列配置

2.2.2 设置系统MAC地址老化时间

设置合适的老化时间可以有效的实现MAC地址老化的功能用户设置的老化时间过长或者过短都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文

影响交换机的运行性能

如果用户设置的老化时间过长以太网交换机可能会保存许多过时的MAC地址表项从而耗尽MAC地址表资源导致交换机无法根据网络的变化更新MAC地址表如果用户设置的老化时间太短以太网交换机可能会删除有效的的MAC地址表项请在系统视图下进行下列配置

2-2

Quidway S3500系列以太网交换机操作手册系统管理

表2-2 设置系统MAC地址老化

操作

设置MAC地址动态表项的老化时间恢复MAC地址老化时间的缺省值

第2章 MAC地址表管理

命令

mac-address timer { aging age | no-aging } undo mac-address timer aging

此命令为系统视图命令作用于全部端口上用户配置可老化的MAC地址表项起作用

一般情况下推荐使用老化时间age的缺省值300秒使用参数no-aging时表示不对MAC地址表项进行老化

地址老化只对动态的

学习到的或者

2.2.3 设置以太网端口最多可以学习到的MAC地址数

以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC地址对于发往这些MAC地址的报文以太网交换机可以直接使用硬件转发如果MAC地址表过于庞大可能导致以太网交换机的转发性能的下降通过设置以太网端口最多学习到的MAC地址数用户可以控制以太网交换机维护的MAC地址表的表项数量

如果用户设置的值为count则该端口学习到的MAC

地址条数达到count时该端口将不再对MAC地址进行学习请在以太网端口视图下进行下列配置

表2-3 设置以太网端口最多可以学习到的MAC地址数操作

设置以太网端口最多可以学习到的MAC地址数取消对以太网端口最多可以学习到的MAC地址数的

命令

mac-address max-mac-count count undo mac-address max-mac-count

缺省情况下交换机对于端口最多可以学习到的MAC地址数目没有

2.3 MAC地址表管理的显示和调试

在完成上述配置后在所有视图下执行display命令可以显示配置后MAC地址表管理的运行情况通过查看显示信息验证配置的效果

在用户视图下用户可以执行debug命令对MAC地址表进行调试

2-3

Quidway S3500系列以太网交换机操作手册系统管理

表2-4 MAC地址表管理的显示和调试

操作

显示地址表信息

显示地址表动态表项的老化时间

命令

第2章 MAC地址表管理

display mac-address [ mac-addr [ vlan vlan-id ] | [ static | dynamic ] [ interface { interface-name | interface-type interface-num } ] [ vlan vlan-id ] [ count ] ] display mac-address aging-time

2.4 MAC地址表管理典型配置举例

1. 组网需求

用户通过Console口登录到交换机配置地址表管理要求设置地址老化时间为500秒在vlan1中的Ethernet 0/2端口添加一个静态地址00e0-fc35-dc712. 组网图

InternetNetwork PortConsole PortSwitch 图2-2 地址表管理典型配置组网图

3. 配置步骤

# 进入交换机系统视图 system-view

# 增加一个MAC地址指出所属VLAN端口状态

[Quidway] mac-address static 00e0-fc35-dc71 interface ethernet 0/2 vlan 1 # 地址老化时间设置为500秒

[Quidway] mac-address timer aging 500 # 在所有视图下查看MAC地址配置

2-4

S3526上的显示信息

Quidway S3500系列以太网交换机操作手册系统管理

第2章 MAC地址表管理

[Quidway] display mac-address interface ethernet 0/2

MAC ADDR VLAN ID STATE 00-e0-fc-35-dc-71 00-e0-fc-17-a7-d6 00-e0-fc-5e-b1-fb 00-e0-fc-55-f1-16

1 Static 1 Learned

PORT INDEX AGING TIME(s) Ethernet0/2 NOAGED Ethernet0/2 500

1 Learned Ethernet0/2 500 1 Learned Ethernet0/2 500

--- 4 mac address(es) found on port Ethernet0/2 ---

# 在所有视图下查看MAC地址配置S3526E上的显示信息

[Quidway] display mac-address interface ethernet 0/2

MAC ADDR VLAN ID STATE 00-e0-fc-35-dc-71 00-e0-fc-17-a7-d6 00-e0-fc-5e-b1-fb 00-e0-fc-55-f1-16

1 Static 1 Learned

PORT INDEX AGING TIME Ethernet0/2 NOAGED Ethernet0/2 AGING

1 Learned Ethernet0/2 AGING 1 Learned Ethernet0/2 AGING

--- 4 mac address(es) found on port Ethernet0/2 ---

2-5

Quidway S3500系列以太网交换机操作手册系统管理

第3章设备管理

3.1 设备管理简介

以太网交换机的设备管理功能能够向用户显示单板当前工作状态信息和事件调试信息实现对物理设备的状态和通讯进行维护和管理并可提供重启命令实现系统的重新启动在系统某些功能出现故障时可以使用该命令实现系统重启

3.2 配置设备管理

设备管理的配置任务很简单设备管理的配置任务包括

z z z

对用户而言主要是对设备管理进行显示和调试

复位以太网交换机

指定以太网交换机下次启动采用的APP 升级BootROM

3.2.1 复位以太网交换机

当以太网交换机出现故障需要重启的时候可以通过以下命令来复位请在用户视图下进行下列配置

表3-1 复位以太网交换机

操作

复位以太网交换机

reboot

命令

3.2.2 指定以太网交换机下次启动采用的APP

APP指的是交换机采用的主机软件当Flash Memory中有多个APP时用户可以指定交换机下次启动所采用的APP 请在用户视图下进行下列配置

表3-2 指定交换机下次启动采用的APP 操作

指定交换机下次启动采用的APP

命令

boot boot-loader file-url

3-1

Quidway S3500系列以太网交换机操作手册系统管理

第3章设备管理

3.2.3 升级BootROM

在系统运行过程中用户可以使用Flash Memory中的BootROM程序升级交换机上正在运行的BootROM本配置任务给远程升级带来方便用户可以在远端利用FTP上传BootROM程序到交换机然后使用本命令升级BootROM 请在用户视图下进行下列配置

表3-3 升级BootROM

操作

升级BootROM

命令

boot bootrom file-url

3.2.4 设置温度告警阈值

当温度超出一定范围时交换机系统可以发出告警信号请在用户视图下进行下列配置

表3-4 设置温度告警阈值

操作

设置交换机温度告警阈值

恢复交换机温度告警阈值为缺省值

命令

temperature-limit slot down-value up-value undo temperature-limit slot

3.3 设备管理的显示和调试

在完成上述配置后在所有视图下执行display命令可以显示配置后设备管理的运行情况通过查看显示信息验证配置的效果

表3-5 设备管理的显示和调试

操作

显示下次启动采用的APP 显示各单板的模块类型及工作状态显示内置风扇的工作状态显示交换机的CPU使用状态显示交换机的内存使用状态

命令

display boot-loader display device display fan [ fan-id ] display cpu

display memory [ slot slot-number ]

3-2

Quidway S3500系列以太网交换机操作手册系统管理

第3章设备管理

3.4 利用设备管理命令实现远程升级交换机配置举例

1. 组网需求

用户通过telnet远程登录到交换机上从FTP Server上下载交换机的应用程序到交换机的Flash通过命令行实现交换机的远程升级

交换机的应用程序switch.app和boot.app保存在PC上交换机通过FTP从远端的FTP Server上下载switch.app和boot.app 2. 组网图

NetworkSwitchPC

图3-1 FTP配置示意图

3. 配置步骤

(1) 在PC上配置FTP Server的相关参数配置了一个FTP用户名为switch密

码为hello对该用户授权了PC机上Switch目录的读写权限此处不详细说明

(2) 交换机上的配置

#交换机上已经配置了telnet用户的用户名为user级别为3级用户口令为hello验证方式为需要进行用户名和口令的验证 # 用户在PC上执行telnet命令登录到交换机上

注意

如果交换机的Flash memory空间不够大请删除Flash中原有的应用程序然后再下载新的应用程序到交换机的Flash中

3-3

Quidway S3500系列以太网交换机操作手册系统管理

第3章设备管理

# 在用户视图下输入命令进行FTP连接输入正确用户名和密码登录到FTP Server ftp 2.2.2.2 Trying ... Press CTRL+K to abort Connected. 220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user User(none):switch 331 Give me your password, please Password:***** 230 Logged in successfully

[ftp]

# 进入FTP Server的授权路径 [ftp] cd switch

# 执行get命令将FTP Server上的文件switch.app和boot.app下载到交换机的Flash

[ftp] get switch.app [ftp] get boot.app

# 执行quit命令中断FTP连接退回到用户视图下 [ftp] quit

# 升级BOOTROM

boot bootrom boot.app

please wait ... Bootrom is updated!

# 指定下载的程序为下次启动时的应用程序序的升级

boot boot-loader switch.app display boot-loader

然后重启交换机实现交换机应用程

The app to boot at the next time is: flash:/Switch.app

reboot

3-4

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

4.1 系统基本配置

系统基本配置和管理包括

z z z z

设置交换机的系统名设置系统时钟时区设置夏令时设置

4.1.1 设置交换机的系统名

请在系统视图下进行下列操作

表4-1 设置交换机的系统名

操作

设置交换机的系统名恢复交换机系统名的缺省值

sysname sysname undo sysname

命令

4.1.2 设置系统时钟

请在用户视图下进行下列操作

表4-2 设置系统时钟

操作

设置系统时钟

命令

clock datetime HH:MM:SS YYYY/MM/DD

4.1.3 设置时区

该配置任务用于配置本地时区的名称以及相对标准UTC时区的时间差请在用户视图下进行下列配置

4-1

Quidway S3500系列以太网交换机操作手册系统管理

表4-3 时区设置

操作

设置本地时区

恢复为缺省的UTC时区

命令

第4章系统维护与调试

clock timezone zone-name { add | minus } HH:MM:SS undo clock timezone

缺省为UTC时区

4.1.4 设置夏令时

该配置任务用于设置夏令时的名称和起始终止时间请在用户视图下进行下列配置

表4-4 夏令时设置

操作

设置夏令时的名称和时间范围取消夏令时设置

命令

clock summer-time zone-name { one-off | repeating } start-time start-date end-time end-date offset-time undo clock summer-time

4.2 查看系统状态

交换机提供相关的display命令来查看系统状态和配置代理信息

有关各协议和各种端口的display命令请参见相关章节下面介绍的display命令都用于显示系统的状态信息

下列操作可以在任意视图下执行

表4-5 系统display命令

操作

显示系统时钟显示系统版本显示调试开关状态

display clock display version

display debugging [ interface { interface-name | interface-type interface-number } ] [ moduname ]

命令

4-2

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

4.3 系统调试

4.3.1 打开/关闭调试开关

以太网交换机提供了种类丰富的调试功能

对于以太网交换机所支持的绝大部分协

议和功能系统都提供了相应的调试功能可以帮助用户对错误进行诊断和定位调试信息的输出可以由两个开关控制

z z

协议调试开关控制是否输出某协议的调试信息屏幕输出开关控制是否在某个用户屏幕上输出调试信息

二者关系如下图所示

调试信息123协议调试开关ONOFFON3屏幕输出开关OFFON1图4-1 调试信息输出示意图

可以使用下面的命令来操作上述两种开关请在用户视图下进行下列操作

表4-6 调试开关的打开和关闭

操作

打开协议调试开关关闭协议调试开关打开屏幕输出开关关闭屏幕输出开关

命令

debugging { all | moduname [ debugging-option ] } undo debugging { all | { protocol-name | function-name } [ debugging-option ] } terminal debugging undo terminal debugging

4-3

3113

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

具体调试命令的使用和调试信息的格式介绍参见相关章节 󰀉 说明

由于调试信息的输出会影响系统的运行效率请勿轻易打开调试开关debugging all命令在调试结束后应关闭全部调试开关

尤其慎用

4.3.2 显示技术支持信息

在以太网交换机出现故障时运行信息以供定位分析

用户可以在任意视图下进行下列操作

表4-7 显示技术支持信息

操作

显示技术支持信息

命令

display diagnostic-information

可能需要查看很多运行信息来帮助定位问题各个功

这条命令的功能是显示既定的相关模块的

能模块都有其对应的运行信息显示命令

󰀉 说明

用户在使用display diagnostic-information命令捕获以太网交换机的运行信息时应该至少连续使用两次以便比较运行信息的前后差异以利于故障定位

4.4 网络连通测试功能

1. ping

可以使用ping命令检查网络连接及主机是否可达 ping命令可以在任意视图下使用

表4-8 ping命令

操作

支持IP协议ping

命令

ping [ -a ip-address ] [-c count ] [ -d ] [ -f ] [ -h ttl ] [ -i {interface-type interface-num | interface-name } ] [ ip ] [ -n ] [ - p pattern ] [ -q ] [ -r ] [ -s packetsize ] [ -t timeout ] [ -tos tos ] [ -v ] host

命令执行结果输出包括

4-4

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

对每一ping报文的响应情况Request time out响应时间等

如果超时到仍没有收到响应报文则输出

否则显示响应报文中数据字节数报文序号TTL和

最后的统计信息包括发送报文数接收报文数未响应报文百分比和响应时间的最小最大和平均值

2. tracert

可以使用tracert命令测试报文从发送主机到目的地所经过的网关此命令主要用于检查网络连接是否可达可以辅助用户分析网络在何处发生了故障

tracert的执行过程是发送主机首先发送一个TTL为1的数据包因此第一跳发送回一个ICMP错误消息以指明此数据包不能被发送因为TTL超时包被重新发送TTL为2同样第二跳返回TTL超时供一个IP数据包到达目的地所经历的路径 tracert命令可以在任意视图下使用

之后此数据

这个过程不断进行直到到

达目的地执行这些过程的目的是记录每一个ICMP TTL超时消息的源地址以提

表4-9 tracert命令

操作

Trace Route

命令

4.5 信息中心功能

4.5.1 信息中心介绍

信息中心系统是以太网交换机中不可或缺的一部分它是系统软件模块的信息枢纽信息中心管理大多数的信息输出

并且能够进行细致的分类

从而能够有效地进行

信息筛选通过与debugging程序的结合信息中心为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持信息格式如下

<优先级>时间戳主机名模块名/级别/信息摘要:内容

timestamp sysname module/level/digest:content

以上格式中的尖括号< >空格斜杠/

冒号:是有效的必须的

输出到日志主机的日志格式的例子如下

<1>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWN:Line protocol on interface Ethernet0/0/0, changed state to UP

4-5

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

以下对每一个字段做详细说明(1) 优先级

优先级的计算按如下公式facility*8+severity-1对VRP来说facility默认为23severity的取值范围为18

含义见对级别的表述

优先级与时间戳之间没有任何字符优先级只有信息发送到日志主机上时才能有效 (2) 时间戳

发向日志主机的日志的时间字段是date型时间戳的格式为Mmm dd hh:mm:ss yyyyMmm为英语月份的缩写JulAugSep

即为如下的值JanFebMarAprMayJun

OctNovDec

如 7

dd为日期如果日期的值小于10则必须写为空格日期

hh:mm:ss为本地时间hh采用24小时制从00到23分钟和秒的值均从00到59

yyyy为年份

时间戳与主机名之间以一个空格隔开 (3) 主机名

主机名是本机的系统名默认为Quidway可用sysname命令修改主机名主机名与模块名之间以一个空格隔开 (4) 模块名

该字段表示信息是由哪个模块产生的部分模块的列表如下

表4-10 模块名字段列表

模块名 8021X ACL ADBM ARP CFM DEV DRV ETH FTPS

802.1X模块

访问控制列表Access Control List

ACL

模块

说明

MAC地址管理模块

地址解析协议Address Resolution Protocol

模块模块

配置文件管理Configuration File Management设备管理模块驱动模块以太网模块 FTP服务器模块

4-6

Quidway S3500系列以太网交换机操作手册系统管理

模块名 HWCM IFNET IGSP IP L2INF LACL LQOS LS NAT RDS RM RMON RSA RTPRO SHELL SNMP SOCKET SSH TELNET VFS VLAN VTY

华为配置管理私有MIB模块接口管理模块 IGMP snooping模块

互联网协议Internet Protocol模块接口管理模块

交换机访问控制列表Lanswitch ACL交换机服务质量Lanswitch QoS本地服务器Local Server

模块

模块说明

第4章系统维护与调试

Huawei Configuration Management

模块

网络地址转换Network Address TranslationRadius模块

路由管理Routing Management远程监控Remote monitor模块 RSA加密系统Revest路由协议用户界面

Shamir and Adleman

模块

简单网络管理协议Simple Network Management Protocol 套接字

安全用户界面Secure Shell 远程登录Telnet模块虚拟文件系统模块

VLANVirtual Local Area Network

模块模块

虚拟类型终端Virtual Type Terminal

模块名与级别之间以一个斜杠(/)隔开 (5) 级别

交换机的信息分为三类日志信息调试信息和告警信息急程度

交换机把每类信息都划分为八个等级

的规则是禁止严重等级大于所设置阈值的信息输出

按信息的严重等级或紧

在按等级来进行信息过滤时采用

越紧急的日志报文其严重

等级越小emergencies表示的等级为1debugging为8因此当设置严重等级阈值为debugging时所有的信息都会输出它们的定义和说明见下表

4-7

Quidway S3500系列以太网交换机操作手册

第4章系统维护与调试系统管理

表4-11 信息中心定义的优先级severity

严重等级

取值

描述

极其紧急的错误需立即纠正的错误关键错误

需关注但不关键的错误警告可能存在某种差错需注意的信息一般提示信息调试信息

emergencies 1 alerts 2 critical 3 errors 4 warnings 5 notifications 6 informational 7 debugging 8

级别与信息摘要之间以一个斜杠(/)隔开(6) 信息摘要

信息摘要是一个短语代表了该信息的内容大意

信息摘要与内容之间以一个冒号:隔开信息摘要不超过32个字符

4.5.2 信息中心的配置简介

交换机支持信息向6个方向进行输出

目前系统对每个输出方向缺省分配一个信息通道请参见下表

表4-12 输出信息的信息通道名和通道号

输出方向

控制台监视终端日志主机告警缓冲区日志缓冲区

信息通道号

缺省的信息通道名

0 console 1 monitor 2 loghost 3 trapbuffer 4 logbuffer snmpagent snmp 5

󰀉 说明

六个方向的设置相互但首先需要开启信息中心

以太网交换机的信息中心系统具有以下一些特性

其余的设置才会生效

4-8

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

支持控制台 Console 区 logbuffer

监视终端 monitor ——Telnet终端日志缓冲

告警缓冲区trapbuffer

SNMP

日志主机 loghost

六个方向的信息输出

z z z

信息按重要性划分为八种等级可按等级进行信息过滤信息按来源模块进行划分可按模块进行信息过滤信息在输出时可以进行中英文选择

(1) 配置信息发送到日志主机

表4-13 配置信息发送到日志主机

设备

配置

缺省值缺省情况下信息中心处于开启状态

配置说明

启动信息中心只有启动了信息中心其他配置才能有效

Switch

配置信息输出方向为loghost

交换机上关于日志主机的配置和日志主机上的配置一定要保持一致否则信息将无法正确发送到日志主机上

用户可以定义哪些模块哪些信息能够发送出去信息的时间戳格式等如果用户定义输出调试信息则需要打开相应模块的调试开关

配置信息源

日志主机

日志主机的相关配置请参考配置案例

(2) 配置信息发送到控制台

表4-14 配置信息发送到控制台

设备

配置

缺省值缺省情况下信息中心处于开启状态

配置说明

启动信息中心只有启动了信息中心其他配置才能有效

配置信息输出方向为Console

Switch

配置信息源

- - 用户可以定义哪些模块哪些信息能够发送出去信息的时间戳格式等如果用户定义输出调试信息则需要打开相应模块的调试开关打开终端显示功能

用户才能看到调试信息

打开终端显示功能

(3) 配置信息发送到监视终端

4-9

Quidway S3500系列以太网交换机操作手册系统管理

表4-15 配置信息发送到监控终端

设备

配置

缺省值缺省情况下信息中心处于开启状态

第4章系统维护与调试

配置说明

启动信息中心只有启动了信息中心其他配置才能有效

配置信息输出方向为monitor

Switch

配置信息源

- - 用户可以定义哪些模块哪些信息能够发送出去信息的时间戳格式等如果用户定义输出调试信息则需要打开相应模块的调试开关对于Telnet终端和哑终端必须使用terminal monitor命令打开当前终端显示功能用户才能看到信息

打开当前终端显示功能及相应信息的终端显示功能

(4) 配置信息发送到日志缓冲区

表4-16 配置信息发送到日志缓冲区

设备

配置

缺省值缺省情况下信息中心处于开启状态 -

配置说明

启动信息中心只有启动了信息中心其他配置才能有效

Switch

配置信息输出方向为logbuffer

用户可以同时配置交换机日志缓冲区的大小用户可以定义哪些模块哪些信息能够发送出去信息的时间戳格式等如果用户定义输出调试信息则需要打开相应模块的调试开关

配置信息源

(5) 配置信息发送到告警缓冲区

表4-17 配置信息发送到告警缓冲区

设备

配置

缺省值缺省情况下信息中心处于开启状态 -

配置说明

启动信息中心只有启动了信息中心其他配置才能有效

Switch

配置信息输出方向为trapbuffer

用户可以同时配置交换机告警缓冲区的大小用户可以定义哪些模块哪些信息能够发送出去信息的时间戳格式等如果用户定义输出调试信息则需要打开相应模块的调试开关

配置信息源

(6) 配置信息发送到SNMP

4-10

Quidway S3500系列以太网交换机操作手册系统管理

表4-18 配置信息发送到SNMP

设备

配置

缺省值缺省情况下信息中心处于开启状态

第4章系统维护与调试

配置说明

启动信息中心只有启动了信息中心其他配置才能有效

配置信息输出方向为SNMP

Switch

配置信息源

- - 用户可以定义哪些模块哪些信息能够发送出去信息的时间戳格式等如果用户定义输出调试信息则需要打开相应模块的调试开关请参考SNMP章节的描述

SNMP特性配置

网管工作站

和交换机的SNMP配置保持一致

- -

4.5.3 配置信息发送到日志主机

配置信息发送到日志主机需要经过如下配置 (1) 开启信息中心

请在系统视图下进行下列操作

表4-19 开启或关闭信息中心

操作

开启信息中心关闭信息中心

info-center enable undo info-center enable

命令

󰀉 说明

信息中心缺省情况下处于开启状态信息中心开启时由于信息分类输出的原因在处理信息较多时对系统性能有一定的影响

(2) 在交换机上配置向日志主机输出信息请在系统视图下进行下列操作

4-11

Quidway S3500系列以太网交换机操作手册系统管理

表4-20 配置向日志主机输出信息

操作

向日志主机输出信息取消向日志主机输出信息

命令

第4章系统维护与调试

info-center loghost host-ip-addr [ channel { channel-number | channel-name } | facility local-number | language { chinese | english } ]* undo info-center loghost host-ip-addr

请注意配置正确的日志主机IP地址󰀉 说明

使用命令info-center loghost配置日志主机的IP地址时请输入正确的IP地址如果用户输入的是环回地址系统将提示此地址无效

(3) 在交换机上配置信息源

本配置可以定义发送到日志主机上的信息是哪些模块产生的级别等

请在系统视图下进行下列操作

表4-21 定义信息源

操作

命令

info-center source { modu-name | default } channel

{ channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]*

undo info-center source { modu-name | default } channel { channel-number | channel-name }

信息的类型信息的

定义信息源

删除信息源的配置

modu-name是模块名default代表所有模块level是信息重要级别severity是信息级别在此级别以下的信息不输出channel-number是要设置的信息通道号channel-name是要设置的信息通道名

在定义发送到日志主机上的信息时channel-number或者channel-name要设定为loghost方向对应的通道

对每个信息通道设有一条缺省记录它的模块名为default模块号为0xffff0000但对于不同信息通道

此记录对日志

告警

调试类信息的缺省设置值可能不同

当某一个模块在此通道中没有明确的配置记录时系统使用这条缺省的配置记录󰀉 说明

当用户需要查看交换机某些模块的调试信息时需要在配置信息源时将信息类别选择为debugging同时使用debugging命令开启相应模块的调试开关

4-12

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

用户可以使用下面的命令来配置日志信息调试信息和告警信息的时间戳输出格式此配置将影响到用户看到的信息的时间戳格式请在系统视图下进行下列操作

表4-22 配置时间戳输出格式

操作

配置时间戳输出格式禁止输出时间戳字段

命令

info-center timestamp { log | trap | debugging } { boot | date | none }

undo info-center timestamp { log | trap | debugging }

(4) 日志主机的配置

日志主机上的配置要和交换机上对日志主机的配置保持一致可以参考后面的配置举例

日志主机的相关配置

4.5.4 配置信息发送到控制台

配置信息发送到控制台需要经过如下配置 (1) 开启信息中心

请在系统视图下进行下列操作

表4-23 开启或关闭信息中心

操作

开启信息中心关闭信息中心

info-center enable undo info-center enable

命令

󰀉 说明

信息中心缺省情况下处于开启状态信息中心开启时由于信息分类输出的原因在处理信息较多时对系统性能有一定的影响

(2) 在交换机上配置向控制台输出信息请在系统视图下进行下列操作

表4-24 配置向控制台输出信息

操作

向Console方向输出信息取消向Console方向输出信息

命令

info-center console channel{ channel-number | channel-name }

undo info-center console channel

4-13

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

(3) 在交换机上配置信息源

本配置可以定义发送到控制台上的信息是哪些模块产生的别等

表4-25 定义信息源

操作

命令

info-center source { modu-name | default } channel

{ channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]*

undo info-center source { modu-name | default } channel { channel-number | channel-name }

信息的类型信息的级

请在系统视图下进行下列操作

定义信息源

删除信息源的配置

在定义发送到控制台上的信息时channel-number或者channel-name要设定为Console方向对应的通道

对每个信息通道设有一条缺省记录它的模块名为default模块号为0xffff0000但对于不同信息通道

此记录对日志

告警

调试类信息的缺省设置值可能不同

当某一个模块在此通道中没有明确的配置记录时系统使用这条缺省的配置记录󰀉 说明

当用户需要查看交换机某些模块的调试信息时需要在配置信息源时将信息类别选择为debugging同时使用debugging命令开启相应模块的调试开关

表4-26 配置时间戳输出格式

操作

配置时间戳输出格式禁止输出时间戳字段

命令

info-center timestamp { log | trap | debugging } { boot | date | none }

undo info-center timestamp { log | trap | debugging }

(4) 打开终端显示功能

4-14

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

对于交换机发往控制台的日志调试和告警信息用户需要首先在交换机上打开相

应的日志调试和告警显示功能才能从控制台上观察到输出的信息例如

如果用户在配置了发往控制台的信息为日志信息后

表4-27 打开终端显示功能

操作

打开终端显示调试信息功能关闭终端显示调试信息功能打开终端显示日志信息功能关闭终端显示日志信息功能打开终端告警信息显示功能关闭终端显示告警信息功能

命令

terminal debugging undo terminal debugging terminal logging undo terminal logging terminal trapping undo terminal trapping

需要在交换机上使用命

令terminal logging打开终端显示日志信息功能这样用户才可能从控制台上观察到交换机发送过来的日志信息请在用户视图下进行下列操作

4.5.5 配置信息发送到Telnet终端或哑终端

配置信息发送到Telnet终端或哑终端需要经过如下配置 (1) 开启信息中心

请在系统视图下进行下列操作

表4-28 开启或关闭信息中心

操作

开启信息中心关闭信息中心

info-center enable undo info-center enable

命令

󰀉 说明

信息中心缺省情况下处于开启状态信息中心开启时由于信息分类输出的原因在处理信息较多时对系统性能有一定的影响

(2) 在交换机上配置向Telnet终端或哑终端输出信息请在系统视图下进行下列操作

4-15

Quidway S3500系列以太网交换机操作手册

第4章系统维护与调试系统管理

表4-29 配置向Telnet终端或哑终端输出信息

操作

向Telnet终端或哑终端输出信息取消向Telnet终端或哑终端输出信息

命令

info-center monitor channel

{ channel-number | channel-name } undo info-center monitor channel

(3) 在交换机上配置信息源

本配置可以定义发送到Telnet终端或哑终端的信息是哪些模块产生的信息的类型信息的级别等

表4-30 定义信息源

操作

命令

info-center source { modu-name | default } channel

{ channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]*

undo info-center source { modu-name | default } channel { channel-number | channel-name }

请在系统视图下进行下列操作

定义信息源

删除信息源的配置

在定义发送到Telnet终端或哑终端的信息时channel-number或者channel-name要设定为monitor方向对应的通道

对每个信息通道设有一条缺省记录它的模块名为default模块号为0xffff0000但对于不同信息通道

此记录对日志

告警

调试类信息的缺省设置值可能不同

当某一个模块在此通道中没有明确的配置记录时系统使用这条缺省的配置记录󰀉 说明

同时有多个Telnet用户或哑终端用户时各个用户之间共享一些配置参数其中包括按模块过滤设置中英文选择严重等级阈值某一个用户改变这些设置时在别的用户端也有所反映

󰀉 说明

当用户需要查看交换机某些模块的调试信息时需要在配置信息源时将信息类别选择为debugging同时使用debugging命令开启相应模块的调试开关

4-16

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

表4-31 配置时间戳输出格式

操作

配置时间戳输出格式禁止输出时间戳字段

命令

info-center timestamp { log | trap | debugging } { boot | date | none }

undo info-center timestamp { log | trap | debugging }

(4) 打开终端显示功能

对于交换机发往Telnet终端或哑终端的日志调试和告警信息用户需要首先在交换机上打开当前终端显示功能然后打开相应的终端信息显示功能才能从Telnet终端或哑终端上观察到输出的信息

需要在交换机上使用命

例如如果用户在配置了发往控制台的信息为日志信息后

令terminal monitor打开当前终端显示功能然后使用命令terminal logging打开终端日志信息功能这样用户才可能从Telnet终端或哑终端上观察到交换机发送过来的日志信息

表4-32 打开终端显示功能

操作

打开终端信息显示系统日志发送的调试/日志/告警信息功能

关闭终端显示上述信息功能打开终端显示调试信息功能关闭终端显示调试信息功能打开终端显示日志信息功能关闭终端显示日志信息功能打开终端告警信息显示功能关闭终端显示告警信息功能

terminal monitor undo terminal monitor terminal debugging undo terminal debugging terminal logging undo terminal logging terminal trapping undo terminal trapping

命令

请在用户视图下进行下列操作

4.5.6 配置信息发送到日志缓冲区

配置信息发送到日志缓冲区需要经过如下配置 (1) 开启信息中心

4-17

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

请在系统视图下进行下列操作

表4-33 开启或关闭信息中心

操作

开启信息中心关闭信息中心

info-center enable undo info-center enable

命令

󰀉 说明

信息中心缺省情况下处于开启状态信息中心开启时由于信息分类输出的原因在处理信息较多时对系统性能有一定的影响

(2) 在交换机上配置向日志缓冲区输出信息请在系统视图下进行下列操作

表4-34 配置向日志缓冲区输出信息

操作

向日志缓冲区输出信息取消向日志缓冲区输出信息

命令

info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ]*

undo info-center logbuffer [ channel | size ]

(3) 在交换机上配置信息源

本配置可以定义发送到日志缓冲区的信息是哪些模块产生的级别等

请在系统视图下进行下列操作

表4-35 定义信息源

操作

命令

info-center source { modu-name | default } channel

{ channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]*

undo info-center source { modu-name | default } channel { channel-number | channel-name }

信息的类型信息的

定义信息源

删除信息源的配置

4-18

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

在定义发送到日志缓冲区的信息时channel-number或者channel-name要设定为logbuffer方向对应的通道

对每个信息通道设有一条缺省记录它的模块名为default模块号为0xffff0000但对于不同信息通道

此记录对日志

告警

调试类信息的缺省设置值可能不同

当某一个模块在此通道中没有明确的配置记录时系统使用这条缺省的配置记录󰀉 说明

当用户需要查看交换机某些模块的调试信息时需要在配置信息源时将信息类别选择为debugging同时使用debugging命令开启相应模块的调试开关

表4-36 配置时间戳输出格式

操作

配置时间戳输出格式禁止输出时间戳字段

命令

info-center timestamp { log | trap | debugging } { boot | date | none }

undo info-center timestamp { log | trap | debugging }

4.5.7 配置信息发送到告警缓冲区

配置信息发送到告警缓冲区需要经过如下配置 (1) 开启信息中心

请在系统视图下进行下列操作

表4-37 开启或关闭信息中心

操作

开启信息中心关闭信息中心

info-center enable undo info-center enable

命令

󰀉 说明

信息中心缺省情况下处于开启状态信息中心开启时由于信息分类输出的原因在处理信息较多时对系统性能有一定的影响

(2) 在交换机上配置向告警缓冲区输出信息

4-19

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

请在系统视图下进行下列操作

表4-38 配置向告警缓冲区输出信息

操作

向告警缓冲区输出信息取消向告警缓冲区输出信息

命令

info-center trapbuffer [ size buffersize | channel { channel-number | channel-name } ]*

undo info-center trapbuffer [ channel | size ]

(3) 在交换机上配置信息源

本配置可以定义发送到告警缓冲区的信息是哪些模块产生的级别等

请在系统视图下进行下列操作

表4-39 定义信息源

操作

命令

info-center source { modu-name | default } channel

{ channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]*

undo info-center source { modu-name | default } channel { channel-number | channel-name }

信息的类型信息的

定义信息源

删除信息源的配置

在定义发送到告警缓冲区的信息时channel-number或者channel-name要设定为trapbuffer方向对应的通道

对每个信息通道设有一条缺省记录它的模块名为default模块号为0xffff0000但对于不同信息通道

此记录对日志

告警

调试类信息的缺省设置值可能不同

当某一个模块在此通道中没有明确的配置记录时系统使用这条缺省的配置记录󰀉 说明

当用户需要查看交换机某些模块的调试信息时需要在配置信息源时将信息类别选择为debugging同时使用debugging命令开启相应模块的调试开关

4-20

Quidway S3500系列以太网交换机操作手册系统管理

表4-40 配置时间戳输出格式

操作

配置时间戳输出格式禁止输出时间戳字段

命令

第4章系统维护与调试

info-center timestamp { log | trap | debugging } { boot | date | none }

undo info-center timestamp { log | trap | debugging }

4.5.8 配置信息发送到SNMP网管

配置信息发送到SNMP网管需要经过如下配置 (1) 开启信息中心

请在系统视图下进行下列操作

表4-41 开启或关闭信息中心

操作

开启信息中心关闭信息中心

info-center enable undo info-center enable

命令

󰀉 说明

信息中心缺省情况下处于开启状态信息中心开启时由于信息分类输出的原因在处理信息较多时对系统性能有一定的影响

(2) 在交换机上配置向SNMP网管输出信息请在系统视图下进行下列操作

表4-42 配置向SNMP网管输出信息

操作

向SNMP输出信息取消向SNMP输出信息

命令

info-center snmp channel { channel-number | channel-name }

undo info-center snmp channel

(3) 在交换机上配置信息源

本配置可以定义发送到SNMP的信息是哪些模块产生的信息的类型信息的级别等

请在系统视图下进行下列操作

4-21

Quidway S3500系列以太网交换机操作手册系统管理

表4-43 定义信息源

操作

命令

第4章系统维护与调试

定义信息源

info-center source { modu-name | default } channel

{ channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]*

undo info-center source { modu-name | default } channel { channel-number | channel-name }

删除信息源的配置

在定义发送到SNMP网管上的信息时channel-number或者channel-name要设定为SNMP方向对应的通道

对每个信息通道设有一条缺省记录它的模块名为default模块号为0xffff0000但对于不同信息通道

此记录对日志

告警

调试类信息的缺省设置值可能不同

当某一个模块在此通道中没有明确的配置记录时系统使用这条缺省的配置记录󰀉 说明

当用户需要查看交换机某些模块的调试信息时需要在配置信息源时将信息类别选择为debugging同时使用debugging命令开启相应模块的调试开关

表4-44 配置时间戳输出格式

操作

配置时间戳输出格式禁止输出时间戳字段

命令

info-center timestamp { log | trap | debugging } { boot | date | none }

undo info-center timestamp { log | trap | debugging }

(4) 交换机上SNMP的配置和网管工作站的配置

为了使信息可以正确发送到SNMP网管交换机上还需要对SNMP进行配置同时在远端的网管工作站上也需要作相应的配置这样才能在网管工作站上获得正确的信息SNMP可以参见后续的第5章 SNMP配置

4-22

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

4.5.9 信息中心的显示和调试

在完成上述配置后在任意视图下执行display命令可以显示配置后信息中心的运行情况用户可以通过查看显示信息验证配置的效果令可以将信息中心统计信息清除

请在用户视图下进行下列操作display命令还可以在任意视图下进行

表4-45 信息中心显示和调试

操作

显示信息通道的内容

显示系统日志的配置及内存缓冲区记录的信息显示交换机日志缓冲区的状态和缓冲区记录的日志信息

显示交换机日志缓冲区的概要信息

显示交换机告警缓冲区的状态和缓冲区记录的告警信息

清除日志缓冲区内的信息清除告警缓冲区内的信息

命令

display channel [ channel-number | channel-name ] display info-center

display logbuffer [size buffersize ] display logbuffer summary [ level severity ]

display trapbuffer [ size buffersize ] reset logbuffer reset trapbuffer

在用户视图下执行reset命

4.5.10 日志发送到UNIX日志主机的配置举例

1. 组网需求

交换机的日志信息发送到Unix日志主机上日志主机的IP地址为202.38.1.10严重等级高于informational的日志信息将会发送到日志主机上输出语言为英文允许输出信息的模块为ARP和IP 2. 组网图

NetworkSwitchPC

图4-2 配置示意图

4-23

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

3. 配置步骤

(1) 交换机上的配置 # 开启信息中心

[Quidway] info-center enable

# 将IP地址为202.38.1.10的主机用作日志主机

设置严重等级阈值为

informational输出语言为英文允许输出信息的模块为ARP和IP [Quidway] info-center loghost 202.38.1.10 facility local4 language english [Quidway] info-center source arp channel loghost log level informational [Quidway] info-center source ip channel loghost log level informational (2) 日志主机上的配置

此配置是在日志主机上进行的配置下面的配置示例是在SunOS 4.0上完成的在其它厂商的Unix操作系统上的配置操作基本与之相同第一步以超级用户root的身份执行以下命令 # mkdir /var/log/Quidway

# touch /var/log/Quidway/information 第二步

以超级用户

root

的身份编辑文件/etc/syslog.conf

加入以下选择/动作

组合selector/action pairs

# Quidway configuration messages local4.info /var/log/Quidway/information 󰀉 说明

在编辑/etc/syslog.conf时应注意以下问题

并以字符# 开头 z 注释只允许成行

而不能输入空格 z 选择/动作组合之间必须以一个制表符分隔

z 在文件名之后不得有多余的空格

z /etc/syslog.conf中指定的设备名及接受的日志信息级别与交换机上配置的info-center loghost和info-center loghost a.b.c.d facility应保持一致否则日志信息可能无法正确输出到日志主机上

第三步当日志文件information建立且/etc/syslog.conf文件被修改了之后应通过执行以下命令给系统守护进程syslogd一个HUP信号来使syslogd重新读取它的配置文件/etc/syslog.conf # ps -ae | grep syslogd 147

# kill -HUP 147

4-24

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

进行以上操作之后交换机系统就可以在相应的日志文件中记录信息了 󰀉 说明

综合配置设备名称facility严重等级阈值severity模块名称filter以及syslog.conf文件可以进行相当细致的分类达到信息筛选的目的

4.5.11 日志发送到LINUX日志主机的配置举例

1. 组网需求

交换机的日志信息发送到Linux日志主机上日志主机的IP地址为202.38.1.10严重等级高于informational的日志信息将会发送到日志主机上输出语言为英文允许输出信息的模块为所有模块 2. 组网图

NetworkSwitchPC

图4-3 配置示意图

3. 配置步骤

(1) 交换机上的配置 # 开启信息中心

[Quidway] info-center enable

# 将IP地址为202.38.1.10的主机用作日志主机

设置严重等级阈值为

informational输出语言为英文允许输出信息的模块为所有模块 [Quidway] info-center loghost 202.38.1.10 facility local7 language english [Quidway] info-center source default channel loghost log level informational (2) 日志主机上的配置

此配置是在日志主机上进行的配置

第一步以超级用户root的身份执行以下命令 # mkdir /var/log/Quidway

# touch /var/log/Quidway/information

4-25

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

第二步以超级用户root的身份编辑文件/etc/syslog.conf

加入以下选择/动作

组合selector/action pairs

# Quidway configuration messages local7.info /var/log/Quidway/information 󰀉 说明

在编辑/etc/syslog.conf时应注意以下问题

并以字符# 开头 z 注释只允许成行

而不能输入空格 z 选择/动作组合之间必须以一个制表符分隔

z 在文件名之后不得有多余的空格

第三步当日志文件information建立且/etc/syslog.conf文件被修改了之后应通过执行以下命令查看系统守护进程syslogd的进程号杀死syslogd进程并重新用-r选项在后台启动syslogd # ps -ae | grep syslogd 147 # kill -9 147 # syslogd -r & 󰀉 说明

对Linux日志主机必须保证syslogd进程是以-r选项启动

进行以上操作之后交换机系统就可以在相应的日志文件中记录信息了 󰀉 说明

综合配置设备名称facility严重等级阈值severity模块名称filter以及syslog.conf文件可以进行相当细致的分类达到信息筛选的目的

4.5.12 日志发送到控制台的配置举例

1. 组网需求

交换机的严重等级高于informational的日志信息将会发送到控制台上输出语言为英文允许输出信息的模块为ARP和IP

4-26

Quidway S3500系列以太网交换机操作手册系统管理

第4章系统维护与调试

2. 组网图

consoleSwitchPC 图4-4 配置示意图

3. 配置步骤

(1) 交换机上的配置 # 开启信息中心

[Quidway] info-center enable # 配置控制台日志输出

允许ARP和IP模块的日志输出

严重等级为

emergenciesinformational

[Quidway] info-center console channel console

[Quidway] info-center source arp channel console log level informational [Quidway] info-center source ip channel console log level informational # 打开终端显示功能

terminal logging

4-27

Quidway S3500系列以太网交换机操作手册系统管理

第5章 SNMP配置

5.1 SNMP协议介绍

目前网络中用得最广泛的网络管理协议是SNMPProtocol

Simple Network Management

用于保证管理信息在任

修改信息寻找故

SNMP是被广泛接受并投入使用的工业标准

意两点间传送便于网络管理员在网络上的任何节点检索信息

障完成故障诊断进行容量规划和生成报告SNMP采用轮询机制只提供最基本的功能集特别适合在小型快速和低价格的环境中使用SNMP的实现基于无连接的传输层协议UDP得到众多产品的支持

SNMP分为NMS和Agent两部分NMSNetwork Management Station

是运

行客户端程序的工作站目前常用的网管平台有Sun NetManager和IBM NetViewAgent是运行在网络设备上的服务器端软件NMS可以向Agent发出GetRequestGetNextRequest和SetRequest报文Agent接收到NMS的请求报文后根据报文类型进行Read或 Write操作生成Response报文并将报文返回给NMSAgent在设备发现重新启动等异常情况时也会主动向NMS发送Trap报文向NMS汇报所发生的事件

5.2 SNMP版本及支持的MIB

为了在SNMP报文中唯一标识设备中的管理变量SNMP用层次结构命名方案来识别管理对象象

用层次结构命名的管理对象的集合就象一棵树

树的节点表示管理对

如下图所示管理对象可以用从根开始的一条路径别无二义地识别

图5-1 MIB树结构

2 2

B 6

5-1

Quidway S3500系列以太网交换机操作手册系统管理

第5章 SNMP配置

MIBManagement Information Base的作用就是用来描述树的层次结构它是所监控网络设备的标准变量定义的集合

在上图中

管理对象B可以用一串数字

{1.2.1.1}唯一确定这串数字是管理对象的Object Identifier客体标识符以太网交换机中的SNMP Agent支持SNMP V1V2C和V3下表所示

表5-1 以太网交换机支持的常见MIB

MIB属性

MIB内容

基于TCP/IP网络设备的MIB II BRIDGE MIB RIP MIB RMON MIB 以太网MIB OSPF MIB IF MIB DHCP MIB QACL MIB ADBM MIB

私有MIB

RSTP MIB VLAN MIB 设备管理接口管理

参见资料

参见RFC1213 参见RFC1493 参见RFC2675

公有MIB

参见RFC1724 参见RFC2819 参见RFC2665 参见RFC1253 参见RFC1573

支持的常见MIB如

- - - - - - -

5.3 配置SNMP

SNMP的主要配置包括

z z z z z z z z

设置团体名设置系统信息允许或禁止发送Trap 设置Trap目标主机的地址设置Trap报文的保存时间配置本地或远端设备的名字设置或删除一个SNMP的组指定发送Trap的源地址

5-2

Quidway S3500系列以太网交换机操作手册系统管理

z z z z

第5章 SNMP配置

为一个SNMP的组添加一个新用户创建或者更新视图的信息

设置Agent能接收/发送的SNMP消息包的大小禁止SNMP Agent运行

5.3.1 设置团体名

SNMPV1SNMPV2C采用团体名认证SNMP团体Community用一个字符串来命名称为团体名Community Name

SNMP团体名用来定义SNMP manager

和SNMP agent的关系团体名起到了类似于密码的作用可以SNMP manager访问以太网交换机上的SNMP agent用户可以选择指定以下一个或者多个与团体名相关的特性

z z

定义团体community可以访问的所有MIB对象的子集的MIB视图团体可以访问的MIB对象的读写read-write或者只读

read-only权限

具有只读权限的团体只能对设备信息进行查询而具有读写权限的团体还可以对设备进行配置请在系统视图下进行下列配置

表5-2 设置团体名

操作

设置团体名及访问权限取消团体名及访问权限

命令

snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-list ]

undo snmp-agent community community-name

5.3.2 设置系统信息

系统信息包括管理员的标识及联系方法以太网交换机的位置信息和SNMP的版本信息

管理员的标识及联系方法是描述系统维护联系信息的字符串用维护信息了解该设备的生产厂商等信息置系统维护联系信息

以太网交换机的位置信息是MIB中system组的一个管理变量用于表示被管理设备的位置

如果设备发生故障

利用系统维护联系信息及时与设备生产厂商取得联系

设备维护人员可以利设备维护人员可以

可以使用下面的命令来设

请在系统视图下进行下列配置

5-3

Quidway S3500系列以太网交换机操作手册系统管理

表5-3 设置系统信息

操作

设置系统信息恢复系统信息

命令

第5章 SNMP配置

snmp-agent sys-info { contact sysContact | location sysLocation | version { { v1 | v2c | v3 }* | all } }

undo snmp-agent sys-info { { contact | location }* | version { { v1 | v2c | v3 }* | all } }

缺省情况下系统维护联系信息为R&D Beijing,Huawei Technologies co.,Ltd.物理位置信息为Beijing China

版本为SNMPv3

5.3.3 允许或禁止发送Trap

Trap是被管理设备主动向NMS发送的不经请求的信息事件如被管理设备重新启动等

用于报告一些紧急的重要

可以使用下面的命令来允许或禁止被管理设备发送Trap信息请在相应视图下进行下列配置

表5-4 允许或禁止发送Trap

操作

命令

snmp-agent trap enable [ configuration | standard

允许设备发送Trap系统视图 [ authentication | coldstart | linkdown | linkup |

warmstart ] ] undo snmp-agent trap enable [ configuration | standard

禁止设备发送Trap系统视图 [ authentication | coldstart | linkdown | linkup |

warmstart ] ] 允许交换机的端口发送SNMP trap以太网端口视图/VLAN接口视图

禁止交换机的端口发送SNMP trap以太网端口视图/VLAN接口视图

enable snmp trap updown

undo enable snmp trap updown

5.3.4 设置Trap目标主机的地址

可以使用下面的命令来设置或删除发送Trap信息的目标主机的IP地址请在系统视图下进行下列配置

表5-5 设置Trap目标主机的地址

操作

设置Trap目标主机地址

命令

snmp-agent target-host trap address udp-domain host-addr [ udp-port udp-port-number ] params securityname

community-string [ v1 | v2c | v3 { authentication | privacy } ]

5-4

Quidway S3500系列以太网交换机操作手册系统管理

操作

删除Trap目标主机地址

命令

第5章 SNMP配置

undo snmp-agent target-host host-addr securityname community-string

5.3.5 设置Trap报文的保存时间

可以使用下面的命令来设置Trap报文的保存时间超过该时间的Trap报文都将被丢弃

请在系统视图下进行下列配置

表5-6 设置Trap报文的保存时间

操作

设置Trap报文的保存时间恢复Trap报文保存时间的缺省值

命令

snmp-agent trap life seconds undo snmp-agent trap life

缺省的Trap报文保存时间为120秒

5.3.6 设置本地或远端设备的引擎ID

可以使用下面的命令来设置本地或远端设备的引擎ID请在系统视图下进行下列配置

表5-7 设置本地或远端设备的引擎ID

操作

设置设备的引擎ID

设置设备的引擎ID为缺省值

命令

snmp-agent local-engineid engineid undo snmp-agent local-engineid

设备引擎ID必须是16进制数字至少5个字符可以是IP地址MAC地址或自己定义的文本缺省为公司的企业号+设备信息

5.3.7 设置或删除一个SNMP的组

可以使用下面的命令来设置或删除SNMP的一个组请在系统视图下进行下列配置

5-5

Quidway S3500系列以太网交换机操作手册系统管理

表5-8 设置或删除一个SNMP组

操作

命令

第5章 SNMP配置

设置一个SNMP组

snmp-agent group { v1 | v2c } group-name [ read-view

read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-list ]

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-list ]

undo snmp-agent group { v1 | v2c } group-name

删除一个SNMP组

undo snmp-agent group v3 group-name [ authentication | privacy ]

5.3.8 指定发送Trap的源地址

可以使用下面的命令来设定或取消发送Trap的源地址请在系统视图下进行下列配置

表5-9 设定发送Trap的源地址

操作

指定发送Trap的源地址取消发送Trap的源地址

命令

snmp-agent trap source interface-name interface-num undo snmp-agent trap source

5.3.9 SNMP组添加一个新用户或删除一个用户

可以使用下面的命令来为SNMP组添加或删除一个用户请在系统视图下进行下列配置

表5-10 SNMP组添加或删除一个用户

操作

命令

snmp-agent usm-user { v1 | v2c } username groupname [ acl acl-list ]

为SNMP组添加一个新用户

snmp-agent usm-user v3 username groupname [ authentication-mode { md5 | sha } authpassstring [ privacy-mode { des56 privpassstring } ] ] [ acl acl-list ] undo snmp-agent usm-user { v1 | v2c } username groupname

undo snmp-agent usm-user v3 username groupname local | engineid engine-id }

删除SNMP组的一个用户

5-6

Quidway S3500系列以太网交换机操作手册系统管理

第5章 SNMP配置

用户在为某个代理配置远端用户时要先配置SNMP engineID引擎ID的操作将无效

在进行

验证时需要用到engineID如果在添加用户前没有配置engineID则该添加用户

本操作对于SNMP V1V2c来说是添加一个新的团体名对SNMP V3来说是为一个SNMP的组添加一个新用户

5.3.10 创建或更新视图的信息或删除视图

用户可以为团体指定视图以SNMP manager可以访问的MIB对象用户可以使用预先定义的视图也可以自己生成视图可以使用下面的命令创建更新视图的信息或删除视图请在系统视图下进行下列配置

表5-11 创建更新视图的信息或删除视图

操作

创建或更新视图的信息删除视图

命令

snmp-agent mib-view { included | excluded } view-name oid-tree

undo snmp-agent mib-view view-name

5.3.11 设置Agent接收/发送的SNMP消息包的大小

可以使用下面的命令来设置Agent能接收/发送的SNMP消息包的大小请在系统视图下进行下列配置

表5-12 设置Agent能接收/发送的SNMP消息包的大小操作

设置Agent能接收/发送的SNMP消息包的大小恢复SNMP消息包的大小的缺省值

命令

snmp-agent packet max-size byte-count undo snmp-agent packet max-size

Agent能接收/发送的SNMP消息包大小的取值范围为48417940单位为字节缺省值为1500字节

5.3.12 禁止SNMP Agent运行

要禁止SNMP Agent的运行

请在系统视图下进行如下配置

表5-13 禁止SNMP Agent运行

操作

禁止SNMP Agent运行

undo snmp-agent

命令

5-7

Quidway S3500系列以太网交换机操作手册系统管理

第5章 SNMP配置

禁止SNMP Agent运行以后用户配置任何一条snmp-agent命令都将重新启动SNMP Agent

5.4 SNMP显示和调试

在完成上述配置后在任意视图下执行display命令可以显示配置后SNMP的运行情况通过查看显示信息验证配置的效果

表5-14 SNMP的显示和调试

操作

显示SNMP报文统计信息显示当前设备的引擎ID

显示交换机上的组名安全模式各种视图的状态以及各组存储方式

显示组用户名表中的SNMP用户信息显示当前配置的团体名显示当前配置的MIB视图显示系统联络字符串SNMP版本

位置字符串和

命令

display snmp-agent statistics

display snmp-agent { local-engineid | remote-engineid }

display snmp-agent group [ group-name ] display snmp-agent usm-user [ engineid engineid | group groupname | username username ]*

display snmp-agent community [ read | write ] display snmp-agent mib-view [ exclude | include | viewname mib-view ]

display snmp-agent sys-info [ contact | location | version ]*

5.5 SNMP配置举例

1. 组网需求网管工作站进行如下配置

NMS

与以太网交换机通过以太网相连

管理员标识

网管工作站IP地址为

129.102.149.23以太网交换机的VLAN接口IP地址为129.102.0.1在交换机上

设置团体名和访问权限

联系方法以及交换机的位置

信息允许交换机发送Trap消息

5-8

Quidway S3500系列以太网交换机操作手册系统管理

第5章 SNMP配置

2. 组网图

129.102.149.23129.102.0.1NMSEthernet 图5-2 SNMP配置举例组网图

3. 配置步骤 # 进入系统视图 system-view # 设置团体群组和用户

[Quidway] snmp-agent sys-info version all [Quidway] snmp-agent community write public [Quidway] snmp-agent mib include internet 1.3.6.1

[Quidway] snmp-agent group v3 managev3group write internet [Quidway] snmp-agent usm v3 managev3user managev3group

# 设置网管使用的VLAN接口为VLAN 2接口将用于网管的端口Ethernet0/3加入到VLAN2中配置VLAN2的接口IP地址129.102.0.1[Quidway] vlan 2

[Quidway-vlan2] port ethernet 0/3 [Quidway-vlan2] interface vlan 2

[Quidway-Vlan-interface2] ip address 129.102.0.1 255.255.255.0

# 允许向网管工作站NMS129.102.149.23发送Trap报文使用的团体名为public [Quidway] snmp-agent trap enable standard authentication [Quidway] snmp-agent trap enable standard coldstart [Quidway] snmp-agent trap enable standard linkup [Quidway] snmp-agent trap enable standard linkdown

[Quidway] snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public 4. 配置NMS

网管所在的PC机需要进行登录设置对于Mib-Browser登陆设置为SNMPV1V2使用缺省的团体名public登录SNMPV3使用用户managev3user登陆

5-9

Quidway S3500系列以太网交换机操作手册系统管理

第5章 SNMP配置

以太网交换机支持华为公司的iManager Quidview网管系统用户可利用网管系统完成对以太网交换机的查询和配置操作手册

具体情况请参考华为公司网管产品的配套

5-10

Quidway S3500系列以太网交换机操作手册系统管理

第6章 RMON配置

6.1 RMON简介

RMONRemote Monitoring是IETFInternet Engineering Task Force络中数据流量的监视是目前应用相当广泛的网络管理标准之一

它与现存的

定义的

一种MIB是对MIB II标准最重要的增强RMON主要用于对一个网段乃至整个网

RMON的实现完全基于SNMP体系结构这是它的一个突出优点

SNMP框架相兼容不需对该协议进行任何修改RMON包括NMS和运行在各网络设备上的Agent两部分RMON Agent在网络监视器或网络探测器上跟踪统计其端口所连接的网段上的各种流量信息往某台主机的正确报文总数等

如某段时间内某网段上的报文总数或发

RMON使SNMP更有效更积极主动地监测远程

网络设备为监控子网的运行提供了一种高效的手段RMON能够减少网管站同代理间的通讯流量从而可以简便而有力地管理大型互连网络RMON允许有多个监控者它可用两种方法收集数据

一种方法利用专用的RMON probe探测仪收集数据NMS直接从RMON probe获取管理信息并控制网络资源这种方式可以获取RMON MIB的全部信息

第二种方法是将RMON Agent直接植入网络设备路由器交换机HUB等使它们成为带RMON probe功能的网络设施RMON NMS使用SNMP的基本命令与SNMP Agent交换数据信息收集网络管理信息但这种方式受设备资源一般不能获取RMON MIB的所有数据

大多数只收集四个组的

信息这四个组是报警信息事件信息历史信息和统计信息以太网交换机以第二种方法实现RMON错误统计和性能统计等信息

通过运行在网络监视器上的支持RMON

的SNMP Agent网管站可以获得与被管网络设备端口相连的网段上的整体流量

进而实现对网络往往是远程的的管理

6.2 配置RMON

󰀉 说明

在配置RMON功能之前必须保证SNMP agent已经正确配置SNMP agent的配置请参见第5章 SNMP配置

6-1

Quidway S3500系列以太网交换机操作手册系统管理

第6章 RMON配置

RMON配置包括

z z z z z

添加/删除事件表的一个表项添加/删除告警表的一个表项

添加/删除扩展RMON告警表的一个表项添加/删除历史控制表的一个表项添加/删除统计表的一个表项

6.2.1 添加/删除事件表的一个表项

本配置用来定义事件号及事件的处理方式事件有如下几种处理方式

z z z

将事件记录在日志表中向网管站发Trap消息

将事件记录在日志表中并向网管站发Trap消息

请在系统视图下进行下列配置

表6-1 在事件表中添加/删除一个表项

操作

在事件表中添加一个表项在事件表中删除一个表项

命令

rmon event event-entry [ description description ] { log | trap trap-community | log-trap log-trapcommunity | none } [ owner text ]

undo rmon event event-entry

6.2.2 添加/删除告警表的一个表项

RMON告警管理可对指定的告警变量如端口的统计数据进行监视当被监视数据的值超过定义的阈值时会产生告警事件事件的定义在事件管理中实现󰀉 说明

在添加告警表项之前需要通过rmon event命令定义好告警表项中引用的事件

请在系统视图下进行下列配置

然后按照事件的定义进行相应的处理

6-2

Quidway S3500系列以太网交换机操作手册系统管理

表6-2 在告警表中添加/删除一个表项

操作

在告警表中添加一个表项在告警表中删除一个表项

命令

第6章 RMON配置

rmon alarm entry-number alarm-variable interval { delta | absolute } rising-threshold threshold-value1 event-entry1 falling-threshold threshold-value2 event-entry2 [ owner text ] undo rmon alarm entry-number

用户定义了告警表项后系统对告警表项的处理如下

(1) 对所定义的告警变量alarm-variable按照定义的时间间隔interval进行采样 (2) 将采样值和设定的阈值进行比较按照下表执行相应的处理过程

表6-3 告警表项的处理过程

实际情况

采样值大于等于设定的上限threshold-value1 采样值小于设定的下限threshold-value2

处理过程

触发所定义的事件event-entry1 触发所定义的事件event-entry2

6.2.3 添加/删除扩展RMON告警表的一个表项

该命令用来在扩展RMON告警表中添加/删除一行表项扩展告警表项可以对告警变量的采样值进行运算然后将运算结果和设置的阈值比较功能

实现更为丰富的告警

󰀉 说明

在添加扩展告警表项之前需要通过rmon event命令定义好扩展告警表项中引用的事件

用户最多可以定义50个扩展告警表项

请在系统视图下进行下列配置

表6-4 在扩展RMON告警表中添加/删除一个表项

操作

命令

rmon prialarm entry-number variable-formula description interval { delta | absolute | changeratio } rising_threshold threshold-value1 event-entry1 falling_threshold

threshold-value2 event-entry2 entrytype { forever | cycle cycle-period } [ owner text ] undo rmon prialarm entry-number

在扩展RMON告警表中添加一个表项

在扩展RMON告警表中删除一个表项

6-3

Quidway S3500系列以太网交换机操作手册系统管理

第6章 RMON配置

用户定义了扩展告警表项后系统对扩展告警表项的处理如下

(1) 对定义的扩展告警公式variable-formula中的告警变量按照定义的时间间隔

interval进行采样

(2) 将采样值按照定义的运算公式variable-formula进行计算

(3) 将计算结果和和设定的阈值进行比较按照下表执行相应的处理过程

表6-5 扩展告警表项的处理过程

实际情况

计算值大于等于设定的上限threshold-value1 计算值小于等于设定的下限threshold-value2

处理过程

触发所定义的事件event-entry1 触发所定义的事件event-entry2

6.2.4 添加/删除历史控制表的一个表项

利用历史数据管理功能可以对设备进行设置设置的任务包括

采集历史数据

定期采集并保存指定端口的数据抽样信息包括利用率错误数和总包数等可以使用下面的命令在历史控制表中添加/删除一个表项请在以太网端口视图进行下列配置

表6-6 在历史控制表中添加/删除一个表项

操作

在历史控制表中添加一行在历史控制表中删除一行

命令

rmon history entry-number buckets number interval interval [ owner text ]

undo rmon history entry-number

历史控制表项统计的是采样时间间隔内的各种数据的统计值用户可以通过display rmon history命令来显示历史控制表项的信息

6.2.5 添加/删除统计表的一个表项

利用RMON统计管理功能可以监视端口的使用情况统计端口使用中发生的错误统计信息包括冲突

循环冗余校验和队列

过小或超大的数据包超时传送

碎片广播多播单播消息以及带宽使用效率等可以使用下面的命令在统计表中添加/删除一个表项请在以太网端口视图下进行下列配置

6-4

Quidway S3500系列以太网交换机操作手册系统管理

表6-7 在统计表中添加/删除一个表项

操作

在统计表中添加一行在统计表中删除一行

命令

第6章 RMON配置

rmon statistics entry-number [ owner text ] undo rmon statistics entry-number

统计表项统计的是从该事件定义的时间开始的一个累计的信息display rmon statistics命令来显示统计表项的信息

用户可以通过

6.3 RMON显示和调试

在完成上述配置后在任意视图下执行display命令可以显示配置后RMON的运行情况通过查看显示信息验证配置的效果

表6-8 RMON显示和调试

操作

显示RMON统计消息显示RMON历史信息显示RMON告警信息显示扩展RMON告警信息显示RMON事件显示RMON事件日志

命令

display rmon statistics [ port-num ] display rmon history [ port-num ] display rmon alarm [ alarm-table-entry ] display rmon prialarm [ prialarm-table-entry ] display rmon event [ event-table-entry ] display rmon eventlog [ event-number ]

6.4 RMON配置举例

1. 组网需求

在RMON以太网统计表中设定一个表项进行以太网端口性能统计以便网管查询

6-5

Quidway S3500系列以太网交换机操作手册系统管理

第6章 RMON配置

2. 组网图

InternetNetwork PortConsole PortSwitch 图6-1 配置RMON组网图

3. 配置步骤 # 配置RMON

[Quidway-Ethernet0/1] rmon statistics 3 owner abc # 在用户视图下查看RMON配置

display rmon statistics ethernet 0/1

6-6

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

7.1 NTP简介

7.1.1 NTP的作用

随着网络拓扑的日益复杂

整个网络内设备的时钟同步将变得十分重要

NTP

Network Time Protocol就是用来在整个网络内发布精确时间的TCP/IP协议 NTP可以为以下应用提供一致性保证

在备份服务器和客户机之间进行增量备份时步

确保这两个系统之间的时钟同

当由多个系统来处理复杂的事件时确保多个系统参考同一时钟保证事件的正确顺序

z z

确保系统之间的RPC远程系统调用能够正常进行

为应用程序提供用户登录到系统文件的修改等操作的时间信息

7.1.2 NTP的基本工作原理

NTP的基本工作原理如下图所示

7-1

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

NTP Packet10:00:00 am10:00:00amNetwork1.LS_ALS_BNTP Packet10:00:00am10:00:00 am11:00:01am11:00:01 amNetwork2.LS_ALS_BNTP Packet10:00:00am10:00:00 am11:00:01am11:00:01 am11:00:02am11:00:02 amNetwork3.LS_ALS_BNTP Packet received at 10:00:03NTP Packet received at 10:00:03 am4.LS_ANetworkLS_B 图7-1 NTP基本原理图

上图中以太网交换机A和以太网交换机B通过以太网口相连它们都有自己的系统时钟要实现各自系统时钟的自动同步作如下假设

在以太网交换机A和B的系统时钟同步之前以太网交换机A的时钟设定为10:00:00am以太网交换机B的时钟设定为11:00:00am

以太网交换机B为NTP时间服务器即以太网交换机A将使自己的时钟与以太网交换机B的时钟同步

数据包在以太网交换机A和B之间单向传输所需要的时间为1秒

系统时钟同步的工作过程如下

以太网交换机A发送一个NTP消息包给以太网交换机B该消息包带有它离开以太网交换机A时的时间戳该时间戳为10:00:00amT1

当此NTP消息包到达以太网交换机B时以太网交换机B加上自己的时间戳该时间戳为11:00:01amT2

当此NTP消息包离开以太网交换机B时以太网交换机B再加上自己的时间戳

该时间戳为11:00:02amT3

7-2

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

当以太网交换机A接收到该响应消息包时加上一个新的时间戳该时间戳为10:00:03amT4

至此以太网交换机A已经拥有足够的信息来计算两个重要的参数

z z

NTP消息来回一个周期的时延Delay=T4-T1-T3-T2以太网交换机A相对以太网交换机B的时间差offset=/2

T2-T1+T4-T3

这样以太网交换机A就能够根据这些信息来设定自己的时钟使之与以太网交换机B的时钟同步

以上内容只是对NTP的工作原理的粗略描述详细内容请参阅RFC1305

7.2 NTP协议配置

NTP协议用于整个网络内的时间同步NTP配置包括

z z z z z z z z z

配置NTP工作模式设置NTP身份验证功能设置NTP验证密钥设置指定密钥为可信密钥设置本地发送NTP消息的接口

设置外部参考时钟或本地时钟作为NTP主时钟允许/禁止接口接收NTP消息

设置对本地以太网交换机服务的访问控制权限设置本地允许建立的sessionss的数目

7.2.1 配置NTP工作模式

根据以太网交换机在网络中的位置以及网络结构可设置本地以太网交换机在NTP协议中的工作模式例如可以设置远程服务器为本地时间服务器

此时本地以太网

交换机工作在client模式也可以设置远程服务器作为本地以太网交换机的对等体本地运行在symmetric active模式也可以设置本地以太网交换机的一个接口发送NTP的广播消息包此时本地以太网交换机工作在broadcast模式也可以设置本地以太网交换机的一个接口接收NTP的广播信息包此时本地以太网交换机工作在广播客户模式也可以设置本地以太网交换机的一个接口发送NTP组播消息包本地以太网交换机运行在multicast模式还可以设置本地以太网交换机的一个接口接收NTP组播消息包本地以太网交换机运行在组播客户模式

配置NTP服务器模式

7-3

Quidway S3500系列以太网交换机操作手册系统管理

z z z z z

第7章 NTP配置

配置NTP对等体模式配置NTP广播服务器模式配置NTP广播客户模式配置NTP组播服务器模式配置NTP组播客户模式

1. 配置NTP服务器模式

设置以ip-address所指定的远程服务器作为本地时间服务器ip-address是一个主机地址不能为广播组播地址或参考时钟的IP地址本地以太网交换机工作在client模式在这种工作模式下只能是本地客户机同步到远程服务器会同步到本地客户机请在系统视图下进行下列配置

而远程服务器不

表7-1 配置NTP时间服务器

操作

配置NTP时间服务器取消NTP服务器模式

命令

ntp-service unicast-server ip-address [ version number |

authentication-keyid keyid | source-interface { interface-name | interface-type interface-number } | priority ]* undo ntp-service unicast-server ip-address

NTP版本号number范围是13缺省值为3身份验证密钥ID号keyid范围为14294967295接口interface-name或interface-type interface-number指定本地以太网交换机给时间服务器发送NTP消息时消息包中的源IP地址从该接口获取priority指定该时间服务器为优先选择的时间服务器 2. 配置NTP对等体模式

设置以ip-address所指定的远程服务器作为本地的对等体本地运行在symmetric active模式ip-address是一个主机地址不能为广播组播地址或参考时钟的IP地址如果两个主机相互配置为对等体则本地以太网交换机能同步到远程服务器远程服务器也能同步到本地服务器请在系统视图下进行下列配置

表7-2 配置NTP对等体模式

操作

配置NTP对等体模式取消NTP对等体模式

命令

ntp-service unicast-peer ip-address [ version number |

authentication-key keyid | source-interface { interface-name | interface-type interface-number } | priority ]* undo ntp-service unicast-peer ip-address

7-4

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

NTP版本号number范围是13缺省值为3身份验证密钥ID号keyid范围为14294967295接口interface-name或interface-type interface-number指定本地以太网交换机给对等体发送NTP消息时消息包中的源IP地址从该接口获取priority指定该对等体为优先选择的时间服务器3. 配置NTP广播服务器模式

指定本地以太网交换机上的一个接口来发送NTP广播消息包broadcast模式作为广播服务器周期性地发送广播消息到广播客户端请在VLAN接口视图下进行下列配置

表7-3 配置NTP广播服务器模式

操作

配置NTP广播服务器模式取消NTP广播服务器模式

命令

ntp-service broadcast-server

[ authentication-keyid keyed | version number ]* undo ntp-service broadcast-server

本地运行在

NTP版本号number范围是13缺省值为3身份验证密钥ID号keyid范围14294967295此命令必须在欲发送NTP广播消息包的接口下配置4. 配置NTP广播客户模式

指定本地以太网交换机上的某接口来接收NTP广播消息包式本地以太网交换机首先侦听来自服务器的广播消息包

并运行在广播客户模当接收到第一个广播消

继续侦听广

息包时本地以太网交换机为了估计网络延迟先启用一个短暂的client/server模式与远程服务器交换消息然后本地以太网交换机就进入广播客户模式播消息包的到来根据到来的广播消息包对本地时钟进行同步请在VLAN接口视图下进行下列配置

表7-4 配置NTP广播客户模式

操作

配置NTP广播客户模式取消NTP广播客户模式

命令

ntp-service broadcast-client undo ntp-service broadcast-client

此命令必须在欲接收NTP广播消息包的VLAN接口下配置 5. 配置NTP组播服务器模式

指定本地以太网交换机上的一个接口来发送NTP组播消息包本地运行在multicast模式作为组播服务器周期性地发送组播消息到组播客户端请在VLAN接口视图下进行下列配置

7-5

Quidway S3500系列以太网交换机操作手册系统管理

表7-5 配置NTP组播服务器模式

操作

配置NTP组播服务器模式取消NTP组播服务器模式

命令

第7章 NTP配置

ntp-service multicast-server [ ip-address ]

[ authentication-keyid keyid | ttl ttl-number | version number ]*

undo ntp-service multicast-server [ ip-address ]

NTP版本号number范围是13缺省值为3身份验证密钥ID号keyid范围14294967295224.0.1.1

此命令必须在欲发送NTP组播消息包的接口下配置 6. 配置NTP组播客户模式

指定本地以太网交换机上的接口来接收NTP组播消息包本地以太网交换机运行在组播客户模式

本地以太网交换机首先侦听来自服务器的组播消息包

当接收到第

一个组播消息包时

本地以太网交换机为了估计网络延迟先启用一个短暂的

组播包的生存期ttl-number范围为1

255

组播IP地址缺省为

client/server模式与远程服务器交换消息然后本地以太网交换机就进入组播客户模式继续侦听组播消息包的到来根据到来的组播消息包对本地时钟进行同步请在VLAN接口视图下进行下列配置

表7-6 配置NTP组播客户模式

操作

配置NTP组播客户模式取消配置NTP组播客户模式

命令

ntp-service multicast-client [ ip-address ] undo ntp-service multicast-client

组播IP地址ip-address缺省为224.0.1.1此命令必须在欲接收NTP组播消息包的接口下配置

7.2.2 配置NTP身份验证功能

启动NTP身份验证功能设置MD5身份验证密钥并指定可信密钥client只会同步到提供可信密钥的服务器不会与其同步

如果服务器提供的密钥不是可信的密钥

那么client

请在系统视图下进行下列配置

7-6

Quidway S3500系列以太网交换机操作手册系统管理

表7-7 配置NTP身份验证功能

操作

启动NTP身份验证功能停止NTP身份验证功能

命令

第7章 NTP配置

ntp-service authentication enable undo ntp-service authentication enable

7.2.3 设置NTP验证密钥

该配置任务用来设置NTP验证密钥请在系统视图下进行下列配置

表7-8 配置NTP验证密钥

操作

设置NTP验证密钥取消NTP验证密钥

命令

ntp-service authentication-keyid number authentication-mode md5 value

undo ntp-service authentication-keyid number

密钥编号number范围为14294967295密钥值value为132个ASCII码字符

7.2.4 设置指定密钥为可信密钥

该配置任务用来指定密钥是可信的请在系统视图下进行下列配置

表7-9 设置指定密钥为可信密钥

操作

指定密钥是可信的取消指定可信密钥

命令

ntp-service reliable authentication-keyid key-number undo ntp-service reliable authentication-keyid key-number

密钥编号key-number范围为14294967295

7.2.5 设置本地发送NTP消息的接口

指定本地发送所有NTP消息时消息包中的源IP地址都用一个特定IP地址该IP地址就是从所指定的接口上获取请在系统视图下进行下列配置

7-7

Quidway S3500系列以太网交换机操作手册系统管理

表7-10 设置本地发送NTP消息的接口

操作

设置本地发送NTP消息的接口取消设置本地发送NTP消息的接口

命令

第7章 NTP配置

ntp-service source-interface { interface-name | interface-type interface-number } undo ntp-service source-interface

接口由interface-name或interface-type interface-number确定消息包中的源IP地址从该接口获取如果ntp-service unicast-server或ntp-service unicast-peer中也指定了发送接口unicast-peer指定的为准

则以ntp-service unicast-server或ntp-service

7.2.6 设置NTP主时钟

该配置任务用来设置外部参考时钟或本地时钟作为NTP主时钟请在系统视图下进行下列配置

表7-11 设置外部参考时钟或本地时钟作为NTP主时钟操作

设置外部参考时钟或本地时钟作为NTP主时钟取消NTP主时钟设置

命令

ntp-service refclock-master [ ip-address ] [ stratum ] undo ntp-service refclock-master [ ip-address ]

ip-address是参考时钟IP地址127.127.1.u其中u的取值范围为03stratum用来指定本地时钟所处的层数范围为115当不指定IP地址时默认设置本地时钟为NTP主时钟用户可以指定NTP主时钟所处的层次数

7.2.7 设置禁止/允许接口接收NTP消息

该配置任务用来设置禁止或允许接口接收NTP消息请在VLAN接口视图下进行下列配置

表7-12 设置禁止/允许接口接收NTP消息操作

设置禁止接口接收NTP消息设置允许接口接收NTP消息

命令

ntp-service in-interface disable undo ntp-service in-interface disable

该配置任务必须在需要禁止接收NTP消息的接口下配置

7-8

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

7.2.8 设置对本地以太网交换机服务的访问控制权限

设置对本地以太网交换机NTP服务的访问控制权限这里提供了一种最小限度的安全措施

更安全的方法是进行身份验证

当有一个访问请求时

按照最小访问

到最大访问依次匹配以第一个匹配的为准匹配顺序为peerserverserver onlyquery only

请在系统视图下进行下列命令的操作

表7-13 设置对本地以太网交换机服务的访问控制权限操作

设置对本地以太网交换机服务的访问控制权限

取消设置对本地以太网交换机服务的访问控制权限

命令

ntp-service access { query | synchronization | server | peer } acl-number

undo ntp-service access { query | synchronization | server | peer }

IP地址访问列表标号acl-number范围为20002999query只允许对本地NTP服务进行查询

synchronization只允许对本地NTP服务进行时间请求

其它访问权限含义为

server可以对本地NTP服务进行时间请求和查询但本地时钟不会同步到远程服务器

peer既可以对本地NTP服务进行时间请求和查询本地时钟又可以同步到远程服务器

7.2.9 设置本地允许建立的动态sessions数目

该配置任务用来设置本地允许建立的动态sessions的数目请在系统视图下进行下列配置

表7-14 设置本地允许建立的动态sessions数目操作

设置本地允许建立的动态sessions数目恢复本地允许建立的动态sessions数目的缺省值

命令

ntp-service max-dynamic-sessions number undo ntp-service max-dynamic-sessions

缺省情况下本地允许建立的动态sessions数目为100

7-9

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

7.3 NTP显示与调试

在完成上述配置后在任意视图下执行display命令可以显示配置后NTP的运行情况

通过查看显示信息验证配置的效果

在用户视图下执行debugging命令可对NTP进行调试

表7-15 NTP显示与调试

操作

显示NTP服务的状态信息

显示NTP服务维护的sessions状态显示从本地设备回溯到参考时钟源的各个NTP时间服务器的简要信息打开NTP的调试开关

命令

display ntp-service status

display ntp-service sessions [ verbose ] display ntp-service trace debugging ntp-service

7.4 NTP典型配置举例

7.4.1 配置NTP服务器

1. 组网需求

Quidway1设置本地时钟作为NTP主时钟层数为2Quidway2以Quidway1作为时间服务器将其设为server模式持本地时钟作为主时钟的交换机 2. 组网图

自己为client模式

说明Quidway 1是支

Vlan-interface2:1.0.1.11Quidway11.0.1.2Vlan-interface2:1.0.1.12Quidway23.0.1.2Quidway0Vlan-interface2:3.0.1.31Quidway3Vlan-interface2:3.0.1.32Quidway4Vlan-interface2:3.0.1.33Quidway5...... 图7-2 NTP典型配置的组网图

7-10

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

3. 配置步骤

配置以太网交换机Quidway1# 进入系统视图

system-view

# 设置本地时钟作为NTP主时钟层数为2[Quidway1] ntp-service refclock-master 2 配置以太网交换机Quidway2# 进入系统视图

system-view # 设置Quidway1为时间服务器

[Quidway2] ntp-service unicast-server 1.0.1.11

以上配置将Quidway2向Quidway1进行时间同步同步前观察Quidway2的状态为

[Quidway2] display ntp-service status

Clock status: unsynchronized Clock stratum: 16

Reference clock ID: none Nominal frequency: 60.0002 Hz Actual frequency: 60.0002 Hz Clock precision: 2^17 Clock offset: -9.8258 ms Root delay: 27.10 ms Root dispersion: 49.29 ms Peer dispersion: 10.94 ms

Reference time: 19:21:32.287 UTC Oct 24 2004(C5267F3C.49A61E0C)

同步后观测Quidway2的状态为 [Quidway2] display ntp-service status

Clock status: synchronized Clock stratum: 3

Reference clock ID: 1.0.1.11 Nominal frequency: 60.0002 Hz Actual frequency: 60.0002 Hz Clock precision: 2^17 Clock offset: -9.8258 ms Root delay: 27.10 ms Root dispersion: 49.29 ms Peer dispersion: 10.94 ms

7-11

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

Reference time: 19:21:32.287 UTC Oct 24 2004(C5267F3C.49A61E0C)

此时Quidway2已经与Quidway1同步层数比Quidway1大1为3观察Quidway2的sessions情况

Quidway2与Quidway1建立了连接

[Quidway2] display ntp-service sessions

source

reference

stra reach poll now offset delay disper

******************************************************************** [12345]1.0.1.11 LOCAL(0) 3 377 16 -0.4 0.0 0.9 note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

7.4.2 配置NTP对等体举例

1. 组网需求

Quidway3设置本地时钟作为NTP主时钟层数为2Quidway4以Quidway3作为时间服务器将其设为server模式自己为client模式同时Quidway5将Quidway4设为对等体2. 组网图

说明Quidway 3是支持本地时钟作为主时钟的交换机

3. 配置步骤

配置以太网交换机Quidway3# 进入系统视图

system-view

# 设置本地时钟作为NTP主时钟层数为2[Quidway3] ntp-service refclock-master 2 配置以太网交换机Quidway4# 进入系统视图

7-12

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

system-view

# 设置Quidway3为时间服务器同步后层数为3 [Quidway4] ntp-service unicast-server 3.0.1.31 # 设置Quidway5为对等体

[Quidway4] ntp-service unicast-peer 3.0.1.33 配置以太网交换机Quidway5# 进入系统视图

(Quidway4已经向Quidway3同步后

system-view

# 本地同步后设置Quidway4为对等体 [Quidway5] ntp-service unicast-peer 3.0.1.32

以上配置将Quidway4和Quidway5配置为对等体Quidway5处于主动对等体模式Quidway4处于被动对等体模式由于Quidway5的层数为1而Quidway4的层数为3所以Quidway4向Quidway5同步同步后观测Quidway4的状态为 [Quidway4] display ntp-service status

Clock status: synchronized Clock stratum: 2

Reference clock ID: 3.0.1.31 Nominal frequency: 60.0002 Hz Actual frequency: 60.0002 Hz Clock precision: 2^17 Clock offset: -9.8258 ms Root delay: 27.10 ms Root dispersion: 49.29 ms Peer dispersion: 10.94 ms

Reference time: 19:21:32.287 UTC Oct 24 2004(C5267F3C.49A61E0C)

此时Quidway4已经与Quidway5同步层数比Quidway5大1为2观察Quidway4的sessions情况

Quidway4与Quidway5建立了连接

[Quidway4] display ntp-service sessions

source

reference

stra reach poll now offset delay disper

******************************************************************** [12345]3.0.1.33 LOCAL(0) 2 377 16 0.0 0.0 0.9 note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

7-13

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

7.4.3 配置NTP广播模式

1. 组网需求

Quidway3设置本地时钟作为NTP主时钟层数为2并从接口Vlan-interface2向外发送广播消息包设置Quidway4和Quidway1分别从各自的接口Vlan-interface2监听广播消息2. 组网图

说明Quidway 3是支持本地时钟作为主时钟的交换机

3. 配置步骤

配置以太网交换机Quidway3# 进入系统视图

system-view

# 设置本地时钟作为NTP主时钟层数为2[Quidway3] ntp-service refclock-master 2 # 进入接口Vlan-interface2视图 [Quidway3] interface vlan-interface 2 # 设置为广播服务器

[Quidway3-Vlan-Interface2] ntp-service broadcast-server 配置以太网交换机Quidway4# 进入系统视图

system-view # 进入接口Vlan-interface2视图 [Quidway4] interface vlan-interface 2

[Quidway4-Vlan-Interface2] ntp-service broadcast-client

7-14

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

配置以太网交换机Quidway1# 进入系统视图

system-view # 进入接口Vlan-interface2视图 [Quidway1] interface vlan-interface 2

[Quidway1-Vlan-Interface2] ntp-service broadcast-client

以上配置将Quidway4和Quidway1配置为从接口Vlan-interface2监听广播消息而Quidway3从接口Vlan-interface2发送广播消息包由于Quidway1与Quidway3不在相同的网段所以接收不到Quidway3发出的广播包而Quidway4接收到Quidway3发出的广播包后与其同步同步后观测Quidway4的状态为 [Quidway4] display ntp-service status

clock status: synchronized clock stratum: 3

reference clock ID: LOCAL(0) nominal frequency: 100.0000 Hz actual frequency: 100.0000 Hz clock precision: 2^17 clock offset: 0.0000 ms root delay: 0.00 ms root dispersion: 10.94 ms peer dispersion: 10.00 ms

reference time: 20::25.156 UTC Mar 7 2002(C0325201.2811A112)

此时Quidway4已经与Quidway3同步层数比Quidway3大1为3观察Quidway4的sessions情况

Quidway4与Quidway3建立了连接

[Quidway2] display ntp-service sessions

source

reference stra reach poll now offset delay disper LOCAL(0) 7 377 57 0.0 0.0 1.0 LOCAL(0) 3 0 - 0.0 0.0 0.0 0.0.0.0 16 0 - 0.0 0.0 0.0

[12345]127.127.1.0 [5]1.0.1.11

[5]128.108.22.44

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

7.4.4 配置NTP组播模式

1. 组网需求

Quidway3设置本地时钟作为NTP主时钟层数为2并从接口Vlan-interface2向外发送组播消息包设置Quidway4和Quidway1分别从各自的接口Vlan-interface2监听组播消息

说明Quidway 3是支持本地时钟作为主时钟的交换机

7-15

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

2. 组网图

3. 配置步骤

配置以太网交换机Quidway3# 进入系统视图

system-view

# 设置本地时钟作为NTP主时钟层数为2[Quidway3] ntp-service refclock-master 2 # 进入接口Vlan-interface2的视图

[Quidway3] interface vlan-interface 2 # 设置为组播服务器

[Quidway3-Vlan-Interface2] ntp-service multicast-server 配置以太网交换机Quidway4# 进入系统视图

system-view # 进入接口Vlan-interface2的视图

[Quidway4] interface vlan-interface 2 # 设置为组播客户模式

[Quidway4-Vlan-Interface2] ntp-service multicast-client 配置以太网交换机Quidway1# 进入系统视图

system-view # 进入接口Vlan-interface2的视图

7-16

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

[Quidway1] interface vlan-interface 2 # 设置为组播客户模式

[Quidway1-Vlan-Interface2] ntp-service multicast-client

以上配置将Quidway4和Quidway1配置为从接口Vlan-interface2监听组播消息而Quidway3从接口Vlan-interface2发送组播消息包由于Quidway1与Quidway3不在相同的网段所以接口不到Quidway3发出的组播包而Quidway4接收到Quidway3发出的组播包后与其同步

7.4.5 配置带身份验证的NTP服务器模式

1. 组网需求

Quidway1设置本地时钟作为NTP主时钟层数为2Quidway2以Quidway1作为时间服务器将其设为server模式

自己为client模式

同时加入身份验证

说

明Quidway 1是支持本地时钟作为主时钟的交换机2. 组网图

3. 配置步骤

配置以太网交换机Quidway1# 进入系统视图

system-view

# 设置本地时钟作为NTP主时钟层数为2[Quidway1] ntp-service refclock-master 2 配置以太网交换机Quidway2# 进入系统视图

system-view

7-17

Quidway S3500系列以太网交换机操作手册系统管理

第7章 NTP配置

# 设置Quidway1为时间服务器

[Quidway2] ntp-service unicast-server 1.0.1.11 # 启动身份验证

[Quidway2] ntp-service authentication enable # 设置密钥

[Quidway2] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定密钥为可信密钥

[Quidway2] ntp-service reliable authentication-keyid 42

[Qudiway2] ntp-service unicast-server 1.0.1.11 authentication-keyid 42

以上配置将Quidway2向Quidway1进行时间同步由于Quidway1没有启动身份验证所以Quidway2还是无法向Quidway1同步现在在Quidway1增加以下配置:

# 启动身份验证

[Quidway1] ntp-service authentication enable # 设置密钥

[Quidway1] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定密钥为可信密钥

[Quidway1] ntp-service reliable authentication-keyid 42

7-18

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

󰀉 说明

Quidway S3552F/S3552G/S3552P/3528G/3528P/S3526E/S3526E FM/S3526E FS/S3526C以太网交换机支持SSH特性

8.1 SSH终端服务

8.1.1 SSH简介

SSH是Secure Shell安全外壳的简称用户通过一个不能保证安全的网络环境远程登录到以太网交换机时SSH特性可以提供安全的信息保障和强大的认证功能以保护以太网交换机不受诸如IP地址欺诈明文密码截取等等攻击以太网交换机可以同时接受多个SSH客户的连接通道进行本地连接

SSH客户端的功能是允许用户与支持SSH

Server的以太网交换机UNIX主机等建立SSH连接如图8-1所示可以建立SSH

交换机目前支持的版本是SSH 1.5版本交换机作为SSH Server

1321运行SSH server的交换机 2

运行SSH client的PC 3

以太网类型的局域网

图8-1 在局域网内建立SSH通道

󰀉 说明

图中以太网端口所属的VLAN必须是已经创建了VLAN接口的VLAN同时VLAN接口上已经配置了IP地址

整个通讯过程中

服务器端与客户端经历如下五个阶段

版本号协商阶段密钥协

商阶段认证阶段会话请求阶段交互会话阶段完成实现SSH的认证安全连接

8-1

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

版本号协商阶段客户端向服务器端发送TCP连接请求TCP连接建立后服务器和客户端之间协商版本号经过协商如果服务器和客户端可以共同工作则进入密钥算法协商阶段如果服务器和客户端不能共同工作服务器端就会断开TCP连接

密钥协商阶段在本阶段服务器和客户端将会协商密钥算法计算会话密钥服务器端随机生成服务器端的RSA密钥然后将该密钥的公钥部分发送给客户端客户端以服务器端发送过来的公钥本地随机产生的随机数为参数计算出会话密钥同时将用于计算会话密钥的那部分随机数使用服务器端的公钥加密然后回送给服务器端服务器端使用服务器端的私钥对客户端回送回来的数据进行解密得到客户端的随机数然后以服务器端的公钥客户端回送的随机数为参数使用和客户端同样的算法计算出会话密钥这样会话密钥不用在网上传送服务器端和客户端就取得了相同的会话密钥两端进行会话时都使用会话密钥进行加密和解密保证了数据的安全本阶段完成后进入认证阶段

认证阶段在获取了会话密钥后服务器端将对客户端的用户进行认证客户端向服务器端发送自己的用户名信息如果服务器端配置了该用户并且配置了该用户不需要认证则直接进入会话请求阶段否则服务器会对该用户进行认证在服务器启动对用户进行认证后客户端将采用各种认证方法向服务器端进行认证直到认证通过或者服务器由于超时断开连接

SSH提供两种认证

方法口令认证和RSA认证口令认证就是服务器端对客户端发送过来的用户名和口令与本地配置的用户名和口令进行比较

二者完全匹配的则通过认

证RSA认证过程如下服务器端配置了客户端用户的RSA公钥客户端首先向服务器端发送自己RSA公钥的成员模数服务器端对成员模数进行有效性认证认证通过后产生一个随机数使用客户端的RSA公钥加密后发送给客户端服务器端和客户端都以此随机数和会话号作为参数计算出用于认证的数据客户端将自己计算出来的认证数据回送给服务器服务器端将客户端发送过来的认证数据和本地计算得到的认证数据进行比较如果二者相同而认证通过否则认证失败

会话请求阶段认证通过后客户端将向服务器端发送会话请求服务器端成功处理请求后SSH进入交互会话阶段

交互会话阶段客户端和服务器端进行数据交互直到双方结束会话

SSH对用户的会话报文进行了加密传送会话密钥是随机产生的会话密钥的交换过程也是加密进行的并且RSA保证了会话密钥不在网上传送即完成了客户端和服务器端口的密钥交换这样SSH最大限度的保证了客户端和服务器端之间的数据安

8-2

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

全同时如果客户端发送的用户名不存在端无法确定该用户是否存在

服务器端仍然会启动认证过程使客户

从而起到了保护用户名的作用

8.1.2 SSH服务器配置

SSH的基本配置是SSH客户端能够成功连接SSH服务器以太网交换机的必要配置SSH的高级配置是根据具体需要调整SSH连接参数的配置SSH的配置包括

z z z z z z z z

设置系统所支持的协议配置和销毁本地RSA密钥为SSH用户配置认证方式设置服务器密钥的更新时间设置SSH认证超时时间设置SSH认证重试次数进入公共密钥视图和编辑密钥为SSH用户分配公共密钥

1. 设置系统所支持的远程登录协议

启用SSH首先必须设置系统支持SSH远程登录协议请在用户界面视图下进行下列配置

表8-1 设置系统所支持的远程登录协议及最大连接数操作

设置系统所支持的远程登录协议及最大连接数

命令

protocol inbound { all | ssh | telnet }

系统缺省支持所有远程登录协议

注意

如果在该用户界面上配置支持的协议是SSH为确保登录成功请您务必配置相应

若配置认证方式为的认证方式为authentication-mode scheme

authentication-mode password和authentication-mode none则protocol inbound ssh配置结果将失败反之亦然如果某用户界面已经配置成支持SSH

则在此用户界面上authentication-mode password和协议

authentication-mode none的配置将失败

8-3

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

2. 配置和销毁本地RSA密钥

该配置任务用来产生本地RSA密钥如果此时已经有了RSA密钥系统提示是否替换原有密钥服务器密钥和主机密钥的最小长度为512位最大长度为2048位请在系统视图下进行下列配置

表8-2 配置和销毁本地RSA密钥

操作

产生本地RSA密钥销毁本地RSA密钥

命令

rsa local-key-pair create rsa local-key-pair destroy

注意

成功完成SSH登录的首要操作是配置并产生本地RSA密钥请您在进行其它SSH配置之前必须执行rsa local-key-pair create命令以生成本地密钥此命令只需执行一遍以太网交换机重启后不必再次执行

3. 为SSH用户配置认证方式

该配置任务用来为SSH用户指定认证方式对于新的用户必须指定认证方式否则无法登录

请在系统视图下进行下列配置

表8-3 为SSH用户配置认证方式

操作

为SSH用户配置认证方式取消指定用户的登录认证方式

命令

ssh user username authentication-type { password | rsa | all }

undo ssh user username authentication-type

如果配置为RSA认证方式则必须在交换机上配置客户端用户的RSA公钥即进行后面的78序号标示的配置

缺省情况下未指定用户的登录认证方式即无法登录4. 设置服务器密钥的更新时间

该配置任务用来设置服务器密钥的定时更新时间更大限度的保证系统的SSH连接的安全性

请在系统视图下进行下列配置

8-4

Quidway S3500系列以太网交换机操作手册系统管理

表8-4 设置服务器密钥的更新时间

操作

设置服务器密钥的更新时间恢复缺省的更新时间

第8章 SSH终端服务

命令

ssh server rekey-interval hours undo ssh server rekey-interval

系统缺省不对服务器密钥进行更新5. 设置SSH认证超时时间

该配置任务用来设置SSH的认证超时时间请在系统视图下进行下列配置

表8-5 设置SSH认证超时时间

操作

设置SSH认证超时时间恢复SSH默认的认证超时时间

命令

ssh server timeout seconds undo ssh server timeout

系统默认的认证超时时间为60秒 6. 设置SSH认证重试次数

该配置任务用来设置SSH用户请求连接的认证重试次数为

请在系统视图下进行下列配置

防止恶意猜测等非法行

表8-6 设置SSH认证重试次数

操作

设置SSH认证重试次数恢复SSH默认的认证重试次数

命令

ssh server authentication-retries times undo ssh server authentication-retries

系统默认的认证重试次数为37. 进入公共密钥视图编辑密钥

该配置任务用来进入公共密钥视图对客户端的公钥进行配置

8-5

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

󰀉 说明

本配置适用于对SSH用户采用RSA认证的情况在交换机端配置的是客户端SSH用户的RSA公钥而在客户端需要为该SSH用户指定与RSA公钥对应的RSA私钥

如果交换机上对SSH用户配置的认证方式为口令认证则不必进行本配置

请在系统视图下进行下列配置

表8-7 公共密钥配置

操作

进入公共密钥视图删除指定的公钥

命令

rsa peer-public-key key-name undo rsa peer-public-key key-name

使用rsa peer-public-key命令进入公共密钥编辑视图后使用public-key-code begin命令开始输入密钥数据输入密钥数据时字符之间可以有空格但系统将剔除所有空格需要注意的是所配置的公钥必须是按公钥格式编码的十六进制字符串使用public-key-code end命令结束公共密钥编辑并保存密钥在保存之前要进行密钥合法性的检测数据就全部无效

请在公共密钥视图下进行下列配置

如果用户配置的公钥字符串中存在非法字符

本次配置的密钥

表8-8 开始/结束公共密钥编辑

操作

进入公共密钥编辑视图结束公共密钥编辑视图

命令

public-key-code begin public-key-code end

8. 为SSH用户分配公共密钥

该配置任务用来为SSH用户分配一个已经存在的公钥请在系统视图下进行下列配置

表8-9 为SSH用户分配公钥

操作

为SSH用户分配公钥

删除用户与公钥之间的对应关系

命令

ssh user username assign rsa-key keyname undo ssh user username assign rsa-key

8-6

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

8.1.3 SSH客户端配置

SSH客户端软件有很多例如PuTTYFreeBSD等SSH客户端要与服务器建立连接在客户端上需要做连接的基本配置一般来说客户端需要的基本配置包括

z z

指定服务器IP地址

通常客户端可以同上支持多种远程连接协议

如

选择远程连接协议为SSH

TelnetRloginSSH等要建立SSH连接必须选择远程连接协议为SSH

选择SSH版本一般客户端都提供多种SSH版本选择由于交换机目前支持的版本是SSH Server 1.5版本客户端必须选择1.5或1.5以下版本

指定RSA私钥文件如果在服务器端配置了SSH用户采用RSA认证就必须在客户端指定RSA私钥文件RSA密钥包括公钥和私钥密钥文件一般是由客户端软件附带的工具生成的其中公钥用来配置到服务器以太网交换机中

私钥应用在客户端中

下面以第三方客户端软件PuTTY为例说明SSH客户端的配置方法1. 指定服务器IP地址

打开PuTTY程序出现如下客户端配置界面

图8-2 SSH客户端配置界面1

在Host Nameor IP address达

如10.110.28.10

文本框中输入以太网交换机IP地址以太网交

换机中任意一个协议up的接口的IP地址但要求与SSH客户端主机的路由可

8-7

Quidway S3500系列以太网交换机操作手册系统管理

第8章 SSH终端服务

2. 选择远程连接协议为SSH

如上图在Protocol选择栏中选择SSH3. 选择SSH版本

单击SSH客户端配置界面左边目录项中的SSH

出现如下界面