『运行状态』可以查看设备运行的基本信息,包括系统信息、设备信息、端口状态等信息。
1.2.1MAC地址表
交换机内有一张MAC 地址表,用于指导单播报文的数据转发。MAC 地址表记录了MAC 地址、所属 VLAN ID 和接口之间的对应关系。转发数据时,交换机根据单播数据的目的MAC 地址查找地址表,如果在 MAC 地址表中查不到相应的条目,则把该单播数据广播, 即向接收端口所在 VLAN 内的所有端口转发;如果查找到了对应的条目,交换机就把该单播数据向 MAC 地址表中对应的端口转发。
1.2.2组播地址表
交换机内有一张组播地址表,用于指导组播数据转发。组播地址表记录了 MAC 地址、所属VLAN ID 和接口之间的对应关系。转发数据时,交换机根据组播数据的目的组播地址查找组播地址表,如果在组播地址表中查不到相应的条目,则把该组播数据广播,即向接收端口所在 VLAN 内的所有端口转发;如果能查找到对应的条目,则目的地址应该是一组端口列表,于是交换机把这个组播数据复制成多份,每份转发到一个端口,从而完成组播数据的交换。
『路由状态』显示当前系统已运行的路由信息。
该页面可以观察到 NAC 作为 DHCP 服务器时,对外分配 IP 地址的分配情况:包括了IP 地址、计算机名、MAC 地址、获取租约时间,租约过期时间。
缺省情况下,ACL 策略一旦被应用到业务模块后是一直生效的。通过定义生效时间段,并将时间段与 ACL 规则关联,可以使 ACL 规则在某段时间计划范围内生效,从而达到使用基于时间的 ACL 策略来控制业务的目的。
默认的时间计划有全天,上班时间与下班时间,用户可以新增自定义单次时间计划和循 环时间计划。
单次时间计划用于创建一次性的,无重复的时间计划,例如:元旦假期:2019 年 1 月 1日 00:00 至 2019 年 1 月 3 日 23:30。
循环时间计划适用于以周为单位,重复性的时间计划,例如:上班时间:星期一至星期 五 09:00-12:00;星期一至星期五 14:00-18:00。
配置交换机物理口的属性,包括接口名称,描述,协商速率以及 VLAN 属性。交换机支持 PoE 供电的话,还可以配置物理接口的 PoE 属性。
3.1.1编辑单个端口
点击单个端口名称,在弹出的页签中可进行接口类型切换与 VLAN 等配置的修改。
流量控制
网络拥塞易引发丢包,流量控制是一种防止出现丢包现象的技术。配置流量控制功能后, 如果本端设备发生拥塞,它将向对端设备发送消息,通知对端设备暂时停止发送报文。对端设备在接收到该消息后,无论其接口工作速率高低,都将暂时停止向本端发送报文,避免拥塞。
风暴抑制
为了限制进入接口的广播、未知组播或未知单播类型报文的速率,避免设备受到大的流 量冲击,可以在该接口上配置对应报文类型的风暴控制功能。
高级选项
用于调整端口速率以及 MTU(调整范围 1518-9192)。
3.1.2批量编辑端口
勾选需要批量修改的端口,然后点击批量编辑进行配置,即可对选中的端口进行批量处理,可编辑的配置同单个端口配置。
端口镜像是指设备复制一份从镜像端口流经的报文,并将此报文传送到指定的观察端口 进行分析和监控。
模式
常用的端口镜像模式包括入方向、出方向、出方向和入方向三种。入方向是指端口收到 的报文,出方向是指端口发出的报文,入方向和出方向是指流经端口的所有报文。
源端口
源端口是镜像端口,即报文流经的端口。一条策略可以选择多个源端口。
目的端口
目的端口是观察端口,即报文重新发送至的指定端口。可以选择单个端口或者聚合口。 目的端口仅能选择一个。
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的 LAN 在逻辑上划分成多个广播域的通信技术。VLAN 内的主机间可以直接通信,而 VLAN 间不能直接互通, 从而将广播报文限制在一个 VLAN 内。
通过配置 VLANIF 接口、子接口方式可以实现 VLAN 间的通信。
域名系统 DNS(Domain Name System)是一种用于 TCP/IP 应用程序的分布式数据库, 提供域名与 IP 地址之间的转换服务。
域名系统解决了 IP 地址信息不便于记忆这一问题。用户进行访问网络主机操作时,可以直接使用便于记忆的、有意义的域名,由网络中的域名解析服务器将域名解析为正确的 IP 地址。
如果启用了 DNS 代理,客户端的 DNS 服务器可以指向交换机。交换机接收到 DNS 请求后,会转发到这里设置的外部 DNS 服务器解析。
DHCP 服务可以为自动获取 IP 地址的终端分配 IP 地址,支持所有三层接口(物理口、聚合口、vlan 接口、vrrp 接口)且支持在一个接口上分配不同网段 IP。三层接口通过引用DHCP 策略可以生效 DHCP 服务。
4.3.1 DHCP 策略
配置如何为终端分配 IP 地址的策略,支持根据 DHCP 终端的信息、用户属性、Option82 等为其分配不同网段的 IP,或将其 DHCP 请求转发至外部不同的 DHCP 服务器。
4.3.2 地址池管理
配置 DHCP 地址池,多个地址池可以被同一个策略引用。
链路聚合(Link Aggregation)是将多条物理链路捆绑在一起成为一条逻辑链路,从而增加链路带宽的技术。
根据是否启用链路聚合控制协议LACP,链路聚合分为手工负载分担模式和LACP 模式。
『防环路配置』可进行生成树及环路检测的配置。端口上只能启用其中一种防环路配置。
5.2.1生成树
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及 MAC 地址表不稳定等故障现象, 从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议 STP(Spanning Tree Protocol)。
在生成树协议中,MSTP 兼容 RSTP、STP,RSTP 兼容 STP。
5.2.2环路检测
环路检测机制可发现某个端口下的环路,并通知用户检查网络连接和配置情况,以避免对整个网络造成严重影响。
环路处理动作
环路处理动作是指发现二层网络中的环路以后所采取的处理方式,常用方式包括阻塞端 口、关闭端口、退出环路 vlan。
环路检测间隔
环路检测间隔是环路检测报文的发送时间间隔,通过环路检测报文来确定各端口是否出 现环路、以及存在环路的端口上是否已消除环路等。
自动恢复时间
当设备检测到某端口出现环路后,若在一定环路检测时间间隔内仍未收到环路检测报 文,就认为该端口上的环路已消除,自动将该端口恢复为正常转发状态。
目的 MAC 地址
环路检测报文的目的 MAC 地址默认为广播地址,用户可根据实际需要进行配置。
设备通过源 MAC 地址学习自动建立 MAC 地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。为了提高安全性,网络管理员可手工在 MAC 地址表中加入特定MAC 地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
为了避免 MAC 地址表项爆炸式增长,可以手工配置动态 MAC 表项的老化时间(默认为 300s)。老化时间越短,路由器对周边的网络变化越敏感,适合在网络拓扑变化比较频繁的环境;老化时间越长,路由器对周边的网络变化越不敏感,适合在网络拓扑比较稳定的环境。
当需要配置的静态 MAC 表项较多,并且静态 MAC 表项中 MAC 地址与端口在同一二层环境时,可以采用自动扫描与绑定方式批量配置。
静态路由是一种需要管理员手工配置的特殊路由。可支持配置 IPv4 和 IPv6 静态路由。
当网络结构比较简单时,只需配置静态路由就可以使网络正常工作;在复杂网络环境中,配置静态路由可以改进网络的性能,并可为重要的应用保证带宽。
支持创建静态路由时,启用链路检测,包括 BFD 检测与 PING 检查,配置链路检测可见高可用性-链路检测。
在创建相同目的地址的多条静态路由时,支持创建静态路由时,启用链路检测并备份配 置备份链路,实现路由备份。
IGMP Snooping 即组播侦听功能,可以实现组播数据在数据链路层的转发和控制。当主机和上游三层设备之间传递的 IGMP 协议报文通过二层组播设备时,IGMP Snooping 分析报文携带的信息,根据这些信息建立和维护二层组播转发表,从而指导组播数据在数据链路层 按需转发,减少二层网络中的广播报文,节约网络带宽,增强组播信息的安全性。
版本号
IGMPv1 主要基于查询和响应机制来完成对组播组成员的管理。与 IGMPv1 相比, IGMPv2 增加了查询器选举机制和离开组机制。IGMPv3 在兼容和继承 IGMPv1 和 IGMPv2 的基础上,进一步增强了主机的控制能力,并增强了查询和报告报文的功能。
查询间隔
查询间隔是指查询者发送普遍组查询报文之间的时间间隔。普遍组查询报文用于向与其 连接的所有子网进行轮询来发现是否有组员存在。
健壮系数
查询器的健壮系数是为了弥补可能发生的网络丢包而设置的报文重传次数。
源 IP 地址
用户可根据实际需要配置查询器的源 IP 地址,从而建立数据链路层组播转发表项,进行组播数据转发。
QoS(Quality of Service)即服务质量,是指网络通信过程中,允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。
8.2.1流量管理
流量管理功能包括重标记、流量监管、流镜像、重定向等。
重标记
通过设置报文的优先级或标志位,重新定义报文的优先级。
流量监管
通过监控进入网络的流量速率,将输入流量限制在一个合理范围内。
流镜像
将镜像端口上特定业务流的报文复制到观察端口进行分析和监控。
重定向
将符合流分类的报文流重定向到其他端口进行处理。
8.2.2流量整形
流量整形是一种主动调整流量输出速率的措施,对上游输入的不规整流量进行缓冲,使 流量输出趋于平稳,从而解决下游设备的拥塞问题。
8.2.3优先级映射
优先级映射实现从 COS 优先级到 DSCP 优先级之间的映射,设备可根据优先级提供有差别的 QoS 服务。
8.2.4拥塞管理
当时延敏感业务要求得到比非时延敏感业务更高质量的 QoS 服务,且网络中间歇性的出现拥塞,此时需要进行拥塞管理。拥塞管理一般采用排队技术,使用不同的调度算法来发 送队列中的报文流。常用调度模式包括严格优先模式、轮询模式、加权轮询模式、严格优先+加权轮询模式和差分加权轮询模式。
常用优先级信任模式包括信任报文优先级和信任端口优先级。信任报文优先级是指直接 根据报文携带的报文优先级来转发数据,信任端口优先级分两种情况:
DHCP 安全是针对 DHCP 攻击的一种安全特性,它通过一系列对 DHCP 报文处理的限制、检查等措施来保证网络设备的安全性。
8.3.1DHCP 欺骗防御
DHCP 欺骗攻击,网络中如果存在私自架设的 DHCP Server 仿冒者,则可能导致 DHCP户端获取错误的 IP 地址和网络配置参数,无法正常通信。
DHCP Snooping 信任功能可以控制 DHCP 服务器应答报文的来源,以防止网络中可能存在的 DHCP Server 仿冒者为 DHCP 客户端分配 IP 地址及其他配置信息。
8.4.1端口隔离
采用端口隔离特性,可以实现报文之间的二、三层隔离,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
单向隔离是指从“源端口”发送的报文不能到达“目的端口”,但从“目的端口”发送的报文可以到达“源端口”。
双向隔离是指隔离组内的任一端口发送的报文不能到达隔离组内的其他端口,但可以到达隔离组外的其他端口。
8.4.2MAC 表项限制
一些安全性较差的网络容易受到黑客的 MAC 地址攻击,由于 MAC 地址表的容量是有限的,当黑客伪造大量源 MAC 地址不同的报文并发送给交换机后,交换机的 MAC 表项资源就可能被耗尽。当 MAC 表被填满后,即使它再收到正常的报文,也无法学习到报文中的源 MAC 地址。配置限制 MAC 地址学习数,当超过限制数时不再学习 MAC 地址,同时可以配置当 MAC 地址数达到限制后对报文采取的动作,从而防止 MAC 地址表资源耗尽,提高网络安全性。
处理动作为丢弃数据包时,如果端口上的 MAC 地址数量超过限制,交换机不再学习新的 MAC 地址并且不再转发处理新 MAC 的数据包;处理动作为转发数据报文时,如果端口上的 MAC 地址数量超过限制,交换机不再学习新的 MAC 地址,但还会转发处理新 MAC 的数据包。
9.1.1系统选项
可进行 HTTP 端口、设备名称、控制台超时、语言等配置修改
9.1.2日期时间
用于交换机的系统日期时间设定。可通过 NTP 服务器进行时间同步。
9.2.1管理员账号
系统内置的超级管理员,具备系统的所有管理权限。为了提高系统的安全性,避免未授 权用户登陆管理系统,建议为超级管理员设置一个高强度的密码。
9.2.2普通账号
可为系统设置多个普通账号,并分别为每个普通账号设置权限。普通用户可通过此账号 登录系统,在授权范围内进行操作。
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过 snmp 协议查询本设备系统信息,如设备型号,内存使用, 硬盘使用率,cpu 消耗等。
9.3.1SNMP
SNMP v1/v2
SNMP 的第一版本和第二版本。它们都是基于团体名进行报文认证。
SNMP v3
SNMP 的第三版本。
此版本提供重要的安全性功能,其中就包括了认证和加密两项。
认证需要提供认证方式(MD5,SHA)和认证密码。
加密需要提供加密方式(DES)和加密密钥。
9.3.2SNMP Traps
SNMP Trap 又称 SNMP 陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到的管理端轮询后再发送。需要配置管理端的 IP 地址和端口,以及团体名。支持向多个管理端发送信息。
10.1.2 安全日志
记录所有的检测到的异常事件,并记录检测到的结果。
10.1.3远程日志
可开启远程日志功能,协助发现及排除故障。
可选择检测端口,对线对、线路状态、线路长度、出错长度进行检测,查看检测结果。
支持.img 的包升级。
注意:当前不提供 img 包升级方式,需通过升级客户端加载 ssu 包升级。
允许用户通过 ssh、telnet 方式连接到本设备上进行调试。
系统中保存了大量的配置信息,包括各功能模块设置,用户账号等关键信息,因此定期 对设备执行备份操作是一个良好的管理习惯。
在以下情况下,可以考虑从最近备份的配置中恢复系统,以尽快恢复您的网络,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误配置了某些基础功能
提供可直接操作 ap 设备的调试命令,用于排除问题。支持命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序traceroute 跟踪数据包转发路径
ping 测试主机地址连通
route 显示路由表
arp 显示 ARP 表
interface 查看网口信息
dns 查看域名服务器
vlan 查看网口 VLAN 信息
tcpconnect 测试 TCP 端口连通性
udpconnect 测试 UDP 端口连通性
