『运行状态』可以查看设备运行的基本信息,包括系统信息、设备信息、端口状态等信息。
1.1.1系统信息
显示当前系统时间,已运行的时间、系统版本及硬件型号。
1.1.2设备信息
显示当前交换机的MAC地址及支持PoE的交换机的PoE功耗信息。
1.1.3端口状态
显示当前系统每个端口状态及端口信息。
『地址表』可以查看MAC地址表、ARP地址表、组播地址表、组播报文统计等信息。
1.2.1MAC地址表
交换机内有一张MAC地址表,用于指导单播报文的数据转发。MAC地址表记录了MAC地址、所属VLAN ID和接口之间的对应关系。转发数据时,交换机根据单播数据的目的MAC地址查找地址表,如果在MAC地址表中查不到相应的条目,则把该单播数据广播,即向接收端口所在VLAN内的所有端口转发;如果查找到了对应的条目,交换机就把该单播数据向MAC地址表中对应的端口转发。
1.2.2ARP地址表
交换机内有一张ARP地址表,用于记录主机的IP地址与MAC地址的对应关系。主要负责根据主机的IP地址解析MAC地址。
1.2.3组播地址表
交换机内有一张组播地址表,用于指导组播数据转发。组播地址表记录了MAC地址、所属VLAN ID和接口之间的对应关系。转发数据时,交换机根据组播数据的目的组播地址查找组播地址表,如果在组播地址表中查不到相应的条目,则把该组播数据广播,即向接收端口所在VLAN内的所有端口转发;如果能查找到对应的条目,则目的地址应该是一组端口列表,于是交换机把这个组播数据复制成多份,每份转发到一个端口,从而完成组播数据的交换。
『路由状态』显示当前系统已运行的路由信息、OSPF状态与RIP状态。
该页面可以观察到NAC作为DHCP服务器时,对外分配IP地址的分配情况:包括了IP地址、计算机名、MAC地址、获取租约时间,租约过期时间:
缺省情况下,ACL策略一旦被应用到业务模块后是一直生效的。通过定义生效时间段,并将时间段与ACL规则关联,可以使ACL规则在某段时间计划范围内生效,从而达到使用基于时间的ACL策略来控制业务的目的。
默认的时间计划有全天,上班时间与下班时间,用户可以新增自定义单次时间计划和循环时间计划。
单次时间计划用于创建一次性的,无重复的时间计划,例如:元旦假期:2022年1月1日 00:00 至 2022年1月3日 23:30。
循环时间计划适用于以周为单位,重复性的时间计划,例如:上班时间:星期一至星期五09:00-12:00;星期一至星期五14:00-18:00。
配置交换机物理口的属性,包括接口名称,描述,协商速率以及VLAN属性。交换机支持PoE供电的话,还可以配置物理接口的PoE属性。
3.1.1编辑单个端口
点击单个端口名称,在弹出的页签中可进行接口类型切换与VLAN等配置的修改。
PoE属性
用于开启或关闭该端口的PoE功能。
流量控制
网络拥塞易引发丢包,流量控制是一种防止出现丢包现象的技术。配置流量控制功能后,如果本端设备发生拥塞,它将向对端设备发送消息,通知对端设备暂时停止发送报文。对端设备在接收到该消息后,无论其接口工作速率高低,都将暂时停止向本端发送报文,避免拥塞。
风暴抑制
为了限制进入接口的广播、未知组播或未知单播类型报文的速率,避免设备受到大的流量冲击,可以在该接口上配置对应报文类型的风暴控制功能。
高级选项
用于调整端口速率以及Jumbo Frame(调整范围1518-9192)。
3.1.2批量编辑端口
勾选需要批量修改的端口,然后点击批量编辑进行配置,即可对选中的端口进行批量处理,可编辑的配置同单个端口配置。
3.1.3Mgmt口配置
交换机的MGMT口配置,部分型号设备支持配置单独的网口以便于管理设备。
端口镜像是指设备复制一份从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。
模式
常用的端口镜像模式包括入方向、出方向、出方向和入方向三种。入方向是指端口收到的报文,出方向是指端口发出的报文,入方向和出方向是指流经端口的所有报文。
源端口
源端口是镜像端口,即报文流经的端口。一条策略可以选择多个源端口。
目的端口
目的端口是观察端口,即报文重新发送至的指定端口。可以选择单个端口或者聚合口。目的端口仅能选择一个。
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
通过配置VLANIF接口、子接口方式可以实现VLAN间的通信。
域名系统DNS(Domain Name System)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换服务。
域名系统解决了IP地址信息不便于记忆这一问题。用户进行访问网络主机操作时,可以直接使用便于记忆的、有意义的域名,由网络中的域名解析服务器将域名解析为正确的IP地址。
如果启用了DNS代理,客户端的DNS服务器可以指向交换机。交换机接收到DNS请求后,会转发到这里设置的外部DNS服务器解析。
Loopback接口创建后除非手工关闭该接口,否则Loopback接口物理层状态和链路层协议永远处于UP状态,用户可通过配置Loopback接口达到提高网络可靠性的目的。
DHCP服务可以为自动获取IP地址的终端分配IP地址,支持所有三层接口(物理口、聚合口、vlan接口、vrrp接口)且支持在一个接口上分配不同网段IP。三层接口通过引用DHCP策略可以生效DHCP服务。
4.4.1DHCP策略
配置如何为终端分配IP地址的策略,支持根据DHCP终端的信息、用户属性、Option82等为其分配不同网段的IP,或将其DHCP请求转发至外部不同的DHCP服务器。
4.4.2地址池管理
配置DHCP地址池,多个地址池可以被同一个策略引用。
静态ARP表项不会被老化,不会被动态ARP表项覆盖,因此配置静态ARP表项可以增加通信的安全性。
当老化时间(默认1200s)超时后,设备会清除动态ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新生成动态ARP表项,如此循环重复。
用户可以通过手工方式或者自动扫描与绑定的方式配置静态ARP表项:当需要配置的静态ARP表项较少时,可以采用手工方式新增或删除;当需要配置的静态ARP表项较多,并且静态ARP表项中IP地址与VLANIF接口的IP地址在同一网段时,可以采用自动扫描与绑定方式批量配置。
链路聚合(Link Aggregation)是将多条物理链路捆绑在一起成为一条逻辑链路,从而增加链路带宽的技术。
根据是否启用链路聚合控制协议LACP,链路聚合分为手工负载分担模式和LACP模式。
『防环路配置』可进行生成树及环路检测的配置。端口上只能启用其中一种防环路配置。
5.2.1生成树
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议STP(Spanning Tree Protocol)。
在生成树协议中,MSTP兼容RSTP、STP,RSTP兼容STP。
5.2.2环路检测
环路检测机制可发现某个端口下的环路,并通知用户检查网络连接和配置情况,以避免对整个网络造成严重影响。
环路处理动作
环路处理动作是指发现二层网络中的环路以后所采取的处理方式,常用方式包括阻塞端口、关闭端口、退出环路vlan。
环路检测间隔
环路检测间隔是环路检测报文的发送时间间隔,通过环路检测报文来确定各端口是否出现环路、以及存在环路的端口上是否已消除环路等。
自动恢复时间
当设备检测到某端口出现环路后,若在一定环路检测时间间隔内仍未收到环路检测报文,就认为该端口上的环路已消除,自动将该端口恢复为正常转发状态。
目的MAC地址
环路检测报文的目的MAC地址默认为广播地址,用户可根据实际需要进行配置。
配置Voice VLAN,交换机可识别语音流,对其进行有针对性的QoS保障,当网络发生拥塞时可以优先保证语音流的传输。
在电话通过DHCP获取IP的情况下,当电话开启LLDP功能接入时可以感知端口上voice-vlan变化,能够在voice-vlan发生变化时同步发起DHCP请求,获取新的IP地址;当电话不开启LLDP功能接入时无法感知端口上voice-vlan变化,需要等待IP地址租期到期时才会发送续租请求,进而获取新的IP地址。
基于MAC地址划分VLAN不需要关注终端用户的物理位置,提高了终端用户的安全性和接入的灵活性。
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
为了避免MAC地址表项爆炸式增长,可以手工配置动态MAC表项的老化时间(默认为300s)。老化时间越短,路由器对周边的网络变化越敏感,适合在网络拓扑变化比较频繁的环境;老化时间越长,路由器对周边的网络变化越不敏感,适合在网络拓扑比较稳定的环境。
当需要配置的静态MAC表项较多,并且静态MAC表项中MAC地址与端口在同一二层环境时,可以采用自动扫描与绑定方式批量配置。
静态路由是一种需要管理员手工配置的特殊路由。可支持配置IPv4和IPv6静态路由。
当网络结构比较简单时,只需配置静态路由就可以使网络正常工作;在复杂网络环境中,配置静态路由可以改进网络的性能,并可为重要的应用保证带宽。
支持创建静态路由时,启用链路检测,包括BFD检测与PING检查,配置链路检测可见高可用性-链路检测。
在创建相同目的地址的多条静态路由时,支持创建静态路由时,启用链路检测并备份配置备份链路,实现路由备份。
策略路由是一种依据用户制定的策略进行路由选择的机制。设备配置策略路由后,若接收的报文(包括二层报文)匹配策略路由的规则,则按照规则转发;若匹配失败,则根据目的地址按照正常转发流程转发。
支持使用ACL作为策略路由的分类规则,配置相应的ACL实现可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
通过配置策略路由与链路检测联动可以为策略路由提供检测机制,配置完以后,当重定向下一跳对应的链路发生故障的时候,重定向下一跳会因为链路检测失败而立即失效,而不需要等待ARP表项老化。这样就可以达到缩短通信中断时间,提高服务质量的目的。
支持通过配置策略路由的优先级实现路由选择的优先顺序。
RIP主要应用于规模较小的网络中,例如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP协议。支持V1和V2版本。
OSPF(Open Shortest Path First,开放最短路径优先)是 IETF(Internet Engineering Task Force,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对 IPv4 协议使用的是OSPF Version 2。
对于相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但这些路由并不都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。为了判断最优路由,各路由协议(包括静态路由)都被赋予了一个优先级,当存在多个路由信息源时,具有较高优先级(取值较小)的路由协议发现的路由将成为最优路由,并将最优路由放入本地路由表中。
支持手工为各路由协议配置的优先级,包含静态路由优先级、RIP协议优先级和OSPF协议优先级。
IGMP Snooping即组播侦听功能,可以实现组播数据在数据链路层的转发和控制。当主机和上游三层设备之间传递的IGMP协议报文通过二层组播设备时,IGMP Snooping分析报文携带的信息,根据这些信息建立和维护二层组播转发表,从而指导组播数据在数据链路层按需转发,减少二层网络中的广播报文,节约网络带宽,增强组播信息的安全性。
版本号
IGMPv1 主要基于查询和响应机制来完成对组播组成员的管理。与IGMPv1 相比,IGMPv2 增加了查询器选举机制和离开组机制。IGMPv3 在兼容和继承IGMPv1 和IGMPv2 的基础上,进一步增强了主机的控制能力,并增强了查询和报告报文的功能。
查询间隔
查询间隔是指查询者发送普遍组查询报文之间的时间间隔。普遍组查询报文用于向与其连接的所有子网进行轮询来发现是否有组员存在。
健壮系数
查询器的健壮系数是为了弥补可能发生的网络丢包而设置的报文重传次数。
源IP地址
用户可根据实际需要配置查询器的源 IP 地址,从而建立数据链路层组播转发表项,进行组播数据转发。
ACL(Access Control List)即访问控制列表,是一个有序的规则的集合,通过匹配报文中信息与规则中参数来对数据包进行分类,并执行规则对应的动作。
源/目的IP地址
支持使用以太网帧的源IP地址(地址段)或目的IP地址(地址段)来定义ACL规则。
源/目的MAC地址
支持使用以太网帧的源MAC地址或目的MAC地址来定义ACL规则。
VLAN ID
支持使用以太网帧的VLAN ID来定义ACL规则。
二层/三层协议
支持使用二层/三层网络协议来定义ACL规则,包括ARP、RARP、ICMP、TCP、UDP、IGMP、IP、OSPF等协议。
时间计划
时间计划是指ACL规则生效的时间段,表示仅在指定时间段内按该规则过滤。
QoS(Quality of Service)即服务质量,是指网络通信过程中,允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。
8.2.1流量管理
流量管理功能包括重标记、流量监管、流镜像、重定向等。
重标记
通过设置报文的优先级或标志位,重新定义报文的优先级。
流量监管
通过监控进入网络的流量速率,将输入流量限制在一个合理范围内。
流镜像
将镜像端口上特定业务流的报文复制到观察端口进行分析和监控。
重定向
将符合流分类的报文流重定向到其他端口进行处理。
8.2.2流量整形
流量整形是一种主动调整流量输出速率的措施,对上游输入的不规整流量进行缓冲,使流量输出趋于平稳,从而解决下游设备的拥塞问题。
8.2.3优先级映射
优先级映射实现从COS优先级到DSCP优先级之间的映射,设备可根据优先级提供有差别的QoS服务。
8.2.4拥塞管理
当时延敏感业务要求得到比非时延敏感业务更高质量的 QoS 服务,且网络中间歇性的出现拥塞,此时需要进行拥塞管理。拥塞管理一般采用排队技术,使用不同的调度算法来发送队列中的报文流。常用调度模式包括严格优先模式、轮询模式、加权轮询模式、严格优先+加权轮询模式和差分加权轮询模式。
常用优先级信任模式包括信任报文优先级和信任端口优先级。信任报文优先级是指直接根据报文携带的报文优先级来转发数据,信任端口优先级分两种情况:
1.当入口报文不带802.1p优先级,设备将使用端口优先级,根据此优先级查找802.1p优先级到内部优先级映射表,然后为报文标记内部优先级。
2.当入口报文携带802.1p优先级,此时按报文携带的802.1p优先级,查找802.1p优先级到内部优先级映射表,然后为报文标记内部优先级。
ARP安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
8.3.1ARP泛洪防御
ARP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
报文限速
通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
仅学习本机的ARP请求应答
只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。
免费ARP报文主动丢弃
设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。
限制端口可学习的ARP表项数量
设备接口只能学习到设定的最大动态ARP表项数目。这可以防止当一个接口所接入的某一台用户主机发起ARP攻击时整个设备的ARP表资源都被耗尽。
8.3.2ARP欺骗防御
ARP欺骗攻击是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:
1、会造成网络连接不稳定,引发用户通信中断。
2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。
ARP表项更新检查
设备在第一次学习到ARP之后,用户更新此ARP表项时通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。
ARP报文合法性校验
通过检查报文中的IP地址、MAC地址,直接丢弃非法的ARP报文,避免非法用户伪造ARP报文,刻意的进行ARP攻击。
基于DHCP的ARP绑定关系检测(DAI)
当设备收到ARP报文时,将此ARP报文的源IP、源MAC(Media Access Control)、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。本功能仅适用于DHCP Snooping(Dynamic Host Configuration Protocol Snooping)场景。
网关防欺骗
丢弃源IP地址为网关设备IP地址的ARP报文,防止攻击者仿冒网关,建议在网关设备上开启。
告警及处理方式
发生告警或欺骗时进行一些惩罚动作,并通过短信或APP通知管理员及时进行处理。
DHCP安全是针对DHCP攻击的一种安全特性,它通过一系列对DHCP报文处理的限制、检查等措施来保证网络设备的安全性。
8.4.1DHCP泛洪防御
DHCP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在以下几种场景:
1、非法用户在短时间内发送大量DHCP报文,使DHCP Server无法正常处理报文,从而无法为客户端分配IP地址。
2、非法用户通过恶意申请IP地址,使DHCP服务器中的IP地址快速耗尽, 无法为合法用户再分配IP地址。
3、已获取到IP地址的合法用户通过向服务器发送DHCP Request报文用以续租IP地址。非法用户冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,导致到期的IP地址无法正常回收,新的合法用户不能再获得IP地址。
4、已获取到IP地址的合法用户通过向服务器发送DHCP Release报文用以释放IP地址。非法用户仿冒合法用户向DHCP Server发送DHCP Release报文,使合法用户异常下线。
报文限速
通过DHCP报文限速功能,可以防止设备因处理大量DHCP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
限制端口可申请的IP地址数量
限制用户接入数。当用户数达到指定值时,任何用户将无法通过此接口申请到IP地址。
DHCP续租报文合法性检查
在DHCP Server为客户端分配IP地址过程中,根据DHCP报文生成DHCP Snooping绑定表,该绑定表记录MAC地址、 IP地址、租约时间、 VLAN ID、接口等信息,然后通过DHCP报文与绑定表的合法性检查,丢弃非法报文, 防止DHCP报文仿冒攻击。
8.4.2DHCP欺骗防御
DHCP欺骗攻击,网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。
DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息
8.5.1端口隔离
采用端口隔离特性,可以实现报文之间的二、三层隔离,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
单向隔离是指从“源端口”发送的报文不能到达“目的端口”,但从“目的端口”发送的报文可以到达“源端口”。
双向隔离是指隔离组内的任一端口发送的报文不能到达隔离组内的其他端口,但可以到达隔离组外的其他端口。
8.5.2MAC表项限制
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
处理动作为丢弃数据包时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址并且不再转发处理新MAC的数据包;处理动作为转发数据报文时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址,但还会转发处理新MAC的数据包。
9.1.1备份链路
备份链路,又叫做灵活链路。一个备份链路由两个端口组成,其中一个端口作为另一个的备份。备份链路常用于双上行组网,提供可靠高效的备份和快速的切换机制。
备份链路组
灵活链路组,包括两条链路,其中一条进行转发,另一条链路阻塞,作冗余备份。
主用链路和备用链路
备份链路组中处于转发状态的链路称为主用链路,处于阻塞状态的链路称为备用链路。
主端口和从端口
备份链路组的主用和备用链路在特定的设备上体现为端口或者聚合组端口,此处统称为端口。为了区分备份链路组中的两个端口,将两个端口分别命名为主端口和从端口。
FLUSH报文
端口切换之后,备份链路发送一个FLUSH报文通知其他设备进行地址刷新。但是,由于该技术为私有技术,目前只限于我司的交换机、华为、华三的设备能够识别该报文。对于不识别FLUSH报文的设备,只能通过流量触发MAC地址的更新。
9.1.2上行链路监控
上行链路监控是一种端口联动方案,它能通过监控设备的上行端口,根据其UP/DOWN状态的变化来触发下行端口UP/DOWN状态的变化,从而触发下游设备上的拓扑协议进行链路的切换。
上行链路监控可用于扩展一些二层拓扑协议(例如:备份链路)的应用范围,通过监控上行链路对下行链路进行同步设置,达到上行链路故障迅速传达给下行设备,从而触发下游设备上的拓扑协议进行链路的切换,防止长时间因上行链路故障而出现流量丢失。
上行接口
上行接口是上行链路监控组中的监控对象,上行链路监控组的上行接口可以是以太网端口(电口或光口)、聚合口或备份链路组。
下行接口
下行接口是上行链路监控组中的监控者,上行链路监控组的下行接口可以是以太网端口(电口或光口)或聚合口。
堆叠就是将多台设备通过专用的堆叠口或业务口连接起来,形成一台虚拟的逻辑设备。用户对这台虚拟设备进行管理,来实现对堆叠中所有成员设备的管理。堆叠系统具有高可靠性及易管理等优点。
堆叠成员
组建堆叠的成员需要同样的软件版本,硬件型号满足组堆叠。最多支持两台交换机组堆叠。
堆叠口
堆叠系统通信链路两端的接口为堆叠口,仅支持光口做为堆叠口。堆叠口的连接可以由多条堆叠物理链路自动聚合而成,多条聚合链路之间可以对流量进行负载分担,有效地提高了带宽及堆叠可靠性。堆叠成员端口必须为统一类型端口,例如10GE与40GE端口不可以组成堆叠聚合链路。普通口切换为堆叠口后,将不再支持切换速率与单双工,GE口速率配置为1000M全双工,10GE口速率配置为10G全双工,40GE口速率配置为40G全双工,堆叠口再切换为普通口后,又会恢复原来的配置。
本地流量有线转发
由于堆叠链路带宽有限,为了提高转发效率,减少跨堆叠成员的流量转发,支持TRUNK口的本地流量优先转发功能。即从本设备进入的流量,优先从本设备上相应的TRUNK成员口转发出去;如果本设备相应的接口故障或流量已经达到了接口线速,那么就从对端堆叠成员设备的接口转发出去。
Hello报文超时时间
堆叠系统中备机超时时间内,未收到主机发送的保活报文,会自动升级为主机。
多主检测
为了减少堆叠分裂对业务的影响,建议用户在堆叠组建完成后进行双主检测的配置。堆叠链路断开或堆叠心跳超时出现多主时,MAD检测机制会检测到网络中存在多个处于主机状态的堆叠系统。MAD冲突检测机制会保持原主机继续工作,将其他的堆叠系统转入recovery状态,并且在recovery状态的堆叠系统的所有成员上,关闭除保留端口以外的其他所有物理端口,以保证该堆叠系统不再转发业务报文。堆叠多主检测支持不检测,直连检测与代理检测,且默认检测方式为直连检测。直连检测选择的检测端口需要覆盖所有的堆叠成员,每个成员只能选择一个端口。代理检测仅支持信锐的交换机的聚合口做代理检测。
M-LAG(Multichassis Link Aggregation Group)即跨设备链路聚合组,是一种实现跨设备链路聚合的机制,将一台设备与另外两台设备进行跨设备链路聚合,从而把链路可靠性从单板级提高到了设备级,组成双活系统。
M-LAG ID
设备的M-LAG ID,MSTP名称,修订级别和实例必须保持一致才能正常使用MLAG功能。
交换机优先级
Peer Link链路组配对成功后,两端设备会确定出主从状态。先比较交换机优先级,值越小优先级越高,优先级高的为主设备。如果优先级相同,那么比较两台设备的MAC地址,MAC地址较小的为主设备。
KeepAlive口
KeepAlive链路是一条三层互通链路,用于M-LAG主备设备间发送双主检测报文。
正常情况下,双主检测链路不会参与M-LAG的任何转发行为,只在故障场景下,用于检查是否出现双主的情况。用于检测对端的选举状态是否正常。
Peer Link口
Peer Link链路两端直连的接口均为Peer Link接口,支持配置光口,电口,聚合口。
Peer Link链路故障
Peer Link链路是一条直连链路,用于交互协商报文及传输部分流量。
Peer Link故障但心跳状态正常会导致备设备上除管理网口、peer-link接口以及自定义的排除端口以外的物理接口处于 DOWN状态,此时双归场景变为单归场景。一旦配置Peer Link链路故障恢复,处于 DOWN状态的物理接口默认将在120秒时间自动恢复为Up状态。
M-LAG口
M-LAG口是M-LAG主备设备上连接上下行设备的Eth-Trunk接口。加入同一M-LAG口的接口,对外表现为同一个聚合接口。
VRRP(Virtual Router Redundancy Protocol)即虚拟冗余备份组协议,通过把几台路由设备联合组成一台虚拟的路由设备,使用一定的机制保证当主机的下一跳路由器发生故障时,及时地将业务切换至备份路由器,从而保证业务的连续性和可靠性。
组 ID
虚拟路由器ID,VRRP备份组标识,同一个实例的VRID值必须一致才可以正常工作。
虚拟IP地址
VRRP备份组的IP地址,一个虚拟路由器可以有一个或多个IP地址。
虚拟MAC地址
VRRP备份组根据虚拟路由器ID自动生成的MAC地址。
通信方式
默认使用组播的通信方式,支持单播的通信方式。
优先级
VRRP备份组中的设备优先级,备份组根据优先级选举出Master和Backup设备。
VRRP绑定接口
VRRP备份组中,虚拟IP地址所在的接口。
超时时间
VRRP备份组中Backup设备因未收到Master设备报文,自动切换为Master所等待的时间。
接口监视
VRRP备份组中,设备监控上联口或上联链路,当上联口或上联链路故障时,降低设备优先级,触发主备切换。
状态恢复延时时间
VRRP备份组中,设备因故障进入fault状态后,在故障恢复正常时,设备从错误状态切换至Backup状态等待的时间。
DHCP服务
VRRP备份组支持提供DHCP服务,且DHCP服务仅对Master设备生效。
抢占功能
开启抢占功能后,Backup设备的优先级高于Master设备优先级时,自动切换为Master设备。
VRRP版本
默认采用VRRPv2版本,支持VRRPv3版本。
通告间隔
VRRP备份组中,Master设备主动发送保活报文的时间间隔。
免费ARP间隔
备份组虚拟IP地址不断发送免费ARP的时间间隔。
VRRP报文认证方式
VRRP备份组中,VRRPv2版本支持不认证,简单认证和MD5认证方式,VRRPv3版本不支持认证。
代管组
多个VRRP备份组实例加入同一个代管组中时,由备份组中当时VRID最小的Master设备代为发送VRRP报文,减少VRRP报文发送数量。
同步组
由同步源负责VRRP保活,成员设备不发送保活报文,实例状态与同步源状态保持一致,减少VRRP报文发送数量。
9.5.1PING检测
当设备出现故障时,可以使用PING检测测试网络连接是否正常工作。
PING检测主要用于检查网络连接及主机是否可达。源主机向目的主机发送ICMP请求报文,目的主机向源主机发送ICMP回应报文。
9.5.2BFD检测
BFD检测用于快速检测系统之间的通信故障,并在出现故障时通知上层应用。
BFD提供了一个与介质和协议无关的快速故障检测机制。是网络设备间任意类型的双向转发路径提供快速、轻负荷的故障检测。
支持的检测类型有二层链路检测,三层链路检测和单臂回声功能。
二层链路检测
二层链路检测可以实现通过二层接口连通的设备间链路故障的快速检测。
三层链路检测
三层链路检测可以实现通过三层接口连通的设备间链路故障的快速检测。
单臂回声功能
在两台直接相连的设备中,其中一台设备支持BFD功能,另一台设备不支持BFD功能。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。支持BFD功能的设备主动发起回声请求功能,不支持BFD功能的设备接收到该报文后直接将其环回,从而实现转发链路的连通性检测功能。
标识符
静态建立BFD会话是指通过命令行手动配置BFD会话参数,包括配置本地标识符和远端标识符等,然后手工下发BFD会话建立请求。
如果对端设备采用动态BFD,而本端设备既要与之互通,又要能够实现BFD检测静态路由,必须配置静态标识符自协商BFD。
高级选项
报文优先级:支持将BFD报文设置为高优先级报文后,优先保证BFD报文的转发。
BFD会话的检测时间由BFD会话的本端检测倍数、本端BFD报文的接收间隔、发送间隔决定,检测时间 = 检测倍数 × max(接收间隔,发送间隔)。
发送间隔(毫秒):缺省情况下,BFD报文的发送间隔是1000毫秒。
接收间隔(毫秒):缺省情况下,BFD报文的接收间隔是1000毫秒。
检测倍数:缺省情况下,本地检测倍数为3。
报文生存时间:为使得使用不同版本的设备能够互通,并考虑后续版本升级以及和其他厂商的设备互通,此时可以配置报文生存时间。
DOWN状态发包间隔(毫秒):链路协议Down状态,在该状态下只可以处理BFD报文,支持配置DOWN状态发包间隔,从使是该接口也可以快速感知链路故障。
WTR等待恢复时间(分钟):如果BFD会话发生振荡,则与之关联的应用将会在主备之间频繁切换。
为避免这种情况的发生,可以配置BFD会话的等待恢复时间WTR。当BFD会话从状态Down变为状态Up时,BFD等待WTR超时后才将这个变化通知给上层应用。如果使用WTR,用户需要手工在两端配置相同的WTR。否则,当一端会话状态变化时,两端应用程序感知到的BFD会话状态将不一致。
10.1.1系统选项
可进行HTTPS端口、设备名称、控制台超时、语言等配置修改
10.1.2日期时间
用于交换机的系统日期时间设定。可通过NTP服务器进行时间同步。
10.2.1管理员账号
系统内置的超级管理员,具备系统的所有管理权限。为了提高系统的安全性,避免未授权用户登陆管理系统,建议为超级管理员设置一个高强度的密码。
10.2.2普通账号
可为系统设置多个普通账号,并分别为每个普通账号设置权限。普通用户可通过此账号登录系统,在授权范围内进行操作。
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用,硬盘使用率,cpu消耗等。
10.3.1SNMP
SNMP v1/v2
SNMP的第一版本和第二版本。它们都是基于团体名进行报文认证。
SNMP v3
SNMP的第三版本。
此版本提供重要的安全性功能,其中就包括了认证和加密两项。
认证需要提供认证方式(MD5,SHA)和认证密码。
加密需要提供加密方式(DES)和加密密钥。
10.3.2SNMP Traps
SNMP Trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到的管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息。
11.1.1操作日志
保存用户的操作记录,包括账号登陆及退出等。
11.1.2安全日志
记录所有的检测到的异常事件,并记录检测到的结果。
11.1.3远程日志
可开启远程日志功能,协助发现及排除故障。
可选择检测端口,对线对、线路状态、线路长度、出错长度进行检测,查看检测结果。
在当前页面填入控制器的地址与端口,要确保交换机地址能够与控制器连通。将接入点连接到控制器,确认后在控制器的接入点激活页面激活交换机,完成胖模式切换为瘦模式。需要注意的是,切换之后会清空已有配置。
支持.img的包升级。
注意:当前不提供img包升级方式,需通过升级客户端加载ssu包升级。
允许用户通过ssh、telnet方式连接到本设备上进行调试。
可通过点击【重启设备】按钮重启交换机。
系统中保存了大量的配置信息,包括各功能模块设置,用户账号等关键信息,因此定期对设备执行备份操作是一个良好的管理习惯。
在以下情况下,可以考虑从最近备份的配置中恢复系统,以尽快恢复您的网络,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误配置了某些基础功能
提供可直接操作ap设备的调试命令,用于排除问题。
支持命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序
traceroute 跟踪数据包转发路径
ping 测试主机地址连通
tcpconnect 测试TCP端口连通性
udpconnect 测试UDP端口连通性
