目 录
第1章 交换机管理与维护 1
1.1 配置文件管理 1
1.1.1 编辑配置文件 1
1.1.2 修改和保存当前配置 1
1.1.3 擦除配置 1
1.1.4 执行已保存的配置 1
1.1.5 显示已保存的配置 2
1.1.6 显示当前配置 2
1.1.7 配置文件执行模式的切换 2
1.2 在线加载升级程序 3
1.2.1 通过TFTP上、下载文件 3
1.2.2 通过FTP上、下载文件 3
1.2.3 通过Xmodem下载文件 4
1.3 设备管理 5
1.3.1 MAC地址表管理 5
1.3.2 重启交换机 8
1.4 系统维护 9
1.4.1 show命令查看系统状态和系统信息 9
1.4.2 系统基本配置及管理 9
1.4.3 网络连接的测试命令 10
1.4.4 回环测试命令 11
1.4.5 VCT测试命令 11
1.4.6 管理IP地址 12
1.4.7 同时进入模式的Telnet用户数 12
1.4.8 路由跟踪命令 12
1.4.9 cpu-car命令 13
1.5 利用SNMP对系统监控 13
1.5.1 SNMP协议介绍 13
1.5.2 SNMP配置 14
1.6 开启或关闭目的地址未知报文的转发功能 21
1.7 开启或关闭丢弃BPDU报文功能 22
1.8 Telnet客户端 22
1.9 CPU使用率告警配置 23
1.9.1 CPU使用率告警简介 23
1.9.2 CPU使用率告警配置任务列表 23
1.10 邮件告警功能配置 24
1.11 防DOS攻击 26
1.11.1 IP分片攻击防护 26
第1章
交换机管理与维护
1.1 配置文件管理
1.1.1 编辑配置文件
配置文件采用文本格式,可以通过FTP、TFTP协议从设备上载到PC机上,请使用文本编辑工具(如windows记事本等)对上载后的配置文件进行编辑。
系统默认在全局配置模式下执行配置文件,所以配置文件将会有如下两条初始命令:“enable”、“configure terminal”。每条命令之后均应有回车换行符。
1.1.2 修改和保存当前配置
用户通过命令行接口可以修改和保存系统的当前配置,为了使当前配置能够作为系统下次启动时的起始配置,需要用write running-config startup-config命令保存当前配置。请在用户模式下使用该命令。
1.1.3 擦除配置
clear startup-config命令可以擦除系统已经保存的配置文件。将系统保存的配置擦除后,使用reboot命令重启系统,系统启动后将恢复为出厂配置。请在用户模式下使用该命令。
1.1.4 执行已保存的配置
用户通过命令行接口可以使系统的当前配置恢复为已保存配置,为了使当前配置能够恢复为已保存配置,需要用write startup-config running-config命令执行已保存的配置文件。在执行配置文件时如遇到不可执行的命令将提示“[Line:xxxx]invalid: %s”。如遇到执行失败的命令将提示“[Line:xxxx]failed: %s”。如遇到命令长度超过512个字符将不执行该命令,提示“[Line:xxxx]failed: too long command: "%s"”,并只显示该命令的前16个字符,以“…”结束。其中“xxxx”表示命令所在的行号,“%s”表示命令字符串。不可执行命令包括语法错误的命令和模式不匹配的命令。请在用户模式下使用该命令。
1.1.5 显示已保存的配置
显示系统保存的配置信息命令为:
show startup-config [ module-list ]
其中 module-list 为可选的一个或多个模块名。如果不选择模块名将显示所有配置文件内容,如果选择其中一个或几个模块,将显示配置文件中这几个模块的内容。该命令可以在任何模式下使用。
1.1.6 显示当前配置
显示系统当前的配置信息命令为:
show running-config [ module-list | interface ]
其中 module-list 为可选的一个或多个模块名。如果不选择模块名将显示当前系统的所有配置信息,如果选择其中一个或几个模块,将显示当前系统中与这几个模块相关配置信息。interface用于指定接口当前的配置信息,接口类型包括ethernet。该命令可以在任何模式下使用。
1.1.7 配置文件执行模式的切换
用户通过命令行接口可以改变配置文件的执行模式。系统保存的配置文件可以在可中断和不可中断两种模式下被执行。执行配置文件遇到错误时,在可中断模式下将立即停止执行并回显错误,在不可中断模式下不会停止执行,回显错误并继续执行配置文件。默认为不可中断模式。为了设置执行模式为可中断,需要执行命令buildrun mode stop命令。为了设置执行模式为不可中断,需要执行命令buildrun mode continue命令。请在用户模式下使用这两个命令。
1.2 在线加载升级程序
系统可以通过TFTP、FTP、Xmodem下载的方法在线升级应用程序、加载配置文件,可以通过TFTP、FTP上载配置文件、日志文件、告警信息。
1.2.1 通过TFTP上、下载文件
通过TFTP上载文件的命令为:
upload { configuration | alarm | logging } tftp { inet A.B.C.D | inet6 ip } filename
通过TFTP自动上载文件的命令为:
upload automatically configuration tftp { inet A.B.C.D | inet6 ip } filename per hours hour minitues min
通过TFTP下载文件的命令为:
load { configuration | application | whole-bootrom } tftp { inet A.B.C.D | inet6 ip } filename
其中inet A.B.C.D为TFTP服务器的IP地址,inet6 ip为TFTP服务器的IPV6地址,filename为要上载的文件名,文件名不能为系统保留字(如在windows操作系统下con不能作为文件名)。在输入命令之前应打开TFTP服务器,并设置文件上载的目的路径。
下面具体的例子中都假设TFTP服务器的ip地址为192.168.0.100, 文件名为abc。下载之前先打开计算机上的TFTP服务器,配置上、下载文件路径。上、下载文件的命令在模式下。
1.2.2 通过FTP上、下载文件
通过FTP上载文件的命令为:
upload { configuration | alarm | logging } ftp { inet A.B.C.D | inet6 ip } filename username userpassword
通过FTP自动上载文件的命令为:
upload automatically configuration ftp { inet A.B.C.D | inet6 ip } filename username pwd per hours hour minitues min
通过FTP下载文件的命令为:
load { configuration | application | whole-bootrom} ftp ftpserver-ip filename username userpassword
其中inet A.B.C.D为FTP服务器的IP地址,inet6 ip为FTP服务器的IPV6地址,filename为要上载的文件名,文件名不能为系统保留字(如在windows操作系统下con不能作为文件名)。username、userpassword为FTP服务器中设置的用户名和密码。在输入命令之前应打开FTP服务器,并设置用户名、密码和文件上载的目的路径。
下面具体的例子中都假设FTP服务器的ip地址为192.168.0.100, 文件名为abc。首先打开该计算机上的FTP服务器,设置好文件路径,并将用户名、密码分别设置为user、1234。上、下载文件的命令在模式下。
1.2.3 通过Xmodem下载文件
通过Xmodem下载配置文件
load configuration xmodem
在配置模式下输入:
Switch#load configuration xmodem
输入命令后,在超级终端的菜单中选择“传送”->“发送文件”,在弹出的“发送文件”对话框中“文件名”一栏输入文件的完整路径和文件名,“协议”下拉列表中选择Xmodem,然后单击【发送】按钮。
下载成功并重新启动系统后,将使用新的配置文件。
通过Xmodem下载主机程序
load application xmodem
在配置模式下输入:
Switch#load application xmodem
输入命令后,在超级终端的菜单中选择“传送”->“发送文件”,在弹出的“发送文件”对话框中“文件名”一栏输入文件的完整路径和文件名,“协议”下拉列表中选择Xmodem,然后【发送】按钮。
下载成功并重新启动系统后,将运行新的应用程序。
通过Xmodem下载BootRom
load whole-bootrom xmodem
在配置模式下输入:
Switch#load whole-bootrom xmodem
输入命令后,在超级终端的菜单中选择“传送”->“发送文件”,在弹出的“发送文件”对话框中“文件名”一栏输入文件的完整路径和文件名,“协议”下拉列表中选择Xmodem,然后【发送】按钮。
下载成功并重新启动系统后,将运行新的BootRom程序。
1.3 设备管理
1.3.1 MAC地址表管理
I. MAC 地址表管理简介
系统维护着一张用于转发报文的MAC 地址表。这张表的表项包含了设备的MAC 地址、VLAN ID及报文进入交换机的端口号。当一个报文进入交换机时,交换机先根据报文的目的MAC及报文的VLAN ID信息在MAC地址表中查找,如果找到就将报文从MAC地址表项指定的端口发送出去;否则就将报文在此VLAN中进行广播。
系统具有MAC 地址学习的功能。如果接收到的报文的源MAC 地址在地址表中不存在,系统就会将此报文的源MAC地址、VLAN ID及接收此报文的端口号作为一个新的表项添加到MAC地址表中。
可以手工配置MAC地址表项。管理员可以根据实际网络情况配置MAC地址表,添加或修改的表项可以是静态、永久、黑洞、动态表项。
系统提供MAC 地址老化的功能。一个设备在一定时间内没有发送任何报文,系统就会把与此设备相关的MAC 地址表项删除。MAC地址老化只对学习到的或者用户配置的可老化(动态)MAC 地址表项起作用。
II. MAC 地址表管理配置任务列表
MAC 地址表管理配置任务列表如下:
●设置系统MAC地址老化时间
●设置MAC地址表项
●使能、关闭MAC地址学习功能
1)配置MAC地址表老化时间
配置MAC地址表的老化时间
在全局模式下键入命令如下,no形式恢复为默认值:
mac-address-table age-time { agetime | disable }
no mac-address-table age-time
agetime表示MAC地址表老化时间,取值范围为10~1000000秒,默认值为300秒,disable表示MAC地址表不老化。如果要恢复MAC地址表老化时间的默认值,请用该命令的no形式。
显示MAC地址表老化时间
在任意模式下,用如下命令显示MAC地址表老化时间:
show mac-address-table age-time
2)设置MAC地址表项
添加MAC地址
MAC地址表除了动态学习到的表项外,还可以手工进行添加。
mac-address-table { static | permanent | dynamic } mac interface interface-num vlan vlan-id
参数mac、vlan-id和interface-num分别为对应新的MAC地址表项的三个属性。
MAC地址属性可以设置动态的(dynamic)、静态的(static)、永久的(permanent)。 动态MAC地址表示可以老化,静态MAC地址表示不会老化,但系统重新启动后将会丢失,永久MAC地址表示不会老化,而且系统重新启动后这条MAC地址也还是存在。
添加黑洞(blackhole) MAC地址
系统可以配置MAC地址表项为黑洞表项,当报文的源地址或者目的地址为黑洞MAC地址,就被系统丢弃。
mac-address-table blackhole mac vlan vlan-id
删除MAC地址表项
mac-address命令的no形式删除MAC地址表项。
no mac-address-table [ blackhole | dynamic | permanent | static ] mac vlan vlan-id
no mac-address-table [ dynamic | permanent | static ] mac interface interface-num vlan vlan-id
no mac-address-table [ static | permanent | dynamic ] interface interface-num
no mac-address-table [ blackhole | dynamic | permanent | static ] vlan vlan-id
no mac-address-table
参数vlan表示根据vlan-id删除MAC地址表项;参数mac表示删除具体的某个MAC地址表项;参数interface-num表示根据端口号删除MAC地址表项;命令no mac-address-table则表示删除所有MAC地址。
显示MAC地址表
可以用show mac-address命令来显示MAC地址表的内容。
show mac-address-table
show mac-address-table { interface-num [ vlan vlan-id ] | cpu }
show mac-address-table mac [ vlan vlan-id ]
show mac-address-table { static | dynamic | permanent | blackhole } [ vlan vlan-id ]
show mac-address-table { static |dynamic | permanent | blackhole } interface interface-num [ vlan vlan-id ]
show mac-address-table vlan vlan-id
具体参数意义同添加/删除MAC地址表项所述。
3)配置MAC地址学习开关
全局配置模式下的配置命令是一条批命令,将所有端口都配成相同的配置;端口配置模式下可以配置端口MAC地址学习开关。当某一端口禁止MAC地址学习后,从其它端口收到的未知目的地址的报文将不向这个端口转发。缺省情况下打开所有端口MAC地址学习开关。
mac-address-table learning
no mac-address-table learning
显示MAC地址学习开关
show mac-address learning [ interface [ interface-num ] ]
显示指定端口或者所有端口是否进行MAC地址学习。
注意:在系统存在链路汇聚时,和链路汇聚端口相关的MAC地址表的显示为对应的汇聚组号。存在链路汇聚时,针对汇聚端口添加、删除MAC地址会产生混乱,建议不要同时采用。
配置端口允许学习的MAC地址个数
端口配置模式下可以配置端口MAC地址学习允许学习的个数,缺省情况下,所有端口可以学习的MAC地址个数不受;
mac-address-table max-mac-count 5
no mac-address-table max-mac-count
显示端口MAC地址学习个数
show mac-address max-mac-count [ interface [ interface-num ] ]
显示指定端口或者所有端口可以最多学习的MAC地址个数。
1.3.2 重启交换机
可以通过以下命令来重启交换机,包括立即重启和定时重启。
立即重启交换机命令
reboot
请在用户模式下执行此命令。执行完此命令后,设备将立即重启。
定时重启交换机命令auto-reboot
auto-reboot { in { minutes min | hours hour} | at { YYYY/MM/DD hh:mm:ss | hh:mm:ss daily | hh:mm:ss weekday weekly } }
设备允许客户自行设定重启时间,需要在全局配置模式下执行此命令。
要取消定时重启任务,请在全局配置模式下执行no auto-reboot命令。
1.4 系统维护
1.4.1 show命令查看系统状态和系统信息
show 命令根据功能可以划分为以下几类:
●显示系统配置信息的命令
●显示系统运行状态的命令
●显示系统统计信息的命令
有关各协议和各种端口的show 命令请参见相关章节。下面只介绍一些有关系统的show 命令。
在任一模式下都能使用以下命令:
show version 显示系统版本
show username 显示可以登录系统的管理用户信息
show users 显示已经登录系统的管理用户信息
show system 显示系统信息
show memory 显示内存信息
show clock 显示系统时钟
show cpu-utilization 显示cpu利用率信息
1.4.2 系统基本配置及管理
系统基本配置和管理任务包括:
I. 设置交换机主机名
请在全局配置模式下进行hostname命令的操作,设置系统命令行接口提示符。要恢复默认命令行接口提示符,请在全局配置模式下执行no hostname命令。
设置系统命令行接口提示符
hostname hostname
hostname为系统命令行接口提示符字符串,长度为1~32个字符, 必须是可打印字符且不能包含'/',':','*','?','\\\\','<','>','|','"'、’ ’等字符。
在全局配置模式下执行no hostname命令恢复默认值,默认值为Switch。
II. 设置系统时钟
请在用户模式下进行clock set命令的操作,设置系统时钟。
设置系统时钟
clock set HH:MM:SS YYYY/MM/DD
III. 设置时钟时区
请在全局配置模式下进行clock timezone命令的操作,设置时钟时区。
设置时钟时区
clock timezone name hour minute
1.4.3 网络连接的测试命令
ping主要用于检查网络连接及主机是否可达。请在用户模式或普通用户模式下进行下列配置:
ping [- i ttl] [-l packetsize] [-n count] [-s sourceip] [-t timeout] host
参数说明:
- i ttl:为发送的TTL值。
-l packetsize:为发送报文长度,以字节为单位。
-n count:为发送报文数。
-s sourceip:为发送的源IP地址。
-t timeout:为发完报文后等到响应的超时,以秒为单位。
1.4.4 回环测试命令
全局配置模式下的loopback命令进行所有端口的环回测试;端口模式下的loopback命令用来对所在端口进行测试,测试分为内环、外环两种模式。进行外环测试时必须在端口上插外环线(RJ45的收发线直接相连)。注意1000M五类线连接要用8根线,100M及以下使用4根不同。
使用loopback命令进行环回测试时,端口将不能正确转发数据包,一定时间后环回测试自动结束。如果端口执行了shutdown命令则不能进行环回测试;在进行环回测试时系统将禁止在端口上进行speed、duplex、mdi及shutdown等操作。进行外环测试完毕后,必须马上将外环线拔下,以避免造成设备环路导致通信不正常。
在全局模式或端口模式下使用下面命令进行环回测试:
loopback { internal | external }
其中external表示外环测试,internal表示内环测试。
1.4.5 VCT测试命令
VCT测试只对combo端口有效。当在端口模式下运行test cable-diagnostics tdr interface命令时,若发现错误,还可以检测出出错的位置。
VCT测试可以检测出网线正常(NORMAL)或开路(OPEN),短路(SHORT),串扰(CROSSTALK)等错误情况。网线正确的连接上为NORMAL,网线断开为OPEN,网线出现短路时为SHORT, 串扰(CROSSTALK)则是在两种性能不同的网线之间相互作用的结果。
系统还支持VCT自动测试。当VCT自动测试开启时候,一旦检测到端口link down,就自动进行VCT测试,并将测试结果写入syslog。
VCT测试命令:
VCT测试命令:
vct run
全局/端口模式下的VCT自动测试开启命令:
vct auto-run
全局/端口模式下的VCT自动测试关闭命令:
no vct auto-run
VCT自动测试配置显示命令:
Show vct auto-run
例如:
!对以太网端口1进行VCT测试
TiNet(config-if-ethernet-0/1)#vct run
1.4.6 管理IP地址
管理IP地址可以分别登录交换机web、telnet、snmp agent的主机IP地址或某个网段,而在配置之外的其它IP地址不能对交换机进行管理。缺省情况下3种服务器都有一条全0的地址段,所以任何IP地址的用户都可以管理交换机。不同的IP地址或通配符掩码表示不同的信息。当通配符掩码为0.0.0.0时表示主机地址,否则表示网段。使能配置时必须删除全0的表项。当服务器接收到一个报文时,判断这个IP地址是否属于管理IP地址的范围,不属于则丢弃报文,telnet还关闭连接。
login-access-list { web | snmp | telnet } ip-address wildcard
其中web表示web服务器的访问IP地址,snmp表示snmp agent的访问IP地址,telnet表示telnet服务器的访问IP地址;ip-address是IP地址,wildcard是IP地址通配符掩码,使用反掩码表示,0表示掩此位,1表示不掩此位。当wildcard为0.0.0.0时表示主机地址。此命令的no形式删除相应的表项信息。
显示管理ip地址的配置:
show login-access-list
1.4.7 同时进入模式的Telnet用户数
可配置允许同时进入模式的Telnet用户的最大数目。该功能可同一时刻通过Telnet登陆并进入模式的用户数目。通过Telnet登陆但不进入模式的用户数目则不受此,但受到系统允许登陆的最多Telnet用户数。管理员用户和超级用户始终可以通过串口登陆并进入模式,也不受此。可通过命令show users查看此配置。
请在全局模式下进行下列配置:
login-access-list telnet-limit limit-no
no login-access-list telnet-limit
1.4.8 路由跟踪命令
tracert主要用于路由跟踪及检查网络连接。请在用户模式或普通用户模式下进行下列配置:
tracert [ -u | -c ] [ -p udpport | -f first_ttl | -h maximum_hops | -w time_out ] target_name
参数说明:
-u 表示发送udp报文,-c 表示发送icmp的echo报文,默认为-c方式;
udpport:为发送udp报文的目的端口地址,取值范围为1到65535,默认端口62929;
first_ttl:为发送报文的初始ttl值,取值范围为1到255,默认值为1;
maximum_hops:为发送报文的最到ttl值,取值范围为1到255,默认值为30;
time_out:为发送报文后等待回应的超时时间,取值范围为10到60,单位为秒,默认值为10秒;
target_name:目标主机或路由器地址
1.4.9 cpu-car命令
cpu-car主要用于设置cpu接收报文的速率。请在全局模式下配置:
cpu-car target_rate
参数说明:
target-rate: cpu接收报文的速率,取值范围是1到1000pps,默认值为400.
1.5 利用SNMP对系统监控
1.5.1 SNMP协议介绍
SNMP(Simple Network Management Protocol,简单网络管理协议)是在TCP/IP网络上的重要网管协议,它以在网络上交换信息包的方式来实现网管。SNMP协议给大型网络的集中管理提供了可能。它的目标是保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、进行修改、寻找故障,并完成故障诊断、容量规划和报告生成。它的结构分为NMS 和Agent 两部分,NMS( Network Management Station ),是运行客户端程序的工作站,Agent 是运行在网络设备上的服务器端软件。NMS 可以向Agent 发出GetRequest 、GetNextRequest 和SetRequest 报文,Agent 接收到NMS 的请求报文后,根据报文类型对管理变量进行Read 或Write 操作,并生成Response 报文,返回NMS 。另一方面,Agent 在设备发生冷/热启动等异常情况时,也会主动向NMS 发送Trap 报文报告所发生的事件。
系统支持SNMP v1、v2c、和v3三个版本。v1提供简单的认证机制, 不支持管理者到管理者的通信,v1 Trap没有确认机制。v2c对v1增强管理模型(安全性的增强),管理信息结构,协议操作,管理器与管理器之间通信的能力,增加了对表的创建和删除,管理器间的通信能力,减少了代理方的存储操作。v3实现了用户鉴别机制和报文加密机制,大大提高了SNMP协议的安全性。
1.5.2 SNMP配置
SNMP 的主要配置任务列表
SNMP 的主要配置任务列表如下:
●设置团体名
●设置sysContact
●设置Trap目标主机地址
●设置sysLocation
●设置sysName
●设置通告发送开关
●设置trap发送源地址
●设置引擎id
●设置视图
●设置组
●设置用户
●查看MIB节点
I. 设置团体名
SNMP采用团体名认证方案,与系统认可的团体名不符的SNMP 报文将被丢弃。SNMP 团体(Community )由一字符串来命名,称为团体名(Community Name )。不同的团体可具有只读(read-only )或读写(read-write )访问权限。具有只读权限的团体只能对系统信息进行查询,而具有读写权限的团体还可以对系统进行配置。系统最多可配置8个团体名,默认无团体名设置。请在全局配置模式下进行下列配置。
设置团体名及访问权限
如果要修改community的属性,也可用该命令,只需community-name字符串保持不变
snmp-server community community-name {ro | rw} {deny | permit} [ view view-name ]
community-name字符串为1~20个可打印字符;ro、rw分别表示只读、读写访问权限;
permit、deny则代表该community是否可用。View-name是为此团体名配置的视图,默认将配置视图iso。
删除团体名及访问权限
no snmp-server community community-name
community-name为已经存在的团体名。
查看团体名信息
在任一模式下
show snmp community
II. 设置管理员联系方式
sysContact 是MIB Ⅱ中system 组的一个管理变量,内容为系统管理员联系方法。请在全局配置模式下进行下列配置:
snmp-server contact syscontact
no snmp-server contact
syscontact为管理员联系方式字符串,长度为1~255个字符,取值范围为可打印字符。该命令的no形式表示恢复管理员联系方式的默认值。
注意:如果输入的字符串间有空格,要求用引号括起来。
需要知道管理员联系方式时,在任一模式下,使用如下命令显示:
show snmp contact
III. 设置通告目标主机地址
该配置任务用来设置或删除发送通告信息的目标主机的IP地址及端口号。默认情况下,通告是关闭的。使能通告发送并选择通告发送方式为TRAP或INFORM,需要使用命令snmp enable trap/inform。请在全局配置模式下进行下列配置。
设置通告目标主机地址
snmp-server host host-addr [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [ notify-type [ notifytype-list ] ]
删除通告目标主机地址
no snmp-server host ip-address community-string { 1 | 2c | 3 }
参数ip-address表示snmp-server trap表中IP地址。community-string表示snmp-server 通告 表项中IP相对应的安全名。对于snmpv1和snmpv2c来说,安全名即团体名,对于snmpv3来说安全名即用户名。1、2c、3表示SNMP版本。不指定版本号时版本号默认为1。Port表示将发送到的端口号。Notifytype-list表示可选的通告类型。不进行选择将默认选择所有通告类型。只有被选择的通告类型才会被发送到目标主机。
查看snmp-server 通告表项信息
在任一模式下,使用下列命令:
show snmp host
IV. 设置交换机位置
sysLocation 是MIB 中system 组的一个管理变量,用于表示被管理设备的位置。在全局配置模式下,配置系统位置信息,可用如下命令:
snmp-server location syslocation
no snmp-server location
syslocation为系统位置信息字符串,长度为1~255个字符,取值范围为可打印字符。该命令的no形式表示恢复系统位置信息的默认值。
如果输入的字符串间有空格,要求用引号括起来。
需要知道系统位置信息时,在任一模式下,使用如下命令显示字符串:
show snmp location
V. 设置交换机名称
sysName 是MIB Ⅱ中system 组的一个管理变量,内容为交换机名称。请在全局配置模式下进行下列配置:
snmp-server name sysname
no snmp-server name
sysname为交换机名称字符串,长度为1~255个字符,取值范围为可打印字符。
注意:如果输入的字符串间有空格,要求用引号括起来。
VI. 设置通告发送开关
通过对通告类型发送开关的配置可以将各种通告类型的发送开关打开及关闭。系统默认通告发送的方式为trap。当开关被关闭时,trap将不会被发送。系统默认开关处于关闭状态。请在全局配置模式下进行下列配置:
snmp-server enable traps [ notificationtype-list ]
no snmp-server enable traps [ notificationtype-list ]
notificationtype-list 为系统定义的可用通告类型列表。通过对其中一个或多个进行选择来打开或关闭所选通告类型的开关。如果不进行选择将打开所有通告类型的开关或关闭所有通告类型的开关。
通告类型包括如下:
bridge:打开/关闭生成树使能
interfaces:端口LinkUp/LinkDown
snmp:访问控制,系统冷启/热启
gbnsavecfg:配置保存
rmon:RMON trap
gbn:自定义Trap如GN-Link Trap,端口Blocking,CAR,环路检测
VII. 设置trap发送源地址
该配置任务用来配置trap发送源地址所属vlan或supervlan接口。当配置的接口包含主ip,trap发送源地址为配置接口主ip。如果配置的接口不包含ip,trap发送源地址为出接口ip。系统默认trap源地址为出接口ip。请在全局配置模式下进行下列配置:
snmp-server trap-source { vlan-interface vlan-id | supervlan-interface supervlan-id }
no snmp-server trap-source
vlan-id或supervlan-id为要配置的trap源地址所属接口对应的vlan或supervlan号。vlan-id取值大小为1―4094,supervlan-id取值大小为1-128。
VIII. 设置引擎id
该配置任务用来配置本地snmp实体的引擎id及可被本地识别的远程snmp实体的引擎id。
本地引擎id默认为134********0000000000000,可修改但不能被删除。默认无可识别
的远程引擎id。远程引擎id可被添加及删除。一旦一个可识别的远程引擎被删除,其对应
的用户也将全部被删除。可配置的最大远程引擎数为32。该命令的no形式用来恢复缺省本地引擎id或删除远程引擎id。请在全局模式下进行下列配置:
snmp-server engineid { local engineid-string | remote ip-address [udp-port port-number] engineid-string }
no snmp-server engineid { local | remote ip-address [udp-port port-number] }
可在任意模式下查看当前的引擎配置:
show snmp engineid [local | remote]
engineid-string 是在某网络内可唯一标识一个引擎的标识符,本系统只支持输入可打印的
字符来标识一个引擎id。引擎id不能含有空格
Ip-address 是远程引擎的ip地址,系统不允许输入本地ip
port-number是远程引擎的端口号,如不进行配置将默认端口号为162
IX. 设置视图
该配置任务用来配置视图访问控制时可用的视图及其包含的子树。默认存在三个视图iso、internet和sysview,可配置的最大视图数为。视图internet禁止删除和修改。请在全局配置模式下进行下列配置:
snmp-server view view-name oid-tree { included | excluded }
no snmp-server view view-name [ oid-tree ]
view-name是所要添加的视图的视图名。长度为1-32,视图名不能含有空格
oid-tree是视图所包含的子树,它对应一个mib节点,如”1.3.6.1”;OID包含的子字符串必须为0-21474837的整数。
视图名称字符串中包含的字符个数加上OID包含的节点个数再加上2的和不得超过。
配置视图子树类型为exclude时,仅意味着该子树下的节点不可访问,并不意味着该子树外的节点可以访问。配置通告目标主机时,如果安全名为共同体,发送通告不受视图影响;如果安全名为SNMPv3用户,发送通告受该用户的通告视图控制。通告视图控制的是该通告携带的变量所属节点是否可访问,并不影响通告所属trap OID节点的访问属性。如果通告不包含绑定的变量,则该通告始终可发送不受视图影响。
X. 设置组
该配置任务可用来配置一个访问控制组。默认存在的组如下:(1)安全模型为v3,安全级
别为鉴别的组initial (2)安全模型为v3,安全级别为鉴别加密的组initial。最多可配置个组。请在全局配置模式下进行下列配置:
snmp-server group groupname 3 [auth | noauth | priv] [context context-name] [read readview][ wrete writeview] [notify notifyview]
no snmp-server group groupname 3 [auth | noauth | priv] [context context-name]
可在任意模式下查看已配置的组:
show snmp group
groupname是组名,长度为1-32,组名不能含有空格
readview是一个视图名,配置后表示在此视图范围内有读的权限,不输入将默认该组不包含可读视图
writeview是一个视图名,配置后表示在此视图范围内有读写的权限,不输入将默认该组不包含可读写视图
notifyview是一个视图名,配置后表示在此视图范围内有发送通告的权限,不输入将默认该组不包含可发送通告的视图
context-name是设备上下文,不输入context-name将默认为本地设备
XI. 设置用户
该配置任务用来为本地引擎或可识别的远程引擎配置用户,默认存在的用户如下:(1)initialmd5(要求md5鉴别),(2) initialsha(要求sha鉴别),(3) initialnone(不要求鉴别)。上述三个用户保留为系统使用,用户不能使用。配置用户时需要保证此用户所属引擎是可识别的。当可识别的引擎被删除时,其包含的用户也将被删除。最多可配置个用户。请在全局配置模式下进行下列配置:
snmp-server user username groupname [ remote host [ udp-port port ] ] [ auth { md5 | sha } { authpassword { encrypt-authpassword authpassword | authpassword } | authkey { encrypt-authkey authkey | authkey } } [ priv des { privpassword { encrypt-privpassword privpassword | privpassword } | privkey { encrypt-privkey privkey | privkey } } ]
no snmp-server user username [ remote host [ udp-port port ] ]
可在任意模式下查看已配置的用户:
show snmp user
可在全局模式下,关闭、打开显示加密总开关(默认显示加密总开关为开启状态)。
开启显示加密总开关snmp-server encrypt enable
关闭显示加密总开关snmp-server encrypt disable
username是要配置的用户名,长度为1-32,中间不能含有空格
groupname是用户要加入的组名,长度为1-32,中间不能含有空格
host是远程引擎的ip地址,不输入将默认本地引擎
port是远程引擎的端口号,不输入将默认端口号为162
authpassword是鉴别口令,未加密的口令长度为1-32,为防止口令在网上泄漏,可使用加密算法对口令进行加密配置。要配置加密后的口令,需使用支持本系统加密算法的客户端将未加密口令加密,使用加密后的密文进行配置。加密后的密文长度根据不同加密算法而不同。从命令行用密文进行配置时请按16进制数据的表示形式输入。例如输入一个16字节的密文“a20102b32123c45508f91232a4d47a5c”
privpassword是加密口令,未加密的口令长度为1-32,为防止口令在网上泄漏,可使用加密算法对口令进行加密配置。要配置加密后的口令,需使用支持本系统加密算法的客户端将未加密口令加密,使用加密后的密文进行配置。加密后的密文长度根据加密算法的不同而不同。 从命令行用密文进行配置时请按16进制数据的表示形式输入。例如输入一个16字节的密文“a20102b32123c45508f91232a4d47a5c”
authkey是鉴别密钥,未加密的鉴别密钥长度为16字节(使用md5算法进行散列)或20字节(使用SHA-1算法进行散列),加密后的鉴别密钥长度为16字节(使用md5算法进行散列)或24字节(使用SHA-1算法进行散列)
privkey是加密密钥,未加密的加密密钥长度为16字节,加密后的鉴别密钥长度为16字节。
关键字encrypt-authpassword、encrypt-authkey、encrypt-privpassword、encrypt-privkey用于配置加密后的密文。
XII. 显示MIB节点
该命令用于显示MIB节点相关信息,如全部节点,全部模块,按照关键字查看部分节点,查看某模块中的全部节点。
在配置模式下利用以下命令显示MIB相关信息:
show snmp mib | { begin | exclude | include } LINE
show snmp mib module list
show snmp mib module modulename
1.6 开启或关闭目的地址未知报文的转发功能
该命令用于控制交换机是否转发目的地址未知的报文。
在全局或者端口配置模式下利用以下命令打开或关闭交换机对目的地址未知报文的转发功能:
dlf-forward { multicast | unicast }
no dlf-forward { multicast | unicast }
1.7 开启或关闭丢弃BPDU报文功能
该命令用于控制交换机是否丢弃BPDU报文。
在全局配置模式下利用以下命令打开或关闭交换机对BPDU报文丢弃功能:
discard-bpdu
no discard-bpdu
1.8 Telnet客户端
用户通过控制台或telnet登陆交换机后,可启动交换机设备上的Telnet客户端,登陆到其他交换机或其他标准Telnet服务器。
在用户模式下使用下面命令启动Telnet客户端:
telnet ip-addr [ port-num ] [ /localecho ]
ip-addr为Telnet服务器的IP地址。port-num为Telnet服务器的端口号,缺省为23。/localecho指定打开本地回显选项,缺省不打开。一般地,Telnet客户端不回显用户的输入,而由Telnet服务器回显用户的输入。
在任一模式下使用下面命令查看Telnet客户端运行信息:
show telnet client
在用户模式下的“admin”用户可以使用下面命令强制终止正在运行Telnet客户端:
stop telnet client { all | term-id }
all指定关闭所有正在运行的Telnet客户端。term-id指定运行Telnet客户端的终端号,0为控制台,1-5为Telnet终端1-5。
1.9 CPU使用率告警配置
1.9.1 CPU使用率告警简介
系统可以监视CPU使用率,若发现CPU使用率超过了CPU忙的阈值(cpu busy threshold),就发送CPU忙的告警,此时CPU处于忙状态。在此状态下,若发现CPU使用率低于CPU不忙的阈值(cpu unbusy threshold),则发送CPU忙的告警。此功能可以使系统主动的向用户报告当前的CPU使用情况。
1.9.2 CPU使用率告警配置任务列表
CPU使用率主要配置任务列表如下:
●开启/关闭CPU使用率告警
●配置CPU忙阈值和CPU不忙阈值
●显示CPU使用率告警信息
I. 开启/关闭CPU使用率告警
请在全局配置模式下进行下列配置:
开启CPU使用率告警
alarm cpu
关闭CPU使用率告警
no alarm cpu
缺省情况下,CPU使用率告警处于开启状态。
II. 配置CPU忙阈值和CPU不忙阈值
请在全局配置模式下进行下列配置:
配置CPU忙阈值和CPU不忙阈值
alarm cpu threshold [ busy busy ] [ unbusy unbusy ]
注意需要满足busy > unbusy的条件。缺省情况下,CPU忙阈值为90%,CPU不忙阈值为60%
III. 显示CPU使用率告警信息
显示CPU使用率告警信息,在任一模式下,键入命令:
show alarm cpu
1.10 邮件告警功能配置
邮件告警功能配置包括如下:
●设置使能/关闭邮件告警功能
●设置smtp服务器地址
●设置邮件接受者e-mail地址
●设置邮件抄送的e-mail地址
●设置使能/关闭smtp身份验证
●设置发送邮件告警的syslog级别
I. 设置使能/关闭邮件告警功能
在全局模式下配置使能/关闭邮件告警功能,配置命令如下:
mailalarm
no mailalarm
II. 设置smtp服务器地址
在全局模式下配置smtp服务器地址,配置命令如下:
mailalarm server server-addr
no mailalarm server
III. 设置邮件接收者e-mail地址
在全局模式下配置邮件接受者e-mail地址,配置命令如下:
mailalarm receiver receiver-addr
no mailalarm receiver
IV. 设置邮件抄送的e-mail地址
在全局模式下配置邮件抄送的e-mail地址,配置命令如下:
mailalarm ccaddr cc-addr
no mailalarm ccaddr cc-addr
邮件抄送地址最多可以配置4个。
TiNet(config)#mailalarm ccaddr system2@switch.net
V. 设置使能/关闭smtp身份验证
在全局模式下配置使能/关闭smtp身份验证,配置命令如下:
mailalarm smtp authentication username username { passwd passwd | encrypt-passwd encrypt-passwd }
no mailalarm smtp authentication
关键字encrypt-passwd只能用于反编译生成的命令中。
VI. 设置发送邮件告警的syslog级别
在全局模式下配置发送邮件告警的syslog级别,配置命令如下:
mailalarm logging level level
no mailalarm logging level
当syslog信息的级别值小于配置的值时,该syslog信息封装到邮件中发送至指定邮箱。
1.11 防DOS攻击
1.11.1 IP分片攻击防护
系统可以接收的IP分片报文数目并没有占用系统的所有接收报文资源,这样即使受到IP分片攻击时系统也可以正常处理其它非分片报文,而且可以配置IP分片接收数目范围,当为0的时候表示系统不处理IP分片报文,这样系统就可以避免分片攻击的影响。
全局配置模式进行配置
anti-dos ip fragment maxnum
相关信息显示
show anti-dos下载本文
