H3C E152 以太网交换机

H3C E152 以太网交换机

操作手册

杭州华三通信技术有限公司

http://www.h3c.com.cn

资料版本：6W100-20100419

产品版本：Release 1702

声明

Copyright © 2010 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

H3C、、Aolynk、、H3Care、

、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三

通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权

利人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情况

下对本手册的内容进行修改的权利。本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的信

息，但是 H3C 并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何

明示或暗示的担保。

技术支持

用户支持邮箱：[email protected]

技术支持热线电话：800-810-0504（固话拨打）

400-810-0504（手机、固话均可拨打）

网址：http://www.h3c.com.cn

i

目录

1 手册介绍 ............................................................................................................................................ 1-1

1.1 读者对象............................................................................................................................................ 1-1

1.2 内容安排............................................................................................................................................ 1-1

1.3 手册对应的软件版本..........................................................................................................................1-4

1.4 本书约定............................................................................................................................................ 1-5

1.4.1 命令行格式约定 ......................................................................................................................1-5 1.4.2 图形界面格式约定...................................................................................................................1-6 1.4.3 各类标志 ................................................................................................................................. 1-6

2 H3C E152 交换机资料阅读指南 ......................................................................................................... 2-1

2.1 资料获取方式..................................................................................................................................... 2-1

2.1.1 随机光盘 ................................................................................................................................. 2-1 2.1.2 H3C网站 ................................................................................................................................. 2-1 2.1.3 软件版本发布配套资料 ...........................................................................................................2-1

2.2 相关资料介绍..................................................................................................................................... 2-1

2.3 资料类型选择..................................................................................................................................... 2-2

2.4 资料意见反馈..................................................................................................................................... 2-2

3 产品简介 ............................................................................................................................................ 3-1

3.1 产品简介............................................................................................................................................ 3-1

3.2 组网应用............................................................................................................................................ 3-1

3.2.1 宽带小区以太网接入 ...............................................................................................................3-1 3.2.2 中小企业/大企业分支机构组网................................................................................................ 3-2 3.2.3 大型的企业和园区网的组网 .................................................................................................... 3-3

1-1

1 手册介绍 H3C E152以太网交换机支持丰富的软件特性。《H3C E152以太网交换机操作手册-Release1702》主要针对 Release1702 软件版本的特性，从简单原理、具体配置方法等方面进行了介绍。

1.1 读者对象

本手册主要适用于负责网络配置和维护的网络管理员。

1.2 内容安排

《H3C E152 以太网交换机操作手册-Release1702》中每部分包含的具体内容，如表 1-1所示。

表1-1 本手册各章节内容如下：

模块模块涵盖内容

01-CLI 介绍命令行接口命令行接口的相关配置

02-登录交换机

通过 Console 口登录交换机通过以太网端口利用 Telnet 或 SSH 登录交换机通过 Console 口利用 Modem 拨号登录交换机通过 Web 网管和 NMS 登录交换机为 Telnet 业务报文指定源 IP 通过 ACL 对登录交换机的用户进行控制切换用户级别

03-配置文件管理

配置文件简介保存当前配置清除交换机中的配置文件设置交换机下次启动时使用的配置文件及其属性

04-VLAN VLAN 基本配置配置基于端口的 VLAN 配置协议 VLAN

05-IP 地址-IP 性能

配置交换机的 IP 地址配置交换机的 TCP 属性配置交换机是否开启 ICMP 差错报文发送功能取消系统预置的防止 ICMP 攻击 ACL

06-Voice VLAN Voice VLAN 简介 Voice VLAN 配置

07-GVRP GVRP 简介 GVRP 配置

08-端口基本配置

配置端口的自协商速率配置端口的流量控制将指定端口的配置拷贝到其它端口配置以太网端口进行环回测试配置超大帧数量统计功能端口报文流量的阈值控制功能全局设置端口广播风暴抑制比环回检测（Loopback Detection）电缆检测功能

1-2


09-端口汇聚配置手工汇聚配置静态 LACP 汇聚配置动态 LACP 汇聚

10-端口隔离配置端口隔离组

11-端口安全-端口绑定

配置端口允许接入的大 MAC 地址数配置端口安全模式配置端口安全的相关特性端口在 macAddressOrUserLoginSecure 安全模式下可配置 Guest

VLAN 配置当前端口不应用 RADIUS 服务器下发的授权信息配置 Security MAC 地址配置用户 MAC 地址、IP 地址和端口的灵活绑定

12-DLDP DLDP（Device Link Detection Protocol，设备链路探测协议）

13-MAC 地址转发表管理

MAC 地址转发表管理简介配置 MAC 地址表项配置 MAC 地址的老化时间配置每端口大 MAC 地址学习数量配置目的 MAC 地址更新功能配置以太网端口的 MAC 地址

14-MSTP

STP/RSTP/MSTP 简介及基本配置执行 mCheck 操作保护功能，包括 BPDU 保护、Root 保护、环路保护、防止 TC-BPDU

报文攻击和 BPDU 报文拦截功能摘要侦听快速迁移 VLAN-VPN TUNNEL 特性 MSTP 可维护性配置发送 802.1d 协议标准的 Trap 信息功能

15-静态路由静态路由配置

16-组播协议

组播概述配置组播源端口抑制配置添加组播 MAC 地址表项配置未知组播报文丢弃配置 IGMP Snooping 配置组播 VLAN

17-802.1x 及 System-Guard

802.1x 认证 Guest VLAN EAD 快速部署 HABP（Huawei Authentication Bypass Protocol，华为认证旁路协议）

System-guard

18-AAA

AAA（Authentication，Authorization and Accounting，认证、授权和

计费） RADIUS（Remote Authentication Dial-In User Service，远程认证拨

号用户服务） HWTACACS（HUAWEI Terminal Access Controller Access Control

System，华为终端接入控制系统） EAD（Endpoint Admission Defense，端点准入防御）

19-Web 认证 Web 认证 Web 认证的 HTTPS 访问方式 Web 认证的定制页面功能

1-3


20-MAC 地址认证 MAC 地址认证基本功能 MAC 地址认证增强功能

21-ARP 免费 ARP ARP 攻击防御

22-DHCP DHCP Snooping DHCP 报文限速 DHCP/BOOTP 客户端

23-ACL

基本 ACL 高级 ACL 二层 ACL 用户自定义 ACL IPv6 ACL 在端口上应用 ACL 在 VLAN 上应用 ACL

24-QoS-QoS Profile QoS（Quality of Service，服务质量） QoS Profile（Profile of QoS，服务质量配置模板）

25-镜像流镜像本地端口镜像远程端口镜像

26-Stack-Cluser

Stack HGMP（Huawei Group Management Protocol，华为组管理协议）v2 NDP（Neighbor Discovery Protocol，邻居发现协议） NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）

集群增强功能集群 SNMP 及本地用户配置同步

27-SNMP-RMON

SNMP（Simple Network Management Protocol，简单网络管理协议）

v1、v2、v3 版本配置 Trap 相关功能 RMON（Remote Monitoring，远程网络监视）

28-NTP 配置 NTP

29-SSH SSH（Secure Shell，安全外壳）原理介绍配置 SSH 服务器配置 SSH 客户端

30-文件系统管理文件系统配置文件属性配置

31-FTP-SFTP-TFTP 配置交换机作为 FTP 服务器/客户端配置交换机作为 SFTP 服务器/客户端配置交换机作为 TFTP 客户端

32-信息中心信息中心简介配置调试信息输出

33-系统维护与调试

加载 BOOTROM 和主机软件系统基本配置与调试网络连通性测试对设备的管理配置定时执行任务

34-VLAN-VPN

VLAN-VPN（即 QinQ）配置 VLAN-VPN 端口的 IGMP 协议报文透传功能配置 VLAN-VPN 内层优先级复制配置 TPID 取值灵活 QinQ BPDU Tunnel

1-4


35-HWping 充当 HWping 服务器/客户端 9 种测试类型（ICMP 测试、DHCP 测试、FTP 测试、HTTP 测试、DNS

测试、SNMP 测试、Jitter 测试、TCP 测试和 UDP 测试）

36-IPv6 管理 IPv6 管理功能 IPv6 静态路由 IPv6 DNS

37-域名解析 IPv4 DNS（Domain Name System，域名系统）

38-Smart Link-Monitor Link Smart Link Monitor Link

39-LLDP LLDP（Link Layer Discovery Protocol，链路层发现协议）基本功能 LLDP 兼容 CDP 功能 LLDP Trap 功能

40-PKI 手工、自动方式申请 PKI 证书证书的手工获取、验证和删除配置证书属性的访问控制策略

41-SSL 配置 SSL 服务器端策略配置 SSL 客户端端策略

42-HTTPS

HTTPS 服务配置 HTTPS 服务与 SSL 服务器端策略关联配置 HTTPS 服务与证书属性访问控制策略关联配置 HTTPS 服务与 ACL 关联

1.3 手册对应的软件版本

《H3C E152 以太网交换机操作手册-Release1702》和《H3C E152 以太网交换机命令手册

-Release1702》对应 E152 的 Release1702 软件版本。

Release1702 版本与Release1602 版本相比，操作手册新增了大量特性，具体请参见表 1-2。

表1-2 Release1702 版本新增特性

Release1702 版本新增特性对应手册位置

配置命令行别名 01-CLI

取消系统预置的防止 ICMP 攻击 ACL 05-IP 地址-IP 性能

配置语音报文的 QoS 优先级 06-Voice VLAN

配置流量可控功能

以太网端口进行环回监测支持 shutdown 功能和批量开启端口

的环回监测功能

Storm-constrain 支持 kbps

支持多种描述字符

08-端口基本配置

端口安全支持 Guest VLAN

配置端口自动学习到的 Secure MAC 地址表项的老化时间

端口-MAC 地址-IP 地址灵活绑定

11-端口安全-端口绑定

1-5

Release1702 版本新增特性对应手册位置

配置 IGMP 特定组查询报文的源 IP 地址 16-组播协议

CPU 保护功能 17-802.1x 及 System-Guard

配置列表型动态 VLAN 下发方式（又称 Auto VLAN 特性）

RADIUS 授权属性忽略功能 18-AAA

配置 Web 认证用户长在线时间

Web 认证支持 HTTPS 访问方式

Web 认证支持定制页面

19-Web 认证

ARP 攻击防御 21-ARP 配置

IP过滤功能新增 qos-profile参数和基于 802.1x认证用户的 IP过滤功能

清除交换机的 DHCP Snooping 表项

22-DHCP

IPv6 ACL 23-ACL

端口镜像与 STP 联动功能 25-镜像

集群配置同步功能 26-Stack-Cluster

配置以太网端口的节能模式

配置定时执行任务 33-系统维护与调试

配置 VLAN-VPN 端口的 IGMP 协议报文透传功能 34-VLAN-VPN

新增 HWPing 扩展特性，具体请参见 datafill、description、display hwping statistics、sendpacket passroute、ttl、filesize、history-record enable、history keep-time、statistics、statistics keep-time、test-time begin、hwping-agent max-requests、hwping-agent clear 和adv-factor 命令

35-HWping

LLDP 39-LLDP

PKI 40-PKI

SSL 41-SSL

HTTPS 42-HTTPS

1.4 本书约定

1.4.1 命令行格式约定

格式意义

粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。

斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。

[ ] 表示用“[ ]”括起来的部分在命令配置时是可选的。

{ x | y | ... } 表示从两个或多个选项中选取一个。

[ x | y | ... ] 表示从两个或多个选项中选取一个或者不选。

{ x | y | ... } * 表示从两个或多个选项中选取多个，少选取一个，多选取所有选项。

1-6

格式意义

[ x | y | ... ] * 表示从两个或多个选项中选取多个或者不选。

&<1-n> 表示符号&前面的参数可以重复输入 1～n 次。

# 由“#”号开始的行表示为注释行。

H3C 系列产品的命令行接口输入不区分大小写。

1.4.2 图形界面格式约定

格式意义

< > 带尖括号“< >”表示按钮名，如“单击<确定>按钮”。

[ ] 带方括号“[ ]”表示窗口名、菜单名和数据表，如“弹出[新建用户]窗口”。

/ 多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。

1.4.3 各类标志

本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：

该标志后的注释需给予格外关注，不当的操作可能会对人身造成伤害。

提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。

对操作内容的描述进行必要的补充和说明。

配置、操作、或使用设备的技巧、小窍门。

2-1

2 H3C E152 交换机资料阅读指南

2.1 资料获取方式

杭州华三通信技术有限公司（以下简称为 H3C）提供多种获取资料的途径，方便用户及时获得产品

相关的资料和新增特性文档。资料的主要获取方式包括：

通过随机光盘获取

通过 H3C 网站获取

通过软件版本发布配套资料获取

2.1.1 随机光盘

H3C 为每台设备都附带有随机光盘，光盘中包含该型号产品的成套电子版手册，包括：操作手册、

命令手册。用户安装随机光盘中的浏览程序之后，可以通过操作界面方便地检索到所需的内容。

由于产品版本升级或其它原因，手册内容会不定期进行更新，随机光盘中的内容可能滞后于新的

软件版本。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何

明示或暗示的担保。新的软件版本配套资料请到 H3C 网站上进行查询。

2.1.2 H3C 网站

您可以通过 H3C 网站（www.h3c.com.cn）获取新的产品资料：

H3C 网站与产品资料相关的主要栏目介绍如下：

[产品技术]：可以获取产品介绍和技术介绍的文档。

[解决方案]：可以获取解决方案类资料。

[服务支持/文档中心]：可以获取安装类、配置类或维护类等产品资料。

[服务支持/软件下载]：可以获取与软件版本配套的资料。

2.1.3 软件版本发布配套资料

由于产品软件版本升级，软件版本中可能会新增一些软件特性。用户可通过软件版本发布配套资料

获取这些新增特性的相关使用文档。

2.2 相关资料介绍

《H3C E152 以太网交换机操作手册》主要针对各软件特性功能的简单原理、具体配置方法进行介

绍。

其余相关资料类型及用途如表 2-1所示。

表2-1 相关资料

手册名称用途

《H3C E152 以太网交换机命令手册

-Release1702》详细解释了 E152 以太网交换机中的使用的命令。为便于读者查找，

还提供了整本手册的命令总索引。

《H3C E152 以太网交换机安装手册》介绍了 H3C E152 以太网交换机的产品外观、安装方式、上电启动方

法、故障处理与维护方法等。

2-2

手册名称用途

《H3C E152 以太网交换机安全与兼容

性手册》介绍了在安装、日常维护 H3C E152 以太网交换机时，必须遵循的安

全预防规范。

《H3C低端以太网交换机典型配置指导》介绍了 E152 以太网交换机的典型应用场景，具体的配置步骤及配置

时的注意事项。

2.3 资料类型选择

如需了解产品支持软件特性功能的简单原理、具体配置方法，请登录H3C网站获取对应的

“H3C E152 以太网交换机操作手册”。

如需详细了解操作手册中每条命令的作用、参数及显示信息的含义，请登录H3C网站获取对

应的“H3C E152 以太网交换机命令手册”。

如需详细了解H3C E152 以太网交换机的典型应用场景、具体的配置步骤及配置时的注意事

项，请登录H3C网站获取对应的“H3C低端以太网交换机典型配置指导”。

2.4 资料意见反馈

如果您在使用过程中发现产品资料的任何问题，可以通过以下方式反馈：

E-mail：[email protected]

感谢您的反馈，让我们做得更好！

http://www.h3c.com.cn/Service/Document%5FCenter/IP%5FNetwork%5FProduct/Switches/E/E152/



3-1

3 产品简介

3.1 产品简介

H3C E152 以太网交换机是 H3C 公司自主开发的一款二层线速以太网交换产品，是为要求具备高性

能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。

表3-1 E152 以太网交换机主要硬件规格

型号供电电源总业务端

口数 100M 端口 1000M 上行端口 Console 口

H3C E152 交流电源供电 52 48 个 10/100M 电口 4 个千兆 SFP 端口 1

3.2 组网应用

E152 以太网交换机组网方式灵活，既可以应用于企业网络也可以用于宽带接入，下面是几种典型

的组网方式。

3.2.1 宽带小区以太网接入

在宽带小区接入的组网中，E152 以太网交换机放在小区中心，向下通过 S3100 系列交换机接以太

网用户；上行通过 GE 口接到核心的三层交换机，连接到城域网骨干。

3-2

图3-1 E152 以太网交换机小区以太网接入组网图

3.2.2 中小企业/大企业分支机构组网

在中小企业或大企业的分支机构中，E152 以太网交换机可作为骨干交换机的下行设备，通过 L3 交

换机或者路由器连接到总部或其他分支机构的网络。当企业或机构的规模增大的时候，E152 以太

网交换机可以通过级联方式提供更大规模的网络支撑。

图3-2 E152 以太网交换机中小企业/大企业分支机构组网图

E152

S5600 Series

Host

InternetServerFE(100M)

GE(1000M)

ServerFE(100M)

HostHostHostHost

FE(100M) FE(100M)

3-3

3.2.3 大型的企业和园区网的组网

在大型企业网络和园区网中，E152 以太网交换机处于接入层，上连三层以太网交换机如 S3600、S5600 系列交换机，接到核心三层交换机，构成千兆骨干、百兆到桌面的企业网全网解决方案。

图3-3 E152 以太网交换机大型企业和园区网组网图

1

目录

1 CLI（命令行接口）............................................................................................................................ 1-1

1.1 认识命令行接口 ................................................................................................................................. 1-1

1.2 进入命令行接口 ................................................................................................................................. 1-1

1.2.1 通过Console口进行命令行接口 .............................................................................................. 1-1 1.2.2 通过Telnet方式进入命令行接口.............................................................................................. 1-5

1.3 H3C产品命令行接口的说明 ...............................................................................................................1-6

1.3.1 手册中命令行格式约定 ...........................................................................................................1-6 1.3.2 命令行视图说明 ......................................................................................................................1-7

1.4 命令行接口使用技巧..........................................................................................................................1-9

1.4.1 使用命令行在线帮助 ...............................................................................................................1-9 1.4.2 解读输入错误提示信息 .........................................................................................................1-10 1.4.3 快速输入命令行 ....................................................................................................................1-11 1.4.4 查看及重复执行历史命令 ...................................................................................................... 1-11 1.4.5 命令的undo格式....................................................................................................................1-12 1.4.6 命令行显示信息控制 .............................................................................................................1-12

1.5 命令行相关配置 ...............................................................................................................................1-13

1.5.1 配置命令行的别名.................................................................................................................1-13 1.5.2 配置命令行输入防打断功能 .................................................................................................. 1-13 1.5.3 配置命令行级别 ....................................................................................................................1-14 1.5.4 配置保存 ...............................................................................................................................1-15

1-1

1 CLI（命令行接口）

1.1 认识命令行接口

命令行接口是用户与设备之间的文本类指令交互界面，用户键入文本类命令，通过输入回车键提交

设备执行相关命令。通过命令行接口，用户可以输入命令对设备进行配置，并可以通过查看输出的

信息确认配置结果，方便用户配置和管理设备。H3C系列交换机的命令行接口界面如图 1-1所示：

图1-1 命令行接口界面示意图

1.2 进入命令行接口

H3C E152 以太网交换机支持多种方式进入命令行接口：

通过Console口进入命令行接口界面，具体请参见 1.2.1 通过Console口进行命令行接口。

通过Telnet方式进入命令行接口界面，具体请参见 1.2.2 通过Telnet方式进入命令行接口。

通过 SSH 方式以加密方式进入命令行接口界面，具体请参见“SSH”章节的介绍。

1.2.1 通过 Console 口进行命令行接口

H3C 系列交换机在初次使用命令行接口时，只能通过 Console 口进行登录并进入命令行接口界面。

具体请按以下步骤进行操作：

(1) 请使用产品随机附带的配置口电缆连接 PC 机和交换机。请先将配置电缆的 DB-9（孔）插头

插入 PC 机的 9 芯（针）串口插座，再将 RJ-45 插头端插入交换机的 Console 口中。

1-2

图1-2 将交换机与 PC 通过配置口电缆进行连接

连接时请认准接口上的标识，以免误插入其它接口。

由于 PC 机串口不支持热插拔，请不要在交换机带电的情况下，将串口插入或者拔出 PC 机。当连

接 PC 和交换机时，请先安装配置电缆的 DB-9 端到 PC 机，再连接 RJ-45 到交换机；在拆下时，

先拔出 RJ-45 端，再拔下 DB-9 端。

(2) 打开 PC 机的终端仿真程序，本文中以 Windows XP 系统的“超级终端”程序为例。请点击

“开始”-“程序”-“附件”-“通讯”-“超级终端”，进入超级终端窗口，系统弹出如下图

所示的连接描述界面。请在“名称”文本框中填入此次连接的名称（以“Switch”为例），并

单击<确定>按钮。

图1-3 超级终端连接说明界面

(3) 系统弹出如下图所示的界面图，在“连接时使用”一栏中选择连接使用的串口。串口选择完

毕后，单击<确定>按钮。

1-3

图1-4 超级终端连接使用串口设置

(4) 系统弹出如下图所示的连接串口参数设置界面，设置每秒位数为 9600，数据位为 8，奇偶校

验为无，停止位为 1，流量控制为无。串口参数设置完成后，单击<确定>按钮。

图1-5 串口参数设置

(5) 系统进入如下图所示的超级终端界面。

1-4

图1-6 超级终端窗口

在超级终端属性对话框中选择［文件/属性］一项，进入属性窗口。单击属性窗口中的[设置]，进入

属性设置页面（如下图），在其中选择终端仿真为 VT100，选择完成后，单击<确定>按钮。

图1-7 属性设置窗口中终端仿真的设置

(6) 在超级终端界面下单击回车键，屏幕上将出现交换机的命令行接口，表示登录成功。

1-5

图1-8 通过 Console 口登录成功示意图

1.2.2 通过 Telnet 方式进入命令行接口

建议用户在初次登录交换机后，尽快配置 Telnet 远程登录功能，以便后期通过远程终端对设备进行

配置和管理。

1. Telnet 登录的认证方式

为方便对登录设备的人员进行限制，H3C 为您提供三种 Telnet 登录的认证方式，请根据网络状况

选择适当的 Telnet 登录认证方式：

表1-1 Telnet 登录认证方式

认证方式说明适用环境配置方法

无认证配置简单，任意用户都可以通过 Telnet 登录设

备，安全性低实验环境或极为安全的网

络环境

仅使用密码认证配置简单，所有知道密码的用户都可以通过

Telnet 登录设备，安全性较高，但无法对每个

用户的权限进行区别设置

适用于不需要精细化管理

权限的环境

使用用户名和密码

进行认证

配置较为复杂，用户需要输入用户名和密码才

能通过 Telnet 登录设备，安全性高，并且每

个用户的权限可以单独设置

适用于需要多人协同管理

设备的环境

具体请参见

“登录交换

机”章节的介

绍

H3C 系列交换机提供了多个 VTY 类型的用户接口，每个 VTY 用户接口可以提供一个 Telnet 登录资

源。由于远程终端无法选择登录到设备的哪个 VTY 用户接口，因此推荐用户将全部 VTY 用户接口

配置为相同的认证方式，下文中的举例也以此方式进行介绍。

各款 H3C 设备提供的 VTY 用户接口数量不同，本文中以提供 5 个 VTY 用户接口的设备为例，即

VTY 用户接口编号为 0 到 4；如果您的设备支持的 VTY 用户接口数量不同，请将下面配置中的 VTY接口编号范围改为您的设备上实际可选择的范围即可。

1-6

2. Telnet 登录配置

# 进入系统视图。

<Sysname> system-view

# 创建 Vlan-interface 1 接口，用于配置 Telnet 登录所使用的 IP 地址。

[Sysname] interface vlan-interface 1

# 根据目前网络中 IP 网段的分布和使用状况，为设备指定一个 IP 地址。此处以 192.168.0.72 为例。

[Sysname-Vlan-interface1] ip address 192.168.0.72 24

[Sysname-Vlan-interface1] quit

# 进入 VTY 用户接口 0 到 4 的视图。

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4]

# 根据实际需要，配置 VTY 用户接口的认证方式。

略，具体可参考手册“登录交换机”章节的介绍

# 根据需要配置 VTY 用户可以使用的命令级别，此处以 3 为例，即可以使用所有命令。

[Sysname-ui-vty0-4]user privilege level 3

1.3 H3C 产品命令行接口的说明

1.3.1 手册中命令行格式约定

参照 H3C 产品手册进行相关配置时，您需要首先获悉相关命令行格式约定，以方便理解命令含义。

H3C相关产品手册中命令行表示规则，遵循表 1-2约定：

表1-2 命令行格式约定

格式意义

粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。

斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。

[ ] 表示用“[ ]”括起来的部分在命令配置时是可选的。

{ x | y | ... } 表示从两个或多个选项中选取一个。

[ x | y | ... ] 表示从两个或多个选项中选取一个或者不选。

{ x | y | ... } * 表示从两个或多个选项中选取多个，少选取一个，多选取所有选项。

[ x | y | ... ] * 表示从两个或多个选项中选取多个或者不选。

&<1-n> 表示符号&前面的参数可以重复输入 1～n 次。

# 由“#”号开始的行表示为注释行。

H3C 系列产品的命令行接口输入不区分大小写。

根据表 1-2规则解读命令clock datetime time date：

1-7

图1-9 命令行解读

按照下面形式输入后回车，则可以将设备的系统时间设置为 2010 年 2 月 23 日 10 时 30 分 20 秒。

<Sysname> clock datetime 10:30:20 2/23/2010

如遇到其他更为复杂的命令形式，都可以参照表 1-2的约定解读其逻辑关系。

1.3.2 命令行视图说明

各命令行视图是针对不同的配置要求实现的，它们之间既有联系又有区别。比如，用户在与以太网

交换机建立连接后即进入用户视图，在用户视图下只能完成查看运行状态和统计信息的简单功能。

用户可以键入 system-view 进入系统视图，在系统视图下，可以键入不同的命令进入相应的视图。

E152 以太网交换机提供的命令行视图以及各命令行视图的功能特性、进入各视图的命令等细则如

表 1-3所示。

表1-3 命令视图功能特性列表

视图功能提示符示例进入命令退出命令

用户视图查看交换机的简单运

行状态和统计信息等 <Sysname> 与交换机建立连接即

进入 quit 断开与交换机

的连接

系统视图配置系统参数 [Sysname] 在用户视图下使用

system-view 命令 quit 或 return 返回

用户视图

百兆以太网端口视

图：

[Sysname-Ethernet1/0/1]

在系统视图下使用

interface ethernet 命令

以太网端口视

图配置以太网端口参数千兆以太网端口视

图：

[Sysname-GigabitEthernet1/1/1]

在系统视图下使用interface gigabitethernet 命令

Aux1/0/0 端口

（即 Console口）视图

E152 以太网交换机不

支持对 Aux1/0/0 端口

进行配置 [Sysname-Aux1/0/0]


interface aux 1/0/0 命

令

VLAN 视图配置 VLAN 参数 [Sysname-vlan1] 在系统视图下使用

vlan 命令

VLAN 接口视

图配置 VLAN 接口（包括

管理 VLAN）的参数 [Sysname-Vlan-interface1]

在系统视图下使用interface Vlan-interface 命令

LoopBack接口

视图配置 LoopBack 接口参

数 [Sysname-LoopBack0]


interface loopback命令

NULL 接口视

图配置 NULL 接口参数 [Sysname-NULL0] 在系统视图下使用

interface null 命令

本地用户视图配置本地用户参数 [Sysname-luser-user1]


local-user 命令

用户界面视图配置用户界面参数 [Sysname-ui-aux0] 在系统视图下使用

user-interface 命令

quit 返回系统视图

return 返回用户视

图

1-8


FTP Client 视图配置 FTP Client 参数 [ftp] 在用户视图下使用 ftp

命令

SFTP Client 视图配置 SFTP Client 参数 sftp-client> 在系统视图下使用

sftp 命令

job 视图配置定时执行任务参

数 [Sysname-job-task1] 在系统视图下使用 job命令

MST 域视图配置 MST 域的参数 [Sysname-mst-region]

在系统视图下使用 stp region-configuration命令

集群视图配置集群参数 [Sysname-cluster] 在系统视图下使用

cluster 命令

定时执行任务

视图配置定时执行任务相

关参数 [Sysname-job-pc1] 在系统视图下使用 job命令

配置 SSH 用户的 RSA公共密钥

[Sysname-rsa-public-key]

在系统视图下使用 rsa peer-public-key 命令

公共密钥视图配置 SSH 用户的 RSA或 DSA 公共密钥

[Sysname-peer-public-key]


public-key peer 命令

peer-public-key end 返回系统视图

编辑 SSH 用户的 RSA公共密钥

[Sysname-rsa-key-code]

公共密钥编辑

视图编辑 SSH 用户的 RSA或 DSA 公共密钥

[Sysname-peer-key-code]

在公共密钥视图下使

用 public-key-code begin 命令

public-key-code end 返回公共密钥

视图

基本 ACL 视图定义基本 ACL 的子规

则（取值范围为

2000~2999）

[Sysname-acl- basic-2000]

在系统视图下使用 acl number 命令

高级 ACL 视图定义高级 ACL 的子规


3000~3999）

[Sysname-acl-adv-3000]


二层 ACL 视图定义二层 ACL 的子规


4000~4999）

[Sysname-acl-ethernetframe-4000]


用户自定义

ACL 视图

定义用户自定义 ACL的子规则（取值范围为

5000~5999）

[Sysname-acl-user-5000]


IPv6 ACL 视图定义 IPv6 ACL 的子规


5000~5999）

[Sysname-acl-user-5000]


QoS profile 视

图定义 QoS profile [Sysname-qos-profile-a123]


qos-profile 命令

RADIUS 方案

视图配置 RADIUS 协议参

数 [Sysname-radius-1] 在系统视图下使用

radius scheme 命令

ISP 域视图配置 ISP域的相关属性[Sysname-isp-aaa123.net]


domain 命令

HWPing 测试

组视图配置HWPing测试组参

数 [Sysname-hwping-a123-a123]


hwping 命令

HWTACACS视图配置HWTACACS参数

[Sysname-hwtacacs-a123]


hwtacacs scheme 命

令

quit 返回系统视图


图

1-9


Smart Link 组

视图配置Smart Link组参数[Sysname-smlk-group1]


smart-link group 命

令

Monitor Link组视图

配置 Monitor Link 组参

数 [Sysname-mtlk-group1]

在系统视图下使用 monitor-link group命令

PKI 域视图配置 PKI域的相关属性[Sysname-pki-domain-1]

在系统视图下使用 pki domain 命令

PKI 实体视图配置 PKI实体的各种属

性值 [Sysname-pki-entity-en]

在系统视图下使用 pki entity 命令

PKI 证书属性

组视图配置 PKI证书属性组的

各种属性值 [Sysname-cert-attribute-group-mygroup]

在系统视图下使用 pki certificate attribute-group 命令

PKI 证书属性

的访问控制策

略视图

配置 PKI证书属性的访

问控制策略 [Sysname-cert-acp-mypolicy]

在系统视图下使用 pki certificate access-control-policy 命令

SSL 服务器端

策略视图配置 SSL 服务器端策

略的相关属性 [Sysname-ssl-server-policy-policy1]

在系统视图下使用 ssl server-policy 命令

SSL 客户端策

略视图配置 SSL 客户端策略

的相关属性 [Sysname-ssl-client-policy-policy1]

在系统视图下使用 ssl client-policy 命令

QinQ 视图配置 QinQ 视图参数 [Sysname-Ethernet1/0/1-vid-20]

在以太网端口视图下

使用 vlan-vpn vid 命

令

必须先执行 vlan-vpn enable 命令，才能配

置该命令

quit 返回以太网端

口视图


图

快捷键<Ctrl+Z>的功能等同于 return 命令。

1.4 命令行接口使用技巧

1.4.1 使用命令行在线帮助

在命令行输入过程中，您可以随时键入“?”以获得详尽的在线帮助。下面给出常见的在线帮助应

用场景，供您参考使用：

(1) 在任意视图下，键入<?>即可获取该视图下所有的命令及其简单描述。 <Sysname> ?

User view commands:

boot Set boot option

cd Change current directory

clock Specify the system clock

cluster Run cluster command

copy Copy from one file to another

1-10

debugging Enable system debugging functions

delete Delete a file

dir List files on a file system

display Display current system information

……略……

(2) 键入一条命令的部分关键字，后接以空格分隔的<?>。

如果该位置为关键字，则列出全部关键字及其简单描述。

<Sysname> terminal ?

debugging Send debug information to terminal

logging Send log information to terminal

monitor Send information output to current terminal

trapping Send trap information to terminal

如果该位置为参数，则列出有关的参数描述。


[Sysname] interface vlan-interface ?

<1-4094> VLAN interface number

[Sysname] interface vlan-interface 1 ?

<cr>


<cr>表示该位置无参数，直接键入回车即可执行。

(3) 键入命令的部分字符，其后紧接<?>，显示该字符串开头的所有命令。 <Sysname> c?

cd

clock

cluster

copy

(4) 键入命令关键字的部分字符，其后紧接<?>，列出命令以该字符串开头的所有关键字。 <Sysname> display cl?

clock

cluster

1.4.2 解读输入错误提示信息

所有用户键入的命令，如果通过语法检查，则正确执行，否则向用户报告错误信息，常见错误信息

参见表 1-4。

表1-4 命令行常见错误信息表

英文错误信息错误原因

没有查找到命令 % Unrecognized command found at '^' position.

没有查找到关键字

% Incomplete command found at '^' position. 输入命令不完整

% Ambiguous command found at '^' position. 输入参数不明确，存在二义性

Too many parameters 输入参数太多

% Wrong parameter found at '^' position. 输入参数错误

1-11

1.4.3 快速输入命令行

1. 不完整关键字输入

H3C 系列产品支持不完整关键字输入，当您对 H3C 产品的命令行非常熟悉后，可以采用更为快捷

的输入方式，提高操作效率。

在当前视图下，当输入的字符能够唯一匹配关键字，可以不必输入完整的关键字：

比如用户视图下以 s 开头的命令有 save、startup saved-configuration、system-view 等。

如果要保存当前配置，可以直接输入 sa；

如果要设置下次启动文件，可以直接输入 st s；

如果要进入系统视图，可以简写输入 sy（注意不能只输入 s，因为输入不能确定唯一匹配关

键字）。

关键字的全部字符可以按<Tab>键由系统自动补全，以确认系统的选择是否为自己要匹配的关键字。

2. 编辑输入的命令行

输入命令行时的一些常用编辑功能，请参见表 1-5的具体介绍，以方便您的使用。

表1-5 编辑功能表

按键功能

普通按键若编辑缓冲区未满，则插入到当前光标位置，并向右移动光标

退格键<Backspace> 删除光标位置的前一个字符，光标前移

左光标键←或<Ctrl+B> 光标向左移动一个字符位置

右光标键→或<Ctrl+F> 光标向右移动一个字符位置

<Tab>键

输入不完整的关键字后按下<Tab>键，系统自动补全关键字：

如果与之匹配的关键字唯一，则系统用此完整的关键字替代原输入并换行

显示；如果与之匹配的关键字不唯一，则反复按<Tab>键，可以循环显示所有以

输入字母开头的关键字；如果没有与之匹配的关键字，系统会不作任何修改，重新换行显示原输入

1.4.4 查看及重复执行历史命令

命令行接口会将用户近使用的历史命令自动保存到历史命令缓存区，用户可以随时了解近执行

的命令，以及调用保存的历史命令按回车键后重复执行。

表1-6 访问历史命令

操作命令或按键结果

显示历史命令 display history-command 显示用户输入的有效历史命令

访问上一条历史命令上光标键↑或<Ctrl+P> 如果还有更早的历史命令，则取出上一条

历史命令

访问下一条历史命令下光标键↓或<Ctrl+N> 如果还有更晚的历史命令，则取出下一条

历史命令

1-12

用光标键对历史命令进行访问，在 Windows 200X 及 XP 的 Terminal 和 Telnet 下都是有效的，但

对于 Windows 9X 超级终端，↑、↓光标键会无效，这是由于 Windows 9X 的超级终端对这两个键

作了不同解释所致，这时可以用组合键<Ctrl+P>和<Ctrl+N>来代替↑、↓光标键达到同样效果。

下面是关于历史命令的一些详细说明，可以做进一步了解：

设备保存的历史命令与用户输入的命令格式相同，如果用户使用了命令的不完整形式，保存

的历史命令也是不完整形式。

如果用户连续多次执行同一条命令，设备的历史命令中只保留早的一次。但如果执行时输

入的形式不同，将作为不同的命令对待。例如：多次执行 display cu 命令，历史命令中只保

存一条。如果执行 display cu 和 display current-configuration，将保存为两条历史命令。

缺省情况下，命令行接口为每个用户保存 10 条历史命令，但用户可以通过 history-command

max-size 命令来设置当前用户界面历史命令缓冲区的容量（关于 history-command

max-size 命令的详细介绍请参见“登录交换机”章节的介绍）。

1.4.5 命令的 undo 格式

命令的 undo 形式一般用来恢复缺省情况、禁用某个功能或者删除某项设置。

在命令前加 undo 关键字，即为命令的 undo 形式，大多数配置命令都有对应的 undo 形式。

例如，info-center enable 命令用来开启信息中心功能；undo info-center enable 命令用来关闭

信息中心功能。

1.4.6 命令行显示信息控制

1. 分屏信息的显示控制

命令行接口在一次显示信息超过一屏时，提供了暂停功能，方便用户查看显示信息。

这时用户可以使用表 1-7所示的按键来选择下一步操作。

表1-7 显示功能表

按键或命令功能

暂停显示时键入空格键继续显示下一屏信息

暂停显示时键入回车键继续显示下一行信息

暂停显示时键入<Ctrl+C> 停止显示和命令执行

<Ctrl+E> 将光标移动到当前行的末尾

<PageUp> 显示上一页信息

<PageDown> 显示下一页信息

1-13

1.5 命令行相关配置

1.5.1 配置命令行的别名

通过配置命令行别名，用户可以将设备当前支持的命令行的第一个关键字替换为自己惯用的关键

字。比如将 display 的别名设置为 show，这样在设备上执行 display xx 命令时只需要输入 show xx即可。

在配置命令行别名时，需要遵循以下约定：

当查看当前配置信息以及保存配置信息时，用户输入的带别名的命令将以系统原始的命令形

式被显示或存储，而不会以别名的形式。即用户的别名命令可以使用，但不会参与配置保存

和恢复。

配置命令行别名时，输入的待替换的关键字（cmdkey）和替换后的关键字（alias）参数必须

是完整的输入形式。

在用户启动别名功能的情况下，当用户输入不完整关键字，且该关键字与用户已匹配的别名

以及现有某关键字同时部分匹配时，以别名替换优先。用户想输入现有关键字对应的命令需

要完整输入该关键字。如果用户输入的字符串与多个所设置的别名部分匹配，则输出歧义匹

配信息。

当用户对别名关键字使用<Tab>键时，将联想出所对应的原始关键字。

不支持对整个命令行的替换。只支持对第一关键字的别名设置，以及 undo 命令的第二关键字

的别名替换

表1-8 配置命令行的别

操作命令说明

进入系统视图 system-view -

使能命令行别名功能 command-alias enable

必选

缺省情况下，命令行别名功能

处于关闭状态，即用户不能给

命令行指定别名

给指定的命令行配置别名 command-alias mapping cmdkey alias 必选

缺省情况下，命令行没有配置

别名

您可以随时使用 display command-alias 命令来显示当前已经设置的命令行别名。

1.5.2 配置命令行输入防打断功能

用户在未完成输入操作却被大量的系统信息打断时，开启此功能可以回显用户已经输入而未提交执

行的信息，方便用户继续完成未输入的内容。

使用 info-center synchronous 命令可以开启命令行输入防打断功能，跟随系统信息显示同步显示

用户已经输入的信息。

表1-9 配置命令行输入防打断功能

操作命令说明


1-14

操作命令说明

打开同步信息输出功能 info-center synchronous 必选

缺省情况下，同步信息输出功能处于关闭状态

在当前命令行提示符下，如果用户没有任何输入，此时若有日志等系统信息输出，输出后将不会

回显命令行提示符；当处在交互状态，需要用户输入一些交互信息时（非 Y/N 确认信息），因为情况各异，所以若有

系统信息输出，输出后不再回显提示信息，而只是将用户已有的输入换行打印出来。

关于 info-center synchronous 命令的介绍请参见手册“信息中心配置命令”章节。

1.5.3 配置命令行级别

1. 命令级别说明

为了保障设备的安全，防止非法用户操作设备。H3C 设备通过用户级别和命令级别来限制用户对命

令的使用。用户级别由管理员在规划用户时指定，用户的级别与命令级别对应，用户登录后，只能

使用等于或低于自己级别的命令。

命令的级别由低到高分为访问级、监控级、系统级和管理级四种，分别对应级别值 0、1、2、3。详细介绍请见表 1-10：

表1-10 命令级别简介

级别值级别名称描述

0 访问级用于网络诊断等功能的命令、从本设备出发访问外部设备的命令。该级别命令配置后

不允许保存，设备重启后，该级别命令会恢复到缺省状态

缺省情况下，访问级的命令包括：ping、tracert、telnet、ssh2 等

1 监控级

用于系统维护、业务故障诊断等功能的命令。该级别命令配置后不允许保存，设备重

启后，该级别命令会恢复到缺省状态

缺省情况下，监控级的命令包括：debugging、terminal、refresh、reset、send等

2 系统级业务配置命令，包括路由、各个网络层次的命令，这些命令用于向用户提供直接网络

服务

缺省情况下，系统级的命令包括：管理级命令除外的所有配置命令

3 管理级

关系到系统的基本运行、系统支撑模块功能的命令，这些命令对业务提供支撑作用

缺省情况下，管理级的命令包括：文件系统命令、FTP 命令、TFTP 命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非

RFC 规定）等

用户级别的配置方式，具体请参见“登录交换机”章节的介绍。

2. 修改命令级别配置

缺省情况，各个视图下的每条命令都有指定的级别。管理员也可以根据用户需要改变某条命令的级

别，实现低级别用户可以使用部分高级别命令的需求，或者将某些命令的级别提高，增加设备的安

全性。

1-15

表1-11 配置指定视图中指定命令的级别

操作命令说明


设置指定视图中指定命令的级别 command-privilege level level view view command 必选

通常情况下，建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改，以免造成操

作和维护上的不便甚至给设备带来安全隐患。如果指定的命令中包含多个关键字或参数，则需要按照关键字或参数的执行顺序依次对每个关键

字和参数进行指定，否则配置将不能生效。参数只要在取值范围之内即可，对具体值没有限制。如果将某视图下的某条命令的级别修改为低于缺省级别的级别，请注意相应的修改进入该视图命

令的级别。

3. 修改命令级别配置举例

普通用户通过 Telnet 方式登录到交换机后，能使用的命令行级别为 0 级。网络管理员（3 级用户）

希望将处于 3 级状态的 tftp get 命令指定到 0 级状态，以便普通用户实现文件下载功能。

# 设置“tftp get”命令为 0 级，执行视图为用户视图（Shell）。需要注意的是，只有 3 级用户才

能执行此命令。


[Sysname] command-privilege level 0 view shell tftp

[Sysname] command-privilege level 0 view shell tftp 192.168.0.1

[Sysname] command-privilege level 0 view shell tftp 192.168.0.1 get

[Sysname] command-privilege level 0 view shell tftp 192.168.0.1 get bootrom.btm

完成上述配置后，普通用户通过 Telnet 方式登录到交换机，可以通过 tftp get 命令从 TFTP 服务器

（192.168.0.1）上下载 bootrom.btm 或者其他文件，还可通过 tftp get 命令从其他 TFTP 服务器上

下载文件。

1.5.4 配置保存

在 H3C 交换机的命令行中，有些是一次性执行命令，比如：display 类显示命令（执行后即显示相

关信息），reset 类清除命令（执行后即清除相关信息）。这类命令执行您的一次性操作要求，不

涉及配置保存。除了这类命令外，您可以在任意视图下输入 save 命令，将已经提交执行的所有命

令行，保存在配置文件中，这样在交换机重启后，所有保存的配置不会丢失。

i

目录

1 登录以太网交换机.............................................................................................................................. 1-1

1.1 登录以太网交换机方法简介 ...............................................................................................................1-1

1.2 用户界面简介..................................................................................................................................... 1-1

1.2.1 交换机支持的用户界面 ...........................................................................................................1-1 1.2.2 交换机用户界面编号 ...............................................................................................................1-1 1.2.3 用户界面公共配置...................................................................................................................1-2

2 通过Console口进行本地登录 ............................................................................................................. 2-1

2.1 通过Console口进行本地登录简介 ..................................................................................................... 2-1

2.2 通过Console口登录交换机 ................................................................................................................2-1

2.3 配置Console口登录方式的属性.........................................................................................................2-3

2.3.1 配置Console口登录方式的公共属性 ....................................................................................... 2-3 2.3.2 不同认证方式下Console口登录方式的属性配置 ..................................................................... 2-4

2.4 认证方式为None时Console口登录方式的配置.................................................................................. 2-5

2.4.1 配置过程 ................................................................................................................................. 2-5 2.4.2 配置举例 ................................................................................................................................. 2-6

2.5 认证方式为Password时Console口登录方式的配置 .......................................................................... 2-7

2.5.1 配置过程 ................................................................................................................................. 2-7 2.5.2 配置举例 ................................................................................................................................. 2-8

2.6 认证方式为Scheme时Console口登录方式的配置 ............................................................................. 2-9

2.6.1 配置过程 ................................................................................................................................. 2-9 2.6.2 配置举例 ...............................................................................................................................2-10

3 通过Telnet进行登录 ........................................................................................................................... 3-1

3.1 通过Telnet进行登录的简介................................................................................................................3-1

3.1.1 配置Telnet登录方式的公共属性.............................................................................................. 3-1 3.1.2 不同认证方式下Telnet登录方式的配置 ................................................................................... 3-2

3.2 认证方式为None时Telnet登录方式的配置 ........................................................................................ 3-3

3.2.1 配置过程 ................................................................................................................................. 3-3 3.2.2 配置举例 ................................................................................................................................. 3-3

3.3 认证方式为Password时Telnet登录方式的配置 ................................................................................. 3-4

3.3.1 配置过程 ................................................................................................................................. 3-4 3.3.2 配置举例 ................................................................................................................................. 3-5

3.4 认证方式为Scheme时Telnet登录方式的配置 .................................................................................... 3-7

3.4.1 配置过程 ................................................................................................................................. 3-7 3.4.2 配置举例 ................................................................................................................................. 3-9

3.5 Telnet配置环境搭建.........................................................................................................................3-10

3.5.1 通过终端Telnet到以太网交换机............................................................................................ 3-10 3.5.2 通过以太网交换机Telnet到以太网交换机 ............................................................................. 3-12

4 通过Console口利用Modem拨号远程登录 .......................................................................................... 4-1

4.1 通过Console口利用Modem拨号进行远程登录简介........................................................................... 4-1

4.2 交换机端的相关配置..........................................................................................................................4-1

ii

4.2.1 与交换机直接相连的Modem上的配置..................................................................................... 4-1 4.2.2 交换机的相关配置...................................................................................................................4-2

4.3 通过Modem拨号搭建配置环境 .......................................................................................................... 4-2

5 通过WEB网管登录............................................................................................................................. 5-1

5.1 通过WEB网管登录简介 .....................................................................................................................5-1

5.2 WEB配置环境搭建 ............................................................................................................................5-1

5.3 配置WEB登录显示banner信息..........................................................................................................5-2

5.3.1 配置过程 ................................................................................................................................. 5-2 5.3.2 配置举例 ................................................................................................................................. 5-2

5.4 关闭/启动WEB Server....................................................................................................................... 5-3

6 通过NMS登录 .................................................................................................................................... 6-1

6.1 通过NMS登录简介.............................................................................................................................6-1

6.2 通过NMS方式登录组网结构 ..............................................................................................................6-1

7 Telnet业务报文指定源IP .................................................................................................................... 7-1

7.1 Telnet业务报文指定源IP简介 ............................................................................................................7-1

7.2 配置Telnet业务报文指定源IP ............................................................................................................7-1

7.2.1 用户视图下的配置...................................................................................................................7-1 7.2.2 系统视图下的配置...................................................................................................................7-1

7.3 配置Telnet业务报文指定源IP显示 ..................................................................................................... 7-2

8 对登录用户的控制.............................................................................................................................. 8-1

8.1 简介 ................................................................................................................................................... 8-1

8.2 对Telnet用户进行控制 .......................................................................................................................8-1

8.2.1 配置准备 ................................................................................................................................. 8-1 8.2.2 通过源IP对Telnet用户进行控制 .............................................................................................. 8-1 8.2.3 通过源IP、目的IP对Telnet用户进行控制................................................................................ 8-2 8.2.4 通过源MAC对Telnet用户进行控制 ......................................................................................... 8-2 8.2.5 配置举例 ................................................................................................................................. 8-3

8.3 通过源IP对SNMP网管用户进行控制 ................................................................................................. 8-3

8.3.1 配置准备 ................................................................................................................................. 8-3 8.3.2 通过源IP对SNMP网管用户进行控制 ...................................................................................... 8-3 8.3.3 配置举例 ................................................................................................................................. 8-4

8.4 通过源IP对WEB网管用户进行控制 ................................................................................................... 8-5

8.4.1 配置准备 ................................................................................................................................. 8-5 8.4.2 通过源IP对WEB网管用户进行控制......................................................................................... 8-5 8.4.3 强制在线WEB网管用户下线 ................................................................................................... 8-5 8.4.4 配置举例 ................................................................................................................................. 8-6

9 切换用户级别 ..................................................................................................................................... 9-1

9.1 切换用户级别简介 .............................................................................................................................9-1

9.2 配置用户级别切换认证方式 ...............................................................................................................9-1

9.2.1 用户级别切换采用super密码认证配置 .................................................................................... 9-2 9.2.2 用户级别切换采用HWTACACS认证配置 ............................................................................... 9-2

9.3 切换用户级别..................................................................................................................................... 9-3

9.4 配置举例............................................................................................................................................ 9-3

iii

9.4.1 super密码认证方式配置举例 .................................................................................................. 9-3 9.4.2 HWTACACS认证方式配置举例 .............................................................................................. 9-3

1-1

1 登录以太网交换机

新增“配置Telnet用户登录时是否显示版权声明提示信息”功能，请参见“1.2.3 用户界面公共

配置”。新增“配置WEB登录显示banner信息”功能，请参见“5.3 配置WEB登录显示banner信息”。

1.1 登录以太网交换机方法简介

用户可以通过以下几种方式登录 E152 以太网交换机：

通过 Console 口进行本地登录

通过以太网端口利用 Telnet 或 SSH 进行本地或远程登录

通过 Console 口利用 Modem 拨号进行远程登录

通过 WEB 网管登录

通过 NMS（Network Management Station，网管工作站）登录

1.2 用户界面简介

1.2.1 交换机支持的用户界面

在 H3C 系列中低端以太网交换机中，AUX 口（Auxiliary port，辅助端口）和 Console 口是同一个

端口，以下称为 Console 口，与其对应的用户界面类型只有 AUX 用户界面类型。

E152 以太网交换机支持两种用户界面：AUX 用户界面和 VTY 用户界面。

AUX 用户界面：系统提供的通过 Console 口登录的视图。Console 口是一种线设备端口。

VTY（Virtual Type Terminal，虚拟类型终端）用户界面：系统提供的通过 VTY 方式登录的视

图。VTY 口属于逻辑终端线，用于对设备进行 Telnet 或 SSH 访问。

表1-1 用户界面介绍

用户界面对应用户使用的交换机端口类型说明

AUX 用户界面通过Console口登录的用户 Console 口每台交换机只能有 1 个 AUX 用户

VTY 用户界面 Telnet 用户、SSH 用户以太网端口每台交换机最多可以有 5 个 VTY用户

1.2.2 交换机用户界面编号

用户界面的编号有两种方式：绝对编号方式和相对编号方式。

1-2

(1) 绝对编号方式，遵守的规则如下：

AUX 用户界面编号排在 VTY 用户界面之前，第一个 AUX 用户界面的绝对编号为 0，第二个

AUX 用户界面的绝对编号为 1，依此类推；

VTY 用户界面编号排在 AUX 用户界面之后，第一个 VTY 用户界面的绝对编号为 8，第二个

VTY 用户界面的绝对编号为 9，依此类推。

(2) 相对编号的形式是：用户界面类型+编号。遵守的规则如下：

AUX 用户界面的编号：第一个为 AUX0，第二个为 AUX1，依此类推；

VTY 用户界面的编号：第一个为 VTY0，第二个为 VTY1，依此类推。

1.2.3 用户界面公共配置

表1-2 用户界面公共配置

操作命令说明

锁住当前用户界面 lock

可选

在用户视图下执行

缺省情况下，不锁住当前用户界面

设置在用户界面之间传递消息 send { all | number | type number }

可选


释放指定的用户界面 free user-interface [ type ] number

可选



配置登录交换机时的显示信息 header [ incoming | legal | login | shell ] text

可选

缺省情况下，没有配置显示信息

配置交换机的系统名 sysname string 可选

缺省情况下，系统名为 H3C

配置用户登录时显示版权声明提

示信息 copyright-info enable

可选

缺省情况下，用户登录时终端显示版权声明

提示信息

进入用户界面视图 user-interface [ type ] first-number [ last-number ] -

显示用户界面的使用信息 display users [ all ]

显示用户界面的物理属性和部分

配置 display user-interface [ type number | number ]

显示 WEB 用户的相关信息 display web users

可选

display 命令可以在任意视图下执行

2-1

2 通过 Console 口进行本地登录

2.1 通过 Console 口进行本地登录简介

通过交换机 Console 口进行本地登录是登录交换机的最基本的方式，也是配置通过其他方式登录交

换机的基础。缺省情况下，E152 以太网交换机只能通过 Console 口进行本地登录。

交换机 Console 口的缺省配置如下。

表2-1 交换机 Console 口缺省配置

属性缺省配置

传输速率 9600bit/s

流控方式不进行流控

校验方式不进行校验

停止位 1

数据位 8

用户终端的通信参数配置要和交换机 Console 口的配置保持一致，才能通过 Console 口登录到以太

网交换机上。

用户登录到交换机上后，可以对AUX用户界面进行相关的配置，请参见 2.3 配置Console口登录方

式的属性。

2.2 通过 Console 口登录交换机

第一步：如图 2-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网

交换机的Console口连接。

图2-1 通过 Console 口搭建本地配置环境

第二步：在PC机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X/Windows 2000/Windows XP的超级终端等，以下配置以Windows XP为例），选择与交换机相连的串口，设

置终端通信参数：传输速率为 9600bit/s、8 位数据位、1 位停止位、无校验和无流控，如图 2-2至图 2-4所示。

2-2

图2-2 新建连接

图2-3 连接端口设置

图2-4 端口通信参数设置

第三步：以太网交换机上电，终端上显示设备自检信息，自检结束后提示用户键入回车，之后将出

现命令行提示符（如<Sysname>），如图 2-5所示。

2-3

图2-5 以太网交换机配置界面

第四步：键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”，

具体的配置命令请参考本手册中相关部分的内容。

2.3 配置 Console 口登录方式的属性

2.3.1 配置 Console 口登录方式的公共属性

Console口登录方式的公共属性配置，如表 2-2所示。

表2-2 Console 口登录方式公共属性配置

Console 口登录方式属性配置说明

传输速率可选

缺省情况下，Console 口使用的传输速率为 9600bit/s

校验方式可选

缺省情况下，Console 口的校验方式为 none，即不进行校验

停止位可选

缺省情况下，Console 口的停止位为 1

配置Console口属

性

数据位可选

缺省情况下，Console 口支持的数据位为 8 位

AUX 用户界面配

置 AUX 界面登录的用户可以

访问的命令级别可选

缺省情况下，AUX 界面登录的用户可以访问的命令级别为 3 级

2-4

Console 口登录方式属性配置说明

启动终端服务功能可选

缺省情况下，所有用户界面上启动终端服务

终端屏幕一屏显示的行数可选

缺省情况下，一屏可显示 24 行

历史命令缓冲区大小可选

缺省情况下，可存放 10 条历史命令

终端属性配置

用户界面的超时时间可选

缺省情况下，用户超时断开连接的时间为 10 分钟

改变Console口属性后会立即生效，所以通过Console口登录来配置Console口属性可能在配置过程

中发生连接中断，建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登

录交换机，需要改变PC机上运行的终端仿真程序的相应配置，使之与交换机上的配置保持一致，如

图 2-4所示。

2.3.2 不同认证方式下 Console 口登录方式的属性配置

不同的认证方式下，Console口登录方式需要进行的配置不同，具体配置如表 2-3所示。

表2-3 不同认证方式下 Console 口登录方式的属性配置

认证方式 Console 口登录方式的属性配置说明

None 配置公共属性配置 Console 口登录方式的

公共属性可选

具体内容参见表 2-2

配置口令配置本地验证口令必选

Password 配置公共属性配置 Console 口登录方式的

公共属性可选


配置采用本地认证

或者到远端

RADIUS 服务器上

认证

通过交换机的 AAA 配置可以

设置对用户采用本地认证还

是到 RADIUS 服务器上认证

可选

缺省情况下，交换机采用本地认证的方式

具体配置请参见“AAA”部分

配置用户名和密码配置本地或 RADIUS 端用户

名和口令认证

必选

本地用户名和口令的设置在交换机上完

成 RADIUS 端用户名和口令的设置在

RADIUS 服务器上进行，详细内容请参

见 RADIUS 服务器的随机指导书

AUX 用户管理设置 AUX 用户的服务类型必选

Scheme

配置公共属性配置 Console 口登录方式的

公共属性可选


2-5

改变 Console 口登录方式的认证方式后，该认证方式的设置不会立即生效。用户需要退出命令行接

口后重新登录，该设置才会生效。

2.4 认证方式为 None 时 Console 口登录方式的配置

2.4.1 配置过程

表2-4 认证方式为 None 时 Console 口登录方式的配置

操作命令说明


进入 AUX 用户界面视图 user-interface aux 0 -

设置登录用户的认证方式为不

认证 authentication-mode none

必选

缺省情况下，用户通过 Console 口（AUX 用户界

面）登录不需要进行认证

配置传输速率 speed speed-value 可选

缺省情况下，Console 口使用的传输速率为9600bit/s

配置校验方式 parity { even | none | odd }

可选

缺省情况下，Console 口的校验方式为 none，即

不进行校验

配置停止位 stopbits { 1 | 1.5 | 2 } 可选


配置

Console 口

的属性

配置数据位 databits { 7 | 8 } 可选

缺省情况下，Console 口的数据位为 8 位

设置从用户界面登录后可以访

问的命令级别 user privilege level level

可选

缺省情况下，从 AUX 用户界面登录后可以访问的

命令级别为 3 级，从 VTY 用户界面登录后可以访

问的命令级别为 0 级

启动终端服务 shell 可选

缺省情况下，在所有的用户界面上启动终端服务

设置终端屏幕一屏显示的行数 screen-length screen-length

可选

缺省情况下，终端屏幕一屏显示的行数为 24 行

screen-length 0 表示关闭分屏显示功能

设置历史命令缓冲区大小 history-command max-size value

可选

缺省情况下，历史缓冲区的大小为 10，即可存放

10 条历史命令

设置用户界面的超时时间 idle-timeout minutes [ seconds ]

可选

缺省情况下，所有的用户界面的超时时间为 10 分

钟

如果 10 分钟内某用户界面没有用户进行操作，则

该用户界面将自动断开

idle-timeout 0 表示关闭用户界面的超时功能

2-6

2.4.2 配置举例

1. 组网需求

交换机已经被配置为允许用户通过 Telnet 方式登录，且当前用户级别为管理级（3 级）。当前登录

用户需要对通过 Console 口（AUX 用户界面）登录的用户进行如下限定：

设置通过 Console 口登录交换机的用户不需要进行认证

设置从 AUX 用户界面登录后可以访问的命令级别为 2 级

设置 Console 口使用的传输速率为 19200bit/s

设置终端屏幕的一屏显示 30 行命令

设置历史命令缓冲区可存放 20 条命令

设置 AUX 用户界面的超时时间为 6 分钟

2. 组网图

图2-6 配置认证方式为 None 的 AUX 用户界面属性的组网图

3. 配置步骤



# 进入 AUX 用户界面视图。

[Sysname] user-interface aux 0

# 设置通过 Console 口登录交换机的用户不需要进行认证。

[Sysname-ui-aux0] authentication-mode none

# 设置从 AUX 用户界面登录后可以访问的命令级别为 2 级。

[Sysname-ui-aux0] user privilege level 2

# 设置 Console 口使用的传输速率为 19200bit/s。

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示 30 行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放 20 条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置 AUX 用户界面的超时时间为 6 分钟。

2-7

[Sysname-ui-aux0] idle-timeout 6

完成上述配置后，用户需要改变PC机上运行的终端仿真程序的相应配置，如图 2-4所示，使之与交

换机上的配置保持一致，才能确保正常登录。

2.5 认证方式为 Password 时 Console 口登录方式的配置

2.5.1 配置过程

表2-5 认证方式为 Password 时 Console 口登录方式的配置

操作命令说明



设置登录用户的认证方式为本

地口令认证 authentication-mode password

必选

缺省情况下，用户通过 Console 口（AUX 用户界

面）登录不需要进行验证

设置本地验证的口令 set authentication password { cipher | simple } password

必选


缺省情况下，Console 口使用的传输速率为9600bit/s

配置校验方式 parity { even | none | odd }

可选

缺省情况下，Console 口的校验方式为 none，即

不进行校验



配置Console口的属性




问的命令级别 user privilege level level可选

缺省情况下，从 Console 口登录后可以访问的命

令级别为 3 级




可选




可选

缺省情况下，历史缓冲区的大小为 10，即可存放

10 条历史命令


可选


钟




2-8

2.5.2 配置举例

1. 组网需求

交换机已经被配置为允许用户通过 Telnet 方式登录，且用户级别为管理级（3 级）。当前登录用户

需要对通过 Console 口（AUX 用户界面）登录的用户进行如下限定：

设置通过 Console 口登录交换机的用户进行 Password 认证

设置用户的认证口令为明文方式，口令为 123456

设置从 AUX 用户界面登录后可以访问的命令级别为 2 级





2. 组网图

图2-7 配置认证方式为 Password 的 AUX 用户界面属性的组网图

3. 配置步骤





# 设置通过 Console 口登录交换机的用户进行 Password 认证。

[Sysname-ui-aux0] authentication-mode password

# 设置用户的认证口令为明文方式，口令为 123456。

[Sysname-ui-aux0] set authentication password simple 123456

# 设置从 AUX 用户界面登录后可以访问的命令级别为 2 级。

[Sysname-ui-aux0] user privilege level 2





2-9







2.6 认证方式为 Scheme 时 Console 口登录方式的配置

2.6.1 配置过程

表2-6 认证方式为 Scheme 时 Console 口登录方式的配置

操作命令说明


进入 ISP 域视图 domain domain-name

配置域使用的 AAA方案

scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] }

配置交

换机采

用的认

证方案

退出至系统视图 quit

可选

缺省情况下，系统使用的 AAA 方案为 local

如果采用 local 认证，则必须进行后续的本地用

户配置；如果采用 radius 或者 hwtacacs 方式

认证，则需进行如下配置：

交换机上的配置请参见“AAA”部分

AAA 服务器上需要配置相关的用户名和密码，具

体请参见服务器的指导书

创建本地用户（进入本地用户视

图） local-user user-name 必选

缺省情况下，无本地用户

设置本地用户认证口令 password { cipher | simple } password 必选

设置 AUX 用户的服务类型 service-type terminal [ level level ] 必选

退出至系统视图 quit -


设置登录用户的认证方式为本

地或远端用户名和口令认证

authentication-mode scheme [ command-authorization ]

必选

采用本地认证还是远端认证视用户的 AAA 方案

配置而定

缺省情况下，用户通过 Console 口（AUX 用户

界面）登录不需要进行验证


缺省情况下，Console 口支持的传输速率为9600bit/s

配置校验方式 parity { even | none | odd }可选

缺省情况下，Console 口的校验方式为 none，即不进行校验



配置

Console 口

的属性



2-10

操作命令说明


问的命令级别 user privilege level level

可选

缺省情况下，从 Console 口登录后可以访问的命

令级别为 3 级




可选




可选

缺省情况下，历史缓冲区的大小为 10，即可存

放 10 条历史命令


可选

缺省情况下，所有的用户界面的超时时间为 10分钟

如果 10 分钟内某用户界面没有用户进行操作，

则该用户界面将自动断开 idle-timeout 0表示关

闭用户界面的超时功能

需要注意的是，用户采用 Scheme 认证方式登录以太网交换机时，其所能访问的命令级别由

service-type terminal [ level level ]命令中定义的用户级别决定。

2.6.2 配置举例

1. 组网需求

交换机已经被配置为允许用户通过 Telnet 方式登录，且用户级别为管理级（3 级）。当前登录用户

需要对通过 Console 口（AUX 用户界面）登录的用户进行如下限定：

设置本地用户的用户名为 guest

设置本地用户的认证口令为明文方式，口令为 123456

设置本地用户的服务类型为 Terminal 且命令级别为 2 级

设置通过 Console 口登录交换机的用户进行 Scheme 认证





2-11

2. 组网图

图2-8 配置认证方式为 Scheme 的 AUX 用户界面属性的组网图

3. 配置步骤



# 创建本地用户 guest，并进入本地用户视图。

[Sysname] local-user guest

# 设置本地用户的认证口令为明文方式，口令为 123456。

[Sysname-luser-guest] password simple 123456

# 设置本地用户的服务类型为 Terminal 且用户级别为 2。

[Sysname-luser-guest] service-type terminal level 2

[Sysname-luser-guest] quit



# 设置通过 Console 口登录交换机的用户进行 Scheme 认证。

[Sysname-ui-aux0] authentication-mode scheme











3-1

3 通过 Telnet 进行登录

3.1 通过 Telnet 进行登录的简介

E152 以太网交换机支持 Telnet 功能，用户可以通过 Telnet 方式对交换机进行远程管理和维护。

交换机和 Telnet 用户端都要进行相应的配置，才能保证通过 Telnet 方式正常登录交换机。

用户也可以采用 SSH 登录方式登录交换机。SSH 登录方式是在 Telnet 的基础上封装了安全外壳，

关于 SSH 提供的安全功能配置，请参见“SSH”部分的介绍。

表3-1 通过 Telnet 登录交换机需要具备的条件

对象需要具备的条件

配置交换机 VLAN 的 IP 地址，交换机与 Telnet 用户间路由可达（具体配置请

参见“IP 地址-IP 性能”、“路由协议”部分中的内容）交换机

配置Telnet登录的认证方式和其它配置（请参见表 3-2、表 3-3）

运行了 Telnet 程序 Telnet 用户

获取要登录交换机 VLAN 接口的 IP 地址

使用 IPv6 协议通过 Telnet 方式登录到交换机与使用 IPv4 协议类似，详细情况请参见“IPv6 管理”

部分的介绍。

3.1.1 配置 Telnet 登录方式的公共属性

Telnet登录方式的公共属性配置，如表 3-2所示。

表3-2 Telnet 登录方式的公共属性配置

Telnet 登录方式的属性配置说明

VTY 界面登录的用户可以访问

的命令级别

可选

缺省情况下，VTY 界面登录的用户可以访问的命令级别为 0级

用户界面支持的协议可选

缺省情况下，支持 Telnet 和 SSH 协议 VTY 用户界面

配置

设置从用户界面登录后自动执

行的命令

可选

缺省情况下，通过 VTY 用户界面登录后无可自动执行的命

令

3-2

Telnet 登录方式的属性配置说明

启动终端服务功能可选

缺省情况下，所有用户界面上启动终端服务

终端屏幕的一屏行数可选

缺省情况下，一屏可显示 24 行

历史命令缓冲区大小可选

缺省情况下，可存放 10 条历史命令

VTY 用户终端

属性配置

用户界面的超时时间可选

缺省情况下，用户超时断开连接的时间为 10 分钟

3.1.2 不同认证方式下 Telnet 登录方式的配置

不同的认证方式下，Telnet登录方式需要进行的配置不同，具体配置如表 3-3所示。

表3-3 不同认证方式下 Telnet 登录方式的属性配置

认证方式 Telnet 登录方式的属性配置说明

None 配置公共属性配置 Telnet 登录方式的公共

属性可选


配置口令配置本地验证口令必选

Password 配置公共属性配置 Telnet 登录方式的公共

属性可选


配置采用本地认证

或者到远端

RADIUS 服务器上

认证

通过交换机的 AAA 配置可

以设置对用户采用本地认证

还是到 RADIUS 服务器上认

证

可选

缺省情况下，交换机采用本地认证的方式

具体配置请参见“AAA”部分

配置用户名和密码配置本地或 RADIUS 端用户

名和口令认证

必选

本地用户名和口令的设置在交换机上完

成远端用户名和口令的设置在 RADIUS 服

务器上进行，详细内容请参见 RADIUS服务器的随机指导书

VTY 用户管理设置 VTY 用户的服务类型必选

Scheme

配置公共属性配置 Telnet 登录方式的公共

属性可选


为防止恶意用户对未使用 SOCKET 的攻击，提高交换机的安全性，Telnet 及 SSH 服务对应的 TCP 23 及 TCP 22 端口会在进行相应的配置后开启/关闭：

当认证方式为 none 时，TCP 23 端口打开，TCP 22 端口关闭；当认证方式为 password 且已经设置了相应的密码后，TCP 23 端口打开，TCP 22 端口关闭；当认证方式为 scheme 时，如果支持的协议指定为 telnet，则 TCP 23 端口打开；如果支持的协

议指定为 ssh，则 TCP 22 端口打开；如果支持的协议指定为 all，则两端口全打开。

3-3

3.2 认证方式为 None 时 Telnet 登录方式的配置

3.2.1 配置过程

表3-4 认证方式为 None 时 Telnet 登录方式的配置

操作命令说明


进入一个或多个 VTY 用户

界面视图 user-interface vty first-number [ last-number ] -

设置 VTY 登录用户的认证

方式为不认证 authentication-mode none 必选

缺省情况下，VTY 用户登录后需要进行终端

验证

设置从 VTY 用户界面登录

后可以访问的命令级别 user privilege level level

可选

缺省情况下，从 VTY 用户界面登录后可以访

问的命令级别为 0 级

配置 VTY 用户界面支持的

协议 protocol inbound { all | ssh | telnet }

可选

缺省情况下，交换机同时支持 Telnet 和 SSH协议

设置从用户界面登录后自

动执行的命令 auto-execute command text 可选

缺省情况下，通过 VTY 用户界面登录后无可

自动执行的命令


缺省情况下，在所有的用户界面上启动终端服

务

设置终端屏幕一屏显示的

行数 screen-length screen-length

可选

缺省情况下，终端屏幕一屏显示的行数为 24行


设置交换机历史命令缓冲

区大小 history-command max-size value

可选

缺省情况下，历史缓冲区的大小为 10，即可

存放 10 条历史命令

设置 VTY 用户界面的超时

时间 idle-timeout minutes [ seconds ]

可选

缺省情况下，所有的用户界面的超时时间为

10 分钟

如果 10 分钟内某用户界面没有用户进行操

作，则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

需要注意的是，用户采用 None 认证方式登录以太网交换机时，其所能访问的命令级别取决于命令

user privilege level level 中 level 参数定义的级别。

3.2.2 配置举例

1. 组网需求

当前用户通过 Console 口（AUX 用户界面）登录到交换机，且当前用户级别为管理级（3 级）。当

前用户要对通过 VTY0 用户界面登录的 Telnet 用户进行如下限定：

3-4

设置通过 VTY0 口登录交换机的 Telnet 用户不需要进行认证

设置从 VTY0 用户界面登录后可以访问的命令级别为 2 级

设置 VTY0 用户界面支持 Telnet 协议

设置 VTY0 用户的终端屏幕的一屏显示 30 行命令

设置 VTY0 用户历史命令缓冲区可存放 20 条命令

设置 VTY0 用户界面的超时时间为 6 分钟

2. 组网图

图3-1 配置认证方式为 None 的 Telnet 用户的组网图

3. 配置步骤



# 进入 VTY0 用户界面视图。

[Sysname] user-interface vty 0

# 设置通过 VTY0 用户界面登录交换机的 Telnet 用户不需要进行认证。

[Sysname-ui-vty0] authentication-mode none

# 设置从 VTY0 用户界面登录后可以访问的命令级别为 2 级。

[Sysname-ui-vty0] user privilege level 2

# 设置 VTY0 用户界面支持 Telnet 协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置 VTY0 用户的终端屏幕的一屏显示 30 行命令。

[Sysname-ui-vty0] screen-length 30

# 设置 VTY0 用户历史命令缓冲区可存放 20 条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置 VTY0 用户界面的超时时间为 6 分钟。

[Sysname-ui-vty0] idle-timeout 6

3.3 认证方式为 Password 时 Telnet 登录方式的配置

3.3.1 配置过程

表3-5 认证方式为 Password 时 Telnet 登录方式的配置

操作命令说明


进入一个或多个 VTY 用户

界面视图 user-interface vty first-number [ last-number ] -

3-5

操作命令说明

设置登录用户的认证方式

为本地口令认证 authentication-mode password 必选

设置本地验证的口令 set authentication password { cipher | simple } password 必选

设置从用户界面登录后可

以访问的命令级别 user privilege level level

可选

缺省情况下，从 VTY 用户界面登录后可以

访问的命令级别为 0 级

配置用户界面支持的协议 protocol inbound { all | ssh | telnet }

可选

缺省情况下，交换机同时支持 Telnet和SSH协议

设置从用户界面登录后自

动执行的命令 auto-execute command text

可选

缺省情况下，通过 VTY 用户界面登录后无

可自动执行的命令


缺省情况下，在所有的用户界面上启动终端

服务

设置终端屏幕一屏显示的

行数 screen-length screen-length

可选

缺省情况下，终端屏幕一屏显示的行数为 24行


设置交换机历史命令缓冲

区大小 history-command max-size value可选

缺省情况下，历史缓冲区的大小为 10，即可

存放 10 条历史命令


可选

缺省情况下，所有的用户界面的超时时间为

10 分钟

如果 10 分钟内某用户界面没有用户进行操

作，则该用户界面将自动断开

idle-timeout 0 表示关闭用户界面的超时功

能

需要注意的是，用户采用 Password 认证方式登录以太网交换机时，其所能访问的命令级别取决于

命令 user privilege level level 中 level 参数定义的级别。

3.3.2 配置举例

1. 组网需求

当前用户通过 Console 口（AUX 用户界面）登录到交换机，且当前用户级别为管理级（3 级）。当

前用户要对通过 VTY0 用户界面登录的 Telnet 用户进行如下限定：

设置通过 VTY0 口登录交换机的 Telnet 用户进行 Password 认证

设置用户的认证口令为明文方式，口令为 123456

设置从 VTY0 用户界面登录后可以访问的命令级别为 2 级

设置 VTY0 用户界面支持 Telnet 协议



3-6


2. 组网图

图3-2 配置认证方式为 Password 的 Telnet 用户的组网图

3. 配置步骤





# 设置通过 VTY0 口登录交换机的用户进行 Password 认证。

[Sysname-ui-vty0] authentication-mode password

# 设置用户的认证口令为明文方式，口令为 123456。

[Sysname-ui-vty0] set authentication password simple 123456

# 设置从 VTY0 用户界面登录后可以访问的命令级别为 2 级。

[Sysname-ui-vty0] user privilege level 2









3-7

3.4 认证方式为 Scheme 时 Telnet 登录方式的配置

3.4.1 配置过程

表3-6 认证方式为 Scheme 时 Telnet 登录方式的配置

操作命令说明


进入 ISP 域视图 domain domain-name

配置域使用的 AAA方案

scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] }

配置交换

机采用的

认证方案

退出至系统视图 quit

可选

缺省情况下，系统使用的 AAA 方案为 local

如果采用 local 认证，则必须进行后续的本地用户

配置；如果采用 radius 或者 hwtacacs 方式认证，

则需进行如下配置：

交换机上的配置请参见“AAA”部分 AAA 服务器上需要配置相关的用户名和密码，

具体请参见服务器的指导书

创建本地用户（进入本地用户视

图） local-user user-name 缺省情况下，无本地用户

设置本地认证口令 password { cipher | simple } password 必选

设置 VTY 用户的服务类型 service-type telnet [ level level ] 必选


进入一个或多个 VTY 用户界面视

图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为本地

或远端用户名和口令认证


必选

究竟是采用本地认证还是远端认证视用户的 AAA方案配置而定

缺省情况下采用本地认证方式

设置从用户界面登录后可以访问

的命令级别 user privilege level level

可选

缺省情况下，从 VTY 用户界面登录后可以访问的

命令级别为 0 级

配置用户界面支持的协议 protocol inbound { all | ssh | telnet }

可选

缺省情况下，交换机同时支持 Telnet 和 SSH 协议

设置从用户界面登录后自动执行

的命令 auto-execute command text

可选

缺省情况下，通过 VTY 用户界面登录后无可自动

执行的命令



设置终端屏幕的一屏行数 screen-length screen-length

可选

缺省情况下，终端屏幕一屏行数为 24 行

screen-length 0 表示关闭分屏功能

设置交换机历史命令缓冲区大小 history-command max-size value

可选

缺省情况下，历史缓冲区容量为 10，即可存放 10条历史命令

3-8

操作命令说明


可选


钟




需要注意的是，用户采用Scheme认证方式登录以太网交换机时，其所能访问的命令级别取决于命

令 1、命令 2 所配置的用户登录后可访问的命令级别的组合，具体情况如表 3-7所示。

命令 1：user privilege level level

命令 2：service-type { ftp | lan-access | { ssh | telnet | terminal }* [ level level ] }

表3-7 用户采用 Scheme 认证方式登录以太网交换机时可访问的命令优先级

前提条件

用户登录认证方式用户类别命令配置情况

用户登录后可访问命令优

先级

未设置命令 1，命令 2 未设置用户可

访问命令级别 0 级

未设置命令 1，命令 2 已设置用户可

访问命令级别由命令 2 决定

已设置命令 1，命令 2 未设置用户可


VTY 登录用户（采

用 AAA-RADIUS认

证或者本地认证）

已设置命令 1，命令 2 已设置用户可



访问命令级别


访问命令级别

0 级


访问命令级别


用 SSH 的 RSA 认

证模式）


访问命令级别

由命令 1 决定









用 SSH 的

password 认证模

式）



有关 AAA、RADIUS、SSH 的详细内容，请参见“AAA”和“SSH”部分的介绍。

3-9

3.4.2 配置举例

1. 组网需求

当前用户通过 Console 口（AUX 用户界面）登录到交换机，且用户级别为管理级（3 级）。当前用

户要对通过 VTY0 用户界面登录的 Telnet 用户进行如下限定：

设置本地用户的用户名为 guest

设置本地用户的认证口令为明文方式，口令为 123456

设置 VTY 用户的服务类型为 Telnet 且命令级别为 2 级

设置通过 VTY0 口登录交换机的 Telnet 用户进行 Scheme 认证

设置 VTY0 用户界面仅支持 Telnet 协议




2. 组网图

图3-3 配置认证方式为 Scheme 的 Telnet 用户的组网图

3. 配置步骤



# 创建本地用户 guest，并进入本地用户视图。

[Sysname] local-user guest

# 设置本地用户的认证口令为明文方式，口令为 123456。

[Sysname-luser-guest] password simple 123456

# 设置 VTY 用户的服务类型为 Telnet 且命令级别为 2 级。

[Sysname-luser-guest] service-type telnet level 2

[Sysname-luser-guest] quit



# 设置通过 VTY0 口登录交换机的 Telnet 用户进行 Scheme 认证。

[Sysname-ui-vty0] authentication-mode scheme






3-10




3.5 Telnet 配置环境搭建

3.5.1 通过终端 Telnet 到以太网交换机

第一步：通过 Console 口正确配置以太网交换机 VLAN1 接口的 IP 地址（VLAN1 为交换机的缺省

VLAN）。

通过Console口搭建配置环境。如图 3-4所示，建立本地配置环境，只需将PC机（或终端）

的串口通过配置电缆与以太网交换机的Console口连接。

图3-4 通过 Console 口搭建本地配置环境

PC Switch

RS-232

配置电缆

Console口

在PC机上运行终端仿真程序（如Windows3.1的Terminal、Windows95/Windows98/Windows

NT/ Windows2000/ Windows XP 的超级终端），设置终端通信参数：传输速率为 9600bit/s、

8 位数据位、1 位停止位、无校验和无流控。

以太网交换机上电，PC机终端上将显示以太网交换机自检信息，自检结束后提示用户键入回

车，之后将出现命令行提示符<Sysname>，如图 3-5所示。

图3-5 以太网交换机配置页面

通过 Console 口在超级终端中执行以下命令，配置以太网交换机 VLAN1 接口的 IP 地址为

202.38.160.92/24。 <Sysname> system-view

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 202.38.160.92 255.255.255.0

3-11

第二步：在通过Telnet登录以太网交换机之前，针对用户需要的不同认证方式，在交换机上进行相

应配置。请参见 3.2 认证方式为None时Telnet登录方式的配置、3.3 认证方式为Password时Telnet登录方式的配置、3.4 认证方式为Scheme时Telnet登录方式的配置的相关描述。

第三步：如图 3-6所示，建立配置环境，将PC机通过以太网与以太网交换机VLAN1 下的以太网端

口连接，确保PC机和VLAN1 接口之间路由可达。

图3-6 通过局域网搭建本地配置环境

第四步：在PC机上运行Telnet程序，输入交换机VLAN1 接口的IP地址，如图 3-7所示。

图3-7 运行 Telnet 程序

第五步：如果配置验证方式为 Password，则终端上显示“Login authentication”，并提示用户输

入已设置的登录口令，口令输入正确后则出现命令行提示符（如<Sysname>）。如果出现“All user interfaces are used, please try later!”的提示，表示当前 Telnet 到以太网交换机的用户过多，则请

稍候再连接（H3C 系列以太网交换机最多允许 5 个 Telnet 用户同时登录）。

第六步：使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入

“?”，具体的配置命令请参考本手册中相关部分的内容。

通过 Telnet 配置交换机时，请不要删除或修改交换机上对应本 Telnet 连接的交换机上的 VLAN接口的 IP 地址，否则会导致 Telnet 连接断开。

Telnet 用户通过口令认证登录交换机时，缺省可以访问命令级别为 0 级的命令。有关命令级别的

描述请参见“命令行接口”部分。

3-12

3.5.2 通过以太网交换机 Telnet 到以太网交换机

用户可以从一台交换机 Telnet 到另一台交换机上，对其进行配置。本端交换机作为 Telnet 客户端，

对端交换机作为 Telnet 服务器端。如果两台交换机相连的端口在同一局域网内，则其 IP 地址必须

配置在同一网段；否则，两台交换机必须路由可达。

配置环境如图 3-8所示，用户Telnet到一台以太网交换机后，可以输入telnet命令再登录其它以太网

交换机，对其进行配置管理。

图3-8 通过交换机登录到其它交换机

第一步：针对用户需要的不同认证方式，在作为Telnet Server的交换机上进行相应配置。请参见 3.2 认证方式为None时Telnet登录方式的配置、3.3 认证方式为Password时Telnet登录方式的配置、3.4 认证方式为Scheme时Telnet登录方式的配置的相关描述。

第二步：用户登录到作为 Telnet Client 的以太网交换机。

第三步：在 Telnet Client 的以太网交换机上作如下操作：

<Sysname> telnet xxxx

其中 xxxx 是作为 Telnet Server 的以太网交换机的主机名或 IP 地址，若为主机名，则需是已通过 ip host 命令配置的主机名。

第四步：登录后，出现命令行提示符（如<Sysname>），如果出现“All user interfaces are used, please try later!”的提示，表示当前 Telnet 到以太网交换机的用户过多，则请稍候再连接。

第五步：使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入

“?”，具体的配置命令请参考本手册中相关部分的内容。

4-1

4 通过 Console 口利用 Modem 拨号远程登录

4.1 通过 Console 口利用 Modem 拨号进行远程登录简介

网络管理员可以通过远端交换机的 Console 口，利用一对 Modem 和 PSTN（Public Switched Telephone Network，公共电话交换网）对远端的交换机进行远程维护。这种方式一般适用于在网

络中断的情况下，利用 PSTN 网络对交换机进行远程管理。

交换机和网络管理员端都要进行相应的配置，才能保证通过 Console 口利用 Modem 拨号登录远程

交换机。

表4-1 通过 Console 口利用 Modem 拨号进行远程登录需要具备的条件

配置对象需要具备的条件

PC 终端与 Modem 正确连接

Modem 与可正常使用的电话线正确相连网络管理员端

获取了远程交换机端 Console 口所连 Modem 上对应的电话号码

Console 口与 Modem 正确连接

在 Modem 上进行了正确的配置

Modem 与可正常使用的电话线正确相连远程交换机端

远程交换机上设置了登录用户的认证方式及认证方式对应的其它设置，请参见表2-3

4.2 交换机端的相关配置

4.2.1 与交换机直接相连的 Modem 上的配置

在与交换机直接相连的 Modem 上进行以下配置（与终端相连的 Modem 不需要进行如下配置）。

AT&F ----------------------- Modem 恢复出厂设置

ATS0=1 ----------------------- 设置自动应答（振铃一声）

AT&D ----------------------- 忽略 DTR 信号

AT&K0 ----------------------- 禁止流量控制

AT&R1 ----------------------- 忽略 RTS 信号

AT&S0 ----------------------- 强制 DSR 为高电平

ATEQ1&W ----------------------- 禁止 Modem 回送命令响应和执行结果并存储配置

在配置后为了观察 Modem 的设置是否正确，可以输入 AT&V 命令显示配置的结果。

各种 Modem 配置命令及显示的结果有可能不一样，具体操作请参照 Modem 的说明书进行。

4-2

4.2.2 交换机的相关配置

通过 Console 口利用 Modem 拨号进行远程登录时，使用的是 AUX 用户界面，交换机上的配置与

通过 Console 口进行本地登录时交换机的设置有如下区别：通过 Console 口利用 Modem 拨号进行远程登录时，Console 口传输速率要低于 Modem 的传输

速率，否则可能会出现丢包现象。 Console 口的其它属性（Console 口校验方式、Console 口的停止位、Console 的数据位）均采

用缺省值。

交换机上具体配置与登录用户采用的认证方式有关，配置用户的认证方式请参见表 2-3。

1. 认证方式为 None 时的配置

详细配置请参见“2.4 认证方式为None时Console口登录方式的配置”。

2. 认证方式为 Password 时的配置

详细配置请参见“2.5 认证方式为Password时Console口登录方式的配置”。

3. 认证方式为 Scheme 时的配置

详细配置请参见“2.6 认证方式为Scheme时Console口登录方式的配置”。

4.3 通过 Modem 拨号搭建配置环境

第一步：在通过Modem拨号登录以太网交换机之前，需要先在以太网交换机上为不同的登录认证方

式做相应的配置。请参见 2.4 认证方式为None时Console口登录方式的配置、2.5 认证方式为

Password时Console口登录方式的配置、2.6 认证方式为Scheme时Console口登录方式的配置的描

述。

第二步：在与以太网交换机直接相连的Modem上进行配置，请参见 4.2.1 与交换机直接相连的

Modem上的配置的描述。

第三步：如图 4-1所示，建立远程配置环境，在PC机（或终端）的串口和以太网交换机的Console口分别挂接Modem，Modem与可正常使用的电话线正确相连。

4-3

图4-1 搭建远程配置环境

Console口

PSTN

电话线

Modem串口线

远端电话号码:12345678

Modem

Modem

第四步：在远端通过终端仿真程序和Modem向以太网交换机拨号（所拨号码应该是与以太网交换机

相连的Modem的电话号码），与以太网交换机建立连接，如图 4-2至图 4-4所示。

图4-2 新建连接

图4-3 拨号号码设置

4-4

图4-4 在远端 PC 机上拨号

第五步：如果配置验证方式为 Password，在远端的终端仿真程序上输入已设置的登录口令，出现

命令行提示符（如<Sysname>），即可对以太网交换机进行配置或管理。需要帮助可以随时键入“?”，具体的配置命令请参考本手册中相关部分的内容。

Modem 用户登录时，如果交换机上 AUX 用户界面未作任何设置，则缺省可以访问命令级别为 3 级

的命令。有关命令级别的描述请参见“命令行接口”部分。

5-1

5 通过 WEB 网管登录

5.1 通过 WEB 网管登录简介

E152 以太网交换机提供内置的 WEB Server，用户可以通过 WEB 网管终端（PC）登录到交换机

上，利用内置的 WEB Server 以 WEB 方式直观地管理和维护以太网交换机。

交换机和 WEB 网管终端（PC）都要进行相应的配置，才能保证通过 WEB 网管正常登录交换机。

表5-1 通过 WEB 网管登录交换机需要具备的条件


配置交换机 VLAN 接口的 IP 地址，交换机与 WEB 网管终端间路由可达，具体

配置请参见“IP 地址-IP 性能”、“路由协议”部分中的内容交换机

配置欲登录的 WEB 网管用户名和认证口令

具有 IE 浏览器 WEB 网管终端（PC）

获取要登录交换机的 VLAN 的 IP 地址、用户名及口令

5.2 WEB 配置环境搭建

第一步：在通过WEB方式登录以太网交换机之前，用户先正确配置以太网交换机VLAN1 接口的IP地址（VLAN1 为交换机的缺省VLAN）。请参见 3.5.1 通过终端Telnet到以太网交换机。

第二步：在以太网交换机上配置欲登录的 WEB 网管用户名和认证口令。

# 配置 WEB 用户名为 admin，密码为 admin，用户级别设为 3（管理级用户）


[Sysname] local-user admin [Sysname-luser-admin] service-type telnet level 3 [Sysname-luser-admin] password simple admin

第三步：搭建WEB网管远程配置环境，如图 5-1所示。

图5-1 搭建 WEB 网管远程运行环境

第四步：用户通过PC与交换机相连，并通过浏览器登录交换机。在WEB网管终端(PC)的浏览器地

址栏内输入http://10.153.17.82（WEB网管终端和以太网交换机之间要路由可达），浏览器会显示

WEB网管的登录验证页面（如图 5-2所示）。

5-2

图5-2 WEB 网管登录页面

第五步：输入在交换机上添加的用户名和密码，“语言”下拉列表中选择中文，点击<登录>按钮后

即可登录，显示中文 WEB 网管主页面。

5.3 配置 WEB 登录显示 banner 信息

5.3.1 配置过程

如果通过 header 命令设置了 login banner 信息，则用户使用 WEB 方式访问以太网交换机时，在

显示用户登录验证页面之前显示 banner 页面，页面内容为通过 header 命令设置的 login banner信息，在 banner 页面单击<继续>按钮则进入用户登录验证页面，通过登录验证后进入 WEB 网管

主页面；如果没有通过 header 命令设置 login banner 信息，则用户使用 WEB 方式访问以太网交

换机时，直接进入用户登录验证页面。

表5-2 WEB 登录显示 banner 信息配置过程

操作命令说明


配置登录以太网交换机时的 login 显

示信息 header login text 必选


5.3.2 配置举例

1. 组网需求

用户通过 WEB 方式登录以太网交换机；

要求在用户登录以太网交换机时显示 banner 页面。

2. 组网图

图5-3 通过 WEB 方式访问交换机时显示 banner 信息组网图

5-3

3. 配置步骤



# 设置通过 WEB 方式访问以太网交换机时显示的 login banner 信息为“Welcome”。

[Sysname] header login %Welcome%

配置完成后，在用户终端(PC)的浏览器地址栏内输入以太网交换机的IP地址（用户终端和以太网交

换机之间要路由可达），浏览器会显示login banner信息页面，如图 5-4所示。

图5-4 通过 WEB 方式访问交换机时显示 banner 信息界面

单击<继续>按钮则进入用户登录验证页面，通过登录验证后进入 WEB 网管主页面。

5.4 关闭/启动 WEB Server

表5-3 关闭/启动 WEB Server

操作命令说明


关闭 WEB Server ip http shutdown 必选

缺省情况下，WEB Server 处于启动状态

启动 WEB Server undo ip http shutdown 必选

为防止恶意用户对未使用 SOCKET 的攻击，提高交换机的安全性，HTTP 服务对应的 TCP 80 端口

会在进行相应的配置后开启/关闭：在使用 undo ip http shutdown 命令启动 WEB Server 时，打开 TCP 80 端口；在使用 ip http shutdown 命令关闭 WEB Server 时，关闭 TCP 80 端口。

H3C E152 以太网交换机操作手册登录交换机 6 通过 NMS 登录

6-1

6 通过 NMS 登录

6.1 通过 NMS 登录简介

用户可通过 NMS（Network Management Station，网管工作站）登录到交换机上，通过交换机上

的 Agent 模块对交换机进行管理、配置。NMS 和 Agent 之间运行的协议为 SNMP（Simple Network Management Protocol，简单网络管理协议），具体介绍请参见“SNMP-RMON”部分。

NMS 端和交换机上都要进行相应的配置，才能保证通过 NMS 正常登录交换机。

表6-1 通过 NMS 登录交换机需要具备的条件


配置交换机 VLAN 的 IP 地址，交换机与 NMS 间路由可达，具体配置请参见“IP地址-IP 性能”、“路由协议”部分中的内容交换机

配置 SNMP 基本功能，请参见“SNMP-RMON”部分

NMS（网管工作站） NMS 网管工作站进行了正确配置，具体配置请参见 NMS 附带的网管手册

6.2 通过 NMS 方式登录组网结构

Switch

NMS

Network

图6-1 通过 NMS 方式登录组网环境

7-1

7 Telnet 业务报文指定源 IP

7.1 Telnet 业务报文指定源 IP 简介

用户可以通过以下配置，对 Telnet Server、Telnet Client 指定源 IP 地址或者源接口，增加了业务

的可管理性和安全性。

为 Telnet 业务报文指定的源 IP 为 Loopback 接口或者 VLAN 接口的 IP。通过配置 Loopback 虚接

口或者闲置 VLAN 接口的 IP 为 Telnet 业务报文的指定源 IP，使 Telnet Client 和 Telnet Server 之间传输报文无论通过交换机的哪个接口都使用指定接口的源 IP，隐藏了实际通信接口的 IP 地址，

起到了防止外部攻击的作用，提高了安全性。同时，有时服务器会限制只有某些 IP 才可以访问它，

在客户端上使用源 IP 特性可以避免连接不上服务器。

7.2 配置 Telnet 业务报文指定源 IP

分为用户视图下的配置和系统视图下的配置，用户视图下的配置只对本次操作有效，而系统视图下

的配置对之后的每次操作都有效。

7.2.1 用户视图下的配置

表7-1 在用户视图下配置 Telnet 业务报文指定源 IP

操作命令说明

为 Telnet Client 指定源 IP 地

址 telnet { hostname | ip-address } [ service-port ] source-ip ip-address 可选

为 Telnet Client 指定源接口 telnet { hostname | ip-address } [ service-port ] source-interface interface-type interface-number 可选

7.2.2 系统视图下的配置

表7-2 在系统视图下配置 Telnet 业务报文指定源 IP

操作命令说明


为 Telnet Client 指定源 IP 地址 telnet source-ip ip-address 可选

为 Telnet Client 指定源接口 telnet source-interface interface-type interface-number 可选

7-2

指定的 ip-address 必须为本设备地址，当指定的 ip-address 不是本设备地址时，命令提示配置不

成功。指定的接口必须存在，当指定接口不存在时，命令提示配置不成功。如果为 Telnet Client 指定了源 IP 或者源接口，必须保证指定 IP 或者接口和 Telnet Server 之间

路由可达。

7.3 配置 Telnet 业务报文指定源 IP 显示

在完成上述配置后，在任意视图下执行display命令可以显示配置业务报文指定源 IP后的运行情况，

通过查看显示信息验证配置的效果。

表7-3 配置 Telnet 业务报文指定源 IP 显示

操作命令说明

显示当前为Telnet Client设置的源 IP地址 display telnet source-ip

显示当前为 Telnet Server 设置的源 IP 地

址 display telnet-server source-ip

display 命令可以在任意视

图下执行

8-1

8 对登录用户的控制

本章中涉及 ACL 的定义请参考“ACL”部分的描述。

8.1 简介

用户可以通过定义ACL（Access Control List，访问控制列表）对以Telnet、SNMP和WEB方式登

录的用户进行控制，如表 8-1所示。

表8-1 对登录用户的控制

登录方式控制方式实现方法详细说明

通过源 IP 对 Telnet 用户进行控制通过基本 ACL 实现 8.2.2

通过源 IP、目的 IP 对 Telnet 用户进行控制通过高级 ACL 实现 8.2.3 Telnet

通过源 MAC 对 Telnet 用户进行控制通过二层 ACL 实现 8.2.4

SNMP 通过源 IP 对 SNMP 网管用户进行控制通过基本 ACL 实现 8.3

通过源 IP 对 WEB 网管用户进行控制通过基本 ACL 实现 8.4 WEB

强制在线 WEB 网管用户下线通过命令行实现 8.4.3

8.2 对 Telnet 用户进行控制

8.2.1 配置准备

确定对 Telnet 的控制策略，包括对哪些源 IP、目的 IP、源 MAC 进行控制，控制的动作是允许访问

还是拒绝访问。

8.2.2 通过源 IP 对 Telnet 用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为 2000～2999。

表8-2 通过源 IP 对 Telnet 用户进行控制

配置步骤命令说明

进入系统视图 system-view －

创建或进入基本 ACL视图

acl number acl-number [ match-order { auto | config } ] 缺省情况下，匹配顺序为 config

定义子规则 rule [ rule-id ] { deny | permit } [ rule-string ] 必选

退出 ACL 视图 quit -


8-2


引用访问控制列表，通

过源 IP 对 Telnet 用户

进行控制

acl acl-number { inbound | outbound }

必选

inbound：对 Telnet 到本交换机的用户进行

ACL 控制

outbound：对从本交换机 Telnet 到其他交

换机的用户进行 ACL 控制

8.2.3 通过源 IP、目的 IP 对 Telnet 用户进行控制

本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为 3000～3999。

表8-3 通过源 IP、目的 IP 对 Telnet 用户进行控制



创建或进入高级 ACL 视

图 acl number acl-number [ match-order { auto | config } ]

必须

缺省情况下，匹配顺序为 config

定义子规则 rule [ rule-id ] { deny | permit } protocol [ rule-string ]

必选

用户可以根据需要配置对相应的源 IP、目的

IP 进行过滤的规则



引用访问控制列表，通过

源 IP、目的 IP 对 Telnet用户进行控制

acl acl-number { inbound | outbound }

必选

inbound：对 Telnet 到本交换机的用户进行

ACL 控制

outbound：对从本交换机 Telnet 到其他交

换机的用户进行 ACL 控制

8.2.4 通过源 MAC 对 Telnet 用户进行控制

本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为 4000～4999。

表8-4 通过源 MAC 对 Telnet 用户进行控制



创建或进入二层 ACL 视图 acl number acl-number -

定义子规则 rule [ rule-id ] { deny | permit } [ rule-string ]

必选

用户可以根据需要配置对相应的源 MAC进行过滤的规则



引用访问控制列表，通过

源 MAC 对 Telnet 用户进

行控制 acl acl-number inbound

必选

缺省情况下，不对 Telnet 用户进行 ACL控制

8-3

8.2.5 配置举例

1. 组网需求

通过源 IP 地址对 Telnet 登录用户进行控制，仅允许源 IP 为 10.110.100.52 的 Telnet 用户访问交换

机。

2. 组网图

图8-1 对 Switch 的 Telnet 用户进行 ACL 控制

Switch

10.110.100.46Host A

IP network

Host B10.110.100.52

3. 配置步骤

# 定义基本访问控制列表。


[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表。


[Sysname-ui-vty0-4] acl 2000 inbound

8.3 通过源 IP 对 SNMP 网管用户进行控制

H3C 系列以太网交换机支持通过 SNMP 网管软件进行远程管理。网管用户可以通过 SNMP 方式访

问交换机。

通过源 IP 对 SNMP 网管用户进行控制需要下面两个步骤：

(1) 定义访问控制列表

(2) 引用访问控制列表，对通过 SNMP 方式访问交换机的用户进行控制

8.3.1 配置准备

确定对 SNMP 网管用户的控制策略，包括对哪些源 IP 进行控制，控制的动作是允许访问还是拒绝

访问。

8.3.2 通过源 IP 对 SNMP 网管用户进行控制


8-4

表8-5 通过源 IP 对 SNMP 网管用户进行控制



创建或进入基本 ACL 视

图 acl number acl-number [ match-order { auto | config } ]

必须

缺省情况下，匹配顺序为config



在配置 SNMP 团体名的

命令中引用访问控制列

表

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

在配置 SNMP 组名的命

令中引用访问控制列表

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

在配置 SNMP 用户名的

命令中引用访问控制列

表

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

根据网管用户运行的 SNMP版本及配置习惯，可以在团体

名、组名或者用户名配置时引

用访问控制列表，详细介绍请

参见“SNMP-RMON”模块

中的相关内容

8.3.3 配置举例

1. 组网需求

通过源 IP 地址对 SNMP 网管用户进行控制，仅允许 IP 地址为 10.110.100.52 的 SNMP 网管用户访

问交换机。

2. 组网图

图8-2 对 SNMP 网管用户进行 ACL 控制

Switch

10.110.100.46Host A

IP network

Host B10.110.100.52

3. 配置步骤





8-5


# 引用访问控制列表，仅允许来自 10.110.100.52 的 SNMP 网管用户访问交换机。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

8.4 通过源 IP 对 WEB 网管用户进行控制

H3C 系列以太网交换机支持通过 WEB 进行远程管理。WEB 用户可以通过 HTTP 协议访问交换机。

通过源 IP 对 WEB 用户进行控制需要下面两个步骤：

(1) 定义访问控制列表

(2) 引用访问控制列表，对 WEB 网管用户进行控制

8.4.1 配置准备

确定对 WEB 网管用户的控制策略，包括对哪些源 IP 进行控制，控制的动作是允许访问还是拒绝访

问。

8.4.2 通过源 IP 对 WEB 网管用户进行控制


表8-6 通过源 IP 对 WEB 网管用户进行控制



创建或进入基本 ACL 视图 acl number acl-number [ match-order { auto | config } ]

必选

缺省情况下，匹配顺序为config



引用访问控制列表对 WEB 网管用

户进行控制 ip http acl acl-number 可选

缺省情况下，不对 WEB 网管

用户进行 ACL 控制

8.4.3 强制在线 WEB 网管用户下线

网络管理员可以通过命令行强制在线 WEB 网管用户下线。

表8-7 强制在线 WEB 网管用户下线


强制在线 WEB 网管用户下线 free web-users { all | user-id user-id | user-name user-name }

必选

用户视图下执行

8-6

8.4.4 配置举例

1. 组网需求

通过源 IP 地址对 WEB 网管用户进行控制，仅允许 IP 地址为 10.110.100.52 的 WEB 网管用户访问

交换机。

2. 组网图

图8-3 对 WEB 网管用户进行 ACL 控制

Switch

10.110.100.46Host A

IP network

Host B10.110.100.52

3. 配置步骤






# 引用编号为 2030 的访问控制列表，仅允许来自 10.110.100.52 的 WEB 用户访问交换机。

[Sysname] ip http acl 2030

9-1

9 切换用户级别

9.1 切换用户级别简介

切换用户级别是指用户在不退出当前登录、不断开当前连接的前提下修改自己的用户级别，级别修

改后不需要重新登录、不需要重新认证，可以继续配置设备，只是可以使用的命令级别会不一样。

比如用户的级别为 3，可以使用 0～3 级命令，能够对系统参数进行设置；如果将用户的级别切换到

0，则只能执行 0 级命令，即简单的 ping、tracert 和很少一部分 display 命令等。用户级别切换是

临时的，只对当前登录生效，用户重新登录后，又会恢复到缺省级别。

用户可以无条件的从当前级别向更低的级别切换；但是当用户需要从当前级别向更高的级别切换

时，则必须通过相应的认证。主要认证方式有两种：super密码认证和HWTACACS认证。相关配置

任务如下表 9-1所示。

表9-1 用户级别切换配置任务简介

配置任务说明详细配置

配置用户级别切换使用的认证方式可选 9.2

用户级别切换采用 super 密码认证配置必选 9.2.1 管理员配置用户级

别切换认证方案用户级别切换采用 HWTACACS 认证配置必选 9.2.2

用户登录后切换用户级别必选 9.3

9.2 配置用户级别切换认证方式

用户从当前级别向较高级别切换时，必须通过相应的认证。认证方式有两种：super 密码认证和

HWTACACS 认证。且这两种认证方式可以同时存在，互为备份。

用户级别切换的认证方式可以由管理员（3 级用户）通过表 9-2所示命令进行配置。

表9-2 设置用户级别切换认证方式

操作命令说明



super 密码认证 super authentication-mode super-password

HWTACACS 认证 super authentication-mode scheme

首选 super 密码认证，以

HWTACACS 认证为备份 super authentication-mode super-password scheme

设置用户

级别切换

认证方式

首选 HWTACACS 认证，以 super密码认证为备份

super authentication-mode scheme super-password

可选

缺省情况下，用户级

别切换认证方式为

super 密码认证

9-2

在 super 密码认证和 HWTACAS 认证这两种认证方式同时存在的情况下，设备首先采用首选认证

方式进行认证，如果无法实现此方式的认证，比如设备未设置 super 密码或是远程 HWTACACS 认

证服务器不可达，则继续采用另外一种备份认证方式进行认证。

9.2.1 用户级别切换采用 super 密码认证配置

要实现对用户级别切换的super密码认证，需要由管理员（3 级用户）通过表 9-3所示命令设置用户

从当前级别向某高级别切换的super密码。设置该密码后，所有登录用户在从当前级别向此高级别

切换时，系统会提示用户输入认证密码，只有输入正确的super密码，才可以通过认证，完成级别

切换。如果没有设置super密码，在切换时则提示“% Password is not set”，无法通过此次认证。

例如：配置 super password level 3 simple 123 命令后，所有 0～2 级登录用户如果想切换到 3级用户，则需要输入配置的 super 密码“123”。

Super 密码不同于用户登录认证时需要输入的密码，该密码只用于临时级别的切换。

表9-3 设置用户级别切换口令

操作命令说明


设置用户级别切换口令 super password [ level level ] { cipher | simple } password

必选

缺省情况下，没有设置切换低级别用户到高级

别用户的口令

9.2.2 用户级别切换采用 HWTACACS 认证配置

要实现对用户级别切换的远程HWTACACS认证，需要由 3 级用户通过表 9-4所示命令配置用户从

当前级别向高级别切换时所使用的HWTACACS认证方案。设置完成后，用户在从当前级别切换到

高级别时，系统会提示用户输入用户名、密码，只有输入正确的认证信息，才可以完成级别切换。

需要说明的是，如果某用户在登录交换机的时候已经通过了HWTACACS认证，则不需要再输入用

户名，系统将只提示用户输入密码。

表9-4 设置用户级别切换 HWTACACS 认证方案

操作命令说明


进入 ISP 域视图 domain domain-name -

设置用户级别切换

HWTACACS 认证方案

authentication super hwtacacs-scheme hwtacacs-scheme-name

必选

缺省情况下，没有设置切换低级别用户到高级别

用户的 HWTACACS 认证方案

authentication super hwtacacs-scheme 所引用的 HWTACACS 方案必须是已经创建好的，具体

的创建过程以及此命令的详细介绍请参见本手册“AAA”模块“配置 HWTACACS”部分的介绍。

9-3

9.3 切换用户级别

表9-5 用户级别切换

操作命令说明

配置用户从当前级别切换到指定的

其他级别 super [ level ] 必选


在设置用户级别切换口令及进行级别切换时，若不指定级别，则级别默认为 3。在进行用户级别切换时，为了保密，用户在屏幕上看不到所键入的口令。如果在系统允许的次数

（三次）内输入正确的认证信息，则切换到高级别用户，否则保持原用户级别不变。

9.4 配置举例

普通用户通过 Telnet 方式登录到交换机后，用户级别为 0 级。网络管理员希望普通用户可以将级别

切换到 3 级以便对交换机进行相关的配置。

9.4.1 super 密码认证方式配置举例

管理员配置用户级别切换认证方案

# 设置 VTY0 用户级别切换的认证方式为 super 认证方式。



[Sysname-ui-vty0] super authentication-mode super-password

[Sysname-ui-vty0] quit

# 设置用户向级别 3 切换时的认证口令。

[Sysname] super password level 3 simple 123

VTY0 用户登录后可以将级别切换到 3 级

# VTY0 用户通过 Telnet 方式登录到交换机，将用户级别切换到 3 级。

<Sysname> super 3

Password:

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

# 完成配置后，可以将用户级别再切换回 0 级。

<Sysname> super 0




9.4.2 HWTACACS 认证方式配置举例

　管理员配置用户级别切换认证方案

9-4

# 在交换机上配置名为 acs 的 HWTACACS 方案，并在该方案指定的 HWTACAS 服务器上配置用

户级别切换认证所需的用户名及密码，具体配置步骤略。

# 设置 VTY0 用户级别切换的认证方式为 HWTACACS 认证方式。



[Sysname-ui-vty0] super authentication-mode scheme

[Sysname-ui-vty0] quit

# 设置 system 域引用名为 acs 的 HWTACACS 方案，作为用户从当前级别向高级别切换的

HWTACACS 认证方案。

[Sysname] domain system

[Sysname-isp-system] authentication super hwtacacs-scheme acs

VTY0 用户登录后可以将级别切换到 3 级

# VTY0 用户通过 Telnet 方式登录到交换机，将用户级别切换到 3 级。

<Sysname> super 3

Username：user@system

Password:




i

目录

1 配置文件管理 ..................................................................................................................................... 1-1

1.1 配置文件简介..................................................................................................................................... 1-1

1.2 配置文件管理..................................................................................................................................... 1-2

1.2.1 保存当前配置 ..........................................................................................................................1-2 1.2.2 清除交换机中的配置文件 ........................................................................................................ 1-3 1.2.3 设置交换机下次启动时使用的配置文件及其属性.................................................................... 1-4 1.2.4 配置文件显示 ..........................................................................................................................1-4

1-1

1 配置文件管理

1.1 配置文件简介

配置文件用来保存用户对以太网交换机进行的配置，记录用户的整个配置过程。通过配置文件，用

户可以非常方便地查阅这些配置信息。

1. 配置的类型

交换机的配置按其作用的时间域分为两种：

起始配置：当交换机启动时，根据读取的配置文件，进行初始化工作，该配置称为起始配置

（saved-configuration）。如果交换机中没有配置文件，则在启动过程中使用空配置进行初始

化。

当前配置：与起始配置相对应，当交换机运行时，用户对交换机进行的配置称为当前配置

（current-configuration）。当前配置保存在交换机的临时存储器中，交换机重启之后会失效。

2. 配置文件的格式和结构

配置文件为一个文本文件，其内容格式和结构如下：

以命令格式保存用户对交换机的配置；

只保存非缺省的配置参数；

命令的组织以命令行视图为基本框架，同一命令行视图的命令组织在一起，形成一节，节与

节之间通常用注释行隔开（以“#”开始的行为注释行）；

配置文件中各节的安排顺序通常为：系统配置、逻辑接口配置、物理端口配置、路由协议配

置、用户界面配置等；

以“return”结束。

3. 配置文件的 main/backup 属性

main 表示配置文件的主用属性，backup 表示配置文件的备用属性。交换机上可以同时存在主用、

备用两种属性的配置文件。当主用配置文件损坏或者丢失的时候，可以使用备用配置文件来启动或

配置交换机。相对于只支持单种配置文件的系统，这种双重保护的方式增强了文件系统的安全性和

可靠性。用户可以通过命令设置配置文件的 main/backup 属性。同一配置文件可以同时具有主备用

属性，但在同一时刻，同一属性的文件，交换机上只能有一个。

main/backup 属性在文件系统中主要有三大应用：

在保存当前配置时，用户可以指定配置文件的主用/备用/普通属性。

在清除交换机中的配置文件时，用户可以指定清除主用配置文件或备用配置文件；对于具有

主备用双重属性的配置文件，可以指定是清除配置文件的主用属性还是备用属性。

在设置下次启动使用的配置文件时，用户可以指定使用主用配置文件或备用配置文件。

4. 配置文件的选择顺序

交换机启动时，配置文件的选择遵循以下规则：

1-2

(1) 如果主用配置文件存在，则以主用配置文件初始化配置；

(2) 如果主用配置文件不存在，备用配置文件存在，则以备用配置文件初始化配置；

(3) 如果主用配置文件、备用配置文件和缺省配置文件均不存在，则以空配置启动。

1.2 配置文件管理

表1-1 配置文件管理配置任务简介


保存当前配置可选 1.2.1

清除交换机中的配置文件可选 1.2.2

设置交换机下次启动时使用的配置文件及其属性可选 1.2.3

1.2.1 保存当前配置

用户通过命令行可以修改交换机的当前配置，而这些配置是暂时的。如果要使当前配置在系统下次

重启时继续生效，在重启交换机前，请使用 save 命令将当前配置保存到配置文件中。

表1-2 保存当前配置

操作命令说明

保存当前配置 save [ cfgfile | [ safely ] [ backup | main ] ]

必选

该命令可在任意视图下执行

1. 配置的保存方式

快速模式：执行不带 safely 参数的 save 命令。这种方式保存速度快，但是保存过程中如果

出现交换机重启、断电等问题，原有配置文件可能会丢失。

安全模式：执行带 safely 参数的 save 命令。这种方式保存速度慢，但即使保存过程中出现

交换机重启、断电等问题，原有配置文件仍然会保存在交换机中，不会丢失。

用户使用 save safely 命令保存配置文件时，如果在保存过程中出现交换机重启、断电等问题，有

如下注意事项：

(1) 如果 Flash 中有以.cfg 为后缀名的配置文件存在，下次启动时交换机会以该配置文件中的内容

初始化配置。

(2) 如果 Flash 中没有以.cfg 为后缀名的配置文件存在，又分为两种情况：

当仅存在以.cfgbak 为后缀名的文件（备份文件，对应原有的配置信息）或仅存在以.cfgtmp

为后缀名的文件（临时文件，对应当前的配置信息）时，用户可以使用 rename 命令将备份

文件或临时文件的后缀名修改为.cfg，下次启动时交换机会以该配置文件中的内容初始化配

置。

当以.cfgbak 为后缀名的文件和以.cfgtmp 为后缀名的文件同时存在时，用户可根据需要使用

rename 命令将相应文件的后缀名修改为.cfg，下次启动时交换机会以该配置文件中的内容初

始化配置。

关于 rename 命令的详细介绍请参见“文件系统管理”部分。

1-3

2. 保存后的配置文件的属性

主用属性。用 save [ [ safely ] [ main ] ]命令将当前配置保存到配置文件中时，配置文件的属

性为主用。用户按系统提示输入保存的配置文件的文件名，如果配置文件已经存在，而且已

具有备用属性，则保存后该文件将同时具有主备用两种属性；如果用户输入的文件名与系统

中已有的主用配置文件名不同，则将已有的主用配置文件的主用属性删除，使系统只有唯一

的主用配置文件。

备用属性。用 save [ safely ] backup 命令将当前配置保存到配置文件中时，配置文件的属性

为备用。用户按系统提示输入保存的配置文件的文件名，如果配置文件已经存在，而且已具

有主用属性，则保存后该文件将同时具有主备用两种属性；如果用户输入的文件名与系统中

已有的备用配置文件名不同，则将已有的备用配置文件的备用属性删除，使系统只有唯一的

备用配置文件。

普通属性。用 save cfgfile 的方式将当前配置保存到配置文件中时，如果 cfgfile 文件不存在，

则保存的配置文件既无主用属性也无备用属性；如果 cfgfile 文件已存在，则文件的属性无变

化，由保存前文件的属性决定。

在电源稳定程度较好的环境中，推荐用户使用快速保存方式保存配置文件；在电源环境恶劣或者

远程维护等情况下，推荐用户使用安全模式保存配置文件。配置文件必须以“.cfg”作为文件后缀名。

1.2.2 清除交换机中的配置文件

用户通过命令可以清除交换机中的配置文件。

表1-3 清除交换机中配置文件

操作命令说明

清除交换机中的配置文件 reset saved-configuration [ backup | main ]

必选

该命令只能在用户视图下执行

在以下几种情况下，用户可能需要清除交换机中的配置文件：

在交换机软件升级之后，系统软件和配置文件不匹配。

交换机中的配置文件被破坏（常见原因是加载了错误的配置文件）。

配置文件支持 main/backup 属性，用户清除配置文件时，有以下几种情况：

使用 reset saved-configuration [ main ]命令清除配置文件时，对于只有主用属性没有备用

属性的配置文件，将删除该文件；对于具有主备用双重属性的配置文件，只删除其主用属性。

使用 reset saved-configuration backup 命令清除配置文件时，对于只有备用属性没有主用

属性的配置文件，将删除该文件；对于具有主备用双重属性的配置文件，只删除其备用属性。

清除操作会将配置文件从交换机上彻底删除，所以请用户慎用该命令。

1-4

1.2.3 设置交换机下次启动时使用的配置文件及其属性

表1-4 设置下次启动时使用的配置文件及其属性

操作命令说明

设置交换机下次启动时

使用的配置文件及其属

性

startup saved-configuration cfgfile [ backup | main ]

必选

该命令只能在用户视图下执行

用户可以设置交换机下次启动时使用的配置文件，也可以设置配置文件的 main/backup 属性。属性

的生成有两种方式：

1. 设置交换机下次启动时使用的配置文件的主用属性

将当前配置保存到主用配置文件中时，系统会自动将该主用配置文件设置为下次启动时主用

的配置文件；

使用 startup saved-configuration cfgfile [ main ]命令设置配置文件为下次启动时主用的配

置文件。

2. 设置交换机下次启动时使用的配置文件的备用属性

将当前配置保存到备用配置文件中时，系统会自动将该备用配置文件设置为下次启动时备用

的配置文件；

使用 startup saved-configuration cfgfile backup 命令设置配置文件为下次启动时备用的配

置文件。

配置文件必须以“.cfg”作为文件后缀名，并且存放在交换机 Flash 的根目录下。

1.2.4 配置文件显示

在完成上述配置后，在任意视图下执行 display 命令可以显示交换机的当前配置和起始配置情况。

用户可以通过查看显示信息查看配置的内容。

1-5

表1-5 配置文件显示

操作命令说明

查看交换机的起始配置文件 display saved-configuration [ unit unit-id ] [ by-linenum ]

查看交换机当前的配置信息

display current-configuration [ configuration [ configuration-type ] | interface [ interface-type ] [ interface-number ] ] [ by-linenum ] [ | { begin | exclude | include } regular-expression ]

查看交换机当前 VLAN 的配置信息 display current-configuration vlan [ vlan-id ] [ by-linenum ]

查看交换机当前视图的配置信息 display this [ by-linenum ]

查看交换机启动时使用的配置文件信

息 display startup [ unit unit-id ]

display 命令可以在任

意视图下执行

i

目录

1 VLAN简介.......................................................................................................................................... 1-1

1.1 VLAN简介.......................................................................................................................................... 1-1

1.1.1 VLAN概述 ...............................................................................................................................1-1 1.1.2 VLAN的优点 ...........................................................................................................................1-2 1.1.3 VLAN原理 ...............................................................................................................................1-2 1.1.4 VLAN接口 ...............................................................................................................................1-3 1.1.5 VLAN类型 ...............................................................................................................................1-3

1.2 基于端口的VLAN............................................................................................................................... 1-4

1.2.1 以太网端口的链路类型 ...........................................................................................................1-4 1.2.2 将当前端口加入指定VLAN...................................................................................................... 1-4 1.2.3 配置以太网端口的缺省VLAN ID ............................................................................................. 1-4

1.3 基于协议的VLAN............................................................................................................................... 1-5

1.3.1 基于协议的VLAN概述 .............................................................................................................1-5 1.3.2 以太网数据的封装格式 ...........................................................................................................1-5 1.3.3 交换机对报文协议的判断过程................................................................................................. 1-8 1.3.4 各种协议支持的封装格式 ........................................................................................................ 1-8 1.3.5 协议VLAN的实现方式 .............................................................................................................1-8

2 VLAN配置.......................................................................................................................................... 2-1

2.1 VLAN配置.......................................................................................................................................... 2-1

2.1.1 VLAN配置任务简介.................................................................................................................2-1 2.1.2 VLAN的基本配置 ....................................................................................................................2-1 2.1.3 VLAN接口的基本配置 .............................................................................................................2-1 2.1.4 VLAN配置显示........................................................................................................................2-2

2.2 配置基于端口的VLAN ....................................................................................................................... 2-2

2.2.1 基于端口的VLAN配置任务简介 .............................................................................................. 2-2 2.2.2 配置端口的链路类型 ...............................................................................................................2-3 2.2.3 将端口加入指定的VLAN ......................................................................................................... 2-3 2.2.4 配置端口的缺省VLAN............................................................................................................. 2-4 2.2.5 基于端口的VLAN配置显示...................................................................................................... 2-4 2.2.6 基于端口的VLAN典型配置举例 .............................................................................................. 2-4

2.3 配置协议VLAN .................................................................................................................................. 2-6

2.3.1 协议VLAN配置任务简介 .........................................................................................................2-6 2.3.2 配置协议VLAN的协议模板...................................................................................................... 2-6 2.3.3 配置端口与协议VLAN的关联 .................................................................................................. 2-7 2.3.4 协议VLAN配置显示.................................................................................................................2-7 2.3.5 协议VLAN典型配置举例 .........................................................................................................2-8

1-1

1 VLAN 简介

1.1 VLAN 简介

1.1.1 VLAN 概述

传统的以太网是广播型网络，网络中的所有主机通过 HUB 或交换机相连，处在同一个广播域中。

HUB 和交换机作为网络连接的基本设备，在转发功能方面有一定的局限性：

HUB 是物理层设备，没有交换功能，接收到的报文会向除接收端口外的所有端口转发；

交换机是数据链路层设备，具备根据报文的目的 MAC 地址进行转发的能力，但在收到广播报

文或未知单播报文（报文的目的 MAC 地址不在交换机 MAC 地址表中）时，也会向除接收端

口之外的所有端口转发。

上述情况会造成以下的网络问题：

网络中可能存在着大量广播和未知单播报文，浪费网络资源。

网络中的主机收到大量并非以自身为目的地的报文，造成了严重的安全隐患。

解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器，因为路由器是依据目的

IP 地址对报文进行转发，不会转发链路层的广播报文。但是路由器的成本较高，而且端口较少，无

法细致地划分网络，所以使用路由器隔离广播域有很大的局限性。

为了解决以太网交换机在局域网中无法限制广播的问题，VLAN（Virtual Local Area Network，虚

拟局域网）技术应运而生。

VLAN 的组成不受物理位置的限制，因此同一 VLAN 内的主机也无须放置在同一物理空间里。

如图1-1所示，VLAN把一个物理上的LAN划分成多个逻辑上的LAN，每个VLAN是一个广播域。VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互，而处在不同VLAN内的主机之间如果

需要通信，则必须通过路由器或三层交换机等网络层设备才能够实现。

图1-1 VLAN 组网示意图

1-2

1.1.2 VLAN 的优点

与传统以太网相比，VLAN 具有如下的优点：

控制广播域的范围：局域网内的广播报文被限制在一个 VLAN 内，节省了带宽，提高了网络

处理能力。

增强了 LAN 的安全性：由于报文在数据链路层被 VLAN 划分的广播域所隔离，因此各个 VLAN

内的主机间不能直接通信，需要通过路由器或三层交换机等网络层设备对报文进行三层转发。

灵活创建虚拟工作组：使用 VLAN 可以创建跨物理网络范围的虚拟工作组，当用户的物理位

置在虚拟工作组范围内移动时，不需要更改网络配置即可以正常访问网络。

1.1.3 VLAN 原理

1. VLAN Tag

为使交换机能够分辨不同 VLAN 的报文，需要在报文中添加标识 VLAN 的字段。由于交换机工作在

OSI 模型的数据链路层（三层交换机不在本章节讨论范围内），只能对报文的数据链路层封装进行

识别。因此，识别字段需要添加到数据链路层封装中。

IEEE于1999年颁布了用以标准化VLAN实现方案的 IEEE 802.1Q协议标准草案，对带有VLAN Tag的报文结构进行了统一规定。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。如图 1-2所示。

图1-2 传统以太网帧封装格式

其中 DA 表示目的 MAC 地址，SA 表示源 MAC 地址，Type 表示报上层协议的类型字段。

IEEE 802.1Q 协议规定，在目的 MAC 地址和源 MAC 地址之后封装 4 个字节的 VLAN Tag，用以标

识 VLAN 的相关信息。

图1-3 VLAN Tag 的组成字段

如图 1-3所示，VLAN Tag包含四个字段，分别是TPID（Tag Protocol Identifier，标签协议标识符）、

Priority、CFI（Canonical Format Indicator，标准格式指示位）和VLAN ID。

TPID：用来标识本数据帧是带有 VLAN Tag 的数据帧。该字段长度为 16bit，在 H3C 系列以

太网交换机上缺省取值为协议规定的 0x8100。

Priority：用来表示 802.1P 的优先级。该字段长度为 3bit，相关介绍和应用请参见本手册

“QoS-QoS Profile”部分的介绍。

CFI：用来标识 MAC 地址是否以标准格式进行封装。该字段长度为 1bit，取值为 0 表示 MAC

地址以标准格式进行封装，为 1 表示以非标准格式封装，缺省取值为 0。

1-3

VLAN ID：用来标识该报文所属 VLAN 的编号。该字段长度为 12bit，取值范围为 0～4095。

由于 0 和 4095 通常不使用，所以 VLAN ID 的取值范围一般为 1～4094。

这里的帧格式以Ethernet II型封装为例，以太网还支持 802.2/802.3 型封装。对于 802.2/802.3 型封

装，VLAN Tag也会在目的MAC和源MAC地址字段之后进行封装。802.2/802.3 封装的具体格式请

参见“1.3.2 以太网数据的封装格式”。

交换机利用VLAN ID来识别报文所属的VLAN，当接收到的报文不携带VLAN Tag时，交换机会为该

报文封装带有接收端口缺省VLAN ID的VLAN Tag，将报文在接收端口的缺省VLAN中进行传输。有

关端口缺省VLAN设置的内容，请参见 1.2.2 部分的介绍。

2. VLAN 的 MAC 地址学习机制

交换机是根据报文的目的 MAC 地址对报文进行转发的，因此交换机维护了一种记录 MAC 地址与端

口对应关系的转发表来指导交换机进行转发，这个表称为 MAC 地址转发表。交换机将接收到的报

文的源 MAC 地址以及接收端口记录到该表中，供后续报文转发使用，这个记录过程称为 MAC 地址

的学习过程。

在配置了 VLAN 后，交换机的 MAC 地址学习方式分为两种：

SVL（Shared VLAN Learning，共享 VLAN 学习）：交换机将所有 VLAN 中的端口学习到的

MAC 地址表项全部记录到一张共享的 MAC 地址转发表内，从任意 VLAN 内的任意端口接收

的报文都参照此表中的信息进行转发。

IVL（Independent VLAN Learning，独立 VLAN 学习）：交换机为每个 VLAN 维护独立的 MAC

地址转发表。由某个 VLAN 内的端口接收的报文，其源 MAC 地址只被记录到该 VLAN 的 MAC

地址转发表中，且报文的转发只以该表中的信息作为依据。

H3C E152 以太网交换机目前只采用 IVL 方式进行 MAC 地址学习。有关 MAC 地址转发表的更多内

容，请参见本手册“MAC 地址转发表管理”部分的介绍。

1.1.4 VLAN 接口

位于不同VLAN内的主机之间不能直接通信，需要通过路由器或三层交换机等网络层设备进行转发，

E152 以太网交换机支持通过配置 VLAN 接口实现对报文进行三层转发。

VLAN 接口是一种三层模式下的虚拟接口，主要用于实现 VLAN 间的三层互通，它不作为物理实体

存在于交换机上。每个 VLAN 对应一个 VLAN 接口，该接口可以为本 VLAN 内端口收到的报文根据

其目的 IP 地址在网络层进行转发。通常情况下，由于 VLAN 能够隔离广播域，因此每个 VLAN 也

对应一个 IP 网段，VLAN 接口将作为该网段的网关对需要跨网段转发的报文进行基于 IP 地址的三

层转发。

1.1.5 VLAN 类型

根据划分方式的不同，可以将 VLAN 分为不同类型，下面列出了 6 种最常见的 VLAN 类型：

基于端口的 VLAN

基于 MAC 地址的 VLAN

基于协议的 VLAN

1-4

基于 IP 子网的 VLAN

基于策略的 VLAN

其它 VLAN

目前 E152 交换机支持基于端口的 VLAN 和基于协议的 VLAN。

1.2 基于端口的 VLAN

基于端口的 VLAN 是最简单的一种 VLAN 划分方法。用户可以将设备上的端口划分到不同的 VLAN中，此后从某个端口接收的报文将只能在相应的 VLAN 内进行传输，从而实现广播域的隔离和虚拟

工作组的划分。

基于端口的 VLAN 具有实现简单，易于管理的优点，适用于连接位置比较固定的用户。

以太网交换机的端口链路类型可以分为三种：Access、Trunk、Hybrid。这三种端口在加入 VLAN和对报文进行转发时会进行不同的处理。

1.2.1 以太网端口的链路类型

E152 以太网交换机支持的以太网端口链路类型有三种：

Access 类型：端口只能属于 1 个 VLAN，一般用于交换机与终端用户之间的连接；

Trunk 类型：端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，一般用于交换机

之间的连接；

Hybrid 类型：端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，可以用于交换

机之间连接，也可以用于连接用户的计算机。

Hybrid 端口可以允许多个 VLAN 的报文发送时不携带标签，而 Trunk 端口只允许缺省 VLAN 的报文

发送时不携带标签。

三种类型的端口可以共存在一台设备上。

1.2.2 将当前端口加入指定 VLAN

用户可以将当前以太网端口加入到指定的 VLAN 中。执行该配置以后，以太网端口就可以转发指定

VLAN 的报文，从而实现本交换机上的 VLAN 与对端交换机上相同 VLAN 的互通。

Access 端口只能加入到 1 个 VLAN 中，Hybrid 端口和 Trunk 端口可以加入到多个 VLAN 中。

在将 Access 端口或 Hybrid 端口加入到指定的 VLAN 前，指定的 VLAN 必须已经创建。

1.2.3 配置以太网端口的缺省 VLAN ID

当以太网端口接收到不带 VLAN Tag 的报文时，端口将在缺省 VLAN 的范围内传输该报文。

Access 端口只能属于 1 个 VLAN，所以它的缺省 VLAN 就是它所在的 VLAN，不用设置；Hybrid端口和 Trunk 端口可以属于多个 VLAN，所以需要设置端口的缺省 VLAN ID。

1-5

将端口加入VLAN并指定了端口的缺省VLAN后，三类端口对报文的接收和发送会有不同的处理方

式，具体描述请参见表 1-1、表 1-2和表 1-3。

表1-1 Access 端口收发报文的处理

接收报文时的处理

当接收到的报文不带 Tag 时当接收到的报文带有 Tag 时发送报文时的处理

接收该报文，并为报文添加缺省

VLAN 的 Tag

当 VLAN ID 与缺省 VLAN ID 相同

时：接收该报文当 VLAN ID 与缺省 VLAN ID 不同

时：丢弃该报文

由于 VLAN ID 就是缺省 VLAN ID，不用设置，去掉 Tag 后发送

表1-2 Trunk 端口收发报文的处理



当端口已经加入缺省 VLAN 时，

为报文封装缺省 VLAN 的 Tag并转发

当端口没有加入缺省 VLAN 时，

丢弃该报文

当 VLAN ID 是该端口允许通过的

VLAN ID 时：接收该报文当 VLAN ID 不是该端口允许通过的

VLAN ID 时：丢弃该报文

当 VLAN ID 与缺省 VLAN ID相同时：去掉 Tag，发送该报

文当 VLAN ID 与缺省 VLAN ID

不同时：保持原有 Tag，发送

该报文

表1-3 Hybrid 端口收发报文的处理



当端口已经加入缺省 VLAN 时，

为报文封装缺省VLAN的 Tag并

转发当端口没有加入缺省 VLAN 时，

丢弃该报文

当VLAN ID是该端口允许通过的

VLAN ID 时：接收该报文当VLAN ID不是该端口允许通过

的 VLAN ID 时：丢弃该报文

当报文中携带的VLAN ID是该端口

允许通过的 VLAN ID 时，发送该报

文，并可以通过 port hybrid vlan命令配置端口在发送该 VLAN（包

括缺省 VLAN）的报文时是否携带Tag

1.3 基于协议的 VLAN

1.3.1 基于协议的 VLAN 概述

基于协议的 VLAN 也称为协议 VLAN（为方便描述，下文将统称为协议 VLAN），是另一种 VLAN划分方法。通过配置协议 VLAN，交换机可以对端口上收到的未携带 VLAN Tag 的报文进行分析，

根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配，为匹配成功的报文添

加相应的 VLAN Tag，实现将属于指定协议的数据自动分发到特定的 VLAN 中传输的功能。

此特性主要用于将网络中提供的服务类型与 VLAN 相绑定，方便管理和维护。

1.3.2 以太网数据的封装格式

为清楚地了解交换机对报文协议的识别过程，先简要介绍一下以太网常用的数据封装格式。

1-6

1. Ethernet II 与 802.2/802.3 封装

目前以太网的报文封装主要有两种类型，分别为 Ethernet II 型和 802.2/802.3 型，分别由 RFC894和 RFC1042 规定。两种报文的封装格式如下：

Ethernet II 型

图1-4 Ethernet II 型报文封装格式

802.2/802.3 型

图1-5 802.2/802.3 型报文封装格式

DA、SA 分别表示报文的目的 MAC 地址和源 MAC 地址，括号中的数字表示此字段的长度，单位为

字节。

由于以太网报文的最大长度为 1500 字节，转换成 16 进制数字为 0x05DC，所以 802.2/802.3 封装

的 Length 字段取值范围为 0x0000～0x05DC。

而 Ethernet II 型封装中的 Type 字段取值范围为 0x0600～0xFFFF。

目前 H3C E152 以太网交换机将 Length 字段取值为 0x05DD～0x05FF 的报文认为是 802.2/802.3封装的报文。

交换机根据这两个字段的取值范围的不同来区分 Ethernet II 型和 802.2/802.3 型报文。

2. 802.2/802.3 封装的几种扩展格式

802.2/802.3 封装有 3 种扩展封装格式：

802.3 raw 封装：在源地址和目的地址之后只封装 Length 字段，之后即是上层数据，没有其

他字段。

图1-6 802.3 raw 封装格式

目前只有 IPX 协议支持 802.3 raw 封装，特点是 Length 字段之后两个字节的取值固定为 0xFFFF。

802.2 LLC（Logic Link Control，逻辑链路控制）封装：在源、目的地址后封装 Length、DSAP

（Destination Service Access Point，目的服务访问点）、SSAP（Source Service Access Point，

源服务访问点）和 Control 字段，其中 Control 字段的取值固定为 3。

1-7

图1-7 802.2 LLC 封装格式

802.2 LLC 封装中的 DSAP 和 SSAP 是用来标识上层协议类型的字段。例如，当两个字段同时取值

为 0xE0 时，表示上层协议为 IPX。

802.2 SNAP（Sub-Network Access Protocol，子网接入协议）封装：按 802.3 标准型报文进

行封装，包含 Length、DSAP、SSAP、Control、OUI（Organizationally Unique Identifier，

全球统一标识符）及 PID（Protocol-ID，协议类型）字段。

图1-8 802.2 SNAP 封装格式

在 802.2 SNAP 封装中，DSAP 和 SSAP 字段的取值均固定为 0xAA，Control 字段取值固定为 3。

交换机根据 DSAP 和 SSAP 字段的取值区分 802.2 LLC 和 802.2 SNAP 封装。

在 802.2 SNAP 封装中，当 OUI 为 00-00-00 时，PID 字段和 Ethernet II 封装的 Type 字段有同样的

意义，即被解释为全局唯一的协议号。这种封装称为 SNAP RFC1042 封装，是标准的 SNAP 封装，

本文中出现的“SNAP 封装”就是指“SNAP RFC1042 封装”。

1-8

1.3.3 交换机对报文协议的判断过程

图1-9 交换机对报文协议的判断过程

其他取值

接收报文

Type(Length) 取值

Ethernet II封装

匹配Type值 802.2/802.3 封装

DSAP/SSAP 取值

匹配

DSAP/SSAP值

802.2 LLC 封装

802.3 raw 封装

0x0600~0xFFFF

0x0000 to 0x05FF

同为0xAA同为 0xFF

Control 字段

取值不为 3

802.2 SNAP 封装

匹配Type值

取值为 3

1.3.4 各种协议支持的封装格式

表 1-4列出了各种协议所支持的封装格式，括号中为该协议的协议类型值。

表1-4 各种协议支持的封装格式

封装

协议 Ethernet II 802.3 raw 802.2 LLC 802.2 SNAP

IP（0x0800）支持不支持不支持支持

IPX（0x8137）支持支持支持支持

AppleTalk（0x809B）支持不支持不支持支持

1.3.5 协议 VLAN 的实现方式

E152 以太网交换机通过协议模板来匹配报文，实现根据报文的协议将报文划分到不同 VLAN 中传

输的功能。

协议模板是用来匹配报文所属协议类型的标准，协议模版由“封装格式+协议类型”组成，分为标

准模板和自定义模板两种：

标准模板是指以 RFC 标准规定的协议封装格式和类型字段取值作为匹配条件的模板。

1-9

自定义模板是指以用户在命令中指定的封装格式和标识类型字段的取值作为匹配条件的模

板。

配置协议模板完成后，需要为协议 VLAN 添加端口并建立该端口与协议模板的关联。协议 VLAN 内

的端口需要根据报文协议的不同，为各种报文封装不同 VLAN 的 Tag，即该端口需要属于多个

VLAN。而且，由于该端口连接客户端，普通客户端无法处理携带 VLAN Tag 的报文，所以需要该

端口在发送所有报文时去掉 VLAN Tag。综上所述，在向协议 VLAN 内添加端口并建立端口与协议

模板的关联之前，需要将端口配置为 Hybrid 端口，并配置该端口在转发来自所有协议 VLAN 的报

文时采取去除 VLAN Tag 的操作。

2-1

2 VLAN 配置

2.1 VLAN 配置

2.1.1 VLAN 配置任务简介

表2-1 VLAN 配置任务简介


VLAN 的基本配置必选 2.1.2

VLAN 接口的基本配置可选 2.1.3

VLAN 配置显示可选 2.1.4

2.1.2 VLAN 的基本配置

表2-2 VLAN 的基本配置

操作命令说明


批量创建多个 VLAN vlan { vlan-id1 to vlan-id2 | all } 可选

创建VLAN并进入VLAN视图 vlan vlan-id 必选

缺省情况下，系统只有一个缺省 VLAN（VLAN1）

指定当前 VLAN 的名称 name text 可选

缺省情况下，VLAN 的名称为该 VLAN 的 VLAN ID，

例如“VLAN 0001”

指定当前 VLAN 的描述字符

串 description text

可选

缺省情况下，VLAN 的描述字符串为该 VLAN 的

VLAN ID，例如“VLAN 0001”

VLAN1 是系统的缺省 VLAN，无需创建，也不能删除。使用以上方法创建的是静态 VLAN，交换机中还可以存在动态 VLAN，是指通过 GVRP 功能注册

的 VLAN，详情请参见本手册“GVRP”部分的介绍。当使用 vlan 命令创建 VLAN 时，如果目标 VLAN 已经存在且是动态 VLAN，交换机会自动将其

转换为静态 VLAN，同时输出提示信息。

2.1.3 VLAN 接口的基本配置

1. 配置准备

配置 VLAN 接口之前，首先要创建对应的 VLAN。

2-2

2. 配置步骤

表2-3 VLAN 接口的基本配置

操作命令说明


创建 VLAN 接口并进入 VLAN接口视图

interface Vlan-interface vlan-id

必选

缺省情况下，在交换机上不存在 VLAN 接口

指定当前 VLAN 接口的描述字

符串 description text

可选

缺省情况下，VLAN 接口的描述字符串为该

VLAN 接口的接口名，例如“Vlan-interface1 Interface”

将 VLAN 接口的管理状态设置

为关闭 shutdown

将 VLAN 接口的管理状态设置

为打开 undo shutdown

可选

缺省情况下，VLAN 接口的管理状态为打开，

此时VLAN接口状态受VLAN中端口状态的影

响，即：当 VLAN 中所有以太网端口状态为

Down 时，VLAN 接口为 Down 状态，即关闭

状态；当 VLAN 中有一个或一个以上的以太网

端口处于 Up 状态时，则 VLAN 接口处于 Up状态。

如果将 VLAN 接口的管理状态设置为关闭，则

VLAN 接口的状态始终为 Administratively Down，不受 VLAN 中端口状态的影响。

打开/关闭 VLAN 接口的操作对属于该 VLAN 的以太网端口的物理状态没有影响。

2.1.4 VLAN 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 VLAN 后的运行情况。通过查看

显示信息，用户可以验证配置的效果。

表2-4 VLAN 配置显示

操作命令说明

显示 VLAN 接口相关信息 display interface Vlan-interface [ vlan-id ]

显示 VLAN 相关信息 display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static ]


意视图下执行

2.2 配置基于端口的 VLAN

2.2.1 基于端口的 VLAN 配置任务简介

表2-5 基于端口的 VLAN 配置任务简介


配置端口的链路类型可选 2.2.2

将端口加入指定的 VLAN 必选 2.2.3

2-3


配置端口的缺省 VLAN 可选 2.2.4

基于端口的 VLAN 配置显示可选 2.2.5

2.2.2 配置端口的链路类型

表2-6 配置端口的链路类型

配置命令说明


进入以太网端口视图 interface interface-type interface-number -

配置端口的链路类型 port link-type { access | hybrid | trunk } 可选

缺省情况下，所有端口的链路类型

均为 Access 类型

Trunk 端口和 Hybrid 端口之间不能直接切换，只能先设为 Access 端口，再设置为其它类型端口。

例如：Trunk 端口不能直接被设置为 Hybrid 端口，只能先设为 Access 端口，再设置为 Hybrid 端口。

2.2.3 将端口加入指定的 VLAN

表2-7 将端口加入指定的 VLAN

操作命令说明



Access 端口 port access vlan vlan-id

Trunk 端口 port trunk permit vlan { vlan-id-list | all } 将当前端口

加入到指定VLAN

Hybrid 端口 port hybrid vlan vlan-id-list { tagged | untagged }

必选

缺省情况下，所有端口

均只加入 VLAN1

在将 Access 端口和 Hybrid 端口加入到指定 VLAN 之前，要加入的 VLAN 必须已经存在。

需要注意的是：将Access端口加入指定的VLAN除了使用表 2-7中介绍的方法外，用户还可以在

VLAN视图下进行配置。

表2-8 将 Access 端口加入指定的 VLAN（VLAN 视图下）

配置命令说明


2-4

配置命令说明

进入 VLAN 视图 vlan vlan-id 必选

如果指定的 VLAN 不存在，则该命令先完成 VLAN 的创建，

然后再进入该 VLAN 的视图

将指定 Access 端口加入

到当前 VLAN 中 port interface-list 必选

缺省情况下，系统将所有端口都加入到 VLAN1

2.2.4 配置端口的缺省 VLAN

Access 端口只能加入一个 VLAN，这个 VLAN 就是它的缺省 VLAN，因此不用配置。本节只介绍如

何配置 Trunk 端口和 Hybrid 端口的缺省 VLAN。

表2-9 配置端口的缺省 VLAN

操作命令说明



Trunk 端口 port trunk pvid vlan vlan-id 配置端口的缺

省 VLAN Hybrid 端口 port hybrid pvid vlan vlan-id

可选

缺省情况下，端口的缺省 VLAN为 VLAN1

建议将本端 Hybrid 端口或 Trunk 端口的缺省 VLAN ID 和相连的对端交换机的 Hybrid 端口或 Trunk端口的缺省 VLAN ID 配置为一致，否则端口可能无法正确转发报文。

2.2.5 基于端口的 VLAN 配置显示

完成上述配置后，在任意视图下执行 display命令，可以显示配置系统中当前存在的 Trunk 和 Hybrid端口。

表2-10 基于端口的 VLAN 配置显示

操作命令说明

显示系统当前存在的指定类型

的端口 display port { hybrid | trunk } display 命令可以在任意视图下执

行

2.2.6 基于端口的 VLAN 典型配置举例

1. 组网需求

如图 2-1所示，Switch A和Switch B分别连接了不同部门使用的PC1/PC2 和Server1/Server2。

为保证部门间数据的二层隔离，现要求将PC1和Server1划分到VLAN100中，PC2和Server2

划分到 VLAN200 中。并分别为两个 VLAN 设置描述字符为“Dept1”和“Dept2”。

在 SwitchA 上配置 VLAN 接口，对 PC1 发往 Server2 的数据进行三层转发。两个部门分别使

用 192.168.1.0/24 和 192.168.2.0/24 两个网段

2-5

2. 组网图

图2-1 VLAN 配置示例图

SwitchA

SwitchB

PC1 PC2

Eth1/0/1

Eth1/0/2Eth1/0/10

Eth1/0/11

Eth1/0/12Eth1/0/13

Server2 Server1

3. 配置步骤

配置 Switch A

# 创建 VLAN100，并配置 VLAN100 的描述字符串为“Dept1”，将端口 Ethernet1/0/1 加入到

VLAN100。

<SwitchA> system-view

[SwitchA] vlan 100

[SwitchA-vlan100] description Dept1

[SwitchA-vlan100] port Ethernet 1/0/1

[SwitchA-vlan100] quit

# 创建 VLAN200，并配置 VLAN200 的描述字符串为“Dept2”。

[SwitchA] vlan 200

[SwitchA-vlan200] description Dept2


# 创建 VLAN100 和 VLAN200 的接口，IP 地址分别配置为 192.168.1.1 和 192.168.2.1，用来对 PC1发往 Server2 的报文进行三层转发。

[SwitchA] interface Vlan-interface 100

[SwitchA-Vlan-interface100] ip address 192.168.1.1 24

[SwitchA-Vlan-interface100] quit



配置 Switch B

# 创建 VLAN100，并配置 VLAN100 的描述字符串为“Dept1”，将端口 Ethernet1/0/13 加入到

VLAN100。

<SwitchB> system-view

[SwitchB] vlan 100

[SwitchB-vlan100] description Dept1

[SwitchB-vlan100] port Ethernet 1/0/13

[SwitchB-vlan103] quit

2-6

# 创建 VLAN200，并配置 VLAN200 的描述字符串为“Dept2”，将端口 Ethernet1/0/11 和

Ethernet1/0/12 加入到 VLAN200。

[SwitchB] vlan 200

[SwitchB-vlan200] description Dept2

[SwotchB-vlan200] port Ethernet1/0/11 Ethernet 1/0/12


配置 Switch A 和 Switch B 之间的链路

由于 Switch A 和 Switch B 之间的链路需要同时传输 VLAN100 和 VLAN200 的数据，所以可以配置

两端的端口为 Trunk 端口，且允许这两个 VLAN 的报文通过。

# 配置 Switch A 的 Ethernet1/0/2 端口。

[SwitchA] interface Ethernet 1/0/2

[SwitchA-Ethernet1/0/2] port link-type trunk

[SwitchA-Ethernet1/0/2] port trunk permit vlan 100


# 配置 Switch B 的 Ethernet1/0/10 端口。

[SwitchB] interface Ethernet 1/0/10

[SwitchB-Ethernet1/0/10] port link-type trunk

[SwitchB-Ethernet1/0/10] port trunk permit vlan 100


2.3 配置协议 VLAN

2.3.1 协议 VLAN 配置任务简介

表2-11 协议 VLAN 配置任务简介


配置协议 VLAN 的协议模板必选 2.3.2

配置端口与协议 VLAN 的关联必选 2.3.3

协议 VLAN 配置显示可选 2.3.4

2.3.2 配置协议 VLAN 的协议模板

1. 配置准备

配置协议 VLAN 之前，首先要创建 VLAN。

2. 配置步骤

表2-12 配置 VLAN 的协议模板

操作命令说明


进入 VLAN 视图 vlan vlan-id -

2-7

操作命令说明

配置 VLAN 协议模板 protocol-vlan [ protocol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc dsap dsap-id ssap ssap-id | snap etype etype-id } }

必选

缺省情况下，没有配置

VLAN 的协议模板

在配置协议 VLAN 的协议模板命令中，使用 at、ip、ipx 参数来配置标准模板，分别匹配 AppleTalk、IP、IPX 协议的报文；使用 mode 参数配置自定义模板。

由于 IP 协议与 ARP 协议关系密切，建议用户在 VLAN 下配置 IP 协议类型时，同时配置 ARP 协

议类型，并将这两种协议类型关联到相同的端口，避免因ARP报文与 IP报文未划分到同一VLAN，

而造成无法解析 IP 地址的情况。当配置 llc 封装的自定义模板时，如果将 dsap-id 与 ssap-id 参数取值为某些特殊数值，将与一些

标准封装格式相同：当 dsap-id 与 ssap-id 同取 0xFF 时，将与 ipx raw 型报文格式相同；同取

0xE0 时，将与 ipx llc 型报文格式相同；同取 0xAA 时，将与 snap 型报文格式相同。为避免出

现两条命令对同种协议报文做不同配置的情况，系统将不允许用户配置 dsap-id 和 ssap-id 参数

的取值同时为 0xFF、0xE0、0xAA。在使用 mode 参数配置自定义协议模板时，如果将 ethernetii 或 snap 型报文的 etype-id 参数值

配置为 0x0800、0x8137、0x809B，则该模板分别与 IP、IPX 和 AppleTalk 协议的标准协议模板

相同。为避免两条命令对同种协议做不同配置的情况，交换机将提示用户不能配置 ethernetii 或snap 报文的 etype-id 参数为上述三个数值。

2.3.3 配置端口与协议 VLAN 的关联

1. 配置准备

已经配置协议 VLAN 的协议模板

将端口配置为 Hybrid 类型，并配置在转发协议 VLAN 的报文时去除 VLAN Tag。

2. 配置步骤

表2-13 配置端口与基于协议 VLAN 的关联

操作命令说明



配置端口与协议 VLAN 关联 port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-index-end ] | all }

必选

缺省情况下，端口没有与任何

协议 VLAN 关联

2.3.4 协议 VLAN 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置协议 VLAN 后的运行情况。通过

查看显示信息，用户可以验证配置的效果。

2-8

表2-14 协议 VLAN 配置显示

操作命令说明

显示协议 VLAN 的基本信息 display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static]

显示指定 VLAN 上配置的协议信息

及协议的索引 display protocol-vlan vlan { vlan-id [ to vlan-id ] | all }

显示指定端口上配置的协议信息及

协议的索引

display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all }

display 命令可以在

任意视图下执行

2.3.5 协议 VLAN 典型配置举例

1. 组网需求

如图 2-2所示，工作室Workroom通过E152 交换机的Ethernet1/0/10 端口连接到局域网内。

工作室中使用 IP 网络和 AppleTalk 网络的工作站共存。

E152 交换机通过 Ethernet1/0/11 和 Ethernet1/0/12 端口分别连接到使用 IP 网络的 VLAN100

和使用 AppleTalk 网络的 VLAN200。

配置交换机将工作室中使用 IP 网络和 AppleTalk 网络的报文自动划分到指定的 VLAN 内进行

传输，以保证工作站与服务器的正常连接。

2. 组网图

图2-2 协议 VLAN 典型配置举例组网示意图

IP Host

Eth1/0/10

Eth1/0/11 Eth1/0/12

WorkroomAppleTalk Host

IP Server AppleTalk Server

3. 配置步骤

# 创建 VLAN100 和 VLAN200，并将端口 Ethernet1/0/11 和 Ethernet1/0/12 加入到指定 VLAN 中。


[Sysname] vlan 100

[Sysname-vlan100] port Ethernet 1/0/11

[Sysname-vlan100] quit

[Sysname] vlan 200


# 创建 VLAN200 和 VLAN100 的协议模板，分别匹配 AppleTalk 和 IP 协议。

2-9

[Sysname-vlan200] protocol-vlan at


[Sysname] vlan 100

[Sysname-vlan100] protocol-vlan ip

# 为保证 IP 网络正常通信，还需要创建 VLAN100 的自定义协议模板来匹配 ARP 协议，这里假设

使用 Ethernet II 型封装。

[Sysname-vlan100] protocol-vlan mode ethernetii etype 0806

# 显示当前已经创建的协议 VLAN 及其模板。

[Sysname-vlan100] display protocol-vlan vlan all

VLAN ID: 100

VLAN Type: Protocol-based VLAN

Protocol Index Protocol Type

0 ip

1 ethernetii etype 0x0806

VLAN ID: 200

VLAN Type: Protocol-based VLAN

Protocol Index Protocol Type

0 at

# 配置端口 Ethernet1/0/10 为 Hybrid 端口，并在转发 VLAN100 和 VLAN200 的报文时去掉 VLAN Tag。


[Sysname] interface Ethernet 1/0/10

[Sysname-Ethernet1/0/10] port link-type hybrid

[Sysname-Ethernet1/0/10] port hybrid vlan 100 200 untagged

# 配置端口 Ethernet1/0/10 分别与 VLAN100 的协议模板 0 和 1，VLAN200 的协议模板 0 进行绑定。

[Sysname-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 0 to 1

[Sysname-Ethernet1/0/10] port hybrid protocol-vlan vlan 200 0

# 显示端口 Ethernet1/0/10 与各协议 VLAN 的协议模板的绑定情况，以确认配置结果。

[Sysname-Ethernet1/0/10] display protocol-vlan interface Ethernet 1/0/10

Interface:Ethernet1/0/10

VLAN ID Protocol-Index Protocol-Type

100 0 ip

100 1 ethernetii etype 0x0806

200 0 at

上述显示信息表示，端口 Ethernet1/0/10 已经与 VLAN100 和 VLAN200 的相应协议模板进行了绑

定，此后 IP 工作站和 AppleTalk 工作站发送的报文，通过匹配协议模板，即可自动划分到指定的

VLAN 中进行传输，实现工作站与服务器的正常通信。

i

目录

1 IP地址配置......................................................................................................................................... 1-1

1.1 IP地址简介 ........................................................................................................................................ 1-1

1.1.1 IP地址的分类和表示 ...............................................................................................................1-1 1.1.2 特殊的IP地址 ..........................................................................................................................1-1 1.1.3 子网和掩码..............................................................................................................................1-2

1.2 配置接口的IP地址..............................................................................................................................1-2

1.3 IP地址配置显示 ................................................................................................................................. 1-3

1.4 IP地址配置举例 ................................................................................................................................. 1-3

1.4.1 IP地址配置举例一 ...................................................................................................................1-3 1.4.2 IP地址配置举例二 ...................................................................................................................1-4

2 IP性能配置......................................................................................................................................... 2-1

2.1 IP性能简介 ........................................................................................................................................ 2-1

2.1.1 IP性能配置简介.......................................................................................................................2-1 2.1.2 FIB简介 ................................................................................................................................... 2-1

2.2 IP性能配置 ........................................................................................................................................ 2-1

2.2.1 IP性能配置任务简介 ...............................................................................................................2-1 2.2.2 配置TCP属性 ..........................................................................................................................2-1 2.2.3 关闭ICMP差错报文发送功能 .................................................................................................. 2-2 2.2.4 取消系统预置的防止ICMP攻击ACL........................................................................................ 2-3

2.3 IP性能显示和维护..............................................................................................................................2-3

1-1

1 IP 地址配置

1.1 IP 地址简介

1.1.1 IP 地址的分类和表示

连接到 Internet 上的设备接口必须有一个全球唯一的 IP 地址。IP 地址长度为 32 比特，通常采用点

分十进制方式表示，即每个 IP 地址被表示为以小数点隔开的 4 个十进制整数，每个整数对应一个

字节，如 10.1.1.1。

IP 地址由两部分组成：

网络号码字段（Net-id）：用于区分不同的网络。网络号码字段的前几位称为类别字段（又称

为类别比特），用来区分 IP 地址的类型。

主机号码字段（Host-id）：用于区分一个网络内的不同主机。

为了方便管理及组网，IP地址被分成五类，如图 1-1所示，其中蓝色部分为类别字段。

图1-1 五类 IP 地址

上述五类IP地址的地址范围如表 1-1所示。目前大量使用的IP地址属于A、B、C三类。

表1-1 IP 地址分类及范围

地址类型地址范围说明

A 0.0.0.0～127.255.255.255

IP 地址 0.0.0.0 仅用于主机在系统启动时进行临时通

信，并且永远不是有效目的地址

127.0.0.0 网段的地址都保留作回路测试，发送到这个

地址的分组不会输出到链路上，它们被当作输入分组

在内部进行处理

B 128.0.0.0～191.255.255.255 -

C 192.0.0.0～223.255.255.255 -

D 224.0.0.0～239.255.255.255 组播地址

E 240.0.0.0～255.255.255.255 255.255.255.255 用于广播地址，其他地址保留今后

使用

1.1.2 特殊的 IP 地址

下列 IP 地址具有特殊的用途，不能作为主机的 IP 地址。

1-2

Net-id 为全 0 的地址：表示本网络内的主机。例如，0.0.0.16 表示本网络内 Host-id 为 16 的主

机。

Host-id 为全 0 的地址：网络地址，用于标识一个网络。

Host-id 为全 1 的地址：网络广播地址。例如，目的地址为 192.168.1.255 的报文，将转发给

192.168.1.0 网络内所有的主机。

1.1.3 子网和掩码

随着 Internet 的快速发展，IP 地址已近枯竭。为了充分利用已有的 IP 地址，可以使用子网掩码将

网络划分为更小的部分（即子网）。通过从主机号码字段部分划出一些比特位作为子网号码字段，

能够将一个网络划分为多个子网。子网号码字段的长度由子网掩码确定。

子网掩码是一个长度为 32 比特的数字，由一串连续的“1”和一串连续的“0”组成，通常采用点

分十进制方式表示。“1”对应于网络号码字段和子网号码字段，而“0”对应于主机号码字段。

图 1-2所示是一个B类地址划分子网的情况。

图1-2 IP 地址子网划分

多划分出一个子网号码字段会浪费一些 IP 地址。例如，一个 B 类地址可以容纳 65534（216-2，去

掉全 1 的广播地址和全 0 的网段地址）个主机号码。但划分出 9 比特长的子网字段后，最多可有 512（29）个子网，每个子网有 7 比特的主机号码，即每个子网最多可有 126（27-2，去掉全 1 的广播

地址和全 0 的网段地址）个主机号码。因此主机号码的总数是 512*126=64512 个，比不划分子网

时要少 1022 个。

若不进行子网划分，则子网掩码为默认值，此时子网掩码中“1”的长度就是网络号码的长度，即 A、B、C 类 IP 地址对应的子网掩码默认值分别为 255.0.0.0、255.255.0.0 和 255.255.255.0。

1.2 配置接口的 IP 地址

交换机支持为 VLAN 接口和 Loopback 接口配置 IP 地址。其中 VLAN 接口获取 IP 地址有三种方式：

通过手工指定 IP 地址

通过 BOOTP 分配得到 IP 地址

通过 DHCP 分配得到 IP 地址

这三种方式不能同时配置，通过新的配置方式获取的 IP 地址会覆盖通过原有方式获取的 IP 地址。

例如，首先通过手工指定了 IP 地址，然后使用 BOOTP 协议申请 IP 地址，那么手工指定的 IP 地址

会被删除，接口的 IP 地址通过 BOOTP 协议分配得到。

本节只介绍通过手工指定 IP 地址的方式，其他两种方式请参见“DHCP”部分的介绍。

1-3

表1-2 配置接口的 IP 地址

操作命令说明


进入接口视图 interface interface-type interface-number -

配置接口的 IP 地址 ip address ip-address { mask | mask-length } [ sub ]

必选

缺省情况下，没有配置接口的 IP 地址

一个接口最多可以配置 2 个 IP 地址，其中一个为主 IP 地址，一个为从 IP 地址；新配置的主 IP地址将覆盖原有的主 IP 地址。

同一接口的主、从 IP 地址不能在同一网段；同一设备上 VLAN 接口和 LoopBack 接口的 IP 地址

不能在同一网段。用户配置 VLAN 接口通过 BOOTP 或 DHCP 方式分配到 IP 地址后，不能再给该 VLAN 接口配置

从 IP 地址。

1.3 IP 地址配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 IP 地址后的运行情况。通过查看


表1-3 IP 地址配置显示

操作命令说明

显示三层接口的相关信

息 display ip interface [ interface-type interface-number ]

显示三层接口的基本配

置信息 display ip interface brief [ interface-type [ interface-number ] ]

display 命令可以在任意视图

下执行

1.4 IP 地址配置举例

1.4.1 IP 地址配置举例一

1. 组网需求

设置以太网交换机的 VLAN 接口 1 的 IP 地址为 129.2.2.1，子网掩码为 255.255.255.0。

2. 组网图

图1-3 IP 地址配置组网图

1-4

3. 配置步骤

# 配置 VLAN 接口 1 的 IP 地址。

<Switch> system-view

[Switch] interface Vlan-interface 1

[Switch-Vlan-interface1] ip address 129.2.2.1 255.255.255.0

1.4.2 IP 地址配置举例二

1. 组网需求

Switch 的端口（属于 VLAN1）连接一个局域网，局域网中的计算机分别属于 2 个网段：172.16.1.0/24和 172.16.2.0/24。要求这两个网段都可以通过 Switch 与外部网络通信，且这两个网段中的主机能

够互通。

2. 组网图

图1-4 IP 地址配置组网图

3. 配置步骤

针对上述的需求，如果在 Switch 的 VLAN 接口 1 上只配置一个 IP 地址，则只有一部分主机能够通

过 Switch 与外部网络通信。为了局域网内的所有主机都能够通过 Switch 访问外部网络，需要配置

VLAN 接口 1 的从 IP 地址。为了使两个网段中的主机能够互通，两个网段中的主机都需要将 Switch设置为网关。

# 配置 VLAN 接口 1 的主 IP 地址和从 IP 地址。


[Switch] interface Vlan-interface 1


[Switch-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub

# 在 172.16.1.0/24 网段中的主机上配置网关为 172.16.1.1；在 172.16.2.0/24 网段中的主机上配置

网关为 172.16.2.1。

# 使用 Ping 命令检测 Switch 与网络 172.16.1.0/24 内主机的连通性。

<Switch> ping 172.16.1.2

1-5

PING 172.16.1.2: 56 data bytes, press CTRL_C to break

Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=25 ms





--- 172.16.1.2 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 25/26/27 ms

显示信息表示 Switch 与网络 172.16.1.0/24 内的主机可以互通。

# 使用 Ping 命令检测 Switch 与网络 172.16.2.0/24 内主机的连通性。

<Switch> ping 172.16.2.2

PING 172.16.2.2: 56 data bytes, press CTRL_C to break






--- 172.16.2.2 ping statistics ---



0.00% packet loss


显示信息表示 Switch 与网络 172.16.2.0/24 内的主机可以互通。

2-1

2 IP 性能配置

新增“取消系统预置的防止ICMP攻击ACL”特性，具体介绍请参见 2.2.4 取消系统预置的防止ICMP攻击ACL。

2.1 IP 性能简介

2.1.1 IP 性能配置简介

在一些特定的网络环境里，需要调整 IP 的参数，以便网络性能达到最佳。交换机支持的 IP 性能配

置包括：

配置 TCP 属性

关闭 ICMP 差错报文发送功能

取消系统预置的防止 ICMP 攻击 ACL

2.1.2 FIB 简介

FIB（Forwarding Information Base，转发信息库），每个交换机中都保存着一个转发信息库，用于

存储交换机的转发信息，指导交换机进行三层转发。

用户可以通过查看 FIB 表来了解交换机的转发信息，每一条转发信息的内容包括：目的地址/掩码长

度、下一跳、当前标志、时间戳和输出接口。

交换机正常运行的情况下，转发信息库的内容和路由表的内容是一致的。

2.2 IP 性能配置

2.2.1 IP 性能配置任务简介

表2-1 IP 性能配置任务简介


配置 TCP 属性可选 2.2.2

关闭 ICMP 差错报文发送功能可选 2.2.3

取消系统预置的防止 ICMP 攻击 ACL 可选 2.2.4

2.2.2 配置 TCP 属性

可以配置的 TCP 属性包括：

synwait 定时器：当发送 SYN 报文时，TCP 启动 synwait 定时器，如果在定时器超时前未收

到回应报文，则 TCP 连接建立不成功。

2-2

finwait 定时器：当 TCP 的连接状态变为 FIN_WAIT_2 时，启动 finwait 定时器，如果在定时

器超时前没有收到报文，则 TCP 连接终止；如果收到 FIN 报文，则 TCP 连接状态变为

TIME_WAIT 状态；如果收到非 FIN 报文，则从收到的最后一个非 FIN 报文开始重新计时，在

超时后中止连接。

TCP 连接的接收和发送缓冲区的大小。

表2-2 配置 TCP 属性

操作命令说明


配置 TCP 的 synwait 定时器超时

时间 tcp timer syn-timeout time-value

可选

缺省情况下，synwait 定时器超时时间为

75 秒

配置 TCP 的 finwait 定时器超时

时间 tcp timer fin-timeout time-value

可选

缺省情况下，finwait 定时器超时时间为

675 秒

配置 TCP 连接的接收和发送缓

冲区的大小 tcp window window-size

可选

缺省情况下，TCP 连接的接收和发送缓

冲区大小为 8KB

2.2.3 关闭 ICMP 差错报文发送功能

传递差错报文是 ICMP（Internet Control Message Protocol，互联网控制报文协议）的主要功能之

一。ICMP 报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备，从而便于进行控

制管理。

ICMP 差错报文的发送虽然便于控制管理，但也存在一定的弊端：

发送大量的 ICMP 报文，增大了网络流量。

如果设备接收到大量需要发送 ICMP 差错报文进行相应的恶意攻击报文，会因为处理该类报文

而导致性能降低。

由于 ICMP 重定向功能会在主机的路由表中增加主机路由，当增加的主机路由很多时，会降低

主机性能。

由于 ICMP 目的不可达报文传递给用户进程的信息为不可达信息，如果有非法用户恶意攻击，

可能会影响终端用户的正常使用。

用户可以选择关闭设备的 ICMP 差错报文发送功能，从而减少网络流量、防止遭到恶意攻击。

表2-3 关闭 ICMP 差错报文发送功能

操作命令说明


关闭 ICMP 重定向报文发送功能 undo icmp redirect send 必选

缺省情况下，ICMP 重定向报文发送功能

处于开启状态

关闭 ICMP 目的不可达报文发送

功能 undo icmp unreach send

必选

缺省情况下，ICMP 目的不可达报文发送

功能处于开启状态

2-3

2.2.4 取消系统预置的防止 ICMP 攻击 ACL

ICMP 攻击是网络中常见的攻击方式，为避免恶意用户构造的攻击性 ICMP 报文对设备的正常工作

造成影响，系统中预先设置了部分 ACL，用来匹配发往本设备的 ICMP 报文，并将其与普通业务报

文分开处理，减少了 ICMP 攻击对正常业务报文的影响，提高了网络的稳定性。

在相对安全的网络中，用户也可以通过取消系统预置的防止 ICMP 攻击 ACL，来增加设备可用的

ACL 资源。

表2-4 取消系统预置的防止 ICMP 攻击 ACL

操作命令说明


取消系统预置的防止 ICMP 攻击ACL

undo icmp acl-priority 必选

缺省情况下，系统中保留为防止

ICMP 攻击所预置的 ACL

在取消防止 ICMP 攻击 ACL 前，请检查本地网络中是否存在 ICMP 攻击的隐患。

2.3 IP 性能显示和维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 IP 性能后的运行情况。通过查看


在用户视图下执行 reset 命令，可以清除 IP、TCP 和 UDP 的流量统计信息。

表2-5 IP 性能显示和维护

操作命令说明

显示 TCP 连接的状态 display tcp status

显示 TCP 连接的流量统计信息 display tcp statistics

显示 UDP 流量的统计信息 display udp statistics

显示 IP 流量的统计信息 display ip statistics

显示 ICMP 流量的统计信息 display icmp statistics

显示系统当前套接字信息 display ip socket [ socktype sock-type ] [ task-id socket-id ]

显示 FIB 转发信息表项 display fib

显示与指定目的 IP地址匹配的FIB转发信

息表项

display fib ip_address1 [ { mask1 | mask-length1 } [ ip_address2 { mask2 | mask-length2 } | longer ] | longer ]

显示通过指定标准访问控制列表过滤的

FIB 转发信息表项 display fib acl acl-number

根据正则表达式输出缓冲区中与指定字符

串相关的 FIB 表项 display fib | { begin | include | exclude } regular-expression

display 命令可

以在任意视图下

执行

2-4

操作命令说明

显示 FIB 表项的总数目 display fib statistics

清除 IP 流量统计信息 reset ip statistics

清除 TCP 流量统计信息 reset tcp statistics

清除 UDP 流量统计信息 reset udp statistics

reset 命令在用

户视图下执行

i

目录

1 Voice VLAN配置 ................................................................................................................................ 1-1

1.1 Voice VLAN简介................................................................................................................................ 1-1

1.1.1 IP电话的工作原理 ...................................................................................................................1-1 1.1.2 E152 交换机对语音流的识别方法 ........................................................................................... 1-3 1.1.3 根据语音流设置端口的Voice VLAN的工作模式...................................................................... 1-3 1.1.4 各类端口对Voice VLAN的支持情况 ........................................................................................ 1-4 1.1.5 Voice VLAN的安全模式和普通模式 ........................................................................................ 1-5

1.2 Voice VLAN配置................................................................................................................................ 1-6

1.2.1 配置准备 ................................................................................................................................. 1-6 1.2.2 配置语音报文的QoS优先级 .................................................................................................... 1-6 1.2.3 配置自动模式下的Voice VLAN ............................................................................................... 1-6 1.2.4 配置手动模式下的Voice VLAN ............................................................................................... 1-7

1.3 Voice VLAN配置显示 ........................................................................................................................1-9

1.4 Voice VLAN典型配置举例 .................................................................................................................1-9

1.4.1 自动模式下Voice VLAN的配置举例 ........................................................................................ 1-9 1.4.2 手动模式下Voice VLAN的配置举例 ...................................................................................... 1-10

1-1

1 Voice VLAN 配置

新增“配置语音报文的QoS优先级”特性，具体介绍请参见 1.2.2 配置语音报文的QoS优先级。

1.1 Voice VLAN 简介

Voice VLAN 是为用户的语音数据流划分的 VLAN。用户通过创建 Voice VLAN 并将连接语音设备的

端口加入 Voice VLAN，可以使语音数据集中在 Voice VLAN 中进行传输，便于对语音流进行有针

对性的 QoS（Quality of Service，服务质量）配置，提高语音流量的传输优先级，保证通话质量。

1.1.1 IP 电话的工作原理

IP 电话可以将语音模拟信号转换成数字信号，在 IP 网络上进行传输，配合其他语音设备向用户提

供大容量、低费用的语音通信解决方案。与其他网络设备相同，IP 电话也需要 IP 地址才能在网络

中正常进行工作。IP 电话可以通过手工设置或自动获取的方式得到 IP 地址，下面主要介绍 IP 电话

自动获取 IP 地址的过程。

以下内容仅对一般情况下 IP 电话获取 IP 地址的过程进行描述，对于不同厂商的 IP 电话产品，其工

作原理可能与以下的描述有所差异，具体情况请参见 IP 电话的用户手册。

IP 电话在申请 IP 地址的过程中，通过 Option184 选项向 DHCP 服务器请求语音相关的扩展信息，

包括：

网络呼叫处理器（Network Call Processor，简称 NCP）的 IP 地址

备选 NCP 服务器的 IP 地址

Voice VLAN 配置

Failover 呼叫路由

关于 Option184 选项的详细介绍和配置，请参见“DHCP”部分。

下面以常用的组网方案为例介绍 IP 电话获取 IP 地址的过程。

1-2

图1-1 IP 电话典型组网示意图

如图 1-1所示，IP电话需要通过与DHCP服务器和NCP配合，建立语音数据的发送路径。如图所示，

IP电话从上电开机到具备向外界传输语音数据的能力，需要经历以下三个步骤：

(1) IP 电话上电后，会发出 untag 的 DHCP 请求报文，报文中除包含请求自身 IP 的内容外，还会

在 Option184 字段中包含四个特殊的请求信息。此报文将在接收端口缺省 VLAN 内进行广播，

位于缺省 VLAN 内的 DHCP Server1 接收到该报文后，将回复给 IP 电话相应的信息：

如果 DHCP Server1 没有配置 Option 184 功能，则直接回应 IP 电话，告知为其分配的 IP 地

址。该 IP 电话由于没有收到 Voice VLAN 信息，将只能发送 untag 报文，且在连接交换机的

端口所在缺省 VLAN 内进行通信，因此接入端口的缺省 VLAN 就需要被手工设置为 Voice

VLAN。

在这种情况下，将跳过后面的步骤，IP 电话直接通过网关进行对外通信。

如果 DHCP Server1 已经配置了 Option 184 功能，则向 IP 电话发送回应报文，在告知为其分

配的 IP 地址以及 NCP 的 IP 地址和 Voice VLAN 的编号等信息。

(2) 如果 IP 电话通过 DHCP Server1 的回应报文获得了 Voice VLAN 和 NCP 地址等信息，首先将

与指定的 NCP 进行连接，下载软件；之后将放弃 DHCP Server1 分配的 IP 地址，重新构造

DHCP 请求报文，并为请求报文封装 Voice VLAN 的 Tag，向 Voice VLAN 中发送。

(3) 工作在 Voice VLAN 中的 DHCP Server2 将为 IP 电话重新分配 IP 地址，并发送带 Tag 的回复

报文。IP 电话收到后，即可发送带有 Voice VLAN Tag 的语音数据，通过语音网关进行通信。

此时，需要交换机上连接 IP 电话的端口允许 Voice VLAN 报文携带 Tag 通过。

untag 报文指没有携带 VLAN Tag 的报文。 tag 报文指携带 VLAN Tag 的报文。

对于手工设置 IP 地址及 Voice VLAN 的 IP 电话，只需要保证设置的 Voice VLAN 编号与交换机保

持一致，同时设置与网络呼叫处理器路由可达的 IP 地址即可。

1-3

1.1.2 E152 交换机对语音流的识别方法

E152以太网交换机可以根据进入端口的数据报文中的源MAC地址字段来判断该数据流是否为语音

数据流，源 MAC 地址符合系统设置的语音设备 OUI（Organizationally Unique Identifier，全球统

一标识符）地址的报文被认为是语音数据流

接收到语音数据流的端口将自动加入 Voice VLAN，该端口下连接的语音设备所发出的带有 Voice VLAN 标签的语音流便能够通过该端口进行传输，并享有较高的传输优先级。

用户可以预先设置 OUI 地址，也可以使用缺省的 OUI 地址作为判断标准。

OUI 地址为 MAC 地址的前 24 位，是 IEEE 为不同设备供应商分配的一个全球唯一的标识符，从

OUI 地址可以判断出该设备是哪一个厂商的产品。E152 交换机支持配置 OUI 地址的掩码，用户可

以通过设定不同的掩码来调节交换机对 MAC 地址匹配的深度。

缺省情况下，E152 交换机可以识别的OUI地址有 5 个，如表 1-1所示。

表1-1 交换机预置的缺省 OUI 地址

序号 OUI 地址生产厂商

1 0003-6b00-0000 Cisco phone

2 000f-e200-0000 H3C Aolynk phone

3 00d0-1e00-0000 Pingtel phone

4 00e0-7500-0000 Polycom phone

5 00e0-bb00-0000 3Com phone

在对语音流进行正确识别之后，Voice VLAN 功能将自动修改语音数据中的两个优先级，以提高语

音数据的传输质量：

CoS（802.1p）优先级将被自动调整为 6

DSCP 优先级将被自动调整为 46

1.1.3 根据语音流设置端口的 Voice VLAN 的工作模式

用户可根据每个语音端口中数据流的实际情况设定端口的 Voice VLAN 工作模式，包括自动模式和

手动模式。当接入的 IP 电话发送 untag 报文或 tag 报文时，交换机会采取不同的操作。

1. IP 语音设备发送 untag 报文时的处理方式

自动模式下：E152 交换机通过学习 IP 语音设备上电时发出的 untag 报文中的源 MAC 地址，

自动将连接 IP 语音设备的端口加入 Voice VLAN，并使用老化机制维护 Voice VLAN 内的端口

数量。当达到端口老化时间时，不能更新 OUI 地址（没有语音流通过）的语音端口会自动从

Voice VLAN 中删除；用户不能通过手工配置命令将端口加入 Voice VLAN 或从 Voice VLAN

中删除。

手动模式下：需要通过手工配置命令将端口加入 Voice VLAN 或从 Voice VLAN 中删除。

1-4

2. IP 语音设备发送 tag 报文时的处理方式

对于 IP 语音设备发出的 tag 报文，两种模式处理方式一致，根据 tag 中的 VLAN ID 将报文在相应

的 VLAN 内进行转发。

如果用户的 IP 语音设备发出的是携带 VLAN Tag 的语音流，且接入的端口上开启了 802.1x 认证和

guest VLAN，为保证各功能的正常使用，请为 Voice VLAN、端口的缺省 VLAN 和 802.1x 的 guest VLAN 分配不同的 VLAN ID。

1.1.4 各类端口对 Voice VLAN 的支持情况

Voice VLAN 功能支持使用 Access、Trunk 和 Hybrid 端口传输语音数据，交换机上原属于其它 VLAN的 Trunk 和 Hybrid 端口可以通过开启 Voice VLAN 功能，同时传输语音和业务数据。

根据IP电话种类的不同，各种类型的端口需要满足不同的条件才能够支持。对于自动获取IP地址及

Voice VLAN编号的电话，端口的支持条件如表 1-2所示：

表1-2 各类型端口与自动获取 Voice VLAN 的语音设备配合关系表

端口 Voice VLAN 模式

语音流

类型端口类

型支持条件

Access 不支持

Trunk 支持

接入端口的缺省 VLAN 必须存在且不能是 Voice VLAN，同时接入端口允许

缺省 VLAN 通过 tag 语

音流

Hybrid 支持

接入端口的缺省 VLAN 必须存在且不能是 Voice VLAN，同时缺省 VLAN 应

在接入端口允许通过的 tagged VLAN 列表中

Access

Trunk

自动模式

untag语音流

Hybrid

不支持

由于必须保证接入端口的缺省 VLAN 为 Voice VLAN，且接入端口在 Voice VLAN 中，相当于通过手工方式将端口加入了 Voice VLAN

Access 不支持

Trunk 支持


该缺省 VLAN 和 Voice VLAN 通过 tag 语

音流

Hybrid 支持

接入端口的缺省 VLAN 必须存在且不能是 Voice VLAN，同时该缺省 VLAN和 Voice VLAN 应在接入端口允许通过的 tagged VLAN 列表中

Access 支持

接入端口的缺省 VLAN 必须是 Voice VLAN

Trunk 支持

接入端口的缺省 VLAN 必须是 Voice VLAN，且接入端口允许该 VLAN 通过

手动模式

untag语音流

Hybrid 支持

接入端口的缺省 VLAN 必须是 Voice VLAN，且在接入端口允许通过的

untagged VLAN 列表中

1-5

对于手工设置IP地址及Voice VLAN编号的电话，由于其只能发送tag语音流，匹配关系较为简单，

如表 1-3所示：

表1-3 各类型端口与手工设置 Voice VLAN 的语音设备配合关系表

端口 Voice VLAN 模式端口类型支持条件

Access 不支持

Trunk 支持


缺省 VLAN 通过自动模式

Hybrid 支持

接入端口的缺省 VLAN 必须存在且不能是 Voice VLAN，同时缺省 VLAN 应

在接入端口允许通过的 tagged VLAN 列表中

Access 不支持

Trunk 支持


该缺省 VLAN 通过手动模式

Hybrid 支持

接入端口的缺省 VLAN 必须存在且不能是 Voice VLAN，同时该缺省 VLAN和 Voice VLAN 应在接入端口允许通过的 tagged VLAN 列表中

1.1.5 Voice VLAN 的安全模式和普通模式

为满足用户对Voice VLAN中传输数据的不同需求，E152 交换机提供了Voice VLAN的安全模式和普

通模式功能。在这两种模式下，开启了Voice VLAN功能的端口对接收的报文有着不同的处理方式，

如表 1-4所示。

表1-4 Voice VLAN 的安全/普通模式对 Untag 及带有 Voice VLAN Tag 报文的处理

Voice VLAN 模式报文类型处理方式

Untag 报文

带有 Voice VLAN Tag 的报文

当该报文源 MAC 地址是可识别的 OUI 地址时，

允许该报文在 Voice VLAN 内传输，否则将该报文

丢弃安全模式

带有其他 VLAN Tag 的报文根据指定端口是否允许该 VLAN 通过来对报文进

行转发和丢弃的处理，不受 Voice VLAN 安全/普通模式的影响

Untag 报文

带有 Voice VLAN Tag 的报文

不对报文的源 MAC 地址进行检查，所有报文均可

以在 Voice VLAN 内进行传输。

普通模式

带有其他 VLAN Tag 的报文根据指定端口是否允许该 VLAN 通过来对报文进

行转发和丢弃的处理，不受 Voice VLAN 安全/普通模式的影响

建议用户尽量不要在 Voice VLAN 中同时传输语音和业务数据。如确有此需要，请确认 Voice VLAN工作在普通模式。

1-6

1.2 Voice VLAN 配置

1.2.1 配置准备

配置 Voice VLAN 之前，须先创建对应的 VLAN。

VLAN 1 是默认 VLAN，无需创建，但 VLAN 1 不能被设置为 Voice VLAN。

1.2.2 配置语音报文的 QoS 优先级

Voice VLAN 在实现中，通过提高语音报文的 QoS 优先级（CoS 和 DSCP 值）来保证语音通信的

质量。语音报文带有缺省的 QoS 优先级，用户也可以通过配置使语音报文通过端口时使用指定的

QoS 优先级。

表1-5 配置语音报文的 QoS 优先级

操作命令说明


进入端口视图 interface interface-type interface-number -

配置端口信任语音报文的优先

级，即端口不会修改Voice VLAN内语音报文自带的 CoS 和

DSCP 值

voice vlan qos trust

将 Voice VLAN 内语音报文的

CoS 和 DSCP 修改为指定值 voice vlan qos cos-value dscp-value

二者任选其一

缺省情况下，端口会将 Voice VLAN 内语音报文的 CoS 值修

改为 6，DSCP 值修改为 46

在同一端口多次执行这两条命

令，则最新配置将覆盖旧配置，

最新的配置生效

在 Voice VLAN 使能的情况下，不允许配置/修改语音报文的 QoS 优先级。必须禁用 Voice VLAN后，才能配置/修改。

1.2.3 配置自动模式下的 Voice VLAN

表1-6 配置自动模式下的 Voice VLAN

操作命令说明


设置 Voice VLAN 可识别的其

他 OUI 地址

voice vlan mac-address oui mask oui-mask [ description text ]

可选

缺省情况下，交换机按照缺省的 OUI 地址

来判断语音流

开启 Voice VLAN 的安全模式 voice vlan security enable 可选

缺省情况下，端口的 Voice VLAN 安全模式

开启

设置 Voice VLAN 的老化时间 voice vlan aging minutes 可选

缺省情况下，老化时间为 1440 分钟

开启全局 Voice VLAN voice vlan vlan-id enable 必选


1-7

操作命令说明

开启端口的 Voice VLAN 功能 voice vlan enable 必选

缺省情况下，端口的 Voice VLAN 处于关闭

状态

开启端口的 Voice VLAN legacy 功能

voice vlan legacy 可选

缺省情况下，端口的 Voice VLAN legacy 功

能处于关闭状态

设定端口 Voice VLAN 的工作

模式为自动模式 voice vlan mode auto 可选

缺省情况下，端口的 Voice VLAN 工作模式

为自动模式

由于工作在自动模式下的端口不能通过命令配置加入 Voice VLAN，因此，如果用户将某个 VLAN同时配置为 Voice VLAN 和协议 VLAN，则协议 VLAN 功能将不能与该端口进行绑定。关于协议

VLAN 的介绍请参见本手册“VLAN”部分。工作在自动模式的端口，不能将缺省 VLAN 设置为 Voice VLAN，否则系统会输出信息，提示用

户无法进行配置。

当 Voice VLAN 正常工作时，如果遇到设备重新启动，为保证已经建立的语音连接能够正常工作，

系统会在重新启动完成后，将配置为自动模式的端口重新加入本地设备的 Voice VLAN，而不需要

再次通过语音流的触发。

1.2.4 配置手动模式下的 Voice VLAN

表1-7 配置手动模式下的 Voice VLAN

操作命令说明


设置 Voice VLAN 识别的其他 OUI 地址 voice vlan mac-address oui mask oui-mask [ description text ]

可选

如不设置，则交换机按照缺省的 OUI地址来判断语音流

开启 Voice VLAN 的安全模式 voice vlan security enable 可选

缺省情况下，端口的 Voice VLAN 安

全模式开启

设置 Voice VLAN 的老化时间 voice vlan aging minutes 可选

缺省情况下，老化时间为 1440 分钟

开启全局 Voice VLAN voice vlan vlan-id enable 必选


开启端口的 Voice VLAN 功能 voice vlan enable 必选

缺省情况下，端口的 Voice VLAN 处

于关闭状态

1-8

操作命令说明

开启端口的 Voice VLAN legacy 功能 voice vlan legacy 可选

缺省情况下，端口的 Voice VLAN legacy 功能处于关闭状态

设定端口 Voice VLAN 的工作模式为手动

模式 undo voice vlan mode auto

必选

缺省情况下，端口的 Voice VLAN 工

作模式为自动模式

退回到系统视图 quit -

进入 VLAN 视图 vlan vlan-id Access端口将端口加入

VLAN port interface-list

进入端口视图 interface interface-type interface-number

将端口加入VLAN

port trunk permit vlan vlan-id port hybrid vlan vlan-id { tagged | untagged }

必选

缺省情况下，所有端口都加入到

VLAN1 中将手动

模式端

口加入Voice VLAN

Trunk 或

Hybrid 端

口

设定 Voice VLAN 为端口默

认 VLAN

port trunk pvid vlan vlan-id port hybrid pvid vlan vlan-id

可选

Trunk和Hybrid端口的默认VLAN是

否需要设定为Voice VLAN依据表

1-2中语音流类型与端口类型对应关

系而定

同一时刻只能有一个 VLAN 被配置为 Voice VLAN。如果端口已经开启 LACP（Link Aggregation Control Protocol，链路汇聚控制协议），则不能开

启 Voice VLAN 特性。 Voice VLAN 功能只支持在静态 VLAN 上启动，不能配置动态 VLAN 作为 Voice VLAN。当端口上应用的 ACL 数量达到上限时，将不能开启该端口的 Voice VLAN 功能。用户可以使用

display voice vlan error-info 命令定位开启失败的端口。当 Voice VLAN 工作在安全模式时，设备只允许源地址是可识别的语音 OUI 地址的数据通过，源

地址不合法的报文将直接被丢弃（包括一些认证报文，如 802.1x 认证报文）。建议用户尽量不

要在 Voice VLAN 中同时传输语音和业务数据。如确有此需要，请确认 Voice VLAN 的安全模式

已关闭。 Voice VLAN legacy 功能支持为来自其他友商语音设备的语音数据自动分配 Voice VLAN，从而

实现我公司设备与其他友商语音设备的互通。voice vlan legacy 命令可以在全局及端口的 Voice VLAN 开启之前执行，但只有全局及端口的 Voice VLAN 功能开启之后才能生效。

1-9

将 Trunk 或 Hybrid 端口加入 Voice VLAN 的相关命令，请参见《H3C E152 以太网交换机命令手册》

“VLAN”部分的介绍。

1.3 Voice VLAN 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 Voice VLAN 后的运行情况。通

过查看显示信息，用户可以验证配置的效果。

表1-8 Voice VLAN 配置显示

操作命令说明

显示 Voice VLAN 开启失败的端口信息 display voice vlan error-info

显示 Voice VLAN 的配置状态 display voice vlan status

显示当前系统支持的 OUI 地址 display voice vlan oui

显示当前 Voice VLAN 中工作的端口 display vlan vlan-id

display 命令可


执行

1.4 Voice VLAN 典型配置举例

1.4.1 自动模式下 Voice VLAN 的配置举例

1. 组网需求

通过配置自动模式下的 Voice VLAN，使接入 IP 电话的端口能够自动加入/退出 Voice VLAN，并将

语音流在该 VLAN 内传输。

创建 VLAN2 为 Voice VLAN，老化时间是 100 分钟。

IP 电话发送 tag 语音流，接入端口是 Hybrid 类型端口 Ethernet1/0/1，端口的缺省 VLAN 为

VLAN6，工作在 Voice VLAN 自动模式。

用户需要设置一个自定义的 OUI 地址 0011-2200-0000，掩码是 ffff-ff00-0000，描述字符为

test。

2. 组网图

图1-2 配置自动模式下 Voice VLAN 组网图

1-10

3. 配置步骤

# 创建 VLAN2、VLAN6。

<DeviceA> system-view

[DeviceA] vlan 2

[DeviceA-vlan2] quit

[DeviceA] vlan 6


# 设置 Voice VLAN 的老化时间。

[DeviceA] voice vlan aging 100

# 设置 OUI 地址 0011-2200-0000，描述字符为“test”。

[DeviceA] voice vlan mac-address 0011-2200-0000 mask ffff-ff00-0000 description test

# 全局开启 Voice VLAN 功能。

[DeviceA] voice vlan 2 enable

# 将端口 Ethernet1/0/1 上 Voice VLAN 的工作模式设置为自动模式。（可选，缺省情况下，端口的

Voice VLAN 工作在自动模式。）

[DeviceA] interface Ethernet 1/0/1

[DeviceA-Ethernet1/0/1] voice vlan mode auto

# 将端口 Ethernet1/0/1 设定为 Hybrid 端口。

[DeviceA-Ethernet1/0/1] port link-type hybrid

# 设置端口的缺省 VLAN 为 VLAN6，且允许 VLAN6 的报文携带 VLAN Tag 通过。

[DeviceA-Ethernet1/0/1] port hybrid pvid vlan 6

[DeviceA-Ethernet1/0/1] port hybrid vlan 6 tagged

# 开启端口 Voice VLAN 功能。

[DeviceA-Ethernet1/0/1] voice vlan enable

1.4.2 手动模式下 Voice VLAN 的配置举例

1. 组网需求

通过配置手动模式下的 Voice VLAN，使接入 IP 电话的端口通过人为控制加入/退出 Voice VLAN，

并将语音流在该 VLAN 内传输。

创建 VLAN2 为 Voice VLAN，使其工作在 Voice VLAN 安全模式，只允许语音数据通过。

IP 电话发送 untag 语音流，接入端口是 Hybrid 类型端口 Ethernet1/0/1，工作在手动模式。

用户需要设置一个自定义的 OUI 地址 0011-2200-0000，掩码是 ffff-ff00-0000，描述字符为

test。

1-11

2. 组网图

图1-3 配置手动模式下 Voice VLAN 组网图

3. 配置步骤

# 设置 Voice VLAN 为安全模式，使得 Voice VLAN 端口只允许合法的语音报文通过。（可选，系

统缺省为安全模式）


[DeviceA] voice vlan security enable

# 设置 OUI 地址 0011-2200-0000，描述字符为“test”。

[DeviceA] voice vlan mac-address 0011-2200-0000 mask ffff-ff00-0000 description test

# 创建 VLAN2，开启 VLAN2 的 Voice VLAN 功能。

[DeviceA] vlan 2


[DeviceA] voice vlan 2 enable

# 设置端口 Ethernet1/0/1 工作在手动模式。

[DeviceA] interface Ethernet 1/0/1

[DeviceA-Ethernet1/0/1] undo voice vlan mode auto

# 设置端口 Ethernet1/0/1 为 Hybrid 类型。

[DeviceA-Ethernet1/0/1] port link-type hybrid

# 设置 Voice VLAN 是端口 Ethernet1/0/1 的缺省 VLAN，且在该端口允许通过的 untagged VLAN列表中。

[DeviceA-Ethernet1/0/1] port hybrid pvid vlan 2

[DeviceA-Ethernet1/0/1] port hybrid vlan 2 untagged

# 开启端口 Ethernet1/0/1 的 Voice VLAN 功能。

[DeviceA-Ethernet1/0/1] voice vlan enable

4. 显示与验证

# 显示当前系统支持的 OUI 地址、OUI 地址掩码和描述信息。

<DeviceA> display voice vlan oui

Oui Address Mask Description

0003-6b00-0000 ffff-ff00-0000 Cisco phone

000f-e200-0000 ffff-ff00-0000 H3C Aolynk phone

0011-2200-0000 ffff-ff00-0000 test

1-12

00d0-1e00-0000 ffff-ff00-0000 Pingtel phone

00e0-7500-0000 ffff-ff00-0000 Polycom phone

00e0-bb00-0000 ffff-ff00-0000 3Com phone

# 显示当前 Voice VLAN 的状态。

<DeviceA> display voice vlan status

Voice Vlan status: ENABLE

Voice Vlan ID: 2

Voice Vlan security mode: Security

Voice Vlan aging time: 1440 minutes

Current voice vlan enabled port mode:

PORT MODE COS DSCP

---------------------------------------------

Ethernet1/0/1 MANUAL 6 46

i

目录

1 GVRP配置 ......................................................................................................................................... 1-1

1.1 GVRP简介......................................................................................................................................... 1-1

1.1.1 GARP简介 ..............................................................................................................................1-1 1.1.2 GVRP简介 ..............................................................................................................................1-3 1.1.3 协议规范 ................................................................................................................................. 1-3

1.2 GVRP配置......................................................................................................................................... 1-4

1.2.1 GVRP配置任务简介................................................................................................................1-4 1.2.2 启动GVRP .............................................................................................................................. 1-4 1.2.3 配置GVRP定时器 ...................................................................................................................1-4 1.2.4 配置GVRP注册模式................................................................................................................1-5

1.3 GVRP显示和维护 ..............................................................................................................................1-5

1.4 GVRP典型配置举例 ..........................................................................................................................1-6

1.4.1 GVRP典型配置举例................................................................................................................1-6

1-1

1 GVRP 配置

1.1 GVRP 简介

GVRP（GARP VLAN Registration Protocol，GARP VLAN 注册协议）是 GARP（Generic Attribute Registration Protocol，通用属性注册协议）的一种应用。下面首先介绍一下 GARP 的相关内容。

1.1.1 GARP 简介

GARP 提供了一种机制，用于协助同一个局域网内的交换成员之间分发、传播和注册某种信息（如

VLAN、组播信息等）。

GARP 本身不作为一个实体存在于设备中，遵循 GARP 协议的应用实体称为 GARP 应用，GVRP就是 GARP 的一种应用。当 GARP 应用实体存在于设备的某个端口上时，该端口对应于一个 GARP应用实体。

1. GARP 消息和定时器

(1) GARP 消息

GARP 成员之间的信息交互借助于消息的传递来完成，主要有三类消息起作用，分别为 Join 消息、

Leave 消息和 LeaveAll 消息。

当一个 GARP 应用实体希望其它设备注册自己的属性信息时，它将对外发送 Join 消息；当收

到其它实体的 Join 消息或本设备静态配置了某些属性，需要其它 GARP 应用实体进行注册时，

它也会向外发送 Join 消息。

当一个 GARP 应用实体希望其它交换机注销自己的某属性信息时，它将对外发送 Leave 消息；

当收到其它实体的 Leave消息注销某些属性或静态注销了某些属性后，它也会向外发送 Leave

消息。

每个 GARP 应用实体启动后，将同时启动 LeaveAll 定时器，当该定时器超时后 GARP 应用实

体将对外发送 LeaveAll 消息，LeaveAll 消息用来注销所有的属性，以使其它 GARP 应用实体

重新注册本实体上所有的属性信息。

Leave 消息、LeaveAll 消息与 Join 消息配合确保属性的注销或重新注册。

通过消息交互，所有待注册的属性信息可以传播到同一局域网内开启了 GARP 功能的所有设备上。

(2) GARP 定时器

GARP 消息发送的时间间隔是通过定时器来实现的，GARP 定义了四种定时器，用于控制 GARP消息的发送周期：

Hold 定时器：当 GARP 应用实体接收到其它设备发送的注册信息时，不会立即将该注册信息

作为一条 Join 消息对外发送，而是启动 Hold 定时器。当该定时器超时后，GARP 应用实体将

此时段内收到的所有注册信息放在同一个 Join 消息中向外发送，从而节省带宽资源。

Join 定时器：GARP 应用实体可以通过将每个 Join 消息向外发送两次来保证消息的可靠传输，

在第一次发送的 Join 消息没有得到回复的时候，GARP 应用实体会第二次发送 Join 消息。两

次 Join 消息发送之间的时间间隔用 Join 定时器来控制。

1-2

Leave 定时器：当一个 GARP 应用实体希望注销某属性信息时，将对外发送 Leave 消息，接

收到该消息的 GARP 应用实体启动 Leave 定时器，如果在该定时器超时之前没有收到 Join 消

息，则注销该属性信息。

LeaveAll 定时器：每个 GARP 应用实体启动后，将同时启动 LeaveAll 定时器，当该定时器超

时后，GARP 应用实体将对外发送 LeaveAll 消息，以使其它 GARP 应用实体重新注册本实体

上所有的属性信息。随后再启动 LeaveAll 定时器，开始新的一轮循环。

GARP 定时器的值将应用于所有在同一局域网内运行的 GARP 应用（如 GVRP）。 Hold 定时器、Join 定时器和 Leave 定时器的值可以在每个以太网端口单独进行设置；而 LeaveAll定时器只需在设备的全局进行设置即可，设置完成后，该值将在设备的所有端口上生效。

在全网有多台设备的情况下，各个设备的 LeaveAll 定时器的取值可能不相同，但各设备都将以全

网时间段最小的 LeaveAll 定时器为准发送 LeaveAll 消息。因为每次发送 LeaveAll 消息时，其它

设备接收到之后都会清零 LeaveAll 定时器，因此即使全网存在很多不同的 LeaveAll 定时器，也

只有时间段最小的那个 LeaveAll 定时器起作用。

2. GARP 运行过程

通过 GARP 机制，一个 GARP 成员上的配置信息会迅速传播到整个局域网。GARP 成员可以是终

端工作站或网桥。GARP 成员通过声明或回收声明来通知其它的 GARP 成员注册或注销自己的属性

信息，并根据其它 GARP 成员的声明或回收声明来注册或注销其它 GARP 成员的属性信息。当端

口接收到一个属性声明时，该端口将注册该属性，如果端口接收到回收属性的声明，该端口将注销

该属性。

GARP 应用实体的协议数据报文以特定的组播 MAC 地址为目的 MAC。设备在接收到 GARP 应用

实体的报文后，会根据其目的 MAC 地址加以区分并交给不同的 GARP 应用（如 GVRP）去处理。

3. GARP 的报文格式

GARP 的报文格式如下图所示。

图1-1 GARP 报文格式

1-3

各个字段的说明如表 1-1所示。

表1-1 各个字段的说明

字段含义取值

Protocol ID 协议 ID 取值为 1

Message 消息，每个 Message 由 Attribute Type、Attribute List 构成 -

Attribute Type 属性类型，由具体的 GARP 的应用定义对于 GVRP，属性类型为 0x01，表示

属性取值为 VLAN ID

Attribute List 属性列表，由多个属性构成 -

Attribute

属性，每个属性由 Attribute Length、Attribute Event、Attribute Value 构成

LeaveAll Attribute 由 Attribute Length、LeaveAll Event 构成

-

Attribute Length 属性长度 2～255，单位为字节

Attribute Event 属性描述的事件

0：LeaveAll Event

1：JoinEmpty Event

2：JoinIn Event

3：LeaveEmpty Event

4：LeaveIn Event

5：Empty Event

Attribute Value 属性取值 GVRP 的属性取值为 VLAN ID，但

LeaveAll属性的Attribute Value值无效

End Mark 结束标志、GARP 的 PDU（协议数据单元）的

结尾标志以 0x00 取值表示

1.1.2 GVRP 简介

GVRP 是 GARP 的一种应用。它基于 GARP 的工作机制，用来维护设备中的 VLAN 动态注册信息，

并传播该信息到其它交换机。

设备启动 GVRP 特性后，能够接收来自其它设备的 VLAN 注册信息，并动态更新本地的 VLAN 注

册信息，包括当前的 VLAN 成员、这些 VLAN 成员可以通过哪个端口到达等。而且设备能够将本地

的 VLAN 注册信息向其它设备传播，以使同一局域网内所有设备的 VLAN 信息达成一致。GVRP 传

播的 VLAN 注册信息既包括本地手工配置的 VLAN 静态注册信息，也包括来自其它设备的 VLAN 动

态注册信息。

GVRP 的端口注册模式有三种：Normal、Fixed 和 Forbidden，各模式描述如下。

Normal 模式：允许该端口动态注册、注销 VLAN，传播动态 VLAN 以及静态 VLAN 信息。

Fixed 模式：禁止该端口动态注册、注销 VLAN，只传播静态 VLAN 信息，不传播动态 VLAN

信息。该端口只允许静态 VLAN 通过，即只对其它 GARP 成员传播静态 VLAN 信息。

Forbidden 模式：禁止该端口动态注册、注销 VLAN。该端口只允许缺省 VLAN（即 VLAN1）

通过，即只对其他 GARP 成员传播 VLAN1 的信息。

1.1.3 协议规范

GVRP 在 IEEE 802.1Q 标准文本中有详细的表述。

1-4

1.2 GVRP 配置

1.2.1 GVRP 配置任务简介

表1-2 GVRP 配置任务简介


启动 GVRP 必选 1.2.2

配置 GVRP 定时器可选 1.2.3

配置 GVRP 注册模式可选 1.2.4

1.2.2 启动 GVRP

1. 配置准备

需要启动 GVRP 的端口已经配置为 Trunk 端口。

2. 配置步骤

表1-3 启动 GVRP

操作命令说明


开启全局 GVRP gvrp 必选

缺省情况下，全局 GVRP 处于关闭状态


开启端口 GVRP gvrp 必选

缺省情况下，端口 GVRP 处于关闭状态

Trunk 端口上使能 GVRP 后，交换机不允许用户改变端口的 Trunk 类型为其他类型。

1.2.3 配置 GVRP 定时器

表1-4 配置 GVRP 定时器

操作命令说明


配置 LeaveAll 定时器 garp timer leaveall timer-value

可选

缺省情况下，LeaveAll 定时器为 1000 厘秒


配置 Hold 定时器、Join 定时

器和 Leave 定时器 garp timer { hold | join | leave } timer-value

可选

缺省情况下，Hold 定时器为 10 厘秒，Join 定时

器为 20 厘秒，Leave 定时器为 60 厘秒

1-5

需要注意的是：

各定时器的取值必须是 5 厘秒的倍数。

各定时器的取值范围会由于与它相关的定时器取值的改变而改变。如果用户想要设置的定时

器的值不在当前可以设置的取值范围内，可以通过改变相关定时器的取值实现。

各个定时器的取值范围之间的关系如表 1-5所示。

表1-5 各个定时器的取值范围之间的关系

定时器取值下限取值上限

Hold 定时器 10 厘秒上限小于等于 1/2 Join 定时器的值，可以通过改变

Join 定时器的取值改变

Join 定时器下限大于等于 2 倍 Hold 定时器的值，可

以通过改变 Hold 定时器的取值改变上限小于 1/2 Leave 定时器的取值，可以通过改变

Leave 定时器的取值改变

Leave 定时器下限大于 2 倍 Join 定时器的值，可以通

过改变 Join 定时器的取值改变上限小于 LeaveAll 定时器的值，可以通过改变

LeaveAll 定时器的取值改变

LeaveAll 定时

器下限大于所有端口 Leave 定时器的值，

可以通过改变 Leave 定时器的取值改变32765 厘秒

在实际组网中，建议用户将 GARP 定时器配置为以下的推荐值：

GARP Hold 定时器：100 厘秒（1 秒钟） GARP Join 定时器：600 厘秒（6 秒钟） GARP Leave 定时器：3000 厘秒（30 秒钟） GARP LeaveAll 定时器：12000 厘秒（2 分钟）

1.2.4 配置 GVRP 注册模式

表1-6 配置 GVRP 注册模式

操作命令说明



配置 GVRP 端口注册模式 gvrp registration { fixed | forbidden | normal }

可选

缺省情况下，GVRP 端口注册模式

为 Normal

1.3 GVRP 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 GARP、GVRP 的运行情况，


在用户视图下执行 reset 命令可以清除 GARP 的统计信息。

1-6

表1-7 GVRP 显示和维护

操作命令说明

显示 GARP 统计信息 display garp statistics [ interface interface-list ]

显示 GARP 定时器的值 display garp timer [ interface interface-list ]

显示 GVRP 统计信息 display gvrp statistics [ interface interface-list ]

显示 GVRP 的全局状态信息 display gvrp status

清除 GARP 统计信息 reset garp statistics [ interface interface-list ]

display 命令可以

在任意视图下执

行

1.4 GVRP 典型配置举例

1.4.1 GVRP 典型配置举例

1. 组网需求

为了使 SwitchC 和 SwitchE 上的 VLAN 配置能够应用到整个交换网络，需要在各交换机上启

动 GVRP，从而达到动态注册和更新 VLAN 信息的目的。

用户可以通过以太网端口注册模式的改变，实现交换网内部分 VLAN 的互通。

2. 组网图

图1-2 配置 GVRP 组网图

3. 配置步骤

(1) 配置 SwitchA

# 开启全局 GVRP。


[SwitchA] gvrp

# 将以太网端口 Ethernet1/0/1 配置为 Trunk 端口，并允许所有 VLAN 通过。



[SwitchA-Ethernet1/0/1] port trunk permit vlan all

# 在以太网端口 Ethernet1/0/1 上开启 GVRP。

[SwitchA-Ethernet1/0/1] gvrp

[SwitchA-Ethernet1/0/1] quit

1-7















(2) 配置 SwitchB

# 配置过程可参见 SwitchA 的配置。

(3) 配置 SwitchC

# 开启 GVRP 功能可参见 SwitchA 的配置。

# 配置 VLAN5。

[SwitchC] vlan 5

[SwitchC-vlan5] quit

(4) 配置 SwitchD


# 配置 VLAN8。

[SwitchD] vlan 8

[SwitchD-vlan8] quit

(5) 配置 SwitchE


# 配置 VLAN5 和 VLAN7。

[SwitchE] vlan 5

[SwitchE-vlan5] quit

[SwitchE] vlan 7

[SwitchE-vlan7] quit

(6) 显示 SwitchA、SwitchB 和 SwitchE 上动态注册的 VLAN 信息。

# 显示 SwitchA 上的动态 VLAN 信息。

[SwitchA] display vlan dynamic

Total 3 dynamic VLAN exist(s).

The following dynamic VLANs exist:

5, 7, 8,

# 显示 SwitchB 上的动态 VLAN 信息。

1-8

[SwitchB] display vlan dynamic



5, 7, 8,

# 显示 SwitchE 上的动态 VLAN 信息。

[SwitchE] display vlan dynamic



8

(7) 配置 SwitchE 的以太网端口 Ethernet1/0/1 的注册模式为 fixed，显示 SwitchA、SwitchB 和

SwitchE 上动态注册的 VLAN 信息。

# 配置 SwitchE 的以太网端口 Ethernet1/0/1 的注册模式为 fixed。

[SwitchE] interface Ethernet 1/0/1

[SwitchE-Ethernet1/0/1] gvrp registration fixed





5, 7, 8,





5, 7, 8,


[SwitchE-Ethernet1/0/1] display vlan dynamic

No dynamic vlans exist!

(8) 配置 SwitchE 的以太网端口 Ethernet1/0/1 的注册模式为 forbidden，显示 SwitchA、SwitchB

和 SwitchE 上动态注册的 VLAN 信息。

# 配置 SwitchE 的以太网端口 Ethernet1/0/1 的注册模式为 forbidden。

[SwitchE-Ethernet1/0/1] gvrp registration forbidden





5, 8,





5, 8,


1-9

[SwitchE] display vlan dynamic

No dynamic vlans exist!

i

目录

1 端口基本配置 ..................................................................................................................................... 1-1

1.1 配置以太网端口 ................................................................................................................................. 1-1

1.1.1 以太网端口的基本配置 ...........................................................................................................1-1 1.1.2 配置当前端口的自协商速率 .................................................................................................... 1-2 1.1.3 限制端口流量 ..........................................................................................................................1-2 1.1.4 配置端口的流量控制 ...............................................................................................................1-3 1.1.5 将指定端口的配置拷贝到其它端口 ......................................................................................... 1-3 1.1.6 配置以太网端口进行环回监测................................................................................................. 1-4 1.1.7 配置以太网端口进行环回测试................................................................................................. 1-6 1.1.8 开启系统对连接电缆的检测功能 ............................................................................................. 1-6 1.1.9 设置端口统计信息的时间间隔................................................................................................. 1-7 1.1.10 配置超大帧数量统计功能 ...................................................................................................... 1-7 1.1.11 取消端口生成UP/DOWN日志信息的功能 ............................................................................. 1-7 1.1.12 配置端口报文流量的阈值控制功能 ....................................................................................... 1-8 1.1.13 配置端口状态变化的延迟时间............................................................................................... 1-9 1.1.14 端口基本配置显示与维护 .................................................................................................... 1-10

1.2 以太网端口配置举例........................................................................................................................1-10

1.3 以太网端口排错 ...............................................................................................................................1-11

1-1

1 端口基本配置

新增“配置流量可控功能”特性，具体请参见 1.1.4 配置端口的流量控制。新增”以太网端口进行环回监测支持shutdown功能和批量开启端口的环回监测功能”特性，具体请

参见 1.1.6 配置以太网端口进行环回监测。新增”Storm-constrain支持kbps”特性，具体请参见 1.1.12 配置端口报文流量的阈值控制功能。

1.1 配置以太网端口

1.1.1 以太网端口的基本配置

表1-1 以太网端口的基本配置

操作命令说明


进入相应端口的视图 interface interface-type interface-number -

打开以太网端口 undo shutdown

可选

缺省情况下，端口处于打开状态

如果想关闭端口，可以使用 shutdown 命令

设置以太网端口描述字符串 description text 可选

缺省情况下，端口没有配置描述字符串

设置以太网端口的双工模式 duplex { auto | full | half }

可选

SFP 光口不支持配置 half 参数

缺省情况下，端口的双工模式为 auto（自协商）

设置以太网端口的速率 speed { 10 | 100 | 1000 | auto }

可选

缺省情况下，端口的速率处于 auto（自协

商）状态仅千兆端口支持配置速率为 1000 Mbps SFP 光口不支持配置 10 和 100 参数

设置以太网端口的 MDI（Medium Dependent Interface）模式

mdi { across | auto | normal }可选

缺省情况下，端口的 MDI 模式为 auto

配置以太网端口允许通过的

帧的最大长度为 9216 字节 jumboframe enable

可选

缺省情况下，以太网端口允许通过的帧的最大

长度为 9216 字节；如果需要配置以太网端口允

许通过的帧的最大长度为 1536 字节，可以使用

undo jumboframe enable 命令

1-2

1.1.2 配置当前端口的自协商速率

通过 speed auto 命令，可配置端口的自协商速率。

比如对于一个 10/100 Mbps 端口，如果用户希望该端口可以用于协商的速率只有 10Mbps，则只需

要配置 speed auto 10。

表1-2 配置当前端口的自协商速率

操作命令说明



配置端口自协商速率 speed auto [ 10 | 100 ]* 可选

缺省情况下，端口速率处于自协商状态

配置了自协商速率后，若执行 undo speed 或者 speed auto 命令，则端口自协商速率会恢复到

默认状态。如果配置端口可以支持全部自协商速率（即配置 speed auto 10 100），效果等同于 speed auto。

1.1.3 限制端口流量

通过以下配置任务，用户可以限制端口上允许接收的广播/组播/未知单播流量的大小。当该类流量

超过用户设置的阈值后，系统将对超出流量限制的报文进行丢弃，从而使该类流量所占的流量比例

降低到合理的范围，保证网络业务的正常运行。

表1-3 限制端口流量

操作命令说明


限制所有端口允许接收的广播流

量的大小 broadcast-suppression { ratio | pps max-pps }

可选

缺省情况下，交换机不对广播

流量进行抑制


限制当前端口允许接收的广播流

量的大小 broadcast-suppression { ratio | pps max-pps }

可选

缺省情况下，交换机不对广播

流量进行抑制

限制当前端口允许接收的组播流

量的大小 multicast-suppression { ratio | pps max-pps }

可选

缺省情况下，交换机不对组播

流量进行抑制

限制当前端口允许接收的未知单

播流量的大小 unicast-suppression { ratio | pps max-pps }

可选

缺省情况下，交换机不对未知

单播流量进行抑制

1-3

1.1.4 配置端口的流量控制

端口的流量控制功能是指当接收者没有能力处理接收到的报文时，为了防止报文被丢弃，接收者需

要通知报文的发送者暂时停止发送报文。

流量控制功能通过端口收/发 pause 帧来实现。流量控制的工作模式有两种：

收发模式：端口既能接收、又能发送 pause 帧；

接收模式：端口只能接收、不能发送 pause 帧。

如图 1-1所示，当Port A和Port B以 1000 Mbps速率转发报文时，Port C将发生拥塞。为避免报文

丢失，在Port A和Port B开启流量控制功能。

图1-1 端口的流量控制

配置 Port B 工作在收发模式、配置 Port A 工作在接收模式：

当 Port C 转发报文出现拥塞时，Switch B 会缓冲报文，当缓冲报文达到一定值后，Switch B

知道从 Port B 发往 Port C 的流量过大，超过了 Port C 的转发能力。这时，处于收发模式的

Port B 会向 Port A 发送 pause 帧，通知 Port A 暂时停止发送报文；

Port A 在接收到该 pause 帧后会停止向 Port B 发送报文；

当 Port C 将缓冲的报文发送出去，使 Switch B 上的缓冲报文下降到一定值后，Port B 会向

Port A 发送流量恢复 pause 帧，Port A 继续发送报文，从而避免了 Port C 出现报文丢失。

表1-4 配置端口的流量控制

操作命令说明



配置流量控制功能工作在

收发模式 flow-control

配置流量控制功能工作在

接收模式 flow-control no-pauseframe-sending

二者必选其一

缺省情况下，端口的流量控制功能

处于关闭状态

反射端口不支持 flow-control no-pauseframe-sending 命令。

1.1.5 将指定端口的配置拷贝到其它端口

为了方便将指定端口的配置与其他端口进行同步，用户可以使用 copy configuration 命令，将指

定端口的配置拷贝到其他端口。

可以拷贝的配置包括 VLAN 配置、基于协议的 VLAN 配置、LACP 配置、QoS 配置、GARP 配置、

STP 配置和端口基本配置。具体拷贝内容，请参见命令手册的描述。

1-4

表1-5 将指定端口的配置拷贝到其它端口

操作命令说明


将指定端口的配置拷贝到

其它端口

copy configuration source { interface-type interface-number | aggregation-group source-agg-id } destination { interface-list [ aggregation-group destination-agg-id ] | aggregation-group destination-agg-id }

必选

如果将拷贝的配置源（source）指定为汇聚组，系统将以该汇聚组中端口号最小的端口为配置源

进行拷贝。如果将拷贝的目的地（destination）指定为汇聚组，则该汇聚组内所有端口的配置都将改变为与

配置源一致。

1.1.6 配置以太网端口进行环回监测

环回监测的目的是监测交换机的端口是否出现环路。

当用户开启以太网端口的环回监测功能后，交换机便定时监测各个端口是否被外部环回。如果发现

某端口被环回，交换机会使根据用户配置进行相应处理。

(1) 对于 Access 端口，如果系统发现端口被环回，系统则将该端口置为 block 状态（处于该状态

的端口不能转发数据报文）并向终端上报日志信息（log）和告警信息（trap），同时删除该

端口对应的 MAC 地址转发表项。

如果用户还开启了自动关闭环回端口功能，系统将关闭该端口，并向终端上报 log 和 trap 信

息，等待用户使用 undo shutdown 命令重新打开该端口。

如果用户没有开启自动关闭环回端口功能，当环路解除后，该端口将自动恢复为正常转发状

态。

(2) 对于 Trunk 端口和 Hybrid 端口，如果系统发现端口被环回，则向终端上报 log 和 trap 信息，

如果用户还从以下两个功能中选择了一个进行开启，则可以进一步控制环回端口的状态：

开启端口的环回监测受控功能：系统则将该端口置为 block 状态（处于该状态的端口不能转发

数据报文）并向终端上报 log 和 trap 信息，同时删除该端口对应的 MAC 地址转发表项，如果

随后环路解除，该端口将自动恢复为正常转发状态；

开启自动关闭环回端口功能：系统将关闭该端口，并向终端上报 log 和 trap 信息，等待用户

使用 undo shutdown 命令重新打开该端口。

端口的环回监测受控功能和自动关闭环回端口的功能不能同时开启，二者中后配置的功能将会生

效。

1-5

表1-6 配置以太网端口进行环回监测

操作命令说明


开启全局的端口环回监测功能 loopback-detection enable

可选

缺省情况下：如果设备是以出厂缺省配置文件

（config.def）启动，全局的端口环回监测功

能处于开启状态；如果是以空配置文件启动，

则该功能处于关闭状态

批量开启端口的环回监测功能 loopback-detection interface-list enable

可选


（config.def）启动，端口的环回监测功能处

于开启状态；如果是以空配置文件启动，则该

功能处于关闭状态

设置定时监测端口环回情况的

时间间隔 loopback-detection interval-time time

可选

缺省情况下，系统定时监测端口环回情况的时

间间隔值为 30 秒


开启指定端口的环回监测功能 loopback-detection enable

可选


（config.def）启动，端口环回监测功能处于

开启状态；如果是以空配置文件启动，则该功


开启 Trunk 端口和 Hybrid 端口

的环回监测受控功能 loopback-detection control enable

可选


（config.def）启动，Trunk/Hybrid 端口的环

回监测受控功能处于开启状态；如果是以空配

置文件启动，则该功能处于关闭状态

开启自动关闭环回端口的功能 loopback-detection shutdown enable

可选


（config.def）启动，自动关闭环回端口的功

能处于开启状态；如果是以空配置文件启动，

则该功能处于关闭状态

配置系统对当前 Trunk 或

Hybrid 端口上所有的 VLAN 进

行环回监测

loopback-detection per-vlan enable

可选

缺省情况下，系统只对 Trunk 或 Hybrid 端口

上的缺省 VLAN 进行环回监测

1-6

只有在系统视图下和指定端口视图下均配置了 loopback-detection enable 命令后，该端口的环

回监测功能才能启动。当在系统视图下配置 undo loopback-detection enable 后，所有端口的环回监测功能均被关闭。 loopback-detection control enable 命令和 loopback-detection per-vlan enable 命令对

Access 端口无效，当端口的链路类型从非 Access 类型变成 Access 类型时，该端口已配置的

loopback-detection control enable 命令和 loopback-detection per-vlan enable 命令将自动

失效。

1.1.7 配置以太网端口进行环回测试

用户可以配置以太网端口进行环回测试，检验以太网端口是否能正常工作。测试时端口将不能正确

转发数据包，在执行一定时间后，环回测试会自动结束。

表1-7 配置以太网端口进行环回测试

操作命令说明



配置以太网端口进行环回测试 loopback { external | internal } 必选

external：进行外环测试。该测试需要在交换机端口上使用特制自环头（自环头能使端口发出的

报文直接被端口接收。对于百兆电口使用的自环头，是用八芯网线中的四芯制作的），可定位该

端口的硬件功能是否出现故障。 internal：进行内环测试。该测试在交换芯片内部建立自环，可定位芯片内与该端口相关的功能

是否出现故障。


如果端口执行了 shutdown 命令，则不能进行 loopback 环回测试；

在进行环回测试时系统将禁止在端口上进行 speed，duplex，mdi，shutdown 命令的配置；

有些端口不支持环回测试，在这些端口上进行环回测试时系统会给出提示。

1.1.8 开启系统对连接电缆的检测功能

通过以下配置任务，用户可以开启系统对以太网电口连接电缆的检测功能，系统将在 5 秒内返回检

测的结果。检测内容包括电缆的接收方向（RX）和发送方向（TX）是否存在短路、开路现象，同

时可以检测出故障线缆的长度。

表1-8 开启系统对连接电缆的检测功能

操作命令说明



1-7

操作命令说明

开启系统对以太网电口连接电缆的检测

功能 virtual-cable-test 必选

光口不支持电缆检测功能。

1.1.9 设置端口统计信息的时间间隔

使用以下的配置任务可以设置端口统计信息的时间间隔。

在使用 display interface interface-type interface-number 命令显示端口信息时，系统显示的就是

此时间间隔内的平均速率信息。比如用户设置统计信息的时间间隔为 100 秒，则相关显示信息为：

Last 100 seconds input: 0 packets/sec 0 bytes/sec

Last 100 seconds output: 0 packets/sec 0 bytes/sec

表1-9 设置端口统计信息的时间间隔

操作命令说明



设置端口统计信息的时间间隔 flow-interval interval 可选

缺省情况下，端口统计信息的时

间间隔为 300 秒

1.1.10 配置超大帧数量统计功能

为保证网络中数据的正常传输，交换机提供对超大帧数量的统计功能，方便网络管理者对网络中的

不正常流量进行统计和分析。

表1-10 配置超大帧数量统计功能

操作命令说明


开启超大帧数量统计功能 giant-frame statistics enable 必选

缺省情况下，超大帧数量统计功能

处于关闭状态

1.1.11 取消端口生成 UP/DOWN 日志信息的功能

以太网端口的状态有三种：UP、DOWN 和 ADMINISTRATIVELY DOWN（各状态之间转换的条件，

可以参见“端口基本配置命令手册”中对 display brief interface 命令的说明）。

当端口状态在 UP 和 DOWN 之间转换或者在 UP 和 ADMINISTRATIVELY DOWN 之间转换时，会

生成 UP/DOWN 日志信息。缺省情况下，这些日志信息自动向终端输出。如果端口的状态经常变化，

端口就会频繁生成并输出日志信息，既消耗系统资源，也不便于用户查看。

1-8

为解决上述问题，用户可以有选择地取消某些端口生成 UP/DOWN 日志信息，从而减少日志信息的

数量，方便管理。关于日志信息输出的设置，请参考“信息中心”。

1. 配置任务

表1-11 取消端口生成 Up/Down 日志信息的功能

操作命令说明



取消端口生成 UP/DOWN 日志信息的功

能 undo enable log updown

必选

缺省情况下，端口生成

Up/Down 日志信息的功能

处于开启状态

2. 配置举例

# 缺省情况下，执行 shutdown 或 undo shutdown 命令，端口将生成 UP/DOWN 日志信息，并在

终端进行显示。


System View: return to User View with Ctrl+Z.


[Sysname-Ethernet1/0/1] shutdown

%Apr 5 07:25:37:634 2000 Sysname L2INF/5/PORT LINK STATUS CHANGE:- 1 -

Ethernet1/0/1 is DOWN

[Sysname-Ethernet1/0/1] undo shutdown

%Apr 5 07:25:56:244 2000 Sysname L2INF/5/PORT LINK STATUS CHANGE:- 1 -

Ethernet1/0/1 is UP

# 取消端口生成 UP/DOWN 日志信息的功能后，再执行 shutdown 或 undo shutdown 命令，端口

将不再生成 UP/DOWN 日志信息，因此终端也不会再有显示。。

[Sysname-Ethernet1/0/1] undo enable log updown

[Sysname-Ethernet1/0/1] shutdown

[Sysname-Ethernet1/0/1] undo shutdown

1.1.12 配置端口报文流量的阈值控制功能

端口报文流量的阈值控制功能可以控制以太网端口上接收报文的流量。

设置端口报文流量的上限和下限后，端口定时检测接收的单播/组播/广播报文流量。一旦检测

到某类报文流量超过配置的上限阈值，端口可以阻塞对此类报文的转发或者直接被关闭，并

根据配置输出 trap/log 信息；

如果被检测端口的单播/组播/多播报文流量低于配置的下限阈值，端口会取消对此类报文的阻

塞或被自动开启，恢复转发，并根据配置输出 trap/log 信息。

表1-12 配置端口报文流量的阈值控制功能

操作命令说明


1-9

操作命令说明

设置报文统计的时间间隔 storm-constrain interval interval-value

可选

缺省情况下，报文统计的时间间隔为

10 秒


设置端口报文流量的上限和下限 storm-constrain { broadcast | multicast | unicast } max-packets min-packets { pps | kbps }

必选

设置单播/组播/广播报文流量超

过上限后采取的控制动作 storm-constrain control { block | shutdown }

可选

缺省情况下，报文流量超过上限后不

对报文进行任何控制

开启端口报文流量超过上限或低

于下限时输出 log/trap 信息功能 storm-constrain enable { log | trap }可选

缺省情况下，该功能处于开启状态

如果某个端口已经配置了 broadcast-suppression 命令、multicast-suppression 命令或

unicast-suppression 命令，则不能在该端口上配置端口报文流量的阈值控制功能；反之亦然。端口报文流量的上限阈值和下限阈值可以相等，但不推荐使用。当设置端口单播/组播/广播报文流量超过上限后采取的控制动作为 block 方式时，控制动作仅对

超过上限的该类报文进行阻塞，但流量统计时仍将包括这些报文；当设置控制动作为 shutdown方式时，如果报文流量超过上限，设备将自动关闭该端口。如果需要开启该端口，可以执行 undo shutdown 命令或 undo storm-constrain { all | broadcast | multicast | unicast }命令。

1.1.13 配置端口状态变化的延迟时间

E152 交换机在与其它网络设备对接时，由于硬件的兼容性问题，可能使端口状态在短时间内频繁

变化（不断 Up/Down），导致业务出现中断。

通过以下配置任务，用户可以设置一个延迟时间，系统将使端口状态在经过该时间之后才发生改变，

从而减少端口在短时间内频繁 Up/Down 的问题。

用户配置的延迟时间，仅对端口状态变为 Down 时有效，对端口状态变为 Up 时并不生效。

表1-13 配置端口状态变化的延迟时间

操作命令说明


进入以太网接口视图 interface interface-type interface-number -

配置端口状态变化的延迟时间 link-delay delay-time 必选

缺省情况下，端口状态改变后，系

统不进行延时处理

1-10

当端口处于 DLDP Down 状态时，通过以上任务配置的延迟时间不会生效。对于 DLDP Down 状态

的具体描述，请参见“DLDP”部分的介绍。

1.1.14 端口基本配置显示与维护

表1-14 端口基本配置显示与维护

操作命令说明

显示端口的配置信息 display interface [ interface-type | interface-type interface-number ]

显示端口环回监测功能的开启情况 display loopback-detection

显示端口的简要配置信息

display brief interface [ interface-type [ interface-number ] ] [ | { begin | include | exclude } regular-expression ]

显示指定 Unit 的端口信息 display unit unit-id interface

显示配置的端口报文流量阈值控制

信息

display storm-constrain [ interface interface-type interface-number | | { begin | exclude | include } regular-expression ]

显示端口报文丢弃的统计信息 display packet-drop { interface [ interface-type interface-number ] | summary }

显示配置了 link-delay 命令的端口

信息 display link-delay


下执行

清除以太网端口的报文丢弃统计信

息 reset packet-drop interface [ interface-type interface-number ]

reset 命令请在用户视图下执

行

清除以太网端口的统计信息 reset counters interface [ interface-type | interface-type interface-number ]

reset 命令请在用户视图下执

行

当使能某个端口的802.1x特性

后，该端口的统计信息不能被

清除

1.2 以太网端口配置举例

1. 组网需求

交换机 Switch A 与对端交换机 Switch B 使用 Trunk 端口 Ethernet1/0/1 相连；

端口 Ethernet1/0/1 的缺省 VLAN ID 为 100；

端口 Ethernet1/0/1 允许 VLAN2、VLAN6 到 VLAN 50、VLAN100 的报文通过。

2. 组网图

图1-2 以太网端口配置举例组网图

1-11

3. 配置步骤

以下只列出了 Switch A 上的配置，Switch B 上应作类似的配置； VLAN2、VLAN6 到 VLAN 50、VLAN100 均已创建。

# 进入 Ethernet1/0/1 以太网端口视图。


[Sysname] interface ethernet1/0/1

# 配置端口 Ethernet1/0/1 为 Trunk 端口。

[Sysname-Ethernet1/0/1] port link-type trunk

# 允许 VLAN2、VLAN6 到 VLAN 50、VLAN100 的报文通过端口 Ethernet1/0/1 转发。

[Sysname-Ethernet1/0/1] port trunk permit vlan 2 6 to 50 100

# 配置端口 Ethernet1/0/1 的缺省 VLAN ID 为 100。

[Sysname-Ethernet1/0/1] port trunk pvid vlan 100

1.3 以太网端口排错

故障现象：配置端口的缺省 VLAN ID 不成功。

故障排除：可以按照如下步骤进行。

使用 display interface 或 display port 命令检查该端口是否为 Trunk 端口或 Hybrid 端口。

如果不是，则应先将其配置成 Trunk 端口或 Hybrid 端口。

接着再配置端口的缺省 VLAN ID。

i

目录

1 端口汇聚配置 ..................................................................................................................................... 1-1

1.1 端口汇聚简介..................................................................................................................................... 1-1

1.1.1 端口汇聚概述 ..........................................................................................................................1-1 1.1.2 LACP协议简介........................................................................................................................1-1 1.1.3 端口汇聚对端口配置的要求 .................................................................................................... 1-1

1.2 端口汇聚的分类 ................................................................................................................................. 1-1

1.2.1 手工汇聚 ................................................................................................................................. 1-2 1.2.2 静态LACP汇聚........................................................................................................................1-2 1.2.3 动态LACP汇聚........................................................................................................................1-3

1.3 端口汇聚组的类型 .............................................................................................................................1-4

1.4 配置端口汇聚..................................................................................................................................... 1-5

1.4.1 配置手工汇聚组 ......................................................................................................................1-5 1.4.2 配置静态LACP汇聚组 .............................................................................................................1-6 1.4.3 配置动态LACP汇聚组 .............................................................................................................1-6 1.4.4 配置汇聚组描述符...................................................................................................................1-7

1.5 端口汇聚配置显示与维护 ..................................................................................................................1-7

1.6 以太网端口汇聚配置举例 ..................................................................................................................1-8

1.6.1 以太网端口汇聚配置举例 ........................................................................................................ 1-8

1-1

1 端口汇聚配置

1.1 端口汇聚简介

1.1.1 端口汇聚概述

端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组，使用汇聚服务的上层实体把同

一汇聚组内的多条物理链路视为一条逻辑链路。

端口汇聚可以实现流量在汇聚组中各个成员端口之间进行分担，以增加带宽。同时，同一汇聚组的

各个成员端口之间彼此动态备份，提高了连接可靠性。

1.1.2 LACP 协议简介

基于 IEEE802.3ad 标准的 LACP（Link Aggregation Control Protocol，链路汇聚控制协议）是一种

实现链路动态汇聚与解汇聚的协议。LACP 协议通过 LACPDU（Link Aggregation Control Protocol Data Unit，链路汇聚控制协议数据单元）与对端交互信息。

启动某端口的 LACP 协议后，该端口将通过发送 LACPDU 向对端通告自己的系统优先级、系统

MAC、端口优先级、端口号和操作 Key。对端接收到这些信息后，将这些信息与其它端口所保存的

信息比较以选择能够汇聚的端口，从而双方可以对端口加入或退出某个动态汇聚组达成一致。

操作Key是在端口汇聚时，系统根据端口的速率、双工和基本配置（基本配置的描述请参见 1.1.3 ）生成的一个配置组合。

对于手工汇聚组和静态汇聚组，处于 Selected 状态的端口有相同的操作 Key。

对于动态汇聚组，同组成员一定有相同的操作 Key。

1.1.3 端口汇聚对端口配置的要求

在同一个汇聚组中，能进行负载分担的成员端口必须有相同的速率、双工和基本配置。基本配置包

括：

STP 配置一致，包括：端口的 STP 开启/关闭、与端口相连的链路属性（如点对点或非点对点）、

STP 优先级、STP 开销、STP 报文格式、是否开启环路保护和根保护、是否为边缘端口等。

QoS 配置一致，包括：流量限速、优先级标记、802.1p 优先级、拥塞避免、流重定向、流量

统计等。

VLAN 配置一致，包括：端口上允许通过的 VLAN、端口缺省 VLAN ID。

端口的链路类型（即 Trunk、Hybrid、Access 类型）一致。

GVRP 配置一致，包括：端口的 GVRP 开启/关闭状态、GVRP 注册类型、GARP 定时器的值。

VLAN-VPN 配置一致，包括：开启/关闭端口的 VLAN-VPN 特性、端口采用的 TPID 值、启用

内外层标签优先级复制功能。

1.2 端口汇聚的分类

按照汇聚方式的不同，端口汇聚可以分为三类：

手工汇聚

1-2

静态 LACP 汇聚

动态 LACP 汇聚

1.2.1 手工汇聚

1. 手工汇聚概述

手工汇聚由用户手工配置，不允许系统自动添加或删除汇聚组中的端口。汇聚组中必须至少包含一

个端口。当汇聚组只有一个端口时，只能通过删除汇聚组的方式将该端口从汇聚组中删除。

手工汇聚端口的 LACP 协议为关闭状态，禁止用户开启手工汇聚端口的 LACP 协议。

2. 手工汇聚组中的端口状态

在手工汇聚组中，端口可能处于两种状态：Selected 或 Unselected。只有处于 Selected 状态的端

口可以转发用户报文。

系统按照以下原则设置端口处于 Selected 或者 Unselected 状态：

当汇聚组内有处于 up 状态的端口时，系统按照端口全双工/高速率、全双工/低速率、半双工/

高速率、半双工/低速率的优先次序，选择优先次序最高的端口作为该组的主端口。只有与主

端口的速率、双工属性和链路状态一致的端口才允许成为 Selected 状态，其他端口均处于

Unselected 状态。

由于设备所能支持的汇聚组中的最大端口数有限制，如果处于 Selected 状态的端口数超过设

备所能支持的汇聚组中的最大端口数，系统将按照端口号从小到大的顺序选择一些端口为

Selected 端口，其他则为 Unselected 端口。

处于 Selected 状态且端口号最小的端口为汇聚组的主端口，其他处于 Selected 状态的端口为汇聚

组的成员端口。

3. 手工汇聚对端口配置的要求

一般情况下，手工汇聚对汇聚前端口（包括初始时处于 down 状态的端口）的速率和双工模式不作

限制。

1.2.2 静态 LACP 汇聚

1. 静态 LACP 汇聚概述

静态 LACP 汇聚由用户手工配置，不允许系统自动添加或删除汇聚组中的端口。汇聚组中必须至少

包含一个端口。当汇聚组只有一个端口时，只能通过删除汇聚组的方式将该端口从汇聚组中删除。

静态汇聚端口的 LACP 协议为开启状态，当一个静态汇聚组被删除时，其处于 up 状态的成员端口

将形成一个或多个动态 LACP 汇聚，并保持 LACP 开启。禁止用户关闭静态汇聚端口的 LACP 协议。

2. 静态汇聚组中的端口状态

在静态汇聚组中，端口可能处于两种状态：Selected 和 Unselected。

Selected 端口和处于 up 状态的 Unselected 端口都能收发 LACP 协议报文。

只有 Selected 端口能够收发用户业务报文，Unselected 端口不能收发用户业务报文。

系统按照以下原则设置端口处于 Selected 或者 Unselected 状态：

1-3

当汇聚组内有处于 up 状态的端口时，系统按照端口全双工/高速率、全双工/低速率、半双工/

高速率、半双工/低速率的优先次序，选择优先次序最高的端口作为该组的主端口。只有与主

端口的速率、双工属性和链路状态一致的端口才允许成为 Selected 状态，其他端口均处于

Unselected 状态。

与主端口所连接的对端设备不同，或者连接的是同一个对端设备但对端端口在不同的汇聚组

内的端口将处于 Unselected 状态。

与主端口的基本配置不同的端口将处于 Unselected 状态。

由于设备所能支持的汇聚组中的 Selected 端口数有限制，如果当前的成员端口数超过了设备

所能支持的最大 Selected 端口数，系统将按照端口号从小到大的顺序选择一些端口为

Selected 端口，其他则为 Unselected 端口。

1.2.3 动态 LACP 汇聚

1. 动态 LACP 汇聚概述

动态 LACP 汇聚是一种系统自动创建或删除的汇聚，动态汇聚组内端口的添加和删除是 LACP 协议

自动完成的。只有基本配置相同、速率和双工属性相同、连接到同一个设备、并且对端端口也满足

以上条件时，端口才能被动态汇聚在一起。

即使只有一个端口也可以创建动态汇聚，此时为单端口汇聚。动态汇聚中，端口的 LACP 协议处于

开启状态。

2. 动态汇聚组中的端口状态

在动态汇聚组中，端口可能处于两种状态：Selected 和 Unselected。

Selected 端口和处于 up 状态的 Unselected 端口都能收发 LACP 协议报文。

只有 Selected 端口能够收发用户业务报文，Unselected 端口不能收发用户业务报文。

处于 Selected 状态且端口号最小的端口为汇聚组的主端口，其他端口均为汇聚组的成员端口。

由于设备所能支持的汇聚组中的最大端口数有限制，如果当前的成员端口数量超过了最大端口数的

限制，则本端系统和对端系统会进行协商，根据设备 ID 优的一端的端口 ID 的大小，来决定端口的

状态。具体协商步骤如下：

(1) 比较设备 ID（系统优先级+系统 MAC 地址）。先比较系统优先级，如果相同再比较系统 MAC

地址。设备 ID 小的一端被认为优。

(2) 比较端口 ID（端口优先级+端口号）。对于设备 ID 优的一端的各个端口，首先比较端口优先

级，如果优先级相同再比较端口号。端口 ID 小的端口为 Selected 端口，剩余端口为 Unselected

端口。

1-4

对于一个汇聚组：

当组内某个端口的速率或双工模式发生改变时，该端口可能出现丢包的情况；当某个端口的速率降低时，对于手工或静态 LACP 汇聚组，该端口将转变为 Unselected 状态，

对于动态 LACP 汇聚组，该端口将出现解汇聚。

1.3 端口汇聚组的类型

按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。

在进行负载分担时，对于 IP 报文，系统将根据源 IP 地址和目的 IP 地址进行负载分担；对于非 IP报文，则根据源 MAC 地址和目的 MAC 地址进行负载分担。

一般情况下，系统中的负载分担汇聚的资源数量有限，因此需要在不同类型的汇聚组之间进行汇聚

资源的合理分配。系统始终为优先级高的汇聚组分配硬件汇聚资源，当汇聚资源分配完后，所创建

的汇聚组将为非负载分担汇聚组。

负载分担汇聚资源的优先级顺序如下：

包含需要硬件汇聚资源的特殊端口的汇聚组；

手工或静态汇聚组；

汇聚组获得汇聚资源后可能达到的速率最高的汇聚组；

当汇聚组获得汇聚资源后可能达到的速率相等时，主端口号最小的汇聚组。

当有优先级更高的汇聚组出现时，优先级低的汇聚组应释放其硬件资源。单端口的汇聚组不占用汇

聚资源就可以正常收发报文。

负载分担汇聚组中至少有 2 个 Selected 端口，而非负载分担汇聚组中最多只有一个 Selected 端口，

其余均为 Unselected 端口。

1-5

1.4 配置端口汇聚

对于端口环回监测（loopback-detection）特性的相关命令和端口汇聚的相关命令，不能同时配

置。对于配置了 mac-address max-mac-count 命令的端口，不能加入到汇聚组中；反之，对于已经

加入到某个汇聚组中的端口，也不能再配置 mac-address max-mac-count 命令。对于开启了 MAC 地址认证或 802.1x 的端口，不能加入到汇聚组中。对于镜像目的端口、远程镜象反射端口，不能加入到汇聚组中。对于配置了黑洞 MAC 地址、静态 MAC 地址、组播 MAC 地址或配置了静态 ARP 的端口，不能

加入到汇聚组中。对于配置了 MAC 地址和 IP 地址绑定的端口，不能加入到汇聚组中。对已经配置了端口安全（Port-Sercurity）特性相关命令的端口，不能加入到汇聚组中。对已经开启 Voice VLAN 功能的端口，不能加入到汇聚组中。对已经启动了灵活 QinQ 的 VLAN 间 MAC 地址复制功能的端口，建议用户不要加入到汇聚组中。对已经开启 IP 过滤功能的端口，建议用户不要加入到汇聚组中。对已经开启 ARP 入侵检测功能的端口，建议用户不要加入到汇聚组中。对已经配置 IP 报文的源 IP、源 MAC 与端口之间的静态绑定关系的端口，建议用户不要加入到汇

聚组中。对于已经配置了 web 认证的端口，不能加入到汇聚组中。

1.4.1 配置手工汇聚组

用户可以通过下面的命令创建手工汇聚组。用户可以删除任何一个已经形成的手工汇聚组，且删除

该手工汇聚组后，该汇聚组内的所有端口将全部离开该汇聚组。

对于手工汇聚组，汇聚组的成员必须手工添加和删除。

表1-1 配置手工汇聚组

操作命令说明


创建汇聚组 link-aggregation group agg-id mode manual 必选


将以太网端口加入汇聚组 port link-aggregation group agg-id 必选


(1) 在创建汇聚组时：

如果该汇聚组已经存在但不包含端口，则该汇聚组类型将改为新设置的类型。

如果该汇聚组已经存在且包含端口，则只能将动态汇聚组或静态汇聚组改为手工汇聚组，或

将动态汇聚组改为静态汇聚组。

当将动态汇聚组或静态汇聚组更改为手工汇聚组时，系统会自动关闭该汇聚组内端口上的

LACP 协议。当将动态汇聚组改为静态汇聚组时，端口的 LACP 协议将保持开启状态。

1-6

(2) 当手工或静态汇聚组中只包含一个端口时，不能将该端口从汇聚组中删除，而只能通过删除

汇聚组的方式将该端口从汇聚组中删除。

1.4.2 配置静态 LACP 汇聚组

用户可以通过下面的命令创建静态 LACP 汇聚组。如果删除一个静态 LACP 汇聚组，则该汇聚组中

的端口将形成一个或多个动态汇聚组。

对于静态汇聚组，汇聚组的成员必须手工添加和删除。

用户可将 LACP 协议处于开启状态的端口加入手工汇聚组，此时系统会自动关闭该端口的 LACP 协

议；同样，用户也可将 LACP 协议处于关闭状态的端口加入静态汇聚组，此时系统会自动开启该端

口的 LACP 协议。

表1-2 配置静态 LACP 汇聚组

操作命令说明


创建汇聚组 link-aggregation group agg-id mode static 必选


将以太网端口加入汇聚组 port link-aggregation group agg-id 必选

如果汇聚组类型为静态 LACP或手工汇聚组，建议用户不要在汇聚组的两端设备上交叉连接网线（例

如：如果本端设备端口 1 连接到了对端设备端口 2，那么本端设备的端口 2 就不要再连接到对端设

备的端口 1，即避免网线交叉连接），否则可能出现丢包的情况。

1.4.3 配置动态 LACP 汇聚组

动态 LACP 汇聚是在端口开启 LACP 后由系统自动创建的。动态汇聚组的端口添加和删除是协议自

动完成的。

在进行动态汇聚前，需要开启端口的 LACP 协议，从而使双方可以对端口加入或退出某个动态汇聚

组达成一致。

对于已经加入到手工汇聚组中的端口，不能开启 LACP 协议。

1-7

表1-3 配置动态 LACP 汇聚组

操作命令说明


配置系统优先级 lacp system-priority system-priority 可选

缺省情况下，系统优先级为 32768


开启端口 LACP 协议 lacp enable 必选

缺省情况下，端口的 LACP 协议处于关闭

状态

配置端口优先级 lacp port-priority port-priority 可选

缺省情况下，端口优先级为 32768

改变系统优先级可能改变汇聚双方之间的优先级关系，从而有可能会影响到动态汇聚组成员的

Selected 和 Unselected 状态。

1.4.4 配置汇聚组描述符

用户可以使用下面的命令为汇聚组配置组描述符。

表1-4 配置汇聚组描述符

操作命令说明


配置汇聚组描述符 link-aggregation group agg-id description agg-name

可选

缺省情况下，汇聚组没有描述符

如果使用 save 命令保存了当前的配置，当设备重新启动后，已配置的手工和静态汇聚组及对应的

描述符都会存在，但动态汇聚组以及为其配置的汇聚组描述符将不会存在。

1.5 端口汇聚配置显示与维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置端口汇聚后的运行情况。通过查

看显示信息，用户可以验证配置的效果。在用户视图下执行 reset 命令，可以清除 LACP 端口的统

计信息。

1-8

表1-5 端口汇聚配置显示与维护

操作命令说明

显示所有汇聚组的摘要信息 display link-aggregation summary

显示指定汇聚组的详细信息 display link-aggregation verbose [ agg-id ]

显示端口的端口汇聚详细信息 display link-aggregation interface interface-type interface-number [ to interface-type interface-number ]

显示本端系统的设备 ID display lacp system-id


意视图下执行

清除端口的 LACP 统计信息 reset lacp statistics [ interface interface-type interface-number [ to interface-type interface-number ] ]

reset 命令可以在用户

视图下执行

1.6 以太网端口汇聚配置举例

1.6.1 以太网端口汇聚配置举例

1. 组网需求

以太网交换机 Switch A 使用 3 个端口（Ethernet1/0/1～Ethernet1/0/3）汇聚接入以太网交换

机 Switch B，实现流量在各成员端口中的负载分担。

下面的实际配置中，将采用三种汇聚方式分别进行举例。

2. 组网图

图1-1 以太网端口汇聚配置示例图

3. 配置步骤

以下只列出对 Switch A 的配置，对 Switch B 也需要作相同的配置，才能实现端口汇聚。

(1) 采用手工汇聚方式：

# 创建手工汇聚组 1。


[Sysname] link-aggregation group 1 mode manual

# 将以太网端口 Ethernet1/0/1 至 Ethernet1/0/3 加入汇聚组 1。

1-9

[Sysname] interface Ethernet1/0/1

[Sysname-Ethernet1/0/1] port link-aggregation group 1

[Sysname-Ethernet1/0/1] quit






(2) 采用静态 LACP 汇聚方式：

# 创建静态汇聚组 1。


[Sysname] link-aggregation group 1 mode static

# 将以太网端口 Ethernet1/0/1 至 Ethernet1/0/3 加入汇聚组 1。









(3) 采用动态 LACP 汇聚方式：

# 开启以太网端口 Ethernet1/0/1 至 Ethernet1/0/3 的 LACP 协议。



[Sysname-Ethernet1/0/1] lacp enable







只有端口的基本配置、速率、双工等参数一致时，上述端口在开启 LACP 协议之后，才能汇聚到同

一个动态汇聚组内，实现端口的负载分担。

i

目录

1 端口隔离配置 ..................................................................................................................................... 1-1

1.1 端口隔离概述..................................................................................................................................... 1-1

1.2 端口隔离配置..................................................................................................................................... 1-1

1.3 端口隔离配置显示 .............................................................................................................................1-2

1.4 端口隔离配置举例 .............................................................................................................................1-2

1-1

1 端口隔离配置

1.1 端口隔离概述

端口隔离特性主要用于保护用户数据的私密性，防止恶意攻击者获取用户信息。通过端口隔离特

性，管理员可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三

层数据的隔离（处于隔离组中端口不会向隔离组内的其它端口转发报文）。

加入到隔离组中的端口只能是同一台交换机的端口。

一台设备只支持建立一个隔离组，组内的以太网端口数量没有限制。配置隔离组后，只有隔离组内各个端口之间的报文不能互通，隔离组内端口与隔离组外端口以

及隔离组外端口之间的通信不会受到影响。

1.2 端口隔离配置

通过以下配置步骤，用户可以将以太网端口加入到隔离组中，实现组内端口之间二层、三层数据

的隔离。

表1-1 端口隔离配置

操作命令说明



将以太网端口加入到隔离组中 port isolate 必选

缺省情况下，隔离组中没有加

入任何以太网端口

当汇聚组中的某个端口加入或离开隔离组后，同一汇聚组内的其它端口，均会自动加入或离开

该隔离组。对于既处于某个聚合组又处于某个隔离组的一组端口，其中的一个端口离开聚合组时不会影响

其他端口，即其他端口仍将处于原聚合组和原隔离组中。如果某个聚合组中的端口同时属于某个隔离组，当在系统视图下直接删除该聚合组后，该聚合

组中的端口仍将处于该隔离组中。当隔离组中的某个端口加入聚合组时，该聚合组中的所有端口，将会自动加入隔离组中。

1-2

1.3 端口隔离配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置端口隔离后的运行情况。通过


表1-2 端口隔离配置显示

操作命令说明

显示已经加入到隔离组中的以太

网端口信息 display isolate port display 命令可以在任意视图下执行

1.4 端口隔离配置举例

1. 组网需求

小区用户 PC2、PC3、PC4 分别与交换机的以太网端口 Ethernet1/0/2、Ethernet1/0/3、

Ethernet1/0/4 相连

交换机通过 Ethernet1/0/1 端口与外部网络相连

小区用户 PC2、PC3 和 PC4 之间两两不能互通

2. 组网图

图1-1 端口隔离配置组网示例图

3. 配置步骤

# 将以太网端口 Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4 加入隔离组。




[Sysname-Ethernet1/0/2] port isolate





1-3




[Sysname] quit

# 显示隔离组中的端口信息。

<Sysname> display isolate port

Isolated port(s) on UNIT 1:

Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4

i

目录

1 端口安全 ............................................................................................................................................ 1-1

1.1 端口安全简介..................................................................................................................................... 1-1

1.1.1 端口安全概述 ..........................................................................................................................1-1 1.1.2 端口安全模式 ..........................................................................................................................1-1 1.1.3 端口安全特性 ..........................................................................................................................1-6

1.2 端口安全配置..................................................................................................................................... 1-7

1.2.2 启动端口安全功能...................................................................................................................1-7 1.2.3 配置端口允许接入的最大MAC地址数 ..................................................................................... 1-8 1.2.4 配置端口安全模式...................................................................................................................1-8 1.2.5 配置端口安全的相关特性 ........................................................................................................ 1-9 1.2.6 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN ................................. 1-10 1.2.7 配置当前端口不应用RADIUS服务器下发的授权信息 ........................................................... 1-11 1.2.8 Secure MAC地址的相关配置................................................................................................ 1-12

1.3 端口安全配置显示 ...........................................................................................................................1-13

1.4 端口安全配置举例 ...........................................................................................................................1-13

1.4.1 端口安全autolearn模式配置举例 .......................................................................................... 1-13 1.4.2 端口安全macAddressWithRadius模式配置举例 ................................................................... 1-14 1.4.3 端口安全userLoginWithOUI模式配置举例 ............................................................................ 1-16 1.4.4 端口安全macAddressElseUserLoginSecureExt模式配置举例 ............................................. 1-18 1.4.5 端口安全macAddressAndUserLoginSecureExt模式配置举例.............................................. 1-20 1.4.6 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN配置举例................... 1-22

2 端口绑定 ............................................................................................................................................ 2-1

2.1 端口绑定配置..................................................................................................................................... 2-1

2.1.1 端口绑定简介 ..........................................................................................................................2-1 2.1.2 端口绑定配置 ..........................................................................................................................2-1

2.2 端口绑定配置显示 .............................................................................................................................2-2

2.3 端口绑定配置举例 .............................................................................................................................2-2

2.3.1 端口绑定配置举例...................................................................................................................2-2

1-1

1 端口安全

新增 “ 端口安全支持 Guest VLAN ” 特性，具体请参见 1.2.6 端口在

macAddressOrUserLoginSecure安全模式下支持Guest VLAN。新增“配置自动学习到的Secure MAC地址表项的老化时间”特性，具体请参见 1.2.8 2. 配置端

口自动学习到的Secure MAC地址表项的老化时间。

1.1 端口安全简介

1.1.1 端口安全概述

端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的 802.1x 认证和 MAC地址认证的扩充。

端口安全的主要功能就是用户通过定义各种安全模式，来控制端口上的 MAC 地址学习或对用户进

行认证，从而让设备学习到合法的源 MAC 地址，以达到相应的网络管理效果。

启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源 MAC 地址的报文，系统将视

为非法报文；对于不能通过 802.1x 认证或 MAC 地址认证的事件，将被视为非法事件。

当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少

了用户的维护工作量，极大地提高了系统的安全性和可管理性。

1.1.2 端口安全模式

用户通过定义各种安全模式，从而使设备根据定义学习到合法的源 MAC 地址，以达到相应的网络

管理效果。

1-2

表1-1 端口安全模式描述表

应用对应安全模式

autoLearn 控制 MAC 地址学习

secure

Userlogin

userLoginSecure

userLoginSecureExt 端口采用 802.1X 认证

userLoginWithOUI

端口采用 MAC 地址认证 macAddressWithRadius

macAddressAndUserLoginSecure and 模式

macAddressAndUserLoginSecureExt

macAddressElseUserLoginSecure else 模式

macAddressElseUserLoginSecureExt

macAddressOrUserLoginSecure

端口采用 MAC 地址和

802.1X 组合认证

or 模式 macAddressOrUserLoginSecureExt

由于安全模式种类较多，为便于记忆，部分端口安全模式名称的构成可按如下规则理解：

“userLogin”表示基于端口的 802.1X 认证；

“macAddress”表示 MAC 地址认证；

“and”表示基于端口的 802.1X 认证和 MAC 地址认证的双重认证，只有在这两个认证都成功后才允许接入

网络；

“Else”之前的认证方式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证

方式；

“Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式；

携带“Secure”的 userLogin 表示基于 MAC 地址的 802.1X 认证。

携带“Ext”表示可允许多个 802.1X 用户认证成功。

1. autoLearn 模式与 secure 模式

在 autoLearn模式下，可通过手工配置或通过动态进行 MAC学习，此时 MAC地址称为 Secure

MAC；只有源 MAC 为 Secure MAC 或已配置的动态 MAC 的报文，才能通过该端口；当端口

下的 Secure MAC 地址表项数超过端口允许学习的最大安全 MAC 地址数后，该端口不会再添

加新的 Secure MAC，并且端口模式会自动转变为 secure。

如果直接将端口安全模式设置为 secure 模式，将禁止端口学习 MAC 地址，只有已配置的静

态或动态 MAC 的报文，才能通过该端口。

报文处理流程如图 1-1：

1-3

图1-1 autoLearn 模式与 secure 模式报文处理流程图

2. 802.1X 认证方式

userlogin：对接入用户采用基于端口的 802.1x 认证。

userLoginSecure：对接入用户采用基于 MAC 的 802.1x 认证，认证成功后端口开启，但也只

允许认证成功的用户报文通过。此模式下，端口最多只允许接入一个经过 802.1x 认证的用户。

userLoginSecureExt：与 userLoginSecure 类似，但端口下的 802.1x 认证用户可以有多个。

userLoginWithOUI：与 userLoginSecure 类似，端口最多只允许一个 802.1x 认证用户，但同

时，端口还允许一个 OUI（Organizationally Unique Identifier 是一个全球唯一的标识符，是

MAC 地址的前 24 位）地址的报文通过。

关于 802.1x 认证的具体过程请参见“802.1x 及 System-Guard 操作”。

3. MAC 地址认证

macAddressWithRadius：对接入用户采用 MAC 地址认证

1-4

关于 MAC 地址认证的具体过程请参见“MAC 地址认证操作”。

4. and 模式

macAddressAndUserLoginSecure：接入用户先进行 MAC 地址认证，当 MAC 地址认证成功

后，再进行 802.1x 认证。只有在这两种认证都成功的情况下，才允许该用户接入网络。此模

式下，端口最多只允许一个用户接入网络。

macAddressAndUserLoginSecureExt：与 macAddressAndUserLoginSecure 类似。但此模

式下，端口允许接入网络的用户可以有多个。

报文处理流程如图 1-2所示：

图1-2 ‘and’模式下报文处理流程图

5. else 模式

macAddressElseUserLoginSecure：对接入用户先进行 MAC 地址认证，如果成功则表明认证

通过，如果失败再进行 802.1x 认证；此模式下，端口最多只允许接入一个经过认证的 802.1x

用户，但端口下经过认证的 MAC 地址认证用户可以有多个。

1-5

macAddressElseUserLoginSecureExt：与 macAddressElseUserLoginSecure 类似。但此模式

下，端口允许经过认证的 802.1x 用户可以有多个。

报文处理流程如图 1-3所示。

图1-3 ‘else’模式下报文处理流程图

6. or 模式

macAddressOrUserLoginSecure：接入用户通过 MAC 地址认证后，仍然可以进行 802.1x 认

证；接入用户通过 802.1x 认证后，不再进行 MAC 地址认证；此模式下，端口最多只允许接

入一个经过认证的 802.1x 用户，但端口下经过认证的 MAC 地址认证用户可以有多个。

macAddressOrUserLoginSecureExt：与 macAddressOrUserLoginSecure 类似。但此模式下，

端口允许经过认证的 802.1x 用户可以有多个。

报文处理流程如图 1-4所示。

1-6

图1-4 ‘or’模式下报文处理流程图

1.1.3 端口安全特性

端口安全的特性包括：

NTK 特性：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的 MAC 地址，保

证数据帧只能被交换机发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。

Intrusion Protection 特性：该特性通过检测端口接收到的数据帧的源 MAC 地址或 802.1x 认

证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、

永久断开端口连接或是过滤源地址是此 MAC 地址的报文，保证了端口的安全性。

Trap 特性：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）

传送时，设备将会发送 Trap 信息，便于网络管理员对这些特殊的行为进行监控。

在 userlogin 安全模式下，NTK 特性和 Intrusion Protection 特性不会被触发。其他模式下，当设

备发现非法报文或非法事件后，将触发 NTK 特性和 Intrusion Protection 特性。当端口工作在 userLoginWithOUI 模式下时，即使 OUI 地址不匹配，也不会触发 Intrusion

Protection 特性。 macAddressElseUserLoginSecure 或 macAddressElseUserLoginSecureExt 安全模式下工作的

端口，对于同一个报文，只有在 MAC 地址认证和 802.1x 认证均失败后，才会触发 Intrusion Protection 特性。

1-7

1.2 端口安全配置

表1-2 端口安全配置任务简介


启动端口安全功能必选 1.2.2

配置端口允许的最大 MAC 地址数可选 1.2.3

配置端口安全模式必选 1.2.4

配置 NTK 特性

配置 Intrusion Protection 特性配置端口安全的

相关特性配置 Trap 特性

可选

根据实际组网需求选择其中

一种或多种特性 1.2.5

端口在 macAddressOrUserLoginSecure 安全模式下支持 Guest VLAN 可选 1.2.6

配置当前端口不应用 RADIUS 服务器下发的授权信息可选 1.2.7

配置 Secure MAC 地址可选 1.2.8

1.2.2 启动端口安全功能

1. 配置准备

在启动端口安全功能之前，需要关闭全局的 802.1x 和 MAC 地址认证功能。

2. 启动端口安全功能

表1-3 启动端口安全功能

操作命令说明


启动端口安全功能 port-security enable 必选

缺省情况下，端口安全功能处于关闭状态

当用户启动端口安全功能后，端口的如下配置会被自动恢复为（括弧内的）缺省情况：

802.1x 认证（关闭）、端口接入控制方式（macbased）、端口接入控制模式（auto）； MAC 地址认证（关闭）。且以上配置不能再进行手动配置，只能随端口安全模式的改变由系统配置。

关于 802.1x 认证的详细介绍，请参见“802.1x 及 System-Guard”中的相关内容。端口安全不支持 802.1x 的 EAD 快速部署功能。关于 MAC 地址认证的详细介绍，请参见“MAC 地址认证”中的相关内容。

1-8

1.2.3 配置端口允许接入的最大 MAC 地址数

端口安全可以允许某个端口下有多个用户通过认证，但是允许的用户数不能超过设置的最大值。

配置端口允许的最大 MAC 地址数有两个作用：

控制能够通过某端口接入网络的最大用户数；

控制端口安全能够添加的 Secure MAC 地址数。


端口安全允许某个端口下有多个用户通过认证时，端口下所允许的最大用户数根据不同的端

口安全模式，取最大安全 MAC 地址数与相应模式下允许认证用户数的最小值。例如，

userLoginSecureExt 模式下，端口下所允许的最大用户为配置的最大 MAC 地址数与 802.1X

认证所允许的最大用户数的最小值。

该配置与 MAC 地址管理中配置的端口最多可以学习到的 MAC 地址数无关。

表1-4 配置端口允许接入的最大 MAC 地址数

操作命令说明



配置端口允许接入的最大

MAC 地址数 port-security max-mac-count count-value

必选

缺省情况下，最大 MAC 地

址数不受限制

1.2.4 配置端口安全模式

表1-5 配置端口安全模式

操作命令说明


设置用户认证的 OUI 值 port-security oui OUI-value index index-value

可选

在端口安全模式为

userLoginWithOUI 时，端口除了

可以允许一个802.1x的接入用户通

过认证之外，还可以允许一个指定

OUI 值的源 MAC 地址的用户通过

认证


配置端口的安全模式

port-security port-mode { autolearn｜mac-and-userlogin-secure | mac-and-userlogin-secure-ext | mac-authentication｜mac-else-userlogin-secure｜mac-else-userlogin-secure-ext | secure｜userlogin | userlogin-secure ｜userlogin-secure-ext ｜userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

必选

缺省情况下，端口处于

noRestriction 模式，此时该端口处

于无限制状态

根据实际需要，用户可以配置不同

的安全模式

1-9

当用户配置端口安全模式为 autolearn 时，首先需要使用 port-security max-mac-count 命令设

置端口允许接入的最大 MAC 地址数。当端口工作于 autolearn 模式时，无法更改端口允许接入的最大 MAC 地址数。在用户配置端口安全模式为 autolearn 后，不能在该端口上配置静态或黑洞 MAC 地址。当端口安全模式不是 noRestriction 时，若要改变端口安全模式，必须首先执行 undo

port-security port-mode 命令恢复端口安全模式为 noRestriction 模式。

在已经配置了安全模式的端口下，将不能再进行以下配置：

配置最大 MAC 地址学习个数；

配置镜像反射端口；

配置端口汇聚。

1.2.5 配置端口安全的相关特性

1. 配置 NTK 特性

表1-6 配置 NTK 特性

操作命令说明



配置 Need To Know 特性 port-security ntk-mode { ntkonly | ntk-withbroadcasts | ntk-withmulticasts }

必选

缺省情况下，没有配置 Need To Know 特性，即所有报文都可成

功发送

2. 配置 Intrusion Protection 特性

表1-7 配置 Intrusion Protection 特性

操作命令说明



设置 Intrusion Protection特性被

触发后，交换机采取的相应动作

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

必选

缺省情况下，没有设置 Intrusion Protection 特性

退回系统视图 quit -

设置系统暂时断开端口连接的

时间 port-security timer disableport timer

可选

缺省情况下，系统暂时断开端口连接的

时间为 20 秒

1-10

port-security timer disableport 命令设置的时间值，是 port-security intrusion-mode 命令设置

为 disableport-temporarily 模式时，系统暂时断开端口连接的时间。

当用户在同一端口上配置 NTK 特性和配置 port-security intrusion-mode blockmac 命令后，交

换机将无法禁止目的 MAC 地址为非法 MAC 地址的报文从该端口发出，也就是说 NTK 特性对目的

MAC 地址为非法 MAC 地址的报文不起作用。

3. 配置 Trap 特性

表1-8 配置 Trap 特性

操作命令说明


打开指定 Trap 信息的发送开

关

port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }

必选

缺省情况下，Trap 信息

的发送开关处于关闭状

态

1.2.6 端口在 macAddressOrUserLoginSecure 安全模式下支持 Guest VLAN

Guest VLAN 是用户在认证失败的情况下，可以访问的指定 VLAN（有关 Guest VLAN 的详细介绍

请参见“802.1x 及 System-Guard”）。

对于支持 Guest VLAN 的 macAddressOrUserLoginSecure 安全模式来说，每个端口下可连接一个

或多个认证用户，但同一时刻每个端口最多只允许一个用户通过安全认证。具体情况如下：

(1) 当端口上连接的首个认证用户触发 802.1x 认证或 MAC 地址认证时：

如果该用户未通过 802.1x 认证或 MAC 地址认证，则该端口会被加入到 Guest VLAN，此后所

有在该端口接入的用户将被授权访问 Guest VLAN 里的资源。

若该用户通过了 802.1x 认证或 MAC 地址认证，因为端口同一时刻只允许接入一个经过认证

的用户，其他用户的认证请求将不再进行处理（后续认证用户认证失败，但端口不会加入 Guest

VLAN）。

(2) 当某端口已经加入 Guest VLAN 后：

该端口下连的认证用户仍然可以进行 802.1x 认证，如果有一个用户认证成功，该端口会离开

Guest VLAN、回到配置的 VLAN 中（加入 Guest VLAN 之前所在的 VLAN，即“初始 VLAN”）。

并且不再处理该端口下其他用户的认证请求。

同样，该端口仍然允许进行MAC地址认证，但此时MAC地址认证不是由用户报文来触发MAC

地址认证，而是由交换机每隔一定时间自动利用该端口下学习到的 Guest VLAN 内的首个

MAC 地址触发 MAC 地址认证，如果认证成功，端口会离开 Guest VLAN。

1-11

表1-9 端口在 macAddressOrUserLoginSecure 安全模式下支持 Guest VLAN

操作命令说明


配置在端口加入 Guest VLAN 后，交换机

触发 MAC 地址认证的周期 port-security timer guest-vlan-reauth interval

可选


配置端口启用

macAddressOrUserLoginSecure 安全模

式

port-security port-mode userlogin-secure-or-mac

必选

指定某个已创建的 VLAN 为当前端口可访

的 Guest VLAN port-security guest-vlan vlan-id 必选


指定某 VLAN 为当前端口可访的 Guest VLAN 前，需要确保该 VLAN 已经创建、并且该 VLAN

内包含用户需要访问的资源。

若当前端口下有接入用户正在进行认证或已经通过认证，则无法为其指定 Guest VLAN。

当指定了端口可访问的 Guest VLAN 后，若端口下挂的用户认证失败，该端口将被加入到

Guest VLAN 中、下挂的用户只能访问 Guest VLAN 中的资源。

每个端口下可连接一个或多个认证用户，若该端口指定了可访问的 Guest VLAN 则同一时刻

每个端口最多只允许一个用户通过安全认证（其余的 802.1x 认证用户的客户端会显示认证失

败；由于 MAC 地址认证时没有客户端，因此认证失败且无任何提示）。

当端口已经指定了 Guest VLAN 的情况下、若要改变端口安全模式，必须首先执行 undo

port-security guest-vlan 命令取消给该端口指定的 Guest VLAN。

端口只有在 macAddressOrUserLoginSecure 安全模式下才能指定其可访问的 Guest VLAN。

若用户在端口同时指定 Guest VLAN 和配置 port-security intrusion-mode disableport 命

令，当认证失败后，只触发入侵检测特性，不会再将该端口加入 Guest VLAN。

建议不要在端口上将指定Guest VLAN功能和配置port-security intrusion-mode blockmac

命令同时使用。因为如果认证失败，触发入侵检测 blockmac 特性后，该接入用户发出的报文

将被丢弃，用户无法访问 Guest VLAN。

1.2.7 配置当前端口不应用 RADIUS 服务器下发的授权信息

802.1x 用户或 MAC 地址认证用户在 RADIUS 服务器上通过认证时，服务器会把授权信息下发给设

备端。用户可以配置端口是否忽略 RADIUS 服务器下发的授权信息。

表1-10 配置当前端口不应用 RADIUS 服务器下发的授权信息

操作命令说明



配置当前端口不应用

RADIUS 服务器下发的授

权信息 port-security authorization ignore

必选

缺省情况下，端口应用 RADIUS 服务器

下发的授权信息

1-12

1.2.8 Secure MAC 地址的相关配置

在 autolearn 模式下，可通过手工配置或通过动态进行学习 MAC，此时 MAC地址称为 Secure MAC。

缺省情况下，Secure MAC 地址不会被老化。一个 Secure MAC 地址只能被添加到一个端口上，利

用该特点可以实现同一 VLAN 内 Secure MAC 地址与端口间的绑定。

当配置端口的安全模式为 autolearn 之后，端口的 MAC 地址学习方式将会发生如下变化：

端口原有的动态 MAC 被删除；

当端口的 Secure MAC 表项没有达到配置的最大数目时，端口新学到的 MAC 地址会被添加为

Secure MAC 表项；

当端口的 Secure MAC 表项到达配置的最大数目时，端口将不会继续学习 MAC 地址，端口状

态将从 autolearn 状态转变为 secure 状态。

用户手动配置的 Secure MAC 地址会写入配置文件，端口 Up 或 Down 时不会丢失。保存配置文件

后，即使交换机重启，Secure MAC 地址也可以恢复。

1. 手动添加 Secure MAC 地址表项

在手动添加 Secure MAC 地址表项之前，需完成以下任务：

启动端口安全功能；

配置端口允许接入的最大 MAC 地址数；

配置端口的安全模式为 autolearn。

表1-11 配置 Secure MAC 地址

操作命令说明


系统视图下 mac-address security mac-address interface interface-type interface-number vlan vlan-id

interface interface-type interface-number

添加Secure MAC 地

址表项以太网端口

视图下 mac-address security mac-address vlan vlan-id

二者必选其一

缺省情况下，未配置

Secure MAC 地址

表项

2. 配置端口自动学习到的 Secure MAC 地址表项的老化时间

缺省情况下，端口自动学习的 Secure MAC 表项是不会老化的，只有当关闭端口安全功能或端口的

安全模式不再是 autolearn 之后（从 autolearn模式自动转换到 secure模式时，端口学习到的 Secure MAC 地址表项也不会老化），端口学习到的 Secure MAC 地址表项才会删除。

如果用户希望端口自动学习的 Secure MAC 地址表项也能进行老化，可以通过配置合适的老化时间

来有效的实现 Secure MAC 地址表项的老化。当 Secure MAC 地址表项的存在时间超过设置的老化

时间时，交换机就会把 Secure MAC 地址表项删除。

1-13

表1-12 配置端口自动学习到的 Secure MAC 地址表项的老化时间

操作命令说明


启动端口安全功能 port-security enable -

配置端口自动学习到的 Secure MAC地址的老化时间 port-security timer autolearn age

必选

缺省情况下，端口自动学习到的

Secure MAC 地址的老化时间为

0，即不进行老化处理。


配置端口允许接入的最大 MAC 地址

数 port-security max-mac-count count-value

必选

缺省情况下，最大 MAC 地址数不

受限制

配置端口的安全模式为 autolearn port-security port-mode autolearn

必选

缺省情况下，端口处于

noRestriction 模式，此时该端口

处于无限制状态

配置 Secure MAC 地址表项的老化时间后，可通过 display mac-address security 命令查看端口

学习到的 Secure MAC 地址表项信息时，虽然老化时间显示为“NOAGED”，但此时交换机已经

开始对 Secure MAC 地址表项进行老化处理了。

1.3 端口安全配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置端口安全后的运行情况。通过查

看显示信息，用户可以验证配置的效果。

表1-13 端口安全配置显示

操作命令说明

显示端口安全配置的相关信息 display port-security [ interface interface-list ]

显示 Secure MAC 地址的配置信息 display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]

display 命令可


执行

1.4 端口安全配置举例

1.4.1 端口安全 autolearn 模式配置举例

1. 组网需求

在交换机的端口 Ethernet1/0/1 上对接入用户做如下的限制:

允许最多 80 个用户自由接入，不进行认证，将学习到的用户 MAC 地址添加为 Secure MAC

地址；

1-14

为确保用户 Host 能够接入，将该用户的 MAC 地址 0001-0002-0003 作为 Secure MAC 地址，

添加到 VLAN 1 中；

当 Secure MAC 地址数量达到 80 后，停止学习；当再有新的 MAC 地址接入时，触发 Intrusion

Protection 特性，并将此端口关闭 30 秒。

2. 组网图

图1-5 端口安全 autolearn 模式组网图

3. 配置步骤



# 启动端口安全功能。

[Switch] port-security enable

# 进入以太网 Ethernet1/0/1 端口视图。

[Switch] interface Ethernet1/0/1

# 设置端口允许接入的最大 MAC 地址数为 80。

[Switch-Ethernet1/0/1] port-security max-mac-count 80

# 配置端口的安全模式为 autolearn。

[Switch-Ethernet1/0/1] port-security port-mode autolearn

# 将 Host 的 MAC 地址 0001-0002-0003 作为 Secure MAC 添加到 VLAN 1 中。

[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1

# 设置 Intrusion Protection 特性被触发后，暂时关闭该端口，关闭时间为 30 秒。

[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily

[Switch-Ethernet1/0/1] quit

[Switch] port-security timer disableport 30

1.4.2 端口安全 macAddressWithRadius 模式配置举例

1. 组网需求

客户端通过端口 Ethernet1/0/1 连接到交换机上，交换机通过 RADIUS 服务器对客户端进行身份认

证，如果认证成功，客户端被授权允许访问 Internet 资源。

交换机的管理者希望对接入用户的端口 Ethernet1/0/1 做如下限制：

对接入用户进行 MAC 地址认证；

所有用户都属于域：aabbcc.net，MAC 地址认证时使用用户 PC 的 MAC 地址作为用户名和密

码。

1-15

对未通过 MAC 认证的报文，触发 Intrusion Protection 特性，过滤源地址是此 MAC 地址的报

文，保证该端口的安全性。

2. 组网图

图1-6 端口安全 macAddressWithRadius 模式组网图

Internet

SwitchHost

Eth1/0/1

Authentication servers(192.168.1.3/24192.168.1.2/24)

3. 配置步骤

下述配置步骤包含了部分 AAA/RADIUS 协议配置命令，具体介绍请参见“AAA 配置”。接入用户和 RADIUS 服务器上的配置略。

配置 RADIUS 协议

# 创建名为 radius1 的 RADIUS 方案。


[Switch] radius scheme radius1

# 设置主认证 RADIUS 服务器的 IP 地址为 192.168.1.3，主计费 RADIUS 服务器的 IP 地址为

192.168.1.2。

[Switch-radius-radius1] primary authentication 192.168.1.3

[Switch-radius-radius1] primary accounting 192.168.1.2

# 设置备份认证 RADIUS 服务器的 IP 地址为 192.168.1.2，备份计费 RADIUS 服务器的 IP 地址为

192.168.1.3。

[Switch-radius-radius1] secondary authentication 192.168.1.2

[Switch-radius-radius1] secondary accounting 192.168.1.3

# 设置与认证 RADIUS 服务器交互报文时的加密密码为 name。

[Switch-radius-radius1] key authentication name

# 设置与计费 RADIUS 服务器交互报文时的加密密码为 name。

[Switch-radius-radius1] key accounting name

# 设置将去除域名的用户名发送给 RADIUS 服务器。

[Switch-radius-radius1] user-name-format without-domain

[Switch-radius-radius1] quit

# 创建名为 aabbcc.net 的 ISP 域，并进入其视图。

1-16

[Switch] domain aabbcc.net

# 指定 radius1 为该域用户的 RADIUS 方案。

[Switch-isp-aabbcc.net] scheme radius-scheme radius1

[Switch-isp-aabbcc.net] quit

# 配置域 aabbcc.net 为缺省用户域。

[Switch] domain default enable aabbcc.net

# 配置采用 MAC 地址用户名进行认证，并指定不使用带有分隔符的小写形式的 MAC 地址作为验证

的用户名和密码。

[Switch] mac-authentication authmode usernameasmacaddress usernameformat without-hyphen

# 配置 MAC 地址认证用户所使用的 ISP 域。

[Switch] mac-authentication domain aabbcc.net

# 启动端口安全功能


# 配置端口安全模式为 mac-authentication

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/1] port-security port-mode mac-authentication

# 设置 Intrusion Protection 特性被触发后，丢弃源 MAC 地址是此 MAC 地址的报文。

[Switch-Ethernet1/0/1] port-security intrusion-mode blockmac

1.4.3 端口安全 userLoginWithOUI 模式配置举例

1. 组网需求


证，如果认证成功，客户端被授权允许访问 Internet 资源。

交换机的管理者希望对接入用户的端口 Ethernet1/0/1 做如下限制：

允许一个 802.1x 用户上线；

设置 2 个 OUI 值，允许端口上有一个与 OUI 值匹配的 MAC 地址用户通过；

打开指定 Trap 信息开关，使管理员能够对 802.1x 认证用户的行为进行监控。

2. 组网图

图1-7 端口安全 userLoginWithOUI 模式组网图

1-17

3. 配置步骤







192.168.1.2。




192.168.1.3。







# 设置系统向 RADIUS 服务器重发报文的时间间隔与次数。

[Switch-radius-radius1] timer 5

[Switch-radius-radius1] retry 5

# 设置向 RADIUS 服务器发送实时计费报文的时间间隔为 15 分钟。

[Switch-radius-radius1] timer realtime-accounting 15






# 指定 radius1 为该域用户的 RADIUS 方案，若 RADIUS 服务器无效，则使用本地认证方案。

[Switch-isp-aabbcc.net] scheme radius-scheme radius1 local

# 设置该 ISP 域最多可容纳 30 个用户。

[Switch-isp-aabbcc.net] access-limit enable 30

# 启动闲置切断功能并设置相关参数。

[Switch-isp-aabbcc.net] idle-cut enable 20 2000


1-18



# 添加本地接入用户。

[Switch] local-user localuser

[Switch-luser-localuser] service-type lan-access

[Switch-luser-localuser] password simple localpass

配置端口安全特性



# 添加 2 个 OUI 值。

[Switch] port-security oui 1234-0100-1111 index 1

[Switch] port-security oui 1234-0200-1111 index 2

# 设置端口安全模式为 userlogin-withoui。


[Switch-Ethernet1/0/1] port-security port-mode userlogin-withoui


# 打开指定 Trap 信息开关

[Switch] port-security trap dot1xlogfailure

[Switch] port-security trap dot1xlogon

[Switch] port-security trap dot1xlogoff

1.4.4 端口安全 macAddressElseUserLoginSecureExt 模式配置举例

1. 组网需求


证。如果认证成功，客户端被授权允许访问 Internet 资源。

交换机的管理者希望对接入用户的端口 Ethernet1/0/1 做如下的限制：

为方便用户访问 Internet 资源，采用 MAC 地址认证的方式对接入用户进行身份认证，但是当

无法进行 MAC 地址认证或 MAC 地址认证失败时，为保证用户能够顺利访问 Internet 资源，

认证用户还可以再进行 802.1x 认证；

允许最多 64 个 802.1x 认证用户上线，通过认证的 802.1x 用户和 MAC 地址用户最多不能超

过 200 个；


码；

为防止报文发往未知目的 MAC 地址，启动 NeedToKnow 特性。

1-19

2. 组网图

图1-8 端口安全 macAddressElseUserLoginSecureExt 模式组网图

3. 配置步骤







192.168.1.2。




192.168.1.3。













1-20












# 配置同时接入 802.1x 用户数量的最大值

[Switch] dot1x max-user 64








# 配置端口允许的最大安全 MAC 地址数为 200。


[Switch-Ethernet1/0/1] port-security max-mac-count 200

# 设置端口安全模式为 mac-else-userlogin-secure-ext。

[Switch-Ethernet1/0/1] port-security port-mode mac-else-userlogin-secure-ext

# 设置端口 NeedToKnow 模式为 ntkonly。

[Switch-Ethernet1/0/1] port-security ntk-mode ntkonly

1.4.5 端口安全 macAddressAndUserLoginSecureExt 模式配置举例

1. 组网需求


证。如果认证成功，客户端被授权允许访问 Internet 资源。

交换机的管理者希望对接入用户的端口 Ethernet1/0/1 做如下的限制：

采用双重认证方式保证用户的合法性，即在用户进行 802.1x 认证前，先对接入用户进行 MAC

认证，只有在 MAC 地址认证成功后，再对接入用户进行 802.1x 认证；


码。

1-21

2. 组网图

图1-9 端口安全 macAddressElseUserLoginSecureExt 模式组网图

3. 配置步骤







192.168.1.2。




192.168.1.3。













1-22



















# 设置端口安全模式为 macAddressAndUserLoginSecureExt。


[Switch-Ethernet1/0/1] port-security port-mode mac-and-userlogin-secure-ext

1.4.6 端口在 macAddressOrUserLoginSecure 安全模式下支持 Guest VLAN 配置举例

1. 组网需求

如图 1-10所示，交换机的端口Ethernet1/0/2 下连接着PC和打印机两台设备，这两台设备不同时使

用。为了保证接入设备的安全访问，采用端口安全的macAddressOrUserLoginSecure安全模式，并

在该安全模式下应用Guest VLAN。

PC 通过 802.1x 认证接入网络，打印机接入网络时根据 MAC 地址进行 MAC 地址认证。

Switch 的端口 Ethernet1/0/3 连接 Internet 网络，该端口在 VLAN 1 内。正常情况下，设备接

入 Switch 的端口 Ethernet1/0/2 也在 VLAN 1 内。

VLAN 10 为 Guest VLAN，在该 VLAN 内包含一个用于客户端软件下载和升级的 Update

Server。当用户认证失败后，端口 Ethernet1/0/2 将会加入 VLAN 10，此时用户只能访问 VLAN

10。当用户认证成功后，端口 Ethernet1/0/2 会回到 VLAN 1。

1-23

图1-10 端口在 macAddressOrUserLoginSecure 安全模式下支持 Guest VLAN 组网图

Internet

Update server Authentication server

PC

VLAN 10Eth1/0/1

Guest VLAN 10: VLAN 1Eth1/0/2

VLAN 1Eth1/0/3

VLAN 2Eth1/0/4

VLAN 10

Switch

Printer

Hub

2. 配置步骤

下述各配置步骤包含了大部分 AAA/RADIUS 协议配置命令，对这些命令的介绍，请参见“AAA 配

置”。此外，802.1x 客户端和 RADIUS 服务器上的配置略。

# 配置 RADIUS 方案 2000。


[Switch] radius scheme 2000

[Switch-radius-2000] primary authentication 10.11.1.1 1812

[Switch-radius-2000] primary accounting 10.11.1.1 1813

[Switch-radius-2000] key authentication abc

[Switch-radius-2000] key accouting abc

[Switch-radius-2000] user-name-format without-domain

[Switch-radius-2000] quit

# 配置认证域 system，该域使用已配置的 RADIUS 方案 2000。

[Switch] domain system

[Switch-isp-system] scheme radius-scheme 2000

[Switch-isp-system] quit





[Switch] mac-authentication domain system

# 配置端口安全功能


# 配置自动进行 MAC 认证的周期为 60 秒

1-24

[Switch] port-security timer guest-vlan timer 60

# 配置 VLAN 10

[Switch] vlan 10

[Switch–vlan10] port Ethernet 1/0/1

# 端口 Ethernet 1/0/2 上配置 macAddressOrUserLoginSecure 模式。


[Switch-Ethernet1/0/2] port-security port-mode userlogin-secure-or-mac

# 端口上配置 Guest VLAN。

[Switch-Ethernet1/0/2] port-security guest-vlan 10

通过命令 display current-configuration 或者 display interface ethernet 1/0/2 可以查看 Guest VLAN 配置情况。当用户认证失败后，通过命令 display vlan 10 可以查看端口配置的 Guest VLAN是否生效。

2-1

2 端口绑定

新增“端口-MAC地址-IP地址灵活绑定”特性，具体请参见 2.1.2 端口绑定配置。

2.1 端口绑定配置

2.1.1 端口绑定简介

绑定是一种简单的安全机制，通过交换机上的绑定功能，可以对端口转发的报文进行过滤控制。当

端口接收到报文后查找绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转

发该报文，否则做丢弃处理。目前交换机提供灵活的绑定策略，包括：

端口+IP 绑定：将报文的接收端口和用户的 IP 地址绑定。此时，交换机只对从该端口收到的

指定 IP 地址的用户发出的报文进行转发。

端口+MAC 地址绑定：将报文的接收端口和用户的 MAC 地址绑定。此时，交换机只对从该端

口收到的指定 MAC 地址的用户发出的报文进行转发。

端口+MAC 地址+IP 绑定：将用户的 MAC 地址、IP 地址和报文的接收端口绑定。此时，端口

若收到源 IP 地址与指定的 IP 地址相同的报文，则只有该报文的源 MAC 地址与指定的 MAC

地址相同时，报文才能被转发；端口接收的其它报文（源 IP 地址不在 IP-MAC-端口绑定关系

表中的报文）可正常转发。

IP+MAC 地址绑定：将 IP 地址和 MAC 地址绑定。此时，如果交换机收到的报文的源 IP 地址

与指定的 IP 地址相同，则只有该报文的源 MAC 地址也与指定的 MAC 地址相同时，该报文才

能被转发；同理，如果报文的源 MAC 地址与指定的 MAC 地址相同，则也只有报文的源 IP 地

址与指定的 IP 地址相同时，该报文才能被转发；交换机收到的其它报文可正常转发。

所有与端口相关的绑定都是只针对端口的，当一个端口被绑定后，仅该端口被限制，其他端口不受

绑定影响。

2.1.2 端口绑定配置

表2-1 端口绑定配置

操作命令说明


系统视图下 am user-bind mac-addr mac-address ip-addr ip-address [ interface interface-type interface-number ]


将用户的 MAC地址、IP 地址和

端口进行灵活绑

定以太网端口

视图下 am user-bind { ip-addr ip-address | mac-addr mac-address [ ip-addr ip-address ] }

二者必选其一

缺省情况下，未将

用户的 MAC 地

址、IP 地址、端口

进行绑定

2-2

对同一个 MAC 地址和 IP 地址，系统只允许在端口上进行一次绑定操作。不能同时对一个端口进行“端口+IP+MAC”和“端口+IP”的绑定。

2.2 端口绑定配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置端口绑定后的运行情况。通过查

看显示信息，用户可以验证配置的效果。

表2-2 端口绑定配置显示

操作命令说明

显示端口绑定的配置信息 display am user-bind [ interface interface-type interface-number | ip-addr ip-address | mac-addr mac-address ]



2.3 端口绑定配置举例

2.3.1 端口绑定配置举例

1. 组网需求

为了防止小区内有恶意用户盗用 Host A 的 IP 地址，需要将 Host A 的 MAC 地址和 IP 地址绑定到

Switch A 上的 Ethernet1/0/1 端口。

2. 组网图

图2-1 端口绑定配置组网图

10.12.1.1/24MAC address: 0001-0002-0003

Host A Host B

Eth1/0/1

Switch A

Switch B

3. 配置步骤

配置 Switch A。


2-3


# 进入 Ethernet1/0/1 端口视图。

[SwitchA] interface Ethernet1/0/1

# 将 Host A 的 MAC 地址和 IP 地址绑定到 Ethernet1/0/1 端口。

[SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1

i

目录

1 DLDP配置.......................................................................................................................................... 1-1

1.1 DLDP简介 ......................................................................................................................................... 1-1

1.2 DLDP工作原理 .................................................................................................................................. 1-2

1.2.1 DLDP协议报文........................................................................................................................1-2 1.2.2 DLDP协议状态........................................................................................................................1-3 1.2.3 DLDP协议中的定时器.............................................................................................................1-3 1.2.4 DLDP协议工作模式 ................................................................................................................1-4 1.2.5 DLDP工作过程........................................................................................................................1-4 1.2.6 DLDP邻居状态........................................................................................................................1-5 1.2.7 链路自动恢复机制...................................................................................................................1-6

1.3 DLDP配置 ......................................................................................................................................... 1-6

1.3.1 DLDP基本配置........................................................................................................................1-6 1.3.2 DLDP状态重置配置 ................................................................................................................1-7 1.3.3 DLDP配置显示........................................................................................................................1-8

1.4 DLDP典型配置举例 ...........................................................................................................................1-8

1.4.1 光纤交叉连接组网案例 ...........................................................................................................1-8

1-1

1 DLDP 配置

1.1 DLDP 简介

在实际组网中，有时会出现一种特殊的现象——单向链路（即单通）。所谓单向链路是指：本端设

备可以通过链路层收到对端设备发送的报文，但对端设备不能收到本端设备的报文。单向链路会引

起一系列问题，比如生成树拓扑环路等。

以光纤为例，单向链路分为两种类型：

一种是光纤交叉相连，如图 1-1所示；

一种是一条光纤未连接或一条光纤断路，如图 1-2所示（图中的空心线表示一条光纤未连接或

一条光纤断路的情况）。

图1-1 光纤交叉连接

Switch AGE1/1/3 GE1/1/4

Switch BGE1/1/3 GE1/1/4

Host

图1-2 一条光纤未连接或一条光纤断路



Host

DLDP（Device Link Detection Protocol，设备连接检测协议）可以监控光纤或铜质双绞线（如超五

类双绞线）的链路状态。如果发现单向链路存在，DLDP 会根据用户配置，自动关闭或通知用户手

工关闭相关端口，以防止网络问题的发生。

1-2

DLDP 协议有如下特点：

DLDP 是链路层协议，它与物理层协议协同工作来监控设备的链路状态：物理层的自动协商机

制进行物理信号和故障的检测；DLDP 进行对端设备的识别、单向链路的识别和关闭不可达端

口等工作。

如果两端链路在物理层都能独立正常工作，DLDP 会在链路层检测这些链路是否正确连接、两

端是否可以正确的交互报文（这种检测不能通过自动协商机制实现）。

当端口工作在强制全双工模式和强制速率下时，此时若出现图 1-2所示的情况，则DLDP可以检

测出单通故障。反之，当端口的双工模式和速率均处于自动协商时，此时若出现图 1-2所示的情况，即使启用了

DLDP也无法检测出单通，设备将认为两端端口均处于Down状态。

1.2 DLDP 工作原理

1.2.1 DLDP 协议报文

DLDP 协议主要通过收发下述类型的报文来检测链路状态。

表1-1 DLDP 报文类型

DLDP 报文类型功能

Advertisement 报文发送 Advertisement 报文的目的是告诉邻居自己的存在，该报文中只有本端口的信

息，不需要对方回应报文

RSY-Advertisement 报文

（下文称为 RSY 报文） Advertisement 报文的一种，报文中 RSY FLAG 标志置位。当本端口没有邻居信息

或者邻居信息老化超时后发送，目的是请求同步邻居的信息

Flush-Advertisement 报文

（下文中称为 Flush 报文） Advertisement 报文的一种，报文中 Flush FLAG 标志置位。报文中不携带任何邻居

信息，只带本端口信息，用于通知邻居删除本端信息

Probe 报文用于探测邻居的存在性，需要对方回应 Echo 报文。报文中携带本端口信息，可以

选择携带邻居信息也可以不携带。如果不携带邻居信息，表示对所有的邻居进行探

测，如果携带邻居信息，则表示仅对指定邻居进行探测

Echo 报文邻居对本端发送的 Probe 报文的应答，携带了应答端口的端口信息和保存的邻居信

息。收到 Echo 报文时，端口需要检查 Echo 报文中携带的邻居信息是否和本端口

信息一致。如果相同，则认为本端口和该邻居之间是双向连通的

Disable 报文 Disable 状态通知报文，目的是知会对方，本端进入了 Disable 状态。Disable 报文

中不带邻居信息，只带本端口信息。当端口检测到单向链路进入 Disable 状态时，

向邻居发送 Disable 报文。收到 Disable 报文的端口也即刻进入 Disable 状态

LinkDown 报文

用于知会单向链路的紧急情况（本端口 Down 但对端 Up）。该报文中不带邻居信

息，只带本端口信息。在某些情况下，一端的物理层能够发现链路出现了异常，例

如端口光纤的 Rx 线中断，但 Tx 线完好，此时本端设备认为该端口物理 Down，但

对端则由于物理层能检测 Rx 信号，认为端口的工作状态正常。该情况称为单向链

路的紧急情况。

为了避免对端需要等待邻居老化定时器超时（3 倍的 Advertisement Interval）才能

发现链路异常，DLDP 立即向对方发送 LinkDown 报文。对端收到该报文后，如果

工作在加强模式下，则迁移到 DISABLE 状态，端口设为 DLDP Down（自动关闭模

式）或者向用户告警（手动关闭模式）

1-3

DLDP 报文类型功能

Recover Probe 报文用于端口的自动恢复机制，检测链路是否恢复。该报文不携带邻居信息，只携带本

端口信息，需要对端以自动恢复应答报文（Recover Echo）作为响应。处于 DLDP Down 的端口每 2 秒发送一次

Recover Echo 报文对 Recover Probe 报文的应答，用于端口的自动恢复机制。发送 Recover Probe 的

端口收到 Recover Echo 报文后，如果发现 RecoverEcho 报文中的邻居信息与本端

口相同，则认为链路已经恢复双向连通

1.2.2 DLDP 协议状态

DLDP 协议有如下状态：Initial（初始化）、Inactive（未连通）、Active（活动）、Advertisement（通告）、Probe（探测）、Disable（单通）、DelayDown 状态。

表1-2 DLDP 协议状态说明

状态说明

Initial DLDP 协议未开启时的初始化状态

Inactive DLDP 协议已开启，但是链路 Down 时所处的状态

Active DLDP 协议已开启且链路 Up，或者清空邻居表项后所处的状态

Advertisement 所有邻居双向连通（two way）或者处于 Active 状态超过 5 秒后进入的状态，这是一种

没有发现单向链路时的比较稳定的状态

Probe 发送探测报文检测链路是否为单向链路。该状态启动 Probe 发送定时器，为每个需要探

测的邻居启动一个 Echo 等待定时器

Disable DLDP 协议检测到单向链路，或在加强模式下邻居消失情况下的状态。此时 DLDP 协议

只接受和发送 Recover Probe 和 Recover Echo 报文

DelayDown

当DLDP状态处于Active状态、Advertisement状态或Probe状态时，如果收到端口Down事件，不会立即删除邻居并进入 Inactive 状态，而是先进入临时的 DelayDown 状态

在该状态下，DLDP 邻居信息仍然被保留，同时启动 DelayDown 定时器；DelayDown定时器超时后，DLDP 邻居信息将被删除

1.2.3 DLDP 协议中的定时器

DLDP 协议工作过程中需要用到如下定时器：

表1-3 DLDP 协议中的定时器

定时器说明

Advertisement 发送

定时器发送 Advertisement 报文的时间间隔，可以通过命令行进行配置

默认状态下，Advertisement 发送定时器的时间间隔为 5 秒

Probe 发送定时器 Probe 发送定时器的时间间隔为 0.5 秒，在 Probe 状态下每秒发送 2 个探测报文

Echo 等待定时器

DLDP 状态切换到 Probe 时启用，超时时间为 10 秒

如果 Echo 等待定时器超时，还未收到来自此邻居应答本端的 Echo 报文，则将本端状态

置为单通，并将状态机转到 Disable 状态，输出日志和跟踪信息，发送 Flush 报文，并根

据用户配置的 DLDP Down 模式，手动或者自动关闭掉本端端口，同时删除该邻居表项

1-4

定时器说明

Entry 老化定时器

每个新邻居加入时都要建立邻居表项，并启用相应的 Entry 老化定时器

每次收到邻居报文时都会刷新邻居表项，并更新相应的 Entry 老化定时器

普通模式下：如果 Entry 老化定时器超时，还未收到邻居发来的报文，则发送带有 RSY标记的 Advertisement 报文，同时删除该邻居表项

加强模式下：如果 Entry 老化定时器超时，还未收到邻居发来的报文，则启用加强定时器

Entry 老化定时器的时间间隔是 Advertisement 定时器的 3 倍

加强定时器

在加强模式下：当 Entry 老化定时器超时，还未收到邻居发来的报文，则对该邻居启用加

强定时器。加强定时器的超时时间为 10 秒

加强定时器启用后，每秒向相应的邻居发送 1 个 Probe 报文，连续发送 8 个

如果加强定时器超时，还未收到来自此邻居应答本端的 Echo 报文，则将此本端状态置为

单通，并将状态机转到 Disable 状态，输出日志和跟踪信息，发送 Flush 报文，并根据用

户配置的 DLDP Down 模式，手动或者自动关闭掉本端端口，同时删除该邻居表项

DelayDown 定时器

当DLDP状态处于Active状态、Advertisement状态或Probe状态时，如果收到端口Down事件，不会立即删除邻居、进入 Inactive 状态，而是先进入临时的 DelayDown 状态

在该状态下，DLDP 邻居信息仍然被保留，同时启动 DelayDown 定时器（定时器长度可

配置，取值范围为 1～5 秒）

在该状态下，系统只响应端口 Up 事件

如果该定时器超时后，系统还没有收到端口 Up 事件，则删除 DLDP 邻居信息并进入

Inactive 状态；如果在定时器超时前收到端口 Up 事件，则自动返回到原来的 DLDP 状态

1.2.4 DLDP 协议工作模式

DLDP 协议有两种工作模式：普通模式、加强模式。

表1-4 DLDP 协议工作模式与邻居表项老化

DLDP 协议工

作模式老化邻居表时是否主动探

测邻居的存在老化邻居表时是否启用 Entry 老化定

时器 Entry 老化定时器超时

时，是否启用加强定时器

普通模式不进行主动探测是（Entry 老化定时器超时后，直接老

化该邻居表项）否

加强模式进行主动探测是（Entry 老化定时器超时后，启用加

强定时器）

是（加强定时器超时后，

将本端状态置为单通，并

老化该邻居表项）

当 DLDP 协议工作在普通模式下，系统只能识别一种类型的单向链路：光纤交叉连接。当 DLDP 协议工作在加强模式下，系统能识别两种类型的单向链路：一种是光纤交叉连接，另一

种是一条光纤未连接或一条光纤断路。在探测后一种类型的单向链路时，需要将端口配置为强制

速率和强制全双工模式，否则即使启用了 DLDP 协议，该协议也不起作用。

1.2.5 DLDP 工作过程

(1) 如果开启了 DLDP 的端口链路状态为 Up，DLDP 会向对端发送 DLDP 报文，同时分析处理对

端设备发送过来的 DLDP 报文。DLDP 处在不同的状态时发送的报文类型不同。

1-5

表1-5 DLDP 发送报文类型

DLDP 状态发送报文类型

Active Advertisement 报文（包括带有 RSY 标记和不带 RSY 标记的）

Advertisement Advertisement 报文

Probe Probe 报文

(2) DLDP 对接收到的报文进行如下分析和处理：

在认证模式下，对报文进行认证。如果报文通不过认证，DLDP 丢弃该报文。

对 DLDP 报文进行处理。

表1-6 对接收到的 DLDP 报文的处理过程

收到报文类型处理过程

如果本机上没有该邻居表项，则建立该邻居表项，启动此表项的

Entry 老化定时器，并把 DLDP 状态切换到 Probe 状态 Advertisement 报文取出邻居信息

如果本机上存在该邻居表项，则刷新此表项的 Entry 老化定时器

Flush 报文删除本机上该邻居表项

如果本机上没有该邻居，则建立该邻居表 Probe 报文向对端发送包含邻居信息

和自己信息的 Echo 报文如果本机上有该邻居的表项，则刷新此表项的 Entry 老化定时器

否丢弃该 Echo 报文

不同丢弃该 Echo 报文

将该邻居标志位置为双向连通（two way）Echo 报文检查本机状态是否

为 Probe 状态是

检查报文中

携带的邻居

信息是否和

本机相同相同如果所有邻居状态都为双向连通，则 DLDP

状态由 Probe 切换为 Advertisement，同时

将 Echo 定时器置为 0

(3) 如果 DLDP 没有收到邻居的 Echo 应答报文，会做如下处理：

表1-7 未收到邻居 Echo 应答报文时的处理过程

未收到邻居 Echo 报文处理过程

普通模式下，Echo 等待定时器超时还未收到

加强模式下，加强定时器超时还未收到

将 DLDP 状态转到 Disable，输出日志和跟踪信息，向邻居发送

Flush 报文，并根据用户配置的 DLDP Down 模式，手动或者自

动关闭掉本端端口。发送 RSY 信息，同时删除该邻居表项

1.2.6 DLDP 邻居状态

DLDP 邻居的状态有两种，可以通过 display dldp 命令查看。

表1-8 DLDP 邻居状态

状态类型说明

two way 表示目前处于正常的双向连通状态

unknown 表示目前正在对邻居进行探测，状态未知

1-6

1.2.7 链路自动恢复机制

如果端口的关闭模式被设置为系统自动关闭，当 DLDP 检测到单向链路时，把端口设置为 DLDP Down。DLDP Down 端口不会转发业务报文，也不能收发除 DLDP 之外的任何协议报文。

处于 DLDP Down 状态端口能在链路恢复之时，从 DLDP Down 状态中恢复。DLDP Down 状态下

的端口仍然会周期性的发送链路恢复探测报文（Recover Probe），一旦收到正确的恢复回应报文

（Recover Echo），则说明单向链路已经变为双向链路，DLDP 将此端口重新 Up。其具体过程如

下：

DLDP Down 的端口向外每 2 秒发送一次 Recover Probe 报文。报文中只携带本端口的信息。

对端如果收到该报文，则以 Recover Echo 报文作为应答。

一旦本端收到 Recover Echo 报文，检查 Recover Echo 报文中携带的邻居信息是否和本端口

信息相同。如果相同，则认为本端口和该邻居之间已经恢复双向连通，则端口从 Disable 状态

转变到 Active 状态，开始重新建立邻居关系。

链路恢复报文只在 DLDP Down 端口上发送和处理。如果端口被用户手工 shutdown，则自动恢复

机制不能生效。

1.3 DLDP 配置

1.3.1 DLDP 基本配置

表1-9 DLDP 基本配置

操作命令说明


全局开启所有光纤端口的

DLDP 功能 dldp enable

进入以太网

端口视图 interface interface-type interface-number

开启DLDP

开启当前光

纤/非光纤以

太网口的

DLDP 功能开启 DLDP dldp enable

必选

缺省情况下，DLDP 功能处

于关闭状态

设置与对方端口间的认证模式和认证

密码

dldp authentication-mode { none | simple simple-password | md5 md5-password }

可选

缺省情况下，认证方式为none

设定所有开启 DLDP 的端口（处于

Advertisement 状态时）发送

Advertisement 报文的时间间隔 dldp interval timer-value

可选

缺省值为 5 秒

配置 DelayDown 定时器的超时时间 dldp delaydown-timer delaydown-time可选

缺省值为 1 秒

设置发现单向链路后的操作模式 dldp unidirectional-shutdown { auto | manual }

可选

缺省情况下，发现单向链路

后的操作模式为 auto

设置 DLDP 的工作模式 dldp work-mode { enhance | normal }可选

缺省情况下，DLDP 协议工

作在 normal 模式

1-7

在 DLDP 基本配置过程中，请注意如下事项：

在链路未连通的情况下，DLDP 不起作用，只有当链路连通后，DLDP 才能检测出单向链路，

因此在使能 DLDP 之前，请先连接好光纤或铜质双绞线。

为确保检测出单向链路，要保证两端设备的 DLDP 处于开启状态、DLDP Advertisement 报文

发送时间间隔相等、认证方式和密码相同。

DLDP Advertisement 报文的时间间隔是可调整的（缺省值是 5 秒，可配置范围为 1～100 秒），

以便根据不同的网络环境使 DLDP 对链路失效作出更快的响应。如果设定的时间太长，DLDP

在没有关闭单向链路的情况下已出现 STP 环路。如果设定的时间太短，则会增加网络的流量，

减少端口的带宽。因此，建议此时间间隔应该小于 STP 收敛时间（通常情况下为 30 秒）的

三分之一。

DLDP 不处理任何 LACP（Link Aggregation Control Protocol，链路聚合控制协议）事件，DLDP

将端口汇聚组中的每条链路视为独立的链路进行处理。

当运行 DLDP 的两台设备进行对接时，请保证两台设备的软件版本一致，否则 DLDP 的运行

可能出现问题。

系统视图下的 dldp enable / dldp disable 命令用来全局开启/关闭交换机上所有光纤端口的

DLDP 功能；且以上命令仅对设备上当前已有的光纤端口有效，对设备后续新增的光纤端口不

起作用。

如果用户配置了 DLDP 的认证模式和认证密码，则要确保本端端口与对端端口设置了相同的

认证模式和认证密码，否则 DLDP 不能通过认证。

当将 DLDP 协议的工作模式配置为 enhance 模式时时，系统能识别两种类型的单向链路：一

种是光纤交叉相连，另一种是一条光纤未连接或一条光纤断路。

当将 DLDP 协议的工作模式配置为 normal 模式时，系统只能识别一种类型的单向链路：光纤

交叉连接。

当设备业务繁忙、CPU 利用率较高时，可能会出现 DLDP 误报的情况。建议用户把 DLDP 发

现单向链路后的操作模式配置为 manual，减小 DLDP 误报造成的影响。

1.3.2 DLDP 状态重置配置

当 DLDP 探测到单向链路并将端口 DLDP Down 掉后，可以通过重置命令使端口状态恢复，重新进

行 DLDP 探测。

DLDP 状态重置功能只适用于处于 DLDP Down 状态的端口。

表1-10 DLDP 状态重置配置

操作命令说明

system-view 在系统视图下，重置被 DLDP 协议

关闭的所有端口的 DLDP 状态 dldp reset

在端口视图下，重置被 DLDP 协议 interface interface-type interface-number

对于系统视图下和端口视图

下的配置，二者必选其一

1-8

操作命令说明

关闭的当前端口的 DLDP 状态 dldp reset

1.3.3 DLDP 配置显示

表1-11 DLDP 配置显示

操作命令说明

显示 DLDP 配置信息 display dldp { unit-id | interface-type interface-number } 该命令可以在任意视图下执行

1.4 DLDP 典型配置举例

1.4.1 光纤交叉连接组网案例

1. 组网需求

如图 1-3所示：

Switch A 和 Switch B 通过两对光纤相连（相关端口均工作于强制全双工和 1000Mbits/s 速率

下），两台交换机均支持 DLDP；

Switch A 与 Switch B 间出现了光纤交叉连接的情况，DLDP 检测出单向链路后，自动断开单

向链路；

当网管人员正确连接光纤后，恢复被 DLDP Down 掉的端口。

2. 组网图

图1-3 光纤交叉连接



Host

3. 配置步骤

(1) 配置 Switch A

# 配置端口工作在强制全双工模式，速率为 1000Mbits/s。


[SwitchA] interface gigabitethernet 1/1/3

1-9

[SwitchA-GigabitEthernet1/1/3] duplex full

[SwitchA-GigabitEthernet1/1/3] speed 1000

[SwitchA-GigabitEthernet1/1/3] quit

[SwitchA] interface gigabitethernet 1/1/4

[SwitchA-GigabitEthernet1/1/4] duplex full

[SwitchA-GigabitEthernet1/1/4] speed 1000

[SwitchA-GigabitEthernet1/1/4] quit

# 全局开启 DLDP。

[SwitchA] dldp enable

# 设置发送 DLDP 报文的时间间隔为 15 秒。

[SwitchA] dldp interval 15

# 配置 DLDP 协议的工作模式为加强模式。

[SwitchA] dldp work-mode enhance

# 配置 DLDP 单向链路操作模式为自动模式。

[SwitchA] dldp unidirectional-shutdown auto

# 查看 DLDP 状态。

[SwitchA] display dldp 1

当光纤交叉连接时，可能有两个或三个端口处于 Disable 状态，剩余端口处于 Inactive 状态。当光纤一端连接正确，一端未连接时：

如果 DLDP 的工作模式为 normal，则有收光的一端处于 Advertisement 状态，没有收光的一端

处于 Inactive 状态。如果 DLDP 的工作模式为 enhance，则有收光的一端处于 Disable 状态，没有收光的一端处于

Inactive 状态。

# 恢复被 DLDP 协议 Down 掉的端口。

[SwitchA] dldp reset

(2) 配置 Switch B

Switch B 上的配置与 Switch A 上的配置完全一致，此处不再赘述。

i

目录

1 MAC地址转发表管理 ......................................................................................................................... 1-1

1.1 MAC地址转发表管理简介..................................................................................................................1-1

1.1.1 MAC地址转发表简介 ..............................................................................................................1-1 1.1.2 MAC地址学习过程简介...........................................................................................................1-1 1.1.3 MAC地址转发表管理 ..............................................................................................................1-3

1.2 MAC地址转发表管理配置..................................................................................................................1-4

1.2.1 MAC地址转发表管理配置简介................................................................................................ 1-4 1.2.2 设置MAC地址表项 ..................................................................................................................1-4 1.2.3 设置系统MAC地址老化时间 ................................................................................................... 1-5 1.2.4 设置以太网端口最多可以学习到的MAC地址数量 ................................................................... 1-6 1.2.5 配置目的MAC地址更新功能 ................................................................................................... 1-6 1.2.6 配置以太网端口的MAC地址 ................................................................................................... 1-7

1.3 MAC地址转发表管理配置显示 .......................................................................................................... 1-8

1.4 MAC地址转发表管理典型配置举例 ................................................................................................... 1-8

1.4.1 在交换机上手工添加静态MAC地址......................................................................................... 1-8

1-1

1 MAC 地址转发表管理

本章节内容只涉及静态、动态和黑洞 MAC 地址表项的管理，有关组播 MAC 地址和安全 MAC 地

址表项管理的内容，请分别参见“组播协议”和“端口安全”部分。新增“目的MAC地址更新”功能，详情请参见 1.2.5 配置目的MAC地址更新功能。新增“配置以太网端口的MAC地址”功能，详情请参见 1.2.6 配置以太网端口的MAC地址。

1.1 MAC 地址转发表管理简介

1.1.1 MAC 地址转发表简介

以太网交换机的主要功能是在数据链路层对报文进行转发，也就是根据报文的目的 MAC 地址将报

文输出到相应的端口。MAC地址转发表是一张包含了MAC地址与转发端口对应关系的二层转发表，

是以太网交换机实现二层报文快速转发的基础。MAC 地址转发表的表项中包含如下信息：

目的 MAC 地址

端口所属的 VLAN ID

本设备上的转发出端口编号

以太网交换机在转发报文时，根据 MAC 地址表项信息，会采取以下两种转发方式：

单播方式：当 MAC 地址转发表中包含与报文目的 MAC 地址对应的表项时，交换机直接将报

文从该表项中的转发出端口发送。

广播方式：当交换机收到目的地址为全 F 的报文，或 MAC 地址转发表中没有包含对应报文目

的 MAC 地址的表项时，交换机将采取广播方式将报文向除接收端口外的所有端口转发。

1.1.2 MAC 地址学习过程简介

MAC 地址转发表中的表项可以通过两种方式进行更新和维护：

手工配置方式

MAC 地址学习方式

通常情况下，多数 MAC 地址表项都是通过 MAC 地址学习功能创建和维护的。以太网交换机学习

MAC 地址的过程如下：

(1) 如图 1-1所示，当UserA需要与同处在VLAN1 中的UserB通信时，需要将报文发送到交换机的

Ethernet1/0/1 端口，此时交换机将该报文的源MAC地址，即UserA的地址“MAC-A”记录到

自身的MAC地址转发表中，形成如图 1-2所示的表项。

1-2

图1-1 MAC 地址学习过程图示一

图1-2 交换机中的 MAC 地址转发表项一

Port VLAN IDMAC-address

Ethernet1/0/1 1MAC-A

(2) 学习过程完成后，交换机将对该报文进行转发，由于现有的MAC地址转发表中没有关于UserB

的 MAC 地址及端口的对应表项，因此，交换机会如所示将该报文向除 Ethernet1/0/1 之外的

所有端口进行转发，以尽最大能力保证 UserB 能够收到该报文。

图1-3 MAC 地址学习过程图示二

(3) 由于交换机采用广播方式发送报文，UserB和UserC都会收到，但UserC不是该报文的目的设

备，因此不会进行处理。而正常情况下，UserB会向UserA发送报文进行响应，如图 1-4所示。

当该响应报文发送至Ethernet1/0/4 端口时，交换机会采取同样的MAC地址学习方式将UserB

的地址和端口对应关系保存到MAC地址转发表中。

1-3

图1-4 MAC 地址学习过程图示三

Eth1/0/1

Eth1/0/3Eth1/0/4

User A

User B User C

(4) 此时交换机的转发表中应包含如图 1-5所示的两条表项。在转发响应报文时，由于MAC地址

转发表中已经包含目的为“MAC-A”的表项，因此交换机不会再次采取广播操作，而是直接

将报文通过Ethernet1/0/1 端口发送至UserA，完成此次报文交互过程。

图1-5 交换机中的 MAC 地址表项二

(5) 在此之后目的为 UserA 和 UserB 的通信报文，交换机将按照表项信息直接进行单播发送。

在某些特殊情况下，例如 UserB 不可达或 UserB 虽然收到报文但没有回复，交换机将无法学习

到 UserB 的 MAC 地址。因此，在下一次收到目的为 UserB 的报文时，交换机依然会以广播方式

进行发送。交换机通过 MAC 地址学习机制只能学习到单播地址；对于源 MAC 地址是广播地址的报文，交

换机将直接丢弃。

1.1.3 MAC 地址转发表管理

1. MAC 地址转发表的老化机制

以太网交换机的 MAC 地址转发表是有容量限制的，为了最大限度利用地址转发表资源，以太网交

换机利用老化机制更新 MAC 地址转发表，即：系统在动态创建某条表项的同时，开启老化定时器，

如果在老化时间内没有再次收到来自该表项中的 MAC 地址的报文，交换机就会把该 MAC 地址表项

删除。

1-4

当开启了“目的 MAC 地址更新”功能后，如果交换机在老化时间内对目的为某个 MAC 地址的

报文进行了转发，则该 MAC 的表项也将被触发更新，重新开始老化。 MAC 地址的老化机制只对动态 MAC 地址表项生效。

2. MAC 地址表项的分类与特点

根据自身特点和配置方式等的不同，MAC 地址表项可以分为三类：

静态 MAC 地址表项：也称为“永久地址”，由用户手工添加和删除，不会随着时间老化。对

于一个设备变动较小的网络，手工添加静态地址表项可以减少网络中的广播流量。

动态 MAC 地址表项：指可以按照用户配置的老化时间而老化掉的 MAC 地址表项，交换机可

以通过 MAC 地址学习机制或通过用户手工建立的方式添加动态 MAC 地址表项。

黑洞 MAC 地址表项：由用户手工配置的一类特殊的 MAC 地址，当交换机接收到源 MAC 地

址或目的 MAC 地址为黑洞 MAC 地址的报文时，会将该报文丢弃。

MAC地址表项的分类与特点如表 1-1所示。

表1-1 MAC 地址表项的分类与特点

MAC 地址配置方式有无老化时

间设备重启后是否被保留（在保

存配置的情况下）

静态 MAC 地址表项用户手工配置无是

动态 MAC 地址表项由设备通过 MAC 地址学习机制生成

或者由用户手工配置有否

黑洞 MAC 地址表项用户手工配置无是

1.2 MAC 地址转发表管理配置

1.2.1 MAC 地址转发表管理配置简介

表1-2 MAC 地址转发表管理配置任务


设置 MAC 地址表项必选 1.2.2

设置系统的 MAC 地址老化时间可选 1.2.3

设置以太网端口最多可以学习到的 MAC 地址数量可选 1.2.4

配置目的 MAC 地址更新功能可选 1.2.5

配置以太网端口的 MAC 地址可选 1.2.6

1.2.2 设置 MAC 地址表项

管理员根据实际情况可以人工添加、修改或删除 MAC 地址转发表中的表项。可以删除与某个端口

相关的所有 MAC 地址表项，也可以选择删除某类 MAC 地址表项如动态表项、静态表项。

用户可以在系统视图或以太网端口视图下添加 MAC 地址表项。

1-5

1. 在系统视图下添加 MAC 地址表项。

表1-3 在系统视图下添加 MAC 地址表项

操作命令说明


添加 MAC 地址表项 mac-address { static | dynamic | blackhole } mac-address interface interface-type interface-number vlan vlan-id

必选

在添加 MAC 地址表项时，命令中 interface 参数指定的端口必须属于 vlan 参数指定的 VLAN，

否则将添加失败。如果 vlan 参数指定的 VLAN 是动态 VLAN，在添加静态 MAC 地址之后，会自动变为静态 VLAN。

2. 在以太网端口视图下添加 MAC 地址表项

表1-4 在以太网端口视图下添加 MAC 地址表项

操作命令说明



添加 MAC 地址表项 mac-address { static | dynamic | blackhole } mac-address vlan vlan-id 必选

在添加 MAC 地址表项时，当前的端口必须属于命令中 vlan 参数指定的 VLAN，否则将添加失败。如果 vlan 参数指定的 VLAN 是动态 VLAN，在添加静态 MAC 地址之后，会自动变为静态 VLAN。

1.2.3 设置系统 MAC 地址老化时间

设置合适的老化时间可以有效利用 MAC 地址的老化功能。用户设置的老化时间过长或者过短，都

可能影响交换机的运行性能。

如果用户设置的老化时间太长，以太网交换机可能会保存许多过时的 MAC 地址表项，从而耗

尽 MAC 地址转发表资源，导致交换机无法根据网络的变化更新 MAC 地址转发表。

如果用户设置的老化时间太短，以太网交换机可能会删除有效的 MAC 地址表项，降低转发效

率。

1-6

表1-5 设置系统 MAC 地址老化时间

操作命令说明


设置 MAC 地址表项的老化时间 mac-address timer { aging age | no-aging }

必选

缺省情况下，MAC 地址表项的老

化时间为 300 秒

一般情况下，推荐缺省的老化时间 300 秒。使用参数 no-aging 时表示不对 MAC 地址表项进行老

化。

MAC 地址老化时间的配置对所有端口都生效，但地址老化功能只对动态的（学习到的或者用户配

置可老化的）MAC 地址表项起作用。

1.2.4 设置以太网端口最多可以学习到的 MAC 地址数量

以太网交换机可以利用 MAC 地址学习功能获取与某端口相连的网段上各网络设备的 MAC 地址。对

于发往这些 MAC 地址的报文，以太网交换机直接通过查找 MAC 地址转发表使用硬件转发，提高转

发效率。如果 MAC 地址转发表过于庞大，可能延长查找相应转发表项的时间，导致以太网交换机

的转发性能下降。

管理员可以通过设置以太网端口最多学习到的 MAC 地址数，控制以太网交换机维护的 MAC 地址转

发表的表项数量。当端口学习到的 MAC 地址条数达到用户设定的最大值时，该端口将不再对 MAC地址进行学习。

表1-6 设置以太网端口最多可以学习到的 MAC 地址数量

操作命令说明



设置端口最多可以学习到的

MAC 地址数量 mac-address max-mac-count count

必选

缺省情况下，没有配置对端口学习

MAC 地址数量的限制

如果端口配置了最大 MAC 地址学习个数，则禁止在该端口上启动 MAC 地址认证和端口安全功能。

反之，如果端口启动了 MAC 地址认证和端口安全功能，则不能配置该端口的最大 MAC 地址学习个

数。

1.2.5 配置目的 MAC 地址更新功能

在缺省情况下，交换机仅根据报文的源 MAC 地址对自身的 MAC 地址表项进行更新。但在某些特殊

的应用中，仅依靠源 MAC 地址更新机制可能会造成聚合组中某些端口的 MAC 地址表项没有同步更

新而老化，引发交换机对报文进行广播操作。通过配置目的 MAC 地址更新功能，可以使交换机在

1-7

转发报文时对目的 MAC 地址的对应表项也进行更新，增加 MAC 表项的更新频率，提高 MAC 地址

表的可用性。

表1-7 配置目的 MAC 地址更新功能

操作命令说明


开启目的 MAC 地址更新功能 mac-address aging destination-hit enable

必选

缺省情况下，没有开启目的 MAC 地址更新功能

1.2.6 配置以太网端口的 MAC 地址

在缺省情况下，E152 交换机的以太网端口是没有配置 MAC 地址的，因此当交换机在发送二层协议

报文（例如 STP）时，由于无法取用发送端口的 MAC 地址，将使用该协议预置的 MAC 地址作为

源地址填充到报文中进行发送。在实际组网中，由于多台设备都使用相同的源 MAC 地址发送二层

协议报文，会造成在某台设备的不同端口学习到相同 MAC 地址的情况，可能会对 MAC 地址表的维

护产生影响。

为避免上述情况的发生，E152 交换机提供了端口 MAC 地址配置功能，用户可以指定本设备端口

MAC 地址的起始值，即 Ethernet1/0/1 端口的 MAC 地址，其他端口将根据自身端口编号以每端口

加 1 的顺序确定自己的 MAC 地址。

例如：用户配置 Ethernet1/0/1 端口的 MAC 地址为 000f-e200-0001，则 Ethernet1/0/2 端口将自动

确定自身的 MAC 地址为 000f-e200-0002，依次类推。

表1-8 配置以太网端口的 MAC 地址

操作命令说明


配置以太网端口 MAC 地址的起始值 port-mac start-mac-address 必选

缺省情况下，没有配置以太网端口

MAC 地址的起始值

用户设置的起始 MAC 地址必须为合法的单播地址，不能是广播、组播、全 0 或全 f 的地址。

在配置了端口的 MAC 地址后，交换机在发送以下二层协议报文时，将使用发送端口的 MAC 地址作

为源地址，包括：

LACP

STP

NDP/NTDP

GVRP

DLDP

用户配置的端口 MAC 地址对正常业务报文的转发不会产生影响。

1-8

1.3 MAC 地址转发表管理配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 MAC 地址转发表后的运行情况。

通过查看显示信息，用户可以验证配置的效果。

表1-9 MAC 地址转发表管理配置显示

操作命令说明

显示地址表信息 display mac-address [ display-option ]

显示地址表动态表项的老化时间 display mac-address aging-time

显示用户配置的以太网端口 MAC地址的起始值 display port-mac


意视图下执行

1.4 MAC 地址转发表管理典型配置举例

1.4.1 在交换机上手工添加静态 MAC 地址

1. 组网需求

服务器通过 Ethernet1/0/2 端口连接到交换机。为避免交换机在转发目的为服务器的报文时进行广

播，要求在交换机上设置静态的服务器 MAC 地址表项，使交换机始终通过 Ethernet1/0/2 端口单播

发送去往服务器的报文。

服务器的 MAC 地址为 000f-e20f-dc71

端口 Ethernet1/0/2 属于 VLAN1

2. 配置步骤

# 增加 MAC 地址（指出所属 VLAN、端口、状态）。


[Sysname] mac-address static 000f-e20f-dc71 interface Ethernet 1/0/2 vlan 1

# 查看当前 MAC 地址转发表的信息。

[Sysname] display mac-address interface Ethernet 1/0/2

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

000f-e20f-dc71 1 Config static Ethernet1/0/2 NOAGED

000f-e20f-a7d6 1 Learned Ethernet1/0/2 AGING

000f-e20f-b1fb 1 Learned Ethernet1/0/2 AGING

000f-e20f-f116 1 Learned Ethernet1/0/2 AGING

--- 4 mac address(es) found on port Ethernet1/0/2 ---

i

目录

1 MSTP配置 ......................................................................................................................................... 1-1

1.1 STP/RSTP/MSTP简介 ......................................................................................................................1-1

1.1.1 STP简介 ................................................................................................................................. 1-1 1.1.2 RSTP简介...............................................................................................................................1-8 1.1.3 MSTP简介 ..............................................................................................................................1-8 1.1.4 MSTP在交换机上的实现....................................................................................................... 1-12 1.1.5 相关协议规范 ........................................................................................................................1-13

1.2 配置任务简介................................................................................................................................... 1-13

1.3 配置根桥.......................................................................................................................................... 1-14

1.3.1 配置MST域 ...........................................................................................................................1-14 1.3.2 指定当前交换机为根桥或备份根桥 ....................................................................................... 1-16 1.3.3 配置当前交换机的桥优先级 .................................................................................................. 1-17 1.3.4 配置端口对MSTP报文的识别/发送方式 ................................................................................ 1-17 1.3.5 配置MSTP的工作模式 ..........................................................................................................1-19 1.3.6 配置MST域的大跳数 .........................................................................................................1-19 1.3.7 配置交换网络的网络直径 ...................................................................................................... 1-20 1.3.8 配置MSTP的时间参数 ..........................................................................................................1-20 1.3.9 配置超时时间因子.................................................................................................................1-21 1.3.10 配置端口的大发送速率 .................................................................................................... 1-22 1.3.11 配置端口为边缘端口 ...........................................................................................................1-23 1.3.12 配置端口是否与点对点链路相连 ......................................................................................... 1-24 1.3.13 开启MSTP特性 ...................................................................................................................1-25

1.4 配置叶子节点................................................................................................................................... 1-26

1.4.1 配置MST域 ...........................................................................................................................1-26 1.4.2 配置端口对MSTP报文的识别/发送方式 ................................................................................ 1-26 1.4.3 配置超时时间因子.................................................................................................................1-26 1.4.4 配置当前端口的大发送速率............................................................................................... 1-26 1.4.5 配置端口为边缘端口 .............................................................................................................1-26 1.4.6 配置端口的路径开销 .............................................................................................................1-26 1.4.7 配置端口的优先级.................................................................................................................1-28 1.4.8 配置端口是否与点对点链路相连 ........................................................................................... 1-29 1.4.9 开启MSTP特性 .....................................................................................................................1-29

1.5 执行mCheck操作.............................................................................................................................1-29

1.5.1 配置准备 ...............................................................................................................................1-29 1.5.2 配置过程 ...............................................................................................................................1-29 1.5.3 配置举例 ...............................................................................................................................1-30

1.6 配置交换机的保护功能 ....................................................................................................................1-30

1.6.1 BPDU保护功能的配置 .......................................................................................................... 1-30 1.6.2 Root保护功能的配置.............................................................................................................1-31 1.6.3 环路保护功能的配置 .............................................................................................................1-32 1.6.4 防止TC-BPDU报文攻击配置................................................................................................. 1-33 1.6.5 BPDU报文拦截的配置 .......................................................................................................... 1-34

ii

1.7 配置摘要侦听特性 ...........................................................................................................................1-35

1.7.1 简介 ...................................................................................................................................... 1-35 1.7.2 摘要侦听特性的配置 .............................................................................................................1-35

1.8 配置快速迁移特性 ...........................................................................................................................1-36

1.8.1 简介 ...................................................................................................................................... 1-36 1.8.2 快速迁移配置 ........................................................................................................................1-37

1.9 配置VLAN-VPN TUNNEL特性 ........................................................................................................1-38

1.9.1 简介 ...................................................................................................................................... 1-38 1.9.2 VLAN-VPN TUNNEL的配置 ................................................................................................. 1-39

1.10 MSTP可维护性配置.......................................................................................................................1-39

1.10.1 简介 .................................................................................................................................... 1-39 1.10.2 配置端口发送log和trap信息 ................................................................................................ 1-40 1.10.3 配置举例 .............................................................................................................................1-40

1.11 支持发送 802.1d协议标准的Trap信息功能.................................................................................... 1-40

1.12 MSTP显示和维护 ..........................................................................................................................1-41

1.13 MSTP典型配置案例.......................................................................................................................1-41

1.14 VLAN-VPN TUNNEL配置典型案例 ............................................................................................... 1-43

1-1

1 MSTP 配置

1.1 STP/RSTP/MSTP 简介

生成树协议是一种二层管理协议，它通过选择性地阻塞网络中的冗余链路来消除二层环路，同时还

具备链路备份的功能。

与众多协议的发展过程一样，生成树协议也是随着网络的发展而不断更新的，从初的 STP（Spanning Tree Protocol，生成树协议）到 RSTP（Rapid Spanning Tree Protocol，快速生成树

协议），再到新的 MSTP（Multiple Spanning Tree Protocol，多生成树协议）。本文将渐进式地

对 STP、RSTP 和 MSTP 各自的特点及其关系进行介绍。

1.1.1 STP 简介

1. STP 的用途

STP 是根据 IEEE 协会制定的 802.1D 标准建立的，用于在局域网中消除数据链路层物理环路的协

议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，

终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循

环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。

STP 包含了两个含义，狭义的 STP 是指 IEEE 802.1D 中定义的 STP 协议，广义的 STP 是指包括

IEEE 802.1D 定义的 STP 协议以及各种在它的基础上经过改进的生成树协议。

2. STP 的协议报文

STP 采用的协议报文是 BPDU（Bridge Protocol Data Unit，桥协议数据单元），也称为配置消息。

STP 通过在设备之间传递 BPDU 来确定网络的拓扑结构。BPDU 中包含了足够的信息来保证设备完

成生成树的计算过程。

BPDU 在 STP 协议中分为两类：

配置 BPDU（Configuration BPDU）：用于进行生成树计算和维护生成树拓扑的报文。

TCN BPDU（Topology Change Notification BPDU）：当拓扑结构发生变化时，用于通知相

关设备网络拓扑结构发生变化的报文。

3. STP 的基本概念

(1) 根桥

树形的网络结构，必须要有树根，于是 STP 引入了根桥（Root Bridge）的概念。

根桥在全网中只有一个，而且根桥会根据网络拓扑的变化而改变，因此根桥并不是固定的。

在网络初始化过程中，所有设备都视自己为根桥，生成各自的配置 BPDU 并周期性地向外发送；但

当网络拓扑稳定以后，只有根桥设备才会向外发送配置 BPDU，其它设备则对其进行转发。

(2) 根端口

所谓根端口，是指一个非根桥的设备上离根桥近的端口。根端口负责与根桥进行通信。非根桥设

备上有且只有一个根端口，根桥上没有根端口。

1-2

(3) 指定桥与指定端口

指定桥与指定端口的含义，请参见表 1-1的说明。

表1-1 指定端口的端口状态

分类指定桥指定端口

对于一台设备而言与交换机直接相连并且负责向交换机转发 BPDU 报文

的设备指定桥向本机转发 BPDU 报

文的端口

对于一个局域网而言负责向本网段转发 BPDU 报文的设备指定桥向本网段转发 BPDU报文的端口

指定桥与指定端口如图 1-1所示，AP1、AP2、BP1、BP2、CP1、CP2 分别表示设备Device A、Device B、Device C的端口。

Device A 通过端口 AP1 向 Device B 转发配置消息，则 Device B 的指定桥就是 Device A，指

定端口就是 Device A 的端口 AP1；

与局域网 LAN 相连的有两台设备：Device B 和 Device C，如果 Device B 负责向 LAN 转发配

置消息，则 LAN 的指定桥就是 Device B，指定端口就是 Device B 的 BP2。

图1-1 指定桥与指定端口示意图

根桥上的所有端口都是指定端口。

(4) 桥 ID

桥 ID 由 8 个字节组成，其中前 2 个字节为设备的桥优先级，后 6 个字节为设备的 MAC 地址。

H3C设备的桥优先级缺省为 32768。用户可以使用命令行配置设备的桥优先级，具体请参见 1.3.3 配置当前交换机的桥优先级。

1-3

(5) 路径开销

STP 协议中使用路径开销表示链路的优劣，路径开销值越小表示链路越优。

路径开销是一个与端口相连链路的速率有关的参数，一般情况下链路速率越高，路径开销值越小，

链路越优。

路径开销是 STP 协议用于选择链路的参考值。STP 协议通过计算路径开销，选择较优的链路，阻

塞多余的链路，将网络修剪成无环路的树型网络结构。

H3C设备支持采用多种标准计算端口的路径开销值，同时支持使用命令行配置端口的路径开销值，

具体请参见 1.4.6 配置端口的路径开销。

(6) 端口 ID

H3C 设备采用的端口 ID 共 2 个字节（16 比特），其中，前 6 个比特为端口优先级，后 10 个比特

为端口号。

H3C设备所有以太网端口的优先级缺省为 128。用户可以使用命令行配置端口的端口优先级，具体

请参见 1.4.7 配置端口的优先级。

4. STP 的基本原理

STP 通过在设备之间传递 BPDU 来确定网络的拓扑结构。配置消息中包含了足够的信息来保证设备

完成生成树的计算过程，其中包含的几个重要信息如下：

根桥 ID：根桥的桥 ID，由根桥的优先级和 MAC 地址组成；

根路径开销：到根桥的短路径开销；

指定桥 ID：指定桥的桥 ID，由指定桥的优先级和 MAC 地址组成；

指定端口 ID：指定端口的端口 ID，由指定端口的优先级和端口号组成；

配置消息在网络中传播的生存期：Message Age；

配置消息在交换机中能够保存的大生存期：Max Age；

配置消息发送的周期：Hello Time；

端口状态迁移的延时：Forward Delay。

STP 算法的计算过程主要用到了配置消息中的下面四项内容：

根桥 ID 根路径开销指定桥 ID 指定端口 ID

(1) STP 算法实现的具体过程

1-4

初始状态

各台设备在初始时会生成以自己为根桥的 BPDU 报文消息，根路径开销为 0，指定桥 ID 为自身设

备 ID，指定端口为本端口。

优配置消息的选择

各台设备都向外发送自己的配置消息，同时也会收到其他设备发送的配置消息。

优配置消息的选择过程如表 1-2 所示。

表1-2 最优配置消息的选择过程

步骤内容

1

每个端口收到配置消息后的处理过程如下：

当端口收到的配置消息比本端口配置消息的优先级低时，设备会将接收到的配置消

息丢弃，对该端口的配置消息不作任何处理当端口收到的配置消息比本端口配置消息的优先级高时，设备就用接收到的配置消

息中的内容替换该端口的配置消息中的内容

2 设备将所有端口的配置消息进行比较，选出优的配置消息

配置消息的比较原则如下：

根桥 ID 较小的配置消息优先级高；若根桥 ID 相同，则比较根路径开销，比较方法为：用配置消息中的根路径开销加上本端口对应

的路径开销，假设两者之和为 S，则 S 较小的配置消息优先级较高；若根路径开销也相同，则依次比较下列信息，值小的配置消息优先级较高：指定桥 ID、指定端口

ID、接收该配置消息的端口 ID 等。

根桥的选择

网络初始化时，网络中所有的 STP 设备都认为自己是“根桥”，根桥 ID 为自身的桥 ID。通过交换

配置消息，设备之间比较配置消息优先级，发送的配置消息优先级高的设备被选为根桥。

根端口、指定端口的选择

根端口、指定端口的选择过程如表 1-3所示。

表1-3 根端口和指定端口的选择过程

步骤内容

1 非根桥设备将接收优配置消息的那个端口定为根端口

2

设备根据根端口的配置消息和根端口的路径开销，为每个端口计算一个指定端口配置消息：

根桥 ID 替换为根端口的配置消息的根桥 ID 根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销指定桥 ID 替换为自身设备的 ID 指定端口 ID 替换为自身端口 ID

1-5

步骤内容

3

设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较，并根据比较结

果进行不同的处理：

如果计算出来的配置消息优，则设备就将该端口定为指定端口，端口上的配置消息被计算出

来的配置消息替换，并周期性向外发送如果端口上的配置消息优，则设备不更新该端口配置消息并将此端口阻塞，该端口将不再转

发数据，只接收但不发送配置消息

在拓扑稳定状态，只有根端口和指定端口转发流量，其他的端口都处于阻塞状态，它们只接收 STP协议报文而不转发用户流量。

一旦根桥、根端口、指定端口选举成功，则整个树形拓扑就建立完毕了。

(2) STP 计算过程举例

下面结合例子说明STP算法实现的计算过程。具体的组网如图 1-2所示，Device A的优先级为 0，Device B的优先级为 1，Device C的优先级为 2，各个链路的路径开销分别为 5、10、4。

图1-2 STP 算法计算过程组网图

Device A优先级为0

Device B优先级为1 Device C

优先级为2

AP 1 AP 2

BP 1

BP 2 CP 1

CP 2

510

4

各台设备的初始状态

各台设备的初始状态如表 1-4所示。

表1-4 各台设备的初始状态

设备端口名称端口的配置消息

AP1 {0，0，0，AP1} Device A

AP2 {0，0，0，AP2}

BP1 {1，0，1，BP1} Device B

BP2 {1，0，1，BP2}

CP1 {2，0，2，CP1} Device C

CP2 {2，0，2，CP2}

各台设备的比较过程及结果

1-6

各台设备的比较过程及结果如表 1-5所示。

表1-5 各台设备的比较过程及结果

设备比较过程比较后端口的配置消息

Device A

端口 AP1 收到 Device B 的配置消息{1，0，1，BP1}，Device A 发现本

端口的配置消息{0，0，0，AP1}优于接收到的配置消息，就把接收到的

配置消息丢弃

端口 AP2 收到 Device C 的配置消息{2，0，2，CP1}，Device A 发现本

端口的配置消息{0，0，0，AP2}优于接收到的配置消息，就把接收到的

配置消息丢弃

Device A 发现自己各个端口的配置消息中根桥和指定桥都是自己，则认

为自己是根桥，各个端口的配置消息都不作任何修改，以后周期性的向

外发送配置消息

AP1：{0，0，0，AP1}

AP2：{0，0，0，AP2}

端口 BP1 收到来自 Device A 的配置消息{0，0，0，AP1}，Device B 发

现接收到的配置消息优于本端口的配置消息{1，0，1，BP1}，于是更新

端口 BP1 的配置消息

端口 BP2 收到来自 Device C 的配置消息{2，0，2，CP2}，Device B 发

现本端口的配置消息{1，0，1，BP2}优于接收到的配置消息，就把接收

到的配置消息丢弃

BP1：{0，0，0，AP1}

BP2：{1，0，1，BP2}

Device B Device B 对各个端口的配置消息进行比较，选出端口 BP1 的配置消息为

优配置消息，然后将端口 BP1 定为根端口，它的配置消息不作改变

Device B 根据根端口 BP1 的配置消息和根端口的路径开销 5，为 BP2 端

口计算一个指定端口配置消息{0，5，1，BP2}

Device B 使用计算出来的配置消息{0，5，1，BP2}和端口 BP2 上的配置

消息进行比较，比较的结果是计算出来的配置消息较优，则 Device B 将

端口 BP2 定为指定端口，它的配置消息被计算出来的配置消息替换，并

周期性向外发送

根端口 BP1：

{0，0，0，AP1}

指定端口 BP2：

{0，5，1，BP2}

端口 CP1 收到来自 Device A 的配置消息{0，0，0，AP2}，Device C 发

现接收到的配置消息优于本端口的配置消息{2，0，2，CP1}，于是更新

端口 CP1 的配置消息

端口 CP2 收到来自 Device B 端口 BP2 更新前的配置消息{1，0，1，BP2}，Device C 发现接收到的配置消息优于本端口的配置消息{2，0，2，CP2}，于是更新端口 CP2 的配置消息

CP1：{0，0，0，AP2}

CP2：{1，0，1，BP2}

经过比较：

端口CP1的配置消息被选为优的配置消息，端口CP1就被定为根端口，

它的配置消息不作改变

将计算出来的指定端口配置消息{0，10，2，CP2}和端口 CP2 的配置消

息进行比较后，端口 CP2 转为指定端口，它的配置消息被计算出来的配

置消息替换

根端口 CP1：

{0，0，0，AP2}

指定端口 CP2：

{0，10，2，CP2}

Device C

接着端口 CP2 会收到 Device B 更新后的配置消息{0，5，1，BP2}，由

于收到的配置消息比原配置消息{0，10，2，CP2}优，则 Device C 触发

更新过程

同时端口 CP1 收到 Device A 周期性发送来的配置消息，比较后 Device C不会触发更新过程

CP1：{0，0，0，AP2}

CP2：{0，5，1，BP2}

1-7

设备比较过程比较后端口的配置消息

比较端口 CP1 配置消息{0，0，0，AP2}和 CP2 配置消息{0，5，1，BP2}的优先级，选择根端口：

二者根桥 ID 相同，故需比较根路径开销。端口 CP2 的根路径开销为 9（配

置消息的根路径开销 5+端口 CP2 对应的路径开销 4），小于端口 CP1的根路径开销 10（配置消息的根路径开销 0+端口 CP1 对应的路径开销

10），所以端口 CP2 的配置消息被选为优的配置消息，端口 CP2 被定

为根端口，它的配置消息不作改变，仍为{0，5，1，BP2}

确定端口 CP1 的角色：

将端口 CP1 的配置消息{0，0，0，AP2}和计算出来的指定端口配置消息

{0，9，2，CP1}比较后，原端口上的配置消息{0，0，0，AP2}较优，故

端口 CP1 被阻塞，端口配置消息不变，同时不接收从 Device A 转发的数

据，直到新的情况触发生成树的计算，比如从 Device B 到 Device C 的

链路 down 掉

阻塞端口 CP1：

{0，0，0，AP2}

根端口 CP2：

{0，5，1，BP2}

经过上表的比较过程，此时以Device A为根桥的生成树就确定下来了，形状如图 1-3所示。

图1-3 计算得到的生成树

Device A优先级为0

Device B优先级为1

Device C优先级为2

AP 1

BP 1

BP 2CP 2

5

4

为了便于描述，本例简化了生成树的计算过程，实际的过程要更加复杂。

(3) STP 的配置消息传递机制

当网络初始化时，所有的设备都将自己作为根桥，生成以自己为根的配置消息，并以 Hello Time

为周期定时向外发送。

接收到配置消息的端口如果是根端口，且接收的配置消息比该端口的配置消息优，则设备将

配置消息中携带的 Message Age 按照一定的原则递增，并启动定时器为这条配置消息计时，

同时将此配置消息从设备的指定端口转发出去。

如果指定端口收到的配置消息比本端口的配置消息优先级低时，会立刻发出自己的更好的配

置消息进行回应。

如果某条路径发生故障，则这条路径上的根端口不会再收到新的配置消息，旧的配置消息将

会因为超时而被丢弃，设备重新生成以自己为根的配置消息并向外发送 BPDU 和 TCN BPDU，

从而引发生成树的重新计算，得到一条新的通路替代发生故障的链路，恢复网络连通性。

1-8

不过，重新计算得到的新配置消息不会立刻就传遍整个网络，因此旧的根端口和指定端口由于没有

发现网络拓扑变化，将仍按原来的路径继续转发数据。如果新选出的根端口和指定端口立刻就开始

数据转发的话，可能会造成暂时性的环路。

(4) STP 定时器

STP 计算中，需要使用三个重要的时间参数：Forward Delay、Hello Time 和 Max Age。

Forward Delay 为交换机状态迁移的延迟时间。

链路故障会引发网络重新进行生成树的计算，生成树的结构将发生相应的变化。不过重新计算得到

的新配置消息无法立刻传遍整个网络，如果新选出的根端口和指定端口立刻就开始数据转发的话，

可能会造成暂时性的路径回环。

为此，生成树协议采用了一种状态迁移的机制，根端口和指定端口重新开始数据转发之前要经历一

个中间状态，中间状态经过 2 倍的 Forward Delay 的延时后才能进入 Forwarding 状态，这个延时

保证了新的配置消息已经传遍整个网络。

Hello Time 用于交换机检测链路是否存在故障。

交换机每隔 Hello Time 时间会向周围的交换机发送 hello 报文，以确认链路是否存在故障。

Max Age 是用来判断配置消息在交换机内保存时间是否“过时”的参数，交换机会将过时的

配置消息丢弃。

1.1.2 RSTP 简介

RSTP 由 IEEE 制定的 802.1w 标准定义，它在 STP 基础上进行了改进，实现了网络拓扑的快速收

敛。其“快速”体现在，当一个端口被选为根端口和指定端口后，其进入转发状态的延时在某种条

件下大大缩短，从而缩短了网络终达到拓扑稳定所需要的时间。

RSTP 中，根端口的端口状态快速迁移的条件是：本设备上旧的根端口已经停止转发数据，而且

上游指定端口已经开始转发数据。 RSTP 中，指定端口的端口状态快速迁移的条件是：指定端口是边缘端口或者指定端口与点对点

链路相连。如果指定端口是边缘端口，则指定端口可以直接进入转发状态；如果指定端口连接着

点对点链路，则设备可以通过与下游设备握手，得到响应后即刻进入转发状态。

1.1.3 MSTP 简介

1. MSTP 产生的背景

(1) STP、RSTP 存在的不足

STP 不能快速迁移，即使是在点对点链路或边缘端口（边缘端口指的是该端口直接与用户终端相连，

而没有连接到其它设备或共享网段上），也必须等待 2 倍的 Forward Delay 的时间延迟，端口才能

迁移到转发状态。

RSTP 可以快速收敛，但是和 STP 一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按

VLAN 阻塞冗余链路，所有 VLAN 的报文都沿着一棵生成树进行转发。

(2) MSTP 的特点

1-9

MSTP（Multiple Spanning Tree Protocol，多生成树协议）可以弥补 STP 和 RSTP 的缺陷，它既

可以快速收敛，也能使不同 VLAN 的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分

担机制。

MSTP 的特点如下：

MSTP 设置 VLAN 映射表（即 VLAN 和生成树的对应关系表），把 VLAN 和生成树联系起来。

通过增加“实例”(将多个 VLAN 整合到一个集合中)这个概念，将多个 VLAN 捆绑到一个实例

中，以节省通信开销和资源占用率。

MSTP 把一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立。

MSTP 将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，

同时还提供了数据转发的多个冗余路径，在数据转发过程中实现 VLAN 数据的负载分担。

MSTP 兼容 STP 和 RSTP。

2. MSTP 的基本概念

在图 1-4中的每台交换机都运行MSTP。下面结合图 1-4解释MSTP的一些基本概念。

图1-4 MSTP 的基本概念示意图

(1) MST 域

MST 域（Multiple Spanning Tree Regions，多生成树域）是由交换网络中的多台交换机以及它们

之间的网段构成。这些交换机都启动了 MSTP、具有相同的域名、相同的 VLAN 到生成树映射配置

和相同的 MSTP 修订级别配置，并且物理上有链路连通。

在同一个交换网络内可以存在多个 MST 域。用户可以通过 MSTP 配置命令把多台交换机划分在同

一个 MST 域内。

如图 1-4中的区域A0，域内所有交换机都有相同的MST域配置：

域名相同

1-10

VLAN 与生成树的映射关系相同（VLAN1 映射到生成树实例 1，VLAN2 映射到生成树实例 2，

其余 VLAN 映射到 CIST）

MSTP 修订级别相同（此配置在图中没有体现）

(2) MSTI

MSTI（Multiple Spanning Tree Instance，多生成树实例）是指 MST 域内的生成树。

一个 MST 域内可以通过 MSTP 生成多棵生成树，各棵生成树之间彼此独立。

例如图 1-4中，每个域内可以存在多棵生成树，每棵生成树和相应的VLAN对应。这些生成树都被

称为MSTI。

(3) VLAN 映射表

VLAN 映射表是 MST 域的一个属性，用来描述 VLAN 和 MSTI 的映射关系。

例如图 1-4中，域A0 的VLAN映射表就是：VLAN 1 映射到MSTI 1，VLAN 2 映射到MSTI 2，其余

VLAN映射到CIST。MSTP就是根据VLAN映射表来实现负载分担的。

(4) IST

IST（Internal Spanning Tree，内部生成树）是 MST 域内的一棵生成树。

IST 和 CST（Common Spanning Tree，公共生成树）共同构成整个交换机网络的生成树 CIST（Common and Internal Spanning Tree，公共和内部生成树）。IST 是 CIST 在 MST 域内的片段，

是一个特殊的多生成树实例。

例如图 1-4中，CIST在每个MST域内都有一个片段，这个片段就是各个域内的IST。

(5) CST

CST 是连接交换网络内所有 MST 域的单生成树。如果把每个 MST 域看作是一个“交换机”，CST就是这些“交换机”通过 STP 协议、RSTP 协议计算生成的一棵生成树。

例如图 1-4中红色线条描绘的就是CST。

(6) CIST

CIST 是连接一个交换网络内所有交换机的单生成树，由 IST 和 CST 共同构成。

例如图 1-4中，每个MST域内的IST加上MST域间的CST就构成整个网络的CIST。

(7) 域根

域根是指 MST 域内 IST 和 MSTI 的树根。MST 域内各棵生成树的拓扑不同，域根也可能不同。

例如图 1-4中，区域D0 中，生成树实例 1 的域根为交换机B，生成树实例 2 的域根为交换机C。

(8) 总根

总根（Common Root Bridge）是指CIST的树根。例如图 1-4中，总根为区域A0 内的某台交换机。

(9) 端口角色

在 MSTP 的计算过程中，端口角色主要有根端口、指定端口、Master 端口、域边缘端口、Alternate端口和 Backup 端口。

根端口是负责向树根方向转发数据的端口。

指定端口是负责向下游网段或交换机转发数据的端口。

1-11

Master 端口是连接 MST 域到总根的端口，位于整个域到总根的短路径上。从 CST 上看，

Master 端口就是域的“根端口”（把域看作是一个节点）。Master 端口是特殊域边界端口，Master

端口在 IST/CIST 上的角色是 Root 端口，在其它各个实例上的角色都是 Master 端口。

域边缘端口是连接不同 MST 域、MST 域和运行 STP 的区域、MST 域和运行 RSTP 的区域的

端口，位于 MST 域的边缘。

Alternate 端口是根端口和 Master 端口用于快速切换的替换端口。当根端口或者 Master 端口

被阻塞后，Alternate 端口将成为新的根端口或者 Master 端口。

Backup 端口是指定端口用于快速切换的替换端口。当指定端口被阻塞后，Backup 端口就会

快速转换为新的指定端口，并无时延的转发数据。当开启了 MSTP 的同一台交换机的两个端

口互相连接时，由于存在环路，交换机会将其中一个端口阻塞，Backup 端口是被阻塞的那个

端口。

在图 1-5中，交换机A、B、C、D构成一个MST域。交换机A的端口 1、2 向总根方向连接，交换机

C的端口 5 和端口 6 构成了环路，交换机D的端口 3、4 则向下连接其他的MST域，各个端口的角色

如图 1-5所示。

同一端口在不同的生成树实例中可以担任不同的角色。域边缘端口在生成树实例上的角色与 CIST 的角色保持一致，但是 Master 端口除外，Master 端口在 CIST 上的角色为 ROOT 端口，但是在其他实例上的角色才为 Master 端口。

如图 1-5所示，交换机A的端口 1 是域边缘端口，它在CIST上的角色是Root端口，在MST域内其

他实例上的角色是Master端口。

图1-5 端口角色示意图

(10) 端口状态

MSTP 中根据端口是否转发用户流量、接收/发送 BPDU 报文，端口状态划分为三种：

Forwarding 状态：既转发用户流量又接收/发送 BPDU 报文

Learning 状态：不转发用户流量，只接收/发送 BPDU 报文

1-12

Discarding 状态：只接收 BPDU 报文

端口状态和端口角色是没有必然联系的，表 1-6给出了各种端口角色能够具有的端口状态。

表1-6 各种端口角色具有的端口状态

端口角色

端口状态

根端口

/Master 端口指定端口域边缘端口 Alternate 端口 Backup 端口

Forwarding √ √ √ - -

Learning √ √ √ - -

Discarding √ √ √ √ √

3. MSTP 的基本原理

MSTP 将整个二层网络划分为多个 MST 域，各个域之间通过计算生成 CST；域内则通过计算生成

多棵生成树，每棵生成树都被称为是一个 MSTI。MSTP 同 RSTP 一样，使用配置消息进行生成树

的计算，只是配置消息中携带的是交换机上 MSTP 的配置信息。

(1) CIST 生成树的计算

经过比较配置消息后，在整个网络中选择一个优先级高的交换机作为 CIST 的树根。在每个 MST域内 MSTP 通过计算生成 IST；同时 MSTP 将每个 MST 域作为单台交换机对待，通过计算在 MST域间生成 CST。CST 和 IST 构成了整个交换机网络的 CIST。

(2) MSTI 的计算

在MST域内，MSTP根据VLAN和生成树实例的映射关系，针对不同的VLAN生成不同的生成树实例。

每棵生成树独立进行计算，计算过程与STP/RSTP计算生成树的过程类似，请参见 1.1.1 4. STP的基本原理。

MSTP 中，一个 VLAN 报文将沿着如下路径进行转发：

在 MST 域内，沿着其对应的 MSTI 转发；

在 MST 域间，沿着 CST 转发。

1.1.4 MSTP 在交换机上的实现

MSTP 同时兼容 STP、RSTP。STP、RSTP 两种协议报文都可以被运行 MSTP 的交换机识别并应

用于生成树计算。

E152 以太网交换机支持MSTP，在设备上开启MSTP功能后，设备缺省工作在MSTP模式。如果交

换网络中存在运行STP/RSTP协议的交换机，用户可以通过命令配置交换机工作在STP兼容模式或

RSTP兼容模式（详细介绍及配置过程请参见 1.3.5 配置MSTP的工作模式）：

STP 兼容模式下交换机的各个端口将向相连设备发送 STP 报文。

RSTP 兼容模式下交换机的各个端口将向相连设备发送 RSTP 报文。

H3C 系列以太网交换机除了提供 MSTP 的基本功能外，还从用户的角度出发，提供了许多便于管

理的特殊功能，如下所示：

根桥保持

根桥备份

ROOT 保护功能

1-13

BPDU 保护功能

环路保护功能

防止 TC-BPDU 报文攻击功能

BPDU 报文拦截功能

1.1.5 相关协议规范

相关的协议规范有：

IEEE 802.1D：Spanning Tree Protocol

IEEE 802.1w：Rapid Spanning Tree Protocol

IEEE 802.1s：Multiple Spanning Tree Protocol

1.2 配置任务简介

用户在配置前需要明确各设备在每个生成树实例中所处的地位：根桥地位或者叶子节点地位。每个

生成树实例中只有一个设备处于根桥地位，其余设备均处于叶子节点地位。

表1-7 MSTP 配置任务简介


开启 MSTP 特性

必选

为了减少由于配置引起的网络拓扑振荡，

一般在完成其他参数配置后才启动 MSTP特性

1.3.13

配置 MST 域必选 1.3.1

指定当前交换机为根桥或备份根桥必选 1.3.2

配置当前交换机的桥优先级可选

设置当前交换机为根桥或者备份根桥之

后，用户不能再修改交换机的优先级 1.3.3

配置端口对 MSTP 报文的识别/发送方式可选 1.3.4

配置 MSTP 的工作模式可选 1.3.5

配置 MST 域的大跳数可选 1.3.6

配置交换网络的网络直径可选

建议用户使用缺省值 1.3.7

配置 MSTP 的时间参数可选


配置超时时间因子可选 1.3.9

配置端口的大发送速率可选


配置当前端口为边缘端口可选 1.3.11

配置根桥

配置端口是否与点对点链路相连可选 1.3.12

1-14


开启 MSTP 特性

必选

为了减少由于配置引起的网络拓扑振荡，

一般在完成其他参数配置后才启动 MSTP特性

1.3.13

配置 MST 域必选 1.3.1

配置端口对 MSTP 报文的识别/发送方式可选 1.3.4

配置超时时间因子可选 1.3.9

配置当前端口的大发送速率可选


配置当前端口为边缘端口可选 1.3.11

配置端口的路径开销可选 1.4.6

配置端口的优先级可选 1.4.7

配置叶子

节点

配置当前端口与点对点链路相连可选 1.3.12

执行 mCheck 操作可选 1.5

配置交换机的保护功能可选 1.6

配置摘要侦听特性可选 1.7

配置快速迁移特性可选 1.8

配置 VLAN-VPN TUNNEL 特性可选 1.9

MSTP 可维护性配置可选 1.10

支持发送 802.1d 协议标准的 Trap 信息功能可选 1.11

当 GVRP 和 MSTP 同时在交换机上启动时，GVRP 报文将沿着生成树实例 CIST 进行传播。因此在

GVRP 和 MSTP 同时在交换机上启动的情况下，建议用户如果希望通过 GVRP 在网络中发布某个

VLAN，则在配置 MSTP 的 VLAN 映射表时要保证把这个 VLAN 映射到 CIST(即生成树实例 0)上。

1.3 配置根桥

1.3.1 配置 MST 域

1. 配置过程

表1-8 MST 域的配置过程

操作命令说明


进入 MST 域视图 stp region-configuration -

配置 MST 域的域名 region-name name 必选

缺省情况下，MST 域的域名是交换

机的 MAC 地址

1-15

操作命令说明

instance instance-id vlan vlan-list

配置 VLAN 映射表

vlan-mapping modulo modulo

必选

两个命令都可以实现 VLAN 映射表

的配置

缺省情况下，MST域内所有的VLAN都映射到生成树实例 0

配置 MST 域的 MSTP 修订级

别 revision-level level

必选

缺省情况下，MST 域的修订级别为 0

手动激活 MST 域的配置 active region-configuration 必选

显示正在修改的 MST 域的配

置信息 check region-configuration 可选

显示已经生效的 MST 域的配

置信息 display stp region-configuration display 命令可在任意视图下执行

集群（Cluster）中设备发送的 NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）

报文，只会在集群中的管理 VLAN 所在的实例中传输。有关 Cluster 和 NTDP 的详细介绍请参见本

手册的“Cluster 操作”。

用户在配置 MST 域的相关参数，特别是配置 VLAN 映射表时，会引起 MSTP 重新计算生成树，从

而引起网络拓扑振荡。为了减少这种由于配置引起的振荡，MSTP 在处理用户关于域的相关配置时，

并不会马上触发生成树重新计算，而是在满足下列条件之一的情况下，这些域的配置才会真正的生

效：

使用 active region-configuration 命令手工激活配置的 MST 域相关参数；

使用 stp enable 命令启动 MSTP 特性。

只有当两台或者多台交换机的 Format Selector（802.1s 协议规定的协议选择因子，缺省值为 0，不可配置）、MST 域名、VLAN 映射表、MST 域的修订级别完全相同时，它们才能属于同一个

MST 域。 H3C 系列以太网交换机支持用户配置 MST 域名、VLAN 映射表、MST 域的修订级别，当以上三

者完全相同时，这两台或者多台交换机才能属于同一个 MST 域。

2. 配置举例

# 配置 MST 域名为 info，MSTP 修订级别为 1，VLAN 映射表为 VLAN2～VLAN10 映射到生成树实

例 1 上，VLAN20～VLAN30 映射到生成树实例 2 上。


[Sysname] stp region-configuration

[Sysname-mst-region] region-name info

[Sysname-mst-region] instance 1 vlan 2 to 10

[Sysname-mst-region] instance 2 vlan 20 to 30

[Sysname-mst-region] revision-level 1

1-16

[Sysname-mst-region] active region-configuration

# 显示上面的配置信息。

[Sysname-mst-region] check region-configuration

Admin configuration

Format selector :0

Region name :info

Revision level :1

Instance Vlans Mapped

0 1, 11 to 19, 31 to 4094

1 2 to 10

2 20 to 30

1.3.2 指定当前交换机为根桥或备份根桥

MSTP 可以通过计算来确定生成树的根桥。用户也可以通过交换机提供的命令来指定当前交换机为

根桥。

1. 指定当前交换机为特定生成树的根桥

表1-9 指定当前交换机为特定生成树的根桥

操作命令说明


指定交换机为特定生

成树的根桥 stp [ instance instance-id ] root primary [ bridge-diameter bridgenumber [ hello-time centi-seconds ] ] 必选

2. 指定当前交换机为特定生成树的备份根桥

表1-10 指定当前交换机为特定生成树的备份根桥

操作命令说明


指定交换机为特定生成

树的备份根桥 stp [ instance instance-id ] root secondary [ bridge-diameter bridgenumber [ hello-time centi-seconds ] ] 必选

用户可以将当前交换机指定为生成树实例（由参数 instance instance-id 确定）的根桥或备份根桥。

如果 instance-id 取值为 0，当前交换机将被指定为 CIST 的根桥或备份根桥。

当前交换机在各个生成树实例中的角色互相独立，它可以作为一个生成树实例的根桥或备份根桥，

同时也可以作为其他生成树实例的根桥或备份根桥；在同一个生成树实例中，同一台交换机不能既

作为根桥，又作为备份根桥。

当根桥出现故障或被关机时，备份根桥可以取代根桥成为指定生成树实例的根桥；但是此时若用户

设置了新的根桥，则备份根桥将不会成为根桥。如果用户为一个生成树实例配置了多个备份根桥，

当根桥失效时，MSTP 将选择 MAC 地址小的那个备份根桥作为根桥。

在设置根桥和备份根桥时，用户可以同时指定交换网络的网络直径和Hello Time参数。关于网络直

径和Hello Time的描述请参见 1.3.7 配置交换网络的网络直径和 1.3.8 配置MSTP的时间参数。

1-17

当前交换机可以被指定为多棵生成树实例的树根，但是用户不能同时为一棵生成树实例指定两个

或两个以上的根桥，即不要在两台或两台以上的交换机上使用 stp root primary 命令给同一棵生

成树实例指定树根。用户可以给同一棵生成树指定多个备份树根，即可以在两台或两台以上的交换机上使用 stp root

secondary 命令给同一棵生成树实例指定备份树根。用户也可以通过设置交换机的优先级为 0 来实现指定当前交换机为根桥的目的，但是当设置当前

交换机为根桥或者备份根桥之后，用户不能再修改交换机的优先级。

3. 配置举例

# 指定当前交换机为生成树实例 1 的根桥，生成树实例 2 的备份根桥。


[Sysname] stp instance 1 root primary

[Sysname] stp instance 2 root secondary

1.3.3 配置当前交换机的桥优先级

交换机的桥优先级的大小决定了这台交换机是否能够被选作生成树的树根。通过配置较小的桥优先

级，可以达到指定某台交换机成为生成树树根的目的。支持 MSTP 的交换机在不同的生成树实例中

可以拥有不同的桥优先级。

1. 配置过程

表1-11 当前交换机的桥优先级配置过程

操作命令说明


配置当前交换机的桥优先级 stp [ instance instance-id ] priority priority 必选

桥优先级缺省值为 32768

使用 stp root primary 或 stp root secondary 命令指定当前交换机为根桥或者备份根桥之后，

用户不能再对交换机的桥优先级进行配置。在生成树树根的选择过程中，如果交换机的桥优先级取值相同，则 MAC 地址最小的那台交换机

将被选择为树根。

2. 配置举例

# 配置交换机在生成树实例 1 中的桥优先级为 4096。


[Sysname] stp instance 1 priority 4096

1.3.4 配置端口对 MSTP 报文的识别/发送方式

端口可以识别/发送的 MSTP 报文格式有两种：

1-18

dot1s：符合 802.1s 协议的标准格式；

legacy：与非标准格式兼容的格式。

端口默认配置为自动识别方式（auto），即端口可以自动识别这两种格式的 MSTP 报文，并根据识

别结果确定发送报文的格式，从而实现与对端设备的互通。用户也可以通过命令行配置端口所使用

的 MSTP 报文格式，配置完成后，在 MSTP 工作模式下，端口只收发所配置格式的 MSTP 报文，

实现与对端发送所配置格式报文的设备互通。

在 auto 方式下，如果端口频繁交替收到 dot1s 和 legacy 格式的 MSTP 报文，该端口的状态将被

强制设置为 Discarding 状态，不再转发 MSTP 报文，此时查看端口物理状态时将显示端口处于“STP DOWN”状态。用户可以使用 shutdown 命令关闭该端口，然后再使用 undo shutdown 命令使端

口恢复正常。

1. 配置过程

表1-12 配置端口对 MSTP 报文的识别/发送方式(系统视图)

操作命令说明


配置端口对MSTP报文的识别/发送方式

stp interface interface-list compliance { auto | dot1s | legacy }

必选

缺省情况下，端口被配置为 auto，即

根据识别结果确定发送报文的格式

表1-13 配置端口对 MSTP 报文的识别/发送方式(以太网端口视图)

操作命令说明



配置端口对MSTP报文的识别/发送方式

stp compliance { auto | dot1s | legacy }

必选

缺省情况下，端口被配置为 auto，即

根据识别结果确定发送报文的格式

2. 配置举例

# 配置以太网端口 Ethernet1/0/1 识别和发送标准格式报文。



[Sysname-Ethernet1/0/1] stp compliance dot1s

# 恢复端口缺省对 MSTP 报文的识别/发送方式。

[Sysname-Ethernet1/0/1] undo stp compliance

1-19

1.3.5 配置 MSTP 的工作模式

STP 兼容模式。交换机各个端口将向相连设备发送 STP 报文。如果交换网络中存在运行 STP

协议的交换机，用户可以通过 stp mode stp 命令配置当前的 MSTP 工作模式运行在 STP 兼

容模式下。

RSTP 兼容模式。交换机各个端口将向相连设备发送 RSTP 报文。如果交换网络中存在运行

RSTP 协议的交换机，用户可以通过 stp mode rstp 命令配置当前的 MSTP 工作模式运行在

RSTP 兼容模式下。

MSTP 模式。交换机的各个端口将向相连设备发送 MSTP 报文或者 STP 报文（如果交换机端

口上连接了运行 STP 协议交换机），并且具备多生成树的功能。

1. 配置过程

表1-14 MSTP 的运行模式配置过程

操作命令说明


配置 MSTP 的工作模式 stp mode { stp | rstp | mstp } 必选

缺省值为 MSTP 模式

2. 配置举例

# 配置 MSTP 的工作模式为 STP 兼容模式。


[Sysname] stp mode stp

1.3.6 配置 MST 域的最大跳数

用户可以在域根上设置配置信息转发的跳数，此跳数将作为 MST 域的大跳数，它限制了 MST 域

的规模。

从 MST 域内生成树的根桥开始，域内的配置消息每经过一台交换机的转发，跳数就自动减 1；交换

机将丢弃跳数为 0 的配置消息，使处于大跳数外的交换机无法参与生成树的计算，从而限制了

MST 域的规模。

如果当前交换机成为 MST 域中 CIST 的根桥或 MSTI 的根桥时，此交换机配置的大跳数将成为该

生成树的网络直径，限制该生成树在当前 MST 域内的规模。在 MST 域中不是生成树根桥的交换机

将采用根桥设置的大跳数参数。

1. 配置过程

表1-15 MST 域的最大跳数配置过程

操作命令说明


配置 MST 域的大跳数 stp max-hops hops 必选

缺省情况下，MST 域的大跳数为 20

1-20

MST 域的大跳数越大，说明 MST 域的规模越大。只有配置在作为域根的交换机上的 MST 域的

大跳数才能限制 MST 域的规模。

2. 配置举例

# 配置 MST 域的大跳数为 30。


[Sysname] stp max-hops 30

1.3.7 配置交换网络的网络直径

交换网络中任意两台主机都通过特定路径彼此相连，这些路径由一系列交换机构成。网络直径指的

是这些路径中交换机个数多的那条路径，用路径经过的交换机个数来表征。

1. 配置过程

表1-16 交换网络的网络直径配置过程

操作命令说明


配置交换网络的网络直径 stp bridge-diameter bridgenumber 必选

缺省情况下，网络直径为 7

网络直径是表征网络规模的一个参数，网络直径越大，说明一个网络的规模越大。

当用户配置交换机的网络直径参数时，MSTP 通过计算自动将交换机的 Hello Time、Forward Delay以及 Max Age 三个时间参数设置为一个较优的值。

设置网络直径只对 CIST 有效，对 MSTI 无效。

2. 配置举例

# 配置交换网络的网络直径为 6。


[Sysname] stp bridge-diameter 6

1.3.8 配置 MSTP 的时间参数

交换机有三个时间参数：Forward Delay、Hello Time 和 Max Age。用户可以在交换机上配置这三

个参数，用于 MSTP 计算生成树。

1. 配置过程

表1-17 MSTP 时间参数配置过程

操作命令说明


配置 Forward Delay 时间参数 stp timer forward-delay centiseconds

必选

缺省情况下，Forward Delay 时间为

1500 厘秒（即 15 秒）

配置 Hello Time 时间参数 stp timer hello centiseconds 必选

缺省情况下，Hello Time 时间为 200 厘

秒（即 2 秒）

1-21

操作命令说明

配置 Max Age 时间参数 stp timer max-age centiseconds 必选

缺省情况下，Max Age 时间为 2000 厘

秒（即 20 秒）

交换网络中所有的交换机采用 CIST 的根桥上的三个时间参数。

交换机的 Forward Delay 时间参数的长短与交换网络的网络直径有关。一般来说，网络直径越大，

Forward Delay 就应该配置得越长。需要注意的是，如果 Forward Delay 配置的过小，可能会引

入临时的冗余路径；如果 Forward Delay 配置的过大，网络可能会较长时间不能恢复连通。建议

用户采用缺省值。合适的 Hello Time 时间值可以保证交换机能够及时发现网络中的链路故障，又不会占用过多的网

络资源。如果用户设置的 Hello Time 过长，在链路发生丢包时，交换机会误以为链路出现了故障，

从而引发网络设备重新计算生成树；如果用户设置的 Hello Time 过短，交换机将频繁发送重复的

配置消息，增加了交换机的负担，浪费了网络资源。建议用户使用缺省值。如果用户配置的 Max Age 时间过小，网络设备会频繁地计算生成树，而且有可能将网络拥塞误

认成链路故障；如果用户配置的 Max Age 时间过大，网络设备很可能不能及时发现链路故障，

不能及时重新计算生成树，从而降低网络的自适应能力。建议用户采用缺省值。

根桥的 Hello Time、Forward Delay 以及 Max Age 三个时间参数取值之间应该满足如下公式，否则

网络会频繁震荡：

2×（Forward Delay-1 second）ú Max Age ú2×（Hello Time+1 second）

建议用户优先使用 stp root primary 或 stp root secondary 命令指定交换网络的网络直径及 Hello Time。MSTP 会自动计算出这三个时间参数的较优值。

2. 配置举例

# 配置 Forward Delay 为 1600 厘秒，Hello Time 为 300 厘秒，Max Age 为 2100 厘秒。


[Sysname] stp timer forward-delay 1600

[Sysname] stp timer hello 300

[Sysname] stp timer max-age 2100

1.3.9 配置超时时间因子

当网络拓扑结构稳定了以后，非根桥交换机会每隔一定的 Hello Time 时间，向周围相连设备转发根

桥发出的 BPDU 报文，以确认链路是否存在故障。如果交换机在 3 倍的 Hello Time 时间内没有收

到上游交换机发送的 BPDU 报文，就会认为上游交换机已经故障，从而重新进行生成树的计算。

在非常稳定的网络中，可能由于上游交换机的繁忙而导致这种生成树的重新计算。此时，用户可以

通过配置来延长超时时间来避免这种情况，将超时时间设置为 Hello Time 时间的 4 倍或更长。在一

个稳定的网络中，建议将倍数设置为 5～7 倍。

1-22

1. 配置过程

表1-18 超时时间因子配置过程

操作命令说明


配置特定交换机的超时时间

因子 stp timer-factor number 必选

缺省情况下，交换机的超时时间因子为 3

一般情况下，在稳定的网络中，推荐用户将超时时间因子设置为 5～7。

2. 配置举例

# 配置超时时间因子为 6。


[Sysname] stp timer-factor 6

1.3.10 配置端口的最大发送速率

端口的大发送速率是用来表示端口在每个 Hello Time 内多可发送多少个 MSTP 报文的参数。

它与端口的物理状态和网络结构有关，用户可以根据实际的网络情况对其进行配置。

1. 系统视图下端口的最大发送速率配置过程

表1-19 系统视图下端口的最大发送速率配置过程

操作命令说明


配置端口的大发送速率 stp interface interface-list transmit-limit packetnum

必选

缺省情况下，交换机上所有以太网端

口的大发送速率为 10

2. 以太网端口视图下端口的最大发送速率配置过程

表1-20 以太网端口视图下端口的最大发送速率配置过程

操作命令说明



配置端口的大发送速率 stp transmit-limit packetnum 必选

缺省情况下，交换机上所有以太网端

口的大发送速率为 10

以上两种方法都可以配置端口的大发送速率。

如果该参数被配置的过大，则每个 Hello Time 内发送的 MSTP 报文数就很多，从而占用过多的网

络资源。建议用户采用缺省值。

3. 配置举例

# 配置 Ethernet1/0/1 的大发送速率为 15。

1-23

(1) 在系统视图下实现该配置。 <Sysname> system-view

[Sysname] stp interface Ethernet1/0/1 transmit-limit 15

(2) 在以太网端口视图下实现该配置。 <Sysname> system-view


[Sysname-Ethernet1/0/1] stp transmit-limit 15

1.3.11 配置端口为边缘端口

边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端

口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口

可以实现快速迁移，而无需等待延迟时间。

可以通过下面两种途径来配置端口为边缘端口或者非边缘端口。

1. 在系统视图下配置端口为边缘端口

表1-21 在系统视图下配置端口为边缘端口

操作命令说明


配置端口为边缘端口 stp interface interface-list edged-port enable

必选

缺省情况下，交换机所有以太网端口均

被配置为非边缘端口

2. 在以太网端口视图下配置端口为边缘端口

表1-22 在以太网端口视图下配置端口为边缘端口

操作命令说明



配置端口为边缘端口 stp edged-port enable 必选

缺省情况下，交换机所有以太网端口均

被配置为非边缘端口

在交换机没有开启 BPDU 保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的

BPDU 报文，则该端口会重新变为非边缘端口。

对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动 BPDU 保护功能。这样既能够

使该端口快速迁移到转发状态，也可以保证网络的安全。

3. 配置举例

# 配置 Ethernet1/0/1 为边缘端口。

(1) 在系统视图下实现该配置。

1-24


[Sysname] stp interface Ethernet1/0/1 edged-port enable



[Sysname-Ethernet1/0/1] stp edged-port enable

1.3.12 配置端口是否与点对点链路相连

点到点链路是两台交换机之间直接连接的链路。以点对点链路相连的两个端口，如果端口角色满足

一定条件，则可以通过传送同步报文快速迁移到转发状态，减少了不必要的转发延迟时间。

可以通过下面两种途径来配置端口相连的链路是否是点对点链路。

1. 在系统视图下配置端口是否与点对点链路相连

表1-23 在系统视图下配置端口是否与点对点链路相连

操作命令说明


配置端口是否与点对点链

路相连

stp interface interface-list point-to-point { force-true | force-false | auto }

必选

缺省情况下，该参数被配置为 auto

2. 在以太网端口视图下配置端口是否与点对点链路相连

表1-24 在以太网端口视图下配置端口是否与点对点链路相连

操作命令说明



配置端口是否与点对点链

路相连 stp point-to-point { force-true | force-false | auto }

必选

缺省情况下，该参数被配置为 auto

汇聚组中的任意端口被配置成与点对点链路相连后，会同步到汇聚组中其他的端口；一个端口工作在自协商模式，协商出来的工作模式是全双工，可以将此端口配置为点对点链路。

当端口被设置为与点对点链路相连时，该配置将在该端口所有生成树实例上生效。如果端口实际物

理链路不是点对点链路，用户错误配置为强制点对点链路，则有可能会引入临时环路。

3. 配置举例

# 配置 Ethernet1/0/1 和点到点链路相连。


[Sysname] stp interface Ethernet1/0/1 point-to-point force-true

(2) 在以太网端口视图下实现该配置。

1-25



[Sysname-Ethernet1/0/1] stp point-to-point force-true

1.3.13 开启 MSTP 特性

1. 配置过程

表1-25 在系统视图下开启 MSTP 特性

操作命令说明


开启设备 MSTP 特性 stp enable 必选

缺省情况下，不运行 MSTP

关闭指定端口的 MSTP 特性 stp interface interface-list disable

可选

缺省情况下，设备 MSTP 特性开启后所有端口上

的 MSTP 特性都是开启的

为了灵活地控制 MSTP 工作，可以关闭交换机上

特定以太网端口的 MSTP 特性，使这些端口不参

与生成树计算，节省交换机的 CPU 资源

表1-26 在以太网端口视图下开启 MSTP 特性

操作命令说明


开启设备 MSTP 特性 stp enable 必选

缺省情况下，不运行 MSTP


关闭指定端口的MSTP特性 stp disable

可选

缺省情况下，设备 MSTP 特性开启后所有端口上

的 MSTP 特性都是开启的

为了灵活地控制 MSTP 工作，可以关闭交换机上

特定以太网端口的 MSTP 特性，使这些端口不参

与生成树计算，节省交换机的 CPU 资源

只有开启了设备的 MSTP 特性，MSTP 的其他配置才能生效。

2. 配置举例

# 开启设备的 MSTP 特性，并关闭 Ethernet1/0/1 上的 MSTP 特性。


[Sysname] stp enable

[Sysname] stp interface Ethernet1/0/1 disable




[Sysname-Ethernet1/0/1] stp disable

1-26

1.4 配置叶子节点

1.4.1 配置 MST 域

请参见 1.3.1 配置MST域。

1.4.2 配置端口对 MSTP 报文的识别/发送方式

请参见 1.3.4 配置端口对MSTP报文的识别/发送方式

1.4.3 配置超时时间因子

请参见 1.3.9 配置超时时间因子。

1.4.4 配置当前端口的最大发送速率

请参见 1.3.10 配置端口的大发送速率。

1.4.5 配置端口为边缘端口

请参见 1.3.11 配置端口为边缘端口。

1.4.6 配置端口的路径开销

路径开销是与端口相连链路的速率有关的参数。在支持 MSTP 的交换机上，端口在不同的生成树实

例中可以拥有不同的路径开销。设置合适的路径开销可以使不同 VLAN 的流量沿不同的物理链路转

发，从而实现按 VLAN 负载分担的功能。

交换机可以自动计算端口的路径开销，也可以由用户直接配置端口的路径开销。

1. 计算端口路径开销的标准

交换机提供计算端口路径开销的标准如下：

dot1d-1998：按照标准 IEEE 802.1D-1998 来计算端口的缺省路径开销值。

dot1t：按照标准 IEEE 802.1t 来计算端口的缺省路径开销值。

legacy：按照私有标准来计算端口的缺省路径开销值。

表1-27 指定计算路径开销所采用的标准

操作命令说明


设定交换机在计算与交换机端

口相连的链路的缺省路径开销

时采用的标准

stp pathcost-standard { dot1d-1998 | dot1t | legacy }

可选

缺省情况下，交换机按照 legacy 标准

来计算端口的缺省路径开销值

表1-28 端口速率与路径开销值对应表

链路速率双工状态 802.1D-1998 IEEE 802.1t 私有标准

0 - 65535 200,000,000 200,000

10 Mbit/s

Half-Duplex/Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports

100 95 95 95

2,000,000 1,000,000 666,666 500,000

2,000 1,800 1,600 1,400

1-27

链路速率双工状态 802.1D-1998 IEEE 802.1t 私有标准

100 Mbit/s

Half-Duplex/Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports

19 15 15 15

200,000 100,000 66,666 50,000

200 180 160 140

1000Mbit/s

Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports

4 3 3 3

20,000 10,000 6,666 5,000

20 18 16 14

10 Gbit/s

Full-Duplex Aggregated Link 2 Ports Aggregated Link 3 Ports Aggregated Link 4 Ports

2 1 1 1

2,000 1,000 666 500

2 1 1 1

一般情况下，全双工状态下链路的路径开销值比半双工状态下略小一点。

在计算聚合链路路径开销值时，802.1D-1998 标准不考虑该聚合链路的链路数量。802.1T 标准则考

虑聚合链路的链路数量，计算公式为：

路径开销 = 200,000,000/ 链路速率

公式中，链路速率为聚合链路中处于非阻塞状态的端口速率之和，单位为 100Kbit/s。

2. 配置端口的路径开销

表1-29 在系统视图下端口路径开销的配置

操作命令说明


配置端口的路径开销 stp interface interface-list [ instance instance-id ] cost cost

必选

缺省情况下，由 MSTP 计算各个端口的

路径开销

表1-30 在以太网端口视图下端口路径开销的配置

操作命令说明



配置端口的路径开销 stp [ instance instance-id ] cost cost必选

缺省情况下，由 MSTP 计算各个端口

的路径开销

端口路径开销改变时，MSTP 会重新计算端口的角色并进行状态迁移。instance-id 为 0 时表示设置

端口在 CIST 上的路径开销。

3. 配置举例一

# 配置 Ethernet1/0/1 在生成树实例 1 中的路径开销为 2000。

(1) 在系统视图下实现配置。

1-28


[Sysname] stp interface Ethernet1/0/1 instance 1 cost 2000

(2) 在以太网端口视图下实现配置。 <Sysname> system-view


[Sysname-Ethernet1/0/1] stp instance 1 cost 2000

4. 配置举例二

# 配置 Ethernet1/0/1 在生成树实例 1 中的路径开销由 MSTP 自动计算，采用的标准为 IEEE 802.1D-1998。

(1) 在系统视图下实现配置。 <Sysname> system-view

[Sysname] undo stp interface Ethernet1/0/1 instance 1 cost

[Sysname] stp pathcost-standard dot1d-1998

(2) 在以太网端口视图下实现配置。 <Sysname> system-view


[Sysname-Ethernet1/0/1] undo stp instance 1 cost


[Sysname] stp pathcost-standard dot1d-1998

1.4.7 配置端口的优先级

端口优先级是确定该端口是否会被选为根端口的重要依据，在同等条件下，表示端口优先级的数值

小的端口，将会被交换机选为根端口。

在支持 MSTP 的交换机上，端口可以在不同的生成树实例中拥有不同的优先级，同一端口可以在不

同生成树实例中担任不同的角色，从而使不同 VLAN 的数据沿不同的物理路径传播，实现按 VLAN进行负载分担的功能。

可以通过下面两种途径来配置端口的优先级。

1. 在系统视图下进行配置

表1-31 系统视图下端口优先级配置过程

操作命令说明


配置端口的优先级 stp interface interface-list instance instance-id port priority priority

必选

缺省情况下，交换机所有以太网端口的

优先级为 128

2. 在以太网端口视图下进行配置

表1-32 以太网端口视图下端口优先级配置过程

操作命令说明



1-29

操作命令说明

配置端口的优先级 stp [ instance instance-id ] port priority priority

必选

缺省情况下，交换机所有以太网端口的

优先级为 128

端口优先级改变时，MSTP 会重新计算端口的角色并进行状态迁移。

一般情况下，配置的值越小，端口被选为根端口的机会越大。如果交换机所有的以太网端口采用相

同的优先级参数值，则以太网端口的优先级高低就取决于该以太网端口的索引号。改变以太网端口

的优先级会引起生成树重新计算。

用户可以根据组网的实际需要来设置端口的优先级。

3. 配置举例

# 配置 Ethernet1/0/1 在生成树实例 1 中的端口优先级为 16。


[Sysname] stp interface Ethernet1/0/1 instance 1 port priority 16



[Sysname-Ethernet1/0/1] stp instance 1 port priority 16

1.4.8 配置端口是否与点对点链路相连

请参见 1.3.12 配置端口是否与点对点链路相连。

1.4.9 开启 MSTP 特性

请参见 1.3.13 开启MSTP特性。

1.5 执行 mCheck 操作

在支持 MSTP 的交换机上端口有三种工作模式：STP 兼容模式、RSTP 兼容模式、MSTP 模式。

在运行 MSTP（或 RSTP）的设备上，若某端口连接着运行 STP 协议的设备，则该端口会自动迁移

到 STP 兼容模式；但在下列两种情况下，该端口将无法自动迁移回 MSTP（或 RSTP）模式，而需

要通过执行 mCheck 操作将其手工迁移回 MSTP（或 RSTP）模式：

运行 STP 协议的设备被关机或撤走；

运行 STP 协议的设备切换为 MSTP（或 RSTP）模式。

1.5.1 配置准备

MSTP 在交换机上已经被正确配置。

1.5.2 配置过程

在端口上执行 mCheck 操作有下面两种途径。

1-30

1. 在系统视图下执行 mCheck 操作

表1-33 在系统视图下执行 mCheck 操作

操作命令说明


执行 mCheck 操作 stp [ interface interface-list ] mcheck 必选

2. 在以太网端口视图下执行 mCheck 操作

表1-34 在以太网端口视图下执行 mCheck 操作

操作命令说明



执行 mCheck 操作 stp mcheck 必选

1.5.3 配置举例

# 对 Ethernet1/0/1 执行 mCheck 操作。


[Sysname] stp interface Ethernet1/0/1 mcheck



[Sysname-Ethernet1/0/1] stp mcheck

1.6 配置交换机的保护功能

支持 MSTP 协议的交换机可提供 BPDU 保护功能、Root 保护功能、环路保护功能、防止 TC-BPDU报文攻击和 BPDU 报文拦截保护功能。

1.6.1 BPDU 保护功能的配置

对于接入层设备，接入端口一般直接与用户终端（如 PC 机）或文件服务器相连，此时接入端口被

设置为边缘端口以实现这些端口的快速迁移。当这些边缘端口接收到配置消息后，系统会自动将这

些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。

正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换

机，就会引起网络震荡。BPDU 保护功能可以防止这种网络攻击。交换机上启动了 BPDU 保护功能

以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被 MSTP 关

闭。被关闭的边缘端口只能由网络管理人员恢复。

建议用户在配置了边缘端口的设备上开启 BPDU 保护功能。

1-31

1. 配置准备


2. 配置过程

表1-35 BPDU 保护功能配置过程

操作命令说明


配置 BPDU 保护功能 stp bpdu-protection 必选

缺省情况下，交换机不启动 BPDU 保护功能

3. 配置举例

# 配置 BPDU 保护功能。


[Sysname] stp bpdu-protection

由于千兆端口不能关闭，当对 E152 的千兆端口进行配置时，即使用户已经启动了 BPDU 保护功能，

并且指定了千兆端口为 MSTP 的边缘端口，BPDU 保护功能也不会在千兆端口上生效。

1.6.2 Root 保护功能的配置

生成树的根桥及备份根桥应该处于同一个域内，特别是对于 CIST 的根桥和备份根桥，网络设计时

一般会把 CIST 的根桥和备份根桥放在一个高带宽的核心域内。但是由于维护人员的错误配置或网

络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根

桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流

量被牵引到低速链路上，导致网络拥塞。

Root 保护功能可以防止这种情况的发生。对于设置了 Root 保护功能的端口，其在所有实例上的端

口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息，即其将被选择为非指定

端口时，这些端口的状态将被设置为 Discarding 状态，不再转发报文（相当于将与此端口相连的链

路断开）。当在足够长的时间内没有收到更优的配置消息时，端口会恢复原来的正常状态。

建议用户在根桥设备的指定端口上开启 Root 保护功能。环路保护、Root 保护、边缘端口的配置互斥，具体哪一项配置在端口上生效由配置顺序决定，先

配置的功能生效，后配置的功能不生效。

1. 配置准备


1-32

2. 配置过程

表1-36 在系统视图下配置 Root 保护功能

操作命令说明


配置交换机的 Root 保护功能 stp interface interface-list root-protection

必选

缺省情况下，交换机不启动 Root保护功能

表1-37 在以太网端口视图下配置 Root 保护功能

操作命令说明



配置交换机的 Root 保护功能 stp root-protection 必选

缺省情况下，交换机不启动 Root保护功能

3. 配置举例

# 配置 Ethernet1/0/1 的 Root 保护功能。


[Sysname] stp interface Ethernet1/0/1 root-protection



[Sysname-Ethernet1/0/1] stp root-protection

1.6.3 环路保护功能的配置

依靠不断接收上游交换机发送的 BPDU，交换机可以维持根端口和其他阻塞端口的状态。但是由于

链路拥塞或者单向链路故障，这些端口会收不到上游交换机的 BPDU。此时交换机会重新选择根端

口，根端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。

环路保护功能会抑制这种环路的产生。在启动了环路保护功能后，如果发生链路拥塞或者单向链路

故障，则根端口的角色变为指定端口，端口的状态为 Discarding 状态；阻塞端口同样也变为指定端

口，端口状态为 Discarding 状态，不转发报文，从而不会在网络中形成环路。

建议用户在非根桥设备的根端口和 Alternate 端口上开启环路保护功能。环路保护、Root 保护、边缘端口的配置互斥，具体哪一项配置在端口上生效由配置顺序决定，先

配置的功能生效，后配置的功能不生效。

1-33

1. 配置准备


2. 配置过程

表1-38 环路保护功能配置过程

操作命令说明



配置交换机的环路保护功能 stp loop-protection 必选

缺省情况下，交换机不启动环路保

护功能

3. 配置举例

# 配置 Ethernet1/0/1 的环路保护功能。



[Sysname-Ethernet1/0/1] stp loop-protection

1.6.4 防止 TC-BPDU 报文攻击配置

正常情况下，当交换机收到 TC-BPDU 报文后，会执行 MAC 地址表和 ARP 表项的删除操作。因此

当有人故意伪造 TC-BPDU 报文恶意攻击交换机时，短时间内交换机会收到大量的 TC-BPDU 报文，

造成交换机频繁的删除本机的 MAC 地址表，导致 ARP 地址表不停的刷新，影响 STP 生成树的计

算并占用大量的网络带宽，还造成交换机 CPU 占用率居高不下。

开启防止 TC-BPDU 报文攻击功能后，交换机会在收到 TC-BPDU 报文后，进行一次删除 MAC 地

址表和 ARP 表项的操作，并同时启动周期为 10 秒的定时器。在此周期时间内，如果交换机再次收

到 TC-BPDU 报文，则交换机多可以进行 6 次删除 MAC 地址表项和 ARP 表项的操作。从而避免

频繁的删除 MAC 地址表和 ARP 表项，给交换机进行 STP 计算以及网络稳定性带来恶劣的影响。

用户还可以配置一个周期内删除 MAC 地址表和 ARP 表项操作次数的上限值（通过命令 stp tc-protection threshold 设定）。如果在周期时间内，交换机收到 TC-BPDU 报文的次数少于上限

值，则收到一个 TC-BPDU 报文进行一次删除操作；如果在周期时间内收到的 TC-BPDU 报文的次

数，超过了用户设定的上限值，则交换机按照设定的上限值次数进行删除操作。举例来说，用户设

定周期时间内，交换机进行 MAC 地址表和 ARP 表项删除操作的上限值为 100，实际一个周期内交

换机收到 200 个 TC-BPDU 报文，则交换机只删除 MAC 地址表和 ARP 地址表 100 次。

1. 配置准备


2. 配置过程

表1-39 防止 TC-BPDU 报文攻击配置过程

操作命令说明


1-34

操作命令说明

启动防止 TC-BPDU 报文攻击的保

护功能 stp tc-protection enable 必选

缺省情况下，交换机启动本保护功能

配置交换机 10 秒内删除 MAC 地址

表和 ARP 表项的次数 stp tc-protection threshold number 可选

3. 配置举例

# 配置防止 TC-BPDU 报文攻击功能。


[Sysname] stp tc-protection enable

# 配置交换机在 10 秒内进行 5 次删除 MAC 地址表和 ARP 表项的操作。


[Sysname] stp tc-protection threshold 5

1.6.5 BPDU 报文拦截的配置

在开启了 STP 协议的网络中，可能会有恶意用户为了达到破坏的目的，不停的向交换机发送 BPDU报文。交换机收到 BPDU 报文以后，会向网络中的其他交换机转发，使网络内的交换机不停的进行

STP 计算，导致交换机的 CPU 占用率过高或者 BPDU 报文的协议状态错误等问题。

为了避免这个问题的发生，用户可以在交换机的以太网端口上配置 BPDU 报文拦截功能。在开启了

BPDU 报文拦截功能的端口，将不再接收和转发任何 BPDU 报文，从而防止交换机受到 BPDU 报

文攻击，保证 STP 计算的正确性。

用户可以在不需要接收和转发 BPDU 报文的端口上开启 BPDU 报文拦截功能，例如边缘端口。

1. 配置准备


2. 配置过程

表1-40 BPDU 报文拦截的配置过程




在以太网端口视图下开启 BPDU 报

文拦截功能 bpdu-drop any

必选

缺省情况下，以太网端口的 BPDU 报

文拦截功能不生效

3. 配置举例

# 配置以太网端口 Ethernet1/0/1 的 BPDU 报文拦截功能。

1-35

<Sysname>system-view


[Sysname-Ethernet1/0/1] bpdu-drop any

1.7 配置摘要侦听特性

1.7.1 简介

根据 IEEE 802.1s 规定，只有 MST 域配置完全一致的情况下，相连的交换机才可以实现 MST 域内

MSTI 的完全互通。当交换机配置了 MSTP 以后，交换机之间通过识别 BPDU 数据报文内的配置 ID（由域名 ID 与配置摘要等一系列信息构成），来判断相连的交换机是否与自己处于相同的 MST 域

内。

在网络中，由于一些友商的交换机配置了与生成树相关的私有协议，即使 MST 域配置相同，交换

机之间也不能实现 MSTP 域内的互通。

摘要侦听特性可以避免这样的情况出现。用户可以在与采用生成树相关私有协议的友商交换机的相

连端口，开启摘要侦听特性。当接收这些友商交换机发送过来的 BPDU 报文时，交换机认为是来自

同一个 MST 域内的报文，同时将配置摘要记录下来；当发送 BPDU 报文给这些友商交换机时，交

换机将配置摘要补充进去。这样，交换机就实现了和这些友商交换机在 MSTP 域内互通。

边缘端口不能启动摘要侦听功能。

1.7.2 摘要侦听特性的配置

配置摘要侦听特性，实现和其他采用私有协议计算配置摘要的交换机在 MST 域内 MSTI 互通。

1. 配置准备

与采用生成树相关的私有协议的友商交换机相连，网络配置正确，MSTP 配置正确。

2. 配置过程

表1-41 摘要侦听配置过程




开启端口摘要侦听特性 stp config-digest-snooping 必选

缺省情况下端口关闭摘要侦

听特性

退出以太网端口视图 quit -

全局开启摘要侦听特性 stp config-digest-snooping 必选

缺省情况下设备关闭摘要侦

听特性

显示配置的信息 display current-configuration display 命令可以在任意视

图执行

1-36

在端口开启了摘要侦听特性后，端口状态会变为 Discarding 状态，不向外发送 BPDU 报文。直

到收到对端端口发送的 BPDU 报文以后，端口才参与 STP 计算。只在与采用生成树相关的私有协议的友商交换机相连时才有必要开启摘要侦听特性。配置时，请先在与友商相连的交换机所有端口开启摘要侦听特性，然后在系统开启摘要侦听特性，

否则摘要侦听功能不能生效。开启摘要侦听特性时要求与采用生成树相关的私有协议的友商交换机配置完全相同，包括域名、

修订级别、VLAN 实例映射关系。 MST 域内与采用生成树相关的私有协议的友商交换机互连的交换机，必须开启全局和端口视图下

的摘要侦听特性。如果全局已经开启了摘要侦听特性，用户不能修改 MST 域配置中 VLAN 与实例的映射关系在 MST 域边界端口不允许开启摘要侦听特性。边缘端口不能启动摘要侦听功能。

1.8 配置快速迁移特性

1.8.1 简介

RSTP 和 MSTP 的指定端口快速迁移机制使用两种协议报文：

proposal 报文：指定端口请求快速迁移的报文。

agreement 报文：同意对端进行快速迁移的报文。

RSTP 和 MSTP 均要求接收到下游交换机的 agreement 报文后，上游交换机的指定端口才能进行快

速迁移。不同之处如下：

对于 MSTP，上游交换机会先向下游设备发送 agreement 报文，下游交换机在收到此报文后

才会向上游发送 agreement 报文；

对于 RSTP，上游交换机不会向下游交换机发送 agreement 报文。

图 1-6和图 1-7说明了RSTP和MSTP的指定端口快速迁移机制。

图1-6 RSTP 指定端口快速迁移机制

1-37

图1-7 MSTP 指定端口快速迁移机制

RSTP 和 MSTP 在快速迁移的配合上有一定的限制。例如：当上游交换机运行 RSTP，下游交换机

运行 MSTP，并且下游 MSTP 不支持 RSTP 兼容模式时，由于下游 MSTP 的根端口接收不到上游

交换机的 agreement 报文，它不会向上游交换机发 agreement 报文，所以上游交换机的指定端口

无法实现状态的快速迁移，只能在 2 倍的 Forward Delay 延时后变成 Forwarding 状态。

在网络中，由于有些厂商的交换机配置了与生成树相关的私有协议，其指定端口的状态迁移实现机

制与 RSTP 类似，这就导致这些厂商的交换机作为上游交换机与运行 MSTP 的 H3C 系列交换机互

连时，上游的指定端口不能实现状态的快速迁移。

为了避免这种情况，H3C 系列交换机提供了快速迁移特性。在运行 MSTP 的 H3C 系列交换机和某

些厂商的交换机相连时，用户可以在作为下游的 H3C 系列交换机的端口上开启快速迁移特性，则

如果该端口是根端口，它在收到上游指定端口的 proposal 报文后，会主动向上游发送 agreement报文，而不是在等待接收上游的 agreement 报文后才发送 agreement 报文，这样就使上游交换机

的指定端口能够进行状态的快速迁移。

1.8.2 快速迁移配置

1. 配置准备

H3C交换机作为下游交换机，某些厂商的交换机作为上游交换机，网络正确连接，如图 1-8所示。

上游交换机开启了与生成树相关的私有协议，其指定端口的状态迁移实现机制与 RSTP 类似。port1是指定端口。

下游交换机 H3C Switch 上开启 MSTP。port2 是根端口。

图1-8 组网图

2. 配置过程

(1) 在系统视图下配置快速迁移特性

1-38

表1-42 系统视图下快速迁移特性配置过程

操作命令说明


开启快速迁移特性 stp interface interface-type interface-number no-agreement-check

必选

缺省情况下，端口的快速迁移特性处于关

闭状态

(2) 在以太网端口视图下配置快速迁移特性

表1-43 以太网端口视图下快速迁移特性配置过程

操作命令说明



开启快速迁移特性 stp no-agreement-check 必选

缺省情况下，端口的快速迁移特性处于关

闭状态

快速迁移特性仅可以在根端口或 Alternate 端口进行配置。用户可以在指定端口配置快速迁移特性，但此特性不会在端口上生效。

1.9 配置 VLAN-VPN TUNNEL 特性

1.9.1 简介

VLAN-VPN TUNNEL 功能可以使在不同地域的用户网络，通过运营商网络内指定的 VLAN VPN 进

行 STP 报文的透明传输，从而使用户网络能够进行统一的生成树计算。并且用户网络和运营商网络

拥有各自的生成树，互不干扰。

如图 1-9上部为运营商网络，下部为用户网络。其中运营商网络包括报文输入/输出设备，用户网络

分别为用户网络A和用户网络B两个部分。通过在运营商网络两端报文/输入输出设备上的设置，在

一端将STP报文的目的MAC地址格式替换成为特殊格式的MAC地址，在另一端还原，从而使报文在

运营商网络中实现了透明传输。

1-39

图1-9 VLAN-VPN TUNNEL 网络层次示意图

1.9.2 VLAN-VPN TUNNEL 的配置

表1-44 VLAN-VPN TUNNEL 配置过程

操作命令说明


系统启动 MSTP stp enable -

系统启动 VLAN-VPN TUNNEL 功能 vlan-vpn tunnel 必选

缺省情况下，系统的 VLAN-VPN TUNNEL 功能不会被启动

进入以太网端口视图 interface interface-type interface-number

进入需要开启 VLAN VPN 功能的端口

视图

启动以太网端口下 VLAN VPN 功能 vlan-vpn enable 必选

缺省情况下，所有端口都关闭 VLAN VPN 功能

开启 VLAN-VPN TUNNEL 的设备上一定要启动 STP 协议。运营商网络之间要配置为 Trunk 链路。

1.10 MSTP 可维护性配置

1.10.1 简介

在启动了 MSTP 协议的大型网络中，MSTP 实例较多，各个端口的状态可能会频繁发生变化。对维

护人员来说，希望某些端口可以在发生故障时自动对外输出 log 或者 trap 信息，维护人员可以根据

警告信息，查看指定端口的状态变化。

因此，H3C E152 以太网交换机增加了 STP 可维护性功能，方便用户和维护人员对端口状态进行实

时监控。

1-40

1.10.2 配置端口发送 log 和 trap 信息

表1-45 配置端口发送 log 和 trap 信息

操作命令说明


配置指定实例的端口对外发送

log 和 trap 信息 stp [ instance instance-id ] portlog

必选

缺省情况下，交换机任何实例的端口都不对

外发送 log 和 trap 信息

配置所有实例的端口对外发送

log 和 trap 信息 stp portlog all 必选

缺省情况下，交换机任何实例的端口都不对

外发送 log 和 trap 信息

1.10.3 配置举例

# 配置实例 1 的端口对外发送 log 和 trap 信息。


[Sysname] stp instance 1 portlog

# 配置所有实例的端口对外发送 log 和 trap 信息。


[Sysname] stp portlog all

1.11 支持发送 802.1d 协议标准的 Trap 信息功能

当 MSTP 网络拓扑发生变化时，交换机将会在以下两种情况下，向网管设备发送符合 802.1d 协议

标准的 Trap 信息。

当交换机被选为某个实例的根桥以后，向网管设备发送符合 802.1d 协议标准的 Trap 告警信

息。

当交换机检测到网络拓扑发生变化时，向网管设备发送符合 802.1d 协议标准的 Trap 告警信

息。

1. 配置过程

表1-46 配置发送 802.1d 协议标准的 Trap 信息功能

操作命令说明


开启发送 802.1d 协议标准的

Trap 信息功能 stp [ instance instance-id ] dot1d-trap [ newroot | topologychange ] enable 必选

2. 配置举例

# 当交换机被选为实例 1 的根桥时，向网管发送符合 802.1d 协议标准的告警信息。


[Sysname] stp instance 1 dot1d-trap newroot enable

1-41

1.12 MSTP 显示和维护

在完成上述配置后，在任意视图下执行 display 命令都可以显示配置后 MSTP 的运行情况。用户可

以通过查看显示信息验证配置的效果。

在用户视图下执行 reset 命令可以将有关 MSTP 的统计信息清除。

表1-47 MSTP 显示和调试

操作命令

显示本设备生成树的状态信息与统计信息 display stp [ instance instance-id ] [ interface interface-list | slot slot-number ] [ brief ]

显示域的配置信息 display stp region-configuration

显示被交换机 STP 保护功能关闭的端口信息 display stp portdown

显示被交换机 STP 保护功能阻塞的端口信息 display stp abnormalport

显示交换机所在实例的根桥信息 display stp root

清除 MSTP 的统计信息 reset stp [ interface interface-list ]

1.13 MSTP 典型配置案例

1. 组网需求

配置MSTP使图 1-10中不同VLAN的报文按照不同的生成树实例转发。具体配置为：

网络中所有交换机属于同一个 MST 域；

VLAN 10 的报文沿着实例 1 转发，VLAN 30 沿着实例 3 转发，VLAN 40 沿着实例 4 转发，VLAN

20 沿着实例 0 转发。

图 1-10中Switch A和Switch B为汇聚层设备，Switch C和Switch D为接入层设备。VLAN 10、VLAN30在汇聚层设备终结，VLAN 40在接入层设备终结，因此可以配置实例 1和实例 3的树根分别为Switch A和Switch B，实例 4 的树根为Switch C。

2. 组网图

图1-10 MSTP 配置组网图

Switch A Switch B

Switch C

Permit:all VLAN

Permit:VLAN 20,40

Permit:VLAN 10,20

Permit:VLAN 10,20

Permit:VLAN 20,30

Permit:VLAN 20,30

图 1-10中链路上的说明“permit: ”表示该链路允许哪些VLAN的报文通过。

1-42

3. 配置步骤

(1) 配置 Switch A

# 进入 MST 域视图。



# 配置 MST 域的域名、VLAN 映射关系和修订级别。

[Sysname-mst-region] region-name example

[Sysname-mst-region] instance 1 vlan 10




# 手工激活 MST 域的配置。


# 定义 Switch A 为实例 1 的树根。


(2) 配置 Switch B




# 配置 MST 域的域名、VLAN 映射关系和修订级别。








# 定义 Switch B 为实例 3 的树根。


(3) 配置 Switch C











# 定义 Switch C 为实例 4 的树根。

1-43


(4) 配置 Switch D




# 配置 MST 域。








1.14 VLAN-VPN TUNNEL 配置典型案例

1. 组网需求

Switch C、Switch D 交换机作为运营商网络接入设备；

E152 交换机作为用户网络接入设备，即组网图中的 Switch A、Switch B；

Switch C 与 Switch D 设备之间通过交换机配置好的 Trunk 端口实现连接，并在系统视图下启

动 VLAN-VPN TUNNEL 功能，从而使用户网络与运营商网络之间实现透明传输。

2. 组网图

图1-11 VLAN-VPN TUNNEL 的配置示意图

3. 配置步骤

(1) Switch A 的配置

# 设备启动 MSTP。



# 将端口加入 VLAN 10。

[Sysname] vlan 10

1-44

[Sysname-Vlan10] port Ethernet1/0/1

(2) Switch B 的配置




# 将端口加入 VLAN 10。

[Sysname] vlan 10

[Sysname-Vlan10] port Ethernet1/0/1

(3) Switch C 的配置




# 设备启动 VLAN-VPN TUNNEL。

[Sysname] vlan-vpn tunnel

# 将 GigabitEthernet1/0/1 加入 VLAN 10。

[Sysname] vlan 10

[Sysname-Vlan10] port GigabitEthernet1/0/1

[Sysname-Vlan10] quit

# 打开 VLAN-VPN。

[Sysname] interface GigabitEthernet1/0/1

[Sysname-GigabitEthernet1/0/1] port access vlan 10

[Sysname-GigabitEthernet1/0/1] vlan-vpn enable

[Sysname-GigabitEthernet1/0/1] quit

# 将端口 GigabitEthernet1/0/2 设置为 Trunk 口。


[Sysname-GigabitEthernet1/0/2] port link-type trunk

# 将 Trunk 端口加入到所有的 VLAN 中。

[Sysname-GigabitEthernet1/0/2] port trunk permit vlan all

(4) Switch D 的配置




# 设备启动 VLAN-VPN TUNNEL。

[Sysname] vlan-vpn tunnel

# 将 GigabitEthernet1/0/2 加入 VLAN 10。

[Sysname] vlan 10

[Sysname-Vlan10] port GigabitEthernet1/0/2

# 打开 VLAN-VPN。


[Sysname-GigabitEthernet1/0/2] port access vlan 10

1-45

[Sysname-GigabitEthernet1/0/2] vlan-vpn enable

[Sysname-GigabitEthernet1/0/2] quit

# 将端口 GigabitEthernet1/0/1 设置为 Trunk 口。


[Sysname-GigabitEthernet1/0/1] port link-type trunk

# 将 Trunk 端口加入到所有的 VLAN 中。

[Sysname-GigabitEthernet1/0/1] port trunk permit vlan all

i

目录

1 IP路由概述......................................................................................................................................... 1-1

1.1 IP路由和路由表 ................................................................................................................................. 1-1

1.1.1 路由 ........................................................................................................................................ 1-1 1.1.2 路由表 ..................................................................................................................................... 1-1 1.1.3 路由优先级..............................................................................................................................1-2 1.1.4 路由备份 ................................................................................................................................. 1-3

1.2 路由表显示和维护 .............................................................................................................................1-3

2 静态路由配置 ..................................................................................................................................... 2-1

2.1 静态路由简介..................................................................................................................................... 2-1

2.1.1 静态路由 ................................................................................................................................. 2-1 2.1.2 缺省路由 ................................................................................................................................. 2-1

2.2 配置静态路由..................................................................................................................................... 2-2

2.2.1 配置准备 ................................................................................................................................. 2-2 2.2.2 配置静态路由 ..........................................................................................................................2-2

2.3 静态路由显示和维护..........................................................................................................................2-2

2.4 静态路由故障的诊断与排除 ...............................................................................................................2-3

2.4.1 交换机不转发IP报文 ...............................................................................................................2-3

1-1

1 IP 路由概述

文中所述的路由器代表了一般意义下的路由器，以及运行了路由协议的以太网交换机。

1.1 IP 路由和路由表

1.1.1 路由

在因特网中进行路由选择要使用路由器，路由器根据所收到的报文的目的地址选择一条合适的路由

（通过某一网络），并将报文传送到下一个路由器。路径中最后的路由器负责将报文送交目的主机。

1.1.2 路由表

1. 路由表的作用

路由器转发分组的关键是路由表。每个路由器中都保存着一张路由表，表中每条路由项都指明分组

到某子网或某主机应通过路由器的哪个物理端口发送，然后就可到达该路径的下一个路由器，或者

不再经过别的路由器而传送到直接相连的网络中的目的主机。

根据来源不同，路由表中的路由通常可分为以下三类：

链路层协议发现的路由（也称为接口路由或直连路由）。

手工配置的静态路由。

动态路由协议发现的路由。

2. 路由表中的内容

路由表中包含了下列关键项：

目的地址：用来标识 IP 报文的目的地址或目的网络。

网络掩码：与目的地址一起来标识目的主机或路由器所在的网段的地址。将目的地址和网络

掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。例如：目的地址为 129.102.8.10，

掩码为 255.255.0.0 的主机或路由器所在网段的地址为 129.102.0.0。掩码由若干个连续“1”

构成，既可以以点分十进制表示，也可以用掩码中连续“1”的个数来表示。

出接口：说明 IP 报文将从该路由器哪个接口转发。

下一跳 IP 地址：说明 IP 包所经由的下一个路由器。

本条路由加入 IP 路由表的优先级：针对同一目的地，可能存在不同下一跳的若干条路由，这

些不同的路由可能是由不同的路由协议发现的，也可以是手工配置的静态路由。优先级高（数

值小）的路由将成为当前的最优路由。

根据路由的目的地不同，可以划分为：

子网路由：目的地为子网。

主机路由：目的地为主机。

1-2

另外，根据目的地与该路由器是否直接相连，又可分为：

直接路由：目的地所在网络与路由器直接相连。

间接路由：目的地所在网络与路由器不是直接相连。

为了不使路由表过于庞大，可以设置一条缺省路由。如果路由表中不存在与 IP 报文的目的 IP 地址

匹配表项时，就选择缺省路由转发。

如图 1-1所示，各网络中的数字是该网络的网络地址。路由器Router G与三个网络相连，因此有三

个IP地址和三个物理端口，其路由表如图所示。

图1-1 路由表示意图

Router A

Router B

Router H

Router E

16.0.0.2

17.0.0.2

15.0.0.0

12.0.0.0 17.0.0.0

11.0.0.0 16.0.0.0

13.0.0.0

14.0.0.0

Router C

Router D

Router F

Router G

11.0.0.1

11.0.0.2

12.0.0.1

12.0.0.215.0.0.1 15.0.0.2

17.0.0.1

16.0.0.1

13.0.0.1 13.0.0.2

13.0.0.3

14.0.0.1 14.0.0.3

15.0.0.3

14.0.0.2

14.0.0.4

Destiantion Network Nexthop Interface 11.0.0.0 14.0.0.1 3 12.0.0.0 14.0.0.1 3 13.0.0.0 16.0.0.1 2 14.0.0.0 14.0.0.3 3 15.0.0.0 17.0.0.2 1 16.0.0.0 16.0.0.2 2 17.0.0.0 17.0.0.1 1

1.1.3 路由优先级

到相同的目的地，不同的路由协议（包括静态路由）可能会发现不同的路由，但这些路由并不都是

最优的。事实上，在某一时刻，到某一目的地的当前路由仅能由唯一的路由协议来决定。各路由协

议（包括静态路由）都被赋予了一个优先级，当存在多个路由信息源时，具有较高优先级的路由协

议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级如表 1-1所示。

其中：0 表示直接连接的路由，数值越小表明优先级越高。

表1-1 路由协议及缺省的路由优先级

路由协议或路由种类相应路由的优先级

DIRECT 0

STATIC 60

1-3

除了直连路由（DIRECT）外，每条静态路由的优先级都可以不相同。

1.1.4 路由备份

路由备份：到同一目的地配置多条优先级不同的路由，其中优先级最高的一条路由作为主路由，其

余优先级较低的路由作为备份路由。

路由备份提高了用户网络的可靠性，主路由与备份路由之间可以自动切换。

正常情况下，路由器采用主路由发送数据。当线路发生故障时，主路由失效，路由器选择备份路由

中优先级最高的路由转发数据，即主路由到备份路由的自动切换。当主路由恢复正常时，路由器恢

复相应的路由，并重新选择路由。由于该路由的优先级最高，路由器选择主路由来发送数据，即备

份路由到主路由的自动切换。

1.2 路由表显示和维护

查看路由表的信息是定位路由问题的基本要求，表 1-2中列举了通用的路由表信息的显示和维护命

令。display命令可以在任意视图下执行，在用户视图下执行reset命令可以清除路由表的统计信息。

表1-2 路由表的显示和维护

操作命令说明

查看路由表摘要信息 display ip routing-table [ | { begin | exclude | include } regular-expression ]

查看路由表详细信息 display ip routing-table verbose

查看通过指定基本访问控制列表过滤的

路由信息 display ip routing-table acl acl-number [ verbose ]

查看指定目的地址的路由 display ip routing-table ip-address [ mask | mask-length ] [ longer-match ] [ verbose ]

查看指定目的地址范围内的路由 display ip routing-table ip-address1 { mask1 | mask-length1 } ip-address2 { mask2 | mask-length2 } [ verbose ]

查看指定协议发现的路由 display ip routing-table protocol protocol [ inactive | verbose ]

查看树形式路由表 display ip routing-table radix

查看路由表的统计信息 display ip routing-table statistics


在任意视图下执行

删除路由表的统计信息 reset ip routing-table statistics protocol { all | protocol }

reset 命令在用户

视图下执行

2-1

2 静态路由配置

文中所述的路由器代表了一般意义下的路由器，以及运行了路由协议的以太网交换机。

2.1 静态路由简介

2.1.1 静态路由

1. 静态路由

静态路由是一种特殊的路由，由管理员手工配置。在组网结构比较简单的网络中，只需配置静态路

由就可以实现网络互通。合理设置和使用静态路由可以改善网络的性能，并可为重要的网络应用保

证带宽。

静态路由的缺点：不能自动适应网络拓扑结构的变化，当网络拓扑结构发生变化时，可能会出现路

由不可达，导致网络中断情况，此时需要网络管理员手工修改静态路由的配置。

2. 静态路由应用

静态路由还有如下的属性：

(1) 目的地可达路由，正常的路由都属于这种情况，即 IP 报文按照目的地标识的路由被送往下一

跳，这是静态路由的一般用法。

(2) 目的地不可达的路由，当到某一目的地的静态路由具有“reject”属性时，任何去往该目的地

的 IP 报文都将被丢弃，并且通知源主机目的地不可达。

(3) 黑洞路由：当去往某一目的地的静态路由具有“blackhole”属性时，无论配置的下一跳地址

是什么，该路由的出接口均为 Null 0 接口，任何去往该目的地的 IP 报文都将被丢弃，并且不

通知源主机。

其中“reject”和“blackhole”属性一般用来控制本路由器可达目的地的范围，辅助网络故障的诊

断。

2.1.2 缺省路由

为了不使路由表过于庞大，可以设置一条缺省路由。如果路由表中不存在与 IP 报文的目的 IP 地址

匹配表项时，就选择缺省路由转发。

当路由表中不存在与 IP 报文的目的 IP 地址匹配表项时：

如果路由表中存在缺省路由，那么该报文将选取缺省路由转发。

如果路由表中不存在缺省路由，那么该报文被丢弃的同时，将向源端返回一个 ICMP 报文报告

该目的地址或网络不可达。

2-2

2.2 配置静态路由

2.2.1 配置准备

在配置静态路由之前，需完成以下任务：

配置相关接口的物理参数

配置相关接口的 IP 地址

2.2.2 配置静态路由

表2-1 配置静态路由

操作命令说明


配置静态路由 ip route-static ip-address { mask | mask-length } { interface-type interface-number | next-hop } [ preference preference-value ] [ reject | blackhole ] [ description text ]

必选

缺省情况下，系统可以获取

到去往与路由器直连的子

网路由

当使用 ip route-static 命令配置静态路由时，如果将目的地址与掩码配置为全零（0.0.0.0

0.0.0.0），则表示配置的是缺省路由。静态路由的下一跳地址不能配置为本地交换机的接口地址。对优先级的不同配置，可以灵活应用路由管理策略。

2.3 静态路由显示和维护

在完成上述配置后，执行 display 命令可以显示配置的静态路由信息，用户可以通过查看显示信息

验证配置的效果。执行 delete 命令可以删除配置的所有静态路由。

2-3

表2-2 静态路由显示和维护

操作命令说明

查看当前的配置文件信息 display current-configuration

查看路由表摘要信息 display ip routing-table

查看路由表详细信息 display ip routing-table verbose

查看静态路由表信息 display ip routing-table protocol static [ inactive | verbose ]


意视图下执行

删除所有静态路由 delete static-routes all delete 命令在系统视

图下执行

2.4 静态路由故障的诊断与排除

2.4.1 交换机不转发 IP 报文

1. 故障现象

以太网交换机没有配置动态路由协议，接口的物理状态和链路层协议状态均已处于 UP，但 IP 报文

不能转发。

2. 故障排除

(1) 用 display ip routing-table protocol static 命令查看是否正确配置相应静态路由。

(2) 用 display ip routing-table 命令查看该静态路由是否已经生效。

i

目录

1 组播概述 ............................................................................................................................................ 1-1

1.1 组播简介............................................................................................................................................ 1-1

1.1.1 单播方式的信息传输过程 ........................................................................................................ 1-1 1.1.2 广播方式的信息传输过程 ........................................................................................................ 1-2 1.1.3 组播方式传输信息...................................................................................................................1-2 1.1.4 组播中各部分的角色 ...............................................................................................................1-3 1.1.5 组播中常用的表示法 ...............................................................................................................1-4 1.1.6 组播的优点和应用...................................................................................................................1-4

1.2 组播模型分类..................................................................................................................................... 1-4

1.3 组播的框架结构 ................................................................................................................................. 1-5

1.3.1 组播地址 ................................................................................................................................. 1-5 1.3.2 组播协议 ................................................................................................................................. 1-8

1.4 组播报文的转发机制..........................................................................................................................1-9

1.4.1 RPF机制的应用 ....................................................................................................................1-10 1.4.2 RPF检查 ...............................................................................................................................1-10

2 组播公共配置 ..................................................................................................................................... 2-1

2.1 组播公共配置..................................................................................................................................... 2-1

2.1.2 配置组播源端口抑制 ...............................................................................................................2-1 2.1.3 添加组播MAC地址表项...........................................................................................................2-2 2.1.4 配置未知组播报文丢弃 ...........................................................................................................2-2

2.2 组播公共配置显示 .............................................................................................................................2-3

3 IGMP Snooping配置 .......................................................................................................................... 3-1

3.1 IGMP Snooping简介 .........................................................................................................................3-1

3.1.1 IGMP Snooping原理 ...............................................................................................................3-1 3.1.2 IGMP Snooping基本概念........................................................................................................ 3-1 3.1.3 IGMP Snooping工作机制........................................................................................................ 3-2

3.2 配置IGMP Snooping ......................................................................................................................... 3-4

3.2.1 启动IGMP Snooping...............................................................................................................3-4 3.2.2 配置IGMP Snooping版本........................................................................................................ 3-5 3.2.3 配置IGMP Snooping相关定时器............................................................................................. 3-5 3.2.4 配置端口从组播组中快速删除功能 ......................................................................................... 3-6 3.2.5 配置组播组过滤功能 ...............................................................................................................3-6 3.2.6 配置端口可以通过的组播组最大数量...................................................................................... 3-7 3.2.7 配置IGMP Snooping查询器 .................................................................................................... 3-8 3.2.8 配置IGMP Snooping禁止广播 ................................................................................................ 3-9 3.2.9 配置静态成员端口.................................................................................................................3-10 3.2.10 配置静态路由器端口 ...........................................................................................................3-11 3.2.11 配置IGMP Snooping模拟主机加入功能 .............................................................................. 3-11 3.2.12 配置查询报文的VLAN Tag.................................................................................................. 3-12 3.2.13 配置组播VLAN.................................................................................................................... 3-12

3.3 IGMP Snooping显示和维护.............................................................................................................3-14

ii

3.4 IGMP Snooping典型配置举例 .........................................................................................................3-14

3.4.1 配置IGMP Snooping功能...................................................................................................... 3-14 3.4.2 配置组播VLAN功能...............................................................................................................3-16

3.5 常见配置错误举例 ...........................................................................................................................3-18

1-1

1 组播概述

文中所述的路由器代表了一般意义下的路由器以及运行了 IP 组播协议的三层以太网交换机。新增“IGMP特定组查询报文的源IP地址”功能，具体请参见“3.2.7 配置IGMP Snooping查询器”。

1.1 组播简介

随着 Internet 的不断发展，数据、语音和视频信息等多种交互业务与日俱增，另外新兴的电子商务、

网上会议、网上拍卖、视频点播、远程教学等对带宽和实时数据交互要求较高的服务逐渐兴起，这

些服务对信息安全性、可计费性、网络带宽提出了更高的要求。

在网络中，存在着三种发送报文的方式：单播、广播、组播。下面我们对这三种传输方式的数据交

互过程分别进行介绍和对比。

1.1.1 单播方式的信息传输过程

采用单播（Unicast）方式时，系统为每个需求该信息的用户单独建立一条数据传送通路，并为该用

户发送一份独立的拷贝信息，如图 1-1：

图1-1 单播方式传输信息

假设用户 B、D 和 E 需要该信息，则信息源 Server 必须分别和用户 B、D、E 的设备建立传输通道。

由于网络中传输的信息量和要求接收该信息的用户量成正比，因此当需要相同信息的用户数量很庞

大时，服务器就必须要将多份内容相同的信息发送给用户。因此，带宽将成为信息传输中的瓶颈。

从单播信息的传播过程可以看出，单播的信息传输方式不利于信息规模化发送。

1-2

1.1.2 广播方式的信息传输过程

如果采用广播（Broadcast）方式，系统把信息传送给网络中的所有用户，不管他们是否需要，任

何用户都会接收到广播来的信息，如图 1-2：

图1-2 广播方式传输信息

假设用户 B、D 和 E 需求该信息，则信息源 Server 通过路由器广播该信息，网络其他用户 A 和 C也同样接收到该信息，信息安全性和有偿服务得不到保障。

从广播信息的传播过程可以看出，广播的保密性和有偿性比较差。并且当同一网络中需求该信息的

用户量很小时，网络资源利用率将非常低，带宽浪费严重。

因此，广播不利于对特定用户进行数据交互，并且还严重的占用带宽。

1.1.3 组播方式传输信息

综上所述，单播方式适合用户较少的网络，而广播方式适合用户稠密的网络，当网络中需求某信息

的用户量不确定时，单播和广播方式效率很低。

IP组播技术的出现及时解决了这个问题。当网络中的某些用户需要特定信息时，组播信息发送者（即

组播源）仅发送一次信息，借助组播路由协议为组播数据包建立组播分发树，被传递的信息在距离

用户端尽可能近的节点才开始复制和分发，如图 1-3。

1-3

图1-3 组播方式传输信息

Source

Server

Receiver

Receiver

Receiver

Host A

Host B

Host C

Host D

Host EPackets for the multicast group

假设用户 B、D 和 E 需求该信息，为了将信息顺利地传输给真正需要该信息的用户，需要将用户 B、D、E 组成一个接收者集合，由网络中各路由器根据该集合中各接收者的分布情况进行信息转发和

复制，最后准确地传输给实际需要的接收者 B、D 和 E。

相比单播来说，组播的优点在于：

不论接收者有多少，相同的组播数据流在每一条链路上最多仅有一份。

使用组播方式传递信息，用户数量的增加不会显著增加网络的负载。

相比广播来说，组播的优点在于：

组播数据流仅会发送到要求数据的接收者。

不会造成网络资源的浪费，合理的利用带宽。

1.1.4 组播中各部分的角色

在组播方式的信息传输过程中，网络中各部分的角色如下：

信息的发送者称为“组播源”，如图 1-3中的Source；

所有的接收者都是“组播组成员”，如图 1-3中的Receiver；

由所有接收者构成一个“组播组”，组播组不受地域的限制；

支持三层组播功能的路由器称为“组播路由器”或“三层组播设备”，组播路由器不仅能够

提供组播路由功能，也能够提供组播组成员的管理功能。

为了更好地理解，可以将组播方式的信息传输过程类比于电视节目的传送过程，如表 1-1所示。

表1-1 组播信息传输与电视节目传输的类比

步骤电视节目的传送过程组播方式的信息传输过程

1 电视台 S 通过频道 G 传送电视节目组播源 S 向组播组 G 发送组播数据

2 用户 U 将电视机的频道调至频道 G 接收者 U 加入组播组 G

1-4

步骤电视节目的传送过程组播方式的信息传输过程

3 用户 U 能够收看到由电视台 S 通过频道 G 传送的

电视节目了接收者 U 能够收到由组播源 S 发往组播组 G 的组

播数据了

4 用户 U 关闭电视机接收者 U 离开组播组 G

组播源不一定属于组播组，也就是说其本身不一定是组播数据的接收者；一个组播源可以同时向多个组播组发送数据，而多个组播源也可以同时向一个组播组发送数据。

1.1.5 组播中常用的表示法

在组播中，经常出现以下两种表示方式：

（*，G）：通常用来表示共享树，或者由任意组播源发往组播组 G 的组播报文。其中的“*”

代表任意组播源，“G”代表特定组播组 G。

（S，G）：也称为“组播源组”，通常用来表示最短路径树，或者由组播源 S 发往组播组 G

的组播报文。其中的“S”代表特定组播源 S，“G”代表特定组播组 G。

1.1.6 组播的优点和应用

1. 组播的优点

组播的优势在于：

提高效率：降低网络流量，减轻服务器和 CPU 负荷。

优化性能：减少冗余流量。

分布式应用：使多点应用成为可能。

2. 组播的应用

组播技术有效地解决了单点发送多点接收的问题，实现了 IP 网络中点到多点的高效数据传送，能够

节约大量网络带宽、降低网络负载。

组播功能主要有以下的应用：

多媒体、流媒体的应用，如：网络电视、网络电台、实时视/音频会议。

培训、联合作业场合的通信，如：远程教育。

数据仓库、金融应用（股票）等。

任何“点到多点”的数据发布应用。

1.2 组播模型分类

根据对组播源处理方式的不同，组播模型有下列三种：

ASM（Any-Source Multicast，任意信源组播）

SFM（Source-Filtered Multicast，信源过滤组播）

SSM（Source-Specific Multicast，指定信源组播）

1-5

1. ASM 模型

简单地说，ASM 模型就是任意源组播模型。

在 ASM 模型中，任意一个发送者都可以成为组播源，向某组播组地址发送信息。众多接收者通过

加入由该组播组地址标识的组播组以获得发往该组播组的组播信息。

在 ASM 模型中，接收者无法预先知道组播源的位置，但可以在任意时间加入或离开该组播组。

2. SFM 模型

SFM 模型继承了 ASM 模型，从发送者角度来看，两者的组播组成员关系完全相同。

同时，SFM 模型在功能上对 ASM 模型进行了扩展。在 SFM 模型中，上层软件对收到的组播报文

的源地址进行检查，允许或禁止来自某些组播源的报文通过。因此，接收者只能收到来自部分组播

源的组播数据。从接收者的角度来看，只有部分组播源是有效的，组播源被经过了筛选。

3. SSM 模型

在现实生活中，用户可能只对某些组播源发送的组播信息感兴趣，而不愿接收其它源发送的信息。

SSM 模型为用户提供了一种能够在客户端指定组播源的传输服务。

SSM 模型与 ASM 模型的根本区别在于：SSM 模型中的接收者已经通过其他手段预先知道了组播源

的具体位置。SSM 模型使用与 ASM/SFM 模型不同的组播地址范围，直接在接收者和其指定的组播

源之间建立专用的组播转发路径。

1.3 组播的框架结构

IP 组播技术比较复杂，其根本用途是以组播方式将信息从组播源传输到接收者手中，同时满足接收

者对信息的各种需求。对于 IP 组播，需要关注的是：

网络中有哪些接收者？即主机注册。

这些接收者需要从哪个组播源接收信息？即组播源发现技术。

组播源将组播信息传输到哪里？即组播寻址机制。

组播信息如何传输？即组播路由。

IP 组播属于一种端到端服务，按照协议层从下往上划分，组播机制包括以下四个部分：

寻址机制：借助组播地址，实现信息从组播源发送到一组接收者。

主机注册：使用组播成员注册机制实现接收主机动态加入和离开组播组。

组播路由：使用组播路由构建报文分发树，从组播源传输报文到接收者。

组播应用：组播源必须支持视频会议等组播应用软件，TCP/IP 协议栈必须支持组播信息的发

送和接收。

1.3.1 组播地址

由于信息的接收者是一个组播组内的多个主机，因此需要面对信息源该将信息发往何处、目的地址

如何选取的问题。

这些问题简而言之就是组播寻址。为了让信息源和组播组成员进行通讯，需要提供网络层组播地址，

即 IP 组播地址。同时必须存在一种技术将 IP 组播地址映射为链路层 MAC 组播地址。下面分别介

绍这两种组播地址。

1-6

1. IP 组播地址

根据 IANA（Internet Assigned Numbers Authority，因特网编号授权委员会）规定，IP 地址分为五

类，即 A 类、B 类、C 类、D 类和 E 类。

单播报文按照网络规模大小分别使用 A、B、C 三类 IP 地址。

组播报文的目的地址使用 D 类 IP 地址，D 类地址不能出现在 IP 报文的源 IP 地址字段。

E 类地址保留在今后使用。

在单播数据传输过程中，一个数据包传输的路径是从源地址路由到目的地址，利用“逐跳”

（hop-by-hop）的原理在 IP 网络中传输。然而在 IP 组播环境中，数据包的目的地不是一个，而是

一组，形成组地址。所有的信息接收者都加入到一个组内，并且一旦加入之后，流向该组地址的数

据立即开始向接收者传输，组中的所有成员都能接收到数据包，这个组就是“组播组”。

组播组具有以下的几个特点：

组播组中的成员是动态的，主机可以在任何时刻加入和离开组播组。

组播组可以是永久的也可以是临时的。

由 IANA 分配组播地址的组播组称为永久组播组（又称之保留组播组）。

对于永久组播组，要注意的是：

永久组播组的 IP 地址保持不变，但组中的成员构成可以发生变化。

永久组播组中成员的数量可以是任意的，甚至可以为零。

那些没有保留下来供永久组播组使用的 IP 组播地址，可以被临时组播组使用。

D类组播地址范围是 224.0.0.0～239.255.255.255，范围及含义见表 1-2。

表1-2 D 类地址的范围及含义

D 类地址范围含义

224.0.0.0～224.0.0.255 预留的组播地址（永久组地址），地址 224.0.0.0 保留不做分配，其它地

址供路由协议使用

224.0.1.0～231.255.255.255

233.0.0.0～238.255.255.255 用户可用的 ASM（Any-Source Multicast，任意源组播模型）组播地址

（临时组地址），全网范围内有效

232.0.0.0～232.255.255.255 用户可用的 SSM（Source-Specific Multicast，指定源组播模型）组播组

地址

239.0.0.0～239.255.255.255 本地管理组播地址，仅在特定的本地范围内有效

根据 IANA 的约定，224.0.0.0～224.0.0.255 网段地址被预留给本地网络中的路由协议使用，常用

的预留 IP 组播地址列表如下：

表1-3 预留的 IP 组播地址列表


224.0.0.1 所有主机的地址

224.0.0.2 所有组播路由器的地址

224.0.0.3 不分配

224.0.0.4 DVMRP（Distance Vector Multicast Routing，距离矢量组播路由协议）路由

器

1-7


224.0.0.5 OSPF（Open Shortest Path First，最短路径优先）路由器

224.0.0.6 OSPF DR（Open Shortest Path First Ddesignated Router，最短路径优先

指定路由器）

224.0.0.7 ST（Shared Tree，共享树）路由器

224.0.0.8 ST（Shared Tree，共享树）主机

224.0.0.9 RIP-2 路由器

224.0.0.11 活动代理

224.0.0.12 DHCP 服务器/中继代理

224.0.0.13 所有 PIM（Protocol Independent Multicast，协议无关组播）路由器

224.0.0.14 RSVP（Resource Reservation Protocol，资源预留协议）封装

224.0.0.15 所有 CBT（Core-Based Tree,有核树）路由器

224.0.0.16 指定 SBM（Subnetwork Bandwidth Management，子网带宽管理）

224.0.0.17 所有 SBMS

224.0.0.18 VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）

224.0.0.19– 224.0.0.255 未指定

和 IANA 为 IP 单播预留私有地址网段 10.0.0.0/8 等类似，IANA 也为 IP 组播预留了私有地址网段

239.0.0.0/8，这些地址属于管理范围地址。通过对管理范围地址的管理，可以灵活地定义组播域范

围，实现不同组播域之间的地址隔离，有助于相同组播地址在不同组播域内的重复使用而不会冲突。

2. 以太网组播 MAC 地址

以太网传输单播 IP 报文的时候，目的 MAC 地址使用的是接收者的 MAC 地址。但是在传输组播报

文时，传输目标不再是一个具体的接收者，而是一个成员不确定的组，所以需要使用组播 MAC 地

址作为目的地址。

IANA规定，组播MAC地址的高 24bit为 0x01005e，MAC地址的低 23bit为组播IP地址的低 23bit，映射关系如图 1-4所示：

图1-4 组播 IP 地址与组播 MAC 地址的映射关系

XXXX X

XXXX XXXX XXXX XXXX XXXX XXXX1110 XXXX

0XXX XXXX XXXX XXXX XXXX XXXX0000 0001 0000 0000 0101 1110

32-bit IP address

48-bit MAC address

5 bits lost

25-bit MAC address prefix

… …23 bitsmapped

1-8

由于 IP 组播地址的高 4bit 是 1110，代表组播标识，而低 28bit 中只有 23bit 被映射到 MAC 地址，

这样 IP 地址中就会有 5bit 信息丢失，直接的结果是出现了 32 个 IP 组播地址映射到同一 MAC 地址

上。

1.3.2 组播协议

通常，我们把工作在网络层的 IP 组播称为“三层组播”，相应的组播协议称为“三层组播协议”，

包括 IGMP、PIM、MSDP 等；把工作在数据链路层的 IP 组播称为“二层组播”，相应的组播协

议称为“二层组播协议”，包括 IGMP Snooping。本节主要针对二、三层组播协议在网络中的应用位置和功能进行总体介绍，有关各协议的详细介

绍请分别参见本手册其他各章节的介绍。

1. 三层组播协议

三层组播协议包括组播组管理协议和组播路由协议两种类型，它们在网络中的应用位置如图 1-5所示。

图1-5 三层组播协议的应用位置

AS 1 AS 2

Source

Receiver Receiver

Receiver

PIM PIMMSDP

IGMPIGMP

IGMP

(1) 组播组管理协议

在主机和与其直接相连的三层组播设备之间通常采用组播组的管理协议 IGMP（Internet Group Management Protocol，互联网组管理协议），该协议规定了主机与三层组播设备之间建立和维护

组播组成员关系的机制。

(2) 组播路由协议

组播路由协议运行在三层组播设备之间，用于建立和维护组播路由，并正确、高效地转发组播数据

包。组播路由建立了从一个数据源端到多个接收端的无环（loop-free）数据传输路径，即组播分发

树。

对于 ASM 模型，可以将组播路由分为域内和域间两大类：

1-9

域内组播路由用来在 AS（Autonomous System，自治系统）内部发现组播源并构建组播分发

树，从而将组播信息传递到接收者。在众多域内组播路由协议中，PIM（Protocol Independent

Multicast，协议无关组播）是目前较为典型的一个。按照转发机制的不同，PIM 可以分为 DM

（Dense Mode，密集模式）和 SM（Sparse Mode，稀疏模式）两种模式。

域间组播路由用来实现组播信息在 AS 之间的传递，目前比较成型的解决方案有 MSDP

（Multicast Source Discovery Protocol，组播源发现协议）等。

对于 SSM 模型，没有域内和域间的划分。由于接收者预先知道组播源的具体位置，因此只需要借

助 PIM-SM 构建的通道即可实现组播信息的传输。

2. 二层组播协议

二层组播协议包括IGMP Snooping和组播VLAN等，它们在网络中的应用位置如图 1-6所示。

图1-6 二层组播协议的应用位置

(1) IGMP Snooping

IGMP Snooping（Internet Group Management Protocol Snooping，IGMP 侦听）是运行在二层设

备上的组播约束机制，通过侦听和分析主机与三层组播设备之间交互的 IGMP来管理和控制组播组，

从而可以有效抑制组播数据在二层网络中的扩散。

(2) 组播 VLAN

在传统的组播点播方式下，当连接在二层设备上、属于不同 VLAN 的用户分别进行组播点播时，三

层组播设备需要向该二层设备的每个 VLAN 分别发送一份组播数据；而当二层设备运行了组播

VLAN 之后，三层组播设备只需向该二层设备的组播 VLAN 发送一份组播数据即可，从而既避免了

带宽的浪费，也减轻了三层组播设备的负担。

1.4 组播报文的转发机制

在组播模型中，IP 报文的目的地址字段为组播组地址，组播源向以此目的地址所标识的主机群组传

送信息。因此，转发路径上的组播路由器为了将组播报文传送到各个方位的接收站点，往往需要将

从一个入接口收到的组播报文转发到多个出接口。与单播模型相比，组播模型的复杂性就在于此：

为了保证组播报文在网络中的传输，必须依靠单播路由表或者单独提供给组播使用的组播路

由表来指导转发；

1-10

为了处理同一设备在不同接口上收到来自不同对端的相同组播信息，需要对组播报文的入接

口进行 RPF（Reverse Path Forwarding，逆向路径转发）检查，以决定转发还是丢弃该报文。

RPF 检查机制是大部分组播路由协议进行组播转发的基础。

RPF 机制除了可以保证正确地按照组播路由的配置转发组播报文外，还能避免由于各种原因而造成

的环路。

1.4.1 RPF 机制的应用

路由器在收到由组播源 S 向组播组 G 发送的组播报文后，首先查找组播转发表：

(1) 如果存在对应的（S，G）表项，且该报文实际到达的接口与组播转发表中的入接口一致，则

向所有的出接口执行转发。

(2) 如果存在对应的（S，G）表项，但是该报文实际到达的接口与组播转发表中的入接口不一致，

则对此报文执行 RPF 检查：

若检查结果表明 RPF 接口与现存（S，G）表项的入接口相同，则说明（S，G）表项正确，

丢弃这个来自错误路径的报文；

若检查结果表明 RPF 接口与现存（S，G）表项的入接口不符，则说明（S，G）表项已过时，

将入接口修改为该报文实际到达的接口，然后向所有的出接口执行转发。

(3) 如果不存在对应的（S，G）表项，则也对该报文执行 RPF 检查。将 RPF 接口作为入接口，

结合相关路由信息创建相应的表项，并下发到组播转发表中：

如果该报文实际到达的接口正是 RPF 接口，则 RPF 检查通过，向所有的出接口执行转发；

如果该报文实际到达的接口不是 RPF 接口，则 RPF 检查失败，丢弃该报文。

1.4.2 RPF 检查

执行 RPF 检查的依据是单播路由。单播路由表中汇集了到达各个目的网段的最短路径。组播路由

协议并不独立维护某种单播路由，而是依赖于网络中现有的单播路由信息创建组播路由表项。

在执行 RPF 检查时，路由器查找单播路由表的具体过程：以“报文源”的 IP 地址为目的地址查找

单播路由表，自动选取一条最优单播路由。对应表项中的出接口为 RPF 接口，下一跳为 RPF 邻居。

路由器认为来自 RPF 邻居且由该 RPF 接口收到的组播报文所经历的路径是从源 S 到本地的最短路

径。

如图 1-7所示，假设网络中单播路由畅通。组播报文沿从组播源（Source）到接收者（Receiver）的SPT进行传输。

1-11

图1-7 RPF 检查过程

Source

192.168.0.1/24

Receiver

Receiver

Switch A

Switch B

Switch C

Vlan-int2Vlan-int1

Vlan-int1Vlan-int2

Multicast packets

Destination/Mask

IP Routing Table on Switch C

192.168.0.0/24

Interface

Vlan-int2

SwitchC 从接口 Vlan-int 1 收到来自 Source 的组播报文，组播转发表中没有相应的转发表项。

执行 RPF 检查，发现单播路由表中到达网段 192.168.0.0/24 的出接口是 Vlan-int 2 ，于是判

断该报文实际到达的接口不是 RPF 接口。RPF 检查失败，该组播报文被丢弃。

Switch C 从接口 Vlan-int 2 收到来自 Source 的组播报文，组播转发表中没有相应的转发表项。

执行 RPF 检查，发现单播路由表中到达网段 192.168.0.0/24 的出接口正是该报文实际到达的

接口。RPF 检查通过，向所有的出接口转发该报文。

2-1

2 组播公共配置

文中所述的路由器代表了一般意义下的路由器以及运行了 IP 组播协议的三层以太网交换机。

2.1 组播公共配置

表2-1 配置任务简介


配置组播源端口抑制可选 2.1.2

添加组播 MAC 地址表项可选 2.1.3

配置未知组播报文丢弃可选 2.1.4

2.1.2 配置组播源端口抑制

在网络中，某些用户会私设组播服务器，造成整个组播网络资源紧张，影响组播带宽和网络内合法

信息传输。用户可以配置组播源端口抑制功能，在未授权的组播源端口上过滤组播报文，以防止该

端口连接的用户私设组播服务器。

1. 在系统视图下配置组播源端口抑制

表2-2 配置组播源端口抑制

操作命令说明


配置组播源端口抑制 multicast-source-deny [ interface interface-list ]

可选

缺省情况下，组播源端口抑制功能

处于关闭状态

2. 在以太网端口视图下配置组播源端口抑制

表2-3 配置组播源端口抑制

操作命令说明



配置组播源端口抑制 multicast-source-deny 可选

缺省情况下，组播源端口抑制功能

处于关闭状态

2-2

2.1.3 添加组播 MAC 地址表项

在二层的组播过程中，除了通过二层组播协议动态建立 MAC 组播组转发表项外，还可以通过手工

配置组播 MAC 地址表项，将端口与组播地址表项进行静态绑定。

通常情况下，如果交换机收到的组播数据报文中的组播地址没有在本机注册，该报文会在该端口所

在的 VLAN 内广播，通过配置组播静态 MAC 地址表项可以避免这种情况。

1. 在系统视图下添加组播 MAC 地址表项

表2-4 添加组播 MAC 地址表项

操作命令说明


添加组播 MAC 地址表项 mac-address multicast mac-address interface interface-list vlan vlan-id

可选

mac-address 必须为组播 MAC 地址

2. 在以太网端口视图下添加组播 MAC 地址表项

表2-5 添加组播 MAC 地址表项

操作命令说明



添加组播 MAC 地址表项 mac-address multicast mac-address vlan vlan-id

可选

mac-address 必须为组播 MAC 地址

如果要添加的组播 MAC 地址表项已经存在，则系统会给出提示。如果要向通过命令添加的组播 MAC 地址表项中加入端口，需要先将该表项删除，然后重新添加

该表项，将指定端口加入到表项的转发端口中。如在端口添加了组播 MAC 地址，则无法在此端口启动端口汇聚。如端口已经是汇聚端口，则不

可以添加组播 MAC 地址。如果用户需要在启动了 IGMP Snooping 的 VLAN 内添加组播 MAC 地址，将不能配置以 01005e开头的组播 MAC 地址；如果 VLAN 内没有启动 IGMP Snooping，可以配置包括以 01005e 开头

的组播 MAC 地址。

2.1.4 配置未知组播报文丢弃

通常情况下，当交换机收到发往未知组播组的组播数据报文时，会将该未知组播数据报文在其所属

的 VLAN 内进行广播。当启动未知组播丢弃功能后，交换机收到发往未知组播组的报文后，将丢弃

该报文，从而节省带宽，并提高系统的处理效率。

表2-6 配置未知组播报文丢弃

操作命令说明


2-3

操作命令说明

配置未知组播报文丢弃功能 unknown-multicast drop enable 可选

缺省情况下，未知组播报文丢弃功


2.2 组播公共配置显示

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后组播公共配置的运行情况，通

过查看显示信息验证配置的效果。

表2-7 组播公共配置的显示

操作命令说明

显示组播源端口抑制统计信息 display multicast-source-deny [ interface interface-type [ interface-number ] ]

显示已经添加组播 MAC 地址

表项

display mac-address multicast [ static { { { mac-address vlan vlan-id | vlan vlan-id } [ count ] } | count } ]



3-1

3 IGMP Snooping 配置

文中所述的路由器代表了一般意义下的路由器以及运行了 IP 组播协议的三层以太网交换机。

3.1 IGMP Snooping 简介

IGMP Snooping（Internet Group Management Protocol Snooping，IGMP 侦听）是运行在二层以

太网交换机上的组播约束机制，用于管理和控制组播组。

3.1.1 IGMP Snooping 原理

运行 IGMP Snooping 的二层设备通过对收到的 IGMP 报文进行分析，为端口和 MAC 组播地址建立

起映射关系，并根据这样的映射关系转发组播数据。

如图 3-1所示，当二层设备没有运行IGMP Snooping时，组播数据在二层被广播；当二层设备运行

了IGMP Snooping后，已知组播组的组播数据不会在二层被广播，而在二层被组播给指定的接收者，

但是未知组播数据仍然会在二层广播。

图3-1 二层设备运行 IGMP Snooping 前后的对比

Multicast packet transmission without IGMP Snooping

Source

Multicast router

Host AReceiver

Host B

Host CReceiver

Multicast packets

Layer 2 switch

Multicast packet transmission when IGMP Snooping runs

Source

Multicast router

Host AReceiver

Host B

Host CReceiver

Layer 2 switch

3.1.2 IGMP Snooping 基本概念

1. IGMP Snooping 相关端口

如图 3-2所示，Router A连接组播源，在Switch A和Switch B上分别运行IGMP Snooping，Host A和Host C为接收者主机（即组播组成员）。

3-2

图3-2 IGMP Snooping 相关端口

Router A Switch A

Switch B

Eth1/0/1 Eth1/0/2

Eth1/0/3

Eth1/0/1Eth1/0/2

Receiver

Receiver

Host A

Host B

Host C

Host D

Source

Multicast packets

Router port

Member port

结合图 3-2，介绍一下IGMP Snooping相关的端口概念：

路由器端口（Router Port）：交换机上靠近三层组播设备（即 DR 或 IGMP 查询器）一侧的

端口，如 Switch A 和 Switch B 各自的 Ethernet1/0/1 端口。交换机将本设备上的所有路由器

端口都记录在路由器端口列表中。

成员端口（Member Port）：又称组播组成员端口，表示交换机上靠近组播组成员一侧的端口，

如 Switch A 的 Ethernet1/0/2 和 Ethernet1/0/3 端口，以及 Switch B 的 Ethernet1/0/2 端口。

交换机将本设备上的所有成员端口都记录在 IGMP Snooping 转发表中。

2. IGMP Snooping 端口老化定时器

表3-1 IGMP Snooping 端口老化定时器

定时器说明超时前应收到的报文超时后交换机的动作

路由器端口

老化定时器

交换机为其上的每个路由器端口都启动

一个定时器，其超时时间为路由器端口老

化时间

IGMP 通用查询报文或

PIM Hello 报文将该端口从路由器端口

列表中删除

成员端口老

化定时器

当一个端口加入某组播组时，交换机为该

端口启动一个定时器，其超时时间为成员

端口老化时间 IGMP 成员关系报告报文将该端口从组播组的转

发表中删除

3.1.3 IGMP Snooping 工作机制

运行了 IGMP Snooping 的交换机对不同 IGMP 动作的具体处理方式如下：

1. 通用组查询

IGMP 查询器定期向本地网段内的所有主机与路由器发送 IGMP 通用查询报文，以查询该网段有哪

些组播组的成员。

在收到 IGMP通用查询报文时，交换机将其通过 VLAN内除接收端口以外的其它所有端口转发出去，

并对该报文的接收端口做如下处理：

如果该端口是路由器端口列表中已有的路由器端口，则重置该路由器端口的老化定时器。

3-3

如果该端口不是路由器端口列表中已有的路由器端口，则将其加入路由器端口列表，并启动

该路由器端口的老化定时器。

2. 报告成员关系

以下情况，主机会向组播路由器发送 IGMP 成员关系报告报文：

当组播组的成员主机收到 IGMP 查询报文后，会回复 IGMP 成员关系报告报文。

如果主机要加入某个组播组，它会主动向组播路由器发送 IGMP 成员关系报告报文以声明加

入该组播组。

在收到 IGMP 成员关系报告报文时，交换机将其通过 VLAN 内的所有路由器端口转发出去，从该报

文中解析出主机要加入的组播组地址，并对该报文的接收端口做如下处理：

如果该端口已存在于组播组转发表中，则重置该端口的成员端口老化定时器；

如果该端口不在组播组转发表中，则在组播组转发表中为该端口增加转发表项，并启动该端

口的成员端口老化定时器。

交换机不会将 IGMP 成员关系报告报文通过非路由器端口转发出去，原因如下：根据 IGMP 成员关

系报告抑制机制，如果非路由器端口下还有该组播组的成员主机，则这些主机在收到该报告报文后

便抑制了自身的报告，从而使交换机无法获知这些端口下还有该组播组的成员主机。

3. 离开组播组

运行 IGMPv1 的主机离开组播组时不会发送 IGMP 离开组报文，因此交换机无法立即获知主机离开

的信息。但是，由于主机离开组播组后不会再发送 IGMP 成员关系报告报文，因此当其对应的成员

端口的老化定时器超时后，交换机就会将该端口对应的转发表项从转发表中删除。

运行 IGMPv2 或 IGMPv3 的主机离开组播组时，会通过发送 IGMP 离开组报文，以通知组播路由器

自己离开了某个组播组。

当从最后一个成员端口上收到 IGMP 离开组报文时，交换机会将该报文通过 VLAN 内的所有路由器

端口转发出去，同时由于并不知道该报文的接收端口下是否还有该组播组的其它成员，所以交换机

不会立刻把该端口对应的转发表项从转发表中删除，而是重置该成员端口的老化定时器。

当 IGMP 查询器收到 IGMP 离开组报文后，从中解析出主机要离开的组播组的地址，并通过接收端

口向该组播组发送 IGMP 特定组查询报文。交换机在收到 IGMP 特定组查询报文后，将其通过 VLAN内的所有路由器端口和该组播组的所有成员端口转发出去。

对于 IGMP 离开组报文的接收端口，交换机在该成员端口的老化时间内：

如果从该端口收到了主机发送的响应该组播组的 IGMP 成员关系报告报文，则表示该端口下

还有该组播组的成员，于是重置该成员端口的老化定时器；

如果没有从该端口收到主机发送的响应该组播组的 IGMP 成员关系报告报文，则表示该端口

下已没有该组播组的成员，则在该成员端口老化时间超时后，将转发表中该端口对应该组播

组的转发表项删除。

3-4

交换机在启动了 IGMP Snooping 功能后，当收到某个组播组内的主机发出的 IGMP 离开报文时，

会自动判断该组播组是否存在。如果该组播组不存在，则丢弃这个 IGMP 离开报文，不再转发。

3.2 配置 IGMP Snooping

表3-2 配置任务简介


启动 IGMP Snooping 必选 3.2.1

配置 IGMP-Snooping 版本可选 3.2.2

配置 IGMP Snooping 相关定时器可选 3.2.3

配置端口从组播组中快速删除功能可选 3.2.4

配置组播组过滤功能可选 3.2.5

配置端口可以通过的组播组最大数量可选 3.2.6

配置 IGMP Snooping 查询器可选 3.2.7

配置 IGMP Snooping 禁止广播可选 3.2.8

配置静态成员端口可选 3.2.9

配置静态路由器端口可选 3.2.10

配置 IGMP Snooping 模拟主机加入功能可选 3.2.11

配置查询报文的 VLAN Tag 可选 3.2.12

配置组播 VLAN 可选 3.2.13

3.2.1 启动 IGMP Snooping

表3-3 启动 IGMP Snooping

操作命令说明


全局启动的 IGMP Snooping 功

能 igmp-snooping enable

必选

缺省情况下，全局 IGMP Snooping 功能处

于关闭状态


启动 VLAN 视图下的 IGMP Snooping 功能

igmp-snooping enable 必选

缺省情况下，所有 VLAN 的 IGMP Snooping 功能都处于关闭状态

3-5

在启动指定 VLAN 的 IGMP Snooping 前，应首先在系统视图下启动全局 IGMP Snooping 功能，

否则将无法配置成功。如果在某VLAN内同时启动了IGMP Snooping和VLAN VPN，有可能会造成IGMP查询报文不能够

通过VLAN，可以通过配置查询报文的VLAN Tag解决，详细情况请参见“3.2.12 配置查询报文

的VLAN Tag”。

3.2.2 配置 IGMP Snooping 版本

配置 IGMP Snooping 的版本，实际上就是配置 IGMP Snooping 可以处理的 IGMP 报文的版本：

当 IGMP Snooping 的版本为 2 时，IGMP Snooping 能够对 IGMPv1 和 IGMPv2 的报文进行

处理，对 IGMPv3 的报文则不进行处理，而是在 VLAN 内将其广播；

当 IGMP Snooping 的版本为 3 时，IGMP Snooping 能够对 IGMPv1、IGMPv2 和 IGMPv3 的

报文进行处理。

表3-4 配置 IGMP Snooping 版本

操作命令说明



配置 VLAN 的 IGMP-Snooping版本

igmp-snooping version version-number

可选

缺省情况下，IGMP-Snooping 版本为 2

配置 IGMP Snooping 版本前，首先要在指定 VLAN 内启动 IGMP Snooping。 IGMPv3 Snooping 的功能不能区分组播组相同而组播源不同的组播数据，只能点播组播组不同和

组播源也不同的组播数据，所以规划网络时每个组播源的组播组地址不能相同。

3.2.3 配置 IGMP Snooping 相关定时器

本配置任务用来手工设置路由器端口老化定时器、组播组成员端口老化定时器、响应查询定时器。

表3-5 配置 IGMP Snooping 相关定时器

操作命令说明


配置路由器端口老化时间 igmp-snooping router-aging-time seconds

可选

缺省情况下，路由器端口老化时间

为 105 秒

配置 IGMP 通用查询报文的最

大响应时间 igmp-snooping max-response-time seconds

可选

缺省情况下，IGMP 通用查询报文

的最大响应时间为 10 秒

3-6

操作命令说明

配置组播组成员端口老化时间 igmp-snooping host-aging-time seconds

可选

缺省情况下，组播组成员端口老化

时间为 260 秒

3.2.4 配置端口从组播组中快速删除功能

当启动快速删除功能后，交换机从某端口收到离开某组播组的 IGMP 离开报文时，直接将端口从组

播组中删除。

当端口下只有一个用户时，可以通过使能端口从组播组中快速删除功能来节约带宽和资源；而在连

接有多个接收者的端口上，如果未知组播报文丢弃或禁止广播功能同时开启的情况下，则不要再使

能端口从组播组中快速删除功能，否则，一个接收者的离开将导致该端口下属于同一组播组的其它

接收者无法收到组播数据。

1. 在系统视图下配置端口从组播组中快速删除功能

表3-6 在系统视图下配置端口从组播组中快速删除功能

操作命令说明


配置端口从组播组中快速删除

功能 igmp-snooping fast-leave [ vlan vlan-list ]

必选

缺省情况下，端口从组播组中快速

删除功能关闭

2. 在以太网端口视图下配置端口从组播组中快速删除功能

表3-7 在以太网端口视图下配置端口从组播组中快速删除功能

操作命令说明


进入以太网端口 interface interface-type interface-number -

配置端口从指定 VLAN 的组播

组中快速删除功能 igmp-snooping fast-leave [ vlan vlan-list ]

必选

缺省情况下，端口从组播组中快速

删除功能关闭

端口从组播组中快速删除功能只能在客户端支持 IGMP V2 或 V3 时生效。当在系统视图下的配置时，如果没有指定 VLAN，则交换机的所有端口都启动快速删除功能；如

果指定了 VLAN，则该 VLAN 内的所有端口都启动快速删除功能。当在以太网端口视图下时，如果没有指定 VLAN，则无论该端口属于哪个 VLAN，该端口都启动

快速删除功能；如果指定了 VLAN，配置只对指定 VLAN 内的该端口有效。

3.2.5 配置组播组过滤功能

在启动了 IGMP Snooping 的交换机上，通过配置组播组过滤器，可以限制用户对组播节目的点播。

3-7

在实际应用中，当用户点播某个组播节目时，会发起一个 IGMP 报告报文，该报文到达交换机后，

交换机检查接收端口上配置的组播过滤 ACL，如果此端口可以加入这个组播组，则将这个端口加入

到该组播组的转发端口列表中；否则交换机就丢弃该 IGMP 报告报文，这样数据流就不会送到该端

口，从而控制用户点播组播。

配置此功能前，请确定 ACL 规则已经配置完毕。

1. 在系统视图下配置组播组过滤功能

表3-8 在系统视图下配置组播组过滤功能

操作命令说明


配置组播过滤功能 igmp-snooping group-policy acl-number [ vlan vlan-list ]

必选

缺省情况下，组播过滤功能关闭

2. 在以太网端口视图下配置组播组过滤功能

表3-9 在以太网端口视图下配置组播组过滤功能

操作命令说明



配置组播过滤功能 igmp-snooping group-policy acl-number [ vlan vlan-list ]

必选

缺省情况下，组播过滤功能关闭

一个端口可属于多个 VLAN，端口所属每个 VLAN 只能配置一个 ACL 规则。在配置此命令时，如果用户没有配置 ACL 规则，则会过滤掉所有组播组。由于绝大多数的设备采用广播方式处理未知组播报文，因此，为了确保组播数据流不会被当成未

知组播送到被过滤的端口，该功能一般都和未知组播丢弃功能组合使用。当在系统视图下的配置时，如果没有指定 VLAN，则交换机的所有端口都启动组播过滤功能；如

果指定了 VLAN，则该 VLAN 内的所有端口都启动组播过滤功能。当在以太网端口视图下配置时，如果没有指定 VLAN，则在所有 VLAN 内都启动了组播过滤功能，

且只对启动 IGMP Snooping 的 VLAN 生效；如果指定了 VLAN，配置只对指定 VLAN 内的该端

口有效。

3.2.6 配置端口可以通过的组播组最大数量

在配置端口可以通过的组播组最大数量后，用户在点播组播组节目时，由于端口通过的组播组的数

量受到限制，因此用户不能无限制的点播组播组。这样一来，端口带宽就得到了控制。

表3-10 配置端口可以通过的组播组最大数量

操作命令说明


3-8

操作命令说明


配置端口可以通过的组播组最

大数量 igmp-snooping group-limit limit [ vlan vlan-list [ overflow-replace ] ]

必选

缺省情况下，端口上允许通过的组播

组最大数量为 256 个

为了避免因组播组数量过多引起网络流量过大或导致设备的处理能力下降，可以限定交换机支持

的最大组播组数量。当组播组数量超过限定值时，交换机会根据组播组建立的先后顺序删除最先的建立的多余组播

组，此时被删除的组播组内一些正被转发的组播流会被当成未知组播报文在本 VLAN 内广播，导

致一段时间内非成员端口也会收到组播流。为了避免上述情况的发生，请打开未知组播报文丢弃

功能或 IGMP Snooping 禁止广播功能。如果用户已经将以太网端口配置为某个组播组的静态成员端口，则在该端口上配置的可以通过的

组播组最大数量将不会生效。

3.2.7 配置 IGMP Snooping 查询器

在运行了 IGMP 协议的组播网络中，会有一个专职查询的组播路由器，负责发送 IGMP 查询报文。

但是，由于二层组播交换机上不支持 IGMP 功能，因此没有办法实现查询器的功能，无法发送通用

组查询报文。

用户可以通过配置 IGMP Snooping 查询器，使二层交换机主动发送通用组查询报文，从而建立并

维护组播转发表项。

当 E152 交换机作为二层交换机使用，且开启了 IGMP-Snooping 查询器后，默认情况下，E152 交

换机发送的 IGMP 查询报文源 IP 地址为 0.0.0.0。而网络中的其它交换机收到这种查询报文后，不

会将收到该查询报文的端口设置为动态路由器端口，从而会影响数据链路层组播转发表项的建立，

最终导致组播数据无法正常转发。

用户可以把 IGMP 查询报文的源 IP 地址配置为一个有效的 IP 地址以避免上述问题的出现。

用户可以配置的 IGMP Snooping 查询器功能包括：

开启 IGMP Snooping 查询器功能

配置 IGMP 通用组查询报文的发送时间间隔

配置 IGMP 通用组查询报文/IGMP 特定组查询报文的源 IP 地址

1. 开启 IGMP Snooping 查询器

表3-11 开启 IGMP Snooping 查询器

操作命令说明


启动 IGMP Snooping igmp-snooping enable 必选

缺省情况下，IGMP Snooping 功能处于关

闭状态


3-9

操作命令说明


缺省情况下，IGMP Snooping 功能处于关

闭状态

启动 IGMP Snooping 查询器 igmp-snooping querier 必选

缺省情况下，IGMP Snooping 查询器功能

处于关闭状态

2. 配置 IGMP 查询报文的时间间隔

表3-12 配置 IGMP 查询报文的时间间隔

操作命令说明



配置交换机在当前 VLAN 内发

送通用组查询报文的时间间隔 igmp-snooping query-interval seconds

可选

缺省情况下，发送通用组查询报文的时间

间隔为 60 秒

3. 配置 IGMP 查询报文的源 IP 地址

表3-13 配置 IGMP 查询报文的源 IP 地址

操作命令说明



配置发送通用组查询报文时使

用的源 IP 地址

igmp-snooping general-query source-ip { current-interface | ip-address }

可选

缺省情况下，发送通用组查询报文时使用

的源 IP 地址为 0.0.0.0

配置发送特定组查询报文时使

用的源 IP 地址

igmp-snooping special-query source-ip { current-interface | ip-address }

可选

缺省情况下，发送特定组查询报文时使用

的源 IP 地址为 0.0.0.0

3.2.8 配置 IGMP Snooping 禁止广播

用户在 VLAN 内配置了 IGMP Snooping 功能后，当交换机收到发往未知组播组的报文时，数据报

文会在 VLAN 内广播，这样会占用大量的网络带宽，影响转发效率。

此时用户可以在交换机上启动 IGMP Snooping 禁止广播功能，当交换机收到发往未知组播组的报

文时，交换机将建立 nonflooding 表项，使数据报文只向交换机的路由器端口转发，不在 VLAN 内

广播。如果交换机没有路由器端口，数据报文会被丢弃，不再转发。

IGMP Snooping 禁止广播功能与未知组播报文丢弃功能的区别就在于：前者将未知的组播数据报文

向路由器端口转发，而后者则会直接丢弃未知组播数据报文。

3-10

表3-14 配置 IGMP Snooping 禁止广播



开启 IGMP Snooping禁止广播

功能 igmp-snooping nonflooding-enable

必选

缺省情况下，没有启动 IGMP Snooping 禁止广播功能

如果已经配置了未知组播报文丢弃功能的情况下，IGMP Snooping 禁止广播功能不能配置。 IGMP Snooping 禁止广播功能与组播源端口抑制功能不能同时生效，如果开启 IGMP Snooping禁止广播功能并且在某端口上启动了组播源端口抑制功能，则只有组播源端口抑制功能生效，而

IGMP Snooping 禁止广播功能不起作用，从该端口收到的组播数据将被丢弃。

3.2.9 配置静态成员端口

如果某端口所连接的主机需要固定接收某个组播组组播数据，可以配置该端口静态加入该组播组，

成为静态成员端口。

1. 在以太网端口视图下配置静态成员端口

表3-15 在以太网端口视图下配置静态成员端口

操作命令说明



配置当前端口作为静态成员端

口 multicast static-group group-address vlan vlan-id

必选

缺省情况下，没有配置静态成员端口

2. 在 VLAN 接口视图下配置静态成员端口

表3-16 在 VLAN 接口视图下配置静态成员端口

操作命令说明


进入 VLAN 接口视图 interface Vlan-interface interface-number -

配置指定端口作为静态成员端

口 multicast static-group group-address interface interface-list

必选

缺省情况下，没有配置静态成员端口

3-11

每台交换机最多可以配置 200 个静态成员端口。如果设备上已经配置了反射端口，则不能配置静态成员端口。

3.2.10 配置静态路由器端口

在拓扑稳定的网络中，可以将交换机上的路由器端口配置为静态路由器端口，交换机可以通过该端

口接收路由器发来的 IGMP 报文。

1. 在以太网端口视图下配置静态路由器端口

表3-17 在以太网端口视图下配置静态路由器端口

操作命令说明



配置当前端口作为静态路由器

端口 multicast static-router-port vlan vlan-id

必选

缺省情况下，没有配置静态路由器

端口

2. 在 VLAN 视图下配置静态路由器端口

表3-18 在 VLAN 视图下配置静态路由器端口

操作命令说明



配置指定端口作为静态路由器

端口 multicast static-router-port interface-type interface-number

必选

缺省情况下没有配置静态路由器

端口

3.2.11 配置 IGMP Snooping 模拟主机加入功能

通常情况下，运行 IGMP 的主机会对组播路由器的 IGMP 查询报文进行响应，如果由于某种原因无

法响应，就可能导致组播路由器认为该网段没有该组播组的成员，从而取消相应的路径。

为避免这种情况的发生，配置交换机 VLAN 下的某个端口为组播组成员，当该端口收到 IGMP 查询

报文时，由组播交换机进行响应，从而保证 VLAN 下的该端口能够继续收到组播报文。

IGMP Snooping 模拟主机加入功能实现原理如下：

在以太网端口上启动模拟主机加入功能时，交换机会主动从该端口发送一个 IGMP 成员关系

报告报文，同时回环给自身一个相同的 IGMP 成员关系报告报文，通过这个回环报文建立相

应的 IGMP 表项；

当启动了模拟主机加入功能后，如果再收到 IGMP 通用查询报文后，交换机同样会响应一个

IGMP 成员关系报告报文，同时回环给自身一个相同的 IGMP 成员关系报告报文，通过这个回

环报文来保证 IGMP 表项不被老化掉；

3-12

在以太网端口上关闭模拟主机加入功能后，交换机也会发送一个 IGMP 离开组报文。

因此，为了使 IGMP 表项不被老化掉，必须保证端口能够周期性的收到 IGMP 通用查询报文。

表3-19 配置 IGMP Snooping 模拟主机加入功能

操作命令说明



配置 IGMP Snooping 模拟

主机加入功能 igmp host-join group-address [ source-ip source-address ] vlan vlan-id

必选

缺省情况下，模拟主机加入功能处

于关闭状态

配置 IGMP Snooping 模拟主机加入功能前，应该先在 VLAN 视图下启动 IGMP Snooping 功能；当前端口必须属于指定 VLAN，否则配置不会生效；用户可以配置 source-ip source-address 来指定模拟主机要加入的组播源地址，只有 VLAN 内启

动了 IGMPv3 Snooping 时，该参数才有效。

3.2.12 配置查询报文的 VLAN Tag

可以通过配置在指定 VLAN 转发/发送的通用查询报文和特定组查询报文，实现在上行 VLAN 与下

行 VLAN 不同的二层组播网络环境中的组播报文的跨 VLAN 转发。

表3-20 配置查询报文的 VLAN Tag

操作命令说明


配置查询报文的 VLAN Tag

igmp-snooping vlan-mapping vlan vlan-id

必选

缺省情况下，不改变 IGMP Snooping 转发/发送的通用查询报文和特定组查询报文所在

的 VLAN

该功能建议不要与组播 VLAN 功能同时使用。

3.2.13 配置组播 VLAN

基于以往的组播点播方式，当处于不同 VLAN 的用户点播同一个组播组时，数据在组播路由器上会

为每个包含接收者的 VLAN 进行复制和转发。这样的组播点播方式，浪费了大量的带宽。

在启动了 IGMP Snooping 功能后，通过配置组播 VLAN 的方式，将交换机的端口加入到组播 VLAN，

使不同VLAN内的用户共用一个组播VLAN接收组播数据，组播流只在一个组播VLAN内进行传输，

从而节省了带宽。而且由于组播 VLAN 与用户 VLAN 完全隔离，安全和带宽都得以保证。

组播 VLAN 主要应用于二层交换，但在三层交换机上也必须进行相应的配置。

组播 VLAN 配置过程如下：

3-13

表3-21 配置组播 VLAN（三层交换机）

操作命令说明


创建组播 VLAN，并进入

VLAN 视图 vlan vlan-id -


进入 VLAN 接口视图 interface Vlan-interface vlan-id -

启动 IGMP igmp enable 必选

缺省情况下，IGMP 功能关闭


进入与二层交换机相连的

以太网端口视图 interface interface-type interface-number -

将端口定义为 Trunk 端口

或者 Hybrid 端口 port link-type { trunk | hybrid } 必选

port hybrid vlan vlan-id-list { tagged | untagged }

设置以太网允许通过的VLAN ID

port trunk permit vlan vlan-list

必选

VLAN 中必须包括二层交换机上定义

的组播 VLAN 的 ID，并且如果端口类

型为 Hybrid，则必须设置该端口在转

发组播 VLAN 内的报文时保留 VLAN Tag

表3-22 组播 VLAN 配置过程（二层交换机）

操作命令说明


启动 IGMP Snooping igmp-snooping enable -



启动组播 VLAN 功能 service-type multicast 必选


进入与三层交换机相连的以太

网端口视图 interface interface-type interface-number -

将端口定义为 trunk 端口或者

Hybrid 端口 port link-type { trunk | hybrid } 必选

port hybrid vlan vlan-list { tagged | untagged }

设置以太网允许通过的 VLAN ID

port trunk permit vlan vlan-list

必选

VLAN 中必须包括组播 VLAN 的 ID，并

且如果端口类型为 Hybrid，则必须设置

该端口在转发组播 VLAN 内的报文时保

留 VLAN Tag

进入与用户相连的以太网端口

视图 interface interface-type interface-number -

定义端口的类型为 Hybrid port link-type hybrid 必选

设置以太网端口上允许通过的VLAN ID

port hybrid vlan vlan-id-list { tagged | untagged }

必选

VLAN 中必须包括组播 VLAN 的 ID，并

且必须将组播 VLAN 设置为 untagged

3-14

一个端口只可以属于一个组播 VLAN。与用户终端相连的端口类型只能够为 Hybrid。组播成员端口必须与路由器端口属于同一个组播 VLAN，否则无法接收到组播数据报文。当路由器端口加入某个组播 VLAN，该路由器端口必须配置成 Trunk 端口或者是允许组播 VLAN报文带 Tag 发送的 Hybrid 端口，否则在此组播 VLAN 内的所有的组播成员端口都无法接收到组

播数据报文。

3.3 IGMP Snooping 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 IGMP Snooping 的运行情况，


在用户视图下执行 reset 命令可以清除 IGMP Snooping 统计信息。

表3-23 IGMP Snooping 的显示和维护

操作命令说明

显示当前 IGMP Snooping 的配

置信息 display igmp-snooping configuration

显示 IGMP Snooping 对收发包

的统计信息 display igmp-snooping statistics

显示 VLAN 下的 IP 组播组和

MAC 组播组信息 display igmp-snooping group [ vlan vlan-id ]

display 命令可以在任意视图下执

行

清除 IGMP Snooping 统计信息 reset igmp-snooping statistics reset 命令可以在用户视图下执行

3.4 IGMP Snooping 典型配置举例

3.4.1 配置 IGMP Snooping 功能

1. 组网需求

为了使组播数据不在二层被广播，需要在交换机上启动 IGMP Snooping。

如图 3-3所示，Router A通过Ethernet1/0/2 接口连接组播源（Source），通过Ethernet1/0/1

接口连接Switch A；

在 Router A 上运行 PIM DM 和 IGMP，在 Switch A 上运行 IGMP Snooping，并由 Router A

充当 IGMP 查询器。

组播源（Source）发送组播数据的地址为 224.1.1.1；接收者 Host A 和 Host B 加入到组播组

224.1.1.1。

3-15

2. 组网图

图3-3 配置 IGMP Snooping 组网图

Multicast packets

Source

Router A Switch A

Receiver

Receiver

Host B

Host A

Host C

1.1.1.1/24

Eth1/0/4

Eth1/0/2

Eth1/0/3

IGMP querier

Eth1/0/1Eth1/0/110.1.1.1/24

Eth1/0/21.1.1.2/24

3. 配置步骤

(1) 配置各设备接口的 IP 地址

请按照图 3-3配置各接口的IP地址和子网掩码，具体配置过程略。

(2) 配置 Router A

# 启动组播路由，在各接口上启动 PIM-DM，并在接口 Ethernet1/0/1 上启动 IGMP。

<RouterA> system-view

[RouterA] multicast routing-enable

[RouterA] interface Ethernet 1/0/1

[RouterA-Ethernet1/0/1] igmp enable

[RouterA-Ethernet1/0/1] pim dm

[RouterA-Ethernet1/0/1] quit

[RouterA] interface Ethernet 1/0/2

[RouterA-Ethernet1/0/2] pim dm

[RouterA-Ethernet1/0/2] quit

(3) 配置 Switch A

# 全局启动 IGMP Snooping。


[SwitchA] igmp-snooping enable

Enable IGMP-Snooping ok.

# 创建 VLAN 100，把端口 Ethernet1/0/1 到 Ethernet1/0/4 添加到该 VLAN 中，并在该 VLAN 内启

动 IGMP Snooping。

[SwitchA] vlan 100

[SwitchA-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchA-vlan100] igmp-snooping enable


(4) 检验配置效果

3-16

# 查看 Switch A 上 VLAN 100 内的组播组详细信息。

<SwitchA> display igmp-snooping group vlan 100

Total 1 IP Group(s).

Total 1 MAC Group(s).

Vlan(id):100.

Total 1 IP Group(s).

Total 1 MAC Group(s).

Static Router port(s):

Dynamic Router port(s):

Ethernet1/0/1

IP group(s):the following ip group(s) match to one mac group.

IP group address: 224.1.1.1

Static host port(s):

Dynamic host port(s):

Ethernet1/0/3 Ethernet1/0/4

MAC group(s):

MAC group address: 0100-5e01-0101

Host port(s): Ethernet1/0/3 Ethernet1/0/4

以上显示信息表明，SwitchA 上已经建立起以动态路由器端口为 Ethernet1/0/1 和动态主机成员端口

为 Ethernet1/0/3 和 Ethernet1/0/4 的组播组 224.1.1.1，说明 HostA 和 HostB 已经成功加入到组播

组 224.1.1.1。

3.4.2 配置组播 VLAN 功能

1. 组网需求

组播源为 Workstation，Switch A 转发组播源发出的组播数据流。组播数据流通过二层交换机 Switch B 被转发到最终用户 HostA、HostB。

具体的设备编号如下：

表3-24 组网设备具体配置

设备描述说明

Switch A 三层交换机

VLAN 20 接口的 IP 地址为 168.10.1.1，Ethernet1/0/1 属于 VLAN 20，Ethernet1/0/1 和 Work Station 相连

VLAN 10 接口的 IP 地址为 168.10.2.1，Ethernet1/0/10 属于 VLAN 10，Ethernet1/0/10 和 Switch B 相连

Switch B 二层交换机

VLAN 2 包含端口 Ethernet1/0/1，VLAN 3 包括端口 Ethernet1/0/2，两

个端口分别与 HostA、HostB 相连端口 Ethernet1/0/1 和 Ethernet1/0/2 的缺省 VLAN 分别为 VLAN2 和

VLAN3 VLAN 10 包含端口 Ethernet1/0/10 、Ethernet1/0/1 和 Ethernet1/0/2，

并且端口 Ethernet1/0/10 与 SwitchA 相连 VLAN 10 为组播 VLAN 端口 Ethernet1/01 以 untag 方式发送 VLAN2 和 VLAN10 的报文端口 Ethernet1/02 以 untag 方式发送 VLAN3 和 VLAN10 的报文

HostA 用户 1 与 Switch B 的 Ethernet1/0/1 端口相连

HostB 用户 2 与 Switch B 的 Ethernet1/0/2 端口相连

3-17

在该配置举例中，将SwitchA和SwitchB之间相连的端口配置为hybrid端口，配置过程如下面配置过

程所示。用户也可以将SwitchA和SwitchB之间相连的端口配置为trunk端口，配置过程略，可参考

3.2.13 配置组播VLAN。

配置组播 VLAN，使 VLAN 2 和 VLAN 3 内的用户通过组播 VLAN 接收组播流。

2. 组网图

图3-4 组播 VLAN 组网示意图

WorkStation SwitchA SwitchB

Vlan-int20168.10.1.1

Eth1/0/1 Eth1/0/10

Vlan2

Vlan3

Eth1/0/10

Vlan10

Eth1/0/

1

Eth1/0/2

HostA

HostB

Vlan-int10168.10.2.1

3. 配置步骤

以下配置基于 IP 地址已配置，并正确连接设备的前提下进行配置操作。

(1) Switch A 上的配置

# 配置 VLAN 20 接口的 IP 地址为 168.10.1.1，并启动 PIM DM。


[SwitchA] multicast routing-enable

[SwitchA] vlan 20

[SwitchA–vlan20]port Ethernet 1/0/1



[SwitchA-Vlan-interface20] ip address 168.10.1.1 255.255.255.0

[SwitchA-Vlan-interface20] pim dm


# 创建 VLAN10。

[SwitchA] vlan 10


# 将 Ethernet1/0/10 定义为 Hybrid 端口，并将该端口加入到 VLAN10 中，端口发送 VLAN 10 的报

文时带 VLAN 标签。


[SwitchA-Ethernet1/0/10] port link-type hybrid

[SwitchA-Ethernet1/0/10] port hybrid vlan 10 tagged


# 配置 VLAN 10 接口的 IP 地址为 168.10.2.1，并启动 PIM DM 和 IGMP。



[SwitchA-Vlan-interface10] igmp enable

[SwitchA-Vlan-interface10] pim dm

3-18

(2) Switch B 上的配置

# 启动设备 IGMP Snooping。


[SwitchB] igmp-snooping enable

# 创建 VLAN2，3，10，并将 VLAN 10 配置为组播 VLAN，启动 IGMP Snooping。

[SwitchB] vlan 2 to 3

Please wait.... Done.

[SwitchB] vlan 10

[SwitchB-vlan10] service-type multicast

[SwitchB-vlan10] igmp-snooping enable


# 将 Ethernet 1/0/10 定义为 Hybrid 端口，并将该端口加入到 VLAN 2、3、10 中，端口发送 VLAN 2、VLAN 3 和 VLAN 10 的报文时带 VLAN 标签。


[SwitchB-Ethernet1/0/10] port link-type hybrid

[SwitchB-Ethernet1/0/10] port hybrid vlan 2 3 10 tagged

[SwitchB-Ethernet1/0/10] quit

# 将 Ethernet 1/0/1 定义为 Hybrid 端口，并将该端口加入到 VLAN 2、VLAN 10 中，端口发送 VLAN 2 和 VLAN 10 的报文时不带 VLAN 标签，端口的缺省 VLAN 为 VLAN 2。



[SwitchB-Ethernet1/0/1] port hybrid vlan 2 10 untagged

[SwitchB-Ethernet1/0/1] port hybrid pvid vlan 2


# Ethernet 1/0/2 定义为 Hybrid 端口，并将该端口加入到 VLAN 3、VLAN 10 中，端口发送 VLAN 3和 VLAN 10 的报文时不带 VLAN 标签，端口的缺省 VLAN 为 VLAN 3。






3.5 常见配置错误举例

故障现象：交换机不能实现组播功能。

故障排除：

(1) IGMP Snooping 没有启动。

输入命令 display current-configuration 查看 IGMP Snooping 的状态。

如果 IGMP Snooping 没有启动，则需查看是全局下是否没有启动 IGMP Snooping，还是在对

应的 VLAN 下没有启动 IGMP Snooping。如果是前者则需在系统视图下输入命令

igmp-snooping enable 全局启动 IGMP Snooping。同时在 VLAN 视图下输入命令

3-19

igmp-snooping enable以启动对应的VLAN下 IGMP Snooping。如果是后者，则只需在VLAN

视图下输入命令 igmp-snooping enable 以启动对应的 VLAN 下 IGMP Snooping。

(2) IGMP Snooping 建立的组播转发表不正确。

输入命令 display igmp-snooping group 查看组播组是否是所预期的。

如果 IGMP Snooping 建立的组播组不正确，请向专业维护人员求助。

i

目录

1 802.1x配置 ........................................................................................................................................ 1-1

1.1 802.1x简介 ........................................................................................................................................ 1-1

1.1.1 802.1x的体系结构...................................................................................................................1-1 1.1.2 802.1x的工作机制...................................................................................................................1-2 1.1.3 EAPOL消息的封装..................................................................................................................1-3 1.1.4 802.1x的认证过程...................................................................................................................1-5 1.1.5 802.1x的定时器 ......................................................................................................................1-8 1.1.6 802.1x在E152 交换机上的实现............................................................................................... 1-8

1.2 802.1x配置简介 ...............................................................................................................................1-11

1.3 配置 802.1x基本功能.......................................................................................................................1-11

1.3.1 配置准备 ...............................................................................................................................1-11 1.3.2 配置 802.1x基本功能 ............................................................................................................1-12 1.3.3 配置 802.1x的定时器及接入用户的最大数目 ........................................................................ 1-13

1.4 配置 802.1x的应用特性 ...................................................................................................................1-14

1.4.1 配置代理用户检测功能 .........................................................................................................1-14 1.4.2 配置客户端版本检测功能 ...................................................................................................... 1-15 1.4.3 配置允许DHCP触发认证 ...................................................................................................... 1-15 1.4.4 配置Guest VLAN功能 ...........................................................................................................1-15 1.4.5 配置 802.1x重认证功能.........................................................................................................1-16 1.4.6 配置 802.1x重认证定时器 ..................................................................................................... 1-16

1.5 802.1x显示和维护 ...........................................................................................................................1-17

1.6 典型配置举例................................................................................................................................... 1-17

1.6.1 802.1x典型配置举例 .............................................................................................................1-17

2 EAD快速部署配置 ............................................................................................................................. 2-1

2.1 EAD快速部署特性简介 ......................................................................................................................2-1

2.1.1 概述 ........................................................................................................................................ 2-1 2.1.2 实现机制 ................................................................................................................................. 2-1

2.2 EAD快速部署功能配置 ......................................................................................................................2-1

2.2.1 配置准备 ................................................................................................................................. 2-1 2.2.2 配置过程 ................................................................................................................................. 2-1 2.2.3 EAD快速部署显示...................................................................................................................2-2

2.3 EAD快速部署功能配置举例...............................................................................................................2-3

2.4 常见故障诊断与排除..........................................................................................................................2-4

3 HABP特性配置 .................................................................................................................................. 3-1

3.1 HABP特性简介 .................................................................................................................................. 3-1

3.2 配置HABP Server.............................................................................................................................. 3-1

3.3 配置HABP Client ............................................................................................................................... 3-1

3.4 HABP显示 ......................................................................................................................................... 3-2

4 system-guard配置操作 ...................................................................................................................... 4-1

4.1 system-guard简介 .............................................................................................................................4-1

ii

4.1.1 IP防攻击 ................................................................................................................................. 4-1 4.1.2 TCN防攻击 .............................................................................................................................4-1 4.1.3 三层错误报文防攻击 ...............................................................................................................4-1 4.1.4 CPU保护功能..........................................................................................................................4-1

4.2 system-guard防攻击配置 ..................................................................................................................4-1

4.2.1 system-guard IP防攻击配置 ................................................................................................... 4-1 4.2.2 system-guard TCN防攻击配置 ............................................................................................... 4-2 4.2.3 三层错误报文防攻击 ...............................................................................................................4-2 4.2.4 CPU保护功能配置 ..................................................................................................................4-3

4.3 system-guard显示与调试 ..................................................................................................................4-3

1-1

1 802.1x 配置

1.1 802.1x 简介

IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了 802.1x 协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制应用于以太网中，主要解决以太网内认证和安全方面

的问题。

802.1x 协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于

端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接

在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访

问局域网中的资源。

1.1.1 802.1x 的体系结构

使用 802.1x的系统为典型的Client/Server体系结构，包括三个实体，如图 1-1所示分别为：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服

务器）。

图1-1 802.1x 认证系统的体系结构

客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般

为用户终端设备，用户通过启动客户端软件发起 802.1x 认证。客户端软件必须支持 EAPOL

（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）协议。

设备端是位于局域网段一端的另一个实体，用于对所连接的客户端进行认证。设备端通常为支

持 802.1x 协议的网络设备（如 H3C 系列交换机），它为客户端提供接入局域网的端口，该端

口可以是物理端口，也可以是逻辑端口。

认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费，

通常为 RADIUS 服务器。该服务器可以存储用户的相关信息，例如用户的账号、密码以及用

户所属的 VLAN、优先级、用户的访问控制列表等。

三个实体涉及如下四个基本概念：PAE、受控端口、受控方向和端口受控方式。

1-2

1. PAE（Port Access Entity，端口访问实体）

PAE 是认证机制中负责执行算法和协议操作的实体。

设备端 PAE 利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应地对

受控端口的授权/非授权状态进行相应地控制。

客户端 PAE 负责响应设备端的认证请求，向设备端提交用户的认证信息。客户端 PAE 也可以

主动向设备端发送认证请求和下线请求。

2. 受控端口

设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受控端口。

非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户端始终能够发出

或接受认证。

受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁

止传递任何报文。

受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口与非受控端

口上均可见。

3. 受控方向

在非授权状态下，受控端口可以被设置成单向受控：实行单向受控时，禁止从客户端接收帧，但允

许向客户端发送帧。

缺省情况下，受控端口实行单向受控。

4. 端口受控方式

H3C 系列交换机支持以下两种端口受控方式：

基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使

用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。

基于 MAC 地址认证：该物理端口下的所有接入用户都需要单独认证，当某个用户下线时，只

有该用户无法使用网络，不会影响其他用户使用网络资源。

1.1.2 802.1x 的工作机制

IEEE 802.1x 认证系统利用 EAP（Extensible Authentication Protocol，可扩展认证协议）协议，在

客户端和认证服务器之间交换认证信息。

图1-2 802.1x 认证系统的工作机制

在客户端 PAE 与设备端 PAE 之间，EAP 协议报文使用 EAPOL 封装格式，直接承载于 LAN

环境中。

在设备端 PAE 与 RADIUS 服务器之间，EAP 协议报文可以使用 EAPOR（EAP over RADIUS）

封装格式，承载于 RADIUS 协议中；也可以由设备端 PAE 进行终结，而在设备端 PAE 与

RADIUS 服务器之间传送 PAP 协议报文或 CHAP 协议报文。

1-3

当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端 PAE 根据 RADIUS

服务器的指示（Accept 或 Reject）决定受控端口的授权/非授权状态。

1.1.3 EAPOL 消息的封装

1. EAPOL 数据包的格式

EAPOL是 802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报

文，以允许EAP协议报文在LAN上传送。格式如图 1-3所示。

图1-3 EAPOL 数据包格式

PAE Ethernet Type：表示协议类型，802.1x 分配的协议类型为 0x888E。

Protocol Version：表示 EAPOL 帧的发送方所支持的协议版本号。

Type：

EAP-Packet（值为 00），认证信息帧，用于承载认证信息；

EAPOL-Start（值为 01），认证发起帧；

EAPOL-Logoff（值为 02），退出请求帧；

EAPOL-Key（值为 03），密钥信息帧；

EAPOL-Encapsulated-ASF-Alert（值为 04），用于支持 ASF（Alerting Standards Forum）

的 Alerting 消息。

Length：表示数据长度，也就是“Packet Body”字段的长度。如果为 0，则表示没有后面的数据

域。

Packet Body：根据不同的 Type 有不同的格式。

其中，EAPOL-Start，EAPOL-Logoff 和 EAPOL-Key 仅在客户端和设备端之间存在；在设备端和认

证服务器之间，EAP-Packet 报文重新封装承载于 RADIUS 协议上，以便穿越复杂的网络到达认证

服务器；EAPOL-Encapsulated-ASF-Alert 封装与网管相关的信息，例如各种警告信息，由设备端

终结。

2. EAP 数据包的格式

当EAPOL数据包的Type域为EAP-Packet时，Packet Body为EAP数据包内容，如图 1-4所示。

1-4

图1-4 EAP 数据包格式

0 15

Code

Data

Length

7

Identifier 2

4

N

Code：指明 EAP 包的类型，一共有 4 种：Request，Response，Success，Failure。

Identifier：辅助进行 Response 和 Request 消息的匹配。

Length：EAP 包的长度，包含 Code、Identifier、Length 和 Data 的全部内容。

Data：EAP 数据信息，内容格式由 Code 决定。

Success 和 Failure 类型的包没有 Data 域，相应的 Length 域的值为 4。

Request和Response类型的Data域的格式如图 1-5所示。

图1-5 Request 和 Response 类型的 Data 域的格式

Type：指出 EAP 的认证类型。其中，值为 1 时，代表 Identity，用来查询对方的身份；值为 4 时，

代表 MD5-Challenge，类似于 PPP CHAP 协议，包含质询消息。

Type Data：Type Data 域的内容随不同类型的 Request 和 Response 而不同。

3. EAP 属性的封装

RADIUS 为支持 EAP 认证增加了两个属性：EAP-Message（EAP 消息）和 Message-Authenticator（消息认证码）。RADIUS 协议的报文格式请参见“AAA 操作手册”中的 RADIUS 协议简介部分。

EAP-Message属性用来封装EAP数据包，如图 1-6所示，类型代码为 79，string域最长为 253 字节，

如果EAP数据包长度大于 253 字节，可以对其进行分片，依次封装在多个EAP-Message属性中。

图1-6 EAP-Message 属性封装

0 15

Type String

7

Length

N

EAP packets

Message-Authenticator可以用于在使用CHAP、EAP等认证方法的过程中，避免接入请求包被窃听。

在含有EAP-Message属性的数据包中，必须同时包含Message-Authenticator，否则该数据包会被

认为无效而被丢弃。格式如图 1-7所示。

1-5

图1-7 Message-Authenticator 属性

1.1.4 802.1x 的认证过程

H3C E152 交换机支持 EAP 终结方式和 EAP 中继方式进行认证。

1. EAP 中继方式

这种方式是 IEEE 802.1x 标准规定的，将 EAP 协议承载在其他高层协议中，如 EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，EAP 中继方式需要 RADIUS服务器支持 EAP 属性：EAP-Message（值为 79）和 Message-Authenticator（值为 80）。

EAP 中继方式有四种认证方法：EAP-MD5、EAP-TLS（Transport Layer Security，传输层安全）、

EAP-TTLS（Tunneled Transport Layer Security，隧道传输层安全）和 PEAP（Protected Extensible Authentication Protocol，受保护的扩展认证协议）：

EAP-MD5：验证客户端的身份，RADIUS 服务器发送 MD5 加密字（EAP-Request/MD5

Challenge 报文）给客户端，客户端用该加密字对口令部分进行加密处理。

EAP-TLS：客户端和 RADIUS 服务器端通过 EAP-TLS 认证方法检查彼此的安全证书，验证

对方身份，保证通信目的端的正确性，防止网络数据被窃听。

EAP-TTLS：是对 EAP-TLS 的一种扩展。在 EAP TLS 中，实现对客户端和认证服务器的双

向认证。EAP-TTLS 扩展了这种实现，它使用 TLS 建立起来的安全隧道传递信息。

PEAP：首先创建和使用 TLS 安全通道来进行完整性保护，然后进行新的 EAP 协商，从而完

成对客户端的身份验证。

以下以EAP-MD5 方式为例介绍基本业务流程，如图 1-8所示。

1-6

图1-8 IEEE 802.1x 认证系统的 EAP 中继方式业务流程

Supplicant SystemPAE

RADUIS server

EAPOL EAPOR

EAPOL-Start

EAP-Request / Identity

EAP-Response / Identity

EAP-Request / MD5 challenge

EAP-Success

EAP-Response / MD5 challenge

RADIUS Access-Request(EAP-Response / Identity)

RADIUS Access-Challenge(EAP-Request / MD5 challenge)

RADIUS Access-Accept(EAP-Success)

RADIUS Access-Request(EAP-Response / MD5 challenge)

Port authorized

Handshake timerHandshake request

[ EAP-Request / Identity ]

Handshake response[ EAP-Response / Identity ]

EAPOL-Logoff......

Port unauthorized

Authenticator SystemPAE

认证过程如下：

当用户有上网需求时打开 802.1x 客户端，输入已经申请、登记过的用户名和口令，发起连接

请求（EAPOL-Start 报文）。此时，客户端程序将发出请求认证的报文给交换机，开始启动

一次认证过程。

交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity 报文）要求用户

的客户端程序发送输入的用户名。

客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-Response/Identity 报文）

送给交换机。交换机将客户端送上来的数据帧经过封包处理后（RADIUS Access-Request 报

文）送给 RADIUS 服务器进行处理。

RADIUS 服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找

到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字

通过 RADIUS Access-Challenge 报文传送给交换机，由交换机传给客户端程序。

客户端程序收到由交换机传来的加密字（EAP-Request/MD5 Challenge 报文）后，用该加密

字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成 EAP-Response/MD5

Challenge 报文），并通过交换机传给 RADIUS 服务器。

1-7

RADIUS 服务器将加密后的口令信息（RADIUS Access-Request 报文）和自己经过加密运算

后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUS

Access-Accept 报文和 EAP-Success 报文）。

交换机将端口状态改为授权状态，允许用户通过该端口访问网络。

客户端也可以发送 EAPoL-Logoff 报文给交换机，主动终止已认证状态，交换机将端口状态从

授权状态改变成未授权状态。

由于 EAP 中继方式对报文的内容不做改动，如果要采用 PEAP、EAP-TLS、EAP-TTLS 或者

EAP-MD5 这四种认证方法之一，需要在客户端和 RADIUS 服务器上选择一致的认证方法，而在交

换机上，只需要通过 dot1x authentication-method eap 命令启动 EAP 中继方式即可。

2. EAP 终结方式

这种方式将 EAP 报文在设备端终结并映射到 RADIUS 报文中，利用标准 RADIUS 协议完成认证和

计费。

对于 EAP 终结方式，交换机与 RADIUS 服务器之间可以采用 PAP 或者 CHAP 认证方法。以下以

CHAP 认证方法为例介绍基本业务流程，如下图所示。

图1-9 IEEE 802.1x 认证系统的 EAP 终结方式业务流程

1-8

EAP 终结方式与 EAP 中继方式的认证流程相比，不同之处在于用来对用户口令信息进行加密处理

的随机加密字由交换机生成，之后交换机会把用户名、随机加密字和客户端加密后的口令信息一起

送给 RADIUS 服务器，进行相关的认证处理。

1.1.5 802.1x 的定时器

802.1x 认证过程中会启动多个定时器以控制接入用户、交换机以及 RADIUS 服务器之间进行合理、

有序的交互。802.1x 的定时器主要有以下几种：

握手定时器（handshake-period）：此定时器是在用户认证成功后启动的，交换机以此间隔

为周期发送握手请求报文，以定期检测用户的在线情况。如果重试一定次数后仍然没有收到客

户端的响应报文，就认为用户已经下线。用户可以使用 dot1x retry 命令配置最大发送次数。

静默定时器（quiet-period）：对用户认证失败以后，交换机需要静默一段时间（该时间由静

默定时器设置）后，用户可以再重新发起认证，在静默期间，交换机不进行该用户的 802.1x

认证相关处理。

重认证定时器（reauth-period）：每隔该定时器设置的时长，交换机会定期发起 802.1x 重认

证。

RADIUS 服务器超时定时器（server-timeout）：若在该定时器设置的时长内，RADIUS 服务

器未成功响应，交换机将向 RADIUS 服务器重发认证请求报文。

客户端认证超时定时器（supp-timeout）：当交换机向客户端发送了 Request/Challenge 请

求报文后，交换机启动此定时器，若在该定时器设置的时长内，设备端没有收到客户端的响应，

交换机将重发该报文。

传送超时定时器（tx-period）：以下两种情况交换机启动 tx-period 定时器：其一是在客户

端主动发起认证的情况下，当交换机向客户端发送单播 Request/Identity 请求报文后，交换机

启动该定时器，若在该定时器设置的时长内，交换机没有收到客户端的响应，则交换机将重发

认证请求报文；其二是为了对不支持主动发起认证的 802.1x 客户端进行认证，交换机会在启

动 802.1x 功能的端口不停地发送组播 Request/Identity 报文，发送的间隔为 tx-period。

ver-period：客户端版本请求超时定时器。若在该定时器设置的时长内，客户端设备未成功发

送版本应答报文，则交换机将重发版本请求报文。

1.1.6 802.1x 在 E152 交换机上的实现

E152 交换机除了支持前面所述的 802.1x 特性外，还支持如下特性：

与 CAMS 服务器配合，实现检测客户端功能（检测使用代理登录、用户使用多网卡等）；

客户端版本检测功能；

Guest VLAN 功能。

CAMS 服务器是 H3C 公司提供的业务管理系统，支持与交换机等网络产品共同组网，完成终端用

户的认证、授权、计费和权限管理等功能，实现网络的可管理、可运营，保证网络和用户信息的安

全。

1-9

1. 代理用户检测

交换机的 802.1x 代理用户检测特性包括：

检测使用代理服务器登录的用户；

检测使用 IE 代理服务器登录的用户；

检测用户是否使用多网卡（即用户登录时，其 PC 上处于激活状态的网卡超过一个）。

当交换机发现以上任意一种情况时，可以采取以下控制措施：

只切断用户连接，不发送 Trap 报文；

只发送 Trap 报文，不切断用户连接。

此功能的实现需要 802.1x 客户端和 CAMS 的配合：

802.1x 客户端需要具备检测用户是否使用多网卡、代理服务器或者 IE 代理服务器功能；

CAMS 上开启认证客户端禁用多网卡、禁用代理服务器或者禁用 IE 代理服务器功能。

802.1x 客户端默认关闭防止使用多网卡、代理服务器或 IE 代理服务器功能，如果 CAMS 打开防多

网卡、代理或 IE 代理功能，则在用户认证成功时，CAMS 会下发属性通知 802.1x 客户端打开防多

网卡、代理或 IE 代理功能。

该功能的实现需要 H3C 802.1x 客户端程序（iNode）的配合。对于检测通过代理登录的用户功能，需要在 CAMS 上也启用该功能，同时需要在交换机上启用

客户端版本检测功能（通过命令 dot1x version-check 配置）。

2. 客户端版本检测

在交换机上启动了对 802.1x 客户端的版本验证功能后，交换机会对接入用户的 802.1x 客户端软件

的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。

启用客户端版本检测功能后，如果在客户端版本检测定时器设置的时长内，客户端未成功发送版本

应答报文，则交换机将重发版本请求报文。

该功能的实现需要 H3C 802.1x 客户端程序（iNode）的配合。

3. Guest VLAN 功能

Guest VLAN 功能用来允许未认证用户访问某些特定资源。

在实际应用中，如果用户在没有安装 802.1x 客户端的情况下，需要访问某些资源；或者在用户未

认证的情况下升级 802.1x 客户端，这些情况可以通过开启 Guest VLAN 功能来解决。

Guest VLAN 的功能开启后：

交换机将在所有开启 802.1x 功能的端口发送触发认证报文（EAP-Request/Identity），如果

达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加入到 Guest VLAN

中；

1-10

之后属于该 Guest VLAN 中的用户访问该 Guest VLAN 中的资源时，不需要进行 802.1x 认证，

但访问外部的资源时仍需要进行认证。

通常，Guest VLAN 功能与动态 VLAN 下发功能配合使用。

动态 VLAN 下发功能的具体介绍，请参见“AAA 操作手册”中的配置部分。

4. 配置 802.1x 重认证功能

802.1x 重认证是通过定时器或报文触发，对已经认证成功的用户进行一次重新认证。通过启用

802.1x 重认证功能，交换机可以定时检测用户的连接状况。当发现接入用户在一定时间内未响应重

认证报文，则切断与该用户的连接。若用户希望再次连接，则必须通过客户端软件重新发起 802.1x认证。

重认证时交换机上会进行完整的认证过程，将认证的用户名及其密码上传给认证服务器进行认

证，但不同的服务器对重认证的处理策略有所不同，部分服务器会进行用户名密码的校验，部分

服务器只是把重认证作为计费和检查用户连接状况的手段，不进行用户名密码的校验。当认证服务器为 CAMS 时，PAP 和 CHAP 认证方式下重认证时服务器不进行用户名、密码校验，

EAP 认证方式下重认证时进行用户名、密码校验。

图1-10 802.1x 重认证功能示意图

PC

Internet

PC PC

RADIUS Server

Switch

802.1x 重认证功能的开启方式有如下两种：

RADIUS 服务器触发交换机对接入用户的 802.1x 重认证：RADIUS 服务器向交换机发送

Termination-Action 属性字段为 1 的 Access-Accept 报文，交换机收到此报文后会对接入的用

户进行周期性的重新认证。

交换机上配置对接入用户的 802.1x 重认证：用户在交换机上启用 802.1x 重认证功能后，交换

机则会对接入的用户进行周期性的重新认证。

1-11

在使用 CAMS 作为认证服务器时，由于 CAMS 只有对认证用户开始计费时才建立用户会话，当配

置 CAMS 服务器对用户只认证不计费时，802.1x 重认证将无法成功。因此，当要启用 802.1x 重认

证时，不能在 domain 中配置 accounting none。而其他服务器无此限制。

1.2 802.1x 配置简介

802.1x 提供了一个用户身份认证的实现方案，为了实现此方案，除了配置 802.1x 相关命令外，还

需要在交换机上配置 AAA 方案，选择使用 RADIUS 或本地认证方案，以配合 802.1x 完成用户身份

认证。

图1-11 802.1x 配置示意图

ISP domainconfiguration AAA scheme

Localauthentication

RADIUSscheme

802.1x configuration

ISP domainconfiguration AAA scheme

Localauthentication

RADIUSscheme

802.1x configuration

802.1x 用户通过域名和交换机上配置的 ISP 域相关联。

配置 ISP 域使用的 AAA 方案，包括本地认证方案、RADIUS 方案。

如果是需要本地认证，则需要在交换机上手动添加认证的用户名和密码，当用户使用和交换机

中记录相同的用户名和密码，启动 802.1x 客户端软件进行认证时，就可以通过认证。

如果采用 RADIUS 方案，通过远端的 RADIUS 服务器进行认证，则需要在 RADIUS 服务器上

配置相应的用户名和密码，然后在交换机上进行 RADIUS 客户端的相关设置。

也可以配置交换机先采用 RADIUS 方案，通过 RADIUS 服务器进行认证，如果 RADIUS 服务

器无效，则使用本地认证。

AAA 方案的具体配置细节，请参见“AAA 操作手册”中的配置部分。

1.3 配置 802.1x 基本功能

1.3.1 配置准备

配置 ISP 域及其使用的 AAA 方案，选择使用 RADIUS 或者本地认证方案，以配合 802.1x 完

成用户的身份认证。

配置本地认证时，本地用户的服务类型（service-type）必须配置为 lan-access。

1-12

1.3.2 配置 802.1x 基本功能

表1-1 配置 802.1x 基本功能

操作命令说明


开启全局的 802.1x 特性 dot1x 必选

缺省情况下，全局的 802.1x 特性为关

闭状态

系统视图下 dot1x interface interface-list


dot1x

开启端口的

802.1x 特性端口视图下

quit

必选

缺省情况下，端口的 802.1x 特性均为

关闭状态

系统视图下

dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ]


dot1x port-control { authorized-force | unauthorized-force | auto }

设置端口接入

控制的模式

端口视图下

quit

可选

缺省情况下，802.1x 在端口上进行接

入控制的模式为 auto

系统视图下 dot1x port-method { macbased | portbased } [ interface interface-list ]


dot1x port-method { macbased | portbased }

设置端口接入

控制方式端口视图下

quit

可选

缺省情况下，802.1x 在端口上进行接

入控制方式为 macbased，即基于

MAC 地址进行认证

设置 802.1x 用户的认证方法 dot1x authentication-method { chap | pap | eap }

可选

缺省情况下，交换机采用 EAP 终结方

式的 CHAP 认证方法

开启在线用户握手功能 dot1x handshake enable 可选

缺省情况下，开启在线用户握手功能


开启握手报文的安全扩展功能 dot1x handshake secure 可选

缺省情况下，关闭握手报文的安全扩

展功能

1-13

必须同时开启全局和端口的 802.1x 特性后，802.1x 的配置才能生效。如果端口启动了 802.1x，则不能配置该端口的最大 MAC 地址学习个数；反之，如果端口配置了

最大 MAC 地址学习个数，则禁止在该端口上启动 802.1x。如果端口启动了 802.1x，则不能配置该端口加入汇聚组。反之，如果该端口已经加入到某个汇聚

组中，则禁止在该端口上启动 802.1x。 802.1x 用户在线时，如果通过 dot1x port-method 命令更改端口接入控制方式，则在线用户会

被强制下线。当采用设备本身作为认证服务器时，802.1x 用户的认证方法，不可以配置为 EAP 方式。握手报文的发送需要 H3C 私有客户端的支持，用以探测用户是否在线。对于非 H3C 客户端，由

于不支持握手功能，在握手周期内交换机不会收到握手回应报文。因此需要将在线用户握手功能

关闭，以防止错误地认为用户下线。握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用，若客户端或

者认证服务器不支持握手报文的安全扩展功能，则需要关闭此功能。

1.3.3 配置 802.1x 的定时器及接入用户的最大数目

表1-2 配置 802.1x 的定时器及接入用户的最大数目

操作命令说明


系统视图下 dot1x max-user user-number [ interface interface-list ]


dot1x max-user user-number

设置端口同时

接入用户数量

的最大值端口视图下

quit

可选

缺省情况下，所有的端口上都允许同时

最多有 256 个接入用户

设置允许认证请求帧的最大

发送次数 dot1x retry max-retry-value

可选

缺省情况下，max-retry-value 为 2，即

设备最多可向接入用户发送 2 次认证

请求帧

配置定时器参数

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value }

可选

缺省情况下，handshake-period-value为 15 秒，quiet-period-value 为 60 秒

server-timeout-value 为 100 秒

supp-timeout-value 为 30 秒，

tx-period-value 为 30 秒，

ver-period-value 为 30 秒

开启静默定时器 dot1x quiet-period 可选

缺省情况下，静默定时器处于关闭状态

1-14

dot1x max-user 命令还可以在端口视图下进行配置。在系统视图下，当没有指定任何确定的端

口时，是对所有端口进行相关配置。在端口视图下使用此命令时，不能输入 interface-list 参数，

仅对当前端口进行配置。一般情况下，建议保持 802.1x 定时器的缺省值。

1.4 配置 802.1x 的应用特性

802.1x 的应用特性的各项配置都是可选的，包括如下配置任务：

配置 802.1x 与 CAMS 配合应用的特性：检测客户端使用多网卡、代理等；

配置客户端版本检测功能；

配置允许 DHCP 触发认证；

配置 Guest VLAN 功能；

配置 802.1x 重认证功能；

配置 802.1x 重认证的超时定时器。

在配置 802.1x 的应用特性前，请首先完成 802.1x 的基本功能配置。

1.4.1 配置代理用户检测功能

表1-3 配置代理用户检测功能

操作命令说明


开启全局的代理检测功能 dot1x supp-proxy-check { logoff | trap }

必选

缺省情况下，全局的 802.1x 代

理检测特性都处于关闭状态

系统视图下 dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]


dot1x supp-proxy-check { logoff | trap }

开启端口的代

理检测功能端口视图下

quit

必选

缺省情况下，端口的 802.1x 代

理检测特性都处于关闭状态

该功能的实现需要 H3C 802.1x 客户端程序（iNode）的配合。 802.1x 的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前，必须先开启在线用

户握手功能。对于检测通过代理登录的用户功能，需要在 CAMS 上也启用该功能，同时需要在交换机上启用

客户端版本检测功能（通过命令 dot1x version-check 配置）。

1-15

1.4.2 配置客户端版本检测功能

表1-4 配置客户端版本检测功能

操作命令说明


系统视图下 dot1x version-check [ interface interface-list ]


dot1x version-check

启动对 802.1x客户端的版本

验证功能端口视图下

quit

必选

缺省情况下，所有端口的 802.1x 客户

端版本检测特性都处于关闭状态

设置交换机向客户端发送版本验

证请求帧的最大次数 dot1x retry-version-max max-retry-version-value

可选

缺省情况下，可重复向客户端发送版

本请求帧的最大次数为 3 次

配置版本验证的超时定时器 dot1x timer ver-period ver-period-value

可选

缺省情况下，版本验证的超时定时器

为 30 秒

dot1x version-check 命令还可以在端口视图下进行配置。在系统视图下，当没有指定任何确定的

端口时，是对所有端口进行相关配置。在端口视图下使用此命令时，不能输入 interface-list 参数，

仅对当前端口进行配置。

1.4.3 配置允许 DHCP 触发认证

通过如下配置，802.1x 允许设备在接入用户运行 DHCP、申请动态 IP 地址时就触发对其的身份认

证。

表1-5 配置检测用户配置静态 IP 地址功能

操作命令说明


允许 DHCP 触发认证 dot1x dhcp-launch 必选

缺省情况下，不允许 DHCP 触发对接

入用户的身份认证

1.4.4 配置 Guest VLAN 功能

表1-6 配置 Guest VLAN 功能

操作命令说明


设置端口接入控制方式 dot1x port-method portbased 必选

缺省情况下，802.1x 在端口上进行接入

控制方式为基于 MAC 地址进行认证

1-16

操作命令说明

系统视图下 dot1x guest-vlan vlan-id [ interface interface-list ]


dot1x guest-vlan vlan-id

开启 Guest VLAN 功能

端口视图下

quit

必选

缺省情况下，Guest VLAN 功能处于关

闭状态

只有在端口认证方式下，交换机才可以支持 Guest VLAN 功能。一台交换机只能配置一个 Guest VLAN。当交换机配置为 dot1x dhcp-launch 方式时，因为该方式下交换机不发送主动认证报文，Guest

VLAN 功能不能实现。

1.4.5 配置 802.1x 重认证功能

表1-7 启用 802.1x 用户重认证功能

操作命令说明


系统视图下 dot1x re-authenticate [ interface interface-list ]

启用 802.1x用户重认证

功能端口视图下 dot1x re-authenticate

必选

缺省情况下，所有端口的 802.1x重认证功能均处于关闭状态

在启动端口 802.1x 重认证功能之前，必须开启全局 802.1x 功能和该端口的 802.1x 功能。重认证时交换机上会进行完整的认证过程，将认证的用户名及其密码上传给认证服务器进行认

证，但不同的服务器对重认证的处理策略有所不同，部分服务器会进行用户名密码的校验，部分

服务器只是把重认证作为计费和检查用户连接状况的手段，不进行用户名密码的校验。当认证服务器为 CAMS 时，PAP 和 CHAP 认证方式下重认证时服务器不进行用户名、密码校验，

EAP 认证方式下重认证时进行用户名、密码校验。

1.4.6 配置 802.1x 重认证定时器

交换机启用重认证功能后，通过以下两种方式可以确定重认证周期时间：

(1) 交换机以 RADIUS 服务器下发的 Access-Accept 报文中 Session-timeout 属性字段的取值，作

为重认证周期。

(2) 交换机以 dot1x timer reauth-period 命令设置的值，作为接入用户的重认证周期。


在重认证过程中，无论采用上述哪种方式确定 802.1x 重认证周期时间，交换机只采用最后一次设

定的重认证周期。例如，用户在交换机上配置了重认证的周期后，交换机又收到了

1-17

Termination-Action 属性字段为 1 的 Access-Accept 报文，则交换机将按照 Access-Accept 报文中

的 Session-timeout 属性字段的取值作为最终的重认证周期。

下面给出在交换机上进行配置的过程。

表1-8 配置定时器的超时时长

操作命令说明


配置重认证定时器的时长 dot1x timer reauth-period reauth-period-value

可选

缺省情况下，重认证定时器的值为 3600 秒

1.5 802.1x 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置 802.1x 后的运行情况，通过查看

显示信息验证配置的效果。

在用户视图下，执行 reset 命令可以清除 802.1x 的统计信息。

表1-9 802.1x 配置的显示和维护

操作命令说明

显示 802.1x 的配置信息、运行情

况和统计信息 display dot1x [ sessions | statistics ] [ interface interface-list ]


行

清除 802.1x 的统计信息 reset dot1x statistics [ interface interface-list ] reset 命令在用户视图下执行

1.6 典型配置举例

1.6.1 802.1x 典型配置举例

1. 组网需求

要求在各端口上对用户接入进行认证，以控制其访问 Internet；接入控制模式要求是基于 MAC

地址的接入控制。

所有接入用户都属于一个缺省的域：aabbcc.net，该域最多可容纳 30 个用户；认证时，先进

行 RADIUS 认证，如果 RADIUS 服务器没有响应再转而进行本地认证；计费时，如果 RADIUS

计费失败则切断用户连接使其下线；此外，接入时在用户名后不添加域名，正常连接时如果用

户有超过 20 分钟流量持续小于 2000Bytes 的情况则切断其连接。

由两台 RADIUS 服务器组成的服务器组与交换机相连，其 IP 地址分别为 10.11.1.1 和

10.11.1.2，前者作为主认证/备份计费服务器，后者作为备份认证/主计费服务器；设置系统与

认证 RADIUS 服务器交互报文时的加密密码为“name”、与计费 RADIUS 服务器交互报文时

的加密密码“money”，设置系统在向 RADIUS 服务器发送报文后 5 秒种内如果没有得到响

应就向其重新发送报文，重复发送报文的次数总共为 5 次，设置系统每 15 分钟就向 RADIUS

服务器发送一次实时计费报文，指示系统从用户名中去除用户域名后再将之传给 RADIUS 服

务器。

1-18

本地 802.1x 接入用户的用户名为 localuser，密码为 localpass，使用明文输入，闲置切断功

能处于打开状态。

2. 组网图

图1-12 启动 802.1x 和 RADIUS 对接入用户进行 AAA 操作

3. 配置步骤

下述各配置步骤包含了大部分 AAA/RADIUS 协议配置命令，对这些命令的介绍，请参见“AAA 操

作手册”中的配置部分。此外，客户端和 RADIUS 服务器上的配置略。

# 开启全局 802.1x 特性。



[Sysname] dot1x

# 开启指定端口 Ethernet 1/0/1 的 802.1x 特性。

[Sysname] dot1x interface Ethernet 1/0/1

# 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于 MAC 地址

的）。

[Sysname] dot1x port-method macbased interface Ethernet 1/0/1

# 创建 RADIUS 方案 radius1 并进入其视图。

[Sysname] radius scheme radius1

# 设置主认证/计费 RADIUS 服务器的 IP 地址。

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

# 设置备份认证/计费 RADIUS 服务器的 IP 地址。

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

# 设置系统与认证 RADIUS 服务器交互报文时的加密密码。

[Sysname -radius-radius1] key authentication name

1-19

# 设置系统与计费 RADIUS 服务器交互报文时的加密密码。

[Sysname-radius-radius1] key accounting money


[Sysname-radius-radius1] timer 5

[Sysname-radius-radius1] retry 5

# 设置系统向 RADIUS 服务器发送实时计费报文的时间间隔。

[Sysname-radius-radius1] timer realtime-accounting 15

# 指示系统从用户名中去除用户域名后再将之传给 RADIUS 服务器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

# 创建域 aabbcc.net 并进入其视图。

[Sysname] domain aabbcc.net

# 指定 radius1 为该域用户的 RADIUS 方案，若 RADIUS 服务器无效，则使用本地认证方案。

[Sysname-isp-aabbcc.net] scheme radius-scheme radius1 local

# 设置该域最多可容纳 30 个用户。

[Sysname-isp-aabbcc.net] access-limit enable 30


[Sysname-isp-aabbcc.net] idle-cut enable 20 2000

[Sysname-isp-aabbcc.net] quit


[Sysname] domain default enable aabbcc.net


[Sysname] local-user localuser

[Sysname-luser-localuser] service-type lan-access

[Sysname-luser-localuser] password simple localpass

2-1

2 EAD 快速部署配置

2.1 EAD 快速部署特性简介

2.1.1 概述

EAD（Endpoint Admission Defense，端点准入防御）方案作为一个整合方案，提升了网络的整体

防御能力。但是在实际的应用过程中 EAD 客户端的部署工作量很大，带来不便。

H3C E152 以太网交换机通过 802.1x 认证支持 EAD 客户端的强制下发功能，实现了 EAD 客户端的

快速部署。

2.1.2 实现机制

E152 以太网交换机利用以下两个功能实现 EAD 客户端的强制下发功能，解决目前 EAD 推广中的

客户端部署难题。

1. 用户受限访问

802.1x 认证成功之前（包括认证失败），通过 ACL 限制终端用户只能访问一个特定的 IP 地址段或

是特定服务器，在特定服务器上提供 EAD 客户端的下载升级或者动态地址分配等服务。

2. 用户 HTTP 访问 URL 重定向功能

终端用户在未进行 802.1x 认证前（包括认证失败），使用 IE 访问网络，交换机会将用户访问的 URL重定向到设置好的 URL（EAD 客户端下载界面），这样用户一打开 IE 就必须进入管理员预设的界

面。

通过以上两个功能结合使用，EAD 可以在部署时要求所有接入网络的终端用户到指定的机器上下载

客户端，并进行安装，解决了 EAD 客户端部署困难和工作量大的难题。

EAD 快速部署特性只在 802.1x 端口接入控制的模式为 auto 的情况下生效。

2.2 EAD 快速部署功能配置

2.2.1 配置准备

设备启用 802.1x。

802.1x 在指定端口上接入控制的模式为 auto。

2.2.2 配置过程

1. 配置可访问的受限 IP 网段

受限 IP 网段是指 802.1x 认证成功之前（包括认证失败），终端用户可以访问的 IP 地址段，也称为

免认证 IP 网段。

2-2

表2-1 配置受限 IP 网段



配置重定向 URL dot1x url url-string 必选

配置免认证 IP 网段 dot1x free-ip ip-address { mask-address | mask-length }

必选

缺省情况下，系统没有配置免认证 IP 网段地址

在配置免认证 IP 网段时必须先配置重定向的 URL，此 URL 必须以“http://”开头。URL 所在网

段必须处于免认证 IP 网段，否则不能重定向。配置免认证 IP 网段时不能开启 802.1x 特性的 dhcp-launch 功能。在没有开启 EAD 快速部署功能时，开启 dot1x 后，若认证失败，则不能访问 DHCP 服务器。在

开启了 EAD 快速部署功能后，若 DHCP 服务器在 Free IP 网段内，则认证成功前可以动态获得

IP 地址。 EAD 快速部署功能只对接入控制的模式为 auto（通过 dot1x port-control 命令配置）的端口才

有效。目前的 EAD 支持快速部署特性只是基于 802.1x 认证方式实现，其他接入方式暂不支持。目前的 EAD 快速部署特性不支持端口安全，在使能端口安全的情况下，配置的受限 IP 网段功能

失效。 EAD 快速部署特性和 MAC 地址认证不能同时开启，请在使用中注意。

2. 配置 ACL 定时器超时时间

EAD 快速部署功能通过 ACL 来给予未通过认证的终端用户受限制的网络访问权限，在用户认证成

功后，所占用的 ACL 将被释放。由于设备支持的 ACL 数量有限，当大量用户同时上线时，ACL 资

源将迅速被占用，如果没有用户认证成功，将出现 ACL 数量不足的情况，这样会导致一部分用户无

法上线。

管理员可以通过配置 ACL 定时器超时时间来控制对 ACL 资源的占用，当用户访问网络时该定时器

即开始计时，如果该用户在超时时间内没有下载客户端并进行认证，则删除其所占用的 ACL 资源，

使其他用户可以进行接入。在接入用户数量较多时，可以将超时时间适当缩短，以提高 ACL 的使用

效率。

表2-2 配置 ACL 定时器超时时间



配置 ACL 定时器超时时间 dot1x timer acl-timeout acl-timeout-value

可选

缺省情况下 ACL 定时器超时时间值为 30 分钟

2.2.3 EAD 快速部署显示

在完成上述配置后，在任意视图下执行 display 命令，可以显示 EAD 支持快速部署特性的配置情

况。

2-3

表2-3 显示 dot1x 相关信息

操作命令说明

显示 EAD 快速部署特性的相

关配置 display dot1x [ sessions | statistics ] [ interface interface-list ]

display 命令可以在任意视图下

执行

2.3 EAD 快速部署功能配置举例

1. 组网需求

用户直接和交换机相连，交换机和 Web 服务器、外部网络相连。用户在未通过认证前，IE 访问外

部网络会被重定向至 Web 服务器，下载认证客户端，升级软件等。通过认证后，PC 可以访问网络。

2. 组网图

图2-1 EAD 快速部署配置举例组网图

3. 配置步骤

# 用户在使用 EAD 快速部署功能之前首先必须配置好 Web 服务器，也就是用户接入设备后，能够

下载客户端的重定向服务器。

# 用户的 PC 的默认网关配置为与其直连的交换机 VLAN 所对应的 IP 地址。

# 配置重定向 URL。


[Sysname] dot1x url http://192.168.0.111

# 配置一条免认证 IP 网段。

[Sysname] dot1x free-ip 192.168.0.111 24

# 配置 ACL 定时器超时时间为 10 分钟。

[Sysname] dot1x timer acl-timeout 10

# 启动全局 dot1x。

[Sysname] dot1x

2-4

# 启动端口 dot1x。


2.4 常见故障诊断与排除

故障描述：用户使用 IE 浏览器输入任意地址不能正确重定向到指定的 URL 服务器。

故障排除：

如果用户在自己 PC 的 IE 地址栏内输入了字符串类型的地址，此时会发现不能正确重定向。

这和 PC 使用的操作系统有关，此种情况下 PC 首先会将这个字符串地址作为名字进行网络地

址解析，如果解析不成功会访问某个特定的网站，通常这个地址不是 X.X.X.X 形式的，这样

PC 发出的 ARP 请求就不会收到回应，也就不能进行重定向。故 IE 内输入的地址应该为

X.X.X.X（点分十进制格式）的非免认证 IP 网段地址才有效。

如果用户在自己 PC 的 IE 地址栏内输入了符合免认证 IP 配置的网段内的任意地址，也不会进

行重定向操作，设备此时认为用户试图访问免认证 IP 网段的某台主机，即使这台主机不存在。

如果需要进行重定向，则需输入非免认证 IP 网段的任意地址。

是否用户在配置和组网时没有将服务器加入免认证 IP 网段，或者配置的 URL 是个不存在的地

址，或者该 URL 指向的服务器没有提供 Web 服务。

3-1

3 HABP 特性配置

3.1 HABP 特性简介

如果交换机上启动了 802.1x 功能，交换机会对启动了 802.1x 的端口进行授权认证，只允许经过授

权的端口转发报文。此时如果连接下挂交换机的端口没有通过 802.1x 的授权和认证，所有的报文

将会被过滤，使用户无法对下挂的交换机进行管理。HABP（Huawei Authentication Bypass Protocol，华为旁路认证协议）特性可以解决这个问题。

交换机上启动了 HABP 特性之后，HABP 报文将会忽略端口上的 802.1x 认证，在交换机之间进行

通信。其中 HABP 报文携带下挂交换机的 MAC 地址等信息，从而使管理设备可以获取下挂交换机

的 MAC 地址，对下挂的交换机进行管理。

HABP 包括 HABP Server 和 HABP Client。一般情况下，Server 会定期向 Client 发送 HABP 请求

报文，收集下挂交换机的MAC地址。而Client会对请求报文进行应答，同时向下层交换机转发 HABP请求报文。HABP Server 一般应该在管理设备上启动，HABP Client 应该在下挂的交换机上启动。

如果交换机上启动了 802.1x，建议用户启动 HABP 特性，以便对交换机进行管理。

3.2 配置 HABP Server

在管理设备上启动了 HABP Server 以后，管理设备就会向下挂的交换机发送 HABP 请求报文，收

集下挂交换机的 MAC 地址，以方便对下挂交换机的管理。发送 HABP 请求报文的时间间隔也是在

管理设备上进行配置的。

表3-1 HABP Server 的配置

操作命令说明


开启 HABP 特性 habp enable 可选

缺省情况下，HABP 特性处于开启状态

配置当前交换机为 HABP Server habp server vlan vlan-id

必选

缺省情况下，交换机的 HABP 特性工作在 Client模式下，必须开启 HABP Server 才可以对 Client进行管理

配置发送 HABP 请求报文

的时间间隔 habp timer interval

可选

缺省情况下，交换机发送 HABP 请求报文的时间

间隔为 20 秒

3.3 配置 HABP Client

HABP Client 在下挂的交换机上启动。交换机上启动 HABP 特性后，交换机缺省情况下就运行在

HABP Client 模式下。因此本配置只要在交换机上启动 HABP 特性即可。

3-2

表3-2 配置 HABP Client

操作命令说明


开启 HABP 特性 habp enable

可选

缺省情况下，HABP 特性处于开启状态。

启动了 HABP 特性之后，HABP 特性即工作在 Client 模式下

3.4 HABP 显示

在完成上述配置后，在任意视图下执行 display 命令都可以显示配置后 HABP 特性的运行情况。用

户可以通过查看显示信息验证配置的效果。

表3-3 HABP 显示

操作命令说明

显示 HABP 特性的配置信息和状态 display habp

显示 HABP 的 MAC 地址表的信息 display habp table

显示 HABP 报文的统计信息 display habp traffic

display 命令可以在任意

视图下执行

4-1

4 system-guard 配置操作

新增“CPU保护功能”，具体配置请参见 4.2.4 CPU保护功能配置。

4.1 system-guard 简介

4.1.1 IP 防攻击

system-guard 功能通过监控 10 秒钟内 CPU 收到的 IP 报文，找到这 10 秒中内有攻击特性的源 IP地址，并对其进行统计，一旦超过设定的阈值，则对此 IP 地址采取如下控制措施：当检查到有攻击

特性的源 IP 地址时，如果该源 IP 地址对应的主机发送的报文需要交换机发送至 CPU 进行处理，则

交换机会降低此源 IP 的报文上送 CPU 处理的优先级。

4.1.2 TCN 防攻击

监测端口的TCN/TC收包速率。如果端口收到过多TCN/TC报文，则每10秒只上送1个报文给CPU，

其他 TCN/TC 报文丢弃，同时输出 trap 和 log 信息。

4.1.3 三层错误报文防攻击

将错误的三层报文上送 CPU。

4.1.4 CPU 保护功能

在设备遭受攻击时，大量报文会上送 CPU 处理从而导致设备 CPU 占用率异常过高，影响到正常业

务的使用。CPU 保护功能通过设置 CPU 保护参数来调节单位时间内上送 CPU 的报文数量，以防

止 CPU 占用率过高。

4.2 system-guard 防攻击配置

4.2.1 system-guard IP 防攻击配置

system-guard IP 防攻击的配置包括：

开启 system-guard IP 防攻击监测功能。

设置当前最大可监测的染毒主机数目。

设置每次地址学习相关参数。

表4-1 开启 system-guardIP 防攻击监测功能

操作命令说明


开启 system-guard 监测功能 system-guard ip enable 必选

缺省情况下，禁止 system-guard 监测

功能

4-2

操作命令说明

设置当前最大可监测的染毒主机数

目 system-guard ip detect-maxnum number

可选

缺省情况下，当前最大可监测染毒主机

的数目为 30

设置地址学习数目的上限、重复学习

次数的上限和隔离时间

system-guard ip detect-threshold ip-record-threshold record-times-threshold isolate-time

可选

缺省情况下，ip-record-threshold 的值

为 30、record-times-threshold 的值为

1、isolate-time 的值为 3

system-guard ip detect-threshold 命令设置的各参数的相互关系，通过如下举例得以较为清晰的

体现：在设置了地址学习数目的上限为 50、重复监测次数的上限为 3、隔离时间为 5 倍的 MAC 地

址老化时间后，系统如果连续 3 次监测到 10 秒钟的周期内来自某一个源 IP 地址的 IP 报文（其目

的 IP 地址不是交换机的 IP 地址）的个数超过了 50，系统就认为受到了攻击，将此源 IP 监测出来，

在 5 倍的 MAC 地址老化时间内降低此源 IP 的报文上送 CPU 处理的优先级。

4.2.2 system-guard TCN 防攻击配置

可以通过以下配置命令配置 system-guard TCN 防攻击使能，及配置 TCN/TC 报文的收包速率限制。

表4-2 配置 system-guard TCN 防攻击

操作命令说明


开启 TCN 防攻击功能 system-guard tcn enable 必选

缺省情况下，TCN 防攻击功能处

于关闭状态

设置 TCN 防攻击监测端口的

TCN/TC 收包速率 system-guard tcn rate-threshold rate-threshold

可选

缺省情况下，TCN/TC 报文的收

包速率限制为 1 pps

设备监测周期为 10 秒，因此缺省情况下 10 秒内收到的 TCN/TC 报文超过 10 个，则会发送 trap 和

log。并且当一个 10 秒的监测周期内收到的 TCN/TC 报文低于设置的收包速率时，则下一个监测周

期设备恢复正常状态，不再发送 trap 和 log。

4.2.3 三层错误报文防攻击

可以通过以下配置命令配置三层错误报文防攻击。

表4-3 配置三层错误报文防攻击

操作命令说明


4-3

操作命令说明

开启三层错误报文防攻击功能 system-guard l3err enable 必选

缺省情况下，三层错误报文防攻击


4.2.4 CPU 保护功能配置

CPU 保护功能通过限制单位时间内上送 CPU 报文的总数量来实现，会有部分正常功能的报文受到影响

不能被及时调度，从而导致功能使用不是很流畅。因此没有特殊需要不建议使用该功能。

表4-4 CPU 保护功能配置

操作命令说明


开启 CPU 保护功能，并配置 CPU 保

护参数 system-guard cpu-rcv-limit protection-parameter

必选

缺省情况下，CPU 保护功能关闭

4.3 system-guard 显示与调试

完成上述配置后，在任意视图下执行 display 命令可以显示配置后 system-guard 的运行情况，通

过查看显示信息验证配置的效果。

表4-5 system-guard 显示与调试

操作命令说明

显示当前 IP 防攻击的监测结果以及设置的参数 display system-guard ip state

显示本次监测周期中，交换机的 CPU 上收到的

IP 报文的情况 display system-guard ip-record

显示三层错误报文防攻击的状态 display system-guard l3err state

显示 TCN 防攻击的状态 display system-guard tcn state

display命令可以在


i

目录

1 AAA简介 ............................................................................................................................................ 1-1

1.1 AAA简介 ............................................................................................................................................ 1-1

1.1.1 认证功能 ................................................................................................................................. 1-1 1.1.2 授权功能 ................................................................................................................................. 1-1 1.1.3 计费功能 ................................................................................................................................. 1-1 1.1.4 ISP域简介 ...............................................................................................................................1-1

1.2 AAA服务简介..................................................................................................................................... 1-2

1.2.1 RADIUS服务简介....................................................................................................................1-2 1.2.2 HWTACACS简介....................................................................................................................1-6

2 AAA配置 ............................................................................................................................................ 2-1

2.1 配置AAA............................................................................................................................................ 2-1

2.1.1 创建ISP域并配置其属性 .........................................................................................................2-2 2.1.2 配置ISP域的认证、授权、计费方案 ....................................................................................... 2-3 2.1.3 配置动态VLAN下发.................................................................................................................2-5 2.1.4 配置本地用户的属性 ...............................................................................................................2-7 2.1.5 配置强制切断用户连接 ...........................................................................................................2-8

2.2 配置RADIUS ..................................................................................................................................... 2-8

2.2.1 创建RADIUS方案..................................................................................................................2-10 2.2.2 配置RADIUS认证/授权服务器 .............................................................................................. 2-10 2.2.3 配置RADIUS授权属性忽略功能............................................................................................ 2-11 2.2.4 配置RADIUS计费服务器....................................................................................................... 2-12 2.2.5 配置RADIUS报文的共享密钥 ............................................................................................... 2-12 2.2.6 配置RADIUS请求报文的最大传送次数 ................................................................................. 2-13 2.2.7 配置支持的RADIUS服务器的类型 ........................................................................................ 2-13 2.2.8 配置RADIUS服务器的状态 ................................................................................................... 2-14 2.2.9 配置发送给RADIUS服务器的数据相关属性.......................................................................... 2-14 2.2.10 配置本地RADIUS认证服务器 ............................................................................................. 2-15 2.2.11 配置RADIUS服务器的定时器 ............................................................................................. 2-16 2.2.12 配置系统发送RADIUS 服务器状态变为Down的Trap.......................................................... 2-17 2.2.13 配置设备重启用户再认证功能............................................................................................. 2-17

2.3 配置HWTACACS ............................................................................................................................ 2-18

2.3.1 创建HWTACACS方案 ..........................................................................................................2-18 2.3.2 配置TACACS认证服务器...................................................................................................... 2-19 2.3.3 配置TACACS授权服务器...................................................................................................... 2-19 2.3.4 配置TACACS计费服务器...................................................................................................... 2-19 2.3.5 配置HWTACACS报文的共享密钥 ........................................................................................ 2-20 2.3.6 配置发送给TACACS服务器的数据相关属性......................................................................... 2-20 2.3.7 配置TACACS服务器的定时器 .............................................................................................. 2-21

2.4 AAA显示和维护 ...............................................................................................................................2-22

2.5 AAA典型配置举例 ...........................................................................................................................2-23

2.5.1 Telnet/SSH用户通过RADIUS服务器认证的应用配置........................................................... 2-23

ii

2.5.2 FTP/Telnet用户本地认证配置............................................................................................... 2-24 2.5.3 配置Telnet用户通过TACACS服务器进行认证和授权 ........................................................... 2-25 2.5.4 Auto VLAN典型配置举例 ...................................................................................................... 2-26

2.6 AAA常见配置错误举例 ....................................................................................................................2-28

2.6.1 RADIUS常见配置错误举例 ................................................................................................... 2-28 2.6.2 HWTACACS常见配置错误举例 ............................................................................................ 2-28

3 EAD配置............................................................................................................................................ 3-1

3.1 EAD简介............................................................................................................................................ 3-1

3.2 EAD配置的典型组网应用 ..................................................................................................................3-1

3.3 EAD配置............................................................................................................................................ 3-2

3.4 EAD典型配置过程举例 ......................................................................................................................3-2

1-1

1 AAA 简介

1.1 AAA 简介

AAA 是 Authentication，Authorization and Accounting（认证、授权和计费）的简称，它是对网络

安全的一种管理方式。提供了一个对认证、授权和计费这三种功能进行统一配置的框架。

认证：哪些用户可以访问网络服务器；

授权：具有访问权的用户可以得到哪些服务；

计费：如何对正在使用网络资源的用户进行计费。

AAA 一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。

因此，AAA 框架具有良好的可扩展性，并且容易实现用户信息的集中管理。

1.1.1 认证功能

AAA 支持以下认证方式：

不认证：对用户非常信任，不对其进行合法性检查。一般情况下不建议用户采用这种方式。

本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证

的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。

远端认证：支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证，设备（如 H3C 系列交

换机）作为客户端，与 RADIUS 服务器或 TACACS 服务器通信。对于 RADIUS 协议，可以

采用标准或扩展的 RADIUS 协议，与 iTELLIN/CAMS 等系统配合完成认证。远端认证的优点

是便于集中管理，并且提供丰富的业务特性；缺点是必须提供服务器，并进行服务器端的正确

配置。

1.1.2 授权功能

AAA 支持以下授权方式：

直接授权：对用户非常信任，直接授权通过。

本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。

RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用

RADIUS 进行授权。

HWTACACS 授权：由 TACACS 服务器对用户进行授权。

1.1.3 计费功能

AAA 支持以下计费方式：

不计费：不对用户计费。

远端计费：支持通过 RADIUS 服务器或 TACACS 服务器进行远端计费。

1.1.4 ISP 域简介

ISP 域即 ISP 用户群，一个 ISP 域是由属于同一个 ISP 的用户构成的用户群。

1-2

在“userid@isp-name”或者“userid.isp-name”形式的用户名中，“@” 或者“.”后的“isp-name”即为 ISP 域的域名。接入设备将“userid”作为用于身份认证的用户名，将“isp-name”作为域名。

在多个 ISP 的应用环境中，同一个接入设备接入的有可能是不同 ISP 的用户。由于各 ISP 用户的用

户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同，因此有必要通过设置 ISP 域

的方法把它们区别开。

在 ISP 域视图下，可以为每个 ISP 域配置包括使用的 AAA 策略（使用的 RADIUS 方案等）在内的

一整套单独的 ISP 域属性。

1.2 AAA 服务简介

1.2.1 RADIUS 服务简介

AAA 是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们最常使用 RADIUS 服务

来实现 AAA。

1. 什么是 RADIUS

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、

客户端/服务器结构的服务方式，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、

又要求控制远程用户访问权限的各种网络环境中。

RADIUS 服务包括三个组成部分：

协议：RFC 2865 和 RFC 2866 基于 UDP/IP 层定义了 RADIUS 帧格式及其消息传输机制，并

定义了 1812 作为认证端口，1813 作为计费端口。

服务器：RADIUS 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访

问信息。

客户端：位于网络接入服务器设备侧，可以遍布整个网络。

RADIUS 采用客户端/服务器模型。

交换机作为 RADIUS 客户端，负责传输用户信息到指定的 RADIUS 服务器，然后根据从服务

器返回的信息对用户进行相应处理（如接入/挂断用户）。

RADIUS 服务器负责接收用户连接请求，认证用户，然后给交换机返回所有需要的信息。

RADIUS服务器通常要维护三个数据库，如图 1-1所示。

数据库“Users”：用于存储用户信息（如用户名、口令以及使用的协议、IP 地址等配置）。

数据库“Clients”：用于存储 RADIUS 客户端的信息（如共享密钥）。

数据库“Dictionary”：存储的信息用于解释 RADIUS 协议中的属性和属性值的含义。

图1-1 RADIUS 服务器的组成

另外，RADIUS 服务器还能够作为其他 AAA 服务器的客户端进行代理认证或计费。

1-3

2. RADIUS 的基本消息交互流程

RADIUS客户端（交换机）和RADIUS服务器之间通过共享密钥来认证交互的消息，增强了安全性。

RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。用户、交换机、RADIUS服务器之间一种简要的交互流程如图 1-2所示。

图1-2 RADIUS 的基本消息交互流程

基本交互步骤如下：

(1) 用户输入用户名和口令。

(2) RADIUS 客户端根据获取的用户名和口令，向 RADIUS 服务器发送认证请求包

（Access-Request）。

(3) RADIUS 服务器将该用户信息与 Users 数据库信息进行对比分析，如果认证成功，则将用户

的授权信息以认证响应包（Access-Accept）的形式发送给 RADIUS 客户端；如果认证失败，

则返回 Access-Reject 响应包。

(4) RADIUS 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户，则 RADIUS 客户

端向 RADIUS 服务器发送计费开始请求包（Accounting-Request），Status-Type 取值为 start。

(5) RADIUS 服务器返回计费开始响应包（Accounting-Response）。

(6) 用户开始访问资源。

(7) RADIUS 客户端向 RADIUS 服务器发送计费停止请求包（Accounting-Request），Status-Type

取值为 stop。

(8) RADIUS 服务器返回计费结束响应包（Accounting-Response）。

(9) 用户访问资源结束。

3. RADIUS 协议的报文结构

RADIUS协议采用UDP报文来承载数据，通过定时器管理机制、重传机制、备用服务器机制，确保

RADIUS服务器和客户端之间交互消息正确收发。RADIUS报文结构如图 1-3所示。

1-4

图1-3 RADIUS 报文结构

(1) Code域（1 字节）决定RADIUS报文的类型，如表 1-1所示。

表1-1 Code 域主要取值的说明

Code 报文类型报文说明

1 Access-Request 认证

请求包

方向 Client->Server，Client 将用户信息传输到 Server 以判断是否接入该用

户。该报文中必须包含 User-Name 属性，可选包含 NAS-IP-Address、User-Password、NAS-Port 等属性

2 Access-Accept 认证接

受包方向 Server->Client，如果 Access-Request 报文中所有 Attribute 值都可以

接受（即认证通过），则传输该类型报文

3 Access-Reject 认证拒

绝包方向 Server->Client，如果 Access-Request 报文中存在任何 Attribute 值无

法被接受（即认证失败），则传输该类型报文

4 Accounting-Request计费请求包

方向 Client->Server，Client 将用户信息传输到 Server，请求 Server 开始计

费，由该报文中的 Acct-Status-Type 属性区分计费开始请求和计费结束请

求。该报文包含的属性和 Access-Request 报文大致相同

5 Accounting-Response计费响应包

方向 Server->Client，Server 通知 Client 侧已经收到 Accounting-Request报文并且已经正确记录计费信息

(2) Identifier 域（1 字节）用于匹配请求包和响应包，随着 Attribute 域改变、接收到的有效响应

包而不断变化，而在重传时保持不变。

(3) Length 域（2 字节）指明整个包的长度，内容包括 Code，Identifier，Length，Authenticator

和 Attribute。超过长度域的字节被视为填充，在接收时应被忽略；如果接收到的包短于 Length

域所指示长度，则会被丢弃。

(4) Authenticator 域（16 字节）用于验证 RADIUS 服务器传输回来的报文，并且还用于密码隐藏

算法中，分为 Request Authenticator 和 Response Authenticator。

(5) Attribute 域携带专门的认证、授权和计费信息，提供请求和响应报文的配置细节，该域采用

（Type、Length、Value）三元组的形式提供。

类型（Type）域 1 个字节，取值为 1～255，用于指明属性的类型。表 1-2列出了RADIUS授

权、认证常用的属性。

长度（Length）域 1 个字节，指明此属性的长度，单位为字节，包括类型字段、长度字段和

属性值字段。

属性值（Value）域包括该属性的信息，其格式和内容由类型域和长度域决定，最大长度为 253

字节。

1-5

表1-2 RADIUS 属性

Type 属性类型 Type 属性类型

1 User-Name 23 Framed-IPX-Network

2 User-Password 24 State

3 CHAP-Password 25 Class

4 NAS-IP-Address 26 Vendor-Specific

5 NAS-Port 27 Session-Timeout

6 Service-Type 28 Idle-Timeout

7 Framed-Protocol 29 Termination-Action

8 Framed-IP-Address 30 Called-Station-Id

9 Framed-IP-Netmask 31 Calling-Station-Id

10 Framed-Routing 32 NAS-Identifier

11 Filter-ID 33 Proxy-State

12 Framed-MTU 34 Login-LAT-Service

13 Framed-Compression 35 Login-LAT-Node

14 Login-IP-Host 36 Login-LAT-Group

15 Login-Service 37 Framed-AppleTalk-Link

16 Login-TCP-Port 38 Framed-AppleTalk-Network

17 (unassigned) 39 Framed-AppleTalk-Zone

18 Reply-Message 40-59 (reserved for accounting)

19 Callback-Number 60 CHAP-Challenge

20 Callback-ID 61 NAS-Port-Type

21 (unassigned) 62 Port-Limit

22 Framed-Route 63 Login-LAT-Port

RADIUS 协议具有良好的可扩展性，协议中定义的 26 号属性（Vendor-Specific）用于设备厂商对

RADIUS 进行扩展，以实现标准 RADIUS 没有定义的功能。

如图 1-4所示的报文结构，Vendor-ID域占 4 字节，表示厂商代号，最高字节为 0，其余 3 字节的编

码见RFC1700。厂商可以封装多个自己定义的“（Type、Length、Value）”子属性，从而在应用

中得以扩展。

图1-4 包括扩展属性的 RADIUS 报文片断

Type

……

Length

0

7Vendor-ID

7 15 31

Vendor-ID Type (specified) Length (specified)

Specified attribute value……

1-6

1.2.2 HWTACACS 简介

1. 什么是 HWTACACS

HWTACACS（HUAWEI Terminal Access Controller Access Control System）是在 TACACS（RFC 1492）基础上进行了功能增强的安全协议。该协议与 RADIUS 协议类似，主要是通过 Client-Server模式与 TACACS 服务器通信来实现多种用户的 AAA 功能，可用于 PPP 和 VPDN 接入用户及终端

用户的认证、授权和计费。

与RADIUS相比，HWTACACS具有更加可靠的传输和加密特性，更加适合于安全控制。HWTACACS协议与RADIUS协议的主要区别如表 1-3所示。

表1-3 HWTACACS 协议和 RADIUS 协议区别

HWTACACS 协议 RADIUS 协议

使用 TCP，网络传输更可靠使用 UDP

除了 HWTACACS 报文头，对报文主体全部进行加密。只是对验证报文中的密码字段进行加密

认证和授权分离，例如，可以用一个 TACACS 服务器进行认证，

另外一个 TACACS 服务器进行授权。认证和授权一起处理

更适于进行安全控制更适于进行计费

支持对设备的配置命令进行授权使用不支持

HWTACACS的典型应用是终端用户需要登录到设备上进行操作。交换机作为HWTACACS的客户

端，将用户名和密码发给TACACS服务器进行验证，验证通过并得到授权之后，用户可以登录到交

换机上进行操作。如图 1-5所示。

图1-5 HWTACACS 的典型应用组网图

Host HWTACACS client

HWTACACS server

HWTACACS server

2. HWTACACS 的基本消息交互流程

以Telnet用户为例，说明使用HWTACACS对用户进行认证、授权和计费。基本消息交互流程图如图

1-6所示。

1-7

图1-6 Telnet 用户认证、授权和计费流程图

User HWTACACS client HWTACACS server

用户登录

认证开始报文

认证回应报文，请求用户名

向用户申请用户名

用户输入用户名

认证持续报文，向服务器端发用户名

认证回应报文，请求密码

向用户申请密码

用户输入密码

认证回应报文，认证通过

授权请求报文

授权回应报文，授权通过

用户登录成功

计费开始报文

计费开始报文回应

用户退出

计费结束报文

计费结束报文回应

认证持续报文，向服务器端发密码

在整个过程中的基本消息交互流程如下：

(1) 用户请求登录交换机，TACACS 客户端收到请求之后，向 TACACS 服务器发送认证开始报文。

(2) TACACS 服务器发送认证回应报文，请求用户名；TACACS 客户端收到回应报文后，向用户

询问用户名。

(3) TACACS 客户端收到用户名后，向 TACACS 服务器发送认证持续报文，其中包括了用户名。

(4) TACACS 服务器发送认证回应报文，请求登录密码；TACACS 客户端收到回应报文，向用户

询问登录密码。

(5) TACACS 客户端收到登录密码后，向 TACACS 服务器发送认证持续报文，其中包括了登录密

码。

(6) TACACS 服务器发送认证回应报文，指示用户通过认证。

(7) TACACS 客户端向 TACACS 服务器发送授权请求报文。

(8) TACACS 服务器发送授权回应报文，指示用户通过授权。

(9) TACACS 客户端收到授权回应成功报文，向用户输出交换机的配置界面。

1-8

(10) TACACS 客户端向 TACACS 服务器发送计费开始报文。

(11) TACACS 服务器发送计费回应报文，指示计费开始报文已经收到。

(12) 用户退出，TACACS 客户端向 TACACS 服务器发送计费结束报文。

(13) TACACS 服务器发送计费回应报文，指示计费结束报文已经收到。

2-1

2 AAA 配置

新增“配置列表型动态VLAN下发方式”（又称Auto VLAN特性），具体配置请参见 2.1.3 配置

动态VLAN下发，举例请参见 2.5.4 Auto VLAN典型配置举例。新增“RADIUS授权属性忽略功能”特性，具体请参见 2.2.3 配置RADIUS授权属性忽略功能。

2.1 配置 AAA

当需要为合法用户提供网络接入服务，同时对网络设备进行保护，防止非授权访问和抵赖行为时，

则需要配置 AAA。

表2-1 AAA 配置任务简介（ISP 域采用认证、授权、计费捆绑方式）


创建 ISP 域并配置其属性必选 2.1.1

配置 ISP 域采用认证、授权、计费捆

绑方式必选 2.1.2 1.

不认证 -

本地认证 2.1.4

RADIUS 认证 2.2

配置 ISP 域的

AAA 方案

HWTACACS 认证

四种认证方式必选其一如果采用 RADIUS、HWTACACS

认证方案，需要提前完成 RADIUS或 HWTACACS 相关配置

2.3

配置动态 VLAN 下发可选 2.1.3

配置本地用户的属性可选 2.1.4

配置 AAA

配置强制切断用户连接可选 2.1.5

表2-2 AAA 配置任务简介（ISP 域采用认证、授权、计费分离方式）


创建 ISP 域并配置其属性必选 2.1.1

配置 ISP 域采用认证、授权、

计费分离方式必选 2.1.2 2.

配置 ISP 域的 AAA 方案

必选

采用认证、授权、计费分离方式时，用户可以分别

指定认证、授权、计费方案。如果采用 RADIUS、HWTACACS 认证方案，需要

提前完成 RADIUS 或 HWTACACS 相关配置

根据实际需

求，参考相

应内容

配置动态 VLAN 下发可选 2.1.3

配置本地用户的属性可选 2.1.4

配置AAA

配置强制切断用户连接可选 2.1.5

2-2

2.1.1 创建 ISP 域并配置其属性

表2-3 创建 ISP 域并配置其属性

操作命令说明


配置用户名与域名间

的分隔符形式 domain delimiter { at | dot } 可选

缺省情况下，用户名与域名间的分隔符采用

“@”

创建一个 ISP域或者配

置缺省的 ISP 域 domain { isp-name | default { disable | enable isp-name } }

必选

缺省情况下，系统缺省的 ISP 域为 system

设置 ISP 域的状态 state { active | block }

可选

缺省情况下，当一个 ISP 域被创建以后，其状

态为 active，允许任何属于该域的用户请求网

络服务

指定可容纳接入用户

数的最大值 access-limit { disable | enable max-user-number }

可选

缺省情况下，当一个 ISP 域被创建以后，其可

容纳的接入用户没有数量限制

设置用户闲置切断功

能 idle-cut { disable | enable minute flow }

可选

缺省情况下，关闭用户闲置切断功能

设置用户计费可选开

关 accounting optional

可选

缺省情况下，当一个 ISP 域被创建以后，计费

可选开关关闭

设置域信使提醒功能 messenger time { enable limit interval | disable }

可选

缺省情况下，交换机关闭信使提醒功能

设置自助服务器定位

功能 self-service-url { disable | enable url-string }

可选

缺省情况下，交换机关闭自助服务器定位功能

配置时需要注意的是：

对于交换机，每个接入用户都属于一个 ISP 域。E152 交换机最多可以配置 16 个 ISP 域。如

果某个用户在登录时没有携带 ISP 域名，则交换机将它归于缺省的 ISP 域。

采用“.”作为分隔符时，如果用户名中包含多个“.”，则以第一个“.”作为域分隔符。

采用“@”作为分隔符时，用户名中“@”只能作为域分隔符出现 1 次。采用“.”作为分隔

符时，用户名中不能含有“@”。

在对用户实施计费时，当发现没有可用的计费服务器或与计费服务器通信失败时，只要用户配

置了 accounting optional 命令，即使无法实施计费，也不会挂断用户。

自助服务器定位功能需要与支持自助服务的 RADIUS 服务器配合使用，如 CAMS。自助服务

即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。

CAMS 服务器是 H3C 公司提供的业务管理系统，支持与交换机等网络产品共同组网，完成终端用

户的认证、授权、计费和权限管理等功能，实现网络的可管理、可运营，保证网络和用户信息的安

全。

2-3

2.1.2 配置 ISP 域的认证、授权、计费方案

用户可以通过两种方式配置认证、授权、计费方案：

1. 认证、授权、计费捆绑方式

采用这种方式时，用户通过 scheme 命令指定具体的 AAA 方案。

表2-4 配置 ISP 域的 AAA 方案－认证、授权、计费捆绑方式

操作命令说明


创建一个 ISP 域或者进入已

创建 ISP 域的视图 domain isp-name 必选

配置域使用的 AAA 方案 scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] }

必选，

系统缺省使用的 AAA方案为 local

用户可以通过引用配置好的 radius-scheme-name 来实现认证、授权、计费，而采用本地认证方

案时只能进行认证、授权，无法实现计费。如果 scheme命令配置了 radius-scheme radius-scheme-name local 参数，则 local为 RADIUS服务器没有正常响应后的备选方案，即当 RADIUS 服务器有效时，不使用本地方案；当 RADIUS服务器不可达时，使用本地方案。

如果 scheme 命令配置了 hwtacacs-scheme hwtacacs-scheme-name local 参数，则 local 为TACACS 服务器没有正常响应后的备选方案，即当 TACACS 服务器有效时，不使用本地方案；

当 TACACS 服务器不可达或者由于 key、nas-ip 错误等而无法进行 HWTACACS 认证时，使用

本地方案。如果 local 或者 none 作为第一方案，那么只能采用本地认证或者不进行认证，不能再同时采用

RADIUS 方案或者 HWTACACS 方案。如果配置 none 作为第一方案，则该域的 FTP 用户无法通过认证。即如果需要使用 FTP 服务，

则不能配置为 none 方案。

2. 认证、授权、计费分离方式

采用认证、授权、计费分离方式时，用户可以通过 authentication、authorization、accounting这三条命令分别指定认证、授权、计费方案。认证、授权、计费分离方式中对于 AAA 支撑的各种

业务的具体实现如下：

(1) 对于终端用户

认证采用：RADIUS，local，HWTACACS 或者 none。

授权采用：none，HWTACACS。

计费采用：RADIUS，HWTACACS 或者 none。

用户可以参照上面的实现任意组合配置认证、授权和计费的方案。

(2) 对于 FTP 用户

对于 FTP 用户仅支持认证。

2-4

认证采用：RADIUS，local，HWTACACS。

表2-5 配置 ISP 域的 AAA 方案－认证、授权、计费分离方式

操作命令说明


创建一个 ISP域或者进入已

创建 ISP 域的视图 domain isp-name 必选

配置域使用的认证方案 authentication { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }

可选

缺省情况下，没有配置分离

的认证方案

配置域用户切换级别所使

用的 HWTACACS 认证方

案

authentication super hwtacacs-scheme hwtacacs-scheme-name

可选

缺省情况下，没有配置当前

ISP 域用户切换级别所使用

的 HWTACACS 认证方案

配置域使用的授权方案 authorization { none | hwtacacs-scheme hwtacacs-scheme-name }

可选


的授权方案

配置域使用的计费方案 accounting { none | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name }

可选


的计费方案

由于 RADIUS 方案与 local 方案不支持认证和授权的分离，在配置认证、授权时应注意：当域中

配置了 scheme radius-scheme 命令或者 scheme local 命令，且没有同时配置 authentication命令时，此时如果配置了 authorization none，RADIUS 方案和 local 方案返回的授权信息仍然

有效。以太网交换机的命令行采用分级保护方式，禁止低级别用户执行高级别命令对交换机进行配置。

低级别用户向高级别用户切换时使用 HWTACACS 认证的具体过程请参见本手册“命令行接口”

中的用户级别切换部分。

3. 配置注意事项

(1) 如果在配置了认证、授权、计费分离方案的同时还配置了认证、授权、计费捆绑方案，优先使

用认证、授权、计费分离方案。

(2) 如果分离方案配置不完整，对于没有配置分离方案的认证、授权或者计费，则采用捆绑方案中

指定的方案：

如果只有授权、计费采用捆绑方案则不支持备选方案的切换。

如果认证也采用捆绑方案，且进行了备选 local 方案切换，则当前的可用方案为 local，后续的

授权或计费就会采用 local 方案；如果认证没有进行备选 local 方案切换，则授权或计费均采

用第一个方案，不会进行备选 local 方案切换。

2-5

2.1.3 配置动态 VLAN 下发

1. VLAN 下发模式介绍

在 802.1x 和 MAC 地址认证的组网环境中，经常会使用 RADIUS 服务器下发动态 VLAN 的方式来

控制认证用户的权限。通过接收和解析 RADIUS 报文，交换机可以将连接用户的端口加入指定的

VLAN，来实现用户访问网络资源的控制。

目前交换机支持 RADIUS 认证服务器下发整型、字符串型和列表型的 VLAN ID：

整型：交换机根据 RADIUS 认证服务器下发的整型 ID 将端口加入相应 VLAN 中，如果该 VLAN

不存在，则首先创建 VLAN，而后将端口加入到新创建的 VLAN 中。

字符串型：交换机根据 RADIUS 认证服务器下发的字符串型 ID，与交换机上已存在 VLAN 的

名称进行比对，如果找到匹配项，则将该端口加入相应 VLAN 中，否则 VLAN 下发失败，用

户无法通过认证。

列表型：当一个认证端口下的不同用户需要访问不同 VLAN 的资源时，可以通过在 RADIUS

服务器上配置 VLAN 列表，将端口同时加入多个 VLAN，并可以指定端口在加入某个 VLAN

时的方式（发送该 VLAN 的数据帧时是否保留 VLAN Tag）。这种情况下，在交换机上也需要

进行相应的配置，使其能够正确识别 RADIUS 报文中的 VLAN 列表信息，并将端口按要求加

入指定的 VLAN。配置交换机识别 VLAN 列表的功能也称为 Auto VLAN 功能。

2. 动态下发 VLAN 列表配置方法介绍

RADIUS 服务器通过 RADIUS 报文向交换机下发 VLAN 列表，报文中带有包含

Tunnel-Private-Group-ID 属性（RADIUS 标准 81 号属性）的字符串，字符串中包含一个或多个“数

字+后缀”的组合，用来表示一组 VLAN 列表，其中：数字表示下发的 VLAN 编号；后缀表示端口

在发送该 VLAN 的数据帧是否携带 Tag，例如“1u 2t 3”。

交换机接收到 VLAN 列表信息后，根据 VLAN 编号将认证端口加入到指定的 VLAN，并根据后缀控

制端口在发送各 VLAN 的数据帧是否携带 Tag：

对字符串中后缀为“t”、“T”的 VLAN ID，下发后认证端口发送其 VLAN 的报文时携带 Tag；

对字符串中首个后缀为“u”、“U”或者不带后缀的 VLAN ID，下发后认证端口发送其 VLAN

的报文时不带 Tag，且将此 VLAN 设为端口的缺省 VLAN，其余后缀为“u”、“U”或者不

带后缀的 VLAN ID，下发后认证端口发送其 VLAN 的报文时仍携带 Tag。

即：除首个后缀为“u”、“U”或者不带后缀的 VLAN ID 外，其余的 VLAN ID 一律按携带 Tag 的

VLAN 解析。

例如：RADIUS 服务器下发的 VLAN 列表为“1u 2t 3”，交换机经过解析后，会将认证端口同时加

入 VLAN1、VLAN2 和 VLAN3，其中缺省 VLAN 为 VLAN1，在发送 VLAN1 的报文时不保留 VLAN Tag，在发送 VLAN2 和 VLAN3 的报文时保留 VLAN Tag。

根据交换机对 VLAN 列表的解析原则，RADIUS 服务器下发的 VLAN 列表为“1u 2u 3u”、“1 2 3”、“1 2t 3t”、“2t 1u 3”、“2t 1 3t”、“2t 1 3u”，解析结果都和“1u 2t 3”相同。

2-6

由于交换机需要根据 VLAN列表将端口加入多个 VLAN，因此仅有 Hybrid和 Trunk 端口支持 Auto

VLAN 特性，Access 端口不支持；对于 Trunk 端口，要求下发列表中必须要有缺省 VLAN，即列表中所有 VLAN 的后缀不能全部为

“t”或“T”； RADIUS 下发的 VLAN 列表中最多只能包含 64 个 VLAN，否则将导致认证失败。而 RADIUS 属

性字符串最多只能携带 253 个字符，因此，即使 VLAN 列表里不超过 64 个 VLAN ID，但超过了

253 个字符，认证交换机也不会接收这个 VLAN 列表，认证结果也为失败； VLAN 列表中出现重复的 VLAN ID 时，端口加入这个 VLAN 的方式以这些重复的 VLAN ID 中最

后一个的后缀为准。如“1u 2u 1t”、“1u 2u 1”，端口将按发送时保留 VLAN Tag 的方式加入

VLAN1，但“2u”不是“首个后缀为‘u’的 VLAN ID”，因此仍按携带 Tag 处理，它不会替代

第 1 个“1u”成为缺省 VLAN，此列表等同于“2t 1t”； VLAN ID 必须在合法范围内，不要求各 VLAN ID 按大小顺序排列；字符串中 VLAN ID 不能以“0”开头，若以“0”开头则视为非法；字符串中不允许出现除数字、大小写“u”“t”、空格外的其它字符，因此，3.0、-3 这样的数字

就视为非法； VLAN ID 之间的空格个数和位置不受限制，“u”、“U”、“t”、“T”必须紧贴在数字后面。

例如：“ 1u 2t 3”、“1u 2t 3 ”、“1u 2t 3”和“1u2t3”解析的结果都与“1u 2t 3”是一

样的，“1uu2t 3”、“1 u 2t 3”和“u”等都是非法的。

表2-6 配置动态 VLAN 下发



创建 ISP 域，并进入其视图 domain isp-name -

配置 VLAN 下发模式 vlan-assignment-mode { integer | string | vlan-list }

可选

缺省情况下，VLAN 下发模式为整型

（integer）

创建 VLAN，并进入其视图 vlan vlan-id -

配置下发 VLAN 的名称 name string 当配置 VLAN 下发模式为字符串型

时，必须配置此任务

2-7

对于字符串型 VLAN 下发模式，交换机在处理过程中遵循整型优先的原则：如果 RADIUS 服务器

下发的 VLAN 名称是全数字的字符串，如字符串“1024”，并且转换成整型的数值在合法的 VLAN范围之内，则交换机会将全数字型的字符串转换为整型处理，将认证端口加入转换后的整型数值

VLAN 中，即该端口会被加入到 VLAN 1024 中。同时启用了 MSTP 多实例和 802.1x 的端口，如果需要实现动态 VLAN 下发功能，则要将 MSTP端口设置为边缘端口。

802.1x 认证、基于 RADIUS 服务器认证方式的 MAC 地址认证均支持 Auto VLAN 特性，其他认

证方式不支持；下发 VLAN 列表后，若用户通过命令行将端口加入或退出列表中的 VLAN，将导致用户掉线；下发 VLAN 列表后，若用户通过命令行修改缺省 VLAN，能够立即改变端口的配置，但是不会立

即实际生效，只有当端口的所有用户下线后，才会按改变后的配置去实际设置端口的缺省 VLAN。

2.1.4 配置本地用户的属性

当 AAA 方案选择了本地认证方案（local）时，应在交换机上创建本地用户并配置相关属性。

所谓本地用户，是指在交换机上设置的一组用户的集合。该集合以用户名为用户的唯一标识。为使

某个请求网络服务的用户可以通过本地认证，需要在交换机上的本地用户数据库中添加相应的表

项。

表2-7 配置本地用户的属性

操作命令说明


设置所有本地用户密码的显

示方式 local-user password-display-mode { cipher-force | auto }

可选

缺省情况下，所有接入用户的密码显示方

式为 auto，表示按照用户配置的密码显示

方式显示

添加本地用户，并进入本地

用户视图 local-user user-name 必选

缺省情况下，系统中没有任何本地用户

设置指定用户的密码 password { simple | cipher } password 必选

设置指定用户的状态 state { active | block }

可选

缺省情况下，当一个本地用户被创建以

后，其状态为 active，允许该用户请求网

络服务

设置用户可以使用的服务类

型

service-type { ftp | lan-access | { telnet | ssh | terminal }* [ level level ] }

必选

缺省情况下，系统不对用户授权任何服务

设置用户的优先级 level level 可选

缺省情况下，用户的优先级为 0

配置用户的授权 VLAN authorization vlan string 可选

缺省情况下，没有配置本地用户的授权VLAN

2-8

操作命令说明

服务类型为 lan-access用户

的属性设置

attribute { ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port port-number | port port-number } }*

可选

当指定用户绑定的是远程端口，则该用户

必需指定 nas-ip 参数，缺省为 127.0.0.1，表示为本机；若用户绑定的是本地端口，

则不需要指定 nas-ip 参数

user-name 字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符，并且“@”

出现的次数不能多于 1 次。当采用 local-user password-display-mode cipher-force 命令后，即使用户通过 password 命

令指定密码显示方式为明文显示（即 simple 方式）后，密码也会显示为密文。如果配置的认证方式需要用户名和口令（包括本地认证和 RADIUS 认证），则用户登录系统后所

能访问的命令级别由用户的优先级确定。对于 SSH 用户，使用 RSA 公钥认证时，其所能使用的

命令以用户界面上设置的级别为准。如果配置的认证方式为不认证或采用 password 认证，则用户登录到系统后所能访问的命令级别

由用户界面的优先级确定。如果端口连接的多个用户具有不同的授权 VLAN，只有第一个认证通过的用户可以获得授权

VLAN 信息，之后的用户即使通过认证，交换机也不会重新下发授权 VLAN。在这种情况下，建

议每个端口下只接入一个认证用户或只接入具有相同授权 VLAN 的多个认证用户。如果配置了本地用户的授权 VLAN，进行本地 RADIUS 认证，则 vlan-assignment-mode 必须

要配置为 string 模式。

2.1.5 配置强制切断用户连接

表2-8 配置强制切断用户连接

操作命令说明


强制切断用户连

接

cut connection { all | access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name }

必选

对于 Telnet 类型登录用户，可以通过 display connection 命令查看到连接，但是不能通过 cut connection 命令切断连接。

2.2 配置 RADIUS

H3C 系列以太网交换机既可以作为 RADIUS 客户端，又可以作为本地 RADIUS 服务器。

2-9

表2-9 RADIUS 配置任务简介（交换机作为 RADIUS 客户端）


创建 RADIUS 方案必选 2.2.1

配置 RADIUS 认证/授权服务器必选 2.2.2

配置 RADIUS 授权属性忽略功能可选 2.2.3

配置 RADIUS 计费服务器必选 2.2.4

配置 RADIUS 报文的共享密钥可选 2.2.5

配置 RADIUS 请求报文的最大传送次数可选 2.2.6

配置支持的 RADIUS 服务器的类型可选 2.2.7

配置 RADIUS 服务器的状态可选 2.2.8

配置发送给 RADIUS 服务器的数据相关属性可选 2.2.9

配置 RADIUS 服务器的定时器可选 2.2.11

配置系统发送 RADIUS 服务器状态变为 Down 的 Trap 可选 2.2.12

配置

RADIUS

客户端

配置设备重启用户再认证功能可选 2.2.13

配置 RADIUS 服

务器端具体请参见相应 RADIUS 服务器的配置 - -

表2-10 RADIUS 配置任务简介（交换机作为本地 RADIUS 服务器）


创建 RADIUS 方案必选 2.2.1

配置 RADIUS 认证/授权服务器必选 2.2.2

配置 RADIUS 计费服务器必选 2.2.3

配置 RADIUS 报文的共享密钥可选 2.2.5

配置 RADIUS 请求报文的最大传送次数可选 2.2.6

配置支持的 RADIUS 服务器的类型可选 2.2.7

配置 RADIUS 服务器的状态可选 2.2.8

配置发送给 RADIUS 服务器的数据相关属性可选 2.2.9

配置本地 RADIUS 服务器的开启及允许的网络接入服务器、共享密钥必选 2.2.10

配置 RADIUS 服务器的定时器可选 2.2.11

配置

RADIUS

服务

配置系统发送 RADIUS 服务器状态变为 Down 的 Trap 可选 2.2.12

配置

RADIUS

客户端

具体请参见相应 RADIUS 客户端的配置 - -

RADIUS 服务配置是以 RADIUS 方案为单位进行的，一个 RADIUS 方案在实际组网环境中既可以

运用于一台独立的 RADIUS 服务器，也可以运用于两台配置相同、但 IP 地址不同的主、从 RADIUS服务器。

当创建一个新的 RADIUS 方案之后，需要对属于此方案的 RADIUS 服务器的 IP 地址和 UDP 端口

号进行设置，这些服务器包括认证/授权和计费服务器，而每种服务器又有主服务器和从服务器的区

2-10

别。每个 RADIUS 方案的属性包括：主服务器的 IP 地址、从服务器的 IP 地址、共享密钥以及 RADIUS服务器类型等。

在实际组网环境中，上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服

务器和一个计费服务器。同时，保证交换机上的 RADIUS 服务端口设置与 RADIUS 服务器上的端

口设置保持一致。

实际上，RADIUS服务配置仅仅定义了交换机和RADIUS服务器之间进行信息交互所必需的一些参

数。为了使这些参数能够生效，还必须在某个ISP域视图下指定该域引用配置有上述参数的RADIUS方案。具体配置命令的细节请参见 2.1.2 配置ISP域的认证、授权、计费方案。

2.2.1 创建 RADIUS 方案

RADIUS 协议的配置是以 RADIUS 方案为单位进行的。在进行其它 RADIUS 协议配置之前，必须

先创建 RADIUS 方案并进入其视图。

表2-11 创建 RADIUS 方案

操作命令说明


打开 RADIUS 认证端口 radius client enable 可选

缺省情况下，RADIUS 认证端口开启

创建 RADIUS 方案并进入其视图 radius scheme radius-scheme-name

必选

缺省情况下，系统中已创建了一个名为

“system”的 RADIUS 方案

一个 RADIUS 方案可以同时被多个 ISP 域引用。

2.2.2 配置 RADIUS 认证/授权服务器

表2-12 配置 RADIUS 认证/授权服务器

操作命令说明


创建 RADIUS 方案并

进入其视图 radius scheme radius-scheme-name

必选

缺省情况下，系统中已创建了一个名为“system”的

RADIUS 方案

设置主RADIUS认证/授权服务器的 IP地址

和端口号

primary authenticaiton ip-address [ port-number ]

必选

缺省情况下，对于新创建的 RADIUS 方案，主认证/授权

服务器的 IP 地址为 0.0.0.0，UDP 端口号为 1812

设置从RADIUS认证/授权服务器的 IP地址

和端口号

secondary authentication ip-address [ port-number ]

可选

缺省情况下，对于新创建的 RADIUS 方案，从认证/授权

服务器的 IP 地址均为 0.0.0.0，UDP 端口号为 1812

2-11

RADIUS 服务器的授权信息是随认证应答报文发给 RADIUS 客户端的，故不需要指定单独的授权

服务器。在实际组网环境中，可以指定 2 台 RADIUS 服务器分别作为主、从认证/授权服务器；也可以指

定一台服务器既作为主认证/授权服务器，又作为从认证/授权服务器。系统缺省创建的 system 方案使用的主认证服务器的 IP 为 127.0.0.1，端口号为 1645。

2.2.3 配置 RADIUS 授权属性忽略功能

通过对 RADIUS 服务器的配置，RADIUS 认证可以下发若干授权属性，例如授权 VLAN、闲置切断

等。组网中可能有的用户需要这些属性，而有的用户不需要，不希望下发。如果 RADIUS 服务器不

具备为各个用户定制不同的授权服务的功能、或者需要对所有用户统一管理，就总会有一些用户接

收到不希望收到的属性。

RADIUS 授权属性忽略功能，能够按 RADIUS 方案配置，忽略 RADIUS 报文中指定的授权属性。

配置了该功能的 RADIUS 方案下的用户，就能忽略不希望收到的属性了。

典型的应用组网如图 2-1所示。两台认证接入交换机NAS 1、NAS 2 都通过同一台RADIUS服务器

进行认证，为方便管理，服务器对所有用户都下发相同的授权属性。NAS 1 连接的用户都需要这些

授权属性，而NAS 2 连接的用户则不希望下发其中的闲置切断属性（Idle-Timeout，Type=28 的标

准属性）。在NAS 2 上只要配置忽略Type=28 的标准属性，就能忽略闲置切断功能的下发。

图2-1 RADIUS 授权属性忽略示意图

Host 1

Switch

RADIUS server

Host 2

IP network

NAS 1 NAS 2

表2-13 配置 RADIUS 认证/授权服务器

操作命令说明


创建 RADIUS 方案并

进入其视图 radius scheme radius-scheme-name

必选

缺省情况下，系统中已创建了一个名为“system”

的 RADIUS 方案

设置 RADIUS 授权属

性忽略 attribute-ignore { standard | vendor vendor-id } type type-value

必选

缺省情况下，交换机没有配置 RADIUS 授权属性

忽略功能

2-12

每个 RADIUS 方案里，标准属性只能配置 1 条属性忽略命令；相同 Vendor ID 的私有属性只能配置

1 条属性忽略命令。每个 RADIUS 方案最多能配置 3 条属性忽略命令。

2.2.4 配置 RADIUS 计费服务器

表2-14 配置 RADIUS 计费服务器

操作命令说明


创建 RADIUS 方案并进入

其视图 radius scheme radius-scheme-name

必选

缺省情况下，系统中已创建了一个名为“system”

的 RADIUS 方案

设置主 RADIUS 计费服务

器的 IP 地址和端口号 primary accounting ip-address [ port-number ]

必选

缺省情况下，对于新创建的 RADIUS 方案，主计费


设置从 RADIUS 计费服务

器的 IP 地址和端口号 secondary accounting ip-address [ port-number ]

可选

缺省情况下，对于新创建的 RADIUS 方案，从计费


使能停止计费报文缓存功

能 stop-accounting-buffer enable

可选

缺省情况下，使能停止计费报文缓存功能

使能停止计费报文重传功

能，并配置停止计费报文

可以传送的最大次数

retry stop-accounting retry-times

可选

缺省情况下，最多可以将缓存的停止计费请求报文重

发 500 次

设置允许实时计费失败的

最大次数 retry realtime-accounting retry-times

可选

缺省情况下，最多允许 5 次实时计费失败，5 次之后

将切断用户连接

在实际组网环境中，可以指定 2 台 RADIUS 服务器分别作为主、从计费服务器；也可以指定一台

服务器既作为主计费服务器，又作为从计费服务器。此外，由于 RADIUS 协议采用不同的 UDP端口来收发认证/授权和计费报文，因此必须将认证/授权端口号和计费端口号设置得不同。

如果 RADIUS 计费服务器对交换机发出的停止计费请求报文没有响应，且交换机使能了停止计费

报文重传功能，交换机应将其缓存在本机上，然后重新发送直到 RADIUS 计费服务器产生响应，

或者在重新发送的次数达到指定的次数限制后将其丢弃。交换机提供对连续实时计费失败次数限制的设置——在交换机向 RADIUS 服务器发出的实时计

费失败的次数超过所设定的限度时，交换机将切断用户连接。系统缺省创建的 system 方案使用的主计费服务器的 IP 为 127.0.0.1，端口号为 1646。目前 RADIUS 协议不支持对 FTP 用户进行计费。

2.2.5 配置 RADIUS 报文的共享密钥

RADIUS 客户端与 RADIUS 服务器使用 MD5 算法来加密 RADIUS 报文，双方通过设置共享密钥来

验证报文的合法性。只有在密钥一致的情况下，双方才能彼此接收对方发来的报文并作出响应。

2-13

表2-15 配置 RADIUS 报文的共享密钥

操作命令说明



必选



设置 RADIUS 认证/授权报文的共

享密钥 key authentication string 必选

缺省情况下，无共享密钥

设置 RADIUS 计费报文的共享密

钥 key accounting string 必选

缺省情况下，无共享密钥

在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时，必须分别设置认证

/授权报文和计费报文的共享密钥。

2.2.6 配置 RADIUS 请求报文的最大传送次数

由于 RADIUS 协议采用 UDP 报文来承载数据，因此其通信过程是不可靠的。如果 RADIUS 服务器

在应答超时定时器规定的时长内没有响应交换机，则交换机有必要向 RADIUS 服务器重传 RADIUS请求报文。如果累计的传送次数超过最大传送次数而 RADIUS 服务器仍旧没有响应，则交换机将认

为本次认证失败。

表2-16 配置 RADIUS 请求报文的最大传送次数

操作命令说明



必选



设置 RADIUS 请求报文的最大传

送次数 retry retry-times

可选

缺省情况下，RADIUS 请求报文的最大传

送次数为 3 次

2.2.7 配置支持的 RADIUS 服务器的类型

表2-17 配置支持的 RADIUS 服务器的类型

操作命令说明



必选



设置支持何种类型的 RADIUS 服

务器 server-type { extend | standard } 可选

2-14

当设备系统支持的 RADIUS 服务器类型的配置被更改时，会将原有的发送到 RADIUS 服务器的

数据流的单位恢复为缺省情况。使用第三方 RADIUS 服务器时，RADIUS 服务器类型可以选择 standard 类型或 extended 类型；

使用 CAMS 服务器时，RADIUS 服务器类型应选择 extended 类型。

2.2.8 配置 RADIUS 服务器的状态

对于某个 RADIUS 方案中的主、从服务器（无论是认证/授权服务器还是计费服务器），当主服务

器因故障而导致其与交换机的通信中断时，交换机会主动地与从服务器交互报文。

当主服务器变为 block 的状态超过 timer quiet 命令设定的时间后，若有 RADIUS 请求，交换机会

尝试与主服务器通信。如果主服务器恢复正常，交换机会立即恢复与其通信，而不与从服务器通信，

同时，主服务器的状态恢复为 active，从服务器的状态不变。

当主服务器与从服务器的状态都为 active 或 block 时，交换机将只把报文发送到主服务器上。

表2-18 配置 RADIUS 服务器的状态

操作命令说明




必选

缺省情况下，系统中已创建了

一个名为“system”的 RADIUS方案

设置主RADIUS认证/授权

服务器的状态 state primary authentication { block | active }

设置主 RADIUS 计费服务

器的状态 state primary accounting { block | active }

设置从RADIUS认证/授权

服务器的状态 state secondary authentication { block | active }

设置从 RADIUS 计费服务

器的状态 state secondary accounting { block | active }

可选

缺省情况下，RADIUS 方案中

配置了 IP地址的各RADIUS服

务器的状态均为 active

2.2.9 配置发送给 RADIUS 服务器的数据相关属性

表2-19 配置发送给 RADIUS 服务器的数据相关属性

操作命令说明


创建 RADIUS 方案并进入其

视图 radius scheme radius-scheme-name

必选

缺省情况下，系统中已创建了一个名

为“system”的 RADIUS 方案

设置发送给 RADIUS 服务器

的用户名格式 user-name-format { with-domain | without-domain }

可选

缺省情况下，交换机发送给 RADIUS服务器的用户名携带有 ISP 域名

2-15

操作命令说明

设置发送给 RADIUS 服务器

的数据流的单位

data-flow-format data { byte | giga-byte | kilo-byte | mega-byte } packet { giga-packet | kilo-packet | mega- packet | one-packet }

可选

缺省情况下，RADIUS 方案默认的发

送数据单位为 byte，数据包的单位为one-packet

设置 RADIUS 报文中

Calling-Station-Id（Type 31）属性字段中 MAC 地址的格式

calling-station-id mode { mode1 | mode2 } { lowercase | uppercase }

可选

缺省情况下，Calling-Station-Id 属性

字段中 MAC 地址的格式为

XXXX-XXXX-XXXX，小写形式

RADIUS 视图 nas-ip ip-address 设置交换机发送 RADIUS 报

文使用的源 IP 地址系统视图 radius nas-ip ip-address

可选

缺省情况下，不指定源 IP 地址，即以

发送报文的接口地址作为源 IP 地址

接入用户通常以“userid@isp-name”或“userid.isp-name”的格式命名，“@”或者“.”后面

的部分为 ISP 域名，设备就是通过该域名来决定将用户归于哪个 ISP 域的。但是，有些较早期的

RADIUS 服务器不能接受携带有 ISP 域名的用户名，在这种情况下，有必要将用户名中携带的域

名去除后再传送给 RADIUS 服务器。因此，用户可以通过 user-name-format 命令指定发送给

RADIUS 服务器的用户名是否携带 ISP 域名。如果指定某个 RADIUS 方案不允许用户名中携带有 ISP 域名，那么请不要在两个乃至两个以上的

ISP 域中同时设置使用该 RADIUS 方案，否则，会出现虽然实际用户不同（在不同的 ISP 域中）、

但 RADIUS 服务器认为用户相同（因为传送到它的用户名相同）的错误。系统缺省创建的 system 方案的用户名不带域名。设置 RADIUS 报文中 Calling-Station-Id（Type 31）属性字段格式的功能用于增强交换机与不同

RADIUS 服务器的兼容性。在 RADIUS 服务器能识别的 Calling-Station-Id 属性字段格式与交换

机的默认格式不同时，需要配置此功能。具体 RADIUS 服务器能识别的字段格式，请参见相应

RADIUS 服务器手册。

2.2.10 配置本地 RADIUS 认证服务器

设备除了支持传统的作为 RADIUS 客户端的服务——即分别采用认证/授权服务器、计费服务器的

方式进行用户的认证管理外，还提供了本地简单 RADIUS 服务器功能（包括认证和授权），称之为

本地 RADIUS 认证服务器功能。

表2-20 配置本地 RADIUS 认证服务器

操作命令说明


打开本地RADIUS认证服务

器端口 local-server enable 可选

缺省情况下，本地 RADIUS 认证服务器端口开启

设置本地RADIUS服务器相

关参数 local-server nas-ip ip-address key password

必选

缺省情况下，系统创建了一个本地 RADIUS 认证

服务器，其 NAS-IP 为 127.0.0.1

2-16

采用本地 RADIUS 认证服务器功能时，其认证/授权服务的 UDP 端口号必须为 1645，计费服务

的 UDP 端口号为 1646；服务器的 IP 地址都设置为本地服务器的地址。 local-server 命令配置的报文加密密钥（key password 参数）必须与在 RADIUS 方案视图下用

key authentication 命令配置的认证/授权报文加密密钥一致。包括系统缺省创建的本地 RADIUS 认证服务器在内，设备最多支持配置 16 个网络接入服务器 IP地址及其共享密钥，也就是说设备作为 RADIUS 认证服务器时，最多能够同时为 16 个网络接入

服务器提供认证服务。设备作为本地 RADIUS 认证服务器时，设备不支持 EAP 中继方式（即 dot1x

authentication-method eap 命令对应的认证方式）。

2.2.11 配置 RADIUS 服务器的定时器

如果在 RADIUS 请求报文（认证/授权请求或计费请求）传送出去一段时间后，设备还没有得到

RADIUS 服务器的响应，则有必要重传 RADIUS 请求报文，以保证用户确实能够得到 RADIUS 服

务，这段时间被称为 RADIUS 服务器响应超时时长。交换机系统中用于控制这个时长的定时器就被

称为 RADIUS 服务器响应超时定时器。

对于某个 RADIUS 方案中的主、从服务器（无论是认证/授权服务器还是计费服务器），当主服务

器因故障而导致其与设备的通信中断时，设备会主动地与从服务器交互报文。

当主服务器变为 block 的状态超过 timer quiet 命令设定的时间后，当有 RADIUS 请求时，设备会

尝试与主服务器通信，如果主服务器恢复正常，设备会立即恢复与其通信，而不继续与从服务器通

信。同时，主服务器的状态恢复为 active，从服务器的状态不变。

为了对用户实施实时计费，有必要设置实时计费的时间间隔。在设置了该属性以后，每隔设定的时

间，交换机会向 RADIUS 服务器发送一次在线用户的计费信息。

表2-21 设置 RADIUS 服务器的定时器

操作命令说明




必选



设置 RADIUS 服务器应答

超时时间 timer response-timeout seconds可选

缺省情况下，RADIUS 服务器应答超时定时器

为 3 秒

设置主服务器恢复激活状

态的时间 timer quiet minutes

可选

缺省情况下，主服务器恢复激活状态前需要等

待 5 分钟

设置实时计费间隔 timer realtime-accounting minutes

可选

缺省情况下，实时计费间隔为 12 分钟

2-17

2.2.12 配置系统发送 RADIUS 服务器状态变为 Down 的 Trap

表2-22 配置本地 RADIUS 认证服务器

操作命令说明


使能当 RADIUS 服务器状

态变为 down 时，系统发送Trap

radius trap { authentication-server-down | accounting-server-down }

可选

缺省情况下，此功能关闭

该配置对所有的 RADIUS 方案都生效。在设备向 RADIUS 服务器发送报文而未收到响应的次数超过配置的重试次数后，设备就认为相应

的服务器状态变为 Down。

2.2.13 配置设备重启用户再认证功能

本功能仅适用于 RADIUS 认证/计费服务器为 CAMS 的情况。

在交换机与 CAMS 配合实现认证/授权/计费的 AAA 方案中，限制唯一性用户（指在 CAMS 上设置

了“在线数量限制”为 1 的用户）通过认证/授权、开始计费时，如果交换机发生重启，在 CAMS进行用户在线检查前，当用户再次登录交换机时，交换机会提示该用户已经在线，导致该用户无法

正常访问网络资源。只有在网络管理员手工删除该用户的在线信息后，该用户才可以再次登录。

解决上述问题的方法是在交换机上启动设备重启用户再认证功能。启动设备重启用户再认证功能

后，交换机每次发生重启时：

交换机生成 Accounting-On 报文，该报文主要包括 NAS-ID、NAS-IP（源 IP）和会话 ID 信息。

交换机每隔设定的时间间隔向 CAMS 发送 Accouting-On 报文。

CAMS 收到 Accounting-On 报文后，立即向交换机发送一个响应报文，并根据 Accouting-On

报文中的 NAS-ID、NAS-IP 和会话 ID，找到并删除通过交换机接入的原用户在线信息，并按

照最后一次计费更新报文结束计费。

当交换机收到 CAMS 的响应报文后，即停止发送 Accounting-On 报文。

如果交换机发送 Accounting-On 报文的次数已达到设定的最大发送次数，但是仍没有收到

CAMS 的响应报文，则交换机停止发送 Accounting-On 报文。

Accounting-On 报文中的主要属性：NAS-ID、NAS-IP 和会话 ID 由交换机自动生成，其中 NAS-IP还可以通过命令（nas-ip）手工配置，如果手工配置，请注意配置正确、合法的 IP 地址；如果不配

置，交换机会自动选择 VLAN 虚接口的 IP 地址作为 NAS-IP 地址。

2-18

表2-23 配置设备重启用户再认证功能

操作命令说明


进入 RADIUS 方案视图 radius scheme radius-scheme-name -

启动设备重启用户再认证功能 accounting-on enable [ send times | interval interval ]

缺省情况下：设备重启用户再认证功能处于关闭

状态；发送 Accounting-On 报文的最大次数

（times）为 15 次、时间间隔（interval）为 3 秒

2.3 配置 HWTACACS

表2-24 HWTACACS 配置任务简介


创建 HWTACACS 方案必选 2.3.1

配置 HWTACACS 认证服务器必选 2.3.2

配置 HWTACACS 授权服务器必选 2.3.3

配置 HWTACACS 计费服务器可选 2.3.4

配置 HWTACACS 报文的共享密钥可选 2.3.5

配置发送给 HWTACACS 服务器的数据相关属性可选 2.3.6

配置 HWTACACS客户端

配置 HWTACACS 服务器的定时器可选 2.3.7

配置 HWTACACS服务器端具体请参见相应 HWTACACS 服务器的配置 - -

2.3.1 创建 HWTACACS 方案

HWTACACS 的配置是以 HWTACACS 方案为单位进行的。在进行其它 HWTACACS 配置之前，必

须先创建 HWTACACS 方案并进入其视图。

表2-25 创建 HWTACACS 方案

操作命令说明


创建 HWTACACS 方案，并进入

HWTACACS 视图 hwtacacs scheme hwtacacs-scheme-name

必选

缺省情况下，没有定义

HWTACACS 方案

系统最多支持配置 16 个 HWTACACS 方案。只有当方案没有用户使用时，才能删除该方案。

2-19

2.3.2 配置 TACACS 认证服务器

表2-26 配置 TACACS 认证服务器

操作命令说明


创建 HWTACACS 方案，并

进入 HWTACACS 视图 hwtacacs scheme hwtacacs-scheme-name

必选

缺省情况下，没有定义 HWTACACS 方案

设置 TACACS 主认证服务

器的 IP 地址和端口号 primary authentication ip-address [ port ]

必选

缺省情况下，主认证服务器的 IP 地址为 0.0.0.0，端

口号为 0

设置 TACACS 从认证服务

器的 IP 地址和端口号

secondary authentication ip-address [ port ]

可选

缺省情况下，从认证服务器的 IP 地址为 0.0.0.0，端

口号为 0

主认证服务器和从认证服务器的 IP 地址不能相同，否则将提示配置不成功。只有当没有活跃的用于发送认证报文的 TCP 连接使用该认证服务器时，才允许删除该服务器。

2.3.3 配置 TACACS 授权服务器

表2-27 配置 TACACS 授权服务器

操作命令说明


创建 HWTACACS 方案，并进

入 HWTACACS 视图 hwtacacs scheme hwtacacs-scheme-name

必选


设置 TACACS 主授权服务器的

IP 地址和端口号 primary authorization ip-address [ port ]

必选

缺省情况下，主授权服务器的 IP 地址为

0.0.0.0，端口号为 0

设置 TACACS 从授权服务器的

IP 地址和端口号 secondary authorization ip-address [ port ]

可选

缺省情况下，从授权服务器的 IP 地址为

0.0.0.0，端口号为 0

主授权服务器和从授权服务器的 IP 地址不能相同，否则将提示配置不成功。只有当没有活跃的用于发送授权报文的 TCP 连接使用该授权服务器时，才允许删除该服务器。

2.3.4 配置 TACACS 计费服务器

表2-28 配置 TACACS 计费服务器

操作命令说明


2-20

操作命令说明



必选


设置 TACACS 主计费服务器的

IP 地址和端口号 primary accounting ip-address [ port ]

必选

缺省情况下，主计费服务器的 IP 地址为

0.0.0.0，端口号为 0

设置 TACACS 从计费服务器的

IP 地址和端口号 secondary accounting ip-address [ port ]

必选

缺省情况下，从计费服务器的 IP 地址为

0.0.0.0，端口号为 0

使能停止计费报文重传，并配置

传送的最大次数 retry stop-accounting retry-times

可选

缺省情况下，使能停止计费报文重传功能，

且允许停止计费报文传送 100 次

主计费服务器和从计费服务器的 IP 地址不能相同，否则将提示配置不成功。只有当没有活跃、用于发送计费报文的 TCP 连接使用该计费服务器时，才允许删除该服务器。目前 HWTACACS 协议不支持对 FTP 用户进行计费。

2.3.5 配置 HWTACACS 报文的共享密钥

使用 TACACS 服务器作为 AAA 服务器时，可设置密钥以提高设备与 TACACS 服务器通信的安全

性。

TACACS 客户端（即设备系统）与 TACACS 服务器使用 MD5 算法来加密交互的 HWTACACS 报

文，双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下，双方才能彼此接收对

方发来的报文并作出响应。因此，必须保证设备上设置的共享密钥与 TACACS 服务器上的完全一

样。

表2-29 配置 HWTACACS 报文的共享密钥

操作命令说明




必选


HWTACACS 方案

设置 HWTACACS 计费、授权及认证报

文的共享密钥

key { accounting | authorization | authentication } string

必选

缺省情况下，TACACS 服务器没有

密钥

2.3.6 配置发送给 TACACS 服务器的数据相关属性

表2-30 配置发送给 TACACS 服务器的数据相关属性

操作命令说明


2-21

操作命令说明



必选


HWTACACS 方案

设置发送给 TACACS 服务器的用

户名格式 user-name-format { with-domain | without-domain }

可选

缺省情况下，发往 TACACS 服务

器的用户名带域名

data-flow-format data { byte | giga-byte | kilo-byte | mega-byte }

设置发送给 TACACS 服务器的数

据流的单位 data-flow-format packet { giga-packet | kilo-packet | mega-packet | one-packet }

可选

缺省情况下，TACACS 服务器的发

送数据单位为 byte，数据包的单位

为 one-packet

HWTACACS 视图

nas-ip ip-address 配置设备发送 HWTACACS 报文

使用的源地址系统视图

hwtacacs nas-ip ip-address

可选

缺省情况下，不指定源地址，即以

发送报文的接口地址作为源地址

用户名通常采用“userid@isp-name”或“userid.isp-name”的格式命名，“@”或者“.”后面的

部分为域名。如果 TACACS 服务器不接受带域名的用户名时，可以配置将用户名的域名去除后再

传送给 TACACS 服务器。

2.3.7 配置 TACACS 服务器的定时器

表2-31 配置 TACACS 服务器的定时器

操作命令说明


创建 HWTACACS 方案，并

进入 HWTACACS 视图 hwtacacs scheme hwtacacs-scheme-name

必选


设置 TACACS 服务器应答

超时时间 timer response-timeout seconds

可选

缺省情况下，应答超时时间为 5 秒

设置主服务器恢复激活状态

的时间 timer quiet minutes 可选

缺省情况下，主服务器恢复激活状态前需要等

待 5 分钟

设置实时计费的时间间隔 timer realtime-accounting minutes

可选

缺省情况下，实时计费间隔为 12 分钟

2-22

为了对用户实施实时计费，有必要设置实时计费的时间间隔。在设置了该属性以后，每隔设定的

时间，设备会向 TACACS 服务器发送一次在线用户的计费信息。按照协议，如果服务器对实时

计费报文没有正常响应，设备也不会强制切断在线用户。实时计费间隔时间取值必须为 3 的整数倍。实时计费间隔的取值对设备和 TACACS 服务器的性能有一定的相关性要求—取值越小，对设备

和 TACACS 服务器的性能要求越高。

2.4 AAA 显示和维护

完成上述配置后，在任意视图下执行 display 命令可以显示配置后 AAA、RADIUS、HWTACACS的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，执行 reset 命令可以清除相关统计信息。

表2-32 AAA 配置显示

操作命令说明

显示所有或指定 ISP 域

的配置信息 display domain [ isp-name ]

显示用户连接的相关信

息

display connection [ access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name ]

显示本地用户的相关信

息

display local-user [ domain isp-name | idle-cut { disable | enable } | vlan vlan-id | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name ]

display 命

令可以在任

意视图下执

行

表2-33 RADIUS 协议显示和维护

操作命令说明

显示本地 RADIUS 认证服务器的

统计信息 display local-server statistics

显示所有或指定 RADIUS 方案的

配置信息 display radius scheme [ radius-scheme-name ]

显示 RADIUS 报文的统计信息 display radius statistics

显示缓存的没有得到响应的停止

计费请求报文

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

display 命令可

以在任意视图

下执行

删除那些缓存的、没有得到响应的

停止计费请求报文

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

清除 RADIUS 协议的统计信息 reset radius statistics

reset 命令在用

户视图下执行

2-23

表2-34 HWTACACS 协议显示和维护

操作命令说明

查看所有或指定 HWTACACS 方案的

配置信息或统计信息 display hwtacacs [ hwtacacs-scheme-name [ statistics] ]

显示缓存的没有得到响应的停止计费

请求报文 display stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name

display 命令可

以在任意视图

下执行

清除 TACACS 协议的统计信息 reset hwtacacs statistics { accounting | authentication | authorization | all }

删除在交换机上缓存的、没有得到响

应的停止计费请求报文 reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

reset 命令在用

户视图下执行

2.5 AAA 典型配置举例

2.5.1 Telnet/SSH 用户通过 RADIUS 服务器认证的应用配置

SSH 用户和 Telnet 用户通过 RADIUS 服务器进行认证的配置方法类似，下面的描述以 Telnet 用户

的远端认证为例。

1. 组网需求

在图 2-2所示的环境中，需要通过配置交换机实现RADIUS服务器对登录交换机的Telnet用户进行

认证。

一台 RADIUS 认证服务器与交换机相连，服务器 IP 地址为 10.110.91.164。

设置交换机与认证 RADIUS 服务器交互报文时的共享密钥为 aabbcc。

RADIUS 服务器使用 CAMS 服务器。使用 CAMS 服务器，RADIUS 服务器类型应选择

extended 类型。

在 RADIUS 服务器上设置与交换机交互报文时的共享密钥为 aabbcc，设置认证的端口号，添

加 Telnet 用户名及登录密码。

如果 RADIUS 方案中设置交换机不从用户名中去除用户域名而是一起传给 RADIUS 服务器，

RADIUS 服务器上添加的 Telnet 用户名设置为“userid@isp-name”形式。

2-24

2. 组网图

图2-2 配置 Telnet 用户的远端 RADIUS 认证

Internet

Telnet user

RADIUS server10.110.91.164/16

3. 配置步骤



# 配置 Telnet 用户采用 AAA 认证方式。


[Sysname-ui-vty0-4] authentication-mode scheme

# 配置 domain。

[Sysname] domain cams

[Sysname-isp-cams] access-limit enable 10

[Sysname-isp-cams] quit

# 配置 RADIUS 方案。

[Sysname] radius scheme cams

[Sysname-radius-cams] accounting optional

[Sysname-radius-cams] primary authentication 10.110.91.164 1812

[Sysname-radius-cams] key authentication aabbcc

[Sysname-radius-cams] server-type extended

[Sysname-radius-cams] user-name-format with-domain

[Sysname-radius-cams] quit

# 配置 domain 和 RADIUS 的关联。

[Sysname] domain cams

[Sysname-isp-cams] scheme radius-scheme cams

Telnet 用户登录时输入用户名 userid @cams，以使用 cams 域进行认证。

2.5.2 FTP/Telnet 用户本地认证配置

FTP 用户与 Telnet 用户通过本地认证的配置方法类似，下面描述仅以 Telnet 用户为例。

2-25

1. 组网需求

如下图所示的环境中，现需要通过配置交换机实现对登录交换机的 Telnet 用户进行本地认证。

2. 组网图

图2-3 配置 Telnet 用户的本地认证

Internet

Telnet User Switch

3. 配置步骤

(1) 方法一：使用本地认证方案。



# 配置 Telnet 用户采用 AAA 认证方式。



[Sysname-ui-vty0-4] quit

# 创建本地用户 telnet。

[Sysname] local-user telnet

[Sysname-luser-telnet] service-type telnet

[Sysname-luser-telnet] password simple aabbcc

[Sysname-luser-telnet] quit

# 配置缺省 system 域采用的认证方式。


[Sysname-isp-system] scheme local

使用 Telnet 登录时输入用户名为 telnet@system，以使用 system 域进行认证。

(2) 方法二：使用本地 RADIUS 服务器

这种方法与 2.5.1 节中的远端RADIUS认证方法类似，不同之处在于：

需要将 2.5.1 节中“配置RADIUS方案”中的服务器IP地址修改为 127.0.0.1，认证服务的UDP

端口号修改为 1645。

配置开启本地RADIUS服务器，设置网络接入服务器 IP地址为127.0.0.1，共享密钥为aabbcc。

配置本地用户。

2.5.3 配置 Telnet 用户通过 TACACS 服务器进行认证和授权

1. 组网需求

通过配置交换机实现 TACACS 服务器对登录交换机的 Telnet 用户进行认证、授权。

一台 TACACS 服务器（其担当认证、授权、计费服务器的职责）与交换机相连，服务器 IP 地址为

10.110.91.164，设置交换机与认证、授权、计费 TACACS 服务器交互报文时的共享密钥均为

“expert”，设置交换机除去用户名中的域名后再将之传给 TACACS 服务器。

2-26

在 TACACS 服务器上设置与交换机交互报文时的共享密钥为 aabbcc。

2. 组网图

图2-4 配置 Telnet 用户的远端 TACACS 认证和授权

Internet

Telnet user

Authentication server10.110.91.164/16

3. 配置步骤

# 添加 Telnet 用户。

此处略。

# 配置 HWTACACS 方案。


[Sysname] hwtacacs scheme hwtac

[Sysname-hwtacacs-hwtac] primary authentication 10.110.91.164 49

[Sysname-hwtacacs-hwtac] primary authorization 10.110.91.164 49

[Sysname-hwtacacs-hwtac] key authentication aabbcc

[Sysname-hwtacacs-hwtac] key authorization aabbcc

[Sysname-hwtacacs-hwtac] user-name-format without-domain

[Sysname-hwtacacs-hwtac] quit

# 配置 domain 引用名为 hwtac 的 HWTACACS 方案。

[Sysname] domain hwtacacs

[Sysname-isp-hwtacacs] scheme hwtacacs-scheme hwtac

2.5.4 Auto VLAN 典型配置举例

1. 组网需求

要求在端口 Ethernet1/0/1 和 Ethernet1/0/2 上对接入用户进行 802.1x 认证，通过认证后，RADIUS服务器向交换机下发 Auto VLAN 列表，将认证端口加入到 IP phone 需要访问的 VLAN，使 IP phone能访问网络资源；接入控制方式要求是基于端口的接入控制。

所有接入用户都属于 ISP 域 abc，RADIUS 方案为 bbb；

RADIUS 服务器与 Switch 相连，RADIUS 服务器 IP 地址为 1.1.1.1；

Switch 与 RADIUS 服务器交互报文时的共享密钥均为 hello。

2-27

2. 组网图

图2-5 Auto VLAN 典型配置组网图

3. 配置步骤

RADIUS 服务器上的配置（略）

不同的RADIUS服务器，配置方法可能不同，请参照 2.1.3 2. 动态下发VLAN列表配置方法介绍完

成对RADIUS服务器上VLAN列表的配置。

802.1x 客户端上的配置（略）

认证交换机（Switch）上的配置 <Switch> system-view

# 创建并配置 RADIUS 认证方案 bbb。

[Switch] radius scheme bbb

[Switch-radius-bbb] primary authentication 1.1.1.1

[Switch-radius-bbb] key authentication hello

[Switch-radius-bbb] primary accounting 1.1.1.1

[Switch-radius-bbb] key accounting hello

[Switch-radius-bbb] quit

# 建立认证域 aaa，并进入域视图。

[Switch] domain aaa

# 配置域 aaa 的 VLAN 下发模式为 vlan-list。

[Switch-isp-aaa] vlan-assignment-mode vlan-list

# 为域指定认证方案。

[Switch-isp-aaa] radius-scheme bbb

[Switch-isp-aaa] quit

#在 Switch 上使能 802.1x 认证功能。

[Switch] dot1x

# 端口 Ethernet 1/0/1 上配置 802.1x 认证，基于端口模式。


[Switch-Ethernet1/0/1] dot1x

2-28

[Switch-Ethernet1/0/1] dot1x port-method portbased

# 端口 Ethernet 1/0/2 上配置 802.1x 认证，基于端口模式。



[Switch-Ethernet1/0/2] dot1x port-method portbased

2.6 AAA 常见配置错误举例

2.6.1 RADIUS 常见配置错误举例

RADIUS 协议在 TCP/IP 协议族中处于应用层，它主要规定交换机与 ISP 的 RADIUS 服务器间如何

交互用户信息，因此它失效的可能性比较大。

(1) 错误之一：用户认证/授权总是失败

错误排除：

用户名不是“userid@isp-name”或“userid.isp-name”的形式，或设备没有指定缺省的 ISP

域——请使用正确形式的用户名或在设备中设定缺省的 ISP 域。

RADIUS 服务器的数据库中没有配置该用户——检查 RADIUS 服务器的数据库以保证该用户

的配置信息确实存在。

用户侧输入的密码不正确——请保证接入用户输入正确的密码。

RADIUS 服务器和设备的报文共享密钥不同——请仔细比较两端的共享密钥，确保它们相同。

设备与 RADIUS 服务器之间存在通信故障（可以通过在设备上 ping RADIUS 服务器来检查）

——请保证设备与 RADIUS 服务器之间能够正常通信。

(2) 错误之二：RADIUS 报文无法传送到 RADIUS 服务器

错误排除：

设备与 RADIUS 服务器之间的通信线路不通（物理层/链路层）——请保证线路通畅。

设备上没有设置相应的 RADIUS 服务器 IP 地址——请保证正确设置 RADIUS 服务器的 IP 地

址。

认证/授权和计费服务的 UDP 端口设置得不正确——请保证与 RADIUS 服务器提供的端口号

一致。

(3) 错误之三：用户认证通过并获得授权，但是不能向 RADIUS 服务器传送计费话单。

错误排除：

计费端口号设置得不正确——请正确设置 RADIUS 计费端口号。

计费服务器和认证/授权服务器不是同一台机器，设备却要求认证/授权和计费在同一个服务器

（IP 地址相同）——请保证设备的认证/授权和计费服务器的设置与实际情况相同。

2.6.2 HWTACACS 常见配置错误举例

HWTACACS 的常见配置错误举例与 RADIUS 基本相似，可以参考上面内容。

3-1

3 EAD 配置

3.1 EAD 简介

EAD（Endpoint Admission Defense，端点准入防御）方案通过对接入的数据进行监控，能够增强

网络终端的主动防御能力，控制病毒和蠕虫在网络内部的蔓延。同时，通过限制不符合安全要求的

终端的访问权限，防止不安全终端对整个网络的安全造成危害。

EAD 方案的实施需要交换机、AAA 服务器、安全策略服务器和安全客户端联合操作、相互配合，

从而实现对终端用户的安全状态评估和访问权限的动态控制。

EAD 方案启动后，交换机根据接收到的会话控制报文的源 IP 地址判断该报文是否合法：

只有从认证服务器以及安全策略服务器发送过来的会话控制报文才被交换机认为是合法的。

交换机根据会话控制报文的指令，动态地调整用户终端的 VLAN、速率、报文调度优先级以及

ACL（Access Control List，访问控制列表），从而动态控制用户的访问权限。

3.2 EAD 配置的典型组网应用

EAD方案在用户接入网络前，通过强制检查用户终端的安全状态，并根据对用户终端安全状态的检

查结果，强制实施用户接入控制策略，从而实现对不符合安全标准的用户进行“隔离”并强制用户

进行病毒库升级、系统补丁安装等操作。其典型组网应用如图 3-1所示。

图3-1 EAD 典型组网应用

病毒补丁服务器

客户端

认证服务器

安全策略服务器

当客户端通过认证服务器的身份验证以后，安全客户端（安装在客户端 PC 上的软件）对客户端的

安全状况进行检测，并与安全策略服务器交互，如果不符合安全认证的标准，安全策略服务器下发

ACL 控制报文到交换机，交换机只允许客户端访问病毒补丁服务器。

只有当客户端安装了补丁，并且客户端的安全标准满足了安全认证的标准以后，安全客户端将客户

端的安全状态传递到安全策略服务器，安全策略服务器将再次下发 ACL，使交换机打开客户端的访

问权限，使之能够访问更多的网络资源。

3-2

3.3 EAD 配置

EAD 功能的配置如下：

配置接入用户的属性，例如用户名、用户类型、密码等。如果配置本地认证，需要在交换机上

配置接入用户的属性；如果远程认证，需要在 AAA 服务器上配置接入用户的属性

配置 RADIUS 方案

配置安全策略服务器 IP 地址

配置 ISP 域和 RADIUS 方案的关联

EAD 主要应用在 RADIUS 认证场合。

本节主要介绍配置安全策略服务器IP地址，其他相关的配置过程描述请参见 2 AAA配置。

表3-1 EAD 配置过程



进入 RADIUS 方案视图 radius scheme radius-scheme-name -

配置 RADIUS 服务器的类型为extended server-type extended 必选

配置安全策略服务器 IP 地址 security-policy-server ip-address 必选

每个 RADIUS 方案中最多允许配置

8 个不同 IP 的安全策略服务器地址

3.4 EAD 典型配置过程举例

1. 组网需求

在如图 3-2所示的环境中，

某用户的工作站与以太网交换机的端口 Ethernet 1/0/1 相连接。

用户的工作站采用支持 EAD 扩展功能的 802.1X 客户端。

通过对交换机的配置，实现 RADIUS 服务器对接入用户的远端认证和安全策略服务器对用户

的 EAD 操作控制。

配置任务如下：

RADIUS 认证服务器与交换机相连，服务器 IP 地址为 10.110.91.164，交换机使用端口号 1812

与认证服务器通信。

认证服务器的类型为 extended。

设置交换机与认证 RADIUS 服务器交互报文时的加密密码为 expert。

配置安全策略服务器，IP 地址为：10.110.91.166。

3-3

2. 组网图

图3-2 EAD 典型配置组网图

Eth1/0/1 Internet

User

Security policy servers10.110.91.166/16

Virus patch servers10.110.91.168/16

Authentication servers10.110.91.164/16

3. 配置步骤

# 在交换机上完成 802.1x 配置，具体配置过程描述请参见“802.1x 及 System-Guard”中的配置

802.1x 基本功能部分。

# 配置 domain。



[Sysname-isp-system] quit


[Sysname] radius scheme cams

[Sysname-radius-cams] primary authentication 10.110.91.164 1812

[Sysname-radius-cams] accounting optional

[Sysname-radius-cams] key authentication expert

[Sysname-radius-cams] server-type extended

# 配置安全策略服务器地址。

[Sysname-radius-cams] security-policy-server 10.110.91.166

# 配置 domain 和 RADIUS 方案的关联。

[Sysname-radius-cams] quit


[Sysname-isp-system] radius-scheme cams

i

目录

1 Web认证配置..................................................................................................................................... 1-1

1.1 Web认证简介 .................................................................................................................................... 1-1

1.2 Web认证配置 .................................................................................................................................... 1-1

1.2.1 配置准备 ................................................................................................................................. 1-1 1.2.2 Web认证配置..........................................................................................................................1-1

1.3 Web认证支持HTTPS访问方式的配置 ............................................................................................... 1-2

1.3.1 配置准备 ................................................................................................................................. 1-3 1.3.1 配置接入协议 ..........................................................................................................................1-3

1.4 配置Web认证的定制页面 ..................................................................................................................1-3

1.4.1 配置页面定制元素...................................................................................................................1-3 1.4.2 配置定制页面文件...................................................................................................................1-4 1.4.3 编辑定制页面文件...................................................................................................................1-4

1.5 Web认证配置显示和维护 ..................................................................................................................1-6

1.6 Web认证配置举例 .............................................................................................................................1-6

1-1

1 Web 认证配置

新增“Web认证用户最长在线时间配置”特性，具体请参见 1.2.2 Web认证配置。新增“Web认证支持HTTPS访问方式”特性，具体请参见 1.3 Web认证支持HTTPS访问方式的

配置。新增“Web认证定制页面”特性，具体请参见 1.4 配置Web认证的定制页面。

1.1 Web 认证简介

Web 认证是一种基于端口对用户访问网络的权限进行控制的认证方法，它不需要用户安装专用的客

户端认证软件。

开启 Web 认证功能后，认证通过前客户端不能访问网络，只能打开认证页面，或者访问免认证 IP指定的地址，认证通过后可以访问所有可达网络。

1.2 Web 认证配置

1.2.1 配置准备

配置 ISP 域及其使用的 AAA 方案，选择使用 RADIUS 认证方案，以配合完成用户的身份认证。

Web 认证使用的 AAA 认证方案只能为 RADIUS 认证方案，不支持本地认证。 AAA 认证方案下配置的接入用户数目限制对 Web 认证不生效。Web 认证不支持计费，所以 AAA方案配置中请配置计费为可选。

1.2.2 Web 认证配置

表1-1 Web 认证配置

操作命令说明


设置Web认证服务器

的 IP 地址和端口号 web-authentication web-server ip ip-address [ port port-number ]

必选

缺省情况下，端口号为 80，未配置 Web认证服务器 IP 地址

开启全局Web认证特

性 web-authentication enable

必选

缺省情况下，全局 Web 认证特性处于关闭

状态

配置设备上能通过

Web 认证的用户最大

个数

web-authentication max-connection number

可选

缺省情况下，设备上能通过 Web 认证的用

户最大个数为 512

1-2

操作命令说明


web-authentication select method { shared | designated }

在端口上开启Web认证

quit

必选

缺省情况下，端口未开启 Web 认证

设置Web认证的免认

证 IP 地址 web-authentication free-ip ip-address { mask-length | mask }

可选

缺省情况下，未配置 Web 认证的免认证 IP地址

设置Web认证的免认

证用户 web-authentication free-user ip ip-address mac mac-address

可选

缺省情况下，未配置免认证用户

配置强制切断Web认证用户

web-authentication cut connection { all | mac mac-address | user-name user-name | interface interface-type interface-number }

可选

配置Web认证闲置用

户检测定时器的时长 web-authentication timer idle-cut timer

可选

缺省情况下，闲置用户检测定时器的时长

为 900 秒

限制Web认证用户最

长在线时间 web-authentication timer max-online timer

可选

缺省情况下，限制 Web 认证用户最长在线

时间为 1800 秒

配置一个端口上能通

过Web认证的用户最

大个数

web-authentication max-connection number

可选

缺省情况下，端口上能通过 Web 认证的用

户最大个数为 128

开启全局 Web 认证功能前，首先必须配置 Web 认证服务器的 IP 地址。如果开启了 Web 认证，则不能配置 802.1x、MAC 地址认证、端口安全、端口汇聚等特性，反之，

如果配置了 802.1x、MAC 地址认证、端口安全、端口汇聚等特性，则禁止开启 Web 认证。各端口的 Web 认证参数在全局开启之前可以配置，但不会生效；在全局 Web 认证开启后，已使

能 Web 认证的端口将立即开始进行认证操作。 Web 认证客户端与开启了 Web 认证功能的交换机之间必须路由可达，以完成 Web 认证页面的推

出。 Web 认证不可以与 IP 过滤、ARP 入侵检测、QoS、端口绑定等使用 ACL 的功能同时使用。对于共享接入方式（shared）上线的用户，如果配置的免认证用户的 IP 地址和 MAC 地址和在

线用户的 IP 地址和 MAC 地址都相同时，对应的用户被强制下线。

1.3 Web 认证支持 HTTPS 访问方式的配置

认证客户端和设备间可支持 HTTP、HTTPS 协议的交互：

若客户端和接入设备之间交互 HTTP 协议，则报文以明文形式传输，安全性无法保证。

若客户端和接入设备之间交互 HTTPS 协议，则报文基于 SSL 提供的安全机制以密文的形式

传输，数据的安全性有保障。

通过此配置，交换机支持客户端使用 HTTPS 方式打开认证页面，保证认证信息传输的安全性。

1-3

1.3.1 配置准备

如果需要配置接入协议为 HTTPS，则需要先配置 PKI 域和 SSL 服务器策略，并将证书导入到 PKI域内。SSL 及 PKI 相关配置的说明，请参见 “SSL”及“PKI”模块。

1.3.1 配置接入协议

表1-2 配置接入协议

操作命令说明


配置接入协议 web-authentication protocol { http | https server-policy policy-name }

必选

缺省情况下，使用 HTTP 接入协议

此配置需要在 Web 认证开启前完成，Web 认证开启后不能改变接入协议。 SSL 服务器的策略必须存在，并在完成此配置后不要删除 SSL 服务器的策略。

1.4 配置 Web 认证的定制页面

Web 认证设备支持用户定制认证页面，分为两种形式：

使用简单的缺省页面框架，用户可以定制此框架中个别元素，详见 1.4.1 配置页面定制元素。

使用用户自行编辑的HTML文件，可以推出图片，广告，等各种页面，详见 1.4.2 配置定制页

面文件、1.4.3 编辑定制页面文件。

1.4.1 配置页面定制元素

Web 认证的缺省认证页面是一个框架，可以由用户配置其 4 部分，这四部分只能配置为字符串的形

式，一定程度上满足用户定制的要求。

表1-3 配置定制页面元素

操作命令说明


设置 Web 认证定制页面元

素信息

web-authentication customize { corp-name corporation-text | email email-string | phone-num phonenum-string | platform-name platform-text }

可选

缺省情况下，认证页面不体现定制信

息

以上配置是在默认页面框架下对局部信息进行定制的命令，不能改变认证页面的整体风格，适用于

认证页面简单，性能高的场景。

1-4

1.4.2 配置定制页面文件

Web 认证页面也可以完全由第三方开发，加载到设备上，进行显示。只要开发的页面文件符合定制

规范，页面内容可以随意发挥，页面内容更丰富，更自由。

表1-4 配置定制页面文件

操作命令说明


配置或修改定制页面文件 web-authentication customize file web-file

可选

缺省情况下为空。

配置定制页面文件后，设备将提取用户加载的文件进行显示，1.4.1 所述的配置在此失去意义。文件名 fileName 必须包含系统根目录和相对路径。如：unit1>flash:/test.zip

1.4.3 编辑定制页面文件

使用 web 认证进行认证时，设备向用户推出认证页面，认证页面的内容可由用户定制。用户定制的

认证页面以 HTML 文件的形式被压缩后发送至本地设备的存储设备中。每套定制页面包括登录页

面、登录成功页面、登录失败页面、在线页面、系统忙页面、免认证页面、下线成功页面，共 7 个

主索引页面文件。

用户在定制这些页面时需要遵循一定的定制规范，否则会影响 Web 认证功能的正常使用和系统运

行的稳定性。

1. 定制文件名规范

用户定制的主索引文件名，必须使用表 1-5中的固定文件名：

表1-5 认证页面文件名

主索认证页面文件名

登录页面 login.htm

登录成功页面 loginSuccess.htm

登录失败页面 loginFail.htm

在线页面

用于提示用户已经在线 online.htm

系统忙页面

用于提示系统忙或者该用户正在登录过程中 busy.htm

下线成功页面 logoutSuccess.htm

免认证页面 freeUser.htm

1-5

主索引页面文件之外的其他文件名可由用户自定义，但需注意文件名和文件目录名中不能含有中文

且不区分大小写。

2. 页面请求规范

WEB 认证模块只能接受 Get 请求和 Post 请求。

Post 请求用于用户提交用户名和密码以及用户执行登录、下线操作。

Get 请求的内容不可为递归内容。例如，Login.htm 文件中包含了 Get ca.htm 文件的内容，但

ca.htm 文件中又包含了对 Login.htm 的引用，这种递归引用就不允许。

3. Post 请求中各参数的规范

定制页面中 Form 的编辑必须符合下列原则：

用户定制的页面可以含有多个 Form，但是必须有且只有一个 Form 的 action 为空，否则无法

将用户信息送到设备。

用户名字段固定为”WaUser”，密码字段固定为”WaPwd”。

需要有用于标记用户登录还是下线的参数”WaButton”，取值为"Login"表示登录，取值为

"Logout"表示下线。

登录 Post 请求必须包含”WaUser”，”WaPwd”和"WaButton"三个参数。

下线 Post 请求必须包含”WaButton”这个参数。

包含登录 Post 请求的页面有 login.htm，loginFail.htm。

login.htm 页面脚本内容的部分示例：

<form method = post >

<p>User name:<input type="text" name = "WaUser" style="width:160px;height:22px"

maxlength=64>

<p>Password :<input type="password" name = "WaPwd" style="width:160px;height:22px"

maxlength=32>

<p><input type=SUBMIT value="Login" name = "WaButton" style="width:60px;">

</form>

包含下线 Post 请求的页面有 loginSuccess.htm、online.htm。

online.htm 页面脚本内容的部分示例：

<form method = post >

<p><input type=SUBMIT value="Logout" name="WaButton" style="width:60px;">

</form>

4. 页面文件路径规范

定制页面编辑好之后必须按照标准 zip 格式压缩成*****.zip 文件，zip 文件名只能包含字母、数

字、下划线。

压缩后的 zip 文件通过 FTP 或者 TFTP 的方式上传至设备中保存。

1-6

5. 页面大小和内容规范

为了方便系统推出定制页面，定制的页面在大小和内容上需要有如下限制：

每套页面：包括 login.htm,loginSuccess.htm 等主索引文件和其页面元素，压缩后的 zip 文件

大小不能超过 500K。

每个单独页面：包括单个主索引文件（如 login.htm）及其页面元素，压缩前的页面文件大小

不超过 50K（含页面文件和图片信息）。

页面元素：包括如 login.htm 页面需要应用的 back.jpg 文件等单个文件，只能包含 HTML、JS、

CSS 和图片内容。

1.5 Web 认证配置显示和维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 Web 认证后的运行情况。通过


表1-6 Web 认证显示和维护

操作命令说明

显示 Web 认证的全局或端口信息 display web-authentication configuration

显示 Web 认证用户连接情况 display web-authentication connection{ all | interface interface-type interface-number | user-name user-name }


意视图下执行

1.6 Web 认证配置举例

1. 组网需求

如图 1-1所示，用户与以太网交换机的端口Ethernet1/0/1 相连接。

交换机的管理者在端口 Ethernet1/0/1 上对用户接入进行 Web 认证，以控制用户对 Internet

的访问。

用户在通过 Web 认证前可以访问免费资源，通过认证后可以访问所有可达网络。

接入用户通过 DHCP 服务器自动获取 IP 地址。

1-7

2. 组网图

图1-1 开启 Web 认证对接入用户进行认证

3. 配置步骤

# 用户端配置为自动获得 IP 地址方式，并在 DHCP 服务器上完成 DHCP 相关配置。

# 配置 Web 认证服务器 IP 地址、端口号。


[Switch] web-authentication web-server ip 10.10.10.10 port 8080

# 配置 Web 认证免认证 IP 地址段，用户在通过认证前可以访问免费资源。

[Switch] web-authentication free-ip 10.20.20.1 24

# 开启指定端口 Ethernet 1/0/1 的 Web 认证特性，并指定端口接入方式为指定接入方式。


[Switch-Ethernet1/0/1] web-authentication select method designated



# 设置主认证 RADIUS 服务器的 IP 地址。


# 设置此方案不计费。

[Switch-radius-radius1] accounting optional

# 设置系统与 RADIUS 认证服务器交互报文时的加密密码。

[Switch-radius-radius1] key authentication expert




# 创建 Web 认证用户所使用的域 aabbcc.net 并进入其视图。





1-8


# 开启全局 Web 认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数未配置

完成，会造成合法用户无法访问网络）。

[Switch] web-authentication enable

此时，Web 认证生效，在用户通过 Web 认证前，不能访问外部网络，只能访问免费资源。

用户打开 IE，地址栏内输入：http://10.10.10.10:8080，输入相应的“User name”和“Password”。

点击 Login，出现认证成功页面：“Authentication passed!”。此时用户可以访问成功外部网络。

i

目录

1 MAC地址认证配置 ............................................................................................................................. 1-1

1.1 MAC地址认证简介.............................................................................................................................1-1

1.1.1 RADIUS服务器认证方式进行MAC地址认证 ........................................................................... 1-1 1.1.2 本地认证方式进行MAC地址认证 ............................................................................................ 1-1

1.2 相关概念............................................................................................................................................ 1-2

1.2.1 MAC地址认证定时器 ..............................................................................................................1-2 1.2.2 静默MAC ................................................................................................................................ 1-2

1.3 MAC地址认证基本功能配置 ..............................................................................................................1-2

1.3.1 MAC地址认证基本功能配置 ................................................................................................... 1-2

1.4 MAC地址认证增强功能配置 ..............................................................................................................1-3

1.4.1 MAC地址认证增强功能配置任务 ............................................................................................ 1-3 1.4.2 配置Guest VLAN ....................................................................................................................1-3 1.4.3 配置端口下MAC地址认证用户的最大数量.............................................................................. 1-5

1.5 MAC地址认证配置显示和维护 .......................................................................................................... 1-5

1.6 MAC地址认证配置举例 .....................................................................................................................1-5

1-1

1 MAC 地址认证配置

1.1 MAC 地址认证简介

MAC 地址认证是一种基于端口和 MAC 地址对用户访问网络的权限进行控制的认证方法，它不需要

用户安装任何客户端认证软件。交换机在首次检测到用户的 MAC 地址以后，即启动对该用户的认

证操作。认证过程中，也不需要用户手动输入用户名或者密码。

E152 以太网交换机进行 MAC 地址认证时，可采用两种认证方式：

通过 RADIUS 服务器认证

本地认证

当认证方式确定后，用户可根据需求选择以下一种类型的认证用户名：

MAC 地址用户名：使用用户的 MAC 地址作为认证时的用户名。

固定用户名：所有用户均使用在交换机上预先配置的本地用户名和密码进行认证，因此用户

能否通过认证取决于该用户名和密码是否正确及此用户名的最大用户数属性控制（具体内容

请参见本手册“AAA”中的配置本地用户属性部分）。

1.1.1 RADIUS 服务器认证方式进行 MAC 地址认证

当选用 RADIUS 服务器认证方式进行 MAC 地址认证时，交换机作为 RADIUS 客户端，与 RADIUS服务器配合完成 MAC 地址认证操作：

采用MAC地址用户名时，交换机将检测到的用户MAC地址作为用户名和密码发送给RADIUS

服务器；或者将 MAC 地址作为用户名，密码采用配置的固定密码发送给 RADIUS 服务器。

采用固定用户名时，交换机将已经在本地配置的用户名和密码作为待认证用户的用户名和密

码，发送给 RADIUS 服务器。

RADIUS认证流程是与PAP方式的802.1X认证流程一致的。具体请参见“802.1x及System-Guard”相关介绍。

RADIUS 服务器完成对该用户的认证后，认证通过的用户可以访问网络。

1.1.2 本地认证方式进行 MAC 地址认证

当选用本地认证方式进行 MAC 地址认证时，直接在交换机上完成对用户的认证。需要在交换机上

配置本地用户名和密码：

采用 MAC 地址用户名时，需要配置的本地用户名为接入用户的 MAC 地址，密码根据配置采

用 MAC 地址或者所配置的固定密码；本地用户名是否使用分隔符“ - ”要与

mac-authentication authmode usernameasmacaddress usernameformat 命令设置的格

式相同，否则会导致认证失败。

采用固定用户名时，所有用户 MAC 将自动匹配到已配置的本地用户名和密码。

本地用户的服务类型应设置为 lan-access。

1-2

1.2 相关概念

1.2.1 MAC 地址认证定时器

MAC 地址认证过程受以下定时器的控制：

下线检测定时器（offline-detect）：用来设置交换机检查用户是否已经下线的时间间隔。当

检测到用户下线后，交换机立即通知 RADIUS 服务器，停止对该用户的计费。

静默定时器（quiet）：用来设置用户认证失败以后，该用户需要等待的时间间隔。在静默期

间，交换机不处理该用户的认证功能，静默之后交换机再重新对用户发起认证。

服务器超时定时器（server-timeout）：用来设置交换机同 RADIUS 服务器的连接超时时间。

在用户的认证过程中，如果服务器超时定时器超时，则此次认证失败。

1.2.2 静默 MAC

当一个 MAC 地址认证失败后，此 MAC 就被设置为静默 MAC。在静默定时器时长之内，对来自此

MAC 地址的数据报文，交换机直接做丢弃处理。静默 MAC 的功能主要是防止非法 MAC 短时间内

的重复认证。

若配置的静态 MAC 或者认证通过的 MAC 地址与静默 MAC 相同，则此 MAC 地址的静默功能失效。

1.3 MAC 地址认证基本功能配置

1.3.1 MAC 地址认证基本功能配置

表1-1 MAC 地址认证基本功能配置

操作命令说明


开启全局 MAC 地址

认证特性 mac-authentication

必选

缺省情况下，全局 MAC 地址认证特

性处于关闭状态

系统视图下 mac-authentication interface interface-list


mac-authentication

开启指定端口的MAC地址认证特性

端口视图下

quit

二者必选其一

缺省情况下，所有端口的 MAC 地址

认证特性处于关闭状态

设置采用 MAC 地址

用户名

mac-authentication authmode usernameasmacaddress [ usernameformat { with-hyphen | without-hyphen } { lowercase | uppercase } | fixedpassword password ]

可选

缺省情况下，采用 MAC 地址用户名

设置采用固定

用户名 mac-authentication authmode usernamefixed 设置采用固定用户名

设置用户名 mac-authentication authusername username

可选

缺省情况下，采用固定用户名时的用

户名为“mac”，未配置密码

1-3

操作命令说明

设置密码 mac-authentication authpassword password

配置认证用户所使用

的 ISP 域 mac-authentication domain isp-name

必选

缺省情况下，未配置认证用户使用的

域，使用“default domain”作为 ISP域名

配置 MAC 地址认证

定时器

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

可选

缺省情况下，下线检测定时器的超时

时间为 300 秒；静默定时器的超时

时间为 60 秒；服务器超时定时器的

超时时间为 100 秒

如果端口开启了 MAC 地址认证，则不能配置该端口的最大 MAC 地址学习个数（通过命令

mac-address max-mac-count 配置），反之，如果端口配置了最大 MAC 地址学习个数，则禁

止在该端口上开启 MAC 地址认证。如果开启了 MAC 地址认证，则不能配置端口安全（通过命令 port-security enable 配置），反

之，如果配置了端口安全，则禁止在该端口上开启 MAC 地址认证。各端口的 MAC 地址认证状态在全局开启之前可以配置，但不会生效；在全局 MAC 地址认证开

启后，已使能 MAC 地址认证的端口将立即开始进行认证操作。

1.4 MAC 地址认证增强功能配置

1.4.1 MAC 地址认证增强功能配置任务

表1-2 MAC 地址认证增强功能配置任务


配置 Guest VLAN 可选 1.4.2

配置端口下 MAC 地址认证用户的最大数量可选 1.4.3

1.4.2 配置 Guest VLAN

本节所指的 Guest VLAN 指的是 MAC 地址认证功能专用的 Guest VLAN，与“802.1x 及

System-Guard”手册中描述的 Guest VLAN 不是同一功能。

在完成 1.3 MAC地址认证基本功能配置介绍的配置任务后，交换机可以对接入用户根据其MAC地

址或固定的用户名密码进行认证。对于认证失败的客户端，交换机不会将其MAC地址学习到本地的

MAC地址转发表，以防止非法用户访问网络。

在某些情况下，对于认证未通过的客户端，要求其仍然可以访问网络中的部分受限资源，例如病毒

库升级服务器等，这时可以使用 Guest VLAN 功能来实现。

1-4

用户可以为交换机的每个端口设置一个 Guest VLAN，当端口连接的客户端认证失败后，该端口将

被自动加入 Guest VLAN，客户端的 MAC 地址也将被学习到 Guest VLAN 的 MAC 地址表中，该用

户即可以访问 Guest VLAN 内的网络资源。

在端口加入 Guest VLAN 后，交换机将定期对该端口第一个接入用户（即第一个学到的单播 MAC地址对应的用户）进行重认证。如果用户通过重认证，该端口将退出 Guest VLAN，用户也将可以

正常访问网络。

由于 Guest VLAN 是基于端口加入 VLAN 的方式实现的，即：如果某端口下连接了多个用户，当

第一个用户认证失败后，其他用户随之也只能访问 Guest VLAN 内的内容，而且交换机只会对第

一个接入该端口的用户的 MAC 地址进行重认证，其他用户将不会再有通过认证的机会。因此，

在端口下连接客户端数量大于 1 时，将不能配置 Guest VLAN。当用户认证失败时，交换机将该失败端口加入 Guest VLAN，因此，对于 Access 端口，Guest VLAN可以有效实现隔离未认证用户的功能。但对于 Trunk 和 Hybrid 端口，如果接收的报文本身已经

带有 VLAN Tag，且在端口允许通过的 VLAN 范围内，该报文将被正确转发，而不受 Guest VLAN的影响。即在用户认证失败的情况下，Trunk 和 Hybrid 端口仍能向除 Guest VLAN 之外的 VLAN转发数据。

表1-3 Guest VLAN 配置

操作命令说明



配置当前端口的 Guest VLAN mac-authentication guest-vlan vlan-id

必选

缺省情况下，没有配置端口的Guest VLAN


配置交换机对Guest VLAN内用户进

行重认证的时间间隔 mac-authentication timer guest-vlan-reauth interval

可选

缺省情况下，交换机对 Guest VLAN 内用户进行重认证的时间间

隔为 30 秒

当端口连接的客户端数量大于 1 时，将不能配置该端口的 Guest VLAN。当端口配置了 Guest

VLAN 后，该端口也将只允许一个 MAC 地址认证用户接入。即使配置的 MAC 地址认证用户的最

大数目限制大于 1，也将不会生效。被配置为 Guest VLAN 的 VLAN 不能使用 undo vlan 命令直接删除，必须先删除 Guest VLAN配置，才能够删除。undo vlan 命令请参见本手册“VLAN”部分的介绍。

一个端口只能配置一个 Guest VLAN，对应的 VLAN 必须已经存在，否则将会配置失败。如果需

要修改当前端口的 Guest VLAN，需要先删除之前的 Guest VLAN 配置，再重新进行配置。在配置了端口的 Guest VLAN 后，将不能在此端口开启 802.1x 认证功能。 MAC 地址认证的 Guest VLAN 功能在端口安全开启的情况下不生效。

1-5

1.4.3 配置端口下 MAC 地址认证用户的最大数量

用户可以通过配置端口下 MAC 地址认证用户的最大数量，来控制通过此端口接入的用户数目。当

接入用户到达配置的限制数量时，交换机将不会再对之后接入的用户进行认证触发动作，这些用户

也就无法正常访问网络。

表1-4 配置端口下 MAC 地址认证用户的最大数目限制

操作命令说明



配置端口下 MAC 地址认证用户的最

大数目限制 mac-authentication max-auth-num user-number

必选

缺省情况下，每个端口允许接入的

MAC 地址认证用户的最大数目为

256 个

当端口下同时配置了 MAC 地址认证用户数量限制和端口安全的用户数量限制时，允许接入的

MAC 地址认证用户数将为这两种配置中的较小值。端口安全功能的介绍请参见本手册“端口安

全”部分。当端口当前有用户在线时，不能配置此端口的 MAC 地址认证用户的最大数量。

1.5 MAC 地址认证配置显示和维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 MAC 地址认证后的运行情况。

通过查看显示信息，用户可以验证配置的效果。在用户视图下执行 reset 命令清除 MAC 地址认证

的统计信息。

表1-5 MAC 地址认证显示和维护

操作命令说明

显示MAC地址认证的全局或端口

信息 display mac-authentication [ interface interface-list ]


行

清除MAC地址认证的全局或端口

统计信息

reset mac-authentication statistics [ interface interface-type interface-number ]

reset 命令在用户视图下执行

1.6 MAC 地址认证配置举例

1. 组网需求

如图 1-1所示，某用户的工作站与以太网交换机的端口Ethernet1/0/2 相连接。

交换机的管理者希望在端口 Ethernet1/0/2 上对用户接入进行 MAC 地址认证，以控制用户对

Internet 的访问。

1-6

所有用户都属于域：aabbcc.net，认证时使用本地认证的方式。用户名和密码都为 PC 的 MAC

地址：00-0d-88-f6-44-c1。

2. 组网图

图1-1 开启 MAC 地址认证对接入用户进行本地认证

3. 配置步骤

# 开启指定端口 Ethernet 1/0/2 的 MAC 地址认证特性。


[Sysname] mac-authentication interface Ethernet 1/0/2

# 配置采用 MAC 地址用户名进行认证，并指定使用带有分隔符的小写形式的 MAC 地址作为验证的

用户名和密码。

[Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen

lowercase


配置本地用户的用户名和密码。 [Sysname] local-user 00-0d-88-f6-44-c1

[Sysname-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1

设置本地用户服务类型为 lan-access。 [Sysname-luser-00-0d-88-f6-44-c1] service-type lan-access

[Sysname-luser-00-0d-88-f6-44-c1] quit

# 创建 MAC 地址认证用户所使用的域 aabbcc.net。

[Sysname] domain aabbcc.net

New Domain added.

# 配置域 aabbcc.net 采用本地认证方式。

[Sysname-isp-aabbcc.net] scheme local

[Sysname-isp-aabbcc.net] quit

# 配置 MAC 地址认证用户所使用的域名为 aabbcc.net。

[Sysname] mac-authentication domain aabbcc.net

# 开启全局 MAC 地址认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数

未配置完成，会造成合法用户无法访问网络）。

[Sysname] mac-authentication

此时，MAC 地址认证生效，只允许 MAC 地址为 00-0d-88-f6-44-c1 的用户通过端口 Ethernet1/0/2访问网络。

i

目录

1 ARP配置............................................................................................................................................ 1-1

1.1 ARP简介............................................................................................................................................ 1-1

1.1.1 ARP作用 ................................................................................................................................. 1-1 1.1.2 ARP报文结构..........................................................................................................................1-1 1.1.3 ARP表..................................................................................................................................... 1-2 1.1.4 ARP地址解析过程...................................................................................................................1-3 1.1.5 免费ARP简介..........................................................................................................................1-3

1.2 配置ARP............................................................................................................................................ 1-4

1.2.1 ARP基本配置..........................................................................................................................1-4

1.3 配置免费ARP .................................................................................................................................... 1-4

1.4 ARP的显示和维护 .............................................................................................................................1-4

1.5 ARP典型配置举例 .............................................................................................................................1-5

1.5.1 ARP基本配置举例...................................................................................................................1-5

2 ARP攻击防御配置 ............................................................................................................................. 2-1

2.1 ARP攻击防御配置 .............................................................................................................................2-1

2.1.1 VLAN接口学习动态ARP表项的最大数目功能简介 ................................................................. 2-1 2.1.2 ARP报文源MAC一致性检查功能简介..................................................................................... 2-1 2.1.3 ARP入侵检测简介...................................................................................................................2-1 2.1.4 ARP报文限速功能简介 ...........................................................................................................2-3 2.1.5 基于网关IP/MAC的ARP报文过滤功能简介............................................................................. 2-3

2.2 配置ARP攻击防御 .............................................................................................................................2-4

2.2.1 ARP攻击防御配置任务简介 .................................................................................................... 2-4 2.2.2 配置VLAN接口学习动态ARP表项的最大数目 ........................................................................ 2-4 2.2.3 配置ARP报文源MAC一致性检查功能 .................................................................................... 2-4 2.2.4 配置基于网关IP/MAC的ARP报文过滤功能............................................................................. 2-5 2.2.5 配置ARP入侵检测功能 ...........................................................................................................2-6 2.2.6 配置ARP报文限速功能 ...........................................................................................................2-7

2.3 ARP攻击防御典型配置举例...............................................................................................................2-7

2.3.1 ARP攻击防御配置举例一........................................................................................................ 2-7 2.3.2 ARP攻击防御典型配置举例二 ................................................................................................ 2-9 2.3.3 ARP攻击防御典型配置举例三 ................................................................................................ 2-9 2.3.4 ARP攻击防御典型配置举例四 .............................................................................................. 2-10

1-1

1 ARP 配置

新增“ARP攻击防御”特性，具体介绍请参见 ARP攻击防御配置。

1.1 ARP 简介

1.1.1 ARP 作用

ARP（Address Resolution Protocol，地址解析协议）用于将网络层的 IP 地址解析为数据链路层的

物理地址。

IP 地址只是主机在网络层中的地址，如果要将网络层中数据包传送给目的主机，必须知道目的主机

的数据链路层地址（比如以太网络 MAC 地址）。因此必须将 IP 地址解析为数据链路层地址。

本章中除特殊说明，数据链路层地址均以 48bit 的以太网 MAC 地址为例。

1.1.2 ARP 报文结构

ARP报文分为ARP请求和ARP应答报文，ARP请求和应答报文的格式如图 1-1所示。

当一个 ARP 请求发出时，除了接收方硬件地址（即，请求方想要获取的地址）字段为空外，

其他所有的字段都被使用。

ARP 应答报文使用了所有的字段。

图1-1 ARP 报文格式

硬件地址长度协议地址长度

协议类型（16位）

硬件类型（16位）

操作码（16位）

发送方硬件地址

接收方IP地址

接收方硬件地址

发送方IP地址

ARP报文各字段的含义如表 1-1所示。

表1-1 ARP 报文字段解释

报文字段字段含义

硬件类型表示硬件接口的类型，合法取值请参见表 1-2

协议类型表示要映射的协议地址类型，它的值为 0x0800 即表示 IP 地址

1-2

硬件地址长度数据报文中硬件地址以字节为单位的长度

协议地址长度数据报文中协议地址以字节为单位的长度

操作码

指明数据报是 ARP 请求报文还是 ARP 应答报文

取值为 1——数据报是 ARP 请求报文

取值为 2——数据报是 ARP 应答报文

取值为 3——数据报是 RARP 请求报文

取值为 4——数据报是 RARP 应答报文

发送方硬件地址发送方设备的硬件地址

发送方 IP 地址发送方设备的 IP 地址

接收方硬件地址

接收方设备的硬件地址

ARP 请求报文中——这个字段为空

ARP 应答报文中——这个字段为应答报文返回的接收方硬件地址

接收方 IP 地址接收方设备的 IP 地址

表1-2 合法硬件接口类型列表

类型描述

1 以太网

2 实验以太网

3 X.25

4 Proteon ProNET（令牌环）

5 混沌网（chaos）

6 IEEE802.X

7 ARC 网络

1.1.3 ARP 表

以太网上的两台主机需要通信时，双方必须知道对方的 MAC 地址。每台主机都要维护 IP 地址到

MAC 地址的转换表，称为 ARP 映射表。ARP 映射表中存放着最近用到的一系列与本主机通信的其

他主机的 IP 地址和 MAC 地址的映射关系，每一条映射关系称为一条 ARP 表项。E152 以太网交换

机支持使用 display arp 命令查看 ARP 表项信息。

E152 以太网交换机的ARP表项分为：静态表项和动态表项，如表 1-3所示。

表1-3 ARP 表项

分类生成方式维护方式

静态 ARP 表项用户手工配置的 IP 地址到 MAC 地址的

映射手工维护

动态 ARP 表项交换机动态生成的 IP 地址到 MAC 地址

的映射动态生成的 ARP 表项，通过动态 ARP 老化定

时器设定的时间进行老化

1-3

1.1.4 ARP 地址解析过程

图1-2 ARP 地址解析过程

假设主机 A 和 B 在同一个网段，主机 A 要向主机 B 发送信息。地址解析过程如下：

(1) 主机 A 首先查看自己的 ARP 表，确定其中是否包含有与主机 B 对应的 ARP 表项。如果找到

了对应的 MAC 地址，则主机 A 直接利用 ARP 表中的 MAC 地址，对 IP 数据包进行帧封装，

并将数据包发送给主机 B。

(2) 如果主机 A 在 ARP 表中找不到对应的 MAC 地址，则将缓存该数据报文，然后以广播方式发

送一个 ARP 请求报文。ARP 请求报文中的发送端 IP 地址和发送端 MAC 地址为主机 A 的 IP

地址和 MAC 地址，目标 IP 地址和目标 MAC 地址为主机 B 的 IP 地址和全 0 的 MAC 地址。

由于 ARP 请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请

求的主机（即主机 B）会对该请求进行处理。

(3) 主机 B 比较自己的 IP 地址和 ARP 请求报文中的目标 IP 地址，当两者相同时进行如下处理：

将 ARP 请求报文中的发送端（即主机 A）的 IP 地址和 MAC 地址存入自己的 ARP 表中。之

后以单播方式发送 ARP 响应报文给主机 A，其中包含了自己的 MAC 地址。

(4) 主机 A 收到 ARP 响应报文后，将主机 B 的 MAC 地址加入到自己的 ARP 表中用于后续报文

的转发，同时将 IP 数据包进行封装后发送出去。

一般情况下，ARP 动态执行并自动寻求 IP 地址到以太网 MAC 地址的解析，无需管理员的介入。

1.1.5 免费 ARP 简介

免费 ARP 报文的特点：

报文中携带的源 IP 和目的 IP 地址都是本机地址，报文源 MAC 地址是本机 MAC 地址。

当设备收到免费 ARP 报文后，如果发现报文中的 IP 地址和自己的 IP 地址冲突，则给发送免

费 ARP 报文的设备返回一个 ARP 应答，告知该设备 IP 地址冲突。

设备通过对外发送免费 ARP 报文来实现以下功能：

确定其它设备的 IP 地址是否与本机的 IP 地址冲突。

使其它设备及时更新高速缓存中旧的该设备硬件地址。

设备通过学习免费 ARP 报文来实现以下功能：

在开启了免费 ARP 报文学习功能后，交换机对于收到的免费 ARP 报文，如果 ARP 表中没有与此

报文对应的 ARP 表项，就将免费 ARP 报文中携带的信息添加到自身的动态 ARP 映射表中。

1-4

1.2 配置 ARP

1.2.1 ARP 基本配置

表1-4 ARP 基本配置

操作命令说明


手工添加静态 ARP 表项 arp static ip-address mac-address [ vlan-id interface-type interface-number ]

可选

缺省情况下，系统 ARP 映射表为空，

地址映射由 ARP 协议动态获取

配置动态 ARP 表项的老化时间 arp timer aging aging-time 可选

缺省情况下，动态 ARP 表项的老化时

间为 20 分钟

开启 ARP 表项的检查功能（即不

学习源MAC地址为组播MAC的

ARP 表项） arp check enable

可选

缺省情况下，ARP 表项的检查功能处于

开启状态

静态 ARP 表项在以太网交换机正常工作时间一直有效，但如果执行删除 VLAN 或把端口从 VLAN中删除等使 ARP 表项不再合法的操作，则相应的静态 ARP 表项将被自动删除。

参数 vlan-id 必须是已经存在的 VLAN ID，且 vlan-id 参数后面指定的以太网端口必须属于这个

VLAN。目前，不支持在汇聚组中的端口上配置静态 ARP 表项。

1.3 配置免费 ARP

表1-5 配置免费 ARP

操作命令说明


开启免费 ARP 报文学习功

能 gratuitous-arp-learning enable 可选

缺省情况下，交换机的免费 ARP 报文

学习功能处于关闭状态

1.4 ARP 的显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 ARP 的运行情况，通过查看

显示信息验证配置的效果。在用户视图下执行 reset 命令清除 ARP 表项。

1-5

表1-6 ARP 的显示和维护

操作命令说明

查看 ARP 映射表 display arp [ static | dynamic | ip-address ]

查看包含指定内容的

ARP 映射表 display arp [ dynamic | static ] | { begin | include | exclude } regular-expression

查看指定类型的 ARP 表

项的数目 display arp count [ [ dynamic | static ] [ | { begin | include | exclude } regular-expression ] | ip-address ]

查看指定端口被丢弃掉

的不可信任的 ARP 报文

的数量

display arp detection statistics interface interface-type interface-number

查看动态 ARP 老化定时

器的时间 display arp timer aging


视图执行

清除 ARP 表项 reset arp [ dynamic | static | interface interface-type interface-number ]

reset 命令在用户视图下

执行

1.5 ARP 典型配置举例

1.5.1 ARP 基本配置举例

1. 组网需求

关闭交换机的 ARP 表项检查功能。

设置交换机上动态 ARP 表项的老化时间为 10 分钟。

增加一个静态 ARP 表项，IP 地址为 192.168.1.1，对应的 MAC 地址为 000f-e201-0000，对

应的出端口为 VLAN 1 中的端口 Ethernet1/0/10。

2. 配置步骤


[Sysname] undo arp check enable

[Sysname] arp timer aging 10

[Sysname] arp static 192.168.1.1 000f-e201-0000 1 Ethernet1/0/10

2-1

2 ARP 攻击防御配置

2.1 ARP 攻击防御配置

ARP 协议有简单、易用的优点，但是也因为其没有任何安全机制而容易被攻击发起者利用。目前

ARP 攻击和 ARP 病毒已经成为局域网安全的一大威胁，为了避免各种攻击带来的危害，设备提供

了多种技术对攻击进行检测和解决。

下面将详细介绍一下这些技术的原理以及配置。

2.1.1 VLAN 接口学习动态 ARP 表项的最大数目功能简介

为了防御 ARP 洪泛攻击，E152 以太网交换机作为网关设备时，支持根据 VLAN 限定 ARP 表项学

习数量。即：在设备的指定 VLAN 接口，配置允许学习动态 ARP 表项的最大个数。当该 VLAN 接

口动态学习到的 ARP 表项超过限定的最大值后，将不进行动态地址表项的学习，从而防止某一

VLAN 内的恶意用户发动 ARP 泛洪攻击造成的危害。

2.1.2 ARP 报文源 MAC 一致性检查功能简介

恶意用户可能通过工具软件，伪造网络中其他设备（或主机）的源 IP 或源 MAC 地址的 ARP 报文，

进行发送，从而导致途径网络设备上的 ARP 表项刷新到错误的端口上，网络流量中断。

为了防御这一类 ARP 攻击，增强网络健壮性，E152 以太网交换机作为网关设备时，支持配置 ARP报文源 MAC 一致性检查功能。通过检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC地址是否一致，来校验其是否为伪造的 ARP 报文。

如果一致，则该 ARP 报文通过一致性检查，交换机进行正常的表项学习；

如果不一致，则认为该 ARP 报文是伪造报文，交换机不学习动态 ARP 表项的学习，也不根

据该报文刷新 ARP 表项。

2.1.3 ARP 入侵检测简介

1. “中间人攻击”简介

按照 ARP 协议的设计，一个主机即使收到的 ARP 应答并非自身请求得到的，也会将其 IP 地址和

MAC 地址的对应关系添加到自身的 ARP 映射表中。这样可以减少网络上过多的 ARP 数据通信，

但也为“ARP 欺骗”创造了条件。

如图 2-1所示，Host A和Host C通过Switch进行通信。此时，如果有黑客（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用

MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”

的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对

信息进行了窃取和篡改。这种攻击方式就称作“中间人（Man-In-The-Middle）攻击”。

2-2

图2-1 ARP“中间人”攻击示意图

2. ARP 入侵检测功能

为了防止黑客或攻击者通过 ARP 报文实施“中间人”攻击，E152 以太网交换机支持 ARP 入侵检

测功能。

某 VLAN 内开启 ARP 入侵检测功能后：

该 VLAN 内所有 ARP 非信任端口接收到的 ARP（请求与回应）报文将重定向到 CPU 进行报

文的合法性检查：如果认为该 ARP 报文合法，则进行转发；否则直接丢弃。

该 VLAN 内信任端口接收的 ARP 报文正常转发，不进行合法性检查。

这里所谓的合法性检查是指：根据 ARP 报文中源 IP 地址、源 MAC 地址，检查用户是否是所属 VLAN所在端口上的合法用户，包括基于 DHCP Snooping 安全表项的检查、基于 IP 静态绑定表项的检查

和基于 802.1x 认证用户 IP/MAC 对应关系的检查。具体可根据组网环境的不同，选择不同的检查方

式：

当接入交换机连接的用户均为 DHCP 动态获取 IP 地址的用户时，建议配置 DHCP Snooping

功能，交换机会依据 DHCP Snooping 表项进行 ARP 报文的合法性检测；

当接入交换机连接的用户为少量手工配置 IP 地址的用户时，建议配置 IP 静态绑定表项，交换

机会依据 IP 静态绑定表项进行 ARP 报文的合法性检测；

当接入交换机连接的用户较多，且大部分为静态 IP 地址分配方式时，逐条配置 IP 静态绑定表

项，工作量比较大，配置容易出错。此时，如果用户安装了 802.1x 客户端，建议开启交换机

的 802.1x 认证用户的 ARP 入侵检测功能，交换机会将其记录的 802.1x 认证用户（无论是

DHCP 动态获取 IP 地址或手工配置静态 IP 地址）的 IP 地址、MAC 地址对应关系和 DHCP

Snooping 表项、IP 静态绑定表项一同用于 ARP 入侵检测功能。

DHCP Snooping 表、IP 静态绑定表的相关介绍请参见操作手册“DHCP”模块。 802.1x 认证相关介绍请参见操作手册“802.1x 及 System-Guard”模块。

2-3

3. ARP 报文严格转发功能

开启 ARP 入侵检测功能以后，用户可以通过配置 ARP 严格转发功能，使从指定 VLAN 的非信任端

口上接收的合法 ARP 请求报文只能通过已配置的信任端口进行转发；而从非信任端口上接收的合

法 ARP 应答报文，首先按照报文中的目的 MAC 地址进行转发，若目的 MAC 地址不在 MAC 地址

表中，则将此 ARP 应答报文通过信任端口进行转发。

2.1.4 ARP 报文限速功能简介

为了防止“中间人攻击”，设备通过开启 ARP 入侵检测功能，将 ARP 报文上送到 CPU 处理，判

断 ARP 报文的合法性后进行转发或丢弃。但是，这样引入了新的问题：如果攻击者恶意构造大量

ARP 报文发往交换机的某一端口，会导致 CPU 负担过重，从而造成其他功能无法正常运行甚至设

备瘫痪。E152 以太网交换机支持端口 ARP 报文限速功能，使受到攻击的端口暂时关闭，来避免此

类攻击对 CPU 的冲击。

开启某个端口的 ARP 报文限速功能后，交换机对每秒内该端口接收的 ARP 报文数量进行统计，如

果每秒收到的 ARP 报文数量超过设定值，则认为该端口处于超速状态（即受到 ARP 报文攻击）。

此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量 ARP 报文攻击设备。

同时，设备支持配置端口状态自动恢复功能，对于配置了 ARP 限速功能的端口，在其因超速而被

交换机关闭后，经过一段时间可以自动恢复为开启状态。

2.1.5 基于网关 IP/MAC 的 ARP 报文过滤功能简介

按照 ARP 协议的设计，网络设备收到目的 IP 地址是本接口 IP 地址的 ARP 报文（无论此 ARP 报文

是否为自身请求得到的），都会将其 IP 地址和 MAC 地址的对应关系添加到自身的 ARP 映射表中。

这样可以减少网络上过多的 ARP 数据通信，但也为“ARP 欺骗”创造了条件。

实际网络环境，特别是校园网中，最常见的 ARP 攻击方式是“仿冒网关”攻击。即：攻击者伪造

ARP 报文，发送源 IP 地址为网关 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给被攻击

的主机，使这些主机更新自身 ARP 表中网关 IP 地址与 MAC 地址的对应关系。这样一来，主机访

问网关的流量，被重定向到一个错误的 MAC 地址，导致该用户无法正常访问外网。

图2-2 “仿冒网关”攻击示意图

为了防御“仿冒网关”的 ARP 攻击，E152 以太网交换机作为接入设备（一般情况下上行口连接网

关设备，下行口连接用户）支持基于网关 IP/MAC 的 ARP 报文过滤功能。

2-4

为防御交换机下行口可能收到的源 IP 地址为网关 IP 地址的 ARP 攻击报文，可将接入交换机

下行端口（通常与用户直接相连的端口）和网关 IP 进行绑定。绑定后，该端口接收的源 IP 地

址为网关 IP 地址的 ARP 报文将被丢弃，其他 ARP 报文允许通过。

为防御交换机上行口可能收到的源 IP 地址为网关 IP 地址，源 MAC 地址为伪造的 MAC 地址

的 ARP 攻击报文，可将接入交换机级联端口或上行端口和网关 IP 地址、网关 MAC 地址进行

绑定。绑定后，该端口接收的源 IP 地址为指定的网关 IP 地址，源 MAC 地址为非指定的网关

MAC 地址的 ARP 报文将被丢弃，其他 ARP 报文允许通过。

ARP 信任端口功能比端口支持基于网关 IP/MAC 的 ARP 报文过滤功能的优先级高，即：如果接入

交换机级联端口或上行端口被配置为 ARP 信任端口，则该端口上对于网关 IP 地址、网关 MAC 地

址的绑定不生效。

2.2 配置 ARP 攻击防御

2.2.1 ARP 攻击防御配置任务简介

表2-1 ARP 攻击防御配置任务简介

配置任务交换机角色说明详细配置

配置 VLAN 接口学习动态 ARP 表项的

最大数目网关设备可选 2.2.2

配置ARP报文源MAC一致性检查功能网关设备、接入设备可选 2.2.3

配置基于网关 IP/MAC的ARP报文过滤

功能接入设备可选 2.2.4

配置 ARP 入侵检测功能网关设备、接入设备可选 2.2.5

配置 ARP 报文限速功能网关设备、接入设备可选 2.2.6

2.2.2 配置 VLAN 接口学习动态 ARP 表项的最大数目

表2-2 配置 VLAN 接口学习 ARP 表项的最大数目

操作命令说明



配置 VLAN 接口学习动态 ARP表项的最大数目

arp max-learning-num number 可选

缺省情况下，E152 以太网交换机取

值为 256

2.2.3 配置 ARP 报文源 MAC 一致性检查功能

表2-3 配置 ARP 报文源 MAC 一致性检查

操作命令说明


2-5

操作命令说明

开启 ARP 报文源 MAC 一致性

检查功能 arp anti-attack valid-check enable

必选

缺省情况下，交换机 ARP 报文源

MAC 一致性检查功能处于关闭状态

2.2.4 配置基于网关 IP/MAC 的 ARP 报文过滤功能

表2-4 配置基于网关 IP 地址的 ARP 报文过滤功能

操作命令说明



配置基于网关 IP 地址的 ARP 报文

过滤功能 arp filter source ip-address

必选

缺省情况下，没有配置基于网关 IP 地

址的 ARP 报文过滤功能

表2-5 配置基于网关 IP 地址、MAC 地址绑定的 ARP 报文过滤功能

操作命令说明



配置基于网关 IP 地址、MAC 地址

绑定的 ARP 报文过滤功能 arp filter binding ip-address mac-address

必选

缺省情况下，没有配置基于网关 IP 地

址、MAC 地址绑定的 ARP 报文过滤

功能

以太网端口上的 arp filter source 命令与 arp filter binding 命令互斥，即同一个以太网端口上只

能配置其中的一种命令。一般情况下，基于网关 IP 地址的 ARP 报文过滤功能，配置在接入交换机

与用户相连的端口；而基于网关 IP 地址的、MAC 地址绑定的 ARP 报文过滤功能，配置在接入交换

机的级连端口或上行端口。

2-6

2.2.5 配置 ARP 入侵检测功能

表2-6 配置 ARP 入侵检测功能

操作命令说明



配置 IP 静态绑定表项 ip source static binding ip-address ip-address [ mac-address mac-address ]

开启 DHCP Snooping 功能 dhcp-snooping

开启基于 802.1x 认证用户

的 ARP 入侵检测的功能 ip source static import dot1x

三者至少选一，可以多选

缺省情况下，没有配置 IP 静态绑定表

项，且交换机的 DHCP Snooping 功

能、基于 802.1x 认证用户的 ARP 入

侵检测功能处于关闭状态


配置 DHCP Snooping 信任

端口 dhcp-snooping trust

可选

如果开启了交换机的 DHCP Snooping 功能，则需要配置其上行连

接 DHCP 服务器的端口为信任端口

配置 ARP 信任端口 arp detection trust

可选

缺省情况下，交换机所有端口为 ARP非信任端口

一般情况下，需要配置交换机的上行

端口作为 ARP 信任端口



开启 ARP 入侵检测功能 arp detection enable 必选

缺省情况下，指定 VLAN 内所有端口

的 ARP 入侵检测功能处于关闭状态

开启 ARP 严格转发功能 arp restricted-forwarding enable 可选

缺省情况下，ARP 严格转发功能处于

关闭状态

在接入用户多数为 DHCP 动态获取 IP 地址，部分为手工配置 IP 地址的组网环境中，建议同时开

启 DHCP Snooping 功能和配置 IP 静态绑定表项，配合 ARP 入侵检测功能完成 ARP 报文的合法

性检查。基于 802.1x认证用户的 ARP入侵检测功能需要和交换机基于 MAC地址认证的 802.1x功能以及

ARP 入侵检测功能一起配合使用。目前，E152 以太网交换机在端口上配置的 IP 静态绑定表项，其所属 VLAN 为端口的缺省 VLAN

ID。因此，如果 ARP 报文的 VLAN TAG 与端口的缺省 VLAN ID 值不同，报文将无法通过根据 IP静态绑定表项进行的 ARP 入侵检测。

在开启 ARP 严格转发功能之前，需要先在交换机上开启 ARP 入侵检测功能，并配置 ARP 信任

端口。建议用户不要在汇聚组中的端口上配置 ARP 入侵检测功能。

2-7

2.2.6 配置 ARP 报文限速功能

表2-7 配置 ARP 报文限速功能

操作命令说明



开启 ARP 报文限速功能 arp rate-limit enable 必选

缺省情况下，端口的 ARP 报文限速功


配置允许通过端口的 ARP报文

的最大速率 arp rate-limit rate 可选

缺省情况下，端口能通过的 ARP 报文

的最大速率为 15pps


开启端口状态自动恢复功能 arp protective-down recover enable可选

缺省情况下，交换机的端口状态自动

恢复功能处于关闭状态

配置端口状态自动恢复时间 arp protective-down recover interval interval

可选

缺省情况下，开启端口状态自动恢复

功能后，交换机的端口状态自动恢复

时间为 300 秒

用户必须先开启交换机的端口状态自动恢复功能，才能设置端口状态自动恢复的时间。建议用户不要在汇聚组中的端口上配置 ARP 报文限速功能。

2.3 ARP 攻击防御典型配置举例

2.3.1 ARP 攻击防御配置举例一

1. 组网需求

如图 2-3所示，Switch A的端口Ethernet1/0/1连接DHCP服务器，端口Ethernet1/0/2和Ethernet1/0/3分别连接Client A和Client B，且三个端口都属于VLAN 1。

开启交换机的 DHCP Snooping 功能，并设置端口 Ethernet1/0/1 为 DHCP Snooping 信任端

口。

为防止 ARP 中间人攻击，配置 VLAN 1 的 ARP 入侵检测功能，设置 Switch 的端口

Ethernet1/0/1 为 ARP 信任端口；

开启端口 Ethernet1/0/2 和 Ethernet1/0/3 上的 ARP 报文限速功能，防止来自 Client A 和 Client

B 的 ARP 报文流量攻击。

开启 Switch A 上的端口状态自动恢复功能，设置恢复时间间隔为 200 秒。

2-8

2. 典型组网图

图2-3 配置 ARP 入侵检测与端口 ARP 报文限速组网图

3. 配置步骤

# 开启交换机 DHCP Snooping 功能。


[SwitchA] dhcp-snooping

# 设置端口 Ethernet1/0/1 为 DHCP Snooping 信任端口，ARP 信任端口。


[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] arp detection trust


# 开启 VLAN 1 内所有端口的 ARP 入侵检测功能。

[SwitchA] vlan 1

[SwitchA-vlan1] arp detection enable

# 开启端口 Ethernet1/0/2 上的 ARP 报文限速功能，设置 ARP 报文通过的最大速率为 20pps。


[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20


# 开启端口 Ethernet1/0/3 上 ARP 报文限速功能，设置 ARP 报文通过的最大速率为 50pps。


[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 50


# 配置端口状态自动恢复功能，恢复时间间隔为 200 秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 200

2-9

2.3.2 ARP 攻击防御典型配置举例二

1. 组网需求

如图 2-4所示，Host A和Host B通过接入交换机（Switch）与网关（Gateway）相连。网关的IP地址为 192.168.100.1/24，MAC地址为 000D-88F8-528C。为了防止Host A和Host B进行“仿冒网关”

的ARP攻击，可以在接入交换机上配置基于网关IP/MAC的ARP过滤功能。

2. 组网图

图2-4 “仿冒网关”的 ARP 攻击防御组网图

Eth1/0/1

Eth1/0/2 Eth1/0/3

Switch

Vlan-int 1192.168.100.1/24MAC:000D-88F8-528C

Gateway

Host A Host B

3. 配置步骤



# 在上行端口 Ethernet1/0/1 上配置基于网关 IP 地址、MAC 地址绑定的 ARP 报文过滤功能。


[Switch-Ethernet1/0/1] arp filter binding 192.168.100.1 000d-88f8-528c


# 在下行端口 Ethernet1/0/2 上配置基于网关 IP 地址的 ARP 报文过滤功能。


[Switch-Ethernet1/0/2] arp filter source 192.168.100.1


# 在下行端口 Ethernet1/0/3 上配置基于网关 IP 地址的 ARP 报文过滤功能。


[Switch-Ethernet1/0/3] arp filter source 192.168.100.1


2.3.3 ARP 攻击防御典型配置举例三

1. 组网需求

如图 2-5所示，Host A和Host B通过二层交换机（Switch B）与网关（Switch A）相连。为了防御

ARP泛洪等ARP攻击。

2-10

在 Switch A 上开启 ARP 报文源 MAC 一致性检查功能，过滤掉源 MAC 地址和以太网报文头

中的源 MAC 地址不一致的伪造 ARP 报文。

在 Switch A 的 Vlan-interface1 上配置允许学习动态 ARP 表项的最大数目功能，实现根据

VLAN 限定 ARP 表项学习数量。

2. 组网图

图2-5 ARP 攻击防御组网图

3. 配置步骤



# 开启交换机的 ARP 报文源 MAC 一致性检查功能。

[SwitchA] arp anti-attack valid-check enable

# 进入 Vlan-interface1 接口视图。


# 配置 Vlan-interface1 接口的 IP 地址。


# 配置 Vlan-interface1 接口允许学习的 ARP 数量最大为 50 条。

[SwitchA-Vlan-interface1] arp max-learning-num 50


2.3.4 ARP 攻击防御典型配置举例四

1. 组网需求

接入用户 Host A 使用手工配置的静态 IP 地址。且安装了 802.1x 客户端。

服务器采用 H3C 公司的 CAMS 作为认证、授权、计费服务器。

在接入交换机 Switch 上开启 802.1x 认证通过的信息用于 ARP 入侵检测功能，防御接入用户

的 ARP 攻击。

2-11

2. 组网图

图2-6 基于 802.1x 认证用户的 ARP 攻击防御组网图

Internet

Switch(Authenticator)

Host A (Supplicant)

Authentication server

Eth1/0/1

Eth1/0/2

Eth1/0/3

3. 配置步骤



# 全局开启 802.1x 认证功能。

[Switch] dot1x

# 在 VLAN1 内开启 ARP 入侵检测功能。

[Switch] vlan 1

[Switch-vlan1] arp detection enable

[Switch-vlan1] quit

# 设置端口 Ethernet1/0/2，Ethernet1/0/3 为 ARP 入侵检测信任端口。


[Switch-Ethernet1/0/2] arp detection trust



[Switch-Ethernet1/0/3] arp detection trust


# 在 Switch 上开启基于 802.1x 认证用户的 ARP 入侵检测功能。

[Switch] ip source static import dot1x

# 端口 Ethernet 1/0/1 上开启 802.1x 功能。



i

目录

1 DHCP概述 ......................................................................................................................................... 1-1

1.1 DHCP简介......................................................................................................................................... 1-1

1.2 DHCP的IP地址分配...........................................................................................................................1-1

1.2.1 IP地址分配策略.......................................................................................................................1-1 1.2.2 IP地址动态获取过程 ...............................................................................................................1-2 1.2.3 IP地址的租约更新 ...................................................................................................................1-2

1.3 DHCP报文格式.................................................................................................................................. 1-2

1.4 协议规范............................................................................................................................................ 1-3

2 DHCP Snooping配置 ......................................................................................................................... 2-1

2.1 简介 ................................................................................................................................................... 2-1

2.1.1 DHCP Snooping简介 ..............................................................................................................2-1 2.1.2 DHCP Snooping支持Option 82 简介 ...................................................................................... 2-2 2.1.3 IP过滤简介..............................................................................................................................2-3

2.2 DHCP Snooping相关配置 .................................................................................................................2-5

2.2.1 配置DHCP Snooping功能....................................................................................................... 2-5 2.2.2 配置DHCP Snooping支持Option 82 功能 ............................................................................... 2-5 2.2.3 配置IP过滤功能.......................................................................................................................2-8

2.3 DHCP Snooping配置显示与维护 ...................................................................................................... 2-9

2.4 DHCP Snooping典型配置举例 ........................................................................................................ 2-10

2.4.1 DHCP Snooping支持Option 82 配置举例 ............................................................................. 2-10 2.4.2 IP过滤典型配置举例 .............................................................................................................2-11 2.4.3 IP过滤关联QoS-profile功能典型配置举例 ............................................................................ 2-12

3 DHCP报文限速配置........................................................................................................................... 3-1

3.1 DHCP报文限速简介 ..........................................................................................................................3-1

3.2 配置DHCP报文限速功能 ...................................................................................................................3-1

3.3 DHCP报文限速典型配置举例............................................................................................................3-2

4 DHCP/BOOTP客户端配置................................................................................................................. 4-1

4.1 DHCP客户端简介 ..............................................................................................................................4-1

4.2 自动配置简介..................................................................................................................................... 4-1

4.2.1 自动配置应用背景...................................................................................................................4-1 4.2.2 自动配置工作过程...................................................................................................................4-1

4.3 BOOTP客户端简介............................................................................................................................4-2

4.4 DHCP/BOOTP客户端配置 ................................................................................................................4-3

4.4.1 DHCP客户端配置举例 ............................................................................................................ 4-4 4.4.2 BOOTP客户端典型配置举例 .................................................................................................. 4-4

4.5 DHCP/BOOTP客户端显示 ................................................................................................................4-5

1-1

1 DHCP 概述

“IP过滤”功能新增qos-profile参数和“基于 802.1x认证用户的IP过滤功能”，具体请参见 2.2.3 配置IP过滤功能。

新增“清除交换机的DHCP Snooping表项”功能，具体请参见 2.3 DHCP Snooping配置显示与

维护。

1.1 DHCP 简介

随着网络规模的不断扩大和网络复杂度的提高，经常出现计算机的数量超过可供分配的 IP 地址的情

况。同时随着便携机及无线网络的广泛使用，计算机的位置也经常变化，相应的 IP 地址也必须经常

更新，从而导致网络配置越来越复杂。DHCP（Dynamic Host Configuration Protocol，动态主机配

置协议）就是为解决这些问题而发展起来的。

DHCP 采用“客户端/服务器”通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分

配的 IP 地址等配置信息，以实现网络资源的动态配置。

在DHCP的典型应用中，一般包含一台DHCP服务器和多台客户端（如PC和便携机），如图 1-1所示：

图1-1 DHCP 典型应用

1.2 DHCP 的 IP 地址分配

1.2.1 IP 地址分配策略

针对客户端的不同需求，DHCP 提供三种 IP 地址分配策略：

手工分配地址：由管理员为少数特定客户端（如 WWW 服务器等）静态绑定 IP 地址。通过

DHCP 将配置的固定 IP 地址发给客户端。

自动分配地址：DHCP 为客户端分配租期为无限长的 IP 地址。

1-2

动态分配地址：DHCP 为客户端分配具有一定有效期限的 IP 地址，当使用期限到期后，客户

端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。

1.2.2 IP 地址动态获取过程

DHCP 客户端从 DHCP 服务器动态获取 IP 地址，主要通过四个阶段进行：

(1) 发现阶段，即 DHCP 客户端寻找 DHCP 服务器的阶段。客户端以广播方式发送

DHCP-DISCOVER 报文。

(2) 提供阶段，即DHCP服务器提供 IP地址的阶段。DHCP服务器接收到客户端发送的

DHCP-DISCOVER报文后，根据IP地址分配的优先次序从地址池中选出一个IP地址，与其他

参数一起通过 DHCP-OFFER 报文发送给客户端（发送方式根据客户端发送的

DHCP-DISCOVER报文中的flag字段决定，具体请见 1.3 DHCP报文格式的介绍）。

(3) 选择阶段，即 DHCP 客户端选择 IP 地址的阶段。如果有多台 DHCP 服务器向该客户端发来

DHCP-OFFER 报文，客户端只接受第一个收到的 DHCP-OFFER 报文，然后以广播方式发送

DHCP-REQUEST报文，该报文中包含DHCP服务器在DHCP-OFFER报文中分配的 IP地址。

(4) 确认阶段，即 DHCP 服务器确认 IP 地址的阶段。DHCP 服务器收到 DHCP 客户端发来的

DHCP-REQUEST 报文后，只有 DHCP 客户端选择的服务器会进行如下操作：如果确认地址

分配给该客户端，则返回 DHCP-ACK 报文；否则将返回 DHCP-NAK 报文，表明地址不能分

配给该客户端。

客户端收到服务器返回的 DHCP-ACK 确认报文后，会以广播的方式发送免费 ARP 报文，探测是

否有主机使用服务器分配的 IP 地址，如果在规定的时间内没有收到回应，客户端才使用此地址。

否则，客户端会发送 DHCP-DECLINE 报文给 DHCP 服务器，并重新申请 IP 地址。如果网络中存在多个 DHCP 服务器，除 DHCP 客户端选中的服务器外，其它 DHCP 服务器中本

次未分配出的 IP 地址仍可分配给其他客户端。

1.2.3 IP 地址的租约更新

如果采用动态地址分配策略，则 DHCP 服务器分配给客户端的 IP 地址有一定的租借期限，当租借

期满后服务器会收回该 IP 地址。如果 DHCP 客户端希望延长使用该地址的期限，需要更新 IP 地址

租约。

在 DHCP 客户端的 IP 地址租约期限达到一半时间时，DHCP 客户端会向 DHCP 服务器单播发送

DHCP-REQUEST 报文，进行 IP 租约的更新。如果此 IP 地址有效，则 DHCP 服务器单播回应

DHCP-ACK 报文，通知 DHCP 客户端已经获得新 IP 租约；如果此 IP 地址不可以再分配给该客户

端，则 DHCP 服务器回应 DHCP-NAK 报文，通知 DHCP 客户端不能获得新的租约。

如果在租约的一半时间进行的续约操作失败，DHCP 客户端会在租约期限达到 7/8 时，再次广播发

送 DHCP-REQUEST 报文进行续约。DHCP 服务器的处理同上，不再赘述。

1.3 DHCP 报文格式

DHCP有 8 种类型的报文，每种报文的格式相同，只是报文中的某些字段取值不同。DHCP报文格

式基于BOOTP的报文格式，具体格式如图 1-2所示（括号中的数字表示该字段所占的字节）：

1-3

图1-2 DHCP 报文格式

各字段的解释如下：

op：DHCP 报文的操作类型，分为请求报文和响应报文，1 为请求报文；2 为响应报文。

htype、hlen：DHCP 客户端的硬件地址类型及长度。

hops：DHCP 报文经过的 DHCP 中继的数目。DHCP 请求报文每经过一个 DHCP 中继，该字

段就会增加 1。

xid：客户端发起一次请求时选择的随机数，用来标识一次地址请求过程。

secs：DHCP 客户端开始 DHCP 请求后所经过的时间。

flags：第一个比特为广播响应标识位，用来标识 DHCP 服务器响应报文是采用单播还是广播

发送，0 表示采用单播方式，1 表示采用广播方式。其余比特保留不用。

ciaddr：DHCP 客户端的 IP 地址。

yiaddr：DHCP 服务器分配给客户端的 IP 地址。

siaddr：DHCP 客户端获取 IP 地址等信息的服务器 IP 地址。

giaddr：DHCP 客户端发出请求报文后经过的第一个 DHCP 中继的 IP 地址。

chaddr：DHCP 客户端的硬件地址。

sname：DHCP 客户端获取 IP 地址等信息的服务器名称。

file：DHCP 服务器为 DHCP 客户端指定的启动配置文件名称及路径信息。

option：可选变长选项字段，包含报文的类型、有效租期、DNS（Domain Name System，域

名系统）服务器的 IP 地址、WINS（Windows Internet Naming Service，Windows Internet

名称服务）服务器的 IP 地址等配置信息。

1.4 协议规范

与 DHCP 相关的协议规范有：

RFC2131：Dynamic Host Configuration Protocol

RFC2132：DHCP Options and BOOTP Vendor Extensions

RFC1542：Clarifications and Extensions for the Bootstrap Protocol

1-4

RFC3046：DHCP Relay Agent Information option

2-1

2 DHCP Snooping 配置

2.1 简介

2.1.1 DHCP Snooping 简介

出于安全性的考虑，网络管理员可能需要记录用户上网时所用的 IP 地址，确认用户从 DHCP 服务

器获取的 IP 地址和用户主机的 MAC 地址的对应关系。

交换机可以通过运行在网络层的 DHCP 中继的安全功能记录用户的 IP 地址信息。

交换机可以通过运行在数据链路层的 DHCP Snooping 功能监听 DHCP 报文，记录用户的 IP

地址信息。

另外，在网络中如果有私自架设的 DHCP 服务器，将可能导致用户得到错误的 IP 地址。为了使用

户能通过合法的 DHCP 服务器获取 IP 地址，DHCP Snooping 安全机制允许将端口设置为信任端口

与不信任端口。

信任端口是与合法的 DHCP 服务器直接或间接连接的端口。信任端口对接收到的 DHCP 报文

正常转发，从而保证了 DHCP 客户端获取正确的 IP 地址。

不信任端口是不与合法的 DHCP 服务器连接的端口。如果从不信任端口接收到 DHCP 服务器

响应的 DHCP-ACK 和 DHCP-OFFER 报文则会丢弃，从而防止了 DHCP 客户端获得错误的

IP 地址。

DHCP Snooping功能在E152 以太网交换机应用的典型组网如图 2-1所示。图中的Switch A为E152以太网交换机。

图2-1 DHCP Snooping 典型组网

DHCP Snooping 通过以下两种方法来获得用户从 DHCP 服务器获取的 IP 地址和用户 MAC 地址信

息：

监听 DHCP-REQUEST 报文

监听 DHCP-ACK 报文

2-2

2.1.2 DHCP Snooping 支持 Option 82 简介

1. DHCP Snooping 支持 Option 82 的填充内容与帧格式

由于 Option 82 的内容没有统一规定，不同厂商通常根据需要进行填充。目前，E152 以太网交换机

作为 DHCP Snooping 设备，对 Option 82 子选项在默认情况下的填充内容为：

sub-option 1（Circuit ID，电路 ID 子选项）的内容是接收到 DHCP 客户端请求报文的端口所

属 VLAN 的编号以及端口索引（端口索引的取值为端口物理编号减 1）。

sub-option 2（Remote ID，远程 ID 子选项）的内容是接收到 DHCP 客户端请求报文的 DHCP

Snooping 设备的桥 MAC 地址。

缺省情况下，E152 以太网交换机作为DHCP Snooping设备，Option 82 的实现格式为扩展格式。

以默认填充内容为例，子选项的扩展格式如图 2-2和图 2-3所示。即：在Circuit ID子选项(或Remote ID子选项)中分别定义了Circuit ID（或Remote ID）的类型和长度。

在扩展格式中，Circuit ID（或 Remote ID）的类型字段取值由存储格式决定。如果是 HEX 格式，

则设置为 0；如果是 ASCII 格式，则设置为 1。

图2-2 Circuit ID 子选项的扩展格式

图2-3 Remote ID 子选项的扩展格式

在实际组网环境中，由于一些网络设备所支持的Option 82 格式不支持Remote ID和Circuit ID的类

型和长度标识，为了与这些设备正常互通，E152 以太网交换机支持配置Option 82 的格式为标准格

式。以默认填充内容为例，子选项的标准格式如图 2-4和图 2-5所示。即：在Circuit ID子选项（或

Remote ID子选项）中不包含标识Circuit ID（或Remote ID）的类型和长度的两个字节。

图2-4 Circuit ID 子选项的标准格式

图2-5 Remote ID 子选项的标准格式

2-3

2. DHCP Snooping 支持 Option 82 工作机制

设备配置了DHCP Snooping和DHCP Snooping支持Option 82 功能后，当收到的DHCP客户端发送

的DHCP请求报文中带有Option 82 选项时，根据配置的处理策略和子选项内容不同，DHCP Snooping对报文的处理机制不同，详见表 2-1。

表2-1 DHCP Snooping 设备对携带 Option 82 选项的报文的处理方式

处理策略子选项内容 DHCP Snooping 设备对报文的处理

Drop - 丢弃报文

Keep - 保持报文中的 Option 82 选项不变并进行转发

未配置子选项的内容

采用默认内容填充 Option 82 字段，替换报文中原有的 Option 82 选

项并进行转发

存储格式为 dhcp-snooping information format 命令指定的格式

（如果未配置此命令，则采用默认的 HEX 格式）

配置了 Circuit ID 子选项

的内容将 Option 82 选项中 Circuit ID 填充为用户自定义的内容（存储格式为

ASCII），替换原有的 Option 82 选项并进行转发

Replace

配置了 Remote ID 子选项

的内容将 Option 82 选项中 Remote ID 填充为用户自定义的内容（存储格式

为 ASCII），替换原有的 Option 82 选项并进行转发

当收到的DHCP客户端发送的DHCP请求报文中未带Option 82 选项时，根据配置的子选项内容，对

Option字段进行填充后，转发报文，详见表 2-2。

表2-2 DHCP Snooping 设备对未携带 Option 82 选项的报文的处理方式

子选项内容 DHCP Snooping 设备对报文的处理

未配置子选项的内容采用默认内容填充报文中的 Option 82 字段并进行转发

存储格式为 dhcp-snooping information format 命令指定的格式（如果未配置此

命令，则采用默认的 HEX 格式）

配置了Circuit ID子选项的

内容将 Option 82 选项中 Circuit ID 填充为用户自定义的内容（存储格式为 ASCII）并进

行转发

配置了 Remote ID 子选项

的内容将 Option 82 选项中 Remote ID 填充为用户自定义的内容（存储格式为 ASCII）并

进行转发

Option 82 字段中对 Circuit ID 子选项或 Remote ID 子选项的内容的配置相互独立，可以单独配置也

可以同时配置，且配置顺序不分先后。

当接收到 DHCP 服务器的 DHCP 回应报文时，如果报文中含有 Option 82 选项，则删除 Option 82字段进行转发；如果报文中不含有 Option 82 选项，则直接转发。

2.1.3 IP 过滤简介

DoS（Denial of Service，拒绝服务）攻击是指攻击者利用攻击工具向服务器发送大量伪造的不同

源 IP 地址的请求报文，使网络无法正常工作。具体的影响如下：

耗尽服务器的资源，使其拒绝对其它请求的响应；

2-4

由于交换机接收到此类报文需上送 CPU 处理，因此请求报文数量过多，会导致交换机 CPU

利用率持续上升，不能正常工作。

交换机可以通过 DHCP Snooping 表、IP 静态绑定表或 802.1x 认证用户的 IP/MAC 地址对应关系，

对非法 IP 报文进行过滤。

1. DHCP Snooping 表

交换机启用 DHCP Snooping 功能后，会生成一个 DHCP Snooping 表，用来记录客户端从 DHCP服务器获取的 IP 地址、客户端的 MAC 地址、客户端连接到 DHCP Snooping 设备的端口编号、以

及该端口所属 VLAN 的编号等信息，每条记录为 DHCP Snooping 表中的一个表项。

2. IP 静态绑定表

DHCP Snooping 表只记录了通过 DHCP 方式动态获取 IP 地址的客户端信息，如果用户手工配置了

固定 IP 地址，其 IP 地址、MAC 地址等信息将不会被 DHCP Snooping 表记录，因此不能通过基于

DHCP Snooping 表项的 IP 过滤检查，导致用户无法正常访问外部网络。

为了能够让这些拥有合法固定 IP 地址的用户访问网络，交换机支持手工配置 IP 静态绑定表的表项，

即：用户的 IP 地址、MAC 地址及连接该用户的端口之间的绑定关系。以便顺利转发该用户的报文。

3. 802.1x 认证用户的 IP/MAC 对应关系

当网络中大部分用户采用静态 IP地址配置方式时，完成 IP过滤功能需要逐条配置 IP静态绑定表项，

工作量比较大，配置容易出错。

在实际组网中，为了增强安全性，用户通常采用 802.1x 认证方式接入网络。交换机上开启 802.1x功能后，会记录 802.1x 认证用户的 IP/MAC 对应关系，在这种场景下，建议开启基于 802.1x 认证

用户的 IP 过滤功能，此时，交换机只需要查询 802.1x 认证产生的 IP/MAC 对应关系进行 IP 过滤，

实现 IP 攻击防御的目的。

4. IP 过滤方式

根据实际组网情况，用户可以选择通过检查 DHCP Snooping 表、手工配置的 IP 静态绑定表表项，

或者仅通过检查 802.1x 认证用户的 IP/MAC 对应关系进行 IP 过滤。交换机对 IP 报文的过滤方式包

括：

根据报文中的源 IP 地址进行过滤。如果报文的源 IP 地址、接收报文的交换机端口编号，与所

检查的表项或对应关系一致，则认为该报文是合法的报文，直接转发；否则认为是非法报文，

直接丢弃；

根据报文中的源 IP 地址和源 MAC 地址进行过滤。如果报文的源 IP 地址、源 MAC 地址、接

收报文的交换机端口编号，与所检查的表项或对应关系一致，则认为该报文是合法的报文，

直接转发；否则认为是非法报文，直接丢弃。

根据报文中的源 IP 地址、源 MAC 地址及 qos-profile（traffic-limit）进行过滤。交换机的 IP

过滤和 QoS-profile（traffic-limit）功能可配合使用，从而在接入交换机上同时实现对客户端的

安全过滤和限速配置，达到对用户报文的精确控制。

2-5

2.2 DHCP Snooping 相关配置

2.2.1 配置 DHCP Snooping 功能

表2-3 配置 DHCP Snooping 功能

操作命令说明


开启交换机 DHCP Snooping功能

dhcp-snooping 必选

缺省情况下，交换机的 DHCP Snooping 功



配置当前端口为 DHCP Snooping 信任端口

dhcp-snooping trust 必选

缺省情况下，开启 DHCP Snooping 功能后，

设备的所有端口均为非信任端口

在 E152 以太网交换机上开启 DHCP Snooping 功能后，不支持与之连接的客户端使用 BOOTP方式动态获取 IP 地址。

为了使 DHCP 客户端能从合法的 DHCP 服务器获取 IP 地址，必须将与合法 DHCP 服务器相连的

端口设置为信任端口，设置的信任端口和与 DHCP 客户端相连的端口必须在同一个 VLAN 内。建议用户不要在交换机上同时配置DHCP Snooping功能和灵活QinQ功能，否则可能导致 DHCP

Snooping 功能无法正常使用。

2.2.2 配置 DHCP Snooping 支持 Option 82 功能

配置 DHCP Snooping 支持 Option 82 功能之前，需要先开启交换机的 DHCP Snooping 功能，并配

置信任端口。

表2-4 DHCP Snooping 支持 Option 82 配置任务简介


开启 DHCP Snooping 支持 Option 82 功能必选 2.2.2 1.

配置 DHCP Snooping 支持 Option 82 策略可选 2.2.2 2.

配置 Option 82 字段的存储格式可选 2.2.2 3.

配置 Option 82 中 Circuit ID 的内容可选 2.2.2 4.

配置 Option 82 中 Remote ID 的内容可选 2.2.2 5.

配置 Option 82 字段的填充格式可选 2.2.2 6.

2-6

1. 开启 DHCP Snooping 支持 Option 82 功能

表2-5 开启 DHCP Snooping 支持 Option 82 功能

操作命令说明


开启 DHCP Snooping 支持

Option 82 功能 dhcp-snooping information enable

必选

缺省情况下，DHCP Snooping 支持 Option 82 功能处于关闭状态

2. 配置 DHCP Snooping 支持 Option 82 策略

表2-6 配置 DHCP Snooping 支持 Option 82 策略

操作命令说明


对所有端口接收的包含

Option 82 选项请求报文配置

全局处理策略

dhcp-snooping information strategy { drop | keep | replace }

可选

缺省情况下，DHCP Snooping 对带有

Option 82 选项的请求报文的处理策

略为 replace


对指定端口接收的包含

Option 82 选项请求报文配置

端口处理策略

dhcp-snooping information strategy { drop | keep | replace }

可选

缺省情况下，DHCP Snooping 对带有

Option 82 选项的请求报文的处理策

略为 replace

当同时配置了全局处理策略和指定端口的端口处理策略时，在该端口上优先使用端口处理策略进行

处理，其它端口使用全局处理策略进行处理。

3. 配置 Option 82 的存储格式

E152 以太网交换机支持对 Option 82 的存储格式进行配置，可以为十六进制数串格式（HEX），或

ASCII 码格式。

表2-7 配置 Option 82 的存储格式

操作命令说明


配置 Option 82 的存储格

式 dhcp-snooping information format { hex | ascii }

可选

缺省情况下，交换机对 Option 82 的存储

格式为 hex

2-7

dhcp-snooping information format 命令只对交换机默认填加的 Option 82 内容生效。如果用户

通过命令配置了 Circuit ID 或 Remote ID 的内容，则相应子选项的存储格式为 ASCII 格式，不再受

dhcp-snooping information format 命令配置的约束。

4. 配置 Option 82 中 Circuit ID 的内容

表2-8 配置 Option 82 中 Circuit ID 的内容

操作命令说明



配置 Option 82 中的 Circuit ID的内容

dhcp-snooping information [ vlan vlan-id ] circuit-id string string

可选

缺省情况下，Option 82 中 Circuit ID 的

内容为接收 DHCP 客户端请求报文的

端口所属 VLAN 的编号及端口索引

如果在端口视图下既配置了指定 vlan vlan-id 参数的 Circuit ID 的内容，又配置了未指定 vlan

vlan-id 参数的 Circuit ID 的内容，则对于该端口下指定 VLAN 内的 DHCP 报文，优先使用该 VLAN的 Circuit ID 配置内容进行处理，其他 VLAN 内的 DHCP 报文使用未配置 VLAN 参数的 Circuit ID的内容进行处理。

在端口汇聚组中，本命令允许对汇聚主端口和成员端口进行分别配置，但添加 Option 82 信息时，

以端口汇聚组中主端口上配置的 Circuit ID 内容为准。在端口上配置 Option 82 中 Circuit ID 的内容，不会在端口汇聚时进行汇聚同步。

5. 配置 Option 82 中 Remote ID 的内容

配置 Option 82 中 Remote ID 的内容有两种方式。

系统视图下配置：对本设备所有端口生效。可以配置 Option 82 的内容为设备的系统名称或用

户自定义的字符串，格式为 ASCII。

端口视图下配置：只对设备的当前端口生效。配置内容为用户自定义的字符串，可以指定 VLAN

来进行配置，即对于属于不同 VLAN 的报文可以添加不同的配置规则，格式为 ASCII。

表2-9 配置 Option 82 中 Remote ID 的内容

操作命令说明


系统视图下，配置 Option 82 中

Remote ID 的内容

dhcp-snooping information remote-id { sysname | string string }

可选

缺省情况下，Option 82 中的 Remote ID的内容为接收 DHCP 客户端请求报文的

DHCP Snooping 设备的 MAC 地址


2-8

操作命令说明

以太网端口视图下，配置 Option 82 中的 Remote ID 的内容

dhcp-snooping information [ vlan vlan-id ] remote-id string string

可选

缺省情况下，Option 82 中的 Remote ID的内容为接收 DHCP 客户端请求报文的

DHCP Snooping 设备的 MAC 地址

如果同时在系统视图和端口视图下配置了 Remote ID 的内容，则在指定端口上优先使用端口配置

内容进行处理，其它端口上使用全局配置内容进行处理。如果在端口视图下既配置了指定 vlan vlan-id 参数的 Remote ID 的内容，又配置了未指定 vlan

vlan-id参数的Remote ID的内容，则对于该端口下指定VLAN内的DHCP报文，优先使用该VLAN的 Remote ID 配置内容进行处理，其他 VLAN 内的 DHCP 报文使用未配置 VLAN 参数的 Remote ID 的内容进行处理。

在端口汇聚组中，本命令允许对汇聚主端口和成员端口进行分别配置，但添加 Option 82 信息时，

以端口汇聚组中主端口上配置的 Remote ID 内容为准。在端口上配置 Option 82 中 Remote ID 的内容，不会在端口汇聚时进行汇聚同步。

6. 配置 Option 82 字段的填充格式

表2-10 配置 Option 82 字段的填充格式

操作命令说明


配置 Option 82 字段的填充格

式 dhcp-snooping information packet-format { extended | standard }

可选

缺省情况下，Option 82 字段的

填充格式为扩展格式

2.2.3 配置 IP 过滤功能

表2-11 配置 IP 过滤功能

操作命令说明



配置 IP 静态绑定表项 ip source static binding ip-address ip-address [ mac-address mac-address ]

可选

缺省情况下，没有配置 IP静态绑定表项

开启基于 DHCP Snooping 表和 IP静态绑定表的 IP 过

滤功能

ip check source ip-address [ mac-address ] [ qos-profile string ]

开启 IP过滤

功能开启基于 802.1x认证用户的 IP 过滤功

能 ip check dot1x enable

二者选其一

缺省情况下，端口上的 IP过滤功能处于关闭状态

2-9

802.1x 认证相关配置请参见本手册“802.1x 及 System-Guard”模块。请用户不要在汇聚组中的端口上配置 IP 过滤功能。配置基于 DHCP Snooping 表项的 IP 过滤功能之前，需要先开启交换机的 DHCP Snooping 功能，

并配置信任端口。基于 802.1x认证用户的 IP过滤功能需要对每个 802.1x认证通过的表项下发 ACL，如果下发 ACL失败，会强制认证通过的用户下线。

基于 802.1x 认证用户的 IP 过滤功能需要和交换机基于 MAC 地址认证的 802.1x 功能一起配合使

用，且必须配合 802.1x 的客户端上传 IP 地址，否则无法获取认证用户的 IP 地址。同时，在使用

DHCP 动态申请 IP 地址的环境中，为了使认证通过的用户申请到的 IP 地址能够正确刷新到

IP-MAC 对应表项中，建议开启 802.1x 认证的握手功能；如果不开启握手功能，则需要关闭 802.1x的 DHCP 触发认证功能，确保认证的组播报文能够正常接收和发送。

如果某端口下开启 IP 过滤功能时，指定了 mac-address 参数，则此端口下配置的 IP 静态绑定

表项必须指定 mac-address mac-address 参数，否则该固定 IP 地址的客户端发送的报文无法通

过 IP 过滤检查。 E152 以太网交换机上手工配置的 IP 静态绑定表项的优先级高于 DHCP Snooping 动态表项。具

体表现在：如果手工配置的 IP 静态绑定表项中的 IP 地址与已存在的 DHCP Snooping 动态表项

的 IP 地址相同，则覆盖 DHCP Snooping 动态表项的内容；如果先配置了 IP 静态绑定表项，再

开启交换机的 DHCP Snooping 功能，则 DHCP 客户端不能通过该交换机获取到 IP 静态绑定表

项中已经存在的 IP 地址。在端口上配置的 IP 静态绑定表项，其所属 VLAN 为端口的缺省 VLAN 值。

2.3 DHCP Snooping 配置显示与维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 DHCP Snooping 后的运行情况。


表2-12 DHCP Snooping 配置显示与维护

操作命令说明

显示通过 DHCP Snooping 记录的用户 IP 地

址和 MAC 地址的对应关系 display dhcp-snooping [ unit unit-id ]

显示 DHCP Snooping 开启状态及信任端口

信息 display dhcp-snooping trust

显示 IP 静态绑定表 display ip source static binding [ vlan vlan-id | interface interface-type interface-number ]

display 命令

可在任意视图

下执行

清除 DHCP Snooping 表项功能 reset dhcp-snooping [ ip-address ] 在用户视图下

执行

2-10

2.4 DHCP Snooping 典型配置举例

2.4.1 DHCP Snooping 支持 Option 82 配置举例

1. 组网需求

如图 2-6所示，Switch的端口Ethernet1/0/5 与DHCP服务器端相连，端口Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3 分别与DHCP Client A、DHCP Client B、DHCP Client C相连。

在 Switch 上开启 DHCP Snooping 功能。

设置 Switch 上端口 Ethernet1/0/5 为 DHCP Snooping 信任端口。

在 Switch 上开启 DHCP Snooping 支持 Option 82 功能，且填充 Option 82 中 Remote ID 字

段的内容为Switch的系统名称。对经过端口Ethernet1/0/3的属于VLAN 1的报文，填充Option

82 中 Circuit ID 字段的内容为 abcd。

2. 组网图

图2-6 配置 DHCP Snooping 支持 Option 82 功能组网图

3. 配置步骤



[Switch] dhcp-snooping

# 设置端口 Ethernet1/0/5 为 DHCP Snooping 信任端口。


[Switch-Ethernet1/0/5] dhcp-snooping trust


# 开启 DHCP Snooping 支持 Option 82 功能。

[Switch] dhcp-snooping information enable

# 配置 Option 82 的 Remote ID 字段的内容为 DHCP Snooping 设备的系统名称。

[Switch] dhcp-snooping information remote-id sysname

2-11

# 在以太网端口 Ethernet1/0/3 上配置，对 VLAN1 内 DHCP 报文的 Option 82 中 Circuit ID 字段的

内容填充为用户自定义内容 abcd。


[Switch-Ethernet1/0/3] dhcp-snooping information vlan 1 circuit-id string abcd

2.4.2 IP 过滤典型配置举例

1. 组网需求

如图 2-7所示，Switch的端口Ethernet1/0/1 连接DHCP 服务器；端口Ethernet1/0/2 连接Host A，Host A的IP地址为 1.1.1.1，MAC地址为 0001-0001-0001；端口Ethernet1/0/3 和端口Ethernet1/0/4连接DHCP Client B和DHCP Client C。

在 Switch 上开启 DHCP Snooping 功能，并设置端口 Ethernet1/0/1 为 DHCP Snooping 信任

端口。

在 Switch 的端口 Ethernet1/0/2，Ethernet1/0/3，Ethernet1/0/4 上开启 IP 过滤功能，防止客

户端使用伪造的不同源 IP 地址对服务器进行攻击。

在 Switch 上配置 IP 静态绑定表项，保证使用固定 IP 地址的客户端 Host A 正常访问外部网络。

2. 组网图

图2-7 配置 IP 过滤组网图

SwitchDHCP Snooping

Eth1/0/2

Client C

Eth1/0/1

DHCP Server

Client BHost AIP:1.1.1.1

MAC:0001-0001-0001

Eth1/0/3

Eth1/0/4

3. 配置步骤




# 设置端口 Ethernet1/0/1 为信任端口。




# 分别启用端口 Ethernet1/0/2，Ethernet1/0/3 和 Ethernet1/0/4 的 IP 过滤功能，根据端口接收的 IP报文的源 IP 地址/源 MAC 地址对报文进行过滤。

2-12


[Switch-Ethernet1/0/2] ip check source ip-address mac-address








# 在 Switch 的端口 Ethernet1/0/2 上配置 IP 静态绑定表项。


[Switch-Ethernet1/0/2] ip source static binding ip-address 1.1.1.1 mac-address

0001-0001-0001

2.4.3 IP 过滤关联 QoS-profile 功能典型配置举例

1. 组网需求

客户端主机通过交换机 Switch A 连接内网的文件服务器，通过 DHCP 中继与外网的 DHCP 服务器

和邮件服务器相连。具体需求如下：

客户端通过 DHCP 协议动态获取 192.168.0.0/24 网段的 IP 地址。

在 SwitchA 上开启 DHCP Snooping 功能，设置端口 Ethernet1/0/3 为 DHCP Snooping 信任

端口；并开启端口 Ethernet1/0/1 上的 IP 过滤功能，防止客户端使用伪造的 IP 地址进行攻击。

在 SwitchA 配置 QoS Profile，将客户端向内网（如 IP 地址为 192.168.0.1/24 的文件服务器）

发送的 IP 报文的速率限制为 4Mbps，丢弃超出限制的报文；将客户端向外网发送的 IP 报文

的速率限制为 2Mbps，丢弃超出限制的报文。

2. 组网图

Internet

Switch ADHCP snooping

Switch BDHCP relay

DHCP server

Client

Eth1/0/1

Eth1/0/2

Eth1/0/3 Eth1/0/1

Eth1/0/2

File server

Mail server

图2-8 IP 过滤关联 QoS-profile 功能示例图

3. 配置步骤

＃在 SwitchA 上定义高级 ACL 3000，匹配目的 IP 地址为 192.168.0.0/24 网段的报文。

[SwitchA] acl number 3000

2-13

[SwitchA-acl-adv-3000] rule 1 permit ip destination 192.168.0.0 0.0.0.255

[SwitchA-acl-adv-3000] quit

＃在 SwitchA 上定义高级 ACL 3001，匹配目的 IP 地址为任意网段的报文。


[SwitchA-acl-adv-3001] rule 1 permit ip destination any

[SwitchA-acl-adv-3001] quit

# 定义名称为 example 的 QoS Profile，将匹配内网流量的报文的速率限制为 4096Kbps，将匹配外

网流量的报文的速率限制为 2048Kbps，丢弃超出限制的报文。

[SwitchA] qos-profile example

[SwitchA-qos-profile-example] traffic-limit inbound ip-group 3000 4096 exceed drop

[SwitchA-qos-profile-example] traffic-limit inbound ip-group 3001 2048 exceed drop

[SwitchA-qos-profile-example] quit

# 开启 SwitchA 的 DHCP Snooping 功能，并配置以太网端口 Ethernet1/0/3 为信任端口。

[SwitchA] dhcp-snooping

[SwitchA] interface ethernet 1/0/3

[SwitchA-Ethernet1/0/3] dhcp-snooping trust


# 在以太网端口 Ethernet1/0/1 开启 IP 过滤关联 QoS-profile 功能。


[SwitchA-Ethernet1/0/1] ip check source ip-address qos-profile example


3-1

3 DHCP 报文限速配置

3.1 DHCP 报文限速简介

为了防止 ARP 攻击和伪 DHCP 服务器攻击，需要将 ARP 报文和 DHCP 报文上送到 CPU 处理，判

断报文的合法性。但是，这样引入了新的问题：如果恶意用户发送大量 ARP 报文或 DHCP 报文攻

击设备，会导致 CPU 处理负担过重，从而造成其他功能无法正常运行甚至设备瘫痪。

E152 以太网交换机支持端口上 ARP 报文、DHCP 报文限速功能，使受到攻击的端口暂时关闭，来

避免此类攻击对设备 CPU 的冲击。ARP 报文限速功能请参见本手册的“ARP”部分，本章只介绍

DHCP 报文限速功能。

开启以太网端口的 DHCP 报文限速功能后，交换机对每秒内该端口接收的 DHCP 报文数量进行统

计，如果每秒收到的 DHCP 报文数量超过设定值，则认为该端口处于超速状态（即受到 DHCP 报

文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免设备受到大量 DHCP 报

文攻击而瘫痪。

同时，设备支持配置端口状态自动恢复功能，对于配置了 DHCP 限速功能的端口，在其因超速而被

交换机关闭后，经过一段时间可以自动恢复为开启状态。

E152 以太网交换机设置了自动恢复功能，方便用户恢复超速端口。当端口同时设置 ARP 报文超速

恢复时间和 DHCP 报文超速恢复时间时，以两者中的最短时间作为端口报文超速恢复时间。

3.2 配置 DHCP 报文限速功能

表3-1 配置 DHCP 报文限速功能

操作命令说明



开启 DHCP 报文限速功能 dhcp rate-limit enable 必选

缺省情况下，端口的 DHCP 报文限速功能处

于关闭状态

配置允许通过端口的 DHCP报文的大速率

dhcp rate-limit rate 可选

缺省情况下，端口能通过的 DHCP 报文的

大速率为 15pps

开启端口状态自动恢复功能 dhcp protective-down recover enable

可选

缺省情况下，交换机的端口状态自动恢复功


设置端口状态自动恢复时间 dhcp protective-down recover interval interval

可选

缺省情况下，交换机的端口状态自动恢复时

间为 300 秒

3-2

用户必须先开启交换机的端口状态自动恢复功能，才能设置端口状态自动恢复的时间。建议用户不要在汇聚组中的端口上配置 DHCP 报文限速功能。

3.3 DHCP 报文限速典型配置举例

1. 组网需求

如图 3-1所示，以太网交换机Switch（E152）的端口Ethernet1/0/1 与DHCP服务器端相连，端口

Ethernet1/0/2 与Client B相连，端口Ethernet1/0/11 与Client A相连；

在 Switch 上开启 DHCP Snooping 功能，并设置端口 Ethernet1/0/1 为 DHCP Snooping 信任

端口。

在端口 Ethernet1/0/11 上配置 DHCP 报文限速，并设置能通过的 DHCP 报文的大速率为

100pps；

配置 Switch 上 DHCP 报文超速恢复时间为 30 秒。

2. 典型组网图

图3-1 配置 DHCP 报文限速组网图

3. 配置步骤




# 设置端口 Ethernet1/0/1 为信任端口。




# 开启 DHCP 报文超速恢复功能。

[Switch] dhcp protective-down recover enable

# 设置 DHCP 报文超速恢复时间为 30 秒。

3-3

[Switch] dhcp protective-down recover interval 30

# 进入 Ethernet1/0/11 端口视图。


# 开启 Ethernet1/0/11 端口的 DHCP 报文限速功能。

[Switch-Ethernet1/0/11] dhcp rate-limit enable

# 设置 Ethernet1/0/11 端口能通过的 DHCP 报文的大速率为 100pps。

[Switch-Ethernet1/0/11] dhcp rate-limit 100

4-1

4 DHCP/BOOTP 客户端配置

4.1 DHCP 客户端简介

指定设备的 VLAN 接口作为 DHCP 客户端后，可以使用 DHCP 协议从 DHCP 服务器动态获得 IP地址等参数，方便用户配置，也便于集中管理。

客户端通过DHCP方式动态获取IP地址的过程请参见“1.2.2 IP地址动态获取过程”部分。

4.2 自动配置简介

4.2.1 自动配置应用背景

E152 以太网交换机自动配置功能是指设备启动时，在主用和备用配置文件不存在时，自动获取并

执行配置文件的功能。

自动配置功能简化了网络配置，便于实现对设备的集中管理。目前，企业网面临着这样的问题：设

备分布广，维护人员少，网络管理员在每一台设备上进行手工配置的代价巨大。利用自动配置功能，

网络管理员只需将配置文件保存在指定的服务器上，设备在空配置启动时可以自动从服务器上获取

并执行配置文件，实现自动配置，从而大大降低了网络管理员的工作量。

自动配置功能在设备上不需要进行特殊配置，但若要成功获得配置文件，需在 DHCP 服务器上配置

一些必需的参数，且将相应配置文件存放在 TFTP 服务器上。由于作为 DHCP 服务器的设备不同，

所需进行的配置也不同，具体介绍请参见相关服务器设备的操作手册。

4.2.2 自动配置工作过程

图4-1 自动配置典型组网图

E152 以太网交换机支持自动配置功能。基本工作过程如下：

4-2

(1) 交换机在主用和备用配置文件不存在时，系统会自动在处于 up 状态的缺省 VLAN 接口上启动

DHCP 客户端功能，广播方式发送 DHCP 请求报文。报文中的 Option 55 选项指明交换机需

要从 DHCP 服务器获得哪些信息（如配置文件名、TFTP 服务器 IP 地址等信息）。

(2) 交换机从 DHCP 服务器应答报文中获取自身的 IP 地址、可用的配置文件名称（Option 67）、

存储此配置文件的 TFTP 服务器的域名（Option 66）或 TFTP 服务器地址（Option 150）。

(3) 交换机从 TFTP 服务器上获取配置文件。具体步骤如下：

首先向 TFTP 服务器请求一个名为“network.cfg”的网络中间文件，解析这个网络中间文件

得到设备 IP 地址对应的主机名，再向 TFTP 服务器请求此主机名对应的配置文件（例如，主

机名为 switch1，则此配置文件名为“switch1.cfg”）；

网络中间文件用来保存主机 IP 地址与主机名称的映射关系。主机 IP 地址与主机名称的映射关系使

用“ ip host hostname ip-address”进行定义：命令关键字“ip”或“host”前建议使用空格分割。 hostname 表示主机名，建议使用以英文字母、数字、“.”或“_”组成的字符串格式。网络中间文件“network.cfg”中，可以分行指定多条“ ip host hostname ip-address”的信息，

每条信息以回车结束（最后一条信息后也必须要键入回车，否则最后一行命令将不能被执行）。需要注意的是，映射关系中的一个主机名称可以对应多个不同 IP 地址，而一个 IP 地址只能唯一

对应一个主机名称。如果配置了一个 IP 地址对应多个主机名，只有第一条信息生效。

如果向获取网络中间文件失败或者从文件中解析配置文件失败，则交换机会向 DNS 服务器请

求自身 IP 地址对应的域名，然后以这个域名作为一个配置文件的名称，来向 TFTP 服务器请

求配置文件；

如果以上操作都没有获取到交换机需要的配置文件名称，则交换机查看 DHCP 应答报文中是

否有 Option67 的选项（配置文件名称），有则进行配置，没有则向 TFTP 服务器请求一个默

认的设备配置文件（文件名为“device.cfg”）。

(4) 成功获得配置文件后，执行获取到的配置文件，完成自动配置过程。

如果交换机在通过 DHCP 服务器获取 IP 地址，或通过 TFTP 服务器获取配置文件的过程中，无

法及时得到服务器的回复，则会持续发送获取申请。用户可以通过键入回车，终止自动配置功能。用户键入回车，到系统提示自动配置成功终止，由于网络环境的不同，可能需要一定时间（大概

需要 1～6 分钟）。这段时间内系统会锁定命令行，不允许用户输入，以避免回退配置时将用户

配置命令错误删除。自动配置功能终止后，系统恢复用户对命令行的配置权限。如果用户键入回车时，设备已经通过自动配置功能获取到配置文件，则配置文件不会被执行。

4.3 BOOTP 客户端简介

BOOTP 是 BOOTstrap Protocol（自举协议）的简称。指定设备的接口作为 BOOTP 客户端后，该

接口可以使用 BOOTP 协议从 BOOTP 服务器获得 IP 地址等信息，从而方便用户配置。

4-3

使用 BOOTP 协议，管理员需要在 BOOTP 服务器上为每个 BOOTP 客户端配置 BOOTP 参数文件，

该文件包括 BOOTP 客户端的 MAC 地址及其对应的 IP 地址等信息。当 BOOTP 客户端向 BOOTP服务器发起请求时，服务器会查找 BOOTP 参数文件，并返回相应的配置信息。

BOOTP 客户端从 BOOTP 服务器动态获取 IP 地址的具体过程如下：

(1) BOOTP 客户端以广播方式发送 BOOTP 请求报文，其中包含了 BOOTP 客户端的 MAC 地址；

(2) BOOTP 服务器接收到请求报文后，根据报文中的 BOOTP 客户端 MAC 地址，从配置文件数

据库中查找对应的 IP 地址等信息，并向客户端返回包含这些信息的 BOOTP 响应报文；

(3) BOOTP 客户端从接收到的响应报文中即可获得 IP 地址等信息。

由于 DHCP 服务器可以与 BOOTP 客户端进行交互，因此用户可以不配置 BOOTP 服务器，而使用

DHCP 服务器为 BOOTP 客户端分配 IP 地址。

4.4 DHCP/BOOTP 客户端配置

表4-1 配置 DHCP/BOOTP 客户端

操作命令说明



配置 VLAN 接口采用

DHCP 或 BOOTP 方式获

取 IP 地址 ip address { bootp-alloc | dhcp-alloc }

必选

缺省情况下，VLAN 接口无 IP 地址

目前 E152 以太网交换机作为 DHCP 客户端，可以持续占用一个 IP 地址的最长时间为 24 天。也

就是说，即使 DHCP 服务器端地址池的租约时间长于 24 天，DHCP 客户端也只能获取 24 天的

租期。 E152 以太网交换机作为 DHCP 客户端，支持默认路由下发功能，即：作为 DHCP 客户端的 E152交换机获得 DHCP 服务器分配的 IP 地址的同时，会在交换机的路由表中添加一条默认路由表项，

其下一跳地址为 DHCP 服务器上配置的网关地址。具体表项信息可在交换机上通过 display ip routing-table 命令查看。

E152 以太网交换机为防止恶意用户对未使用 SOCKET 的攻击，提高交换机的安全性，提供了如下

功能：在启动 DHCP 功能时，才打开 DHCP 使用的 UDP 67 和 UDP 68 端口。在关闭 DHCP 功能时，同时关闭 UDP 67 和 UDP 68 端口。具体的实现是：

4-4

执行 ip address dhcp-alloc 命令启动 DHCP 客户端功能时，才打开 DHCP 使用的 UDP 68 端

口。执行 undo ip address dhcp-alloc 命令关闭 DHCP 客户端功能时，同时关闭 UDP 68 端口。

4.4.1 DHCP 客户端配置举例

1. 组网需求

Switch A 的端口（属于 VLAN1）接入局域网，VLAN 接口 1 通过 DHCP 协议从 DHCP 服务器获取

IP 地址。

2. 组网图

图4-2 DHCP 组网图

3. 配置步骤

下面只列出图 4-2中，作为DHCP客户端的Switch B的配置。

# 配置 Vlan-interface1 通过 DHCP 动态获取地址。


[SwitchB] interface Vlan-interface 1

[SwitchB-Vlan-interface1] ip address dhcp-alloc

4.4.2 BOOTP 客户端典型配置举例

1. 组网需求

Switch B 的端口（属于 VLAN1）接入局域网，VLAN 接口 1 通过 BOOTP 协议从 DHCP 服务器获

取 IP 地址。

2. 组网图

如图 4-2所示。

3. 配置步骤

下面只列出图 4-2中，作为客户端的Switch B的配置。

# 配置 VLAN 接口 1 通过 BOOTP 动态获取地址。


[SwitchB] interface vlan-interface 1

4-5

[SwitchB-Vlan-interface1] ip address bootp-alloc

4.5 DHCP/BOOTP 客户端显示

表4-2 DHCP/BOOTP 客户端显示

操作命令说明

查看 DHCP 客户端的相

关信息 display dhcp client [ verbose ]

查看 BOOTP 客户端的

相关信息 display bootp client [ interface Vlan-interface vlan-id ]

可选


i

目录

1 ACL配置 ...................................................................................................................................... 1-1

1.1 ACL简介 ..................................................................................................................................... 1-1

1.1.1 ACL匹配顺序 .................................................................................................................... 1-1 1.1.2 ACL在交换机上的应用方式 ............................................................................................... 1-2 1.1.3 E152 以太网交换机支持的ACL ......................................................................................... 1-3

1.2 ACL配置 ..................................................................................................................................... 1-3

1.2.1 配置时间段........................................................................................................................ 1-4 1.2.2 定义基本ACL .................................................................................................................... 1-5 1.2.3 定义高级ACL .................................................................................................................... 1-6 1.2.4 定义二层ACL .................................................................................................................... 1-8 1.2.5 定义用户自定义ACL.......................................................................................................... 1-9 1.2.6 定义IPv6 ACL ................................................................................................................. 1-10 1.2.7 在端口上应用ACL ........................................................................................................... 1-13 1.2.8 在VLAN上应用ACL......................................................................................................... 1-13

1.3 ACL显示 ................................................................................................................................... 1-14

1.4 ACL被上层软件引用典型配置举例............................................................................................. 1-14

1.4.1 通过源IP对Telnet登录用户进行控制配置举例 ................................................................. 1-14 1.4.2 通过源IP对WEB登录用户进行控制配置举例 ................................................................... 1-15

1.5 ACL下发到硬件典型配置举例.................................................................................................... 1-16

1.5.1 基本ACL配置举例 ........................................................................................................... 1-16 1.5.2 高级ACL配置举例 ........................................................................................................... 1-16 1.5.3 二层ACL配置举例 ........................................................................................................... 1-17 1.5.4 用户自定义ACL配置举例 ................................................................................................ 1-18 1.5.5 IPv6 ACL配置举例 .......................................................................................................... 1-19 1.5.6 在VLAN上应用ACL配置举例........................................................................................... 1-20

1-1

1 ACL 配置

新增“IPv6 ACL”特性，请参见 1.2.6 定义IPv6 ACL。

1.1 ACL 简介

随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。

通过对数据包进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络

资源。ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作

来实现包过滤的功能。

当交换机的端口接收到报文后，即根据当前端口上应用的 ACL 规则对报文的字段进行分析，在识

别出特定的报文之后，根据预先设定的策略允许或禁止相应的数据包通过。

由 ACL 定义的数据包匹配规则，也可以被其它需要对流量进行区分的功能引用，如 QoS 中流分

类规则的定义。

ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源MAC地址、目的MAC地址、源 IP 地址、目的 IP 地址、端口号等。根据应用目的，可将 ACL 分为以下几种：

基本 ACL：只根据数据包的源 IP 地址制定规则。

高级 ACL：根据数据包的源 IP 地址、目的 IP 地址、IP 承载的协议类型、协议特性等三、

四层信息制定规则。

二层 ACL：根据数据包的源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等

二层信息制定规则。

用户自定义 ACL：以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，

将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。

IPv6 ACL：根据 IPv6 报文的源 IP 地址、目的 IP 地址、源 MAC 地址、目的 MAC 地址、是

否具有双 Tag 头、IPv6 报文的流量类型、报文的下一报头信息、VLAN Tag 信息、TCP 或

UDP 协议目的端口信息等信息制定规则。

1.1.1 ACL 匹配顺序

一条 ACL 中可以包含多个规则，而每个规则都指定不同的报文范围。这样，在匹配报文时就会出

现匹配顺序的问题。

ACL 支持两种匹配顺序：

配置顺序：根据用户配置规则的先后顺序进行匹配。

1-2

自动排序：根据“深度优先”的顺序进行匹配（二层 ACL、用户自定义 ACL 和 IPv6 ACL

不支持根据“深度优先”的顺序进行匹配）。

1. 基本 ACL 的“深度优先”顺序判断原则

(1) 先比较源 IP 地址范围，源 IP 地址范围小（反掩码中“0”位的数量多）的规则优先；

(2) 如果源 IP 地址范围相同，则比较是否带有 fragment 参数，带有 fragment 参数的规则优先；

(3) 如果源 IP 地址范围、是否带有 fragment 参数这两个判断条件也相同，则先配置的规则优

先。

2. 高级 ACL 的“深度优先”顺序判断原则

(1) 首先比较协议范围，指定了 IP 协议承载的协议类型的规则优先；

(2) 如果协议范围相同，则比较源 IP 地址范围，源 IP 地址范围小（反掩码中“0”位的数量多）

的规则优先；

(3) 如果协议范围、源 IP 地址范围相同，则比较目的 IP 地址范围，目的 IP 地址范围小（反掩

码中“0”位的数量多）的规则优先；

(4) 如果协议范围、源 IP 地址范围、目的 IP 地址范围相同，则比较四层端口号（TCP/UDP 端

口号）范围，四层端口号范围小的规则优先；

(5) 如果协议范围、源 IP 地址范围、目的 IP 地址范围、四层端口号范围相同，则比较规则中参

数的个数，参数个数多的规则优先。

如果规则 A 与规则 B 的协议范围、源 IP 地址范围、目的 IP 地址范围、四层端口号范围完全相同，

并且其它的参数个数也相同，将按照加权规则进行排序。交换机为每个参数设定一个固定的权值，

最终的匹配顺序由各个参数的权值和参数的取值来决定。各个参数自身的权值从大到小排列为

icmp-type、established、dscp、tos、precedence、fragment。比较规则如下：

交换机以一个固定权值依次减去规则中所配置的各个参数自身的权值，所得结果小的规则优

先；

如果各个规则中参数种类完全相同，则这些参数取值的累加和小的规则优先。

1.1.2 ACL 在交换机上的应用方式

1. ACL 直接下发到硬件中的情况

ACL 可以直接下发到交换机的硬件，用于数据转发过程中的报文过滤和流分类。此时一条 ACL中多个规则的匹配顺序是由交换机的硬件决定的，对于 E152 以太网交换机，匹配顺序为后下发

的规则先匹配。

ACL 直接下发到硬件的情况包括：通过 ACL 过滤转发数据、配置 QoS 功能时引用 ACL 等。

2. ACL 被上层软件引用的情况

ACL 也可以用来对由软件处理的报文进行过滤和流分类。此时 ACL 规则的匹配顺序有两种：

config：按用户配置的先后顺序进行匹配。

1-3

auto：按“深度优先”的顺序进行匹配（二层 ACL、用户自定义 ACL 和 IPv6 ACL 不支持

根据“深度优先”的顺序进行匹配）。

用户可以在定义 ACL 的时候指定一条 ACL 中多个规则的匹配顺序。用户一旦指定某一条 ACL 的

匹配顺序，就不能再更改该顺序。只有把该 ACL 中所有的规则全部删除后，才能重新指定其匹配

顺序。

ACL 被上层软件引用的情况包括：路由策略引用 ACL、对 Telnet、SNMP 和 WEB 登录用户进行

控制时引用 ACL 等。

当 ACL 直接下发到硬件对报文进行过滤时，如果报文没有与 ACL 中的规则匹配，此时交换机

对此类报文采取的动作为 permit，即允许报文通过。当 ACL 被上层软件引用，对 Telnet、SNMP 和 WEB 登录用户进行控制时，如果报文没有与

ACL 中的规则匹配，此时交换机对此类报文采取的动作为 deny，即拒绝报文通过。

1.1.3 E152 以太网交换机支持的 ACL

E152 以太网交换机支持的 ACL 如下：

基本 ACL

高级 ACL

二层 ACL

用户自定义 ACL

IPv6 ACL

E152 以太网交换机上定义的 ACL 支持下发到硬件和被上层软件引用。

1.2 ACL 配置

表1-1 ACL 配置任务简介


配置时间段可选 1.2.1

定义基本 ACL 必选 1.2.2

定义高级 ACL 必选 1.2.3

定义二层 ACL 必选 1.2.4

定义用户自定义 ACL 必选 1.2.5

定义 IPv6 ACL 必选 1.2.6

在端口上应用 ACL 必选 1.2.7

在 VLAN 上应用 ACL 必选 1.2.8

1-4

1.2.1 配置时间段

用户可以根据时间段对报文进行控制。ACL 中的每条规则都可以选择一个时间段，这条规则只在

该指定的时间段内生效。如果规则引用的时间段未配置，则系统给出提示信息，并允许这样的规

则创建成功，但是规则不能立即生效，直到用户配置了引用的时间段，并且系统时间在指定时间

段范围内才能生效。

对时间段的配置有如下两种情况：

配置周期时间段：采用每个星期固定时间段的形式，例如从星期一至星期五的 8:00 至 18:00。

配置绝对时间段：采用从某年某月某日某时某分起至某年某月某日某时某分结束的形式，例

如从 2000 年 1 月 28 日 15:00 起至 2004 年 1 月 28 日 15:00 结束。

H3C E152 以太网交换机支持的绝对时间段范围从 1970/1/1 00:00 起至 2100/12/31 24:00 结束。

1. 配置过程

表1-2 配置时间段



创建一个时间段

time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date }

必选


如果一个时间段只定义了周期时间段，则只有系统时钟在该周期时间段内，该时间段才进入

激活状态。如果一个时间段下定义了多个周期时间段，则这些周期时间段之间是“或”的关

系。

如果一个时间段只定义了绝对时间段，则只有系统时钟在该绝对时间段内，该时间段才进入

激活状态。如果一个时间段下定义了多个绝对时间段，则这些绝对时间段之间是“或”的关

系。

如果一个时间段同时定义了绝对时间段和周期时间段，则只有同时满足绝对时间段和周期时

间段的定义时，该时间段才进入激活状态。例如，一个时间段定义了绝对时间段：从 2004

年 1 月 1 日 0 点 0 分到 2004 年 12 月 31 日 23 点 59 分，同时定义了周期时间段：每周三

的 12：00 到 14：00。该时间段只有在 2004 年内每周三的 12：00 到 14：00 才进入激活

状态。

配置绝对时间段时，如果不配置开始日期，时间段就是从 1970/1/1 00:00 起到配置的结束

日期为止。如果不配置结束日期，时间段就是从配置的开始日期起到 2100/12/31 23:59 为

止。

1-5

2. 配置举例

# 配置周期时间段，时间范围为周一到周五每天 8:00 到 18:00。


[Sysname] time-range test 8:00 to 18:00 working-day

[Sysname] display time-range test

Current time is 13:27:32 Apr/16/2005 Saturday

Time-range : test ( Inactive )

08:00 to 18:00 working-day

# 配置绝对时间段，时间范围为 2006 年 1 月 28 日 15:00 起至 2008 年 1 月 28 日 15:00 结束。


[Sysname] time-range test from 15:00 1/28/2006 to 15:00 1/28/2008

[Sysname] display time-range test

Current time is 13:30:32 Apr/16/2005 Saturday

Time-range : test ( Inactive )

From 15:00 Jan/28/2006 to 15:00 Jan/28/2008

1.2.2 定义基本 ACL

基本 ACL 只根据源 IP 地址制定规则，对数据包进行相应的分析处理。

基本 ACL 的序号取值范围为 2000～2999。

1. 配置准备

如果要配置带有时间段参数的规则，则需要定义相应的时间段。定义时间段的配置请参见

1.2.1 配置时间段。

确定了规则中的源 IP 地址。

2. 配置过程

表1-3 定义基本 ACL 规则



创建并进入基本ACL视图 acl number acl-number [ match-order { auto | config } ]

必选


定义 ACL 规则 rule [ rule-id ] { deny | permit } [ rule-string ]

必选

rule-string 的具体内容请参见命令手

册

定义 ACL 的描述信息 description text 可选

缺省情况下，ACL 没有描述信息


1-6

当基本 ACL 的匹配顺序为 config 时，用户可以修改该 ACL 中的任何一条已经存在的规则，

在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍旧保持原来的状态；当基本 ACL

的匹配顺序为 auto 时，用户不能修改该 ACL 中的任何一条已经存在的规则，否则系统会提

示无法修改该规则。

在创建一条 ACL 规则的时候，用户可以不指定规则的编号，交换机将自动为这个规则分配

一个编号：如果此 ACL 中没有规则，编号为 0；如果此 ACL 中已有规则，编号为现有规则

的最大编号+1；如果此 ACL 中现有规则的最大编号为 65534，则系统会提示无法创建该规

则，此时用户必须指定规则的编号才能创建成功。

新创建或修改后的规则不能和已经存在的规则相同，否则会导致创建或修改不成功，系统会

提示该规则已经存在。

当基本 ACL 的匹配顺序为 auto 时，新创建的规则将按照“深度优先”的原则插入到已有的

规则中，但是所有规则对应的编号不会改变。

3. 配置举例

# 配置基本 ACL 2000，禁止源 IP 地址为 192.168.0.1 的报文通过。



[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0

# 显示基本 ACL 2000 的配置信息。

[Sysname-acl-basic-2000] display acl 2000

Basic ACL 2000, 1 rule

Acl's step is 1

rule 0 deny source 192.168.0.1 0

1.2.3 定义高级 ACL

高级 ACL 可以使用数据包的源 IP 地址、目的 IP 地址、IP 承载的协议类型、针对协议的特性（例

如 TCP 或 UDP 的源端口、目的端口，ICMP 协议的消息类型、消息码等）内容定义规则，对数

据包进行相应的分析处理。

高级 ACL 的序号取值范围 3000～3999（3998 与 3999 是系统为集群管理预留的编号，用户无法

配置）。

高级 ACL 支持对三种报文优先级的分析处理：ToS（Type of Service，服务类型）优先级、IP优先级和 DSCP（Differentiated Services CodePoint，差分服务编码点）优先级。

用户可以利用高级 ACL 定义比基本 ACL 更准确、更丰富、更灵活的规则。

1. 配置准备



确定了规则中源 IP 地址、目的 IP 地址、IP 承载的协议类型、针对协议的特性等参数的取值。

1-7

2. 配置过程

表1-4 定义高级 ACL 规则



创建并进入高级ACL视图 acl number acl-number [ match-order { auto | config } ]

必选


定义 ACL 规则 rule [ rule-id ] { permit | deny } protocol [ rule-string ]

必选

protocol 和 rule-string 的具体内容请参

见命令手册

定义ACL规则的注释信息 rule rule-id comment text 可选

缺省情况下，ACL 规则没有注释信息




当高级 ACL 的匹配顺序为 config 时，用户可以修改该 ACL 中的任何一条已经存在的规则，

在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍旧保持原来的状态；当高级 ACL

的匹配顺序为 auto 时，用户不能修改该 ACL 中的任何一条已经存在的规则，否则系统会提

示无法修改该规则。







当高级 ACL 的匹配顺序为 auto 时，新创建的规则将按照“深度优先”的原则插入到已有的

规则中，但是所有规则对应的编号不会改变。

3. 配置举例

# 配置高级 ACL 3000，允许从 129.9.0.0/16 网段的主机向 202.38.160.0/24 网段的主机发送的端

口号为 80 的 TCP 报文通过。



[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination

202.38.160.0 0.0.0.255 destination-port eq 80

# 显示高级 ACL 3000 的配置信息。

[Sysname-acl-adv-3000] display acl 3000

Advanced ACL 3000, 1 rule

1-8

Acl's step is 1

rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255

destination-port eq www

1.2.4 定义二层 ACL

二层 ACL 根据源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规

则，对数据包进行相应的分析处理。

二层 ACL 的序号取值范围为 4000～4999。

1. 配置准备



确定了规则中源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等参数的取值。

2. 配置过程

表1-5 定义二层 ACL 规则



创建并进入二层 ACL 视图 acl number acl-number 必选

定义 ACL 规则 rule [ rule-id ] { permit | deny } [ rule-string ]

必选

rule-string 的具体内容请参见命令手

册

定义 ACL 规则的注释信息 rule rule-id comment text 可选





用户可以修改二层 ACL 中的任何一条已经存在的规则，在修改 ACL 中的某条规则时，该规

则中没有修改到的部分仍旧保持原来的状态。







1-9

3. 配置举例

# 配置二层 ACL 4000，禁止从 MAC 地址 000d-88f5-97ed 发送到 MAC 地址 0011-4301-991e且 802.1p 优先级为 3 的报文通过。



[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff

dest 0011-4301-991e ffff-ffff-ffff

# 显示二层 ACL 4000 的配置信息。

[Sysname-acl-ethernetframe-4000] display acl 4000

Ethernet frame ACL 4000, 1 rule

Acl's step is 1

rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest

0011-4301-991e ffff-ffff-ffff

1.2.5 定义用户自定义 ACL

用户自定义 ACL 以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报

文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文，然后进行相应的处理。

用户自定义 ACL 的序号取值范围为 5000～5999。

1. 配置准备

如果要配置带有时间段参数的规则，则需要定义相应的时间段。定义时间段的配置请参见 1.2.1 配置时间段。

2. 配置过程

表1-6 定义用户自定义 ACL 规则



创建并进入用户自定义

ACL 视图 acl number acl-number 必选

定义 ACL 规则 rule [ rule-id ] { permit | deny } [ rule-string rule-mask offset ] &<1-8> [ time-range time-name ]

必选

rule-string 的具体内容请参见命

令手册


缺省情况下，ACL 规则没有注释

信息



1-10

在配置用户自定义 ACL 规则匹配报文的特定字段时，偏移量的取值一定要考虑如下情况：

如果没有开启 VLAN-VPN 功能，交换机内部处理的报文都带有 1 层 VLAN tag，1 层 VLAN tag占 4 个字节。

如果某一端口上开启了 VLAN-VPN 功能，交换机内部处理的报文都带有 2 层 VLAN tag，2 层

VLAN tag 占 8 个字节。


用户可以修改用户自定义 ACL 中的任何一条已经存在的规则，在修改 ACL中的某条规则时，

如果用户的修改只涉及动作或时间段部分，则该规则中没有修改到的部分仍旧保持原来的状

态；如果用户修改了自定义字符串部分的内容，则修改后的自定义字符串会覆盖原有的自定

义字符串。







3. 配置举例

# 配置用户自定义 ACL 5000，禁止所有的 TCP 报文通过（假设没有端口开启 VLAN-VPN 功能）。

其中 06 为 TCP 的协议号，ff 为规则的掩码，27 为交换机内部处理的 IP 报文中协议字段的偏移

量。



[Sysname-acl-user-5000] rule deny 06 ff 27

# 显示用户自定义 ACL 5000 的配置信息。

[Sysname-acl-user-5000] display acl 5000

User defined ACL 5000, 1 rule

Acl's step is 1

rule 0 deny 06 ff 27

1.2.6 定义 IPv6 ACL

用户可以通过 IPv6 ACL 匹配 IPv6 数据包，以便对特定的报文进行相应的处理。IPv6 ACL 的序

号取值范围为 5000～5999。

E152 以太网交换机支持的匹配字段如下：

cos：IPv6 报文中的 CoS 字段；

dest-ip：IPv6 报文中的目的 IP 地址字段；

1-11

dest-mac：IPv6 报文中的目的 MAC 地址字段；

double-tag：匹配具有双 Tag 头的 IPv6 报文；

dscp：IPv6 报文中的流量类型（Traffic-class）字段；

ip-protocol：IPv6 报文中的下一报头（Next header）字段；

ipv6-type：二层协议类型为 IPv6 的报文；

src-ip：IPv6 报文中的源 IP 地址字段；

src-mac：IPv6 报文中的源 MAC 地址字段；

src-port：IPv6 报文中 TCP 或 UDP 协议的源端口字段；

dest-port：IPv6 报文中 TCP 或 UDP 协议的目的端口字段；

icmpv6-type：IPv6 报文中 ICMP 协议的消息类型字段；

icmpv6-code：IPv6 报文中 ICMP 协议的消息码字段；

vlan： IPv6 报文的 VLAN Tag 字段。

IPV6 ACL 不支持匹配带扩展头的 IPV6 报文。

在配置 IPv6 ACL 规则时需要注意如下事项：

如果需要配置 src-port 或 dest-port 字段，则必须配置 ip-protocol 为 TCP 或 UDP（即 0x06或 0x11）；如果需要配置 icmpv6-type 或 icmpv6-code 字段，则必须配置 ip-protocol 为ICMPv6（即 0x3a）。

当一条 rule 规则要定义多个字段时，要确保一条 rule 定义的字段对应的字节总数不能超过 32字节、否则该 rule 规则配置不能成功。例如：如果 rule 1 中同时配置了 src-ip（128 个 bit 位，

占用 16 个字节）和 dest-ip 字段（128 个 bit 位，占用 16 个字节），一个 IPv6 报文仅对 src-ip字段和 dest-ip 字段进行匹配、就已经需要匹配 32 个字节，因此该 rule 1 中不能再定义其它字

段了，否则配置不能成功。

1. 配置准备



确定了规则中参数的取值。

2. 配置过程

表1-7 定义 IPv6 ACL



创建并进入 IPv6 ACL 视图 acl number acl-number 必选

1-12


定义 ACL 规则

rule [ rule-id ] { deny | permit } [ cos rule-string rule-mask ] [ dest-ip ipv6-address prefix-length ] [ dest-mac rule-string rule-mask ] [ double-tag ] [ dscp rule-string rule-mask ] [ ip-protocol rule-string rule-mask ] [ ipv6-type ] [ src-ip ipv6-address prefix-length ] [ src-mac rule-string rule-mask ] [ vlan rule-string rule-mask ] [ [ src-port rule-string rule-mask | dest-port rule-string rule-mask ] * | [ icmpv6-type rule-string rule-mask | icmpv6-code rule-string rule-mask ] * ] [ time-range time-name ]

必选

需要注意的是，如果用户需要配置

src-port/dest-port，则必须配置

ip-protocol 为 TCP 或 UDP，即 0x06或 0x11；如果用户需要配置

icmpv6-type/icmpv6-code，则必须

配置 ip-protocol 为 ICMPv6，即 0x3a






用户可以修改 IPv6 ACL 中的任何一条已经存在的规则，在修改 ACL 中的某条规则时，如

果用户的修改只涉及动作或时间段部分，则该规则中没有修改到的部分仍旧保持原来的状

态；如果用户修改了自定义字符串部分的内容，则修改后的自定义字符串会覆盖原有的自定

义字符串。







IPv6 ACL 不支持匹配带有扩展报文头的 IPv6 报文。

3. 配置举例

# 配置 IPv6 ACL 5000，禁止从源 IPv6 地址 3001::1/64 发送到目的 IPv6 地址 3002::1/64 的报文

通过。



[Sysname-acl-user-5000] rule deny src-ip 3001::1 64 dest-ip 3002::1 64

# 显示 IPv6 ACL 5000 的配置信息。

1-13

[Sysname-acl-user-5000] display acl 5000

User defined ACL 5000, 1 rule

Acl's step is 1

rule 0 deny src-ip 3001::1 64 dest-ip 3002::1 64

1.2.7 在端口上应用 ACL

在端口上应用 ACL 可以实现报文过滤的功能，用户可在每个端口上对报文进行过滤。

1. 配置准备

在端口上应用ACL之前需要首先定义ACL。定义ACL的配置请参见 1.2.2 定义基本ACL，1.2.3 定义高级ACL，1.2.4 定义二层ACL，1.2.5 定义用户自定义ACL，1.2.6 定义IPv6 ACL。

2. 配置过程

表1-8 在端口上应用 ACL




在端口上应用 ACL packet-filter { inbound | outbound } acl-rule 必选

acl-rule 的具体内容请参见

命令手册

3. 配置举例

# 在端口 Ethernet 1/0/1 的入方向上应用 ACL 2000 进行包过滤。



[Sysname-Ethernet1/0/1] packet-filter inbound ip-group 2000

1.2.8 在 VLAN 上应用 ACL

在 VLAN 上应用 ACL 可以实现报文过滤的功能。用户可对 VLAN 内所有端口上的报文进行过滤。

执行 packet-filter vlan 命令后、只有执行此命令时对应 VLAN 中所包含的端口会根据应用的 ACL进行报文过滤。

如果后续该 VLAN 内新增了端口，新增的端口不会像 VLAN 内原有端口那样应用该 ACL 进行

报文过滤。如果后续该 VLAN 内删除了端口，被删除的端口依旧根据应用的 ACL 进行报文过滤。

1. 配置准备

在VLAN上应用ACL之前需要首先定义ACL。定义ACL的配置请参见 1.2.2 定义基本ACL，1.2.3 定义高级ACL，1.2.4 定义二层ACL，1.2.5 定义用户自定义ACL，1.2.6 定义IPv6 ACL。

1-14

2. 配置过程

表1-9 在 VLAN 上应用 ACL



在 VLAN 上应用 ACL packet-filter vlan vlan-id { inbound | outbound } acl-rule

必选

acl-rule 的具体内容请参见命令手册

3. 配置举例

# 在 VLAN 1 的入方向上应用 ACL 2000 进行包过滤。


[Sysname] packet-filter vlan 1 inbound ip-group 2000

1.3 ACL 显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 ACL 后的运行情况。通过查看


表1-10 ACL 的显示

操作命令说明

显示配置的 ACL 规则 display acl { all | acl-number }

显示时间段 display time-range { all | time-name }

显示包过滤的应用信息 display packet-filter { interface interface-type interface-number | unitid unit-id }

显示 ACL 表项资源 display drv qacl_resource


意视图下执行

1.4 ACL 被上层软件引用典型配置举例

1.4.1 通过源 IP 对 Telnet 登录用户进行控制配置举例

1. 组网需求

通过源 IP 地址对 Telnet 登录用户进行控制，仅允许 IP 地址为 10.110.100.52 的 Telnet 用户登录

到交换机。

1-15

2. 组网图

图1-1 通过源 IP 对 Telnet 登录用户进行控制组网图

Switch PC 10.110.100.52

Internet

3. 配置步骤

# 定义基本 ACL 2000。





# 在 VTY 用户界面引用基本 ACL 2000，对 Telnet 登录用户进行控制。


[Sysname-ui-vty0-4] acl 2000 inbound

1.4.2 通过源 IP 对 WEB 登录用户进行控制配置举例

1. 组网需求

通过源 IP 地址对 WEB 登录用户进行控制，仅允许 IP 地址为 10.110.100.46 的 WEB 用户通过

HTTP 方式访问交换机。

2. 组网图

图1-2 通过源 IP 对 WEB 登录用户进行控制组网图

Switch PC 10.110.100.46

Internet

3. 配置步骤

# 定义基本 ACL 2001。





1-16

# 配置 WEB 服务器引用基本 ACL 2001，对 WEB 登录用户进行控制。

[Sysname] ip http acl 2001

1.5 ACL 下发到硬件典型配置举例

1.5.1 基本 ACL 配置举例

1. 组网需求

PC 1 和 PC 2 通过端口 Ethernet1/0/1 接入交换机，PC 1 的 IP 地址为 10.1.1.1。要求配置基本

ACL，实现在每天 8:00～18:00 的时间段内对 PC 1 发出的 IP 报文进行过滤。

2. 组网图

图1-3 基本 ACL 配置组网图

3. 配置步骤

# 定义周期时间段 test，时间范围为每天的 8:00～18:00。


[Sysname] time-range test 8:00 to 18:00 daily

# 定义基本 ACL 2000，配置源 IP 地址为 10.1.1.1 的访问规则。


[Sysname-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range test


# 在端口 Ethernet1/0/1 上应用 ACL 2000。



1.5.2 高级 ACL 配置举例

1. 组网需求

公司企业网通过交换机实现各部门之间的互连。研发部门由端口 Ethernet1/0/1 接入交换机，工

资查询服务器的地址为 192.168.1.2。要求配置高级 ACL，禁止研发部门在工作日 8:00～18:00的时间段内访问工资查询服务器。

1-17

2. 组网图

图1-4 高级 ACL 配置组网图

Eth1/0/1

研发部门

Switch

至路由器工资查询服务器

Eth1/0/2

192.168.1.2

3. 配置步骤

# 定义周期时间段 test，时间范围为工作日的 8:00～18:00。



# 定义高级 ACL 3000，配置目的 IP 地址为工资查询服务器的访问规则。


[Sysname-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test

[Sysname-acl-adv-3000] quit

# 在端口 Ethernet1/0/1 上应用 ACL 3000。



1.5.3 二层 ACL 配置举例

1. 组网需求

PC 1 和 PC 2 通过端口 Ethernet1/0/1 接入交换机，PC 1 的 MAC 地址为 0011-0011-0011。要

求配置二层 ACL，在每天 8:00～18:00 的时间段内，对 PC 1 发出的目的 MAC 为 0011-0011-0012的报文进行过滤。

2. 组网图

图1-5 二层 ACL 配置组网图

1-18

3. 配置步骤




# 定义二层 ACL 4000，配置源 MAC 为 0011-0011-0011，目的 MAC 为 0011-0011-0012 的访

问规则。


[Sysname-acl-ethernetframe-4000] rule 1 deny source 0011-0011-0011 ffff-ffff-ffff dest

0011-0011-0012 ffff-ffff-ffff time-range test

[Sysname-acl-ethernetframe-4000] quit

# 在端口 Ethernet 1/0/1 上应用 ACL 4000。


[Sysname-Ethernet1/0/1] packet-filter inbound link-group 4000

1.5.4 用户自定义 ACL 配置举例

1. 组网需求

网络环境描述如下：

PC 1 的 IP 地址为 192.168.0.2，通过端口 Ethernet1/0/1 接入交换机；PC 2 的 IP 地址为

192.168.0.3，通过端口 Ethernet1/02 接入交换机。

PC 1 和 PC 2 属于 VLAN 1，二者的网关都设置为 192.168.0.1（交换机 VLAN 1 接口的 IP

地址），通过交换机访问 Internet。

要求配置用户自定义 ACL，在每天 8:00～18:00 的时间段内，对 PC 1 发出的仿冒网关 IP 地址的

ARP 报文进行过滤。

2. 组网图

图1-6 用户自定义 ACL 配置组网图

3. 配置步骤




1-19

# 定义用户自定义 ACL 5000，配置源 IP 地址为 192.168.0.1 的 ARP 报文的访问规则（假设没有

端口启动 VLAN-VPN 功能）。其中 0806 为 ARP 协议号，16 为交换机内部处理的以太网报文中

协议类型字段的偏移量，c0a80001 为 192.168.0.1 的十六进制形式，32 为交换机内部处理的 ARP报文中源 IP 地址字段的偏移量。


[Sysname-acl-user-5000] rule 1 deny 0806 ffff 16 c0a80001 ffffffff 32 time-range test

# 在端口 Ethernet 1/0/1 上应用 ACL 5000。


[Sysname-Ethernet1/0/1] packet-filter inbound user-group 5000

1.5.5 IPv6 ACL 配置举例

1. 组网需求

PC 1 和 PC 2 通过端口 Ethernet1/0/1 接入交换机，PC 1 的 IPv6 地址为 3001::1/64。要求配置

IPv6 ACL，在每天 8:00～18:00 的时间段内，对 PC 1 发出的目的 IPv6 地址为 3002::1/64 的报

文进行过滤。

2. 组网图

图1-7 IPv6 ACL 配置组网图

Switch

Eth1/0/1PC 1

3001::1/64

PC 2

至路由器

3. 配置步骤




# 定义 IPv6 ACL 5000，配置源地址为 3001::1/64，目的地址为 3002::1/64 的访问规则。


[Sysname-acl-user-5000] rule deny src-ip 3001::1 64 dest-ip 3002::1 64 time-range test

[Sysname-acl-user-5000] quit

# 在端口 Ethernet 1/0/1 上应用 IPv6 ACL 5000。


[Sysname-Ethernet1/0/1] packet-filter inbound user-group 5000

1-20

1.5.6 在 VLAN 上应用 ACL 配置举例

1. 组网需求

PC 1、PC 2和PC 3属于VLAN 10，分别通过端口Ethernet 1/0/1、Ethernet 1/0/2和Ethernet 1/0/3接入交换机，数据库服务器的 IP 地址为 192.168.1.2。要求配置高级 ACL 3000，禁止 VLAN 10内的 PC 在工作日 8:00～18:00 的时间段内访问数据库服务器。

2. 组网图

图1-8 在 VLAN 上应用 ACL 配置组网图

3. 配置步骤

# 定义周期时间段 test，时间范围为工作日的 8:00～18:00。



# 定义高级 ACL 3000，配置目的 IP 地址为数据库服务器的访问规则。


[Sysname-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test


# 在 VLAN 10 上应用 ACL 3000。

[Sysname] packet-filter vlan 10 inbound ip-group 3000

i

目录

1 QoS配置 ............................................................................................................................................ 1-1

1.1 QoS简介............................................................................................................................................ 1-1

1.1.1 QoS概述 ................................................................................................................................. 1-1 1.1.2 传统的分组转发业务 ...............................................................................................................1-1 1.1.3 新业务引发的新需求 ...............................................................................................................1-1 1.1.4 几种主要的流量管理技术 ........................................................................................................ 1-2

1.2 E152 以太网交换机的QoS功能 .........................................................................................................1-2

1.3 QoS功能介绍..................................................................................................................................... 1-3

1.3.1 流分类 ..................................................................................................................................... 1-3 1.3.2 优先级信任模式 ......................................................................................................................1-3 1.3.3 优先级重标记 ..........................................................................................................................1-7 1.3.4 协议报文优先级 ......................................................................................................................1-7 1.3.5 流量监管 ................................................................................................................................. 1-7 1.3.6 端口限速 ................................................................................................................................. 1-8 1.3.7 重定向 ..................................................................................................................................... 1-9 1.3.8 VLAN Mapping ....................................................................................................................... 1-9 1.3.9 队列调度 ................................................................................................................................. 1-9 1.3.10 拥塞避免 .............................................................................................................................1-11 1.3.11 基于流的流量统计...............................................................................................................1-12 1.3.12 Burst功能 ............................................................................................................................1-12 1.3.13 流镜像................................................................................................................................. 1-12

1.4 QoS配置.......................................................................................................................................... 1-12

1.4.1 配置优先级信任模式 .............................................................................................................1-13 1.4.2 配置 802.1p优先级和本地优先级之间的映射关系................................................................. 1-14 1.4.3 配置优先级重标记.................................................................................................................1-14 1.4.4 配置协议报文优先级 .............................................................................................................1-15 1.4.5 配置流量监管 ........................................................................................................................1-16 1.4.6 配置端口限速 ........................................................................................................................1-17 1.4.7 配置重定向............................................................................................................................1-18 1.4.8 配置VLAN Mapping ..............................................................................................................1-19 1.4.9 配置队列调度 ........................................................................................................................1-19 1.4.10 配置WRED ......................................................................................................................... 1-21 1.4.11 配置流量统计 ......................................................................................................................1-21 1.4.12 配置Burst功能.....................................................................................................................1-22 1.4.13 配置流镜像..........................................................................................................................1-22

1.5 QoS的显示 ...................................................................................................................................... 1-23

1.6 QoS配置举例................................................................................................................................... 1-24

1.6.1 流量监管和端口限速配置举例............................................................................................... 1-24 1.6.2 优先级重标记和队列调度配置举例 ....................................................................................... 1-25 1.6.3 VLAN Mapping配置举例 ....................................................................................................... 1-26 1.6.4 流镜像和重定向至端口配置举例 ........................................................................................... 1-28

ii

2 QoS Profile配置 ................................................................................................................................. 2-1

2.1 QoS Profile简介................................................................................................................................. 2-1

2.1.1 QoS Profile简介 ......................................................................................................................2-1 2.1.2 QoS Profile的应用方式 ...........................................................................................................2-1

2.2 QoS Profile配置................................................................................................................................. 2-1

2.2.1 配置QoS Profile ...................................................................................................................... 2-2 2.2.2 应用QoS Profile ...................................................................................................................... 2-2

2.3 QoS Profile的显示 .............................................................................................................................2-3

2.4 QoS Profile典型配置举例 ..................................................................................................................2-3

2.4.1 QoS Profile典型配置举例 ....................................................................................................... 2-3

1-1

1 QoS 配置

1.1 QoS 简介

1.1.1 QoS 概述

QoS（Quality of Service，服务质量）是各种存在服务供需关系的场合中普遍存在的概念，它评估

服务方满足客户服务需求的能力。评估通常不是精确的评分，而是注重分析在什么条件下服务是好

的，在什么情况下还存在着不足，以便服务方有针对性地做出改进。

在 Internet 中，QoS 所评估的就是网络转发分组的服务能力。由于网络提供的服务是多样的，因此

对 QoS 的评估可以基于不同方面。通常所说的 QoS，是对分组转发过程中为延迟、抖动、丢包率

等核心需求提供支持的服务能力的评估。

1.1.2 传统的分组转发业务

传统的 IP 网络无区别地对待所有的报文，设备处理报文采用的策略是 FIFO（First In First Out，先

入先出），它依照报文到达时间的先后顺序分配转发所需要的资源。所有报文共享网络和设备的资

源，至于得到资源的多少完全取决于报文到达的时机。这种服务策略称作 Best-Effort，它尽大的

努力将报文送到目的地，但对分组转发的延迟、抖动、丢包率和可靠性等需求不提供任何承诺和保

证。

传统的 Best-Effort 服务策略只适用于对带宽、延迟性能不敏感的 WWW、E-mail、FTP 等业务。

1.1.3 新业务引发的新需求

随着计算机网络的高速发展，越来越多的网络接入 Internet。Internet 无论从规模、覆盖范围和用户

数量上都拓展得非常快。越来越多的用户使用 Internet 作为数据传输的平台，开展各种应用。

除了传统的 WWW、E-mail、FTP 应用外，用户还尝试在 Internet 上拓展新业务，比如远程教学、

远程医疗、可视电话、电视会议、视频点播等。企业用户也希望通过 VPN 技术，将分布在各地的

分支机构连接起来，开展一些事务性应用：比如访问公司的数据库或通过 Telnet 方式管理远程设备。

这些新业务有一个共同特点，即对带宽、延迟、抖动等传输性能有着特殊的需求。比如电视会议、

视频点播需要高带宽、低延迟和低抖动的保证。事务处理、Telnet 等关键任务虽然不一定要求高带

宽，但非常注重低延迟，在拥塞发生时要求优先获得处理。

新业务的不断涌现对 IP 网络的服务能力提出了更高的要求，用户已不再满足于能够简单地将报文送

达目的地，而是还希望在转发过程中得到更好的服务，诸如支持为用户提供专用带宽、减少报文的

丢失率、管理和避免网络拥塞、调控网络的流量、设置报文的优先级。所有这些，都要求网络应当

具备更为完善的服务能力。

1-2

1.1.4 几种主要的流量管理技术

图1-1 端到端 QoS 模型图

如图 1-1所示，流分类、流量监管、流量整形、拥塞管理和拥塞避免是构造Diff-Serv（有区别地实

施服务）的基石，它们主要完成如下功能：

流分类：依据一定的匹配规则识别出对象。流分类是有区别地实施服务的前提，通常作用在

端口入方向。

流量监管：对进入设备的特定流量进行监管，通常作用在端口入方向。当流量超出约定值时，

可以采取限制或惩罚措施，以保护运营商的商业利益和网络资源不受损害。

流量整形：一种主动调整流的输出速率的流控措施，通常是为了使流量适配下游设备可供给

的网络资源，避免不必要的报文丢弃和拥塞，作用在端口出方向。

拥塞管理：拥塞管理是必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存，并

采取某种调度算法安排报文的转发次序，作用在端口出方向。

拥塞避免：过度的拥塞会对网络资源造成损害。拥塞避免监督网络资源的使用情况，当发现

拥塞有加剧的趋势时采取主动丢弃报文的策略，通过调整流量来解除网络的过载，作用在端

口出方向。

在这些流量管理技术中，流分类是基础，它依据一定的匹配规则识别出报文，是有区别地实施服务

的前提；而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施

控制，是有区别地提供服务思想的具体体现。

1.2 E152 以太网交换机的 QoS 功能

E152 以太网交换机支持的QoS功能如表 1-1所示。

表1-1 E152 以太网交换机支持的 QoS 功能

QoS 功能功能简介参考部分

流分类

以ACL为基础对进入设备的报文进行分类，E152交换机支持的 ACL 如下：

基本 ACL 高级 ACL 二层 ACL 用户自定义 ACL IPv6 ACL

关于各种 ACL 的详细介绍请

参见 ACL 操作命令手册；本模块对流分类进行了简单介

绍，请参见 1.3.1

1-3

QoS 功能功能简介参考部分

E152 交换机支持对匹配指定 ACL 规则的报文进

行以下 QoS 动作：

优先级重标记流量监管重定向 VLAN Mapping 流量统计流镜像

优先级重标记，请参见 1.3.3 流量监管，请参见 1.3.5 重定向，请参见 1.3.7 VLAN Mapping，请参见 1.3.8 流量统计，请参见 1.3.11 流镜像，请参见 1.3.13

QoS 动作

在 E152交换机上还可根据需要指定如下 QoS动

作：

优先级信任模式指定协议报文优先级端口限速功能 burst 功能

优先级信任模式请参见 1.3.2 指定协议报文优先级请参见

1.3.4 端口限速功能请参见 1.3.6 burst功能，请参见 1.3.12

拥塞避免支持 WRED 关于拥塞避免以及WRED的详细

介绍请参见 1.3.10

拥塞管理

E152 交换机支持 SP、WFQ 和 WRR 三种队列调

度算法，支持的队列调度方式有以下五种：

SP WFQ WRR SP+WFQ SP+WRR

关于SP、WFQ和WRR三种队列调

度算法的介绍请参见 1.3.9

1.3 QoS 功能介绍

1.3.1 流分类

流即业务流（traffic），指所有通过交换机的报文。

流分类（traffic classification）是指采用一定的规则识别符合某类特征的报文，它是有区别地进行服

务的前提和基础。

分类规则可以使用 IP 报文头的 ToS（Type of Service，服务类型）字段的优先级位，识别出有不

同优先级特征的流量；也可以由网络管理者设置流分类的策略，例如综合源地址、目的地址、MAC地址、IP 协议或应用程序的端口号等信息对流进行分类。一般的分类依据都局限在封装报文的头部

信息，使用报文的内容作为分类的标准是比较少见的。分类的结果是没有范围限制的，它可以是一

个由五元组（源地址、源端口号、协议号、目的地址、目的端口号）确定的狭小范围，也可以是到

某网段的所有报文。

1.3.2 优先级信任模式

1. 各种优先级介绍

(1) IP 优先级、ToS 优先级和 DSCP 优先级

1-4

图1-2 DS 域和 ToS 字节

IP 报文头的 ToS 字段有 8 个 bit，其中：

前 3 个 bit 表示的是 IP 优先级，取值范围为 0～7；

第 3～6 这 4 个 bit 表示的是 ToS 优先级，取值范围为 0～15；

RFC2474 重新定义了 IP 报文头部的 ToS 域，称之为 DS 域，其中 DSCP（Differentiated

Services CodePoint，差分服务编码点）优先级用该域的前 6 个 bit（0～5bit）表示，取值范

围为 0～63，后 2 个 bit（6、7bit）是保留位。

表1-2 IP 优先级说明

IP 优先级（十进制） IP 优先级（二进制）关键字

0 000 routine

1 001 priority

2 010 immediate

3 011 flash

4 100 flash-override

5 101 critical

6 110 internet

7 111 network

Diff-Serv 网络定义了四类流量，设备会根据报文中的 DSCP 优先级对报文执行相应的动作：

加速转发（Expedited Forwarding，EF）类，这种方式不用考虑其他流量是否分享其链路，

适用于低时延、低丢失、低抖动、确保带宽的优先业务（如虚租用线路）；

确保转发（Assured Forwarding，AF）类，又分为四个小类（AF1/2/3/4），每个 AF 小类又

分为三个丢弃优先级，可以细分 AF 业务的等级，AF 类的 QoS 等级低于 EF 类；

兼容 IP 优先级（Class Selector，CS）类，是从 IP ToS 字段演变而来的，共 8 类；

尽力转发（Best Effort，BE）类，是 CS 中特殊一类，没有任何保证，AF 类超限后可以降级

为 BE 类，现有 IP 网络流量也都默认为此类。

表1-3 DSCP 优先级说明

DSCP 优先级（十进制） DSCP 优先级（二进制）关键字

46 101110 ef

10 001010 af11

1-5

DSCP 优先级（十进制） DSCP 优先级（二进制）关键字

12 001100 af12

14 001110 af13

18 010010 af21

20 010100 af22

22 010110 af23

26 011010 af31

28 011100 af32

30 011110 af33

34 100010 af41

36 100100 af42

38 100110 af43

8 001000 cs1

16 010000 cs2

24 011000 cs3

32 100000 cs4

40 101000 cs5

48 110000 cs6

56 111000 cs7

0 000000 be （default）

(2) 802.1p 优先级

802.1p 优先级位于二层报文头部，适用于不需要分析三层报文头，而需要在二层环境下保证 QoS的场合。

图1-3 带有 802.1Q 标签头的以太网帧

如图 1-3所示，4 个字节的 802.1Q标签头包含了 2 个字节的TPID（Tag Protocol Identifier，标签协

议标识，取值为 0x8100）和 2 个字节的TCI（Tag Control Information，标签控制信息），图 1-4显示了 802.1Q标签头的详细内容。

1-6

图1-4 802.1Q 标签头

在上图中，TCI 中 Priority 字段就是 802.1p 优先级，也称为 CoS 优先级。它由 3 个 bit 组成，取值

范围为 0～7。

表1-4 802.1p 优先级说明

802.1p 优先级（十进制） 802.1p 优先级（二进制）关键字

0 000 best-effort

1 001 background

2 010 spare

3 011 excellent-effort

4 100 controlled-load

5 101 video

6 110 voice

7 111 network-management

之所以称此优先级为 802.1p优先级，是因为有关这些优先级的应用是在 802.1p规范中被详细定义。

(3) 本地优先级

本地优先级是交换机为报文分配的一种具有本地意义的优先级，对应 queue0～queue7 八个出端口

硬件队列，本地优先级值大的报文被优先处理。本地优先级只在本地队列调度时有效，为临时优先

级。

2. 优先级信任模式

报文在进入交换机以后，交换机会根据自身支持的情况和相应的规则为报文标记 802.1p 优先级、

本地优先级等参数。

(1) 对于不带有 802.1Q 标签头的报文

对端口接收到的不带有 802.1Q 标签头的报文，交换机使用接收端口的优先级作为报文的 802.1p 优

先级，然后根据 802.1p 优先级和本地优先级映射关系，为报文分配本地优先级进行队列调度。

(2) 对于带有 802.1Q 标签头的报文

对于带有 802.1Q 标签头的报文，用户可以配置信任报文的优先级模式，优先级信任模式分为信任

端口优先级模式和信任报文优先级模式，具体采用何种优先级模式，可通过命令 priority trust 或

priority 设置。缺省情况下，优先级信任模式为信任端口的优先级，并且端口的优先级为 0。

信任端口优先级模式：交换机端口接收到带有 802.1Q 标签头的报文时，会使用接收端口的优

先级值替换接收到的报文的 802.1p 优先级值，然后根据 802.1p 优先级和本地优先级映射关

系，为报文分配本地优先级进行队列调度。

1-7

信任报文优先级模式：交换机根据报文自身的 802.1p 优先级，查找 802.1p 优先级到本地优

先级映射表，然后为报文分配本地优先级。

交换机提供缺省的 802.1p优先级到本地优先级映射表，如表 1-5所示。用户可通过命令行配置修改

缺省的映射关系，具体配置请参见 1.4.2 。

表1-5 802.1p 优先级到本地优先级映射表

802.1p 优先级（CoS）本地优先级（local precedence）

0 2

1 0

2 1

3 3

4 4

5 5

6 6

7 7

1.3.3 优先级重标记

优先级重标记功能是指通过引用 ACL 进行流识别，为匹配的报文重新指定优先级。

如果重标记了 802.1p 优先级，则这类报文根据新标记的 802.1p 优先级映射到本地优先级，

然后进入相应的出端口队列；

如果重标记了本地优先级，则这类报文根据新标记的本地优先级进入相应的出端口队列；

如果重标记了 IP 优先级或者 DSCP 优先级，则这类报文的 IP 优先级或者 DSCP 优先级将被

修改为指定的数值。

1.3.4 协议报文优先级

交换机生成的协议报文自身携带有报文的优先级。用户可以通过配置为协议报文指定新的优先级

（可以为 IP 优先级或者 DSCP 优先级），然后和相应的 QoS 动作配合，对协议报文进行相应的

QoS 处理。

1.3.5 流量监管

如果不限制用户发送的流量，那么大量用户不断突发的数据只会使网络更拥挤。为了使有限的网络

资源能够更好地发挥效用，更好地为更多的用户服务，必须对用户的流量加以限制。比如限制每个

时间间隔某个流只能得到承诺分配给它的那部分资源，防止由于过分突发所引发的网络拥塞。

流量监管就是一种通过对流量进行监督，来限制流量及其资源使用的流控策略。进行流量监管有一

个前提条件，就是要知道流量是否超出了限制，然后才能根据评估结果实施调控策略。一般采用令

牌桶（Token Bucket）对流量进行评估。

1. 令牌桶的特点

令牌桶可以看作是一个存放令牌的容器，它有一定的容量。系统按设定的速度向桶中放置令牌，当

桶中令牌满时，多出的令牌溢出，桶中令牌不再增加。

1-8

图1-5 用令牌桶评测流量

令牌桶

丢弃

分类

需由此接口发送的包

继续发送

按规定的速率向桶内放置令牌

2. 用令牌桶评估流量

在使用令牌桶对流量进行评估时，是以令牌桶中的令牌数量是否足够满足报文的转发为依据的。如

果桶中存在足够的令牌可以用来转发报文，称流量遵守或符合（conforming）约定值，否则称为不

符合或超标（excess）。

评估流量时令牌桶的参数设置包括：

平均速率：向桶中放置令牌的速率，即允许的流的平均速度。通常设置为 CIR（Committed

Information Rate，承诺信息速率）。

突发尺寸：令牌桶的容量，即每次突发所允许的大的流量尺寸。通常设置为 CBS（Committed

Burst Size，承诺突发尺寸），设置的突发尺寸必须大于大报文长度。

每到达一个报文就进行一次评估。每次评估，如果桶中有足够的令牌可供使用，则说明流量控制在

允许的范围内，此时要从桶中取走与报文转发权限相当的令牌数量；否则说明已经耗费太多令牌，

流量超标了。

3. 流量监管

流量监管的典型应用是监督进入网络的某一流量，把它限制在一个合理的范围之内，或对超出的部

分流量进行“惩罚”，以保护网络资源和运营商的利益。例如可以限制 HTTP 报文不能占用超过 50%的网络带宽。如果发现某个连接的流量超标，流量监管可以选择丢弃报文，或重新设置报文的优先

级。

流量监管广泛的用于监管进入因特网服务提供商 ISP 的网络流量。流量监管还包括对所监管流量的

流分类服务，并依据不同的评估结果，实施预先设定好的监管动作。这些动作可以是：

丢弃：比如对评估结果为“不符合”的报文进行丢弃；

改变 DSCP 优先级并转发：比如对评估结果为“不符合”的报文，将之标记为其它的 DSCP

优先级后再进行转发。

1.3.6 端口限速

端口限速（Line Rate）是指基于端口的速率限制，它对端口接收或发送报文的总速率进行限制。

1-9

端口限速也是采用令牌桶进行流量控制。如果在设备的某个端口上配置了端口限速，所有经由该端

口接收或发送的报文首先要经过令牌桶进行处理。如果令牌桶中有足够的令牌，则报文可以被接收

或发送；否则，报文将被丢弃。

与流量监管相比，端口限速能够限制在端口上通过的所有报文。当用户只要求对所有报文限速时，

使用端口限速比较简单。

1.3.7 重定向

重定向功能是指通过引用 ACL 进行流识别，将匹配的报文重定向到 CPU、指定的端口或汇聚组。

用户可以使用重定向功能改变报文的转发流程，满足特定的需要。

1.3.8 VLAN Mapping

VLAN Mapping 功能是指通过引用 ACL 进行流识别，将匹配的报文中携带的 VLAN 编号映射为指

定的 VLAN 编号。用户可以在连接用户网络和运营商网络的交换机上配置 VLAN Mapping 功能，将

用户网络中特定报文的 VLAN 编号映射为运营商网络中指定的 VLAN 编号，满足运营商网络规划的

要求。

1.3.9 队列调度

当网络拥塞时，必须解决多个报文同时竞争使用资源的问题，通常采用队列调度加以解决。

E152 以太网交换机支持的队列调度算法有 SP（Strict-Priority，严格优先级队列）、WFQ（Weighted Fair Queue，加权公平队列）和 WRR（Weighted Round Robin，加权轮询队列）。

(1) SP 队列

图1-6 SP 队列示意图

SP 队列调度算法，是针对关键业务型应用设计的。关键业务有一个重要的特点，即在拥塞发生时

要求优先获得服务以减小响应的延迟。以端口有 8 个输出队列为例，优先队列将端口的 8 个输出队

列分成 8 类，依次为 7、6、5、4、3、2、1、0 队列，它们的优先级依次降低。

在队列调度时，SP 严格按照优先级从高到低的次序优先发送较高优先级队列中的分组，当较高优

先级队列为空时，再发送较低优先级队列中的分组。这样，将关键业务的分组放入较高优先级的队

列，将非关键业务（如 E-Mail）的分组放入较低优先级的队列，可以保证关键业务的分组被优先传

送，非关键业务的分组在处理关键业务数据的空闲间隙被传送。

1-10

SP 的缺点是：拥塞发生时，如果较高优先级队列中长时间有分组存在，那么低优先级队列中的报

文就会由于得不到服务而“饿死”。

(2) WFQ 队列

图1-7 WFQ 队列示意图

在介绍加权公平队列前，先要理解公平队列 FQ（Fair Queuing）。FQ 是为了公平地分享网络资源，

尽可能使所有流的迟延和延迟抖动达到优而推出的。它照顾了各方面的利益，主要表现在：

不同的队列获得公平的调度机会，从总体上均衡各个流的延迟；

短报文和长报文获得公平的调度：如果不同队列间同时存在多个长报文和短报文等待发送，

应当顾及短报文的利益，让短报文优先获得调度，从而在总体上减少各个流的报文间的延迟

抖动。

与 FQ 相比，WFQ 在计算报文调度次序时增加了优先权方面的考虑。从统计上，WFQ 使高优先权

的报文获得优先调度的机会多于低优先权的报文。WFQ 能够按流的“会话”信息（包括协议类型、

源和目的 TCP 或 UDP 端口号、源和目的 IP 地址及 ToS 域中的优先级等）自动进行流分类，并且

尽可能多地提供队列，以将每个流均匀地放入不同队列中，从而在总体上均衡各个流的延迟。在出

队的时候，WFQ 按流的优先级来分配每个流应占有出口的带宽。优先级的数值越小，所得的带宽

越少。优先级的数值越大，所得的带宽越多。后，轮询各个队列，按照带宽比例从队列中取出相

应数量的报文进行发送。

用户可以用 WFQ 的队列调度算法为 0～7 队列中的每个队列指定带宽，然后根据每条流的 CoS 值

和队列的映射关系决定哪条流进哪个队列，也决定了哪条流分得多大的带宽。

(3) WRR 队列

1-11

图1-8 WRR 队列示意图

WRR 队列调度算法在队列之间进行轮流调度，保证每个队列都得到一定的服务时间。以端口有 8个输出队列为例，WRR 可为每个队列配置一个加权值（queue7～queue0 对应的加权值依次为 w7、w6、w5、w4、w3、w2、w1、w0），加权值表示获取资源的比重。如一个 100M 的端口，配置它

的 WRR 队列调度算法的加权值为 5、5、3、3、1、1、1、1（依次对应 w7、w6、w5、w4、w3、w2、w1、w0），这样可以保证低优先级队列至少获得 5Mbit/s（100Mbps*1/(5+5+3+3+1+1+1+1)）带宽，避免了采用 SP 调度时低优先级队列中的报文可能长时间得不到服务的缺点。WRR 队列还有

一个优点是，虽然多个队列的调度是轮询进行的，但对每个队列不是固定地分配服务时间片——如

果某个队列为空，那么马上换到下一个队列调度，这样带宽资源可以得到充分的利用。

1.3.10 拥塞避免

过度的拥塞会对网络资源造成极大危害，必须采取某种措施加以解除。拥塞避免（Congestion Avoidance）是一种流控机制，它可以通过监视网络资源（如队列或内存缓冲区）的使用情况，在

拥塞有加剧的趋势时，主动丢弃报文，通过调整网络的流量来解除网络过载。

1. 传统的丢包策略

传统的丢包策略采用尾部丢弃（Tail-Drop）的方法。当队列的长度达到某一大值后，所有新到来

的报文都将被丢弃。

这种丢弃策略会引发 TCP 全局同步现象——当队列同时丢弃多个 TCP 连接的报文时，将造成多个

TCP 连接同时进入拥塞避免和慢启动状态以降低并调整流量，而后又会在某个时间同时出现流量高

峰，如此反复，使网络流量不停震荡。

2. WRED

用户可以使用 WRED（Weighted Random Early Detection，加权随机早期检测）来避免 TCP 全局

同步现象。

在 WRED 算法中，为每个队列都设定上限和下限，对队列中的报文进行如下处理：

当队列的长度小于下限时，不丢弃报文；

当队列的长度超过上限时，丢弃所有到来的报文；

当队列的长度在上限和下限之间时，开始随机丢弃到来的报文。队列越长，丢弃概率越高，

但有一个大丢弃概率。

1-12

WRED 生成的随机数是基于优先权的，它根据 IP 报文的优先级区别丢弃策略，考虑了高优先级报

文的利益，使其被丢弃的概率相对较小。

WRED 通过随机丢弃报文避免了 TCP 的全局同步现象，使得当某个 TCP 连接的报文被丢弃、开始

减速发送的时候，其他的 TCP 连接仍然有较高的发送速度。这样，无论什么时候，总有 TCP 连接

在进行较快的发送，提高了线路带宽的利用率。

1.3.11 基于流的流量统计

基于流的流量统计功能是指通过引用 ACL 进行流识别，对匹配的报文进行流量统计。它可以帮助用

户针对感兴趣的报文作统计分析。

1.3.12 Burst 功能

在下列情况下，Burst 功能可以提供更好的报文缓存功能和流量转发性能：

广播或者组播报文流量密集，瞬间突发流量大的网络环境中；

报文从高速链路进入设备，由低速链路转发出去；或者报文从相同速率的多个接口同时进入

设备，由一个相同速率的接口转发出去。

用户可以通过开启 Burst 功能，降低设备在上述特定环境中的报文丢包率，提高对报文的处理能力。

需要注意的是，开启 Burst 功能后，设备的 QoS 性能可能会受到影响，建议用户根据自己的具体网

络环境进行配置。

1.3.13 流镜像

流镜像功能是指通过引用 ACL 进行流识别，将通过指定端口的符合一定规则的报文镜像到目的端口

或 CPU。关于镜像的详细介绍请参见“镜像”部分。

1.4 QoS 配置

表1-6 QoS 配置任务简介


配置优先级信任模式可选 1.4.1

配置 802.1p 优先级和本地优先级之间的映射关系可选 1.4.2

配置优先级重标记可选 1.4.3

配置协议报文优先级可选 1.4.4

配置流量监管可选 1.4.5

配置端口限速可选 1.4.6

配置重定向可选 1.4.7

配置 VLAN Mapping 可选 1.4.8

配置队列调度可选 1.4.9

配置 WRED 可选 1.4.10

配置流量统计可选 1.4.11

配置 Burst 功能可选 1.4.12

配置流镜像可选 1.4.13

1-13

1.4.1 配置优先级信任模式

优先级信任模式的介绍请参见 1.3.2 2. 优先级信任模式。

1. 配置准备

已确定优先级信任模式

已确定需要进行配置端口优先级的端口

已确定端口的优先级取值

2. 配置过程

表1-7 配置信任端口的优先级

操作命令说明



配置信任端口优先级并指

定端口优先级大小 priority priority-level

可选

缺省情况下，优先级信任模式为信任

端口优先级，且端口的优先级大小为 0

表1-8 配置信任报文的优先级

操作命令说明



配置信任报文的优先级 priority trust 必选

缺省情况下，优先级信任模式为信任

端口的优先级

3. 配置举例

在端口 Ethernet 1/0/1 上配置优先级信任模式为信任端口的优先级，并指定端口 Ethernet 1/0/1 的

优先级大小为 7。

配置步骤：



[Sysname-Ethernet1/0/1] priority 7

在端口 Ethernet1/0/2 上配置优先级信任模式为信任报文的优先级。

配置步骤：



[Sysname-Ethernet1/0/2] priority trust

1-14

1.4.2 配置 802.1p 优先级和本地优先级之间的映射关系

当缺省的 802.1p 优先级和本地优先级的映射关系不能满足用户需求时，用户可以通过命令行配置

修改 802.1p 优先级到本地优先级的映射关系，从而实现 802.1p 优先级和出端口队列之间映射关系

的改变，将不同优先级的报文放入相应的出端口队列进行调度。

1. 配置准备

用户已确定新的 802.1p 优先级和本地优先级之间的映射关系。

2. 配置过程

表1-9 配置 802.1p 优先级和本地优先级之间的映射关系

操作命令说明


配置 802.1p 优先级和本地优先级之

间的映射关系

qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec

必选

3. 配置举例

配置 802.1p 优先级和本地优先级映射为 0->2、1->3、2->4、3->1、4->7、5->0、6->5、7->6

查看配置结果

配置步骤：


[Sysname] qos cos-local-precedence-map 2 3 4 1 7 0 5 6

[Sysname] display qos cos-local-precedence-map

cos-local-precedence-map:

cos(802.1p) : 0 1 2 3 4 5 6 7

--------------------------------------------------------------------------

local precedence(queue) : 2 3 4 1 7 0 5 6

1.4.3 配置优先级重标记

优先级重标记的介绍请参见 1.3.3 优先级重标记。

优先级重标记功能有以下两种实现方式：

通过流量监管实现：在配置流量监管时，对超出流量的报文重新标记DSCP优先级，具体配置

请参见 1.4.5 配置流量监管；

通过 traffic-priority 命令实现：用户可以使用 traffic-priority 命令重标记报文的 IP 优先级、

802.1p 优先级、DSCP 优先级和本地优先级。

1. 配置准备

已确定进行流识别的 ACL，具体配置请参见“ACL”部分的介绍

已确定对匹配规则的报文重新标记的优先级类型和取值

已确定需要应用本配置的端口或 VLAN

1-15

2. 配置过程

用户可以在以太网端口视图或者系统视图下配置优先级重标记。

表1-10 在指定端口上配置优先级重标记

操作命令说明



配置优先级重标记

traffic-priority { inbound | outbound } acl-rule { { dscp dscp-value | ip-precedence { pre-value | from-cos } } | cos { pre-value | from-ipprec } | local-precedence pre-value }*

必选

缺省情况下，没有配置优先级

重标记

表1-11 在指定 VLAN 上配置优先级重标记

操作命令说明



traffic-priority vlan vlan-id { inbound | outbound } acl-rule { { dscp dscp-value | ip-precedence { pre-value | from-cos } } | cos { pre-value | from-ipprec } | local-precedence pre-value }*

必选

缺省情况下，没有配置优先

级重标记

3. 配置举例

端口 Ethernet 1/0/1 属于 VLAN 2，接入了 10.1.1.0/24 网段

将来自 10.1.1.0/24 网段的报文的 DSCP 优先级重新标记为 56

配置一：



[Sysname-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255



[Sysname-Ethernet1/0/1] traffic-priority inbound ip-group 2000 dscp 56

配置二：





[Sysname] traffic-priority vlan 2 inbound ip-group 2000 dscp 56

1.4.4 配置协议报文优先级

协议报文优先级的介绍请参见 1.3.4 协议报文优先级。

1. 配置准备

已确定需要改变优先级的协议类型

已确定改变的优先级类型（IP 优先级或者 DSCP 优先级）及其取值

1-16

2. 配置过程

表1-12 配置协议报文优先级

操作命令说明


配置协议报文优先级 protocol-priority protocol-type protocol-type { ip-precedence ip-precedence | dscp dscp-value }

必选

用户可以改变协议报文的 IP或者DSCP优先级

E152 以太网交换机支持改变 TELNET、SNMP、ICMP 协议报文的优先级。

3. 配置举例

改变 ICMP 协议报文的 IP 优先级为 3

查看配置结果

配置步骤：


[Sysname] protocol-priority protocol-type icmp ip-precedence 3

[Sysname] display protocol-priority

Protocol: icmp

IP-Precedence: flash(3)

1.4.5 配置流量监管

流量监管的介绍请参见 1.3.5 流量监管。

1. 配置准备


已确定流量监管限制的速率、对于超出流量的报文采取的动作

已确定需要应用本配置的端口

2. 配置过程

表1-13 配置流量监管

操作命令说明



配置流量监管

traffic-limit inbound acl-rule [ union-effect ] [ egress-port interface-type interface-number ] target-rate [ burst-bucket burst-bucket-size ] [ exceed action ]

必选

target-rate 参数即为 CIR（Committed Information Rate，承诺信息速率），

burst-bucket-size 参数即为 CBS（Committed Burst Size，承诺突发尺寸）

缺省情况下，没有配置流量监管

1-17

流量监管的粒度为 64kbps，如果用户输入的值在 N*64～(N+1)*64 之间（N 为自然数），交换机将

自动修改此值为(N+1)*64。

3. 配置举例

端口 Ethernet1/0/1 接入了 10.1.1.0/24 网段

对来自 10.1.1.0/24 网段的流量进行流量监管，流量监管的速率设置为 128kbps

对于超出流量的报文，重新标记报文的 DSCP 优先级为 56 后转发

配置步骤：






[Sysname-Ethernet1/0/1] traffic-limit inbound ip-group 2000 128 exceed remark-dscp 56

1.4.6 配置端口限速

端口限速的介绍请参见 1.3.6 端口限速。

1. 配置准备

已确定需要进行限速的端口

已确定限速的速率和方向

2. 配置过程

表1-14 配置端口限速

操作命令说明



配置端口限速

line-rate { inbound | outbound } target-rate [ burst-bucket burst-bucket-size ]

必选

target-rate 参数即为 CIR（Committed Information Rate，承诺信息速率），burst-bucket-size 参数即为

CBS（Committed Burst Size，承诺突发尺寸）

缺省情况下，没有配置端口限速

3. 配置举例

在端口 Ethernet 1/0/1 的出方向配置流量限速

限定速率为 1024Kbps

配置步骤：



1-18

[Sysname-Ethernet1/0/1] line-rate outbound 1024

1.4.7 配置重定向

重定向的介绍请参见 1.3.7 重定向。

1. 配置准备


已确定报文被重定向后的目的地


2. 配置过程

表1-15 配置重定向

操作命令说明



重定向配置 traffic-redirect { inbound | outbound } acl-rule { cpu | { interface interface-type interface-number | link-aggregation-group agg-id } [ untagged ] }

必选

缺省情况下，没有配置重

定向

当报文被重定向到 CPU 后，将不再正常转发。如果重定向目的端口为处于 Down 状态的 Combo 端口，系统会把匹配的报文重定向到与此

Combo 端口相对应处于 Up 状态的普通端口。关于 Combo 端口的详细介绍请参见“端口基本配

置”部分。如果配置重定向到汇聚组，报文将被重定向到此汇聚组的主端口。关于汇聚组的详细介绍请参见

“端口汇聚”部分。当重定向功能与灵活 QinQ 功能配合使用时，在单上行口（单端口或一个聚合组）的树型网络环

境中，用户可以根据实际需求选择是否指定 untagged 参数，以决定报文被重定向到上行口后是

否去除最外层 VLAN Tag。需要注意的是，去除最外层 VLAN Tag 功能不适用于多上行口、环形

网络环境。关于灵活 QinQ 功能的详细介绍请参见“VLAN-VPN”部分。

3. 配置举例

端口 Ethernet 1/0/1 接入了 10.1.1.0/24 网段

将所有来自 10.1.1.0/24 网段的流量都重定向到端口 Ethernet 1/0/7

配置步骤：






[Sysname-Ethernet1/0/1] traffic-redirect inbound ip-group 2000 interface Ethernet1/0/7

1-19

1.4.8 配置 VLAN Mapping

VLAN Mapping的介绍请参见 1.3.8 VLAN Mapping。

1. 配置准备



已确定报文被 Mapping 后的目的 VLAN ID

2. 配置过程

表1-16 配置 VLAN Mapping




配置 VLAN Mapping traffic-remark-vlanid inbound acl-rule remark-vlan remark-vlanid

必选

缺省情况下，没有配置 VLAN Mapping

1.4.9 配置队列调度

队列调度的介绍请参见 1.3.9 队列调度。

1. 配置准备

已确定使用的队列调度算法及参数。

2. 配置过程

用户可以在系统视图或者以太网端口视图下配置队列调度。

表1-17 在系统视图下配置队列调度

操作命令说明


配置队列调度

queue-scheduler { strict-priority | wfq queue0-width queue1-width queue2-width queue3-width queue4-width queue5-width queue6-width queue7-width | wrr queue0-weight queue1-weight queue2-weight queue3-weight queue4-weight queue5-weight queue6-weight queue7-weight }

必选

缺省情况下，所有端口的队列调度

算法为 WRR，队列 0～7 的缺省权

重为 1，2，3，4，5，9，13，15

表1-18 在以太网端口视图下配置队列调度

操作命令说明



1-20

操作命令说明

配置队列调度

queue-scheduler { wfq queue0-width queue1-width queue2-width queue3-width queue4-width queue5-width queue6-width queue7-width | wrr queue0-weight queue1-weight queue2-weight queue3-weight queue4-weight queue5-weight queue6-weight queue7-weight }

必选

缺省情况下，所有端口的队列调度

算法为 WRR，队列 0～7 的缺省权

重为：1，2，3，4，5，9，13，15

E152 以太网交换机的端口支持 8 个出端口队列，用户可以根据需要选择配置队列调度算法：SP、WRR、WFQ。在 WRR 或 WFQ 方式中，如果某一个或多个队列的权值或带宽设为 0，则交换机将

这个或这些队列划分到 SP 组，对 SP 组实行严格优先级调度算法，其他队列仍然使用 WRR 或 WFQ调度算法。即通过配置实现 SP+WRR 或 SP+WFQ 的功能。

需要注意的是：当用户配置使用 SP+WRR（或 SP+WFQ）调度算法时，交换机会优先调度 SP 组

中的队列。例如，队列 0、1、2、3 被划分到 SP 组，队列 4、5、6、7 使用 WRR（或 WFQ）调度，

系统首先按照严格优先级对 SP 组中的队列进行调度，当 SP 组中的队列没有报文发送时，才按照

WRR（或 WFQ）算法对队列 4、5、6、7 进行调度。

在系统视图下使用 queue-scheduler 命令定义的队列调度算法会在交换机的所有端口上生效。

在端口视图下配置的队列调度算法必须和全局视图下配置的队列调度算法相同，否则系统将提示

配置错误。如果系统视图下定义的 WRR（或 WFQ）队列调度算法中各队列的权值（或带宽值）不能满足某

一端口的需求，用户可在此端口视图下修改其队列的权值（或带宽值），新定义的队列的权值（或

带宽值）只在当前端口生效。如果系统视图下定义的 SP+WRR（或 SP+WFQ）队列调度算法中使用 WRR（或 WFQ）调度算

法的队列的权值（或带宽值）不能满足某一端口的需求，用户可以在端口视图下修改其队列的权

值（或带宽值），新定义的队列的权值（或带宽值）只在当前端口生效。在端口视图下定义的队列的权值（或带宽值）不能用 display queue-scheduler 命令来显示。

3. 配置举例

配置队列调度算法为 WRR，队列 0～7 的权重分别为 2、2、3、3、4、4、5、5

查看配置结果

配置步骤：


[Sysname] queue-scheduler wrr 2 2 3 3 4 4 5 5

[Sysname] display queue-scheduler

Queue scheduling mode: weighted round robin

weight of queue 0: 2








1-21

1.4.10 配置 WRED

WRED的介绍请参见 1.3.10 拥塞避免。

1. 配置准备

已确定进行随机丢弃的队列索引、开始丢弃的队列长度及丢弃概率


2. 配置过程

表1-19 配置 WRED

操作命令说明



配置 WRED wred queue-index qstart probability

必选

缺省情况下，没有配置 WRED

3. 配置举例

在端口 Ethernet 1/0/1 上对队列 2 配置 WRED，当队列长度超过 64 个报文时进行随机丢弃，丢弃

概率为 20%。

配置步骤：



[Sysname-Ethernet1/0/1] wred 2 64 20

1.4.11 配置流量统计

流量统计的介绍请参见 1.3.11 基于流的流量统计。

1. 配置准备



2. 配置过程

表1-20 配置流量统计

操作命令说明



配置流量统计 traffic-statistic inbound acl-rule 必选

缺省情况下，没有配置流量统计

清除流量统计信息 reset traffic-statistic inbound acl-rule 必选

1-22

3. 配置举例

端口 Ethernet1/0/1 接入了 10.1.1.0/24 网段

对来自 10.1.1.0/24 网段的流量进行流量统计

清除流量统计信息

配置步骤：






[Sysname-Ethernet1/0/1] traffic-statistic inbound ip-group 2000

[Sysname-Ethernet1/0/1] reset traffic-statistic inbound ip-group 2000

1.4.12 配置 Burst 功能

Burst功能的介绍请参见 1.3.12 Burst功能。

1. 配置准备

已确定实际网络环境需要启动 Burst 功能。

2. 配置过程

表1-21 配置 Burst 功能

操作命令说明


配置交换机支持 Burst 功能 burst-mode enable 必选

缺省情况下，Burst 功能处于关闭状态

1.4.13 配置流镜像

流镜像的介绍请参见 1.3.13 流镜像。

1. 配置准备


已确定镜像源端口以及被镜像报文的方向

已确定镜像的目的地

2. 配置过程

表1-22 配置流镜像

操作命令说明



1-23

操作命令说明

配置当前端口为流镜像源端口 mirrored-to { inbound | outbound } acl-rule { monitor-interface | cpu }

必选

需要注意的是，将报文流镜像

至端口时必须进行下面的配

置；将报文流镜像至 CPU 时不

需要进行下面的配置


系统视图下的配

置 mirroring-group group-id monitor-port monitor-port-id


配置指定端口为

流镜像目的端口以太网端口视图

下的配置 monitor-port

二者必选其一

关于 mirroring-group monitor-port 命令和 monitor-port 命令的详细介绍，请参见“镜像”部分。

3. 配置举例

组网需求：

端口 Ethernet 1/0/1 接入了 10.1.1.0/24 网段

将来自 10.1.1.0/24 网段的报文镜像到目的端口 Ethernet 1/0/4

配置步骤：






[Sysname-Ethernet1/0/4] monitor-port



[Sysname-Ethernet1/0/1] mirrored-to inbound ip-group 2000 monitor-interface

1.5 QoS 的显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 QoS 后的运行情况。通过查看显

示信息，用户可以验证配置的效果。

表1-23 QoS 的显示

操作命令说明

显示 802.1p 优先级和本地优先级之间

的映射关系 display qos cos-local-precedence-map

显示优先级重标记的配置信息 display qos-interface { interface-type interface-number | unit-id } traffic-priority

显示协议报文优先级的配置信息 display protocol-priority



1-24

操作命令说明

显示端口限速的配置信息 display qos-interface { interface-type interface-number | unit-id } line-rate

显示流量监管的配置信息 display qos-interface { interface-type interface-number | unit-id } traffic-limit

显示重定向的配置信息 display qos-interface { interface-type interface-number | unit-id } traffic-redirect

显示 VLAN Mapping 的配置信息 display qos-interface { interface-type interface-number | unit-id } traffic-remark-vlanid

显示队列调度的配置信息 display queue-scheduler

显示流量统计的配置信息 display qos-interface { interface-type interface-number | unit-id } traffic-statistic

显示流镜像的配置信息 display qos-interface { interface-type interface-number | unit-id } mirrored-to

显示所有 QoS 的配置信息 display qos-interface { interface-type interface-number | unit-id } all

1.6 QoS 配置举例

1.6.1 流量监管和端口限速配置举例

1. 组网需求

某公司内部通过以太网交换机实现各部门之间的互连，其中 PC 1 属于研发部门，IP 地址为

192.168.0.1，通过端口 Ethernet 1/0/1 接入交换机；市场部门通过端口 Ethernet 1/0/2 接入交换机。

要求配置流量监管和端口限速，实现如下目的：

限制市场部门向外发送的所有报文的速率为 64Kbps，丢弃超出限制的报文；

限制研发部门中 PC 1 向外发送 IP 报文的速率为 640Kbps，丢弃超出限制的报文。

2. 组网图

图1-9 流量监管和端口限速配置组网图

3. 配置步骤

(1) 定义流分类规则

# 创建并进入基本 ACL 2000 视图。


1-25


# 定义分类规则，对源 IP 地址为 192.168.0.1 的报文进行分类。

[Sysname-acl-basic-2000] rule permit source 192.168.0.1 0


(2) 配置流量监管和端口限速

# 限制市场部门向外发送的所有报文的速率为 64Kbps，丢弃超出限制的报文。


[Sysname-Ethernet1/0/2] line-rate inbound 64


# 限制研发部门中 PC 1 向外发送报文的速率为 640Kbps，丢弃超出限制的报文。


[Sysname-Ethernet1/0/1] traffic-limit inbound ip-group 2000 640 exceed drop

1.6.2 优先级重标记和队列调度配置举例

1. 组网需求

某公司内部通过以太网交换机实现各部门之间的互连，其中客户端 PC 1、PC 2、PC 3 通过端口

Ethernet 1/0/1 接入交换机，客户端 PC 4、PC 5、PC 6 通过端口 Ethernet 1/0/3 接入交换机；Server 1、Server 2 和 Server 3 分别为公司内部的数据库服务器、邮件服务器和文件服务器，通过端口

Ethernet 1/0/2 接入交换机。

要求配置优先级重标记和队列调度，实现交换机分别给访问数据库服务器、邮件服务器、文件服务

器的报文重标记成不同的优先级，并走不同的队列进行调度。

2. 组网图

图1-10 优先级重标记和队列调度配置组网图

PC 3PC 2PC 1

Switch

Eth1/0/1

Server 1192.168.0.1

PC 6

Eth1/0/2

Server 2192.168.0.2

Server 3192.168.0.3

PC 5PC 4

Eth1/0/3

3. 配置步骤

(1) 定义流分类规则

1-26

# 创建并进入高级 ACL 3000 视图。



# 定义分类规则，根据不同的目的 IP 地址对报文进行分类。

[Sysname-acl-adv-3000] rule 0 permit ip destination 192.168.0.1 0




(2) 配置优先级重标记

# 在端口 Ethernet 1/0/2 上对匹配 ACL 3000 内规则的报文进行优先级重标记。


[Sysname-Ethernet1/0/2] traffic-priority inbound ip-group 3000 rule 0 local-precedence 4




(3) 配置队列调度

# 配置交换机使用 SP 队列调度算法。

[Sysname] queue-scheduler strict-priority

1.6.3 VLAN Mapping 配置举例

1. 组网需求

用户两端的网络分别通过 SwitchA 和 SwitchB 接入公网，需要配置 VLAN Mapping 功能，使用户私

网报文可以使用公网的 VLAN 规划进行传输。

SwitchA 的端口 Ethernet1/0/11 和 Ethernet1/0/12 分别连接用户的 VLAN100 和 VLAN200 内

的终端设备；SwitchB 的端口 Ethernet1/0/15 和 Ethernet1/0/16 分别连接用户 VLAN100 和

VLAN200 内的服务器。

SwitchA 的端口 Ethernet1/0/10 和 SwitchB 的端口 Ethernet1/0/17 用来连接公共网络。

要求用户的 VLAN100 和 VLAN200 的报文在公网上传输时，分别使用 VLAN500 和 VLAN600

作为报文的 VLAN 标识。

1-27

2. 组网图

图1-11 VLAN Mapping 典型组网示意图

Eth1/0/11 Eth1/0/12Eth1/0/10

VLAN100 VLAN200

VLAN100 VLAN200

SwitchA

SwitchB

Eth1/0/15 Eth1/0/16Eth1/0/17

Public NetworkVLAN500/600

3. 配置步骤

# 在 SwitchA 上创建用户网络的 VLAN100 和 VLAN200，以及公网的 VLAN500 和 VLAN600。


[SwitchA] vlan 100


[SwitchA] vlan 200


[SwitchA] vlan 500


[SwitchA] vlan 600


# 配置 SwitchA 的端口 Ethernet1/0/11 为 Trunk 类型，缺省 VLAN 为 VLAN100，允许通过 VLAN有 VLAN100 和 VLAN500。端口 Ethernet1/0/12 类似。



[SwitchA-Ethernet1/0/11] port trunk pvid vlan 100

[SwitchA-Ethernet1/0/11] port trunk permit vlan 100 500




[SwitchA-Ethernet1/0/12] port trunk pvid vlan 200

[SwitchA-Ethernet1/0/12] port trunk permit vlan 200 600


1-28

# 配置 SwitchA 的 Ethernet1/0/10 端口为 Trunk 端口，允许 VLAN100、VLAN200、VLAN500 和

VLAN600 的报文通过。



[SwitchA-Ethernet1/0/10] port trunk permit vlan 100 200 500 600


# 配置二层 ACL。其中，ACL4000 允许来自 VLAN100 的报文通过，ACL4001 允许来自 VLAN200的报文通过，ACL4002 允许来自 VLAN500 的报文通过，ACL4003 允许来自 VLAN600 的报文通过。


[SwitchA-acl-ethernetframe-4000] rule permit source 100

[SwitchA] quit



[SwitchA] quit



[SwitchA] quit



[SwitchA] quit

# 配置 Ethernet1/0/11 端口的 VLAN Mapping 功能，将 VLAN100 的报文中的 VLAN Tag 替换为

VLAN500。


[SwitchA-Ethernet1/0/11] traffic-remark-vlanid inbound link-group 4000 remark-vlan 500



VLAN600。





VLAN100，将 VLAN600 的报文中的 VLAN Tag 替换为 VLAN200。





公网对端的 SwitchB 上也需要做相同的 VLAN Mapping 映射规则，配置与 SwitchA 类似，这里不再

赘述。

1.6.4 流镜像和重定向至端口配置举例

1. 组网需求

公司企业网通过交换机实现各部门之间的互连。网络环境描述如下：

1-29

市场部门通过端口 Ethernet 1/0/1 接入交换机，其中 Host 的 IP 地址为 192.168.1.0/25，通过

交换机访问 Internet；

研发部门通过端口 Ethernet 1/0/2 接入交换机，其中 Host 的 IP 地址为 192.168.2.0/25，通过

交换机访问 Internet；

数据监测设备通过端口 Ethernet 1/0/3 接入交换机。

配置流镜像和重定向，实现如下需求：

在工作时间段（8:00 至 18:00）内，将市场部门内 Host 访问 Internet 的流量镜像到数据监测

设备；

在工作时间段（8:00 至 18:00）内，将研发部门内 Host 访问 Internet 的流量重定向到数据监

测设备。

网络管理员可以使用数据监测设备对各部门访问 Internet 的流量进行分析。

2. 组网图

图1-12 流镜像和重定向至端口组网图

3. 配置步骤

# 定义 8:00 至 18:00 的周期时间段。


[Switch] time-range trname 8:00 to 18:00 working-day

(1) 定义针对市场部门的策略

# 定义基本 ACL 2000，在工作时间段内允许来自市场部门 Host 的报文通过。

[Switch] acl number 2000

[Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.127 time-range trname

[Switch-acl-basic-2000] quit

# 配置匹配规则 ACL 2000 的报文流镜像至端口 Ethernet 1/0/3。

[Switch] interface ethernet 1/0/1

[Switch-Ethernet1/0/1] mirrored-to inbound ip-group 2000 monitor-interface



[Switch-Ethernet1/0/3] monitor-port

1-30


(2) 定义针对研发部门的策略

# 定义基本 ACL 2001，在工作时间段内允许来自研发部门 Host 的报文通过。

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.127 time-range trname

[Switch-acl-basic-2001] quit

# 配置匹配 ACL 2001 规则的报文重定向至端口 Ethernet 1/0/3。


[Switch-Ethernet1/0/2] traffic-redirect inbound ip-group 2001 interface Ethernet 1/0/3

2-1

2 QoS Profile 配置

2.1 QoS Profile 简介

2.1.1 QoS Profile 简介

QoS Profile 是一组 QoS 配置的集合，一个 QoS Profile 中可以包含一个或多个 QoS 动作。在用户

移动的网络环境中，可以针对特定用户制定相应的 QoS 策略，然后放入 QoS Profile 中。当该用户

接入到交换机后，交换机可以将相应的 QoS Profile 应用到用户接入的端口（静态或者动态），从

而简化了配置，大大方便了对接入用户的管理。

目前，QoS Profile 功能可以为用户提供包过滤、流量监管和优先级重标记功能。

2.1.2 QoS Profile 的应用方式

1. 动态应用

QoS Profile 功能可以和 802.1x 认证功能结合使用，为通过认证的一个用户或者一组用户提供预先

配置的QoS功能。用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和QoS Profile的对应关系，将相应的 QoS Profile 动态的应用到用户登录的端口上。

根据 802.1x 认证方式的不同，动态应用方式分为以下两种模式：

User-based 模式：交换机以 QoS Profile 中定义的流分类规则为模板，加入用户的源 MAC 信

息，生成新的流分类规则，然后将 QoS Profile 应用到用户接入的端口；

Port-based 模式：交换机直接将 QoS Profile 应用到用户接入的端口。

使用 User-based 模式时，如果 QoS Profile 中的流分类规则定义了源信息（包括源 MAC 信息、源

IP 信息和 VLAN 信息），则 QoS Profile 不能应用成功。

2. 手工应用

用户可以通过 apply 命令手工将 QoS Profile 应用到端口上。

2.2 QoS Profile 配置

表2-1 QoS Profile 配置任务简介


配置 QoS Profile 必选 2.2.1

动态应用 QoS Profile 可选 2.2.2

手工应用 QoS Profile 可选 2.2.2

2-2

2.2.1 配置 QoS Profile

1. 配置准备


已确定 QoS Profile 提供的功能

2. 配置过程

表2-2 配置 QoS Profile

操作命令说明


进入 QoS Profile视图 qos-profile profile-name

必选

如果该 profile-name 名称对应的 QoS Profile未创建，则先创建再进入相应视图；

如果该 profile-name 名称对应的 QoS Profile已创建，则直接进入相应视图

配置流量监管动作

traffic-limit inbound acl-rule [ union-effect ] [ egress-port interface-type interface-number ] target-rate [ burst-bucket burst-bucket-size ] [ exceed action ]

可选

配置包过滤动作 packet-filter { inbound | outbound } acl-rule

可选

关于包过滤的配置请参见“ACL”部分的介绍


动作

traffic-priority { inbound | outbound } acl-rule { { dscp dscp-value | ip-precedence { pre-value | from-cos } } | cos { pre-value | from-ipprec } | local-precedence pre-value }*

可选

2.2.2 应用 QoS Profile

用户可以配置 QoS Profile 的应用方式为动态应用或者手工应用。

1. 配置准备

如果采用动态应用方式，已确定全局和用户接入的端口上已经启动了 802.1x 认证功能以及

QoS Profile 的应用模式，关于 802.1x 的具体配置请参见“802.1x 及 System-Guard”部分的

介绍

如果采用手工应用方式，已确定应用 QoS Profile 的端口

已确定需要应用的 QoS Profile

2. 配置过程

表2-3 动态应用 QoS Profile

操作命令说明



2-3

操作命令说明

配置 QoS Profile 的应

用模式为基于端口的

应用模式 qos-profile port-based

配置 QoS Profile的动态应用模式

配置 QoS Profile 的应

用模式为基于用户的

应用模式

undo qos-profile port-based

可选

缺省情况下，QoS Profile 的应用模式为

基于用户的模式

如果802.1x配置为基于MAC地址认

证，必须配置 QoS Profile 的应用模

式为基于用户的模式如果 802.1x 配置为基于端口认证，

必须配置 QoS Profile 的应用模式为

基于端口的模式

表2-4 手工应用 QoS Profile

操作命令说明


系统视图下 apply qos-profile profile-name interface interface-list

进入以太网端

口视图 interface interface-type interface-number 手工应用 QoS

Profile 到端口上以太网端口

视图下应用 QoS Profile 到当前

端口上 apply qos-profile profile-name

二者必选其一

缺省情况下，没有

应用 QoS Profile到端口上

2.3 QoS Profile 的显示

在完成上述配置后，在任意视图下执行 display 命令，可以显示配置 QoS Profile 后的运行情况。


表2-5 QoS Profile 的显示

操作命令说明

显示 QoS Profile 的配

置信息

display qos-profile { all | name profile-name | interface interface-type interface-number | user user-name }

display 命令可以在任意视图下

执行

2.4 QoS Profile 典型配置举例

2.4.1 QoS Profile 典型配置举例

1. 组网需求

某公司内部通过交换机实现各部门之间的互连，并且通过 802.1x 协议对用户进行身份验证，控制

用户访问网络资源。某个接入用户的用户名为 someone，认证密码为 hello，从交换机的 Ethernet 1/0/1 端口接入，用户属于 test.net 域。

要求配置 QoS Profile，将用户 someone 向外发送的所有 IP 报文的速率限制为 128Kbps，丢弃超

出限制的报文。

2-4

2. 组网图

图2-1 QoS Profile 配置组网图

User

Switch

Network

AAA ServerEth1/0/1

3. 配置步骤

(1) AAA 服务器上的配置

在 AAA 服务器上配置用户的认证信息、用户名和 QoS Profile 的对应关系，具体配置请参见 AAA服务器的指导书。

(2) Switch 上的配置

# 配置 RADIUS 服务器的 IP 地址信息。


[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

# 设置交换机与认证和计费 RADIUS 服务器交互报文时的加密密码。

[Sysname-radius-radius1] key authentication money

[Sysname-radius-radius1] key accounting money

# 指示交换机从用户名中去除用户域名后再将之传给 RADIUS 服务器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

# 创建用户域 test.net，指定 radius1 为该域用户的 RADIUS 服务器组。

[Sysname] domain test.net

[Sysname-isp-test.net] radius-scheme radius1

[Sysname-isp-test.net] quit

# 定义高级 ACL 3000，分类规则为匹配目的为任意 IP 地址的 IP 报文。


[Sysname-acl-adv-3000] rule 1 permit ip destination any


# 定义 QoS Profile，将匹配流分类规则的报文的速率限制为 128Kbps，丢弃超出限制的报文。

2-5

[Sysname] qos-profile example

[Sysname-qos-profile-example] traffic-limit inbound ip-group 3000 128 exceed drop

# 启动 802.1x 功能。

[Sysname] dot1x


完成以上配置后，用户 someone 通过认证后将会自动应用 example。

i

目录

1 镜像配置 ............................................................................................................................................ 1-1

1.1 镜像简介............................................................................................................................................ 1-1

1.1.1 本地端口镜像 ..........................................................................................................................1-1 1.1.2 远程端口镜像 ..........................................................................................................................1-1 1.1.3 流镜像 ..................................................................................................................................... 1-3 1.1.4 端口镜像与STP联动 ...............................................................................................................1-3

1.2 镜像配置............................................................................................................................................ 1-3

1.2.1 配置本地端口镜像...................................................................................................................1-3 1.2.2 配置远程端口镜像...................................................................................................................1-4

1.3 镜像显示............................................................................................................................................ 1-7

1.4 镜像配置举例..................................................................................................................................... 1-8

1.4.1 本地端口镜像配置举例 ...........................................................................................................1-8 1.4.2 远程端口镜像配置举例 ...........................................................................................................1-9

1-1

1 镜像配置

1.1 镜像简介

镜像是将指定端口的报文复制到镜像目的端口，镜像目的端口会接入数据检测设备，用户利用这些

设备分析目的端口接收到的报文，进行网络监控和故障排除。

图1-1 镜像示意图

PC

数据监测设备

Network

镜像源端口

镜像目的端口

E152 以太网交换机支持配置以下三种镜像方式：

本地端口镜像

远程端口镜像

流镜像

1.1.1 本地端口镜像

本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到本设备的一个监视端口（目的

端口），用于报文的分析和监视。其中，源端口和目的端口位于同一台设备上。

1.1.2 远程端口镜像

远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口可以跨越

网络中的多个设备，从而方便网络管理人员对远程设备上的流量进行监控。

为了实现远程端口镜像功能，需要定义一个特殊的VLAN，称之为远程镜像VLAN（Remote-probe VLAN）。所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口，实现

在目的交换机上对源交换机端口收发的报文进行监控的功能。远程端口镜像的应用示意图如图 1-2所示。

1-2

图1-2 远程端口镜像应用示意图

反射端口源端口 Trunk端口目的端口

远程镜像VLAN

中间交换机源交换机目的交换机

实现远程端口镜像功能的交换机分为三种：

源交换机：被监控的端口所在的交换机，负责将镜像流量复制到反射端口，然后通过远程镜

像 VLAN 传输给中间交换机或目的交换机。

中间交换机：网络中处于源交换机和目的交换机之间的交换机，通过远程镜像 VLAN 把镜像

流量传输给下一个中间交换机或目的交换机。如果源交换机与目的交换机直接相连，则不存

在中间交换机。

目的交换机：远程镜像目的端口所在的交换机，将从远程镜像 VLAN 接收到的镜像流量通过

镜像目的端口转发给监控设备。

各个交换机上参与镜像的端口如表 1-1所示。

表1-1 交换机上参与镜像的端口

交换机参与镜像的端口作用

源端口（Source Port）被监控的端口，通过本地端口镜像把报文复制到指定的反

射端口（Reflector port），源端口可以有多个

反射端口（Reflector port）接收从被监控端口镜像的报文，将报文在远程镜像 VLAN内广播

源交换机

Trunk 端口将镜像报文发送到中间交换机或者目的交换机

中间交换机 Trunk 端口将镜像报文发送到目的交换机

中间交换机上需要配置两个 Trunk 端口，和两侧的设备相

连

Trunk 端口接收远程镜像报文

目的交换机镜像目的端口（Destination port）

接收从 Trunk 端口转发的报文，将报文发送到数据监测设

备

用户不能将缺省 VLAN、管理 VLAN 或者动态 VLAN 配置为远程镜像 VLAN；建议用户将远程镜像 VLAN 中的设备互连端口都配置为 Trunk 端口，并且通过配置保证远程镜像

VLAN 内从源交换机到目的交换机的二层互通性；建议用户不要为远程镜像 VLAN 配置三层接口，不要在远程镜像 VLAN 上运行其他协议报文，承

载其他的业务报文，不要将远程镜像 VLAN 作为 Voice VLAN、协议 VLAN 使用，否则可能会影

响远程端口镜像功能。

1-3

1.1.3 流镜像

流镜像是指通过引用 ACL 进行流识别，对通过指定端口的符合一定规则的报文进行监控。与端口镜

像对通过端口的所有流量进行监控相比，流镜像提供了更加细致的监控粒度。关于流镜像的详细配

置请参见“QoS-QoS Profile”部分。

1.1.4 端口镜像与 STP 联动

在局域网中，经常使用 STP 或 MSTP 协议来消除网络环路，如果由于配置原因或是由于网络拓扑

变化，造成用户配置的镜像源端口在 STP 的拓扑中工作在 Discarding 状态（Discarding 状态的端

口不发送报文，仅接收 BPDU 报文），那么对于该端口收发流量的镜像并没有实际意义，不但会消

耗设备的资源，而且可能会造成 MAC 地址表的振荡。

端口镜像与 STP 联动功能可以解决这个问题。该功能通过对端口的 STP 状态进行实时监控，可以

在端口变为 Discarding 状态时，自动取消在该端口上的镜像配置，并在端口切换回 Forwarding 状

态时，再自动恢复镜像配置，实现端口镜像与端口 STP 状态的联动，提高端口镜像功能的使用效率。

关于 STP 端口状态的介绍，请参见“MSTP”手册。

1.2 镜像配置

表1-2 镜像配置任务简介


配置本地端口镜像可选 1.2.1

配置远程端口镜像可选 1.2.2

E152 以太网交换机只支持配置一个本地端口镜像目的端口或者一个远程端口镜像反射端口，且二

者不能同时配置。

1.2.1 配置本地端口镜像

1. 配置准备

确定了镜像源端口以及被镜像报文的方向

确定了镜像目的端口

2. 配置过程

表1-3 配置本地端口镜像

操作命令说明


创建本地镜像组 mirroring-group group-id local 必选

1-4

操作命令说明

开启端口镜像与 STP 联动

功能 mirroring stp-collaboration

可选

本配置对所有端口均生效，即配

置后设备上的所有端口均可实现

端口镜像与端口STP状态的联动

缺省情况下，没有开启端口镜像

与 STP 联动功能

在系统视图下配

置源端口

mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound }


mirroring-group group-id mirroring-port { both | inbound | outbound }

为镜像

组配置

源端口在端口视图下配

置源端口

quit

二者必选其一

用户可以在系统视图下同时配置

多个源端口，也可以在具体的端

口视图下配置源端口，两种视图

下的配置效果相同

在系统视图下配

置目的端口 mirroring-group group-id monitor-port monitor-port-id


为镜像

组配置

目的端

口在端口视图下配

置目的端口 mirroring-group group-id monitor-port

二者必选其一

两种视图下的配置效果相同

在配置本地端口镜像时，有如下注意事项：

本地镜像组需要配置源端口、目的端口才能生效。

源端口和目的端口不能是现有镜像组的成员端口，目的端口不能为汇聚组成员端口、开启了

LACP 功能的端口或者开启了 STP 功能的端口。

如果在开启端口镜像与 STP 联动功能后，用户将 Discarding 状态的端口配置为镜像源端口，则

该配置将不会生效，直至端口状态转换为 Forwarding 状态后，镜像功能才能生效。在 MSTP 网络中，如果设备上开启了端口镜像与 STP 联动功能，则端口必须在所有的实例中均

处于 Forwarding 状态，对该端口进行的端口镜像配置才能够生效；如果端口在至少一个实例中

处于 Discarding 状态，则该端口上的镜像功能将不会生效。

1.2.2 配置远程端口镜像

E152 以太网交换机可以充当远程端口镜像组网中的源交换机、中间交换机或者目的交换机。

1. 充当源交换机时的配置

(1) 配置准备

确定了镜像源端口、反射端口和远程镜像 VLAN

确定了被镜像报文的方向

确保远程镜像 VLAN 内源交换机到目的交换机的二层互通性

1-5

(2) 配置过程

表1-4 配置源交换机

操作命令说明


创建并进入 VLAN 视图 vlan vlan-id vlan-id 为远程镜像 VLAN的编号

配置当前 VLAN 为远程镜像 VLAN remote-probe vlan enable 必选


开启端口镜像与 STP 联动功能 mirroring stp-collaboration

可选

本配置对所有端口均生

效，即配置后设备上的所

有端口均可实现端口镜像

与端口 STP 状态的联动

缺省情况下，没有开启端

口镜像与 STP 联动功能

进入与中间交换机或目的交换机相连

的以太网端口视图 interface interface-type interface-number -

配置当前端口类型为 Trunk port link-type trunk 必选

缺省情况下，端口类型为Access

配置当前端口允许远程镜像 VLAN 内

的报文通过 port trunk permit vlan remote-probe-vlan-id 必选


创建远程源镜像组 mirroring-group group-id remote-source 必选

为远程源镜像组配置源端口 mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound }

必选

为远程源镜像组配置反射端口 mirroring-group group-id reflector-port reflector-port 必选

为远程源镜像组配置远程镜像 VLAN mirroring-group group-id remote-probe vlan remote-probe-vlan-id 必选

在配置源交换机时，有如下注意事项：

远程源镜像组的所有端口都属于同一台设备，一个远程源镜像组只能配置一个反射端口。

反射端口不能是现有镜像组的成员端口、汇聚组成员端口、开启了 LACP 的端口或者开启了

STP 功能的端口，必须是 Access 端口且不能配置 VLAN-VPN、端口环回检测、包过滤、QoS

和端口安全等功能。

将某个端口配置为反射端口后，不能再修改端口双工模式、端口速率、MDI 属性的取值。

配置远程镜像 VLAN 时，要求该 VLAN 为静态 VLAN 并预先创建。被配置成远程镜像 VLAN

后，该 VLAN 不能直接删除，必须先删除远程镜像 VLAN 的配置才能够删除这个 VLAN。如

果镜像组生效后，远程镜像 VLAN 被取消，那么该镜像组将失效。

建议用户不要在与中间交换机或目的交换机相连的端口上配置镜像源端口，否则可能引起网

络内的流量混乱。

1-6

如果在开启端口镜像与 STP 联动功能后，用户将 Discarding 状态的端口配置为镜像源端口，则

该配置将不会生效，直至端口状态转换为 Forwarding 状态后，镜像功能才能生效。在 MSTP 网络中，如果设备上开启了端口镜像与 STP 联动功能，则端口必须在所有的实例中均

处于 Forwarding 状态，对该端口进行的端口镜像配置才能够生效；如果端口在至少一个实例中

处于 Discarding 状态，则该端口上的镜像功能将不会生效。

2. 充当中间交换机时的配置

(1) 配置准备

确定了 Trunk 端口、远程镜像 VLAN


(2) 配置过程

表1-5 配置中间交换机

操作命令说明


创建并进入 VLAN 视图 vlan vlan-id vlan-id 为远程镜像 VLAN 的编

号



进入与源交换机、目的交换机或其他中间

交换机相连的以太网端口视图 interface interface-type interface-number -



配置当前端口允许远程镜像 VLAN 内的报

文通过 port trunk permit vlan remote-probe-vlan-id 必选

需要注意的是，当 E152 以太网交换机充当远程端口镜像组网中的中间交换机时，不支持镜像双向

（both）报文的功能。

3. 充当目的交换机时的配置

(1) 配置准备

确定了镜像目的端口、远程镜像 VLAN


(2) 配置过程

表1-6 配置目的交换机

操作命令说明


创建并进入 VLAN 视图 vlan vlan-id vlan-id 为远程镜像 VLAN 的

编号

1-7

操作命令说明



进入与源交换机或中间交换机相连的以太

网端口视图 interface interface-type interface-number -



配置当前端口允许远程镜像 VLAN 的报文

通过 port trunk permit vlan remote-probe-vlan-id 必选


创建远程目的镜像组 mirroring-group group-id remote-destination 必选

为远程目的镜像组配置目的端口 mirroring-group group-id monitor-port monitor-port 必选

为远程目的镜像组配置远程镜像 VLAN mirroring-group group-id remote-probe vlan remote-probe-vlan-id

必选

在配置目的交换机时，有如下注意事项：

当 E152 以太网交换机充当远程端口镜像组网中的目的交换机时，不支持镜像双向（both）报

文的功能。

远程镜像目的端口不能是现有镜像组的成员端口、汇聚组成员端口、开启了 LACP 的端口或

者开启了 STP 功能的端口。

配置远程镜像 VLAN 时，要求该 VLAN 为静态 VLAN 并预先创建。被配置成远程镜像 VLAN

后，该 VLAN 不能直接删除，必须先删除远程镜像 VLAN 的配置才能够删除这个 VLAN。如

果镜像组生效后，远程镜像 VLAN 被取消，那么该镜像组将失效。

1.3 镜像显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置镜像后的运行情况。通过查看显


表1-7 镜像的显示

操作命令说明

显示端口镜像的配置信息 display mirroring-group { group-id | all | local | remote-destination | remote-source }


下执行

1-8

1.4 镜像配置举例

1.4.1 本地端口镜像配置举例

1. 组网需求

某公司内部通过 E152 以太网交换机实现各部门之间的互连，网络环境描述如下：

研发部通过端口 Ethernet 1/0/1 接入 Switch C；

市场部通过端口 Ethernet 1/0/2 接入 Switch C；

数据监测设备连接在 Switch C 的 Ethernet 1/0/3 端口上。

网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。

使用本地端口镜像功能实现该需求，在 Switch C 上进行如下配置：

端口 Ethernet 1/0/1 和 Ethernet 1/0/2 为镜像源端口；

连接数据监测设备的端口 Ethernet 1/0/3 为镜像目的端口。

2. 组网图

图1-3 配置本地端口镜像组网图

Switch C 数据监测设备

研发部 Switch A

Switch B

Eth1/0/2

Eth1/0/1

Eth1/0/3

市场部

3. 配置步骤

配置 Switch C：

# 创建本地镜像组。


[Sysname] mirroring-group 1 local

# 为本地镜像组配置源端口和目的端口。

[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 both

[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/3

# 显示本地镜像组 1 的配置信息。

[Sysname] display mirroring-group 1

mirroring-group 1:

type: local

status: active

mirroring port:

1-9

Ethernet1/0/1 both

Ethernet1/0/2 both

monitor port: Ethernet1/0/3

配置完成后，用户可以在数据监测设备上监控研发部和市场部收发的所有报文。

1.4.2 远程端口镜像配置举例

1. 组网需求

某公司内部通过 E152 以太网交换机实现各部门之间的互连，网络环境描述如下：

Switch A、Switch B 和 Switch C 都为 E152 以太网交换机；

部门 1 通过端口 Ethernet 1/0/1 接入 Switch A；

部门 2 通过端口 Ethernet 1/0/2 接入 Switch A；

Switch A 的端口 Ethernet 1/0/3 和 Switch B 的端口 Ethernet 1/0/1 相连；

Switch B 的端口 Ethernet 1/0/2 和 Switch C 的端口 Ethernet 1/0/1 相连；

数据监测设备连接在 Switch C 的 Ethernet 1/0/2 端口上。

网络管理员希望通过数据监测设备对部门 1 和部门 2 发送的报文进行监控。

使用远程端口镜像功能实现该需求，进行如下配置：

Switch A 充当源交换机，Switch B 充当中间交换机，Switch C 充当目的交换机；

在 Switch A 上配置远程源镜像组，定义 VLAN 10 为远程镜像 VLAN，端口 Ethernet 1/0/1 和

Ethernet 1/0/2 为镜像源端口，端口 Ethernet 1/0/4 为反射端口；

在 Switch B 上配置 VLAN 10 为远程镜像 VLAN；

配置Switch A的端口Ethernet 1/0/3、Switch B的端口Ethernet 1/0/1和Ethernet 1/0/2、Switch

C 的端口 Ethernet 1/0/1 的端口类型为 Trunk，并且都允许 VLAN 10 的报文通过；

在 Switch C 上配置远程目的镜像组，定义 VLAN 10 为远程镜像 VLAN，连接数据监测设备的

端口 Ethernet 1/0/2 为镜像目的端口。

2. 组网图

图1-4 配置远程端口镜像组网图

Switch A

Eth1/0/3

数据监测设备部门 1 部门 2

Eth1/0/1

Switch B Switch C

Eth1/0/1 Eth1/0/2Eth1/0/1

Eth1/0/2

反射端口Eth1/0/4

Eth1/0/2

3. 配置步骤

(1) 配置源交换机（Switch A）

# 创建远程源镜像组。

1-10


[Sysname] mirroring-group 1 remote-source

# 配置远程镜像 VLAN。

[Sysname] vlan 10

[Sysname-vlan10] remote-probe vlan enable


# 为远程源镜像组配置源端口、反射口和远程镜像 VLAN。

[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 inbound

[Sysname] mirroring-group 1 reflector-port Ethernet 1/0/4

[Sysname] mirroring-group 1 remote-probe vlan 10

# 配置端口 Ethernet 1/0/3 的链路类型为 Trunk 端口，允许 VLAN 10 的报文通过。



[Sysname-Ethernet1/0/3] port trunk permit vlan 10


# 显示远程源镜像组 1 的配置信息。


mirroring-group 1:

type: remote-source

status: active

mirroring port:

Ethernet1/0/1 inbound

Ethernet1/0/2 inbound

reflector port: Ethernet1/0/4

remote-probe vlan: 10

(2) 配置中间交换机（Switch B）

# 创建远程镜像 VLAN。


[Sysname] vlan 10












(3) 配置目的交换机（Switch C）

# 创建远程目的镜像组。


1-11

[Sysname] mirroring-group 1 remote-destination

# 配置远程镜像 VLAN。

[Sysname] vlan 10



# 为远程目的镜像组配置目的端口和远程镜像 VLAN。

[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/2

[Sysname] mirroring-group 1 remote-probe vlan 10






# 显示远程目的镜像组 1 的配置信息。


mirroring-group 1:

type: remote-destination

status: active

monitor port: Ethernet1/0/2

remote-probe vlan: 10

配置完成后，用户可以在数据监测设备上监控部门 1 和部门 2 发送的所有报文。

i

目录

1 Stack ................................................................................................................................................. 1-1

1.1 Stack功能简介................................................................................................................................... 1-1

1.1.1 堆叠主交换机简介...................................................................................................................1-1 1.1.2 堆叠从交换机简介...................................................................................................................1-1 1.1.3 堆叠过程 ................................................................................................................................. 1-1

1.2 堆叠主交换机配置 .............................................................................................................................1-1

1.2.1 配置堆叠IP地址池并建立堆叠................................................................................................. 1-2 1.2.2 退出到从交换机视图 ...............................................................................................................1-2 1.2.3 Stack端口功能 ........................................................................................................................1-3

1.3 堆叠从交换机的配置..........................................................................................................................1-3

1.4 显示和维护 ........................................................................................................................................ 1-3

1.5 堆叠配置举例..................................................................................................................................... 1-4

1.5.1 组网需求 ................................................................................................................................. 1-4 1.5.2 组网图 ..................................................................................................................................... 1-4 1.5.3 配置步骤 ................................................................................................................................. 1-4

2 集群管理 ............................................................................................................................................ 2-1

2.1 集群管理简介..................................................................................................................................... 2-1

2.1.1 HGMP简介..............................................................................................................................2-1 2.1.2 集群角色 ................................................................................................................................. 2-2 2.1.3 集群工作原理 ..........................................................................................................................2-3

2.2 集群配置任务..................................................................................................................................... 2-7

2.2.1 配置管理设备 ..........................................................................................................................2-8 2.2.2 配置成员设备 ........................................................................................................................2-11 2.2.3 集群内的操作 ........................................................................................................................2-13 2.2.4 集群增强特性配置.................................................................................................................2-14 2.2.5 集群配置同步功能.................................................................................................................2-15

2.3 集群管理显示和维护........................................................................................................................2-18

2.4 集群管理配置举例 ...........................................................................................................................2-19

2.4.1 集群管理基本配置举例 .........................................................................................................2-19 2.4.2 集群增强特性综合配置举例 .................................................................................................. 2-22

1-1

1 Stack

1.1 Stack 功能简介

Stack 也叫作堆叠。堆叠是由一些通过堆叠口相连的以太网交换机组成的一个管理域，其中包括一

个主交换机和若干个从交换机。

堆叠在一起的以太网交换机可以看作为一个设备，用户可以通过主交换机实现对堆叠内所有交换机

的管理。

1.1.1 堆叠主交换机简介

当多个以太网交换机通过堆叠口相连时，用户可以在其中一台交换机上进行配置，把它们设置成堆

叠，并把当前进行配置的以太网交换机设置为堆叠中的主交换机。

用户可以在主交换机上进行以下操作：

设置堆叠可选的 IP 地址范围

建立堆叠

切换到从交换机视图

需要注意的是，在建立堆叠前，用户需要在主交换机上设置堆叠使用的 IP 地址范围。在从交换机加

入堆叠时，主交换机自动给从交换机分配该 IP 地址范围内的 IP 地址。

用户通过配置建立堆叠后，主交换机会自动将与它的堆叠口相连的交换机加入到堆叠中。如果堆叠

口连接断开，则从交换机自动退出堆叠。

1.1.2 堆叠从交换机简介

从交换机即在堆叠中除了主交换机以外的交换机。

堆叠建立后，用户可以在主交换机上对从交换机进行配置。

1.1.3 堆叠过程

堆叠的建立过程如下：

主交换机和从交换机之间通过堆叠模块及特殊的堆叠线连接起来（关于堆叠模块及堆叠线的

描述请参见安装手册）。

用户设置堆叠使用的 IP 地址范围，并启用堆叠功能。主交换机将会自动将与它的堆叠口相连

的交换机加入到堆叠中。

在从交换机加入堆叠时，主交换机自动给从交换机分配可用的 IP 地址。

在建立了堆叠后，如果有新的交换机和主交换机通过堆叠口相连，主交换机将自动把新的交

换机加入到堆叠中。

1.2 堆叠主交换机配置

堆叠主交换机配置包括：

1-2

配置堆叠IP地址池并建立堆叠

退出到从交换机视图

1.2.1 配置堆叠 IP 地址池并建立堆叠

表1-1 配置堆叠 IP 地址池并建立堆叠

操作命令说明


设置堆叠 IP 地址范围 stacking ip-pool from-ip-address ip-address-number [ ip-mask ]

必选

from-ip-address：堆叠 IP 地址池起

始地址。

ip-address-number：堆叠 IP 地址池

中的 IP 个数。

ip-mask：堆叠 IP 地址的地址掩码。

缺省为 16 位的地址掩码。

缺省情况下，系统没有默认的 IP 地

址池。

建立堆叠 stacking enable 必选

取消堆叠操作时，需要将原有的三层接口的 IP 地址配置取消。否则会出现 IP 地址冲突的现象。

主交换机上堆叠的配置有如下要求：

用户通过配置建立堆叠后，主交换机会自动将与它的堆叠口相连的交换机加入到堆叠中。

如果堆叠口连接断开，则从交换机自动退出堆叠。

如果堆叠已经建立，则用户不能修改 IP 地址范围。

堆叠 IP 地址池中的 IP 个数应大于或等于堆叠中交换机的个数，否则会因为地址不足，使部分

交换机无法自动加入堆叠。

堆叠使用的地址必须满足可以连续分配的要求。如果地址池中第一个地址是类似于

223.255.255.254 的地址，则不能满足连续分配的条件，就会出现错误。

堆叠不能跨网段分配 IP 地址，例如如果地址池中第一个地址为 1.1.255.254，就不符合要求堆

叠的要求。

在为堆叠设备设置 IP 地址池时，如主交换机（或从交换机）原配置的管理 VLAN 接口的 IP 地

址与堆叠设置的 IP 地址池不在同一网段。主交换机（或从交换机）都会删掉原有的管理 VLAN

的 IP 地址，自动配置一个属于 IP 地址池所设的网段内的 IP 地址。

由于堆叠和集群都需要使用管理 VLAN，而 E152 只能配置 1 个 VLAN 虚接口，因此如果用户

需要在集群范围内进行堆叠配置，堆叠与集群的管理 VLAN 必须是同一个 VLAN。

1.2.2 退出到从交换机视图

堆叠建立后，用户可以在主交换机上通过命令切换到从交换机视图，对从交换机进行配置。

1-3

表1-2 切换到从交换机视图

操作命令说明

切换到从交换机视图进行配置（在

用户视图下执行本命令） stacking number

必选

number：要退出的从交换机的编号。

用户可以在主交换机的用户视图直接退出到

从交换机的用户视图，退出时用户级别不变

对从交换机配置完毕后，用户可以退出从交换机视图。

表1-3 退出从交换机视图

操作命令说明

退出从交换机视图（在从交换机用户视

图下执行本命令） quit 只有在从交换机视图的用户视图退出时才能退出

从交换机视图

1.2.3 Stack 端口功能

1. Stack 端口功能简介

如果在某一支持 Stack 的设备上使能 Stack 功能后，会向所有与它相连的其他交换机的 Stack 端口，

发送 Stack 加入请求报文。有可能导致不希望加入此堆叠的交换机自动加入，从而影响整个网络的

稳定。

用户可以在与其他交换机相连的 Stack 端口上开启或关闭 Stack 端口功能，选择是否需要对相连交

换机发送 Stack 加入请求报文，从而避免不属于本堆叠的设备自动加入堆叠。

2. Stack 端口功能配置

表1-4 配置 Stack 端口功能

操作命令说明



启动 Stack 端口功能 stack-port enable

关闭 Stack 端口功能 undo stack-port enable

请根据需要选择配置

缺省情况下，Stack 端口的 Stack 端口功能打开。

设备加入 Stack 后，或成为堆叠主交换机后，会从此

端口发送/转发堆叠加入请求报文。

1.3 堆叠从交换机的配置

从交换机通过堆叠口和主交换机正确连接即可。

1.4 显示和维护

通过 display 命令对集群配置进行显示，display 命令可以在任意视图下执行。

1-4

表1-5 堆叠配置显示和维护

配置命令说明

在主交换机上显示

堆叠状态信息 display stacking [ members ]

可选

display 命令可以在任意视图执行

如果命令不带 members，将显示本交换机是堆叠的主交换

机以及堆叠中包含的交换机数目

如带 members，将显示堆叠的成员信息，包括主/从交换

机的堆叠号、堆叠的设备名称、MAC 地址以及状态等

在从交换机上显示

堆叠状态信息 display stacking

可选

display 命令可以在任意视图执行

显示本交换机是堆叠的从交换机、本交换机的堆叠号、堆

叠中主交换机的 MAC 地址

1.5 堆叠配置举例

1.5.1 组网需求

Switch A 与 Switch B、Switch C 通过堆叠口相连，组成一个堆叠。

Switch A 作为主交换机，Switch B、Switch C 作为从交换机，网络管理员通过 Switch A 实现对 Switch B、Switch C 的管理。

1.5.2 组网图

图1-1 配置堆叠功能示例图

1.5.3 配置步骤

# 在 Switch A 上配置堆叠 IP 地址池。


[Sysname] stacking ip-pool 129.10.1.15 3

# 在 Switch A 上建立堆叠。

[Sysname] stacking enable

1-5

[stack_0.Sysname] quit

<stack_0.Sysname>

# 在主交换机 Switch A 上显示堆叠信息。

<stack_0.Sysname> display stacking

Main device for stack.

Total members:3

Management-vlan:1(default vlan)

# 在主交换机 Switch A 上显示堆叠成员信息。

<stack_0.Sysname> display stacking members

Member number: 0

Name:stack_0.Sysname

Device: E152

MAC Address:000f-e20f-c43a

Member status:Admin

IP: 129.10.1.15 /16

Member number: 1


Device: E152

MAC Address: 000f-e20f-3130

Member status:Up

IP: 129.10.1.16/16

Member number: 2


Device: E152

MAC Address: 000f-e20f-3135

Member status:Up

IP: 129.10.1.17/16

# 切换到从交换机 Switch B 上进行配置。

<stack_0.Sysname> stacking 1

<stack_1.Sysname>

# 在从交换机 Switch B 上显示堆叠信息。

<stack_1.Sysname> display stacking

Slave device for stack.

Member number:1

Management-vlan:1(default vlan)

Main device mac address: 000f-e20f-c43a

# 切换回主交换机 Switch A 上进行配置。

<stack_1.Sysname> quit

<stack_0.Sysname>

# 切换到从交换机 Switch C 上进行配置。

<stack_0.Sysname> stacking 2

<stack_2.Sysname>

1-6

# 切换回主交换机 Switch A 上进行配置。

<stack_2.Sysname> quit

<stack_0.Sysname>

2-1

2 集群管理

E152 交换机的Release 1702 版本新增集群配置同步功能，详细配置请参见 2.2.5 。

2.1 集群管理简介

2.1.1 HGMP 简介

集群（Cluster）指的是一组交换机的集合，集群管理的主要目的是解决大量分散的交换机的集中管

理问题。

集群功能通过 HGMP 协议（Huawei Group Management Protocol，华为组管理协议）实现，现在

HGMP 协议使用的版本为 Version 2。

在集群内，交换机被划分为三种设备：

管理设备

成员设备

候选设备

用户只需要通过在管理设备配置一个公网 IP 地址，就可以实现对多个分散的交换机进行管理。开启

了集群管理功能以后，用户除了减少对分散的交换机重复配置工作以外，还可以实现对分散的交换

机进行远程管理，大大减少了组网配置的工作量。

成员设备一般不设置公网IP地址，用户通过管理设备实现对成员设备的管理和维护。管理设备和成

员设备组成了一个“集群”。典型的应用环境如图 2-1所示：

图2-1 集群示意图

Network Management Station

69.110.1.100

Network

Cluster

69.110.1.1 Management Device

Member Device

Member Device

Member Device

HGMP V2 的优点如下：

2-2

简化配置管理任务：只需要在管理设备上配置一个公网 IP 地址，就可实现对多个交换机的配

置和管理，不需要登录到每个成员设备上进行配置。

提供拓扑发现和显示功能，有助于监视和维护网络。

可以同时对多个交换机进行软件升级和参数配置。

不受网络拓扑结构和物理距离的限制。

节省 IP 地址。

2.1.2 集群角色

根据集群中各交换机所处的地位和功能的不同，形成了不同的角色，用户可以通过配置来指定交换

机的角色，各种角色可以按一定的规则进行切换。

集群中的角色有管理设备、成员设备以及候选设备。

表2-1 集群内的设备

角色配置作用

管理设备配置有公网 IP 地址

为集群内所有的交换机提供管理接口管理设备通过命令重定向来对成员设备进行管理，即管理

设备如果发现此命令是送往某个成员设备上执行的命令，

则将此命令转发到成员设备上处理管理设备具有发现邻接信息、收集整个网络的拓扑结构、

管理集群、维护集群状态、支持 FTP Server，SNMP Host代理等功能

用户通过公网将管理命令发送到管理设备上，由管理设备

处理

成员设备一般不配置公网 IP 地址集群中的成员成员设备具有发现邻接信息、接受管理设备的管理、执行

代理发过来的命令、上报故障/日志等功能

候选设备一般不配置公网 IP 地址没有加入任何集群中但具有集群能力、能够成为集群成员的交

换机

角色转换规则如下：

图2-2 角色切换规则

用户在候选设备上创建集群的同时，将当前候选设备指定为集群管理设备。每个集群必须指

定一个（而且只能指定一个）管理设备。在管理设备被指定后，管理设备通过收集相关信息，

发现和确定候选设备。用户可以通过相应的配置把候选设备加入到集群中。

候选设备加入集群后，成为成员设备。

2-3

集群内的成员设备被删除后将恢复为候选设备。

管理设备只有在删除集群时才能恢复为候选设备。

在集群建立以后，E152 交换机会根据用户设定的定时拓扑时间自动收集网络的拓扑信息，并将发

现的候选交换机自动加入集群。因此如果定时拓扑收集时间设定的太短（缺省情况下为 1 分钟），

则交换机作为集群候选交换机存在的时间就会很短。如果用户不需要候选交换机自动加入集群，可

以将定时拓扑时间通过 ntdp timer 命令设定为 0，即不进行定时拓扑收集。

2.1.3 集群工作原理

HGMP V2 由以下三个协议组成：

NDP（Neighbor Discovery Protocol，邻居发现协议）

NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）

Cluster（集群管理协议）

集群通过以上三个协议，对集群内部的设备进行配置和管理。

集群的工作过程包括拓扑收集以及集群的建立和维护，拓扑收集过程和集群建立和维护过程相对独

立，拓扑收集过程在集群建立之前就开始启动，工作原理如下所述：

所有设备通过 NDP 来获取邻居设备的信息，包括邻居设备的软件版本、主机名、MAC 地址

和端口名称等信息。

管理设备通过 NTDP 来收集指定跳数范围内的设备信息以及各个设备的连接信息，并从收集

到的拓扑信息中确定集群的候选设备。

管理设备根据 NTDP 收集到的候选设备信息完成候选设备加入集群、成员设备离开集群操作。

1. NDP 简介

NDP（Neighbor Discovery Protocol，邻居发现协议）是用来发现邻接设备点相关信息的协议。NDP运行在数据链路层，因此可以支持不同的网络层协议。

NDP 用于发现直接相连的邻居信息，包括邻接设备的设备类型、软/硬件版本、连接端口等。另外

NDP 发现的直连邻居信息还可提供设备的 ID、端口的全/半双工状态、产品版本、Bootrom 版本等

信息。

支持 NDP 的设备都维护 NDP 邻居信息表，邻居信息表中的每一表项都会自动老化。一旦超

过老化时间，NDP 自动删除相应的邻居表项。同时，用户可以清除当前的 NDP 信息以重新收

集邻接信息。

运行 NDP 的设备定时向所有激活的端口广播带有 NDP 数据的报文，报文中携带有效保留时

间字段，该字段指示接收设备必须保存该 NDP 数据的时间。接收 NDP 报文的设备保存报文

中的信息，但不转发 NDP 报文。收到的信息如果与旧的信息不同，则更新 NDP 表中的相应

数据项。如果相同，则只更新有效保留时间。

2. NTDP 简介

NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）是用来收集网络拓扑信息的

协议。NTDP 为集群管理设备提供可加入集群的设备信息，收集指定跳数内的交换机的拓扑信息。

2-4

NDP 为 NTDP 提供邻接表信息，NTDP 根据邻接信息发送和转发 NTDP 拓扑收集请求，收集一定

网络范围内每个设备的 NDP 信息和它与所有邻居的连接信息。收集完这些信息后，管理设备或者

网管可以根据需要使用这些信息，完成所需的功能。

当成员设备上的 NDP 发现邻居有变化时，通过握手报文将邻居改变的消息通知管理设备，管理设

备可以启动 NTDP 进行指定拓扑收集，从而使 NTDP 能够及时反映网络拓扑的变化。

管理设备可以定时在网络内进行拓扑收集，用户也可以通过手工配置命令启动一次拓扑收集。管理

设备收集拓扑信息过程如下：

管理设备从使能 NTDP 功能的端口定时发送 NTDP 拓扑收集请求报文。

收到请求报文的设备立即发送拓扑响应报文至管理设备，并在已使能 NTDP 功能的端口复制

此请求报文并发送到邻接设备；拓扑响应报文包含本设备的基本信息和所有邻接设备的 NDP

信息。

邻接设备收到请求报文后将执行同样操作，直至拓扑收集请求报文扩散到指定跳数范围内的

所有设备。

当拓扑收集请求报文在网络内扩散时，大量网络设备同时收到拓扑收集请求并同时发送拓扑响应报

文，为了避免网络拥塞和管理设备任务繁忙，可采取以下措施控制拓扑收集请求报文扩散速度：

设备收到拓扑收集请求后不是立即转发该拓扑收集请求报文，而是延迟等待一定时间，才开

始在使能 NTDP 功能的端口转发该拓扑收集请求报文。

在同一个设备上，除第一个端口外，每个使能 NTDP 功能的端口在前一个端口发送拓扑收集

请求报文后都会延迟一定时间再进行拓扑收集请求报文的转发。

管理设备上需要启动系统和端口上的 NTDP，并且配置 NTDP 的参数。成员设备和候选设备上只需要启动系统和相应端口上的 NTDP。在协议运行过程中，成员设备和候选设备采用管理设备发送过来的 NTDP 参数值。

3. Cluster 简介

每个集群必须指定一个（而且只能指定一个）管理设备。由于一个集群只能有一个管理设备，因此

在建立集群时：

需要确定一个管理设备。外部网络对集群内部各成员的访问、配置、管理、监控等都需要经

过管理设备，管理设备是访问集群成员的出入口。

管理设备识别并控制集群中的所有成员设备，不管这些成员设备分布在网络的什么地方，也

不管他们是如何相连的。

在集群建立过程中，为了给用户提供可供参考的候选设备信息以及网络拓扑结构信息，管理

设备将负责收集所有成员设备和候选设备的拓扑信息。

管理设备通过收集 NDP/NTDP 信息，了解网络的拓扑结构，从而进行设备的管理与监控。

在各项配置任务中，必须先启动集群功能，才能配置其它任务。

2-5

管理设备上需要启动集群功能，并且配置集群的参数。而成员设备和候选设备上只需要启动集群功

能，从而接受管理设备的管理。

4. 集群管理维护

(1) 候选设备加入集群

用户在建立集群前应首先指定管理设备，管理设备通过 NDP 和 NTDP 协议发现和确定候选设备，

将候选设备自动加入集群，也可以通过手工配置将候选设备加入到集群中。

候选设备成功加入集群后，将获得管理设备为它分配的集群成员序列号、集群管理使用的私有 IP地址等。

(2) 集群内部通讯

在集群内部，管理设备与成员设备通过握手报文进行实时通信，以维护他们之间的连接状态，管理

设备和成员设备的连接状态如图 2-3所示。

图2-3 集群管理/成员设备状态转换

集群建立成功，候选设备加入集群成为成员设备后，管理设备将成员设备的状态信息保存到

本地，并将成员状态标识为 Active，成员设备也将自身的状态信息保存到本地，并将自身状态

标识为 Active。

管理设备和成员设备互相定时发送握手报文。管理设备收到成员设备的握手报文后，不做应

答，将成员设备保持为 Active 状态；成员设备亦不作应答，将自身状态保持为 Active。

若管理设备向成员设备发送握手报文后在三倍握手报文发送时间间隔内没有收到成员设备发

送的握手报文，则将保存在本地的成员设备的状态由 Active 迁移为 Connect；同样的，若成

员设备向管理设备发送握手报文后三倍握手报文发送时间间隔内没有收到管理设备发送的握

手报文，其自身状态也将从 Active 迁移为 Connect。

若管理设备收到了处于 Connect 状态的成员设备在有效保留时间内发送的握手报文或管理报

文，则将成员设备的状态迁移回 Active，否则将其迁移为 Disconnect，此时管理设备会认为

该成员断开；处于 Connect 状态的成员设备若在有效保留时间内收到了管理设备发送的握手

报文或管理报文，则将自身状态迁移至 Active，否则将迁移为 Disconnect。

2-6

当管理设备和成员设备被中断的通信恢复时，处于 Disconnect 状态的成员设备将重新加入集

群，加入成功后，成员设备在管理设备以及本地的状态都将恢复为 Active。

如果发现拓扑改变，成员设备也通过握手报文向管理设备传递变化信息。

此外，用户还可以在管理设备上为整个集群配置公用的 FTP 服务器，TFTP 服务器，日志主机和网

管主机。集群的成员设备在与外部服务器进行通信时先把数据传送到管理设备上，然后再由管理设

备传送到外部的服务器。在未配置集群公用 FTP 服务器/TFTP 服务器的情况下，集群管理设备就是

缺省的集群公用 FTP 服务器/TFTP 服务器。

5. 管理 VLAN

管理 VLAN 限制了集群管理的范围，通过配置管理 VLAN，可实现如下功能：

集群的管理报文（包括 NDP、NTDP 报文以及握手报文）都将限制在管理 VLAN 内，与其它

报文隔离，增加了安全性。

管理设备和成员设备通过管理 VLAN 实现内部通讯。

集群管理要求管理设备与成员/候选设备相连的端口允许管理 VLAN 通过，因此：

如果成员/候选设备端口不允许管理 VLAN 通过，则该端口所在的设备不能加入集群，因此当

候选设备与管理设备相连的端口不允许管理 VLAN 通过时，可通过管理 VLAN 自协商修改候

选设备的端口允许管理 VLAN 通过。

只有当管理设备与成员/候选设备相连接的端口的缺省 VLAN ID 都是管理 VLAN 时，才允许配

置管理 VLAN 的报文不带标签通过，否则管理 VLAN 的报文都必须带标签通过。

网络管理接口为管理 VLAN 接口。网管接口只能够有一个，且重新配置后自动覆盖原配置。

6. 根据目的地址追踪集群内设备

在实际应用中，用户有时候需要实现以下功能：

集群中是否存在环路。

定位网络攻击从集群中哪台设备的哪个端口发出。

需要确认某一 MAC 地址对应的集群设备及其端口。

对集群内的故障设备进行定位，确认链路中哪台设备发生故障。

确认集群中的某条链路是否和规划一致，途经的设备是否和原规划一致。

这时候用户可以使用 tracemac 命令，通过指定目的 MAC 地址，或者指定目的 IP 地址的方式追踪

集群内设备。

具体的实现过程如下：

(1) 确定通过目的 MAC 地址/目的 IP 地址跟踪集群内指定设备

如果用户输入 tracemac 命令时将追踪集群内指定目的 MAC 地址设备，交换机会先根据命令

参数中的 MAC 地址和 VLAN 号，查找本机的 MAC 地址表，找出与下级交换机相连的端口。

2-7

如果用户输入 tracemac 命令时将追踪集群内指定目的 IP 地址设备，交换机会根据 IP 地址查

找本机对应的 ARP 表，找出对应此 IP 地址的 MAC 地址和 VLAN 号，找出与下级交换机相连

的端口。

(2) 当交换机找到与下级交换机相连的端口后，交换机会向此端口发送一个带有 VLAN 号的，并

有跳数限制的组播报文。下级交换机收到此报文以后，将自身的 MAC 地址与报文携带的指定

目的 MAC 地址进行比较：

当下级交换机的 MAC 地址与目的 MAC 地址相同时，则该交换机向发出 tracemac 命令的交

换机返回响应报文，tracemac 命令执行成功

当下级交换机的 MAC 地址与目的 MAC 地址不相同时，则该交换机重新根据 MAC 地址和

VLAN 号，查找再下一级交换机的端口，并将报文向下转发。如果在指定跳数内，找到了与目

的 MAC 地址相同的交换机，则向发出 tracemac 命令的交换机返回响应报文，tracemac 命

令执行成功；如果在指定跳数内，没有找到指定目的 MAC 地址（或指定目的 IP 地址）的设

备，则不再向下层设备转发组播报文。

如果查找的 IP 地址有对应的 ARP 表项，但 ARP 表内没有该 IP 对应的 MAC 地址，则追踪设备

失败。当使用 tracemac 命令追踪指定设备时，需保证途经的所有设备都支持 tracemac 功能。当在管理 VLAN 内使用 tracemac 命令追踪设备时，需保证途经的所有设备都必须和待追踪设备

在同一个管理 VLAN 内。

2.2 集群配置任务

用户配置集群前，需要明确集群内各个设备的角色以及功能，另外还要配置相关的功能，做好与集

群内部设备进行通信的规划工作。

集群配置包括以下表格内的步骤：

表2-2 集群配置


配置管理设备必选 2.2.1

配置成员设备必选 2.2.2

集群内的操作可选 2.2.3

集群增强特性配置可选 2.2.4

集群配置同步功能可选 2.2.5

2-8

2.2.1 配置管理设备

1. 管理设备配置任务简介

表2-3 集群管理设备配置任务简介


启动系统和端口 NDP 必选 2.

NDP 相关参数可选 3.

启动系统和端口 NTDP 必选 4.

NTDP 相关参数可选 5.

启动集群功能必选 6.

集群参数必选 7.

集群内外交互可选 8.


功能：在实现集群功能时，才打开集群使用的 UDP 40000 端口。在关闭集群功能时，同时关闭 UDP 40000 端口。在管理交换机上的具体实现是：

执行 build 命令或 auto-build 命令创建集群的同时，即可打开 UDP 40000 端口。应用 undo build 命令，或者使用 undo cluster enable 命令删除集群的同时，即可关闭 UDP

40000 端口。

2. 启动系统和端口 NDP 配置

表2-4 启动系统和端口 NDP 配置

操作命令说明


系统启动 NDP ndp enable 必选

缺省情况下，系统 NDP 处于

启动状态

系统视图下 ndp enable interface port-list

进入以太网端口视

图 interface interface-type interface-number

在指定的以

太网端口上

启动 NDP 以太网

端口视

图下端口启动 NDP ndp enable

二者必选其一

缺省情况下，端口 NDP 处于

启动状态

3. NDP 参数配置

表2-5 NDP 参数配置

操作命令说明


2-9

操作命令说明

配置 NDP 信息的老化时间 ndp timer aging aging-in-seconds可选

缺省情况下，NDP 信息的老化时间

为 180 秒

配置 NDP 报文发送的时间间隔 ndp timer hello seconds 可选

缺省情况下，NDP 报文发送时间间

隔为 60 秒

4. 启动系统和端口 NTDP

表2-6 启动系统和端口 NTDP 配置

操作命令说明


系统启动 NTDP ntdp enable 必选

缺省情况下，系统 NTDP 处于开启状态


端口启动 NTDP ntdp enable 必选

缺省情况下，端口 NTDP 处于开启状态

5. NTDP 参数配置

表2-7 NTDP 参数配置

操作命令说明


配置拓扑收集范围 ntdp hop hop-value 可选

缺省情况下，拓扑收集的范围为 3跳之内

配置当前设备转发拓扑收集请求的

跳数延迟时间 ntdp timer hop-delay time 可选

缺省情况下，设备延迟时间为200ms

配置当前设备转发拓扑收集请求的

端口延迟时间 ntdp timer port-delay time 可选

缺省情况下，端口延迟时间为 20ms

配置定时拓扑收集的时间间隔 ntdp timer interval-in-minutes 可选

缺省情况下，定时拓扑收集的时间

间隔为 1 分钟

退出系统视图 quit -

启动拓扑信息的收集过程 ntdp explore 可选

用户可以手动启动拓扑信息收集

2-10

6. 启动集群功能配置

表2-8 启动集群功能配置

操作命令说明


系统启动集群功能 cluster enable 必选

缺省情况下，集群功能处于启动状态

7. 集群参数配置

用户可以通过以下两种方式建立集群，并配置相关参数，使用户可以通过管理设备对成员设备进行

管理：

手动启动集群功能并配置集群参数

自动建立集群

(1) 手动启动集群功能并配置集群参数

表2-9 手动启动集群功能并配置集群参数

操作命令说明


指定管理 VLAN management-vlan vlan-id 必选

缺省情况下，VLAN 1 为管理 VLAN

进入集群视图 cluster -

配置集群 IP 地址范围 ip-pool administrator-ip-address { ip-mask | ip-mask-length } 必选

建立集群 build name 必选

name 为集群的名称

配置集群组播 MAC 地址 cluster-mac H-H-H 必选

缺省情况下，系统默认的组播 MAC 地址为0180-C200-000A

配置管理设备发送组播报文的

时间间隔 cluster-mac syn-interval time-interval

可选

缺省情况下，管理设备发送组播报文的时

间间隔是 1 分钟

配置成员交换机的有效保留时

间 holdtime seconds 可选

缺省情况下，有效保留时间为 60 秒

配置握手报文定时发送的时间

间隔 timer interval

可选

缺省情况下，握手报文定时发送的时间间

隔是 10 秒

(2) 自动建立集群

表2-10 自动启动集群功能

操作命令说明



2-11

操作命令说明

配置集群 IP 地址范围 ip-pool administrator-ip-address { ip-mask | ip-mask-length } 必选

自动建立集群 auto-build [ recover ] 可选

根据相应的提示建立集群

集群自动建立后，ACL 3998 和 ACL 3999 表项会自动生成相关的配置。当集群自动建立以后，ACL 3998 和 ACL 3999 表项不允许进行任何配置或者更改，也不能被删

除。

8. 集群内外交互配置

表2-11 集群内外交互配置

操作命令说明


进入集群视图 cluster 必选

配置集群公用的 FTP 服务器 ftp-server ip-address 可选

缺省情况下，管理设备作为集群公

用的 FTP Server

配置集群公用的 TFTP 服务器 tftp-server ip-address 可选

缺省情况下，集群没有公用的 TFTP Server

配置集群公用的日志主机 logging-host ip-address 可选

缺省情况下，集群没有公用的日志

主机

配置集群公用的网管主机 snmp-host ip-address 可选

缺省情况下，集群没有公用的网管

主机

2.2.2 配置成员设备

1. 集群成员设备配置任务简介

表2-12 集群成员设备配置任务简介


启动系统和端口 NDP 必选 2.

启动系统和端口 NTDP 必选 3.

启动集群功能配置必选 4.

成员设备访问集群 FTP/TFTP 服务器的配置必选 5.

2-12


功能：在实现集群功能时，才打开集群使用的 UDP 40000 端口。在关闭集群功能时，同时关闭 UDP 40000 端口。在成员交换机上的具体实现是：

由管理设备使用 add-member 命令将候选交换机加为成员的同时，打开该新加入集群的成员的

UDP 40000 端口。由管理设备使用auto-build命令将候选交换机加为成员的同时，打开该新加入集群的成员的UDP

40000 端口。在当前交换机上执行 administrator-address 命令的同时即可打开 UDP 40000 端口。由管理设备使用 delete-member 命令删除集群成员的同时，关闭该成员交换机的 UDP 40000端口。

由管理设备使用undo build命令删除集群的同时，关闭所有集群成员交换机的UDP 40000端口。在成员交换机上执行 undo administrator-address 命令的同时，即可关闭该成员交换机的 UDP

40000 端口。

2. 启动系统和端口 NDP 配置

表2-13 启动系统和端口 NDP 配置

操作命令说明


系统启动 NDP ndp enable 必选

系统视图下 ndp enable interface port-list

进入以太网端口

视图 interface interface-type interface-number

在指定的以

太网端口上

启动 NDP 以太网

端口视

图下端口启动 NDP ndp enable

必选

二者必选其一

3. 启动系统和端口 NTDP

表2-14 启动系统和端口 NTDP 配置

操作命令说明


系统启动 NTDP ntdp enable 必选

进入以太网端口 interface interface-type interface-number -

端口启动 NTDP ntdp enable 必选

4. 启动集群功能配置

表2-15 启动集群功能配置

操作命令说明


2-13

操作命令说明

系统启动集群功能 cluster enable 可选

缺省情况下，集群功能处于启动状态

5. 成员设备访问集群 FTP/TFTP 服务器的配置

在成员设备的用户视图下执行如下操作。

表2-16 成员设备访问集群 FTP/TFTP 服务器的配置

操作命令说明

访问集群内部公用的 FTP 服务器 ftp cluster 可选

从集群内部公用的 TFTP 服务器下载文件 tftp cluster get source-file [ destination-file ] 可选

上载文件到集群内部公用的 TFTP 服务器 tftp cluster put source-file [ destination-file ] 可选

2.2.3 集群内的操作

除了配置集群管理设备和成员设备以外，用户还可以通过管理设备对集群内的成员设备进行相关配

置，如增加集群成员、删除集群成员、重启成员设备、登录成员设备等。

表2-17 集群内操作

操作命令说明



集群成员的加入 add-member [ member-number ] mac-address H-H-H [ password password ]

可选

配置管理设备的 MAC 地址 administrator-address mac-address name name

可选

缺省情况下，交换机不是任何集群

的成员

集群成员的删除 delete-member member-number 可选

重启成员设备 reboot member { member-number | mac-address H-H-H } [ eraseflash ] 可选

退出到系统视图 quit -

退出到用户视图 quit -

成员访问

cluster switch-to { member-number | mac-address mac-address | administrator | sysname member-sysname }

可选

用来在管理设备和成员设备视图之

间互相切换

通过 MAC 地址或 IP 地址追

踪设备 tracemac { by-mac mac-address vlan vlan-id | by-ip ip-address } [ nondp ]

可选

此命令可在任意视图下执行

2-14

2.2.4 集群增强特性配置

1. 集群增强特性简介

(1) 集群拓扑管理功能

集群拓扑稳定之后，用户可以通过在集群管理设备上执行拓扑管理命令，将当前集群的拓扑信息保

存为标准拓扑，并备份标准拓扑到管理设备的 FLASH 中。当集群内的拓扑出现错误或混乱时，可

以将集群内的拓扑关系恢复为标准拓扑，并将备份到 FLASH 中的拓扑恢复到管理设备上，使集群

内设备恢复正常工作。

使用 display cluster current-topology 命令，交换机将以树状图形式反馈出当前集群的拓扑结构，

输出形式包括：

显示指定结点上下各三层的树状结构

显示指定两结点之间的连接拓扑结构

拓扑信息将以 topology.top 文件的形式存放在管理设备的 FLASH 中，用户不能手工指定文件名称。

(2) 集群设备黑名单功能

为保证集群的稳定性和安全性，用户可以使用黑名单的方式对加入集群的设备进行限制。将被限制

设备的 MAC 地址添加到集群黑名单后，即使该设备已经启动集群功能，且正常连接到现有集群中，

也无法加入集群、参与集群的统一管理和配置。

表2-18 集群增强特性配置任务简介


集群拓扑管理功能配置必选 2.

集群设备黑名单配置必选 3.

2. 集群拓扑管理功能配置

(1) 配置准备

在配置集群拓扑管理功能前，请确认集群基本配置已经完成，集群内设备已经正常工作。

(2) 配置步骤

请在管理设备上执行下列操作。

表2-19 集群拓扑管理功能配置

操作命令说明



确认当前拓扑信息，并保存为标准拓扑 topology accept { all [ save-to local-flash ] | mac-address mac-address | member-id member-id | administrator }

必选

将标准拓扑信息及黑名单信息保存到

管理设备的 FLASH 中 topology save-to local-flash 必选

2-15

操作命令说明

将标准拓扑信息及黑名单信息从管理

设备的 FLASH 中恢复 topology restore-from local-flash 可选

显示单个设备的详细信息 display ntdp single-device mac-address mac-address

显示当前集群的拓扑信息

display cluster current-topology [ mac-address mac-address1 [ to-mac-address mac-address2 ] | member-id member-id1 [ to-member-id member-id2 ] ]

显示集群的标准拓扑 display cluster base-topology [ mac-address mac-address | member member-id ]

显示集群标准拓扑中所有设备的信息

列表 display cluster base-members

可选

display 命令可


执行

3. 集群设备黑名单配置

请在管理设备上执行下列操作。

表2-20 集群设备黑名单功能配置

操作命令说明



将指定设备的 MAC 地址添加到集

群黑名单中 black-list add-mac mac-address 可选

缺省情况下，集群黑名单为空

将指定 MAC 地址从黑名单中释放 black-list delete-mac mac-address 可选

将集群中现有设备从集群中删除，

并添加到黑名单中 delete-member member-id [ to-black-list ] 可选

显示当前集群黑名单中的设备信息 display cluster black-list 可选


行

2.2.5 集群配置同步功能

在集群形成后，用户可以通过以下的配置同步功能，将管理设备上的 SNMP 配置和本地用户配置同

步到集群内的成员设备上，以方便对集群进行访问和管理。

1. SNMP 配置同步

通过 SNMP 配置同步功能，用户可以在管理设备上为集群配置统一的公用 SNMP 团体名、SNMP组、SNMP 用户以及 MIB 视图，这些配置将自动同步到集群内的成员设备，简化了成员设备上的配

置，并使 NMS（Network Management Station，网络管理站）可以方便的访问集群内的任意设备。

有关 SNMP 的相关介绍，请参见本手册“SNMP-RMON”部分。

2-16

(1) 配置准备

管理设备和成员设备的 NDP 和 NTDP 已经配置完毕。

集群已经创建，用户可以通过管理设备对集群中的成员设备进行管理。

(2) 配置步骤

请在管理设备上执行下列操作：

表2-21 集群内设备的 SNMP 配置同步功能




配置集群公用的 SNMP 团体名 cluster-snmp-agent community { read | write } community-name [ mib-view view-name ]

必选

缺省情况下，没有配置集群公用的

SNMP 团体名

配置集群公用的 SNMP V3 组

cluster-snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ]

必选


SNMP V3 组

配置集群公用的 SNMPV3 用户

cluster-snmp-agent usm-user v3 username groupname [ authentication-mode { md5 | sha } authpassstring [ privacy-mode { des56 privpassstring } ] ]

必选


SNMP V3 用户

创建或者更新集群公用的 MIB 视图 cluster-snmp-agent mib-view included view-name oid-tree

必选


MIB 视图

以上配置请在集群的管理设备上进行。配置集群公用的 SNMP 信息相当于在管理设备和成员设备上执行了相应的 SNMP 配置（请参见

“SNMP-RMON”手册），这些配置将保存到管理设备和成员设备的配置文件内。集群公用的 SNMP 配置不能同步到已经被加入集群黑名单的设备上。在成员设备退出集群后，以上同步的 SNMP 配置将继续保留，不会自动删除。

(3) 配置示例

# 在管理设备上配置集群（集群名为 test）公用的 SNMP 信息，包括：读团体名 read_a，写团体名

write_a，组名 group_a，MIB 视图名 mib_a，该视图包含 org 子树，SNMP v3 用户 user_a，所属

组为 group_a。

# 配置读团体名 read_a。

[test_0.Sysname-cluster] cluster-snmp-agent community read read_a

Member 2 succeeded in the read-community configuration.

Member 1 succeeded in the read-community configuration.

Finish to synchronize the command.

# 配置写团体名 write_a。

2-17

[test_0.Sysname-cluster] cluster-snmp-agent community write write_a

Member 2 succeeded in the write-community configuration.

Member 1 succeeded in the write-community configuration.


# 配置组名 group_a。

[test_0.Sysname-cluster] cluster-snmp-agent group v3 group_a

Member 2 succeeded in the group configuration.

Member 1 succeeded in the group configuration.


# 配置 MIB 视图名 mib_a，该视图包含 org 子树。

[test_0.Sysname-cluster] cluster-snmp-agent mib-view included mib_a org

Member 2 succeeded in the mib-view configuration.

Member 1 succeeded in the mib-view configuration.


# 配置 SNMP v3 用户 user_a，所属组为 group_a。

[test_0.Sysname-cluster] cluster-snmp-agent usm-user v3 user_a group_a

Member 2 succeeded in the usm-user configuration.

Member 1 succeeded in the usm-user configuration.


# 配置完成后，通过查看配置文件，可以看到在管理设备和成员设备上，分别保存了集群公用 SNMP信息的配置。

管理设备上的配置文件内容（仅截取集群 SNMP 配置相关部分） [test_0.Sysname-cluster] display current-configuration

#

cluster

cluster-snmp-agent community read read_a

cluster-snmp-agent community write write_a

cluster-snmp-agent group v3 group_a

cluster-snmp-agent mib-view included mib_a org

cluster-snmp-agent usm-user v3 user_a group_a

#

snmp-agent

snmp-agent local-engineid 800007DB000FE22405626877

snmp-agent community read read_a@cm0

snmp-agent community write write_a@cm0

snmp-agent sys-info version all

snmp-agent group v3 group_a

snmp-agent mib-view included mib_a org

snmp-agent usm-user v3 user_a group_a

undo snmp-agent trap enable standard

#

成员设备上的配置文件内容（仅截取集群 SNMP 配置相关部分） <test_2.Sysname> display current-configuration

#

snmp-agent

2-18

snmp-agent local-engineid 800007DB000FE224055F6877

snmp-agent community read read_a@cm2

snmp-agent community write write_a@cm2

snmp-agent sys-info version all

snmp-agent group v3 group_a

snmp-agent mib-view included mib_a org

snmp-agent usm-user v3 user_a group_a

#

2. 本地用户配置同步

本地用户配置同步功能用于在管理设备上创建集群公用的本地用户，该用户名和密码的配置将同步

到所有成员设备上，相当于在所有成员设备都创建了该本地用户。

使用该功能配置的用户类型为 Telnet，用户可以使用集群公用的用户名和密码通过 Web 方式管理

所有的成员设备。

(1) 配置准备

管理设备和成员设备的 NDP 和 NTDP 已经配置完毕。

集群已经创建，用户可以通过管理设备对集群中的成员设备进行管理。

(2) 配置步骤

请在管理设备上执行下列操作：

表2-22 集群内设备的本地用户配置同步功能




配置 local-user 配置 cluster-local-user username passward { cipher | simple } passwardstring

必选

缺省情况下，没有创建集群公用的

本地用户和密码

以上配置请在集群的管理设备上进行。配置集群公用的本地用户相当于在管理设备和成员设备上都创建了相同的本地用户（请参见

“AAA”手册），这些配置将保存到管理设备和成员设备的配置文件内。集群公用的本地用户不能同步到已经被加入集群黑名单的设备上。在设备退出集群后，以上同步的本地用户配置将继续保留，不会自动删除。

2.3 集群管理显示和维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置集群后的运行情况。通过查看显


2-19

表2-23 集群配置显示和维护

配置命令说明

显示系统 NDP 配置信息（包括报文发送

时间间隔，信息有效保留时间以及所有端

口的邻居信息） display ndp

显示指定端口 NDP 发现的邻居信息 display ndp interface port-list

显示全局 NTDP 信息 display ntdp

显示 NTDP 收集到的设备信息 display ntdp device-list [ verbose ]

显示集群状态和统计信息 display cluster

显示候选设备信息 display cluster candidates [ mac-address H-H-H | verbose ]

显示集群成员信息 display cluster members [ member-number | verbose ]


意视图下执行

清除 NDP 端口的统计信息 reset ndp statistics [ interface port-list ] reset 命令在用户视图

下执行

显示集群的拓扑信息时，被列为黑名单的交换机设备，下挂的设备不作显示。

2.4 集群管理配置举例

2.4.1 集群管理基本配置举例

1. 组网需求

三台交换机构成一个集群，其中：

E152 为管理设备

其他交换机为成员设备

E152 交换机作为管理设备管理两台成员设备。具体配置如下：

管理设备通过端口 Ethernet1/0/2 和端口 Ethernet1/0/3 下挂两台成员设备

管理设备通过端口 Ethernet1/0/1 接入到外部网络

Ethernet1/0/1 属于 VLAN2，VLAN2 的接口 IP 地址为 163.172.55.1

整个集群使用相同的 FTP server、TFTP server

FTP Server、TFTP server 的 IP 地址为 63.172.55.1

网管工作站及日志主机的 IP 地址为 69.172.55.4

2-20

2. 组网图

图2-4 HGMP 集群管理组网图

Internet

Eth1/0/1

Eth1/0/3 Eth1/0/2

Eth1/0/1 Eth1/0/1

69.172.55.4SNMP/logging host(NMS)FTP/TFTP Server

63.172.55.1

VLAN-interface 2163.172.55.1管理设备

成员设备成员设备 MAC:000f.e201.0011 MAC:000f.e201.0012

3. 配置步骤

(1) 配置成员设备（以一台成员设备为例）

# 启动设备上的 NDP 和端口 Ethernet1/0/1 上的 NDP。


[Sysname] ndp enable


[Sysname-Ethernet1/0/1] ndp enable


# 启动设备上的 NTDP 和端口 Ethernet1/0/1 上的 NTDP。

[Sysname] ntdp enable


[Sysname-Ethernet1/0/1] ntdp enable


# 启动集群功能。

[Sysname] cluster enable

(2) 配置管理设备

# 将端口 Ethernet 1/0/1 加入 VLAN 2。


[Sysname] vlan 2



# 配置管理 VLAN 为 VLAN2，创建 Vlan-interface 2 接口地址为 163.172.55.1。

[Sysname] management-vlan 2




# 关闭上行端口 Ethernet 1/0/1 的 NDP 功能。

2-21

[Sysname] ndp enable

[Sysname] undo ndp enable inteface face Ethernet 1/0/1


[Sysname-Ethernet1/0/1] undo ntdp enable


# 启动 Ethernet 1/0/2、Ethernet 1/0/3 上的 NDP。







# 配置 NDP 信息的有效保留时间为 200 秒。

[Sysname] ndp timer aging 200

# 配置 NDP 报文发送的时间间隔为 70 秒。

[Sysname] ndp timer hello 70

# 启动设备上的 NTDP 和端口 Ethernet1/0/2、Ethernet1/0/3 上的 NTDP。

[Sysname] ntdp enable







# 配置拓扑收集范围为 2 跳

[Sysname] ntdp hop 2

# 配置被收集设备转发拓扑收集请求的延迟时间为 150ms。

[Sysname] ntdp timer hop-delay 150

# 配置被收集设备的端口转发拓扑收集请求的延迟时间为 15ms。

[Sysname] ntdp timer port-delay 15

# 配置定时拓扑收集的时间间隔为 3 分钟。

[Sysname] ntdp timer 3

# 启动集群功能。

[Sysname] cluster enable

# 进入集群视图。

[Sysname] cluster

[Sysname-cluster]

# 配置集群内部使用的 IP 地址池，起始地址为 172.16.0.1，有 6 个地址。

[Sysname-cluster] ip-pool 172.16.0.1 255.255.255.248

# 配置集群名字，建立集群。

[Sysname-cluster] build aaa

2-22

[aaa_0.Sysname-cluster]

# 将下挂的两个交换机加入到集群中。

[aaa_0.Sysname-cluster] add-member 1 mac-address 000f-e201-0011

[aaa_0.Sysname-cluster] add-member 17 mac-address 000f-e201-0012

# 配置成员设备信息的保留时间为 100 秒。

[aaa_0.Sysname-cluster] holdtime 100

# 配置握手报文定时发送的时间间隔为 10 秒。

[aaa_0.Sysname-cluster] timer 10

# 配置集群内部公用的 FTP Server、TFTP Server、Logging host 及 SNMP host。

[aaa_0.Sysname-cluster] ftp-server 63.172.55.1

[aaa_0.Sysname-cluster] tftp-server 63.172.55.1

[aaa_0.Sysname-cluster] logging-host 69.172.55.4

[aaa_0.Sysname-cluster] snmp-host 69.172.55.4

(3) 集群成员上的操作

在管理设备将下挂的设备加入到集群以后，在成员设备上作下列操作。

# 连接到集群公用的远程 FTP 服务器。

<aaa_1.Sysname> ftp cluster

# 成员设备从集群内部公用的 TFTP 服务器下载文件 aaa.txt 到本地。

<aaa_1.Sysname> tftp cluster get aaa.txt

# 成员设备上载文件 bbb.txt 到集群内部公用的 TFTP 服务器。

<aaa_1.Sysname> tftp cluster put bbb.txt

在进行了上述配置之后，用户只要在管理设备上通过命令 cluster switch-to { member-number |

mac-address H-H-H | sysname member-sysname }切换到成员设备配置视图就可以对成员设

备进行维护管理，通过命令 cluster switch-to administrator 切换回管理设备配置视图。在管理设备上用户还可以通过命令 reboot member { member-number | mac-address H-H-H }

[ eraseflash ]对成员设备进行重启操作。关于这些配置操作的具体描述请参见本章前面的相关配

置描述。　在进行了上述配置之后，用户可以在网管工作站接受集群所有成员的日志和 SNMP trap。

2.4.2 集群增强特性综合配置举例

1. 组网需求

集群已经稳定运行；

需要将 MAC 地址为 0001-2034-a0e5 的设备加入集群黑名单，即要求它不参与集群的统一管

理和维护；

将当前集群拓扑保存为标准拓扑，并备份到集群管理交换机本地 FLASH 上；

2-23

2. 组网图

图2-5 集群增强特性组网图

FTP server

192. 168.0.4

2

4

3

192. 168.0.1

0001- 2034-a0e5

Management device

Member device

Member device

Member device

1

3. 配置步骤

# 进入管理设备集群视图。

<aaa_0.Sysname> system-view

[aaa_0.Sysname] cluster

# 设置黑名单。

[aaa_0.Sysname-cluster] black-list add-mac 0001-2034-a0e5

# 备份当前拓扑。

[aaa_0.Sysname-cluster] topology accept all save-to local-flash

i

目录

1 SNMP配置......................................................................................................................................... 1-1

1.1 SNMP简介......................................................................................................................................... 1-1

1.1.1 SNMP的工作机制 ...................................................................................................................1-1 1.1.2 SNMP的版本 ..........................................................................................................................1-1 1.1.3 交换机支持的MIB.................................................................................................................... 1-1

1.2 配置SNMP基本功能 ..........................................................................................................................1-2

1.3 配置Trap相关功能 .............................................................................................................................1-5

1.3.1 配置Trap基本功能...................................................................................................................1-5 1.3.2 配置Trap扩展功能...................................................................................................................1-5

1.4 配置网管操作记入日志 ......................................................................................................................1-6

1.5 SNMP配置显示 ................................................................................................................................. 1-6

1.6 SNMP典型配置举例 ..........................................................................................................................1-7

1.6.1 SNMP配置举例.......................................................................................................................1-7

2 RMON配置 ........................................................................................................................................ 2-1

2.1 RMON简介 ........................................................................................................................................ 2-1

2.1.1 RMON工作机制 ......................................................................................................................2-1 2.1.2 几个常用的RMON组 ...............................................................................................................2-1

2.2 配置RMON........................................................................................................................................ 2-2

2.3 RMON配置显示................................................................................................................................. 2-3

2.4 RMON配置过程举例..........................................................................................................................2-4

1-1

1 SNMP 配置

1.1 SNMP 简介

SNMP（Simple Network Management Protocol，简单网络管理协议），用于保证管理信息在网络

中任意两点间传送，便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故

障诊断、进行容量规划和生成报告。

SNMP 采用轮询机制，提供基本的功能集，特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议 UDP，因此可以实现和众多产品的无障碍连接。

1.1.1 SNMP 的工作机制

SNMP 分为 NMS 和 Agent 两部分：

NMS（Network Management Station，网络管理站）是运行客户端程序的工作站，目前常用

的网管平台有 QuidView、Sun NetManager 和 IBM NetView。

Agent 是运行在网络设备（如交换机）上的服务器端软件。

NMS 可以向 Agent 发出 GetRequest、GetNextRequest 和 SetRequest 报文，Agent 接收到 NMS的这些请求报文后，根据报文类型对管理对象（MIB，Management Information Base，管理信息

库）进行 Read 或 Write 操作，生成 Response 报文，并将报文返回给 NMS。

Agent 在设备发生异常情况或状态改变时（如设备重新启动），也会主动向 NMS 发送 Trap 报文，

向 NMS 汇报所发生的事件。

1.1.2 SNMP 的版本

目前，交换机中的 SNMP Agent 支持 SNMP v3 版本，兼容 SNMP v1 版本、SNMP v2c 版本。

SNMP v3 采用用户名和密码认证方式。

SNMP v1、SNMP v2c 采用团体名（Community Name）认证，非交换机认可团体名的 SNMP 报

文将被丢弃。SNMP 团体名用来定义 SNMP NMS 和 SNMP Agent 的关系。团体名起到了类似于密

码的作用，可以限制 SNMP NMS 访问交换机上的 SNMP Agent。用户可以选择指定以下一个或者

多个与团体名相关的特性：

定义团体名可以访问的 MIB 视图。

设置团体名对 MIB 对象的访问权限为读写权限（write）或者只读权限（read）。具有只读权

限的团体名只能对交换机信息进行查询，而具有读写权限的团体名还可以对交换机进行配置。

设置团体名指定的基本访问控制列表。

1.1.3 交换机支持的 MIB

在SNMP报文中用管理变量来描述交换机中的管理对象。为了唯一标识交换机中的管理对象，SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树，树的节点表示管理对象，如下图

1-1所示。每一个节点，都可以用从根开始的一条路径唯一地标识。

1-2

图1-1 MIB 树结构

1

1 2

1 2

1 2

5 6B

A

MIB（Management Information Base，管理信息库）的作用就是用来描述树的层次结构，它是所

监控网络设备的标准变量定义的集合。在图 1-1中，管理对象B可以用一串数字{1.2.1.1}唯一确定，

这串数字是管理对象的对象标识符（Object Identifier，OID）。

交换机支持的常见MIB如下表 1-1所示。

表1-1 常见 MIB

MIB 属性 MIB 内容参考资料

基于 TCP/IP 网络设备的 MIB II RFC1213

RFC1493 BRIDGE MIB

RFC2675

RIP MIB RFC1724

RMON MIB RFC2819

以太网 MIB RFC2665

公有 MIB

IF MIB RFC1573

DHCP MIB -

QACL MIB -

MSTP MIB -

VLAN MIB -

IPV6 ADRDRESS MIB -

MIRRORGROUP MIB -

QINQ MIB -

802.x MIB -

HGMP MIB -

NTP MIB -

设备管理 -

私有 MIB

接口管理 -

1.2 配置 SNMP 基本功能

SNMP v3 版本和 SNMP v1 版本、SNMP v2c 版本的配置有较大区别，在配置 SNMP 的基本功能

时分为两种情况进行介绍。

1-3

现在交换机支持进行 SNMPv3 用户的配置时采用 AES（Advanced Encryption Standard，高级加

密标准）加密协议。它是替代 DES（Data Encryption Standard，数据加密标准）的新标准，提供

了更高的安全性。

SNMP的具体配置见表 1-2、表 1-3。

表1-2 配置 SNMP 基本功能（SNMP v1 版本、SNMP v2c 版本）

操作命令说明


启动 SNMP Agent 服务 snmp-agent

可选

缺省情况下，SNMP Agent 服务处于

关闭状态

执行此命令或执行 snmp-agent 的任

何一条配置命令，都可以启动 SNMP Agent

设置系统信息，并设置交换机启用

SNMP v1/SNMP v2c 版本

snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } }

必选

缺省情况下，系统维护联系信息为

“Hangzhou H3C Technologies Co., Ltd.”；物理位置信息为

“Hangzhou China”；版本为SNMPv3

直接设

置设置团体名

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

设置一个

SNMP 组

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

设置

团体

名及

访问

权限间接设

置为一个 SNMP组添加一个新

用户

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]

必选

直接设置是以SNMP v1版本、SNMP v2c 版本的团体名概念进行设置

间接设置采用与 SNMP v3 版本一致

的命令形式，添加的用户即相当于

SNMPv1 版本、SNMPv2c 版本的团

体名概念

根据用户习惯，二者任选其一

设置Agent能接收/发送的SNMP消

息包的大小 snmp-agent packet max-size byte-count

可选

缺省情况下，Agent 能接收/发送的

SNMP 消息包长度的大值为 1500字节

设置设备的引擎 ID snmp-agent local-engineid engineid

可选

缺省情况下，设备引擎 ID 为公司的

“企业号＋设备信息”

创建或更新视图的信息 snmp-agent mib-view { included | excluded } view-name oid-tree [ mask mask-value ]

可选

缺省情况下，视图名为 ViewDefault，OID 为 1

1-4

表1-3 配置 SNMP 基本功能（SNMP v3 版本）

操作命令说明


启动 SNMP Agent 服务 snmp-agent

可选

缺省情况下，SNMP Agent 服务处

于关闭状态

执行此命令或执行 snmp-agent 的任何一条配置命令，都可以启动SNMP Agent

设置系统信息,并设置交换机启

用 SNMP v3 版本

snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } }

可选

缺省情况下，系统维护联系信息为

“Hangzhou H3C Technologies Co., Ltd.”；

物理位置信息为“Hangzhou China”；

版本为 SNMPv3

设置一个 SNMP 组

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

计算明文密码的密文形式

snmp-agent calculate-password plain-password mode { md5 | sha } { local-engineid | specified-engineid engineid }

可选

若添加新用户时，需要采用密文形

式密码则需要计算出相应密码，并

保存以便使用

为一个 SNMP 组添加一个新用

户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ]

必选

设置 Agent 能接收/发送的

SNMP 消息包的大小 snmp-agent packet max-size byte-count

可选

缺省情况下，Agent 能接收/发送的

SNMP 消息包长度的大值为

1500 字节

设置设备的引擎 ID snmp-agent local-engineid engineid 可选

缺省情况下，设备引擎 ID 为公司

的“企业号＋设备信息”

创建或更新视图的信息 snmp-agent mib-view { included | excluded } view-name oid-tree [ mask mask-value ]

可选

缺省情况下，视图名为

ViewDefault，OID 为 1

E152 以太网交换机为防止恶意用户对未使用 UDP 端口的攻击，提高交换机的安全性，提供了如下

功能：执行 snmp-agent 命令或执行 snmp-agent 的任何一条配置命令，都可以启动 SNMP Agent，同

时打开 SNMP Agent 使用的 UDP 161 端口和 SNMP TRAP 使用的 UDP 端口。应用 undo snmp-agent 命令的同时即可关闭 SNMP Agent 和 SNMP TRAP 使用的 UDP 端口。

1-5

1.3 配置 Trap 相关功能

1.3.1 配置 Trap 基本功能

Trap 是被管理设备不经请求，主动向 NMS 发送的信息，用于报告一些紧急的重要事件（如被管理

设备重新启动等）。

需要注意的是，在配置 Trap 基本功能前必须完成 SNMP 基本配置。

表1-4 配置 Trap

操作命令说明


配置允许向 NMS发送交换机 Trap信

息

snmp-agent trap enable [ configuration | flash | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system ]

进入端口或者接口视

图 interface interface-type interface-number

允许发送端口或者接

口的 Trap enable snmp trap updown 允许发送端

口 Trap 信息

退回到系统视图 quit

可选

缺省情况下，允许发送 Trap报文

设置 Trap 目标主机地址

snmp-agent target-host trap address udp-domain { ip-address } [ udp-port port-number ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ]

必选

设置发送 Trap 的源地址 snmp-agent trap source interface-type interface-number 可选

设置发往目的主机的 Trap 报文的消

息队列的长度 snmp-agent trap queue-size size

可选

缺省情况下，发往目的主机

的 Trap 报文消息队列长度

为 100

设置 Trap 报文的老化时间 snmp-agent trap life seconds 可选

缺省情况下，Trap 报文的老

化时间为 120 秒

1.3.2 配置 Trap 扩展功能

Trap 扩展功能指在 linkUp/linkDown Trap 消息中加入“接口描述”和“接口类型”内容。当 NMS接收到该扩展 Trap 消息后，根据接口描述和接口类型能够立即判断出是设备的哪个接口出现故障，

有利于快速定位问题。

表1-5 配置 Trap 扩展功能

操作命令说明


配置 Trap 扩展功能 snmp-agent trap ifmib link extended

可选

缺省情况下，linkUp/linkDown Trap 使用

IF-MIB 中定义的标准格式（具体请参见

RFC1213）

1-6

1.4 配置网管操作记入日志

表1-6 配置网管操作记入日志

操作命令说明


配置网管操作记入日志功能 snmp-agent log { set-operation | get-operation | all }

可选

缺省情况下，SNMP 模块的日志

功能关闭

打开 SNMP 日志开关后，SNMP 日志将输出到本设备的信息中心，通过设置信息中心的输出方

向，最终决定 SNMP 日志的输出方向。 SNMP 日志的优先级为 informational，即作为设备的一般提示信息。如果需要查看 SNMP 日志，

需要配置信息中心允许 informational 级别的系统信息输出。有关系统信息及信息中心的详细介绍请参见 “信息中心操作”部分。

1.5 SNMP 配置显示

在完成上述配置后，在任意视图下执行 display 命令，可显示配置后 SNMP 的运行情况，通过查看

显示信息，来验证配置的效果。

表1-7 SNMP 配置显示

配置命令说明

显示当前 SNMP 设备的系统信

息 display snmp-agent sys-info [ contact | location | version ]*

显示 SNMP 报文统计信息 display snmp-agent statistics

显示当前设备的引擎 ID display snmp-agent { local-engineid | remote-engineid }

显示设备的组信息 display snmp-agent group [ group-name ]

显示 SNMP 用户信息 display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ]*

显示 Trap 列表信息 display snmp-agent trap-list

显示当前配置的团体名 display snmp-agent community [ read | write ]

显示当前配置的 MIB 视图 display snmp-agent mib-view [ exclude | include | viewname view-name ]

display命令可以在任意

视图执行

1-7

1.6 SNMP 典型配置举例

1.6.1 SNMP 配置举例

1. 组网需求

网管工作站（NMS）与 Switch A（SNMP Agent）通过以太网相连，网管工作站 IP 地址为

10.10.10.1，Switch A 的 VLAN 接口 IP 地址为 10.10.10.2。

在 Switch A 上进行如下配置：设置团体名和访问权限、管理员标识、联系方法以及交换机的

位置信息、允许交换机发送 Trap 消息。使得通过 NMS 可以获取对交换机的访问权限，并接

收交换机发送的 Trap 消息。

2. 组网图

图1-2 SNMP 配置举例组网图

3. 配置步骤

# 启用 SNMP Agent 服务，并设置 SNMP v1、v2c 版本的团体名。


[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version all

[Sysname] snmp-agent community read public

[Sysname] snmp-agent community write private

# 设置 NMS 访问 SNMP Agent 的 MIB 访问权限。

[Sysname] snmp-agent mib-view include internet 1.3.6.1

# 设置 SNMP v3 版本的群组和用户，安全级别为需要认证和加密，指定认证协议为 HMAC-MD5、认证密码为 passmd5，指定加密协议为 AES、加密密码为 cfb128cfb128。

[Sysname] snmp-agent group v3 managev3group privacy write-view internet

[Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 passmd5

privacy-mode aes128 cfb128cfb128

# 设置网管使用的 VLAN 接口为 VLAN 2 接口，将用于网管的端口 Ethernet1/0/2 加入到 VLAN2 中，

配置 VLAN2 的接口 IP 地址 10.10.10.2。

[Sysname] vlan 2






# 允许交换机向网管工作站 10.10.10.1 发送 Trap 报文，使用的团体名为 public。

[Sysname] snmp-agent trap enable standard authentication

1-8

[Sysname] snmp-agent trap enable standard coldstart

[Sysname] snmp-agent trap enable standard linkup

[Sysname] snmp-agent trap enable standard linkdown

[Sysname] snmp-agent target-host trap address udp-domain 10.10.10.1 udp-port 5000 params

securityname public

4. 配置 NMS

E152 以太网交换机支持 H3C 公司的 QuidView 网管系统。SNMP v3 采用用户名和密码认证方式。

在 QuidView 认证参数部分需要设置用户名，选择安全级别。根据不同的安全级别，需要分别设置

鉴权方式、鉴权密码、加密方式、加密密码等，另外，还要设置超时时间和重试次数。

用户可利用网管系统完成对以太网交换机的查询和配置操作，具体情况请参考 H3C 公司网管产品

的配套手册。

网管系统的认证参数配置必须和设备上保持一致，否则网管系统无法管理设备。

2-1

2 RMON 配置

2.1 RMON 简介

RMON（Remote Monitoring，远程网络监视）是 IETF（Internet Engineering Task Force，Internet工程任务组）定义的一种 MIB（Management Information Base，管理信息库），是对 MIB II 标准

重要的增强。RMON 主要用于对一个网段乃至整个网络中数据流量的监视，是目前应用相当广泛的

网络管理标准之一。

RMON 包括 NMS（Network Management Station，网络管理站）和运行在各网络设备上的 Agent两部分。RMON Agent 运行在网络监视器或网络探测器上，跟踪统计其端口所连接的网段上的各种

流量信息（如某段时间内某网段上的报文总数，或发往某台主机的正确报文总数等）。

RMON 的实现完全基于 SNMP 体系结构，它与现存的 SNMP 框架相兼容。

RMON 使 SNMP 更有效、更积极主动地监测远程网络设备，为监控子网的运行提供了一种高

效的手段。

RMON 能够减少 NMS 与代理（SNMP Agent）间的通讯流量，从而可以简便而有效地管理大

型互连网络。

2.1.1 RMON 工作机制

RMON 允许有多个监控者，它可用两种方法收集数据：

利用专用的 RMON probe（探测仪）收集数据，NMS 直接从 RMON probe 获取管理信息并控

制网络资源。这种方式可以获取 RMON MIB 的全部信息；

将 RMON Agent 直接植入网络设备（路由器、交换机、HUB 等），使它们成为带 RMON probe

功能的网络设施。RMON NMS 使用 SNMP 的基本命令与 SNMP Agent 交换数据信息，收集

网络管理信息，但这种方式受设备资源限制，一般不能获取 RMON MIB 的所有数据，大多数

只收集四个组的信息。这四个组是告警组、事件组、历史组和统计组。

H3C 系列以太网交换机以第二种方法实现 RMON。以太网交换机里直接植入 RMON Agent，成为

带 RMON probe 功能的网络设施。通过运行在以太网交换机上支持 RMON 的 SNMP Agent，网管

站可以获得与以太网交换机端口相连的网段上的整体流量、错误统计和性能统计等信息，实现对网

络的管理。

2.1.2 几个常用的 RMON 组

1. 事件组

事件组用来定义事件号及事件的处理方式。事件组定义的事件主要用在告警组配置项和扩展告警组

配置项中告警触发产生的事件。

事件有如下几种处理方式：

将事件记录在日志表中；

向网管站发 Trap 消息；

将事件记录在日志表中并向网管站发 Trap 消息；

2-2

不作任何处理。

2. 告警组

RMON 告警管理可对指定的告警变量（如端口的统计数据）进行监视，当被监视数据的值在相应的

方向上越过定义的阈值时会产生告警事件，然后按照事件定义的处理方式进行相应的处理。事件的

定义在事件组中实现。

用户定义了告警表项后，系统对告警表项的处理如下：

对所定义的告警变量 alarm-variable 按照定义的时间间隔 sampling-time 进行采样；

将采样值和设定的阈值进行比较，一旦超过该阈值，即触发相应事件。

3. 扩展告警组

扩展告警表项可以对告警变量的采样值进行运算，然后将运算结果和设置的阈值比较，实现更为丰

富的告警功能。

用户定义了扩展告警表项后，系统对扩展告警表项的处理如下：

对定义的扩展告警公式中的告警变量按照定义的时间间隔进行采样；

将采样值按照定义的运算公式进行计算；

将计算结果和与设定的阈值进行比较，一旦超过该阈值，即触发相应事件。

4. 历史组

配置了 RMON 历史组以后，以太网交换机会周期性地收集网络统计信息，为了便于处理，这些统

计信息被暂时存储起来，提供有关网段流量、错误包、广播包、带宽利用率等统计信息的历史数据。

利用历史数据管理功能，可以对设备进行设置。设置的任务包括：采集历史数据、定期采集并保存

指定端口的数据。

5. 统计组

统计组信息反映交换机上每个监控接口的统计值。统计组统计的是从该统计组创建的时间开始的累

计信息。

统计信息包括网络冲突数、CRC 校验错误报文数、过小（或超大）的数据报文数、广播、多播的报

文数以及接收字节数、接收报文数等。

利用 RMON 统计管理功能，可以监视端口的使用情况、统计端口使用中发生的错误。

2.2 配置 RMON

在配置RMON功能之前，必须保证SNMP Agent已经正确配置。SNMP Agent的配置请参见 1.2 配置SNMP基本功能。

表2-1 RMON 配置过程

操作命令说明


添加事件表的一个表项 rmon event event-entry [ description string ] { log | trap trap-community | log-trap log-trapcommunity | none } [ owner text ]

可选

2-3

操作命令说明

添加告警表的一个表项

rmon alarm entry-number alarm-variable sampling-time { delta | absolute } rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 [ owner text ]

可选

在添加告警表项之前，需

要通过 rmon event 命令

定义告警表项中引用的事

件

添加扩展告警表的一个表项

rmon prialarm entry-number prialarm-formula prialarm-des sampling-timer { delta | absolute | changeratio } rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 entrytype { forever | cycle cycle-period } [ owner text ]

可选

在添加扩展告警表项之

前，需要通过 rmon event命令定义扩展告警表项中

引用的事件


添加历史表的一个表项 rmon history entry-number buckets number interval sampling-interval [ owner text ] 可选

添加统计表的一个表项 rmon statistics entry-number [ owner text ] 可选

使用 rmon alarm 命令和 rmon prialarm 命令对节点进行监控时，要求被监控的节点必需存在，

否则配置无效。使用 rmon statistics 命令添加统计表项时，一个端口下只能创建一个 rmon 统计表项。即如果

在一个端口下已经创建了一个统计表项，再在该端口下创建一个其他索引号的统计表项则不能成

功。

2.3 RMON 配置显示

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 RMON 的运行情况，通过查

看显示信息验证配置的效果。

表2-2 RMON 显示和维护

配置命令说明

显示 RMON 统计消息 display rmon statistics [ interface-type interface-number | unit unit-number ]

显示 RMON 历史信息 display rmon history [ interface-type interface-number | unit unit-number ]

显示 RMON 告警信息 display rmon alarm [ entry-number ]

显示扩展 RMON 告警信息 display rmon prialarm [ prialarm-entry-number ]

显示 RMON 事件 display rmon event [ event-entry ]

显示 RMON 事件日志 display rmon eventlog [ event-entry ]

display命令可以在任意

视图执行

2-4

2.4 RMON 配置过程举例

1. 组网需求

被检测交换机通过 Internet 连接远端 NMS。在配置 RMON 功能之前，必须保证 SNMP Agent

已经正确配置；

在 RMON 扩展告警表中设定一个表项，对以太网端口的统计信息进行监视，当变化率超过设

定的阈值就触发告警事件。

2. 组网图

图2-1 配置 RMON 组网图

3. 配置步骤

# 创建索引号为 1 的统计表项，记录以太网口 1/0/1 的统计信息。



[Sysname-Ethernet1/0/1] rmon statistics 1


# 创建扩展告警触发的事件。

[Sysname] rmon event 1 log

[Sysname] rmon event 2 trap 10.21.30.55

# 在扩展告警表中添加索引号为 2 的表项，对相应告警变量以公式

（.1.3.6.1.2.1.16.1.1.1.9.1+.1.3.6.1.2.1.16.1.1.1.10.1）运算，得出以太网口 1/0/1 接收到的所有数

据格式正确的过小包和过大包的数量，对该运算结果以 10 秒的采样间隔进行监视，当变化率大于

等于上限阈值 50 时触发事件 1，小于等于下限阈值 5 时触发事件 2，设置告警实例采样类型为

forever，创建者为 user1。

[Sysname] rmon prialarm 2 (.1.3.6.1.2.1.16.1.1.1.9.1+.1.3.6.1.2.1.16.1.1.1.10.1) test 10

changeratio rising_threshold 50 1 falling_threshold 5 2 entrytype forever owner user1

# 查看索引号为 2 的 RMON 扩展告警表项的配置

[Sysname] display rmon prialarm 2

Prialarm table 2 owned by user1 is VALID.

Samples type : changeratio

Variable formula : (.1.3.6.1.2.1.16.1.1.1.9.1+.1.3.6.1.2.1.16.1.1.1.10.1)

Description : test

Sampling interval : 10(sec)

Rising threshold : 100(linked with event 1)

Falling threshold : 10(linked with event 2)

When startup enables : risingOrFallingAlarm

This entry will exist : forever.

2-5

Latest value : 0

i

目录

1 NTP配置 ............................................................................................................................................ 1-1

1.1 NTP简介............................................................................................................................................ 1-1

1.1.1 NTP应用 ................................................................................................................................. 1-1 1.1.2 NTP工作原理 ..........................................................................................................................1-1 1.1.3 NTP工作模式 ..........................................................................................................................1-3

1.2 NTP配置任务简介 .............................................................................................................................1-4

1.3 配置NTP工作模式 .............................................................................................................................1-5

1.3.1 配置NTP服务器/客户端模式 ................................................................................................... 1-5 1.3.2 配置NTP对等体模式 ...............................................................................................................1-6 1.3.3 配置NTP广播模式...................................................................................................................1-6 1.3.4 配置NTP组播模式...................................................................................................................1-7

1.4 配置访问控制权限 .............................................................................................................................1-8

1.4.1 配置准备 ................................................................................................................................. 1-8 1.4.2 配置访问控制权限...................................................................................................................1-9

1.5 配置NTP验证功能 .............................................................................................................................1-9

1.5.1 配置准备 ................................................................................................................................. 1-9 1.5.2 配置过程 ...............................................................................................................................1-10

1.6 配置NTP可选参数 ...........................................................................................................................1-11

1.6.1 配置本地交换机发送NTP报文的接口.................................................................................... 1-11 1.6.2 配置本地交换机允许建立的动态会话数目 ............................................................................ 1-11 1.6.3 配置禁止接口接收NTP报文 .................................................................................................. 1-12

1.7 NTP配置显示................................................................................................................................... 1-12

1.8 NTP典型配置举例 ...........................................................................................................................1-12

1.8.1 配置NTP服务器/客户端模式 ................................................................................................. 1-12 1.8.2 配置NTP对等体模式 .............................................................................................................1-14 1.8.3 配置NTP广播模式.................................................................................................................1-15 1.8.4 配置NTP组播模式.................................................................................................................1-16 1.8.5 配置带身份验证的NTP服务器/客户端模式 ........................................................................... 1-18

1-1

1 NTP 配置

1.1 NTP 简介

NTP（Network Time Protocol，网络时间协议）是由 RFC1305 定义的时间同步协议，用于在分布

式时间服务器和客户端之间进行时间同步。NTP 基于 UDP 报文进行传输，使用的 UDP 端口号为

123。

NTP的目标是对网络内所有具有时钟的设备进行时钟同步，使网络内所有设备的时钟基本保持一

致，从而使设备能够提供基于统一时间的多种应用（参见 1.1.1 ）。

对于运行 NTP 的本地系统，既可以接受来自其他时钟源的同步，又可以作为时钟源同步其他时钟，

并且可以通过交换 NTP 报文互相同步。

1.1.1 NTP 应用

对于网络中的设备，依靠管理员手工输入命令来修改系统时钟是不可思议的，这不但工作量巨大，

而且也不能保证时钟的精确性。但通过配置 NTP，可以很快将网络中各设备的时钟同步，同时也能

确保很高的精度。

NTP 主要应用于需要网络中所有设备的时钟保持一致的场合，比如：

在网络管理中，对从不同设备采集而得的日志信息、调试信息进行分析时，需要以时间作为

参照依据。

计费系统要求所有设备的时钟一致。

完成某些功能，如定时重新启动网络中的所有设备，要求所有设备的时钟保持一致。

多个系统协同处理同一个比较复杂的事件时，为保证正确的执行顺序，多个系统必须参考同

一时钟。

在备份服务器和客户机之间进行增量备份时，要求备份服务器和所有客户机之间的时钟同步。

NTP 的优势如下：

采用分层的方法来定义时钟的准确度，可以迅速同步网络中各设备的时间。

支持访问控制（参见 1.4 ）和MD5 加密验证（参见 1.5 ）。

可以选择采用单播、组播或广播方式发送协议报文。

时钟的层数决定了时钟的准确度，其取值范围为 1～16。参考时钟的层数取值范围为 1～15，准

确度从 1 到 15 依次递减。层数为 16 的时钟处于未同步状态，不能作为参考时钟。 H3C E152 以太网交换机不支持设置本身时钟为参考时钟，只有当其时钟被同步后，才能作为时

钟源去同步其他设备。

1.1.2 NTP 工作原理

NTP的基本工作原理如图 1-1所示。

1-2

以太网交换机 A（Device A）和以太网交换机 B（Device B）通过以太网端口相连，它们都有自己

独立的系统时钟，需要通过 NTP 实现各自系统时钟的自动同步。为便于理解，作如下假设：

在 Device A 和 Device B 的系统时钟同步之前，Device A 的时钟设定为 10:00:00am，Device

B 的时钟设定为 11:00:00am。

把 Device B 作为 NTP 时间服务器，即 Device A 将使自己的时钟与 Device B 的时钟同步。

数据包在 Device A 和 Device B 之间单向传输所需要的时间为 1 秒。

图1-1 NTP 基本原理图

IP network

IP network

IP network

IP network

Device BDevice A

Device BDevice A

Device BDevice A

Device BDevice A

10:00:00 am 11:00:01 am

10:00:00 am

NTP message 10:00:00 am 11:00:01 am 11:00:02 am

NTP message

NTP message

NTP message received at 10:00:03 am

1.

3.

2.

4.

系统时钟同步的工作过程如下：

Device A 发送一个 NTP 消息包给 Device B，该消息包带有它离开 Device A 时的时间戳，该

时间戳为 10:00:00am（T1）。

当此NTP消息包到达Device B时，Device B加上自己的时间戳，该时间戳为11:00:01am（T2）。

当此 NTP 消息包离开 Device B 时，Device B 再加上自己的时间戳，该时间戳为 11:00:02am

（T3）。

当 Device A 接收到该响应消息包时，Device A 的本地时间为 10:00:03am（T4）。

至此，Device A 已经拥有足够的信息来计算两个重要的参数：

NTP 消息来回一个周期的时延 Delay=（T4-T1）-（T3-T2）。

Device A 相对 Device B 的时间差 offset=（（T2-T1）+（T3-T4））/2。

这样，Device A 就能够根据这些信息来设定自己的时钟，使之与 Device B 的时钟同步。

以上内容只是对 NTP 工作原理的粗略描述，详细内容请参阅 RFC1305。

1-3

1.1.3 NTP 工作模式

根据网络结构和以太网交换机在网络中的位置，本地以太网交换机可以采用多种 NTP 工作模式进

行时间同步。

1. 服务器/客户端模式

图1-2 服务器/客户端模式

2. 对等体模式

图1-3 对等体模式

主动对等体先发出时钟同步报文，其对等体自动工作在被动对等体模式。

如果对等体双方都有参考时钟，则以层数小的时钟为准。

3. 广播模式

图1-4 广播模式

1-4

4. 组播模式

图1-5 组播模式

H3C E152 以太网交换机支持的NTP工作模式情况，如表 1-1所示。

表1-1 H3C E152 以太网交换机支持的 NTP 工作模式

NTP 工作模式 H3C E152 以太网交换机支持情况说明

服务器/客户端模式 E152 上配置 NTP 客户端模式，即：把远程服务器作为本地时间服务器，本地以太网交

换机作为客户端

对等体模式 E152 上配置 NTP 对等体模式，即：把远程服务器作为本地以太网交换机的对等体，本

地交换机作为主动对等体

广播模式

E152 上配置 NTP 广播服务器模式，即：本地以太网交换机的一个接口发送 NTP 的

广播消息包 E152 上配置 NTP 广播客户端模式，即：本地以太网交换机的一个接口接收 NTP 的

广播消息包

组播模式

E152 上配置 NTP 组播服务器模式，即：本地以太网交换机的一个接口发送 NTP 组

播消息包 E152 上配置 NTP 组播客户端模式，即：本地以太网交换机的一个接口接收 NTP 组

播消息包

当 H3C E152 以太网交换机工作于服务器模式或者被动对等体模式时，无需命令配置，只需在客

户端或主动对等体配置即可；只有 H3C E152 以太网交换机的本地时钟被同步后，NTP 服务器模式、NTP 广播服务器模式或

NTP 组播服务器模式才会生效；当两台以太网交换机配置了对等体模式互相同步时钟时，必须至少有一台交换机的时钟已经处于

同步状态，只有这样所作的配置才能生效。

1.2 NTP 配置任务简介

表1-2 NTP 配置任务简介


配置 NTP 工作模式必选参见 1.3

配置访问控制权限可选参见 1.4

配置 NTP 验证功能可选参见 1.5

1-5


配置 NTP 可选参数可选参见 1.6

NTP 配置显示可选参见 1.7

1.3 配置 NTP 工作模式

根据以太网交换机在网络中的位置和网络结构，交换机可设置的 NTP 工作模式有：

表1-3 NTP 工作模式简介

NTP 工作模式详细配置

NTP 服务器/客户端模式参见 1.3.1

NTP 对等体模式参见 1.3.2

NTP 广播模式参见 1.3.3

NTP 组播模式参见 1.3.4

H3C E152 以太网交换机为防止恶意用户对未使用 SOCKET 的攻击，提高交换机的安全性，提供了

如下功能：在启动 NTP 功能时，才打开 NTP 使用的 UDP 123 端口。在关闭 NTP 功能时，同时关闭 UDP 123 端口。具体的实现是：

执行 ntp-service unicast-server，ntp-service unicast-peer，ntp-service broadcast-client，ntp-service broadcast-server，ntp-service multicast-client，ntp-service multicast-server六条命令的其中一条，都可以启动 NTP 功能，同时打开 NTP 使用的 UDP 123 端口。

使用上面六条命令的 undo 命令来关闭 NTP 所有的工作模式，即可同时关闭 UDP 123 端口。

1.3.1 配置 NTP 服务器/客户端模式

当交换机采用服务器/客户端模式时，只需在客户端进行配置，服务器端不需进行配置。

表1-4 配置 NTP 服务器/客户端模式

操作命令说明


配置 NTP 客户端

模式

ntp-service unicast-server { remote-ip | server-name } [ authentication-keyid key-id | priority | source-interface Vlan-interface vlan-id | version number ]*

必选

缺省情况下，没有配置以太网

交换机工作在NTP客户端模式

1-6

remote-ip 或 server-name 所指定的远程服务器作为 NTP 时间服务器，本地以太网交换机作为客

户端。客户端的时钟将以 NTP 服务器的时间为准进行同步，而 NTP 服务器的时钟不会被客户端

的时钟同步。 remote-ip 不能为广播、组播地址或本地时钟的 IP 地址。通过 source-interface 参数指定发送 NTP 报文的接口后，NTP 报文的源 IP 地址将被设置为指

定接口的主 IP 地址。服务器端只有当其时钟被同步后，才能作为时间服务器去同步其他设备。当服务器端的时钟层数

大于或等于客户端的时钟层数时，客户端将不会向其同步。可以通过多次执行 ntp-service unicast-server 命令配置多个服务器，客户端依据时钟优选来选

择最优的时钟源。

1.3.2 配置 NTP 对等体模式

当交换机采用对等体模式时，需要在主动对等体上指定被动对等体。

表1-5 配置 NTP 对等体模式

操作命令说明


配置 NTP 对等体

模式

ntp-service unicast-peer { remote-ip | peer-name } [ authentication-keyid key-id | priority | source-interface Vlan-interface vlan-id | version number ]*

必选

缺省情况下，没有配置以太网交换机工作

在对等体模式

在对等体模式中，被动对等体上需要执行NTP配置的相关命令（E152 以太网交换机的相关命令

请参见 1.3 ）来开启NTP，否则被动对等体不会处理来自主动对等体的NTP报文。 remote-ip 或 peer-name 所指定的远程设备作为本地以太网交换机的对等体，本地交换机运行在

主动对等体模式。此时，本地交换机的时钟可以同步到远程设备，而远程设备的时钟也能同步到

本地交换机。 remote-ip 不能为广播、组播地址或本地时钟的 IP 地址。通过 source-interface 参数指定发送 NTP 报文的接口后，NTP 报文的源 IP 地址将被设置为指

定接口的 IP 地址。通常，主/被动对等体的时钟中至少有一个处于同步状态，否则它们将都无法同步。可以通过多次执行 ntp-service unicast-peer 命令为本地交换机配置多个被动对等体，本地时钟

将选择层数最小的对等体的时钟进行同步。

1.3.3 配置 NTP 广播模式

当交换机采用广播模式时，需要在服务器端和客户端都进行配置。广播服务器周期性地向广播地址

255.255.255.255 发送 NTP 广播报文，配置了 NTP 广播客户端模式的设备将回应这个报文，从而

开始时钟同步过程。

H3C E152 以太网交换机支持广播服务器和广播客户端两种工作模式：

交换机工作于NTP广播服务器模式的配置参见表 1-6

1-7

交换机工作于NTP广播客户端模式的配置参见表 1-7

广播服务器只有当其时钟被同步后，才能去同步广播客户端。

1. 配置交换机工作于 NTP 广播服务器模式

表1-6 配置交换机工作于 NTP 广播服务器模式

操作命令说明



配置交换机工作于

NTP 广播服务器模式

ntp-service broadcast-server [ authentication-keyid key-id | version number ]*

必选


在 NTP 广播服务器模式

2. 配置交换机工作于 NTP 广播客户端模式

表1-7 配置交换机工作于 NTP 广播客户端模式

操作命令说明




NTP 广播客户端模式ntp-service broadcast-client

必选


在 NTP 广播客户端模式

1.3.4 配置 NTP 组播模式

交换机采用组播模式时，需要在服务器端和客户端都进行配置。NTP 组播服务器将以组播形式周期

性发送时钟同步报文，配置了 NTP 组播客户端模式的设备将回应这个报文，从而开始时钟同步过

程。

H3C E152 以太网交换机支持组播服务器和组播客户端两种工作模式：

交换机工作于NTP组播服务器模式的配置参见表 1-8

交换机工作于NTP组播客户端模式的配置参见表 1-9

组播服务器只有当其时钟被同步后，才能去同步组播客户端。工作在组播服务器模式的 E152 交换机最多可以支持 1024 个组播客户端。

1-8

1. 配置交换机工作于 NTP 组播服务器模式

表1-8 配置交换机工作于 NTP 组播服务器模式

操作命令说明




NTP 组播服务器模式

ntp-service multicast-server [ ip-address ] [ authentication-keyid keyid | ttl ttl-number | version number ]*

必选

缺省情况下，没有配置以太网交

换机工作在 NTP 组播服务器模

式

2. 配置交换机工作于 NTP 组播客户端模式

表1-9 配置交换机工作于 NTP 组播客户端模式

操作命令说明




NTP 组播客户端模式 ntp-service multicast-client [ ip-address ]必选


在 NTP 组播客户端模式

1.4 配置访问控制权限

用户可以配置远程设备对本地交换机 NTP 服务的访问控制权限。

访问控制权限可分为四种：

query：控制查询权限。该权限只允许远程设备对本地交换机的 NTP 服务进行控制查询，但

是不能向本地交换机同步时钟。所谓的控制查询，就是查询 NTP 的一些状态，比如告警信息，

验证状态，时钟源信息等。

synchronization：同步权限。该权限只允许远程设备向本地交换机同步时钟，但不能进行控

制查询。

server：服务器权限。该权限允许远程设备向本地交换机同步时钟和控制查询，但本地交换

机不会向远程设备同步时钟。

peer：对等体权限。该权限既允许远程设备向本地交换机同步时钟和控制查询，同时本地交

换机把本地时钟同步到远程设备。

NTP 服务的访问控制权限从高到低依次为 peer、server、synchronization、query。当设备接收

到一个 NTP 服务请求时，会按照此顺序进行匹配，以第一个匹配的权限为准。

1.4.1 配置准备

在配置远程设备对本地交换机 NTP 服务的访问控制权限之前，需要创建并配置与访问权限相关联

的 ACL。ACL 的配置方法请参见本手册的“ACL 操作”部分。

1-9

1.4.2 配置访问控制权限

表1-10 设置远程设备对本地交换机 NTP 服务的访问控制权限

操作命令说明


设置远程设备对本地交换机

NTP 服务的访问控制权限

ntp-service access { peer | server | synchronization | query } acl-number

可选

缺省情况下，远程设备对本地 NTP 服

务器的访问控制权限为 peer

配置远程设备对本地交换机 NTP 服务的访问控制权限，仅对本地交换机提供了一种最小限度的安

全措施，更安全的方法是进行身份验证。

1.5 配置 NTP 验证功能

在一些对安全性要求较高的网络中，运行NTP协议时需要开启验证功能。通过客户端和服务器端的

密码验证，从而保证了客户端只与通过验证的设备进行时钟同步，提高了网络安全性。NTP验证功

能角色分类如表 1-11所示。

表1-11 NTP 验证功能角色分类

设备角色工作模式

服务器/客户端模式的客户端-

广播模式的客户端

组播模式的客户端客户端

对等体模式的主动对等体

服务器/客户端模式的服务器端

广播模式的服务器端

组播模式的服务器端服务器端

对等体模式的被动对等体

1.5.1 配置准备

配置 NTP 验证功能分为两个部分：客户端的 NTP 验证和服务器端的 NTP 验证。

在配置 NTP 验证功能时，应注意以下原则：

如果客户端没有开启 NTP 验证功能，不论服务器端是否开启 NTP 验证，客户端均可以与服务

器端同步时钟（其他配置无误）。

服务器端和客户端开启了 NTP 验证功能后，还都需要配置可信的密钥。否则， NTP 验证功能

将不能生效。

客户端只会把本地时钟同步到提供可信密钥的服务器，如果服务器提供的密钥不是可信的密

钥，那么客户端不会与其同步时钟。

1-10

对于服务器/客户端模式和对等体模式，还应在客户端（对等体模式中的主动对等体）将指定

密钥与对应的 NTP 服务器（对等体模式的被动对等体）关联；对于 NTP 广/组播模式，应在

广/组播服务器端将指定密钥与对应 NTP 广/组播客户端关联。否则，无法正常启用 NTP 验证

功能。

服务器的配置与客户端的配置应保持一致。

1.5.2 配置过程

1. 配置客户端的 NTP 验证

表1-12 配置客户端的 NTP 验证

操作命令说明


开启 NTP 验证功能 ntp-service authentication enable 必选

缺省情况下，NTP 身份验证功能处

于关闭状态

配置 NTP 验证密钥 ntp-service authentication-keyid key-id authentication-mode md5 value

必选

缺省情况下，没有设置 NTP 验证密

钥

配置指定密钥为可信密钥 ntp-service reliable authentication-keyid key-id

必选

缺省情况下，没有设置可信验证密

钥

NTP 服务器/客户

端模式的客户端

ntp-service unicast-server { remote-ip | server-name } authentication-keyid key-id

将指定密钥

与对应的

NTP服务器

关联 NTP 对等体模式

的主动对等体端

ntp-service unicast-peer { remote-ip | peer-name } authentication-keyid key-id

必选

对于 NTP 广/组播模式的客户端，无

需此项配置，只需在对应服务器端

将密钥和 NTP 客户端关联

客户端开启 NTP 验证功能后，必须配置与服务器端相同的验证密钥，并且必须声明该密钥是可信

的，否则无法与服务器同步时钟。

2. 配置服务器端的 NTP 验证

表1-13 配置服务器端的 NTP 验证

操作命令说明


开启 NTP 验证功能 ntp-service authentication enable 必选

缺省情况下， NTP 身份验证功能处于

关闭状态

配置 NTP 验证密钥 ntp-service authentication-keyid key-id authentication-mode md5 value

必选

缺省情况下，没有设置 NTP 验证密钥

配置指定密钥为可信密钥 ntp-service reliable authentication-keyid key-id

必选

缺省情况下，没有设置可信验证密钥

1-11

操作命令说明


NTP 广播服

务器端 ntp-service broadcast-server authentication-keyid key-id 将指定密

钥与对应

的NTP广/组播客户

端关联 NTP 组播服

务器端 ntp-service multicast-server authentication-keyid key-id

对于 NTP 广播服务器模式和 NTP组播服务器模式，必须在服务器端

将指定密钥与对应的 NTP 广/组播

客户端进行关联可以在配置 NTP 工作模式的同时，

将 NTP 服务器与验证密钥进行关

联；也可以在配置好 NTP 工作模式

后，通过本命令进行关联操作

服务器端的 NTP 验证配置步骤与客户端的相同，并且两端必须配置相同的密钥。

1.6 配置 NTP 可选参数

表1-14 NTP 可选参数配置任务简介


配置本地交换机发送 NTP 报文的接口可选参见 1.6.1

配置本地交换机允许建立的动态会话数目可选参见 1.6.2

配置禁止接口接收 NTP 报文可选参见 1.6.3

1.6.1 配置本地交换机发送 NTP 报文的接口

表1-15 配置本地交换机发送 NTP 报文的接口

操作命令说明


设置本地交换机发送 NTP 消息的接口 ntp-service source-interface Vlan-interface vlan-id 必选

如果在 ntp-service unicast-server 命令或 ntp-service unicast-peer 命令中也指定了发送接口，

则报文中的源 IP 地址以这些命令指定的为准。

1.6.2 配置本地交换机允许建立的动态会话数目

同一设备同一时间内存在的连接数目最多为 128 个，其中包括静态连接数和动态连接数。静态连接

是用户手动配置 NTP 相关命令而建立的连接；动态连接是系统运行过程中建立的临时连接，若系

统长期收不到报文就会删除该临时连接。

例如，在服务器/客户端模式中，当用户在客户端配置向服务器端同步的命令的时候，系统会在客户

端建立一个静态连接，服务器端在收到报文之后只是被动的响应报文，而不会建立连接（包括静态

1-12

和动态连接）；在对等体模式中，主动对等体端会建立静态连接，被动对等体端会建立动态连接；

在组播和广播模式中，服务器端会建立静态连接，而在客户端会建立动态连接。

表1-16 配置本地交换机允许建立的动态会话数目

操作命令说明


设置本地交换机允许建立

的动态会话数目 ntp-service max-dynamic-sessions number

必选

缺省情况下，本地允许建立的动态

会话数目为 100

1.6.3 配置禁止接口接收 NTP 报文

表1-17 配置禁止接口接收 NTP 报文

操作命令说明



设置禁止接口接收 NTP 报

文 ntp-service in-interface disable 必选

缺省情况下，接口接收 NTP 报文

1.7 NTP 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示交换机配置 NTP 后的运行情况。通过


表1-18 NTP 配置显示

操作命令说明

显示 NTP 服务的状态信息 display ntp-service status

显示 NTP 服务维护的会话信息 display ntp-service sessions [ verbose ]

显示从本地设备回溯到参考时钟源的各个

NTP 时间服务器的简要信息 display ntp-service trace


意视图下执行

1.8 NTP 典型配置举例

1.8.1 配置 NTP 服务器/客户端模式

1. 组网需求

Device A 是支持本地时钟作为主时钟的交换机，并已设置本地时钟作为 NTP 主时钟，层数为

2。

Device B 是一台 E152 以太网交换机，以 Device A 作为时间服务器。

配置 Device B 工作于客户端模式，则 Device A 将自动工作于服务器模式。

1-13

2. 组网图

图1-6 NTP 服务器/客户端模式配置组网图

3. 配置步骤

以下配置都是在 Device B 上进行。

# 同步前查看 Device B 的 NTP 状态。

<DeviceB> display ntp-service status

Clock status: unsynchronized

Clock stratum: 16

Reference clock ID: none

Nominal frequency: 100.0000 Hz

Actual frequency: 100.0000 Hz

Clock precision: 2^18

Clock offset: 0.0000 ms

Root delay: 0.00 ms

Root dispersion: 0.00 ms

Peer dispersion: 0.00 ms

Reference time: 00:00:00.000 UTC Jan 1 1900 (00000000.00000000)

# 设置 Device B 以 Device A 作为时间服务器。

<DeviceB> system-view

[DeviceB] ntp-service unicast-server 1.0.1.11

# 以上配置将使 Device B 向 Device A 进行时间同步，同步后查看 Device B 的 NTP 状态。

[DeviceB] display ntp-service status

Clock status: synchronized

Clock stratum: 3

Reference clock ID: 1.0.1.11





Root delay: 27.47 ms



Reference time: 17:03:32.022 UTC Apr 2 2007 (BF422AE4.05AEA86C)

此时，Device B 的时钟已经与 Device A 的时钟同步，层数为 3（比 Device A 的层数大 1）。

# 查看 Device B 的 NTP 会话信息，可以看到 Device B 与 Device A 建立了连接。

[DeviceB] display ntp-service sessions

source reference stra reach poll now offset delay disper

*************************************************************************

[12345]1.0.1.11 127.127.1.0 2 1 64 1 350.1 15.1 0.0

1-14

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured Total

associations : 1

1.8.2 配置 NTP 对等体模式

1. 组网需求

Device A 是支持本地时钟作为主时钟的交换机，并已设置本地时钟作为 NTP 主时钟，层数为

2。

Device C 是一台 E152 以太网交换机，以 Device A 作为时间服务器，此时 Device A 自动工

作于服务器模式。

Device B 是支持本地时钟作为主时钟的交换机，并设置本地时钟作为 NTP 主时钟，层数为 1。

设置 Device B 将 Device C 设为对等体。

2. 组网图

图1-7 NTP 对等体模式配置组网图

Device A

Device B Device C

3.0.1.31/24

3.0.1.32/24 3.0.1.33/24

3. 配置步骤

(1) 配置 Device C

# 设置 Device A 为时间服务器。

<DeviceC> system-view

[DeviceC] ntp-service unicast-server 3.0.1.31

(2) 配置 Device B（Device C 向 Device A 同步后）



# 设置 Device C 为对等体。

[DeviceB] ntp-service unicast-peer 3.0.1.33

以上配置将 Device C 和 Device B 配置为对等体，Device B 处于主动对等体模式，Device C 处于

被动对等体模式。由于 Device B 本地时钟的层数为 1，而 Device C 的层数为 3，所以 Device C 向

Device B 同步时钟。

同步时钟后查看 Device C 的状态为：

[DeviceC] display ntp-service status


1-15

Clock stratum: 2










此时 Device C 已经与 Device B 同步时钟，层数为 2，比 Device B 大 1。

# 查看 Device C 的 NTP 会话信息，可以看到 Device C 与 Device B 建立了连接。

[DeviceC] display ntp-service sessions


*************************************************************************

[1234]3.0.1.32 LOCL 1 95 64 42 -14.3 12.9 2.7

[25]3.0.1.31 127.127.1.0 2 1 64 1 4408.6 38.7 0.0

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations : 2

1.8.3 配置 NTP 广播模式

1. 组网需求

Device C 是支持本地时钟作为主时钟的交换机，并设置本地时钟作为 NTP 主时钟，层数为 2。

设置 Device C 工作于广播服务器模式，由 Vlan-interface2 向外发送广播消息包。

Device A 和 Device D 是两台 E152 以太网交换机。设置 Device A 和 Device D 工作于广播客

户端模式，分别从各自的 Vlan-interface2 监听广播消息。

2. 组网图

图1-8 NTP 广播模式配置组网图

Vlan-int21.0.1.31/24

Vlan-int23.0.1.31/24

Vlan-int23.0.1.32/24

Device A Device B

Device C

Device D

3. 配置步骤

(1) 配置 Device C

1-16



# 设置为广播服务器，从 Vlan-interface2 发送广播消息包。

[DeviceC] interface Vlan-interface 2

[DeviceC-Vlan-interface2] ntp-service broadcast-server

(2) 配置 Device A（在 Device D 上做同样配置）



# 设置为广播客户端，从 Vlan-interface2 监听广播消息。

[DeviceA] interface Vlan-interface 2

[DeviceA-Vlan-interface2] ntp-service broadcast-client

以上配置将 Device A 和 Device D 配置为从 Vlan-interface2 监听广播消息，而 Device C 从

Vlan-interface2 发送广播消息包。由于 Device A 与 Device C不在相同的网段，所以接收不到 Device C 发出的广播包，而 Device D 接收到 Device C 发出的广播包后与其同步时钟。

同步时钟后查看 Device D 的 NTP 状态为：

[DeviceD] display ntp-service status


Clock stratum: 3










此时 Device D 已经与 Device C 同步，层数为 3(比 Device C 大 1)。

# 查看 Device D 的 NTP 会话信息情况，可以看到 Device D 与 Device C 建立了连接。

[DeviceD] display ntp-service sessions


*************************************************************************

[1234]3.0.1.31 127.127.1.0 2 1 64 377 26.1 199.53 9.7


associations : 1

1.8.4 配置 NTP 组播模式

1. 组网需求

Device C 是支持本地时钟作为主时钟的交换机，并设置本地时钟作为 NTP 主时钟，层数为 2。

设置 Device C 工作于组播服务器模式，从 Vlan-interface2 向外发送组播消息包。

Device A 和 Device D 是两台 E152 以太网交换机。设置 Device A 和 Device D 工作于组播客

户端模式，分别从各自的 Vlan-interface2 监听组播消息。

1-17

2. 组网图

图1-9 NTP 组播模式配置组网图

Vlan-int21.0.1.31/24

Vlan-int23.0.1.31/24

Vlan-int23.0.1.32/24

Device A Device B

Device C

Device D

3. 配置步骤

(1) 配置 Device C



# 设置 Device C 为组播服务器, 从 Vlan-interface2 发送组播消息包。

[DeviceC] interface Vlan-interface 2

[DeviceC-Vlan-interface2] ntp-service multicast-server

(2) 配置 Device A（在 Device D 上做同样配置）



# 设置 Device A 为组播客户端，从 Vlan-interface2 监听组播消息。

[DeviceA] interface Vlan-interface 2

[DeviceA-Vlan-interface2] ntp-service multicast-client

以上配置将 Device A 和 Device D 配置为从 Vlan-interface2 监听组播消息，而 Device C 从

Vlan-interface2 发送组播消息包。由于 Device A 与 Device C 不在同一网段，所以 Device A 收不到

Device C 发出的组播包，而 Device D 接收到 Device C 发出的组播包后与其同步时钟。

同步时钟后查看 Device D 的状态为：

[DeviceD] display ntp-service status


Clock stratum: 3









1-18


此时 Device D 已经与 Device C 同步，层数为 3（比 Device C 大 1）。

# 查看 Device D 的 NTP 会话信息，可以看到 Device D 与 Device C 建立了连接。

[DeviceD] display ntp-service sessions


*************************************************************************

[1234]3.0.1.31 127.127.1.0 2 1 64 377 26.1 199.53 9.7


associations : 1

1.8.5 配置带身份验证的 NTP 服务器/客户端模式

1. 组网需求

Device A 是支持本地时钟作为主时钟的交换机，并设置本地时钟作为 NTP 主时钟，层数为 2。

Device B 是一台 E152 以太网交换机，以 Device A 作为时间服务器，将自己设置为客户端模

式，此时 Device A 将自动工作于服务器模式。

在 Device A 和 Device B 之间配置 NTP 验证。

2. 组网图

图1-10 带身份验证的 NTP 服务器/客户端模式配置组网图

3. 配置步骤

(1) 配置 Device B



# 开启 NTP 验证功能。

[DeviceB] ntp-service authentication enable

# 设置编号为 42 的 MD5 密钥，内容为“aNiceKey”。

[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定 42 号密钥为可信密钥。

[DeviceB] ntp-service reliable authentication-keyid 42

# 关联可信密钥和 NTP 时间服务器 Device A。

[DeviceB] ntp-service unicast-server 1.0.1.11 authentication-keyid 42

以上配置将 Device B 向 Device A 进行时间同步，但由于 Device A 没有开启 NTP 身份验证，所以

Device B 还是无法向 Device A 同步时钟。

(2) 现在，在 Device A 上做如下配置：

# 开启身份验证功能。

1-19


[DeviceA] ntp-service authentication enable

# 设置编号为 42 的 MD5 密钥，内容为“aNiceKey”。

[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 aNiceKey

# 指定 42 号密钥为可信密钥。

[DeviceA] ntp-service reliable authentication-keyid 42

此时，Device B 可以向 Device A 同步时钟，同步时钟后查看 Device B 的状态为：

[DeviceB] display ntp-service status


Clock stratum: 3










可以看出，Device B 已经与 Device A 同步时钟，层数为 3（比 Device A 大 1）。

# 查看 Device B 的 NTP 会话信息，可以看到 Device B 与 Device A 建立了连接。

<DeviceB> display ntp-service sessions


************************************************************************* [12345]

1.0.1.11 127.127.1.0 2 255 64 8 2.8 17.7 1.2

note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured

Total associations : 1

i

目录

1 SSH配置............................................................................................................................................ 1-1

1.1 原理介绍............................................................................................................................................ 1-1

1.1.1 SSH简介 ................................................................................................................................. 1-1 1.1.2 算法和密钥..............................................................................................................................1-1 1.1.3 SSH实现过程..........................................................................................................................1-2

1.2 SSH服务器与客户端..........................................................................................................................1-4

1.3 SSH服务器端配置 .............................................................................................................................1-5

1.3.1 配置SSH客户端登录时的用户界面 ......................................................................................... 1-6 1.3.2 配置服务器的SSH管理功能 .................................................................................................... 1-6 1.3.3 配置服务器端兼容SSH1 版本的客户端................................................................................... 1-7 1.3.4 配置密钥对..............................................................................................................................1-7 1.3.5 创建SSH用户并指定认证方式 ................................................................................................ 1-8 1.3.6 在服务器端配置SSH用户使用的服务类型 .............................................................................. 1-9 1.3.7 在服务器端配置客户端的公钥............................................................................................... 1-10 1.3.8 为SSH用户分配公钥 .............................................................................................................1-11 1.3.9 导出公钥 ...............................................................................................................................1-11

1.4 SSH客户端配置...............................................................................................................................1-12

1.4.1 SSH客户端配置任务简介...................................................................................................... 1-12 1.4.2 采用SSH客户端软件时的配置 .............................................................................................. 1-12 1.4.3 采用支持SSH2 的交换机作为客户端时的配置 ...................................................................... 1-18

1.5 SSH配置显示 .................................................................................................................................. 1-20

1.6 SSH相同功能命令对照表 ................................................................................................................1-21

1.7 SSH典型配置举例 ...........................................................................................................................1-22

1.7.1 交换机充当SSH服务器并采用password本地认证时的配置举例........................................... 1-22 1.7.2 交换机充当SSH服务器并采用password远程RADIUS认证时的配置举例 ............................. 1-24 1.7.3 交换机充当SSH服务器并采用password远程HWTACACS认证时的配置举例 ...................... 1-28 1.7.4 交换机充当SSH服务器并采用公钥认证时的配置举例 .......................................................... 1-31 1.7.5 交换机充当SSH客户端并采用password认证时的配置举例 .................................................. 1-36 1.7.6 交换机充当SSH客户端并采用公钥认证时的配置举例 .......................................................... 1-38 1.7.7 交换机充当SSH客户端并采用不支持首次认证时的配置举例 ............................................... 1-40

1-1

1 SSH 配置

1.1 原理介绍

1.1.1 SSH 简介

SSH（Secure Shell，安全外壳）是一个用于在非安全网络中提供安全的远程登录以及其他安全网

络服务的协议，它能够使用户安全地登录到交换机，通过设备的命令行接口进行配置和管理交换机。

当用户通过非安全的网络环境远程登录到交换机时，每次发送数据前，SSH 都会自动对数据进行加

密，当数据到达目的地时，SSH 自动对加密数据进行解密，以此提供安全的信息保障。同时，SSH提供强大的认证功能，保护交换机不受诸如 DNS 和 IP 欺骗等攻击。此外，SSH 还支持其他功能，

比如可以对传输的数据进行压缩，从而加快传输的速度。又可以代替 Telnet，或为 FTP 提供安全的

“通道”。

SSH 采用客户—服务器模式。支持 SSH 功能的交换机既可以作为 SSH 服务器又可以作为 SSH 客

户端，也可以同时充当服务器和客户端两种角色。作为 SSH 服务器时，为远程登录用户提供安全

的 SSH 连接，以便用户能够安全的访问 SSH 服务器。作为 SSH 客户端时，允许与支持 SSH 服务

器功能的设备建立 SSH 连接，从而实现从本地设备通过 SSH 登录到远程设备上。

1.1.2 算法和密钥

加密和解密过程中使用的一组变换规则称为算法。未加密的信息称为明文，加密后的信息称为密文。

加密和解密都是在密钥的控制下进行的。密钥是一组特定的字符串，是控制明文和密文变换的唯一

参数，起到“钥匙”的作用。通过加密变换操作，可以将明文变换为密文，通过解密变换操作，将

密文恢复为明文。如图 1-1所示。

图1-1 加密和解密变换关系

基于密钥的算法通常有两类：对称密钥算法和非对称密钥算法。

对称密钥算法

对称密钥算法是指数据加密和解密时使用相同的密钥。目前交换机主要支持的算法有 DES、3DES、AES 等，这些算法都可以有效地防止交互数据被窃听。

非对称密钥算法

非对称密钥算法，又称为公共密钥算法，是指数据加密和解密时使用不同的密钥，即通信的每一端

都存在一对密钥，即一个私钥，一个公钥。公钥是公开的，私钥只有合法者拥有，从公钥很难分析

出私钥。通过公钥（或私钥）加密后的数据只能利用对应的私钥（或公钥）进行解密。

非对称密钥算法可以用于加密，也就是用公钥对报文进行加密，然后由拥有私钥的合法者使用私钥

对数据进行解密，这样保证数据的机密性。

1-2

非对称密钥算法还可以用于签名，比如用户 1 使用自己的私钥对数据进行签名，然后发给用户 2，用户 2 可以用用户 1 的公钥验证签名，如果签名是正确的，那么就能够确认该数据来源于用户 1。

目前交换机支持的非对称密钥算法包括 RSA（Rivest Shamir Adleman）和 DSA（Digital Signature Algorithm，数字签名算法），RSA 既可以用于加密，又可以用于签名，而 DSA 只用于签名。

SSH 加密通道上的数据加解密使用对称密钥算法，在 SSH 认证中使用非对称密钥算法进行数字签

名以及身份认证。

1.1.3 SSH 实现过程

在整个通讯过程中，为实现 SSH 认证的安全连接，服务器端与客户端要经历如下五个阶段：

表1-1 SSH 服务器端与客户端建立连接的五个阶段

过程说明详细内容

版本号协商阶段 SSH 目前包括 SSH1 和 SSH2 两个版本，双方通过版

本协商确定使用的版本 1.1.3 1.

密钥和算法协商阶段 SSH 支持多种加密算法，双方根据本端和对端支持的

算法，协商出终使用的算法 1.1.3 2.

认证阶段 SSH 客户端向服务器端发起认证请求，服务器端对客

户端进行认证 1.1.3 3.

会话请求阶段认证通过后，客户端向服务器端发送会话请求 1.1.3 4.

交互会话阶段会话请求通过后，服务器端和客户端进行信息的交互 1.1.3 5.

目前，设备作为 SSH 服务器时，支持 SSH2 和 SSH1 两个版本；设备作为 SSH 客户端时，只支

持 SSH2 版本。如无特殊说明，文中的 SSH 均指 SSH2。

1. 版本号协商阶段

具体步骤如下：

服务器端打开端口 22，等待客户端连接。

客户端向服务器端发起 TCP 初始连接请求，TCP 连接建立后，服务器端向客户端发送第一个

报文，包括版本标志字符串，格式为“SSH－<主协议版本号>.<次协议版本号>－<软件版本

号>”，协议版本号由主协议版本号和次协议版本号组成，软件版本号主要是为调试使用。

客户端收到报文后，解析该数据包，如果服务器端的协议版本号比自身的低，且能支持服务

器端的版本，就使用服务器端的低版本协议号，否则使用自身的协议版本号。

客户端回应服务器端一个报文，包含了客户端决定使用的协议版本号。服务器端比较客户端

发来的版本号，决定是否能同客户端一起工作。

如果协商成功，则进入密钥和算法协商阶段，否则服务器端断开 TCP 连接。

1-3

上述报文都是采用明文方式传输的。

2. 密钥和算法协商阶段

具体步骤如下：

服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加

密算法列表、MAC（Message Authentication Code，消息验证码）算法列表、压缩算法列表

等。

服务器端和客户端根据对端和本端支持的算法列表得出终使用的算法。

服务器端和客户端利用 DH 交换（Diffie-Hellman Exchange）算法、主机密钥对等参数，生成

会话密钥和会话 ID。

通过以上步骤，服务器端和客户端就取得了相同的会话密钥。对于后续传输的数据，两端都会使用

会话密钥进行加密和解密，保证了数据传输的安全性。

3. 认证阶段

服务器认证客户端具体步骤如下：

客户端向服务器端发送认证请求，认证请求中包含用户名、认证方法、与该认证方法相关的

内容（如：password 认证时，内容为密码）。

服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以

再次认证的方法列表。

客户端从认证方法列表中选取一种认证方法再次进行认证。

该过程反复进行，直到认证成功或者认证次数达到上限，服务器关闭连接为止。

SSH 提供两种认证方法：

password 认证：客户端向服务器发出 password 认证请求，将用户名和密码加密后发送给服

务器；服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行

比较，并返回认证成功或失败的消息。

公钥认证：采用数字签名的方法来认证客户端。目前，设备上可以利用 RSA 和 DSA 两种公

共密钥算法实现数字签名。客户端发送包含用户名、公共密钥和公共密钥算法的公钥认证请

求给服务器端。服务器对公钥进行合法性检查，如果不合法，则直接发送失败消息；否则，

服务器利用数字签名对客户端进行认证，并返回认证成功或失败的消息。

4. 会话请求阶段

认证通过后，客户端向服务器端发送会话请求。服务器端等待并处理客户端的请求。在这个阶段，

客户端的请求被成功处理后，服务器会回应 SSH_SMSG_SUCCESS 包，SSH 进入交互会话阶段；

否则回应 SSH_SMSG_FAILURE 包，表示服务器处理请求失败或者不能识别请求。

1-4

5. 交互会话阶段

会话请求成功后，连接进入交互会话阶段。在这个模式下，数据被双向传送。客户端将要执行的命

令加密后传给服务器端，服务器端接收到报文，解密后执行该命令，将执行的结果加密发还给客户

端，客户端将接收到的结果解密后显示到终端上。

1.2 SSH 服务器与客户端

在不安全的网络环境中，当用户远程登录到网络设备上，对网络设备进行访问时，为保证安全性，

可以将要访问的设备作为 SSH 客户端，被访问的网络设备作为 SSH 服务器，通过 SSH 协议的加

密和认证机制，使客户端能够安全地远程访问 SSH 服务器。如下图所示，Host A、Host B 和 Host D 作为 SSH 客户端通过网络连接与作为 SSH 服务器的 Switch A 建立 SSH 通道，实现对 Switch A的安全访问。

图1-2 通过网络连接建立SSH通道

用户需要根据角色的不同对设备进行相应的配置，本配置手册仅给出以下两种使用情况：

交换机充当 SSH 服务器与支持 SSH 客户端功能的软件的配合使用

交换机充当 SSH 服务器与交换机充当客户端的配合使用

表1-2 SSH 配置任务简介

服务器客户端服务器端配置客户端配置

交换机充当 SSH 服务器支持 SSH 客户端功能的软

件充当客户端 1.3 SSH服务器端配置 1.4.2 采用SSH客户端软

件时的配置

交换机充当 SSH 服务器交换机充当 SSH 客户端 1.3 SSH服务器端配置 1.4.3 采用支持SSH2 的交

换机作为客户端时的配置

1-5

SSH 服务器端与每一个 SSH 客户端单独建立一条安全的会话连接，这里仅给出一个客户端与要访

问的一个 SSH 服务器建立 SSH 连接的配置过程，当多个服务器与多个客户端建立 SSH 连接时，

需要根据具体情况为每个客户端和需要访问的 SSH 服务器进行单独配置。

1.3 SSH 服务器端配置

在 SSH 实现过程中服务器端与客户端经历了五个阶段。同样，在 SSH 服务器端配置过程也可以分

成如下几个阶段，具体请参见如下：

表1-3 SSH 服务器端配置任务简介


配置 SSH 客户端登录时的用户界面必选 1.3.1 准备阶段

配置服务器的 SSH 管理功能可选 1.3.2

版本确认阶段配置服务器端兼容 SSH1 版本的客户端

该配置将确定服务器端支

持的 SSH 版本

可选

缺省情况下，服务器端兼

容 SSH1 版本的客户端

1.3.3

密钥生成阶段配置密钥对必选 1.3.4

认证阶段创建 SSH 用户并指定认证方式必选 1.3.5

服务请求阶段配置 SSH 用户使用的服务类型可选

缺省情况下，用户可以使

用的服务类型为 stelnet 1.3.6

在服务器端配置客户端的公钥

当服务器端采用

Password 认证方式

时，不选当服务器端采用公钥

认证方式时，必选

1.3.7

为 SSH 用户分配公共密钥

当服务器端采用

Password 认证方式

时，不选当采用公钥认证方式

时，必选

1.3.8 交互操作阶段

导出 RSA 或 DSA 密钥

可选

当客户端不支持首次认证

时，可以将服务器端公钥

导出，并配置到客户端

1.3.9

在交互操作阶段，涉及到服务器端和客户端的配合使用，这里仅给出了服务器端的配置过程，有关

客户端的配置具体请参见 1.4 SSH客户端配置。

1-6

1.3.1 配置 SSH 客户端登录时的用户界面

SSH 客户端通过 VTY 用户界面访问设备。因此，需要配置 SSH 客户端登录时采用的 VTY 用户界

面，使其支持 SSH 远程登录协议。配置结果在下次登录请求时生效。

表1-4 配置 SSH 客户端登录时的用户界面

操作命令说明


进入一个或多个 VTY 用户界面视图 user-interface vty first-number [ last-number ] -

配置登录用户界面的认证为 scheme 方

式 authentication-mode scheme [ command-authorization ]

必选

缺省情况下，用户界面认证为

password 方式

配置所在用户界面支持的协议 protocol inbound { all |ssh } 可选

缺省情况下，系统支持所有的

协议，即支持 Telnet 和 SSH

如果在该用户界面上配置的协议支持 SSH，为确保 SSH 用户登录成功，请务必配置登录用户界

面的认证方式为 authentication-mode scheme（采用 AAA 认证）。如果用户配置了认证方式为 authentication-mode password 或 authentication-mode none，则无法配置 protocol inbound ssh；否则，如果配置了 protocol inbound ssh，则认证方式无

法配置为 authentication-mode password 或 authentication-mode none。

1.3.2 配置服务器的 SSH 管理功能

SSH 服务器上提供了一系列管理功能，通过设置这些功能，可以防止恶意猜测密码等非法行为，更

大限度地保证用户 SSH 连接的安全性。当作为 SSH 服务器的设备存在多个 IP 地址或接口时，可

以通过以下配置，指定 IP 地址或指定 IP 地址对应的接口，这样，当设备作为 SSH 服务器时，客户

端只能通过指定 IP 地址登录服务器，增加了业务的可管理性。

表1-5 配置服务器上的 SSH 管理功能

操作命令说明


设置 SSH 认证超时时间 ssh server timeout seconds 可选

缺省情况下，认证超时时间为 60 秒

设置 SSH 验证重试次数 ssh server authentication-retries times

可选

缺省情况下，SSH 验证重试次数为 3次

设置 RSA 服务器密钥的更新时间 ssh server rekey-interval hours可选

缺省情况下，系统不更新 RSA 服务器

密钥

配置登录交换机的显示信息 header shell text 可选


1-7

操作命令说明

指定供 SSH 客户端访问的 IP 地址 ssh-server source-ip ip-address

可选

缺省情况下，没有指定供 SSH 用户访

问的 IP 地址

指定供 SSH 客户端访问的接口 ssh-server source-interface interface-type interface-number

可选

缺省情况下，没有指定供 SSH 客户端

访问的接口

配置登录交换机的显示信息，只有当设置用户可以使用的服务类型为stelnet时才可成功。有关配

置用户使用的服务类型请参见“1.3.6 在服务器端配置SSH用户使用的服务类型”。有关 header 命令的具体内容请参见“登录交换机”中的登录以太网交换机命令部分。

1.3.3 配置服务器端兼容 SSH1 版本的客户端

表1-6 配置服务器上的 SSH 管理功能

操作命令说明


设定服务器端兼容 SSH1 版本的客

户端 ssh server compatible-ssh1x enable

可选

缺省情况下，服务器端兼容 SSH1 版

本的客户端

1.3.4 配置密钥对

在 SSH中服务器端生成的密钥对将用于密钥和算法协商阶段参与会话密钥的生成和 SSH客户端对

SSH 服务器的验证。客户端生成的密钥对将用于认证阶段采用公钥认证时 SSH 服务器对 SSH 客户

端的验证。这两个阶段中可以使用 RSA 和 DSA 两种类型的密钥对。

需要注意的是由于不同客户端支持的公共密钥算法不同，服务器和客户端终协商使用的密钥对就

不同，因此，需要在服务器端生成 RSA 和 DSA 密钥对，确保客户端能够成功登录服务器。

在公钥认证中采用哪种公钥算法，用户可以根据需要进行选择。

1. 生成密钥对

该配置任务用来生成类型为 RSA 或 DSA 的密钥对。生成密钥对时，系统会提示您输入密钥模数的

长度，密钥模数的小长度为 512 位，大长度为 2048 位，缺省长度为 1024 位。当设备上已经

有了密钥对，此时如果仍要生成类型与已存在的密钥对类型相同的密钥对，则系统提示是否替换原

有类型的密钥对。

表1-7 生成密钥对

操作命令说明


生成密钥

对生成 RSA密钥对

public-key local create rsa 必选

缺省情况下，没有生成密钥对

1-8

操作命令说明

生成 DSA密钥对 public-key local create dsa

生成密钥对的命令只需执行一遍，交换机重启后不必再次执行。密钥的长度越长，也就越安全，但加密和解密的时间也就越长，所以用户可以根据具体情况选择

生成密钥对的长度。由于某些第三方软件（如：WinSCP）要求密钥的长度在 768 位以上（包括 768 位），因此建议

生成 RSA 或 DSA 密钥对时，生成 768 位以上的密钥对。

2. 销毁密钥对

当用户需要销毁 RSA 或 DSA 密钥对，比如密钥泄露，需要重新生成时，可通过以下配置任务来销

毁 RSA 或 DSA 密钥对。

表1-8 销毁密钥对

操作命令说明


销毁 RSA 密钥对 public-key local destroy rsa 销毁密钥对

销毁 DSA 密钥对 public-key local destroy dsa

可选

该命令用来销毁已生成的密钥对

1.3.5 创建 SSH 用户并指定认证方式

该配置任务用来创建 SSH 用户并指定认证方式。对于新创建的用户，必须指定其认证方式，否则

将无法登录。

所谓 SSH 用户，是指在 SSH 服务器端设置的一组用户属性的集合。该集合以 SSH 用户名作为 SSH用户的唯一标识。当 SSH 客户端远程登录到服务器端时，需要在 SSH 客户端上输入用户名，SSH服务器判断是否存在对应的 SSH 用户，如果不存在则断开连接，否则采用该用户名对应的认证方

式对用户进行认证。

为了防止非法用户登录到设备，对设备进行破坏性配置，SSH 协议支持多种用户认证方式，提高对

用户认证的强度。包括密码认证、公钥认证和 password-publickey 认证。

密码认证

SSH 协议可以利用 AAA 提供的认证功能，完成对登录用户进行密码认证。根据 AAA 采取的认证策

略的不同，密码认证分为本地认证和远程认证两种方式。本地认证是指在 SSH 服务器本地保存用

户的信息，认证过程在本地完成。远程认证是指将用户信息保存在远端的 RADIUS 等认证服务器上，

认证过程在本地设备和远程认证服务器之间完成。有关 AAA 的具体内容请参见“AAA 操作”。

公钥认证

由于密码认证方式的认证强度较弱，SSH 协议引入了公钥认证方式。目前，设备上可以利用 RSA和 DSA 两种非对称密钥算法实现公钥认证。使用公钥认证不需要用户记忆和输入密码，只要输入

1-9

用户名，后续认证过程自动完成。但是因为公钥认证中使用的密钥对的对应关系（即一个公钥对应

一个私钥），如果要实现多个用户的独立认证，则必须为每一个用户创建一个私钥，相应地需要在

服务器上为每一个用户配置对应的公钥，对于有多个用户使用同一个终端登录的情况，这种方式在

配置和密钥的管理上比较复杂。

password-publickey 认证

这种认证方式要求用户同时完成公钥认证和密码认证，只有两种认证都成功后，才能通过服务器端

的认证。采用该认证方式可以在一对公私密钥对的基础上，通过密码认证提供的 AAA 功能，配置

多个用户并为不同用户赋予不同的权限，从而达到控制多个用户的访问目的。

表1-9 创建 SSH 用户并指定认证方式

操作命令说明


ssh authentication-type default { all | password | password-publickey | publickey }

指定缺省的认证方式，所有创建

的 SSH 用户都使用这个认证方

式 ssh user username

创建 SSH 用户，并为该用户配置

认证方式 ssh user username authentication-type { all | password | password-publickey | publickey }

两者必选其一

缺省情况下，系统没有创

建 SSH 用户，也不指定认

证方式

注意：当两条命令同时配

置，且认证方式不同时，

SSH 用户的认证方式以ssh user authentication-type 命

令的配置为准

配置 password 认证时，username 应与 AAA 中定义的有效用户名一致；配置公钥认证时，

username 就是 SSH 本地用户名，不需要在 AAA 中配置本地用户。有关 AAA 的相关内容请参见

“AAA”。如果用户配置的缺省认证方式为 password，并且采用 AAA 本地认证，则还需要使用 local-user命令在本地数据库中添加用户名和密码。在这种情况下，可以直接使用 local-user 命令配置的用

户名和密码（配置 service-type 为 ssh）登录 SSH 服务器，省略掉 ssh user 命令的配置。如果用户配置的缺省认证方式为 password，并且采用远程认证，如 RADIUS 认证，则可以直接

使用远程服务器上的用户名和密码登录 SSH 服务器，省略掉 ssh user 命令的配置。如果配置为公钥认证方式，则 SSH 用户登录服务器后可以访问的命令级别可通过 user privilege

level 命令来配置，且所有使用公钥认证方式的用户可访问的命令级别相同。如果配置为 password 或 password-publickey 认证方式，则 SSH 用户登录服务器后可以访问

的命令级别由 AAA 来授权，使用 password 或 password-publickey 认证方式的不同用户，能

够访问的命令级别可以不同。如果配置为 all 认证方式，则 SSH 用户登录服务器后可以访问的命令级别具体由用户是通过

password 认证还是公钥认证来决定。

1.3.6 在服务器端配置 SSH 用户使用的服务类型

目前，交换机支持 SSH 协议的两种应用：Stelnet 和 SFTP。用户可以根据使用的应用选择不同的

服务类型。

1-10

Stelnet 使用 SSH 协议提供的安全通道，实现对网络设备的远程访问，是 SSH 协议基础的

一种应用；

SFTP 利用 SSH 协议提供的安全通道，实现对网络设备的远程文件操作，是 SSH 协议中规定

的一项扩展应用。

表1-10 配置 SSH 用户使用的服务类型

操作命令说明


配置用户可以使用的服务类型 ssh user username service-type { stelnet | sftp | all }

可选

缺省情况下，用户可以使用的服务

类型为 stelnet

使用 ssh user service-type 命令配置用户可以使用的 SSH 服务类型时，如果该用户不存在，则系

统会自动创建一个 SSH 用户。但此 SSH 用户无法登录成功，必须为此用户指定认证方式。

1.3.7 在服务器端配置客户端的公钥

如果在 SSH服务器端对SSH用户配置的认证方式为 password认证，则不需要配置客户端的公钥。

SSH 用户采用公钥认证时，需要在服务器端配置客户端的 RSA 或 DSA 主机公钥，以便当客户端登

录服务器端时，对客户端进行相应的验证。

可以通过手工配置和从公钥文件中导入两种方式来配置客户端的主机公钥：

手工配置方式：手工配置客户端的主机公钥时，可以采用拷贝粘贴的方式将客户端的主机公

钥配置到服务器端；

从公钥文件中导入方式：从公钥文件中导入客户端的主机公钥时，系统会自动对由客户端生

成的公钥文件进行格式转换，并实现客户端公钥的配置。这种方式需要客户端事先将密钥的

公钥文件通过 FTP/TFTP 方式上传到服务器端。

表1-11 手工配置客户端的公钥

操作命令说明


进入公共密钥视图 public-key peer keyname 必选

进入公共密钥编辑视图 public-key-code begin -

配置客户端的公钥直接输入公钥内容

在输入密钥数据时，字符之间可以

有空格，也可以按回车键继续输入

数据，所配置的公钥必须是按公钥

格式编码的十六进制字符串

退出公共密钥编辑视图，退回到公共密

钥视图 public-key-code end 退出视图时，系统自动保存配置的

公钥密钥

1-11

操作命令说明

退出公共密钥视图，退回到系统视图 peer-public-key end -

表1-12 从公钥文件中导入客户端的公钥

操作命令说明


从公钥文件中导入 SSH 用户的公钥 public-key peer keyname import sshkey filename 必选

1.3.8 为 SSH 用户分配公钥

如果在 SSH 服务器端对 SSH 用户配置的认证方式为 password 认证，则不需要为 SSH 用户分配

公钥。

采用公钥认证时，需要在服务器端为 SSH 用户指定对应客户端的公钥。当客户端登录服务器时，

服务器端就会根据指定 SSH 用户对应的公钥对客户端进行认证。

表1-13 为 SSH 用户分配公钥

操作命令说明


为 SSH 用户分配公钥 ssh user username assign publickey keyname

必选

多次分配公钥时，则以后一

次分配的公钥为准

1.3.9 导出公钥

在 1.3.7 在服务器端配置客户端的公钥中介绍的配置方法，有一种方式是采用从公钥文件中导入的

方式来配置客户端的主机公钥；同样，在 1.4.3 2. 设置SSH客户端是否支持首次认证，如果SSH客

户端不支持首次认证，服务器端需要将公钥配置到客户端，也可以采用从公钥文件中导入的方式来

配置服务器端的主机公钥。当设备作为客户端或服务器并且设备上已经生成密钥对时，可以通过如

下配置获取到公钥文件。

表1-14 导出 RSA 公钥

操作命令说明


导出 RSA 公钥到指定文件 public-key local export rsa { openssh | ssh1 | ssh2 } [ filnename ] 必选

表1-15 导出 DSA 公钥

操作命令说明


1-12

操作命令说明

导出 DSA 公钥到指定文件 public-key local export dsa { openssh | ssh2 } [ filnename ] 必选

对于已经生成的密钥对，用户可以根据需要将主机公钥以指定的格式导出到指定文件，从而为在

远端配置主机公钥做准备，如果不指定 filnename 参数将在屏幕上显示该格式的主机公钥信息。对于 DSA 主机公钥，因为 DSA 不支持 SSH1 格式，所以可指定的格式只有 SSH2 和 OpenSSH两种。对于 RSA 主机公钥，则可指定 SSH1，SSH2，OpenSSH 三种格式。

1.4 SSH 客户端配置

SSH 服务器端采用的认证方式不同，SSH 客户端的具体配置内容不同。当客户端不支持首次认证

时，SSH 客户端还需要配置服务器端的公钥，以便客户端对连接的服务器进行认证。

1.4.1 SSH 客户端配置任务简介

表1-16 SSH 客户端配置任务简介

SSH 客户端配置配置任务

采用 SSH 客户端软件采用支持 SSH2 的交换机作为客户端

采用 Password 认证

时 1.4.2 采用SSH客户端软件时的配置 1.4.3 采用支持SSH2 的交换机作为客户端

时的配置

采用公钥认证时 1.4.2 采用SSH客户端软件时的配置 1.4.3 采用支持SSH2 的交换机作为客户端

时的配置

是否支持首次认证时 - 1.4.3 采用支持SSH2 的交换机作为客户端

时的配置

1.4.2 采用 SSH 客户端软件时的配置

SSH 客户端软件有很多，例如 PuTTY、OpenSSH 等。SSH 客户端要与服务器建立连接，需要做

如下配置：

表1-17 采用客户端软件时的配置任务简介


生成客户端密钥当采用 Password 认证方式时，不选当采用公钥认证方式时，必选

1.4.2 1.

指定要访问服务器的 IP 地址必选 1.4.2 2.

选择远程连接协议为 SSH 必选 1.4.2 3.

选择 SSH 版本必选 1.4.2 4.

以口令方式建立 SSH 连接当采用 Password 认证方式时，必选当采用公钥认证方式时，不选

1.4.2 5.

以公钥认证方式建立 SSH 连接当采用 Password 认证方式时，不选当采用公钥认证方式时，必选

1.4.2 6.

1-13

使用 PuTTY 软件时，推荐使用 PuTTY release 0.53 和 PuTTY release 0.58 两个版本；使用

OpenSSH 软件时，推荐使用 OpenSSH_3.1p1 和 OpenSSH_4.2p1 两个版本。使用其它软件和

版本并不一定能够和作为 SSH 服务器的交换机配合使用，请用户在使用时注意。选择远程连接协议为 SSH。通常客户端可以支持多种远程连接协议，如 Telnet、Rlogin、SSH等。要建立 SSH 连接，必须选择远程连接协议为 SSH。

选择 SSH 版本。由于设备目前支持的版本是 SSH2.0 版本，客户端可以选择 2.0 或 2.0 以下版本。指定私钥文件。如果在服务器端配置了 SSH 用户采用公钥认证，并为 SSH 用户指定了公钥，就

必须在客户端指定与公钥对应的私钥文件。RSA 或 DSA 密钥对是由客户端软件附带的工具生成

的。

下面以客户端软件 PuTTY0.58 为例，说明 SSH 客户端的配置方法。

1. 生成客户端密钥

运行 PuTTYGen.exe，选择要生成的密钥对。在参数栏中选择“SSH-2 RSA”或“SSH-2 DSA”，

点击<Generate>，产生客户端密钥对。

图1-3 生成客户端密钥（1）

在产生密钥对的过程中需不停的移动鼠标，鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地

方，否则进程条的显示会不动，密钥对将停止产生，见图 1-4。

1-14


密钥对产生后，点击<save public key>，输入存储公钥的文件名 public，点击保存。


同理，点击<save private key>存储私钥，弹出警告框，提醒是否保存没做任何保护措施的私钥，点

击<Yes>，输入私钥文件名即可，此处为 private，点击保存。

1-15


运行 SSHKEY.exe，点击<Browse>，选择公钥文件 public。然后点击<Convert>，即可生成 PKCS编码格式的 RSA 公钥数据。


2. 指定服务器 IP 地址

打开 PuTTY.exe 程序，出现如下客户端配置界面。

1-16

图1-8 SSH 客户端配置界面（1）

在“Host Name（or IP address）”文本框中输入 SSH 服务器的 IP 地址（要求 SSH 服务器的 IP地址与 SSH 客户端主机的路由可达）。

3. 选择远程连接协议为 SSH

如图 1-8，在“Protocol”选择栏中选择“SSH”。

4. 选择 SSH 版本

单击SSH客户端配置界面左边目录树（“Category”）中的连接协议（“Connection”）中的“SSH”，

出现如图 1-9的界面。

1-17


在“Protocol options”区域中，选择“Preferred SSH protocol version”参数的值为 2。

对于有些 SSH 客户端软件，只有在选择 SSH1 版本才支持 DES 算法，选择 SSH2 版本则不支持

DES 算法。PuTTY 客户端软件在选择了 DES 后，可以在 SSH2 版本中支持 DES 算法协商。

5. 设置以口令方式建立 SSH 连接

(1) 在图 1-9中，单击<Open>按钮，如果连接正常则会提示用户输入用户名及密码。

(2) 输入正确的用户名和密码，即可成功进行 SSH 登录连接。

(3) 退出登录，在用户视图下执行命令 quit 即可。

6. 设置以公钥认证方式建立 SSH 连接

如果用户需要公钥认证，就必须指定相应的私钥文件。如果用户只需要密码认证，则不需要指定相

应的私钥文件。

如图 1-9，单击“SSH”下面的“Auth”（认证），出现如图 1-10的界面。

1-18


单击<Browse…>按钮，弹出文件选择窗口。选择私钥文件，并点击<Open>按钮。如果连接正常则

会提示用户输入用户名。认证成功后，即可登录到服务器端。

1.4.3 采用支持 SSH2 的交换机作为客户端时的配置

表1-18 采用支持 SSH2 的交换机作为客户端时的配置任务简介


采用公钥认证时 SSH 客户端的配置采用 password 认证时，不选采用公钥认证时，必选

1.4.3 1.

设置 SSH 客户端是否支持首次认证可选 1.4.3 2.

指定业务报文源 IP 地址或源接口可选 1.4.3 3.

建立 SSH 客户端和服务器端的连接必选 1.4.3 4.

1. 采用公钥认证时 SSH 客户端的配置

采用公钥认证时，需要将客户端的 RSA 或 DSA 公钥（两者选其一）配置到服务器端。具体配置过

程如下：

生成客户端的公钥，具体请参见 1.3.4 配置密钥对。

将客户端的公钥导出，具体请参见 1.3.9 导出公钥。

将公钥配置到服务器端，具体请参见 1.3.7 在服务器端配置客户端的公钥。

2. 设置 SSH 客户端是否支持首次认证

当设备作为 SSH 客户端和服务器端连接时，可以设置 SSH 客户端对访问的 SSH 服务器是否支持

首次认证。

1-19

如果支持首次认证，是指当 SSH 客户端首次访问服务器端，而客户端没有配置服务器端的主

机公钥时，用户可以选择继续访问该服务器端，并在客户端保存该主机公钥；当用户下次访

问该服务器端时，就以保存的主机公钥来认证该服务器。

如果不支持首次认证，则当客户端没有配置服务器端的主机公钥时，客户端将拒绝访问该服

务器。用户必须事先将要访问的服务器端的主机公钥配置在本地，同时指定要连接的服务器

端的主机公钥名称，以便客户端对连接的服务器进行认证。

表1-19 设置 SSH 客户端支持首次认证

操作命令说明


设置SSH客户端对访问的SSH服务

器进行首次认证 ssh client first-time enable 可选

缺省情况下，客户端支持首次认证

表1-20 设置 SSH 客户端不支持首次认证

操作命令说明


设置 SSH 客户端对访问的

SSH 服务器不进行首次认证 undo ssh client first-time 必选

缺省情况下，客户端支持首次认证

配置服务器端的公钥请参见“1.3.7 在服务器端配置客户端的

公钥”

必选

在客户端配置服务器端公钥的方

法，与在服务器端配置客户端公钥

的方法相同

在客户端上指定要连接的服

务器端的主机公钥名称 ssh client { server-ip | server-name } assign publickey keyname 必选

如果支持首次认证，并且客户端没有配置服务器端的主机公钥。那么客户端只能相信服务器端发过

来的公钥信息，这样达不到对服务器进行验证的效果。因为攻击者可以仿冒服务器和客户建立连接，

即所谓的“中间人攻击”不可防。所以除非客户端信任服务器端发过来的公钥，否则建议用户采用

不支持首次认证方式。

3. 指定 SSH 客户端的源 IP 地址或源接口

当作为 SSH 客户端的交换机存在多个 IP 地址和接口时，用户可以通过以下配置，对 SSH 客户端

指定源 IP 地址，配置后客户端登录服务器时，源 IP 地址为指定的 IP 地址或指定接口的 IP 地址，

增加了业务的可管理性。

表1-21 指定 SSH 客户端的源 IP 地址或源接口

操作命令说明


1-20

操作命令说明

指定 SSH 客户端的源 IP地址

ssh2 source-ip ip-address 可选

缺省情况下，没有指定 SSH 客户端的源 IP 地

址

指定 SSH 客户端的源 IP地址对应的接口

ssh2 source-interface interface-type interface-number

可选

缺省情况下，没有指定 SSH 客户端的源 IP 地

址对应的接口

4. 建立 SSH 客户端和服务器端的连接

当认证方式不同时，SSH客户端与SSH服务器建立连接的方式不同，具体请参见表 1-22。

表1-22 建立 SSH 客户端和服务器端的连接

操作命令说明


建立 SSH 客户端和

服务器端的连接

ssh2 { host-ip | host-name } [ port-num ] [ identity-key { dsa | rsa } | prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { 3des | des | aes128 } | prefer_stoc_cipher { 3des | des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *

必选

该配置用来启动 SSH 客户端和服务器端建立连

接，并指定客户端和服务器的首选密钥交换算

法、首选加密算法和首选 HMAC 算法

注意：

当采用 Password 认证方式时，不需要使用

identity-key 关键字当采用公钥认证方式时，对于 identity-key 关

键字的使用可选 3des参数的支持情况与软件版本的加密位数

有关，对于 168bit 的软件版本支持该参数，

56bit 的软件版本不支持该参数。

如果在服务器端指定客户端的认证方式为公钥认证，当客户端登录服务器端时客户端需要读取本地

的私钥进行验证。由于公钥认证可以采用 RSA 和 DSA 两种公钥算法，所以需要用 identity-key 关

键字指定采用的公钥算法，才能得到正确的本地私钥数据，否则无法成功登录。

1.5 SSH 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 SSH 后的运行情况。通过查看


表1-23 SSH 配置显示

操作命令说明

查看 RSA 或 DSA 密钥对的公钥部分 display public-key local { dsa | rsa } public

显示远端的公钥信息 display public-key peer [ brief | name pubkey-name ]

显示 SSH 服务器端的状态信息和当前与

客户端建立连接的会话信息 display ssh server { session | status }

display 命令

可以在任意视

图下执行

1-21

操作命令说明

显示已创建的 SSH 用户信息 display ssh user-information [ username ]

显示当前为 SSH 服务器端设置的源 IP 地

址 display ssh-server source-ip

显示客户端保存的服务器端的主机公钥和

服务器的对应关系 display ssh server-info

显示当前为 SSH 客户端设置的源 IP 地址 display ssh2 source-ip

1.6 SSH 相同功能命令对照表

SSH配置新增支持DSA非对称密钥算法后，其中的一些配置命令有所改变，但为了和原来的SSH配

置在使用上的兼容，还保留着原来的配置命令，这些配置命令在功能实现上与改变后的命令相同。

具体对应关系请参见表 1-24。

表1-24 SSH 相同功能命令对照表

操作改变前的命令改变后的命令

显示 RSA 密钥对的公钥部分 display rsa local-key-pair public display public-key local rsa public

显示远端的公钥信息 display rsa peer-public-key [ brief | name keyname ]

display public-key peer [ brief | name pubkey-name ]

生成 RSA 密钥对 rsa local-key-pair create public-key local create rsa

销毁 RSA 密钥对 rsa local-key-pair destroy public-key local destroy rsa

进入公共密钥视图 rsa peer-public-key keyname public-key peer keyname

从公钥文件中导入 SSH 用户的

RSA 公钥 rsa peer-public-key keyname import sshkey filename

public-key peer keyname import sshkey filename

指定缺省的认证方式为公钥认

证，所有创建的 SSH 用户都使

用这个认证方式 ssh authentication-type default rsa ssh authentication-type default

publickey

在客户端上指定要连接的服务

器端的主机公钥名称 ssh client { server-ip | server-name } assign rsa-key keyname

ssh client { server-ip | server-name } assign publickey keyname

为 SSH 用户分配公钥 ssh user username assign rsa-key keyname

ssh user username assign publickey keyname

创建 SSH 用户，并为该用户配

置认证方式为公钥认证 ssh user username authentication-type rsa

ssh user username authentication-type publickey

1-22

生成 RSA 密钥对后，当交换机工作在兼容 SSH1.x 模式下时，使用 display rsa local-key-pair

public 命令时会显示两个公钥，包括主机公钥和服务器公钥。当交换机工作在 SSH2 模式时，使

用 display rsa local-key-pair public 命令只显示一个公钥，即主机公钥。由于通过 display rsa local-key-pair public 命令显示的，或通过 SSHKEY 工具转换后的主机公

钥数据不包含密钥类型等信息，所以不能直接作为参数手工配置到 public-key peer 命令中。

display public-key local rsa public 命令显示的主机公钥数据也不能手工配置到 rsa peer-public-key 命令中。

1.7 SSH 典型配置举例

1.7.1 交换机充当 SSH 服务器并采用 password 本地认证时的配置举例

1. 组网需求

当用户通过一个不能保证安全的网络远程登录到交换机时，为更大限度地保证数据信息交换的安全

性，使用SSH来实现此目的，并采用password认证。如图 1-11所示，PC终端（SSH Client）上运

行支持SSH2.0 的客户端软件，与交换机（SSH Server）建立本地连接。

2. 组网图

图1-11 SSH Server 采用 password 认证时的配置组网图

3. 配置步骤

SSH 服务器端配置

# 在交换机上创建 VLAN 接口，并为其分配 IP 地址，作为客户端连接的 SSH 服务器地址。


[Switch] interface vlan-interface 1


[Switch-Vlan-interface1] quit

生成服务器端的 RSA 和 DSA 密钥对是完成 SSH 登录的必要操作。

# 生成 RSA 和 DSA 密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 设置用户接口上的认证模式为 AAA 认证。

[Switch] user-interface vty 0 4

1-23

[Switch-ui-vty0-4] authentication-mode scheme

# 设置用户接口上支持 SSH 协议。

[Switch-ui-vty0-4] protocol inbound ssh

[Switch-ui-vty0-4] quit

# 创建用户 client001，设置认证密码为 abc，登录协议为 SSH，能访问的命令级别为 3。

[Switch] local-user client001

[Switch-luser-client001] password simple abc

[Switch-luser-client001] service-type ssh level 3

[Switch-luser-client001] quit

# 指定用户 client001 的认证方式为 password

[Switch] ssh user client001 authentication-type password

SSH 客户端配置

# 客户端主机配置 IP 地址

客户端主机的 IP 地址必须同交换机上的 VLAN 接口的 IP 地址位于同一个网段，这里设置为

“192.168.0.2”。

# 建立与 SSH 服务器端的连接

SSH 客户端软件的配置（以 Putty0.58 为例）。

(1) 打开 PuTTY.exe 程序，出现如下客户端配置界面。

图1-12 SSH 客户端配置界面

在“Host Name（or IP address）”文本框中输入 SSH 服务器的 IP 地址。

(2) 单击SSH客户端配置界面左边目录树（“Category”）中的连接协议（“Connection”）中

的“SSH”，出现如图 1-13的界面。

1-24



(3) 在图 1-13中，单击<Open>按钮，如果连接正常则会提示用户输入用户名client001，密码abc。

认证成功后，即可登录到服务器端。

1.7.2 交换机充当 SSH 服务器并采用 password 远程 RADIUS 认证时的配置举例

1. 组网需求

当用户通过一个不能保证安全的网络远程登录到交换机时，为保证数据信息交换的安全性，使用

SSH 来实现此目的，并采用 password 远程 RADIUS 认证。

PC 终端（SSH Client）上运行支持 SSH2.0 的客户端软件，与交换机（SSH Server）建立本

地连接。

配置交换机实现 RADIUS 服务器对登录交换机的 SSH 用户进行认证。

1-25

2. 组网图

图1-14 SSH Server 采用 password 远程 RADIUS 认证时的配置组网图

3. 配置步骤

(1) 配置 RADIUS server

本文以 CAMS 服务器 V2.10 为例，说明该例中 RADIUS server 的基本配置。

# 增加接入设备。

登录进入 CAMS 管理平台，点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”->“修改”

->“增加”后，进入接入设备配置页面。

添加 Switch 的 IP 地址 192.168.1.70；

设置与 Switch 交互报文时的共享密钥为 expert；

选择协议类型为 LAN 接入业务；

设置端口列表分别为 1812，1813；

选择 RADIUS 协议类型为扩展协议；

选择 RADIUS 报文类型为标准报文。

# 增加设备管理用户。

1-26

点击左侧菜单树中[用户管理]->[设备管理用户]的“增加”后，进入设备管理用户配置页面。

添加用户名 hello 和密码；

选择服务类型为 SSH；

添加所管理主机 IP 地址范围。

图1-15 接入设备配置页面

添加设备管理用户页面

(2) SSH 服务器端配置

















[Switch] radius scheme rad

1-27

[Switch-radius-rad] accounting optional

[Switch-radius-rad] primary authentication 10.1.1.1 1812

[Switch-radius-rad] key authentication expert

[Switch-radius-rad] server-type extended

[Switch-radius-rad] user-name-format without-domain

[Switch-radius-rad] quit

# 配置 ISP 域的 AAA 方案。

[Switch] domain bbb

[Switch-isp-bbb] scheme radius-scheme rad

[Switch-isp-bbb] quit

# 指定用户 hello 的认证方式为 password

[Switch] ssh user hello authentication-type password

SSH 客户端配置



“192.168.1.1”。








1-28



在图 1-17中，单击<Open>按钮，如果连接正常则会提示用户输入用户名hello及密码。认证成功后，

即可登录到服务器端。用户登录系统后所能访问的命令级别由CAMS服务器授权，可通过设备管理

用户界面的EXEC权限级别来设置。

1.7.3 交换机充当 SSH 服务器并采用 password 远程 HWTACACS 认证时的配置举例

1. 组网需求

当用户通过一个不能保证安全的网络远程登录到交换机时，为保证数据信息交换的安全性，使用

SSH 来实现此目的，并采用 password 远程 HWTACACS 认证。

PC 终端（SSH Client）上运行支持 SSH2.0 的客户端软件，与交换机（SSH Server）建立本

地连接。

配置交换机实现 HWTACACS 服务器对登录交换机的 SSH 用户进行认证。

1-29

2. 组网图

图1-18 SSH Server 采用 password 远程 HWTACACS 认证时的配置组网图

3. 配置步骤

(1) SSH 服务器端配置
















# 配置 HWTACACS 方案。

[Switch] hwtacacs scheme hwtac

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

[Switch-hwtacacs-hwtac] key authentication expert

[Switch-hwtacacs-hwtac] key authorization expert

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 配置 ISP 域的 AAA 方案。

1-30

[Switch] domain bbb

[Switch-isp-bbb] scheme hwtacacs-scheme hwtac

# 指定用户 client001 的认证方式为 password

[Switch] ssh user client001 authentication-type password

SSH 客户端配置



“192.168.1.1”。








1-31



在中，单击<Open>按钮，如果连接正常则会提示用户输入用户名 client001 及密码。认证成功后，

即可登录到服务器端。用户登录系统后所能访问的命令级别由 HWTACACS 服务器授权，有关服务

器授权的配置请参见相关 HWTACACS 服务器配置手册。

1.7.4 交换机充当 SSH 服务器并采用公钥认证时的配置举例

1. 组网需求

当用户通过一个不能保证安全的网络远程登录到交换机时，为更大限度地保证数据信息交换的安全

性，使用SSH来实现此目的，并采用公钥认证。如图 1-21所示，PC终端（SSH Client）上运行支

持SSH2.0 的客户端软件，与交换机（SSH Server）建立本地连接。

2. 组网图

图1-21 SSH Server 采用公钥认证时的配置组网图

3. 配置步骤

采用公钥认证时，可以采用 RSA 或 DSA 公钥作为服务器端认证客户端的公钥。这里以 RSA 公钥

为例。

1-32

SSH 服务器端配置















# 设置用户能访问的命令级别为 3。

[Switch-ui-vty0-4] user privilege level 3


# 创建用户 client001，并指定认证方式为公钥认证。

[Switch] ssh user client001 authentication-type publickey

这里需要先在 SSH 客户端使用 SSH 客户端软件生成 RSA 密钥对，并将生成的 RSA 公钥保存到指

定文件中，再将此公钥文件通过 FTP/TFTP 方式上传到服务器端，文件名为 public。有关配置请参

见客户端的配置。

# 在服务器端从文件 public 中导入客户端的公钥，公钥名为 Switch001。

[Switch] public-key peer Switch001 import sshkey public

# 为用户 client001 指定公钥 Switch001。

[Switch] ssh user client001 assign publickey Switch001

SSH 客户端的配置（以 Putty0.58 为例）。

# 生成密钥对。

运行 PuTTYGen.exe，选择要生成的密钥对。此处参数栏选择“SSH2(RSA)”，点击<Generate>，产生客户端密钥对。

1-33


在产生密钥对的过程中需不停的移动鼠标，鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地

方，否则进程条的显示会不动，密钥对将停止产生，见图 1-23。


1-34

密钥对产生后，点击<save public key>，输入存储公钥的文件名 public，点击保存。


同理，点击<save private key>存储私钥，弹出警告框，提醒是否保存没做任何保护措施的私钥，点

击<Yes>，输入私钥文件名即可，此处为 private.ppk，点击保存。


客户端生成密钥对后，需要将保存的公钥文件通过 FTP/TFTP 方式上传到服务器端，并完成服务器

端配置后，才可继续客户端的配置。


(1) 打开PuTTY.exe程序，出现如图 1-26所示的客户端配置界面。

1-35







(3) 单击“SSH”下面的“Auth”（认证），出现如图 1-28的界面。

1-36


单击<Browse…>按钮，弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件，并确

定即可。

如图 1-28，单击<Open>按钮，如果连接正常则会提示用户输入用户名client001。认证成功后，即

可登录到服务器端。

1.7.5 交换机充当 SSH 客户端并采用 password 认证时的配置举例

1. 组网需求

当用户通过交换机远程登录到另一台交换机时，如果通过的网络不能保证安全，为更大限度地保证

数据信息交换的安全性，使用SSH来实现此目的，并采用password认证。如图 1-29所示：

交换机 Switch A 作为 SSH 客户端，用来进行 SSH 登录的用户名为 client001。

交换机 Switch B 作为 SSH 服务器，IP 地址为 10.165.87.136。

2. 组网图

图1-29 SSH 客户端采用 password 认证时的配置组网图

3. 配置步骤

配置 SwitchB


1-37



[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0

[SwitchB-Vlan-interface1] quit



[SwitchB] public-key local create rsa

[SwitchB] public-key local create dsa


[SwitchB] user-interface vty 0 4

[SwitchB-ui-vty0-4] authentication-mode scheme


[SwitchB-ui-vty0-4] protocol inbound ssh

[SwitchB-ui-vty0-4] quit

# 创建用户 client001，设置认证密码为 abc，登录协议为 SSH，能访问的命令级别为 3。

[SwitchB] local-user client001

[SwitchB-luser-client001] password simple abc

[SwitchB-luser-client001] service-type ssh level 3

[SwitchB-luser-client001] quit

# 配置 SSH 用户 client001 认证方式为 password。

[SwitchB] ssh user client001 authentication-type password

配置 SwitchA

# 在交换机上创建 VLAN 接口，并为其分配 IP 地址，作为连接 SSH 服务器端的 SSH 客户端地址。


[SwitchA] interface vlan-interface 1



# 建立到服务器 10.165.87.136 的 SSH 连接。

[SwitchA] ssh2 10.165.87.136

Username: client001

Trying 10.165.87.136 ...

Press CTRL+K to abort

Connected to 10.165.87.136 ...

The Server is not authenticated. Do you continue to access it?(Y/N):y

Do you want to save the server's public key?(Y/N):n

Enter password:

输入正确的密码之后，即可成功登录到 Switch B 上。

1-38

1.7.6 交换机充当 SSH 客户端并采用公钥认证时的配置举例

1. 组网需求

当用户通过交换机远程登录到另一台交换机时，如果通过的网络不能保证安全，为更大限度地保证

数据信息交换的安全性，使用SSH来实现此目的，并采用公钥认证。如图 1-30所示：



2. 组网图

图1-30 SSH 客户端采用公钥认证时的配置组网图

3. 配置步骤

采用公钥认证时，可以采用 RSA 或 DSA 公钥作为服务器端认证客户端的公钥。这里以 DSA 公钥

为例。

配置 SwitchB
















[SwitchB-ui-vty0-4] user privilege level 3

1-39



[SwitchB] ssh user client001 authentication-type publickey

这里需要先在 SSH 客户端生成 DSA 密钥对，并将生成的 DSA 公钥保存到指定文件中，再将此公

钥文件通过 FTP/TFTP 方式上传到服务器端，文件名为 Switch001。有关配置请参见客户端的配置。

# 在服务器端从文件 Switch001 中导入客户端的公钥，公钥名为 Switch001。

[SwitchB] public-key peer Switch001 import sshkey Switch001


[SwitchB] ssh user client001 assign publickey Switch001

配置 SwitchA






# 生成 DSA 密钥对。

[SwitchA] public-key local create dsa

# 将生成的 DSA 主机公钥导出到指定文件中，文件名为 Switch001。

[SwitchA] public-key local export dsa ssh2 Switch001

客户端生成密钥对后，需要将保存的公钥文件通过 FTP/TFTP 方式上传到服务器端，并完成服务器


# 建立到服务器 10.165.87.136 的 SSH 连接。

[SwitchA] ssh2 10.165.87.136 identity-key dsa

Username: client001

Trying 10.165.87.136 ...


Connected to 10.165.87.136 ...



之后，用户就可成功登录到 Switch B 上。

1-40

1.7.7 交换机充当 SSH 客户端并采用不支持首次认证时的配置举例

1. 组网需求

当用户通过交换机远程登录到另一台交换机时，如果通过的网络不能保证安全,为更大限度地保证数

据信息交换的安全性，使用SSH来实现此目的。如图 1-31所示：



采用公钥认证方式，以提高安全性。

2. 组网图

图1-31 SSH 客户端配置组网图

3. 配置步骤

配置 SwitchB
















[SwitchB-ui-vty0-4] user privilege level 3



[SwitchB] ssh user client001 authentication-type publickey

1-41

这里需要先在 SSH 客户端生成 DSA 密钥对，并将生成的 DSA 公钥保存到指定文件中，再将此公

钥文件通过 FTP/TFTP 方式上传到服务器端，文件名为 Switch001。有关配置请参见客户端的配置。

# 在服务器端从文件 Switch001 中导入客户端的公钥，公钥名为 Switch001。

[SwitchB] public-key peer Switch001 import sshkey Switch001


[SwitchB] ssh user client001 assign publickey Switch001

# 将服务器端生成的 DSA 主机公钥导出到指定文件中，文件名为 Switch002。

[SwitchB] public-key local export dsa ssh2 Switch002

采用不支持首次认证时，需要将服务器端导出的 DSA 密钥的公钥文件通过 FTP/TFTP 方式上传到

客户端，文件名为 Switch002。

配置 SwitchA






# 生成 DSA 密钥对。

[SwitchA] public-key local create dsa

# 将生成的 DSA 主机公钥导出到指定文件中，文件名为 Switch001。

[SwitchA] public-key local export dsa ssh2 Switch001

客户端生成密钥对后，需要将导出的公钥文件通过 FTP/TFTP 方式上传到服务器端。并完成服务器


# 设置不支持首次认证

[SwitchA] undo ssh client first-time

采用不支持首次认证时，需要先在 SSH 服务器端将 SSH 服务器端生成的 DSA 公钥导出到指定文

件中，再将此公钥文件通过 FTP/TFTP 方式上传到客户端，文件名为 Switch002。有关配置请参见

服务器端的配置。

1-42

# 在客户端从文件 Switch002 中导入服务器端的公钥，公钥名为 Switch002。

[SwitchA] public-key peer Switch002 import sshkey Switch002

# 在客户端上指定要连接的服务器端的主机公钥名称。

[SwitchA] ssh client 10.165.87.136 assign publickey Switch002

# 建立到服务器 10.165.87.136 的 SSH 连接。

[SwitchA] ssh2 10.165.87.136 identity-key dsa

Username: client001

Trying 10.165.87.136 ...


Connected to 10.165.87.136 ...

之后，用户就可成功登录到 Switch B 上。

i

目录

1 文件系统管理配置.............................................................................................................................. 1-1

1.1 文件系统配置..................................................................................................................................... 1-1

1.1.1 文件系统简介 ..........................................................................................................................1-1 1.1.2 文件系统操作配置任务简介 .................................................................................................... 1-1 1.1.3 目录操作 ................................................................................................................................. 1-1 1.1.4 文件操作 ................................................................................................................................. 1-2 1.1.5 Flash操作................................................................................................................................ 1-3 1.1.6 设置文件系统的提示方式 ........................................................................................................ 1-3 1.1.7 文件系统配置举例...................................................................................................................1-3

1.2 文件属性配置..................................................................................................................................... 1-5

1.2.1 文件属性简介 ..........................................................................................................................1-5 1.2.2 启动文件选择顺序...................................................................................................................1-5 1.2.3 文件属性配置 ..........................................................................................................................1-6

1-1

1 文件系统管理配置

修改设备启动时对Web文件的选择顺序，具体请参见 1.2.2 启动文件选择顺序。

1.1 文件系统配置

1.1.1 文件系统简介

为了方便用户对交换机存储设备进行有效的管理，E152 以太网交换机提供了文件系统功能，实现

用户对文件和目录的访问管理：用户可以通过命令行对文件进行创建、移动、拷贝、删除等操作，

并可以使用目录对文件进行管理。

1.1.2 文件系统操作配置任务简介

表1-1 文件系统操作配置任务


目录操作可选 0

文件操作可选 1.1.4

Flash 操作可选 1.1.5

设置文件系统的提示方式可选 1.1.6

E152 以太网交换机支持以下输入文件的形式：

如果输入文件的 URL 形式以“unit1>flash:/”或“flash:/”开头，则表示本地 Flash 上的文件。

例如，“unit1>flash:/text.txt”或者“flash:/text.txt”表示设备本地 Flash 上根路径下的 text.txt文件。

如果直接输入路径名或者文件名，则表示当前工作路径下的路径或者文件。例如，如果用户要访

问当前路径下的 text.txt 文件，则可以直接使用文件名“text.txt”作为其 URL。

1.1.3 目录操作

用户可以使用表 1-2中的命令来进行相应的目录操作，包括创建或删除目录、显示当前的工作目录

以及指定目录下文件或目录的信息等。

请在用户视图下进行下列配置。

表1-2 目录操作

操作命令说明

创建目录 mkdir directory 可选

删除目录 rmdir directory 可选

1-2

操作命令说明

显示当前的工作目录 pwd 可选

显示目录或文件信息 dir [ /all ] [ file-url ] 可选

进入指定的目录 cd directory 可选

使用 rmdir 命令删除的目录必须为空目录，否则将无法进行删除。在 dir /all 命令的显示信息中，存放在回收站中的文件会加上方括号作为提示。

1.1.4 文件操作

用户可以使用表 1-3中的命令来进行相应的文件操作，包括删除文件、重命名文件、拷贝文件、移

动文件、显示文件的内容、显示指定文件的信息等。

请在用户视图下（其中 execute 命令需要在系统视图下执行）进行下列配置。

表1-3 文件操作

操作命令说明

删除文件 delete [ /unreserved ] file-url delete { running-files | standby-files } [ /unreserved ]

可选

使用 delete 命令删除文件时，如果不指

定/unreserved 参数，则被删除的文件

可以使用 undelete 命令恢复

恢复回收站中的文件 undelete file-url 可选

彻底删除回收站中的文件 reset recycle-bin [ file-url ] [ /force ] 可选

重新命名文件 rename fileurl-source fileurl-dest 可选

拷贝文件 copy fileurl-source fileurl-dest 可选

移动文件 move fileurl-source fileurl-dest 可选

显示文件的内容 more file-url 可选

目前文件系统只支持显示文本文件的内

容

显示目录或文件信息 dir [ /all ] [ file-url ] 可选


执行指定的批处理文件 execute filename 可选

在系统视图下执行

1-3

在同一个目录下，如果先后删除了两个名称相同的文件，回收站中将只保留最后一次删除的文件。使用 delete 命令删除文件时，如果不指定/unreserved 参数，被删除的文件将保存在回收站中，

仍会占用存储空间。用户可以使用 reset recycle-bin 命令彻底清除回收站中的废弃文件，以回

收存储空间。在 dir /all 命令的显示信息中，存放在回收站中的文件会加上方括号作为提示。配置文件被删除后，以太网交换机下次启动时，系统将采用空配置启动。

1.1.5 Flash 操作

用户可以使用表 1-4的命令对Flash进行格式化和恢复操作。


表1-4 Flash 操作

操作命令说明

格式化 Flash format device 必选

恢复 Flash 的空间 fixdisk device 必选

格式化操作将导致 Flash 上的所有文件丢失（包括配置文件），并且不可恢复。

1.1.6 设置文件系统的提示方式

用户可以设置当前文件系统的提示方式。如果选 alert 方式，在用户执行有可能给用户带来损失的

命令（比如删除文件、覆盖文件等），文件系统将提示用户进行确认；如果选 quiet 方式，则不会

提示确认。

表1-5 设置文件系统的提示方式

操作命令说明


设置文件系统的提示方式 file prompt { alert | quiet } 必选

缺省情况下，文件系统的提示方式为 alert

1.1.7 文件系统配置举例

# 显示本地 Unit 文件系统根目录所有文件。

<Sysname> dir /all

Directory of unit1>flash:/

1 (*) -rw- 5822215 Jan 01 1970 00:07:03 test.bin

2 -rwh 4 Apr 01 2000 23:55:49 snmpboots

3 -rwh 428 Apr 02 2000 00:47:30 hostkey

1-4

4 -rwh 572 Apr 02 2000 00:47:38 serverkey

5 -rw- 1220 Apr 02 2000 00:06:57 song.cfg

6 -rw- 5026103 Jan 01 1970 00:04:34 testv1r1.bin

7 -rwh 88 Apr 01 2000 23:55:53 private-data.txt

8 (*) -rw- 1376 Apr 02 2000 01:56:28 config.cfg

15367 KB total (4634 KB free)

(*) -with main attribute (b) -with backup attribute

(*b) -with both main and backup attribute

# 把文件从 flash:/config.cfg 拷贝到 flash:/test/1.cfg。

<Sysname> copy flash:/config.cfg flash:/test/1.cfg

Copy unit1>flash:/config.cfg to unit1>flash:/test/1.cfg?[Y/N]:y

..

%Copy file unit1>flash:/config.cfg to unit1>flash:/test/1.cfg...Done.

# 查看拷贝后的文件信息。

<Sysname> dir /all

Directory of unit1>flash:/

1 (*) -rw- 5822215 Jan 01 1970 00:07:03 test.bin

2 -rwh 4 Apr 01 2000 23:55:49 snmpboots

3 -rwh 428 Apr 02 2000 00:47:30 hostkey

4 -rwh 572 Apr 02 2000 00:47:38 serverkey

5 -rw- 1220 Apr 02 2000 00:06:57 song.cfg

6 -rw- 5026103 Jan 01 1970 00:04:34 testv1r1.bin

7 -rwh 88 Apr 01 2000 23:55:53 private-data.txt

8 (*) -rw- 1376 Apr 02 2000 01:56:28 config.cfg

9 drw- - Apr 04 2000 04:50:07 test




<Sysname> dir unit1>flash:/test/

Directory of unit1>flash:/test/

1 -rw- 1376 Apr 04 2000 04:50:30 1.cfg




1-5

1.2 文件属性配置

1.2.1 文件属性简介

以下三类启动文件支持文件属性配置功能：

App 文件：主机运行程序，其扩展名为.bin；

配置文件：用于保存和恢复配置，其扩展名为.cfg；

Web 文件：用于 Web 网管，其扩展名为.web。

App文件、配置文件和Web文件支持三种属性：main、backup和none，如表 1-6所示。

表1-6 文件属性说明

属性名用途特点显示标识

main 标识主启动文件

设备启动时会优先采用主启动文

件启动

Flash 中 main 属性的 App 文件、配置文件和

Web 文件只能各有一个 (*)

backup 标识备启动文件

设备如果使用主启动文件启动失

败，将采用备启动文件启动

Flash 中 backup 属性的 App 文件、配置文件

和 Web 文件只能各有一个 (b)

none 标识不具有 main 和 backup 属性

的其他文件 - 没有特殊标

识

一个文件可以同时具有 main 和 backup 属性。同时具有 main 和 backup 属性的文件在显示时使用

(*b)标识。

需要注意的是，Flash 中 main 属性的 App 文件、配置文件和 Web 文件只能各有一个。用户设置新

文件的属性为 main 时，原 main 属性文件将失去其 main 属性，新文件的属性变为 main。backup属性的文件亦是如此。

对文件的操作和对文件属性的操作是分离的。例如，从 Flash 中删除一个属性为 main 的文件，其

他文件属性不会变为 main，把与所删除文件同名的另一个合法文件下载到 Flash 中后，则新文件将

具有 main 属性。

升级设备的 Boot ROM 后，原默认的 App 启动文件具有 main 属性。

1.2.2 启动文件选择顺序

设备启动时会优先采用主启动文件启动，如果使用主启动文件启动失败，则继续采用备启动文件启

动。

对于 Web 文件和配置文件，H3C 在发布软件版本时可能会提供相应缺省文件。设备启动时，将按

照一定的顺序进行启动文件选择。其中对 Web 文件的选择采用如下顺序：

(1) 如果缺省 Web 文件存在，则采用缺省 Web 文件启动；

(2) 如果缺省 Web 文件不存在，主用 Web 文件存在，则采用主用 Web 文件启动；

1-6

(3) 如果缺省 Web 文件、主用 Web 文件均不存在，备用 Web 文件存在，则采用备用 Web 文件

启动：

(4) 如果缺省 Web 文件、主用 Web 文件、备用 Web 文件均不存在，则设备认为无 Web 文件。

关于设备启动时配置文件的选择顺序请参见本手册“配置文件管理”模块的介绍。

1.2.3 文件属性配置

用户可以设置并查看设备下次启动文件的 main 属性和 backup 属性，也可以改变文件的属性。

请在用户视图下（其中display命令可以在任意视图执行）进行表 1-7中的操作。

表1-7 文件属性配置

操作命令说明

设置下次启动时具有 main 属性的 App 文

件 boot boot-loader file-url 可选

设置下次启动时具有 backup 属性的 App文件

boot boot-loader backup-attribute file-url 可选

设置 Web 文件及其属性 boot web-package webfile { backup | main } 可选

切换文件的主备属性 boot attribute-switch { all | app | configuration | web } 可选

使能用户使用自定义密码进入 Boot 主菜

单的功能 startup bootrom-access enable

可选

缺省情况下，用户使用自定

义密码进入 Boot 主菜单的


显示启动采用的 App 文件信息 display boot-loader [ unit unit-id ]

显示设备采用的 Web 文件信息 display web package

可选

display命令可以在任意视

图下执行

Web 文件的主备属性设置完成后立即生效，不需要重启设备。升级 Web 文件后，用户需要使用 boot web-package 命令指定新 Web 文件，或者重启后在 Boot菜单里指定新 Web 文件，否则用户不能正常使用 Web Server 功能。

目前的配置文件以“.cfg”作为扩展名，存放在 Flash 的根目录下。关于配置文件属性设置的详细内容请参见本手册“配置文件管理”模块的介绍。

i

目录

1 FTP与SFTP....................................................................................................................................... 1-1

1.1 FTP与SFTP简介 ...............................................................................................................................1-1

1.1.1 FTP简介.................................................................................................................................. 1-1 1.1.2 SFTP简介 ...............................................................................................................................1-2

1.2 FTP配置 ............................................................................................................................................ 1-2

1.2.1 交换机作为FTP服务器的配置 ................................................................................................. 1-2 1.2.2 交换机作为FTP客户端的配置 ................................................................................................. 1-6 1.2.3 交换机作为FTP服务器的配置举例.......................................................................................... 1-8 1.2.4 FTP服务器的banner信息配置举例 ....................................................................................... 1-10 1.2.5 交换机作为FTP客户端的配置举例........................................................................................ 1-11

1.3 SFTP配置........................................................................................................................................ 1-12

1.3.1 交换机作为SFTP服务器的配置............................................................................................. 1-12 1.3.2 交换机作为SFTP客户端的配置............................................................................................. 1-13 1.3.3 SFTP配置举例 ......................................................................................................................1-15

2 TFTP ................................................................................................................................................. 2-1

2.1 TFTP简介 .......................................................................................................................................... 2-1

2.2 TFTP配置 .......................................................................................................................................... 2-1

2.2.1 交换机作为TFTP客户端的配置............................................................................................... 2-2 2.2.2 TFTP配置举例 ........................................................................................................................2-3

1-1

1 FTP 与 SFTP

新增FTP服务器的banner信息特性，请参见 1.2.1 6. 。

1.1 FTP 与 SFTP 简介

1.1.1 FTP 简介

FTP（File Transfer Protocol，文件传输协议）是 IP 网络上传输文件的通用协议。在万维网（WWW，

World Wide Web）出现以前，用户使用命令行方式传输文件，最通用的应用程序就是 FTP。虽然

目前大多数用户在通常情况下选择使用 E-mail 和 Web 传输文件，但是 FTP 仍然被广泛使用。

FTP 协议在 TCP/IP 协议族中属于应用层协议，用于在远端服务器和本地客户端之间传输文件，使

用 TCP 端口 20 和 21 进行传输。端口 20 用于数据传输，端口 21 用于控制命令传输。FTP 协议基

本操作在 RFC959 中进行了描述。

FTP 有两种文件传输模式：

二进制模式，用于传输程序文件；

ASCII 码模式，用于传输文本文件。

H3C E152 以太网交换机在 FTP 应用中可以作为以下两种角色参与数据传输：

表1-1 H3C E152 以太网交换机在 FTP 应用中的两种角色

配置说明注意事项

交换机做为 FTP 服

务器

交换机作为 FTP 服务器时，为 FTP 客户端提供文件服务。用户

在 PC 上可以运行 FTP 客户端程序登录到 FTP 服务器，访问服

务器端的文件。

交换机做为 FTP 客

户端

用户在 PC上通过终端仿真程序或 Telnet程序建立与以太网交换

机的连接后，输入 ftp X.X.X.X 命令（X.X.X.X 代表远程 FTP 服

务器的 IP 地址或主机名），并输入正确的用户名和密码后，即可

登录到远程 FTP 服务器。交换机作为 FTP 客户端可以访问远程

FTP 服务器上的文件。

FTP 功能可以正常使

用的条件是以太网交

换机和 PC 之间路由可

达

E152 交换机用作FTP服务器时，在有文件上传到交换机的过程中，交换机前面板的 7 段数码

显示灯顺时针旋转，当文件上传结束后停止旋转，如图 1-1所示。

E152 交换机用作FTP客户端时，在下载文件到交换机的过程中，交换机前面板的 7 段数码显

示灯顺时针旋转，当文件下载结束后停止旋转，如图 1-1所示。

图1-1 7 段数码显示灯顺时针方向旋转显示

1-2

1.1.2 SFTP 简介

SFTP（Secure FTP，安全 FTP）建立在 SSH2 连接的基础之上，它使得远程用户可以安全地登录

交换机设备，进行文件管理和文件传送等操作，为数据传输提供了更高的安全保障。同时，由于设

备支持作为客户端的功能，用户可以从本地设备安全登录到远程设备上，进行文件的安全传输。

1.2 FTP 配置

表1-2 FTP 配置任务简介

配置配置任务说明详细配置

创建 FTP 用户必选 1.2.1 1.

启动 FTP 服务器必选 1.2.1 2.

设置 FTP 服务器的连接空闲时间可选 1.2.1 3.

指定 FTP 服务器的源接口或源 IP 地址可选 1.2.1 4.

断开与指定用户的 FTP 连接可选 1.2.1 5.

指定 FTP 服务器的 banner 信息可选 1.2.1 6.

交换机做为 FTP 服

务器的配置

查看 FTP 服务器的配置显示可选 1.2.1 7.

FTP 客户端的基本配置 - 1.2.2 1. 交换机做为 FTP 客

户端的配置指定 FTP 客户端的源接口或源 IP 地址可选 1.2.2 2.

1.2.1 交换机作为 FTP 服务器的配置

1. 创建 FTP 用户

设置 FTP 用户的用户名、密码，并将服务类型设置为 FTP。用户名和密码将作为 FTP 客户端登录

服务器时的验证信息，只有通过验证的用户才可以获得访问服务器的权限。

表1-3 创建 FTP 用户

操作命令说明


添加本地用户，并进入本地

用户视图 local-user user-name 必选

缺省情况下，系统中没有任何本地用户

设置指定用户的密码 password { simple | cipher } password

可选

缺省情况下，未设置指定用户的密码

设置用户可以使用的服务类

型为 FTP service-type ftp 必选

缺省情况下，系统不对用户授权任何服务

1-3

2. 启动 FTP 服务器

表1-4 启动 FTP 服务器

操作命令说明


启动 FTP 服务器 ftp server enable 必选

缺省情况下，FTP 服务器功能处于关闭状态

H3C E152 以太网交换机作为 FTP 服务器时同时只能支持 1 个用户的访问。当 H3C E152 以太网交换机作为 FTP 服务器时，不能接收大于自身剩余存储空间的文件。如果

客户端上传过大的文件，将会因服务器存储空间不足而中断 FTP 连接。当 H3C E152 以太网交换机作为 FTP 服务器时，不支持用户使用 Microsoft Internet Explorer 作为 FTP 客户端进行访问，建议用户使用其他 FTP 客户端软件。

交换机为防止恶意用户对未使用 SOCKET 的攻击，提高交换机的安全性，提供了如下功能：

在启动 FTP 服务器功能时，才打开 FTP 使用的 TCP 21 端口。在关闭 FTP 服务器功能时，同时关闭 TCP 21 端口。

3. 设置 FTP 服务器的连接空闲时间

设置该空闲时间后，如果服务器端在一定时间内没有收到客户端发来的服务请求，服务器端会断开

与该客户端的连接，从而有效避免某用户长期占用该连接而不进行任何操作。

表1-5 设置 FTP 服务器的连接空闲时间

操作命令说明


设置 FTP 服务器的连接空闲时间 ftp timeout minutes 可选

缺省情况下，FTP 服务器的连接空闲

时间为 30 分钟

4. 指定 FTP 服务器的源接口或源 IP 地址

用户可以通过下面的配置，使 FTP 客户端只能使用 FTP 服务器提供的指定接口所对应的 IP 地址或

指定 IP 地址作为目的地址访问 FTP 服务器，提高 FTP 服务的安全性。

1-4

源接口指设备上已经创建的 VLAN 接口或 LoopBack 接口，源 IP 指设备上已经配置的接口 IP 地址。

源接口与源 IP 一一对应，指定了 FTP 服务器使用的源接口，即相当于指定该接口所对应的 IP 地址

作为 FTP 服务器使用的源 IP 地址。

表1-6 指定 FTP 服务器的源接口或源 IP 地址

操作命令说明


指定 FTP 服务器的源接口 ftp-server source-interface interface-type interface-number

指定 FTP 服务器的源 IP 地址 ftp-server source-ip ip-address

二者选其一

缺省情况下，未指定 FTP 服

务器的源接口或源 IP 地址

指定的接口必须存在，当指定接口不存在时，命令提示配置不成功。指定的 ip-address 必须为本设备地址，当指定的 ip-address 不是本设备地址时，命令提示配置不

成功。同一时刻只能对 FTP 服务器设置一个源接口或源 IP 地址，即 ftp-server source-interface 和

ftp-server source-ip 两条命令中只能有一条生效。当用户使用这两条命令对 FTP 服务器的源接

口或源 IP 地址进行重复设置时，新的配置会覆盖已有配置。如果交换机为集群当中的命令交换机或者成员交换机，则不要将 ftp-server source-ip 配置成集

群私有 IP 地址，否则将导致 FTP 功能不可用。

5. 断开与指定用户的 FTP 连接

通过以下操作，网络管理员可以在 FTP 服务器上强行断开与指定用户的连接，保障网络的安全运行。

表1-7 断开与指定用户的 FTP 连接

操作命令说明


在 FTP 服务器端断开与指定用户的 FTP 连接 ftp disconnect user-name 必选

当 H3C E152 以太网交换机作为 FTP 服务器，网络管理员在服务器端强行断开与指定用户的 FTP连接时，如果该用户正在进行数据传输，交换机将在传输完成之后执行中断操作。

6. 指定 FTP 服务器的 banner 信息

Banner 信息的显示：在 FTP 服务器上设定 banner 信息后，用户通过 FTP 协议访问作为 FTP 服务

器的交换机时，在 FTP 客户端会显示交换机上配置的 banner 信息。banner 信息分为以下两种：

1-5

login banner 信息：在 FTP 客户端与服务器端建立连接后，服务器将配置的 login banner 信

息输出到 FTP 客户端的显示终端。

图1-2 显示 login banner 信息过程

shell banner 信息：在 FTP 客户端与服务器端已经建立连接，并通过输入正确的用户名和密

码成功登录到 FTP 服务器后，服务器将配置的 shell banner 信息输出到 FTP 客户端的显示终

端。

图1-3 显示 shell banner 信息过程

表1-8 配置 FTP 服务器的 banner 显示信息

操作命令说明


配置 login banner 显示信息 header login text

配置 shell banner 显示信息 header shell text

必选，二者选其一，也可同时配置

缺省情况下，没有配置 banner 信息

有关 header 命令的具体内容请参见本手册“登录交换机”部分的详细介绍。

7. 查看 FTP 服务器的配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 FTP 服务器后的运行情况。通过


1-6

表1-9 查看 FTP 服务器的配置显示

操作命令说明

查看交换机上 FTP 服务器功能的配置信息 display ftp-server

查看当前为 FTP 服务器设置的源 IP 地址 display ftp-server source-ip

查看当前登录到设备上的 FTP 用户 display ftp-user


意视图下执行

1.2.2 交换机作为 FTP 客户端的配置

1. FTP 客户端的基本配置

缺省情况下，交换机即可充当FTP客户端，此时交换机可与FTP服务器连接，并可在交换机上通过

命令行对自身或服务器端进行相应的操作（如建立、删除目录等），具体请参见表 1-10。

表1-10 FTP 客户端可进行的基本配置

操作命令说明

进入 FTP 客户端视图 ftp [ cluster | remote-server [ port-number ] ] -

设置文件传输模式为 ASCII 模式 ascii

设置文件传输模式为二进制模式 binary

二者选其一

缺省情况下，文件传输模

式为 ASCII 模式

设置数据传输方式为被动方式 passive 可选

缺省情况下，数据传输方

式为被动方式

进入远程 FTP 服务器上的另一工作目录 cd pathname

把用户在远程 FTP 服务器上的工作目录改变

为上一级目录 cdup

获得 FTP 客户端本地的工作目录 lcd

显示用户在 FTP 服务器上的当前工作目录的

名称 pwd

在 FTP 服务器上建立目录 mkdir pathname

删除 FTP 服务器上的目录 rmdir pathname

删除 FTP 服务器上指定的文件 delete remotefile

可选

1-7

操作命令说明

dir [ remotefile ] [ localfile ]

查询 FTP 服务器上指定的文件

ls [ remotefile ] [ localfile ]

可选

如果不指定文件名参数，

将显示当前目录下所有文

件。dir 与 ls 的区别在于

dir 能显示文件的名称、目

录和文件属性，ls 只能显

示文件名称和目录，不能

显示文件属性。

从 FTP 服务器下载远程文件，并保存在本地 get remotefile [ localfile ]

上传本地的文件到远程 FTP 服务器 put localfile [ remotefile ]

重命名 FTP 服务器上的文件 rename remote-source remote-dest

使用指定的用户名和密码登录 user username [ password ]

与远程 FTP 服务器建立控制连接 open { ip-address | server-name } [ port ]

disconnect 在不退出 FTP 客户端视图的前提下，将 FTP客户端与 FTP 服务器断开 close

显示 FTP 协议命令的帮助 remotehelp [ protocol-command ]

可选

打开 verbose 开关 verbose 可选

缺省情况下，开启

verbose 开关

quit 终止与远程 FTP 服务器的连接，并退回到用

户视图 bye 可选

2. 指定 FTP 客户端的源接口或源 IP 地址

用户可以通过下面的配置，使交换机作为 FTP 客户端只能使用自身的指定接口所对应的 IP 地址或

指定 IP 地址作为源地址建立与远程 FTP 服务器的连接。

表1-11 指定 FTP 客户端的源 IP 地址和源接口

操作命令说明

指定FTP客户端本次连接FTP服务

器使用的源接口

ftp { cluster | remote-server } source-interface interface-type interface-number

可选

指定FTP客户端本次连接FTP服务

器使用的源 IP 地址 ftp { cluster | remote-server } source-ip ip-address 可选


指定FTP客户端连接FTP服务器时

固定使用的源接口 ftp source-interface interface-type interface-number

指定FTP客户端连接FTP服务器时

固定使用的源 IP 地址 ftp source-ip ip-address

二者选其一

缺省情况下，未指定 FTP 客户

端的源接口或源 IP 地址

显示FTP客户端连接FTP服务器时

固定使用的源 IP 地址 display ftp source-ip display 命令可以在任意视图

下执行

1-8

指定的接口必须存在，当指定接口不存在时，命令提示配置不成功。指定的 ip-address 必须为本设备地址，当指定的 ip-address 不是本设备地址时，命令提示配置不

成功。本次连接配置优先级高于固定配置。如果 FTP 客户端在连接 FTP 服务器时配置的本次连接使用

的源接口或源 IP 与已经配置的固定使用的源接口或源 IP 不同，本次连接配置会代替固定配置生

效。同一时刻只能对 FTP 客户端设置一个固定使用的源接口或源 IP 地址，即 ftp source-interface和 ftp source-ip 两条命令中只能有一条生效。当用户使用这两条命令对 FTP 客户端固定使用的

源接口或源 IP 地址进行重复设置时，新的配置会覆盖已有配置。

1.2.3 交换机作为 FTP 服务器的配置举例

1. 组网需求

将以太网交换机设置为 FTP 服务器，远端的 PC 作为 FTP 客户端。交换机的应用程序 switch.bin保存在 PC 上，PC 通过 FTP 向远端的交换机上传 switch.bin，并通过 boot boot-loader 命令指定

该 switch.bin 为下次启动时的应用程序，重新启动交换机，从而实现交换机应用程序的升级，同时

将交换机的配置文件 config.cfg 下载到 PC，实现配置文件的备份。

需要在 FTP 服务器上配置一个 FTP 用户名为 switch，密码为 hello。

已经配置交换机上的一个 VLAN 接口的 IP 地址为 1.1.1.1，PC 的 IP 地址为 2.2.2.2。交换机

和 PC 之间路由可达。

2. 组网图

图1-4 交换机作为 FTP 服务器的配置示意图

3. 配置步骤

(1) FTP 服务器（SwitchA）上的配置：

网络管理员登录到交换机上，在交换机上开启 FTP 服务器功能，并设置用于登录本机 FTP 服务的

用户名和密码，并将服务类型设置为 FTP。（网络管理员可以在本地通过 Console 口登录到交换机

上，也可以通过 Telnet 远程登录到交换机上。具体登录方式请参见本手册“登录交换机”部分的介

绍）

# 设置 FTP 用户名为 switch、密码为 hello，并将服务类型设置为 FTP。

<Sysname>


[Sysname] ftp server enable

[Sysname] local-user switch

[Sysname-luser-switch] password simple hello

[Sysname-luser-switch] service-type ftp

1-9

(2) FTP 客户端（PC）上的配置：

在 PC 上运行 FTP 客户端程序，与交换机建立 FTP 连接。通过上传操作把交换机的应用程序

switch.bin 上传到交换机的 Flash 根目录下，同时从交换机上下载配置文件 config.cfg。这里以

Windows 系统的命令行窗口工具为例进行说明。

# 进入命令行窗口，并切换至 switch.bin 文件所在目录。（假设该文件存放在分区 C 的根目录下）

C:\>

# 使用 ftp 功能访问以太网交换机，并输入用户名 switch、密码 hello 进行登录，进入 FTP 视图。

C:\> ftp 1.1.1.1

Connected to 1.1.1.1.

220 FTP service ready.

User (1.1.1.1:(none)): switch

331 Password required for switch.

Password:

230 User logged in.

ftp>

# 上传 switch.bin 文件。

ftp> put switch.bin

200 Port command okay.

150 Opening ASCII mode data connection for switch.bin.

226 Transfer complete.

ftp: 75980 bytes received in 5.55 seconds 13.70Kbytes/sec.

# 下载 config.cfg 文件。

ftp> get config.cfg

200 Port command okay.

150 Opening ASCII mode data connection for config.cfg.

226 Transfer complete.

ftp: 3980 bytes received in 8.277 seconds 0.48Kbytes/sec.

上述操作仅以 Windows 系统的命令行窗口工具作为举例，当用户使用不同的 FTP 客户端进行登录

时，具体操作请参见 FTP 客户端软件的使用说明。

FTP 客户端在向以太网交换机上传应用程序文件时，如果交换机的 Flash 空间不足，请删除 Flash中未在使用中的应用程序，然后再上传新的应用程序到交换机 Flash 中。正在使用的应用程序是

无法删除的，如果在不删除正在使用的应用程序的情况下剩余存储空间无法达到要求，则只能通

过 bootrom 菜单进行删除/下载操作。 FTP 客户端应用程序由用户自行提供，H3C 系列以太网交换机不附带此软件。

(3) FTP 服务器（SwitchA）上的配置：

# 在上传完毕后，用户可以通过 boot boot-loader 命令来指定已上传的程序为下次启动时的应用程

序，然后重启交换机，实现交换机应用程序的升级。

<Sysname> boot boot-loader switch.bin

<Sysname> reboot

1-10

有关 boot boot-loader 命令及指定交换机启动程序的内容，请参见本手册“系统维护与调试”部

分的详细介绍。

1.2.4 FTP 服务器的 banner 信息配置举例

1. 组网需求

以太网交换机为 FTP 服务器，远端的 PC 为 FTP 客户端。FTP 客户端与 FTP 服务器建立连接并成

功登录后，在 FTP 客户端显示 banner 信息。

已经在 FTP 服务器上配置一个 FTP 用户名为 switch，密码为 hello。

已经配置交换机上的一个 VLAN 接口的 IP 地址为 1.1.1.1，PC 的 IP 地址为 2.2.2.2。交换机


需要配置交换机的 login banner 信息为“login banner appears”，shell banner 信息为“shell

banner appears”。

2. 组网图

图1-5 FTP 服务器的 banner 信息配置示意图

3. 配置步骤

(1) FTP 服务器（Switch）上的配置：

# 配置交换机的login banner信息为“login banner appears”，shell banner信息为“shell banner appears”（组网需求中的需求一和需求二的具体配置请参考“1.2.3 交换机作为FTP服务器的配置

举例”部分）。


[Sysname] header login %login banner appears%

[Sysname] header shell %shell banner appears%

(2) FTP 客户端（PC）上的配置：

# 使用 ftp 功能访问以太网交换机，并输入用户名 switch、密码 hello 进行登录，进入 FTP 视图。建

立 FTP 连接后显示 login banner 信息，用户认证通过后显示 shell banner 信息。

C:\> ftp 1.1.1.1

Connected to 1.1.1.1.

220-login banner appears


User (1.1.1.1:(none)): switch


Password:

230-shell banner appears

1-11

230 User logged in.

ftp>

1.2.5 交换机作为 FTP 客户端的配置举例

1. 组网需求

以太网交换机作为 FTP 客户端，远端的 PC 作为 FTP 服务器。交换机的应用程序 switch.bin 保存

在 PC 上。交换机通过 FTP 从远端的 FTP 服务器上下载 switch.bin，并通过 boot boot-loader 命令指定 switch.bin 为下次启动时的应用程序，重新启动交换机，从而实现交换机应用程序的升级，

同时将交换机的配置文件 config.cfg 上传到 FTP 服务器的目录 switch 下实现配置文件的备份。

需要在 FTP 服务器上存在一个 FTP 用户，其用户名为 switch，密码为 hello，并且对该用户

授权了 PC 机上 switch 目录的读写权限。

需要配置交换机上的一个 VLAN 接口的 IP 地址为 1.1.1.1，PC 的 IP 地址为 2.2.2.2，交换机


2. 组网图

图1-6 交换机作为 FTP 客户端的配置示意图

3. 配置步骤

(1) FTP 服务器（PC）上的配置：

在 PC 上配置 FTP 服务器的相关参数：一个 FTP 用户名为 switch，密码为 hello。配置步骤请参考

FTP 服务器软件的使用说明。

(2) FTP 客户端（Switch）上的配置：

# 用户登录到交换机上。（用户可以在本地通过 Console 口登录到交换机上，也可以通过 Telnet远程登录到交换机上。各种登录方式请参见本手册“登录交换机”部分的介绍）

<Sysname>

以太网交换机在从 FTP 服务器下载应用程序文件时，如果交换机的 Flash 空间不足，请删除 Flash中未在使用中的应用程序，然后再上传新的应用程序到交换机 Flash 中。正在使用的应用程序是无

法删除的，如果在不删除正在使用的应用程序的情况下剩余存储空间无法达到要求，则只能通过

bootrom 菜单进行删除/下载操作。

# 在用户视图下输入 ftp 命令进行 FTP 连接，并输入用户名 switch、密码 hello 进行登录，进入 FTP视图。

<Sysname> ftp 2.2.2.2

Trying ...


1-12

Connected.


User(none):switch


Password:

230 User logged in.

[ftp]

# 进入 FTP 服务器的授权路径。

[ftp] cd switch

# 执行 put 命令将交换机的配置文件 config.cfg 上传到 FTP 服务器。

[ftp] put config.cfg

# 执行 get 命令将 FTP 服务器上的文件 switch.bin 下载到交换机的 Flash。

[ftp] get switch.bin

# 执行 quit 命令中断 FTP 连接，退回到用户视图下。

[ftp] quit

<Sysname>

# 下载完毕后，用户可以通过命令 boot boot-loader 来指定下载的程序为下次启动时的应用程序，

然后重启交换机，实现交换机应用程序的升级。


<Sysname> reboot


分的详细介绍。

1.3 SFTP 配置

表1-12 SFTP 配置任务简介


启动 SFTP 服务器必选 1.3.1 1.

设置 SFTP 服务器的连接空闲时间可选 1.3.1 2. 交换机作为 SFTP 服务器

的配置支持的 SFTP 客户端软件 - 1.3.1 3.

SFTP 客户端的基本配置 - 1.3.2 1. 交换机作为 SFTP 客户端

的配置指定 SFTP 客户端的源接口或源 IP 地址可选 1.3.2 2.

1.3.1 交换机作为 SFTP 服务器的配置

1. 启动 SFTP 服务器

在启动交换机 SFTP 服务器功能前，需要完成此交换机 SSH 服务器功能的配置，并需将 SSH 用户

的服务类型设置为 SFTP 或者 all，具体配置步骤请参见本手册“SSH 操作”中的 SSH 服务器配置

部分。

1-13

表1-13 启动 SFTP 服务器

操作命令说明


启动 SFTP 服务器 sftp server enable 必选

缺省情况下，交换机的 SFTP 服务器功能处于关闭状态

2. 设置 SFTP 服务器的连接空闲时间

设置该空闲时间后，如果服务器端在一定时间内没有收到客户端发来的服务请求，服务器端会断开

与该客户端的连接，从而有效避免某用户长期占用该连接而不进行任何操作。

表1-14 设置 SFTP 服务器的连接空闲时间

操作命令说明


设置 SFTP 服务器的连接空闲时间 sftp timeout time-out-value 可选

缺省情况下，SFTP 服务器的连

接空闲时间为 10 分钟

3. 支持的 SFTP 客户端软件

H3C E152以太网交换机作为SFTP服务器时支持与SFTP客户端软件互通，例如SSH Tectia Client v4.2.0(SFTP) and V5.0 和 WINSCP 等。

SFTP 客户端支持的操作包括：登录设备、上传文件、下载文件、创建目录、修改文件或目录名、

浏览目录结构内容、主动断开连接。

对客户端软件的配置操作请参考客户端软件的配置手册。

目前 H3C E152 以太网交换机作为 SFTP 服务器时只支持一个 SFTP 用户的连接，多个客户端登

录或当一个客户端启用多个 SFTP 连接时，只有第一个 SFTP 用户的连接能够成功，后续 SFTP用户的连接将会失败。

当用 WINSCP 客户端上传大文件时，如果服务器上已有与此文件同名的文件。建议将客户端报

文超时时间置为 600 秒以上，防止由于设备删除文件时时间过长导致客户端超时无法响应设备端

报文。同理，当删除服务器端大文件时，建议也将客户端报文超时时间置为 600 秒以上。

1.3.2 交换机作为 SFTP 客户端的配置

1. SFTP 客户端的基本配置

缺省情况下，交换机即可充当SFTP客户端，此时交换机可与SFTP服务器连接，并可在交换机上通

过命令行对自身或服务器端进行相应的操作（如建立、删除目录等），具体请参见表 1-15

1-14

表1-15 SFTP 客户端可进行的基本配置

操作命令说明


进入 SFTP 客户端视图

sftp { host-ip | host-name } [ port-num ] [ identity-key { dsa | rsa } | prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher { 3des | des | aes128 } | prefer_stoc_cipher { 3des | des | aes128 } | prefer_ctos_hmac { sha1 | sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] *

必选

进入远程 SFTP 服务器上的另一工作

目录 cd pathname

把用户在远程 SFTP 服务器上的工作

目录改变为上一级目录 cdup

显示用户在 SFTP 服务器上的当前工

作目录的名称 pwd

在 SFTP 服务器上建立目录 mkdir pathname

删除 SFTP 服务器上的目录 rmdir pathname

可选

delete remotefile 删除 SFTP 服务器上指定的文件

remove remote-file

可选

delete和 remove两条命令

的功能相同

查询 SFTP 服务器上指定的文件 dir [ -a | -l ] [ remote-path ]

查询 SFTP 服务器上指定的文件 ls [ -a | -l ] [ remote-path ]

可选

如果不指定文件名参数，将

显示当前目录下所有文件。

dir 与 ls 的区别在于 dir 能显

示文件的名称、目录和文件

属性，ls 只能显示文件名称

和目录，不能显示文件属

性。

从 SFTP 服务器下载远程文件，并保存

在本地 get remotefile [ localfile ]

上传本地的文件到远程 SFTP 服务器 put localfile [ remotefile ]

重命名 SFTP 服务器上的文件 rename remote-source remote-dest

可选

bye

exit 退出 SFTP 客户端视图到系统视图

quit

bye，exit 和 quit 三条命令

的功能相同

显示相关命令的帮助信息 help [ all | command-name ] 可选

如果在服务器端指定客户端的认证方式为公钥认证，当客户端登录 SFTP 服务器端时客户端需要读

取本地的私钥进行验证。由于公钥认证可以采用 RSA 和 DSA 两种加密算法，所以需要用

identity-key 关键字指定采用的加密算法，才能得到正确的本地私钥数据，否则无法登录成功。有

关内容请参见本手册“SSH”部分的详细介绍。

1-15

2. 指定 SFTP 客户端的源接口或源 IP 地址

用户可以通过以下配置，使 SFTP 客户端只能使用自身的指定接口所对应的 IP 地址或指定 IP 地址

作为源地址建立与 SFTP 服务器的连接，增加了业务的可管理性。

表1-16 指定 SFTP 客户端的源接口或源 IP 地址

操作命令说明


指定 SFTP 客户端的源接口 sftp source-interface interface-type interface-number

指定 SFTP 客户端的源 IP 地址 sftp source-ip ip-address

二者选其一

缺省情况下，未指定 SFTP 业

务报文源接口或源 IP 地址

显示当前SFTP客户端的源 IP地址 display sftp source-ip 可选


下执行

1.3.3 SFTP 配置举例

1. 组网需求

如图 1-7，SFTP客户端（SwitchA）和SFTP服务器（SwitchB）之间建立SSH连接，SFTP客户端

（Switch A）登录到SFTP服务器(Switch B)，进行文件管理和文件传送等操作，在SFTP服务器上

已经存在SFTP用户名为client001、密码为abc。

2. 组网图

图1-7 SFTP 配置示意图

3. 配置步骤

(1) SFTP 服务器（Switch B）上的配置：

# 生成密钥对


[Sysname] public-key local create rsa

[Sysname] public-key local create dsa

# 在交换机上创建 VLAN 接口，并为其分配 IP 地址，此 IP 地址将作为客户端连接到 SFTP 服务器

时所使用的目的地址。




# 设置 SFTP 客户端登录 SFTP 服务器用户界面的 SSH 认证方式为 AAA 认证。



1-16

# 设置交换机上远程用户登录协议为 SSH。

[Sysname-ui-vty0-4] protocol inbound ssh

[Sysname-ui-vty0-4] quit

# 创建本地用户 client001。

[Sysname] local-user client001

[Sysname-luser-client001] password simple abc

[Sysname-luser-client001] service-type ssh

[Sysname-luser-client001] quit

# 配置 SSH 用户认证方式为 password。SSH 的认证超时时间、尝试次数以及服务器密钥更新时间

采用系统默认值。

[Sysname] ssh user client001 authentication-type password

# 指定用户的服务类型为 SFTP。

[Sysname] ssh user client001 service-type sftp

# 启动 SFTP 服务器。

[Sysname] sftp server enable

(2) SFTP 客户端（Switch A）上的配置：

# SwitchA 上的 VLAN 接口的 IP 地址必须同 SwitchB 上的 VLAN 接口的 IP 地址位于同一个网段，

这里设置为“192.168.0.2”。





# 与远程 SFTP 服务器建立连接，并输入用户名 client001、密码为 abc 进行登录，进入 sftp-client视图。

[Sysname] sftp 192.168.0.1

Input Username: client001

Trying 192.168.0.1 ...


Connected to 192.168.0.1 ...



Enter password:

sftp-client>

# 显示服务器的当前目录，删除文件 z，并检查此文件是否删除成功。

sftp-client> dir

-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg

-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2


drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new

-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub

-rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z

1-17

Received status: End of file

Received status: Success

sftp-client> delete z

The following files will be deleted:

/z

Are you sure to delete it?(Y/N):y

This operation may take a long time.Please wait...


File successfully Removed

sftp-client> dir








# 新增目录 new1，并检查新目录是否创建成功。

sftp-client> mkdir new1


New directory created

sftp-client> dir






drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1



# 将目录名 new1 更名为 new2，并查看是否更名成功。

sftp-client> rename new1 new2

File successfully renamed

sftp-client> dir









# 从服务器上下载文件 pubkey2 到本地，并更名为 public。

sftp-client> get pubkey2 public

1-18

This operation may take a long time, please wait...

.

Remote file:/pubkey2 ---> Local file: public..



Downloading file successfully ended

# 将本地文件 pu 上传到服务器上，更名为 puk，并查看上传是否成功。

sftp-client> put pu puk

This operation may take a long time, please wait...

Local file: pu ---> Remote file: /puk


Uploading file successfully ended

sftp-client> dir







-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk



sftp-client>

# 退出 SFTP。

sftp-client> quit

Bye

[Sysname]

2-1

2 TFTP

2.1 TFTP 简介

相对于 FTP，TFTP（Trivial File Transfer Protocol，简单文件传输协议）使用更加方便，在连接过

程中不需要认证控制，适用于客户端和服务器之间不需要复杂交互的环境。TFTP 是基于 UDP 的应

用层协议，使用 UDP 端口 69 进行数据传输。TFTP 协议基本操作在 RFC1986 中进行了描述。

TFTP 协议传输是由客户端发起的：

当 TFTP 客户端需要从服务器下载文件时，由客户端向 TFTP 服务器发送读请求包，然后从服

务器接收数据，并向服务器发送确认；

当 TFTP 客户端需要向 TFTP 服务器上传文件时，由客户端向 TFTP 服务器发送写请求包，然

后向服务器发送数据，并接收服务器的确认。

H3C E152 以太网交换机只能作为 TFTP 客户端。

E152 交换机作为TFTP客户端从TFTP服务器上下载文件的过程中，交换机前面板的 7 段数码显示

灯顺时针旋转，当文件下载结束后停止旋转，如图 1-1所示。

当下载大于以太网交换机的 flash 剩余空间大小的文件时，设备的处理方式分为以下两种：

如果 TFTP 服务器支持文件大小协商的扩展协议，则交换机和服务器通过文件大小协商发现交

换机剩余空间不足，这时直接放弃文件下载操作。

如果 TFTP 服务器不支持文件大小协商的扩展协议，则交换机从服务器接收数据。直到交换机

的 flash 已满，而还有待下载的数据时，则提示空间不足，并删除这次部分下载完成的文件数

据，文件下载失败。

TFTP 传输文件有两种模式：

二进制模式，用于传输程序文件。

ASCII 码模式，用于传输文本文件。

配置 TFTP 之前，网络管理员需要先配置 TFTP 客户端和服务器的 IP 地址，并且确保客户端和服务

器路由可达。

2.2 TFTP 配置

表2-1 TFTP 配置任务简介


TFTP 客户端的基本配置 - 2.2.1 1. 交换机作为 TFTP 客户端的

配置指定 TFTP 客户端的源接口或源 IP地址可选 2.2.1 2.

2-2


TFTP 服务器的配置具体配置请参见相关手册 - -

2.2.1 交换机作为 TFTP 客户端的配置

1. TFTP 客户端的基本配置

缺省情况下，交换机即可充当TFTP客户端，此时交换机可与TFTP服务器连接，并可在交换机上通

过命令行对自身或服务器端进行相应的操作（如上传、下载文件等），具体请参见表 2-2

表2-2 TFTP 客户端可进行的基本配置

操作命令说明

交换机从 TFTP 服务器获取文件 tftp tftp-server get source-file [ dest-file ] 可选

交换机向 TFTP 服务器上传文件 tftp tftp-server put source-file [ dest-file ] 可选


设置 TFTP 传输文件时的传输方式 tftp { ascii | binary } 可选

缺省情况下，数据传输方式为 binary

指定 TFTP 客户端在连接 TFTP 服

务器时所选用的 ACL 规则 tftp-server acl acl-number

可选

缺省情况下，未指定 TFTP 客户端在连

接 TFTP 服务器时所选用的 ACL 规则

2. 指定 TFTP 客户端的源接口或源 IP 地址

用户可以通过下面的配置，使交换机作为 TFTP 客户端只能使用自身的指定接口所对应的 IP 地址或

指定 IP 地址作为源地址建立与远程 TFTP 服务器的连接。

表2-3 指定 TFTP 客户端使用的源接口和源 IP 地址

操作命令说明

指定 TFTP 客户端本次连接 TFTP 服

务器使用的源接口

tftp tftp-server source-interface interface-type interface-number { get source-file [ dest-file ] | put source-file-url [ dest-file ] }

可选

缺省情况下，未指定 TFTP 客户

端使用的源接口和源 IP 地址

指定 TFTP 客户端本次连接 TFTP 服

务器使用的源 IP 地址

tftp tftp-server source-ip ip-address { get source-file [ dest-file ] | put source-file-url [ dest-file ] }

可选


指定 TFTP 客户端连接 TFTP 服务器

时固定使用的源接口 tftp source-interface interface-type interface-number

指定 TFTP 客户端连接 TFTP 服务器

时固定使用的源 IP 地址 tftp source-ip ip-address

二者选其一

缺省情况下，未指定 TFTP 客户

端使用的源接口和源 IP 地址

查看 TFTP 客户端连接 TFTP 服务器

时固定使用的源 IP 地址 display tftp source-ip 可选


下执行

2-3

指定 TFTP 客户端使用的源接口时，指定的接口必须存在，当指定接口不存在时，命令提示配置

不成功。指定TFTP客户端使用的源 IP地址时，指定的 ip-address必须为本设备地址，当指定的 ip-address不是本设备地址时，命令提示配置不成功。

本次连接配置优先级高于固定配置。如果 TFTP 客户端在连接 TFTP 服务器时配置的本次连接使

用的源接口或源 IP 与已经配置的固定使用的源接口或源 IP 不同，本次连接配置会代替固定配置

生效。同一时刻只能对 TFTP 客户端设置一个固定使用的源接口或源 IP 地址，即 tftp source-interface和 tftp source-ip 两条命令中只能有一条生效。当用户使用这两条命令对 TFTP 客户端固定使用

的源接口或源 IP 地址进行重复设置时，新的配置会覆盖已有配置。

2.2.2 TFTP 配置举例

1. 组网需求

交换机作为 TFTP 客户端，PC 作为 TFTP 服务器。交换机的应用程序 switch.bin 保存在 PC 上。交

换机通过 TFTP 从远端的 TFTP 服务器上下载 switch.bin，并通过 boot boot-loader 命令指定

switch.bin 为下次启动时的应用程序，重新启动交换机，从而实现交换机应用程序的升级，同时将

交换机的配置文件 config.cfg 上传到 TFTP 服务器的工作目录实现配置文件的备份。

在 TFTP 服务器上配置了 TFTP 服务器的工作目录。

需要配置交换机上的一个 VLAN 接口的 IP 地址为 1.1.1.1，交换机和 PC 相连的端口属于该

VLAN，PC 的 IP 地址为 2.2.2.2。

2. 组网图

图2-1 TFTP 配置示意图

3. 配置步骤

(1) TFTP 服务器（PC）上的配置：

在 PC 上启动了 TFTP 服务器功能，配置 TFTP 服务器的工作目录

(2) TFTP 客户端（Switch）上的配置：

# 用户登录到交换机上。（用户可以在本地通过 Console 口登录到交换机上，也可以通过 Telnet远程登录到交换机上。各种登录方式请参见“登录交换机”）

<Sysname>

2-4

以太网交换机在从 TFTP 服务器下载应用程序文件时，如果交换机的 Flash 空间不足，请删除 Flash中未在使用中的应用程序，然后再上传新的应用程序到交换机 Flash 中。正在使用的应用程序是无

法删除的，如果在不删除正在使用的应用程序的情况下剩余存储空间无法达到要求，则只能通过

bootrom 菜单进行删除/下载操作。



[Sysname]

# 配置 VLAN 接口的 IP 地址为 1.1.1.1，同时保证与 PC 相连的端口属于这个 VLAN。（本例中以

VLAN 1 为例。）




# 将交换机的应用程序 switch.bin 从 TFTP 服务器下载到交换机。

<Sysname> tftp 2.2.2.2 get switch.bin switch.bin

# 将交换机的配置文件 config.cfg 上传到 TFTP 服务器。

<Sysname> tftp 2.2.2.2 put config.cfg config.cfg

# 下载完毕后，用户可以通过命令 boot boot-loader 来指定下载的程序为下次启动时的应用程序，

然后重启交换机，实现交换机应用程序的升级。


<Sysname> reboot


分的介绍。

i

目录

1 信息中心 ............................................................................................................................................ 1-1

1.1 信息中心简介..................................................................................................................................... 1-1

1.1.1 信息中心概述 ..........................................................................................................................1-1 1.1.2 系统信息的格式 ......................................................................................................................1-4

1.2 信息中心配置..................................................................................................................................... 1-6

1.2.1 配置任务简介 ..........................................................................................................................1-6 1.2.2 配置同步信息输出功能 ...........................................................................................................1-6 1.2.3 配置带UTC的时间戳显示功能 ................................................................................................ 1-7 1.2.4 配置信息发送到控制台 ...........................................................................................................1-7 1.2.5 配置信息发送到监视终端 ........................................................................................................ 1-9 1.2.6 配置信息发送到日志主机 ...................................................................................................... 1-10 1.2.7 配置信息发送到告警缓冲区 .................................................................................................. 1-11 1.2.8 配置信息发送到日志缓冲区 .................................................................................................. 1-12 1.2.9 配置信息发送到SNMP网络管理工作站................................................................................. 1-12 1.2.10 禁止端口生成Link up/Link down日志信息 .......................................................................... 1-13

1.3 信息中心显示和维护........................................................................................................................1-13

1.4 信息中心典型配置举例 ....................................................................................................................1-14

1.4.1 日志发送到Unix日志主机的配置举例.................................................................................... 1-14 1.4.2 日志发送到Linux日志主机的配置举例 .................................................................................. 1-15 1.4.3 日志发送到控制台的配置举例............................................................................................... 1-16 1.4.4 信息中心支持时间戳中显示UTC时间配置举例 ..................................................................... 1-17

1-1

1 信息中心

新增“信息中心支持时间戳中显示UTC时间”特性，具体介绍请参见 1.1.2 2. timestamp（时间戳）。

1.1 信息中心简介

1.1.1 信息中心概述

信息中心是系统的信息枢纽，它能够对所有的系统信息进行分类、管理。通过与调试程序

（debugging 命令）结合，信息中心为网络管理员和开发人员监控网络运行情况和诊断网络故障提

供了强有力的支持。

系统的信息中心具有以下一些特性：

1. 系统信息的分类

信息中心共有三类信息：

log 类：日志类信息

trap 类：告警类信息

debug 类：调试类信息

2. 系统信息的八个等级

信息按重要性划分为八种等级，可按等级进行信息过滤。系统信息的信息级别值越小，紧急程度越

高。

表1-1 信息级别列表

信息级别数值描述

emergencies 1 系统不可用信息

alerts 2 需要立刻做出反应的信息

critical 3 严重信息

errors 4 错误信息

warnings 5 警告信息

notifications 6 正常出现但是重要的信息

informational 7 需要记录的通知信息

debugging 8 调试过程产生的信息

系统进行信息过滤时采用的规则是：禁止信息级别大于所设置阈值的信息输出。

当设置信息级别的取值为 1 时，系统只会输出 emergencies 信息；

当设置信息级别的取值为 8 时，系统将输出所有级别的信息。

1-2

3. 系统信息的十个通道和六个输出方向

系统支持向以下六个方向发送系统信息：控制台（console）、监视终端（monitor）、日志缓冲区

（logbuffer）、日志主机（loghost）、告警缓冲区（trapbuffer）和 SNMP。

系统支持十个通道，其中 0～5 六个通道有缺省通道名，并且这六个通道缺省的与六个输出方向相

关联。可以通过命令改变通道名，也可以通过命令改变通道与输出方向之间的关联。

表1-2 系统信息的通道和输出方向

通道编号通道的缺省名称通道的缺省输出方向

0 console 控制台（可以接收 log、trap、debug 信息）

1 monitor 监视终端（可以接收 log、trap、debug 信息，方便远程维护）

2 loghost 日志主机（可以接收 log、trap、debug 信息，通常系统信息

在日志主机以文件的方式存储，以便查询）

3 trapbuffer 告警缓冲区（可以接收 trap 信息，是设备内部的一块缓存，用

于记录信息）

4 logbuffer 日志缓冲区（可以接收 log 信息，是设备内部的一块缓存，用

于记录信息）

5 snmpagent SNMP 网络管理工作站（可以接收 trap 信息）

6 channel6 未指定（可以接收 log、trap、debug 信息）




六个方向的设置相互独立，但首先需要开启信息中心，其余的设置才会生效。

4. 按来源模块输出系统信息

系统信息可按来源模块进行分类，进而进行信息过滤。部分信息来源模块的名称及说明请参见表

1-3。

表1-3 信息来源模块列表

模块名说明

8021X 802.1X 模块

ACL 访问控制列表（Access Control List）模块

ADBM 地址表模块（ADdress Base Module）

AM 访问管理（Access Management）模块

ARP 地址解析协议（Address Resolution Protocol）模块

CMD 命令行模块

DEV 设备管理模块

DHCP 动态主机配置协议（Dynamic Host Configuration Protocol）模块

1-3

模块名说明

DNS 域名系统（Domain Name System）模块

ETH 以太网（Ethernet）模块

FIB 转发模块

FTPS FTP 服务器模块

HA 高可靠性（High Availability）模块

HTTPD HTTP 服务器模块

HWP HWPing 模块

IFNET 接口管理模块

IGSP IGMP snooping 模块

IP 互联网协议（Internet Protocol）模块

LAGG 链路聚合模块

LINE 终端线模块

MSTP 多生成树协议（Multiple Spanning Tree Protocol）模块

MTRACE 组播路径查询（Multicast TRACEroute）模块

NAT 网络地址转换（Network Address Translation）模块

NDP 邻居发现协议(Neighbor Discovery Protocol)模块

NTDP 网络拓扑发现协议（Network Topology Discovery Protocol）模块

NTP 网络时间协议（Network Time Protocol）模块

OSPF 开放最短路径优先协议（Open Shortest Path First）模块

PKI 公共密钥设施（Public Key Infrastructure）模块

RDS Radius 模块

RMON 远程监控（Remote monitor）模块

RSA RSA 加密系统（Revest，Shamir and Adleman）模块

SHELL 用户界面模块

SNMP 简单网络管理协议（Simple Network Management Protocol）模块

SOCKET 套接字模块

SSH 安全用户界面（Secure Shell）模块

SYSMIB 系统管理 MIB 模块

TAC HWTACACS 模块

TELNET 远程登录 Telnet 模块

TFTPC TFTP Client 模块

VLAN 虚拟局域网（Virtual Local Area Network）模块

VTY 虚拟类型终端（Virtual Type Terminal）模块

XM Xmodem 模块

default 所有模块的缺省设置

1-4

总之，信息中心的主要工作就是将各种模块的三种类型的信息，按照八种信息级别，通过用户选择

的信息通道，将系统信息定位到六个输出方向发送出去。

1.1.2 系统信息的格式

按照系统信息的输出方向不同，系统信息可以有不同的显示格式。

当输出方向为控制台、监视终端、日志缓冲区、告警缓冲区或 SNMP 时，系统信息的格式如

下： timestamp sysname module/level/digest: - unitid -content

对应的中文格式为：

时间戳主机名模块名/信息级别/信息摘要:信息文本

以上格式中空格、斜杠（/）、冒号（:）是必须的。时间戳前面会有百分号（%）或井字符号（#）或米字符号（*），分别代表该条信息是日志信息

或告警信息或调试信息。

以输出到监视终端的日志信息为例，显示格式如下：

%Dec 6 10:44:55:283 2006 Sysname NTP/5/NTP_LOG:- 1 - NTP service enable

（其中，“- 1 -”表示设备的 Unit 编号为 1。）

当输出方向为日志主机时，交换机与日志主机之间遵循 syslog 协议，根据 RFC3164（The BSD

syslog Protocol）规定，系统信息遵循如下格式： <Int_16>timestamp sysname %%nnmodule/level/digest: source content

如果在交换机的信息中心中指定了日志主机的地址，当日志信息产生时，交换机会按上述格式将

日志信息发往日志主机，具体配置可参考 1.2.6 配置信息发送到日志主机。在 Unix，Linux 平台上有 syslog 进程，只要开启此进程就能够接收交换机发出的日志信息；在

Windows 平台下可以安装特定软件来作为 syslog 主机。需要注意的是：一些日志主机软件会对收到的信息进行解析，并修改信息格式，造成用户在日志

主机上查看到的日志格式与上述描述有差异，请用户以实际情况为准。

下面对信息的每一个字段做详细说明。

1. Int_16（优先级）

优先级的计算按如下公式：facility*8+severity-1。

facility（工具名称）默认为 local7，值为 23（local6 为 22，依此类推）；

severity（信息级别）的取值范围为 1～8，信息级别具体含义请参见表 1-1。

优先级字段只有在信息发往日志主机上时才会出现。

2. timestamp（时间戳）

时间戳记录了系统信息产生的时间，方便用户查看和定位系统事件。

1-5

时间戳与主机名之间以一个空格隔开。

时间戳格式分为两种：

(1) 在时间戳中不带 UTC（Universal Time Coordinated，通用协调时间）时间时的格式为“Mmm

dd hh:mm:ss:ms yyyy”。

(2) 在时间戳中带 UTC 时间时的格式为“Mmm dd hh:mm:ss:ms yyyy [GMT +|- hh:mm:ss]”。

各字段解释如下：

“Mmm”为月份的英文缩写，即为如下的值：Jan、Feb，Mar、Apr、May、Jun、Jul、Aug、

Sep、Oct、Nov 和 Dec。

“dd”为日期，如果日期的值小于 10，则必须写为“空格＋日期”，如“ 7”。

“hh:mm:ss:ms”为本地时间。hh 采用 24 小时制，从 00 到 23；分钟和秒的值均从 00 到 59；

毫秒取值为 000 到 999。（需要注意的是：信息中心发往日志主机的系统信息的时间戳不带

毫秒信息；发往控制台、监视终端、日志缓冲区、告警缓冲区或 SNMP 的系统信息会精确到

毫秒）

“yyyy”为年份。

“[GMT +|- hh:mm:ss]”为 UTC 时间，表示和格林尼治标准时间的时差值。

由于网络中交换机可能分布在不同时区，此时各交换机信息中心输出信息的时间戳显示的均为当地

时间，不便于用户全面定位处理问题。当配置信息中心发往各输出方向的信息时间戳中带有 UTC时间时，用户可以根据该时间戳了解信息中心处理信息的时间。即，在输出信息中加入 UTC 时间

后，用户可根据时间戳中的 UTC 记录，得知网络中各交换机信息所对应的格林尼治标准时间。

要使信息中心输出信息的时间戳中显示 UTC 时间，需同时满足以下三个条件：

配置本地时区信息；

配置信息中心输出方向的时间戳格式时间戳为 date 类型；

配置信息中心输出信息中显示 UTC 时间。

满足以上条件后，在信息中心输出的信息中可以显示 UTC 时间。例如：

%Dec 8 10:12:21:708 2006 [GMT+08:00:00] Sysname SHELL/5/LOGIN:- 1 - VTY(1.1.0.2) in unit1

login

3. sysname（主机名）

主机名是本地交换机的系统名，默认为“H3C”。

用户可以使用 sysname 命令修改主机名，具体操作请参见本手册“系统维护与调试”部分的介绍。

主机名与模块名之间以一个空格隔开。

4. %%

该字段为标志厂商的前导字符，只有在信息发往日志主机上时才出现。

5. nn

该字段为 syslog 的版本标识，只有在信息发往日志主机上时才出现。

1-6

6. module（模块名）

该字段表示产生信息的功能模块的名称。模块列表可以通过在系统视图下输入命令info-center source ？查看到。信息来源模块的名称及说明请参见表 1-3。模块名与信息级别之间以一个斜杠

（/）隔开。

7. level（信息级别）

系统信息的级别共分为 8 级，从 1～8，它们的定义和说明请参见表 1-1。信息级别与信息摘要之间

以一个斜杠（/）隔开。

8. digest（信息摘要）

信息摘要是一个不超过 32 个字符的字符串，表示该信息的内容大意。

信息摘要与信息文本之间以一个冒号（:）隔开。

输出方向为日志主机的系统信息，如果该字符串以“(l)”结尾则表示该信息为 Log 信息，如果该字

符串以“(t)”结尾则表示该信息为 Trap 信息，如果该字符串以“(d)”结尾则表示该信息为 Debug信息。

9. source（定位信息）

该字段表示信息的产生者，比如日志发送者的源 IP 地址，该字段可选，且只有在信息发往日志主机

上时才有效。

10. context（信息文本）

信息文本表示了该条系统信息的具体内容。

1.2 信息中心配置

1.2.1 配置任务简介

表1-4 信息中心配置任务简介


配置同步信息输出功能可选 1.2.2

配置带 UTC 的时间戳显示功能可选 1.2.3

配置信息发送到控制台可选 1.2.4

配置信息发送到监视终端可选 1.2.5

配置信息发送到日志主机可选 1.2.6

配置信息发送到告警缓冲区可选 1.2.7

配置信息发送到日志缓冲区可选 1.2.8

配置信息发送到 SNMP 网络管理工作站可选 1.2.9

1.2.2 配置同步信息输出功能

同步信息输出是指当用户在输入命令时有日志、告警或调试信息输出，则在系统信息输出后会回显

命令行提示符（在命令编辑状态回显提示符，交互状态回显“[Y/N]”字符串）和用户已有的输入。

1-7

此功能用于用户在进行操作（操作还没有完成）却被大量的系统信息打断时，回显用户的上一步操

作，用户可以接着执行上一步的操作。

表1-5 配置同步信息输出功能

操作命令说明


开启同步信息输出功能 info-center synchronous 必选

缺省情况下，同步信息输出功能处于关闭状态

在当前命令行提示符下，如果用户没有任何输入，此时若有日志等系统信息输出，输出后将不会

回显命令行提示符；当处在交互状态，需要用户输入一些交互信息时（非 Y/N 确认信息），因为情况各异，所以若有

系统信息输出，输出后不再回显提示信息，而只是将用户已有的输入换行打印出来。

1.2.3 配置带 UTC 的时间戳显示功能

要使信息中心输出信息的时间戳中显示 UTC 时间，需同时满足以下三个条件：

配置本地时区信息；

配置信息中心输出方向的时间戳格式时间戳为 date 类型；

配置信息中心输出信息中显示 UTC 时间。

表1-6 配置带 UTC 的时间戳显示功能

操作命令说明

设置系统所在的时区 clock timezone zone-name { add | minus } time

必选

缺省情况下，系统时区为 UTC 时区


日志主机方

向 info-center timestamp loghost date 设置信息中

心输出方向

的时间戳格

式时间戳为

date 类型非日志主机

方向 info-center timestamp { log | trap | debugging } date

必选

二选一

设置信息中心输出信息中显

示 UTC 时间 info-center timestamp utc

必选

缺省情况下，输出信息中不显示

UTC 时间

1.2.4 配置信息发送到控制台

1. 配置信息发送到控制台

表1-7 配置信息发送到控制台

操作命令说明


1-8

操作命令说明

开启信息中心 info-center enable 可选

缺省情况下，信息中心处于开

启状态

设置系统向控制台方向输出

系统信息 info-center console channel { channel-number | channel-name }

可选

缺省情况下，交换机使用 0 号

通道向控制台输出日志/调试/告警信息

设置系统信息的输出规则

info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]*

可选

缺省情况下，系统信息的输出

规则参见表 1-8

设置输出信息的时间戳格式 info-center timestamp { log | trap | debugging } { boot | date | none }

可选

缺省情况下，输出日志和告警

信息的时间戳格式为 date；调试信息的时间戳格式为boot

当用户需要查看交换机某些模块的调试信息时，需要在设置系统信息的输出规则时将信息类别选择

为 debug，并使用 debugging 命令开启相应模块的调试开关。

表1-8 输出方向的缺省输出规则

LOG TRAP DEBUG 输出方向允许输出的

模块开关级别开关级别开关级别

控制台 default（所有

模块）开 warnings 开 debugging 开 debugging

监视终端 default（所有

模块）开 warnings 开 debugging 开 debugging

日志主机 default（所有

模块）开 informational 开 debugging 关 debugging

告警缓冲区 default（所有

模块）关 informational 开 warnings 关 debugging

日志缓冲区 default（所有

模块）开 warnings 关 debugging 关 debugging

SNMP 网络

管理站 default（所有

模块）关 debugging 开 warnings 关 debugging

2. 开启控制台对系统信息的显示功能

在配置将系统信息发送到控制台后，为了能在控制台上观察到输出的信息，还要开启控制台对相应

信息的显示功能。请在用户视图下进行以下操作。

1-9

表1-9 开启控制台对系统信息的显示功能

操作命令说明

开启终端调试/日志/告警信

息显示功能 terminal monitor 可选

缺省情况下，终端调试/日志/告警信息显示功能处于开

启状态

开启终端调试信息显示功能 terminal debugging 可选

缺省情况下，终端调试信息显示功能处于关闭状态

开启终端日志信息显示功能 terminal logging 可选

缺省情况下，终端调试信息显示功能处于开启状态

开启终端告警信息显示功能 terminal trapping 可选


当使用 terminal debugging、terminal logging、terminal trapping 三条命令用于开启相应系统

信息的显示功能时，请确定终端调试/日志/告警信息显示功能（terminal monitor）处于开启状态。

1.2.5 配置信息发送到监视终端

系统信息可以发往控制台，也可以发往监视终端。监视终端是指以 AUX、VTY、TTY 类型用户界面

登录的用户终端。

1. 配置信息发送到监视终端

表1-10 配置信息发送到监视终端

操作命令说明




启状态

设置系统向Telnet终端或哑

终端输出系统信息 info-center monitor channel { channel-number | channel-name }

可选


通道向用户终端输出日志/调试/告警信息

配置系统信息的输出规则


可选


规则参见表 1-8

1-10

操作命令说明


可选

缺省情况下，输出日志和告警

信息的时间戳格式为 date；调试信息的时间戳格式为boot

同时有多个 Telnet 用户或哑终端用户时，各个用户之间共享一些配置参数，其中包括按模块过滤

设置，严重等级阈值，某一个用户改变这些设置时，在别的用户端也有所反映。当用户需要查看交换机某些模块的调试信息时，需要在设置系统信息的输出规则时将信息类别选

择为 debug，并使用 debugging 命令开启相应模块的调试开关。

2. 开启监视终端对系统信息的显示功能

在配置将系统信息发送到监视终端后，为了能在监视终端上观察到输出的信息，还要开启监视终端

对相应信息的显示功能。

表1-11 开启监视终端对系统信息的显示功能

操作命令说明

开启调试/日志/告警信息

显示功能 terminal monitor

可选

缺省情况下，终端调试/日志/告警信息显示功能处于开

启状态

开启终端调试信息显示

功能 terminal debugging 可选

缺省情况下，终端调试信息显示功能处于关闭状态

开启终端显示日志信息

功能 terminal logging 可选


开启终端告警信息显示

功能 terminal trapping 可选


当使用 terminal debugging、terminal logging、terminal trapping 三条命令用于开启相应系统

信息的显示功能时，请确定终端调试/日志/告警信息显示功能（terminal monitor）处于开启状态。

1.2.6 配置信息发送到日志主机

表1-12 配置信息发送到日志主机

操作命令说明




启状态

1-11

操作命令说明

设置系统向日志主机输出系

统信息

info-center loghost host-ip-addr [ channel { channel-number | channel-name } | facility local-number ]*

必选

缺省情况下，交换机不向日志

主机输出信息

配置交换机向日志主机输出

信息后，缺省使用 2 号通道

设置系统向日志主机发送日

志信息的源接口 info-center loghost source interface-type interface-number

可选

缺省情况下，没有配置向日志

主机发送日志信息的源接口，

系统会自动选择一个接口作

为源接口



可选


规则参见表 1-8

设置发往日志主机的时间戳

格式 info-center timestamp loghost { date | no-year-date | none }

可选

缺省情况下，发往日志主机的

信息的时间戳格式为 date

使用命令 info-center loghost 配置日志主机的 IP 地址时，请输入正确的 IP 地址。如果用户输入的

是环回地址，系统将提示此地址无效。

1.2.7 配置信息发送到告警缓冲区

表1-13 配置信息发送到告警缓冲区

操作命令说明



缺省情况下，信息中心处于开启

状态

设置系统向告警缓冲区输出系

统信息

info-center trapbuffer [ channel { channel-number | channel-name } | size buffersize ]*

可选

缺省情况下，交换机使用 3 号通

道向告警缓冲区输出告警信息，

缓冲区默认可以存储 256 条



可选

缺省情况下，系统信息的输出规

则参见表 1-8


可选

缺省情况下，输出告警信息的时

间戳格式为 date

1-12

1.2.8 配置信息发送到日志缓冲区

表1-14 配置信息发送到日志缓冲区

操作命令说明



缺省情况下，信息中心处于开启状

态

设置系统向日志缓冲区输出

信息

info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ]*

可选

缺省情况下，交换机使用 4 号通道

向日志缓冲区输出日志信息，缓冲

区默认可以存储 512 条



可选

缺省情况下，系统信息的输出规则

参见表 1-8


可选

缺省情况下，输出日志信息的时间

戳格式为 date

1.2.9 配置信息发送到 SNMP 网络管理工作站

表1-15 配置信息发送到 SNMP 网络管理工作站

操作命令说明




启状态

设置系统向 SNMP 工作站

输出信息 info-center snmp channel { channel-number | channel-name }

必选


通道向 SNMP 输出告警信息



可选


规则参见表 1-8


可选

缺省情况下，发送到 SNMP的信息的时间戳格式为 date

为了使信息可以正确发送到 SNMP 工作站，交换机上还需要对 SNMP 进行配置，同时在远端的网

管工作站上也需要作相应的配置。这样才能在网管工作站上获得正确的信息。具体请参见

“SNMP-RMON”部分。

1-13

1.2.10 禁止端口生成 Link up/Link down 日志信息

缺省情况下，设备的所有端口在端口状态改变时都会生成端口 Link up 和 Link down 的日志信息。

如果用户只关心某个或某些端口的状态，这时可以使用该功能，禁止其它端口生成 Link up/Link down 日志信息；或者某个接口的状态不稳定，总在频繁地改变，这时，会生成大量的 Link up/Link down 日志信息，为了屏蔽这些冗余信息，可以使用该功能禁止该端口生成 Link up/Link down 日志

信息。

表1-16 禁止端口生成 Link up/Link down 日志信息

操作命令说明


进入接口视图 interface interface-type interface-number -

禁止端口生成 Link up/Link down 日志信息 undo enable log updown

必选

缺省情况下，允许所有端口在状态发生改变时

生成端口 Link up 和 Link down 的日志信息

使用本特性后，如果端口状态改变，将不再生成端口 Link up 和 Link down 的日志信息。这样，可

能会影响用户监控端口状态，所以，一般情况下，建议采用缺省配置。

1.3 信息中心显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后信息中心的运行情况。用户可

以通过查看显示信息验证配置的效果。在用户视图下执行 reset 命令可以清除日志缓冲区和告警缓

冲区内的信息。

表1-17 信息中心显示和维护

操作命令说明

显示信息通道的内容 display channel [ channel-number | channel-name ]

显示信息中心工作状态、各信息输出通道

的配置、时间戳格式 display info-center [ unit unit-id ]

显示交换机日志缓冲区的状态和缓冲区记

录的日志信息

display logbuffer [ unit unit-id ] [ level severity | size buffersize ]* [ | { begin | exclude | include } regular-expression ]

显示交换机日志缓冲区的概要信息 display logbuffer summary [ level severity ]

显示交换机告警缓冲区的状态和缓冲区记

录的告警信息 display trapbuffer [ unit unit-id ] [ size buffersize ]



清除日志缓冲区内的信息 reset logbuffer [ unit unit-id ]

清除告警缓冲区内的信息 reset trapbuffer [ unit unit-id ]

reset命令在用户视

图下执行

1-14

1.4 信息中心典型配置举例

1.4.1 日志发送到 Unix 日志主机的配置举例

1. 组网需求

交换机的日志信息发送到 Unix 日志主机上，日志主机的 IP 地址为 202.38.1.10，只允许严重性高于

informational 的日志信息发送到日志主机上，允许输出信息的模块为 ARP 和 IP。

2. 组网图

图1-1 组网示意图（Unix 日志主机）

3. 配置步骤

(1) 交换机上的配置。

# 开启信息中心。


[Switch] info-center enable

# 因缺省情况下，所有模块向日志主机通道输出日志信息，所以先关闭所有模块向日志主机通道输

出信息的功能。

[Switch] undo info-center source default channel loghost

# 将 IP 地址为 202.38.1.10 的主机用作日志主机，只允许严重等级高于 informational 的日志信息输

出至日志主机，允许输出信息的模块为 ARP 和 IP。

[Switch] info-center loghost 202.38.1.10 facility local4

[Switch] info-center source arp channel loghost log level informational debug state off trap

state off

[Switch] info-center source ip channel loghost log level informational debug state off trap

state off

(2) 日志主机上的配置。

下面的配置示例是在 SunOS 4.0 上完成的，在其它厂商的 Unix 操作系统上的配置操作基本与之相

似。

第一步：以超级用户（root）的身份执行以下命令。

# mkdir /var/log/Switch

# touch /var/log/Switch/information

第二步：以超级用户（root）的身份编辑文件/etc/syslog.conf，加入以下选择/动作组合（selector/action pairs）。

# Switch configuration messages

local4.info /var/log/Switch/information

1-15

在编辑/etc/syslog.conf 时应注意以下问题：

注释只允许独立成行，并以字符# 开头。选择/动作组合之间必须以一个制表符分隔，而不能输入空格。在文件名之后不得有多余的空格。 /etc/syslog.conf 中指定的设备名及接受的日志信息级别与交换机上配置的 info-center loghost和 info-center source 命令中的相应参数应保持一致，否则日志信息可能无法正确输出到日志主

机上。

第三步：当日志文件 information 建立且/etc/syslog.conf 文件被修改了之后，应通过执行以下命令

给系统守护进程 syslogd 一个 HUP 信号来使 syslogd 重新读取它的配置文件/etc/syslog.conf。

# ps -ae | grep syslogd

147

# kill -HUP 147

进行以上操作之后，交换机系统就可以在相应的日志文件中记录信息了。

综合配置设备名称（facility）、严重等级阈值（severity）、模块名称（filter）以及 syslog.conf 文件，可以进行相当细致的分类，达到信息筛选的目的。

1.4.2 日志发送到 Linux 日志主机的配置举例

1. 组网需求

交换机的日志信息发送到 Linux 日志主机上，日志主机的 IP 地址为 202.38.1.10，只允许严重性高

于 errors 的日志信息发送到日志主机上，允许输出信息的模块为所有模块。

2. 组网图

图1-2 组网示意图（Linux 日志主机）

3. 配置步骤

(1) 交换机上的配置。




# 将 IP 地址为 202.38.1.10 的主机用作日志主机，只允许严重等级高于 errors 的日志信息输出至日

志主机，允许输出信息的模块为所有模块。

[Switch] info-center loghost 202.38.1.10 facility local7

1-16

[Switch] info-center source default channel loghost log level errors debug state off trap

state off

(2) 日志主机上的配置。

第一步：以超级用户（root）的身份执行以下命令。

# mkdir /var/log/Switch

# touch /var/log/Switch/information

第二步：以超级用户（root）的身份编辑文件/etc/syslog.conf，加入以下选择/动作组合（selector/action pairs）。

# Switch configuration messages

local7.info /var/log/Switch/information

在编辑/etc/syslog.conf 时应注意以下问题：

注释只允许独立成行，并以字符# 开头。选择/动作组合之间必须以一个制表符分隔，而不能输入空格。在文件名之后不得有多余的空格。 /etc/syslog.conf 中指定的设备名及接受的日志信息级别与交换机上配置的 info-center loghost和 info-center source 命令中的相应参数应保持一致，否则日志信息可能无法正确输出到日志主

机上。

第三步：当日志文件 information 建立且/etc/syslog.conf 文件被修改了之后，应通过执行以下命令

查看系统守护进程 syslogd 的进程号，杀死 syslogd 进程，并重新用-r 选项在后台启动 syslogd。

# ps -ae | grep syslogd

147

# kill -9 147

# syslogd -r &

对于 Linux 日志主机，必须保证 syslogd 进程是以-r 选项启动。

进行以上操作之后，交换机系统就可以在相应的日志文件中记录信息了。

综合配置设备名称（facility）、严重等级阈值（severity）、模块名称（filter）以及 syslog.conf 文件，可以进行细致的分类，达到信息筛选的目的。

1.4.3 日志发送到控制台的配置举例

1. 组网需求

交换机的严重性高于 informational 的日志信息将会发送到控制台上，允许输出信息的模块为 ARP和 IP。

1-17

2. 组网图

图1-3 组网示意图

3. 配置步骤




# 关闭所有模块向控制台通道输出信息的功能。

[Switch] undo info-center source default channel console

# 配置向控制台方向输出日志信息，只允许严重等级高于 informational 的日志信息输出至控制台，

允许输出信息的模块为 ARP 和 IP。

[Switch] info-center console channel console

[Switch] info-center source arp channel console log level informational debug state off trap

state off

[Switch] info-center source ip channel console log level informational debug state off trap

state off

# 开启终端显示功能。

<Switch> terminal monitor

<Switch> terminal logging

1.4.4 信息中心支持时间戳中显示 UTC 时间配置举例

1. 组网需求

交换机本地时区为 GMT+ 08:00:00；

日志信息的时间戳输出格式为 date 类型；

信息中心输出信息中显示 UTC 时间。

2. 组网图

图1-4 组网示意图

3. 配置步骤

# 配置本地时区名称为 z8，比 UTC 标准时间增加 8 小时。

<Switch> clock timezone z8 add 08:00:00

# 配置日志信息的时间戳输出格式为 date 类型。


1-18


[Switch] info-center timestamp loghost date

# 配置信息中心输出信息中显示 UTC 时间。

[Switch] info-center timestamp utc

i

目录

1 加载BOOTROM和主机软件............................................................................................................... 1-1

1.1 加载方式简介..................................................................................................................................... 1-1

1.2 本地加载............................................................................................................................................ 1-1

1.2.1 BOOT菜单 ..............................................................................................................................1-1 1.2.2 通过Console口利用XModem完成加载 ................................................................................... 1-3 1.2.3 通过以太网口利用TFTP完成加载 ........................................................................................... 1-7 1.2.4 通过以太网口利用FTP完成加载 ............................................................................................. 1-8

1.3 远程加载.......................................................................................................................................... 1-10

1.3.1 通过FTP实现远程加载 .......................................................................................................... 1-10 1.3.2 通过TFTP实现远程加载........................................................................................................ 1-14

2 系统基本配置与调试 .......................................................................................................................... 2-1

2.1 系统基本配置..................................................................................................................................... 2-1

2.2 查看系统状态..................................................................................................................................... 2-1

2.3 系统调试............................................................................................................................................ 2-2

2.3.1 打开/关闭调试开关..................................................................................................................2-2 2.3.2 显示系统调试工作状态 ...........................................................................................................2-3 2.3.3 显示系统当前各模块的运行信息 ............................................................................................. 2-3

3 网络连通性测试 ................................................................................................................................. 3-1

3.1 网络连通性测试 ................................................................................................................................. 3-1 3.1.1 ping......................................................................................................................................... 3-1 3.1.2 tracert ..................................................................................................................................... 3-1

4 设备管理 ............................................................................................................................................ 4-1

4.1 设备管理简介..................................................................................................................................... 4-1

4.2 设备管理配置..................................................................................................................................... 4-1

4.2.1 设备管理配置任务简介 ...........................................................................................................4-1 4.2.2 重新启动设备 ..........................................................................................................................4-1 4.2.3 配置交换机定时重启功能 ........................................................................................................ 4-2 4.2.4 配置系统运行状态监控功能 .................................................................................................... 4-2 4.2.5 指定以太网交换机下次启动使用的主机软件 ........................................................................... 4-2 4.2.6 升级以太网交换机的BOOTROM ............................................................................................ 4-3 4.2.7 加载热补丁..............................................................................................................................4-3 4.2.8 配置以太网端口的节能模式 .................................................................................................... 4-4 4.2.9 可插拔模块的识别与诊断 ........................................................................................................ 4-5

4.3 设备管理配置显示 .............................................................................................................................4-6

4.4 利用设备管理命令实现远程升级交换机主机软件配置举例................................................................ 4-7

5 配置定时执行任务.............................................................................................................................. 5-1

5.1 定时执行任务功能简介 ......................................................................................................................5-1

5.2 配置定时执行任务 .............................................................................................................................5-1

5.2.1 配置准备 ................................................................................................................................. 5-1 5.2.2 配置在指定时间执行指定命令................................................................................................. 5-1

ii

5.2.3 配置延迟指定时间执行指定命令 ............................................................................................. 5-2

5.3 定时执行任务典型配置举例 ...............................................................................................................5-2

5.3.1 组网需求 ................................................................................................................................. 5-2 5.3.2 组网图 ..................................................................................................................................... 5-2 5.3.3 配置步骤 ................................................................................................................................. 5-2

1-1

1 加载 BOOTROM 和主机软件

新增“配置以太网端口的节能模式”特性，具体介绍请参见 4.2.8 配置以太网端口的节能模式。新增“配置定时执行任务”特性，具体介绍请参见 5 配置定时执行任务。

传统的交换机软件加载方式为串口加载，该方式速度慢，耗时长，且不具备远程加载功能，致使操

作不便。为解决这些问题，交换机引入了 TFTP 及 FTP 模块，通过以太网口实现文件下载与软件加

载。

本章将介绍交换机通过本地加载和远程加载两种方式，实现 BOOTROM 和主机软件的加载。

1.1 加载方式简介

本地加载包括：

通过 Console 口利用 XModem 方式完成加载

通过以太网口利用 TFTP 方式完成加载

通过以太网口利用 FTP 方式完成加载

远程加载方式包括：

通过 FTP 实现远程加载

通过 TFTP 实现远程加载

在加载 BOOTROM 和主机软件的时候，请确保 BOOTROM 和主机软件的版本匹配。

1.2 本地加载

用户终端和交换机的 Console 口直接相连，可以通过本地加载的方式加载交换机的 BOOTROM 和

主机软件。

加载成功的前提是用户的终端和交换机已经正确连接。

加载 BOOTROM 和加载主机软件的过程相比，除了在进入 BOOT 菜单后需要键入“6”或组合键

<Ctrl+U>后并且回车、系统给出的提示有所区别外，其他过程完全一样。下面描述的加载过程以

BOOTROM 为例说明。

1.2.1 BOOT 菜单

Starting......

1-2

***********************************************************

* *

* H3C E152 BOOTROM, Version 510 *

* *

***********************************************************

Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd.

Creation date : May 29 2007, 19:39:48

CPU Clock Speed : 200MHz

BUS Clock Speed : 33MHz

Memory Size : 64MB

Mac Address : 000fe2123456

Press Ctrl-B to enter Boot Menu...

此时，请键入<Ctrl+B>，系统提示：

Password :

必须在出现“Press Ctrl-B to enter Boot Menu...”的 5 秒钟（full startup mode）或 1 秒钟（fast startup mode）之内键入<Ctrl+B>才能进入 BOOT 菜单，否则系统将进入程序解压过程；若程序进入解压

过程后再希望进入 BOOT 菜单，则需要重新启动交换机。

要求输入 BOOTROM 密码，输入正确的密码后（交换机缺省情况下没有设置密码），系统进入 BOOT菜单：

BOOT MENU

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from flash

5. Modify bootrom password

6. Enter bootrom upgrade menu

7. Skip current configuration file

8. Set bootrom password recovery

9. Set switch startup mode

0. Reboot

Enter your choice(0-9):

1-3

1.2.2 通过 Console 口利用 XModem 完成加载

1. XModem 简介

XModem 协议是一种文件传输协议，因其简单性和较高的稳定性而被广泛应用。XModem 协议通

过 Console 口传输文件，支持 128 字节和 1K 字节两种类型的数据包，并且支持一般校验和、CRC两种校验方式，在出现数据包错误的情况下支持多次重传（一般为 10 次）。

XModem 协议传输由接收程序和发送程序完成。先由接收程序发送协商字符，协商校验方式，协商

通过之后发送程序就开始发送数据包，接收程序接收到完整的一个数据包之后按照协商的方式对数

据包进行校验。校验通过之后发送确认字符，然后发送程序继续发送下一数据包；如果校验失败，

则发送否认字符，发送程序重传此数据包。

2. 加载 BOOTROM

第一步：进入 BOOT 菜单后，如果需要对 BOOTROM 进行加载，则在进入 BOOT 菜单，系统出现

提示“Enter your choice(0-9):”时，键入“6”或者键入组合键<Ctrl+U>后回车，进入 BOOTROM更新菜单。

Bootrom update menu:

1. Set TFTP protocol parameter

2. Set FTP protocol parameter

3. Set XMODEM protocol parameter

0. Return to boot menu


然后可以选择不同的协议来对 BOOTROM 进行加载。

第二步：在下载程序菜单中，键入 3，选择采用 XModem 协议完成 BOOTROM 的加载，回车后，

系统进入下载速率设置菜单：

Please select your download baudrate:

1.* 9600

2. 19200

3. 38400

4. 57600

5. 115200

0. Return

Enter your choice (0-5):

第三步：根据实际情况，选择合适的下载速率，若如上所示键入 5，即选择 115200 bps 的下载速

率，回车后终端显示如下信息：

Download baudrate is 115200 bit/s

Please change the terminal's baudrate to 115200 bit/s and select XMODEM protocol

Press enter key when ready

以上提示说明波特率更改完成。

如果下载波特率选择为 9600bps，用户不用修改超级终端的波特率，不用进行下面的第四步和第五

步操作，可直接进入第六步的操作。此时系统不给出上面的提示。

1-4

下面需要进行 PC 端的配置，以使用 Windows2000 的超级终端软件为例进行介绍。

第四步：进入PC超级终端软件的[文件/属性]菜单，在弹出的对话框单击<配置>按钮，进入Console口配置对话框，将速率设置为 115200bps。如图 1-1、图 1-2所示。

图1-1 进入属性对话框

图1-2 Console 口配置对话框

第五步：配置终端的波特率设置完成后，做一次终端的断开和连接操作，波特率设置才能生效：单

击超级终端的<断开>按钮，即断开了超级终端和交换机的连接，单击<连接>按钮，则重新建立超级

终端和交换机的连接。如图 1-3所示。

1-5

图1-3 连接按钮和断开按钮

终端的波特率更改后，要做一次超级终端程序的断开和连接操作，新的设置才能起作用。

第六步：键入回车即可开始程序的下载，终端显示如下信息：

Now please start transfer file with XMODEM protocol.

If you want to exit, Press <Ctrl+X>.

Loading ...CCCCCCCCCC

第七步：此时，从终端窗口选择[传送\发送文件]，在弹出的对话框（如图 1-4所示）中单击<浏览>按钮，选择需要下载的软件，并将下载使用的协议改为“Xmodem”。

图1-4 [发送文件]对话框

第八步：选择完成后，单击<发送>按钮，系统弹出如图 1-5所示的界面。

1-6

图1-5 正在发送文件界面

第九步：程序下载完成后，系统界面如下：

Loading ...CCCCCCCCCC done!

第十步：此时重新将超级终端的波特率调整为 9600bps，过程请参考前面的第四步和第五步，然后

根据提示按任意键，系统将给出下面的提示，表示加载成功。

Bootrom updating.....................................done!

如果没有重新设置超级终端的波特率为 9600bps，系统会提示“Your baudrate should be set to

9600 bit/s again! Press enter key when ready”。如果下载 Bootrom 时的速率已经选择为 9600bps，用户不用进行调整速率和断开重连接的操作，

系统将自动进行 Bootrom 的升级工作，提示“Bootrom updating.....................................done!”

3. 加载主机软件

第一步：如果用户要加载交换机的主机软件，直接在 BOOT 菜单中选择选项 1 后键入回车，系统会

出现以下提示。






然后可以选择 3，采用 XModem 协议来对主机软件进行加载。

后续的步骤和加载 BOOTROM 完全一致，区别在于：系统给出的提示是加载主机软件。

1-7

用户也可以通过 Console 口（AUX 接口类型）利用 xmodem get 命令进行本地加载。加载过程如

下（假设 PC 已连接至交换机的 Console 口，并通过 Console 口登录交换机）：第一步：在设备用户视图下执行 xmodem get 命令，此时交换机处于等待接收文件状态；第二步：在 PC 上打开超级终端并设置 XModem 协议为传输协议，并设置与交换机 Console 口相

同的通讯参数；第三步：在超级终端上选择交换机需要接收的文件，并发送。

1.2.3 通过以太网口利用 TFTP 完成加载

1. TFTP 介绍

TFTP（Trivial File Transfer Protocol，简单文件传输协议）是 TCP/IP 协议族中一个用来在客户机

与服务器之间进行简单文件传输的协议，该协议承载在 UDP 上，提供不可靠的数据流传输服务。

2. 加载 BOOTROM

图1-6 利用 TFTP 完成加载

第一步：如图 1-6所示，交换机通过以太网口与TFTP Server相连，通过Console口与配置计算机相

连。

作为 TFTP Server 的计算机与配置计算机可以是同一台计算机。

第二步：在 TFTP Server 上运行服务器程序，指定需要加载的程序所在的文件路径。

H3C 系列以太网交换机不随机提供 TFTP 的服务器程序。

第三步：在配置计算机上运行超级终端程序，启动交换机，进入 BOOT 菜单，然后进入加载协议选

择菜单。

如果需要对 BOOTROM 进行加载，则在进入 BOOT 菜单，系统出现提示“Enter your choice(0-9):”后键入“6”或者键入组合键<Ctrl+U>后回车，进入 BOOTROM 加载菜单。







1-8

第四步：在加载协议菜单中键入 1，选择采用 TFTP 协议完成 BOOTROM 加载，回车后，用户需要

根据实际情况，设置 TFTP 协议的相关参数：

Load File name :Switch.btm

Switch IP address :1.1.1.2

Server IP address :1.1.1.1

第五步：完成以上信息的输入后，按下回车，系统提示如下：

Are you sure to update your bootrom?Yes or No(Y/N)

第六步：键入 Y，系统开始文件下载；键入 N，系统将返回下载程序菜单。以键入 Y 为例，回车后，

系统开始自动进行 BOOTROM 的下载和升级操作。当系统完成操作后，终端界面出现如下提示信

息，表明加载成功：

Loading........................................done

Bootrom updating..........done!

3. 加载主机软件








然后可以选择 1，采用 TFTP 协议对主机软件进行加载。


当使用 BOOT 菜单通过 TFTP 协议加载 BOOTROM 和主机软件时，建议用户使用与设备直接相连

的 PC 作为 TFTP Server，提高升级过程的可靠性。

1.2.4 通过以太网口利用 FTP 完成加载

1. FTP 介绍

FTP（File Transfer Protocol，文件传输协议）在 TCP/IP 协议族中属于应用层协议，主要用于在远

端服务器和本地主机之间传输文件，是 IP 网络上传输文件的通用协议。

交换机可以作为 FTP 客户端或服务器端，通过以太网口完成软件的加载。下面分别举例进行说明。

2. 交换机作为 FTP 客户端时的加载过程

(1) 加载 BOOTROM

1-9

图1-7 交换机作为 FTP 客户端完成加载

第一步：如图 1-7所示，交换机通过一个以太网口与FTP Server相连，通过Console口与配置计算

机相连。

作为 FTP Server 的计算机与配置计算机可以是同一台设备。

第二步：在 FTP Server 上运行服务器程序，配置 FTP 用户名和密码，并将程序文件拷贝到指定的

FTP 目录中。

第三步：在配置计算机上运行超级终端程序，启动交换机，进入 BOOT 菜单，然后进入加载协议选

择菜单。

如果需要对 BOOTROM 进行加载，则在进入 BOOT 菜单，系统出现提示“Enter your choice(0-9):”后键入“6”或者键入组合键<Ctrl+U>后回车，进入 BOOTROM 加载菜单。







第四步：在下载程序菜单中键入 2，选择采用 FTP 协议完成 BOOTROM 加载，回车后，开始 FTP协议相关参数的设置：

Load File name :switch.btm

Switch IP address :10.1.1.2

Server IP address :10.1.1.1

FTP User Name :Switch

FTP User Password :abc

第五步：根据实际情况，完成以上信息的输入，回车后系统界面如下：

Are you sure to update your bootrom?Yes or No(Y/N)

第六步：键入 Y，系统开始文件下载；键入 N，系统将返回下载程序菜单。以键入 Y 为例，回车后，

系统开始进行自动进行程序的下载和升级操作。当操作完成后，终端界面出现如下提示信息，表明

加载成功：

Loading........................................done

Bootrom updating..........done!

(2) 加载主机软件



1-10






然后可以选择 2，采用 FTP 协议对主机软件进行加载。


当使用 BOOT 菜单通过 FTP 协议加载 BOOTROM 和主机软件时，建议用户使用与设备直接相连的

PC 作为 FTP Server，提高升级过程的可靠性。

1.3 远程加载

用户可以通过 Telnet 远程登录到交换机上，利用 FTP 或 TFTP，实现 BOOTROM 和主机软件的远

程加载。

1.3.1 通过 FTP 实现远程加载

1. 交换机作为客户端时的加载过程

(1) 加载 BOOTROM

如图 1-8所示，FTP Server与配置计算机是同一台计算机。用户通过Telnet远程登录到交换机上，

在交换机上执行FTP命令，从远程的FTP Server上（假定IP地址为 10.1.1.1）下载BOOTROM程序

switch.btm。

图1-8 通过 FTP 实现远程加载

第一步：通过 FTP 的相关命令将软件下载到本地交换机上。


Trying ...


Connected.

220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user

User(none):abc

331 Give me your password, please

Password:

230 Logged in successfully

[ftp] get switch.btm

[ftp] bye

1-11

当计算机上使用不同的 FTP 服务器软件时，将向交换机输出不同的显示信息。

第二步：在交换机上加载 BOOTROM。

<Sysname> boot bootrom switch.btm

This will update BootRom file on unit 1. Continue? [Y/N] y

Upgrading BOOTROM, please wait...

Upgrade BOOTROM succeeded!

第三步：重新启动交换机。

<Sysname> reboot

重启前请确认是否需要保存其他配置，防止重启后造成配置信息丢失。


加载主机软件的过程与加载 BOOTROM 基本一致，区别在于下载的文件是主机软件文件，以及在

选择交换机下次启动时使用的主机软件时需要使用 boot boot-loader 命令。

通过以上操作即可完成 BOOTROM 和主机软件的加载。


加载 BOOTROM 和主机软件必须通过 reboot 命令重启交换机后才能使加载成功。

如果 Flash 空间不够，可以先删除 Flash 中的无用文件，再进行软件的下载。关于删除文件的

介绍请参见“文件系统管理”部分。

在加载过程中不可断电。

2. 交换机作为 FTP 服务器端时的加载过程

如图 1-9所示，在交换机上运行FTP Server。用户通过Telnet登录到交换机上进行配置，并在本地

FTP客户端执行相应操作，将BOOTROM程序switch.btm上传到交换机。

(1) 加载 BOOTROM

图1-9 交换机作为服务器端完成加载

第一步：如图 1-9所示，交换机通过以太网口与PC相连。PC的IP地址为 10.1.1.1。

第二步：在交换机上配置 VLAN1 接口的 IP 地址为 192.168.0.28，子网掩码 255.255.255.0。

1-12

用户可以配置交换机上任意 VLAN 接口的 IP 地址，用于 FTP 传输，但在配置 VLAN 接口的 IP 地址

时，请确认该地址与 PC 的 IP 地址路由可达。





第三步：在交换机上开启 FTP 服务，配置 FTP 用户名 test，密码为 pass。


[Sysname] ftp server enable

[Sysname] local-user test

New local user added.

[Sysname-luser-test] password simple pass

[Sysname-luser-test] service-type ftp

第四步：在PC上开启FTP客户端软件，现以Windows系统的“命令提示符”窗口举例进行说明，如

图 1-10所示。

图1-10 命令提示符窗口

第五步：在提示符下使用cd命令切换到Bootrom升级文件在PC上的存放路径，假设为“D:\Bootrom”，

如图 1-11所示。

1-13

图1-11 切换至文件存放路径

第六步：输入“ftp 192.168.0.28”，并按屏幕提示输入用户名test、密码pass，登录FTP服务器，

如图 1-12所示。

图1-12 登录 FTP 服务器

第七步：使用put命令将文件switch.btm上传至交换机，如图 1-13所示。

1-14

图1-13 上传 switch.btm 文件至交换机

第八步：在交换机上配置 switch.btm 作为下次启动时使用的 BOOTROM，并重新启动交换机。

<Sysname> boot bootrom switch.btm

This will update Bootrom on unit 1. Continue? [Y/N] y

Upgrading Bootrom, please wait...

Upgrade Bootrom succeeded!

<Sysname> reboot

重新启动时，将以上传的 switch.btm 文件作为 BOOTROM 启动，即完成 BOOTROM 的加载过程。


加载主机软件的过程与加载 BOOTROM 基本一致，区别在于上传的文件是主机软件文件，以及在

选择交换机下次启动时使用的主机软件时需要使用 boot boot-loader 命令。

上面以 Windows 操作系统的“命令提示符”作为 FTP 客户端工具进行举例，如果用户使用其他

FTP 客户端工具，请参照该软件的使用指南进行操作。本文只列出了加载过程中的配置步骤，相关命令的详细描述和解释，请参见本手册

“FTP-SFTP-TFTP”部分的介绍。

1.3.2 通过 TFTP 实现远程加载

通过 TFTP 远程加载的方式和 FTP 类似，不同之处仅在于将软件远程下载到交换机上时使用的是

TFTP 协议，而且交换机只能作为 TFTP Client。

2-1

2 系统基本配置与调试

2.1 系统基本配置

表2-1 系统基本配置

操作命令说明

设置系统时钟 clock datetime HH:MM:SS YYYY/MM/DD

可选

此命令在用户视图下执行

系统启动时缺省时间为 23:55:00 04/01/2000

设置本地时区 clock timezone zone-name { add | minus } HH:MM:SS

可选


缺省情况下，本地时区为 UTC 时区

设置夏令时的名称和

时间范围

clock summer-time zone_name { one-off | repeating } start-time start-date end-time end-date offset-time

可选


当系统到达指定的起始时间后，会自动在当前

时间上增加一个偏移量，将系统时间切换到夏

令时；当系统到达指定的中止时间后，会自动在当前

时间上减去一个偏移量，将夏令时切换到正常

的系统时间

从用户视图进入到系

统视图 system-view -

设置交换机的系统名 sysname sysname 可选

缺省情况下，交换机系统名为 H3C

2.2 查看系统状态

交换机提供相关的 display 命令来查看系统状态和配置代理信息。

有关各协议和各种端口的 display 命令请参见相关章节。下面介绍的 display 命令都用于显示系统

的状态信息。

表2-2 查看系统状态

操作命令说明

显示系统时钟 display clock

显示系统的版本信息 display version

显示登录到当前交换机的用户信息 display users [ all ]

display 命令

可以在任意

视图下执行

2-2

2.3 系统调试

2.3.1 打开/关闭调试开关

设备提供了种类丰富的调试功能，对于设备所支持的绝大部分协议和功能，系统都提供了相应的调

试信息，帮助用户对错误进行诊断和定位。

调试信息的输出可以由两个开关控制：

协议调试开关，控制是否生成某协议的调试信息。

屏幕输出开关，控制是否在某个用户屏幕上显示调试信息。

如图 2-1所示：假设设备可以为 1、2、3 三个模块提供调试信息。用户只有将两个开关都打开，调

试信息才会在终端显示出来。

图2-1 系统调试开关关系图

在终端上显示是最常用的调试信息输出方式，用户还可以将调试信息发送到别的输出方向，具体配

置请参见“信息中心操作”部分。

可以使用下面的命令来打开上述两种开关。

请在用户视图下进行下列操作。

表2-3 打开指定功能模块的调试开关和屏幕输出开关

操作命令说明

打开指定功能模块的调

试开关 debugging module-name [ debugging-option ]

必选

缺省情况下，系统关闭全部功能模块的调试开关

打开屏幕输出开关 terminal debugging 必选

缺省情况下，调试信息显示功能处于关闭状态

2-3

由于调试信息的输出会影响系统的运行效率，请在调试结束后，关闭调试开关。

2.3.2 显示系统调试工作状态

表2-4 显示系统当前的调试工作状态

操作命令说明

显示交换机上已经打开的

调试开关

display debugging [ unit unit-id ] [ interface interface-type interface-number ] [ module-name ]


2.3.3 显示系统当前各模块的运行信息

在以太网交换机出现故障时，可能需要查看很多运行信息来帮助定位问题。各个功能模块都有其对

应的运行信息显示命令。这条命令的功能是显示既定的相关模块的运行信息，以供定位分析。

用户可以在任意视图下进行下列操作。

表2-5 显示系统当前各模块的运行信息

操作命令说明

显示系统当前各模块的运行

信息 display diagnostic-information

用户在使用此命令捕获以太网交换机

的运行信息时，应该至少使用两次，以

便比较运行信息的前后差异，以利于故

障定位

3-1

3 网络连通性测试

3.1 网络连通性测试

3.1.1 ping

可以使用 ping 命令检查网络连通性及主机是否可达。

表3-1 ping 命令

操作命令说明

检查 IP网络连通性及

主机是否可达

ping [ -a ip-address ] [-c count ] [ -d ] [ -f ] [ -h ttl ] [ -i interface-type interface-number ] [ ip ] [ -n ] [ - p pattern ] [ -q ] [ -s packetsize ] [ -t timeout ] [ -tos tos ] [ -v ] host

ping 命令可以在任

意视图下执行

命令执行结果输出包括：

对每一个 ping 报文的响应情况，如果时间超时仍没有收到响应报文，则输出“Request time

out”，否则显示响应报文中数据字节数、报文序号、TTL 和响应时间等。

最后的统计信息，包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小值、

最大值和平均值。

3.1.2 tracert

可以使用 tracert 命令测试报文从发送主机到目的设备（或主机）所经过的网关。此命令主要用于检

查网络连接是否可达，可以辅助用户分析网络故障发生的具体位置。

tracert 的执行过程是：发送主机首先发送一个 TTL 为 1 的数据包，因此第一跳发送回一个 ICMP 错

误消息以指明此数据包不能被发送（因为 TTL 超时），之后此数据包被重新发送，TTL 为 2，同样

第二跳返回 TTL 超时，这个过程不断进行，直到到达目的地。执行这些过程的目的是记录每一个

ICMP TTL 超时消息的源地址，以提供一个 IP 数据包到达目的地所经历的路径。

表3-2 tracert 命令

操作命令说明

查看测试数据包从发送主机

到目的设备所经过的网关 tracert [ -a source-ip ] [ -f first-ttl ] [ -m max-ttl ] [ -p port ] [ -q num-packet ] [ -w timeout ] string

tracert 命令可以在任意视图

下使用

4-1

4 设备管理

4.1 设备管理简介

设备管理包括以下几个方面：

重启设备

配置系统运行状态监控功能

指定以太网交换机下次启动使用的主机软件

升级交换机的 BOOTROM

加载热补丁

可插拔模块的识别与诊断

4.2 设备管理配置

4.2.1 设备管理配置任务简介

表4-1 设备管理配置任务简介


重新启动设备可选 4.2.2

配置交换机定时重启功能可选 4.2.3

配置系统运行状态监控功能可选 4.2.4

指定以太网交换机下次启动使用的主机软件可选 4.2.5

升级以太网交换机的 BOOTROM 可选 4.2.6

热补丁配置可选 4.2.7

可插拔模块信息显示可选 4.2.9

4.2.2 重新启动设备

当设备出现故障或需要重启的时候，用户可以在用户视图下通过以下命令进行操作。

重启之前系统会检查配置是否改变，如果配置发生了改变，系统将提示用户确认是否继续，防止因

用户遗忘导致重启后原有配置失效。

4-2

表4-2 重新启动设备

操作命令说明

重新启动设备 reboot [ unit unit-id ] 此命令在用户视图下执行

4.2.3 配置交换机定时重启功能

配置了交换机定时重启功能后，交换机会按照用户指定的时间重新启动。

表4-3 配置交换机定时重启功能

操作命令说明

配置交换机定时重启功能，设定交换机重

新启动的具体时间 schedule reboot at hh:mm [ mm/dd/yyyy | yyyy/mm/dd ] 可选

配置交换机定时重启功能，指定延迟一定

时间后重启交换机 schedule reboot delay { hh:mm | mm } 可选


配置交换机定期重启功能，指定重启周期 schedule reboot regularity at hh:mm period 可选

交换机定时器的精度为 1 分钟。在到达设定的重启时间时，交换机将在该时刻后一分钟内重启。

4.2.4 配置系统运行状态监控功能

该配置任务用于开启系统运行情况实时监控功能。通过对系统运行情况的实时监控，可以对 CPU、

中断等系统运行情况进行动态记录，以便于设备产生问题时的分析处理。

表4-4 配置系统运行情况实时监控功能

操作命令说明


开启系统运行情况实

时监控功能 system-monitor enable

可选

缺省情况下，系统运行情况实时监控功能处

于开启状态

此功能开启时会占用一定的 CPU，若用户网络对 CPU 利用率要求较高，可以选择关闭此功能，以

释放 CPU。

4.2.5 指定以太网交换机下次启动使用的主机软件

当交换机的 Flash 中存在多个主机软件时，用户可以指定交换机下次启动所使用的主机软件。

请在用户视图下进行下列配置：

4-3

表4-5 指定交换机下次启动使用的主机软件

操作命令说明

指定交换机下次启动使用的主机软件 boot boot-loader [ backup-attribute ] { file-url | device-name } 必选

4.2.6 升级以太网交换机的 BOOTROM

在系统运行过程中，用户可以使用 Flash Memory 中的 BOOTROM 程序升级交换机上正在运行的

BOOTROM。本配置任务给远程升级带来了方便。用户可以在远端利用 FTP 上传 BOOTROM 程序

到交换机，或远程登录交换机，使用 FTP 和 TFTP 下载 BOOTROM 程序，然后使用本命令升级现

有的 BOOTROM。升级的 BOOTROM 将在下次重启时使用。


表4-6 指定以太网交换机下次启动使用的 BOOTROM

操作命令说明

升级 BOOTROM boot bootrom { file-url | device-name } 必选

4.2.7 加载热补丁

补丁是对系统中的某些错误进行修正而发布的独立的软件单元。所谓热补丁是指：在不重启设备、

不影响网络正常运行的情况下，通过补丁来完成对系统错误的修正，也就是对系统进行动态升级。

补丁文件支持补丁的累加性，即后续的补丁文件除了包含本次修正错误问题的补丁外，还包含前一

个补丁文件中的所有修正错误问题的补丁。这样只需加载最新的补丁文件就可一次性解决以前发现

的所有系统问题。

在设备中，补丁存在四种状态：

空闲状态(IDLE)：初始状态，补丁没有被加载

未激活状态(DEACTIVE)：补丁已经加载，但未被激活

激活状态(ACTIVE)：补丁处于试运行状态

运行状态(RUNNING)：补丁处于正式运行状态

激活状态与运行状态的区别：

系统重启后，激活状态的补丁转换为未激活状态，不再发挥作用。

系统重启后，运行状态的补丁仍然保持运行状态，继续发挥作用。

补丁的激活状态主要是提供一个缓冲带，以防止因为补丁错误而导致系统连续运行故障。

补丁的四种状态只有在用户命令行的干预下才能发生切换。补丁状态的切换与命令对应关系如图

4-1所示。

4-4

图4-1 补丁状态切换过程与命令对应关系

表4-7 加载热补丁配置

操作命令说明


加载补丁 patch load filename 必选

激活补丁 patch activate 必选

运行补丁 patch run 可选

删除补丁 patch delete 可选


(1) 当使用 FTP 或 TFTP 方式将补丁文件上传到设备的 flash 中时，必须将文件传输的模式设置为

二进制模式，否则会导致加载补丁文件失败。

(2) 加载补丁文件时，必须确保补丁文件基线版本号与设备当前的软件版本号一致，且补丁文件

的扩展名必须为.pat。可通过 display version 命令查看相关信息。对于补丁文件基线版本号，

可参见补丁文件名。补丁文件名的命名规则：[产品名称]-[基线版本号]-[补丁版本号].pat。

(3) 使用 patch delete 命令将删除所有补丁，为使原来已经解决的系统问题不再发生，必须重新

加载补丁文件，并激活补丁。

(4) 补丁文件的状态信息内容保存在 flash 中的 patchstate 文件里，建议用户不要对该文件进行操

作。

4.2.8 配置以太网端口的节能模式

开启以太网交换机的端口的节能模式后，当该端口没有和另一端口相连或者相连的对端端口被

shutdown 时，此端口就会自动进入节能状态，从而达到降低整机功耗，节约能源的目的。

表4-8 开启以太网端口的节能模式

操作命令说明



4-5

操作命令说明

开启以太网端口的节能模式 port auto-power-down

必选

缺省情况下，交换机以太网

端口的节能模式处于关闭

状态

以太网端口节能模式的配置只对以太网电口生效。

4.2.9 可插拔模块的识别与诊断

1. 可插拔模块简介

目前，常用的可插拔模块有四种，这四种模块又可以细分为多种，比如按传输介质类型又可以分为

光接口模块和电接口模块，其简介请参见表 4-9。

表4-9 常用可插拔模块简介

可插拔模块类型适用环境能否为光接

口模块能否为电接

口模块

SFP（Small Form-factor Pluggable，小封

装可热插拔）一般用于百兆/千兆以太网、POS 155M/622M/2.5G 等环境是是

GBIC（Gigabit Interface Converter，千兆

以太网接口转换器）一般用于千兆以太网环境是是

XFP（10-Gigabit small Form-factor Pluggable，万兆以太网接口小封装可热插

拔）一般用于 10G 以太网环境是否

XENPAK（10-Gigabit Ethernet Transceiver Package，万兆以太网接口收发器集合封

装）一般用于 10G 以太网环境是是

E152 以太网交换机支持的可插拔模块请参见《H3C E152 以太网交换机安装手册》。

2. 识别可插拔模块

因为可插拔模块的类型多样，厂商也不同，通过以下显示命令可以查看可插拔模块的主要特征参数

（包括模块型号、连接器类型、发送激光的中心波长、信号的有效传输距离等）和模块生产或定制

厂商，以便识别可插拔模块。

表4-10 识别可插拔模块信息

操作命令说明

显示可插拔模块的主要特征参数 display transceiver interface [ interface-type interface-number ] 对可插拔模块均生效

显示 H3C 定制防伪可插拔模块的

部分电子标签信息 display transceiver manuinfo interface [ interface-type interface-number ]

仅对 H3C 定制防伪可插

拔模块生效

4-6

H3C 定制防伪可插拔模块是指 H3C 公司定制的、具有防伪功能的可插拔模块。用户可以通过

display transceiver interface 命令显示信息中 Vendor Name 字段来识别，为“H3C”的可

以认定为 H3C 定制防伪可插拔模块。

电子标签信息也可以称为永久配置数据或档案信息等，在模块调测（调试、测试）过程中被

写入到存储器件中，包括名称、生产序列号、模块生产或定制厂商等信息。

3. 诊断可插拔模块

系统提供故障告警信息标志可插拔模块的故障来源，以便诊断和解决故障。对 H3C 定制防伪光模

块系统还提供了数字诊断功能，其原理主要是对影响光模块工作的关键参数进行监控，这些关键参

数包括：温度、电压、激光偏置电流、发送光功率和接收光功率等。当这些参数的值异常时，用户

可以采取相应的措施，预防故障发生。

表4-11 诊断可插拔模块

操作命令说明

显示可插拔模块的当前故障

告警信息 display transceiver alarm interface [ interface-type interface-number ] 对可插拔模块均生效

显示 H3C 定制防伪可插拔光

模块的数字诊断参数的当前

测量值

display transceiver diagnosis interface [ interface-type interface-number ]

仅对H3C定制的防伪可插

拔光模块生效

4.3 设备管理配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置设备管理功能后的运行情况。通


4-7

表4-12 设备管理的显示

操作命令说明

显示下次启动使用的主机软件 display boot-loader [ unit unit-id ]

显示各单板的模块类型及工作状态 display device [ manuinfo [ unit unit-id ] | unit unit-id ]

显示交换机的 CPU 使用状态 display cpu [ unit unit-id ]

显示交换机的风扇工作状态 display fan [ unit unit-id [ fan-id ] ]

显示交换机的内存使用状态 display memory [ unit unit-id ]

显示交换机的电源工作状态 display power [ unit unit-id [ power-id ] ]

查看系统的诊断信息，或者将系统的诊断信息

作为一个文件扩展名为.diag）保存到 Flash 中display diagnostic-information

显示设备上已经打开的调试开关 display debugging [ unit unit-id ] [ interface interface-type interface-number ] [ module-name ]

显示热补丁状态 display patch-information

display命令可在

任意视图

下执行

4.4 利用设备管理命令实现远程升级交换机主机软件配置举例

1. 组网需求

用户通过 telnet 远程登录到交换机上，从 FTP Server 上下载交换机的应用程序到交换机的 Flash，通过命令行实现交换机的远程升级。

交换机作为 FTP Client，远端的 PC 作为 FTP Server，在 FTP Server 上作了如下配置：

配置了一个 FTP 用户，用户名为 switch，密码为 hello，授权用户 switch 对 PC 机上 Switch

目录拥有读写权限。

交换机上的一个 VLAN 接口的 IP 地址为 1.1.1.1，PC 的 IP 地址为 2.2.2.2，交换机和 PC 之

间路由可达。

交换机的主机软件 switch.bin 和 BOOTROM 文件 boot.btm 保存在 PC 的 Switch 目录中。交换机通

过 FTP 从远端的 FTP Server 上下载 switch.bin 和 boot.btm。

2. 组网图

图4-2 FTP 配置示意图

SwitchPC

Network1.1.1.12.2.2.2

3. 配置步骤

(1) 在 PC 上配置 FTP Server 的相关参数：配置了一个 FTP 用户，用户名为 switch，密码为 hello，

授权用户 switch 对 PC 机上 Switch 目录拥有读写权限。此处不详细说明。

(2) 交换机上的配置

4-8

# 交换机上已经配置了 telnet 用户的用户名为 user，级别为 3 级用户，口令为 hello，验证方式为需

要进行用户名和口令的验证。

关于配置交换机 telnet 用户的命令和操作步骤，请参见本手册“登录交换机”部分的介绍，这里不

再赘述。

# 用户在 PC 上执行 telnet 命令登录到交换机上。

<Sysname>

如果交换机的 Flash Memory 空间不够大，请删除 Flash 中原有的应用程序然后再下载新的应用程

序。

# 在用户视图下输入命令进行 FTP 连接，输入正确用户名和密码登录到 FTP Server。


Trying ...


Connected.

220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user

User(none):switch

331 Give me your password, please

Password:

230 Logged in successfully

[ftp]

# 进入 FTP Server 的授权路径

[ftp] cd switch

# 执行 get 命令将 FTP Server 上的文件 switch.bin 和 boot.btm 下载到交换机的 Flash。

[ftp] get switch.bin

[ftp] get boot.btm

# 执行 quit 命令中断 FTP 连接，退回到用户视图下。

[ftp] quit

<Sysname>

# 升级 BOOTROM。

<Sysname> boot bootrom boot.btm

This will update BootRom file on unit 1. Continue? [Y/N] y

Upgrading BOOTROM, please wait...

Upgrade BOOTROM succeeded!

# 指定下载的程序为下次启动时的主机软件，然后重启交换机，实现交换机主机软件的升级。

<Sysname>boot boot-loader switch.bin

The specified file will be booted next time on unit 1!

<Sysname>display boot-loader

4-9

Unit 1:

The current boot app is: switch.bin

The main boot app is: switch.bin

The backup boot app is:

# 重启交换机，实现交换机 BOOTROM 软件、主机软件的升级。

<Sysname> reboot

Start to check configuration with next startup configuration file,

please wait......

This command will reboot the device. Current configuration may be lost in next startup if

you continue. Continue? [Y/N] y

This will reboot device. Continue? [Y/N] y

5 配置定时执行任务

5.1 定时执行任务功能简介

定时执行任务功能是指通过配置，交换机可以在指定时刻或延迟指定时长以后，自动执行一个或一

组命令的功能。启用此功能以后，交换机能够在无人值守的情况下完成某些操作或配置。该功能不

但增强了设备的自动控制和管理能力，提高了易用性，而且可以起到节能的作用。

当配置了定时执行任务之后，交换机每分钟遍历一次已配置的任务列表，如果发现有任务的定时时

间到了，交换机将自动执行该任务。

5.2 配置定时执行任务

5.2.1 配置准备

配置定时执行任务时需要注意：

一个定时执行任务中指定的命令必须在同一视图下执行；

一个定时执行任务中最多可以配置 10 条命令（对应 10 个 time-id），如果多于 10 条，可以

把这个任务拆分为多个任务。

5.2.2 配置在指定时间执行指定命令

表5-1 配置在指定时间执行指定命令

操作命令说明


创建定时执行任务，并进入定时执

行任务视图 job job-name 必选

配置执行指定命令所在的视图 view view 必选

每个定时执行任务只能

指定一个视图

在指定时间段循

环执行指定任务

time time-id { one-off | repeating } at time [ week-day week-daylist | month-date month-day ] command command 配置定时执行任

务在指定时间点执

行指定任务 time time-id at time date command command

两者必选其一

显示定时执行任务的信息 display job [ job-name] 可选

display 命令可在任意

视图下执行

在配置了在指定时间执行指定命令以后，修改交换机的系统时间将影响到定时执行任务的执行。

5.2.3 配置延迟指定时间执行指定命令

表5-2 配置延迟指定时间执行指定命令

操作命令说明


创建定时执行任务，并进入定时执

行任务视图 job job-name 必选

配置执行指定命令所在的视图 view view 必选

每个定时执行任务只能

指定一个视图

配置延迟指定时间执行指定任务 time time-id { one-off | repeating } delay time command command 必选

显示定时执行任务的信息 display job [ job-name] 可选

display 命令可在任意

视图下执行

在配置了延迟指定时间执行指定命令以后，修改交换机的系统时间不会影响到定时执行任务的执

行，即使系统时间发生变化，指定命令也会在相应时延后执行。

5.3 定时执行任务典型配置举例

5.3.1 组网需求

对 Switch 进行配置，通过定时开启/关闭以太网端口 Ethernet1/0/1、Ethernet1/0/2 和 Ethernet1/0/3，使这些端口下挂的 PC 用户只能在星期一到星期五的上午八点到下午十八点能够访问网络，以提高

交换机的自动管理能力，并起到节能的作用。

5.3.2 组网图

图5-1 定时执行任务典型配置举例组网图

5.3.3 配置步骤

# 进入系统视图


# 创建定时执行任务 pc1，并进入定时执行任务视图。

[Switch] job pc1

# 配置运行指定命令的视图为 Ethernet1/0/1 以太网端口视图。

[Switch-job-pc1] view Ethernet1/0/1

# 配置定时执行任务，使 Switch 在星期一到星期五的上午八点开启以太网端口。

[Switch-job-pc1] time 1 repeating at 8:00 week-day Mon Tue Wed Thu Fri command undo shutdown

# 配置定时执行任务，使 Switch 在星期一到星期五的下午十八点关闭以太网端口。

[Switch-job-pc1] time 2 repeating at 18:00 week-day Mon Tue Wed Thu Fri command shutdown

[Switch-job-pc1]quit

# 创建并配置定时执行任务 pc2 和 pc3，使 Switch 在星期一到星期五的上午八点开启以太网端口，

下午十八点关闭以太网端口。

[Switch] job pc2





[Switch] job pc3





# 显示定时执行任务的配置信息。

[Switch] display job

Job name: pc1

Specified view: Ethernet1/0/1

Time 1: Execute command undo shutdown at 08:00 Mondays Tuesdays Wednesdays Thursdays Fridays

Time 2: Execute command shutdown at 18:00 Mondays Tuesdays Wednesdays Thursdays Fridays

Job name: pc2




Job name: pc3




i

目录

1 VLAN-VPN配置 ................................................................................................................................. 1-1

1.1 VLAN-VPN简介 ................................................................................................................................. 1-1

1.1.1 VLAN-VPN原理介绍 ...............................................................................................................1-1 1.1.2 VLAN-VPN的实现方式 ........................................................................................................... 1-2 1.1.3 VLAN-VPN报文的TPID值可调功能 ........................................................................................ 1-2 1.1.4 内外层标签优先级复制及映射功能 ......................................................................................... 1-3 1.1.5 VLAN-VPN端口的IGMP协议报文透传功能 ............................................................................ 1-3

1.2 VLAN-VPN配置 ................................................................................................................................. 1-3

1.2.1 VLAN-VPN配置任务简介 ........................................................................................................ 1-3 1.2.2 配置端口的VLAN-VPN功能 .................................................................................................... 1-3 1.2.3 配置端口的VLAN-VPN报文TPID值可调功能 .......................................................................... 1-3 1.2.4 配置VLAN-VPN内外层标签优先级复制/映射功能................................................................... 1-4 1.2.5 配置VLAN-VPN端口的IGMP协议报文透传功能 ..................................................................... 1-4

1.3 VLAN-VPN配置显示..........................................................................................................................1-5

1.4 VLAN-VPN典型配置举例 ..................................................................................................................1-5

1.4.1 利用VLAN-VPN功能实现用户报文在公网中的隧道传输......................................................... 1-5

2 灵活QinQ........................................................................................................................................... 2-1

2.1 灵活QinQ简介 ................................................................................................................................... 2-1

2.1.1 灵活QinQ简介.........................................................................................................................2-1 2.1.2 灵活QinQ的MAC地址复制功能............................................................................................... 2-2

2.2 灵活QinQ配置 ................................................................................................................................... 2-2

2.2.1 灵活QinQ配置任务简介 .......................................................................................................... 2-2 2.2.2 配置端口的灵活QinQ功能....................................................................................................... 2-2 2.2.3 配置灵活QinQ的VLAN间MAC地址复制功能 .......................................................................... 2-3

2.3 灵活QinQ配置举例 ............................................................................................................................2-4

2.3.1 使用灵活QinQ功能对不同类型的私网数据进行分类处理........................................................ 2-4

3 BPDU Tunnel配置 ............................................................................................................................. 3-1

3.1 BPDU Tunnel简介 .............................................................................................................................3-1

3.1.1 BPDU Tunnel的作用...............................................................................................................3-1 3.1.2 BPDU Tunnel的工作原理 ....................................................................................................... 3-1

3.2 配置BPDU Tunnel ............................................................................................................................. 3-2

3.2.1 配置准备 ................................................................................................................................. 3-3 3.2.2 配置BPDU Tunnel ..................................................................................................................3-3

3.3 BPDU Tunnel配置显示......................................................................................................................3-3

3.4 BPDU Tunnel典型配置举例 .............................................................................................................. 3-4

3.4.1 使用BPDU Tunnel功能对用户的STP协议报文进行隧道传输 ................................................. 3-4

1-1

1 VLAN-VPN 配置

E152 交换机的Release 1702 版本新增“配置VLAN-VPN端口的IGMP协议报文透传功能”，详细

介绍和配置请参见 1.1.5 和 1.2.5 。

1.1 VLAN-VPN 简介

1.1.1 VLAN-VPN 原理介绍

VPN（Virtual Private Network，虚拟私有网络）是近年来随着 Internet 的广泛应用而迅速发展起来

的一种新技术，用以实现在公用网络上构建私人专用网络。通过在客户端或运营商接入端对用户报

文进行特殊处理，使公网设备可以为用户报文建立专用的传输隧道，保证数据的安全。

VLAN-VPN 是一种简单、灵活的二层 VPN 隧道技术，它通过在运营商接入端为用户的私网报文封

装外层 VLAN Tag，使报文携带两层 VLAN Tag 穿越运营商的骨干网络（公网）。在公网中，报文

只根据外层 VLAN Tag（即公网 VLAN Tag）进行传输，用户的私网 VLAN Tag 则当作报文中的数

据部分来进行传输。

如图 1-1所示，VLAN-VPN功能使报文在运营商网络中传输时带有双层VLAN Tag：

内层 VLAN Tag：为用户的私网 VLAN Tag；

外层 VLAN Tag：为运营商分配给用户的公网 VLAN Tag。

图1-1 VLAN-VPN 功能对报文的修改

相对于基于 MPLS 的二层 VPN，VLAN-VPN 具有如下特点：

为用户提供了一种更为简单的二层 VPN 隧道。

不需要在公网上配置自动学习的信令协议，可以通过简单的手工配置实现。

VLAN-VPN 主要可以解决以下问题：

缓解日益紧缺的公网 VLAN ID 资源问题。

用户可以规划自己的私网 VLAN ID，不会导致和公网 VLAN ID 冲突。

为小型城域网或企业网提供一种较为简单的二层 VPN 解决方案。

1-2

1.1.2 VLAN-VPN 的实现方式

在开启端口的 VLAN-VPN 功能后，当该端口接收报文时，无论报文是否带有 VLAN Tag，交换机都

会为该报文封装本端口缺省 VLAN 的 VLAN Tag，并将源 MAC 地址学习到缺省 VLAN 的 MAC 地址

表中。因此，在接收报文时：

如果原报文是已经带有 VLAN Tag 的报文，在进入交换机后将成为带有双层 Tag 的报文

如果原报文是不带 VLAN Tag 的报文，在进入交换机后将成为带有端口缺省 VLAN Tag 的报

文

1.1.3 VLAN-VPN 报文的 TPID 值可调功能

TPID（Tag Protocol Identifier，标签协议标识）是 VLAN Tag 中的一个字段，IEEE 802.1Q 协议中

规定该字段的取值为 0x8100。

IEEE 802.1Q协议定义的以太网帧的Tag报文结构如图 1-2所示：

图1-2 以太网帧的 Tag 报文结构

E152 交换机可以根据 TPID 值来识别报文中是否携带 VLAN Tag，当端口收到报文时，根据配置的

TPID 值与报文中相应的字段进行比较，如果二者一致，则表示报文中携带相应的 VLAN Tag。

E152 交换机缺省采用协议规定的 TPID 值（0x8100），某些厂商将设备可识别的 TPID 值设置为

0x9100 或其他数值。为了和这些设备兼容，E152 交换机提供了基于端口的 VLAN-VPN 报文 TPID值可调功能，用户可以在接收私网报文的端口配置添加外层 Tag 时使用的 TPID 值，从而使发送到

公网中的 VLAN-VPN 报文可以被其他厂商的设备识别；同时在连接公网的端口配置相同的 TPID，

使该端口能够正常识别公网报文的 VLAN Tag。

由于TPID字段在以太网报文中所处位置与不带VLAN Tag的报文中上层协议类型字段所处位置相

同，为避免网络中报文转发和接收造成混乱，交换机不允许用户在配置VLAN-VPN的TPID时取值为

表 1-1中列举的常用协议类型值。

表1-1 常用以太网帧协议类型值

协议类型对应取值

ARP 0x0806

IP 0x0800

MPLS 0x8847/0x8848

IPX 0x8137

IS-IS 0x8000

LACP 0x8809

802.1x 0x888E

1-3

1.1.4 内外层标签优先级复制及映射功能

在图 1-2中，Priority即该标签的 802.1p优先级，长度为 3bits，取值范围为 0～7。

在开启了 VLAN-VPN 功能的端口上，可以通过配置内外层优先级复制或映射关系，将内层标签优

先级复制到外层标签；或根据报文内层优先级的不同，为报文封装具有不同优先级的外层标签。

有关 802.1p 优先级的使用，请参见“QoS-QoS Profile”部分的介绍。

1.1.5 VLAN-VPN 端口的 IGMP 协议报文透传功能

有关 IGMP 协议报文和交换机对各种 IGMP 协议报文的具体处理方式，请参见本手册“组播协议”

部分的介绍。

在没有配置 VLAN-VPN 功能的情况下，交换机对于接收到的 IGMP 协议报文将在该报文所在的

VLAN 内进行透传。如果用户在接收 IGMP 协议报文的端口上配置了 VLAN-VPN 功能，且需要将

IGMP 协议报文在外层标签对应的 VLAN 内进行透传，则需要配置 VLAN-VPN 端口的 IGMP 协议报

文透传功能。

1.2 VLAN-VPN 配置

1.2.1 VLAN-VPN 配置任务简介

表1-2 VLAN-VPN 配置任务简介


配置端口的 VLAN-VPN 功能必选 1.2.2

配置端口的 VLAN-VPN 报文 TPID 值可调功能可选 1.2.3

配置 VLAN-VPN 内外层标签优先级复制/映射功能可选 1.2.4

配置 VLAN-VPN 端口的 IGMP 协议报文透传功能可选 1.2.5

1.2.2 配置端口的 VLAN-VPN 功能

表1-3 配置端口的 VLAN-VPN 功能

操作命令说明



开启端口的 VLAN-VPN 功能 vlan-vpn enable 必选

缺省情况下，端口 VLAN-VPN 功能

处于关闭状态

1.2.3 配置端口的 VLAN-VPN 报文 TPID 值可调功能

在配置 TPID 值之前，请确认对端公网设备的 TPID 值与本设备配置的值保持一致，以保证本设备

能够正确识别公网报文的 VLAN Tag。

1-4

表1-4 配置 VLAN-VPN 报文的 TPID 值可调功能

操作命令说明



设置端口采用的 TPID 值 vlan-vpn tpid value

必选

请不要设置可能引起冲突的TPID值，例如表

1-1中列举的常用协议类型值

缺省情况下，H3C 交换机采用的 TPID 值为0x8100

E152 交换机只能配置一个除缺省值之外的其他 TPID 值，即如果在不同的端口都配置了非

0x8100 的 TPID 值，则这些 TPID 值必须相同。用户需要在连接私网和连接公网的端口上都配置相同的 TPID 值，使 E152 交换机能够正常与公

网设备进行报文传输。

1.2.4 配置 VLAN-VPN 内外层标签优先级复制/映射功能

在配置 VLAN-VPN 内外层标签优先级复制/映射功能前，请开启端口的 VLAN-VPN 功能。

表1-5 配置 VLAN-VPN 内层标签优先级复制/映射功能

操作命令说明



启用内外层标签优先级复制功能 vlan-vpn inner-cos-trust enable

配置内外层标签优先级映射关系 vlan-vpn priority old-priority remark new-priority

二者必选其一

缺省情况下，内外层标签优先级复

制及映射功能关闭

如果端口已经配置了端口优先级（请参见“QoS-QoS Profile”部分的介绍），在开启 VLAN-VPN内外层标签优先级复制功能之后，交换机会提示用户当前端口的端口优先级配置将失效。

VLAN-VPN 内外层标签优先级复制与映射功能不能同时配置。

1.2.5 配置 VLAN-VPN 端口的 IGMP 协议报文透传功能

表1-6 配置 VLAN-VPN 端口的 IGMP 协议报文透传功能

操作命令说明



1-5

操作命令说明

开启 VLAN-VPN 端口的

IGMP 协议报文透传功能 igmp transparent enable

必选

缺省情况下，VLAN-VPN 端口的 IGMP 协议报文

透传功能是关闭的

如果本设备需要处理从该端口接收的 IGMP 协议报文（例如在设备上开启了 IGMP Snooping 功

能），请不要在此端口上配置 IGMP 协议报文透传功能，否则设备对该端口接收的 IGMP 协议报

文将不能进行正常处理。如果端口上没有配置 VLAN-VPN 功能，请不要配置 IGMP 协议报文透传功能。

1.3 VLAN-VPN 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 VLAN-VPN 后的运行情况。通过


表1-7 VLAN-VPN 配置显示

操作命令说明

显示系统中所有端口的

VLAN-VPN 配置信息 display port vlan-vpn display 命令可以在任意视图下

执行

1.4 VLAN-VPN 典型配置举例

1.4.1 利用 VLAN-VPN 功能实现用户报文在公网中的隧道传输

1. 组网需求

如图 1-3所示，Switch A和Switch B为E152 交换机，通过公共网络将用户的工作站与服务器相连。

用户的PC工作站和服务器划分在私有VLAN100，终端工作站和服务器划分在私有VLAN200。

现要求运营商利用公共网络的 VLAN1040，使用户网络之间通过 VPN 方式进行连接。

公共网络中使用其他厂商的设备，TPID 值为 0x9200。

要求配置 Switch A 和 Switch B 的 VLAN-VPN 功能，使用户的 PC 工作站/服务器和终端工作

站/服务器能通过 VPN 连接，并进行正常通信。

1-6

2. 组网图

图1-3 VLAN-VPN 典型配置举例组网图

3. 配置步骤

配置 Switch A

# 配置 SwitchA 的端口 Ethernet1/0/11 为 VLAN-VPN 端口，为进入该端口的报文封装 VLAN1040的外层 VLAN Tag，并配置外层 Tag 中的 TPID 值为 0x9200。


[SwitchA] vlan 1040

[SwitchA-vlan1040] port Ethernet 1/0/11



[SwitchA-Ethernet1/0/11] vlan-vpn enable

[SwitchA-Ethernet1/0/11] vlan-vpn tpid 9200


# 配置端口 Ethernet1/0/12 的端口类型为 Trunk，允许 VLAN 1040 的报文通过。




# 配置端口 Ethernet1/0/12 的 TPID 值为 0x9200，使该端口可以正常识别公网报文中的外层 VLAN Tag。


配置 Switch B

# 配置 SwitchB 的端口 Ethernet1/0/21 为 VLAN-VPN 端口，为进入该端口的报文封装 VLAN1040的外层 VLAN Tag，并配置外层 Tag 中的 TPID 值为 0x9200。


1-7

[SwitchB] vlan 1040

[SwitchB-vlan1040] port Ethernet 1/0/21



[SwitchB-Ethernet1/0/21] vlan-vpn enable

[SwitchB-Ethernet1/0/21] vlan-vpn tpid 9200


# 配置端口 Ethernet1/0/22 的端口类型为 Trunk，允许 VLAN 1040 的报文通过。


[SwitchB-Ethernet1/0/22] port link-type trunk


# 配置端口 Ethernet1/0/22 的 TPID 值为 0x9200，使该端口可以正常识别公网报文中的外层 VLAN Tag。


请勿配置 VLAN1040 为 SwitchA 的 Ethernet1/0/12 端口和 SwitchB 的 Ethernet1/0/22 端口的缺

省 VLAN，以免外层 Tag 在发送时被去除。此例中介绍了在 SwitchA 的 Ethernet1/0/11 端口和 SwitchB 的 Ethernet1/0/21 端口均为 Access端口时的配置。当两个端口为 Trunk 和 Hybrid 端口时，请通过命令配置这两个端口的缺省 VLAN为 1040，且在发送 VLAN1040 的报文时去除外层 Tag，具体操作请参考本手册“VLAN”部分。

配置公共网络设备

# 由于公共网络使用的设备可能来自于其他厂商，这里只介绍基本原理。配置公共网络中与 SwitchA的 Ethernet1/0/12 端口和 SwitchB 的 Ethernet1/0/22 端口连接的设备，使其相应的端口允许

VLAN1040 的报文携带 VLAN Tag 进行发送即可。

4. 数据报文传输过程

报文从 SwitchA 转发至 SwitchB 的过程如下：

(1) 来自用户私网侧的报文进入 SwitchA 的端口 Ethernet1/0/11 后，由于此端口为 VLAN-VPN 端

口，在用户私有 VLAN100 和 VLAN200 的报文外层封装端口缺省的 VLAN Tag（VLAN ID 为

1040），同时将外层 Tag 中的 TPID 修改为 0x9200。

(2) 报文通过端口 Ethernet1/0/12 发送到公网网络，发送时保留外层 VLAN Tag。

(3) 公共网络中的设备将报文发送到 SwitchB 的 Ethernet1/0/22 端口。

(4) SwitchB 接收报文后，转发至 Ethernet1/0/21 端口，由于该端口是 Access 端口，因此在转发

时会去除外层 VLAN1040 的 VLAN Tag，从而将报文恢复为带有用户私有 VLAN Tag 的报文，

并转发到相应的用户网络。

(5) 反方向的转发过程相同。

2-1

2 灵活 QinQ

2.1 灵活 QinQ 简介

2.1.1 灵活 QinQ 简介

灵活 QinQ 是 VLAN-VPN 功能的一种增强应用，使用灵活 QinQ，用户可以配置内外层 Tag 映射规

则，为具有不同内层 Tag 的报文按映射规则封装不同的外层 Tag。

灵活QinQ功能可以使运营商的网络构架更为灵活，在连接接入层设备的端口上可以根据VLAN Tag对不同的终端用户进行分类，为各类用户封装不同的外层Tag，并在公网中按外层Tag配置QoS策略，灵活配置数据的传输优先级，使各类用户获得相应的服务。以图 2-1为例。

图2-1 灵活 QinQ 典型应用

VIPVLAN101~200

UserVLAN8 ~100

IP PhoneVLAN201~300

VLAN 8~300

VLAN 1001~1003

ServerVLAN8~100

VIP ServerVLAN101~200

VoIP DeviceVLAN201~300

SwitchA

Public NetworkVLAN1001/1002/1003

SwitchA 为运营商的接入设备，接入用户分为普通用户（VLAN8～100）、大客户（VLAN101～200）及 IP 电话用户（VLAN201～300）。这三类用户的报文全部由 Switch A 转发到公共网络。

在 SwitchA 连接用户的端口上配置了灵活 QinQ 及相应的内外层标签映射规则后，该端口将根据内

层 VLAN Tag 为报文封装外层 Tag。例如，在 IP 电话用户（内层 Tag 为 201～300）的数据外层封

装 VLAN1002 的 Tag，并传送到负责 IP 电话业务的 VoIP 设备进行处理。

为保证语音报文的传输质量，可以在公共网络配置 QoS 策略，对 VLAN1002 的报文采取保留带宽、

优先发送的规则。

该方法可以对不同类型用户的数据配置转发策略，提高网络管理灵活性；而且能够节省公网 VLAN资源，又使同类用户之间因内层 VLAN Tag 的不同而保持隔离状态，保证了一定的安全性。

2-2

2.1.2 灵活 QinQ 的 MAC 地址复制功能

缺省情况下，与 VLAN-VPN 功能相同，开启灵活 QinQ 的端口将用户数据的源 MAC 地址学习到本

端口缺省 VLAN 的 MAC 地址表中。由于灵活 QinQ 端口可以为报文添加缺省 VLAN 之外的外层

VLAN Tag，因此，在转发由运营商发往用户的数据时，会出现由于在外层 VLAN 的 MAC 表中无法

找到用户的源 MAC 地址而形成的报文广播现象。

图2-2 灵活 QinQ 报文的 MAC 地址学习示意图

如图 2-2所示，在设备接收用户私网报文时，接收端口的缺省VLAN为VLAN2，在接收端口配置灵

活QinQ功能，为接收的VLAN3 的报文添加VLAN4 的外层Tag。在接收报文的同时，设备将源MAC地址MAC-A学习到接收端口缺省VLAN（VLAN2）的MAC地址表中。

当回应报文从运营商网络的 VLAN4 返回到设备时，设备将从 VLAN4 的 MAC 地址表中查找 MAC-A的发送端口，但由于对应表项没有被学习到 VLAN4 的 MAC 地址表中，该报文会被认为是目的 MAC地址未知的单播报文，系统将在 VLAN4 内的所有端口进行广播。不但浪费网络资源，而且造成一

定的安全隐患。

E152以太网交换机提供了VLAN间MAC地址表项复制功能，可以将接收端口缺省VLAN内的MAC地址表项复制到外层 Tag 对应 VLAN 的 MAC 地址表内。此后设备只需要在首次转发来自运营商网

络的报文时通过广播查找用户设备的 MAC 地址，在之后的报文交互过程中即可通过查找外层 Tag对应 VLAN 的 MAC 地址表找到转发路径从而单播转发，避免在灵活 QinQ 应用中产生过多的广播

报文。

同样，也可以将外层 Tag 对应 VLAN 的 MAC 地址表项复制到接收端口的缺省 VLAN 的 MAC 地址

表，此后设备在转发从用户发往运营商网络的报文时，从入端口缺省 VLAN 的 MAC 地址表内即可

查找到连接运营商网络的发送端口，实现单播转发。

2.2 灵活 QinQ 配置

2.2.1 灵活 QinQ 配置任务简介

表2-1 灵活 QinQ 配置任务简介


配置端口的灵活 QinQ 功能必选 2.2.2

配置灵活 QinQ 的 VLAN 间 MAC 地址复制功能可选 2.2.3

2.2.2 配置端口的灵活 QinQ 功能

在配置端口的灵活 QinQ 功能之前，需要先完成以下的配置：

2-3

开启当前端口的 VLAN-VPN 功能

设置当前端口允许特定 VLAN 的报文通过，至少应包括添加的外层标签对应的 VLAN

表2-2 灵活 QinQ 配置过程

操作命令说明



配置需要封装的外层 Tag 值，

并进入 QinQ 视图 vlan-vpn vid vlan-id 必选

配置对指定内层标签的报文添

加外层 VLAN Tag raw-vlan-id inbound vlan-id-list

必选

缺省情况下，没有配置对指定内层标签的

报文添加外层 VLAN Tag

建议用户不要在交换机上同时配置灵活 QinQ 功能和 DHCP Snooping 功能，否则可能导致

DHCP-Snooping 功能无法正常使用。

2.2.3 配置灵活 QinQ 的 VLAN 间 MAC 地址复制功能

表2-3 配置灵活 QinQ 的 VLAN 间 MAC 地址复制功能

操作命令说明



配置灵活 QinQ 的 VLAN 间

MAC 地址复制功能

mac-address-mapping index source-vlan source-vlan-list destination-vlan dest-vlan-id

必选

缺省情况下，灵活 QinQ 的 VLAN间 MAC 地址复制功能关闭

灵活 QinQ 的 VLAN 间 MAC 地址复制功能在一个端口下对某个目的 VLAN 只能配置一次。如果

需要修改，必须先删除之前的配置，然后再重新进行配置。关闭 VLAN 间 MAC 地址复制功能后，系统将删除目的 VLAN 中通过该功能学到的其他 VLAN 的

所有 MAC 地址表项。用户不能手工删除通过 VLAN 间 MAC 地址复制功能获得的 MAC 地址表项，如果确实需要删除

该表项，可以通过关闭 VLAN 间 MAC 地址复制功能实现。

2-4

2.3 灵活 QinQ 配置举例

2.3.1 使用灵活 QinQ 功能对不同类型的私网数据进行分类处理

1. 组网需求

SwitchA 的端口 Ethernet1/0/3 连接了 PC 用户和 IP 电话用户。其中 PC 用户位于 VLAN100～

VLAN108 范围内， IP 电话用户位于 VLAN200～VLAN230 范围内。SwitchA 的端口

Ethernet1/0/5 连接到公共网络，对端为 SwitchB。

SwitchB 的 Ethernet1/0/11 端口接入公共网络，Ethernet1/0/12 和 Ethernet1/0/13 端口分别接

入 PC 用户服务器所在 VLAN100～VLAN108 和 IP 电话用户语音网关所在 VLAN200～

VLAN230。

公共网络中允许 VLAN1000 和 VLAN1200 的报文通过，并配置了 QoS 策略，对 VLAN1200

的报文配置有带宽保留等优先传输策略，而 VLAN1000 的报文传输优先级较低。

在 SwitchA 和 SwitchB 上配置灵活 QinQ 功能，将 PC 用户和 IP 电话用户的流量分别在公网

的 VLAN1000 和 VLAN1200 内传输，以利用 QoS 策略保证语音数据的传输优先级。

为避免大量的广播报文，配置灵活 QinQ 的 VLAN 间 MAC 地址复制功能。

2. 组网图

图2-3 灵活 QinQ 组网示意图

Public Network VLAN1000/VLAN1200

PC UserVLAN100~108

IP Phone UserVLAN200~230

Eth1/0/3

Eth1/0/5

For PC UserVLAN100~108

For IP PhoneVLAN200~230

SwitchA

SwitchBEth1/0/11

Eth1/0/12

Eth1/0/13

3. 配置步骤

配置 SwitchA

# 在 SwitchA 上创建 VLAN1000、VLAN1200 和 Ethernet1/0/3 的缺省 VLAN5。


2-5

[SwitchA] vlan 1000


[SwitchA] vlan 1200


[SwitchA] vlan 5


# 配置端口 Ethernet1/0/5 为 Hybrid 端口，并在转发 VLAN5、VLAN1000 和 VLAN1200 的报文时

保留 VLAN Tag。



[SwitchA-Ethernet1/0/5] port hybrid vlan 5 1000 1200 tagged


# 配置端口 Ethernet1/0/3 为 Hybrid 端口，缺省 VLAN 为 VLAN5，并在转发 VLAN5、VLAN1000和 VLAN1200 的报文时去除 VLAN Tag。



[SwitchA-Ethernet1/0/3] port hybrid pvid vlan 5

[SwitchA-Ethernet1/0/3] port hybrid vlan 5 1000 1200 untagged

# 开启端口 Ethernet1/0/3 的 VLAN-VPN 功能。

[SwitchA-Ethernet1/0/3] vlan-vpn enable

# 配置该端口的灵活 QinQ 功能，为内层 VLAN 是 100 至 108 的报文封装 VLAN1000 的外层 Tag；为内层 VLAN 是 200 至 230 的报文封装 VLAN1200 的外层 Tag。

[SwitchA-Ethernet1/0/3] vlan-vpn vid 1000

[SwitchA-Ethernet1/0/3-vid-1000] raw-vlan-id inbound 100 to 108

[SwitchA-Ethernet1/0/3-vid-1000] quit

[SwitchA-Ethernet1/0/3] vlan-vpn vid 1200

[SwitchA-Ethernet1/0/3-vid-1200] raw-vlan-id inbound 200 to 230

# 配置 VLAN 间 MAC 地址复制功能，将外层 VLAN 与缺省 VLAN 的 MAC 地址表项进行复制。

[SwitchA-Ethernet1/0/3-vid-1200] quit

[SwitchA-Ethernet1/0/3] mac-address-mapping 0 source-vlan 5 destination-vlan 1000

[SwitchA-Ethernet1/0/3] mac-address-mapping 1 source-vlan 5 destination-vlan 1200



[SwitchA-Ethernet1/0/5] mac-address-mapping 0 source-vlan 1000 1200 destination-vlan 5

经过上述配置，在 SwitchA 向公共网络转发报文时，会自动将 VLAN100～VLAN108（PC 用户）

的报文封装外层 Tag 为 VLAN1000，将 VLAN200～VLAN230（IP 电话用户）的报文封装外层 Tag为 VLAN1200。

配置 SwitchB

# 创建 VLAN1000、VLAN1200 以及 Ethernet1/0/12 和 Ethernet1/0/13 端口的缺省 VLAN12 和

VLAN13。


[SwitchB] vlan 1000


2-6

[SwitchB] vlan 1200


[SwitchB] vlan 12 to 13

# 配置端口 Ethernet1/0/11 为 Hybrid 端口，并在发送 VLAN12、VLAN13、VLAN1000 和 VLAN1200的报文时保留 VLAN Tag。




[SwitchB-Ethernet1/0/11] port hybrid vlan 12 13 1000 1200 tagged

# 配置端口 Ethernet1/0/12 为 Hybrid 端口，缺省 VLAN 为 VLAN12，在发送 VLAN12 和 VLAN1000的报文时去掉 VLAN Tag。






# 配置端口 Ethernet1/0/13 为 Hybrid 端口，缺省 VLAN 为 VLAN13，在发送 VLAN13 和 VLAN1200的报文时去掉 VLAN Tag。





经过上述配置，SwitchB 可以将公网中 VLAN1000 和 VLAN1200 的数据分别通过 Ethernet1/0/12和 Ethernet1/0/13 端口发送到相应的服务器。

为使服务器端返回的数据能够使用同样的传输方式返回客户端，需要在 SwitchB 的 Ethernet1/0/12和 Ethernet1/0/13 端口也配置相应的灵活 QinQ 功能和 MAC 地址复制功能，配置方法与 SwitchA类似，这里不再赘述。

由于开启灵活 QinQ 的设备会为用户报文封装其他 VLAN 的外层 Tag，不会按报文中原始的 Tag进行转发，因此不需要在设备上配置用户的 VLAN。

在启动了灵活 QinQ 的端口必须允许本端口的缺省 VLAN 通过，同时，接入公网的端口也必须允

许该 VLAN 通过。

3-1

3 BPDU Tunnel 配置

3.1 BPDU Tunnel 简介

3.1.1 BPDU Tunnel 的作用

通常情况下，局域网用户需要使用一些二层协议对网络拓扑进行管理和维护。例如，使用 STP 协议

维护生成树、控制环路；使用 HGMP 协议对网络拓扑和设备进行管理。这些协议使用 BPDU（Bridge Protocol Data Unit，桥协议数据单元）进行通信和协商。

当用户的多个分支机构通过公共网络进行互连时，为方便管理，要求将多个网络节点结合起来，作

为一个整体的局域网络进行统一计算和维护。因此，运营商需要将用户的某些二层协议的报文通过

公共网络进行传输，而且这些用户信息不能参与到公共网络的计算之中。

基于以上需求，E152 以太网交换机提供了 BPDU Tunnel 功能，可以使用户的部分二层协议报文以

隧道的形式在公共网络中进行传输。

3.1.2 BPDU Tunnel 的工作原理

1. 二层协议报文识别

网络设备对于二层协议报文的处理和数据报文不同，设备首先要对二层协议报文进行识别。IEEE定义的二层协议报文都有一个特殊的目的 MAC 地址（例如 STP 协议报文的目的 MAC 地址为

0180-C200-0000），并且报文有一个“类型”字段。一些厂商定义的私有协议也会遵循这个规则，

用一个私有的 MAC 地址来识别私有协议，用“类型”字段识别具体的协议类型。

2. BPDU 报文透明传输

如图 3-1所示，上部为运营商网络，下部为用户网络。其中，运营商网络包括边缘设备（连接用户

网络和运营商网络的设备）；用户网络分为用户网络A和用户网络B两个部分。通过在运营商网络的

边缘设备上启用BPDU Tunnel功能，可以实现用户网络的BPDU报文在运营商网络中透明传输。

图3-1 BPDU Tunnel 网络层次示意图

3-2

在报文输入端，边缘设备将来自用户网络的 BPDU 报文的目的 MAC 地址由协议特定的 MAC

地址修改为私有组播 MAC 地址（该组播地址可通过命令由用户进行配置），目的地址为该组

播地址的报文称为隧道报文。在运营商网络中，隧道报文将以正常数据报文的方式进行转发。

在报文输出端，边缘设备识别出隧道报文，并根据报文中的协议类型字段判断该报文的类型，

将其目的 MAC 地址恢复为原始的协议特定 MAC 地址，然后发送给用户侧的接入设备。对于

用户侧设备来说，二层协议报文在进入隧道前和离开隧道后没有改变，这样用户设备会认为

“隧道”就是一条本地链路。通过这种方法，二层协议就可以运行在一个虚拟的“本地”网

络上。

用户网络的BPDU报文在进入运营商网络前后的报文格式如图 3-2、图 3-3所示。

图3-2 进入运营商网络前的 BPDU 报文的格式

图3-3 在运营商网络中透明传输时 BPDU 报文的格式

为避免隧道报文被运营商网络内的设备当作其他应用的报文处理，隧道报文所使用的目的地址必须

是组播地址，且在运营商网络内是唯一的 BPDU Tunnel 专用地址。

3.2 配置 BPDU Tunnel

E152 以太网交换机支持对以下协议使用的报文进行 BPDU Tunnel 传输。

LACP（Link Aggregation Control Protocol，链路汇聚控制协议）。

STP（Spanning Tree Protocol，生成树协议）。

HGMP 相关协议，包括：NDP（Neighbor Discovery Protocol，邻居发现协议）、NTDP（Neighbor

Topology Discovery Protocol，邻居拓扑发现协议）、Cluster MRC（Cluster Member Remote

Control，集群成员远程控制）、HABP（Huawei Authentication Bypass Protocol，华为认证

旁路协议）。

3-3

其它厂商的私有协议，包括：CDP、PAGP、PVST、VTP、UDLD。

3.2.1 配置准备

边缘设备与用户设备之间可以正常传输数据。

3.2.2 配置 BPDU Tunnel

表3-1 配置 BPDU Tunnel

操作命令说明


配置在 BPDU Tunnel 中传输报文

采用的私有组播 MAC 地址 bpdu-tunnel tunnel-dmac mac-address

可选

缺省情况下，使用 010f-e200-0003作为协议报文在 BPDU Tunnel 中传输时使用的目的 MAC 地址


开启某种协议报文使用 BPDU Tunnel 传输的功能

bpdu-tunnel protocol-type 必选

缺省情况下，没有配置任何协议的

报文通过 BPDU Tunnel 进行传输

如果在端口上配置了对某种协议报文进行 BPDU Tunnel 传输功能，则不能在该端口上配置这种

协议。例如，如果配置了 bpdu-tunnel lacp，则不能在此端口下执行命令 lacp enable。 bpdu-tunnel stp 命令与 vlan-vpn tunnel 命令配置的 STP 协议报文隧道功能不能同时配置。相

关内容请参见“MSTP”部分的介绍。当配置运营商网络对用户的 PAGP、LACP、UDLD 协议报文进行隧道传输时，需要保证运营商

网络为用户提供的是点到点链路，否则这些协议将不能正常工作。由于设备不支持在聚合端口组内的端口之间对 NDP 和 NTDP 功能的配置进行同步，因此当配置

运营商网络使用聚合端口组对用户的 HGMP 协议报文进行隧道传输时，需要保证该聚合组中的

所有端口均没有启动 NDP 和 NTDP 协议。 bpdu-tunnel cdp 命令与 voice vlan legacy 命令不能同时配置，相关内容请参见“Voice VLAN”

部分的介绍。如果需要在开启了 BPDU Tunnel 功能的端口上配置 TPID 值，则必须在隧道报文的上行端口也配

置相同的 TPID 值，以保证隧道报文正常传输。开启 BPDU Tunnel 功能的端口如果从用户网络收到隧道报文，表示组网出现错误，将直接丢弃

该报文。

3.3 BPDU Tunnel 配置显示

完成上述配置后，在任意视图下执行 display 命令，可以显示隧道报文使用的私有组播 MAC 地址。


3-4

表3-2 BPDU Tunnel 配置显示

操作命令说明

显示隧道报文使用的私有组播 MAC地址 display bpdu-tunnel display 命令可以在任意视图下

执行

3.4 BPDU Tunnel 典型配置举例

3.4.1 使用 BPDU Tunnel 功能对用户的 STP 协议报文进行隧道传输

1. 组网需求

Customer1、Customer2 为用户网络设备；Provider1 和 Provider2 为运营商网络边缘设备，

分别通过 Ethernet1/0/1 和 Ethernet1/0/4 端口接收用户端的数据。

Provider1 和 Provider2 之间使用 Trunk 链路进行连接，并允许所有 VLAN 的报文通过。

配置运营商网络可以使用 BPDU Tunnel 对用户网络的 STP 协议报文进行隧道传输，使用组

播地址 010f-e233-8b22 作为隧道报文的目的 MAC 地址。

启用运营商网络的 VLAN-VPN 功能，使用 VLAN100 来对用户网络的数据报文进行传输。

2. 组网图

图3-4 配置 BPDU Tunnel 组网图

3. 配置步骤

(1) Provider1 的配置

# 在 Ethernet1/0/1 端口关闭 STP 功能。




# 在 Ethernet1/0/1 端口配置 BPDU Tunnel 功能，对 STP 协议的 BPDU 进行透明传输。

[Sysname-Ethernet1/0/1] bpdu-tunnel stp

# 配置 Ethernet1/0/1 端口的 VLAN-VPN 功能，使用 VLAN100 对用户的数据报文进行隧道传输。

[Sysname-Ethernet1/0/1] port access vlan 100

[Sysname-Ethernet1/0/1] vlan-vpn enable

3-5

# 配置协议报文在 BPDU Tunnel 中传输的目的 MAC 地址。


[Sysname] bpdu-tunnel tunnel-dmac 010f-e233-8b22

# 配置端口 Ethernet1/0/2 为 Trunk 端口，且允许所有 VLAN 报文通过。



[Sysname-Ethernet1/0/2] port trunk permit vlan all

(2) Provider2 的配置

# 在 Ethernet1/0/4 端口关闭 STP 功能。




# 在 Ethernet1/0/4 端口配置 STP 协议的 BPDU Tunnel 功能。

[Sysname-Ethernet1/0/4] bpdu-tunnel stp

# 配置 Ethernet1/0/4 端口的 VLAN-VPN 功能，使用 VLAN100 对用户的数据报文进行隧道传输。

[Sysname-Ethernet1/0/4] port access vlan 100

[Sysname-Ethernet1/0/4] vlan-vpn enable

# 配置协议报文在 BPDU Tunnel 中传输的目的 MAC 地址。


[Sysname] bpdu-tunnel tunnel-dmac 010f-e233-8b22

# 配置端口 Ethernet1/0/3 为 Trunk 端口，且允许所有 VLAN 报文通过。



[Sysname-Ethernet1/0/3] port trunk permit vlan all

i

目录

1 HWPing配置 ...................................................................................................................................... 1-1

1.1 HWPing简介...................................................................................................................................... 1-1

1.1.1 HWPing概述 ...........................................................................................................................1-1 1.1.2 HWPing支持的测试类型 .........................................................................................................1-2 1.1.3 HWPing相关测试参数.............................................................................................................1-2

1.2 HWPing配置...................................................................................................................................... 1-4

1.2.1 HWPing服务器端配置.............................................................................................................1-4 1.2.2 HWPing客户端配置 ................................................................................................................1-4 1.2.3 HWPing配置显示 ..................................................................................................................1-19

1.3 HWPing配置举例.............................................................................................................................1-20

1.3.1 ICMP测试 .............................................................................................................................1-20 1.3.2 DHCP测试 ............................................................................................................................1-21 1.3.3 FTP测试................................................................................................................................ 1-23 1.3.4 HTTP测试 .............................................................................................................................1-25 1.3.5 Jitter测试...............................................................................................................................1-26 1.3.6 SNMP测试 ............................................................................................................................1-28 1.3.7 指定端口的TCP测试（Tcpprivate 测试）............................................................................. 1-30 1.3.8 指定端口的UDP测试（Udpprivate 测试）............................................................................ 1-32 1.3.9 DNS测试 ...............................................................................................................................1-33

1-1

1 HWPing 配置

新增 HWPing 扩展特性，具体请参见 HWPing 相关测试部分中的 datafill、description、display hwping statistics、 sendpacket passroute、ttl、filesize、history-record enable、history keep-time、statistics、statistics keep-time、test-time begin、hwping-agent max-requests、hwping-agent clear 和 adv-factor 命令。

1.1 HWPing 简介

1.1.1 HWPing 概述

HWPing 是一种网络诊断工具，用以测量网络上运行的各种协议的性能，可以实现比普通 ping 命

令更多的功能：

ping 命令只能使用 ICMP 协议来测试数据报文在本端和指定的目的端之间的往返时间，从而

判断到目的主机是否可达。

HWPing 不但可以完成上面的功能，还可以测试 DHCP、FTP、HTTP、SNMP 等服务是否打

开以及测试各种服务的响应时间等。

所有的测试类型都必须配置 HWPing 客户端，不同测试类型可能还需要配置相应的服务器端才可以

完成 HWPing 测试。

所有的 HWPing 测试由 HWPing 客户端发起，测试结果也要在客户端查看。

在进行 HWPing 测试时，用户需要在 HWPing 客户端配置 HWPing 测试组。HWPing 测试组是多个

HWPing 测试项的集合。每个测试组都有一个管理员名称和一个操作标签。通过管理员名称和操作

标签可以唯一确定一个测试组。

建立测试组并配置好测试项参数后，就可以通过测试命令进行 HWPing 测试。

与 ping 命令不同的是，它不会在控制台终端上实时显示每个报文的往返时间或是否超时，而

需要通过 display hwping 命令查看 HWPing 操作的统计结果。

HWPing 功能支持通过网管来设置各项操作的参数，并启动测试操作及查看测试的统计结果。

图1-1 HWPing 示意图

1-2

1.1.2 HWPing 支持的测试类型

表1-1 HWPing 支持的测试类型

支持的测试类型说明

ICMP 测试

DHCP 测试

FTP 测试

HTTP 测试

DNS 测试

SNMP 测试

需要配置 HWPing 客户端，不同的测试类型需要配置相

应的服务器端

Jitter 测试

Tcppublic 测试 TCP 测试

Tcpprivate 测试

Udppublic 测试 UDP 测试

Udpprivate 测试

需要 HWPing 客户端和 HWPing 服务器配合进行请不要对 1～1023 之间的端口（知名端口）进行

TCP、UDP 或 Jitter 测试，否则可能导致该知名端

口对应的服务不可用或 HWPing 探测失败

1.1.3 HWPing 相关测试参数

HWPing测试参数只在HWPing客户端进行配置。每种测试类型要选择相应的测试参数进行配置，

HWPing客户端的具体配置可参见 1.2.2 。

表1-2 HWPing 相关测试参数

测试参数说明

目的地址 destination-ip 在进行 TCP、UDP 或 Jitter 测试时，HWPing 客户端必须指定目的地址，该目

的地址必须是 HWPing 服务器上配置了 TCP 或 UDP 监听服务的 IP 地址

目的端口 destination -port 在进行 Tcpprivate、Udpprivate 或 Jitter 测试时，HWPing 客户端必须指定目的

端口号，该目的端口号必须是 HWPing 服务器上配置了 TCP 或 UDP 监听服务

的端口号

源接口 source-interface

在进行 DHCP 测试时，必须指定 HWPing 客户端发送 DHCP 请求报文使用

的源接口，如果不指定源接口，DHCP 测试将失败指定了源接口以后，那么在进行 DHCP 测试时，HWPing 客户端将直接使用

该源接口发送 DHCP 请求报文 DHCP 请求报文中的源 IP 地址将使用该接口的 IP 地址

源地址 source-ip 在进行除DHCP以外的测试时，HWPing客户端可以指定发送报文的源 IP地址，

这样服务器将使用该 IP 地址作为响应报文的目的地址

源端口 source-port 在进行 HWPing 测试时，HWPing 客户端可以指定发送请求报文的源端口号，

这样服务器将使用该端口号作为响应报文的目的端口号（该参数对 ICMP、DHCP 和 DNS 测试无效）

测试类型 test-type

HWPing可以对多种协议进行测试，具体测试类型参见表 1-1 每种测试都需要创建一个测试组，且针对每个测试组 HWPing 客户端只能进

行某一种类型的 HWPing 测试如果通过 test-type 命令修改了测试类型，则原有测试类型的参数配置、测

试结果及历史记录都将被清除

一次测试中进行探测的次数count

在进行除 Jitter 以外的测试时，一次探测只发送一个测试报文。Jitter 测试中一

次探测发送的测试报文个数可以通过 jitter-packetnum 进行设置

1-3

测试参数说明

数据报文的大小 datasize

在进行 ICMP、UDP 和 Jitter 测试时，可以对 HWPing 客户端发送报文的大

小进行配置对于 ICMP 测试，ICMP 数据报文的大小是指 HWPing 客户端进行 ICMP 测

试时 ECHO-REQUEST 报文长度（不包括 IP 和 ICMP 报文头）

测试报文中的填充字符串datafill

在进行 ICMP、UDP 和 jitter 测试时，系统需要对所发送的 ICMP 报文的数据字

段进行填充，填充数据可以是长度为 1～230 个字符（可包含空格）任意字符串

如果数据字段的长度比配置的填充数据长度小，系统将使用此字符串的前一

部分进行填充。例如，配置的填充数据为“abcde”，当测试报文长度为 3bit时，则只使用“abc”作为填充数据；

如果测试报文的长度比配置的填充数据长度大，系统将使用此字符串循环进

行填充。例如，配置的填充数据为“abcde”，当测试报文大小为 8bit 时，

则使用“abcdeabc”作为填充数据

设置路由表旁路

sendpacket passroute

路由表旁路功能是指远端主机将不进行通常的路由表查找，而直接发送报文到

相连网络上的主机。如果主机所在网络不是直连的，就返回错误。例如，在接

口上 ping 一个无路由的本地主机时可以使用本功能

HWPing ICMP 测试报文生存

时间 ttl 所谓报文生存时间，实际上是指测试报文在网络中可以经过的跳数，该参数相

当于 ping 命令中的“-h”参数

保存历史记录的最大数目history-records

用于指定 HWPing 客户端在一个测试组中能够保存的历史记录的最大数目，当

历史记录的条数超过这个数目时，HWPing 客户端会丢弃早期的历史记录

自动测试的时间间隔frequency 配置自动测试使 HWPing 客户端每隔一段时间就自动进行一次测试

探测的超时时间 timeout 超时时间为 HWPing 客户端发送一个测试报文后启动的定时器探测的超时时间的单位为秒

服务类型 tos 服务类型是指 HWPing 客户端发送的测试报文的 IP 报文头的 ToS 域值

dns 用于指定 HWPing 测试组解析的域名

dns-server 用于设置 HWPing 测试组的 DNS 服务器的 IP 地址

HTTP 操作类型http-operation HWPing 客户端可以配置和服务器端进行 HTTP 交互的类型

HTTP 的操作字符串和版本信

息 http-string 用于配置 HTTP 的操作字符串和版本信息

FTP 操作类型 ftp-operation HWPing 客户端可以配置和服务器端进行 FTP 交互的类型

FTP 操作用户名和密码 username password

进行 FTP 操作时需要使用用户名和密码

FTP 操作文件名 filename FTP 所要操作的文件名

FTP 操作文件的大小 filesize FTP 所要操作的文件大小

Jitter 测试时一次探测发送的测

试报文个数 jitter-packetnum

Jitter 测试是为了对 UDP 报文传输的时延抖动情况进行统计分析在测试时，HWPing 客户端会以一定的时间间隔（可配置）向 HWPing 服务

器端发送一系列的数据报文，服务器端每收到一个数据报文，就会给它打上

时间戳，然后再把这个数据报文发回到客户端。客户端收到数据报文后就可

计算出时延抖动时间。因此，为了提高统计结果的准确性，每次测试必须发

送多个测试报文进行测试。每次测试发送的测试报文个数越多，统计分析越

准确，但完成测试所需的时间也越长

Jitter 测试时发送测试报文的时

间间隔 jitter-interval

Jitter 测试每次探测都要发送多个 UDP 测试报文，可以配置发送测试报文的时

间间隔。发送测试报文的时间间隔越小，完成测试就越快，但是发送测试报文

的时间间隔太小可能会对网络带来一定的冲击

1-4

测试参数说明

Trap

HWPing 测试成功或者失败都会产生 Trap 信息，可以通过设置 Trap 开关控

制是否输出该 Trap 信息可以设置 HWPing 测试连续多少次测试失败之后输出 Trap 信息，也可以设

置 HWPing 测试连续多少次探测失败之后输出 Trap 信息

1.2 HWPing 配置

在进行 Jitter 测试、TCP 测试和 UDP 测试时，需要 HWPing 客户端和 HWPing 服务器配合进行；

在进行其它类型的测试时，需要配置 HWPing 客户端，不同的测试类型需要配置相应的服务器端。

1.2.1 HWPing 服务器端配置

H3C E152 以太网交换机可以作为 HWPing 客户端，也可以作为 HWPing 服务器。交换机上可同时

开启 HWPing 客户端和 HWPing 服务器。也就是说，同一台交换机可以做 HWPing 客户端，同时又

可以做 HWPing 服务器。

1. HWPing 服务器端配置任务简介

表1-3 HWPing 服务器端配置任务简介


开启 HWPing 服务器功

能只有 Jitter 测试、TCP 测试和 UDP 测试需要配置 HWPing 服务器 1.2.1 2.

配置 HWPing 服务器监

听的服务可以在一个 HWPing 服务器上创建多个 TCP 或 UDP 监听服务，每个

监听服务对应一个指定的目的地址和端口号 1.2.1 2.

2. HWPing 服务器端配置

由于只有 TCP 测试、UDP 测试和 Jitter 测试需要配置 HWPing 服务器端，下面对服务器端配置进

行统一介绍。

表1-4 配置 HWPing 服务器端

操作命令说明


开启服务器功能 hwping-server enable 必选

缺省情况下，关闭服务器功能

配置 UDP 监听服

务 hwping-server udpecho ip-address port-num

UDP 测试、Jitter 测试必选

缺省情况下，未配置 UDP 监听服务

配置 TCP 监听服

务 hwping-server tcpconnect ip-address port-num

TCP 测试必选

缺省情况下，未配置 TCP 监听服务

1.2.2 HWPing 客户端配置

1. 配置 HWPing 客户端

开启 HWPing 客户端之后，可以创建多个测试组并进行多个测试，不用重复开启 HWPing 客户端。

1-5

由于 HWPing 不同测试类型的客户端的配置参数、参数的取值范围都有差异，下面根据不同的测试

类型对客户端配置分别进行介绍。

对于 HWPing 设置测试类型的命令 test-type，如果设置的测试类型与测试组当前的类型不相同，

则当前测试组的配置、测试记录以及历史记录将被清除。用户在进行 HWPing 客户端配置时，除

HWPing ICMP 测试以外，在“建立 HWPing 测试组并进入 HWPing 测试组视图”之后，必须首先

配置测试类型 test-type，再配置其他的测试参数。

(1) 配置 HWPing 客户端的 ICMP 测试功能

表1-5 配置 HWPing 客户端的 ICMP 测试功能

操作命令说明


开启 HWPing 客户端功能 hwping-agent enable 必选

缺省情况下，HWPing 客户端功能处于关

闭状态

建立 HWPing 测试组并进入 HWPing测试组视图

hwping administrator-name operation-tag

必选

缺省情况下，没有配置测试组

配置测试类型 test-type icmp 可选

缺省情况下，测试类型为 ICMP

配置目的地址 destination-ip ip-address 必选

缺省情况下，没有配置目的地址

配置源接口 source-interface interface-type interface-number

可选

ICMP 测试将使用该源接口所对应的 IP地址作为源地址

缺省情况下，没有指定源接口

配置源地址 source-ip ip-address 可选

缺省情况下，没有指定源 IP 地址

一次测试中进行探测的次数 count times 可选

缺省情况下，一次测试中进行探测的次数

为 1

配置数据报文的大小 datasize size 可选

缺省情况下，默认值为 56 字节

配置填充字符 datafill string 可选

缺省情况下，采用数字 0～255 循环进行

填充

配置测试的描述字符串 description string 可选

缺省情况下，没有配置描述信息

保存历史记录的最大数目 history-records number 可选

缺省情况下，保存历史记录的最大数目为50

打开历史记录开关 history-record enable 可选

缺省情况下，历史记录开关没有打开

1-6

操作命令说明

配置历史记录的保存时间 history keep-time keep-time

可选

缺省情况下，历史记录的保存时间为 120分钟

配置统计时间间隔和保存统计信息的

最大数目 statistics { interval interval | max-group number }

可选

缺省情况下，统计时间间隔为 120 分钟，

最多保存的统计信息的数目为 2 条

配置统计信息的保存时间 statistics keep-time keep-time

可选

缺省情况下，统计信息的保存时间为 120分钟

配置测试的开始时间和持续时间 test-time begin { hh:mm :ss [ yyyy/mm/dd ] | now } lifetime lifetime

可选

缺省情况下，系统没有配置测试的开始时

间和持续时间

开启路由表旁路功能 sendpacket passroute 可选

缺省情况下，路由表旁路功能处于关闭状

态

配置 HWPing ICMP 测试报文生存时

间 ttl number

可选

缺省情况下，生存时间为 20

当配置了 sendpacket passroute 命令

时，ttl 命令的配置将不会生效

配置自动测试的时间间隔 frequency interval 可选

缺省情况下，自动测试的时间间隔为 0秒，即不进行自动测试

探测的超时时间 timeout time 可选

缺省情况下，超时时间为 3 秒

配置服务类型 tos value 可选

缺省情况下，服务类型为 0

启动测试 test-enable 必选

查看测试结果 display hwping results [ admin-name operation-tag ]

必选


在进行 HWPing ICMP 测试时，如果通过 source-interface 命令配置的源接口上没有配置 IP 地

址，则测试不能被执行；如果已经通过 source-ip 命令配置了源 IP 地址，则 source-interface配置无效。

在 ICMP 类型测试中，当通过 source-interface interface-type interface-number 命令指定源接

口后，报文的 ttl 值将自动被设置为 1，以用来测试直连设备（即设备的 IP 地址和指定接口的 IP地址在同一网段）。

(2) 配置 HWPing 客户端的 DHCP 测试功能

表1-6 配置 HWPing 客户端的 DHCP 测试功能

操作命令说明


1-7

操作命令说明



闭状态


hwping administrator-name operation- tag

必选


配置测试类型 test-type dhcp 必选


配置源接口 source-interface interface-type interface-number

必选

源接口只能配置为 VLAN 接口

缺省情况下，没有配置源接口



为 1











可选




可选



可选


间和持续时间

配置可同时进行测试的最大个数 hwping-agent max-requests number

可选

缺省情况下，可同时进行测试的最大个数

为 5



态





必选


1-8

(3) 配置 HWPing 客户端的 FTP 测试功能

表1-7 配置 HWPing 客户端的 FTP 测试功能

操作命令说明




闭状态



必选


配置测试类型 test-type ftp 必选




配置源地址 source-ip ip-address 必选


配置源端口 source-port port-number 可选

缺省情况下，没有指定源端口



为 1








可选




可选




可选



可选


间和持续时间



态

1-9

操作命令说明


间 ttl number

可选










配置 FTP 操作类型 ftp-operation { get | put } 可选

缺省情况下，FTP 操作类型为 get 操作，

即从 FTP 服务器获取文件

配置 FTP 登录用户名 username name

配置 FTP 登录密码 password password

必选

缺省情况下，没有配置用户名和密码

配置 FTP 操作文件名 filename file-name 必选

缺省情况下，没有配置操作的文件名

配置向FTP服务器传送的文件的大小 filesize file-size 必选

缺省情况下，向 FTP 服务器传送的文件

的长度为 1000KByte



必选


(4) 配置 HWPing 客户端的 HTTP 测试功能

表1-8 配置 HWPing 客户端的 HTTP 测试功能

操作命令说明




闭状态



必选


配置测试类型 test-type http 必选


配置目的地址 destination-ip ip-address

必选

可以设置为 IP 地址和主机名称两种形式


配置 dns-server dns-server ip-address 当使用 destination-ip 命令配置目的地

址为主机名称时必选

缺省情况下，没有配置 DNS 服务器地址

1-10

操作命令说明







为 1








可选




可选




可选



可选


间和持续时间



态


间 ttl number

可选










配置 HTTP 操作类型 http-operation { get | post }可选

缺省情况下，HTTP操作方式为 get操作，

即从 HTTP 服务器获取数据

1-11

操作命令说明

配置 HTTP 的操作字符串和版本信息 http-string string version 可选

缺省情况下，没有指定 HTTP 的操作字

符串和版本信息



必选


(5) 配置 HWPing 客户端的 Jitter 测试功能

表1-9 配置 HWPing 客户端的 Jitter 测试功能

操作命令说明




闭状态



必选


配置测试类型 test-type jitter [ codec codec-value ]

必选



必选

必须与 HWPing 服务器上所配置的监听

服务的 IP 地址一致


配置目的端口 destination-port port-number

必选

必须与 HWPing 服务器上所配置的监听

服务的端口号一致

缺省情况下，没有配置目的端口







为 1





填充



1-12

操作命令说明






可选




可选




可选



可选


间和持续时间



态


间 ttl number

可选










配置 Jitter 测试时一次探测发送的测

试报文个数 jitter-packetnum number 可选

缺省情况下，Jitter 测试时一次探测发送

的测试报文为 10 个

Jitter 测试时发送测试报文的时间间

隔 jitter-interval interval

可选

缺省情况下，Jitter 测试时发送测试报文

的时间间隔为 20 毫秒

配置 jitter 语音测试时的补偿因子 adv-factor adv-number 可选

缺省情况下，补偿因子的取值为 0



必选


(6) 配置 HWPing 客户端的 SNMP 测试功能

1-13

表1-10 配置 HWPing 客户端的 SNMP 测试功能

操作命令说明




闭状态



必选


配置测试类型 test-type snmpquery 必选










为 1








可选




可选




可选



可选


间和持续时间



态


间 ttl number

可选




1-14

操作命令说明









必选


(7) 配置 HWPing 客户端的 TCP 测试功能

表1-11 配置 HWPing 客户端的 TCP 测试功能

操作命令说明




闭状态



必选


配置测试类型 test-type { tcpprivate | tcppublic }

必选



必选

必须与 HWPing 服务器上配置的监听服

务的 IP 地址一致



在进行 Tcpprivate 测试时必选

在进行 Tcppublic 测试时，则是对 7 号端

口的 TCP 连接测试。只须在服务器端使

用 hwping-server tcpconnect ip-address 7 命令配置监听服务端口，否

则测试将失败。客户端不需要配置端口

号，即使配置也不会生效








为 1



1-15

操作命令说明






可选




可选




可选



可选


间和持续时间



态


间 ttl number

可选












必选


(8) 配置 HWPing 客户端的 UDP 测试功能

表1-12 配置 HWPing 客户端的 UDP 测试功能

操作命令说明




闭状态

1-16

操作命令说明



必选


配置测试类型 test-type { udpprivate | udppublic }

必选



必选

必须与 HWPing 服务器上配置的监听服

务的 IP 地址一致



在进行 Udpprivate 测试时必选

在进行 Udppublic 测试时，则是对 7 号端

口的 UDP 连接测试。只须在服务器端使

用 hwping-server udpecho ip-address 7 命令配置监听服务端口，否则测试将失

败。客户端不需要配置端口号，即使配置，

也不会生效





缺省情况下，没有配置源端口



为 1





填充








可选




可选




可选


1-17

操作命令说明


可选


间和持续时间



态


间 ttl number

可选












必选


(9) 配置 HWPing 客户端的 DNS 测试功能

表1-13 配置 HWPing 客户端的 DNS 测试功能

操作命令说明



缺省情况下，HWPing 客户端功能处于关闭

状态



必选


配置测试类型 test-type dns 必选





缺省情况下，一次测试中进行探测的次数为1





1-18

操作命令说明




可选



最大数目

statistics { interval interval | max-group number }

可选




可选



可选

缺省情况下，系统没有配置测试的开始时间

和持续时间


缺省情况下，路由表旁路功能处于关闭状态


间 ttl number

可选


当配置了 sendpacket passroute 命令时，

ttl 命令的配置将不会生效


缺省情况下，自动测试的时间间隔为 0 秒，

即不进行自动测试





配置 dns dns resolve-target domain-name

必选

缺省情况下，没有配置 DNS 要解析的域名

配置 dns-server dns-server ip-address 必选

缺省情况下，没有配置 DNS 服务器地址



必选


(10) 清除所有测试用例

表1-14 清除所有测试用例

操作命令说明


清除所有测试用例 hwping-agent clear 必选

1-19

执行该命令清除所有已配的测试组，包括其所有测试组配置及测试结果、历史信息；

命令执行后结果不可恢复；

该命令不会关闭 hwping-agent 功能。

2. 配置 HWPing 客户端发送 Trap 信息

HWPing 测试成功或者失败都会产生 Trap 信息，可以通过设置 Trap 开关控制 HWPing 客户端是否

对外输出该 Trap 信息。

表1-15 配置 HWPing 客户端发送 Trap 信息

操作命令说明



缺省情况下，HWPing 客户端功能处

于关闭状态

建立 HWPing 测试组并进入

HWPing 测试组视图 hwping administrator-name operation- tag

必选


打开 Trap 信息发送开关 send-trap { all | { probefailure | testcomplete | testfailure }* }

必选

缺省情况下，关闭 Trap 开关

配置 HWPing 测试连续多少次测

试失败之后输出 Trap 信息 test-failtimes times

可选

缺省情况下，一次测试失败就输出

Trap 信息

配置 HWPing 测试连续多少次探

测失败之后输出 Trap 信息 probe-failtimes times 可选

缺省情况下，一次探测失败就输出

Trap 信息

1.2.3 HWPing 配置显示

完成上述配置后，用户可以通过执行 display 命令来查看最近一次的测试结果信息和历史记录信息。

表1-16 显示 HWPing 测试结果

操作命令说明

显示 HWPing 测试的结果信

息、历史记录信息、抖动信息 display hwping { results | history | jitter } [ administrator-name operation-tag ]

显示测试的统计信息 display hwping statistics [ administrator-name operation-tag ]


视图下执行

1-20

1.3 HWPing 配置举例

1.3.1 ICMP 测试

1. 组网需求

H3C E152 以太网交换机作为 HWPing 客户端与另外一台交换机之间进行 HWPing ICMP 测试，使

用 ICMP 协议来测试数据报文在 HWPing 客户端和指定的目的端之间的往返时间。

2. 组网图

图1-2 ICMP 测试组网图

3. 配置步骤

配置 HWPing Client(Switch A)：

# 开启 hwping 客户端。


[Sysname] hwping-agent enable

# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 ICMP。

[Sysname] hwping administrator icmp

# 配置测试类型为 ICMP。

[Sysname-hwping-administrator-icmp] test-type icmp

# 配置目的 IP 地址为 10.2.2.2。

[Sysname-hwping-administrator-icmp] destination-ip 10.2.2.2

# 配置一次测试中进行探测的次数为 10。

[Sysname-hwping-administrator-icmp] count 10

# 配置探测的超时时间为 5 秒。

[Sysname-hwping-administrator-icmp] timeout 5

# 配置保存历史记录的最大数目为 5。

[Sysname-hwping-administrator-icmp] history-records 5

# 启动测试操作。

[Sysname-hwping-administrator-icmp] test-enable

# 查看测试结果。

[Sysname-hwping-administrator-icmp] display hwping results administrator icmp

HWPing entry(admin administrator, tag icmp) test result:

Destination ip address:10.2.2.2

Send operation times: 10 Receive response times: 10

Min/Max/Average Round Trip Time: 3/6/3

1-21

Square-Sum of Round Trip Time: 145

Last succeeded test time: 2000-4-2 20:55:12.3

Extend result:

SD Maximal delay: 0 DS Maximal delay: 0

Packet lost in test: 0%

Disconnect operation number: 0 Operation timeout number: 0

System busy operation number: 0 Connection fail number: 0

Operation sequence errors: 0 Drop operation number: 0

Other operation errors: 0

[Sysname-hwping-administrator-icmp] display hwping history administrator icmp

HWPing entry(admin administrator, tag icmp) history record:

Index Response Status LastRC Time

1 3 1 0 2000-04-02 20:55:12.3

2 4 1 0 2000-04-02 20:55:12.3

3 4 1 0 2000-04-02 20:55:12.2

4 3 1 0 2000-04-02 20:55:12.2

5 3 1 0 2000-04-02 20:55:12.2

关于显示信息的具体描述，请参见命令手册。

1.3.2 DHCP 测试

1. 组网需求

HWPing 客户端和 DHCP 服务器都使用 H3C E152 以太网交换机。在两台交换机之间进行 HWPing DHCP 测试，测试从 DHCP 服务器分配到 IP 地址所需的时间。

2. 组网图

图1-3 DHCP 测试组网图

3. 配置步骤

配置 DHCP Server(Switch B)：

在 SwitchB 上配置 DHCP 服务器，关于 DHCP 服务器的具体配置请参见本手册“DHCP”部分的

详细介绍。


# 开启 HWPing 客户端。



# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 DHCP。

[Sysname] hwping administrator dhcp

# 配置测试类型为 DHCP。

1-22

[Sysname-hwping-administrator-dhcp] test-type dhcp

# 配置源接口，此接口必须为 vlan 接口，DHCP 服务器位于和此接口相连的网络上。

[Sysname-hwping-administrator-dhcp] source-interface Vlan-interface 1


[Sysname-hwping-administrator-dhcp] count 10


[Sysname-hwping-administrator-dhcp] timeout 5


[Sysname-hwping-administrator-dhcp] test-enable


[Sysname-hwping-administrator-dhcp] display hwping results administrator dhcp

HWPing entry(admin administrator, tag dhcp) test result:





Extend result:







[Sysname-hwping-administrator-dhcp] display hwping history administrator dhcp

HWPing entry(admin administrator, tag dhcp) history record:


1 1018 1 0 2000-04-03 09:51:30.9

2 1037 1 0 2000-04-03 09:51:22.9

3 1024 1 0 2000-04-03 09:51:18.9

4 1027 1 0 2000-04-03 09:51:06.8

5 1018 1 0 2000-04-03 09:51:00.8

6 1020 1 0 2000-04-03 09:50:52.8

7 1018 1 0 2000-04-03 09:50:48.8

8 1020 1 0 2000-04-03 09:50:36.8

9 1020 1 0 2000-04-03 09:50:30.8

10 1028 1 0 2000-04-03 09:50:22.8


只有在没有接口启用 DHCP Client 时，才能够进行 HWPing DHCP 测试，否则 DHCP Server 端返

回的响应报文将发送给启用了 DHCP Client 的接口，而不会将响应报文发送给源接口，从而导致

HWPing DHCP 测试失败。

1-23

1.3.3 FTP 测试

1. 组网需求

HWPing 客户端和 FTP 服务器都使用 H3C E152 以太网交换机。在两台交换机之间进行 HWPing FTP 测试，测试和指定的 FTP 服务器能否建立连接及建立连接后向服务器上传一个文件所需的时

间。登录 FTP 服务器的用户名为 admin，密码为 admin，向服务器上传的文件名为 cmdtree.txt。

2. 组网图

图1-4 FTP 测试组网图

3. 配置步骤

配置 FTP Server(Switch B)：

在 SwitchB 上配置 FTP 服务器，关于 FTP 服务器的具体配置请参见本手册“FTP-SFTP-TFTP”中

相关部分的介绍。


# 配置三层接口 IP 地址。



[Sysname-Vlan-interface1] ip address 10.1.1.1 8



# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 FTP。

[Sysname] hwping administrator ftp

# 配置测试类型为 FTP。

[Sysname-hwping-administrator-ftp] test-type ftp

# 配置 FTP 服务器的 IP 地址为 10.2.2.2。

[Sysname-hwping-administrator-ftp] destination-ip 10.2.2.2

# 配置登录用户名。

[Sysname-hwping-administrator-ftp] username admin

# 配置登录密码。

[Sysname-hwping-administrator-ftp] password admin

# 配置 FTP 操作类型。

[Sysname-hwping-administrator-ftp] ftp-operation put

# 配置要操作的文件名。

[Sysname-hwping-administrator-ftp] filename cmdtree.txt

1-24


[Sysname-hwping-administrator-ftp] count 10


[Sysname-hwping-administrator-ftp] timeout 30

# 配置源地址。

[Sysname-hwping-administrator-ftp] source-ip 10.1.1.1


[Sysname-hwping-administrator-ftp] test-enable


[Sysname-hwping-administrator-ftp] display hwping results administrator ftp

HWPing entry(admin administrator, tag ftp) test result:






Extend result:







[Sysname-hwping-administrator-ftp] display hwping history administrator ftp

HWPing entry(admin administrator, tag ftp) history record:


1 15822 1 0 2000-04-03 04:00:34.6

2 15772 1 0 2000-04-03 04:00:18.8

3 9945 1 0 2000-04-03 04:00:02.9

4 15891 1 0 2000-04-03 03:59:52.9

5 15772 1 0 2000-04-03 03:59:37.0

6 15653 1 0 2000-04-03 03:59:21.2

7 9792 1 0 2000-04-03 03:59:05.5

8 9794 1 0 2000-04-03 03:58:55.6

9 9891 1 0 2000-04-03 03:58:45.8

10 3245 1 0 2000-04-03 03:58:35.9


若要从服务器下载文件，则无需配置FTP操作类型,具体说明请参考本手册 1.2.2 1. (3)。

1-25

1.3.4 HTTP 测试

1. 组网需求

H3C E152 以太网交换机作为 HWPing 客户端，PC 作为 HTTP 服务器。在 HWPing 客户端和 HTTP服务器之间进行 HWPing HTTP 测试，测试与指定的 HTTP 服务器之间是否可以建立连接以及从

HTTP 服务器获取一个文件所用的时间。

2. 组网图

图1-5 HTTP 测试组网图

3. 配置步骤

配置 HTTP Server：

HTTP 服务器使用 Windows 2003 Server，关于 HTTP 服务器的配置请参见 Windows 2003 Server的相关配置指导书。

配置 HWPing Client(Switch)：




# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 HTTP。

[Sysname] hwping administrator http

# 配置测试的类型为 HTTP。

[Sysname-hwping-administrator-http] test-type http

# 配置 HTTP 服务器的 IP 地址为 10.2.2.2。

[Sysname-hwping-administrator-http] destination-ip 10.2.2.2


[Sysname-hwping-administrator-http] count 10


[Sysname-hwping-administrator-http] timeout 30


[Sysname-hwping-administrator-http] test-enable


[Sysname-hwping-administrator-http] display hwping results administrator http

HWPing entry(admin administrator, tag http) test result:



1-26




Extend result:







Http result:

DNS Resolve Time: 0 HTTP Operation Time: 675

DNS Resolve Min Time: 0 HTTP Test Total Time: 748

DNS Resolve Max Time: 0 HTTP Transmission Successful Times: 10

DNS Resolve Failed Times: 0 HTTP Transmission Failed Times: 0

DNS Resolve Timeout Times: 0 HTTP Transmission Timeout Times: 0

TCP Connect Time: 73 HTTP Operation Min Time: 27

TCP Connect Min Time: 5 HTTP Operation Max Time: 80

TCP Connect Max Time: 20

TCP Connect Timeout Times: 0

[Sysname-hwping-administrator-http] display hwping history administrator http

HWPing entry(admin administrator, tag http) history record:


1 13 1 0 2000-04-02 15:15:52.5

2 9 1 0 2000-04-02 15:15:52.5

3 3 1 0 2000-04-02 15:15:52.5

4 3 1 0 2000-04-02 15:15:52.5

5 3 1 0 2000-04-02 15:15:52.5

6 2 1 0 2000-04-02 15:15:52.4

7 3 1 0 2000-04-02 15:15:52.4

8 3 1 0 2000-04-02 15:15:52.4

9 2 1 0 2000-04-02 15:15:52.4

10 2 1 0 2000-04-02 15:15:52.4


在进行 HTTP 测试时，如果指定目的地址为主机名称，则必须配置 DNS 服务器的 IP 地址，该 DNS服务器用于将主机名称解析为 IP 地址，解析出的 IP 地址将作为本次测试的目的 IP 地址。

1.3.5 Jitter 测试

1. 组网需求

HWPing客户端和HWPing服务器都使用H3C E152以太网交换机。在两台交换机之间进行HWPing Jitter 测试，测试本端(HWPing 客户端)和指定的目的端（HWPing 服务器）之间传送 UDP 报文的时

延抖动，使用的端口号设置为 9000。

1-27

2. 组网图

图1-6 Jitter 测试组网图

3. 配置步骤

配置 HWPing Server(Switch B)：

# 开启 HWPing 服务器，配置监听的 IP 地址和端口号。


[Sysname] hwping-server enable

[Sysname] hwping-server udpecho 10.2.2.2 9000





# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 Jitter。

[Sysname] hwping administrator Jitter

# 配置测试的类型为 Jitter。

[Sysname-hwping-administrator-Jitter] test-type Jitter

# 配置 HWPing 服务器的 IP 地址为 10.2.2.2。

[Sysname-hwping-administrator-Jitter] destination-ip 10.2.2.2

# 配置 HWPing 服务器的目的端口。

[Sysname-hwping-administrator-Jitter] destination-port 9000


[Sysname-hwping-administrator-http] count 10


[Sysname-hwping-administrator-Jitter] timeout 30


[Sysname-hwping-administrator-Jitter] test-enable


[Sysname-hwping-administrator-Jitter] display hwping results administrator Jitter

HWPing entry(admin administrator, tag Jitter) test result:






1-28

Extend result:







Jitter result:

RTT Number:100

Min Positive SD:1 Min Positive DS:1

Max Positive SD:6 Max Positive DS:8

Positive SD Number:38 Positive DS Number:25

Positive SD Sum:85 Positive DS Sum:42

Positive SD average:2 Positive DS average:1

Positive SD Square Sum:267 Positive DS Square Sum:162

Min Negative SD:1 Min Negative DS:1

Max Negative SD:6 Max Negative DS:8

Negative SD Number:30 Negative DS Number:24

Negative SD Sum:64 Negative DS Sum: 41

Negative SD average:2 Negative DS average:1

Negative SD Square Sum:200 Negative DS Square Sum:161

SD lost packets number:0 DS lost packet number:0

Unkown result lost packet number:0

[Sysname-hwping-administrator-Jitter] display hwping history administrator Jitter

HWPing entry(admin administrator, tag Jitter) history record:


1 274 1 0 2000-04-02 08:14:58.2

2 278 1 0 2000-04-02 08:14:57.9

3 280 1 0 2000-04-02 08:14:57.6

4 279 1 0 2000-04-02 08:14:57.3

5 280 1 0 2000-04-02 08:14:57.1

6 270 1 0 2000-04-02 08:14:56.8

7 275 1 0 2000-04-02 08:14:56.5

8 263 1 0 2000-04-02 08:14:56.2

9 270 1 0 2000-04-02 08:14:56.0

10 275 1 0 2000-04-02 08:14:55.7


1.3.6 SNMP 测试

1. 组网需求

HWPing 客户端和 SNMP Agent 都使用 H3C E152 以太网交换机。在两台交换机之间进行 HWPing SNMP 查询测试，测试从 SwitchA 发出一个 SNMP 协议查询报文到 SwitchB（SNMP Agent）并接

收到响应报文所用的时间。

1-29

2. 组网图

图1-7 SNMP 查询测试组网图

3. 配置步骤

配置 SNMP Agent(Switch B)：

# 启动 SNMP Agent 服务，设置 SNMP 版本为 v2c、只读团体名为 public、读写团体名为 private。


[Sysname] snmp-agent

[Sysname] snmp-agent sys-info version v2c

[Sysname] snmp-agent community read public

[Sysname] snmp-agent community write private

SNMP Agent 上必须启动 SNMP Agent 服务，否则将收不到响应报文。本例仅以 SNMP V2C 版本的配置作为参考。如果系统启用其他版本的 SNMP，其配置可能有所

不同，具体请参见“SNMP-RMON 操作手册”中的介绍。





# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 snmp。

[Sysname] hwping administrator snmp

# 配置测试的类型为 SNMP。

[Sysname-hwping-administrator-snmp] test-type snmpquery

# 配置目的 IP 地址为 10.2.2.2。

[Sysname-hwping-administrator-snmp] destination-ip 10.2.2.2


[Sysname-hwping-administrator-snmp] count 10


[Sysname-hwping-administrator-snmp] timeout 30


[Sysname-hwping-administrator-snmp] test-enable


[Sysname-hwping-administrator-snmp] display hwping results administrator snmp

1-30

HWPing entry(admin administrator, tag snmp) test result:






Extend result:







[Sysname-hwping-administrator-snmp] display hwping history administrator snmp

HWPing entry(admin administrator, tag snmp) history record:


1 10 1 0 2000-04-03 08:57:20.0

2 10 1 0 2000-04-03 08:57:20.0

3 10 1 0 2000-04-03 08:57:20.0

4 10 1 0 2000-04-03 08:57:19.9

5 9 1 0 2000-04-03 08:57:19.9

6 11 1 0 2000-04-03 08:57:19.9

7 10 1 0 2000-04-03 08:57:19.9

8 10 1 0 2000-04-03 08:57:19.9

9 10 1 0 2000-04-03 08:57:19.8

10 10 1 0 2000-04-03 08:57:19.8


1.3.7 指定端口的 TCP 测试（Tcpprivate 测试）

1. 组网需求

HWPing客户端和HWPing服务器都使用H3C E152以太网交换机。在两台交换机之间使用HWPing TCP Private 测试本端（SwitchA）和指定的目的端（SwitchB）之间建立 TCP 连接的时间，使用的

端口号设置为 8000。

2. 组网图

图1-8 Tcpprivate 测试组网图

3. 配置步骤



1-31



[Sysname] hwping-server tcpconnect 10.2.2.2 8000





# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 tcpprivate。

[Sysname] hwping administrator tcpprivate

# 配置测试的类型为 tcpprivate。

[Sysname-hwping-administrator-tcpprivate] test-type tcpprivate


[Sysname-hwping-administrator-tcpprivate] destination-ip 10.2.2.2


[Sysname-hwping-administrator-tcpprivate] destination-port 8000


[Sysname-hwping-administrator-tcpprivate] count 10


[Sysname-hwping-administrator-tcpprivate] timeout 5


[Sysname-hwping-administrator-tcpprivate] test-enable


[Sysname-hwping-administrator-tcpprivate] display hwping results administrator tcpprivate

HWPing entry(admin administrator, tag tcpprivate) test result:






Extend result:







[Sysname-hwping-administrator-tcpprivate] display hwping history administrator tcpprivate

HWPing entry(admin administrator, tag tcpprivate) history record:


1 4 1 0 2000-04-02 08:26:02.9

2 5 1 0 2000-04-02 08:26:02.8

3 4 1 0 2000-04-02 08:26:02.8

1-32

4 5 1 0 2000-04-02 08:26:02.7

5 4 1 0 2000-04-02 08:26:02.7

6 5 1 0 2000-04-02 08:26:02.6

7 6 1 0 2000-04-02 08:26:02.6

8 7 1 0 2000-04-02 08:26:02.5

9 5 1 0 2000-04-02 08:26:02.5

10 7 1 0 2000-04-02 08:26:02.4


1.3.8 指定端口的 UDP 测试（Udpprivate 测试）

1. 组网需求

HWPing 客户端和 HWPing 服务器都使用 H3C E152 以太网交换机。在两台交换机之间进行指定端

口的 HWPing UDP 测试,测试本端(HWPing 客户端)和指定的目的端（HWPing 服务器端）之间 UDP协议报文的往返时间，使用的端口号设置为 8000。

2. 组网图

图1-9 Udpprivate 测试组网图

3. 配置步骤





[Sysname] hwping-server udpecho 10.2.2.2 8000





# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 udpprivate。

[Sysname] hwping administrator udpprivate

# 配置测试的类型为 udpprivate。

[Sysname-hwping-administrator-udpprivate] test-type udpprivate


[Sysname-hwping-administrator-udpprivate] destination-ip 10.2.2.2


[Sysname-hwping-administrator-udpprivate] destination-port 8000


1-33

[Sysname-hwping-administrator-udpprivate] count 10


[Sysname-hwping-administrator-udpprivate] timeout 5


[Sysname-hwping-administrator-udpprivate] test-enable


[Sysname-hwping-administrator-udpprivate] display hwping results administrator udpprivate

HWPing entry(admin administrator, tag udpprivate) test result:






Extend result:







[Sysname-hwping-administrator-udpprivate] display hwping history administrator udpprivate

HWPing entry(admin administrator, tag udpprivate) history record:


1 11 1 0 2000-04-02 08:29:45.5

2 12 1 0 2000-04-02 08:29:45.4

3 11 1 0 2000-04-02 08:29:45.4

4 11 1 0 2000-04-02 08:29:45.4

5 11 1 0 2000-04-02 08:29:45.4

6 11 1 0 2000-04-02 08:29:45.4

7 10 1 0 2000-04-02 08:29:45.3

8 10 1 0 2000-04-02 08:29:45.3

9 10 1 0 2000-04-02 08:29:45.3

10 11 1 0 2000-04-02 08:29:45.3


1.3.9 DNS 测试

1. 组网需求

H3C E152 以太网交换机作为 HWPing 客户端，PC 作为 DNS 服务器。在交换机和 DNS 服务器之

间进行 HWPing DNS 测试，测试从客户端发送一个 DNS 请求域名解析报文到收到 DNS 服务器域

名解析结果的时间。

1-34

2. 组网图

图1-10 DNS 测试组网图

3. 配置步骤

配置 DNS Server：

DNS 服务器使用 Windows 2003 Server，关于 DNS 服务器的配置请参见 Windows 2003 Server 的相关配置指导书。

配置 HWPing Client(Switch)：




# 创建一个 HWPing 测试组。指定的管理员名字为 administrator，测试操作标签为 dns。

[Sysname] hwping administrator dns

# 配置测试的类型为 dns。

[Sysname-hwping-administrator-dns] test-type dns

# 配置 dns 服务器为 10.2.2.2。

[Sysname-hwping-administrator-dns] dns-server 10.2.2.2

# 配置 dns 测试要解析的域名为 www.test.com

[Sysname-hwping-administrator-dns] dns resolve-target www.test.com


[Sysname-hwping-administrator-dns] count 10


[Sysname-hwping-administrator-dns] timeout 5


[Sysname-hwping-administrator-dns] test-enable


[Sysname-hwping-administrator-dns] display hwping results administrator dns

HWPing entry(admin administrator, tag dns) test result:






Extend result:


1-35






Dns result:

DNS Resolve Current Time: 10 DNS Resolve Min Time: 6

DNS Resolve Times: 10 DNS Resolve Max Time: 10

DNS Resolve Timeout Times: 0 DNS Resolve Failed Times: 0

[Sysname-hwping-administrator-dns] display hwping history administrator dns

HWPing entry(admin administrator, tag dns) history record:


1 10 1 0 2006-11-28 11:50:40.9

2 10 1 0 2006-11-28 11:50:40.9

3 10 1 0 2006-11-28 11:50:40.9

4 7 1 0 2006-11-28 11:50:40.9

5 8 1 0 2006-11-28 11:50:40.9

6 6 1 0 2006-11-28 11:50:40.9

7 8 1 0 2006-11-28 11:50:40.9

8 9 1 0 2006-11-28 11:50:40.9

9 9 1 0 2006-11-28 11:50:40.9

10 9 1 0 2006-11-28 11:50:40.9


i

目录

1 IPv6 基础配置 .................................................................................................................................... 1-1

1.1 IPv6 简介 ........................................................................................................................................... 1-1

1.1.1 IPv6 协议特点 .........................................................................................................................1-1 1.1.2 IPv6 地址介绍 .........................................................................................................................1-2 1.1.3 IPv6 邻居发现协议介绍...........................................................................................................1-5 1.1.4 IPv6 DNS简介.........................................................................................................................1-7 1.1.5 IPv6 协议规范 .........................................................................................................................1-7

1.2 IPv6 配置 ........................................................................................................................................... 1-7

1.2.1 配置IPv6 单播地址 ..................................................................................................................1-8 1.2.2 配置IPv6 邻居发现协议...........................................................................................................1-9 1.2.3 配置IPv6 静态路由 ................................................................................................................1-11 1.2.4 配置TCP6 ............................................................................................................................. 1-11 1.2.5 配置指定时间内发送ICMPv6 差错报文的大个数............................................................... 1-11 1.2.6 配置设备发送的ICMPv6 回送应答报文的跳数限制............................................................... 1-12 1.2.7 配置IPv6 DNS.......................................................................................................................1-12 1.2.8 IPv6 显示与维护....................................................................................................................1-13

1.3 IPv6 配置举例.................................................................................................................................. 1-15

1.3.1 IPv6 单播地址配置 ................................................................................................................1-15

2 IPv6 应用配置 .................................................................................................................................... 2-1

2.1 IPv6 应用简介.................................................................................................................................... 2-1

2.2 IPv6 应用配置.................................................................................................................................... 2-1

2.2.1 IPv6 的ping操作 ......................................................................................................................2-1 2.2.2 IPv6 的Traceroute操作 ...........................................................................................................2-1 2.2.3 IPv6 的TFTP操作....................................................................................................................2-2 2.2.4 IPv6 的Telnet操作...................................................................................................................2-3

2.3 IPv6 应用配置举例.............................................................................................................................2-4

2.3.1 IPv6 应用的典型配置 ..............................................................................................................2-4

2.4 IPv6 应用故障诊断与排除..................................................................................................................2-5

2.4.1 无法Ping通远端的目的地址 .................................................................................................... 2-5 2.4.2 无法实现Traceroute................................................................................................................ 2-6 2.4.3 无法实现TFTP ........................................................................................................................2-6 2.4.4 无法实现Telnet .......................................................................................................................2-6

1-1

1 IPv6 基础配置

在以下介绍中出现的路由器及路由器图标，代表了一般意义下的路由器以及运行了路由协议的三

层交换机。为提高可读性，在手册的描述中将不另行说明。 H3C E152 以太网交换机只支持 IPv6 管理功能，不支持 IPv6 路由转发及其相关功能。

1.1 IPv6 简介

IPv6（Internet Protocol Version 6，因特网协议版本 6）是网络层协议的第二代标准协议，也被称

为 IPng（IP Next Generation，下一代因特网），它是 IETF（Internet Engineering Task Force，因特网工程任务组）设计的一套规范，是 IPv4 的升级版本。IPv6 和 IPv4 之间显著的区别为：IP地址的长度从 32 比特增加到 128 比特。

1.1.1 IPv6 协议特点

1. 简化的报文头格式

通过将IPv4 报文头中的某些字段裁减或移入到扩展报文头，减小了IPv6 基本报文头的长度。IPv6使用固定长度的报文头，从而简化了转发设备对IPv6 报文的处理，提高了转发效率。尽管IPv6 地

址长度是IPv4 地址长度的四倍，但IPv6 基本报文头的长度只有 40 字节，为IPv4 报文头长度（不包

括选项字段）的两倍。具体的报文头格式比较，请参见图 1-1。

图1-1 IPv4 报文头和 IPv6 基本报文头格式比较

2. 充足的地址空间

IPv6 的源地址与目的地址长度都是 128 比特（16 字节）。它可以提供超过 3.4×1038种可能的地址

空间，完全可以满足多层次的地址划分需要，以及公有网络和机构内部私有网络的地址分配。

1-2

3. 层次化的地址结构

IPv6 的地址空间采用了层次化的地址结构，有利于路由快速查找，同时可以借助路由聚合，有效减

少 IPv6 路由表占用的系统资源。

4. 地址自动配置

为了简化主机配置，IPv6 支持有状态地址配置和无状态地址配置：

有状态地址配置是指从服务器（如 DHCP 服务器）获取 IPv6 地址及相关信息；

无状态地址配置是指主机根据自己的链路层地址及路由器发布的前缀信息自动配置 IPv6 地址

及相关信息。

同时，主机也可根据自己的链路层地址及默认前缀（FE80::/64）自动生成链路本地地址，实现与本

链路上其他主机的通信。

5. 内置安全性

IPv6 将 IPSec 作为它的标准扩展头，可以提供端到端的安全特性。这一特性也为解决网络安全问题

提供了标准，并提高了不同 IPv6 应用之间的互操作性。

6. 支持 QoS

IPv6 报文头的流标签（Flow Label）字段实现流量的标识，允许设备对某一流中的报文进行识别并

提供特殊处理。

7. 增强的邻居发现机制

IPv6 的邻居发现协议是通过一组 ICMPv6（Internet Control Message Protocol for IPv6，IPv6 的因

特网控制报文协议）消息来实现的。它代替了 ARP（Address Resolution Protocol，地址解析协议）、

ICMPv4 路由器发现和 ICMPv4 重定向消息，管理着邻居节点间（即同一链路上的节点）信息的交

互，并提供了一系列其他功能。

8. 灵活的扩展报文头

IPv6 取消了 IPv4 报文头中的选项字段，并引入了多种扩展报文头，在提高处理效率的同时还大大

增强了 IPv6 的灵活性，为 IP 协议提供了良好的扩展能力。IPv4 报文头中的选项字段多只有 40字节，而 IPv6 扩展报文头的大小只受到 IPv6 报文大小的限制。

1.1.2 IPv6 地址介绍

1. IPv6 地址表示方式

IPv6 地址被表示为以冒号（:）分隔的一串 16 比特的十六进制数。每个 IPv6 地址被分为 8 组，每

组的 16 比特用 4 个十六进制数来表示，组和组之间用冒号隔开，比如：

2001:0000:130F:0000:0000:09C0:876A:130B。

为了简化 IPv6 地址的表示，对于 IPv6 地址中的“0”可以有下面的处理方式：

每组中的前导“0”可以省略，即上述地址可写为 2001:0:130F:0:0:9C0:876A:130B。

如果地址中包含连续两个或多个均为 0 的组，则可以用双冒号“::”来代替，即上述地址可写

为 2001:0:130F::9C0:876A:130B。

1-3

在一个 IPv6 地址中只能使用一次双冒号“::”，否则当设备将“::”解析为 0 以恢复 128 位地址时，

将无法确定“::”所代表的 0 的个数。

IPv6 地址由两部分组成：地址前缀与接口标识。其中，地址前缀相当于 IPv4 地址中的网络号码部

分，接口标识相当于 IPv4 地址中的主机号码部分。

地址前缀的表示方式为：IPv6 地址/前缀长度。其中，IPv6 地址是前面所列出的任一形式，而前缀

长度是一个十进制数，表示 IPv6 地址左起多少位为地址前缀。

2. IPv6 的地址分类

IPv6 主要有三种类型的地址：单播地址、组播地址和任播地址。

单播地址：用来唯一标识一个接口，类似于 IPv4 的单播地址。发送到单播地址的数据报文将

被传送给此地址所标识的接口。

组播地址：用来标识一组接口（通常这组接口属于不同的节点），类似于 IPv4 的组播地址。

发送到组播地址的数据报文被传送给此地址所标识的所有接口。

任播地址：用来标识一组接口（通常这组接口属于不同的节点）。发送到任播地址的数据报

文被传送给此地址所标识的一组接口中距离源节点近（根据使用的路由协议进行度量）的

一个接口。

IPv6 中没有广播地址，广播地址的功能通过组播地址来实现。

IPv6 地址类型是由格式前缀来指定的，主要地址类型与格式前缀的对应关系如表 1-1所示。

表1-1 地址类型与格式前缀的对应关系

地址类型格式前缀（二进制） IPv6 前缀标识

未指定地址 00...0 (128 bits) ::/128

环回地址 00...1 (128 bits) ::1/128

链路本地地址 1111111010 FE80::/10

站点本地地址 1111111011 FEC0::/10

单播地址

全球单播地址其他形式 -

组播地址 11111111 FF00::/8

任播地址从单播地址空间中进行分配，使用单播地址的格式

3. 单播地址的类型

IPv6 单播地址的类型可有多种，包括全球单播地址、链路本地地址和站点本地地址等。

全球单播地址等同于 IPv4 公网地址，提供给网络服务提供商。这种地址类型允许路由前缀的

聚合，从而限制了全球路由表项的数量。

1-4

链路本地地址用于邻居发现协议，也用于无状态自动配置中本地链路上节点之间的通信。使

用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上。

站点本地地址与 IPv4 中的私有地址类似。使用站点本地地址作为源或目的地址的数据报文不

会被转发到本站点（相当于一个私有网络）外的其它站点。

环回地址：单播地址 0:0:0:0:0:0:0:1（简化表示为::1）称为环回地址，不能分配给任何物理接

口。它的作用与在 IPv4 中的环回地址相同，即节点用来给自己发送 IPv6 报文。

未指定地址：地址::称为未指定地址，不能分配给任何节点。在节点获得有效的 IPv6 地址之

前，可在发送的 IPv6 报文的源地址字段填入该地址，但不能作为 IPv6 报文中的目的地址。

4. 组播地址

表 1-2所示的组播地址，是预留的特殊用途的组播地址。

表1-2 预留的 IPv6 组播地址列表

地址应用

FF01::1 节点本地范围所有节点组播地址

FF02::1 链路本地范围所有节点组播地址

FF01::2 节点本地范围所有路由器组播地址

FF02::2 链路本地范围所有路由器组播地址

FF05::2 站点本地范围所有路由器组播地址

另外，还有一类组播地址：被请求节点（Solicited-Node）地址。该地址主要用于获取同一链路上

邻居节点的链路层地址及实现重复地址检测。每一个单播或任播 IPv6 地址都有一个对应的被请求

节点地址。其格式为：

FF02:0:0:0:0:1:FFXX:XXXX

其中，FF02:0:0:0:0:1:FF 为 104 位固定格式；XX:XXXX 为单播或任播 IPv6 地址的后 24 位。

5. IEEE EUI-64 格式的接口标识符

IPv6 单播地址中的接口标识符用来标识链路上的一个唯一的接口。目前 IPv6 单播地址基本上都要

求接口标识符为 64 位。IEEE EUI-64 格式的接口标识符是从接口的链路层地址（MAC 地址）变化

而来的。IPv6 地址中的接口标识符是 64 位，而 MAC 地址是 48 位，因此需要在 MAC 地址的中间

位置（从高位开始的第 24 位后）插入十六进制数 FFFE（1111111111111110）。为了确保这个从

MAC 地址得到的接口标识符是唯一的，还要将 Universal/Local (U/L)位（从高位开始的第 7 位）设

置为“1”。后得到的这组数就作为 EUI-64 格式的接口标识符。

1-5

图1-2 MAC 地址到 EUI-64 格式的接口标识符的转换过程

1.1.3 IPv6 邻居发现协议介绍

IPv6 邻居发现协议使用五种类型的 ICMPv6 消息，实现下面一些功能：地址解析、验证邻居是否可

达、重复地址检测、路由器发现/前缀发现、地址自动配置、重定向等功能。

邻居发现协议使用的ICMPv6 消息的类型及作用如表 1-3所示。

表1-3 邻居发现协议使用的 ICMPv6 消息类型及作用

ICMPv6 消息作用

获取邻居的链路层地址

验证邻居是否可达邻居请求消息 NS（Neighbor Solicitation）

进行重复地址检测

对 NS 消息进行响应

邻居通告消息 NA（Neighbor Advertisement）节点在链路层地址变化时主动发送 NA 消息，向邻居节点通告本

节点的变化信息

路由器请求消息 RS（Router Solicitation）主机启动后，通过 RS 消息向路由器发出请求，请求前缀和其他

配置信息，用于主机的自动配置

对 RS 消息进行响应

路由器通告消息 RA（Router Advertisement）在没有抑制 RA 消息发布的条件下，路由器会周期性地发布 RA消息，其中包括前缀和一些标志位的信息

重定向消息（Redirect）当满足一定的条件时，缺省网关通过向源主机发送重定向消息，

使主机重新选择正确的下一跳地址进行后续报文的发送

H3C E152 以太网交换机不支持 RS、RA 和 Redirect 消息。 H3C E152 以太网交换机只支持 IPv6 邻居发现协议实现功能中的三种：地址解析、验证邻居是否

可达和重复地址检测，因此本章只具体介绍这三种功能及其相关配置。

邻居发现协议提供的主要功能如下：

1-6

1. 地址解析

获取同一链路上邻居节点的链路层地址（与IPv4 的ARP功能相同），通过邻居请求消息NS和邻居

通告消息NA实现。如图 1-3所示，节点A要获取节点B的链路层地址。

图1-3 地址解析示意图

(1) 节点 A 以组播方式发送 NS 消息。NS 消息的源地址是节点 A 的接口 IPv6 地址，目的地址是

节点 B 的被请求节点组播地址，且消息中包含了节点 A 的链路层地址。

(2) 节点 B 收到 NS 消息后，判断报文的目的地址是否为自己的 IPv6 地址对应的被请求节点组播

地址。如果是，则 B 可以学习到 A 的链路层地址，并以单播方式返回 NA 消息，其中包含了

自己的链路层地址。

(3) 节点 A 从收到的 NA 消息中就可获取到节点 B 的链路层地址。之后双方即可通信。

2. 验证邻居是否可达

在获取到邻居节点的链路层地址后，通过邻居请求消息 NS 和邻居通告消息 NA 可以验证邻居节点

是否可达。

(1) 节点发送 NS 消息，其中目的地址是邻居节点的 IPv6 地址。

(2) 如果收到邻居节点的确认报文，则认为邻居可达；否则，认为邻居不可达。

3. 重复地址检测

当节点获取到一个IPv6 地址后，需要使用重复地址检测功能确定该地址是否已被其他节点使用（与

IPv4 的免费ARP功能相似）。通过邻居请求消息NS和邻居通告消息NA实现，如图 1-4所示。

图1-4 重复地址检测示意图

(1) 节点 A 发送 NS 消息，NS 消息的源地址是未指定地址::，目的地址是待检测的 IPv6 地址对应

的被请求节点组播地址，消息内容中包含了待检测的 IPv6 地址。

(2) 如果节点 B 已经使用这个 IPv6 地址，则会返回 NA 消息。其中包含了自己的 IPv6 地址。

1-7

(3) 节点 A 收到节点 B 发来的 NA 消息，就知道该 IPv6 地址已被使用。反之，则说明该地址未被

使用，节点 A 就可使用此 IPv6 地址。

1.1.4 IPv6 DNS 简介

在 IPv6 网络中，通过支持 IPv6 的 DNS（Domain Name System，域名系统）实现域名与 IPv6 地

址的转换。IPv6 DNS 与 IPv4 DNS 的区别只是将域名转换为 IPv6 地址，而非 IPv4 地址。

IPv6 DNS 与 IPv4 DNS 相同，也分为静态域名解析和动态域名解析。两种域名解析的作用和实现

方式也与 IPv4 DNS 一样。具体描述请参见本手册“域名解析”相关部分的介绍。

通常，连接 IPv4 和 IPv6 网络的 DNS 服务器中既包含 A 记录（IPv4 地址）也包含 AAAA 记录（IPv6地址），可以进行域名与 IPv4 地址的转换，也可以进行域名与 IPv6 地址的转换。此时，DNS 服务

器兼具 IPv6 DNS 和 IPv4 DNS 的功能。

1.1.5 IPv6 协议规范

与 IPv6 基础相关的协议规范有：

RFC 1881：IPv6 Address Allocation Management

RFC 1887：An Architecture for IPv6 Unicast Address Allocation

RFC 1981：Path MTU Discovery for IP version 6

RFC 2375：IPv6 Multicast Address Assignments

RFC 2460：Internet Protocol, Version 6 (IPv6) Specification.

RFC 2461：Neighbor Discovery for IP Version 6 (IPv6)

RFC 2462：IPv6 Stateless Address Autoconfiguration

RFC 2463：Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6

(IPv6) Specification

RFC 2464：Transmission of IPv6 Packets over Ethernet Networks

RFC 2526：Reserved IPv6 Subnet Anycast Addresses

RFC 3307：Allocation Guidelines for IPv6 Multicast Addresses

RFC 3513：Internet Protocol Version 6 (IPv6) Addressing Architecture

RFC 3596：DNS Extensions to Support IP Version 6

1.2 IPv6 配置

表1-4 IPv6 配置任务简介


配置 IPv6 单播地址必选 1.2.1

配置 IPv6 邻居发现协议可选 1.2.2

配置 IPv6 静态路由可选 1.2.3

配置 TCP6 可选 1.2.4

配置指定时间内发送 ICMPv6 差错报文的大个数可选 1.2.5

配置设备发送的 ICMPv6 回送应答报文的跳数限制可选 1.2.6

配置 IPv6 DNS 可选 1.2.7

1-8


IPv6 显示与维护可选 1.2.8

1.2.1 配置 IPv6 单播地址

当需要访问 IPv6 网络时，必须配置 IPv6 地址。全球单播地址、站点本地地址、链路本地地址

三者必选其一。

当需要访问使用 IPv6 的公网时，必须配置 IPv6 全球单播地址。

IPv6 站点本地地址和全球单播地址可以通过下面两种方式配置：

采用 EUI-64 格式形成：当配置采用 EUI-64 格式形成 IPv6 地址时，接口的 IPv6 地址的前缀

是所配置的前缀，而接口标识符则由接口的链路层地址转化而来；

手工配置：用户手工配置 IPv6 站点本地地址或全球单播地址。

IPv6 的链路本地地址可以通过两种方式获得：

自动生成：设备根据链路本地地址前缀（FE80::/64）及接口的链路层地址，自动为接口生成

链路本地地址；

手动指定：用户手工配置 IPv6 链路本地地址。

表1-5 配置 IPv6 单播地址

操作命令说明


进入 VLAN 接口视图 interface interface-type interface-number -

手工指定 IPv6地址

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } 配置 IPv6 全球单

播地址或站点本

地地址采用 EUI-64 格

式形成 IPv6 地

址

ipv6 address ipv6-address/prefix-length eui-64

二者必选其一

缺省情况下，接口没有配置站点本

地地址和全球单播地址。需要注意

的是，eui-64 格式参数 prefix-length指定的前缀长度不能大于 64

配置自动生成链

路本地地址 ipv6 address auto link-local 配置 IPv6 链路本

地地址手工指定接口的

链路本地地址 ipv6 address ipv6-address link-local

可选

缺省情况下，当接口配置了 IPv6 站

点本地地址或全球单播地址后，同

时会自动生成链路本地地址

1-9

H3C E152 以太网交换机只能在一个 VLAN 接口上配置 IPv6 单播地址，且一个接口上全球单播

地址和站点本地地址可以配置的总数最多为 4 个。当接口配置了 IPv6 站点本地地址或全球单播地址后，同时会自动生成链路本地地址。且与采用

ipv6 address auto link-local 命令生成的链路本地地址相同。配置链路本地地址时，手工指定方式的优先级高于自动生成方式。即如果先采用自动生成方式，

之后手工指定，则手工指定的地址会覆盖自动生成的地址；如果先手工指定，之后采用自动生成

的方式，则自动配置不会立刻生效，在删除手工指定的地址后，则接口的链路本地地址将更改为

系统自动生成的地址。只有使用 ipv6 address auto link-local 命令后，才能使用 undo ipv6 address auto link-local命令。但如果此时已经配置了 IPv6 站点本地地址或全球单播地址，由于系统会自动生成链路本

地地址，所以接口仍有链路本地地址。如果此时没有配置 IPv6 站点本地地址或全球单播地址，

则接口没有链路本地地址。

1.2.2 配置 IPv6 邻居发现协议

1. 配置静态邻居表项

将邻居节点的 IPv6 地址解析为链路层地址，可以通过邻居请求消息 NS 及邻居通告消息 NA 来动态

实现，也可以通过命令配置静态邻居表项。静态邻居表项目前有两种配置方式：

配置 VLAN 接口、该接口的 IPv6 地址、该接口的链路层地址；

配置 VLAN 中的端口、该 VLAN 对应的 VLAN 接口的 IPv6 地址、该 VLAN 对应的 VLAN 接口

的链路层地址。

第二种配置方式需要保证 VLAN 所对应的 VLAN 接口已存在。在配置后，设备会将 VLAN 所对应的

VLAN 接口与 IPv6 地址相对应来唯一标识一个静态邻居表项。

表1-6 配置静态邻居表项

操作命令说明


配置静态邻居表项 ipv6 neighbor ipv6-address mac-address { vlan-id port-type port-number | interface interface-type interface-number }

必选

2. 配置接口上允许动态学习的邻居的最大个数

设备可以通过 NS 消息和 NA 消息来动态获取邻居节点的链路层地址，并将其加入到邻居表中。如

果动态获取的邻居数量过多，将可能导致设备的转发性能下降。为此，可以通过设置接口上允许动

态学习的邻居的大个数来进行限制。当接口上动态学习的邻居个数达到所设置的大值时，该接

口将不再学习邻居信息。

表1-7 配置接口上允许动态学习的邻居的最大个数

操作命令说明



1-10

操作命令说明

配置接口上允许动态

学习的邻居的大个

数 ipv6 neighbors max-learning-num number

可选

缺省情况下，接口上允许动态学习的邻

居的大个数为 1024

3. 配置重复地址检测时发送邻居请求消息的次数

接口获得 IPv6 地址后，将发送邻居请求消息进行重复地址检测，如果在指定的时间内（通过 ipv6 nd ns retrans-timer 命令配置）没有收到响应，则继续发送邻居请求消息，当发送的次数达到所配置

的次数后，仍未收到响应，则认为该地址可用。

表1-8 配置重复地址检测时发送邻居请求消息的次数

操作命令说明



配置重复地址检测时发送邻

居请求消息的次数 ipv6 nd dad attempts value

可选

缺省情况下，重复地址检测时发送邻居

请求报文的次数为 1，当 value 取值为 0时，表示禁止重复地址检测

4. 设置发送 NS 消息的时间间隔

设备发送 NS 消息后，如果未在指定的时间间隔内收到响应，则会重新发送 NS 消息。

表1-9 配置发送 NS 消息的时间间隔

操作命令说明



设置发送 NS 消息的时间间隔 ipv6 nd ns retrans-timer value 可选

缺省情况下，接口发送 NS 消息的时

间间隔为 1000 毫秒

5. 配置接口保持邻居可达状态的时间

当通过邻居可达性检测确认邻居可达后，在所设置的可达时间内，设备认为邻居可达；超过设置的

时间后，如果需要向邻居发送报文，会重新确认邻居是否可达。

表1-10 配置接口保持邻居可达状态的时间

操作命令说明



1-11

操作命令说明

配置接口保持邻居可达状态的时

间 ipv6 nd nud reachable-time value

可选

缺省情况下，接口保持邻居可达状态

的时间为 30000 毫秒

1.2.3 配置 IPv6 静态路由

在小型 IPv6 网络中，可以通过配置 IPv6 静态路由达到网络互连的目的。

表1-11 配置 IPv6 静态路由

操作命令说明


配置 IPv6 静态路由 ipv6 route-static ipv6-address prefix-length [ interface-type interface-number ] nexthop-address

必选

缺省情况下，未配置 IPv6 静态路

由

1.2.4 配置 TCP6

可以配置的 TCP6 属性包括：

synwait 定时器：当发送 SYN 报文时，TCP6 启动 synwait 定时器，如果 synwait 定时器超时

前未收到回应报文，则 TCP6 连接建立不成功。

finwait 定时器：当 TCP6 的连接状态为 FIN_WAIT_2 时，启动 finwait 定时器，如果在定时器

超时前没有收到报文，则 TCP6 连接终止；如果收到 FIN 报文，则 TCP6 连接状态变为

TIME_WAIT 状态；如果收到非 FIN 报文，则从收到的后一个非 FIN 报文开始重新计时，在

超时后中止连接。

TCP6 的接收和发送缓冲区的大小。

表1-12 配置 TCP6

操作命令说明


配置 TCP6 的 finwait 定时器 tcp ipv6 timer fin-timeout wait-time 可选

缺省情况下，finwait 定时器的值

为 675 秒

配置 TCP6 的 synwait 定时器 tcp ipv6 timer syn-timeout wait-time可选

缺省情况下，synwait 定时器的值

75 秒

配置 TCP6 的接收和发送缓冲区大

小 tcp ipv6 window size

可选

缺省情况下，TCP6 的接收和发

送缓冲区大小为 8KB

1.2.5 配置指定时间内发送 ICMPv6 差错报文的最大个数

如果网络中短时间内发送的 ICMPv6 差错报文过多，将可能导致网络拥塞。为了避免这种情况，用

户可以控制设备在指定时间内发送 ICMPv6 差错报文的大个数，目前采用令牌桶算法来实现。

1-12

用户可以设置令牌桶的容量，即令牌桶中可以容纳的令牌数；同时可以设置令牌桶的刷新周期，即

每隔多长时间将令牌桶内的令牌个数刷新为所配置的容量。一个令牌表示允许发送一个 ICMPv6 差

错报文，每当发送一个 ICMPv6 差错报文，则令牌桶中减少一个令牌。如果连续发送的 ICMPv6 差

错报文超过了令牌桶的容量，则后续的 ICMPv6 差错报文将不能被发送出去，直到按照所设置的刷

新频率将新的令牌放入令牌桶中。

表1-13 配置指定时间内发送 ICMPv6 差错报文的最大个数

操作命令说明


配置指定时间内发送 ICMPv6 差

错报文的大个数 ipv6 icmp-error { bucket bucket-size | ratelimit interval }*

可选

缺省情况下，令牌桶容量为 10，令

牌桶的刷新周期为 100 毫秒，即每一

个刷新周期内多可以发送 10 个

ICMPv6 差错报文

1.2.6 配置设备发送的 ICMPv6 回送应答报文的跳数限制

设备在发送 ICMPv6 回送应答报文时，将使用该参数值填充 ICMPv6 回送应答报文头中的 Hop Limit字段。

表1-14 配置设备发送的 ICMPv6 回送应答报文的跳数限制

操作命令说明


配置设备发送的 ICMPv6回送应

答报文的跳数限制 ipv6 nd hop-limit value

可选

缺省情况下，设备发送的 ICMPv6 回

送应答报文的跳数限制为 64

1.2.7 配置 IPv6 DNS

1. 配置静态 IPv6 DNS

配置静态 IPv6 DNS 就是配置将主机名与 IPv6 地址相对应。当使用 Telnet 等应用时，可以直接使

用主机名，由系统解析为 IPv6 地址。每个主机名只能对应 1 个 IPv6 地址，新配置的 IPv6 地址

会覆盖之前的配置。

表1-15 配置静态 IPv6 DNS

操作命令说明


配置静态 IPv6 DNS ipv6 host hostname ipv6-address 必选

2. 配置动态 IPv6 DNS

如果用户需要使用动态域名解析功能，可以使用下面的命令开启动态域名解析功能，并配置域名服

务器，这样才能将查询请求报文发送到正确的服务器进行解析。系统多支持 6 个 DNS 服务器。

用户还可以配置域名后缀，以便实现只输入域名的部分字段，而由系统自动加上预先设置的后缀进

行解析。系统多支持 10 个域名后缀。

1-13

表1-16 配置动态 IPv6 DNS

操作命令说明


开启动态域名解析功能 dns resolve 必选

缺省情况下，动态域名解析功能处于关

闭状态

配置 IPv6 的 DNS 服务器 dns server ipv6 ipv6-address [ interface-type interface-number ]

必选

当DNS服务器的 IPv6地址为链路本地

地址时，需要指定参数 interface-type和 interface-number

配置域名后缀 dns domain domain-name 必选

缺省情况下，没有配置域名后缀，即只

根据用户输入的域名信息进行解析

dns resolve 和 dns domain 命令与 IPv4 DNS 的命令相同，详细信息请参见本手册“域名解析”

相关部分的介绍。

1.2.8 IPv6 显示与维护

完成上述配置后，在任意视图下执行 display 命令，可以显示配置 IPv6 后的运行情况。通过查看显


在用户视图下，执行 reset 命令可以清除相应的统计信息。

1-14

表1-17 IPv6 显示与维护

操作命令说明

显示 DNS 域名后缀信息 display dns domain [ dynamic ]

显示 IPv6 动态域名缓存信息 display dns ipv6 dynamic-host

显示 DNS 服务器的信息 display dns server [ dynamic ]

显示 FIB 转发信息表项 display ipv6 fib

显示主机名与 IPv6 地址的对

应关系 display ipv6 host

显示接口的 IPv6 信息 display ipv6 interface [ interface-type interface-number | brief ]

显示邻居信息

display ipv6 neighbors { ipv6-address | all | dynamic | static | interface interface-type interface-number | vlan vlan-id } [ | { begin | exclude | include } regular-expression ]

显示符合指定条件的邻居表

项的总个数

display ipv6 neighbors { all | dynamic | static | interface interface-type interface-number | vlan vlan-id } count

显示路由表信息 display ipv6 route-table [ verbose ]

显示指定套接字的相关信息 display ipv6 socket [ socktype socket-type ] [ task-id socket-id ]

显示 IPv6 报文及 ICMPv6 报

文的统计信息 display ipv6 statistics

显示 TCP6 连接的统计信息 display tcp ipv6 statistics

查看 TCP6 连接的状态信息 display tcp ipv6 status

显示 UDP6 的统计信息 display udp ipv6 statistics


意视图下执行

清除 IPv6 动态域名缓存信息 reset dns ipv6 dynamic-host

清除 IPv6 邻居信息 reset ipv6 neighbors { all | dynamic | interface interface-type interface-number | static }

清除 IPv6 报文统计信息 reset ipv6 statistics

清除所有 TCP6 连接的统计

信息 reset tcp ipv6 statistics

清除所有 UDP6 统计信息 reset udp ipv6 statistics

reset 命令在用户视图

下执行

display dns domain 和 display dns server 命令与 IPv4 DNS 的命令相同，详细信息请参见本手

册“域名解析”相关部分的介绍。

1-15

1.3 IPv6 配置举例

1.3.1 IPv6 单播地址配置

1. 组网需求

两台交换机通过以太网端口直接相连，以太网端口属于 VLAN2。分别在两台交换机上给 VLAN 接

口 2 配置不同类型的 IPv6 地址，验证它们之间的互通性。其中 EUI-64 前缀为 2001::/64，SwitchA的全球单播网络地址为 3001::1/64，SwitchB 的全球单播网络地址为 3001::2/64。

2. 组网图

图1-5 IPv6 地址配置组网图

Switch A Switch B

Vlan-int 2

Vlan-int 2

3. 配置步骤

(1) 配置 SwitchA

# 配置 VLAN 接口 2 的自动链路本地地址。



[SwitchA-Vlan-interface2] ipv6 address auto link-local

# 配置 VLAN 接口 2 的 EUI-64 地址。

[SwitchA-Vlan-interface2] ipv6 address 2001::/64 eui-64

# 配置 VLAN 接口 2 的全球单播地址。

[SwitchA-Vlan-interface2] ipv6 address 3001::1/64

(2) 配置 SwitchB

# 配置 VLAN 接口 2 的自动链路本地地址。


[SwitchB] interface Vlan-interface 2

[SwitchB-Vlan-interface2] ipv6 address auto link-local

# 配置 VLAN 接口 2 的 EUI-64 地址。

[SwitchB-Vlan-interface2] ipv6 address 2001::/64 eui-64

# 配置 VLAN 接口 2 的全球单播地址。

[SwitchB-Vlan-interface2] ipv6 address 3001::2/64

4. 验证配置结果

# 显示 SwitchA 的接口信息。

[SwitchA-Vlan-interface2] display ipv6 interface Vlan-interface 2

Vlan-interface2 current state : UP

Line protocol current state : UP

IPv6 is enabled, link-local address is FE80::20F:E2FF:FE49:8048

1-16

Global unicast address(es):

2001::20F:E2FF:FE49:8048, subnet is 2001::/64

3001::1, subnet is 3001::/64

Joined group address(es):

FF02::1:FF00:1

FF02::1:FF49:8048

FF02::1

MTU is 1500 bytes

ND DAD is enabled, number of DAD attempts: 1

ND reachable time is 30000 milliseconds

ND retransmit interval is 1000 milliseconds

Hosts use stateless autoconfig for addresses

# 显示 SwitchB 的接口信息。

[SwitchB-Vlan-interface2] display ipv6 interface Vlan-interface 2

Vlan-interface2 current state : UP

Line protocol current state : UP

IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:1

Global unicast address(es):

2001::20F:E2FF:FE00:1, subnet is 2001::/64

3001::2, subnet is 3001::/64

Joined group address(es):

FF02::1:FF00:2

FF02::1:FF00:1

FF02::1

MTU is 1500 bytes

ND DAD is enabled, number of DAD attempts: 1

ND reachable time is 30000 milliseconds

ND retransmit interval is 1000 milliseconds

Hosts use stateless autoconfig for addresses

# 从 SwitchA 上分别 Ping SwitchB 的链路本地地址、EUI-64 格式的地址及全球单播地址。如果配

置正确，则三种类型的 IPv6 地址都可以 Ping 通。

使用ping ipv6 命令验证目的地址是否可达时，如果目的地址是链路本地地址，必须指定-i参数。关

于IPv6 的ping操作，请参见 2.2.1 。

[SwitchA-Vlan-interface2] ping ipv6 FE80::20F:E2FF:FE00:1 -i Vlan-interface 2

PING FE80::20F:E2FF:FE00:1 : 56 data bytes, press CTRL_C to break

Reply from FE80::20F:E2FF:FE00:1

bytes=56 Sequence=1 hop limit=255 time = 80 ms







1-17



--- FE80::20F:E2FF:FE00:1 ping statistics ---



0.00% packet loss


[SwitchA-Vlan-interface2] ping ipv6 2001::20F:E2FF:FE00:1

PING 2001::20F:E2FF:FE00:1 : 56 data bytes, press CTRL_C to break

Reply from 2001::20F:E2FF:FE00:1










--- 2001::20F:E2FF:FE00:1 ping statistics ---



0.00% packet loss


[SwitchA-Vlan-interface2] ping ipv6 3001::2

PING 3001::2 : 56 data bytes, press CTRL_C to break

Reply from 3001::2


Reply from 3001::2


Reply from 3001::2


Reply from 3001::2


Reply from 3001::2


--- 3001::2 ping statistics ---



0.00% packet loss


2-1

2 IPv6 应用配置

2.1 IPv6 应用简介

随着 IPv6 的发展，它支持的应用也越来越广泛。E152 以太网交换机支持的 IPv6 应用主要有：

Ping

Traceroute

TFTP

Telnet

2.2 IPv6 应用配置

2.2.1 IPv6 的 ping 操作

ping ipv6 命令是检验目的主机是否可达的首选测试方法，它首先向目的主机发送 ICMPv6 报文，

然后记录响应报文返回的时间。关于 ping 命令的详细介绍请参见本手册“系统维护与调试”相关

部分的介绍。

在执行 ping ipv6 命令过程中，键入<Ctrl+C>可终止 ping 操作。

表2-1 IPv6 的 ping 操作

操作命令说明

Ping IPv6 操作 ping ipv6 [ -a source-ipv6-address | -c count | -m interval | -s packet-size | -t timeout ]* remote-system [ -i interface-type interface-number ]

必选

ping ipv6 命令可以在任

意视图下执行

使用 ping ipv6 命令验证目的地址是否可达时，如果目的地址是链路本地地址，必须指定-i 参数。

2.2.2 IPv6 的 Traceroute 操作

Traceroute IPv6 操作用于记录 IPv6 报文从源端到目的端所经过的路径，从而检查网络连接是否可

用，并定位网络中故障的发生地点。

2-2

图2-1 Traceroute IPv6 操作过程

Device AHop Limit=1

Hop Limit exceeded

Hop Limit=2Hop Limit exceeded

Hop Limit=nUDP port unreachable

Device B Device C Device D

如图 2-1所示，Traceroute IPv6 的操作过程如下：

源端首先发送一个 Hop Limit 为 1 的 IPv6 数据报文。

收到该报文的第一跳设备判断 Hop Limit 为 1，则丢弃该报文，并返回一个 ICMPv6 超时错误

消息，这样源端就可以得到该路径中第一个设备的地址。

之后源端发送一个 Hop Limit 为 2的数据报文，同样第二跳设备也返回 ICMPv6超时错误消息，

这样就可以得到第二个设备的地址。

这个过程不断进行，直到该数据报文到达目的主机，因目的端没有应用程序使用该 UDP 端口，

目的端返回一个端口不可达的 ICMPv6 错误消息。

当源端收到这个端口不可达的 ICMPv6 错误消息后，就知道报文已经到达了目的端，从而得

到数据报文从源端到目的端所经过的路径。

表2-2 IPv6 的 Traceroute 操作

操作命令说明

Traceroute IPv6 操作 tracert ipv6 [-f first-hop-limit | -m max-hop-limit | -p port-number | -q packet-num | -w timeout ]* remote-system

必选

tracert ipv6 命令可以


2.2.3 IPv6 的 TFTP 操作

IPv6 支持 TFTP（Trivial File Transfer Protocol，简单文件传输协议）应用。设备作为客户端可以

从 TFTP 服务器下载文件，或向 TFTP 服务器上传文件。关于 TFTP 的详细介绍请参见本手册

“FTP-SFTP-TFTP”相关部分的介绍。

1. 配置准备

在 TFTP 服务器端启动 TFTP 服务，并指定待下载文件的路径或上传文件的存放路径。具体操作请

参见 TFTP 服务器端的配置说明。

2. TFTP IPv6 配置

可以使用下面的命令将 TFTP 服务器上的指定源文件下载到本地或将本地的指定源文件上传到

TFTP 服务器。

2-3

表2-3 通过 TFTP 下载/上传文件

操作命令说明

通过 TFTP 下载/上传文件

tftp ipv6 remote-system [ -i interface-type interface-number ] { get | put } source-filename [ destination-filename ]

必选

tftp ipv6 命令在用

户视图下执行

使用 tftp ipv6 命令连接 TFTP 服务器时，如果目的地址是链路本地地址，必须指定-i 参数。

2.2.4 IPv6 的 Telnet 操作

Telnet 协议属于 TCP/IP 协议族的应用层协议，可以提供远程登录和虚拟终端功能。设备可以作为

Telnet 客户端，也可以作为 Telnet 服务器。

如下图所示，Host 运行 IPv6 的 Telnet 客户端程序，与 Device A 建立 IPv6 Telnet 连接，此时 Device A 作为 Telnet 服务器端。如果 Device A 再通过 Telnet 连接到 Device B 上，则 Device A 作为 Telnet客户端，Device B 作为 Telnet 服务器端。

图2-2 提供 Telnet 服务

2. 配置准备

在 Telnet 服务器端启动 Telnet 服务，并配置 Telnet 用户的认证方式，具体操作请参见本手册“登

录交换机”相关部分的介绍。

表2-4 建立 IPv6 Telnet 连接

操作命令说明

在 Telnet客户端上执行 Telnet命令登

录到其他设备 telnet ipv6 remote-system [ -i interface-type interface-number ] [ port-number ]

必选

telnet ipv6 命令在用

户视图下执行

使用 telnet ipv6 命令登录 telnet 服务器时，如果目的地址是链路本地地址，必须指定-i 参数。

3. IPv6 Telnet 显示

完成上述配置后，在任意视图下执行 display 命令，可以显示使用 Telnet 方式登录的用户信息。通


2-4

表2-5 IPv6 Telnet 显示

操作命令说明

显示当前已登录的用户信息 display users [ all ] 可选

2.3 IPv6 应用配置举例

2.3.1 IPv6 应用的典型配置

1. 组网需求

如图 2-3所示，SWA、SWB和SWC分别代表三台交换机，其中SWA为E152 以太网交换机，SWB和SWC为支持IPv6 路由转发的设备。在同一局域网中连接有Telnet和TFTP服务器，分别为交换机

提供Telnet和TFTP服务。要求SWA可以通过Telnet方式登录Telnet_Server，并能够从TFTP_Server下载文件。

2. 组网图

图2-3 IPv6 应用组网图

3. 配置步骤

在进行下面的配置之前，需要在交换机和服务器的接口上配置 IPv6 地址，并保证交换机和服务器

之间的路由可达。

# 在 SWA 上 Ping SWB 的 IPv6 地址。

<SWA> ping ipv6 3003::1

PING 3003::1 : 64 data bytes, press CTRL_C to break

Reply from 3003::1


Reply from 3003::1


Reply from 3003::1


2-5

Reply from 3003::1


Reply from 3003::1


--- 3003::1 ping statistics ---



0.00% packet loss


# SWA 上配置到 SWC、Telnet Server 和 TFTP Server 的静态路由。

<SWA> system-view

[SWA] ipv6 route-static 3002:: 64 3003::1

[SWA] ipv6 route-static 3001:: 64 3003::1

[SWA] quit

# 跟踪 SWA 到 SWC 的 IPv6 路由。

<SWA> tracert ipv6 3002::1

traceroute to 3002::1 30 hops max,60 bytes packet,press CTRL_C to break

1 3003::1 30 ms 0 ms 0 ms

2 3002::1 10 ms 10 ms 0 ms

# SWA 从 TFTP 服务器 3001::3 上下载文件。

<SWA> tftp ipv6 3001::3 get filetoget flash:/filegothere

....

File will be transferred in binary mode

Downloading file from remote tftp server, please wait..... received: 4469 bytes in 1.243

seconds

File downloaded successfully.

# SWA 连接到 Telnet 服务器 3001::2。

<SWA> telnet ipv6 3001::2

Trying 3001::2...


Connected to 3001::2 ...

Telnet Server>

2.4 IPv6 应用故障诊断与排除

2.4.1 无法 Ping 通远端的目的地址

1. 故障现象

无法 Ping 通远端的目的地址，返回错误消息。

2. 故障排除

检查 IPv6 地址配置是否正确。

使用 display ipv6 interface 命令确认源地址和目的地址的接口是 up 状态，且源地址与目的

地址之间的链路层协议是处于 up 状态。

2-6

通过 display ipv6 route-table 命令查看到目的地址的路由是否可达。

通过 ping ipv6 -t timeout remote-system [ -i interface-type interface-number ]命令增大响应

超时时间，从而判断是否由于所设置的响应超时时间过小导致 Ping 不通的现象。

2.4.2 无法实现 Traceroute

1. 故障现象

进行 Traceroute 操作，跟踪不到路径信息。

2. 故障排除

检查是否可以 Ping 通目的主机。

如果可以 Ping 通，则查看 Traceroute 使用的 UDP 端口号在目的主机上是否有应用程序使用。

如果有应用程序使用，则在 tracert ipv6 命令中指定一个不可达的目的 UDP 端口号。

2.4.3 无法实现 TFTP

1. 故障现象

进行 TFTP 操作时，无法完成下载和上传文件操作。

2. 故障排除

确认设备和 TFTP 服务器之间路由可达。

确认设备的文件系统是否可用，可以通过在用户视图下执行 dir 命令来检查。

确认为 TFTP 服务器配置的 ACL 没有阻碍 TFTP 服务器的连接。

2.4.4 无法实现 Telnet

1. 故障现象

进行 Telnet 操作时，无法登录 Telnet 服务器。

2. 故障排除

确认设备的 Telnet 服务已经启动。

确认设备和 Telnet 客户端之间路由可达。

i

目录

1 域名解析配置 ..................................................................................................................................... 1-1

1.1 域名解析简介..................................................................................................................................... 1-1

1.1.1 静态域名解析 ..........................................................................................................................1-1 1.1.2 动态域名解析 ..........................................................................................................................1-1

1.2 配置域名解析..................................................................................................................................... 1-2

1.2.1 配置静态域名解析...................................................................................................................1-2 1.2.2 配置动态域名解析...................................................................................................................1-3

1.3 域名解析显示和维护..........................................................................................................................1-3

1.4 域名解析配置举例 .............................................................................................................................1-4

1.4.1 静态域名解析配置举例 ...........................................................................................................1-4 1.4.2 动态域名解析配置举例 ...........................................................................................................1-4

1.5 域名解析常见配置错误举例 ...............................................................................................................1-6

1-1

1 域名解析配置

本章节只涉及到 IPv4 DNS 的配置，有关 IPv6 DNS 的详细介绍请参见“IPv6 管理”。

1.1 域名解析简介

域名系统（DNS，Domain Name System）是一种用于 TCP/IP 应用程序的分布式数据库，提供域

名与 IP 地址之间的转换。通过域名系统，用户进行某些应用时，可以直接使用便于记忆的、有意义

的域名，由网络中的域名解析服务器解析为正确的 IP 地址。

域名解析分为静态域名解析和动态域名解析，二者可以配合使用。在解析域名时，首先采用静态域

名解析（查找静态域名解析表），如果静态域名解析不成功，再采用动态域名解析（查找动态域名

解析表）。由于动态域名解析可能会花费一定的时间，且需要域名服务器的配合，因而可以将一些

常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。

目前，E152 以太网交换机支持静态域名解析和动态域名解析的客户端功能。

1.1.1 静态域名解析

静态域名解析就是手工建立域名和 IP地址之间的对应关系。当用户使用域名进行某些应用（如 telnet应用）时，系统查找静态域名解析表，从中获取指定域名对应的 IP 地址。

1.1.2 动态域名解析

1. 解析过程

动态域名解析是通过对域名服务器的查询完成的。解析过程如下：

(1) 当用户使用域名进行某些应用时，用户程序首先向 DNS 客户端中的解析器发出请求。

(2) DNS 客户端收到请求后，首先查询本地的域名缓存，如果存在已解析成功的映射项，就将域

名对应的 IP 地址返回给用户程序。如果没有发现所要查找的映射项，就向域名服务器（DNS

Server）发送查询请求。

(3) 域名服务器首先从自己的数据库中查找域名对应的 IP 地址。如果判断该域名不属于本域范围，

就将请求交给上一级的域名解析服务器处理，直到完成解析，并将解析的结果返回给 DNS 客

户端。

(4) DNS 客户端收到域名服务器的响应报文后，根据解析到的 IP 地址进行下一步的操作。

1-2

图1-1 动态 DNS

请求

应答应答

请求

存入读取

DNS

DNS

用户程序、DNS客户端及域名服务器的关系如图 1-1所示，其中解析器和缓存构成DNS客户端。用

户程序、DNS客户端在同一台设备上，而DNS客户端和服务器一般分布在两台设备上。

动态域名解析支持缓存功能。每次动态解析成功的域名与 IP 地址的映射均存放在 DNS 客户端的动

态域名缓存区中，当下一次查询相同域名的时候，就可以直接从缓存区中读取，不用再向域名服务

器进行请求。缓存区中的映射在一段时间后被老化删除，以保证及时从域名服务器得到最新的内容。

该老化时间由域名服务器设置，DNS 客户端从协议报文中获得。

2. 域名后缀列表功能

动态域名解析支持域名后缀列表功能。用户可以预先设置一些域名后缀，在域名解析的时候，用户

只需要输入域名的部分字段，系统会自动将输入的域名加上不同的后缀进行解析（自动域名追加）。

举例说明，用户想查询域名 aabbcc.com，那么可以在后缀列表中配置 com，然后输入 aabbcc，系

统会自动将输入的域名与后缀连接成 aabbcc.com 进行查询。

使用域名后缀的时候，根据用户输入域名方式的不同，查询方式分成以下几种情况：

如果用户输入的域名中没有“.”，比如 aabbcc，系统认为这是一个主机名，会首先加上域名

后缀进行查询，如果所有域名都查询失败，将使用最初输入的域名（如 aabbcc）进行查询。

如果用户输入的域名有“.”，比如“www.aabbcc”或“aabbcc.”，表示不需要进行域名后

缀添加，系统直接用输入的域名进行查询，如果查询失败，再依次加上各个域名后缀进行查

询。

1.2 配置域名解析

1.2.1 配置静态域名解析

表1-1 配置静态域名解析

操作命令说明


配置主机名和对应 IP 地

址 ip host hostname ip-address 必选

缺省情况下，主机名没有对应的 IP 地址

1-3

每个主机名只能对应一个 IP 地址，当对同一主机名进行多次配置时，最后配置的 IP 地址有效。最多可配置 50 条静态域名解析信息。

1.2.2 配置动态域名解析

表1-2 配置动态域名解析

操作命令说明


启动动态域名解析功能 dns resolve 必选

缺省情况下，动态域名解析功能处于关闭

状态

配置域名服务器的 IP 地址 dns server ip-address 必选

缺省情况下，没有配置域名服务器

配置域名后缀 dns domain domain-name 可选

缺省情况下，没有配置域名后缀

最多可配置 6 个域名服务器和 10 个域名后缀。

1.3 域名解析显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示域名解析配置后的运行情况，或执行

nslookup type 命令显示 DNS 解析结果，通过查看显示信息验证配置的效果。在用户视图下，执

行 reset 命令可以清除动态域名缓存区信息。

表1-3 域名解析显示和维护

操作命令说明

查看静态域名解析表 display ip host

查看域名服务器信息 display dns server [ dynamic ]

查看域名后缀列表信息 display dns domain [ dynamic ]

查看动态域名缓存区的信息 display dns dynamic-host


显示 DNS 解析结果 nslookup type { ptr ip-address | a domain-name } 本命令可以在任意视图下执行

清除动态域名缓存区 reset dns dynamic-host reset 命令在用户视图下执行

1-4

1.4 域名解析配置举例

1.4.1 静态域名解析配置举例

1. 组网需求

交换机利用静态域名解析功能，实现通过主机名 host.com 访问 IP 地址为 10.1.1.2 的主机 Host。

2. 组网图

图1-2 静态域名解析配置组网图

3. 配置步骤

# 配置主机名 host.com 对应的 IP 地址为 10.1.1.2。


[Sysname] ip host host.com 10.1.1.2

# 执行 ping host.com 命令，Switch 通过静态域名解析可以解析到 host.com 对应的 IP 地址为

10.1.1.2。

[Sysname] ping host.com

PING host.com (10.1.1.2): 56 data bytes, press CTRL_C to break






--- host.com ping statistics ---



0.00% packet loss


1.4.2 动态域名解析配置举例

1. 组网需求

交换机作为 DNS 客户端，使用动态域名解析功能，实现通过域名（host）访问 IP 地址为

3.1.1.1/16 的主机。

域名服务器的 IP 地址是 2.1.1.2/16，配置域名后缀为 com。

1-5

2. 组网图

图1-3 动态域名解析组网图

3. 配置步骤

在开始下面的配置之前，需要确认 DNS server、交换机和 Host 之间的路由可达，各设备都已经

配置完毕，接口 IP 地址如上图所示。在 DNS Server 上已经有域名为 host、IP 地址为 3.1.1.1/16 的映射项，DNS Server 工作正常。

# 启动动态域名解析功能。


[Sysname] dns resolve

# 配置域名服务器的 IP 地址为 2.1.1.2。

[Sysname] dns server 2.1.1.2

# 配置域名后缀 com。

[Sysname] dns domain com

在设备上执行 ping host 的命令，可以 ping 通主机，且对应的目的地址为 3.1.1.1。

[Sysname] ping host

Trying DNS server (2.1.1.2)

PING host.com (3.1.1.1): 56 data bytes, press CTRL_C to break






--- host.com ping statistics ---



0.00% packet loss


1-6

1.5 域名解析常见配置错误举例

1. 现象描述

配置了动态域名解析，但不能根据域名解析到正确的 IP 地址。

2. 故障分析

DNS 客户端需要和域名服务器配合使用，才能根据域名解析到正确的 IP 地址。

3. 故障排除

执行命令 display dns dynamic-host，检查动态域名缓存区中的信息是否存在指定域名。

如果不存在要解析的域名，检查 DNS 客户端是否和域名服务器通信正常，域名服务器是否工

作正常，动态域名解析功能是否已经启动。

如果存在要解析的域名，但地址不对，则检查 DNS 客户端所配置的域名服务器的 IP 地址是

否正确。

检查域名服务器所设置的域名和地址映射表是否正确。

i

目录

1 Smart Link配置 .................................................................................................................................. 1-1

1.1 Smart Link简介.................................................................................................................................. 1-1

1.1.1 Smart Link基本概念 ................................................................................................................1-1 1.1.2 Smart Link工作机制 ................................................................................................................1-2

1.2 Smart Link配置任务...........................................................................................................................1-3

1.2.1 配置任务简介 ..........................................................................................................................1-3 1.2.2 配置Smart Link设备 ................................................................................................................1-3 1.2.3 配置相关设备 ..........................................................................................................................1-4 1.2.4 注意事项 ................................................................................................................................. 1-4

1.3 Smart Link配置的显示和维护 ............................................................................................................1-5

1.4 Smart Link配置举例...........................................................................................................................1-5

1.4.1 Smart Link链路冗余备份的实现.............................................................................................. 1-5

2 Monitor Link配置................................................................................................................................ 2-1

2.1 Monitor Link简介 ...............................................................................................................................2-1

2.1.1 Monitor Link工作机制 ............................................................................................................. 2-1

2.2 配置Monitor Link任务 ........................................................................................................................2-2

2.2.1 配置任务简介 ..........................................................................................................................2-2 2.2.2 创建Monitor Link组 .................................................................................................................2-2 2.2.3 配置Monitor Link的上行端口................................................................................................... 2-3 2.2.4 配置Monitor Link的下行端口................................................................................................... 2-3

2.3 Monitor Link的显示............................................................................................................................2-4

2.4 Monitor Link配置举例 ........................................................................................................................2-4

2.4.1 Smart Link与Monitor Link联动实现......................................................................................... 2-4

1-1

1 Smart Link 配置

1.1 Smart Link 简介

如图 1-1所示，双上行组网是目前常用组网之一。一般情况下，通过开启STP（Spanning Tree Protocol，生成树协议）来实现网络中的链路冗余备份。但STP不适用于对收敛时间有很高要求的

用户，为满足用户对链路快速收敛的需求，可通过开启Smart Link功能来实现主备链路的冗余备份

及其快速迁移。Smart Link多用于双上行组网的主备链路冗余备份，其配置简单，便于用户操作。

1.1.1 Smart Link 基本概念

1. Smart Link 组

Smart Link 组也称为灵活链路组，一个 Smart Link 组包含两个成员端口，其中一个被指定为主端口

（Master Port），另一个被指定为从端口（Slave Port）。正常情况下，只有一个端口（主端口或

从端口）处于转发（ACTIVE）状态，另一个端口被阻塞，处于待命（STANDBY）状态。当处于转

发状态的端口发生链路故障时，Smart Link 组会自动将该端口阻塞，并将原阻塞的处于待命状态的

端口切换到转发状态。

图1-1 Smart Link 组网示意图

Switch A

Switch B Switch C

Eth1/0/1 Eth1/0/2

uplink uplink

Master Port Slave Port

如图 1-1所示，设备Switch A的端口Ethernet1/0/1 和端口Ethernet1/0/2 为Smart Link组的两个成员。

2. 主端口

Smart Link组的主端口可以是以太网端口，也可以是手工配置或静态LACP端口汇聚组。如图 1-1所示，可通过命令行将Switch A的Ethernet1/0/1 端口设置为主端口。

3. 从端口

Smart Link组的从端口可以是以太网端口，也可以是手工配置或静态LACP端口汇聚组。如图 1-1所示，可通过命令行将Switch A的Ethernet1/0/2 端口设置为从端口。

4. Flush 报文

当处于转发状态的链路发生故障时，设备立即将流量切换到处于阻塞状态的备用链路。原有的转发

表项将不适用于新的拓扑网络，需要在全网范围内进行 MAC 地址转发表项和 ARP 表项的更新。此

时，Smart Link 组发送 Flush 报文通知其它设备进行 MAC 地址转发表项和 ARP 表项的刷新操作。

1-2

5. 发送控制 VLAN

发送控制VLAN（Control Vlan）是用于发送Flush报文的VLAN。当发生链路切换时，设备（如图

1-1中Switch A）会在发送控制VLAN内广播发送Flush报文。

6. 接收控制 VLAN

接收控制VLAN是用于接收并处理Flush报文的VLAN。当发生链路切换时，设备（如图 1-1中Switch B和Switch C）接收并处理属于接收控制VLAN的Flush报文，进行MAC地址转发表项和ARP表项的

刷新操作。

目前，Smart Link 组不支持动态端口汇聚组作为它的成员端口。如果 Smart Link 组中主/从端口是端口汇聚组，不允许用户直接删除该汇聚组或者将汇聚组配置

为动态汇聚组。如果用户想删除该汇聚组，需要在删除前先解除该汇聚组和 Smart Link 的绑定关

系。

1.1.2 Smart Link 工作机制

图1-2 Smart Link 组网图

BLOCK

Switch A Switch B

Eth1/0/1Eth1/0/2

Switch C Switch D

Switch E

Eth1/0/1

Eth1/0/2Eth1/0/3

Eth1/0/1

Eth1/0/2

Eth1/0/11 Eth1/0/12

如图 1-2所示，Switch A中端口Ethernet1/0/1 处于转发状态，端口Ethernet1/0/2 处于阻塞状态。当

端口Ethernet1/0/1 所在的链路出现故障时，端口Ethernet1/0/1 自动阻塞，端口Ethernet1/0/2 将切

换到转发状态。

当 Smart Link 发生链路切换时，网络中各设备上的 MAC 地址转发表项及 ARP 表项可能已经

不是最新状态。为了保证报文的正确发送，需通过开启了 Smart Link 特性的设备向新的链路

上发送 Flush 报文的方式，来实现 MAC 地址转发表项和 ARP 表项的及时更新。此时需要上

行设备都能够识别 Smart Link 的 Flush 报文并更新自身的 MAC 地址转发及 ARP 表项。

开启了 Smart Link 特性的设备中，当因链路故障而处于阻塞状态的端口所在链路的故障恢复

后，该端口将继续保持阻塞状态，不对流量进行抢占，从而保持流量稳定。只有等下一次链

路切换时，该端口才会重新切换为转发状态。

1-3

1.2 Smart Link 配置任务

在配置 Smart Link 组成员端口前，需进行如下操作：

如果打算配置某端口为 Smart Link 组成员端口，则需先手工关闭该端口，以避免形成环路，导致

广播风暴；关闭该端口的 STP 功能。配置完成后，需开启配置 Smart Link 组之前所关闭的以太网端口。


表1-1 smart link 配置任务简介


创建 Smart Link 组

为 Smart Link 组添加成员端口配置 Smart link 设备

开启从指定控制 VLAN 发送 Flush 报文功能

必选 1.2.2

配置相关设备开启从指定控制 VLAN 接收处理 Flush 报文功能必选 1.2.3

1.2.2 配置 Smart Link 设备

Smart Link设备是指支持Smart Link功能，并且配置了Smart Link组和从指定控制VLAN发送Flush报文功能的设备。

Smart Link 组成员端口可以为以太网端口或手工（或静态）端口汇聚组：

配置以太网端口为Smart Link组成员，如表 1-2所示；

配置端口汇聚组为Smart Link组成员，如表 1-3所示。

表1-2 配置 Smart Link（端口为 Smart Link 组成员）

操作命令说明


创建 Smart Link 并进入

Smart Link 组视图 smart-link group group-id 必选

开启从指定控制 VLAN 发送

Flush 报文功能 flush enable control-vlan vlan-id 必选

缺省情况下，没有指定发

送控制 VLAN

Smart Link 组视

图下 port interface-type interface-number { master | slave }

quit


配置端

口为Smart Link 组

成员以太网端口视图

下 port smart-link group group-id { master | slave }

必选，二者选其一

1-4

表1-3 配置 Smart Link（端口汇聚组为 Smart Link 组成员）

操作命令说明


创建 Smart Link 并进入 Smart Link 组视图 smart-link group group-id 必选

配置端口汇聚组为 Smart Link 组

成员 link-aggregation group group-id { master | slave } 必选

开启从指定控制 VLAN发送 Flush报文功能 flush enable control-vlan vlan-id

必选

缺省情况下，没有指定发送控制VLAN

1.2.3 配置相关设备

本文所指相关设备是指那些支持Smart Link功能，在实际网络应用中为了配合Smart Link设备，需

在本地配置从指定控制VLAN接收处理Flush报文功能的设备。如图 1-2中的Smart Link设备（Switch A）到其目的上行设备（Switch E）主备链路上的所有设备（Switch C、Switch D和Switch E）都是

相关设备，需开启从指定控制VLAN接收处理Flush报文的功能。

但是并不是相关设备的所有端口都要开启从指定控制VLAN接收处理Flush报文功能的，只有那些在

从Smart Link设备到其目的设备主备链路上的端口才需作此配置。如图 1-2，Switch C的端口

Ethernet 1/0/2 和Ethernet 1/0/3、Switch D的端口Ethernet 1/0/2 和Ethernet 1/0/3 和Switch E的端

口Ethernet 1/0/11 和Ethernet 1/0/12 需开启从指定控制VLAN接收处理Flush报文的功能。

表1-4 开启指定端口处理从指定控制 VLAN 接收的 Flush 报文功能

操作命令说明


系统视图

下

smart-link flush enable control-vlan vlan-id port interface-type interface-number [ to interface-type interface-number ]


开启指定端口

处理从指定控

制 VLAN 接收

的 Flush 报文

功能以太网端

口视图下 smart-link flush enable control-vlan vlan-id

必选，二者选其一

缺省情况下，没有

指定接收控制VLAN

1.2.4 注意事项

在配置 Smart Link 时，需要注意的是：

(1) 一个端口/端口汇聚组不能同时充当两个不同 Smart Link 组的成员，也不能同时成为一个

Smart Link 组和另一个 Monitor Link 组成员。

(2) Smart Link 组的成员端口不能启用 STP 功能。如果端口已开启 STP 功能，则不允许指定该端

口或者该端口所在的端口汇聚组作为 Smart Link 组的成员。

(3) 不允许删除一个非空的 Smart Link/Monitor Link 组。

(4) Smart Link/Monitor Link 功能与远程端口镜像功能互斥。

(5) 当配置 Combo 口作为 Smart Link 组的成员端口时，请注意 Combo 光口和 Combo 电口不能

同时有连线。

1-5

(6) 当执行端口拷贝命令时，端口上配置的 Smart Link/Monitor Link 组成员信息不会复制到其它端

口上。

(7) 如果指定单端口作为 Smart Link/Monitor Link 组成员，那么不允许在这个端口下执行 lacp

enable 或将其加入其它端口汇聚组，因为这样会使一个端口变成汇聚组的成员。

(8) 如果不配置处理 Flush 报文的控制 VLAN，设备将对接收到的 Flush 报文不做处理直接转发。

(9) 如果在相关设备上配置的接收处理 Flush 报文的控制 VLAN 和在 Smart Link 设备上配置的发

送控制 VLAN 不同，设备将对接收到的 Flush 报文不做处理直接转发。

(10) 如果 Smart Link 组的一个成员为静态或手工端口汇聚组，且该汇聚组中某个端口能处理 Flush

报文。此时该汇聚组中其它端口不能自动同步该功能，即汇聚组中其它端口不能处理 Flush

报文，只能手工配置汇聚组中每个端口。

(11) 不能配置不存在的 VLAN 作为发送和接收 Flush 报文的控制 VLAN，不能直接删除已经配置成

控制 VLAN 的 VLAN。如果该 VLAN 是动态 VLAN，那么一旦被配置为 Smart Link 组的控制

VLAN 后，那么该 VLAN 则变成静态 VLAN，同时输出提示信息。

1.3 Smart Link 配置的显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示 Smart Link 组的信息以及设备处理

Flush 报文的信息，通过查看显示信息验证配置的效果。

在用户视图下，执行 reset 命令可以清除 Smart Link 的 Flush 报文统计信息。

表1-5 Smart Link 配置的显示和维护

操作命令说明

显示 Smart Link 组的信息 display smart-link group { group-id | all }

显示设备处理 Flush 报文的信息 display smart-link flush

display 命令可在任意视图下

执行

清除 Smart Link 的 Flush 报文统计信息 reset smart-link packets counter reset 命令在用户视图下执行

1.4 Smart Link 配置举例

1.4.1 Smart Link 链路冗余备份的实现

1. 组网需求

如图 1-3所示，Switch A为一台H3C E152 以太网交换机。Switch C、Switch D和Switch E均支持

Smart Link功能。

为实现远程 PC 到服务器的可靠访问，需在交换机上做如下配置：

(1) 在 Smart Link 设备 Switch A 上进行如下配置：

创建 Smart Link 组并为其添加成员端口；

配置从指定控制 VLAN 发送 Flush 报文。

(2) 在相关设备 Switch C、Switch D 和 Switch E 上分别开启从指定控制 VLAN 接收处理 Flush 报

文功能。

1-6

2. 组网图

图1-3 配置 Smart Link 组网图

Switch A

Eth1/0/1 Eth1/0/2

Switch C

Server

Eth1/0/1

Eth1/0/2 Eth1/0/2

Host

Switch D

Switch EEth1/0/3Eth1/0/2

Eth1/0/1

3. 配置步骤

(1) 在 Switch A 上创建 Smart Link 组，并为其配置成员端口，开启在控制 VLAN 1 内发送 Flush

报文功能。配置如下：



# 进入以太网端口视图，关闭端口 Ethernet1/0/1 和 Ethernet1/0/2 的 STP 功能。


[SwitchA-Ethernet1/0/1] stp disable




# 退回系统视图。


# 创建 Smart Link 组 1，并进入 Smart Link 组视图。

[SwitchA] smart-link group 1

# 配置端口 Ethernet1/0/1 为 Smart Link 组的主端口，端口 Ethernet1/0/2 为从端口。

[SwitchA-smlk-group1] port Ethernet 1/0/1 master

[SwitchA-smlk-group1] port Ethernet 1/0/2 slave

# 配置在 VLAN1 内发送 Flush 报文。

[SwitchA-smlk-group] flush enable control-vlan 1

(2) 在 Switch C 上开启从 VLAN 1 接收处理 Flush 报文功能，配置如下：


<SwitchC> system-view

1-7

# 在 Ethernet 1/0/2 上开启从 VLAN 1 接收处理 Flush 报文功能。

[SwitchC] smart-link flush enable control-vlan 1 port Ethernet 1/0/2

(3) 在 Switch D 上开启从 VLAN 1 接收处理 Flush 报文功能，配置如下：


<SwitchD> system-view

# 在 Ethernet 1/0/2 上开启从 VLAN 1 接收处理 Flush 报文功能。

[SwitchD] smart-link flush enable control-vlan 1 port Ethernet 1/0/2

(4) 在 Switch E 上开启从 VLAN 1 接收处理 Flush 报文功能，配置如下：


<SwitchE> system-view

# 在 Ethernet 1/0/2 和 Ethernet 1/0/3 上开启从 VLAN 1 接收处理 Flush 报文功能。

[SwitchE] smart-link flush enable control-vlan 1 port Ethernet 1/0/2 to Ethernet 1/0/3

2-1

2 Monitor Link 配置

2.1 Monitor Link 简介

Monitor Link 是对 Smart Link 进行补充而引入的端口联动方案，用于监控上行链路，完善 Smart Link的备份作用。

Monitor Link 组由一个上行端口和一个或多个下行端口组成。当其上行端口所在链路发生故障时，

Monitor Link 强制关闭组中所有下行端口；当上行端口所在链路恢复正常时则重新开启组内的所有

下行端口。

图2-1 Monitor Link 组网示意图

Switch A

Eth1/0/1

Eth1/0/2Eth1/0/3

Uplink

Downlink

如图 2-1所示，Switch A上配置的Monitor Link组由一个上行端口（Ethernet1/0/1）和两个下行端口

（Ethernet1/0/2 和Ethernet1/0/3）共同组成。各成员端口可以是以太网端口、静态LACP端口汇聚

组、手工端口汇聚组或Smart Link组，其中Smart Link组只能作为上行端口。

2.1.1 Monitor Link 工作机制

图2-2 Monitor Link 组网图

BLOCK

Switch A Switch B

Eth1/0/1Eth1/0/2

Switch C Switch D

Switch E

Eth1/0/1

Eth1/0/2Eth1/0/3

Eth1/0/1

Eth1/0/2

Eth1/0/11 Eth1/0/12

2-2

如图 2-2所示。Switch C与Switch D连接到上游设备Switch E。Switch C上配置Monitor Link组，端

口Ethernet1/0/1为上行端口，端口Ethernet1/0/2和Ethernet1/0/3为下行端口。Switch A上配置Smart Link组，端口Ethernet1/0/1 为主端口，端口Ethernet1/0/2 为从端口。

如果 Switch C 上未配置 Monitor Link 组，当 Switch C 中上行端口 Ethernet1/0/1 所在链路出

现故障时，配置 Smart Link 组的设备 Switch A 由于其主端口 Ethernet1/0/1 所在链路并未发

生故障，所以此时不会出现 Smart Link 组内的链路切换。但是实际上 Switch A 上的流量已经

无法通过端口 Ethernet1/0/1 的链路上行到 Switch E。

如果在 Switch C 上配置了 Monitor Link 组，Monitor Link 组发现其上行端口 Ethernet1/0/1 所

在链路出现了故障，会关闭组内所有的下行端口，因此 Switch C 上的端口 Ethernet1/0/3 将被

阻塞。此时，Switch A 上 Smart Link 组发现其主端口 Ethernet1/0/1 上出现了链路故障，从端

口 Ethernet1/0/2 会立即切换到转发状态，从而将流量切换到备用链路上。

目前，Monitor Link 组不支持动态端口汇聚组作为其成员端口。如果 Monitor Link 组中上行/下行端口是端口汇聚组，不允许用户直接删除该汇聚组或者将汇聚组

变成动态汇聚组。如果用户想删除该汇聚组，则在删除前先解除该汇聚组和 Monitor Link 的绑定

关系。

2.2 配置 Monitor Link 任务

配置 Monitor Link 组时，须创建 Monitor Link 组并为其配置成员端口。Monitor Link 组由一个上行

端口和一个或多个下行端口组成，上行端口可以为（手工或静态）端口聚合组、以太网端口以及 Smart Link 组，下行端口可以为（手工或静态）端口聚合组和以太网端口。


表2-1 配置 Monitor Link 任务


创建 Monitor Link 组必选 2.2.2

配置 Monitor Link 的上行端口必选 2.2.3

配置 Monitor Link 的下行端口必选 2.2.4

2.2.2 创建 Monitor Link 组

表2-2 创建 Monitor Link 组

操作命令说明


创建 Monitor Link 组 monitor-link group group-id 必选

2-3

2.2.3 配置 Monitor Link 的上行端口

表2-3 配置 Monitor Link 上行端口

操作命令说明


进入指定的 Monitor Link 组视图 monitor-link group group-id -

配置指定端口汇聚组为 Monitor Link 组的上行端口 link-aggregation group group-id uplink

配置指定 Smart Link 组为

Monitor Link 组的上行端口 smart-link group group-id uplink

Monitor Link 组

视图下 port interface-type interface-number uplink

quit


配置Monitor Link 组

的上行

端口配置指定以太

网端口为Monitor Link组的上行端口

以太网端口视图

下 port monitor-link group group-id uplink

必选

三选一

2.2.4 配置 Monitor Link 的下行端口

表2-4 配置 Monitor Link 下行端口

操作命令说明


进入指定的 Monitor Link 组视图 monitor-link group group-id 必选

配置指定端口汇聚组为

Monitor Link 组的下行端口 link-aggregation group group-id downlink

Monitor Link组视图 port interface-type interface-number downlink

quit


配置Monitor Link 组的下

行端口

配置指定以

太网端口为Monitor Link 组的下

行端口以太网端口视

图 port monitor-link group group-id downlink

必选，二者选

其一

不允许删除一个非空的 Smart Link/Monitor Link 组。不允许删除被指定为 Monitor Link 组成员的

Smart Link 组，必须先解除绑定后再进行删除。 Smart Link/Monitor Link 功能与端口镜像功能互斥。如果指定单端口作为Smart Link/Monitor Link组成员，那么不允许在这个端口下执行 lacp enable命令或将其加入其它动态端口汇聚组，因为这样会使一个端口变成汇聚组的成员。

当执行端口拷贝命令时，端口上配置的 Smart Link/Monitor Link 组成员信息不会复制到其它端口

上。

2-4

2.3 Monitor Link 的显示

在完成上述配置后，在任意视图下执行 display 命令可以显示 Monitor Link 组的信息，通过查看显

示信息验证配置的效果。

表2-5 Monitor Link 的显示

操作命令说明

显示 Monitor Link 组的信息 display monitor-link group { group-id | all } display 命令可在任意视图下执行

2.4 Monitor Link 配置举例

2.4.1 Smart Link 与 Monitor Link 联动实现

1. 组网需求

如图 2-3所示，PC通过交换机访问服务器和Internet。为防止因Switch C（Switch D）的上行链路

或上行端口故障导致PC不能访问服务器和Internet的现象，可通过开启Smart Link和Monitor Link功能来实现。

在交换机上需做如下配置：

(1) 在 Switch A 和 Switch B 配置 Smart Link 组，并开启从指定控制 VLAN 发送 Flush 报文的功能；

(2) 在 Switch C 和 Switch D 上配置 Monitor Link 组；

(3) 在 Switch C、Switch D 和 Switch E 上开启从指定控制 VLAN 接收处理 Flush 报文的功能。

2-5

2. 组网图

图2-3 配置 Monitor Link 组网图

BLOCK

Switch A Switch B

Eth1/0/1Eth1/0/2

Switch C Switch D

Switch E

Eth1/0/1

Eth1/0/2Eth1/0/3

Server

Eth1/0/2

Eth1/0/2

Eth1/0/1

Eth1/0/1

Eth1/0/3

Eth1/0/11Eth1/0/10

Host A Host DHost CHost B

Internet

3. 配置步骤

(1) 在 Switch A 和 Switch B 开启 Smart Link 功能实现链路冗余备份，Switch A 上做如下配置，

Switch B 配置同 Switch A。



# 进入以太网端口视图，关闭端口 Ethernet1/0/1 和 Ethernet1/0/2 的 STP 功能。






# 创建 Smart Link 组 1，并进入 Smart Link 组视图。

[SwitchA] smart-link group 1

# 配置端口 Ethernet1/0/1 为 Smart Link 组的主端口，端口 Ethernet1/0/2 为从端口。

[SwitchA-smlk-group1] port Ethernet 1/0/1 master

[SwitchA-smlk-group1] port Ethernet 1/0/2 slave

# 配置在 VLAN1 内发送 Flush 报文。

[SwitchA-smlk-group1] flush enable control-vlan 1

(2) 在 Switch C 和 Switch D 上配置 Monitor Link 组，同时开启从 VLAN 1 接收处理 Flush 报文功

能。Switch C 上做如下配置，Switch D 配置同 Switch C。

2-6


<SwitchC> system-view

# 创建 Monitor Link 组 1，并进入 Monitor Link 组视图。

[SwitchC] monitor-link group 1

# 配置端口 Ethernet1/0/1 为 Monitor Link 组的上行端口，端口 Ethernet1/0/2 和端口 Ethernet1/0/3为下行端口。

[SwitchC-mtlk-group1] port Ethernet 1/0/1 uplink

[SwitchC-mtlk-group1] port Ethernet 1/0/2 downlink

[SwitchC-mtlk-group1] port Ethernet 1/0/3 downlink

# 退回系统视图，在端口 Ethernet1/0/2 和 Ethernet1/0/3 上开启从 VLAN 1 接收处理 Flush 报文的

功能。

[SwitchC-mtlk-group1] quit

[SwitchC] smart-link flush enable control-vlan 1 port Ethernet 1/0/2 to Ethernet 1/0/3

(3) 在 Switch E 的 Ethernet 1/0/10 和 Ethernet 1/0/11 上开启从 VLAN 1 接收处理 Flush 报文的功

能：


<SwitchE> system-view

# 在 Ethernet 1/0/10 和 Ethernet 1/0/11 上开启从 VLAN 1 接收处理 Flush 报文的功能。

[SwitchE] smart-link flush enable control-vlan 1 port Ethernet 1/0/10 to Ethernet 1/0/11

i

目录

1 LLDP配置 .......................................................................................................................................... 1-1

1.1 LLDP简介 .......................................................................................................................................... 1-1

1.1.1 LLDP产生背景 ........................................................................................................................1-1 1.1.2 LLDP基本概念 ........................................................................................................................1-1 1.1.3 LLDP工作机制 ........................................................................................................................1-4 1.1.4 协议规范 ................................................................................................................................. 1-5

1.2 LLDP配置任务简介............................................................................................................................1-5

1.3 配置LLDP基本功能............................................................................................................................1-6

1.3.1 使能LLDP功能 ........................................................................................................................1-6 1.3.2 配置LLDP工作模式 .................................................................................................................1-6 1.3.3 配置端口初始化延迟 ...............................................................................................................1-6 1.3.4 配置轮询功能 ..........................................................................................................................1-7 1.3.5 配置允许发布的TLV类型 ........................................................................................................ 1-7 1.3.6 配置管理地址 ..........................................................................................................................1-7 1.3.7 调整LLDP相关参数 .................................................................................................................1-8 1.3.8 配置LLDP报文的封装格式 ...................................................................................................... 1-8

1.4 配置LLDP兼容CDP功能 ....................................................................................................................1-9

1.4.1 配置准备 ................................................................................................................................. 1-9 1.4.2 配置LLDP兼容CDP功能 .........................................................................................................1-9

1.5 配置LLDP Trap功能 ........................................................................................................................1-10

1.6 LLDP显示和维护 .............................................................................................................................1-10

1.7 LLDP典型配置举例..........................................................................................................................1-11

1.7.1 LLDP基本功能配置举例........................................................................................................ 1-11 1.7.2 LLDP兼容CDP功能配置举例 ................................................................................................ 1-13

1-1

1 LLDP 配置

E152 以太网交换机 Release 1702 版本新增支持 LLDP 功能。

1.1 LLDP 简介

1.1.1 LLDP 产生背景

目前，网络设备的种类日益繁多且各自的配置错综复杂，为了使不同厂商的设备能够在网络中相互

发现并交互各自的系统及配置信息，需要有一个标准的信息交流平台。

LLDP（Link Layer Discovery Protocol，链路层发现协议）就是在这样的背景下产生的，它提供了

一种标准的链路层发现方式，可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息

组织成不同的 TLV（Type/Length/Value，类型/长度/值），并封装在 LLDPDU（Link Layer Discovery Protocol Data Unit，链路层发现协议数据单元）中发布给与自己直连的邻居，邻居收到这些信息后

将其以标准 MIB（Management Information Base，管理信息库）的形式保存起来，以供网络管理

系统查询及判断链路的通信状况。

有关 MIB 的详细介绍，请参见“SNMP-RMON 操作”。

1.1.2 LLDP 基本概念

1. LLDP 报文

封装有 LLDPDU 的报文称为 LLDP 报文，其封装格式有两种：Ethernet II 和 SNAP（Subnetwork Access Protocol，子网访问协议）。

(1) Ethernet II 格式封装的 LLDP 报文

图1-1 Ethernet II 格式封装的 LLDP 报文

如图 1-1所示，是以Ethernet II格式封装的LLDP报文，其中各字段的含义如下：

1-2

Destination MAC address：目的 MAC 地址，为固定的组播 MAC 地址 0x0180-C200-000E。

Source MAC address：源 MAC 地址，为端口 MAC 地址或设备桥 MAC 地址（如果有端口地

址则使用端口 MAC 地址，否则使用设备桥 MAC 地址）。

Type：报文类型，为 0x88CC。

Data：数据，为 LLDPDU。

FCS：帧检验序列。

(2) SNAP 格式封装的 LLDP 报文

图1-2 SNAP 格式封装的 LLDP 报文

如图 1-2所示，是以SNAP格式封装的LLDP报文，其中各字段的含义如下：

Destination MAC address：目的 MAC 地址，为固定的组播 MAC 地址 0x0180-C200-000E。

Source MAC address：源 MAC 地址，为端口 MAC 地址或设备桥 MAC 地址（如果有端口地

址则使用端口 MAC 地址，否则使用设备桥 MAC 地址）。

Type：报文类型，为 0xAAAA-0300-0000-88CC。

Data：数据，为 LLDPDU。

FCS：帧检验序列。

2. LLDPDU

LLDPDU 就是封装在 LLDP 报文数据部分的数据单元。在组成 LLDPDU 之前，设备先将本地信息

封装成 TLV 格式，再由若干个 TLV 组合成一个 LLDPDU 封装在 LLDP 报文的数据部分进行传送。

图1-3 LLDPDU

如图 1-3所示，每个LLDPDU共可携带 28 种TLV，其中深蓝色的Chasis ID TLV、Port ID TLV、TTL TLV和End TLV这四种是必须携带的，其余的TLV则为可选携带。

3. TLV

TLV 是组成 LLDPDU 的单元，每个 TLV 都代表一个信息。LLDP 可以封装的 TLV 包括基本 TLV、802.1 组织定义 TLV、802.3 组织定义 TLV 和 LLDP-MED（Media Endpoint Discovery，媒体终端

发现） TLV。

1-3

基本TLV是网络设备管理基础的一组TLV，802.1组织定义TLV、802.3组织定义TLV和 LLDP-MED TLV 则是由标准组织或其他机构定义的 TLV，用于增强对网络设备的管理，可根据实际需要选择是

否在 LLDPDU 中发送。

(1) 基本 TLV

在基本TLV中，有几种TLV对于实现LLDP功能来说是必选的，即必须在LLDPDU中发布，如表 1-1所示。

表1-1 基本 TLV

TLV 名称说明是否必须发布

End of LLDPDU 标识 LLDPDU 结束是

Chassis ID 发送设备的桥 MAC 地址是

Port ID 标识 LLDPDU 发送端的端口。当设备不发送 MED TLV 时，内容为端

口名称；当设备发送 MED TLV 时，内容为端口的 MAC 地址，没有端

口 MAC 时使用桥 MAC 是

Time To Live 本设备信息在邻居设备上的存活时间是

Port Description 以太网端口的描述字符串否

System Name 设备的名称否

System Description 系统描述否

System Capabilities 系统的主要功能以及已使能的功能项否

Management Address 管理地址，以及对应的接口号和 OID（Object Identifier，对象标识）否

(2) 802.1 组织定义 TLV

IEEE 802.1 组织定义TLV的内容如表 1-2所示。

表1-2 IEEE 802.1 组织定义的 TLV

TLV 名称说明

Port VLAN ID 端口的 VLAN ID

Port And Protocol VLAN ID 端口的协议 VLAN ID

VLAN Name 端口 VLAN 的名称

Protocol Identity 端口支持的协议类型

目前，H3C 设备不支持发送 Protocol Identity TLV，但可以接收该类型的 TLV。

(3) 802.3 组织定义 TLV

IEEE 802.3 组织定义TLV的内容如表 1-3所示。

1-4

表1-3 IEEE 802.3 组织定义的 TLV

TLV 名称说明

MAC/PHY Configuration/Status 端口的速率和双工状态、是否支持端口速率自动协商、是否已使能自动协商功

能以及当前的速率和双工状态

Power Via MDI 端口的供电能力，包括 PoE 的类型（PSE 或 PD）、PoE 端口的远程供电模

式、是否支持 PSE 供电、是否已使能 PSE 供电以及供电方式是否可控

Link Aggregation 端口是否支持链路聚合以及是否已使能链路聚合

Maximum Frame Size 端口支持的最大帧长度，取端口配置的 MTU（Max Transmission Unit，最大

传输单元）

(4) LLDP-MED TLV

LLDP-MED TLV为VoIP（Voice over IP，在IP上传送语音）提供了许多高级的应用，包括基本配置、

网络策略配置、地址信息以及目录管理等，满足了语音设备的不同生产厂商在成本有效、易部署、

易管理等方面的要求，并解决了在以太网中部署语音设备的问题，为语音设备的生产者、销售者以

及使用者提供了便利。LLDP-MED TLV的内容如表 1-4所示。

表1-4 LLDP-MED TLV

TLV 名称说明

LLDP-MED Capabilities 当前设备的 MED 设备类型以及在 LLDPDU 中可封装的 LLDP-MED TLV 类型

Network Policy 端口的 VLAN ID、支持的应用（如语音和视频）、应用优先级以及使用策略等

Extended Power-via-MDI 当前设备的供电能力

Hardware Revision MED 设备的硬件版本

Firmware Revision MED 设备的固件版本

Software Revision MED 设备的软件版本

Serial Number MED 设备的序列号

Manufacturer Name MED 设备的制造厂商

Model Name MED 设备的模块名

Asset ID MED 设备的资产标识符，以便目录管理和资产跟踪

Location Identification 位置标识信息，供其它设备在基于位置的应用中使用

4. 管理地址

管理地址是供网络管理系统标识网络设备并进行管理的地址。管理地址可以明确地标识一台设备，

从而有利于网络拓扑的绘制，便于网络管理。管理地址被封装在 LLDP 报文的 Management Address TLV 中向外发布。

1.1.3 LLDP 工作机制

1. LLDP 的工作模式

LLDP 有以下四种工作模式：

TxRx：既发送也接收 LLDP 报文。

Tx：只发送不接收 LLDP 报文。

1-5

Rx：只接收不发送 LLDP 报文。

Disable：既不发送也不接收 LLDP 报文。

当端口的 LLDP 工作模式发生变化时，端口将对协议状态机进行初始化操作。为了避免端口工作模

式频繁改变而导致端口不断执行初始化操作，可配置端口初始化延迟时间，当端口工作模式改变时

延迟一段时间再执行初始化操作。

2. LLDP 报文的发送机制

当端口工作在 TxRx 或 Tx 模式时，设备会周期性地向邻居设备发送 LLDP 报文。如果设备的本地配

置发生变化则立即发送 LLDP 报文，以将本地信息的变化情况尽快通知给邻居设备。但为了防止本

地信息的频繁变化而引起 LLDP 报文的大量发送，每发送一个 LLDP 报文后都需延迟一段时间后再

继续发送下一个报文。

当设备的工作模式由 Disable/Rx 切换为 TxRx/Tx，或者发现了新的邻居设备（即收到一个新的 LLDP报文且本地尚未保存发送该报文设备的信息）时，该设备将自动启用快速发送机制，即将 LLDP 报

文的发送周期缩短为 1 秒，并连续发送指定数量的 LLDP 报文后再恢复为正常的发送周期。

3. LLDP 报文的接收机制

当端口工作在 TxRx 或 Rx 模式时，设备会对收到的 LLDP 报文及其携带的 TLV 进行有效性检查，

通过检查后再将邻居信息保存到本地，并根据 TTL（Time To Live，生存时间）TLV 中 TTL 的值来

设置邻居信息在本地设备上的老化时间，若该值为零，则立刻老化该邻居信息。

1.1.4 协议规范

与 LLDP 相关的协议规范有：

IEEE 802.1AB-2005：Station and Media Access Control Connectivity Discovery

ANSI/TIA-1057：Link Layer Discovery Protocol for Media Endpoint Devices

1.2 LLDP 配置任务简介

表1-5 LLDP 配置任务简介


使能 LLDP 功能必选 1.3.1

配置 LLDP 工作模式可选 1.3.2

配置端口初始化延迟可选 1.3.3

配置轮询功能可选 1.3.4

配置允许发布的 TLV 类型可选 1.3.5

配置管理地址可选 1.3.6

调整 LLDP 相关参数可选 1.3.7

配置 LLDP 基本功能

配置 LLDP 报文的封装格式可选 1.3.8

配置 LLDP 兼容 CDP 功能可选 1.4

配置 LLDP Trap 功能可选 1.5

1-6

1.3 配置 LLDP 基本功能

1.3.1 使能 LLDP 功能

LLDP 功能必须在全局和端口上同时使能后才能生效。

表1-6 使能 LLDP 功能

操作命令说明


全局使能 LLDP 功能 lldp enable 必选

缺省情况下，LLDP 功能未全局

开启

进入以太网端口视图 interface interface-type interface-number 必选

在端口上使能 LLDP 功能 lldp enable 可选

缺省情况下，LLDP 功能在端口

上处于使能状态

1.3.2 配置 LLDP 工作模式

LLDP 的工作模式分为以下四种：

TxRx：既发送也接收 LLDP 报文。

Tx：只发送不接收 LLDP 报文。

Rx：只接收不发送 LLDP 报文。

Disable：既不发送也不接收 LLDP 报文。

表1-7 配置 LLDP 工作模式

操作命令说明



配置 LLDP 的工作模式 lldp admin-status { disable | rx | tx | txrx } 可选

缺省情况下，LLDP 的工作

模式为 TxRx

1.3.3 配置端口初始化延迟

当端口上 LLDP 的工作模式发生变化时，端口将对协议状态机进行初始化操作，通过配置端口初始

化的延迟时间，可以避免由于工作模式频繁改变而导致端口不断地进行初始化。

表1-8 配置端口初始化延迟

操作命令说明


配置端口初始化的延迟时间 lldp timer reinit-delay delay 可选

缺省情况下，端口初始化的延迟时间

为 2 秒

1-7

1.3.4 配置轮询功能

在使能了轮询功能后，LLDP 将以轮询时间间隔周期性地查询本设备的相关配置是否发生改变，如

果发生改变将触发 LLDP 报文的发送，以将本设备的配置变化迅速通知给其它设备。

表1-9 配置轮询功能

操作命令说明



使能轮询功能并配置轮询时间

间隔 lldp check-change-interval interval 必选

缺省情况下，轮询功能处于关闭状态

1.3.5 配置允许发布的 TLV 类型

表1-10 配置允许发布的 TLV 类型

操作命令说明



配置端口上允许发布的

TLV 类型

lldp tlv-enable { basic-tlv { all | port-description | system-capability | system-description | system-name } | dot1-tlv { all | port-vlan-id | protocol-vlan-id [ vlan-id ] | vlan-name [ vlan-id ] } | dot3-tlv { all | link-aggregation | mac-physic | max-frame-size | power } | med-tlv { all | capability | inventory | location-id { civic-address device-type country-code { ca-type ca-value }&<1–10> | elin-address tel-number } | network-policy | power-over-ethernet } }

可选

缺省情况下，端

口上允许发布

除 Location Identification TLV 之外的所

有类型的 TLV

1.3.6 配置管理地址

管理地址是供网络管理系统标识网络设备并进行管理的地址。管理地址可以明确地标识一台设备，

从而有利于网络拓扑的绘制，便于网络管理。管理地址被封装在 LLDP 报文的 Management Address TLV 中向外发布，并采用数字格式进行封装。

为保证与邻居设备的正常通信，请确保邻居设备也采用数字格式对管理地址进行封装。

表1-11 配置管理地址及其封装格式

操作命令说明



配置在 LLDP 报文中发布管

理地址 lldp management-address-tlv [ ip-address ]

可选

缺省情况下，设备在 LLDP 报文中发布管

理地址，发布的管理地址为端口允许通过

的最小 VLAN 的主 IP 地址，若该 VLAN未配置主 IP 地址，则为 127.0.0.1

1-8

1.3.7 调整 LLDP 相关参数

LLDP 报文所携 TTL TLV 中 TTL 的值用来设置邻居信息在本地设备上的老化时间，由于 TTL＝Min（65535，（TTL 乘数×发送 LLDP 报文的时间间隔）），即取 65535 与（TTL 乘数×发送 LLDP报文的时间间隔）中的最小值，因此通过调整 TTL 乘数可以控制本设备信息在邻居设备上的老化时

间。

表1-12 调整 LLDP 相关参数

操作命令说明


配置 TTL 乘数 lldp hold-multiplier value

可选

缺省情况下，TTL 乘数为 4

配置发送 LLDP 报文的时间间隔 lldp timer tx-interval interval

可选

缺省情况下，发送 LLDP 报文的时间间隔为 30 秒

配置发送 LLDP 报文的延迟时间 lldp timer tx-delay delay

可选

缺省情况下，发送 LLDP 报文的延迟时间为 2 秒

配置快速发送 LLDP 报文的个数 lldp fast-count count 可选

缺省情况下，快速发送 LLDP 报文的个数为 3 个

发送 LLDP 报文的时间间隔和延迟时间都应小于 TTL，否则将导致当前设备的信息在邻居设备上老

化后仍无法收到当前设备发送的 LLDP 报文。

1.3.8 配置 LLDP 报文的封装格式

LLDP 报文的封装格式有 Ethernet II 和 SNAP 两种：

当采用 Ethernet II 封装格式时，使能了 LLDP 功能的端口所发送的 LLDP 报文将以 Ethernet II

格式封装，且只有当收到以同种格式封装的 LLDP 报文时，设备才会对其进行处理。

当采用 SNAP 封装格式时，使能了 LLDP 功能的端口所发送的 LLDP 报文将以 SNAP 格式封

装，且只有当收到以同种格式封装的 LLDP 报文时，设备才会对其进行处理。

LLDP 报文的缺省封装格式为 Ethernet II 格式。如果邻居设备以 SNAP 格式封装 LLDP 报文，用户

可在本地设备上也将 LLDP 报文的封装格式改为 SNAP 格式，以保证与邻居设备的正常通信。

表1-13 配置 LLDP 报文的封装格式

操作命令说明



配置 LLDP 报文的封装格式为

SNAP 格式 lldp encapsulation snap 必选

缺省情况下，LLDP 报文的封装

格式为 Ethernet II 格式

1-9

LLDP CDP（Cisco Discovery Protocol，思科发现协议）报文的封装格式只能为 SNAP 格式，不能

为 Ethernet II 格式。

1.4 配置 LLDP 兼容 CDP 功能

E152 以太网交换机上同一时刻只能有一个 VLAN 被配置为 Voice VLAN，有关 Voice VLAN 的详细

介绍，请参见“Voice VLAN 操作”。

当设备与 Cisco 的 IP 电话直连时，IP 电话将会向设备发送 CDP（Cisco Discovery Protocol，思科

发现协议）报文以请求在设备上所配 Voice VLAN 的 VLAN ID；如果在指定时间内没有收到设备回

复的 Voice VLAN 的 VLAN ID，IP 电话将会把语音数据流以 untagged 方式发送，从而导致语音数

据流与其它类型的数据流混在一起，无法进行区分。

在设备上配置 LLDP 兼容 CDP 功能后，设备就可以利用 LLDP 来接收、识别 IP 电话所发送的 CDP报文，并向 IP 电话回复 CDP 报文，该 CDP 报文携带设备所配 Voice VLAN 的 VLAN ID 信息。IP电话收到该 CDP 报文后即可以完成 Voice VLAN 的自动配置，从而将语音数据流限制在设备所配

置的 Voice VLAN 中传输，与其它数据流区分开来。

1.4.1 配置准备

在配置 LLDP 兼容 CDP 功能之前，需完成以下任务：

全局使能 LLDP 功能。

在设备与 IP 电话相连接的端口上使能 LLDP 功能，并配置端口的 LLDP 工作模式为 TxRx。

1.4.2 配置 LLDP 兼容 CDP 功能

LLDP 兼容 CDP 功能有以下两种工作模式：

TxRx：既发送也接收 CDP 报文。

Disable：既不发送也不接收 CDP 报文。

要使 LLDP 兼容 CDP 功能生效，必须先在全局使能 LLDP 兼容 CDP 功能，并将 LLDP 兼容 CDP功能的工作模式配置为 TxRx。

表1-14 配置 LLDP 兼容 CDP 功能

操作命令说明


使能 LLDP 兼容 CDP 功能 lldp compliance cdp 必选

缺省情况下，LLDP 兼容 CDP 功



1-10

操作命令说明

配置 LLDP 兼容 CDP 功能的工

作模式为 TxRx lldp compliance admin-status cdp txrx

必选

缺省情况下，LLDP 兼容 CDP 功

能的工作模式为 Disable

由于CDP报文所携TTL TLV中TTL的最大值为 255，而TTL＝Min（65535，（TTL乘数×发送LLDP报文的时间间隔）），因此为保证LLDP兼容CDP功能的正常运行，应确保TTL乘数与发送LLDP报文的时间间隔的乘积不大于 255。TTL乘数及发送LLDP报文的时间间隔均可以通过命令行进行配

置，具体请参见 1.3.7 调整LLDP相关参数。

1.5 配置 LLDP Trap 功能

使能 LLDP Trap 功能后，设备可以通过向网管系统发送 Trap 信息以通告如发现新邻居、与原来邻

居的通信链路发生故障等重要事件。

发送 LLDP Trap 信息的时间间隔是指设备向网管系统发送 Trap 信息的最小时间间隔，通过调整该

时间间隔，可以避免由于邻居信息频繁变化而导致 Trap 信息的频繁发送。

表1-15 配置 LLDP Trap 功能

操作命令说明



使能 LLDP Trap 功能 lldp notification remote-change enable必选

缺省情况下，LLDP Trap 功能处

于关闭状态


配置发送 LLDP Trap 信息的时

间间隔 lldp timer notification-interval interval

可选

缺省情况下，发送 LLDP Trap信息的时间间隔为 5 秒

1.6 LLDP 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 LLDP 的运行情况，通过查看

显示信息验证配置的效果。

表1-16 LLDP 显示和维护

操作命令

显示待发送的 LLDP 信息 display lldp local-information [ global | interface interface-type interface-number ]

显示由邻居设备发来的 LLDP 信息 display lldp neighbor-information [ interface interface-type interface-number ] [ brief ]

1-11

操作命令

显示 LLDP 统计信息 display lldp statistics [ global | interface interface-type interface-number ]

显示 LLDP 状态信息 display lldp status [ interface interface-type interface-number ]

显示端口上可发送的可选 TLV 信息 display lldp tlv-config [ interface interface-type interface-number ]

1.7 LLDP 典型配置举例

1.7.1 LLDP 基本功能配置举例

1. 组网需求

NMS（Network Management System，网络管理系统）通过以太网与 Switch A 相连，Switch

A 通过 Ethernet1/0/1 和 Ethernet1/0/2 分别与 MED 设备和 Switch B 相连。

通过在 Switch A 和 Switch B 上配置 LLDP 功能，使 NMS 可以对 Switch A 上的链路通信情况

进行判断。

2. 组网图

图1-4 LLDP 基本功能配置组网图

3. 配置步骤

(1) 配置 Switch A

# 全局使能 LLDP 功能。


[SwitchA] lldp enable

# 在端口 Ethernet1/0/1 和 Ethernet1/0/2 上分别使能 LLDP 功能（此步骤可省略，LLDP 功能在端

口上缺省使能），并配置 LLDP 工作模式为 Rx。


[SwitchA-Ethernet1/0/1] lldp enable

[SwitchA-Ethernet1/0/1] lldp admin-status rx




[SwitchA-Ethernet1/0/2] lldp admin-status rx


1-12

(2) 配置 Switch B

# 全局使能 LLDP 功能。


[SwitchB] lldp enable

# 在端口 Ethernet1/0/1 上使能 LLDP 功能（此步骤可省略，LLDP 功能在端口上缺省使能），并配

置 LLDP 工作模式为 Tx。

[SwitchB] interface ethernet 1/0/1

[SwitchB-Ethernet1/0/1] lldp enable

[SwitchB-Ethernet1/0/1] lldp admin-status tx



# 显示 Switch A 上所有端口的 LLDP 状态信息。

[SwitchA] display lldp status

Global status of LLDP : Enable

The current number of LLDP neighbors : 2

The current number of CDP neighbors : 0

LLDP neighbor information last changed time: 0 days,0 hours,4 minutes,40 seconds

Transmit interval : 30s

Hold multiplier : 4

Reinit delay : 2s

Transmit delay : 2s

Trap interval : 5s

Fast start times : 3

Port 1 [Ethernet1/0/1]:

Port status of LLDP : Enable

Admin status : Rx_Only

Trap flag : No

Roll time : 0s

Number of neighbors : 1

Number of MED neighbors : 1

Number of CDP neighbors : 0

Number of sent optional TLV : 0

Number of received unknown TLV : 0




Trap flag : No

Roll time : 0s




1-13



由此可见，Switch A 的端口 Ethernet1/0/1 上连接了一个 MED 邻居设备，Ethernet1/0/2 上则连接

了一个非 MED 邻居设备，且这两个端口的 LLDP 工作模式都为 Rx，即只接收而不发送 LLDP 报文。

# 将 Switch A 和 Switch B 间的链路断掉后，再显示 Switch A 上所有端口的 LLDP 状态信息。

[SwitchA] display lldp status

Global status of LLDP : Enable

The current number of LLDP neighbors : 1

The current number of CDP neighbors : 0

LLDP neighbor information last changed time: 0 days,0 hours,5 minutes,20 seconds

Transmit interval : 30s

Hold multiplier : 4

Reinit delay : 2s

Transmit delay : 2s

Trap interval : 5s

Fast start times : 3




Trap flag : No

Roll time : 0s









Trap flag : No

Roll time : 0s






由此可见，Switch A 的端口 Ethernet1/0/2 上已经没有任何邻居设备了。

1.7.2 LLDP 兼容 CDP 功能配置举例

1. 组网需求

Switch A 通过 Ethernet1/0/1 和 Ethernet1/0/2 分别与两部 Cisco 的 IP 电话相连；

1-14

在 Switch A 上配置 VLAN ID 为 2 的 Voice VLAN，通过在 Switch A 上配置 LLDP 兼容 CDP

功能使 IP 电话完成 Voice VLAN 的自动配置，以使语音数据流被限制在 Voice VLAN 内，与

其它数据流区分开来。

2. 组网图

图1-5 LLDP 兼容 CDP 功能配置组网图

3. 配置步骤

(1) 在 Switch A 上配置 Voice VLAN

# 创建 VLAN 2。


[SwitchA] vlan 2


# 分别将端口 Ethernet1/0/1 和 Ethernet1/0/2 配置为 Trunk 端口，并使能 Voice VLAN 功能。



[SwitchA-Ethernet1/0/1] voice vlan 2 enable




[SwitchA-Ethernet1/0/2] voice vlan 2 enable


(2) 在 Switch A 上配置 LLDP 兼容 CDP 功能

# 全局使能 LLDP 功能以及 LLDP 兼容 CDP 功能。

[SwitchA] lldp enable

[SwitchA] lldp compliance cdp

# 在端口 Ethernet1/0/1 和 Ethernet1/0/2 上分别使能 LLDP 功能（此步骤可省略，LLDP 功能在端

口上缺省使能），配置 LLDP 工作模式为 TxRx，并配置 LLDP 兼容 CDP 功能的工作模式为 TxRx。



[SwitchA-Ethernet1/0/1] lldp admin-status txrx

[SwitchA-Ethernet1/0/1] lldp compliance admin-status cdp txrx




[SwitchA-Ethernet1/0/2] lldp admin-status txrx

[SwitchA-Ethernet1/0/2] lldp compliance admin-status cdp txrx



1-15

# 显示 Switch A 上的邻居信息。

[SwitchA] display lldp neighbor-information

CDP neighbor-information of port 1[Ethernet1/0/1]:

CDP neighbor index : 1

Chassis ID : SEP00141CBCDBFE

Port ID : Port 1

Sofrware version : P0030301MFG2

Platform : Cisco IP Phone 7960

Duplex : Full

CDP neighbor-information of port 2[Ethernet1/0/2]:

CDP neighbor index : 2

Chassis ID : SEP00141CBCDBFF

Port ID : Port 1

Sofrware version : P0030301MFG2

Platform : Cisco IP Phone 7960

Duplex : Full

由此可见，Switch A 已发现了分别连接在端口 Ethernet1/0/1 和 Ethernet1/0/2 上的 IP 电话，并获

取到了相关的设备信息。

i

目录

1 PKI配置 ............................................................................................................................................. 1-1

1.1 PKI简介 ............................................................................................................................................. 1-1

1.1.1 概述 ........................................................................................................................................ 1-1 1.1.2 相关术语 ................................................................................................................................. 1-1 1.1.3 体系结构 ................................................................................................................................. 1-2 1.1.4 主要应用 ................................................................................................................................. 1-2 1.1.5 PKI的工作过程........................................................................................................................1-3

1.2 PKI配置任务简介...............................................................................................................................1-3

1.3 配置实体DN....................................................................................................................................... 1-4

1.4 配置PKI域.......................................................................................................................................... 1-5

1.5 PKI证书申请 ...................................................................................................................................... 1-7

1.5.1 自动申请证书 ..........................................................................................................................1-7 1.5.2 手工申请证书 ..........................................................................................................................1-7

1.6 手工获取证书..................................................................................................................................... 1-8

1.7 配置PKI证书验证...............................................................................................................................1-9

1.8 销毁本地RSA密钥对 .......................................................................................................................1-10

1.9 删除证书.......................................................................................................................................... 1-10

1.10 配置证书属性的访问控制策略 .......................................................................................................1-10

1.11 PKI显示和维护 ..............................................................................................................................1-11

1.12 PKI典型配置举例...........................................................................................................................1-11

1.12.1 PKI实体向CA申请证书（方式一） ..................................................................................... 1-12 1.12.2 PKI实体向CA申请证书（方式二） ..................................................................................... 1-15

1.13 常见配置错误举例 .........................................................................................................................1-18

1.13.1 获取CA证书失败 .................................................................................................................1-18 1.13.2 本地证书申请失败...............................................................................................................1-19 1.13.3 CRL获取失败 ......................................................................................................................1-19

1-1

1 PKI 配置

1.1 PKI 简介

1.1.1 概述

PKI（Public Key Infrastructure，公钥基础设施）是一个利用公共密钥理论和技术来实现并提供信

息安全服务的具有通用性的安全基础设施。

公共密钥体制也称为非对称密钥体制，是目前应用最广泛的一种加密体制，在这一体制中，它使用

一个非对称的密钥对，分别是一个公开的加密密钥（公钥）和一个保密的解密密钥（私钥），用公

钥加密的信息只能用私钥解密，反之亦然。由于公钥是公开的，需要在网上传送，故公钥的管理问

题就是公共密钥体制所需要解决的关键问题。

目前，PKI 系统中引出的数字证书机制就是一个很好的解决方案。基于公共密钥技术的数字证书是

一个用户的身份和他所持有的公钥的结合，它是使用 PKI 系统的用户建立安全通信的信任基础。

基于数字证书的 PKI 系统，能够为网络通信和网络交易，特别是电子政务和电子商务业务，透明地

提供一整套安全服务，主要包括身份认证、保密、数据完整性和不可否认性。

目前，我司的 PKI 可为安全协议 SSL 提供证书管理机制。

1.1.2 相关术语

1. 数字证书

数字证书是一个经 CA（Certificate Authority，证书机构）签名的、包含公开密钥及相关的用户身份

信息的文件，它建立了用户身份信息与用户公钥的关联。CA 对数字证书的签名保证了证书的合法

性和权威性。数字证书的格式遵循 ITU-T X.509 国际标准，目前最常用的为 X.509 V3 标准。一个

数字证书中包含多个字段，包括证书签发者的名称、主体的公钥信息、CA 对证书的数字签名、证

书的有效期等。

本手册中涉及两类证书：本地（local）证书和 CA（Certificate Authority）证书。本地证书是 CA 签

发给用户的数字证书；CA 证书是 CA 自身的证书。若 PKI 系统中存在多个 CA，则会形成一个 CA层次结构，最上层的 CA 是根 CA，它拥有一个 CA“自签名”的证书。

2. 证书废除列表（CRL，Certificate Revocation List）

由于用户姓名的改变、私钥泄漏或业务中止等原因，需要存在一种方法将现行的证书撤消，即撤消

公开密钥及相关的用户身份信息的绑定关系。在 PKI 中，所使用的这种方法为证书废除列表。任何

一个证书被废除以后，CA 就要发布 CRL 来声明该证书是无效的，并列出所有被废除的证书的序列

号。CRL 提供了一种检验证书有效性的方式。

当一个 CRL 的撤消信息过多时会导致 CRL 的发布规模变得非常庞大，且随着 CRL 大小的增加，网

络资源的使用性能也会随之下降。为了避免这种情况，允许一个 CA 的撤消信息通过多个 CRL 发布

出来，并且使用 CRL 发布点来指出这些小 CRL 的位置。

3. CA 策略

CA 在受理证书请求、颁发证书、吊销证书和发布 CRL 时所采用的一套标准被称为 CA 策略。通常，

CA 以一种叫做证书惯例声明（CPS，Certification Practice Statement）的文档发布其策略，CA 策

1-2

略可以通过带外（如电话、磁盘、电子邮件等）或其他方式获取。由于不同的 CA 使用不同的方法

验证公开密钥与实体之间的绑定，所以在选择信任的 CA 进行证书申请之前，必须理解 CA 策略，

从而指导对实体进行相应的配置。

1.1.3 体系结构

一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成，如下图 1-1。

图1-1 PKI 体系结构图

1. 终端实体

终端实体是 PKI 产品或服务的最终使用者，可以是个人、组织、设备（如交换机）或计算机中运行

的进程。

2. 证书机构（CA，Certificate Authority）

CA 是 PKI 的信任基础，是一个用于签发并管理数字证书的可信实体。其作用包括：发放证书、规

定证书的有效期和通过发布 CRL 确保必要时可以废除证书。

3. 注册机构（RA，Registration Authority）

RA 是 CA 的延伸，可作为 CA 的一部分，也可以独立。RA 功能包括个人身份审核、CRL 管理、密

钥对产生和密钥对备份等。PKI 国际标准推荐由一个独立的 RA 来完成注册管理的任务，这样可以

增强应用系统的安全性。

4. PKI 存储库

PKI 存储库包括 LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）服务器和

普通数据库，用于对用户申请、证书、密钥、CRL 和日志等信息进行存储和管理，并提供一定的查

询功能。

LDAP 提供了一种访问 PKI 存储库的方式，通过该协议来访问并管理 PKI 信息。LDAP 服务器负责

将 RA 服务器传输过来的用户信息以及数字证书进行存储，并提供目录浏览服务。用户通过访问

LDAP 服务器获取自己和其他用户的数字证书。

1.1.4 主要应用

PKI 技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施，PKI 的应用范围

非常广泛，并且在不断发展之中，下面给出几个应用实例。

1-3

1. 虚拟专用网络（VPN，Virtual Private Network）

VPN 是一种构建在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（如 IPSec）和

建立在 PKI 上的加密与数字签名技术来获得机密性保护。

2. 安全电子邮件

电子邮件的安全也要求机密、完整、认证和不可否认，而这些都可以利用 PKI 技术来实现。目前发

展很快的安全电子邮件协议 S/MIME(Secure/Multipurpose Internet Mail Extensions，安全/多用途

Internet 邮件扩充协议)，是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于 PKI技术。

3. Web 安全

为了透明地解决 Web 的安全问题，在两个实体进行通信之前，先要建立 SSL（Secure Sockets Layer，安全套接字层）连接，以此实现对应用层透明的安全通信。利用 PKI 技术，SSL 协议允许

在浏览器和服务器之间进行加密通信。此外，服务器端和浏览器端通信时双方可以通过数字证书确

认对方的身份。

1.1.5 PKI 的工作过程

针对一个使用 PKI 的网络，配置 PKI 的目的就是为指定的实体向 CA 申请一个本地证书，并由设备

对证书的有效性进行验证。下面是 PKI 的工作过程：

(1) 实体向 RA 提出证书申请；

(2) RA 审核实体身份，将实体身份信息和公开密钥以数字签名的方式发送给 CA；

(3) CA 验证数字签名，同意实体的申请，颁发证书；

(4) RA 接收 CA 返回的证书，发送到 LDAP 服务器以提供目录浏览服务，并通知实体证书发行成

功；

(5) 实体获取证书，利用该证书可以与其它实体使用加密、数字签名进行安全通信；

(6) 实体希望撤消自己的证书时，向 CA 提交申请。CA 批准实体撤消证书，并更新 CRL，发布到

LDAP 服务器。

1.2 PKI 配置任务简介

表1-1 PKI 配置任务简介


配置实体 DN 必选 1.3

配置 PKI 域必选 1.4

自动申请证书 1.5.1 PKI 证书申请

手工申请证书二者必选其一

1.5.2

手工获取证书可选 1.6

配置 PKI 证书验证可选 1.7

销毁本地 RSA 密钥对可选 1.8

删除证书可选 1.9

配置证书属性的访问控制策略可选 1.10

1-4

1.3 配置实体 DN

一份证书是一个公开密钥与一个身份的绑定，而身份必须与一个特定的 PKI 实体相关联。实体 DN（Distinguished Name，可识别名称）的参数是实体的身份信息，CA 根据实体提供的身份信息来

唯一标识证书申请者。

实体 DN 的参数包括：

实体通用名

实体所属国家代码，用标准的 2 字符代码表示。例如，“CN”是中国的合法国家代码，“US”

是美国的合法国家代码

实体 FQDN（Fully Qualified Domain Name，合格域名），是实体在网络中的唯一标识，由

一个主机名和域名组成，可被解析为 IP 地址。例如，www 是一个主机名，whatever.com 是

一个域名，则 www.whatever.com 就是一个 FQDN。

实体 IP 地址

实体所在地理区域名称

实体所属组织名称

实体所属部门名称

实体所属州省

实体 DN 的配置必须与 CA 证书颁发策略相匹配，以确认实体 DN 的配置任务，如哪些实体参数为

必选配置，哪些为可选配置。申请者的身份信息必须符合 CA 证书颁发策略，否则证书申请可能会

失败。

表1-2 配置实体 DN

操作命令说明


创建一个实体，并进入该实体视图 pki entity entity-name 必选

缺省情况下，无实体存在

配置实体通用名 common-name name 可选

缺省情况下，未配置实体的通用名

配置实体所属国家代码 country country-code-str 可选

缺省情况下，未配置实体所属国家代码

配置实体 FQDN fqdn name-str 可选

缺省情况下，未配置实体 FQDN

配置实体 IP 地址 ip ip-address 可选

缺省情况下，未配置实体 IP 地址

配置实体所在地理区域名称 locality locality-name 可选

缺省情况下，未配置实体所在地理区域

1-5

操作命令说明

配置实体所属组织名称 organization org-name 可选

缺省情况下，未配置实体所属组织

配置实体所属部门名称 organization-unit org-unit-name

可选

缺省情况下，未配置实体所属部门

配置实体所属州省 state state-name 可选

缺省情况下，未配置实体所属州省

目前设备上最多可以创建两个实体。 Windows 2000 CA 服务器对证书申请的数据长度有一定的限制。实体 DN 配置项超过一定数据

长度时，申请证书没有回应。

1.4 配置 PKI 域

实体在进行 PKI 证书申请操作之前需要配置一些注册信息来配合完成申请的过程。这些信息的集合

就是一个实体的 PKI 域。

PKI 域是一个本地概念，因此创建 PKI 域的目的是便于其它应用引用 PKI 的配置，比如 SSL 等。一

个设备上配置的 PKI 域对 CA 和其它设备是不可见的，每一个 PKI 域有单独的域参数配置信息。

PKI 域中包括以下参数：

信任的 CA 名称

在申请证书时，是通过一个可信实体认证机构，来完成实体证书的注册颁发，因此必须指定一个信

任的 CA 名称。

实体名称

向 CA 发送证书申请请求时，必须指定所使用的实体名，以向 CA 表明自己的身份。

证书申请的注册机构

证书申请的受理一般由一个独立的注册机构（即 RA）来承担，它接收用户的注册申请，审查用户

的申请资格，并决定是否同意 CA 给其签发数字证书。注册机构并不给用户签发证书，而只是对用

户进行资格审查。有时 PKI 把注册管理的职能交给 CA 来完成，而不设立独立运行的 RA，但这并

不是取消了 PKI 的注册功能，而只是将其作为 CA 的一项功能而已。PKI 推荐独立使用 RA 作为注

册审理机构。

注册服务器的 URL

证书申请之前必须指定注册服务器的 URL，随后实体可通过简单证书注册协议（SCEP，Simple Certification Enrollment Protocol）向该服务器提出证书申请，SCEP 是专门用于与认证机构进行通

信的协议。

证书申请状态查询的周期和次数

1-6

实体在发送证书申请后，如果 CA 采用手工验证申请，证书的发布会需要很长时间。在此期间，客

户端需要定期发送状态查询，以便在证书签发后能及时获取到证书。客户端可以配置证书申请状态

的查询周期和次数。

LDAP 服务器 IP 地址

在 PKI 系统中，用户的证书和 CRL 信息的存储是一个非常核心的问题。一般采用 LDAP 服务器来

存储证书和 CRL，这时就需要指定 LDAP 服务器的位置。

验证根证书时使用的指纹

当设备从 CA 获得根证书时，需要验证 CA 根证书的指纹，即根证书内容的散列值，该值对于每一

个证书都是唯一的。如果 CA 根证书的指纹与在 PKI 域中配置的指纹不同，则设备将拒绝接收根证

书。

表1-3 配置 PKI 域

配置任务命令说明


创建一个 PKI 域，并进入 PKI 域视图 pki domain domain-name 必选

配置信任的 CA 名称 ca identifier name 必选

缺省情况下，未配置信任的 CA 名

称

指定实体名称 certificate request entity entity-name

必选

缺省情况下，未指定实体名称

指定的实体名称必须已创建

配置证书申请的注册受理机构 certificate request from { ca | ra }必选

缺省情况下，未指定证书申请的

注册受理机构

配置注册服务器 URL certificate request url url-string 必选

缺省情况下，未指定注册服务器URL

配置证书申请状态查询的周期和次数 certificate request polling { count count | interval minutes }

可选

缺省情况下，证书申请状态查询

周期为 20 分钟，每一个周期内查

询 5 次

配置 LDAP 服务器 ldap-server ip ip-address [ port port-number ] [ version version-number ]

可选

缺省情况下，未指定 LDAP 服务

器

配置验证根证书时使用的指纹 root-certificate fingerprint { md5 | sha1 } string

当证书申请方式为自动方式时，

此配置必选；当证书申请方式为

手工方式时，此配置可选，若不

配置，需要用户自行验证根证书

指纹

缺省情况下，未指定验证根证书

时使用的指纹

1-7

目前一个设备只支持同时创建两个 PKI 域。 CA 的名称只是在获取 CA 证书时使用，申请本地证书时不会用到。目前，注册服务器 URL 的配置不支持域名解析。

1.5 PKI 证书申请

证书申请就是实体向 CA 自我介绍的过程。实体向 CA 提供身份信息，以及相应的公开密钥，这些

信息将成为颁发给该实体证书的主要组成部分。实体向 CA 提出证书申请，有离线和在线两种方式。

离线申请方式下，CA 允许申请方通过带外方式（如电话、磁盘、电子邮件等）向 CA 提供申请信

息。

在线证书申请有手工发起和自动发起两种方式。

1.5.1 自动申请证书

配置证书申请方式为自动方式后，在没有本地证书时实体自动通过 SCEP 协议进行申请，而且在证

书即将过期时自动申请新的证书。

表1-4 自动申请证书

操作命令说明


进入 PKI 域视图 pki domain domain-name -

配置证书申请为自动方式 certificate request mode auto [ key-length key-length | password { cipher | simple } password ] *

必选

缺省情况下，证书申请为手

工方式

1.5.2 手工申请证书

配置证书申请方式为手工方式后，需要手工完成获取 CA 证书、生成密钥对、申请本地证书的工作。

获取 CA 证书的目的是用来验证本地证书的真实性和合法性。

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥：私钥和公钥。私钥由

用户保留，公钥和其他信息则交由 CA 中心进行签名，从而产生证书。

表1-5 手工申请证书

操作命令说明



配置证书申请为手工方式 certificate request mode manual 可选

缺省情况下，证书申请为手

工方式


手工获取 CA 证书请参见 1.6 必选

1-8

操作命令说明

生成本地 RSA 密钥对 public-key local create rsa 必选

缺省情况下，本地没有 RSA密钥对。

手工申请本地证书 pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ] 必选

若本地证书已存在，为保证密钥对与现存证书的一致性，不应执行创建密钥对命令，必须在删除

本地证书后再执行 public-key local create 命令生成新的密钥对。创建的新密钥对将覆盖旧密钥对。若本地已有 RSA 密钥对，执行 public-key local create 命令

时，系统会提示是否替换原有密钥对。如果本地证书已存在，则不允许再执行证书申请操作，以避免因相关配置的修改使得证书与注册

信息不匹配。若想重新申请，请先使用 pki delete-certificate 命令删除存储于本地的 CA 证书与

本地证书，然后再执行 pki request-certificate domain 命令。当无法通过 SCEP 协议向 CA 在线申请证书时，可以使用可选参数 pkcs10 打印出本地的证书申

请信息。用户保存证书申请信息，并将其通过带外方式发送给 CA 进行证书申请。证书申请之前必须保证实体时钟与 CA 的时钟同步，否则申请证书的有效期会出现异常。 pki request-certificate domain 配置不能被保存在配置文件中。

1.6 手工获取证书

用户通过此配置可以将已存在的 CA 证书、本地证书或者外部实体证书获取至本地。获取证书有两

种方式：离线方式和在线方式。离线方式下获取证书需要通过带外方式（如 FTP、磁盘、电子邮件

等）取得证书，然后将其导入至本地。

获取证书的目的有两个：

将 CA 签发的与实体所在安全域有关的证书存放到本地，以提高证书的查询效率，减少向 PKI

证书存储库查询的次数。

为证书的验证做好准备。

在线获取本地证书之前必须完成 LDAP 服务器的配置。

表1-6 手工获取证书

操作命令说明


在线方式 pki retrieval-certificate { ca | local } domain domain-name

手工获取证书离线方式导

入证书

pki import-certificate { ca | local } domain domain-name { der | p12 | pem } [ filename filename ]

二者必选其一

1-9

如果本地已有 CA 证书存在，则不允许执行手工获取 CA 证书的操作，避免因相关配置的修改使

得证书与注册信息不匹配。若想重新获取，请先使用 pki delete-certificate 命令删除 CA 证书与

本地证书后，再执行此命令。 pki retrieval-certificate 配置不能被保存在配置文件中。

1.7 配置 PKI 证书验证

在使用每一个证书之前，必须对证书进行验证。证书验证包括对签发时间、签发者信息以及证书的

有效性几方面进行验证。证书验证的核心是检查 CA 在证书上的签名，并确定证书仍在有效期内，

而且未被废除，因此在进行证书验证操作之前必须首先获取 CA 证书。

配置证书验证时可以设置是否必须进行 CRL 检查。如果配置为使能 CRL 检查，则检验证书的有效

性，必须通过 CRL 判断。

表1-7 配置使能 CRL 检查的证书验证

操作命令说明



配置 CRL 发布点的 URL crl url url-string 可选

缺省情况下，未指定 CRL 发布点的URL

配置 CRL 的更新周期 crl update-period hours 可选

缺省情况下，CRL 的更新周期为 0，即不进行更新

使能 CRL 检查 undo crl check disable 可选

缺省情况下，CRL 检查处于开启状态


获取 CA 证书请参见 1.6 必选

获取 CRL 并下载至本地 pki retrieval-crl domain domain-name 必选

检验证书的有效性 pki validate-certificate { ca | local } domain domain-name 必选

表1-8 配置不使能 CRL 检查的 PKI 证书验证

操作命令说明



禁止 CRL 检查 crl check disable 必选

缺省情况下，CRL 检查处于开启状态


1-10

操作命令说明

获取 CA 证书请参见 1.6 必选

检验证书的有效性 pki validate-certificate { ca | local } domain domain-name 必选

CRL 的更新周期是指本地从 CRL 存储服务器下载 CRL 的时间间隔。手工配置的 CRL 更新周期

将优先于 CRL 文件中指定的更新时间。 pki retrieval-crl domain 命令不能被保存在配置文件中。目前，CRL 发布点 URL 的配置不支持域名解析。

1.8 销毁本地 RSA 密钥对

由 CA 颁发的证书都会设置有效期，证书生命周期的长短由签发证书的 CA 中心来确定。当用户的

私钥被泄漏或证书的有效期快到时，用户应该删除旧的密钥对，产生新的密钥对，重新申请新的证

书。通过此配置用户可以销毁本地 RSA 密钥对。

表1-9 销毁本地 RSA 密钥对

操作命令说明


销毁本地 RSA 密钥对 public-key local destroy rsa 必选

1.9 删除证书

证书过期或希望重新申请证书，可以通过此配置删除一个已经存在的本地证书或 CA 证书。

表1-10 配置删除证书

操作命令说明


配置删除证书 pki delete-certificate { ca | local } domain domain-name 必选

1.10 配置证书属性的访问控制策略

通过配置证书属性的访问控制策略，可以对用户的访问权限进行进一步的控制，保证了与之通信的

服务器的安全性。

表1-11 配置证书属性的访问控制策略

操作命令说明


1-11

操作命令说明

创建证书属性组，并进入证书

属性组视图 pki certificate attribute-group group-name

必选

缺省情况下，不存在证书属性组

配置证书颁发者名、证书主题

名及备用主题名的属性规则

attribute id { alt-subject-name { fqdn | ip } | { issuer-name | subject-name } { dn | fqdn | ip } } { ctn | equ | nctn | nequ} attribute-value

可选

缺省情况下，对证书颁发者名、证

书主题名及备用主题名没有限制


创建证书属性访问控制策略，

并进入证书属性访问控制策

略视图

pki certificate access-control-policy policy-name

必选

缺省情况下，不存在证书属性访问

控制策略

配置证书属性控制规则 rule [ id ] { deny | permit } group-name 必选

缺省情况下，不存在证书属性控制

规则

配置证书属性控制规则时，group-name 必须是已存在的证书属性组的名称。

1.11 PKI 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 PKI 的运行情况，通过查看显


表1-12 PKI 显示和维护

操作命令

显示证书内容或证书申请状态 display pki certificate { { ca | local } domain domain-name | request-status }

显示 CRL 内容 display pki crl domain domain-name

显示证书属性组的信息 display pki certificate attribute-group { group-name | all }

显示证书属性访问控制策略的信息 display pki certificate access-control-policy { policy-name | all }

1.12 PKI 典型配置举例

当采用 Windows Server 作为 CA 时，需要安装 SCEP 插件。此时，配置 PKI domain 时，需要

使用 certificate request from ra 命令指定实体从 RA 注册申请证书。当采用 RSA Keon 软件时，不需要安装 SCEP 插件。此时，配置 PKI domain 时，需要使用

certificate request from ca 命令指定实体从 CA 注册申请证书。

1-12

1.12.1 PKI 实体向 CA 申请证书（方式一）

本配置举例中，CA 服务器上采用 RSA Keon 软件。

1. 组网需求

在作为 PKI 实体的设备 Switch 上进行相关配置，实现以下需求：

设备向 CA 服务器申请本地证书

获取 CRL 为证书验证做准备

2. 组网图

图1-2 PKI 实体向 CA 申请证书组网图

3. 配置步骤

CA 服务器端的配置

(1) 创建 CA 服务器 myca

在本例中，CA 服务器上首先需要进行基本属性 Nickname 和 Subject DN 的配置。其它属性选择默

认值。其中，Nickname 为可信任的 CA 名称，Subject DN 为 CA 的 DN 属性，包括 CN、OU、O和 C。

(2) 配置扩展属性

基本属性配置完毕之后，还需要在生成的 CA 服务器管理页面上对“Jurisdiction Configuration”进

行配置，主要内容包括：根据需要选择合适的扩展选项；启动自动颁发证书功能；添加可以自动颁

发证书的地址范围。

(3) 配置 CRL 发布

CA 服务器的基本配置完成之后，需要进行 CRL 的相关配置。

本例中选择 CRL 的发布方式为 HTTP ，自动生成 CRL 发布点的 URL 为

http://4.4.4.133:447/myca.crl。

以上配置完成之后，还需要保证设备的系统时钟与 CA 的时钟同步才可以正常使用设备来申请证书

和获取 CRL。

设备 Switch 上的配置

(1) 配置实体命名空间

# 配置实体名称为 aaa，通用名为 router。


[Switch] pki entity aaa

1-13

[Switch-pki-entity-aaa] common-name router

[Switch-pki-entity-aaa] quit

(2) 配置 PKI 域参数

# 创建并进入 PKI 域 torsa。

[Switch] pki domain torsa

# 配置可信任的 CA 名称为 myca。

[Switch-pki-domain-torsa] ca identifier myca

# 配置注册服务器 URL，格式为 http://host:port/Issuing Jurisdiction ID。其中的 Issuing Jurisdiction ID 为 CA 服务器上生成的 16 进制字符串。

[Switch-pki-domain-torsa] certificate request url

http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337

# 配置证书申请的注册受理机构为 CA。

[Switch-pki-domain-torsa] certificate request from ca

# 指定实体名称为 aaa。

[Switch-pki-domain-torsa] certificate request entity aaa

# 配置 CRL 发布点位置。

[Switch-pki-domain-torsa] crl url http://4.4.4.133:447/myca.crl

[Switch-pki-domain-torsa] quit

(3) 用 RSA 算法生成本地密钥对 [Switch] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It may take a few minutes.

Input the bits in the modulus [default = 1024]:

Generating keys...

........++++++

....................................++++++

.......++++++++

......................++++++++

.

(4) 证书申请

# 获取 CA 证书并下载至本地。

[Switch] pki retrieval-certificate ca domain torsa

Retrieving CA/RA certificates. Please wait a while......

The trusted CA's finger print is:

MD5 fingerprint:EDE9 0394 A273 B61A F1B3 0072 A0B1 F9AB

SHA1 fingerprint: 77F9 A077 2FB8 088C 550B A33C 2410 D354 23B2 73A8

Is the finger print correct?(Y/N):y

Saving CA/RA certificates chain, please wait a moment......

CA certificates retrieval success.

1-14

# 获取 CRL 并下载至本地。

[Switch] pki retrieval-crl domain torsa

Connecting to server for retrieving CRL. Please wait a while.....

CRL retrieval success!

# 手工申请本地证书。

[Switch] pki request-certificate domain torsa challenge-word

Certificate is being requested, please wait......

Certificate request Successfully!

Saving the local certificate to device......

Done!


# 通过以下显示命令可以查看获取的本地证书信息。

<Switch> display pki certificate local domain torsa

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

9A96A48F 9A509FD7 05FFF4DF 104AD094

Signature Algorithm: sha1WithRSAEncryption

Issuer:

C=cn

O=org

OU=test

CN=myca

Validity

Not Before: Jan 8 09:26:53 2007 GMT

Not After : Jan 8 09:26:53 2008 GMT

Subject:

CN=Switch

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

RSA Public Key: (1024 bit)

Modulus (1024 bit):

00D67D50 41046F6A 43610335 CA6C4B11

F8F89138 E4E905BD 43953BA2 623A54C0

EA3CB6E0 B04649CE C9CDDD38 34015970

981E96D9 FF4F7B73 A5155649 E583AC61

D3A5C849 CBDE350D 2A1926B7 0AE5EF5E

D1D8B08A DBF16205 7C2A4011 05F11094

73EB0549 A65D9E74 0F2953F2 D4F0042F

19103439 3D4F9359 88FB59F3 8D4B2F6C

2B

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 CRL Distribution Points:

1-15

URI:http://4.4.4.133:447/myca.crl


836213A4 F2F74C1A 50F4100D B764D6CE

B30C0133 C4363F2F 73454D51 E9F95962

EDE9E590 E7458FA6 765A0D3F C4047BC2

9C391FF0 7383C4DF 9A0CCFA9 231428AF

987B029C C857AD96 E4C92441 9382E798

8FCC1E4A 3E598D81 96476875 E2F86C33

75B51661 B6556C5E 8F546E97 5197734B

C8C29AC7 E427C8E4 B9AAF5AA 80A75B3C

关于获取的 CA 证书及 CRL 文件的详细信息可以通过相应的显示命令来查看，此处略。具体内容请

参考命令 display pki certificate ca domain 和 display pki crl domain。

1.12.2 PKI 实体向 CA 申请证书（方式二）

本配置举例中，采用 Windows 2003 server 做 CA 服务器。

1. 组网需求

配置 PKI 实体 Switch 向 CA 服务器申请本地证书。

2. 组网图

图1-3 PKI 实体向 CA 申请证书组网图

3. 配置步骤

CA 服务器端的配置

(1) 安装证书服务器组件

打开[控制面板]/[添加/删除程序]，选择[添加/删除 Windows 组件]中的“证书服务”进行安装。

(2) 安装 SCEP 插件

由于 Windows 2003 server 作为 CA 服务器时，缺省情况下不支持 SCEP，所以需要安装 SCEP 插

件，才能使设备具备证书自动注册、获取等功能。插件安装完毕后，弹出提示框，提示框中的 URL地址即为设备上配置的注册服务器地址。

(3) 修改证书服务的属性

完成上述配置后，打开[控制面板/管理工具]中的[证书颁发机构]，如果安装成功，在[颁发的证书]中将存在两个 CA 颁发给 RA 的证书。选择[CA server 属性]中的“策略模块”的属性为“如果可以的

话，按照证书模板中的设置。否则，将自动颁发证书(F)。”

1-16

(4) 修改 IIS 服务的属性

打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器]，将[默认网站属性]中“主目录”的本

地路径修改为证书服务保存的路径。另外，为了避免与已有的服务冲突，建议修改默认网站的 TCP端口号为未使用的端口号。

以上配置完成之后，还需要保证设备的系统时钟与 CA 的时钟同步才可以正常使用设备来申请证书。

设备 Switch 上的配置

(1) 配置实体命名空间

# 配置实体名称为 aaa，通用名为 router。


[Switch] pki entity aaa

[Switch-pki-entity-aaa] common-name router

[Switch-pki-entity-aaa] quit

(2) 配置 PKI 域参数

# 创建并进入 PKI 域 torsa。

[Switch] pki domain torsa

# 配置可信任的 CA 名称为 myca。

[Switch-pki-domain-torsa] ca identifier myca

# 配置注册服务器 URL，格式为 http://host:port/ certsrv/mscep/mscep.dll。其中，host:port 为 CA服务器的主机地址和端口号。

[Switch-pki-domain-torsa] certificate request url

http://4.4.4.1:8080/certsrv/mscep/mscep.dll

# 配置证书申请的注册受理机构为 RA。

[Switch-pki-domain-torsa] certificate request from ra

# 指定实体名称为 aaa。

[Switch-pki-domain-torsa] certificate request entity aaa

(3) 用 RSA 算法生成本地密钥对 [Switch] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It may take a few minutes.

Input the bits in the modulus [default = 1024]:

Generating keys...

........++++++

....................................++++++

.......++++++++

......................++++++++

.

(4) 证书申请

# 获取 CA 证书并下载至本地。

[Switch] pki retrieval-certificate ca domain torsa

Retrieving CA/RA certificates. Please wait a while......

1-17

The trusted CA's finger print is:

MD5 fingerprint:766C D2C8 9E46 845B 4DCE 439C 1C1F 83AB

SHA1 fingerprint:97E5 DDED AB39 3141 75FB DB5C E7F8 D7D7 7C9B 97B4

Is the finger print correct?(Y/N):y

Saving CA/RA certificates chain, please wait a moment......

CA certificates retrieval success.

# 手工申请本地证书。

[Switch] pki request-certificate domain torsa challenge-word

Certificate is being requested, please wait............

Certificate request Successfully!

Saving the local certificate to device......

Done!


# 通过以下显示命令可以查看获取的本地证书信息。

<Switch> display pki certificate local domain torsa

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

48FA0FD9 00000000 000C


Issuer:

CN=CA server

Validity

Not Before: Nov 21 12:32:16 2007 GMT

Not After : Nov 21 12:42:16 2008 GMT

Subject:

CN=router

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

RSA Public Key: (1024 bit)

Modulus (1024 bit):

00A6637A 8CDEA1AC B2E04A59 F7F6A9FE

5AEE52AE 14A392E4 E0E5D458 0D341113

0BF91E57 FA8C67AC 6CE8FEBB 5570178B

10242FDD D3947F5E 2DA70BD9 1FAF07E5

1D167CE1 FC20394F 476F5C08 C5067DF9

CB4D05E6 55DC11B6 9F4C014D EA600306

81D403CF 2D93BC5A 8AF3224D 1125E439

78ECEFE1 7FA9AE7B 877B50B8 3280509F

6B

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Subject Key Identifier:

1-18

B68E4107 91D7C44C 7ABCE3BA 9BF385F8 A448F4E1

X509v3 Authority Key Identifier:

keyid:9D823258 EADFEFA2 4A663E75 F416B6F6 D41EE4FE

X509v3 CRL Distribution Points:

URI:http://l00192b/CertEnroll/CA%20server.crl

URI:file://\\l00192b\CertEnroll\CA server.crl

Authority Information Access:

CA Issuers - URI:http://l00192b/CertEnroll/l00192b_CA%20server.crt

CA Issuers - URI:file://\\l00192b\CertEnroll\l00192b_CA server.crt

1.3.6.1.4.1.311.20.2:

.0.I.P.S.E.C.I.n.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e


81029589 7BFA1CBD 20023136 B068840B

……（略）

关于获取的 CA 证书的详细信息可以通过相应的显示命令来查看，此处略。具体内容请参考命令

display pki certificate ca domain。


1.13.1 获取 CA 证书失败

1. 故障现象

获取 CA 证书时失败。

2. 故障分析

可能有以下原因：

网络连接故障，如网线折断，接口松动；

没有设置信任的 CA 名称；

证书申请的注册服务器 URL 位置不正确或未配置；

没有配置证书申请注册受理机构；

设备的系统时钟与 CA 的时钟不同步。

3. 处理过程

排除物理连接故障；

查看各必配项是否都正确配置；

可通过 ping 命令测试注册服务器是否连接正常；

配置证书申请注册受理机构；

保持系统时钟与 CA 同步。

1-19

1.13.2 本地证书申请失败

1. 故障现象

手工证书请求失败。

2. 故障分析



申请之前没有先获取 CA 证书；

当前的密钥对已经绑定证书；

没有设置信任的 CA 名称；

证书申请的注册服务器 URL 位置不正确或未配置；

没有配置证书申请注册受理机构；

没有配置实体 DN 中必配参数。

3. 处理过程


获取 CA 证书；

重新创建密钥对；

配置信任的 CA 名称；

可通过 ping 命令测试注册服务器是否连接正常；

配置证书申请注册受理机构；

可通过查看 CA/RA 注册策略选择相关的实体 DN 属性进行配置。

1.13.3 CRL 获取失败

1. 故障现象

获取 CRL 发生失败。

2. 故障分析



获取 CRL 之前未先取得 CA 证书；

未设置 LDAP 服务器的 IP 地址；

未设置 CRL 分布点位置；

LDAP 服务器版本配置错误。

3. 处理过程


获取 CA 证书；

设置 LDAP 服务器的 IP 地址；

设置 CRL 分布点位置；

1-20

重新配置 LDAP 版本。

i

目录

1 SSL配置 ............................................................................................................................................ 1-1

1.1 SSL简介 ............................................................................................................................................ 1-1

1.1.1 SSL安全机制 ..........................................................................................................................1-1 1.1.2 SSL协议结构 ..........................................................................................................................1-1

1.2 SSL配置任务简介..............................................................................................................................1-2

1.3 配置SSL服务器端策略 ......................................................................................................................1-2

1.3.1 配置准备 ................................................................................................................................. 1-2 1.3.2 配置SSL服务器端策略 ............................................................................................................ 1-2 1.3.3 SSL服务器端策略典型配置举例 ............................................................................................. 1-3

1.4 配置SSL客户端策略 ..........................................................................................................................1-5

1.4.1 配置准备 ................................................................................................................................. 1-5 1.4.2 配置SSL客户端策略 ............................................................................................................... 1-6

1.5 SSL显示和维护 ................................................................................................................................. 1-6

1.6 常见配置错误举例 .............................................................................................................................1-6

1.6.1 SSL握手失败 ..........................................................................................................................1-6

1-1

1 SSL 配置

1.1 SSL 简介

SSL（Secure Sockets Layer，安全套接层）是一个安全协议，为基于 TCP 的应用层协议提供安全

连接，如 SSL 可以为 HTTP 协议提供安全连接。SSL 协议广泛应用于电子商务、网上银行等领域，

为网络上数据的传输提供安全性保证。

1.1.1 SSL 安全机制

SSL 提供的安全连接可以实现：

连接的私密性：利用对称加密算法对传输数据进行加密，并利用密钥交换算法——RSA（Rivest

Shamir and Adleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。

身份验证：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份

验证是可选的。SSL 服务器和客户端通过 PKI（Public Key Infrastructure，公钥基础设施）提

供的机制从 CA（Certificate Authority，认证机构）获取证书。

连接的可靠性：消息传输过程中使用基于密钥的MAC（Message Authentication Code，消息

验证码）来检验消息的完整性。MAC是将密钥和任意长度的数据转换为固定长度数据的一种

算法。利用MAC算法验证消息完整性的过程如图 1-1所示。发送者在密钥的参与下，利用MAC

算法计算出消息的MAC值，并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC

算法计算出消息的MAC值，并与接收到的MAC值比较。如果二者相同，则报文没有改变；否

则，报文在传输过程中被修改，接收者将丢弃该报文。

图1-1 MAC 算法示意图

1.1.2 SSL 协议结构

如图 1-2所示，SSL协议本身可以分为两层：底层为SSL记录协议（SSL record protocol）；上层

为SSL握手协议（SSL handshake protocol）、SSL密码变化协议（SSL change cipher spec protocol）和SSL警告协议（SSL alert protocol）。

1-2

图1-2 SSL 协议栈

SSL 记录协议：主要负责对上层的数据进行分块、计算并添加 MAC、加密，最后把记录块传

输给对方。

SSL 握手协议：是 SSL 协议非常重要的组成部分，用来协商通信过程中使用的加密套件（对

称加密算法、密钥交换算法和 MAC 算法等）、在服务器和客户端之间安全地交换密钥，实现

服务器和客户端的身份验证。客户端和服务器通过握手协议建立一个会话。会话包含一组参

数，主要有会话 ID、对方的证书、加密套件（包括密钥交换算法、数据加密算法和 MAC 算法）

及主密钥。

SSL 密码变化协议：客户端和服务器端通过密码变化协议通知接收方，随后的报文都将使用

新协商的加密套件和密钥进行保护和传输。

SSL 警告协议：用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。

1.2 SSL 配置任务简介

SSL 服务器和客户端需要配置的参数不同，下面将分别介绍 SSL 服务器端策略和 SSL 客户端策略

的配置方法。

表1-1 SSL 配置任务简介


配置 SSL 服务器端策略必选 1.3

配置 SSL 客户端策略可选 1.4

1.3 配置 SSL 服务器端策略

SSL 服务器端策略是服务器启动时使用的 SSL 参数。只有与应用层协议（如 HTTP 协议）关联后，

SSL 服务器端策略才能生效。

1.3.1 配置准备

配置 SSL 服务器端策略时，需要指定其使用的 PKI 域，以便通过该 PKI 域获取服务器端的证书。

因此，在进行 SSL 服务器端策略配置之前，需要先配置 PKI 域。

1.3.2 配置 SSL 服务器端策略

表1-2 配置 SSL 服务器端策略

操作命令说明


1-3

操作命令说明

创建 SSL 服务器端策略，并进入

SSL 服务器端策略视图 ssl server-policy policy-name 必选

配置 SSL 服务器端策略所使用的

PKI 域 pki-domain domain-name 必选

缺省情况下，没有配置 SSL 服务器

端策略所使用的 PKI 域

配置 SSL 服务器端策略支持的加密

套件

ciphersuite [ rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] *

可选

缺省情况下，SSL 服务器端策略支

持所有的加密套件

配置服务器端 SSL 握手连接保持时

间 handshake timeout time

可选

缺省情况下，服务器端 SSL 握手连

接保持时间是 3600 秒

配置 SSL 连接关闭模式 close-mode wait 可选

缺省情况下，关闭模式为非 wait 模式

配置缓存的最大会话数目和会话缓

存的超时时间 session { cachesize size | timeout time } *

可选

缺省情况下，缓存的最大会话数目

为 500 个，会话缓存的超时时间为

3600 秒

使能基于证书的 SSL 客户端身份验

证 client-verify enable

可选

缺省情况下，不需要进行基于证书

的 SSL 客户端身份验证

如果服务器端需要对客户端进行基于证书的身份验证，即配置了 client-verify enable 命令，则

必须先为 SSL 客户端申请本地证书。目前，SSL 协议版本主要有 SSL2.0、SSL3.0 和 TLS1.0（对应 SSL 协议的版本号为 3.1）。设

备作为 SSL 服务器时，可以与 SSL3.0 和 TLS1.0 版本的 SSL 客户端通信，还可以识别同时兼容

SSL2.0 和 SSL3.0/TLS1.0 版本的 SSL 客户端发送的报文，并通知该客户端采用 SSL3.0/TLS1.0版本与 SSL 服务器通信。

1.3.3 SSL 服务器端策略典型配置举例

1. 组网需求

交换机提供 Web 认证功能对客户端进行接入认证；

客户端采用基于 SSL 的 HTTPS 方式打开认证页面，保证认证信息传输安全性；

CA 为 Switch 颁发证书。

本配置举例中，采用 Windows Server 作为 CA，在 CA 上需要安装 SCEP（Simple Certificate Enrollment Protocol，简单证书注册协议）插件。

1-4

2. 组网图

图1-3 SSL 服务器端策略组网图

3. 配置步骤

(1) 为 Switch 申请证书

# 配置 PKI 实体。


[Switch] pki entity en

[Switch-pki-entity-en] common-name http-server1

[Switch-pki-entity-en] fqdn ssl.security.com

[Switch-pki-entity-en] quit

# 配置 PKI 域。

[Switch] pki domain 1

[Switch-pki-domain-1] ca identifier ca1

[Switch-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll

[Switch-pki-domain-1] certificate request from ra

[Switch-pki-domain-1] certificate request entity en

[Switch-pki-domain-1] quit

# 生成本地的 RSA 密钥对。


# 获取 CA 的证书。

[Switch] pki retrieval-certificate ca domain 1

# 本地证书申请。

[Switch] pki request-certificate domain 1

(2) 配置 SSL 服务器端策略

# 创建一个名为 myssl 的 SSL 服务器端策略。

[Switch] ssl server-policy myssl

# 配置 SSL 服务器端策略使用的 PKI 域名为 1。

[Switch-ssl-server-policy-myssl] pki-domain 1

# 配置服务器端需要验证客户端。

[Switch-ssl-server-policy-myssl] client-verify enable

[Switch-ssl-server-policy-myssl] quit

(3) 配置 Web 认证

1-5

# 配置 Web 认证服务器 IP 地址、端口号。

[Switch] web-authentication web-server ip 10.10.10.10 port 8080

# 配置 Web 认证使用 HTTPS 方式，SSL 策略为 myssl

[Switch] web-authentication protocol https server-policy myssl

# 开启指定端口 Ethernet 1/0/1 的 Web 认证特性，并指定端口接入方式为指定接入方式。


[Switch-Ethernet1/0/1] web-authentication select method designated



# 设置主认证 RADIUS 服务器的 IP 地址。


# 设置此方案不计费。

[Switch-radius-radius1] accounting optional

# 设置系统与 RADIUS 认证服务器交互报文时的加密密码。

[Switch-radius-radius1] key authentication expert




# 创建 Web 认证用户所使用的域 aabbcc.net 并进入其视图。






# 开启全局 Web 认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数未配置

完成，会造成合法用户无法访问网络）。

[Switch] web-authentication enable

用户打开 IE，地址栏内输入：http://10.10.10.10:8080，输入相应的“User name”和“Password”。

点击 Login，出现认证成功页面：“Authentication passed!”。此时用户可以访问成功外部网络。

1.4 配置 SSL 客户端策略

SSL 客户端策略是客户端连接 SSL 服务器时使用的参数。只有与应用层协议关联后，SSL 客户端

策略才能生效。

1.4.1 配置准备

如果 SSL 服务器要求验证 SSL 客户端的身份，则配置 SSL 客户端端策略时，需要指定其使用的

PKI 域，以便通过该 PKI 域获取客户端的证书。因此，在进行 SSL 客户端策略配置之前，需要先配

置 PKI 域。

1-6

1.4.2 配置 SSL 客户端策略

表1-3 配置 SSL 客户端策略

操作命令说明


创建 SSL 客户端策略，并进入 SSL客户端策略视图 ssl client-policy policy-name 必选

配置 SSL 客户端策略所使用的 PKI域

pki-domain domain-name 可选

缺省情况下，没有配置 SSL 客户端

策略所使用的 PKI 域

配置 SSL 客户端策略的首选加密套

件

prefer-cipher { rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }

可选

缺省情况下，SSL 客户端策略的首

选加密套件为 rsa_rc4_128_md5

配置SSL客户端策略使用的SSL协

议版本 version { ssl3.0 | tls1.0 } 可选

缺省情况下，SSL 客户端策略使用

的 SSL 协议版本号为 TLS 1.0

如果服务器端需要对客户端进行基于证书的身份验证，则必须先在 SSL 客户端所属的 PKI 域内为

SSL 客户端申请本地证书。

1.5 SSL 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 SSL 的运行情况，通过查看显


表1-4 SSL 显示和维护

操作命令

显示 SSL 服务器端策略的信息 display ssl server-policy { policy-name | all }

显示 SSL 客户端策略的信息 display ssl client-policy { policy-name | all }


1.6.1 SSL 握手失败

1. 故障现象

设备作为 SSL 服务器时，与 SSL 客户端握手失败。

2. 故障分析

SSL 握手失败，可能有以下原因：

1-7

SSL 服务器端证书不存在，或者证书不能被信任；

如果服务器端配置了必须对客户端进行身份验证，但 SSL 客户端的证书不存在或不能被信任；

SSL 服务器端和客户端支持的加密套件不匹配。

3. 故障排除

(1) 使用 debugging ssl 命令查看调试信息：

如果 SSL 服务器端的证书不存在，请为 SSL 服务器申请证书；

如果服务器端证书不能被信任，请在 SSL 客户端安装为 SSL 服务器颁发证书的 CA 服务器根

证书，或服务器向 SSL 客户端信任的 CA 服务器重新申请证书；

如果服务器端配置了必须对客户端进行身份验证，而 SSL 客户端的证书不存在或不能被信任，

请为客户端申请并安装证书。

(2) 使用 display ssl server-policy 命令查看 SSL 服务器端策略支持的加密套件。如果 SSL 服务

器端和客户端支持的加密套件不匹配，请用 ciphersuite 命令修改 SSL 服务器支持的加密套

件。

i

目录

1 HTTPS配置 ....................................................................................................................................... 1-1

1.1 HTTPS简介 ....................................................................................................................................... 1-1

1.2 HTTPS配置任务简介.........................................................................................................................1-1

1.3 配置HTTPS服务与SSL服务器端策略关联 ........................................................................................ 1-1

1.4 使能HTTPS服务 ................................................................................................................................ 1-2

1.5 配置HTTPS服务与证书属性访问控制策略关联 ................................................................................. 1-2

1.6 配置HTTPS服务与ACL关联 ..............................................................................................................1-3

1.7 HTTPS显示和维护 ............................................................................................................................1-3

1.8 HTTPS典型配置举例.........................................................................................................................1-3

1-1

1 HTTPS 配置

1.1 HTTPS 简介

HTTPS（Secure HTTP，安全的 HTTP）是支持 SSL（Secure Sockets Layer，安全套接层）协议

的 HTTP 协议。

HTTPS 通过 SSL 协议，从以下几方面提高了设备的安全性：

通过 SSL 协议保证合法客户端可以安全地访问设备，禁止非法的客户端访问设备；

客户端与设备之间交互的数据需要经过加密，保证了数据传输的安全性和完整性，从而实现

了对设备的安全管理；

为设备制定基于证书属性的访问控制策略，对客户端的访问权限进行控制，进一步避免了非

法客户对设备进行攻击。

设备上，HTTP 连接和 HTTPS 连接的总数不能超过 10。 SSL 的详细介绍请参见“SSL 操作”。

1.2 HTTPS 配置任务简介

表1-1 HTTPS 配置任务简介


配置 HTTPS 服务与 SSL 服务器端策略关联必选 1.3

使能 HTTPS 服务必选 1.4

配置 HTTPS 服务与证书属性访问控制策略关联可选 1.5

配置 HTTPS 服务与 ACL 关联可选 1.6

1.3 配置 HTTPS 服务与 SSL 服务器端策略关联

使能 HTTPS 服务前，必须先配置 HTTPS 服务与已创建的 SSL 服务器端策略关联。

表1-2 配置 HTTPS 服务与 SSL 服务器端策略关联

操作命令说明


配置 HTTPS服务与 SSL服务器

端策略关联 ip https ssl-server-policy policy-name必选

缺省情况下，没有 SSL 服务器端策

略与 HTTPS 服务关联

1-2

如果重复执行 ip https ssl-server-policy 命令，HTTPS 服务将只与最后一次配置的 SSL 服务器

端策略关联。 HTTPS 服务处于使能状态时，对与其关联的 SSL 服务器端策略进行的修改不会生效。

1.4 使能 HTTPS 服务

只有使能该功能后，设备才能作为 HTTPS 服务器，允许用户通过 Web 功能访问和控制设备。

表1-3 使能 HTTPS 服务

操作命令说明


使能 HTTPS 服务 ip https enable 必选

缺省情况下，HTTPS 服务处于关闭状态

使能 HTTPS 服务后，可以通过 display ip https 命令查看 HTTPS 服务的状态，验证 HTTPS 服

务启动是否成功。使能 HTTPS 服务，会触发 SSL 的握手协商过程。在 SSL 握手协商过程中，如果设备的本地证

书已经存在，则 SSL 协商可以成功，HTTPS 服务可以正常启动；如果设备的本地证书不存在，

则 SSL 协商过程会触发证书申请流程。由于证书申请需要较长的时间，会导致 SSL 协商不成功，

从而无法正常启动 HTTPS 服务。因此，在这种情况下，需要多次执行 ip https enable 命令，这

样 HTTPS 服务才能正常启动。

1.5 配置 HTTPS 服务与证书属性访问控制策略关联

通过将 HTTPS 服务与已配置的客户端证书属性访问控制策略关联，可以实现对客户端的访问权限

进行控制，进一步保证设备的安全性。

表1-4 配置 HTTPS 服务与证书属性访问控制策略关联

操作命令说明


配置 HTTPS 服务与证书属性访

问控制策略关联 ip https certificate access-control-policy policy-name

必选

缺省情况下，没有证书属性访问控制

策略与 HTTPS 服务关联

1-3

如果重复执行 ip https certificate access-control-policy 命令，HTTPS 服务将只与最后一次配

置的证书属性访问控制策略关联。如果配置 HTTPS 服务与证书属性访问控制策略关联，则必须同时在与 HTTPS 服务关联的 SSL服务器端策略中配置 client-verify enable 命令，否则，客户端无法登录设备。

如果配置 HTTPS 服务与证书属性访问控制策略关联，则证书属性访问控制策略中必须至少包括

一条 permit 规则，否则任何 HTTPS 客户端都无法登录设备。

1.6 配置 HTTPS 服务与 ACL 关联

通过将 HTTPS 服务与 ACL 关联，可以过滤掉来自某些客户端的请求，只允许通过 ACL 过滤的客

户端访问设备。

表1-5 配置 HTTPS 服务与 ACL 关联

操作命令说明


配置 HTTPS 服务与 ACL 关联 ip https acl acl-number 必选

缺省情况下，没有 ACL 与 HTTPS 服务关联

1.7 HTTPS 显示和维护

在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 HTTPS 的运行情况，通过查

看显示信息验证配置的效果。

表1-6 HTTPS 显示和维护

操作命令

显示 HTTPS 的状态信息 display ip https

1.8 HTTPS 典型配置举例

1. 组网需求

Host 作为 HTTPS 客户端，Device 作为 HTTPS 服务器；

Host 通过 Web 访问 Device，并实现对 Device 的控制；

CA（Certificate Authority，认证机构）为 Device 颁发证书，CA 的名称为 new-ca。

本配置举例中，采用 Windows Server 作为 CA。在 CA 上需要安装 SCEP（Simple Certificate Enrollment Protocol，简单证书注册协议）插件。

1-4

2. 组网图

图1-1 HTTPS 配置组网图

3. 配置步骤

(1) 为 Device 申请证书

# 配置 PKI 实体。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server1

[Device-pki-entity-en] fqdn ssl.security.com

[Device-pki-entity-en] quit

# 配置 PKI 域。

[Device] pki domain 1

[Device-pki-domain-1] ca identifier new-ca

[Device-pki-domain-1] certificate request url http://10.1.2.2:8080/certsrv/mscep/mscep.dll

[Device-pki-domain-1] certificate request from ra

[Device-pki-domain-1] certificate request entity en

[Device-pki-domain-1] quit

# 生成本地的 RSA 密钥对。

[Device] public-key local create rsa

# 从 CA 获取服务器证书。

[Device] pki retrieval-certificate ca domain 1

# 本地证书申请。

[Device] pki request-certificate domain 1

(2) 配置 HTTPS 服务使用的 SSL 服务器端策略

# 配置 SSL 服务器端策略。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain 1

[Device-ssl-server-policy-myssl] client-verify enable

[Device-ssl-server-policy-myssl] quit

(3) 配置证书访问控制策略

# 配置证书属性组。

[Device] pki certificate attribute-group mygroup1

1-5

[Device-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca

[Device-cert-attribute-group-mygroup1] quit

# 配置证书访问控制策略 myacp，并建立控制规则。

[Device] pki certificate access-control-policy myacp

[Device-pki-cert-acp-myacp] rule 1 permit mygroup1

[Device-pki-cert-acp-myacp] quit

(4) 配置 HTTPS 服务引用 SSL 服务器端策略

# 配置 HTTPS 服务与 SSL 服务器端策略 myssl 关联。

[Device] ip https ssl-server-policy myssl

(5) 配置 HTTPS 服务与证书属性访问控制策略关联

# 配置 HTTPS 服务与证书属性访问控制策略 myacp 关联。

[Device] ip https certificate access-control-policy myacp

(6) 使能 HTTPS 服务

# 使能 HTTPS 服务。

[Device] ip https enable

(7) 验证配置结果

在 Host 上打开 IE 浏览器，输入网址 https://10.1.1.1，可以登录 Device，并实现对 Device 的控制。

HTTPS 服务器的 URL 地址以“https://”开始。 PKI 配置命令的详细介绍请参见“PKI 命令”； SSL 配置命令的详细介绍请参见“SSL 命令”。

i

目录

附录 A 缩略语表 ...................................................................................................................................A-1

A-1

附录 A 缩略语表

缩略语英文中文

A

AAA Authentication, Authorization and Accounting 认证、授权和计费

ABR Area Border Router 区域边界路由器

ACL Access Control List 访问控制列表

ARP Address Resolution Protocol 地址解析协议

AS Autonomous System 自治系统

ASBR Autonomous System Border Router 自治系统边界路由器

B

BDR Backup Designated Router 备份指定路由器

C

CLI Command Line Interface 命令行接口

CoS Class of Service 服务等级

D

DDM Distributed Device Management 分布式设备管理

DLA Distributed Link Aggregation 分布式链路汇聚

DLDP Device Link Detection Protocol 设备连接检测协议

DRR Distributed Resilient Routing 分布式弹性路由

DHCP Dynamic Host Configuration Protocol 动态主机配置协议

DNS Domain Name System 域名系统

DR Designated Router 指定路由器

D-V Distance Vector Routing Algorithm 距离矢量路由算法

E

EAD Endpoint Admission Defense 端点准入防御

EGP Exterior Gateway Protocol 外部网关协议

F

FTP File Transfer Protocol 文件传输协议

G

GARP General Attribute Registration Protocol 一般属性注册协议

GVRP GARP VLAN Registration Protocol GARP VLAN 注册协议

GE Gigabit Ethernet 千兆以太网

H

HWTACACS HUAWEI Terminal Access Controller Access Control System

华为终端访问控制器控制

系统

A-2


I

IAB Internet Architecture Board 因特网体系结构委员会

ICMP Internet Control Message Protocol 因特网控制消息协议

IGMP Internet Group Management Protocol 因特网组管理协议

IGP Interior Gateway Protocol 内部网关协议

IP Internet Protocol 因特网协议

IRF Intelligent Resilient Framework 智能弹性架构

L

LSA Link State Advertisement 链路状态公告

LSDB Link State DataBase 链路状态数据库

M

MAC Medium Access Control 介质访问控制

MIB Management Information Base 管理信息库

N

NBMA Non Broadcast MultiAccess 非广播多点可达

NIC Network Information Center 网络信息中心

NMS Network Management System 网络管理系统

NTP Network Time Protocol 网络时间协议

O

OSPF Open Shortest Path First 开放最短路径优先

P

PIM Protocol Independent Multicast 与协议无关的组播

PIM-DM Protocol Independent Multicast-Dense Mode 与协议无关的组播密集模

式

PIM-SM Protocol Independent Multicast-Sparse Mode 与协议无关的组播稀疏模

式

PoE Power over Ethernet 远程以太网供电

Q

QoS Quality of Service 服务质量

R

RADIUS Remote Authentication Dial-In User Service 远程认证拨号用户服务

RIP Routing Information Protocol 路由信息协议

RMON Remote Network Monitoring 远程网络监视

RSTP Rapid Spanning Tree Protocol 快速生成树协议

S

SNMP Simple Network Management Protocol 简单网管协议

SP Strict Priority 严格优先级

A-3


SSH Secure Shell 安全壳

STP Spanning Tree Protocol 生成树协议

T

TCP/IP Transmission Control Protocol/ Internet Protocol 传输控制协议/互联网协议

TFTP Trivial File Transfer Protocol 简单文件传输协议

ToS Type of Service 服务类型

TTL Time To Live 生存时间

U

UDP User Datagram Protocol 用户数据报协议

V

VLAN Virtual Local Area Network 虚拟局域网

VOD Video On Demand 视频点播

VRRP Virtual Router Redundancy Protocol 虚拟路由冗余协议

W

WRR Weighted Round Robin 加权循环调度队列

Documents

H3C E152 以太网交换机