基础配置
目 录
目 录
第1章 系统管理配置....................................................................................................................................................1
1.1 配置文件管理...................................................................................................................................................1
1.1.1 文件系统的管理..................................................................................................................................1 1.1.2 文件系统命令.......................................................................................................................................1 1.1.3 手工从某一文件中启动.....................................................................................................................1 1.1.4 软件更新................................................................................................................................................2 1.1.5 配置更新................................................................................................................................................4 1.1.6 使用ftp进行软件和配置的更新......................................................................................................4 1.2 基本系统管理配置..........................................................................................................................................5
1.2.1 配置以太网IP地址.............................................................................................................................5 1.2.2 配置缺省路由.......................................................................................................................................6 1.2.3 利用PING测试网络连通状态..........................................................................................................6 1.3 HTTP配置...........................................................................................................................................................7
1.3.1 HTTP配置...............................................................................................................................................7 1.3.2 http配置示例..........................................................................................................................................8
第2章 配置终端.............................................................................................................................................................9
2.1 VTY配置概述.....................................................................................................................................................9 2.2 配置任务............................................................................................................................................................9
2.2.1 线路和接口之间的关系.....................................................................................................................9 2.3 监视与维护.......................................................................................................................................................9 2.4 VTY配置举例...................................................................................................................................................10 第3章 网络管理配置..................................................................................................................................................11
3.1 配置SNMP.......................................................................................................................................................11
3.1.1 概述......................................................................................................................................................11 3.1.2 SNMP配置任务...................................................................................................................................12 3.1.3 配置实例..............................................................................................................................................16 3.2 配置RMON......................................................................................................................................................17
3.2.1 RMON配置任务...................................................................................................................................17 3.3 配置PDP..........................................................................................................................................................20
3.3.1 概述......................................................................................................................................................20 3.3.2 PDP配置任务......................................................................................................................................20 3.3.3 PDP配置实例......................................................................................................................................22
第4章 SSH 配置命令.................................................................................................................................................23
4.1 SSH概述...........................................................................................................................................................23
4.1.1 SSH server..............................................................................................................................................23 4.1.2 SSH client................................................................................................................................................23
- I -
目 录
4.1.3 实现特性..............................................................................................................................................23 4.2 配置任务..........................................................................................................................................................23
4.2.1 配置认证方法列表............................................................................................................................23 4.2.2 配置访问列表.....................................................................................................................................23 4.2.3 配置认证超时时长............................................................................................................................24 4.2.4 配置认证重试次数............................................................................................................................24 4.2.5 使能ssh server.....................................................................................................................................24 4.3 Ssh server配置示例.........................................................................................................................................24
4.3.1 访问控制列表.....................................................................................................................................24 4.3.2 全局配置..............................................................................................................................................24
- II -
基础配置
第1章 系统管理配置
1.1 配置文件管理
1.1.1 文件系统的管理
FLASH中文件的名字最长只能有20个字符,且不区分大小写。
1.1.2 文件系统命令
所有命令黑体字部分为关键字,其余为参数。[ ]内的部分是可选配置。
命令
format dir [filename]
格式化文件系统,删除所有数据。
显示文件和目录名。[]内文件名是指显示以某几个字母开头的文件。文件显示的格式如下:
索引号 文件名 delete filename md dirname rd dirname more filename cd pwd 删除一个文件,如果文件不存在,提示该文件不存在。 建立一个目录。 删除一个目录,如果目录不存在,提示该目录不存在。 显示一个文件的内容,如果文件内容多于一屏,将会自动分页显示。 更改当前文件系统路径。 显示当前的路径。 目的 1.1.3 手工从某一文件中启动 monitor#boot flash 本命令是用来启动闪存中的某个交换机软件,闪存中可能存有多个交换机软件. 参数说明 参数 local_filename 参数说明 存于闪存中的文件名,用户必须输入文件名。 - 1 - 基础配置 举例 monitor#boot flash switch.bin 1.1.4 软件更新 用户可使用本命令从本地或远程下载交换机系统软件, 以获得版本升级或您向本公司定制的特殊功能版本(如数据加密等)。 监控状态下软件更新有两种方式。 1. 通过TFTP协议 monitor#copy tftp flash [ip_addr] 本命令是用来从tftp服务器拷贝文件到系统的闪存,用户键入命令后,系统会提示用户输入远端服务器名和远端的文件名。 参数说明 参数 ip_addr 参数说明 Tftp 服务器的IP地址。若没有指定,copy命令执行后将提示用户输入。 举例 从服务器读名为“main.bin”的文件,写入交换机叫“switch.bin” monitor#copy tftp flash 提示:Source file name[]?main.bin 提示:Remote-server ip address[]?192.168.20.1 提示:Destination file name[main.bin]?switch.bin please wait ... ###################################################################### ###################################################################### ###################################################################### ###################################################################### ###################################################################### ############################################# TFTP:successfully receive 3377 blocks ,1728902 bytes monitor# - 2 - 基础配置 2. 通过串口通信协议zmodem 软件更新采用“download”命令。键入“download ?”可获得帮助。 monitor#download c0 本命令是用来通过串口通信协议zmodem拷贝文件到系统的闪存,用户键入命令后,系统会提示用户输入端口速率。 参数说明 参数 local_filename 参数说明 存于闪存中的文件名,用户必须输入文件名 举例 终端程序可采用WINDOWS 95,NT 4.0中的超级终端(Hyper Terminal)程序或WINDOWS 3.X中的终端仿真程序。 monitor#download c0 switch.bin 提示:speed[9600]?115200 然后,修改速率为115200,重新连接后,选择超级终端(终端仿真)的传送菜单中的发送文件。这时出现发送文件对话框,如下图: 图 1-1 发送文件对话框 在文件名输入框中输入由本公司提供的交换机软件 main.bin的全路径,协议选择Zmodem。按“发送”按纽发送文件。 文件传输完毕后,将出现如下信息: ZMODEM:successfully receive 36 blocks ,18370 bytes 表明软件升级成功,此时应将超级终端的波特率重新设置为9600。 注意: 交换机S2026、S2224通过zmodem协议下载软件,最大速率为38400。 - 3 - 基础配置 1.1.5 配置更新 交换机的配置以文件形式保存,文件名为startup-config, 用户可以使用与软件更新类似的命令来更新配置。 1. 通过TFTP协议 monitor#copy tftp flash startup-config 2. 通过串口通信协议zmodem. monitor#download c0 startup-config 1.1.6 使用ftp进行软件和配置的更新 config #copy ftp flash [ip_addr|option] 在正式程序中管理态还可以使用ftp进行软件和配置的更新。使用copy命令可以从ftp服务器下载文件到交换机,也可以将交换机文件系统中的某个文件上载到ftp服务器。用户键入命令后,系统会提示用户输入远端服务器名和远端的文件名。 copy{ftp:[[[//login-name:[login-password]@]location]/directory]/filename}|flash:filename>}{flash<:filename>|ftp:[[[//login-name:[login-password]@]location]/directory]/filename} 参数说明 参数 login-nam 参数说明 ftp 服务器的用户名。若没有指定,copy命令执行后将提示用户输入。 login-password ftp 服务器的用户口令。若没有指定,copy命令执行后将提示用户输入。 nchecksize vrf blksize ip_addr 在服务器上不检测文件大小 对支持MPLS的设备提供vrf绑定功能 数据传输块大小(缺省值512) ftp 服务器的IP地址。若没有指定,copy命令执行后将提示用户输入。 active passive type 指定以主动方式连接ftp server 指定以被动方式连接ftp server 设置传输数据类型(以ascii方式还是Binary 方式) - 4 - 基础配置 举例 从服务器下载“main.bin”的文件,写入交换机叫“switch.bin”。 config#copy ftp flash 提示:ftp user name[anonymous]? login-nam 提示:ftp user password[anonymous]? login-password 提示:Source file name[]?main.bin 提示:Remote-server ip address[]?192.168.20.1 提示:Destination file name[main.bin]?switch.bin 或 config#copy ftp://login-nam:login-password@192.168.20.1/main.bin flash:switch.bin ###################################################################### ###################################################################### FTP:successfully receive 3377 blocks ,1728902 bytes config# 注: 1) 当ftp server无法访问,等待时间较长,由于tcp超时时间造成的(默认为75s),可以通过设置全局命令ip tcp synwait-time修改tcp连接时间,但不建议使用。 使用ftp时需要在某些网络状况下可能存在数据传输较慢情况,此时请适当调整传输块大小以取得最好效果。默认大小为512字节,可以在绝大多数网络中取得较高的运行效率。 2) 1.2 基本系统管理配置 1.2.1 配置以太网IP地址 monitor#ip address 本命令是用来配置以太网IP地址,系统缺省为192.168.0. 1,网络掩码为255.255.255.0 参数说明 参数 ip_addr net_mask 以太网IP地址。 以太网网络掩码。 参数说明 - 5 - 基础配置 举例 monitor#ip address 192.168.1.1 255.255.255.0 1.2.2 配置缺省路由 monitor#ip route default 本命令是用来配置缺省路由,只能配置一条缺省路由。 参数说明 参数 参数说明 ip_addr 网关的IP地址。 举例 monitor#ip route default 192.168.1.1 1.2.3 利用PING测试网络连通状态 monitor#ping 参数说明 参数 参数说明 ip_address 目的IP地址。 举例 monitor#ping 192.168.20.100 PING 192.168.20.100: 56 data bytes 64 bytes from 192.168.20.100: icmp_seq=0. time=0. ms 64 bytes from 192.168.20.100: icmp_seq=1. time=0. ms 64 bytes from 192.168.20.100: icmp_seq=2. time=0. ms 64 bytes from 192.168.20.100: icmp_seq=3. time=0. ms ----192.168.20.100 PING Statistics---- 4 packets transmitted, 4 packets received, 0% packet loss round-trip (ms) min/avg/max = 0/0/0 - 6 - 基础配置 1.3 HTTP配置 1.3.1 HTTP配置 使能http服务 改变http服务的端口号 配置http服务的访问口令 为http服务指定访问控制列表 1. 使能http服务 默认情况下http服务是关闭的。 在全局配置态下使用下面的命令使能http服务: 命令 Ip http server 使能http 服务 目的 2. 改变http服务的端口号 默认情况下http服务的监听端口是80。 在全局配置态下使用下面的命令进行改变http服务的端口号: 命令 Ip http port number 目的 改变http服务的端口号 3. 配置http服务的访问口令 http使用enable口令作为访问口令,如果要对http访问进行认证需要设置enable口令,在全局配置态下使用下面的命令可以配置enable口令: 命令 Enable password {0|7} line 配置enable口令。 目的 4. 为http服务指定访问控制列表 为了控制主机对http服务的访问,可以为http服务指定访问控制列表,在全局配置态下使用下面的命令可以为http服务指定访问控制列表。 命令 ip http access-class STRING 目的 为http服务指定访问控制列表。 - 7 - 基础配置 1.3.2 http配置示例 下面的示例使用默认端口(80)作为http的服务端口,并限制只允许从192.168.20.0/24访问; ip acl 配置: ip access-list standard http-acl permit 192.168.20.0 255.255.255.0 全局配置: ip http access-class http-acl ip http server - 8 - 基础配置 第2章 配置终端 2.1 VTY配置概述 系统使用line命令配置终端参数,简单、灵活;配置过程符合用户的使用习惯;在line命令中可对终端显示的宽度、高度等设置; 2.2 配置任务 系统有四种类型的线路:控制台,辅助,异步和虚拟终端线路。不同系统有不同数量的这些类型的线路。参考下面的软件和硬件配置指南使设备有正确的配置。 线路类型 CON(CTY) 接口 控制台 描述 用于登录到系统进行配置服务。 用于连接到系统上的同步端口[如以 VTY 虚拟异步 太网和串行接口]的Telnet,X.25 从一开始的32个编号。 PAD、HTTP和Rlogin等。 线路编号规则 编号0。 2.2.1 线路和接口之间的关系 1. 同步接口和VTY线路间关系 虚拟终端线路提供了通过同步接口对系统进行的访问。当一个用户通过VTY线路连接到系统时,用户正在连接至一个接口上的虚拟端口。对于每一个同步接口都可以有多个虚拟端口。 例如,几个Telnet连接到一个接口[Ethernet或串行接口]。 VTY配置需做如下工作: (1) (2) 进入行配置模式。 对终端参数配置。 可以参见后面的“VTY配置举例”部分,了解VTY的配置。 2.3 监视与维护 用show line 命令查看VTY的配置。 - 9 - 基础配置 2.4 VTY配置举例 下面配置将取消所有VTY的每屏输出行数限制,不出现more提示: config#line vty 0 32 config_line#length 0 - 10 - 基础配置 第3章 网络管理配置 3.1 配置SNMP 3.1.1 概述 SNMP系统包括下面3个部分: SNMP管理端 (NMS) SNMP代理 (AGENT) 管理信息库 (MIB) SNMP是应用层协议。它提供了在SNMP管理端和代理之间进行通信的报文格式。 SNMP管理端可以是网络管理系统(NMS,如CiscoWorks)的一部分。代理和MIB驻留在系统上。配置系统上的SNMP,需要定义管理端和代理间的关系。 SNMP代理包含MIB变量,SNMP管理端可以查询或改变这些变量的值。管理端可以从代理处得到变量值,或者把变量值存储到代理处。代理从MIB收集数据。MIB是设备参数和网络数据的信息库。代理也能响应管理端的读取或设置数据的请求。SNMP代理可以主动向管理端发送陷阱(trap)。陷阱是针对网络的某一条件而向SNMP管理端报警的消息。陷阱能指出不正确的用户认证、重启、链路状态(启动或关闭)、TCP连接的关闭、与邻近系统连接的丢失或其它重要的事件。 1. SNMP 通告 特殊事件发生时系统能向SNMP管理端发送通知(inform)。例如,当代理系统遭遇一个错误条件时,它可能向管理端发送一个消息。 SNMP通告可以作为陷阱(trap)或通知请求(inform request)来发送。由于接收方收到一个陷阱时不发送任何应答,导致发送方不能确定是否陷阱已经被接收,所以陷阱不可靠。与此相对的是,接收通知请求的SNMP管理端用SNMP响应PDU作为这个消息的应答。如果管理端没有收到一个通知请求,也不会发送响应。如果发送方没有收到应答,那么可以重新发送通知请求。这样,通告更可能到达它们计划中的目的地。 因为通知请求更加可靠,所以它们消耗了系统和网络的更多的资源。陷阱只要一发出便被丢弃。与此不同的是,通知请求必须保留在内存中,直到收到响应或者请求超时。另外,陷阱只发送一次,而通知请求可以重新发送多次。重新发送增加了网络通信量并在网络上产生更多的负荷。因此,陷阱和通知请求在可靠性和资源间提供了平衡。如果SNMP管理端非常需要收到每个通知,可使用通知请求;如果关心网络的通信量或系统的内存,并且不必收到每个通知,可使用陷阱。 本公司系统目前支持陷阱,但提供了对通知请求的扩充。 - 11 - 基础配置 2. SNMP的版本 本公司系统现支持下面的SNMP版本: SNMPv1---简单网络管理协议,一个完全的Internet标准,在RFC1157中定义。 SNMPv2C--- SNMPv2的基于团体的管理框架, Internet试验协议,在RFC1901中定义。 本公司三层交换机还支持下面版本的SNMP: SNMPv3--- 简单网络管理协议版本3,在RFC3410中定义。 SNMPv1使用基于团体的安全形式。能访问代理MIB的管理端团体用IP地址访问控制列表和口令来定义。 SNMPv3通过对SNMP报文进行认证和加密操作来提供对设备访问的安全性。 SNMPv3提供了下列安全特性: 消息完整性:保证消息在传输过程中没有被篡改 认证:确保消息的来源地的合法性 加密:对消息题进行加密,未经认证的主机即使窃取到消息也无法解密阅读 SNMPv3提供安全模型和安全级别。安全模型是指一种认证策略,通过配置用户名和该用户所属的组来实现。安全级别是指安全模型中支持的不同的认证方式。SNMPv3基于用户的安全模型支持三种安全级别,按照从高到低的顺序排列分别是认证并加密、认证不加密和不认证;通过使用MD5或SHA散列算法计算认证密钥的摘要值在网络间传送并在SNMP引擎比对来实现密码不被泄漏,使用DES加密算法对报文进行加密保证设备不被第三者窃听。通过配置用户/密码对和用户所属的组来实现管理者对设备的身份认证,通过配置组和视图决定组内的用户不同操作对于管理信息库的访问权限;组同时限制了组内用户的最低安全级别。 必须把SNMP代理配置为管理工作站支持的SNMP版本。代理能与多个管理端通信。 3. 所支持的MIB 本公司系统的SNMP支持所有的MIB II变量(在RFC 1213中讲述)和SNMP陷阱(RFC 1215中讲述)。 本公司系统为每个系统提供了自己私有的MIB扩充。 3.1.2 SNMP配置任务 SNMP配置任务有: 配置SNMP视图 - 12 - 基础配置 为SNMP团体创建或修改访问控制 设置该系统管理员的联系方法和系统所在位置 定义SNMP代理数据包的最大长度 监视SNMP状态 配置SNMP陷阱 配置SNMPv3组 配置SNMPv3用户 配置SNMPv3引擎ID 1. 配置SNMP视图 SNMP视图用于规定管理信息库的访问权限:允许访问和拒绝访问。使用下面的命令配置SNMP视图 命令 说明 snmp-server view name oid] [exclude | 将oid指定的管理信息库叶子或表加入SNMP视图include] name中,并指定SNMP视图name中oid指定的对象 标示符的访问权限,exclude为拒绝访问,include为允许访问 SNMP视图中可以访问的子集为所有配置了允许访问的管理信息库的对象除去所有配置了拒绝访问的对象;未配置的对象默认权限为不可访问。 配置了SNMP视图后,可以将SNMP视图应用到SNMP团体名的配置中,用以限定该团体名的可访问对象的子集。 2. 为SNMP团体创建或修改访问控制 使用SNMP团体字符串定义SNMP管理端和代理的关系。团体字符串类似于允许访问系统上代理的口令。可选的是,可以指定下面一个或多个与团体字符串相关联的特性: 允许使用团体字符串获得代理访问权的SNMP管理端的IP地址访问列表。 定义对指定团体有访问权的所有MIB对象子集的MIB视图。 指定团体对有访问权的MIB对象的读写权限。 在全局配置模式下使用下面的命令来配置团体字符串: 命令 snmp-server community view-name] [ro | rw] [word] string 目的 [view 定义团体访问字符串。 - 13 - 基础配置 可以配置一个或多个团体字符串。使用no snmp-server community命令除去给定的团体字符串。 关于配置团体字符串的示例,参见\"SNMP命令”一章。 3. 设置该系统管理员的联系方法和系统所在位置 sysContact和sysLocation都是MIB中system组中的管理变量,分别定义了被管理该节点(系统)的联系人标识和实际位置。这些信息可以通过配置文件进行访问。在全局配置模式下使用下面的一个或多个命令: 命令 snmp-server contact text snmp-server location text 目的 设置节点联系人字符串。 设置节点位置字符串。 4. 定义SNMP代理数据包的最大长度 当SNMP代理接收请求或发出响应时,可以设置数据包的最大许可长度。在全局配置模式下使用下面的命令: 命令 snmp-server packetsize byte-count 目的 设定数据包的最大许可长度。 5. 监视SNMP状态 在全局配置模式下使用下面的命令,监视SNMP输入和输出统计,包括非法团体字符串条目,错误和请求变量的数量。 命令 show snmp 监视SNMP状态。 目的 6. 配置SNMP陷阱 使用下面的命令配置系统发送SNMP陷阱(第二个任务是可选的): 配置系统发送陷阱 在全局配置模式下使用下面的命令配置系统向一个主机发送陷阱。 命令 目的 snmp-server host host community-string 指定陷阱消息的接受者。 [trap-type] snmp-server host host [traps|informs]{version {v1 | 指定陷阱消息的接受者,以及陷阱信息v2c | v3 {auth | noauth | priv } }}community-string 的版本号和用户名等 [trap-type] 注意:对于SNMPv3的陷阱,在配置接 - 14 - 基础配置 收陷阱的主机之前必须为该主机配置SNMP引擎ID。 SNMP代理自动启动,系统开机后,所有类型的陷阱被激活。使用snmp-server host 命令指定哪个主机将要接收哪些类型的陷阱。 有些陷阱需要通过其它命令来控制。例如,如果要在接口打开或关闭时会发送SNMP链路陷阱,需在接口配置模式下使用snmp trap link-status激活链路陷阱。使用接口配置命令no snmp trap link-stat关闭这些陷阱。 为了使主机收到陷阱,必须为该主机配置snmp-server host命令。 改变陷阱运行参数 作为可选项,可以指定产生陷阱的源接口,为每个主机指定消息(数据包)队列长度或重发间隔的值。 在全局配置模式下使用下面可选命令改变陷阱运行参数: 命令 snmp-server trap-source interface 目的 指定产生陷阱消息的源接口。该命令为信息也设置源IP地址。 snmp-server queue-length length snmp-server trap-timeout seconds 为每个陷阱主机建立消息队列长度。 缺省为10。 定义重发队列中重发陷阱消息的频率。 缺省为30秒。 7. SNMP绑定源地址 在全局配置模式下使用下面的命令,设置SNMP报文的源地址功能。 命令 snmp source-addr ipaddress 目的 设置SNMP报文的源地址 8. 配置SNMPv3组 通过下面的命令配置组 命令 目的 snmp-server group [groupname {v1 | 配置一个SNMPv3组。默认情况下可以读internet子树下v2c |v3 [auth | noauth | priv]}][read 所有叶子,不可以写任何叶子。 readview][write writeview] [notify notifyview] [access access-list] 9. 配置SNMPv3用户 通过下面的命令配置一个本地用户,管理者访问设备时,必须使用设备上配置的用户名和密码进行访问。用户的安全级别不能低于用户所属的组的安全级别,否则用户不能通过认证 命令 目的 snmp-server user username 配置一个本地SNMPv3用户 groupname{v1|v2c|v3[encrypted]- 15 - 基础配置 groupname {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password ]} [access access-list] 通过下面的命令配置一个远端用户,设备需要向远端管理站发送Trap类报文时,如果管理站需要进行身份认证,则需要配置远程用户。远程用户的用户名和口令的配置必须与管理站上的配置一致,否则管理站不能接收到Trap报文。 命令 目的 snmp-server user username 配置一个远程SNMPv3用户 groupname remote ip-address [udp-port port] {v1 | v2c | v3 注意:配置远程用户之前,需要先为该IP地址的管理站[encrypted] [auth {md5 | sha} 配置一个远程SNMP引擎ID auth-password ]} [access access-list] 10. 配置SNMPv3引擎ID SNMP引擎ID用于标识一个SNMP引擎。传统的SNMP管理者和代理者在SNMPv3框架中都是SNMP引擎的一部分 命令 snmp-server engineID remote 配置远端SNMP引擎。 ip-address [udp-port port-number] engineid-string 目的 3.1.3 配置实例 1. 例一 snmp-server community public RO snmp-server community private RW snmp-server host 192.168.10.2 public 在这个例子中配置了对所有MIB变量有读权限的团体字符串public与对所有MIB变量有读写权限的团体字符串private。用户可以用团体字符串public读系统中MIB变量,用private读系统中的MIB变量与写系统中可写的MIB变量。它还指定了当系统需要发送陷阱消息时,用团体字符串public向192.168.20.2发送陷阱消息。例如当系统的某个端口down时,系统会向192.168.20.2发送一条linkdown的陷阱消息。 2. 例二 snmp-server engineID remote 90.0.0.3 80000523015a000003 snmp-server group getter v3 auth snmp-server group setter v3 priv write v-write snmp-server user get-user getter v3 auth sha 12345678 snmp-server user set-user setter v3 encrypted auth md5 12345678 snmp-server user notifier getter remote 90.0.0.3 v3 auth md5 abcdefghi - 16 - 基础配置 snmp-server host 90.0.0.3 informs version v3 auth notifier snmp-server view v-write internet included 使用SNMPv3对设备进行管理。组getter可以对设备信息进行浏览,组setter可以对设备进行设置操作。用户get-user属于组getter,安全级别为认证不加密,口令为12345678,时用sha算法进行口令摘要;用户set-user属于组setter,安全级别为认证并加密,口令为12345678,使用md5算法进行口令摘要。设备发生重要事件时,使用用户名notifier向管理者所在主机90.0.0.3发送inform报文。 3.2 配置RMON 3.2.1 RMON配置任务 RMON配置任务有: 配置交换机rMon告警功能 配置交换机rMon事件功能 配置交换机rMon统计功能 配置交换机rMon历史功能 显示交换机rMon配置 1. 配置交换机rMon告警功能 可以通过命令行或SNMP网管配置rMon告警功能;如果通过SNMP网管配置,还需要对交换机的SNMP进行配置。告警功能配置完成后,设备可以监控系统中某些统计值。配置rMon告警功能步骤如下: 命令 configure rmon alarm index variable interval {absolute | delta} rising-threshold value [eventnumber] falling-threshold value [eventnumber] [owner string] 进入全局配置模式。 增加一个rMon告警表项。 index为该表项的索引,有效范围1~65535 。 variable为被监测MIB中对象,必须是系统中一个有效的MIB对象,并且只有类型为INTEGER、Counter、Gauge或TimeTicks的对象才能被检测。 interval为取样的间隔时间,以秒为单位,有效范围1~4294967295。 使用absolute来直接监测MIB对象的取值;适用delta来监测两次取样之间MIB对象值的变化。 value用于表示产生告警的阈值,对应的eventnumber表示到达该阈值时产生的事件的索引;eventnumber是可选的。 目的 - 17 - 基础配置 owner string可以用来描述该告警的一些描述性信息。 exit write 退回到管理模式。 保存配置 。 配置完成一条告警表项后,设备会每隔interval秒获取variable指定的oid的值,并根据告警类型(absolute或delta)与前次值进行比较,如果本次统计值比前次大并且超出rising-threshold指定的阈值则会引发索引为eventnumber的事件(如果eventnumber为零或事件表不存在索引为eventnumber的事件则不引发),下降亦然;如果无法获取variable指定的oid,则本行告警表项状态被设置为invalid。当使用rmon alarm命令多次配置相同index的告警表项时,只有最后一次配置的参数有效;使用no rmon alarm index命令删除索引为index的告警表项。 2. 配置交换机rMon事件功能 配置rMon事件步骤如下: 步骤 1. 2. 命令 configure 进入全局配置模式。 目的 rmon event index 增加一个rMon事件表项。 [description string] [log] [owner string] [trap index为该表项的索引,有效范围1~65535 。 community] description表示该事件的描述信息 。 log表示该事件被引发时在log表中增加一条信息 。 trap表示该事件被引发时产生一条trap,community为团体名称。 owner string可以用来描述该事件的一些描述性信息。 3. 4. exit write 退回到管理模式。 保存配置 。 配置rMon事件后,当触发rMon告警时,首先更新本事件表项的eventLastTimeSent域为当时的sysUpTime;如果该事件配置了log属性,则向log表中增加一条信息;如果配置了trap属性,则以community为团体名称发出一条trap。当使用rmon event命令多次配置相同index的事件表项时,只有最后一次配置的参数有效;使用no rmon event index命令删除索引为index的事件表项。 3. 配置交换机rMon统计功能 rMon统计组用于监测设备上每一个接口上的统计信息。rMon统计功能配置步骤如下: 步骤 1. 2. 命令 configure interface iftype ifid 进入全局配置模式。 进入端口模式。 iftype为端口的类型 。 目的 - 18 - 基础配置 ifid为接口的id。 3. rmon collection 在该接口上使能统计功能。 stat index [owner index为统计表项索引 。 string] owner string可以用来描述该统计表的一些描述性信息。 4. 5. 6. exit exit write 退回到全局模式 。 退回到管理模式 。 保存配置 。 当使用rmon collection stat命令多次配置相同index的事件表项时,只有最后一次配置 的参数有效;使用no rmon collection stats index命令删除索引为index的统计表项。 4. 配置交换机RMON历史功能 RMON历史组用于收集设备上一个接口上的不同时间段的统计信息。rMon统计功能配置步骤如下: 步骤 1. 2. 命令 configure interface iftype ifid 进入全局配置模式 进入端口模式 iftype为端口的类型 ifid为接口的id 3. rmon collection 在该接口上使能历史功能 history index [buckets bucket-number] [interval index为该历史表项索引 second] [owner 在所有该历史记录控制表项收集的数据中,最近bucket-numberowner-name] 条表项需要保留,用户可以浏览以太网历史记录表获取这些统 计值;默认值为50条 second为每两次获取统计数据的间隔时间,默认值为1800秒(半小时) owner string可以用来描述该历史控制表的一些描述性信息 4. 5. 6. exit exit write 退回到全局模式 退回到管理模式 保存配置 目的 增加一个历史控制表项后,设备会每隔second秒从指定的接口上获取一次统计值,将结果作为表项增加到以太网历史记录表中。当使用rmon collection history index命令多次配置相同index的历史表项时,只有最后一次配置的参数有效;使用no rmon history index命令删除索引为index的历史控制表项。注意bucket-number过大和interval second过小都会过多占用系统资源。 - 19 - 基础配置 5. 显示交换机RMON配置 使用show命令显示交换机RMON配置。 命令 目的 show rmon [alarm] [event] [statistics] 显示rmon配置信息 [history] alarm表示显示告警表项配置 event表示显示事件表项配置,同时显示由于事件被引发而导致log表中包含的表项 statistics表示显示统计表项配置,同时显示设备收集到的该接口上的统计值 history表示显示历史表项配置,同时显示设备收集到的该接口上最近指定个数时间间隔内的统计值 3.3 配置PDP 3.3.1 概述 PDP协议专门用于发现网络设备的两层协议,用于网管程序发现已知设备的所有邻居,使用PDP,能够学到邻居设备的设备类型和SNMP代理地址。通过PDP发现邻居设备,网管程序能够用SNMP询问邻居设备以获得网络拓扑结构。 本公司交换机上的PDP功能能够实现发现邻居设备的功能,但不能接受SNMP询问邻居设备,所以,交换机只能处于网络边缘,否则,将不能获得完整的网络拓扑结构。 交换机上的PDP能够配置于所有的SANP上(如以太网等)。 目前支持PDP协议的交换机有以下几种: S2008/S2026B/S2116/S2224D/S2224M/S2226/S2448/S3224/S3224M/S3424/S3448/S3512/S3524 3.3.2 PDP配置任务 交换机PDP默认配置 设置PDP时钟和信息保存时间 设置PDP的版本 启动交换机上的PDP 启动交换机端口上的PDP 监控和管理PDP - 20 - 基础配置 1. 交换机PDP默认配置 功能 PDP全局配置状态 PDP端口配置状态 PDP时钟(发送报文频率) PDP信息保存 PDP版本 未启动。 未启动。 60秒。 180秒。 2。 默认设置 2. 设置PDP时钟和信息保存时间 设置PDP发送报文的频率和PDP信息保存时间时,可以在全局配置模式下使用下面的命令: 命令 pdp timer seconds pdp holdtime seconds 目的 配置PDP发送报文的频率。 配置PDP信息保存时间。 3. 设置PDP的版本 设置PDP支持的版本时,可以在全局配置模式下使用下面的命令: 命令 pdp version {1|2} 配置PDP的版本。 目的 4. 启动交换机上的PDP PDP在默认配置下是没有启动的,如果要使用PDP,可以在全局配置模式下使用下面的命令: 命令 pdp run 目的 启动交换机上的PDP功能。 5. 启动交换机端口上的PDP PDP在默认配置下是没有启动的,当启动交换机上的PDP后,可以在端口上启动PDP,在接口配置模式下使用下面的命令: 命令 pdp enable 目的 启动交换机端口上的PDP功能。 - 21 - 基础配置 6. 监控和管理PDP 为了监控PDP,可以在管理模式下使用下面的命令: 命令 目的 show pdp traffic 显示交换机接收和发送的PDP报文计数。 show pdp neighbor [detail] 显示交换机通过PDP发现的邻居。 3.3.3 PDP配置实例 例1:启动PDP功能。 config# pdp run config# int f0/0 config_f0/0#pdp enable 例2:配置PDP时钟和信息保存时间。 config#pdp timer 30 config#pdp holdtime 90 例3:配置PDP的版本。 config#pdp version 1 例4:监控PDP信息。 config#show pdp neighbors Capability Codes:R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local IntrfceHoldtmeCapabilityPlatform Port ID joeEth 0 133 4500 Eth 0 samEth 0 152 R AS5200 Eth 0 - 22 - 基础配置 第4章 SSH 配置命令 4.1 SSH概述 4.1.1 SSH server SSH client通过SSH server和设备建立安全的、加密的通信连接。该连接提供和telnet 相似的功能。SSH server支持的加密算法包括des、3des和blowfish。 4.1.2 SSH client SSH client是运行于ssh协议之上,提供认证和加密特性的应用。由于使用了认证和加 密,SSH client允许通信设备之间或者和其他支持SSH server的设备之间在不安全的网络环境中建立安全的通信。SSH client支持的加密算法包括des,3des和blowfish。 4.1.3 实现特性 ssh server和ssh client支持ssh版本1.5。在功能特性上,只支持shell应用。 4.2 配置任务 4.2.1 配置认证方法列表 ssh server使用login认证方式,缺省情况下使用名为“default”的认证方法列表。 在全局配置态下使用下面的命令配置认证方法列表: 命令 Ip sshd auth_method STRING 目的 配置认证方法列表。 4.2.2 配置访问列表 为了控制对设备的ssh server的访问,可以为ssh server配置访问控制列表。 在全局配置态下使用下面的命令配置访问控制列表: 命令 Ip sshd access-class STRING 配置访问控制列表 目的 - 23 - 基础配置 4.2.3 配置认证超时时长 客户端和server建立连接之后,如果不能在设置的时间之内通过认证,server将关闭连接。 在全局配置态下使用下面的命令配置访问控制列表: 命令 Ip sshd timeout <60-65535> 配置认证超时时长。 目的 4.2.4 配置认证重试次数 当用户认证失败超过最大次数后,除非重新发起连接,否则SSH server不允许用户继续尝试,缺省情况下允许重试3次。 在全局配置态下使用下面的命令配置最大重试次数: 命令 Ip sshd auth-retries <0-65535> 目的 配置最大认证重试次数。 4.2.5 使能ssh server 缺省条件下SSH server是关闭的,使能SSH server时,设备会生成一个rsa密钥对,并随后监听来自client的连接请求。这个过程大概需要一到两分钟的时间。 在全局配置态下使用下面的命令使能SSH server: 命令 Ip sshd enable 目的 使能ssh server,密钥的位数为1024。 4.3 Ssh server配置示例 下面的配置只允许IP为192.168.20.40的主机访问ssh server,使用本地用户数据库鉴 别用户身份。 4.3.1 访问控制列表 ip access-list standard ssh-acl permit 192.168.20.40 4.3.2 全局配置 aaa authentication login ssh-auth local ip sshd auth-method ssh-auth ip sshd access-class ssh-acl ip sshd enable - 24 - 因篇幅问题不能全部显示,请点此查看更多更全内容