DES-3225G
智能型24口快速以太网交换机
使用手册
<配置和管理部分>
联想网络有限公司
2000.7
目录
第一章交换机管理的概念 (3)
1.1本地控制口(C ONSOLE)管理 (3)
控制端口(Console) (3)
1.2IP地址和SNMP一致性名称(C OMMUNITY N AMES) (3)
1.3陷阱(TRAP) (3)
1.4管理信息库(MIB) (3)
1.5包转发 (3)
老化时间(Aging Time) (3)
过滤数据库(Filtering Database) (3)
1.6生成树算法(S PANNING T REE A LGORITHM) (3)
生成树的级别(STA Operation Levels) (3)
生成树参数(STA Parameters) (3)
生成树举例 (3)
1.7端口干路(P ORT T RUNKING) (3)
1.8虚拟局域网(VLAN) (3)
IEEE 802.1Q VLAN (3)
1.9广播风暴(B ROADCAST)的管理 (3)
广播风暴(Broadcast Storm) (3)
基于端口的广播包过滤(Port-based Broadcast Packet Filter) (3)
基于MAC地址的广播包过滤(MAC-based Broadcast Packet Filter) (3)
第二章控制台界面 (3)
2.1如何登录控制台界面(CONSOLE INTERFACE) (3)
2.2第一次登录交换机 (3)
帐户管理(User Accounts Management) (3)
保存设置(Save Changes) (3)
2.3以已注册过的帐户登录交换机 (3)
创建/更改帐户(Create/Modify User Accounts) (3)
查看/删除帐户(View/Delete User Accounts) (3)
2.4设置交换机 (3)
系统配置(System Configuration) (3)
配置IP地址(Configure IP Address) (3)
配置控制端口(Configure Console) (3)
交换机堆叠的配置(Configure Switch Stack) (3)
交换机的个体信息(Information of Individual Switch Unit) (3)
高级设置(Advance Settings) (3)
配置端口(Configure Port) (3)
配置干路(Configure Trunk) (3)
配置端口镜像(Configure Port Mirroring) (3)
配置生成树协议(Configure Spanning Tree Protocol) (3)
STP Parameter Settings (3)
STP Custom Settings (3)
配置过滤和转发地址表(Configure Filtering and Forwarding Table) (3)
Configure Static Forwarding Table Entry (3)
Configure MAC Address Filtering (3)
Configure Permanent Multicast Filtering (3)
Configure IGMP (3)
配置基于VLAN和MAC地址的广播域(Configure VLANs & MAC-based Broadcast Domains) (3)
Configure MAC-based Broadcast Domains (3)
Configure IEEE 802.1Q VLANs (3)
升级固件和配置文件(Update Firmware and Configuration Files) (3)
系统利用(System Utilities) (3)
Ping Test (3)
Save Settings to TFTP Server (3)
Save Switch History to TFTP Server (3)
清除地址表(Clear Address Table) (3)
一致性字串和陷阱(Community Strings and Trap Stations) (3)
2.5交换机的监视(S WITCH M ONITORING) (3)
网络监视(Network Monitoring) (3)
流量统计(Traffic Statistics) (3)
端口利用率(Port Utilization) (3)
端口流量统计(Port Traffic Statistics) (3)
端口数据包错误统计(Port Packet Error Statistics) (3)
端口数据包的统计分析(Port Packet Analysis Statistics) (3)
浏览地址表(Browse Address Table) (3)
交换机的历史信息(Switch History) (3)
浏览IGMP状态(Browse IGMP Status) (3)
2.6交换机的复位(R ESETTING THE S WITCH) (3)
复位系统(Restart System) (3)
恢复出厂设置(Factory Reset) (3)
退出(Logout) (3)
第三章基于WEB的网络管理 (3)
3.1准备工作 (3)
3.2基于WEB的管理方法 (3)
配置(Configuration) (3)
IP Address (3)
Switch (3)
Advanced (3)
Switch Unit (3)
Port (3)
Port Trunk (3)
Port Mirroring (3)
Spanning Tree Protocol (3)
生成树参数的设置(STP Parameters Setting) (3)
生成树的定制设置(STP Custom Setting) (3)
Forwarding and Filtering (3)
静态转发地址表(Static Forwarding Table) (3)
MAC地址过滤表(MAC Address Filtering Table) (3)
永久组播过滤(Permanent Multicast Filtering) (3)
Internet工作组管理协议(IGMP) (3)
IGMP的设置(IGMP Settings) (3)
802.1Q IGMP (3)
基于VLAN和MAC的广播域(VLANs & MAC-based Broadcast Domains) (3)
基于MAC的广播域(MAC-Based Broadcast Domains) (3)
IEEE 802.1Q VLAN (3)
管理(Management) (3)
一致性字串和陷阱(Community Strings and Trap Stations) (3)
帐户(User Account) (3)
控制端口(Console) (3)
监视(Monitoring) (3)
交换机一览(Switch Overview) (3)
端口利用率(Port Utilization) (3)
端口上的流量统计(Port Traffic Statistics) (3)
端口上错误数据包的统计(Port Error Packet Statistics) (3)
端口上数据包的统计分析(Port Packet Analysis Statistics) (3)
浏览地址表(Browse Address Table) (3)
浏览IGMP状态(Browse IGMP Status) (3)
交换机的历史记录(Switch History) (3)
交换机的维护(Maintenance) (3)
升级固件和配置(Firmware and Configuration Update) (3)
将设置值保存到TFTP服务器(Save Settings To TFTP Server) (3)
将交换机的历史记录保存到TFTP服务器(Save Switch History To TFTP Server) (3)
保存(Save Changes) (3)
恢复出厂设置值(Factory Reset) (3)
重启系统(Restart System) (3)
附录1. 配置文件举例(CONFIGURATION FILE) (3)
附录2. RUNTIME SOFTWARE DEFAULT SETTINGS (3)
第一章交换机管理的概念
本章主要介绍关于交换机管理的一些概念和特性。而如何实现这些概念和特性,如何在交换机上配置这些功能,将在随后的章节中进行说明。
1.1 本地控制口(Console)管理
本地控制口管理是指交换机的管理员利用一根控制电缆直接与交换机的RS-232 DCE端口近距离相连,通过带外(Out-Of-Band)连接方式对交换机进行管理。这种管理方式不同于网络管理方式(如通过D-View、HP OpenView 等网管软件或网管平台进行管理),即使在网络不运行的状态下,也可以对交换机进行管理。
这种管理方式需要一台终端(terminal)或者一台运行仿真终端程序的PC,来操作交换机内部的程序(console program),详见“控制台界面(Console Interface)”一节。通过这个控制台界面程序,网络管理员可以管理、控制、监测交换机的许多功能。
交换机内的硬件部件使得交换机成为网络中可以被网管的单元,这些部件包括CPU、存贮数据的存储单元、SNMP 代理固件(SNMP agent firmware),以及其它一些相关部件。这些部件能够收集并监测交换机的各种运行状态数据。
控制端口(Console)
进行带外(Out-of-band)的管理,需要在交换机的RS-232 DCE控制端口上连接一台终端(terminal)或者一台运行仿真终端程序(如HyperTerminal)的PC。
所需的设置参数如下:
rate: 9,600
? Baud
?Data width: 8 bits
?Parity: none
bits: 1
? Stop
Control none
? Flow
如果在设置时遇到问题,请确认你选择的终端类型为“VT-100”或“ANSI”。如果在屏幕上你还看不到任何显示,
可以试着按
1.2 IP地址和SNMP一致性名称(Community Names)
每台交换机都有其唯一的IP地址,用于与SNMP网络管理工作站或者TCP/IP应用程序(如BOOTP、TFTP)进行通信。你可以改变交换机缺省的(default)IP地址,以便与你的网络地址相匹配。
你也可以改变交换机缺省的SNMP一致性名称(Community Name),并为这些SNMP一致性名称设置访问权限。
1.3 陷阱(trap)
陷阱是指一些消息,这些消息用于提醒你交换机上所发生的一些事件。这些事件可以是非常严重的事件,类似交换机重启(reboot)事件(例如,某人突然关机交换机),也可以是普通事件,类似交换机上的某一个端口的状态变化,等等。交换机能够产生陷阱,并将它们发送给网络管理系统(陷阱管理系统)。下面列出了交换机上可能发生的几类事件:
?系统重启(System reset)
?错误(Errors)
?状态改变(Status changes)
?拓扑改变(Topology changes)
?运行(Operation)
你可以设置允许网管的IP地址列表,来限定哪些网管系统能够接收从交换机发出的陷阱信号。
陷阱管理系统是网络中被授予特权,可以监察并维护网络的特殊用户。它们可以接收交换机发出的陷阱信号,并且能够立即采取措施以避免网络发生进一步的故障甚至崩溃。
下面是陷阱管理系统可能收到的陷阱类型:
?Cold Start:该陷阱表示交换机已经开机并已初始化,软件设置值已经重新被设置,硬件系统被重启。
注意:冷启动(cold start)不同于恢复出厂设置值(factory reset)。
?Warm Start:该陷阱表示交换机已经被重启,但是不执行启动自检(Power-On Self-Test,即POST)过程。
?Authentication Failure:该陷阱表示某人试图使用非法的SNMP一致性名称(SNMP community name)登录交换机。交换机会自动记录下来非法访问者的IP地址。
?New Root:该陷阱表示交换机成为生成树(Spanning Tree)的新的根(new root)设备。这个陷阱是在交换机当选为新根之后,立即由桥电路(bridge)发出的。这暗示着拓扑结构发生了一定的变化,拓
扑变化计时器(Topology Change Timer)超期失效。
?Topology Change:当交换机上发生端口配置变化时,如从学习状态(Learning state)变为转发状态(Forwarding state),或者从转发状态(Forwarding state)变为阻塞状态(Blocking state)时,将发
出此陷阱消息。但是,当类似的变化发生而已经产生了“new root”陷阱时,将不再产生此陷阱消息。
?Link Change Event:当端口的连接状态发生变化时,如从连接状态(link up)变为断开状态(link down),或者从断开状态(link down)变为连接状态(link up)时,将发出此陷阱消息。
?Port Partition:当端口被隔离(partition)时,将发出此陷阱消息。如果端口内发生的碰撞(collision)次数超过62次时,该端口将被自动隔离。在10Mbps和100Mbps网络环境下,触发此陷阱的碰撞次
数是一样的。
?Broadcast Storm:当端口接收到的广播包超过广播风暴的上升阈值(rising threshold)或者低于广播风暴的下降阈值(falling threshold)时,将发出此陷阱消息。
1.4 管理信息库(MIB)
所有管理信息和计数器都存贮于交换机内的管理信息库(Management Information Base,简称MIB)。交换机一般使用标准的MIB-II管理信息库模块,因此,可以被任何基于SNMP的网管软件所读取。除了MIB-II之外,交换机还
可以拥有私有的MIB(proprietary enterprise MIB),作为补充的管理信息库。这些MIB也可以被网络管理系统中指定的MIB Object-Identity (OID)所读取。MIB值可以是只读的(read-only)或者可读写的(read-write)。
只读MIB可以是预置在交换机内部的常量(constant),也可以是随着交换机运行状态而不断变化的变量(variable)。例如,交换机的端口数量和端口的类型就是只读的常量,而统计所发生的错误的数量、或者每个端口接收并转发的数据量的计数器就是只读的变量。
可读写MIB通常是与用户定制(user-customized configurations)有关的变量。例如,交换机的IP地址、生成树算法的参数,以及端口的状态等。
如果你使用第三方的SNMP管理软件来管理交换机,那么你可以要求交换机厂商提供其私有的MIB(propriety enterprise MIB)。如果你所使用的软件提供浏览和修改MIB的功能,那么你可以得到MIB的数值并改变它们(如果该MIB的属性允许进行写操作的话)。但是,这是比较复杂的一件事情,因为你必须知道MIB的OID,并且需要一一去读取它们。
1.5 包转发
交换机具有学习网络的构成情况,并根据学习到的信息进行转发数据包的能力。由于交换机仅将数据包发送给目的地址,而不是发送给网段内的所有地址,所以可以有效地减少网段内的拥塞。例如,如果端口1收到一个欲发送给连接在端口2上的某个站点的数据包,那么,交换机只会将此数据包发送给端口2,而不会发给任何其它端口。
老化时间(Aging Time)
老化时间(Aging Time)是一个影响交换机自学习网络构成状态的参数。交换机内部的MAC地址表自学习并刷新的时间间隔就是依据所设定的老化时间(Aging Time)而定的。
老化时间的数值范围是从10秒~9999秒。过长的老化时间会导致交换机内的MAC地址表超期,从而使交换机做出一些不正确的过滤/转发决定。但是,如果老化时间过短,会造成大量接收到的数据包的目的地址在MAC地址表中找不到,致使交换机只能将这些数据包广播给所有端口,这样大大地削弱了交换机的优点。
过滤数据库(Filtering Database)
交换机可以使用过滤数据库(filtering database)来划分网段,并控制网段间的数据通信。此外,还可以过滤非法
侵入的数据包(如MAC Address filtering)。
对于端口过滤(port filtering)而言,交换机上的每个端口都对应一个碰撞域。交换机将过滤(即丢弃)那些目的
地址与源地址相同的数据包,以避免本地数据包影响网络上的正常通信。
控制非法数据包的侵入是指交换机将丢弃任何一个发往或者来自某个被保护的MAC地址(由用户指定)的数据包。
这些过滤机制将包括:
1. 动态过滤(Dynamic filtering):自动学习并更新MAC地址表。用以将本地的数据流限定在所属的网段内。
2. MAC地址过滤(MAC address filtering):手动设定需过滤的MAC地址。
3. 依据生成树协议进行的过滤(Filtering done by the Spanning Tree Protocol):可以根据拓扑结构进行过滤,
但是,请确保没有网络环路形成。
4. VLAN过滤:从一个VLAN(例如,VLAN 2)中的某个成员发往另外一个VLAN(VLAN 3)的数据包将被过滤
掉。
1.6 生成树算法(Spanning Tree Algorithm)
交换机内的生成树算法(STA)使你可以创建一条备用链路(当网络中存在多台交换机时)。在主链路正常工作时,备用链路处于空闲状态(不工作);只有在主链路出现问题时,备用链路才不需要任何人工干预自动地接替主链路。这种自动重构的功能,使得网络上的用户能够最大限度地与网络保持正常的连接。生成树算法较复杂,所以,建议最好在充分研究理解其之后,再更改其一些设置。请仔细阅读并理解下述内容之后,再去更改交换机上的生成树的默认设置。
网络环路的侦测和预防(Network loop detection and prevention):任何两个局域网之间应该只有一条路径,
否则,网络中将出现环路。如果存在着多于一条的路径,那么生成树算法将会侦测到环路的发生,并自动选择开销
值(cost)最低的那条路径作为可使用的路径(主链路),而阻断其它路径,将它们作为备用路径(备用链路)。
自动拓扑重构(Automatic topology re-configuration):当主链路出现故障时,生成树算法将自动启用备用链路,
重构网络结构。
生成树的级别(STA Operation Levels)
生成树有两种工作级别:桥级别(bridge level)和端口级别(port level)。在桥一级上,生成树算法为每台交换机计算桥的标志级数(Bridge Identifier),然后设定根桥(Root Bridge)和指定桥(Designated Bridges)。而在端口一级上,生成树算法设定根端口(Root Port)和指定端口(Designated Ports)。详述如下:
在桥一级上(On the Bridge Level):
根桥(Root Bridge):具有最小桥标志级数的(lowest Bridge Identifier)交换机是根桥(Root Bridge)。当然,你希望根桥是环路中所有交换机当中最好的一台(交换机),以保证能够提供最好的网络性能和可靠性。
桥标志级数(Bridge Identifier):桥标志级数是桥的优先级(Bridge Priority)和交换机的MAC地址的综合数值,其中桥的优先级(Bridge Priority)是一个你可以设定的参数。例如,“4 00 80 C8 00 01 00”中的“4”是桥的优
先级,“00 80 C8 00 01 00”是交换机的MAC地址。交换机的桥标志级数越低,则交换机的优先级越高,这样可
以增加其成为根桥的可能性。
指定桥(Designated Bridge):在每个网段中,到根桥(Root Bridge)的路径开销最低的(lowest Root Path Cost)桥将成为指定桥(Designated Bridge),数据包将通过它转发到网段。一旦所有的交换机具有相同的根路径开销(Root Path Cost),那么具有最低的桥标志级数的(lowest Bridge Identifier)交换机才会被定为指定桥(Designated Bridge)。
根路径开销(Root Path Cost):一台交换机的根路径开销(Root Path Cost)是根端口(Root Port)的路径开
销(Path Cost)与数据包经过的所有交换机的根路径开销(Root Path Cost)之和。根桥(Root Bridge)的根路
径开销(Root Path Cost)是零。
桥的优先级(Bridge Priority):是一个用户可以设定的参数。设定的值越小,优先级越高。交换机具有越高的优
先级,才越有可能成为根桥。
在端口一级上(On the Port Level):
根端口(Root Port):每台交换机都有一个根端口(Root Port),这个端口到根桥的路径开销最低。一旦多个端
口具有相同的到根桥的路径开销时,那么具有最低的端口标志级别的才会成为根端口。
指定端口(Designated Port):This is the port on each Designated Bridge that is attached to the LAN segment for which the switch is the Designated Bridge.
端口优先级(Port Priority):数值越小,端口的优先级就越高。具有越高端口优先级,才越有可能成为根端口。
路径开销(Path Cost):这是一个可变的参数,它将随着生成树中的设定值的变化而变化。每个10Mbps网段和100Mbps网段都有一个固定的路径开销值19。
生成树参数(STA Parameters)
生成树的参数用户可以根据自己的需要进行修改,但是建议最好使用出厂时的默认设置。除非确实需要对出厂设置值进行变动时,再去改动默认值。用户可以改动的生成树参数有如下几个:
桥优先级(Bridge Priority):数值范围从0到65535。“0”的优先级最高。
问候时间(Bridge Hello Time):数值范围从1秒到10秒。是指根桥向其它所有交换机发出BPDU数据包的时
间间隔,以告知其它所有交换机它是根桥。如果你在你的交换机上也设置了问候时间,而它又还尚未是根桥时,那么,一旦你的交换机成为了根桥,该问候时间就会派上用处。
注意:问候时间不能大于桥的最大老化时间(Max. Age),否则,将出现错误信息。
最大的桥老化时间(Bridge Max. Age):数值范围从6秒到40秒。如果在超出最大老化时间之后,还没有收到
根桥发出的BPDU数据包,那么,在允许的条件下你的交换机将充当根桥向其它所有的交换机发出BPDU数据包。如果交换机的确实具有最小的桥标志级数,那么,它将随之成为根桥。
桥转发时延(Bridge Forward Delay):数值范围从4秒到30秒。是指交换机的端口从阻塞状态转为转发状态所
花的监听时间。
当你欲变动生成树参数时,请一定记住下述公式:
最大的桥老化时间≤ 2 x(桥转发时延 – 1秒)
即:Max. Age ≤ 2 x (Forward Delay - 1 second)
最大的桥老化时间≥ 2 x(问候时间 + 1秒)
即:Max. Age ≥ 2 x (Hello Time + 1 second)
端口优先级(Port Priority):数值范围从0到255。数值越小,那么该端口越可能成为根端口。
生成树举例
举例在一个环路中有三个桥(或三台交换机),如图5-1所示。在此例中,如果不使用生成树技术,你可以预见到可能发生的一些网络故障。例如,如果桥1向桥2发出一个广播包,那么,桥2将把此数据包广播给桥3,而桥3又会将此数据包广播回给桥1。随后会一直将如此反复,广播包将会在这个环路中被循环往复地传递,从而导致严重的网络故障。
为了减轻网络环路的发生,可以如图5-2所示采用生成树(STA)来解决。生成树将阻塞桥1与桥2之间的连接,以打破环路的形成。生成树算法将根据计算出来的各桥和端口之间的数值,来决定断开哪一条连接。现在,如果桥1向桥3发出一个广播包,那么,桥3将把此数据包广播给桥2,而随后此广播将结束。
生成树的算法较复杂,所以,建议尽量不要改动其出厂默认设置值。生成树将自动任命根桥/根端口,并避免环路的形成。但是,如果你确实需要改动生成树(STA)的参数时,请参考表5-1。
图5-1. Before Applying the STA Rules
图5-2. After Applying the STA Rules 生成树参数 设置值 效果
备注 桥优先级(Bridge Priority ) 数值越小,优先级越高 增加成为根桥的机会 如果交换机用于大型
的工作组级的网络中,
那么,尽量避免使用。
问候时间(Hello Time )
1 – 10秒
如果不是根桥,那么,没有任何影响。不要大于最大老化时间(Max. Age Time )。最大老化时间(Max. Age
Time )
6 – 40秒
如果没有收到BPDU 数据包,那么,竞争成为根桥。尽量不要选用较小的数值,以免不断不必要地重设根桥。 转发时延(Forward
Delay ) 4 – 30秒
数值越高,时延越长。 Max. Age ≤2 x (Forward Delay - 1) Max. Age ≥ 2 x
(Hello Time + 1)
端口级生成树参数(Port Level STA parameters )
Enable / Disable Enable / Disable Enable / disable
将某个端口设置为Disable ,以隔离故障
或者出于安全的目的。
端口优先级(Port Priority ) 数值越小,优先级越高。
增加成为根端口的可能性。
表5-1. User-selective STA parameters
1.7 端口干路(Port Trunking)
端口干路通常被用于将多个端口聚集在一起,从而形成一个高带宽的数据传输通道。交换机将把端口干路内的所有端口看作一个端口。在组成端口干路的端口中,将有一个端口被指定为主端口(anchor port)。由于干路中的所有成员需以相同的方式工作,所以,所有对主端口(anchor port)进行的设置,都将被同样作用到所有成员端口上。这样,当你需要对端口干路中的端口进行设置时,可以仅对主端口进行设置即可。
例如,DES-3225G交换机上可以最多设置3个端口干路,每个干路中可以包括2个(或直至8个)端口,但是,注意第3个端口干路最多只能包括前面板上的Slot1的2个100BASE-TX或100BASE-FX端口。第1个端口干路的主端口(anchor port)是端口5,第2个端口干路的主端口(anchor port)是端口13,而第3个端口干路的主端口(anchor port)是模块上的第1个端口(1x)。
图5-3. Port trunking example
发给某个目的地址的所有数据将总是通过干路中的同一个端口传送,以保证接收到的数据流的顺序与发送时的一致。DES-3225G的端口干路功能除了不可以与具有负载平衡(load-balancing on a per-packet basis)的交换机连接在一起使用之外,可以与任何其它交换机连接在一起使用。
1.8 虚拟局域网(VLAN)
出于为了建立起安全的、自治的广播或者组播域的目的,可以将交换机上的端口组合成一个一个的虚拟局域网(VLAN)。利用VLAN技术可以将一个网络划分为多个网段,以减小广播域的大小。所有以太网数据包,如点播(unicast)、组播(multicast)、广播(broadcast),以及未知(unknown)的数据包,都将只在VLAN内传送。
VLAN 的另一个优点是可以改变网络的拓扑结构,但是并不需要网络中的工作站发生物理上的移动或者网络线路连接上的变动。可以仅仅改动工作站的VLAN 设置,就将工作站从一个VLAN (如销售部VLAN )“移到”了另一个VLAN (市场部VLAN )。这可以使网络节点的移动、变换、增加变得非常灵活和容易。
VLAN 还可以为你的网络提供一定的安全性。基于端口(Port-based )的VLAN ,可以配置所属端口不向VLAN 外发送数据包或者不接收VLAN 外来的数据包。
IEEE 802.1Q VLAN 的去标记特性(untagging )使得它可以与所有合法的、无法识别VLAN 标记(VLAN tag )的交换机或网卡在一起工作。而IEEE 802.1Q VLAN 的加标记特性(tagging )允许VLAN 通过物理链路的连接而将VLAN 范围扩展到多个兼容IEEE 802.1Q (802.1Q-compliant )的交换机上,并允许生成树(Spanning Tree )在所有端口上都能够正常地工作。
IEEE 802.1Q VLAN
交换机最多可以支持96个IEEE 802.1Q (port-based)的VLAN 。基于端口(Port-based )的VLAN 是针对交换机的端口限制数据流的进出的,这样,所有连接到交换机的端口上的设备都将成为该VLAN 的成员,不管连接到交换机端口上的是一台计算机,还是整个一个部门的计算机。
在基于端口的VLAN 中,网卡(NIC )不必去识别数据包头部分的802.1Q 标记(tag ),网卡只需发送和接收普通的以太网数据包。如果数据包的目的地址在同一个网段内,那么,就采用普通的以太网协议进行通信。只有当数据包的目的地址在另一台交换机上时,VLAN 才进行判断是将此数据包丢弃还是进行转发。
在理解IEEE 802.1Q VLAN 时,有两个非常重要的名词需要掌握,就是端口VLAN 的ID (Port VLAN ID numbers ,简写为PVID )和VLAN 的ID (VLAN ID numbers ,简写为VID )。这两个变量都是定义在端口上的,但是两者间有很大的区别。用户可以仅为每个交换机端口上定义一个PVID 。PVID 定义了交换机将向哪一个VLAN 转发数据包,以及什么时候数据包会需要转发到另一台交换机的端口上,或者网络中的某个地方。另外,用户也可以定义某个端口同时属于多个VLAN (VIDs ),使得它可以接收网络中多个VLAN 的数据包。PVID 和VID 这两个变量用于控制端口发送和接收VLAN 数据流的能力,而两者之间的区别在于后者还允许信息可以在多个VLAN 间共享。
VLAN 网段:
举例来说,假设VLAN2中连接在交换机的端口12上的计算机发送出一个数据包,而且其端口VLAN ID (Port VLAN ID number )是2(PVID=2)。如果目的地址在另一个端口(通过查找转发地址表得到的),那么,交换机将看该目的端口(如端口10)是否属于VLAN2。如果端口10不属于VLAN2,那么该数据包将被丢弃,不会送到它的目的地址。而如果端口10属于VLAN2,那么数据包将被送达其目的地址。这就是基于端口VLAN 的工作机制。实质就是端口12发送出的数据包只会在VLAN2中传送,因为它的端口VLAN ID (Port VLAN ID number )是2(PVID=2)。
VLAN 间信息的共享(Sharing Resources Across VLANs ):
但是网络中的打印机和服务器等资源是需要跨VLAN 进行共享的。这可以通过设置重叠的VLAN 方式来实现,见下图所示。
VLAN 3
Workstations Workstations Server
图5-4. 典型的VLAN 设置示意图
在上图中,共有三个不同的VLAN,每个端口依据它们的端口VLAN ID(PVID)在各自的VLAN中传送数据包。但是,有一个端口可以接收所有VLAN的数据包。设置如下:
VLAN # VLAN成员
Port PVID VID Ports
Port 1 1 1 1,2,3,7
Port 2 1
Port 3 1
Port 7 3 3 1,2,3,7,11,12
Port 11 2 2 11,12,7
Port 12 2
表5-2. VLAN的分配
服务器连接在端口7上,可以被VLAN 1和VLAN 2所共享,因为端口7同时是两个VLAN的成员。因为端口7能够接收来自两个VLAN中的数据包,所以,所有端口都可以发送数据包给端口7。端口1、2和3在VLAN 1(它们的PVID=1)中向其发送数据包,而端口11和12在VLAN 2(它们的PVID=2)中向其发送数据包。服务器使用第3个VLAN(PVID=3)来发送VLAN 1和VLAN 2中计算机要求传送的文件。
跨交换机的VLAN(VLANs Spanning Multiple Switches):
VLAN可以设置在多台交换机之间。在设置这种VLAN时,需要注意两点:
1.这些交换机是否支持IEEE 802.1Q(IEEE 802.1Q-compliant)。
2. VLAN的数据包是需加标记的(tagged)还是去标记的(untagged)。
相关的术语如下:
?Tagging:将802.1Q VLAN的信息加入数据包的包头的操作。具有加标记能力的(tagging enabled)端口会将VID、优先级和其它VLAN信息加入到所有进出该端口的数据包内。如果在此前数据包已经被做过标记,那么,端口将不对该数据包进行改动,让其保持其已有的VLAN信息。标记(Tagging)使得数据包能够从一台支持802.1Q 的交换机能够传送到另一台同类的交换机上。
?Untagging:将802.1Q VLAN的信息从数据包的包头去掉的操作。具有去标记能力的(untagging enabled)端口会将VID、优先级和其它VLAN信息从所有进出该端口的数据包包头中去掉。如果在此前数据包内没有被标记过,那么,端口将不对该数据包进行改动。去标记(Tagging)使得数据包能够从一台支持802.1Q的交换机能够传送到其它不支持802.1Q的交换机上。
?Ingress port:入站端口(Ingress port)是交换机上的一个端口,数据包就是从该端口进入交换机的。在此端口处必须进行是否属于相同VLAN的判断。交换机将检查数据包包头中的VLAN信息,并决定是否转发该数据包。
如果该数据包内包含VLAN的标记信息,那么,入站端口首先判断自身端口是否是被标记的VLAN的成员之一,是否可以接收该数据包(如果Ingress Filter被设置为enabled时),然后再判断目的端口是否是被标记的VLAN 的成员之一。假如这两个端口都是被标记的VLAN的成员,那么,数据包将被转发。而如果数据包内不包含VLAN 信息(即未被标记),那么,入站端口首先判断自身端口是否可以接收该数据包(如果Ingress Filter被设置为enabled 时),并用其PVID值为数据包加上标记(如果该端口是可加标记的端口的话),再查看目的端口是否具有相同的PVID(即是否属于同一个VLAN),以决定是否可以接收该数据包。如果Ingress filtering被设置为disabled,且目的端口是同一VLAN的成员,那么,数据包将被转发。而如果ingress port是一个去标记端口(untagging port),那么,它在转发数据包之前只会检查过滤条件(如果filter condition被设置为enabled)。
?Egress port:出站端口(Egress port)是交换机上的一个端口,数据包就是从该端口流出交换机的,被传送到另一台交换机或者一台工作站上。在此端口处必须进行是否需要加标记的判断。如果出站端口被连接到一台支持802.1Q的交换机(802.1Q-compliant switch)上,那么,必须加标记到数据包上,以便其它交换机根据标记信息进行判断,是否转发该数据包。而如果出站端口被连接到一台不支持802.1Q的交换机(non-compliant switch)
或者一台工作站上时,那么,数据包中的标记(tag)需被去掉,变为普通的以太网数据包,以便接收该数据包的设备能够读懂它。
基于802.1Q的VLAN:
当交换机以802.1Q为依据来维护VLAN时,就需要用到加标记的操作(tagging)。加标记操作可以将802.1Q VLAN 的信息加入到每个数据包的包头,以使接收到这些数据包的其它支持802.1Q的交换机能够知道应该如何处理这些数据包。根据接收到的数据包的标记信息,支持802.1Q的交换机才能够用以维护VLAN的完整性,并按照其优先级来转发数据包,等等。
在支持802.1Q 的交换机(802.1Q-compliant switches)之间的数据传送原理,如下图所示。
图5-5. 支持802.1Q 的交换机之间的数据传送原理
在上述例子中,步骤4是非常重要的。因为数据包内已经包含了标记信息,ingress port将根据其标记信息以决定是否转发该数据包。如服务器2所连接的端口是否属于VLAN 2,数据包是否可以被转发,应该给该数据包的排队优先级的高低,等等。
如果步骤4中的ingress port所连接的设备是不支持802.1Q(non-802.1Q-compliant),那么,它接收到的数据包是未被标记过的数据包,这样的话,它需要以其PVID值为数据包加标记,并根据此标记信息来判断是否转发该数据包。换句话说,从不支持802.1Q的设备(non-802.1Q-compliant device)来的数据包将被自动地认为与ingress port属于同一个VLAN,并且可以与属于该VLAN的其它端口进行通信。
1.9 广播风暴(Broadcast)的管理
广播(broadcast)是指要将数据包发送给局域网内的所有连接着的设备。广播对于任何一个网络来说,都是至关重要的。但是,广播经常会在网络中引起问题,有时甚至导致整个网络崩溃。因此,交换机提供多种功能用于管理网络中的广播数据包。
广播风暴(Broadcast Storm)
广播风暴(Broadcast storm)是当今网络中常见的问题。通常,当广播数据包在网络中大量传送,或者在网络中循环传送时,会引起网络性能明显地下降,极限情况时将使网络整体瘫痪。引起广播风暴的原因有:存在着网络环路、故障网卡、不良的线路连接,或者一些产生广播的应用程序或协议等。
广播风暴可以由多种因素引起,一旦产生了广播风暴,那么,它们将在网络中无休止地传播,甚至可以在网络中无限制地不停地繁殖。最好的情况是,只是网络的利用率明显增高,可使用的带宽变得有限,直至所有广播包的计数器超期为止,广播包将被丢弃不再传播,网络又恢复正常。而最坏的情况是,广播包将无休止地繁殖,最终用完所有的网络带宽(虽然网络上的应用程序在此之前早已经被挤垮了),并造成网络整体瘫痪。
广播风暴的问题早就引起了网络管理员的关注,并已经在使用传统的路由器来抑制广播风暴的出现。即使可能会在局部地区发生一些广播风暴,也会竭尽全力将其限制在一定的区域内。但是,现在交换机拥有比路由器更好的抑制广播风暴的能力,而且,许多交换机还在每个端口内置了侦测和过滤广播包的功能,以进一步控制广播风暴的发生。
基于端口的广播包过滤(Port-based Broadcast Packet Filter)
交换机在每个端口都配备了传感器,用来计数到达该端口的广播包的数量。当达到某一个限定的阈值(rising threshold)时,传感器将初始化一个广播包过滤器(rising action),该过滤器将丢弃所有途径该端口的广播包。这样可以将广播包从网络中去除掉,抑制广播风暴。基于端口的广播风暴过滤器(port-based Broadcast Storm Filter)的参数值,用户可以自己设定,详见本手册中的“配置端口(Configure Ports)”部分的介绍。
基于MAC地址的广播包过滤(MAC-based Broadcast Packet Filter)
除了可以在端口(Port)级对广播域进行管理之外,还可以在MAC地址层对广播域进行管理。广播域可以被限定在某些设备(即MAC地址)间传播。你可以将那些允许传输广播包的计算机和外围设备的MAC地址加入到广播域中,这样,未知的数据包和广播包将只能在这些设备(MAC地址)中传播,网络中的其它部分将会被有效地保护起来,不受广播包的影响。基于MAC地址的广播域的设置方法,详见第章“基于控制台或者Web管理方式的管理程序”中的“VLAN和基于MAC地址的广播域”部分的介绍。
第二章控制台界面DES-3225G交换机提供一个控制台管理界面(console management interface),使你可以通过其对交换机进行设置
和控制管理。你可以利用一个终端设备(仿真终端也可以),或者利用TCP/IP的TELNET功能,登录到控制台界面,以进行许多最基本的网络管理操作。本章内容就是向您介绍如何通过控制台界面来访问交换机,更改交换机的设置,以及监视交换机的运行状态的。
2.1 如何登录控制台界面(console interface)
你可以用一根RS-232C电缆将一台兼容VT-100的终端(VT100-compatible terminal)或者一台运行终端仿真程序的(例如,Windows 95/98操作系统中的“超级终端(Hyperterminal)”)计算机,连接到DES-3225G交换机前面板上的“Console”接口,然后,在终端上采用如下参数,就可以登录到控制台界面(console interface)。
VT-100/ANSI compatible
Arrow keys enabled
9,600 baud
8 data bits
No parity
One stop bit
下面以Windows 95/98 的超级终端为例,说明登录及设置过程。
在Windows95/98下,执行“超级终端”中的“Hypertrm.exe”,进行“新建连接”。
在图标一栏中,选择“电话”图标—>在“连接时使用”中选择“直接连接到串口1”(或其它串口),然后按“确认”键—>在“端口设置”中选择波特率为“9600”、数据位为“8”、奇偶校验“无”、停止位为“1”、流量控制“无”。
进入“超级终端”界面后,按“Enter”键,就可以进入控制台界面(console interface)了。
此外,你也可以利用Telnet来登录控制台界面。一旦交换机已经被赋予有一个IP地址之后,你就可以使用Telnet
方式(VT-100兼容终端模式)来访问和控制交换机。实际上,用这两种方式登录到控制台界面后,所看到的和所
能做的操作是一样的。
几点说明:
控制台界面中的一些使用规范:
1. “< >”中的各项可以用空格键(space bar)来切换选择。
2. “[ ]”中的各项数值可以被改变,可以用Backspace键或者Del键删除原值,输入新值。
3. 上、下、左、右、Tab和Backspace键可用来选择各项条目。但是,建议用Tab键和Backspace键在控制台
界面中选择各条目。
4. 大写的词组是可执行命令(如SAVE、EXIT等)。将光标移动到命令大写的命令处,按Enter键,就可以执行
该命令。
请注意所更改的设置或者执行的命令通常只是对当前的会话生效。如果想做永久的更改,那么,需要执行主菜单中的“Save Changes”。出现的星号提示(*)是指该更改须在交换机重启后,才能生效。
2.2 第一次登录交换机
交换机提供一定的安全保护机制,以预防非法者访问交换机或者更改交换机上的设置。下面就来介绍如何登录到交换机上,对交换机进行设置和管理。
注意:登录交换机的口令是区分大小写的,因此,“S”与“s”不同。
当你第一次登录交换机的控制台界面时,你将看到如下界面。如果初始化界面没有出现的话,可以按“Ctrl+R”(即
同时按下“Ctrl”键和“R”键)调出界面。此外,在任何时刻都可以“Ctrl+R”键来刷新界面。
图6-1. 初始界面
注意:第一次登录交换机控制台界面时,缺省的用户名和口令没有(即将username和password项设为空即可,不需要输入任何数值)。
在username和password项处,按Enter键,就可以进入到控制台界面的主菜单,如下图所示。
图6-2. 主菜单
第一个登录的用户将自动拥有管理员(Administrator)的权限(详见表6-1)。建议至少要为交换机创建一个具有管理员权限的用户名。
帐户管理(User Accounts Management)
“Users Accounts Management”在上述屏幕中,移动光标到“User Accounts Management”项,并按Enter键。随后,
的界面将出现。
1. 选择“Create/Modify User Accounts”,随后,“Add/Modify User Accounts”的设置界面将会出现。
2. 输入新的用户名(帐户),并为其设定一个初始的口令。确认新的帐户是赋予“Administrator”还是“Normal User”
权限(可以用空格键在这两个权限中进行切换选择)。
3. 选择“APPLY”,使设置生效。
4. 按“Esc”键退出,或者按“Ctrl+T”键退到主菜单。
5. 如果想查看所有帐户与其权限,可以选择“View/Delete User Accounts”,那么,“View/Delete User Accounts”
的界面将会出现。
帐户权限
帐户的权限有两个级别:管理员级(Administrator)和普通用户级(Normal User)。管理员级的权限比普通用户级的权限要高,有一些菜单普通用户级的帐户就不允许访问或更改设置。
下表就是关于管理员级权限和普通用户级权限的详细说明。
菜单(menu)管理员级
(Administrator)
普通用户级
(Normal User)权限
更改配置Yes Yes(只可以查看)
网络监测Yes Yes(只可以查看)
一致性字符串和陷阱的设置(Community
Strings and Trap Stations)
Yes Yes(只可以查看)
升级固件(Firmware)和配置文件
(Configuration Files)
Yes Yes(只可以查看)
帐户管理(User Accounts Management)
创建/更改帐户Yes Yes(只可以查看)
查看/删除帐户Yes Yes(只可以查看)
系统利用Yes Yes(可以做Ping测试,其它的只
可以查看)
恢复出厂默认设置Yes No
重启系统Yes No
表6-1. Administrator and Normal User Privileges
在创建完一个具有管理员级权限的帐户之后,按Esc两次,然后选择“Save Changes”(如下图所示)。按任意一个键都可以回到主菜单,你现在就可以对交换机进行操作了。
保存设置(Save Changes)
交换机内部有两种内存:普通的RAM和NV-RAM(non-volatile RAM)。每一屏的设置都需要按“Apply”按钮来保存。当按完“Apply”按钮来保存时,设置值将被立即作用到存贮在RAM中的交换机软件,设置立即就会生效。但是,有些设置需要在重启交换机之后,才会生效。重启交换机会将RAM中的所有设置擦除掉,然后从NV-RAM中重新加载设置值。因此,在重启交换机之前,非常有必要将所有更改过的设置值保存到NV-RAM中。
为了使更改的设置值在当前的会话中能够生效,就需要选择主菜单中的“Save Changes”。当更改值已经保存好时,就会出现下图所示的界面。
图6-3. Save Changes
当所有设置值都已经被保存到NV-RAM中之后,这些设置值将成为交换机的缺省值,随后在交换机开机、复位或者重启时,就将使用这些设置值。除非调用了出厂默认设置值(即购买交换机时就存在的初始化数值)时,才会将原设置值清除,恢复出厂时设定的初始化数值。
2.3 以已注册过的帐户登录交换机
以已注册过的帐户登录交换机的控制台界面的方法:
1. 输入username,按Enter键。
2. 输入password,按Enter键。
3. 随后,主菜单将会根据帐户的权限不同而出现。
创建/更改帐户(Create/Modify User Accounts)
增加或者更改帐户的口令的方法:
1. 在主菜单中选择“Users Accounts Management”,将会出现如下所示的界面。
图6-4. User Accounts Management
2. 选择“Create/Modify User Accounts”,将会出现如下所示的界面。
图6-5. Add/Modify User Accounts
3. 输入你的Username,按Enter键。
4. 如果你是一个已有的帐户,那么,请先输入Old Password,按Enter键。
5. 再输入New Password,然后按Enter键。你会被要求输入两次新的口令,以确认没有敲错。
6. 确定新帐户的权限是Normal User或者Administrator。
7. 选择“APPLY”,以使新口令生效。
该方法也适用于管理员级的帐户去修改普通帐户的口令。
查看/删除帐户(View/Delete User Accounts)
无论是从控制端口(console port)还是以Telnet方式进行访问,都需要用已经注册的合法帐户和口令来登录控制台界面。最多允许定义3个这样的帐户。为了防止由于不小心而意外地删除掉所有的帐户,所以,控制台界面不允许删除当前正在登录的帐户。
只有具有管理员级权限的帐户才可以对帐户进行删除的操作。
查看所有已创建出来的帐户的方法:
在“User Accounts Management”菜单中,选择“View/Delete User Accounts”,将出现如下图所示的界面。
图6-6. View/Delete User Accounts
嘉峪关宏晟热电有限公司二期工程调度交换机技术规范书
目次 1、总则 2、技术规范 3、图纸和资料、设计联络会、工厂验收、试验附件1 供方应提供的质量保证及承诺 附件2 对规范书的意见和差异
1、总则 买方-山东电力工程咨询院 嘉峪关宏晟热电有限公司 卖方-设备供应商 本设备技术规范书适用于嘉峪关宏晟热电有限公司二期工程配套调度交换机部分,该调度交换机系统安装在厂内通信机房。 本技术规范书提出调度交换机的系统功能设计、结构、性能、安装和试验等方面的技术要求。 本设备技术规范书提出的是最低限度的技术要求,并未对一切技术细节做出规定,也未充分引述有关标准和规范的条文,卖方应提供符合本规范书和工业标准的优质产品。 如果卖方没有以书面形式对本规范书的条文提出异议,则意味着卖方提供的设备(或系统)完全符合本规范书的要求,如有异议,不管是多么微小,都应在报价书中的“对规范书的意见和差异”中加以详细描述。 本设备规范书所使用的标准如与卖方所执行的标准不一致时,按较高标准执行。 卖方必须提供技术上先进、可靠性高,在国内有成功经验的调度交换机设备。由卖方提供的设备应具备有关电信管理部门颁发的程控交换机进网许可证。 本设备技术规范书经买、卖双方确认后,作为定货合同的技术附件,与合同正文具有同等的法律效力。 卖方应回复4份中文版本的回标资料及文件,包括卖方(厂家)简历、业绩、进网许可证等项内容。对本标书的要求明确的答复,否则可视为该投标文件对招标文件不响应。 卖方为所提供设备的成套性和完整性负责。 本设备技术规范书未尽事宜由买、卖双方协商确定。
2、技术规范 2.1 工程概况 嘉峪关宏晟热电有限公司地处甘肃省嘉峪关地区,本期工程厂内新装调度程控交换机1套,兼顾调度通信和厂内通信功能,中继线采用2M数字中继及4WE&M 模拟中继和二线环路中继,用户线采用二线模拟方式,考虑今后扩容余地。设置调度台,调度主机布置在通信机房内,调度台布置在机炉电集控室,交换机主机与调度台间电缆配置长度按1000m考虑。机房的装修工艺要求和设备布置按电力行业设计规程执行。厂内提供-48V通信电源。 2.2 主要技术要求 2.2.1 设备制造应满足国家现行有关规范和标准及国家现行的行业标准的有关规定。 2.2.2. 交换机组网方式 交换机以2M数字方式、4WE/M、二线环路中继方式进行系统连接。中继传输电路为光纤通道或电缆通道。 2.2. 3. 中继线、用户线及信号方式 本交换机与系统采用全自动中继方式连接,中继线为模拟中继寄发器信令和数字Q信令。 中继线配置数量为: ·2M数字中继: 3CH ·二线环路中继: 4CH ·4W E/M中继: 8CH ·用户线配置数量为: 100CH
编订:__________________ 单位:__________________ 时间:__________________ 交换机安全技术操作规程 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-4732-39 交换机安全技术操作规程(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 一、职责:(1)根据加热制度(或按煤气组长要求),调节煤气流量,烟道吸力保持稳定。 (2)负责设备日常检查,按规定时间和程序进行交换和巡回检查,发现问题及时处理或汇报。 (3)准确填写各项数据,计算本班加热制度平均数值,保持记录整洁。 (4)负责交换机的特殊操作和事故处理。 (5)维护好所属设备,并保持所属区域周围的卫生清洁。 二、工艺流程 加热煤气流向:回炉煤气总管 1号2号回炉煤气总管煤气预热器 1号2号地下室煤气主管加减考克孔板盒交换考克横排管喷嘴煤气上立管直立砖煤气道立火道底部与空气混合燃烧。
空气流向:开闭器进风口小烟道蓄热室(篦子砖格子砖)斜道区上升立火道斜道口与煤气混合燃烧。 废弃流向:上升立火道底部跨越孔下降气流立火道斜道区蓄热室(篦子砖格子砖)小烟道开闭器 分烟道总烟道烟囱排出。 荒煤气流向:炭化室顶空间上升管桥管阀体集气 管n型管吸气管气液分离器初冷器鼓风机电捕焦油器脱硫塔硫铵饱和器终冷塔洗苯塔回炉加热。 生产工艺流程:各单种煤1至5号料仓皮带秤煤1皮带破碎机煤2皮带煤仓摇臂给料器加煤车碳化室推焦车拦焦车熄焦车熄焦塔晾焦台焦1皮带转运站焦2皮带焦厂外运 三、设备构造及型号 63孔焦炉系双联火道废弃循环下喷单热式焦炉,
交换机基本知识交换机知识入门 交换机是日常生活工作中经常用到的物品,但不少人队交换机基本知识却不是很了解,本文从交换机的起源、类型、应用、交换方式等方面介绍了交换机基本知识(入门知识),希望对大家有所帮助。 交换机定义 什么是交换机?交换机英文名称为Switch,也称为交换式集线器,交换机是构建网络平台的“基石”,又称网络开关它是一种基于MAC地址(网卡的硬件标志)识别,能够在通信系统中完成信息交换功能的设备。其工作原理可以简单地描述为“存储转发”四个字。因为交换机支持“全双工”模式,所以B在接收A发送数据的同时,还可以向A或其他的计算机发送数据。如果在MAC地址中没有B的地址信息,那么交换机可以通过“MAC地址学习”功能将连接到自身的B计算机MAC地址记住,形成一个节点与MAC地址的对应表。 交换和交换机最早起源于电话通讯系统(PSTN),我们现在还能在老电影中看到这样的场面:首长(主叫用户)拿起话筒来一阵猛摇,局端是一排插满线头的机器,戴着耳麦的话务小姐接到连接要求后,把线头插在相应的出口,为两个用户端建立起连接,直到通话结束。这个过程就是通过人工方式建立起来的交换。当然现在我们早已普及了程控交换机,交换的过程都是自动完成。 交换机的类型 交换机类型的了解是交换机的基本知识,必须掌握。 交换机有多种分类方式: 从网络覆盖范围划分交换机可以分为以下两类:广域网交换机和局域网交换机 根据传输介质和传输速度分:以太网交换机、快速以太网交换机、千兆以太网交换机、10千兆以太网交换机、ATM交换机、FDDI交换机和令牌环交换机。 根据交换机应用网络层次划分企业级交换机、校园网交换机、部门级交换机和工作组交换机、桌机型交换机。 根据交换机端口结构划分固定端口交换机和模块化交换机。 根据工作协议层划分第二层交换机、第三层交换机和第四层交换机 根据是否支持网管功能划分网管型交换机和非网管理型交换机 交换机的应用 作为局域网的主要连接设备,交换机成为应用普及最快的网络设备之一。随着交换技术的不断发展,交换机的价格急剧下降,交换机的普及度进一步增加。 如果你的以太网络上拥有大量的用户、繁忙的应用程序和各式各样的服务器,而且你还未对网络结构做出任何调整,那么整个网络的性能可能会非常低。解决方法之一是在以太网上添加一个100Mbps/1000Mbps的交换机。 如果网络的利用率超过了40%,并且碰撞率大于10%,交换机可以帮你解决一点问题。带有100Mbps快速以太网的交换机可以全双工方式运行,可以建立起专用的200Mbps连接。 不仅不同网络环境下交换机的作用各不相同,在同一网络环境下添加新的交换机和增加
?网络交换机网络交换机(NetworkSwitch)是集线器的升级换代产品,从外观上来看,它与集线器基 本上没有多大区别,都是带有多个端口的长方体。广 义的交换机就是一种在通信系统中完成信息交换功能 的设备。随着通信业的发展以及国民经济信息化的推 进,以太网交换机市场呈稳步上升态势。由于以太网 具有性能价格比高、高度灵活、相对简单、易于实现 等特点。所以,以太网技术已成为当今最重要的一种 局域网组网技术,以太网交换机也就成为了最普及的 交换机。 目录 ?网络交换机的概述 ?网络交换机的性能 ?网络交换机的分类 ?网络交换机的选择 网络交换机的概述 ?随着电子技术的飞速发展,计算机及其应用日益普及,计算机网络也迅速发展起来。凡是将地理位置 不同,具备独立功能的多台计算机、终端及其附属设
备,用通信设备和线路连接起来,并配以相应的网络软件实现计算机通信信息网的资源共享与数据通信,都称为计算机通信网。当网络规模扩大时,单纯靠延长网线已变得不现实。并且对于不同的局域网,要实现互相之间的数据传送,共享网络的资源,需要有专门的连接设备实现网络扩展。同时,网络中站点的增加,地理范围的扩大,业务量的增长,促使网络互联迅速向前发展。 网络互联的高速发展,导致网络交换技术的出现,网络交换机也随之应运而生。广义的交换机就是一种在通信系统中完成信息交换功能的设备。网络交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。 随着交换技术的发展,交换机由原来工作在OSI承M 的第二层,发展到现在有可以工作在第四层的交换机出现,所以根据工作的协议层交换机可分第二层交换机、第三层交换机和第四层交换机。由于第四层交换机交换技术尚未真正成熟且价格昂贵,第四层交换机在实际应用中目前还较少见。 网络交换机的性能 网络交换机是一种连接网络分段的网络设备。从技术角度看,网络交换机运行在OSI 模型的第2层
POE以太网交换机技术规范书 中国联通河北省分公司二零零九年十一月
一、总则 1.概述 1.1 本文件为中国联合通信有限公司(以下简称买方)对POE以太网交换机设备招标采购中的设备供应商(以下简称卖方)提出的技术规范书。本规范书将作为谈判的基础。 1.2 卖方所提供的所有各项设备和系统(包括软、硬件)应符合技术标准的要求如下: (1) 符合有关标准(如ISO、ITU-T、ETSI、IETF等),卖方应在建议书中具体说明,并附上相应的详细技术资料; (2) 若卖方的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料; (3) 本文件中未给出,但ITU-T已有建议的系统设备性能和功能均应满足ITU-T 最新建议要求; (4) 待买方新的标准(中华人民共和国通信行业标准和中国联合通信有限公司相关技术要求等)制定出来后,卖方应免费修改其系统以满足要求。 (5) 中华人民共和国通信行业标准YD/T-1255-2003《具有路由功能的以太网交换机技术要求》,及其它已颁发的相关技术要求和文件,具备中国信息产业部颁发的电信设备进网许可证; (6) 国家已颁发的相关法律文件(例如招标法等)。 1.3 卖方应按照本文件的要求提供报价和详细的技术建议。卖方提供的各项设备及系统的功能、性能应完全符合买方指明的标准,并满足或高于买方指出的要求。对于本文件未规定的有关设备性能,卖方应提出建议,并陈述其理由。 1.4卖方应根据本文件的要求提供建议书,建议书要求采用中文书写,设备技术资料应尽量提供中文,可提供英文。 1.5规范书有关内容的澄清 (1) 卖方对于规范书的疑问可以通过书面材料与买方联系。在规定的建议书最后提交期限以前,买方将以书面材料给予答复。有关买方答复材料的复印件也将递交所 1
电脑网络基础知识:无线局域网、防火墙、交换机、路由器
————————————————————————————————作者:————————————————————————————————日期:
电脑网络基础知识:无线局域网、防火墙、交换机、路由器 366小游戏 无线局域网 计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。 WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到11Mbps,传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。 与有线网络相比,WLAN具有以下优点:安装便捷:一般在网络建设当中,施工周期最长、对周边环境影响最大的就是网络布线的施工了。在施工过程时,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。 使用灵活:在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦WLAN 建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络,进行通讯。经济节约:由于有线网络中缺少灵活性,这就要求网络的规划者尽可能地考虑未来的发展的需要,这就往往导致需要预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划时的预期,又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生。 易于扩展:WLAN又多种配置方式,能够根据实际需要灵活选择。这样,WLAN能够胜任只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像"漫游(Roaming)"等有线网络无法提供的特性。由于WLAN具有多方面的优点,其发展十分迅速。在最近几年里,WLAN 已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。据权威调研机构Cahners In-Stat Group预计,全球无线局域网市场将在2000年至2004年保持快速增长趋势,每年平均增长率高达25%。无线局域网市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关,在2004年达到21.97亿美元。 网卡 网络接口卡(NIC -Network Interface Card)又称网络适配器 (NIA-Network Interface Adapter),简称网卡。用于实现联网计算机和网络电缆之间的物理连接,为计算机之间相互通信提供一条物理通道,并通过这条通道进行高速数据传输。在局域网中,每一台联网计算机都需要安装一块或多块网卡,通过介质连接器将计算机接入网络电缆系统。网卡完成物理层和数据链路层的大部分功能,包括网卡与网络电缆的物理连接、介质访问控制(如:CSMA/CD)、数据帧的拆装、帧的发送与接收、错误校验、数据信号的编/解码(如:曼彻斯特代码的转换)、数据的串、并行转换等功能。 Modem MODEM就是调制解调器。是调制器和解调器的合称。网友们通常戏称为"猫"。它是拨号上网的必备设备。通过Modem将计算机的数字信息变成音频信息才得以在电话线上传播。 Modem一般分内置和外置两种。内置式插入计算机内不占用桌面空间,使用电脑内部的电源,价格一般比外置式便宜。外置式安装简易,无需打开机箱,也无需占用电脑中的扩展槽。它有几个指示灯,能够随时报告Modem正在进行的工作。 防火墙 1.什么是防火墙防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共
远东哈里斯程控交换机 技术规 2014-08
一、招标围 行政通信系统:包括程控数字交换机、维护终端、行政分机、通信电缆、话机等所有组成行政通信系统所需的设备、材料、元器件、软件、设备安装、调试、及对外联网需办理的相关手续等。 行政程控交换机要求选用技术先进、功能齐全、性能稳定的交换机,本期容量为: 1024门。行政交换机支持环路中继、数字中继等接口,可实现与其他通信系统组网。 二、总则 1.本技术规适用于丰城电厂数字程控行政交换机的技术及供货要求,并作为供方报价文件及工程技术建议书的依据。 2.本设备技术规书提出的是行政程控交换机系统功能设计、结构、性能、安装和试验等方面的技术要求。 3.本设备技术规书提出的是最低限度的技术要求,并未对一切技术细节做出规定,也未充分引述有关标准和规的条文,供方应提供符合本规书和工业标准的优质产品。 4.如果供方没有以书面形式对本规书的条文提出异议,则意味着供方提供的设备(或系统)完全符合本规书的要求,如有异议,不管是多么微小,都应在报价书中的“对规书的意见和差异”中加以详细描述。 5.本设备规书所使用的标准如与供方所执行的标准不一致时,按较高标准执行。 6.供方必须提供技术上先进、可靠性高,在国有成功经验的行政程控交换机设备。由供方提供的设备应同时具备信息产业部和电力部门颁发的数字程控行政机进网许可证。 7.本设备技术规书经供、需双方确认后,作为定货合同的技术附件,与合同正文具有同等的法律效力。 8 . 技术服务及系统保证: ?本系统由供方负责设备搬运到位、现场安装、系统调试及开通等项工作,并对系统安装及运行质量全面负责。 ?供方提供的设备在出厂前应通过全面的、严格的质量检测,需方有权派工程技术人员对设备的到货情况、产品合格证书及相关文件等进行查验,当设备运抵现场和在设备调试过程中发现有缺陷时或与合同不符时,需方有权要求供方免费更换或修复,在达到设备质量指标和合同要求后,方可继续工作。因系统质量和设备缺陷延误工期由供方负责,并经双方协
cisco所有局域网缓解技术 交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT 必须支持802.1X方式,如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息 示例配置: Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用 可选配置: Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3//现在重新认证,注意:如果会话已经建立,此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host//默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口 Switch#configure terminal
目录 网络交换机的概述 网络交换机的性能 网络交换机的分类 网络交换机的选择 网络交换机的概述 随着电子技术的飞速发展,计算机及其应用日益普及,计算机网络也迅速发展起来。凡是将地理位置不同,具备独立功能的多台计算机、终端及其附属设备,用通信设备和线路连接起来,并配以相应的网络软件实现计算机通信信息网的资源共享与数据通信,都称为计算机通信网。当网络规模扩大时,单纯靠延长网线已变得不现实。并且对于不同的局域网,要实现互相之间的数据传送,共享网络的资源,需要有专门的连接设备实现网络扩展。同时,网络中站点的增加,地理范围的扩大,业务量的增长,促使网络互联迅速向前发展。 网络互联的高速发展,导致网络交换技术的出现,网络交换机也随之应运而生。广义的交换机就是一种在
通信系统中完成信息交换功能的设备。网络交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。 随着交换技术的发展,交换机由原来工作在OSI承M 的第二层,发展到现在有可以工作在第四层的交换机出现,所以根据工作的协议层交换机可分第二层交换机、第三层交换机和第四层交换机。由于第四层交换机交换技术尚未真正成熟且价格昂贵,第四层交换机在实际应用中目前还较少见。 网络交换机的性能 网络交换机是一种连接网络分段的网络设备。从技术角度看,网络交换机运行在 OSI 模型的第2层(数据链路层)。网络交换机源于电子集线器(HUB),其中 HUB 是为星型网络提供的一种中心结点设备。在共享 HUB 中,所有星型网络连接都接收同一个广播帧。交换机类似于集线器,它也支持单个广播域,但不同的是交换机上的每个端口同时也是它自己的冲突域(Collision Domain)。通常情况下,交换机比集线器更加智能化,网络交换机能监测到所接收的数据包,并能判断出该数据包的源和目的地设备,从而实现正确的转发过程。网络交换机只对连接设备传送信
网络交换机技术要求 1.核心交换机技术 背板带宽>=32G 转发性能>=9.6Mpps 24个10/100Base-T,4个千兆SFP上行口,配置2个千兆多模模块 可支持接口类型: FE、GE(电口、光口) VLAN特性支持基于端口的VLAN,802.1q Vlan封装,最大Vlan 数>=4094,支持GVRP MAC地址表>=16K 堆叠数量>=8,堆叠后支持跨设备端口聚合; 最大支持链路聚合数:FE口>=8个或GE端口>=4个 支持带宽控制,控制粒度<=64Kbps 支持QOS优先级队列调度:每端口支持8个优先级队列,支持拥塞避免,支持802.1P,DSCP/TOS优先级和重新标记能力,支持基于时间 段的流分类和QoS控制能力 支持组播协议IGMP Snooping,IGMP V1/V2、PIM-SM、PIM-DM、MSDP 支持DHCP Server 支持静态路由、RIP V1/V2,支持OSPF、ECMP 支持VRRP 支持设备管理SNMP V1/V2/V3;RMON 1/2/3/9;CLI;TELNET;支持WEB网管 支持电缆检测功能,便于快速定位网络故障点
支持防止DoS攻击功能 支持ARP入侵检测功能 支持端口隔离 支持MAC地址黑洞 提供信产部入网证(非新产品,入网时间超过1年) 2.接入交换机技术 背板带宽>=19.2G 转发性能>=6.55Mpps 24个10/100Base-T ,2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口,配置1个千兆多模模块 可支持接口类型: FE、GE(电口、光口) VLAN特性支持基于端口的VLAN,802.1q Vlan封装,最大Vlan 数>=4094,支持GVRP MAC地址表>=8K 堆叠数量>=16 最大支持链路聚合数:每个聚合组最大支持8个端口 支持组播协议IGMP Snooping v1/v2/v3 支持设备管理SNMP V1/V2/V3;RMON 1/2/3/9;CLI;TELNET;支持WEB网管 支持EAD(端点准入防御) 支持ARP入侵检测功能 支持端口隔离
OSI是Open System Interconnect的缩写,意为开放式系统互联。国际标准组织(国际标准化组织)制定了OSI模型。这个模型把网络通信的工作分为7层,分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。 交换机:交换机(英文:Switch,意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。广义的交换机(switch)就是一种在通信系统中完成信息交换功能的设备。 MAC地址:MAC(Media Access Control)地址,或称为MAC位址、硬件位址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC位址。因此一个主机会有一个IP地址,而每个网络位置会有一个专属于它的MAC位址。 路由器:连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。路由器英文名Router,路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。 所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说,在路由过程中,信息至少会经过一个或多个中间节点。通常,人们会把路由和交换进行对比,这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实,路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息,所以两者实现各自功能的方式是不同的。 网络安全等级化:目前计算机网络的应用中较多地采用安全等级分级管理的方式,一般是根据安全评估的统计数据得到网络的安全等级,根据安全等级采用相应的技术手段、管理策略等实现网络的安全应用。一般的安全等级划分主要参考了数据信息的分类方法,分为公开数据信息,一般数据信息,重要数据信息,关键数据信息和核心数据信息,按照数据信息的性质来考察网络安全等级的划分。 现今的企业网络信息安全存在的威胁主要表现在以下几个方面。 1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用 合法用户资源的目的。 3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使 用。
交换机技术指标要求 1、汇聚交换机数量1台 基本需求"交换容量≥2.5Tbps,包转发率≥1000Mpps 官网存在多个指标时以小的值为准; 支持48个万兆SFP+端口,2个40G QSFP+端口,扩展后最大可支持6个40G QSFP+端口; 支持可插拔的双电源" 端口能力支持10GE端口转发时延<1μs,签订合同前提供权威第三方测试报告备查 二层功能支持4K个VLAN,支持Guest VLAN、Voice VLAN,支持基于MAC/协议/IP子网/策略/端口的VLAN 三层功能支持静态路由、RIP V1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6 VxLAN 支持VxLAN功能,支持VxLAN二层网关、三层网关,支持BGP EVPN,实现自动建立隧道,提供权威第三方测试报告 MPLS 支持MPLS L3VPN、MPLS L2VPN(VPLS/VLL)、MPLS-TE、MPLS QoS,签订合同前提供权威第三方测试报告备查 虚拟化"支持堆叠,支持堆叠单向带宽≥240G,签订合同前提供权威第三方测试报告备查; 支持纵向虚拟化,作为父节点管理纵向子节点,作为纵向子节点零配置即插即用提供权威第三方测试报告; 管理维护支持SNMPv1/v2c/v3、网管系统、WEB网管特性 安全性支持CPU保护功能,签订合同前提供权威第三方测试报告备查 资质与服务"具备工信部入网证,检测报告; 提供三年原厂质保; 2、接入交换机数量4台 基本需求"交换容量≥336Gbps,包转发率≥100Mpps,官网存在多个指标时以小的值为准; 24个千兆电口,4个万兆SFP口" 设备开局支持标准USB接口,便于U盘快速开局 二层功能"支持MAC地址≥16K,支持ARP表项≥2K,签订合同前提供权威第三方测试报告备查; 支持4K个VLAN" 三层功能"支持RIP、RIPng、OSPF,签订合同前提供权威第三方测试报告备查; 支持IPv4 FIB表项≥4K,签订合同前提供权威第三方测试报告备查 虚拟化"支持智能堆叠,堆叠后逻辑上虚拟为一台设备,具有统一的表项和管理,堆叠系统通过多台成员设备之间冗余备份; 支持纵向虚拟化,作为纵向子节点零配置即插即用,签订合同前提供权威第三方测试报告备查 管理维护"支持SNMP V1/V2/V3、Telnet、SSHV2; 支持通过命令行、WEB网管、中文图形化配置软件等方式进行配置和管理" 节能支持能效以太网EEE,节能环保,签订合同前提供权威第三方测试报告备查 资质与服务"具备提供工信部入网证;检测报告 提供三年原厂质保; 3、模块以及辅材一批 提供所需交换机的所有万兆和千兆端口原厂模块,三年保修。以及所有辅材 投标设备厂商拥有成熟的软件研发能力,通过CMMI5级国际认证 以上所有技术要求及质保签订合同前需要提供官方证明(原厂彩页、原厂技术白皮书、原厂盖章技术响应表或官网资料及资料链接)备查。
如何保障网络安全交换机安全六则网络知识电脑资料 如何过滤用户通讯,保障安全有效的数据转发?如何阻挡非法用户,保障网络安全应用?如何进行安全网管,及时发现网络非法用户、非法行为及远程网管信息的安全性呢?这里我们了6 条近期交换机市场上一些流行的安全设置功能,希望对大家有所帮助, 为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外,GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。
交换机的流量控制可以预防因为广播数据包、组播数据包及因目 的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行, 安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准 集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即USM。USM对网管进行加密和认证是基于用户进 行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提 供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对信息的修改、伪装和。 至于通过Tel 的远程网络管理,由于Tel 服务有一个致命的弱点——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的,便于网管人员进行远程的安全网 络管理。 Watchdog 通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在CPU重启指令,使设备重新启动,这一功能
中兴ZXJ10交换机前置机技术规范(V3.6) 对于本技术规范所提出的独创功能、创意功能,希望能予以保密,以保护我公司的知识产权。 中兴交换机ZXJ10分为V4.x(俗称A型机或4版机,最新为V4.27)和为V10.x版本(俗称B型机或10版机)。 1TCP/IP的组网方式 ZXJ10V4.x和ZXJ10V10.x交换机提供的接口全部基于TCP/IP协议。支持的TCP组网方式包括:DDN/E1、ISDN、X.25、PSTN等。不同组网方式的组网结构是相同的:所有的监控管理终端和数据库服务器在网管中心组成局域网,然后通过一种或多种公网星型连接到各被监控局前置机;前置机从被监控设备采集数据,并送到网管中心,同时转发来至网管中心的发往被监控设备的指令。 不同组网方式因其不同的网络特性使其具有不同的性能,需要采用不同的设备。比如:LAN(局域网)、同步DDN/E1和ISDN速率高而且稳定,X.25方式稳定性较好但速率偏低,PSTN方式速率相对较低,稳定性也不太理想。LAN方式要求被监控点和监控中心在同一局域网中,其组网也比较简单可靠。 同步DDN/E1方式是目前最常用的方式,其典型组网图如下:
2数据传输流程(与网管的接口事项!) 网管中心通过TCP Socket分别与前置机的话务端口、告警端口和人机命令端口(缺省分别为8866、6688、8888)建链。 网管中心通过人机命令端口向交换机发送话务登记命令,从而进行话务的登记。 在发送人机命令前,网管中心向前置机人机命令端口发送登录请求包;前置机分析后,向网管中心发送登录结果包;假如登录成功后,网管中心就可以通过前置机向交换机发送人机命令了,前置机最后将执行结果返回给网管中心。 交换机的话务和告警数据分别通过前置机的话务端口、告警端口向网管中心发送。 3ASCII数据报格式(Tims协议) 3.1综述 中兴前置机与网管中心的数据传输采用ASCII格式的数据报,分为上行数据报和下行 (1)系统标识符sysID 作用:标识信息报的来源或数据传输的信息头。 格式:sysID= START\r\n (2)数据报标识packetID 作用:标识数据报的类别。 格式:详见下面解释。 (3)数据报体data 格式:详见下面解释。 (4)结束标识符sysID 作用:标识信息报的结束。 格式:END 注意:整个数据报的字符数不大于1000个。 3.2上行数据报 数据传输方向: 中兴前置机 网管中心 typedef struct { char[7] sysID; char[2] packetID; union { ALARMMESSAGE almpacket; //告警信息 TRAFFICMESSAGE trafficpacket; //话务信息 RESTOREMESSAGE restorepacket; //恢复信息 CARDMESSAGE cardpacket; //机架状态信息 COMMONMESSAGE compacket; //一般数据报 SQLRQMESSAGE sqlrqpacket; //SQL 信息 MMLMESSAGE mmlpacket; //人机命令信息 2
Q/GDW 429 — 2010 ICS 29.240 国家电网公司企业标准 Q / GDW 429 — 2010 智能变电站网络交换机技术规范 The technical specification for Ethernet LAN switch in Smart Substation 2010-××-××发布 2010-××-××实施 国家电网公司发布 Q/GDW Q/GDW 429 — 2010 I 目次 前 言 ······························································································································ II 1 范围··························································································································· 1 2 引用标 准 ····················································································································· 1 3 基本技术条 件 ········································································································
数据网络交换机概念和原理 交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机(switch)就是一种在通信系统中完成信息交换功能的设备。 在计算机网络系统中,交换概念的提出是对于共享工作模式的改进。我们以前介绍过的HUB集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。 交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部MAC地址表中。 使用交换机也可以把网络“分段”,通过对照MAC地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包的出现,避免共享冲突。 交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。 总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。 网络交换机分类
5.1交换机端口安全-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
案例一交换机端口安全 【案例描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是/24,主机MAC地址是00-06-1B-DE-13-B4.该主机连接在1台2126G上边。 【教学目标】 掌握交换机最大连接数及进行IP+MAC地址绑定技术。 【案例拓扑】 【案例实施】 步骤1 配置交换机的最大连接数限制 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能
Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 验证测试:查看交换机的端口安全配置 Switch#SHow port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown 步骤2 配置交换机端口的地址绑定 1. 查看主机的IP和MAC地址信息 在主机上打开cmd命令提示窗口,执行ipconfig/all命令 C:\Documents and Settings\Administrator>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : 25-56d2b5f93f1 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth