所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-设备管理

本文档介绍了设备管理的配置,具体包括查看设备状态、 硬件管理、 堆叠配置、 SVF配置、 云管理、 PoE配置、 监控口配置、 OPS配置、 节能管理、 信息中心配置、 故障管理配置、 NTP配置、 以太时钟同步配置、 PTP配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
通过集中配置模式配置AS的业务(批量配置:通过模板下发)

通过集中配置模式配置AS的业务(批量配置:通过模板下发)

在SVF中,Parent通过业务模板将配置下发至相应的AS。业务模板是一组业务配置的集合,业务模板下发至AS后,AS将解析并执行业务模板中配置的业务。

目前AS支持业务模板批量配置的业务范围请参考“AS支持配置的业务范围”。
  • 一个AS Port Group最多可以绑定一个网络基础模板、一个网络增强模板、一个用户接入模板。

  • 一个AS上的端口最多可以分配给32个不同的AS Port Group。

  • 仅网络基础模板可以绑定到AP Port Group,一个AP Port Group最多可以绑定一个网络基础模板。

  • 在AS下线后又重新上线期间,如果在Parent上对AS的全局配置进行了变更并通过commit提交了配置,则AS重新上线时会重启一次。

AS管理员模板配置步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令as-admin-profile name profile-name,创建AS管理员模板。
  4. 在AS管理员模板下配置需要的业务。
    • 配置登录AS时所需的用户名及密码:user user-name password password
    • 配置在AS上行Fabric-port出方向上对ARP、DHCP报文进行限速:traffic-limit outbound { arp | dhcp } cir cir-value

      缺省情况下,AS上行Fabric-port出方向上ARP报文的限速值为32Kbps,DHCP报文的限速值为128Kbps。

  5. 执行命令quit,退出AS管理员模板视图。
  6. 执行命令as-group name group-name创建AS Group。
  7. 在AS Group中添加AS成员。下面三种方式可以任意选择。
    • 添加特定名称的AS:as name as-name
    • 添加名称中包含指定字符串的AS:as name-include string
    • 添加已经上线的所有AS:as all
  8. 执行命令as-admin-profile profile-name绑定AS管理员模板。
  9. 执行命令quit,退出AS Group视图。
  10. 执行命令commit as { name as-name | all },提交配置。用户配置业务模板并将其绑定至AS Group后,需要执行该命令提交配置,以使配置下发至AS。

网络基础模板配置步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令network-basic-profile name profile-name,创建网络基础模板。
  4. 在网络基础模板下配置需要的业务。

    业务功能

    配置命令

    使用说明

    配置接口上的默认VLAN

    user-vlan vlan-id

    -

    配置接口允许通过的VLAN

    pass-vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

    每个AS接口上最多可以配置32个允许通过的VLAN。

    配置接口的语音VLAN

    voice-vlan vlan-id [ include-untagged ]

    该命令该配置对Port Group中绑定的业务Eth-trunk接口不生效。

    配置该功能时,要求AS端口下连接的IP话机支持并开启LLDP功能。

  5. 执行命令quit,退出网络基础模板视图。
  6. 执行命令port-group name group-name创建AS Port Group。
  7. (可选)执行命令description description命令配置AS Port Group的描述信息,方便识别AS Port Group所连接的终端类型。
  8. 在AS Port Group中添加AS成员。下面两种方式可以任意选择。
    • 添加指定AS的端口:as name as-name interface { { interface-type interface-number1 [ to interface-number2 ] } &<1-10> | all }
    • 添加名称中包含指定字符串的AS的端口:as name-include string interface all
  9. 执行命令network-basic-profile profile-name绑定网络基础模板。
  10. 执行命令quit,退出AS Port Group视图。
  11. 执行命令port-group connect-ap name group-name创建AP Port Group。
  12. (可选)执行命令description description命令配置AP Port Group的描述信息,方便识别AP Port Group所连接的终端类型。
  13. 在AP Port Group中添加AP成员。
    • 添加指定AS的端口:as name as-name interface { { interface-type interface-number1 [ to interface-number2 ] } &<1-10> | all }
    • 添加名称中包含指定字符串的AS的端口:as name-include string interface all
  14. 执行命令network-basic-profile profile-name绑定网络基础模板。

    AP Port Group绑定网络基础模板时,仅模板中的pass-vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>命令可以生效。

  15. 执行命令quit,退出AP Port Group视图。
  16. 执行命令commit as { name as-name | all },提交配置。用户配置业务模板并将其绑定至Port Group后,需要执行该命令提交配置,以使配置下发至AS。

网络增强模板配置步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令network-enhanced-profile name profile-name,创建网络增强模板。
  4. 在网络增强模板下配置需要的业务。

    业务功能

    配置命令

    使用说明

    配置接口的未知单播流量抑制

    unicast-suppression packets packets-per-second

    该配置对Port Group中绑定的业务Eth-trunk接口不生效。

    配置接口的组播流量抑制

    multicast-suppression packets packets-per-second

    该配置对Port Group中绑定的业务Eth-trunk接口不生效。

    配置接口的广播流量抑制

    broadcast-suppression packets packets-per-second

    该配置对Port Group中绑定的业务Eth-trunk接口不生效。

    配置接口的DHCP Snooping功能

    dhcp snooping enable

    只能检测动态绑定表,不能检测静态绑定表。

    配置接口的IP报文检查功能

    ip source check user-bind enable

    配置该命令前必须先配置dhcp snooping enable

    配置接口的ARP动态检测(DAI)功能

    arp anti-attack check user-bind enable

    配置该命令前必须先配置dhcp snooping enable

    配置接口的流量限速

    rate-limit cir-value

    该配置对Port Group中绑定的业务Eth-trunk接口不生效。

    如果不限制用户发送的流量,大量用户不断突发的数据会使网络更拥挤。通过配置入方向的接口限速,可以将通过某个接口进入网络的流量限制在一个合理的范围内。

    配置接口为边缘端口

    user-access-port enable

    对于运行生成树协议的二层网络,与终端相连的端口不用参与生成树计算,这些端口参与计算会影响网络拓扑的收敛速度,而且这些端口的状态改变也可能会引起网络震荡。将这些端口配置成边缘端口后,这些端口便不再参与生成树计算,从而帮助加快网络拓扑的收敛时间以及加强网络的稳定性。

  5. 执行命令quit,退出网络增强模板视图。
  6. 执行命令port-group name group-name创建AS Port Group。
  7. (可选)执行命令description description命令配置AS Port Group的描述信息,方便识别AS Port Group所连接的终端类型。
  8. 在AS Port Group中添加AS成员。下面两种方式可以任意选择。
    • 添加指定AS的端口:as name as-name interface { { interface-type interface-number1 [ to interface-number2 ] } &<1-10> | all }
    • 添加名称中包含指定字符串的AS的端口:as name-include string interface all
  9. 执行命令network-enhanced-profile profile-name绑定网络增强模板。
  10. 执行命令quit,退出AS Port Group视图。
  11. 执行命令commit as { name as-name | all },提交配置。用户配置业务模板并将其绑定至Port Group后,需要执行该命令提交配置,以使配置下发至AS。

用户接入模板配置步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令user-access-profile name profile-name,创建用户接入模板。
  4. 在用户接入模板下配置需要的业务。

    业务功能

    配置命令

    使用说明

    通过认证模板配置用户的接入认证方式

    authentication-profile authentication-profile-name

    该配置对Port Group中绑定的业务Eth-trunk接口不生效。

    通过认证模板配置用户的接入认证方式与限制接口MAC地址学习功能互斥,不可以同时配置。

    通过认证模板配置用户的接入认证方式与在AS接口入方向上对ARP、DHCP报文进行限速功能互斥,不可以同时配置。

    • NAC提供三种用户认证方式,分别是802.1X认证、MAC认证和Portal认证。用户可在系统视图下使用命令dot1x-access-profile name access-profile-namemac-access-profile name access-profile-nameportal-access-profile name access-profile-name创建对应的接入模板,然后在认证模板下绑定三种认证方式的一种或多种,最后在SVF的用户接入模板下绑定认证模板。

    • 如果SVF中部署了Portal认证,则需要通过命令web-auth-server server-name在Portal接入模板视图下指定认证时的Portal服务器模板。而且一个Portal接入模板下只支持配置一个Portal服务器模板。

    • 如果认证模板下配置的portal-access-profile中应用的Portal认证为layer3方式,则不允许在用户接入模板下绑定该认证模板。相反,如果在用户接入模板下已经绑定了该认证模板,则不允许配置portal-access-profile中应用的Portal认证为layer3方式。

    • 在任意时刻,不同的用户接入模板下允许绑定的认证模板必须为同一个。

    配置接口的MAC地址学习限制功能

    mac-limit maximum max-num

    通过认证模板配置用户的接入认证方式与限制接口MAC地址学习功能互斥,不可以同时配置。

    配置在AS接口入方向上对ARP、DHCP报文进行限速

    traffic-limit inbound { arp | dhcp } cir cir-value

    缺省情况下,AS接口入方向上不限制ARP、DHCP报文的转发速率。

    • 通过认证模板配置用户的接入认证方式与在AS接口入方向上对ARP、DHCP报文进行限速功能互斥,不可以同时配置。
    • 建议不要在同一端口上同时配置traffic-limit inbound dhcpdhcp snooping enable(网络增强模板视图),否则可能导致traffic-limit inbound dhcp限速功能失效。对于S2720EI、S2750EI、S5700LI、S5700S-LI、S5720S-LI、S5720LI、S5720SI、S5720S-SI、S5720I-SI、S5710-X-LI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、E600、S600-E款型的AS设备,任意端口上配置dhcp snooping enable(网络增强模板视图)时,都可能导致所有端口traffic-limit inbound dhcp限速功能失效,建议在发现DoS攻击后关闭被攻击端口。

    • 建议不要在同一端口上同时配置traffic-limit inbound arparp anti-attack check user-bind enable(网络增强模板视图),否则可能导致traffic-limit inbound arp限速功能失效。对于S2720EI、S2750EI、S5700LI、S5700S-LI、S5720S-LI、S5720LI、S5720SI、S5720S-SI、S5720I-SI、S5710-X-LI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、E600、S600-E款型的AS设备,任意端口上配置arp anti-attack check user-bind enable(网络增强模板视图)时,都可能导致所有端口traffic-limit inbound arp限速功能失效,建议在发现DoS攻击后关闭被攻击端口。

    配置AS接口上可以接入的用户接入最大数目

    authentication access-user maximum

    用户接入最大数目取值范围是1~512,但是向AS下发后实际生效的数值,还与AS自身可配置最大范围有关,具体可参考authentication access-point max-user

    该配置仅对新上线用户生效。

    该配置对Port Group中绑定的业务Eth-trunk接口不生效。

  5. 执行命令quit,退出用户接入模板视图。
  6. 执行命令port-group name group-name创建AS Port Group。
  7. (可选)执行命令description description命令配置AS Port Group的描述信息,方便识别AS Port Group所连接的终端类型。
  8. 在AS Port Group中添加AS成员。下面两种方式可以任意选择。
    • 添加指定AS的端口:as name as-name interface { { interface-type interface-number1 [ to interface-number2 ] } &<1-10> | all }
    • 添加名称中包含指定字符串的AS的端口:as name-include string interface all
  9. 执行命令user-access-profile name profile-name绑定用户接入模板。
  10. 执行命令quit,退出AS Port Group视图。
  11. 执行命令commit as { name as-name | all },提交配置。用户配置业务模板并将其绑定至Port Group后,需要执行该命令提交配置,以使配置下发至AS。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038438

浏览量:34949

下载量:2051

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页