S2000系列交换机使用手册.doc

一、 概述烽火网络现阶段S2系列二层交换机产品系列包括S2008M-A，S2008MF-B，S2209A，S2016M-A，S2018MF-B，S2216F，S2024M-A，S2024MF-B，S2226A，S2205A，S2206A，S2224G，S2250。（本PPT内容适用于S2250除外的产品） （设备型号确认）二、 硬件结构简介F-engine S2000M系列交换机是多端口的10/100M自适应网管型以太网交换机。S2000M包括8个10/100M电口1个100M光口、16个10/100M电口+2个100M光口、24个10/100M电口2个100M光口共三个规格，并提供带外网管口。该系列交换机可达到全线速转发，具有Tag VLAN、端口聚合（Trunk）、端口地址绑定、组播和QOS等功能，可提供形象直观、功能强大的图形界面网管系统，支持集群网管，可满足各种场合下宽带网络接入的需求。 三、四、 基本使用说明F-engine S2008S2016交换机是为8个10/100Mbps端口的以太网交换机。该交换机提供本地网管功能，支持基于端口VLAN、广播风暴控制等功能，是一款经济实用的桌面型快速以太网交换机1、功能描述S2008S2016 10M/100M快速以太网交换机可以用于（1）提供8个节点用于微机，服务器，集线器，交换机，桥接器或路由器的连接；（2）可作为10Mbps网络和100Mbps网络的桥接器；（3）可作为连接不同网络组之间的桥接器；（4）通过本交换机可以将整体网络分隔成数个冲突区的子网络；（5）支持VLAN；2、交换机的工作原理10M/100M快速以太网交换机的工作原理：（1）通过存储转发或直通模式，将内部缓存有效的分配给各RJ-45端口；（2）提供各端口每秒148800个封装包的过滤及转送速率；（3）提供流量控制策略，可有效避免包的丢失；（4）10M/100M自适应；（5）提供全双工/半双工的传输模式4、LED指示灯(1)(3)LED表示端口的速率，碰撞及电源的状态.具体含义如下：（1）电源LED指示灯(面板上为PWR)绿光代表交换器电源正常，指示灯不亮时请与服务人员联系，自行拆卸交换机将有可能使产品失效。（2）Reset指示灯黄灯表示设备正在重启，重启完成该灯将会熄灭。（3）10M/100M LED指示灯(面板上为1X，2X，3X，4X，5X)稳定的橙光表示该端口已经接上，并且速率为10M；闪烁的橙光表示该端口上有数据在传送。稳定的绿光表示该端口已经接上，并且速率为100M；闪烁的绿光表示该端口上有数据在传送。5、接口每个RJ45接口都标有数字及X字样。（1）1X，2X，3X，4X，5X端口(面板上为1X，2X，3X，4X，5X)所有的X接口均可以使用标准的100Mbps category 5 绞线。6、产品主要性能标准符合IEEE802.3，IEEE802.3u，IEEE802.3x接口RJ-45传输模式自动协商（半/全双工，10/100Mbps）缓存容量S2008S2016 2Mb MAC地址数S2008S2016 1K 传输方式存储转发最大过滤速度148800pps最大转发速度148800ppsLED指示电源、连接/发送、速度VLAN基于端口的VLAN电源输入90260VAC，5060Hz功耗S2008S2016 14W 工作温度范围-1050储存温度范围-2565外形尺寸（mm）S2008S2016 26015044五、 常用配置1、搭建配置环境（WEB） 使用web网管前，需要确保网管主机的IP地址已经设置正确； 设备缺省的web网管IP地址为； 设备缺省的用户名为：admin 密码为：12345 通过输入正确的用户名和密码），用户可以进入到基于WEB的管理系统的欢迎界面。在第一次登录此设备的时候，用户名和密码都是缺省配置，单击确定即可进入到主界面。登录后请自行修改用户名和密码。2、带内网管IP2000M系列交换机只允许在一个vlan上配置ip地址，这个vlan我们也称之为管理vlan。 所以，如果ip数据不是来自于管理vlan，那么也就不能与交换机进行ip通信。设置管理vlan主要是出于安全的考虑，建议在网络规划时使用一个单独的vlan来只用于管理交换机，使用其它的vlan来进行数据接入，这样普通用户就不能访问交换机的管理界面、从而保证交换机的安全。在烽火网络交换机上，管理vlan缺省是vlan 1 （1）配置管理vlan的IP地址 S2000M (config-system) #ip address 00 （2）改变管理vlan S2000M (config-system) #management vlan 2 （3）检验所配置的IP地址 S2000M#show system3、用户名密码配置交换机上，如果具备了管理员的权限，可以根据需要设置不同权限登陆的用户名/密码 （1）建立一个新用户123，密码为456。 S2016MFB(config)#username 123 password 456（2）将用户用户123的权限设为管理员。 S2016MFB(config)#username 123 group administrators 注意其中的配置顺序。4、vlan(802.1q)（1）创建或进入VLAN S2000M (config) #interface vlan 2 S2000M (config-vlan-2) #（2）删除VLAN S2000M (config) #no vlan 2 （3）在VLAN中设置成员端口 S2000M (config-vlan-5) #member 1-3 untagged （4）在VLAN中删除成员端口 S2000M (config-vlan-5) #no member 1-3（5）设置端口的PVID S2000M (config-eth-1) #pvid 100（6）把端口加入（退出）VLAN S2000M (config-eth-1) #join vlan 5-10 tagged S2000M (config-eth-1) #quit vlan 5-10（7）设置端口的帧接收类型 S2000MA (config-eth-1) #dot1q accept all 【all表示该端口接受所有类型的数据帧：vlan标记帧、优先级帧、非标记帧；参数tagged-only表示该端口只接受vlan标记帧】 （8）设置端口的入过滤 S2000MA (config-eth-1) #dot1q ingress-filter (enabledisable) 【enalbe表示使能端口入过滤，disable表示不使能端口的入过滤。上面的命令将设置端口1的入过滤使能，当这个端口接收到自己并不属于的vlan的数据时，将把该数据丢弃】 5、vlan(pvlan)（1）创建PVLAN S2000M(config)#pvlan 1 S2000M(config-pvlan-1)#isolate-ports 2-6 【上述命令建立PVLAN1,并将交换机上的26号端口互相隔离起来，26号端口之间不能进行数据转发】（2）删除PVLAN S2000M(config)#no pvlan 1 注意：一个端口不能位于2个pvlan中；S2000MA、S2000MFB系列交换机支持20条PVLAN，可根据需要分别配置 6、端口限速（1）设置交换机端口的传输速率控制 Fengine (config-eth-4) #rate-limit rx Fengine (config-eth-4) #rate-limit tx （2）设置交换机各端口的数据包的速率限制 Fengine (config-eth-1) #packet-limit broadcast 0-100000 Fengine (config-eth-1) #packet-limit dlf Fengine (config-eth-1) #packet-limit multicast Fengine (config-eth-1) #packet-limit b-m Fengine (config-eth-1) #packet-limit b-m-dlf 备注:b-m为广播组播的速率控制，b-m-dlf为广播+组播+DLF的速率控制：速率限制的范围，单位是kbps，取值只能是以下数值之一: 128/256/512/1000/2000/4000/8000/16000/32000/64000参数的含义在不同的交换机上可能意义不一样，在配置前可以查看交换机的实时提示，以避免配置出错 7、STPSTP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元bpdu（bridge protocol data unit）来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换机置为blocking，来消除网络中的环路 从步骤和原理上讲,生成树配置涉及下面一些任务：选举和维护一个根网桥。通过配置一些生成树的参数来优化生成树。（如端口优先级、端口成本）通过配置上行链路来减少生成树的收敛时间（1）使能禁止生成树协议 Fengine#config Fengine (config)#stp Fengine (config-stp)#stp enable（2）配置交换机生成树转发时延 Fengine (config-stp)#stp forward-delay 【设置了设备的端口改变状态（例：侦听-学习-转发）前等待的最大时间】（3）配置交换机生成树根桥周期发送问候时间 Fengine (config-stp)#stp hello-time 【设置根节点设备发送配置信息的时间间隔】（4）配置交换机生成树对收到的BPDU配置的最大保存时间 Fengine (config-stp)#stp max-age 【该命令设置了一台设备在尝试去配置之间由于没有收到配置信息而能等待的最大时间，在规则的时间间隔内所有的设备端口（除了指定的端口）应该收到配置信息。任何老化掉STA信息的端口会变为指定的端口。如果它是根端口，则从设备端口选出一个新的根端口】（5）配置交换机生成树优先级 Fengine (config-stp)#stp priority 【这个命令用于选择根节点设备，根端口和指定端口。有着最高优先级(本命令配置的值越小优先级越高)的设备成为STP根设备。但是，如果所有的设备有着同样的优先级，那么MAC地址最小的设备将成为根设备】 显示交换机生成树协议的相关配置信息 Fengine#show stp 显示交换机各端口的生成树配置信息 Fengine#show stp interface 注意：在一个STP网络中，全部设备定时器应该对应一致，建议如无特殊需要，不要修改缺省值。 快速生成树协议，这是生成树协议的一个改进版本，更加注意了在重新计算拓扑时的开销，并且与老版本的协议兼容。具体配置方法请参见速配手册或产品用户手册。8、环回检测S2000M (config-eth-1) # loop-check enable【上面的命令在端口1上使能环回检测功能，烽火网络交换机在端口上缺省并不使能该功能】S2000M (config-eth-1)#loop-check disable【上面的命令在端口1上失效环回检测功能】S2000M (config-eth-1)# loop-check vlan 1【环回检测协议包中带有vlan id信息，缺省是检测vlan 1是否存在环路。如果一个端口属于多个vlan而希望检测的不是vlan 1，或者这个端口不在vlan 1中，那么需要设定环回检测的vlan值】（1）S2000M(config)#loop-check action shutdownS2000M (config) #loop-check action auto-recover S2000M(config)#loop-check time xxx 【该命令设置环回检测程序当发现环、关闭端口后，多长时间进行再次检测的时间，取值范围为300秒至65535秒，缺省的再次检测时间为12个小时。之所以设置这么长的时间是因为如果环一直存在，如果重新检测的时间过短，那么网络会出现间歇性的拥塞】 S2000M (config-eth-1)# loop-check re-check S2000M (config)#loop-check trap (enable | disable) 【该命令设置当环回检测程序发现环时是否发送SNMP TRAP告警，缺省不发送告警】（2）S2000M#show interface loop-check If Loop-check Vlan Status 1 disable 1 linkdown 2 disable 1 linkdown 3 disable 1 linkdown 4 disable 1 linkdown 5 disable 1 linkdown 6 disable 1 linkdown 7 disable 1 ok 8 disable 1 linkdown 【上面的命令显示当前每个端口的环路检测情况，第一列是端口号，第二列显示是否使能了环路检测功能，第三列显示检测的vlan号，第四列显示环路检测的状态，如果端口链路状态没有link，那么显示的是“linkdown”；如果端口链路状态是up的、并且没有环路存在，那么显示的是“ok”；如果端口上发现了环路，那么显示的是“topo-loop” 】9、组播（1）进入igmp snoop配置节点S2000MF (config) #igmp-snooping（2）配置igmp snoop协议使能或者失效S2000MF (config) #igmp-snooping (enable|disable)（3）配置组播代理使能S2000MF (config-igmp-snoop)#igmp-snooping proxy enable（4）配置组播代理vlanS2000MF (config-igmp-snoop)#igmp-snooping proxy vlan 1【该命令配置了代理vlan，必须是管理vlan】（5）配置代理IGMPV3S2000MF (config-igmp-snoop) #igmp-snooping proxy igmpv3-support enable注意： 跨vlan组播只能在mac地址学习模式为share的条件下使用。 代理vlan必须是管理vlan。 10、SpnmSPNM是交换机私有网管的英文减称，该技术是烽火网络公司交换机与图形化网管平台之间的一个私有协议，用于实现交换机自动注册、网络MAC地址定位等功能。（1）SPNM的自动注册功能可以应用于所有的交换机，但是需要在交换机上指定图形化网管平台的IP地址，并输入与图形化网管平台之间的共享密码，然后使能SPNM功能即可；（2）接入MAC收集功能：该功能应该只在直接接入用户的交换机上开启，网络中用于汇聚的交换机是不应该开启该功能的，并且需要在交换机上指定接入用户的接入端口 （3）术语 ESR：Ethernet Service Ring 以太网服务环 FDB：forwarding database 转发数据库 ESR域：一个运行ESR协议的以太网环 Master node：主节点，一个ESR域中配置的唯一的一个主控节点 Transit node：传输节点，一个ESR域中除主节点外的所有节点 Control VLAN：控制VLAN，一个ESR域中承载用于保护倒换的控制信息的VLAN（4）功能 ESR技术通过ESR域的master node控制其第二端口的阻塞与否来实现保护倒换功能。正常工作时，master node阻塞其第二端口以避免逻辑上成环；当环上某个端口断掉时，master node解阻塞其第二端口以保证连通性，使物理环在逻辑上为一条完整的link, 此保护倒换时间只需数十毫秒；当断掉的端口恢复时，ESR保证以太网环自动恢复正常。（5）具体配置命令请参考命令行手册或速配手册12、集群管理（1）集群是由一组交换机组成的一个集合，集群管理提供了一种自动收集设备拓扑的方法，并提供了集中、统一的维护管理通道。对外使用一个IP地址和一个管理端口，并提供了对集群每个成员的管理和访问能力。（2）一个集群中的交换机存在三种角色，包括命令交换机、成员交换机和候选交换机。一个集群中有且仅有一台命令交换机，命令交换机可以自动收集设备拓扑，并建立集群，集群建立后，命令交换机提供了一个对集群的管理通道，对成员交换机进行管理。由于集群的存在依赖于vlan，因此一个vlan中只能设置一台命令交换机。 （3）具体配置方法请参考速配手册13、软件升级Fengine(config-system)#ftp get 00 123 123 s2016mfb.bin