BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc

BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc

《BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc》由会员分享，可在线阅读，更多相关《BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc（35页珍藏版）》请在冰点文库上搜索。

3.5.3限定远程SNMP连接为指定VLAN 3

3.5.4限定远程TFTP连接为指定VLAN 3

3.6关闭制定登录方式 3

3.6.1关闭Telnet登录 3

3.6.2关闭WebManagement登录 3

3.6.3关闭SNMP登录 3

3.7设置密码 3

3.7.1设置Telnet密码 3

3.8恢复丢失的密码RecoveringfromaLostPassword 3

3.9显示SNMP组的串值 3

3.10关闭密码屏蔽 3

3.11配置一个本地用户 3

第四章配置端口参数 3

4.1分配端口名称 3

4.2分配端口IP地址 3

4.3修改端口速率 3

4.4修改端口模式 3

4.5关闭或开启一个端口 3

4.6修改千兆协商模式 3

4.7配置端口镜像 3

第五章VLANS 3

5.1标记、未标记和双模式端口 3

5.2VLAN配置规则 3

5.3VLANID范围 3

5.4TaggedVLANs 3

5.5配置Port-BasedVLANs 3

5.6严格或者明确地标记端口 3

5.7为默认VLAN指定不同的ID 3

5.8配置虚拟路由端口 3

5.9完整的CLI范例 3

5.9.1CommandsforDeviceA 3

5.9.2CommandsforDeviceB 3

5.9.3CommandsforDeviceC 3

5.9.4CommandsforDeviceD 3

5.9.5CommandsforDeviceE 3

5.9.6CommandsforDeviceF 3

第六章交换机故障排除 3

第一章关于本手册

本手册描述了如何配置Brocade系列产品的功能，主要使用命令行模式操作。

本手册同时描述了如何通过状态统计表和全局命令来监测Brocade网络产品。

Chapter2

第二章开始使用命令行

2.1通过命令行登陆

您可以通过PC连接Console口或通过10/100M的management端口登陆，或者通过telnet或ssh连接到计算机或终端。

命令行分为如下几个级别:

·

UserEXEC–能够显示配置信息并使用ping等基本测试命令

PrivilegedEXEC–能够进行系统设置，更改后需要保存配置。

CONFIG–能够对设备配置进行更改，更改后需要保存配置。

NOTE:

默认的所有用户可以连接到系统，从安全考虑，可以设置enable密码或本地用户，或者配置设备通过RADIUSorTACACS/TACACS+服务器来验证。

2.2在线帮助

任何时候能够使用？

来显示帮助，使用tab键显示选项

当错误时，系统会提示错误原因.Forexample:

ICX6430switch（config）#rooterip

Unrecognizedcommand

2.2.1用户模式

默认为此等级，提示符如下

ICX6430switch>

2.2.2特权模式

您在UserEXEClevel中可以使用enable[<

password>

]orenable<

username>

<

进入特权模式.Forexample:

enable

or

enableuser1mypassword

输入密码后，提示符变为：

#.

2.3全局模式

在privilegedEXEClevel中输入configureterminal进入全局配置模式

enable

#configurationterminal

2.4配置命令

CONFIG命令中存在如下级别：

2.4.1接口模式

能够允许设置和更改特定的端口参数，需要在globalCONFIGlevel下输入下列命令:

interfaceethernet<

slot/port>

interfaceloopback<

num>

interfacemanagement<

portnum>

2.4.2Trunk模式

允许更改静态绑定组的参数，需要在globalCONFIGlevel下输入命令:

trunk

第三章系统管理安全控制

3.1限制远程登录管理功能

您可以限制对设备管理的远程连接，包括Telnet,theWebmanagementinterface,andSNMP.可以使用以下方法:

使用ACLs限制Telnet,Webmanagementinterface,orSNMPaccess

只允许指定IP地址远程连接

只允许特殊Vlan的客户端连接

禁止Telnet,Webmanagementinterface,orSNMPaccess连接

3.2使用ACLs限制远程连接权限

您可以使用ACLs控制以下连接:

Telnetaccess

SSHaccess

Webmanagementaccess

SNMPaccess

可以通过如下方法限制此类连接:

1.配置ACL，只允许指定VLAN的ip地址可以访问主机。

2.配置Telnetaccessgroup,SSHaccessgroup,webaccessgroup,andSNMPcommunitystrings

ACL过滤是使用硬件实现的

3.2.1使用ACL限制Telnet权限

配置举例如下:

ICX6430switch（config）#access-list10denyhost209.157.22.32log

ICX6430switch（config）#access-list10deny209.157.23.00.0.0.255log

ICX6430switch（config）#access-list10deny209.157.24.00.0.0.255log

ICX6430switch（config）#access-list10deny209.157.25.0/24log

ICX6430switch（config）#access-list10permitany

ICX6430switch（config）#telnetaccess-group10

ICX6430switch（config）#writememory

以上命令配置了ACL10，并将Telnet设置到该ACL，规定了除指定ip地址外的主机均可访问。

Syntax:

telnetaccess-group<

|<

name>

The<

可以指定数字为1–99，该模式下为标准ACL.

可以指定特殊的ACL名称

ICX6430switch（config）#access-list10permithost209.157.22.32

ICX6430switch（config）#access-list10permit209.157.23.00.0.0.255

ICX6430switch（config）#access-list10permit209.157.24.00.0.0.255

ICX6430switch（config）#access-list10permit209.157.25.0/24

上面例子表示，允许部分ip地址访问，其余地址均被禁止。

3.2.2使用ACL限制SSH权限

sshaccess-group<

3.2.3使用ACL限制WebManagement权限

webaccess-group<

3.2.4使用ACL限制SNMP权限

snmp-servercommunity<

string>

ro|rw

<

standard-acl-name>

standard-acl-id>

规定了SNMP的串值.

Thero规定该串值的权限是只读权限.Therw规定该串值是读写权限。

定义ACL来控制SNMP登录

可以指定数字为1–99，该模式下为标准ACL.

可以指定特殊的ACL名称

3.2.5配置针对远程登录的硬件过滤

如下的例子用来进行对TELNET连接的远程登录的过滤

ICX6430switch（config）#vlan3byport

ICX6430switch（config-vlan-3）#untaggedethe3/1to3/5

ICX6430switch（config-vlan-3）#switch-interfaceve3

ICX6430switch（config-vlan-3）#exit

ICX6430switch（config）#interfaceve3

ICX6430switch（config-ve-1）#ipaddress10.10.11.1255.255.255.0

ICX6430switch（config-ve-1）#exit

ICX6430switch（config）#access-list10permithost10.10.11.254

ICX6430switch（config）#access-list10permithost192.168.2.254

ICX6430switch（config）#access-list10permithost192.168.12.254

ICX6430switch（config）#access-list10permithost192.64.22.254

ICX6430switch（config）#access-list10denyany

ICX6430switch（config）#telnetaccess-group10vlan3

ICX6430switch（config）#sshaccess-group10vlan3

ICX6430switch（config）#webaccess-group10vlan3

ICX6430switch（config）#snmp-servercommunityprivaterw10vlan3

在本例中，配置了一个3层的VLAN用来作为进行远程登录控制的Vlan

3.3限制远程登录设备为特定ip地址

默认情况下，SX交换机对远程连接的权限不作任何限制，您可以对以下连接进行特定的IP地址限制：

3.3.1限定指定Telnet登录地址

命令示例如下:

ICX6430switch（config）#telnetclient209.157.22.39

[no]telnetclient<

ip-addr>

3.3.2限定指定SSH登录地址

ICX6430switch（config）#ipsshclient209.157.22.39

[no]ipsshclient<

3.3.3限定指定WebManagement登录地址

ICX6430switch（config）#webclient209.157.22.26

[no]webclient<

3.3.4限定指定SNMP地址

ICX6430switch（config）#snmp-client209.157.22.14

[no]snmp-client<

3.3.5限定指定所有管理方式的登录地址

ICX6430switch（config）#all-client209.157.22.69

[no]all-client<

3.4限定Telnet登录的线程数

如果使用Telnet登录系统，系统会提示输入用户名和密码。

默认情况下可以输入3次用户名密码。

如果3次尝试军失败，设备会切断Telnet连接。

您可以设定您登录用户名和密码的重试次数：

ICX6430switch（config）#telnetlogin-retries5

[no]telnetlogin-retries<

number>

3.5限定远程连接为指定VLAN

您可以将以下如下的远程网络管理登录限制在特殊的vlan里：

TFTPaccess

默认的，允许所有登录权限，一旦您设置特殊的登录vlan，那么所有的登录将限制在此VLAN中。

使用Vlan控制可以和其它方式的登录限制联合使用，比如可以和ACL联合使。

3.5.1限定远程Telnet连接为指定VLAN

配置示例如下：

ICX6430switch（config）#telnetserverenablevlan10

[no]telnetserverenablevlan<

vlan-id>

3.5.2限定远程WebManagement连接为指定VLAN

ICX6430switch（config）#web-managementenablevlan10

[no]web-managementenablevlan<

3.5.3限定远程SNMP连接为指定VLAN

ICX6430switch（config）#snmp-serverenablevlan40

Syntax:

[no]snmp-serverenablevlan<

3.5.4限定远程TFTP连接为指定VLAN

ICX6430switch（config）#tftpclientenablevlan40

[no]tftpclientenablevlan<

3.6关闭制定登录方式

您可以关闭下面的特殊登录方式：

如果您关闭Telnet登录，您将不能通过设备上的管理端口登录，如果关闭SNMP登录，将不能使用IronView网管软件进行管理.

3.6.1关闭Telnet登录

命令如下:

ICX6430switch（config）#notelnet-server

重新启动该功能命令如下:

ICX6430switch（config）#telnet-server

[no]telnet-server

3.6.2关闭WebManagement登录

ICX6430switch（config）#noweb-management

ICX6430switch（config）#web-management

[no]web-management

关闭SNMP登录

ICX6430switch（config）#nosnmp-serverenable

ICX6430switch（config）#snmp-serverenable

[no]snmp-serverenable

设置密码

3.6.3设置Telnet密码

默认系统不需要用户名和密码.设置密码示例如下

ICX6430switch（config）#enabletelnetpasswordletmein

[no]enabletelnetpassword<

设置密码管理机别

您可以为如下级别的权限赋予不同的密码:

SuperUserlevel–允许完全的读写权限，能够管理整个系统。

PortConfigurationlevel–允许对特定的端口进行读写配置，但是不能配置整个系统。

ReadOnlylevel–允许进入PrivilegedEXEC模式，但只有读的权限

您可以为每一个管理权限制定一个密码，一共可以设定16个用户，并赋予每个用户不同的权限

您可以使用CLI进行密码设置工作，不能使用Webmanagement设置.

设置管理权限的密码:

1.输入如下命令:

enable

ICX6430switch#

2.然后进入全区配置模式:

ICX6430switch#configureterminal

ICX6430switch（config）#

3.输入超级用户密码:

ICX6430switch（config）#enablesuper-user-password<

text>

当您设置其它级别密码之前，必须首先设置超级用户的密码，密码可以有字母和数字组成，但不能由数字开始.

4.为另外的权限赋予密码:

ICX6430switch（config）#enableport-config-password<

ICX6430switch（config）#enableread-only-password<

enablesuper-user-password<

enableport-config-password<

enableread-only-password<

3.7恢复丢失的密码RecoveringfromaLostPassword

您可以通过串口连接并重新启动系统来恢复丢失的密码.

您只能通过CLI恢复此密码.

密码恢复步骤:

1.从串口登录设备

2.重新启动设备

3.在启动过程中，按B进入启动监视模式

4.在提示符下输入nopassword.（此命令不能缩写.）这条命令会让系统跳过用户密码检查

5.在提示符下输入bootsystemflashprimary.

6.然后在console提示符下，设定一个新密码.

3.8显示SNMP组的串值

需使用如下命令:

ICX6430switch（config）#enablepassword-display

ICX6430switch（config）#showsnmpserver

enablepassword-display命令能够允许显示SNMP的串值，而showsnmpserver命令可以显示所有的SNMP的串值，您必须在全局配置模式下使用此命令。

3.9关闭密码屏蔽

当您定义了一个密码，并保存到Brocade设备的内存中，密码也同时保存到启动配置文件。

默认情况下，密码是被遮掩的，你无法通过显示配置而看到密码

如果希望不对密码进行加密显示，须输入如下命令

ICX6430switch（config）#noservicepassword-encryption

[no]servicepassword-encryption

3.10配置一个本地用户

增加一个本地用户，使用如下命令：

ICX6430switch（config）#usernamewonkapasswordwilly

这条命令配置了一个叫wonka的用户，其密码是willy，该用户为超级