BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc
《BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc》由会员分享,可在线阅读,更多相关《BrocadeICX6430c-12二层交换机配置手册Word文档格式.doc(35页珍藏版)》请在冰点文库上搜索。
3.5.3限定远程SNMP连接为指定VLAN 3
3.5.4限定远程TFTP连接为指定VLAN 3
3.6关闭制定登录方式 3
3.6.1关闭Telnet登录 3
3.6.2关闭WebManagement登录 3
3.6.3关闭SNMP登录 3
3.7设置密码 3
3.7.1设置Telnet密码 3
3.8恢复丢失的密码RecoveringfromaLostPassword 3
3.9显示SNMP组的串值 3
3.10关闭密码屏蔽 3
3.11配置一个本地用户 3
第四章配置端口参数 3
4.1分配端口名称 3
4.2分配端口IP地址 3
4.3修改端口速率 3
4.4修改端口模式 3
4.5关闭或开启一个端口 3
4.6修改千兆协商模式 3
4.7配置端口镜像 3
第五章VLANS 3
5.1标记、未标记和双模式端口 3
5.2VLAN配置规则 3
5.3VLANID范围 3
5.4TaggedVLANs 3
5.5配置Port-BasedVLANs 3
5.6严格或者明确地标记端口 3
5.7为默认VLAN指定不同的ID 3
5.8配置虚拟路由端口 3
5.9完整的CLI范例 3
5.9.1CommandsforDeviceA 3
5.9.2CommandsforDeviceB 3
5.9.3CommandsforDeviceC 3
5.9.4CommandsforDeviceD 3
5.9.5CommandsforDeviceE 3
5.9.6CommandsforDeviceF 3
第六章交换机故障排除 3
第一章关于本手册
本手册描述了如何配置Brocade系列产品的功能,主要使用命令行模式操作。
本手册同时描述了如何通过状态统计表和全局命令来监测Brocade网络产品。
Chapter2
第二章开始使用命令行
2.1通过命令行登陆
您可以通过PC连接Console口或通过10/100M的management端口登陆,或者通过telnet或ssh连接到计算机或终端。
命令行分为如下几个级别:
·
UserEXEC–能够显示配置信息并使用ping等基本测试命令
PrivilegedEXEC–能够进行系统设置,更改后需要保存配置。
CONFIG–能够对设备配置进行更改,更改后需要保存配置。
NOTE:
默认的所有用户可以连接到系统,从安全考虑,可以设置enable密码或本地用户,或者配置设备通过RADIUSorTACACS/TACACS+服务器来验证。
2.2在线帮助
任何时候能够使用?
来显示帮助,使用tab键显示选项
当错误时,系统会提示错误原因.Forexample:
ICX6430switch(config)#rooterip
Unrecognizedcommand
2.2.1用户模式
默认为此等级,提示符如下
ICX6430switch>
2.2.2特权模式
您在UserEXEClevel中可以使用enable[<
password>
]orenable<
username>
<
进入特权模式.Forexample:
enable
or
enableuser1mypassword
输入密码后,提示符变为:
#.
2.3全局模式
在privilegedEXEClevel中输入configureterminal进入全局配置模式
enable
#configurationterminal
2.4配置命令
CONFIG命令中存在如下级别:
2.4.1接口模式
能够允许设置和更改特定的端口参数,需要在globalCONFIGlevel下输入下列命令:
interfaceethernet<
slot/port>
interfaceloopback<
num>
interfacemanagement<
portnum>
2.4.2Trunk模式
允许更改静态绑定组的参数,需要在globalCONFIGlevel下输入命令:
trunk
第三章系统管理安全控制
3.1限制远程登录管理功能
您可以限制对设备管理的远程连接,包括Telnet,theWebmanagementinterface,andSNMP.可以使用以下方法:
使用ACLs限制Telnet,Webmanagementinterface,orSNMPaccess
只允许指定IP地址远程连接
只允许特殊Vlan的客户端连接
禁止Telnet,Webmanagementinterface,orSNMPaccess连接
3.2使用ACLs限制远程连接权限
您可以使用ACLs控制以下连接:
Telnetaccess
SSHaccess
Webmanagementaccess
SNMPaccess
可以通过如下方法限制此类连接:
1.配置ACL,只允许指定VLAN的ip地址可以访问主机。
2.配置Telnetaccessgroup,SSHaccessgroup,webaccessgroup,andSNMPcommunitystrings
ACL过滤是使用硬件实现的
3.2.1使用ACL限制Telnet权限
配置举例如下:
ICX6430switch(config)#access-list10denyhost209.157.22.32log
ICX6430switch(config)#access-list10deny209.157.23.00.0.0.255log
ICX6430switch(config)#access-list10deny209.157.24.00.0.0.255log
ICX6430switch(config)#access-list10deny209.157.25.0/24log
ICX6430switch(config)#access-list10permitany
ICX6430switch(config)#telnetaccess-group10
ICX6430switch(config)#writememory
以上命令配置了ACL10,并将Telnet设置到该ACL,规定了除指定ip地址外的主机均可访问。
Syntax:
telnetaccess-group<
|<
name>
The<
可以指定数字为1–99,该模式下为标准ACL.
可以指定特殊的ACL名称
ICX6430switch(config)#access-list10permithost209.157.22.32
ICX6430switch(config)#access-list10permit209.157.23.00.0.0.255
ICX6430switch(config)#access-list10permit209.157.24.00.0.0.255
ICX6430switch(config)#access-list10permit209.157.25.0/24
上面例子表示,允许部分ip地址访问,其余地址均被禁止。
3.2.2使用ACL限制SSH权限
sshaccess-group<
3.2.3使用ACL限制WebManagement权限
webaccess-group<
3.2.4使用ACL限制SNMP权限
snmp-servercommunity<
string>
ro|rw
<
standard-acl-name>
standard-acl-id>
规定了SNMP的串值.
Thero规定该串值的权限是只读权限.Therw规定该串值是读写权限。
定义ACL来控制SNMP登录
可以指定数字为1–99,该模式下为标准ACL.
可以指定特殊的ACL名称
3.2.5配置针对远程登录的硬件过滤
如下的例子用来进行对TELNET连接的远程登录的过滤
ICX6430switch(config)#vlan3byport
ICX6430switch(config-vlan-3)#untaggedethe3/1to3/5
ICX6430switch(config-vlan-3)#switch-interfaceve3
ICX6430switch(config-vlan-3)#exit
ICX6430switch(config)#interfaceve3
ICX6430switch(config-ve-1)#ipaddress10.10.11.1255.255.255.0
ICX6430switch(config-ve-1)#exit
ICX6430switch(config)#access-list10permithost10.10.11.254
ICX6430switch(config)#access-list10permithost192.168.2.254
ICX6430switch(config)#access-list10permithost192.168.12.254
ICX6430switch(config)#access-list10permithost192.64.22.254
ICX6430switch(config)#access-list10denyany
ICX6430switch(config)#telnetaccess-group10vlan3
ICX6430switch(config)#sshaccess-group10vlan3
ICX6430switch(config)#webaccess-group10vlan3
ICX6430switch(config)#snmp-servercommunityprivaterw10vlan3
在本例中,配置了一个3层的VLAN用来作为进行远程登录控制的Vlan
3.3限制远程登录设备为特定ip地址
默认情况下,SX交换机对远程连接的权限不作任何限制,您可以对以下连接进行特定的IP地址限制:
3.3.1限定指定Telnet登录地址
命令示例如下:
ICX6430switch(config)#telnetclient209.157.22.39
[no]telnetclient<
ip-addr>
3.3.2限定指定SSH登录地址
ICX6430switch(config)#ipsshclient209.157.22.39
[no]ipsshclient<
3.3.3限定指定WebManagement登录地址
ICX6430switch(config)#webclient209.157.22.26
[no]webclient<
3.3.4限定指定SNMP地址
ICX6430switch(config)#snmp-client209.157.22.14
[no]snmp-client<
3.3.5限定指定所有管理方式的登录地址
ICX6430switch(config)#all-client209.157.22.69
[no]all-client<
3.4限定Telnet登录的线程数
如果使用Telnet登录系统,系统会提示输入用户名和密码。
默认情况下可以输入3次用户名密码。
如果3次尝试军失败,设备会切断Telnet连接。
您可以设定您登录用户名和密码的重试次数:
ICX6430switch(config)#telnetlogin-retries5
[no]telnetlogin-retries<
number>
3.5限定远程连接为指定VLAN
您可以将以下如下的远程网络管理登录限制在特殊的vlan里:
TFTPaccess
默认的,允许所有登录权限,一旦您设置特殊的登录vlan,那么所有的登录将限制在此VLAN中。
使用Vlan控制可以和其它方式的登录限制联合使用,比如可以和ACL联合使。
3.5.1限定远程Telnet连接为指定VLAN
配置示例如下:
ICX6430switch(config)#telnetserverenablevlan10
[no]telnetserverenablevlan<
vlan-id>
3.5.2限定远程WebManagement连接为指定VLAN
ICX6430switch(config)#web-managementenablevlan10
[no]web-managementenablevlan<
3.5.3限定远程SNMP连接为指定VLAN
ICX6430switch(config)#snmp-serverenablevlan40
Syntax:
[no]snmp-serverenablevlan<
3.5.4限定远程TFTP连接为指定VLAN
ICX6430switch(config)#tftpclientenablevlan40
[no]tftpclientenablevlan<
3.6关闭制定登录方式
您可以关闭下面的特殊登录方式:
如果您关闭Telnet登录,您将不能通过设备上的管理端口登录,如果关闭SNMP登录,将不能使用IronView网管软件进行管理.
3.6.1关闭Telnet登录
命令如下:
ICX6430switch(config)#notelnet-server
重新启动该功能命令如下:
ICX6430switch(config)#telnet-server
[no]telnet-server
3.6.2关闭WebManagement登录
ICX6430switch(config)#noweb-management
ICX6430switch(config)#web-management
[no]web-management
关闭SNMP登录
ICX6430switch(config)#nosnmp-serverenable
ICX6430switch(config)#snmp-serverenable
[no]snmp-serverenable
设置密码
3.6.3设置Telnet密码
默认系统不需要用户名和密码.设置密码示例如下
ICX6430switch(config)#enabletelnetpasswordletmein
[no]enabletelnetpassword<
设置密码管理机别
您可以为如下级别的权限赋予不同的密码:
SuperUserlevel–允许完全的读写权限,能够管理整个系统。
PortConfigurationlevel–允许对特定的端口进行读写配置,但是不能配置整个系统。
ReadOnlylevel–允许进入PrivilegedEXEC模式,但只有读的权限
您可以为每一个管理权限制定一个密码,一共可以设定16个用户,并赋予每个用户不同的权限
您可以使用CLI进行密码设置工作,不能使用Webmanagement设置.
设置管理权限的密码:
1.输入如下命令:
enable
ICX6430switch#
2.然后进入全区配置模式:
ICX6430switch#configureterminal
ICX6430switch(config)#
3.输入超级用户密码:
ICX6430switch(config)#enablesuper-user-password<
text>
当您设置其它级别密码之前,必须首先设置超级用户的密码,密码可以有字母和数字组成,但不能由数字开始.
4.为另外的权限赋予密码:
ICX6430switch(config)#enableport-config-password<
ICX6430switch(config)#enableread-only-password<
enablesuper-user-password<
enableport-config-password<
enableread-only-password<
3.7恢复丢失的密码RecoveringfromaLostPassword
您可以通过串口连接并重新启动系统来恢复丢失的密码.
您只能通过CLI恢复此密码.
密码恢复步骤:
1.从串口登录设备
2.重新启动设备
3.在启动过程中,按B进入启动监视模式
4.在提示符下输入nopassword.(此命令不能缩写.)这条命令会让系统跳过用户密码检查
5.在提示符下输入bootsystemflashprimary.
6.然后在console提示符下,设定一个新密码.
3.8显示SNMP组的串值
需使用如下命令:
ICX6430switch(config)#enablepassword-display
ICX6430switch(config)#showsnmpserver
enablepassword-display命令能够允许显示SNMP的串值,而showsnmpserver命令可以显示所有的SNMP的串值,您必须在全局配置模式下使用此命令。
3.9关闭密码屏蔽
当您定义了一个密码,并保存到Brocade设备的内存中,密码也同时保存到启动配置文件。
默认情况下,密码是被遮掩的,你无法通过显示配置而看到密码
如果希望不对密码进行加密显示,须输入如下命令
ICX6430switch(config)#noservicepassword-encryption
[no]servicepassword-encryption
3.10配置一个本地用户
增加一个本地用户,使用如下命令:
ICX6430switch(config)#usernamewonkapasswordwilly
这条命令配置了一个叫wonka的用户,其密码是willy,该用户为超级