summary - Display port security settings
systemMode - Enable/disable network security systemSummary - Display summary information Type \----------------------------------------- (1)--------------------------- Select menu option (security/network/access): ports Select user ports (unit:port...,?): 1:3
Enter mode of operation (?)[noSecurity]: ?
One of the following items may be selected at this prompt: noSecurity,continuallyLearn,autoLearn,standardNetworkLogin, secureNetworkLogin,nbxNetworkLogin
Enter mode of operation (?)[noSecurity]: autoLearn
Enter the number of authorized addresses (0-233)[1]: 5
Enter Disconnect Unauthorized Device mode (?)[noAction]: ? One of the following items may be selected at this prompt: noAction,permanentlyDisable,temporaryDisable
Enter Disconnect Unauthorized Device mode (?)[noAction]: no Select menu option (security/network/access): [说明]
上面例子中,端口3设置为autolearn方式,允许的地址个数为5个(该端口所学到的前5个地址),对于5个以后的MAC地址,设备即使连到端口3上,也不能通信。
下面是一些简单的参数说明,mode of operation有6个参数,noSecurity,continuallyLearn、autoLearn、standardNetworkLogin、secureNetworkLogin及nbxNetworkLogin。如果要设置一个端口的802.1x认证,需要在Security->radius菜单下设置Radius的相关信息。
DUD-Disconnect Unauthorized Device模式有三个,noAction,permanentlyDisable,temporaryDisable。如果选择后两个,当端口上所学到的MAC地址超过允许的个数时,该端口会自动down掉;如果选择noAction,端口不会闭塞,但后面连上来的设备不能通信,这是大部分情况下我们希望的。 【端口镜像-RovingAnalysis】
4400支持一对一的端口镜像功能,即将被监控端口(monitor port)收发的数据从监控端口(analyzer)发送出去,使连接到analyzer端口的网络分析设备能对被监控端口的流量及数据进行分析。
Select menu option: feature roving
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- add - Configure the roving analysis port remove - Clear the roving analysis port start - Start monitoring
stop - Stop monitoring
summary - Display summary information Type \----------------------------------------- (1)--------------------------- Select menu option (feature/rovingAnalysis): add Select analyzer port (unit:port,?): 1:24
Select menu option (feature/rovingAnalysis): start
Select port to monitor (unit:port,?): 1:9
Select menu option (feature/rovingAnalysis): summ Monitor Port Analyzer Port State ---------------------------------------------
Unit 1 Port 9 Unit 1 Port 24 Enabled Select menu option (feature/rovingAnalysis): [说明]
以上例子中,端口24是analyzer端口,接sniffer等流量查询、监控等设备。被监控的是端口9,该端口所有收发的数据都会从端口24发出去。 【组播过虑-Multicast Filter】
4400支持组播过虑功能。可以通过设置IGMP的Snooping和Querying来实现。其命令行方式如下:
Select menu option: bri multi igmp
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- queryMode - Enable/disable IGMP querying
snoopMode - Enable/disable IGMP Multicast learning Type \----------------------------------------- (1)--------------------------- Select menu option (bridge/multicastFilter/igmp): query Enter new value (enable,disable)[disable]: en
Select menu option (bridge/multicastFilter/igmp): snoopmo
Enter new value (enable,disable)[enable]: en [说明]
当snoopmode为disable时,交换机会把组播数据包当作广播来处理,即向所有端口转发。此时网络环境中如果有组播应用,一定会通,但浪费带宽,丧失了组播的优势。
当snoopmode为enable时,4400交换机会对组播数据进行过虑,端口所连设备要接受组播数据,就向该端口转发,否则,就不向该端口转发。
注意当snoopmode为enable时,本网段中必须有一台设备的querymode设置为enable,这样,才能知道网络中那些计算机要接受组播。 【4400的链路聚合Link Aggregation】
链路聚合的作用是把多个同类型的端口绑定在一起,在物理上作为同一个带宽成倍增长的端口来用。
Select menu option: bri link modi
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- addPort - Add a port to an aggregated link linkState - Enable/disable an aggregated link partnerID - Set the partner ID for an aggregated link removePort - Remove a port from an aggregated link Type \----------------------------------------- (1)--------------------------- Select menu option (bridge/linkAggregation/modify): add Select aggregated link index (1-4): 1 Select ports (unit:port...,?): 1:1-1:2 [说明]
上面例子中,把4400的端口1、2绑定在一起,作为一个带宽为200M的端口使用。此时,这两个端口以链路聚合组的组名AL1来表示。
注意在配置交换机时,如果要使用链路聚合组,一定要最先配置,然后再配置其他如VLAN等参数。上面例子中,当你向某个VLAN添加端口时,就没有端口1、2了,而以AL1代替之。
在以前3Com的交换机中,链路聚合叫做Trunk。有部分交换机如CB9000/4007,CB3500等支持一种3Com的私有协议TCMP,注意当你和新的交换机及其他厂家的设备配置链路聚合进行互联时,一定要把TCMP关掉。
如果关掉TCMP后,某些千兆光纤端口的链路聚合还是不能UP。你应该先取消链路聚合,把端口的Auto-Negotiation模式关掉,设置成千兆全双工后,再绑定链路聚合。老的交换机在设置完链路聚合后要重新启动才能生效。 还有要注意的就是建议先配置链路聚合,再连线。
【4400(不包括4400SE)的流量控制-QoS】
4400的Qos功能也通过举例来介绍吧。首先说明的是4400的QoS是最终分配到端口上的。现在的要求是对端口3所连的设备的FTP应用进行控制,不允许端口3上有FTP的应用。 先来看以下信息,当前的trafficQueue及serviceLevel。这两项可以进行设置,但如果没有特殊需求,使用默认配置就可以。
Select menu option: traff qos traff
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- summary - Display summary information Type \----------------------------------------- (1)---------------------------
Select menu option (trafficManagement/qos/trafficQueue): summ Priority Queue Index ----------------------- 0 1(lowest) 1 1(lowest) 2 1(lowest) 3 2 4 2 5 3
6 4(highest)
7 4(highest)
Select menu option (trafficManagement/qos/trafficQueue):
Select menu option: traff qos serv
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- create - Create a new service level delete - Delete an existing service level modify - Modify an existing service level summary - Display summary information Type \----------------------------------------- (1)---------------------------
Select menu option (trafficManagement/qos/serviceLevel): summ Service level Conforming Used in
Num Name Pri DSCP QOS profile
-------------------------------------------------------------------------------- 1 Drop - - none 2 Best Effort 0 0 none 3 Business Critical 3 16 none 4 Video Applications 5 24 none 5 Voice Applications 6 46(EF) 2
6 Network Control 7 48 none
Select menu option (trafficManagement/qos/serviceLevel): [说明]
以上是默认值,当前有4个队列(最多,往少了设可以)。服务级别最低是1 Drop,即将数据丢弃。
根据以上情况,进行以下4步设置:
一、选择操作数据类型(本例为对ftp应用进行操作)
Select menu option: traff qos classi
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- create - Create a new classifier
delete - Delete an existing classifier detail - Detailed classifier information modify - Modify an existing classifier summary - Display summary information
Type \----------------------------------------- (1)--------------------------- Select menu option (trafficManagement/qos/classifier): create Enter classifier number (101-1000)[101]: 101 Enter classifier name: ftpdata Enter classifier type
(ipAddr,ipProtocol,ipPort,dscp,etherType): ipport Enter IP port (tcp,udp,either)[either]: either Enter port number (0-65535)[0]: 21 ;端口21为ftp所使用。
Select menu option (trafficManagement/qos/classifier):
二、创建对象的profile(本例为创建一个visitor的profile) Select menu option: tra qos pro
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- addClassifier - Add a classifier to a QOS profile assign - Assign QOS profiles to ports create - Create a new QOS profile
delete - Delete an existing QOS profile
detail - Detailed information about a QOS profile listPorts - List all ports with their associated QOS profiles modify - Modify an existing QOS profile
removeClassifier - Remove a classifier from a QOS profile summary - Display summary information
Type \
----------------------------------------- (1)--------------------------- Select menu option (trafficManagement/qos/profile): create Enter profile number (11-1000)[11]: 11 Enter profile name: visitor
三、给对象的profile添加数据类型及服务级别(本例中为把优先级别为2 Best Effort分配给ftp应用)
Select menu option (trafficManagement/qos/profile): addcla Select profile number (1-2,11,all)[all]: 11 Select classifier number (1-5,101): 101
Enter service level number (1-6): 1
四、分配到具体端口(本例中为把上面定义的profile 11分配到端口3) Select menu option (trafficManagement/qos/profile): assign Select ports (unit:port...,?): 1:3 Enter profile number (1-2,11)[1]: 11 【软件升级】
4400的软件可以在3Com的英文网站免费获得,但需要用户先注册,并将4400产品进行注册,当然,产品每种只注册一台即可。
建议用TFTP方式对4400交换机进行升级,升级时,4400作为Client端,存有4400软件的计算机作为TFTP的Server 端。TFTP的软件在3Com的网站上可以免费下载,在随机的光盘中也有。
升级过程在每个版本的ReleaseNote中有详细介绍,一般在文档的最后。 Select menu option: sys con
Menu options: --------------3Com SuperStack 3 Switch 4400--------------- initialize - Reset to factory defaults
reboot - Perform system reboot
softwareUpgrade - Perform agent software upgrade Type \----------------------------------------- (1)--------------------------- Select menu option (system/control): softwareu TFTP Server Address [0.0.0.0]:10.10.10.25 File Name []:s3m3_26.bin
A power interrupt during software upgrade may cause a corrupted image on the device. In this event the software should be upgraded via the software update utility. For more information, refer to the user guide supplied with your device.
Software upgrade in progress.................................................... ..
Upgrade of unit 1 successful
Upgrade process successfully completed. [说明]
以上10.10.10.25是与4400所连的TFTP Server的地址。 S3m3_26.bin是从3Com网站上下载的4400的软件,应该保存在TFTP Server的默认目录下。从3Com网站上下载的是.exe文件,运行后释放出升级软件及该软件版本的ReleaseNotes,
要求用户在升级前一定要读一遍ReleaseNotes。
注意:4400SE与其他4400系列交换机所使用的升级软件是相同的,但是不能通过升级软件变成4400,用需要向3Com购买license后,才能升级成为4400。