即可知道直接接入该产生垃圾数据PC的交换机以及交换机的端口,那么可以将这个端口关闭掉、并通知该用户去查找原因。 ?
应用场合与限制
SPNM的自动注册功能可以应用于所有的交换机,但是需要在交换机上指定图形化网管平台的IP地址,并输入与图形化网管平台之间的共享密码,然后使能SPNM功能即可;
接入MAC收集功能:该功能应该只在直接接入用户的交换机上开启,网络中用于汇聚的交换机是不应该开启该功能的,并且需要在交换机上指定接入用户的接入端口。 ? ? ?
配置方法 CLI配置
进入spnm配置模式 S2000M (config) #spnm ?
使能、失效spnm
S2000M (config-spnm) #spnm (enable︱disable) 【该命令执行后将在交换机上使能spnm功能】 ?
设置网管平台的IP地址
S2000M (config-spnm) # spnm server-ip 192.168.1.200
【该命令配置图形化网管平台的IP地址为192.168.1.200,那么交换机的spnm模块将与该图形化网管平台的spnm模块进行通信配置命令】 ?
配置SPNM协议通信使用的加密密码 Fengine (config-spnm) # spnm password test
【该命令配置交换机spnm模块使用的加密密码,在交换机与图形化网管平台使用SPNM协议进行数据通信时,将使用该密码对通信内容进行加密。该命令执行后将把SPNM加密密码设置为test】
30
? 使能禁止SPNM协议是否发送接入mac功能 Fengine (config-spnm) # spnm send-access-mac enable
【当使能发送接入mac功能,并且交换机已经与图形化网管平台建立了spnm连接之后,交换机将把从接入端口学习到的mac地址发送给图形化网管平台,这样图形化网管平台将把这些mac地址存入数据库以方便MAC地址查找、定位。缺省交换机是不把学习到的接入mac地址发送给图形化网管平台的。上面的命令执行后如果交换机与图形化网管建立了spnm连接,那么交换机将把从接入端口学习到的mac地址发送给图形化网管平台】 ?
配置交换机通告给网管平台本设备使用的SNMP community Fengine (config-spnm) # spnm community NETMAN
【本命令用于指定交换机通过SPNM协议通告给图形化网管平台的SNMP community值, 这样,当交换机与图形化网管平台通过spnm建立连接之后,图形化网管平台可以通过该community值对交换机的各种MIB进行查询与设置】 ?
设置交换机端口为是否为接入端口 Fengine (config-eth-1) # spnm access-port enable
【本命令用于指定交换机端口的角色是否是接入端口,上面的命令执行后,1号端口被配置为接入端口】 ?
显示交换机私有网管配置信息
Fengine# show spnm information
spnm protocol status : disable 【spnm协议未使能】 spnm server ip address : 0.0.0.0 【未指定网管平台ip地址】 spnm send access MAC status : disable【不发送接入mac地址】
spnm community : NETMAN 【snmp community的值是NETMAN】 spnm FSM state : notReady 【spnm协议状态机的状态】 ?
显示交换机启动接收SPNM协议的端口信息 Fengine# show spnm access-ports ?
WEB配置方法
31
登录网管后会发现“私有网管配置节点”,就对应SPNM配置。右边的页面是spnm协议配置信息以及接入端口配置信息,其中每个可配置信息的意义在CLI命令中已经描述,因此这里不再描述。
? 1. 2. 3.
注意事项以及常见问题: 缺省spnm是不使能的;
使能了spnm之后,交换机就不停的尝试与图形化网管平台建立连接; 如果需要修改spnm通信加密密码,那么除了交换机上需要设置新的加密密码外,图形化网管平台也需要设置新的加密密码; 4.
Spnm中配置的snmp community一定要是已经存在,否则图形化网管平台可能不能通过snmp管理交换机。
2.11 2205A的特殊功能 1) ACL
32
ACL是access control list的英文缩写,主要用于在设备上允许具备某些特征的数据通过、或者过滤某些不希望设备转发的数据。S2205A的ACL只在接口的入方向有效,也即, S2205A的ACL功能只对接收到的数据进行过滤,不能实现对将从某个端口发送出去的数据进行过滤。
S2205A交换机支持基于接收到数据报的以太网源MAC地址、或者以太网目的MAC地址的数据控制,在S2205A交换机上我们将控制MAC地址的ACL称为2层ACL;
S2205A也支持对基于接收到的数据报的源IP地址、目的IP地址或者TCP/UDP端口号进行数据过滤控制,在S2205A交换机上我们将这样的ACL称为3层ACL;
其中,2层ACL配置后,需要使用命令将其使能后才能在系统上生效,注意,2层ACL使能后将在S2205A的各个物理接口的入方向生效。
3层ACL配置之后,需要在每个物理接口上使能后才生效,并且只在该接口上生效、而不是在整个系统上生效。
注意:如果S2205A收到的数据不能匹配ACL的规则定义,那么该数据将被转发而不是丢弃;2层ACL最多可以配置100个规则;3层ACL每个ACL可以配置10个规则。 ? ?
2层ACL配置命令 基于源MAC地址过滤
S2205A(config)# acl-l2 permit vlan 3 src-mac 00.04.67.00.00.01) S2205A(config)# acl-l2 deny vlan 2 src-mac 00.04.67.00.00.02) S2205A(config)# acl-l2 active (本命令用于使能2层ACL)
【本命令用于配置基于接收到数据的源MAC地址进行过滤。当接收到的数据属于本命令配置的vlan、并且收到的数据的源MAC地址也与本命令的相同时,如果本ACL是允许该数据转发的,那么该数据将被交换机转发,如果本ACL不允许该数据转发,那么该数据将被交换机丢弃。可以执行多次来
33
过滤来自于多个源MAC地址的数据
上面的命令执行后,交换机的所有物理端口接收到来自VLAN3的源MAC地址为00.04.67.00.00.01的数据将被交换机转发,而来自vlan2的源MAC地址为00.04.67.00.00.02的数据将被交换机丢弃。至于来自于其它MAC地址的数据也将被转发】 ?
基于目的MAC地址过滤
S2205A (config) # acl-l2 permit vlan 3 src-mac 00.04.67.00.00.01) S2205A (config) # acl-l2 deny vlan 2 src-mac 00.04.67.00.00.02) S2205A(config)# acl-l2 active (本命令用于使能2层ACL)
【用于配置基于接收到数据的目的MAC地址进行过滤。当接收到的数据属于本命令配置的vlan、并且收到的数据的目的MAC地址也与本命令的相同时,如果本ACL是允许该数据转发的,那么该数据将被交换机转发,如果本ACL不允许该数据转发,那么该数据将被交换机丢弃。 本命令可以执行多次来过滤来自于多个目的MAC地址的数据上面的命令执行后,交换机的所有物理端口接收到来自VLAN3的目的MAC地址为00.04.67.00.00.01的数据将被交换机转发,而来自vlan2的目的MAC地址为00.04.67.00.00.02的数据将被交换机丢弃。至于目的MAC地址为其它MAC地址的数据也将被交换机转发】 ?
使能或者删除2层ACL
S2205A (config) # acl-l2 (active|destroy)【配置命令】
【本命令用于激活2层ACL、或者删除2层ACL。当激活2层ACL时,配置的规则将在系统的所有物理端口上生效;当命令参数为destroy时,配置的2层ACL将被失效并删除(注意,并不仅仅是失效)。如果需要修改配置的2层ACL,那么必须先将2层ACL删除,然后全部重新配置后,并激活2层ACL】 ?
显示配置的2层ACL内容 S2205A#show acl-l2 ? ?
3层ACL配置命令 仅针对源IP子网的ACL
S2205A (config) # acl 1 deny ip 192.168.1.0 255.255.255.0 any
34