合勤交换机使用手册精品文档10页

合勤科技交换机使用手册速查
版本 1.0
目录
1. 硬件连接、常规设置与维护 (1)
1.1 硬件安装 (1)
1.2 硬件介绍 (1)
1.3 常规设置 (2)
2. 常规维护 (3)
3. 高级设定 (4)
3.1 VLAN设定 (4)
3.2 STP（生成树协议）设置 (6)
3.3 Access Control List （访问控制列表） (7)
3.4 ES-3124_ACL功能完成IP与MAC的绑定 (9)
3.5 ES-3124_Link Aggregation设置 (9)
3.6 IGMP Snooping(组播侦听) (10)
3.7 Static MAC Forwarding（静态MAC地址转发） (10)
3.8 Filtering （过滤器） (10)
3.9 Broadcast Storm Control （广播风暴控制） (10)
3.10 Mirroring （端口镜像） (10)
3.11 DHCP Relay (10)
1. 硬件连接、常规设置与维护
本章节介绍硬件连接方法，常规设置和基本维护方法，能够帮助您快速安全的将交换机接入网络。

1.1 硬件安装
1.1.1 独立式安装：您可以将随机配备的绝缘脚垫安装到交换机底部，并将交换机置放到安全、干燥、清洁的环境中。

图-1
1.1.2 机架式安装
（1）将随机配备的安装部件牢固的固定在交换机两侧。

如下图所示：
图-2
（2）利用安装部件将交换机牢固的安装在您的机架上。

如下图所示：
注释: 合勤科技交换机系列,ES-2024A/ ES-3124/ ES-3148/ GS-2024/ ES-1528/ ES-1552/ GS-1524/ GS-1548都是标准的19英寸长度设计。

图-3
1.2 硬件介绍
合勤交换机前面板的设计大体相似, 左侧是10/100/1000Mbps以太网接口，或者SFP光口。

右侧通常是上联端口，1000Mpbs的以太网接口或者SFP光口，或者是以太网和SFP双重属性端口。

各种组合可以方便客户实际布网时灵活选择。

另外DB-9F console端口和RJ-45带外接口是设备的管理接口。

全系列交换机提供的10/100/1000Mbps以太网接口，都支持速率自适应、全双工模式、流
量和拥塞控制。

双重属性端口也叫做Combo口，通常是千兆速率, 同时提供一个以太网接口和SFP光口插槽，但是同一时刻只有一个接口能传输数据。

光口优先级大于电口，即如果您把光纤连接到Combo 口中的光口的同时，也把以太网线缆接入Combo口中的电口，那么光口将负责数据传输，电口不工作。

这个设计给客户提供了链路的冗余性保障。

下面几个图片是分别是ES-2024A、ES-3124、ES-3124F可网管交换机的正面板设计图
图-4
图-5
图-6
判断端口是否属于Combo口, 只要查看该端口上的标签文字是否有背景阴影。

如果端口号对应数字的底部有阴影，则表示该端口属于Combo口。

图-7
下图是ES-2024A的后面板设计图，风扇和电源接口：
图-8
如用果交换机支持BPS(备供电系统), 则设备背板上会有一个供电接口。

图-9
备用供电系统的设计是为了提供电源冗余性，透过合勤的BPS-120备用供电器，向支持BPS 的交换机提供备用电源,12伏直流电源。

(注释: 如要查询BPS-120的产品信息, 请参考《合勤科技_交换机产品大全_CN_1029》交换机附件章节。

)
1.3 常规设置
常规物理连接方式：
图-10
1.3.1将您的计算机设置为19
2.168.1.X的IP地址。

图-11
1.3.2 打开IE浏览器，输入设备默认管理IP地址（19
2.168.1.1）。

并输入用户名admin 和管理密码1234：
图-12
1.3.3 点击确定按钮进入管理界面，如果您的交换机上有连接其他设备或计算机，您可以在主界面中看到当前的连接状态。

图-13
1.3.4 点击Basic Setting > System Info 进入系统信息界面，在该界面中您可以检查到设备名称、当前的韧体文件和设备的MAC地址：
图-14
1.3.5 点击Basic Setting >General Setup 进入常规设置界面。

在常规设置中，您可以设置描述性的系统名称，时间等信息。

图-15
注释: 配置项<Login Precedence>提供管理员登陆交换机时进行验证的方式, 3个选项<Local Only>、<RADIUS Only>、<Local then RADIUS>，分别表示<本地验证>、<RADIUS服务器验证>、<本地验证失败后进行RADIUS验证>。

<本地验证>即匹配交换机当前本地的用户数据库，而RADIUS服务器验证则是通过匹配远程用户数据库进行身份验证。

1.3.6 点击Basic Setting >IP Setup进入IP设置界面。

在该界面中您可以修改交换机的管理IP地址、子网掩码、默认网关、允许管理的VLAN ID 等信息。

注释：交换机的管理IP要避免与网络中计算机的IP地址冲突。

图-16
图-17
注释: 可以在此处为交换机添加多个管理IP地址。

1.3.7 如果交换机支持带外管理端口(RJ-45), 比如ES-3124/ ES-3124PWR/ ES-4124/ GS-2024/ GS-3012/ GS-3012F/ GS-4024/ GS-4012F, 那么Basic Setting >IP Setup配置界面稍有不同, 要求用户设定默认的管理方式: <In-band>、<Out-of-band>,分别对应带内管理和带外管理。

如果选择带外管理，那么管理员只能通过直连带外管理端口进行配置操作, 下图选项<Out-of-band Management IP Address>就是设定该带外管理端口的IP地址。

图-18
1.3.8 点击Basic Setting >Port Setup进入端口管理界面：
下图中Active可手动启用或者禁用某个端口；Name可输入描述性的信息；Type可看到端口速率类型；Speed/Duplex可选择端口速率和传输模式；Flow Control 可选择是否开启流量控制功能；802.1P Priority可手动制定端口优先级。

注释：在您没有特殊应用的情况下保持当前默认值即可。

图-19
图-20
提示：完成任何配置设定后，您需要检查一下WEB界面右上角是否有一个<Save>按钮, 如果有, 表示基于该款交换机修改任何设定后，必须点击<Save>按钮将当前设定写入FLASH防止掉电丢失。

否则，当交换机重新启动后管理员刚才修改的配置信息会丢失。

图-21
而诸如GS-2024、GS-3012等系列就没有这类限制, 即用户修改的设定会立刻写入FLASH, 掉电不丢失。

2. 常规维护
进入交换机的管理界面，Management > Maintenance, 提供6个管理项目。

图-22
2.1 韧体文件升级
点击<Firmware Upgrade>后面的链接，并按照以下步骤操作.
点击浏览选择相应的韧体文件。

图-23
点击Upgrade按钮。

图-24
2.2 刷新设置配置信息
点击<Restore Configuration>选项，并按照以下步骤操作.
点击浏览选择相应的配置文件。

图-25
2.3 点击Restore按钮
图-26
提示：当刷新设备配置文件后的第一次断电重新启动时，系统会经历20-30秒的刷新过程。

请保持设备开启，并耐心等待。

2.4恢复出厂设置
点击<Load Factory Default>选项，并按照以下步骤操作。

在出现的对话框中选择确定。

图-27
2.5 保存配置文件：点击<Save Configuration>选项。

注释: 此处出现2个选项： <Config 1>、<Config 2>, 表示交换机支持双配置文件功能。

即管理员可以根据实际需求，设计2份配置，在需要的时候即时调用即可。

图-28
2.6 重新启动设备
点击<Reboot System>选项。

图-29
3. 高级设定
3.1 VLAN设定
合勤交换机系列同时支持端口VLAN和协议VLAN。

3.1.1 端口VLAN (Port-based VLAN)
下面以ES-2024A的配置界面为例, 向您介绍如何基于端口进行VLAN的划分。

基于端口的VLAN通常工作在单机上，不建议跨交换机工作。

下图是某用户的网络规划图。

图-30
设置步骤
1、打开IE 浏览器，在地址栏中输入ES-2024A的管理IP地址，并输入用户名admin 密码
1234 进入，进入设备管理界面。

2、点击进入Basic Setting > Switch Setup ，将VLAN Type修改为Port Based，并点击
Apply保存设置：
图-31
3、点击进入Advanced Application > VLAN ，并做如下设置。

下图中每个数字行与列的
交汇处打钩表示该数字对应的两个端口之间可以互相通信。

图-32
4、您可以使用ping 命令测试VLAN划分的结果。

（不在同一个VLAN组里的计算机之间不
能ping 通。

）
在设置完成所有参数后请点击界面右上角的Save 按钮保存设置。

否则断电后您刚才的操作设定将丢失
3.1.2 交换机基于标记划分VLAN（802.1Q）
下面将以这个简单的拓扑创建VLAN: 两台交换机的每八个端口属于一个VLAN ，端口1-8属于VLAN2，端口9-16属于VLAN3，端口17-24属于VLAN4。

另外我们使用端口25作为级联端口，端口26为上联端口。

图-33
设置步骤
1、进入ES-2024A管理界面后点击Basic Setting > Switch Setup，将VLAN Type修改为
802.1Q
图-34
2、点击Advanced > Application > VLAN 进入VLAN设置界面，然后点击Static VLAN：
图-35
3、在Static VLAN中进入VLAN1界面，将作为级联使用的端口25打标签，并点击Add按
钮保存设置：
图-36
4、您可以在自动打开的页面中对VLAN2 进行设置。

我们在这个将前八个端口设置为VLAN2
的成员，并在VLAN2中包含端口25、26，在级联使用的25端口上打标签。

图-37
5、点击Add按钮后在新打开的界面中设置VLAN3
图-38
6、点击Add按钮后在新打开的界面中设置VLAN4
图-39
7、设置后您可以看到如下摘要信息.
图-40
8、点击VLAN Status 按钮：
图-41
9、点击VLAN Port Setting ：
图-42
10、创建VLAN 后，必须针对每个端口设定PVID 值：
图-43
11、在第二台交换机上设置同样的内容即可。

在设置完成所有参数后请点击界面右上角的Save 按钮保存设置。

全部设置完成。

3.1.3 GVRP VLAN 设定
GVRP （GARP VLAN Registration Protocol ，GARP VLAN 注册协议）是GARP 的一种应用，它基于GARP 的工作机制，维护交换机中的VLAN 动态注册信息，并传播该信息到其它的交换机中。

所有支持GVRP 特性的交换机能够接收来自其它交换机的VLAN 注册信息，并动态更新本地的VLAN 注册信息，包括当前的VLAN 成员、这些VLAN 成员可以通过哪个端口到达等。

下面我们将利用一个范例为您演示GVRP 的配置过程。

图-44 拓扑说明
在该环境中分为地下室、一层、二层，3台交换机。

其中，交换机A 、B ；port3属于VLAN10；port4属于VLAN20；port1、2利用GVRP 动态的属于VLAN10/20/30。

交换机C 的port1属于VLAN30；port3利用GVRP 动态的属于VLAN10/20/30。

另外，每台交换机的port6为级联或者上联接口。

设置步骤
1、进入交换机A 中，设置VLAN10：
图-45
2、进入交换机A 中，设置VLAN20：
图-46
3、进入VLAN Port Setting ，设置PVID, 必须将端口后面的选项<GVRP>激活。

图-47
4、交换机B 与交换机A 的设置方法相同。

（方法略）
5、进入交换机C ，设置VLAN10。

（port6为级联接口；port7为上联接口） A
B
C
图-48
6、设置交换机C的VLAN20：
图-49
7、设置交换机C的VLAN30：
图-50
8、设置交换机C的VLAN Port Setting：
图-51
全部设置完成。

3.2 STP（生成树协议）设置
STP可以消除网络环路，并提供两台交换机，网桥或路由器间的备份链路。

它允许交换机可以和网络上其它支持生成树协议的交换机配合使用，以确保网络上任意两个站点之间只存在一条路径。

当利用STP生成树协议决定了开销最低的生成树之后，它将允许根端口和指定端口处于激活状态，其它的端口处于阻塞状态。

这样网络数据包将只能通过这些激活端口，从而消除网络环路。

支持STP生成树协议的交换机将会周期性地交换BPDU（网桥协议数据单元）,但是当交换网络结构改变的时候，一个新的生成树将会重新生成。

一旦网络拓扑稳定下来，所有的网桥都会侦听从根网桥发送的BPDU数据。

如果一个网桥在一段间隔时间之后还没有收到BPDU信息，就会认为到根网桥的链路断掉了。

这样网桥就会和其它网桥重新协商建立一个有效的网络拓扑。

本单元将向你介绍ES-2024A和ES-3124交换机中的STP设置方法。

3.2.1 ES-2024A中的STP设置
1、打开一个IE浏览器，在地址栏中输入ES-2024A的管理IP地址，进入管理界面：
2、点击进入Advanced Application > Spanning Tree Protocol 进入STP 设置界面：
图-52
3、点击上图中 Configuration按钮，进入STP设置界面：
图-53
4、设置交换机优先级和STP相关参数：
图-55
3.2.2 ES-3124中的STP设置
1、打开IE浏览器，在地址栏中输入ES-3124的管理IP地址，进入管理界面：
2、点击进入Advanced Application > Spanning Tree Protocol 进入STP 设置界面：
（RSTP：快速生成树协议；MRSTP：多重快速生成树协议）
图-56
3、点击RSTP按钮进入快速生成树协议。

设置方法和ES-2024设置方法相同，这里不再重复。

另外下图标记Port1 的Path cost 为12，小于其他端口的19 。

因此当发现冗余线路的时候，Port1 将成为指定端口进行数据转发。

图-57
4、MRSTP设置界面：
在MRSTP设置中我们可以设置两个独立的生成树协议。

例如下面设置中，前Port1、2、3属于STP1 ，Port4、5、6 属于STP 2。

图-58
图-59
全部设置完成。

3.3 Access Control List （访问控制列表）
访问控制列表（ACL）可根据不同参数设置不同网络终端的访问权限。

您可以在合勤三层和部分二层交换机中可以设置ACL策略对您的网络进行管理。

访问控制列表（ACL）使用的参数分为不同的权重，在执行ACL策略时，也会根据权重由高到低的顺序执行。

下面显示了权重由高到低的顺序：
1. [源端口]
2. [目的端口 ]
3. [数据包格式]
4. [目的MAC地址]
5. [源MAC地址 ]
6. [优先级]
7. [VLAN ID ]
8. [以太网类型 ]
9. [DSCP ]
10. [IP协议]
11. [源IP ]
12. [目的IP ]
13. [源Socket ]
14. [目的Socket ]
下面我们将利用一个范例为您演示访问控制列表（ACL）策略的设置应用过程。

策略说明:
在这个范例中我们设置三条策略：
（1）定义丢弃所有通过Port2 的数据流量；
（2）定义Port2允许转发源自172.23.3.120 的数据流量；
（3）定义Port2 允许转发所有ARP协议数据。

这样，由于三个参数的优先级顺序由高自低为：源IP --以太网类型--源端口。

因此当建立策略后可以达到的效果是：任何Port2可以接受任何终端设备的ARP请求，但是仅有172.23.3.120可以通过Port2 进行通信。

设置步骤
1、打开IE浏览器，进入Advanced Application > Classifier 设置第一条针对Port2 的分类器：
图-60
2、进入Advanced Application > Classifier 设置第二条针对Port2和IP地址的分类器：
图-61
3、进入Advanced Application > Classifier 设置第三条针对ARP的分类器：
图-62
4、进入Advanced Application > Policy Rule 应用策略1 ：
图-63
5、进入Advanced Application > Policy Rule 应用策略2 ：
图-64
6、进入Advanced Application > Policy Rule 应用策略3：
图-65
全部设置完成。

3.4 ES-3124_ACL功能完成IP与MAC的绑定
下面将利用一个范例为您演示使用ES-3124的ACL功能，完成MAC和IP地址绑定的功能。

拓扑说明
在ES-3124 连接的网络中，每台计算机必须配置与其MAC地址对应的IP地址才可以接入网络。

也就是说每台计算机必须配置固定的IP地址。

这样可以大大方便网络管理员的日常维护工作。

这里我们仅对于MAC地址为00-16-36-19-47-81的计算机进行控制，限制其仅可以配置192.168.100.99 这个IP地址才能访问网络。

设置步骤
1、使用IE浏览器进入交换机的管理界面，进入Advanced Application > Classifier
设置界面。

我们设置一条Drop所有192.168.100.0 的网段的数据流量的分类器。

图-66
2、点击上图中Add按钮后，我们再设置允许MAC地址为00-16-36-19-47-81的计算机
当其IP地址为192.168.100.99时交换机可以转发其所有数据流量。

图-67
3、点击Add按钮后可以看到刚刚设置好的两条ACL策略：
图-68
4、点击Advanced Application > Policy Rule 应用刚刚设置的两条策略。

图-69
5、点击Advanced Application > Policy Rule 应用刚刚设置的两条策略。

图-70
6、您可以看到刚刚应用的两条策略。

图-71
全部设置完成。

注释: 合勤科技发布的新版交换机韧体3.80版, 已经将交换机升级到全面支持IP Source Guard功能, 其中集成了针对MAC和IP的端口绑定机制。

图示如下：
图-72
3.5 ES-3124_Link Aggregation设置
Link Aggregation（连路聚合）是将若干物理接口聚合成一个逻辑端口，以获得更高的带宽。

将使用一个范例为您演示Link Aggregation的设置过程。

拓扑说明
这里，我们需要将物理端口Port1、2、3 聚合在一起，使用Group ID 为T1；Port4、5、6聚合在一起，使用Group ID 为T2。

设置步骤
1、打开IE浏览器，在地址栏中输入交换机的管理IP地址，输入用户名和密码进入管
理界面。

点击进入Basic Setting > Advanced Application > Link Aggregation
图-73
2、点击上图中Configuration 按钮，进入配置界面，并做如下设置:
图-74
图-75
3、设置好后的状态如下所示：
图-76
全部设置完成。

3.6 IGMP Snooping(组播侦听)
IGMP Snooping是靠侦听用户与组播路由器之间通信的IGMP报文维护组播地址和VLAN 的对应表关系，它将同一组播组的活动成员映射为一个VLAN，在收到组播数据包后，仅向该组播组所对应的VLAN成员转发。

IGMP Snooping分析IGMP报文所带的信息，在二层建立和维护MAC组播地址表，以后从路由器下发的组播报文就根据MAC组播地址表进行转发。

下面利用一个范例为您演示配置IGMP Snooping的整个过程。

1、在上端三层设备中开启IGMP功能(以合勤的三层交换机为例)：
图-77
2、进入二层交换机的管理界面，
图-78
3、开启IGMP Snooping功能：
图-79
4.操作完毕。

3.7 Static MAC Forwarding（静态MAC地址转发）
功能：手动添加MAC地址表。

保存后的静态MAC地址在设备重新启动后不会丢失。

图-80
3. 8 Filtering （过滤器）
功能：基于MAC地址限制用户接入网络。

图-81
3. 9 Broadcast Storm Control （广播风暴控制）
功能：限制端口发送广播数据包的数量，避免广播风暴的产生。

范例：在以下范例中我们控制Port1和Port2 接受广播数据包、组播数据包、目的地查找失败数据包的数量最大为10 。

图-82
3.10 Mirroring （端口镜像）
功能：Mirroring （端口镜像）功能允许您将某个端口的数据流量信息镜像到另外一个端口上。

这样可以方便我们使用监控设备对网络某端口进行监控。

范例：在该范例中我们将Port3 的双向数据流量镜像到Port1 中。

图-83
3.11 DHCP Relay
功能：设置DHCP 服务器地址。

图-84。