1、DTL120001 Quidway 中低端二層以太網(wǎng)交換機產(chǎn)品詳細介紹參考資料各系列以太網(wǎng)交換機產(chǎn)品安裝手冊各系列以太網(wǎng)交換機產(chǎn)品操作手冊 Page 2學習完此課程，您將會：了解Quidway 以太網(wǎng)交換機的命名規(guī)則了解Quidway 中低端二層以太網(wǎng)交換機的硬件特性了解Quidway 中低端二層以太網(wǎng)交換機的業(yè)務(wù)特性Page 3目 標Page 4第1章 產(chǎn)品命名規(guī)則介紹第2章 二層以太網(wǎng)交換機硬件特性第3章 二層以太網(wǎng)交換機業(yè)務(wù)特性第4章 典型組網(wǎng)及應用內(nèi)容介紹產(chǎn)品命名規(guī)則概述交換機的名稱格式為：Quidway SA1A2A3A4A5 A5 -A6A7-A8A9A10-A11A12例：S35

2、26E、S2016-EI、S2026C-SI、S3026C-PWR Page 5以太網(wǎng)交換機命名規(guī)則產(chǎn)品命名規(guī)則概述（1）A1標示產(chǎn)品系列，主要標示上行端口的最大接口速率：A1為2 盒式10/100M 交換機，上行最高到100M；A1為3 盒式10/100/1000M交換機，上行最高到1000M；A1為5 盒式GE/10GE交換機，上行最高到10GE。A2標示所支持的IP層：A2為0 純L2交換機，目前為0A2為5 L2/L3交換機，目前有5、6和9Page 6A1A2產(chǎn)品命名規(guī)則概述（2）A3A4兩位數(shù)字與產(chǎn)品的端口數(shù)相關(guān)：A3A4為08：表示下行端口為8個， 上行端口為0、1、2個；A3A

3、4為12：表示下行端口為12個，上行端口為0、1、2個；A3A4為16：表示下行端口為16個，上行端口為0、1、2個；A3A4為24：表示下行端口為24個，上行端口為0個；A3A4為26：表示下行端口為24個，上行端口為2個；A3A4為28：表示下行端口為24個，上行端口為4個；A3A4為48：表示下行端口為48個，上行端口為0個；A3A4為50：表示下行端口為48個，上行端口為2個；A3A4為52：表示下行端口為48個，上行端口為4個； 例：S2008、S5012G、S2016、S3550、S3552F、S5648PPage 7A3A4產(chǎn)品命名規(guī)則概述（3）A5 A5 用來區(qū)分固定上行口的不

4、同種類，可以標示接口類型：A5為Z，表示沒有上行接口；A5 ， A5為G，表示上行GBIC接口；A5 ， A5為P，表示上行SFP接口；A5 ， A5為T，表示上行RJ45接口；A5 ， A5為C，表示上行接口可選配；A5 ， A5為M，表示上行接口為多模光口；A5 ， A5為S，表示上行接口為單模光口；A5為F，表示下行接口為模板板，可插光接口板或電接口板。Page 8A5 A5 產(chǎn)品命名規(guī)則概述（4）A6A7作為設(shè)備電源交直流標識缺省為AC交流DC為直流A8A9 A10表示設(shè)備供電或受電的標識PWR 表示設(shè)備為支持遠程以太網(wǎng)供電PD 表示設(shè)備為受電設(shè)備，受電符合標準缺省表示不支持遠程供電，

5、也不支持受電。Page 9A6 A7 A8 A9A10產(chǎn)品命名規(guī)則概述（5）A11A12作為可選項，用以突出產(chǎn)品版本的特性，缺省為增強版本；LI ( Lite software Image)表示設(shè)備為弱特性版本SI (Standard software Image)表示設(shè)備為標準版本，包含基礎(chǔ)特性EI ( Enhanced software Image)表示設(shè)備為增強版本，包含某些高級特性HI ( Hyper software Image)表示設(shè)備為高級版本，包含某些更高級特性Page 10A11A12 Page 11第1章 產(chǎn)品命名規(guī)則介紹第2章 以太網(wǎng)交換機硬件特性第3章 以太網(wǎng)交換機業(yè)務(wù)

6、特性第4章 典型組網(wǎng)及應用內(nèi)容介紹產(chǎn)品型號概述二層以太網(wǎng)交換機，按照使用的軟件版本進行分類，目前常見設(shè)備主要為以下幾類：S5000系列（S5012T、S5012G和S5024G）；S3000E系列（S3026E、S3026C、S3026G、S3026T、S3026C-PWR、E026和E026T），含S3050系列（S3050C和E050）；SI系列（S2026C-SI、S2026Z-SI、S3026C-SI、S3026G-SI、S3026S-SI和E026-SI）；S2100EI系列（S2108-EI、S2116-EI和S2126-EI）；S2100SI系列（S2108-EI、S2116-E

7、I和S2126-SI）；S2000EI系列（S2008-EI、S2016-EI和S2403H-EI）；S2000C系列（S2008C、S2016C和S2024C）Page 12產(chǎn)品型號概述S5000系列Page 13S5012G 12個千兆電口+4個GBIC(combo)S5012T-12/10GBC 10個GBIC+4個千兆電口S5024G-24/20TP 20個千兆電口+4個GBIC(無combo)S5000系列全千兆智能二層交換機總線帶寬達到24G/48G所有端口二層線速轉(zhuǎn)發(fā)支持認證支持多種ACL訪問控制策略支持STP/RSTP/MSTP生成樹協(xié)議支持L2L7復雜流分類PQ、 WRR、

8、CAR，流量限速的粒度為1Mbit/s支持SNMP、 Open View， Quidview、iManager等網(wǎng)管系統(tǒng)支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理產(chǎn)品型號概述S3000E系列Page 14總線帶寬達到，所有端口二層線速轉(zhuǎn)發(fā)良好的堆疊功能，最大可支持16臺設(shè)備的堆疊，同時支持不同設(shè)備的混合堆疊優(yōu)異的遠程供電功能S3026TS3026GS3026C/C-PWRS3026ES3026EFS/FMS3050/E050產(chǎn)品型號概述S3000-SI和S2000-SI系列Page 15適于小區(qū)及大中企業(yè)的接入應用24個固定10/100M自適應端口；百兆/千兆光纖上行能力；的

9、總線帶寬支持認證和端口限速全局128個標準VLAN；支持混合堆疊；多樣化管理方式S2026C-SIS2026Z-SIS3026C-SIS3026G-SIS3026S-SI產(chǎn)品型號概述S2000-EI系列Page 16增強型邊緣接入交換機提供8/16/25個10/100M自適應端口；的總線帶寬認證,提供MAC地址和端口之間的綁定，流量限速的粒度為64Kbps 百兆光纖上行能力；512個標準VLAN；S2016-EI，S2403H-EI提供百兆光/電擴展能力；S2016-EI的直流機型支持遠程受電，可以做為PD設(shè)備使用多元化的管理方式S2403H-EIS2016-EIS2008-EI產(chǎn)品型號概述S

10、2000C系列Page 17邊緣接入交換機提供8/16/24個10/100M自適應端口；的總線帶寬,所有端口二層線速轉(zhuǎn)發(fā)提供MAC地址和端口之間的綁定，流量限速的粒度為64KbpsS2016C，S2024C提供百兆光/電擴展能力256個標準VLAN；S2016C直流機型支持遠程受電，可以做為PD設(shè)備使用S2024CS2016CS2008CPage 18第1章 產(chǎn)品命名規(guī)則介紹第2章 二層以太網(wǎng)交換機硬件特性第3章 二層以太網(wǎng)交換機業(yè)務(wù)特性第4章 典型組網(wǎng)及應用內(nèi)容介紹端口隔離Page 19通過端口隔離特性，可以實現(xiàn)不同用戶的端口屬于同一個VLAN，而不同用戶之間不能互通。從而增強了網(wǎng)絡(luò)的安全性

11、，提供了靈活的組網(wǎng)方案，同時節(jié)省了大量的VLAN資源。而被隔離端口的報文仍能通過該VLAN內(nèi)配置的上行端口轉(zhuǎn)發(fā)出去。例如，將VLAN1內(nèi)所有端口隔離，所有端口都可以訪問端口E0/20下面的資源：Quidway-vlan1port-isolate enable Quidway-Ethernet0/20port-isolate uplink-port vlan 1 E0/20E0/1E0/2E0/3VLAN 內(nèi)端口隔離端口隔離設(shè)置端口的二層隔離，使某端口與其他某個（或某組）端口間不能進行二層轉(zhuǎn)發(fā)。例如，將物理端口E0/3與E0/5進行二層轉(zhuǎn)發(fā)隔離：Quidwayam enable Quidway-

12、Ethernet0/3am isolate Ethernet 0/5 Page 20物理端口間的二層隔離認證方式Page 21 CoreRadius Server1、用戶發(fā)起認證3、接入設(shè)備作為認證客戶端，與Radius Server配合完成用戶的認證過程2、接入設(shè)備的端口在用戶未經(jīng)過認證前不能能訪問任何地方，并且不能獲得IP地址4、用戶通過認證后可以從DHCP獲得IP地址5、用戶獲得IP地址后可以正常實現(xiàn)Internet訪問，設(shè)備將用戶的IP地址MAC地址和VLAN進行綁定S2403/S3026DHCP ServerS3026E/S3526E/S5516基于認證的動態(tài)vlan下發(fā)Page 2

13、2 CoreCAMS1、用戶發(fā)起認證3、認證通過之后根據(jù)用戶的賬號下發(fā)vlanID及用戶訪問權(quán)限參數(shù)2、接入設(shè)備的端口在用戶未經(jīng)過認證前不能能訪問任何地方不能獲得IP地址4、用戶通過認證后認證通過之后接收CAMS下發(fā)的用戶配置參數(shù)，動態(tài)配置此端口的vlanID及訪問控制權(quán)限并且可以DHCP獲得IP地址5、用戶獲得IP地址后可以正常實現(xiàn)Internet訪問，設(shè)備將用戶的IP地址MAC地址和VLAN進行綁定S2403H/S3026DHCP Server解決用戶漫游問題S3026e/S3526e/S5516基于認證的代理服務(wù)器檢測Page 23 CoreCAMS仿冒最終用戶發(fā)起認證交換機與客戶端通過

14、握手報文對客戶終端進行代理檢查合法用戶認證通過獲得IP地址后可以正常實現(xiàn)Internet訪問，設(shè)備將用戶的IP地址MAC地址和VLAN進行綁定網(wǎng)管系統(tǒng)解決私設(shè)代理服務(wù)器問題認證通過之后向認證設(shè)備回應賬號認證成功報文檢測到代理服務(wù)器之后可以向網(wǎng)管報警或者直接關(guān)閉端口無需認證通過代理上網(wǎng)合法用戶認證S3026e/S3526e/S5516S2403H/S3026Guest VLAN當Guest VLAN功能開啟后，交換機向所有開啟功能的端口廣播主動認證報文，如果達到最大重認證次數(shù)后，仍有端口上未返回響應報文，則交換機將該端口加入到Guest VLAN中。屬于該Guest VLAN中的用戶訪問該Gue

15、st VLAN中的資源時，不需要進行認證，但訪問外部的資源時仍需要進行認證。從而滿足了允許未認證用戶訪問某些資源的需求：如用戶沒有安裝客戶端的情況下訪問某些資源；在用戶未認證的情況下升級客戶端等。當用戶成功通過認證之后，該端口則重新屬于原有VLAN。Page 24Guest-VLAN例如，將VLAN100配置為Guest-VLAN，并在端口E0/1上使能：Quidwaydot1x port-method portbased interface Ethernet 0/1 Quidwaydot1x guest-vlan 100 interface Ethernet 0/1 使用注意事項：Guest

16、 VLAN僅在端口認證方式下可以支持；一臺交換機只能配置一個Guest VLAN；用戶沒有認證、認證失敗，或者下線后都屬于Guest VLAN；當交換機配置為dot1x dhcp-launch方式時，因為該方式下交換機不發(fā)送主動認證報文，Guest VLAN功能不能實現(xiàn)。 Page 25地址綁定所有二層交換機均支持MAC地址與物理端口的綁定，部分二層交換機支持IP地址、MAC地址與物理端口之間的結(jié)合綁定。實現(xiàn)方式分別為：用限制端口動態(tài)學習MAC地址的數(shù)目，結(jié)合配置靜態(tài)MAC地址來完成MAC地址與物理端口的綁定；利用訪問管理控制命令am user-bind完成IP地址、MAC地址與物理端口之間的

17、組合綁定。Page 26地址綁定例如，將MAC地址000f-1dfe-09bc靜態(tài)綁定到VLAN 1的物理端口E0/1上，而當使用其他MAC地址的PC機連接到端口E0/1上時，該PC機的報文不能被轉(zhuǎn)發(fā)：Quidway-Ethernet0/1mac-address max-mac-count 0 Quidwaymac-address static 000f-1dfe-09bc interface Ethernet 0/1 vlan 1Page 27地址綁定例如，將PC1的IP地址、MAC地址000f-1dfe-09bc與端口E0/1進行綁定。使端口E0/1只允許PC1上網(wǎng)，而使用其他未綁定的IP

18、地址、MAC地址的PC機則無法上網(wǎng)，同時PC1使用該IP地址和MAC地址可以在其他端口上網(wǎng)：Quidwayam user-bind ip-addr 10.1.1.1 mac-addr 000f-1dfe-09bc interface Ethernet 0/1 例如，將PC1的IP地址與MAC地址000f-1dfe-09bc進行綁定，使交換機只允許使用和000f-1dfe-09bc的PC機上網(wǎng)：Quidwayam user-bind ip-addr 10.1.1.1 mac-addr 000f-1dfe-09bcPage 28端口鏡像（流鏡像）該功能在不同系列交換機的軟件里面的實現(xiàn)有差別，可以直

19、接將鏡像端口的數(shù)據(jù)報文鏡像到監(jiān)控端口上，或者結(jié)合訪問控制列表，將匹配訪問控制列表的指定數(shù)據(jù)流鏡像到監(jiān)控端口上。S2000C及S2000-EI系列交換機支持端口鏡像。例如，端口E0/1做為監(jiān)控端口，監(jiān)視端口E0/2：Quidwaymonitor-port Ethernet 0/1 no-filtQuidwaymirroring-port Ethernet 0/2 bothPage 29端口鏡像（流鏡像）S2000-SI及S3000-SI系列交換機支持端口鏡像。例如，端口E0/1做為監(jiān)控端口，監(jiān)視端口E0/2：Quidwaymonitor-port Ethernet 0/1Quidwaymirro

20、ring-port Ethernet 0/2 bothPage 30端口鏡像（流鏡像）S3026E系列支持流鏡像。例如，使用端口E0/1做為監(jiān)控端口，對端口E0/2進行監(jiān)控：Quidwayacl number 4000Quidway-acl-link-4000rule permit ingress interface e0/2 egress anyQuidway-acl-link-4000rule permit ingress any egress interface e0/2Quidwaymirroed-to link-group 4000 interface Ethernet 0/1Pag

21、e 31端口鏡像（流鏡像）或者，使用E0/1做為監(jiān)控端口，對源地址為的主機所收發(fā)的報文進行監(jiān)控：SwitchAacl number 3000SwitchA-acl-link-3000rule permit ip source 10.10.1.1 0 destination anySwitchA-acl-link-3000rule permit ip source any destination 10.10.1.1 0Quidwaymirroed-to link-group 4000 interface Ethernet 0/1Page 32端口限速（流限速）S2000-EI系列交換機支持直接對

22、端口出入方向的數(shù)據(jù)報文流量進行帶寬限制。例如，在S2000-EI系列交換機上，將端口E0/1的出方向報文流量限制在3Mbps，入方向報文流量限制在1Mbps：Quidway-Ethernet0/1line-rate outbound 30Quidway-Ethernet0/1line-rate inbound 16Page 33端口限速（流限速）S2000-SI系列及S3000-SI系列交換機支持直接對端口出入方向的數(shù)據(jù)報文流量進行帶寬限制。例如，在S2000-SI及S3000-SI系列交換機上，將端口E0/1的出方向報文流量限制在6Mbps，入方向報文流量限制在3Mbps：Quidway-E

23、thernet0/1line-rate outbound 2Quidway-Ethernet0/1line-rate inbound 1Page 34端口限速（流限速）S3000E和S5000系列交換機對出方向的數(shù)據(jù)報文進行端口限速，對入方向的數(shù)據(jù)報文進行流限速。例如，將端口E0/1的出方向報文流量限制在3Mbps，入方向報文流量限制在1Mbps：Quidway-Ethernet0/1line-rate outbound 3Quidwayacl number 4000Quidway-acl-link-4000rule permit ingress any egress anyQuidway-E

24、thernet0/1traffic-limit inbound link-group 4000 1 exceed dropPage 35環(huán)路檢測檢測交換機某一個端口下所連接的網(wǎng)絡(luò)是否存在環(huán)路。如果某個端口的環(huán)路檢測功能被使能后，則環(huán)路檢測報文會按照一定的時間間隔從該端口發(fā)出去，如果該端口所連接的網(wǎng)絡(luò)存在環(huán)路，則該報文會從此端口進入交換機，此時交換機即檢測到該端口下存在環(huán)路。默認情況下，檢測到有環(huán)路存在的Trunk和Hybrid端口的狀態(tài)將被轉(zhuǎn)變?yōu)槭芸貭顟B(tài)，在此狀態(tài)下端口將不再進行MAC地址學習，即端口的流量和其他端口隔離，而不會使環(huán)路對其他端口存在影響。Page 36環(huán)路檢測如下圖，SwitchA使用Trunk端口E0/1連接SwitchB，此時在SwitchB的端口E0/20由于某種