烽火交换机速配手册(8)

即可知道直接接入该产生垃圾数据PC的交换机以及交换机的端口，那么可以将这个端口关闭掉、并通知该用户去查找原因。 ?

应用场合与限制

SPNM的自动注册功能可以应用于所有的交换机，但是需要在交换机上指定图形化网管平台的IP地址，并输入与图形化网管平台之间的共享密码，然后使能SPNM功能即可；

接入MAC收集功能：该功能应该只在直接接入用户的交换机上开启，网络中用于汇聚的交换机是不应该开启该功能的，并且需要在交换机上指定接入用户的接入端口。 ? ? ?

配置方法 CLI配置

进入spnm配置模式 S2000M (config) #spnm ?

使能、失效spnm

S2000M (config-spnm) #spnm (enable︱disable) 【该命令执行后将在交换机上使能spnm功能】 ?

设置网管平台的IP地址

S2000M (config-spnm) # spnm server-ip 192.168.1.200

【该命令配置图形化网管平台的IP地址为192.168.1.200，那么交换机的spnm模块将与该图形化网管平台的spnm模块进行通信配置命令】 ?

配置SPNM协议通信使用的加密密码 Fengine (config-spnm) # spnm password test

【该命令配置交换机spnm模块使用的加密密码，在交换机与图形化网管平台使用SPNM协议进行数据通信时，将使用该密码对通信内容进行加密。该命令执行后将把SPNM加密密码设置为test】

30

? 使能禁止SPNM协议是否发送接入mac功能 Fengine (config-spnm) # spnm send-access-mac enable

【当使能发送接入mac功能，并且交换机已经与图形化网管平台建立了spnm连接之后，交换机将把从接入端口学习到的mac地址发送给图形化网管平台，这样图形化网管平台将把这些mac地址存入数据库以方便MAC地址查找、定位。缺省交换机是不把学习到的接入mac地址发送给图形化网管平台的。上面的命令执行后如果交换机与图形化网管建立了spnm连接，那么交换机将把从接入端口学习到的mac地址发送给图形化网管平台】 ?

配置交换机通告给网管平台本设备使用的SNMP community Fengine (config-spnm) # spnm community NETMAN

【本命令用于指定交换机通过SPNM协议通告给图形化网管平台的SNMP community值， 这样，当交换机与图形化网管平台通过spnm建立连接之后，图形化网管平台可以通过该community值对交换机的各种MIB进行查询与设置】 ?

设置交换机端口为是否为接入端口 Fengine (config-eth-1) # spnm access-port enable

【本命令用于指定交换机端口的角色是否是接入端口，上面的命令执行后，1号端口被配置为接入端口】 ?

显示交换机私有网管配置信息

Fengine# show spnm information

spnm protocol status : disable 【spnm协议未使能】 spnm server ip address : 0.0.0.0 【未指定网管平台ip地址】 spnm send access MAC status : disable【不发送接入mac地址】

spnm community : NETMAN 【snmp community的值是NETMAN】 spnm FSM state : notReady 【spnm协议状态机的状态】 ?

显示交换机启动接收SPNM协议的端口信息 Fengine# show spnm access-ports ?

WEB配置方法

31

登录网管后会发现“私有网管配置节点”，就对应SPNM配置。右边的页面是spnm协议配置信息以及接入端口配置信息，其中每个可配置信息的意义在CLI命令中已经描述，因此这里不再描述。

? 1. 2. 3.

注意事项以及常见问题： 缺省spnm是不使能的；

使能了spnm之后，交换机就不停的尝试与图形化网管平台建立连接； 如果需要修改spnm通信加密密码，那么除了交换机上需要设置新的加密密码外，图形化网管平台也需要设置新的加密密码； 4.

Spnm中配置的snmp community一定要是已经存在，否则图形化网管平台可能不能通过snmp管理交换机。

2.11 2205A的特殊功能 1) ACL

32

ACL是access control list的英文缩写，主要用于在设备上允许具备某些特征的数据通过、或者过滤某些不希望设备转发的数据。S2205A的ACL只在接口的入方向有效，也即， S2205A的ACL功能只对接收到的数据进行过滤，不能实现对将从某个端口发送出去的数据进行过滤。

S2205A交换机支持基于接收到数据报的以太网源MAC地址、或者以太网目的MAC地址的数据控制，在S2205A交换机上我们将控制MAC地址的ACL称为2层ACL；

S2205A也支持对基于接收到的数据报的源IP地址、目的IP地址或者TCP/UDP端口号进行数据过滤控制，在S2205A交换机上我们将这样的ACL称为3层ACL；

其中，2层ACL配置后，需要使用命令将其使能后才能在系统上生效，注意，2层ACL使能后将在S2205A的各个物理接口的入方向生效。

3层ACL配置之后，需要在每个物理接口上使能后才生效，并且只在该接口上生效、而不是在整个系统上生效。

注意：如果S2205A收到的数据不能匹配ACL的规则定义，那么该数据将被转发而不是丢弃；2层ACL最多可以配置100个规则；3层ACL每个ACL可以配置10个规则。 ? ?

2层ACL配置命令 基于源MAC地址过滤

S2205A(config)# acl-l2 permit vlan 3 src-mac 00.04.67.00.00.01) S2205A(config)# acl-l2 deny vlan 2 src-mac 00.04.67.00.00.02) S2205A(config)# acl-l2 active （本命令用于使能2层ACL）

【本命令用于配置基于接收到数据的源MAC地址进行过滤。当接收到的数据属于本命令配置的vlan、并且收到的数据的源MAC地址也与本命令的相同时，如果本ACL是允许该数据转发的，那么该数据将被交换机转发，如果本ACL不允许该数据转发，那么该数据将被交换机丢弃。可以执行多次来

33

过滤来自于多个源MAC地址的数据

上面的命令执行后，交换机的所有物理端口接收到来自VLAN3的源MAC地址为00.04.67.00.00.01的数据将被交换机转发，而来自vlan2的源MAC地址为00.04.67.00.00.02的数据将被交换机丢弃。至于来自于其它MAC地址的数据也将被转发】 ?

基于目的MAC地址过滤

S2205A (config) # acl-l2 permit vlan 3 src-mac 00.04.67.00.00.01) S2205A (config) # acl-l2 deny vlan 2 src-mac 00.04.67.00.00.02) S2205A(config)# acl-l2 active （本命令用于使能2层ACL）

【用于配置基于接收到数据的目的MAC地址进行过滤。当接收到的数据属于本命令配置的vlan、并且收到的数据的目的MAC地址也与本命令的相同时，如果本ACL是允许该数据转发的，那么该数据将被交换机转发，如果本ACL不允许该数据转发，那么该数据将被交换机丢弃。 本命令可以执行多次来过滤来自于多个目的MAC地址的数据上面的命令执行后，交换机的所有物理端口接收到来自VLAN3的目的MAC地址为00.04.67.00.00.01的数据将被交换机转发，而来自vlan2的目的MAC地址为00.04.67.00.00.02的数据将被交换机丢弃。至于目的MAC地址为其它MAC地址的数据也将被交换机转发】 ?

使能或者删除2层ACL

S2205A (config) # acl-l2 (active|destroy)【配置命令】

【本命令用于激活2层ACL、或者删除2层ACL。当激活2层ACL时，配置的规则将在系统的所有物理端口上生效；当命令参数为destroy时，配置的2层ACL将被失效并删除（注意，并不仅仅是失效）。如果需要修改配置的2层ACL，那么必须先将2层ACL删除，然后全部重新配置后，并激活2层ACL】 ?

显示配置的2层ACL内容 S2205A#show acl-l2 ? ?

3层ACL配置命令 仅针对源IP子网的ACL

S2205A (config) # acl 1 deny ip 192.168.1.0 255.255.255.0 any

34

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库烽火交换机速配手册(8)在线全文阅读。