Register / log-in to add to your Hammerwall Collection.
Manual Location
The Search Results for the Search Section to the left will appear here.
|
|
Loading...
|
Page: 1
3Com Stackable Switch Family Advanced Configuration Guide 3Com Switch 5500 3Com Switch 5500G 3Com Switch 4500 3Com Switch 4200G 3Com Switch 4210 Manual Version : 20081010 - C - 1.01 www . 3com.com 3Com Corporation 350 Campus Drive , Marlborough , MA , USA 01752 3064
Page: 2
Copyright © 2006 - 2008 , 3Com Corporation . All rights reserved . No part of this documentation may be reproduced in any form or by any means or used to make any derivative work ( such as translation , transformation , or adaptation ) without written permission from 3Com Corporation . 3Com Corporation reserves the right to revise this documentation and to make changes in content from time to time without obligation on the part of 3Com Corporation to provide notification of such revision or change . 3Com Corporation provides this documentation without warranty , term , or condition of any kind , either implied or expressed , including , but not limited to , the implied warranties , terms or conditions of merchantability , satisfactory quality , and fitness for a particular purpose . 3Com may make improvements or changes in the product ( s ) and / or the program ( s ) described in this documentation at any time . If there is any software on removable media described in this documentation , it is furnished under a license agreement included with the product as a separate document , in the hard copy documentation , or on the removable media in a directory file named LICENSE.TXT or ! LICENSE.TXT . If you are unable to locate a copy , please contact 3Com and a copy will be provided to you . UNITED STATES GOVERNMENT LEGEND If you are a United States government agency , then this documentation and the software described herein are provided to you subject to the following : All technical data and computer software are commercial in nature and developed solely at private expense . Software is delivered as “ Commercial Computer Software � as defined in DFARS 252.227 - 7014 ( June 1995 ) or as a “ commercial item � as defined in FAR 2.101 ( a ) and as such is provided with only such rights as are provided in 3Com’s standard commercial license for the Software . Technical data is provided with limited rights only as provided in DFAR 252.227 - 7015 ( Nov 1995 ) or FAR 52.227 - 14 ( June 1987 ) , whichever is applicable . You agree not to remove or deface any portion of any legend provided on any licensed program or contained in , or delivered to you in conjunction with , this User Guide . documentation Unless otherwise indicated , 3Com registered trademarks are registered in the United States and may or may not be registered in other countries . 3Com and the 3Com logo are registered trademarks of 3Com Corporation . All other company and product names may be trademarks of the respective companies with which they are associated . ENVIRONMENTAL STATEMENT It is the policy of 3Com Corporation to be environmentally - friendly in all operations . To uphold our policy , we are committed to : Establishing environmental performance standards that comply with national legislation and regulations . Conserving energy , materials and natural resources in all operations . Reducing the waste generated by all operations . Ensuring that all waste conforms to recognized environmental standards . Maximizing the recyclable and reusable content of all products . Ensuring that all products can be recycled , reused and disposed of safely . Ensuring that all products are labelled according to recognized environmental standards . Improving our environmental record on a continual basis . End of Life Statement 3Com processes allow for the recovery , reclamation and safe disposal of all end - of - life electronic components . Regulated Materials Statement 3Com products do not contain any hazardous or ozone - depleting material . Environmental Statement about the Documentation The documentation for this product is printed on paper that comes from sustainable , managed forests ; it is fully biodegradable and recyclable , and is completely chlorine - free . The varnish is environmentally - friendly , and the inks are vegetable - based with a low heavy - metal content .
Page: 3
About This Manual Provides advanced configuration examples for the 3Com stackable switches , which includes the following : 3Com Switch 5500 3Com Switch 5500G 3Com Switch 4500 3Com Switch 4200G 3Com Switch 4210 This guide is intended for Qualified Service personnel who are responsible for configuring , using , and managing the switches . It assumes a working knowledge of local area network ( LAN ) operations and familiarity with communication protocols that are used to interconnect LANs . Always download the Release Notes for your product from the 3Com World Wide Web site and check for the latest updates to software and product documentation : http : / / www . 3com.com Organization 3Com Stackable Switch Family Advanced Configuration Guide is organized as follows : Part Contents Logging In from the Console Port 01 - Login Configuration Guide Logging In Through Telnet Configuring Login Access Control Configuring Port - Based VLAN 02 - VLAN Configuration Guide Configuring Protocol - Based VLAN IP Address Configuration Guide 03 - IP Address Configuration Guide Sub IP Address Configuration Guide 04 - Voice VLAN Configuration Guide Configuring Voice VLAN 05 - GVRP Configuration Guide Configuring GVRP Configuring the Basic Functions of an Ethernet 06 - Ethernet Interface Basic Configuration Guide Port 07 - Link Aggregation Configuration Guide Configuring Link Aggregation 08 - Port Isolation Configuration Guide Configuring Port Isolation Configuring Port Security autolearn Mode Configuring Port Security mac - authentication Mode 09 - Port Security Configuration Guide Configuring Port Security userlogin - withoui Mode Configuring Port Security mac - else - userlogin - secure - ext Mode 10 - Port Binding Configuration Guide Configuring a Port Binding 11 - MAC Address Table Management MAC Address Table Management Configuration Guide 12 - DLDP Configuration Guide Configuring DLDP
Page: 4
Part Contents Auto Detect Implementation in Static Routing Auto Detect Implementation in VRRP 13 - Auto Detect Configuration Guide Auto Detect Implementation in VLAN Interface Backup Configuring MSTP Configuring VLAN - VPN Tunneling 14 - MSTP Configuration Guide Configuring RSTP Configuring Digest Snooping and Rapid Transition Configuring Static Routes Configuring RIP Configuring OSPF Configuring OSPF DR Election Configuring a ( Totally ) Stub Area Configuring a ( Totally ) NSSA Area 15 - Routing Configuration Guide Configuring OSPF Route Summarization Configuring OSPF Virtual Link Configuring BGP Confederation Attribute Configuring BGP RR Configuring BGP Path Selection Configuring Routing Policies Configuring IGMP Snooping Configuring IGMP Snooping Only Configuring Multicast VLAN 16 - Multicast Configuration Guide Configuring PIM - SM plus IGMP plus IGMP Snooping Configuring PIM - DM plus IGMP Configuring Anycast RP Application Configuring 802.1x Access Control 17 - 802.1x Configuration Guide Configuring Quick EAD Deployment Configuring RADIUS Authentication for Telnet Users Configuring Dynamic VLAN Assignment with RADIUS Authentication 18 - AAA Configuration Guide Configuring Local Authentication for Telnet Users Configuring HWTACACS Authentication for Telnet Users Configuring EAD 19 - MAC Authentication Configuration Guide Configuring MAC Authentication Single VRRP Group Configuration Multiple VRRP Groups Configuration 20 - VRRP Configuration Guide VRRP Interface Tracking VRRP Port Tracking ARP Attack Detection and Packet Rate Limit Configuration Example 21 - ARP Configuration Guide Proxy ARP Configuration Example Proxy ARP Configuration in Port Isolation Application
Page: 5
Part Contents DHCP Server Global Address Pool Configuration Guide DHCP Server Interface Address Pool Configuration Guide DHCP Relay Agent Configuration Guide 22 - DHCP Configuration Guide DHCP Snooping Configuration Guide DHCP Snooping Option 82 Configuration Guide DHCP Accounting Configuration Guide DHCP Client Configuration Guide Configuring Basic ACLs Configuring Advanced ACLs 23 - ACL Configuration Guide Configuring Ethernet Frame Header ACLs Configuring User - Defined ACLs Configuring Traffic Policing and Line Rate Configuring Priority Marking and Queue Scheduling 24 - QoS - QoS Profile Configuration Guide Configuring Traffic Redirecting and Traffic Accounting Configuring QoS Profile 25 - Web Cache Redirection Configuration Guide Configuring Web Cache Redirection Local Port Mirroring Configuration 26 - Mirroring Configuration Guide Remote Port Mirroring Configuration Traffic Mirroring Configuration 27 - XRN Configuration Guide XRN Fabric Configuration Cluster Configuration Network Management Interface 28 - Cluster Configuration Guide Configuration Cluster Configuration in Real Networking PoE Configuration 29 - PoE - PoE Profile Configuration Guide PoE Profile Configuration 30 - UDP Helper Configuration Guide UDP Helper Configuration Guide SNMP Configuration 31 - SNMP - RMON Configuration Guide RMON Configuration NTP Client / Server Mode Configuration NTP Symmetric Peers Mode Configuration NTP Broadcast Mode Configuration 32 - NTP Configuration Guide NTP Multicast Mode Configuration NTP Client / Server Mode with Authentication Configuration Configuring the Switch to Act as the SSH Server and Use Password Authentication Configuring the Switch to Act as the SSH Server and Use RSA Authentication 33 - SSH Configuration Guide Configuring the Switch to Act as the SSH Client and Use Password Authentication Configuring the Switch to Act as the SSH Client and Use RSA Authentication Configuring the Switch to Act as the SSH
Page: 6
Part Contents Client and Not to Support First - Time Authentication Configuring SFTP When Switch Acts as Server for Password Authentication When Switch Acts as Server for Publickey Authentication When Switch Acts as Client for Password Authentication When Switch Acts as Client for Publickey Authentication When Switch Acts as Client and First - Time Authentication is not Supported SFTP Configuration Configuring a Switch as FTP Server 34 - FTP and TFTP Configuration Guide Configuring a Switch as FTP Client Configuring a Switch as TFTP Client Outputting Log Information to a Unix Log Host Outputting Log Information to a Linux Log Host Outputting Log and Trap Information to a Log Host Through the Same Channel 35 - Information Center Configuration Guide Outputting Log Information to the Console Displaying the Time Stamp with the UTC Time Zone Use of the Facility Argument in Log Information Output Configuring VLAN - VPN 36 - VLAN - VPN Configuration Guide Configuring Selective QinQ Configuring BPDU Tunnel 37 - Remote - ping Configuration Guide Remote - ping Configuration Static Domain Name Resolution Configuration Guide 38 - DNS Configuration Guide Dynamic Domain Name Resolution Configuration Guide Configuring Access Management 39 - Access Management Configuration Guide Configuring Access Management with Port Isolation 40 - Web Authentication Configuration Guide Configuring Web Authentication 41 - IPv6 Management Configuration Guide Configuring IPv6 Smart Link Configuration Example 42 - Smart link - Monitor Link Configuration Guide Implementing Collaboration Between Smart Link and Monitor Link 43 - VLAN Mapping Configuration Guide Configuring VLAN Mapping Conventions The manual uses the following conventions :
Page: 7
Command conventions Convention Description The keywords of a command line are in Boldface . Boldface Command arguments are in italic . italic # A line starting with the # sign is comments . GUI conventions Convention Description Window names , button names , field names , and menu items are in Boldface Boldface . For example , the New User window appears ; click OK . Symbols Convention Description Means reader be careful . Improper operation may cause data loss or damage to equipment . Means a complementary description . Related Documentation The following manuals offer additional information necessary for managing your Stackable Switch . Consult the documents that apply to the switch model that you are using . Manual Description Provide detailed descriptions of command line 3Com Switch Family Command Reference interface ( CLI ) commands , that you require to Guides manage your Stackable Switch . Describe how to configure your Stackable Switch using the supported protocols and CLI 3Com Switch Family Configuration Guides commands . Provide a summary of command line interface ( CLI ) commands that are required for you to 3Com Switch Family Quick Reference Guides manage your Stackable Switch . Contain the latest information about your product . If information in this guide differs from 3Com Stackable Switch Family Release Notes information in the release notes , use the information in the Release Notes . These documents are available in Adobe Acrobat Reader Portable Document Format ( PDF ) on the 3Com World Wide Web site : http : / / www . 3com.com Obtaining Documentation You can access the most up - to - date 3Com product documentation on the World Wide Web at this URL : http : / / www . 3com.com .
Page: 8
Products Supported by this Document Product Orderable SKU Description 4210 3CR17331 - 91 Switch 4210 9 - Port 4210 3CR17332 - 91 Switch 4210 18 - Port 4210 3CR17333 - 91 Switch 4210 26 - Port 4210 3CR17334 - 91 Switch 4210 52 - Port 4210 3CR17341 - 91 Switch 4210 PWR 9 - Port 4210 3CR17342 - 91 Switch 4210 PWR 18 - Port 4210 3CR17343 - 91 Switch 4210 PWR 26 - Port 4500 3CR17561 - 91 Switch 4500 26 - Port 4500 3CR17562 - 91 Switch 4500 50 - Port 4500 3CR17571 - 91 Switch 4500 PWR 26 - Port 4500 3CR17572 - 91 Switch 4500 PWR 50 - Port 5500 3CR17161 - 91 Switch 5500 - EI 28 - Port 5500 3CR17162 - 91 Switch 5500 - EI 52 - Port 5500 3CR17171 - 91 Switch 5500 - EI PWR 28 - Port 5500 3CR17172 - 91 Switch 5500 - EI PWR 52 - Port 4200G 3CR17660 - 91 Switch 4200G 12 - Port 4200G 3CR17661 - 91 Switch 4200G 24 - Port 4200G 3CR17662 - 91 Switch 4200G 48 - Port 4200G 3CR17671 - 91 Switch 4200G PWR 24 - Port 5500G 3CR17250 - 91 Switch 5500G - EI 24 - Port 5500G 3CR17251 - 91 Switch 5500G - EI 48 - Port 5500G 3CR17252 - 91 Switch 5500G - EI PWR 24 - Port 5500G 3CR17253 - 91 Switch 5500G - EI PWR 48 - Port
Page: 9
Table of Contents 1 Login Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Logging In from the Console Port · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Logging In Through Telnet · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Configuring Login Access Control · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 7 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 7 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 8 i
Page: 10
1 Login Configuration Guide Unless otherwise specified , all the switches used in the following configuration examples and configuration procedures are S5500 series switches ( V03.03.01 ) . Logging In from the Console Port You can log in locally from the console port to configure and maintain your switch , including configuring other login modes . The default login mode on the S5500 series is local console login . Network Diagram Figure 1 - 1 Logging in from the console port to configure Telnet login Networking and Configuration Requirements As shown in Figure 1 - 1 , use a console cable to connect the serial port of your PC / terminal to the console port of the switch . Log into the switch from the AUX user interface on the console port to configure Telnet login . The current user level is manage level ( level 3 ) . Applicable Product Matrix Hardware Product series Software version version V03.02.04 All versions Switch 5500G V03.03.01 V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 Switch 4200G V03.02.00 All versions V03.01.00 All versions Switch 4210 V03.01.05 1 - 1
Page: 11
Configuration Procedure Configure common attributes for Telnet login # Set the level of commands accessible to the VTY 0 user to 2 . [ Sysname ] user - interface vty 0 [ Sysname - ui - vty0 ] user privilege level 2 # Enable the Telnet service on VTY 0 . [ Sysname - ui - vty0 ] protocol inbound telnet # Set the number of lines that can be viewed on the screen of the VTY 0 user to 30 . [ Sysname - ui - vty0 ] screen - length 30 # Set the history command buffer size to 20 for VTY 0 . [ Sysname - ui - vty0 ] history - command max - size 20 # Set the idle - timeout time of VTY 0 to 6 minutes . [ Sysname - ui - vty0 ] idle - timeout 6 Configure an authentication mode for Telnet login The following three authentication modes are available for Telnet login : none , password , and scheme . The configuration procedures for the three authentication modes are described below : 1 ) Configure not to authenticate Telnet users on VTY 0 . [ Sysname ] user - interface vty 0 [ Sysname - ui - vty0 ] authentication - mode none 2 ) Configure password authentication for Telnet login on VTY 0 , and set the password to 123456 in plain text . [ Sysname ] user - interface vty 0 [ Sysname - ui - vty0 ] authentication - mode password [ Sysname - ui - vty0 ] set authentication password simple 123456 3 ) Configure local authentication in scheme mode for login users . # Create a local user named guest and enter local user view . [ Sysname ] local - user guest # Set the authentication password to 123456 in plain text . [ Sysname - luser - guest ] password simple 123456 # Set the service type to Telnet and the user level to 2 for the user guest . [ Sysname - luser - guest ] service - type telnet level 2 [ Sysname - luser - guest ] quit # Enter VTY 0 user interface view . [ Sysname ] user - interface vty 0 # Set the authentication mode to scheme for Telnet login on VTY 0 . [ Sysname - ui - vty0 ] authentication - mode scheme [ Sysname - ui - vty0 ] quit # Specify the domain system as the default domain , and configure the domain to adopt local authentication in scheme mode . [ Sysname ] domain default enable system 1 - 2
Page: 12
[ Sysname ] domain system [ Sysname - isp - system ] scheme local Complete Configuration Telnet login configuration with the authentication mode being none user - interface vty 0 authentication - mode none user privilege level 2 history - command max - size 20 idle - timeout 6 0 screen - length 30 protocol inbound telnet Telnet login configuration with the authentication mode being password user - interface vty 0 user privilege level 2 set authentication password simple 123456 history - command max - size 20 idle - timeout 6 0 screen - length 30 protocol inbound telnet Telnet login configuration with the authentication mode being scheme # domain system # local - user guest password simple 123456 level 2 # user - interface vty 0 authentication - mode scheme user privilege level 2 history - command max - size 20 idle - timeout 6 0 screen - length 30 protocol inbound telnet Precautions None Logging In Through Telnet You can telnet to your switch to manage and maintain it remotely . 1 - 3
Page: 13
Network Diagram Figure 1 - 2 Telneting to the switch to configure console login Networking and Configuration Requirements As shown in Figure 1 - 2 , telnet to the switch to configure console login . The current user level is manage level ( level 3 ) . Applicable Product Matrix Hardware Product series Software version version V03.02.04 All versions Switch 5500G V03.03.01 V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 Switch 4200G V03.02.00 All versions V03.01.00 All versions Switch 4210 V03.01.05 Configuration Procedure Common configuration for console login # Specify the level of commands accessible to the AUX 0 user interface to 2 . [ Sysname ] user - interface aux 0 [ Sysname - ui - aux0 ] user privilege level 2 # Set the baud rate of the console port to 19200 bps . [ Sysname - ui - aux0 ] speed 19200 # Set the number of lines that can be viewed on the screen of the AUX 0 user to 30 . [ Sysname - ui - aux0 ] screen - length 30 1 - 4
Page: 14
# Set the history command buffer size to 20 for AUX 0 . [ Sysname - ui - aux0 ] history - command max - size 20 # Set the idle - timeout time of AUX 0 to 6 minutes . [ Sysname - ui - aux0 ] idle - timeout 6 Configure the authentication mode for console login The following three authentication modes are available for console login : none , password , and scheme . The configuration procedures for the three authentication modes are described below : 1 ) Configure not to authenticate console login users . [ Sysname ] user - interface aux 0 [ Sysname - ui - aux0 ] authentication - mode none 2 ) Configure password authentication for console login , and set the password to 123456 in plain text . [ Sysname ] user - interface aux 0 [ Sysname - ui - aux0 ] authentication - mode password [ Sysname - ui - aux0 ] set authentication password simple 123456 3 ) Configure local authentication in scheme mode for console login . # Create a local user named guest and enter local user view . [ Sysname ] local - user guest # Set the authentication password to 123456 in plain text . [ Sysname - luser - guest ] password simple 123456 # Set the service type to Terminal and the user level to 2 for the user guest . [ Sysname - luser - guest ] service - type terminal level 2 [ Sysname - luser - guest ] quit # Enter AUX 0 user interface view . [ Sysname ] user - interface aux 0 # Set the authentication mode to scheme for console login . [ Sysname - ui - aux0 ] authentication - mode scheme Complete Configuration Console login configuration with the authentication mode being none # user - interface aux 0 user privilege level 2 history - command max - size 20 idle - timeout 6 0 speed 19200 screen - length 30 Console login configuration with the authentication mode being password # user - interface aux 0 authentication - mode password user privilege level 2 set authentication password simple 123456 history - command max - size 20 1 - 5
Page: 15
idle - timeout 6 0 speed 19200 screen - length 30 Console login configuration with the authentication mode being scheme # local - user guest password simple 123456 service - type terminal level 2 # user - interface aux 0 authentication - mode scheme user privilege level 2 history - command max - size 20 idle - timeout 6 0 speed 19200 screen - length 30 Precautions None Configuring Login Access Control Network Diagram Figure 1 - 3 Network diagram for login access control 10.110.100.46 Host A IP network Switch Host B 10.110.100.52 Networking and Configuration Requirements As shown in Figure 1 - 3 , configure the switch to allow only Telnet / SNMP / WEB users at 10.110.100.52 and 10.110.100.46 to log in . Applicable Product Matrix Hardware Product series Software version version V03.02.04 All versions Switch 5500G V03.03.01 1 - 6
Page: 16
Hardware Product series Software version version V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 Switch 4200G V03.02.00 All versions V03.01.00 All versions Switch 4210 V03.01.05 Configuration Procedure # Create basic ACL 2000 and enter basic ACL view . [ Sysname ] acl number 2000 match - order config [ Sysname - acl - basic - 2000 ] # Define ACL rules to allow only Telnet / SNMP / WEB users at 10.110.100.52 and 10.110.100.46 to log into the switch . [ Sysname - acl - basic - 2000 ] rule 1 permit source 10.110.100.52 0 [ Sysname - acl - basic - 2000 ] rule 2 permit source 10.110.100.46 0 [ Sysname - acl - basic - 2000 ] rule 3 deny source any [ Sysname - acl - basic - 2000 ] quit # Reference ACL 2000 to control Telnet login by source IP address . [ Sysname ] user - interface vty 0 4 [ Sysname - ui - vty0 - 4 ] acl 2000 inbound # Reference ACL 2000 to control SNMP login by source IP address . [ Sysname ] snmp - agent community read aaa acl 2000 [ Sysname ] snmp - agent group v2c groupa acl 2000 [ Sysname ] snmp - agent usm - user v2c usera groupa acl 2000 # Reference ACL 2000 to control WEB login by source IP address . [ Sysname ] ip http acl 2000 Complete Configuration Configuration for Telnet login control by source IP address # acl number 2000 rule 1 permit source 10.110.100.52 0 rule 2 permit source 10.110.100.46 0 rule 3 deny # user - interface vty 0 4 acl 2000 inbound Configuration for SNMP login control by source IP address # 1 - 7
Page: 17
acl number 2000 rule 1 permit source 10.110.100.52 0 rule 2 permit source 10.110.100.46 0 rule 3 deny # snmp - agent community read aaa acl 2000 snmp - agent group v2c groupa acl 2000 snmp - agent usm - user v2c usera groupa acl 2000 Configuration for WEB login control by source IP address # ip http acl 2000 # acl number 2000 rule 1 permit source 10.110.100.52 0 rule 2 permit source 10.110.100.46 0 rule 3 deny Precautions None 1 - 8
Page: 18
Table of Contents 1 VLAN Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring Port - Based VLAN · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Configuring Protocol - Based VLAN · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 7 i
Page: 19
1 VLAN Configuration Guide Configuring Port - Based VLAN The VLAN technology allows you to divide a broadcast LAN into multiple distinct broadcast domains , each as a virtual workgroup . Port - based VLAN is the simplest approach to VLAN implementation . The idea is to assign the ports on a switch to different VLANs , confining the propagation of the packets received on a port within the particular VLAN . Thus , separation of broadcast domains and division of virtual groups are achieved . Network Diagram Figure 1 - 1 Network diagram for port - based VLAN configuration VLAN10 192.168.10.0 / 24 Server VLAN100 192.168.100.0 / 24 Eth1 / 0 / 1 SwitchA Eth1 / 0 / 2 Eth1 / 0 / 3 HostA Eth1 / 0 / 10 SwitchB Eth1 / 0 / 12 Eth1 / 0 / 11 HostC HostB VLAN102 VLAN101 192.168.102.0 / 24 192.168.101.0 / 24 Networking and Configuration Requirements In the sample intranet network shown in Figure 1 - 1 , Switch A is connected to the subnet of a department and the subnet for the public servers , and Switch B is connected to the subnet of the other two departments . To guarantee data security for each department , use VLANs to isolate the four subnets at Layer 2 but configure Layer - 3 interfaces on Switch A to enable the hosts of the three departments and the public servers to communicate with each other at Layer 3 . 1 - 1
Page: 20
Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 The 4500 , 5500 and 5500G series switches can operate as Switch A in Figure 1 - 1 for forwarding packets at Layer 3 for VLANs . The other models in the table above do not support configuring multiple VLAN interfaces for Layer - 3 forwarding , and therefore , they can operate as only Switch B for Layer - 2 Figure 1 - 1 . isolation with VLANs , as shown in Configuration Procedure Configure Switch A # Create VLAN 10 on Switch A and assign Ethernet 1 / 0 / 1 to VLAN 10 . [ SwitchA ] vlan 10 [ SwitchA - vlan10 ] port Ethernet 1 / 0 / 1 [ SwitchA - vlan10 ] quit # Create VLAN 100 on Switch A and assign Ethernet 1 / 0 / 2 to VLAN 100 . [ SwitchA ] vlan 100 [ SwitchA - vlan100 ] port Ethernet 1 / 0 / 2 [ SwitchA - vlan100 ] quit # Create VLAN 101 and VLAN 102 on Switch A . [ SwitchA ] vlan 101 to 102 # Create VLAN - interface 10 , VLAN - interface 100 , VLAN - interface 101 , and VLAN - interface 102 , and configure an IP address for each of these VLAN - interfaces . [ SwitchA ] interface Vlan - interface 10 [ SwitchA - Vlan - interface10 ] ip address 192.168.10.1 24 [ SwitchA - Vlan - interface10 ] quit [ SwitchA ] interface Vlan - interface 100 [ SwitchA - Vlan - interface100 ] ip address 192.168.100.1 24 [ SwitchA - Vlan - interface100 ] quit 1 - 2
Page: 21
[ SwitchA ] interface Vlan - interface 101 [ SwitchA - Vlan - interface101 ] ip address 192.168.101.1 24 [ SwitchA - Vlan - interface101 ] quit [ SwitchA ] interface Vlan - interface 102 [ SwitchA - Vlan - interface102 ] ip address 192.168.102.1 24 [ SwitchA - Vlan - interface102 ] quit # Configure Ethernet 1 / 0 / 3 of Switch A to be a trunk port and to permit the packets carrying the tag of VLAN 101 or VLAN 102 to pass through . [ SwitchA ] interface Ethernet 1 / 0 / 3 [ SwitchA - Ethernet1 / 0 / 3 ] port link - type trunk [ SwitchA - Ethernet1 / 0 / 3 ] port trunk permit vlan 101 102 Configure Switch B # Create VLAN 101 on Switch B , and assign Ethernet 1 / 0 / 11 to VLAN 101 . [ SwitchB ] vlan 101 [ SwitchB - vlan101 ] port Ethernet 1 / 0 / 11 [ SwitchB - vlan101 ] quit # Create VLAN 102 on Switch B , and assign Ethernet 1 / 0 / 12 to VLAN 102 . [ SwitchB ] vlan 102 [ SwitchB - vlan102 ] port Ethernet 1 / 0 / 12 [ SwitchB - vlan102 ] quit # Configure Ethernet 1 / 0 / 10 of Switch B to be a trunk port and to permit the packets carrying the tag of VLAN 101 or VLAN 102 to pass through . [ SwitchB ] interface Ethernet 1 / 0 / 10 [ SwitchB - Ethernet1 / 0 / 10 ] port link - type trunk [ SwitchB - Ethernet1 / 0 / 10 ] port trunk permit vlan 101 102 Complete Configuration Configuration on Switch A # vlan 10 # vlan 100 # vlan 101 # vlan 102 # interface Vlan - interface 10 ip address 192.168.10.1 255.255.255.0 # interface Vlan - interface 100 ip address 192.168.100.1 255.255.255.0 # interface Vlan - interface 101 ip address 192.168.101.1 255.255.255.0 1 - 3
Page: 22
# interface Vlan - interface 102 ip address 192.168.102.1 255.255.255.0 # interface Ethernet1 / 0 / 1 port access vlan 10 # interface Ethernet1 / 0 / 2 port access vlan 100 # interface Ethernet1 / 0 / 3 port link - type trunk port trunk permit vlan 1 101 102 Configuration on Switch B # vlan 101 # vlan 102 # interface Ethernet1 / 0 / 10 port link - type trunk port trunk permit vlan 1 101 102 # interface Ethernet1 / 0 / 11 port access vlan 101 # interface Ethernet1 / 0 / 12 port access vlan 201 Precautions After you assign the servers and the workstations to different VLANs , they cannot communicate with each other . For them to communicate , you need to configure a Layer 3 VLAN interface for each of them on the switches . After you telnet to an Ethernet port on a switch to make configuration , do not remove the port from its current VLAN . Otherwise , your Telnet connection will be disconnected . Configuring Protocol - Based VLAN Protocol - based VLAN , or protocol VLAN , is another approach to VLAN implementation other than port - based VLAN . With protocol VLAN , the switch compares each packet received without a VLAN tag against the protocol templates based on the encapsulation format and the specified field . If a match is found , the switch tags the packet with the corresponding VLAN ID . Thus , the switch can assign packets to a VLAN by protocol . 1 - 4
Page: 23
Network Diagram Figure 1 - 2 Network diagram for protocol - based VLAN configuration IP Server AppleTalk Server Eth1 / 0 / 11 Eth1 / 0 / 12 Eth1 / 0 / 10 IP Host AppleTalk Host Workroom Networking and Configuration Requirements Configure the switch to automatically assign IP packets and Appletalk packets of the workroom to different VLANs , ensuring that the workstations can communicate with their respective servers properly . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 Configuration Procedure # Create VLAN 100 and assign Ethernet1 / 0 / 11 to VLAN 100 . [ Sysname ] vlan 100 [ Sysname - vlan100 ] port Ethernet 1 / 0 / 11 # Create VLAN 200 and assign Ethernet 1 / 0 / 12 to VLAN 200 . [ Sysname - vlan100 ] quit [ Sysname ] vlan 200 [ Sysname - vlan200 ] port Ethernet 1 / 0 / 12 # Configure protocol templates and bind them to ports . Create a protocol template for VLAN 200 to carry Appletalk and a protocol template for VLAN 100 to carry IP . [ Sysname - vlan200 ] protocol - vlan at [ Sysname - vlan200 ] quit 1 - 5
Page: 24
[ Sysname ] vlan 100 [ Sysname - vlan100 ] protocol - vlan ip Create a user - defined protocol template for VLAN 100 to carry ARP for IP communication , assuming that Ethernet_II encapsulation is used . [ Sysname - vlan100 ] protocol - vlan mode ethernetii etype 0806 Configure Ethernet 1 / 0 / 10 to be a hybrid port and to remove the outer VLAN tag when forwarding packets of VLAN 100 and VLAN 200 . [ Sysname - vlan100 ] quit [ Sysname ] interface Ethernet 1 / 0 / 10 [ Sysname - Ethernet1 / 0 / 10 ] port link - type hybrid [ Sysname - Ethernet1 / 0 / 10 ] port hybrid vlan 100 200 untagged Bind Ethernet 1 / 0 / 10 to protocol template 0 and protocol template 1 of VLAN 100 , and protocol template 0 of VLAN 200 . When configuring a protocol template , you can assign a number to the template . If you fail to do that , the system automatically assigns the lowest available number to the template . Thus , in this configuration example , the two protocol templates for VLAN 100 are automatically numbered 0 and 1 , and the protocol template for VLAN 200 is numbered 0 . [ Sysname - Ethernet1 / 0 / 10 ] port hybrid protocol - vlan vlan 100 0 to 1 [ Sysname - Ethernet1 / 0 / 10 ] port hybrid protocol - vlan vlan 200 0 Complete Configuration # vlan 100 protocol - vlan 0 ip protocol - vlan 1 mode ethernetii etype 0806 # vlan 200 protocol - vlan 0 at # interface Ethernet1 / 0 / 10 port link - type hybrid port hybrid vlan 1 100 200 untagged port hybrid protocol - vlan vlan 100 0 port hybrid protocol - vlan vlan 100 1 port hybrid protocol - vlan vlan 200 0 # interface Ethernet1 / 0 / 11 port access vlan 100 # interface Ethernet1 / 0 / 12 port access vlan 200 1 - 6
Page: 25
Precautions Because IP depends on ARP for address resolution in Ethernet , you are recommended to configure the IP and ARP templates in the same VLAN and associate them with the same port to prevent communication failure . 1 - 7
Page: 26
Table of Contents 1 IP Address Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 IP Address Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Sub IP Address Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 i
Page: 27
1 IP Address Configuration Guide IP Address Configuration Guide IP addressing uses a 32 - bit address to identify each host on a network . An example is 01010000100000001000000010000000 in binary . To make IP addresses in 32 - bit form easier to read , they are written in dotted decimal notation , each being four octets in length , for example , 10.1.1.1 for the address just mentioned . If you want to manage a remote Ethernet switch through network management or telnet , you need to configure an IP address for the remote switch and ensure that the local device and the remote switch are reachable to each other . Network Diagram Figure 1 - 1 Network diagram for IP address configuration Networking and Configuration Requirements As shown in Figure 1 - 1 , a PC connects to a switch through the console port . To manage the switch through Telnet , assign IP address 192.168.0.1 and subnet mask 255.255.255.0 to VLAN - interface 1 of the switch . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 1 - 1
Page: 28
Configuration Procedure # Configure the switch through the console port ( omitted ) . # Assign the IP address to VLAN - interface 1 . < Switch > system - view [ Switch ] interface Vlan - interface 1 [ Switch - Vlan - interface1 ] ip address 192.168.0.1 255.255.255.0 Complete Configuration # interface Vlan - interface 1 ip address 192.168.0.1 255.255.255.0 # Precautions Besides directly assigning an IP address to a VLAN interface , you may configure a VLAN interface to obtain an IP address through BOOTP or DHCP as alternatives . If you change the way an interface obtains an IP address , from manual assignment to BOOTP for example , the IP address obtained from BOOTP will overwrite the old one manually assigned . Sub IP Address Configuration Guide Network Diagram Figure 1 - 2 Network diagram for sub IP address configuration Networking and Configuration Requirements As shown in the above figure , the port in VLAN 1 on Switch is connected to a LAN in which hosts belong to two network segments : 172.16.1.0 / 24 and 172.16.2.0 / 24 . It is required to enable the hosts in the LAN to communicate with external networks through Switch , and to enable the hosts in the two network segments to communicate with each other . 1 - 2
Page: 29
Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 Configuration Procedure Assign a primary and secondary IP addresses to VLAN - interface 1 of Switch to ensure that all the hosts on the LAN can access external networks through Switch . Set Switch as the gateway on all the hosts of the two network segments to ensure that they can communicate with each other . # Assign a primary IP address and a secondary IP address to VLAN - interface 1 . < Switch > system - view [ Switch ] interface Vlan - interface 1 [ Switch - Vlan - interface1 ] ip address 172.16.1.1 255.255.255.0 [ Switch - Vlan - interface1 ] ip address 172.16.2.1 255.255.255.0 sub # Set the gateway address to 172.16.1.1 on the hosts in subnet 172.16.1.0 / 24 , and to 172.16.2.1 on the hosts in subnet 172.16.2.0 / 24 . # Ping Host B from Host A to verify the connectivity . Complete Configuration # interface Vlan - interface 1 ip address 172.16.1.1 255.255.255.0 ip address 172.16.2.1 255.255.255.0 sub # Precautions You can assign up to seven IP addresses to an interface of the 5500G series Ethernet switches , five IP addresses to that of the 5500 series Ethernet switches and two IP addresses to that of the 4200G series Ethernet switches . Among these IP addresses assigned for each interface , only one is the primary IP address and the others are secondary IP addresses . A newly specified primary IP address overwrites the previous one . The primary and secondary IP addresses of an interface cannot reside on the same network segment ; an IP address of a VLAN interface must not be on the same network segment as that of a loopback interface on a device . 1 - 3
Page: 30
Table of Contents 1 Voice VLAN Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring Voice VLAN · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 i
Page: 31
1 Voice VLAN Configuration Guide Configuring Voice VLAN The voice VLAN feature improves voice traffic transmission priority and guarantee voice quality by assigning voice traffic to a dedicated VLAN for transmission . This dedicated VLAN is called the voice VLAN . A port is assigned to the voice VLAN in one of the following two modes : In automatic mode , the switch checks the source MAC address of each incoming packet against the voice device OUI address list maintained on the switch . If a match is found , the switch assigns the port to the voice VLAN and tags the packet with the voice VLAN ID automatically . When the port joins the voice VLAN , a voice VLAN aging timer starts . If no voice packets have been received before the timer expires , the port leaves the voice VLAN . In manual mode , you need to manually assign a port to or remove the port from the voice VLAN . Network Diagram Figure 1 - 1 Network diagram for voice VLAN in automatic mode IP Phone1 ( Tag ) 000f - e234 - 1234 PC VoIP Network Voice Gateway Eth1 / 0 / 1 SwitchA SwitchB Eth1 / 0 / 2 Server IP Phone2 ( Untag ) Oui : 000f - 2200 - 0000 Networking and Configuration Requirements As shown in Figure 1 - 1 , the PC is connected to Ethernet 1 / 0 / 1 of Switch A through IP phone 1 , and IP phone 2 is connected to Ethernet 1 / 0 / 2 of Switch A . IP phone 1 sends out voice traffic with the tag of the voice VLAN , while IP phone 2 sends out voice traffic without any VLAN tag . Configure the voice VLAN feature to satisfy the following requirements : VLAN 2 functions as the voice VLAN for transmitting voice traffic , and set the aging timer of the voice VLAN to 100 minutes . VLAN 6 transmits user service data . Ethernet 1 / 0 / 1 and Ethernet 1 / 0 / 2 can recognize voice traffic automatically . Service data from the PC and voice traffic are assigned to different VLANs and then transmitted to the server and the voice gateway respectively through Switch B . 1 - 1
Page: 32
As the OUI address of IP phone 2 is not in the default voice device OUI address list of the switch , add its OUI address 000f - 2200 - 0000 to the voice device OUI address list . In addition , configure its description as IP Phone2 . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.00 All versions Switch 4500 V03.03.00 V03.02.03 All versions Switch 5500 V03.03.01 Configuration Procedure # Create VLAN 2 and VLAN 6 . < SwitchA > system - view [ SwitchA ] vlan 2 [ SwitchA - vlan2 ] quit [ SwitchA ] vlan 6 [ SwitchA - vlan6 ] quit # Set the aging timer for the voice VLAN . [ SwitchA ] voice vlan aging 100 # Add 000f - 2200 - 0000 to the voice device OUI address list and configure its description as IP Phone2 . [ SwitchA ] voice vlan mac - address 000f - 2200 - 0000 mask ffff - ff00 - 0000 description IP Phone2 # Configure VLAN 2 as the voice VLAN and enable the voice VLAN feature globally . [ SwitchA ] voice vlan 2 enable # Set the voice VLAN assignment mode on Ethernet 1 / 0 / 1 to automatic . This step is optional , because the default voice VLAN assignment mode is automatic . [ SwitchA ] interface Ethernet 1 / 0 / 1 [ SwitchA - Ethernet1 / 0 / 1 ] voice vlan mode auto # Configure Ethernet 1 / 0 / 1 as a trunk port . [ SwitchA - Ethernet1 / 0 / 1 ] port link - type trunk # Set VLAN 6 as the default VLAN of Ethernet 1 / 0 / 1 and configure Ethernet 1 / 0 / 1 to permit the packets of VLAN 6 to pass through . ( PC data will be transmitted in the VLAN . ) [ SwitchA - Ethernet1 / 0 / 1 ] port trunk pvid vlan 6 [ SwitchA - Ethernet1 / 0 / 1 ] port trunk permit vlan 6 # Enable voice VLAN on Ethernet 1 / 0 / 1 . [ SwitchA - Ethernet1 / 0 / 1 ] voice vlan enable 1 - 2
Page: 33
After the configuration is finished , PC data is automatically assigned to the default VLAN of Ethernet 1 / 0 / 1 ( namely the service VLAN ) for transmission . When IP phone traffic arrives at Ethernet 1 / 0 / 1 , the port automatically permits the voice VLAN and transmits the voice traffic with the voice VLAN tag , so that the IP phone can receive packets normally . You can set Ethernet 1 / 0 / 1 as a hybrid or trunk port following the same procedure . In either case , you need to set the service VLAN as the default VLAN . As for voice traffic , when IP phone traffic arrives at the port , the port automatically permits the voice VLAN and transmits the traffic with the voice VLAN tag . # Set the voice VLAN assignment mode of Ethernet 1 / 0 / 2 to manual . The mode must be manual because IP phone 2 can send out only untagged voice traffic . [ SwitchA - Ethernet1 / 0 / 1 ] quit [ SwitchA ] interface Ethernet 1 / 0 / 2 [ SwitchA - Ethernet1 / 0 / 2 ] undo voice vlan mode auto # Configure Ethernet 1 / 0 / 2 to be an access port and permit the voice VLAN . [ SwitchA - Ethernet1 / 0 / 2 ] port access vlan 2 # Enable voice VLAN on Ethernet 1 / 0 / 2 . [ SwitchA - Ethernet1 / 0 / 2 ] voice vlan enable You can set Ethernet 1 / 0 / 2 as a trunk or hybrid port . In either case , configure the voice VLAN as the default VLAN and configure the port to remove the VLAN tag when forwarding traffic with the voice VLAN tag . If traffic from IP phone 2 is tagged , configure Ethernet 1 / 0 / 2 as a trunk or hybrid port where the default VLAN cannot be set to VLAN 20 and the packets of VLAN 20 must be sent with the VLAN tag . Complete Configuration # vlan 1 to 2 # vlan 6 # interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan 1 6 port trunk pvid vlan 6 voice vlan enable # 1 - 3
Page: 34
interface Ethernet1 / 0 / 2 port access vlan 2 undo voice vlan mode auto voice vlan enable # voice vlan aging 100 voice vlan mac - address 000f - 2200 - 0000 mask ffff - ff00 - 0000 description IP Phone2 voice vlan 2 enable Precautions Follow these guidelines when configuring the voice VLAN feature : You cannot assign a port operating in automatic mode to the voice VLAN manually . Therefore , if you configure a VLAN as a voice VLAN and a protocol VLAN at the same time , you will be unable to associate the protocol VLAN with such a port . Refer to VLAN Configuration Guide in this manual for description on protocol VLAN . You cannot set the voice VLAN as the default VLAN on a port operating in automatic voice VLAN assignment mode . The switch supports only one voice VLAN . You cannot enable voice VLAN on a port configured with the Link Aggregation Control Protocol ( LACP ) . Only a static VLAN can be configured as the voice VLAN . When the number of ACL rules applied to a port reaches the upper threshold , enabling voice VLAN on the port will fail . You can use the display voice vlan error - info command to locate such ports . In the voice VLAN operating in security mode , the device allows only the packets whose source address matches a recognizable voice device vendor OUI to pass through . All other packets , including authentication packets such as 802.1x authentication packets , will be dropped . Therefore , you are recommended not to transmit both voice data and service data in the voice VLAN . 1 - 4
Page: 35
Table of Contents 1 GVRP Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring GVRP · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 i
Page: 36
1 GVRP Configuration Guide Configuring GVRP GVRP enables a switch to propagate local VLAN registration information to other participant switches and dynamically update the VLAN registration information from other switches to its local database about active VLAN members and through which port they can be reached . GVRP ensures that all switches on a bridged LAN maintain the same VLAN registration information , while less manual configuration workload is involved . Network Diagram Figure 1 - 1 Network diagram for GVRP configuration Networking and Configuration Requirements All the involved Ethernet ports on the switches are configured to be trunk ports and permit all the VLANs to pass through . GVRP is enabled for all the switches globally and for all the ports on them . Configure static VLAN 5 for Switch C , static VLAN 8 for Switch D , and static VLAN 5 and static VLAN 7 for Switch E . Switch A and Switch B are not configured with static VLANs . Set the registration mode of Ethernet 1 / 0 / 1 on Switch E to fixed , and display dynamic VLAN registration information of Switch A , Switch B , and Switch E . Set the registration mode of Ethernet 1 / 0 / 1 on Switch E to forbidden , and display dynamic VLAN registration information of Switch A , Switch B , and Switch E . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 1 - 1
Page: 37
Configuration Procedure Configure Switch A # Enable GVRP globally . < SwitchA > system - view [ SwitchA ] gvrp # Configure Ethernet 1 / 0 / 1 to be a trunk port and to permit the packets of all the VLANs to pass through . [ SwitchA ] interface Ethernet 1 / 0 / 1 [ SwitchA - Ethernet1 / 0 / 1 ] port link - type trunk [ SwitchA - Ethernet1 / 0 / 1 ] port trunk permit vlan all # Enable GVRP on Ethernet 1 / 0 / 1 . [ SwitchA - Ethernet1 / 0 / 1 ] gvrp [ SwitchA - Ethernet1 / 0 / 1 ] quit # Configure Ethernet 1 / 0 / 2 to be a trunk port and to permit the packets of all the VLANs to pass through . [ SwitchA ] interface Ethernet 1 / 0 / 2 [ SwitchA - Ethernet1 / 0 / 2 ] port link - type trunk [ SwitchA - Ethernet1 / 0 / 2 ] port trunk permit vlan all # Enable GVRP on Ethernet 1 / 0 / 2 . [ SwitchA - Ethernet1 / 0 / 2 ] gvrp [ SwitchA - Ethernet1 / 0 / 2 ] quit # Configure Ethernet 1 / 0 / 3 to be a trunk port and to permit the packets of all the VLANs to pass through . [ SwitchA ] interface Ethernet 1 / 0 / 3 [ SwitchA - Ethernet1 / 0 / 3 ] port link - type trunk [ SwitchA - Ethernet1 / 0 / 3 ] port trunk permit vlan all # Enable GVRP on Ethernet 1 / 0 / 3 . [ SwitchA - Ethernet1 / 0 / 3 ] gvrp [ SwitchA - Ethernet1 / 0 / 3 ] quit Configure Switch B # Configure Ethernet 1 / 0 / 1 and Ethernet 1 / 0 / 2 to be trunk ports and to permit the packets of all the VLANs to pass through . Enable GVRP globally and enable GVRP on the two ports . # The configuration on Switch B is similar to that on Switch A . Configure Switch C # Create VLAN 5 . < SwitchC > system - view [ SwitchC ] vlan5 [ SwitchC - vlan5 ] # Configure Ethernet 1 / 0 / 1 to be a trunk port and to permit the packets of all the VLANs to pass through . Enable GVRP globally and enable GVRP on the port . # The configuration on Switch C is similar to that on Switch A . 1 - 2
Page: 38
For simplicity , the following provides only configuration steps . For configuration commands , refer to the configuration above . Configure Switch D # Configure Ethernet 1 / 0 / 1 to be a trunk port and to permit the packets of all the VLANs to pass through . Enable GVRP globally and enable GVRP on the port . # Create VLAN 8 . Configure Switch E # Configure Ethernet 1 / 0 / 1 to be a trunk port and to permit the packets of all the VLANs to pass through . Enable GVRP globally and enable GVRP on the port . # Create VLAN 5 and VLAN 7 . Display the static VLAN registration information on Switch A , Switch B , and Switch C . # Display the dynamic VLAN information on Switch A . [ SwitchA ] display vlan dynamic Total 3 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 5 , 7 , 8 , # Display the dynamic VLAN information on Switch B . [ SwitchB ] display vlan dynamic Total 3 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 5 , 7 , 8 , # Display the dynamic VLAN information on Switch E . [ SwitchE ] display vlan dynamic Total 1 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 8 The output shows that static VLAN 7 created on Switch E has been registered on Switch A and Switch B and Switch E can normally register VLAN 8 propagated by Switch B . Set the registration mode of Ethernet 1 / 0 / 1 on Switch E to fixed , that is , disable Ethernet 1 / 0 / 1 from registering VLANs dynamically and allow it to propagate only its local VLANs . Display the dynamic VLAN registration information on Switch A , Switch B , and Switch E . # Set the registration mode of Ethernet 1 / 0 / 1 on Switch E to fixed . [ SwitchE ] interface Ethernet 1 / 0 / 1 [ SwitchE - Ethernet1 / 0 / 1 ] gvrp registration fixed # Display the dynamic VLAN information on Switch A . [ SwitchA ] display vlan dynamic Total 3 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 1 - 3
Page: 39
5 , 7 , 8 , # Display the dynamic VLAN information on Switch B . [ SwitchB ] display vlan dynamic Total 3 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 5 , 7 , 8 , # Display the dynamic VLAN information on Switch E . [ SwitchE - Ethernet1 / 0 / 1 ] display vlan dynamic No dynamic vlans exist ! The output shows that static VLAN 7 created on Switch E has been registered on Switch A and Switch B and Switch E cannot register VLAN 8 propagated by Switch B . Set the registration mode of Ethernet 1 / 0 / 1 on Switch E to forbidden , and display the dynamic VLAN registration information on Switch A , Switch B , and Switch E . # Set the registration mode of Ethernet 1 / 0 / 1 on Switch E to forbidden , that is , disable Ethernet 1 / 0 / 1 from dynamically registering VLANs and allow it to propagate only the default VLAN ( VLAN 1 ) . [ SwitchE - Ethernet1 / 0 / 1 ] gvrp registration forbidden # Display the dynamic VLAN information on Switch A . [ SwitchA ] display vlan dynamic Total 2 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 5 , 8 , # Display the dynamic VLAN information on Switch B . [ SwitchB ] display vlan dynamic Total 2 dynamic VLAN exist ( s ) . The following dynamic VLANs exist : 5 , 8 , # Display the dynamic VLAN information on Switch E . [ SwitchE ] display vlan dynamic No dynamic vlans exist ! The output shows that VLAN 7 is not registered on Switch A and Switch B , and Switch E cannot register VLAN 8 propagated by Switch B . Complete Configuration Configuration on Switch A # gvrp # interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan all gvrp # interface Ethernet1 / 0 / 2 port link - type trunk 1 - 4
Page: 40
port trunk permit vlan all gvrp # interface Ethernet1 / 0 / 3 port link - type trunk port trunk permit vlan all gvrp Configuration on Switch B # gvrp # interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan all gvrp # interface Ethernet1 / 0 / 2 port link - type trunk port trunk permit vlan all gvrp Configuration on Switch C # gvrp # vlan 5 # interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan all gvrp Configuration on Switch D # gvrp # vlan 8 # interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan all gvrp Configuration on Switch E # gvrp # vlan 5 # vlan 7 # 1 - 5
Page: 41
interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan all gvrp registration forbidden gvrp Precautions The port trunk permit vlan all command is designed for GVRP only . To prevent users of unauthorized VLANs from accessing restrictive resources from a port , do not use the command when GVRP is disabled on the port . Before enabling GVRP on a port , enable GVRP globally first . Use GVRP only on trunk ports . 1 - 6
Page: 42
Table of Contents 1 Ethernet Interface Basic Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring the Basic Functions of an Ethernet Port · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 i
Page: 43
1 Ethernet Interface Basic Configuration Guide Configuring the Basic Functions of an Ethernet Port An Ethernet port on an Ethernet switch can operate in one of the three link types : Access : an access port can belong to only one VLAN and is generally used to connect to a PC . Trunk : a trunk port can belong to multiple VLANs . It can receive / send packets of multiple VLANs and is generally used to connect to a switch . Hybrid : a hybrid port can belong to multiple VLANs . It can receive / send packets of multiple VLANs and can be used to connect to either a switch or a PC . You can add an Ethernet port to a specified VLAN . After that , the Ethernet port can forward the packets of the specified VLAN , so that the VLAN on this switch can intercommunicate with the same VLAN on the peer switch . Network Diagram Figure 1 - 1 Network diagram for Ethernet port configuration Networking and Configuration Requirements Switch A and Switch B are connected through the trunk port Ethernet 1 / 0 / 1 on each side . Specify VLAN 100 as the default VLAN of Ethernet 1 / 0 / 1 . Configure Ethernet 1 / 0 / 1 to permit the packets of VLAN 2 , VLAN 6 through VLAN 50 , and VLAN 100 to pass through . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 1 - 1
Page: 44
Configuration Procedure The following provides only the configuration on Switch A . The configuration on Switch B is similar to that on Switch A . This configuration example assumes that VLAN 2 , VLAN 6 through VLAN 50 , and VLAN 100 have been created . # Enter Ethernet port view of Ethernet 1 / 0 / 1 . < SwitchA > system - view System View : return to User View with Ctrl + Z . [ SwitchA ] interface ethernet1 / 0 / 1 # Configure Ethernet 1 / 0 / 1 as a trunk port . [ SwitchA - Ethernet1 / 0 / 1 ] port link - type trunk # Configure Ethernet 1 / 0 / 1 to permit the packets of VLAN 1 through VLAN 3 , VLAN 6 through VLAN 50 , and VLAN 100 to pass through . [ SwitchA - Ethernet1 / 0 / 1 ] port trunk permit vlan 1 to 3 6 to 50 100 # Configure VLAN 100 as the default VLAN of Ethernet 1 / 0 / 1 . [ SwitchA - Ethernet1 / 0 / 1 ] port trunk pvid vlan 100 Complete Configuration # interface Ethernet1 / 0 / 1 port link - type trunk port trunk permit vlan 1 to 3 6 to 50 100 port trunk pvid vlan 100 # Refer to VLAN Configuration Guide for the use of hybrid ports . Precautions Do not configure the port trunk permit vlan all command on a trunk port with GVRP disabled . 1 - 2
Page: 45
Table of Contents 1 Link Aggregation Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring Link Aggregation · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 i
Page: 46
1 Link Aggregation Configuration Guide Configuring Link Aggregation Link aggregation aggregates multiple ports into one logical link , also called an aggregation group . Link aggregation allows you to increase bandwidth by distributing incoming / outgoing traffic on the member ports in the aggregation group . In addition , it provides reliable connectivity because these member ports can dynamically back up each other . Network Diagram Figure 1 - 1 Network diagram for link aggregation configuration Networking and Configuration Requirements Aggregate Ethernet 1 / 0 / 1 through 1 / 0 / 3 on Switch A into an aggregation group and connect the group to Switch B to balance incoming / outgoing traffic among the member ports . The example will show you how to configure link aggregation in different aggregation modes . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 1 - 1
Page: 47
Configuration Procedure The example only provides the configuration on Switch A . Perform the same configuration on Switch B to implement link aggregation . 1 ) In manual aggregation mode # Create manual aggregation group 1 . < SwitchA > system - view [ SwitchA ] link - aggregation group 1 mode manual # Add Ethernet 1 / 0 / 1 through Ethernet 1 / 0 / 3 to aggregation group 1 . [ SwitchA ] interface Ethernet1 / 0 / 1 [ SwitchA - Ethernet1 / 0 / 1 ] port link - aggregation group 1 [ SwitchA - Ethernet1 / 0 / 1 ] quit [ SwitchA ] interface Ethernet1 / 0 / 2 [ SwitchA - Ethernet1 / 0 / 2 ] port link - aggregation group 1 [ SwitchA - Ethernet1 / 0 / 2 ] quit [ SwitchA ] interface Ethernet1 / 0 / 3 [ SwitchA - Ethernet1 / 0 / 3 ] port link - aggregation group 1 2 ) In static LACP aggregation mode # Create static aggregation group 1 . < SwitchA > system - view [ SwitchA ] link - aggregation group 1 mode static # Add Ethernet 1 / 0 / 1 through Ethernet 1 / 0 / 3 to aggregation group 1 . [ SwitchA ] interface Ethernet1 / 0 / 1 [ SwitchA - Ethernet1 / 0 / 1 ] port link - aggregation group 1 [ SwitchA - Ethernet1 / 0 / 1 ] quit [ SwitchA ] interface Ethernet1 / 0 / 2 [ SwitchA - Ethernet1 / 0 / 2 ] port link - aggregation group 1 [ SwitchA - Ethernet1 / 0 / 2 ] quit [ SwitchA ] interface Ethernet1 / 0 / 3 [ SwitchA - Ethernet1 / 0 / 3 ] port link - aggregation group 1 3 ) In dynamic LACP aggregation mode # Enable LACP on Ethernet 1 / 0 / 1 through Ethernet 1 / 0 / 3 . < SwitchA > system - view [ SwitchA ] interface Ethernet1 / 0 / 1 [ SwitchA - Ethernet1 / 0 / 1 ] lacp enable [ SwitchA - Ethernet1 / 0 / 1 ] quit [ SwitchA ] interface Ethernet1 / 0 / 2 [ SwitchA - Ethernet1 / 0 / 2 ] lacp enable [ SwitchA - Ethernet1 / 0 / 2 ] quit [ SwitchA ] interface Ethernet1 / 0 / 3 1 - 2
Page: 48
[ SwitchA - Ethernet1 / 0 / 3 ] lacp enable Complete Configuration 1 ) In manual aggregation mode # link - aggregation group 1 mode manual # interface Ethernet1 / 0 / 1 port link - aggregation group 1 # interface Ethernet1 / 0 / 2 port link - aggregation group 1 # interface Ethernet1 / 0 / 3 port link - aggregation group 1 # 2 ) In static LACP aggregation mode # link - aggregation group 1 mode static # interface Ethernet1 / 0 / 1 port link - aggregation group 1 # interface Ethernet1 / 0 / 2 port link - aggregation group 1 # interface Ethernet1 / 0 / 3 port link - aggregation group 1 # 3 ) In dynamic LACP aggregation mode # interface Ethernet1 / 0 / 1 lacp enable # interface Ethernet1 / 0 / 2 lacp enable # interface Ethernet1 / 0 / 3 lacp enable # Precautions If static LACP aggregation or manual aggregation is adopted , you are recommended not to cross - connect the aggregation member ports at the two ends to avoid packet loss . For example , if local port 1 is connected to remote port 2 , do not connect local port 2 to remote port 1 . Dynamic LACP aggregation mode is not recommended in actual networking scenarios . 1 - 3
Page: 49
The implementation of static aggregation varies by platform software version . This may result in problems when products using different platform software versions are interconnected through static aggregation groups . Use the display version command to view the platform software version . The 4210 switch only supports manually - configured aggregation groups . 1 - 4
Page: 50
Table of Contents 1 Port Isolation Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring Port Isolation · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 i
Page: 51
1 Port Isolation Configuration Guide Configuring Port Isolation Port isolation allows you to add a port into an isolation group to isolate Layer - 2 and Layer - 3 traffic of the port from that of all other ports in the isolation group . While increasing network security , this allows for great flexibility . Currently , an switch supports only one isolation group ; however , the number of Ethernet ports in the isolation group is not limited . Network Diagram Figure 1 - 1 Network diagram for port isolation configuration Internet Eth1 / 0 / 1 Switch Eth1 / 0 / 2 Eth1 / 0 / 4 Eth1 / 0 / 3 PC 3 PC 2 PC 4 Networking and Configuration Requirements PC2 , PC3 , and PC4 connect to the switch ports Ethernet 1 / 0 / 2 , Ethernet 1 / 0 / 3 , and Ethernet 1 / 0 / 4 respectively . The switch connects to the Internet through Ethernet 1 / 0 / 1 . Isolate PC2 , PC3 , and PC4 from each other . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 1 - 1
Page: 52
Product series Software version Hardware version Switch 4200G V03.02.00 All versions V03.02.00 All versions Switch 4500 V03.03.00 V03.02.03 All versions Switch 5500 V03.03.01 V03.01.00 All versions Switch 4210 V03.01.05 Configuration Procedure # Add Ethernet 1 / 0 / 2 , Ethernet 1 / 0 / 3 , and Ethernet 1 / 0 / 4 to the isolation group . < Switch > system - view System View : return to User View with Ctrl + Z . [ Switch ] interface ethernet1 / 0 / 2 [ Switch - Ethernet1 / 0 / 2 ] port isolate [ Switch - Ethernet1 / 0 / 2 ] quit [ Switch ] interface ethernet1 / 0 / 3 [ Switch - Ethernet1 / 0 / 3 ] port isolate [ Switch - Ethernet1 / 0 / 3 ] quit [ Switch ] interface ethernet1 / 0 / 4 [ Switch - Ethernet1 / 0 / 4 ] port isolate [ Switch - Ethernet1 / 0 / 4 ] quit [ Switch ] # Display information about the ports in the isolation group . < Switch > display isolate port Isolated port ( s ) on UNIT 1 : Ethernet1 / 0 / 2 , Ethernet1 / 0 / 3 , Ethernet1 / 0 / 4 Complete Configuration # interface Ethernet1 / 0 / 2 port isolate # interface Ethernet1 / 0 / 3 port isolate # interface Ethernet1 / 0 / 4 port isolate # Precautions Adding to or removing from an isolation group an aggregated port can cause all other ports in the aggregation group on the device to join or exit the isolation group automatically . 1 - 2
Page: 53
After an aggregated port is removed from its aggregation group , all other member ports will still stay in the isolation group that they have joined ( if any ) . Removing an aggregation group does not remove its member ports from the isolation group that they have joined ( if any ) . Adding an isolated port to an aggregation group can cause all the member ports in the aggregation group to join the isolation group automatically . Cross - device port isolation is supported on the Switch 5500 / Switch 4500 switches in an XRN fabric . This allows ports on different units to join the same isolation group . For Switch 5500 / Switch 4500 switches in an XRN fabric , adding a member port in a cross - device aggregation group to an isolation group does not cause other member ports to join the isolation group automatically . 1 - 3
Page: 54
Table of Contents 1 Port Security Configuration Guide · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuring Port Security autolearn Mode · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 1 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Configuring Port Security mac - authentication Mode · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 2 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 3 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 4 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Configuring Port Security userlogin - withoui Mode · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 5 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 6 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 7 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 8 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 9 Configuring Port Security mac - else - userlogin - secure - ext Mode · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 9 Network Diagram · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 9 Networking and Configuration Requirements · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 9 Applicable Product Matrix · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 10 Configuration Procedure · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 10 Complete Configuration · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 11 Precautions · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1 - 12 i
Page: 55
1 Port Security Configuration Guide Configuring Port Security autolearn Mode In autolearn mode , a port can learn a specified number of MAC addresses and save those addresses as secure MAC addresses . Once the number of secure MAC addresses learnt by the port exceeds the upper limit defined by the port - security max - mac - count command , the port transits to the secure mode . In secure mode , a port does not save any new secure MAC addresses and permits only packets whose source addresses are secure MAC address or configured dynamic MAC addresses . Network Diagram Figure 1 - 1 Network diagram for configuring port security autolearn mode Networking and Configuration Requirements On port Ethernet 1 / 0 / 1 of the switch , perform configurations to meet the following requirements : Allow a maximum of 80 users to access the port without authentication , and save the automatically learned user MAC addresses as secure MAC addresses . To ensure that the host can access the network , add the MAC address 0001 - 0002 - 0003 as a secure MAC address to VLAN 1 on the port . Once the number of secure MAC addresses reaches 80 , the port stops MAC address learning . If any frame with an unknown source MAC address arrives , intrusion protection is triggered and the port is disabled and kept silent for 30 seconds . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 1 - 1
Page: 56
Configuration Procedure # Enter system view . < Switch > system - view # Enable port security . [ Switch ] port - security enable # Enter Ethernet 1 / 0 / 1 port view . [ Switch ] interface Ethernet1 / 0 / 1 # Set the maximum number of MAC addresses allowed on the port to 80 . [ Switch - Ethernet1 / 0 / 1 ] port - security max - mac - count 80 # Set the port security mode to autolearn . [ Switch - Ethernet1 / 0 / 1 ] port - security port - mode autolearn # Add the MAC address 0001 - 0002 - 0003 as a secure MAC address to VLAN 1 . [ Switch - Ethernet1 / 0 / 1 ] mac - address security 0001 - 0002 - 0003 vlan 1 # Configure the port to be silent for 30 seconds after intrusion protection is triggered . [ Switch - Ethernet1 / 0 / 1 ] port - security intrusion - mode disableport - temporarily [ Switch - Ethernet1 / 0 / 1 ] quit [ Switch ] port - security timer disableport 30 Complete Configuration # port - security enable port - security timer disableport 30 # interface Ethernet1 / 0 / 1 port - security max - mac - count 80 port - security port - mode autolearn port - security intrusion - mode disableport - temporarily mac - address security 0001 - 0002 - 0003 vlan 1 # Precautions Before enabling port security , be sure to disable 802.1x and MAC authentication globally . On a port configured with port security , you cannot configure the maximum number of MAC addresses that the port can learn , reflector port for port mirroring , fabric port or link aggregation . Configuring Port Security mac - authentication Mode In mac - authentication mode , a port performs MAC authentication of users . 1 - 2
Page: 57
Network Diagram Figure 1 - 2 Network diagram for configuring port security mac - authentication mode Networking and Configuration Requirements The host connects to the switch through the port Ethernet 1 / 0 / 1 , and the switch authenticates the host through the RADIUS server . If the authentication is successful , the host is authorized to access the Internet . On port Ethernet 1 / 0 / 1 of the switch , perform configurations to meet the following requirements : The switch performs MAC authentication of users . All users belong to the domain aabbcc.net , and each of them uses the MAC address as username and password for authentication . Whenever a packet fails MAC authentication , intrusion protection is triggered to filter packets whose source MAC addresses are the same as that of the packet failing the authentication , ensuring the security of the port . Applicable Product Matrix Product series Software version Hardware version V03.02.04 All versions Switch 5500G V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 1 - 3
Page: 58
Configuration Procedure The following configurations involve some AAA / RADIUS configuration commands . For details about the commands , refer to AAA Operation . Configurations on the user host and the RADIUS server are omitted . Configure RADIUS parameters # Create a RADIUS scheme named radius1 . < Switch > system - view [ Switch ] radius scheme radius1 # Specify the primary RADIUS authentication server and primary RADIUS accounting server . [ Switch - radius - radius1 ] primary authentication 192.168.1.3 [ Switch - radius - radius1 ] primary accounting 192.168.1.2 # Specify the secondary RADIUS authentication server and secondary RADIUS accounting server . [ Switch - radius - radius1 ] secondary authentication 192.168.1.2 [ Switch - radius - radius1 ] secondary accounting 192.168.1.3 # Set the shared key for message exchange between the switch and the RADIUS authentication servers to name . [ Switch - radius - radius1 ] key authentication name # Set the shared key for message exchange between the switch and the accounting RADIUS servers to name . [ Switch - radius - radius1 ] key accounting name # Configure the switch to send a username without the domain name to the RADIUS server . [ Switch - radius - radius1 ] user - name - format without - domain [ Switch - radius - radius1 ] quit # Create a domain named aabbcc.net and enter its view . [ Switch ] domain aabbcc.net # Specify the RADIUS scheme for the domain . [ Switch - isp - aabbcc.net ] scheme radius - scheme radius1 [ Switch - isp - aabbcc.net ] quit # Set aabbcc.net as the default user domain . [ Switch ] domain default enable aabbcc.net # Configure the switch to use MAC addresses as usernames for authentication , specifying that the MAC addresses should be lowercase without separators . [ Switch ] mac - authentication authmode usernameasmacaddress usernameformat without - hyphen # Specify the ISP domain for MAC authentication . [ Switch ] mac - authentication domain aabbcc.net # Enable port security . 1 - 4
Page: 59
[ Switch ] port - security enable # Set the port security mode to mac - authentication . [ Switch ] interface Ethernet 1 / 0 / 1 [ Switch - Ethernet1 / 0 / 1 ] port - security port - mode mac - authentication # Configure the port to drop packets whose source addresses are the same as that of the packet failing MAC authentication after intrusion protection is triggered . [ Switch - Ethernet1 / 0 / 1 ] port - security intrusion - mode blockmac Complete Configuration # domain default enable aabbcc.net # port - security enable # MAC - authentication domain aabbcc.net # radius scheme radius1 server - type standard primary authentication 192.168.1.3 primary accounting 192.168.1.2 secondary authentication 192.168.1.2 secondary accounting 192.168.1.3 key authentication name key accounting name user - name - format without - domain # domain aabbcc.net scheme radius - scheme radius1 # interface Ethernet1 / 0 / 1 port - security port - mode mac - authentication port - security intrusion - mode blockmac Precautions Before enabling port security , be sure to disable 802.1x and MAC authentication globally . On a port configured with port security , you cannot configure the maximum number of MAC addresses that the port can learn , reflector port for port mirroring , fabric port , or link aggregation . Configuring Port Security userlogin - withoui Mode In the userlogin - withoui mode , a port authenticates users using MAC - based 802.1x and permits only packets from authenticated users . Besides , the port also allows packets whose source MAC addresses have a specified organizationally unique identifier ( OUI ) value to pass the port . 1 - 5
Page: 60
Network Diagram Figure 1 - 3 Network diagram for configuring port security userlogin - withoui mode Networking and Configuration Requirements The host connects to the switch through the port Ethernet 1 / 0 / 1 , and the switch authenticates the host through the RADIUS server . If the authentication is successful , the host is authorized to access the Internet . On port Ethernet 1 / 0 / 1 of the switch , perform configurations to meet the following requirements : Allow one 802.1x user to get online . Set two OUI values , and allow only one user whose MAC address matches one of the two OUI values to get online . Configure port security trapping to monitor the operations of the 802.1x - authenticated user . Applicable Product Matrix Product series Software version Hardware version V03.02.04 Switch 5500G All versions V03.03.01 Switch 4200G V03.02.00 All versions V03.02.03 All versions Switch 5500 V03.03.01 V03.02.00 All versions Switch 4500 V03.03.00 V03.01.00 All versions Switch 4210 V03.01.05 1 - 6