管理指南,怎么更改文件类型

管理指南思科200系列智能型交换机管理指南目录目录第1章:目录第2章:使用入门启动基于Web的配置实用程序设备配置快速入门接口命名约定窗口导航第3章:状态和统计信息系统摘要以太网接口Etherlike统计信息802.1XEAP统计信息状况RMON查看日志第4章:管理：系统日志设置系统日志设置设置远程记录设置查看内存日志第5章:管理：文件管理系统文件升级/备份固件/语言下载/备份配置/日志思科200系列智能型交换机管理指南 1 18 8111112 15 15151617181824 25 252728 30 303235
1 目录配置文件属性复制/保存配置通过DHCP进行自动配置/映像更新第6章:管理设备型号系统设置管理接口用户帐户定义闲置会话超时时间设置系统日志文件管理重启设备状况诊断发现-Bonjour发现-LLDP发现-CDPPing 第7章:管理：时间设置系统时间选项SNTP模式配置系统时间第8章:管理：诊断铜缆端口测试显示光纤模块状态配置端口和VLAN镜像思科200系列智能型交换机管理指南 1 393940 48 485052525252525353545555555656 58 586060 66 666869
2 目录查看CPU使用率和安全的核心技术第9章:管理：发现协议 BonjourLLDP和CDP配置LLDP配置CDPCDP统计信息第10章:端口管理配置端口环回检测链路聚合UDLDPoE配置绿色以太网第11章:端口管理：单向链路检测 UDLD概述UDLD操作使用指南与其他功能的依赖性默认设置和配置使用说明常见UDLD任务配置UDLD 第12章:智能端口综述什么是智能端口思科200系列智能型交换机管理指南 1 70 72 7273749097 98 98102104109109110 116 116117119119119120120121 124 124125
3 目录智能端口类型智能端口宏宏失败和重置操作智能端口功能如何运作自动智能端口错误处理默认配置与其他功能的关系和向后兼容性常见智能端口任务使用基于Web的界面配置智能端口内置智能端口宏第13章:端口管理：PoE 设备上的PoEPoE属性PoE设置第14章:VLAN管理综述常规VLAN语音VLAN 第15章:生成树 STP模式STP状态和全局设置生成树接口设置快速生成树设置第16章:管理MAC地址表静态MAC地址动态MAC地址思科200系列智能型交换机管理指南 1 125127128128129132132132132134138 149 149151152 155 155157163 173 173174175176 179 179180
4 目录第17章:组播组播转发组播属性MAC组地址IP组播组地址IPv4组播配置IPv6组播配置IGMP/MLDSnoopingIP组播组组播路由器端口全部转发未注册的组播第18章:IP配置综述IPv4管理和接口域名第19章:安全配置安全性配置RADIUS管理访问方法管理访问验证安全敏感数据管理SSL服务器SSH客户端配置TCP/UDP服务定义风暴控制配置端口安全802.1XDoS防护思科200系列智能型交换机管理指南 1 182 182186186187189190192193194195 196 196198209 213 214216218222223223225225227227229229
5 目录第20章:安全：802.1x验证 802.1X概述验证方概述常见任务通过GUI进行802.1X配置第21章:安全：SSH客户端安全复制(SCP)和SSH保护方法SSH服务器验证SSH客户端验证使用准备常见任务GUI中的SSH客户端配置第22章:安全：安全敏感数据管理简介SSD规则SSD属性配置文件SSD管理通道菜单CLI和密码恢复配置SSD 第23章:服务质量 QoS功能和组件配置QoS-一般管理QoS统计信息思科200系列智能型交换机管理指南 1 233 233235238239 243 243244245246246247248 251 251252256258261262262 265 265266273
6 目录第24章:SNMP SNMP版本和工作流程型号OIDSNMP引擎ID配置SNMP视图创建SNMP组管理SNMP用户定义SNMP社区定义陷阱设置通知接收设备SNMP通知过滤器 1 276 276278279280281283284286286289 思科200系列智能型交换机管理指南
7 2 使用入门本节介绍了基于Web的配置实用程序，具体包括以下主题：•启动基于Web的配置实用程序•设备配置快速入门•接口命名约定•窗口导航启动基于Web的配置实用程序本节介绍了如何导航基于Web的交换机配置实用程序。
如果您使用了弹出窗口拦截器，请确保已将其禁用。
浏览器限制如果正在管理站上使用IPv6接口，则可以使用IPv6全局地址（而非IPv6链路本地地址）从浏览器访问设备。
启动配置实用程序打开基于Web的配置实用程序的步骤：步骤1打开任一Web浏览器。
步骤2在浏览器地址栏中输入要配置的设备的IP地址，然后按Enter。
注当设备使用出厂默认IP地址192.168.1.254时，其电源LED将持续闪烁。
当设备使用DHCP分配的IP地址或管理员配置的静态IP地址时，电源LED将持续亮起。
思科200系列智能型交换机管理指南
8 使用入门启动基于Web的配置实用程序
2 登录默认用户名为cisco，默认密码为cisco。
第一次使用默认用户名和密码登录时，您需要输入新密码。
注如果您之前没有为GUI选择语言，则登录页面的语言将由浏览器所请求的语言以及设备上配置的语言决定。
例如，如果浏览器请求使用中文，且中文已加载到设备中，则登录页面将自动显示为中文。
如果中文尚未加载到设备中，登录页面将显示为英文。
加载到设备中的语言具有一个语言和国家/地区代码（en-US、en-GB等）。
若要使登录页面自动以特定语言显示，根据浏览器请求，浏览器的语言和国家/地区代码请求必须与设备上所加载语言的代码相匹配。
如果浏览器请求仅包含语言代码，而不包含国家/地区代码（例如：fr）。
系统将会采用第一个具有匹配语言代码（而没有匹配国家/地区代码，例如：fr_CA）的嵌入式语言。
登录到设备配置实用程序的步骤：步骤1输入用户名/密码。
该密码最多可以包含64个ASCII字符。
在设置密码强度规则中介绍了密码复杂性规则。
步骤2如果不使用英文，可以从语言下拉菜单中选择所需的语言。
要为设备添加新语言或更新当前语言，请参阅升级/备份固件/语言。
步骤3如果这是首次使用默认用户ID(cisco)和默认密码(cisco)登录，或者密码已过期，将会打开“更改密码”页面。
有关其他信息，请参阅密码过期。
步骤4选择是否选择禁用密码复杂性规则。
有关密码复杂性的详细信息，请参阅“设置密码强度规则”一节。
步骤5输入新密码并单击应用。
如果登录尝试成功，将会显示“使用入门”页面。
如果输入了错误的用户名或密码，将显示错误消息，而窗口上会继续显示“登录”页面。
如果登录时遇到问题，请参阅“管理指导”中的“启动配置实用程序”一节了解详情。
选择启动时不显示此页面，可防止每次登录系统时都显示“使用入门”页面。
如果选择了该选项，系统将打开“系统摘要”页面，而不是“使用入门”页面。
HTTP/HTTPS 您可以单击登录以打开HTTP会话（不安全），也可以单击安全浏览(HTTPS)打开HTTP会话（安全）。
系统会要求您使用默认的RSA密钥进行合法登录，然后将打开一个HTTPS会话。
注在单击安全浏览(HTTPS)按钮之前，无需输入用户名/密码。
有关如何配置HTTPS的信息，请参阅SSL服务器。
思科200系列智能型交换机管理指南
9 使用入门启动基于Web的配置实用程序
2 密码过期在以下情况下会显示“新密码”页面： •首次使用默认用户名cisco和密码cisco访问设备。
此页面会强制您替换出厂默认密码。
•当密码过期时，此页面会强制您选择新密码。
注销默认情况下，如果应用程序在十分钟内无活动，将会注销。
您可以按定义闲置会话超时一节中所述更改此默认值。
!
注意除非将当前配置复制到启动配置，否则重启设备时，将会删除自上次保存文件以来所做的所有更改。
在注销前请先将当前配置保存到启动配置，以便保留在该会话期间所做的一切更改。
保存应用程序链接左侧的闪烁的红色X图标，表明尚未将当前配置更改保存到启动配置文件。
您可以单击“复制/保存配置”页面上的禁用保存图标闪烁按钮，禁止闪烁。
当设备自动发现一个设备，例如，一台IP电话时（请参阅什么是智能端口），会为该设备相应地配置端口。
这些配置命令将写入当前配置文件中。
这将导致您登录时，即使您没有更改任何配置，“保存”图标也会开始闪烁。
当单击保存时，将出现“复制/保存配置”页面。
通过将当前配置文件复制到启动配置文件来保存该文件。
保存后，将不再显示红色X图标和“保存”应用程序链接。
要注销，只需单击任意页面右上角的退出，系统便会注销设备。
如果发生超时，或者您主动注销系统，系统会显示一则消息并显示“登录”页面，同时弹出一则消息，说明应用程序处于已注销状态。
登录后，应用程序会返回到初始页面。
初始页面的内容取决于是否在“使用入门”页面中选择“启动时不显示此页面”选项。
如果未选择该选项，则初始页面为“使用入门”页面。
如果选择了该选项，则初始页面为“系统摘要”页面。
思科200系列智能型交换机管理指南 10 使用入门设备配置快速入门
2 设备配置快速入门为通过快速导航简化设备配置，“使用入门”页面提供了最常用页面的链接。
类别设备状态快速访问链接名称（在页面上）更改管理应用和服务更改设备IP地址创建VLAN配置端口设置系统摘要端口统计信息RMON统计信息查看日志更改设备密码升级设备软件备份设备配置配置QoS配置端口镜像链接的页面“TCP/UDP服务”页面“IPv4接口”页面“创建VLAN”页面“端口设置”页面“系统摘要”页面“接口”页面“统计信息”页面“RAM内存”页面“用户帐户”页面“升级/备份固件/语言”页面“下载/备份配置/日志”页面“QoS属性”页面“端口和VLAN镜像”页面在“使用入门”页面上有两个热链接，可将您带入思科Web页面了解详情。
单击支持链接，您将可以访问设备产品支持页面，而单击论坛链接，您将可以访问“思科精睿支持社区”页面。
接口命名约定在GUI内，可结合以下元素表示接口：•接口类型：以下类型的接口在各种类型的设备上均有提供：-快速以太网（10/100位）-这种类型的接口显示为FE。
-千兆以太网端口（10/100/1000位）-这种类型的接口显示为GE。
-LAG（端口通道）-这种类型的接口显示为LAG。
-VLAN-这种类型的接口显示为VLAN。
-隧道-这种类型的接口显示为隧道。
•接口编号：端口、LAG、隧道或VLANID 思科200系列智能型交换机管理指南 11 使用入门窗口导航窗口导航本节介绍了基于Web的交换机配置实用程序的功能。
应用报头应用报头显示在每个页面上。
可以提供以下应用程序链接：应用程序链接名称用户名语言菜单退出关于帮助说明显示在保存应用程序链接左侧的闪烁的红色X图标表明对当前配置进行了更改，但尚未将更改保存到启动配置文件。
您可以在“复制/保存配置”页面上禁止红色X闪烁。
单击保存显示“复制/保存配置”页面。
在设备上，通过将当前配置文件复制到启动配置文件类型来保存该文件。
保存后，将不再显示红色X图标和“保存”应用程序链接。
设备重启时，会将启动配置文件类型复制到当前配置，并根据当前配置中的数据设置设备参数。
显示登录到设备的用户名。
默认的用户名为cisco。
（默认密码是cisco。
）此菜单提供了以下选项： •选择语言：从菜单所显示的语言中选择一种语言。
此语言将作为基于Web的配置实用程序的语言。
•下载语言：将一种新语言添加到设备。
•删除语言：删除设备上的第二种语言。
第一种语言（英文）无法删除。
•调试：用来进行转换。
如果选择此选项，所有基于Web的配置实用程序标签将消失，其原来的位置上将显示与语言文件中的ID对应的字符串ID。
注要升级语言文件，请使用“升级/备份固件/语言”页面。
单击该链接可注销基于Web的交换机配置实用程序。
单击该链接会显示设备名称和设备版本号。
单击该链接会显示在线帮助。
如果记录了严重性级别高于严重的系统日志消息，则会显示“系统日志警报状态”图标。
单击该图标将打开RAM内存页面。
访问该页面后，将不会再显示“系统日志警报状态”图标。
要在没有活动的系统日志消息的情况下显示该页面，请单击状态和统计信息>查看日志>RAM内存。
思科200系列智能型交换机管理指南 2 12 使用入门窗口导航管理按钮下表介绍了系统中各页面上显示的常用按钮。
按钮名称说明使用此下拉菜单可配置每个页面的条目数。
表示必填字段。
添加应用取消清除所有接口的计数器清除接口计数器清除日志清除表关闭复制设置删除详情单击该按钮会显示相关的“添加”页面并在表格中添加一个条目。
输入信息并单击应用，可将该更改保存到当前配置中。
单击关闭可返回主页面。
单击保存会显示“复制/保存配置”页面，并在设备上将当前配置保存到启动配置文件类型。
单击该按钮会将更改应用到设备上的当前配置。
除非将当前配置保存到启动配置文件类型或其他文件类型，否则当设备重启时，当前配置会丢失。
单击保存会显示“复制/保存配置”页面，并在设备上将当前配置保存到启动配置文件类型。
单击该按钮会重置对页面所做的更改。
单击该按钮会将所有接口的统计计数器清零。
单击该按钮会将所选接口的统计计数器清零。
清除日志文件。
清除表格条目。
返回主页面。
如果所有更改均未应用到当前配置，将显示一条消息。
表格通常包含一个或多个包含配置设置的条目。
无需单独修改每个条目，而是可以先修改一个条目，然后再将所选条目复制到多个条目，方法如下：
1.选择要复制的条目。
单击复制设置以显示弹出式窗口。

2.在至字段中输入目的条目编号。

3.单击应用保存更改，然后单击关闭返回主页面。
在表中选中一个条目后，单击删除以删除该条目。
单击该按钮可显示所选条目的相关详情。
思科200系列智能型交换机管理指南 2 13 使用入门窗口导航按钮名称编辑转至刷新测试说明选择条目，然后单击编辑。
此时将显示“编辑”页面，并且可以对条目进行修改。

1.单击应用可将更改保存到当前配置中。

2.单击关闭可返回主页面。
输入查询过滤条件并单击转至。
查询结果便会显示在页面上。
单击刷新可刷新计数器值。
单击测试可执行相关测试。

2 思科200系列智能型交换机管理指南 14 状态和统计信息本节介绍如何查看设备统计信息。
其中包含以下主题： •系统摘要•以太网接口•Etherlike统计信息•802.1XEAP统计信息•状况•RMON•查看日志系统摘要请参阅系统设置。
以太网接口 “接口”页面会显示每个端口的流量统计信息。
该信息的刷新速率是可以选择的。
该页面对于分析发送和接收的流量数量及其传播方式（单播、组播和广播）非常有用。
显示以太网统计信息和/或设置刷新率的步骤：步骤1单击状态和统计信息>接口。
步骤2输入参数。
思科200系列智能型交换机管理指南 3 15 状态和统计信息 Etherlike统计信息
3 •接口-选择接口类型以及要显示其以太网统计信息的具体接口。
•刷新速率-选择刷新接口以太网统计信息的间隔时间。
接收统计信息区域显示关于传入数据包的信息。
•字节总数(八位字节)-接收的八位字节数，包括坏数据包和FCS八位字节数，但不包括帧位。
•单播数据包数-接收到的正常单播数据包数。
•组播数据包数-接收到的正常组播数据包数。
•广播数据包数-接收到的正常广播数据包数。
•带有错误的数据包数-接收到的有错误的数据包数。
传输数据统计区域显示关于传出数据包的信息。
•字节总数(八位字节)-传输的八位字节数，包括坏数据包和FCS八位字节数，但不包括帧位。
•单播数据包数-传输的正常单播数据包数。
•组播数据包数-传输的正常组播数据包数。
•广播数据包数-传输的正常广播数据包数。
清除或查看统计信息计数器的步骤：•单击清除接口计数器清除显示的接口的计数器。
•单击查看所有接口统计信息，在单个页面中查看所有端口。
Etherlike统计信息 Etherlike页面根据EtherlikeMIB标准定义显示每个端口的统计信息。
该信息的刷新速率是可以选择的。
该页面提供关于物理层（第1层）中错误（可能中断流量）的更为详细的信息。
查看Etherlike统计信息和/或设置刷新速率的步骤：步骤1单击状态和统计信息>Etherlike。
步骤2输入参数。
•接口-选择接口类型以及要显示其以太网统计信息的具体接口。
•刷新速率-选择刷新Etherlike统计信息的间隔时间。
思科200系列智能型交换机管理指南 16 状态和统计信息 802.1XEAP统计信息系统会针对选定接口显示以下字段。
•帧校验序列(FCS)错误数-接收到的未能通过CRC（循环冗余校验）的帧。
•信号冲突帧数-出现单个冲突，但成功传输的帧。
•滞后冲突-在数据的前512位后检测到的冲突。
•过量冲突-由于过量冲突而被拒绝的传输。
•过大数据包数-接收到的大于2000八位字节的数据包数。
•内部MAC接收错误-由于接收器错误而被拒绝的帧数。
•已接收的暂停帧数-接收到的流控制暂停帧数。
•已发送的暂停帧数-从选定接口传输的流控制暂停帧数。
清除统计信息计数器的步骤：•单击清除接口计数器清除选定的接口计数器。
•单击查看所有接口统计信息，在单个页面中查看所有端口。

3 802.1XEAP统计信息 802.1xEAP页面会显示关于发送或接收的EAP（扩展认证协议）帧的详细信息。
要配置802.1X功能，请参阅“802.1X属性”页面。
查看EAP统计信息和/或设置刷新速率的步骤：步骤1单击状态和统计信息>802.1xEAP。
步骤2选择需要轮询统计信息的接口。
步骤3选择刷新EAP统计信息的刷新速率（间隔时间）。
系统会针对选定接口显示以下值。
•已接收的EAPOL帧数-在该端口上接收的有效EAPOL帧数。
•已发送的EAPOL帧数-在该端口上传输的有效EAPOL帧数。
•已接收的EAPOL开始帧数-在该端口上接收的EAPOL开始帧数。
•已接收的EAPOL注销帧数-在该端口上接收的EAPOL注销帧数。
思科200系列智能型交换机管理指南 17 状态和统计信息状况 •已接收的EAP响应/ID帧数-在该端口上接收的EAPResp/ID帧数。
•已接收的EAP响应帧数-端口接收的EAP响应帧数（除Resp/ID帧外）。
•已发送的EAP请求/ID帧数-在该端口上传输的EAPReq/ID帧数。
•已发送的EAP请求帧数-该端口传输的EAP请求帧数。
•已接收的无效EAPOL帧数-在该端口接收的不可识别的EAPOL帧数。
•已接收的EAP长度错误帧数-此端口上接收的具有无效数据包正文长度的EAPOL帧数。
•最新EAPOL帧版本-最新收到的EAPOL帧上附加的协议版本号。
•最新EAPOL帧源-最新收到的EAPOL帧上附加的源MAC地址。
清除统计信息计数器的步骤：•单击清除接口计数器清除选定的接口计数器。
•单击刷新可刷新选定的接口计数器。
•单击查看所有接口统计信息清除所有接口的计数器。

3 状况请参阅状况。
RMON RMON（远程网络监控）使设备中的SNMP代理能够在指定时间段内前瞻性地监控流量统计信息并向SNMP管理器发送Trap。
本地SNMP代理比较实际的实时计数器与预定义阈值并生成告警，而不需要中央SNMP管理平台进行轮询。
如果用户设置了相对于网络基线的正确阈值，那么这会是一种有效的前瞻性管理机制。
RMON会降低管理器与设备之间的流量，因为SNMP管理器不必频繁地轮询设备来获得信息；而且能使管理器及时地获得状态报告，因为设备会在事件发生时进行报告。
有了这一功能，您可以执行以下操作： •查看当前的统计信息（从计数器值被清除的时间起）。
您还可以收集这些计数器在一段时间内的值，然后查看列出所收集数据的表格，其中每个收集的数据集都是历史选项卡里的一行。
•对计数器值定义有意义的更改，例如“滞后冲突达到一定数量”（定义告警），然后指定发生该事件后执行什么操作（记录、发送Trap或记录并发送Trap）。
思科200系列智能型交换机管理指南 18 状态和统计信息 RMON
3 RMON统计信息 “统计信息”页面显示关于数据包大小的详细信息和关于物理层错误的信息。
显示的信息基于RMON标准。
过大的数据包定义为满足以下条件的以太网帧： •数据包长度大于MRU字节大小。
•尚未检测冲突事件。
•尚未检测延时冲突事件。
•尚未检测Rx错误事件。
•数据包具有有效的CRC。
查看RMON统计信息和/或设置刷新速率的步骤：步骤1单击状态和统计信息>RMON>统计信息。
步骤2选择要显示以太网统计信息的接口。
步骤3选择刷新速率，即刷新接口统计信息的间隔时间。
系统会针对选定接口显示以下统计信息。
•已接收的字节数-接收的八位字节数，包括坏数据包和FCS八位字节数，但不包括帧位。
•丢弃事件-丢弃的数据包。
•已接收的数据包-接收的正常数据包，包括组播数据包和广播数据包。
•已接收的广播数据包数-接收到的正常广播数据包数。
该数量不包括组播数据包。
•已接收的组播数据包数-接收到的正常组播数据包数。
•CRC和Align错误数-发生的CRC和Align错误数。
•过小数据包数-接收的大小不足（小于64八位字节）的数据包数。
•过大数据包数-接收的大小过大（大于2000八位字节）的数据包数。
•分片数-接收的片段（小于64八位字节的数据包，不包括帧位，但包括FCS八位字节）数。
•超时发送帧数-接收的大于1632八位字节的数据包数。
该数量不包括帧位，但包括具有整数数量八位字节（FCS错误）的坏FCS（帧校验序列）或具有非整数八位字节（校正误差）的坏FCS的FCS八位字节数。
超时发送帧数据包定义为满足以下条件的以太网帧：-数据包数据长度大于MRU。
-数据包具有无效的CRC。
-尚未检测Rx错误事件。
思科200系列智能型交换机管理指南 19 状态和统计信息 RMON
3 •冲突数-接收的冲突数。
如果启用了巨型帧，超时发送帧的阈值将提升为巨型帧的最大大小。
•64字节的帧数-接收的包含64字节的帧数。
•65至127字节的帧数-接收的包含65-127字节的帧数。
•128至255字节的帧数-接收的包含128-255字节的帧数。
•256至511字节的帧数-接收的包含256-511字节的帧数。
•512至1023字节的帧数-接收的包含512-1023字节的帧数。
•超过1024字节的帧数-接收的包含1024-2000字节的帧和巨型帧的数量。
清除统计信息计数器的步骤：•单击清除接口计数器清除选定的接口计数器。
•单击查看所有接口统计信息，在单个页面中查看所有端口。
RMON历史 RMON功能可以监控每个接口的统计信息。
“历史控制表”页面可定义取样频率、要存储的样本数量以及要从中收集数据的端口。
数据经过取样和存储后，将显示在“历史表”页面中，可通过单击历史表进行查看。
输入RMON控制信息的步骤：步骤1单击状态和统计信息>RMON>历史。
此页面上显示的字段在下面的“添加RMON历史”页面中定义。
在此页面中定义而不在“添加”页面中定义的唯一一个字段就是： •当前的样本数-标准允许RMON不授予所有请求的样本，而是限制每个请求的样本数。
因此，该字段表示实际授予请求的样本数，等于或小于请求的值。
步骤2单击添加。
步骤3输入参数。
•新历史条目-显示新的历史表条目的数量。
•源接口-选择从中捕获历史记录样本的接口类型。
•保存的最大样本数-输入要存储的样本数。
•取样间隔-输入以秒表示的从端口收集样本的时间间隔。
该字段的范围是1-3600。
思科200系列智能型交换机管理指南 20 状态和统计信息 RMON
3 •所有者-输入请求RMON信息的RMON站或用户。
步骤4单击应用。
条目将添加到“历史控制表”页面中，然后当前配置文件会更新。
步骤5单击历史表（如下所述）查看实际统计信息。
RMON历史表 “历史表”页面显示特定于接口的统计性网络样本。
该样本在上述历史控制表中配置。
查看RMON历史统计信息的步骤：步骤1单击状态和统计信息>RMON>历史。
步骤2单击历史表。
步骤3从历史条目编号下拉菜单中，选择要显示的样本条目数（可选）。
系统会针对选定样本显示以下字段。
•所有者-历史记录表条目所有者。
•取样编号-从该样本中抽取的统计信息。
•丢弃事件-在取样间隔中由于缺少网络资源而删除的数据包数。
它可能不表示删除的数据包的精确数量，而是表示检测到的数据包丢弃次数。
•已接收的字节数-接收的八位字节数，包括坏数据包和FCS八位字节数，但不包括帧位。
•已接收的数据包数-接收的数据包数，包括坏数据包、组播数据包和广播数据包。
•广播数据包数-正常广播数据包数（不包括组播数据包）。
•组播数据包数-接收到的正常组播数据包数。
•CRCAlign错误数-发生的CRC和Align错误数。
•过小数据包数-接收的大小不足（小于64八位字节）的数据包数。
•过大数据包数-接收的大小过大（大于2000八位字节）的数据包数。
•分片数-接收的片段（小于64八位字节的数据包）数，不包括帧位，但包括FCS八位字节。
•超时发送帧数-接收的大于2000八位字节的数据包总数。
该数量不包括帧位，但包括具有整数数量八位字节（FCS错误）的坏FCS（帧校验序列）或具有非整数八位字节（校正误差）的坏FCS的FCS八位字节数。
•冲突数-接收的冲突数。
•利用率-当前接口流量相对于该接口可以处理的最大流量的百分比。
思科200系列智能型交换机管理指南 21 状态和统计信息 RMON
3 RMON事件控制您可以控制触发告警情况的发生和出现的通知类型。
此执行过程如下所示：•事件页面-配置触发告警时发生的事件。
可以是记录和Trap的任意组合。
•告警页面-配置触发告警的情况。
定义RMON事件的步骤：步骤1单击状态和统计信息>RMON>事件。
该页面显示以前定义的事件。
此页面上的字段通过“添加RMON事件”对话框定义，但“时间”字段除外。
•时间-显示事件发生的时间。
（这是位于父窗口的只读表，不能对其进行定义）。
步骤2单击添加。
步骤3输入参数。
•事件条目-显示新条目的事件条目索引号。
•说明-为该事件输入名称。
该名称将用于在“添加RMON告警”页面中为事件附加告警。
•通知类型-选择此事件将引发的操作的类型。
可选择以下值： -无-告警消失时不执行操作。
-日志(事件日志表)-触发告警时向事件日志表添加一条日志条目。
-Trap(SNMP管理器和系统日志服务器)-告警消失时向远程日志服务器发送Trap。
-日志和Trap-告警消失时向事件日志表添加一条日志条目并向远程日志服务器发送Trap。
•所有者-输入定义该事件的设备或用户。
步骤4单击应用。
RMON事件将保存至当前配置文件中。
步骤5单击事件日志表，显示已经出现和已经记录的告警日志（请参阅下面的说明）。
思科200系列智能型交换机管理指南 22 状态和统计信息 RMON
3 RMON事件日志 “事件日志表”页面会显示发生的事件（操作）的日志。
可记录两种事件：日志或日志和Trap。
当事件与告警（请参阅“告警”页面）绑定，并达到了告警的条件时，系统会执行事件中的操作。
步骤1单击状态和统计信息>RMON>事件。
步骤2单击事件日志表。
此页面显示了以下字段：•事件条目编号-事件的日志条目编号。
•日志编号-（事件中的）日志编号。
•日志时间-输入该日志条目的时间。
•说明-触发告警的事件说明。
RMON告警 RMON告警提供了一种机制，可用于设置阈值和取样间隔，以在计数器或代理维护的任何其他SNMP对象计数器上生成异常事件。
告警中必须配置上限阈值与下限阈值。
超过上限阈值后，不会再生成上升事件，直到超过了伴随的下限阈值。
发出下降告警后，系统会在超过上限阈值时发出下一个告警。
一个或多个告警绑定至事件，表明告警发生时会采取的措施。
可以通过绝对值或计数器值中的变化（差值）来监控告警计数器。
输入RMON告警的步骤：步骤1单击状态和统计信息>RMON>告警。
此时系统会显示以前定义的所有告警。
字段将在下面的“添加RMON告警”页面中进行说明。
除这些字段之外，系统还会显示以下字段： •计数器值-显示最近一次取样周期中的统计信息值。
步骤2单击添加。
步骤3输入参数。
•告警条目编号-显示告警条目编号。
•接口-选择要显示其RMON统计信息的接口的类型。
•计数器名称-选择指示衡量事件类型的MIB变量。
思科200系列智能型交换机管理指南 23 状态和统计信息查看日志
3 •计数器值-发生的次数。
•样本类型-选择用于生成告警的取样方法。
选项如下： -绝对值-如果超过了阈值，则生成告警。
-差值-从当前值中减去上次取样的值，系统会将差值与阈值进行比较。
如果超过了阈值，则生成告警。
•上限阈值-输入触发上限阈值告警的值。
•上升事件-选择触发上升事件时要执行的事件。
事件将在“事件”页面中创建。
•下限阈值-输入触发下限阈值告警的值。
•下降事件-选择触发下降事件时要执行的事件。
•启动告警-选择启动告警生成的第一个事件。
上升被定义为从低阈值向较高阈值变化的行为。
-上升告警-上升值触发上限阈值告警。
-下降告警-下降值触发下限阈值告警。
-上升和下降-上升值和下降值都触发该告警。
•间隔-输入以秒表示的告警间隔。
•所有者-输入接收该告警的用户或网络管理系统的名称。
步骤4单击应用。
RMON告警将保存至当前配置文件中。
查看日志请参阅查看内存日志。
思科200系列智能型交换机管理指南 24
4 管理：系统日志本节介绍系统记录功能。
通过此功能，设备可以生成多个独立的日志。
每个日志是一组描述系统事件的消息。
设备可生成以下本地日志： •将日志发送至Console接口。
•写入到RAM中的记录事件循环列表中的日志，重启设备会将其擦除。
•写入到保存至闪存的循环日志文件的日志，重启不会将其擦除。
此外，还可以通过SNMPTrap和系统日志消息的形式将消息发送到远程系统日志服务器上。
本节包含以下小节：•设置系统日志设置•设置远程记录设置•查看内存日志设置系统日志设置可以按严重性级别选择要记录的事件。
系统以在严重性级别首字母两侧加上破折号(-)的方式标记每则日志消息的严重性级别（紧急除外，其以字母F表示）。
例如，日志消息“%INIT-I-InitCompleted:…”的严重性级别为
I，表示报告。
下面按照从高到低的顺序列出了事件的严重性级别： •紧急-系统无法使用。
•警报-需要采取措施。
•严重-系统处于高危状态。
•错误-系统出错。
•警告-系统已发出警告。
思科200系列智能型交换机管理指南 25 管理：系统日志设置系统日志设置
4 •注意-系统能够正常工作，但系统已发出通知。
•报告-设备信息。
•调试-提供关于事件的详情。
可以为RAM日志和闪存日志选择不同的严重性级别。
这些日志将分别在RAM内存页面和闪存页面中显示。
选择要存储在日志中的严重性级别后，此级别以上的所有事件都会自动存储在日志中。
而此级别以下的事件则不会存储在日志中。
例如，如果选择了警告，则会将严重性级别为警告及更高（即严重性级别为“紧急”、“警报”、“严重”、“错误”和“警告”）的所有事件存储在日志中。
但是不会存储严重性级别低于警告（即严重性级别为“注意”、“报告”和“调试”）的事件。
设置全局日志参数的步骤：步骤1单击管理>系统日志>日志设置。
步骤2输入参数。
•记录-选择该选项将启用消息记录。
•系统日志聚合-选择该选项可启用系统日志消息和Trap汇总。
如果启用了该选项，将会汇总最大聚合时间内的相同和相邻的系统日志消息及Trap，并会通过一则消息将汇总后的结果发出。
将按照消息的到达顺序发送汇总后的消息。
每则消息都会注明已汇总的次数。
•最大聚合时间-输入汇总系统日志消息的时间间隔。
•发起人标识符-可将发起人标识符添加到系统日志消息。
选项如下：-无-系统日志消息中不包含发起人标识符。
-主机名-系统日志消息中包含系统主机名。
-IPv4地址-系统日志消息中包含发送接口的IPv4地址。
-IPv6地址-系统日志消息中包含发送接口的IPv6地址。
-用户定义-输入一个说明，并将其包含在系统日志消息中。
•RAM内存记录-选择要记录到RAM中的消息的严重性级别。
•闪存记录-选择要记录到闪存中的消息的严重性级别。
步骤3单击应用。
将更新当前配置文件。
思科200系列智能型交换机管理指南 26 管理：系统日志设置远程记录设置
4 设置远程记录设置使用“远程日志服务器”页面可定义向其发送日志消息的远程系统日志服务器。
可以为每个服务器配置其所接收消息的严重性级别。
定义系统日志服务器的步骤：步骤1单击管理>系统日志>远程日志服务器。
步骤2输入以下字段：•IPv4源接口-选择其IPv4地址将在发送给系统日志服务器的系统日志消息中用作IPv4地址的源接口。
•IPv6源接口-选择其IPv6地址将在发送给系统日志服务器的系统日志消息中用作IPv6地址的源接口。
注如果已选择“自动”选项，系统将使用传出接口上定义的IP地址的源IP地址。
系统将显示之前配置的每个日志服务器的信息。
字段将在下面的添加页面中进行说明。
步骤3单击添加。
步骤4输入参数。
•服务器定义-选择是按照IP地址还是按照名称来识别远程日志服务器。
•IP版本-选择支持的IP格式。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口（如果选择的IPv6地址类型为“链路本地”）。
•日志服务器IP地址/名称-输入日志服务器的IP地址或域名。
•UDP端口-输入要向其发送日志消息的UDP端口。
•设备-选择从其将系统日志发送给远程服务器的设备值。
只能为服务器指定一个设备值。
如果指定第二个设备代码，其将覆盖第一个设备值。
•说明-输入服务器说明。
•最低严重程度-选择要发送到服务器的系统日志消息的最低严重性级别。
步骤5单击应用，将会关闭“添加远程日志服务器”页面，添加系统日志服务器，并更新当前配置文件。
思科200系列智能型交换机管理指南 27 管理：系统日志查看内存日志
4 查看内存日志设备可以写入以下日志：•RAM中的日志（在重启过程中被清除）。
•闪存中的日志（只能由用户使用指令来清除）。
您可以按严重性配置写入到每个日志的消息，而一则消息可以被写入到多个日志，包括存放在外部系统日志服务器上的日志。
RAM内存 RAM内存页面会按时间先后顺序显示保存到RAM（缓存）中的所有消息。
系统会根据“日志设置”页面中的配置将这些条目存储到RAM日志中。
要查看日志条目，请单击状态和统计信息>查看日志>RAM内存。
页面顶部有一个按钮，您可以使用该按钮禁用警报图标闪烁。
单击该按钮可在禁用和启用间进行切换。
当前记录阈值用于指定所生成的记录等级。
您可以通过单击字段名称旁边的编辑进行更改。
此页面包含每个日志文件的以下字段： •日志索引-日志条目编号。
•日志时间-消息生成的时间。
•严重程度-事件严重性。
•说明-描述事件的消息文本。
若要清除日志消息，请单击清除日志。
消息即被清除。
闪存闪存页面会按时间先后顺序显示存储在闪存中的消息。
所记录事件的最低严重程度在“日志设置”页面中配置。
设备重启时，闪存日志会保留。
您可以手动清除这些日志。
要查看闪存日志，请单击状态和统计信息>查看日志>闪存。
当前记录阈值用于指定所生成的记录等级。
您可以通过单击字段名称旁边的编辑进行更改。
思科200系列智能型交换机管理指南 28 管理：系统日志查看内存日志此页面包含每个日志文件的以下字段：•日志索引-日志条目编号。
•日志时间-消息生成的时间。
•严重程度-事件严重性。
•说明-描述事件的消息文本。
若要清除消息，请单击清除日志。
消息即被清除。

4 思科200系列智能型交换机管理指南 29
5 管理：文件管理本节介绍系统文件的管理方式。
其中包括以下主题： •系统文件•升级/备份固件/语言•下载/备份配置/日志•配置文件属性•复制/保存配置•通过DHCP进行自动配置/映像更新系统文件系统文件是指包含配置信息、固件映像或引导代码的文件。
通过这些文件可进行各种操作，例如：选择用于设备引导的固件文件，在设备内部复制不同类型的配置文件，或在设备和外部设备（例如外部服务器）之间复制文件。
可用的文件传输方法有以下几种： •内部复制•使用浏览器提供的工具的HTTP/HTTPS•TFTF/SCP客户端（需要TFTP/SCP服务器）设备上的配置文件由其类型定义，文件中包含设备的设置和参数值。
在设备上参考配置时，会依据其配置文件类型（例如：启动配置或当前配置）而非可由用户修改的文件名进行参考。
可以将内容从一种配置文件类型复制到另一种配置文件类型，但用户无法更改文件类型名称。
思科200系列智能型交换机管理指南 30 管理：文件管理系统文件
5 设备上的其他文件包括固件、引导代码和日志文件，这些文件称为工作文件。
配置文件是文本文件，将其复制到外部设备（例如PC）后，可在文本编辑器（例如记事本）中对其进行编辑。
文件和文件类型在设备上可以找到以下类型的配置和工作文件：•当前配置-包含当前设备工作所使用的参数。
当您在设备上更改参数值时只会修改这种类型的文件。
如果重启设备，当前配置将会丢失。
存储在闪存中的启动配置将覆盖存储在RAM中的当前配置。
要保留对设备所做的任何更改，您必须将当前配置保存到启动配置或其他文件类型。
•启动配置-通过将其他配置（通常为当前配置）复制到启动配置而保存的参数值。
启动配置保留在闪存中，并且在设备重启后会保留。
这时，系统会将启动配置复制到RAM中并将其标识为当前配置。
•镜像配置-在下述情况下，由设备创建的启动配置副本：-设备已连续工作24小时。
-在过去的24小时内没有对当前配置进行任何配置更改。
-启动配置与当前配置一致。
只有系统能够将启动配置复制到镜像配置。
但是，系统可以将镜像配置复制到其他文件类型或其他设备。
可在“配置文件属性”页面禁用自动将当前配置复制到镜像配置的选项。
•备份配置-用于系统关机保护或特定工作状态维护的配置文件手动副本。
可以将镜像配置、启动配置或当前配置复制到备份配置文件。
备份配置存放在闪存中，并且当设备重启时会保留。
•固件-可控制设备的操作和功能的程序。
更多时候被称为映像。
•Boot代码-控制基本系统启动及启动固件映像。
•语言文件-能够使基于Web的配置实用程序窗口以选定语言显示的字典。
•闪存日志-存储在闪存中的系统日志消息。
文件操作可以执行以下操作来管理固件和配置文件：•按升级/备份固件/语言一节中所述升级固件或引导代码，或者更换第二语言。
•按下载/备份配置/日志一节中所述将设备上的配置文件保存到其他设备上的位置。
•按配置文件属性一节中所述清除启动配置或备份配置文件类型。
思科200系列智能型交换机管理指南 31 管理：文件管理升级/备份固件/语言
5 •按复制/保存配置一节中所述将一种配置文件类型复制到另一种配置文件类型。
•按通过DHCP进行自动配置/映像更新一节中所述启用将配置文件从DHCP服务器自动上传到设备的功能。
本节包含以下主题： •升级/备份固件/语言•下载/备份配置/日志•配置文件属性•复制/保存配置•通过DHCP进行自动配置/映像更新升级/备份固件/语言升级/备份固件/语言流程可用于：•升级或备份固件映像。
•升级或备份引导代码。
•导入或升级第二语言文件。
支持以下文件传输方法：•使用浏览器提供的工具的HTTP/HTTPS•TFTP（需要TFTP服务器）•需要SCP服务器的安全复制协议(SCP) 如果将新语言文件加载到了设备上，便可以从下拉菜单中选择这种新语言。
（无需重启设备）。
设备上将存储一个单独的固件映像。
操作人员将新固件成功载入到设备之后，在此新固件生效之前必须重启设备。
“摘要”页面在重启之前将继续显示上一映像。
升级/备份固件或语言文件升级或备份软件映像或语言文件的步骤：步骤1单击管理>文件管理>升级/备份固件/语言。
步骤2单击“传输方法”。
按以下步骤进行：思科200系列智能型交换机管理指南 32 管理：文件管理升级/备份固件/语言
5 •如果选择了TFTP，则转至步骤
3。
•如果选择了通过HTTP/HTTPS，则转至步骤
4。
•如果选择了通过SCP，则转至步骤
5。
步骤3如果选择了通过TFTP，请按本步骤中所述输入参数。
否则，请跳至步骤
4。
请选择以下保存操作之一： •升级-指定将使用TFTP服务器上新版本的文件类型替换设备上的该文件类型。
•备份-指定将文件类型副本保存至另一台设备上的文件。
输入以下字段：•文件类型-选择目的文件类型。
只会显示有效的文件类型。
（文件类型在文件和文件类型一节中做了说明）。
•TFTP服务器定义-选择是按照IP地址还是按照名称来指定TFTP服务器。
•IP版本-选择使用IPv4还是IPv6地址。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下： -链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口（如果使用IPv6）。
•TFTP服务器IP地址/名称-输入TFTP服务器的IP地址或名称。
•（用于升级）源文件名-输入源文件的名称。
•（用于备份）目的文件名-输入备份文件的名称。
步骤4如果选择了通过HTTP/HTTPS，则只能选择保存操作：升级。
按照本步骤中所述输入参数。
•文件类型-选择以下文件类型之一：-固件映像-选择它可升级固件映像。
-语言文件-选择它可升级语言文件。
•文件名-单击浏览选择文件或输入要在传输中使用的路径和源文件名。
步骤5如果选择了通过SCP(藉由SSH)，请参阅SSH客户端验证以了解说明。
然后输入以下字段：（仅对独有的字段进行说明，对于非独有字段，请参阅上述说明）思科200系列智能型交换机管理指南 33 管理：文件管理升级/备份固件/语言
5 •远程SSH服务器验证-要启用SSH服务器验证（默认情况下为禁用），请单击编辑。
系统将转到SSH服务器验证页面以配置SSH服务器，然后再返回本页面。
使用SSH服务器验证页面可选择SSH用户验证方法（密码或公共/专用密钥），在设备上设置用户名和密码（如果已选中密码方法），以及根据需要生成RSA或DSA密钥。
SSH客户端验证-可通过以下方式进行客户端验证： •使用SSH客户端系统凭证-设置永久性SSH用户凭证。
单击系统凭证可转至“SSH用户验证”页面，在该页面设置一次用户/密码即可供日后永久性使用。
•使用SSH客户端一次性凭证-输入以下内容：-用户名-为该复制操作输入用户名。
-密码-为该副本输入密码。
注一次性凭证的用户名和密码将不会保存在配置文件中。
请选择以下保存操作之一： •升级-指定将使用TFTP服务器上新版本的文件类型替换设备上的该文件类型。
•备份-指定将文件类型副本保存至另一台设备上的文件。
输入以下字段： •文件类型-选择目的文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
•SCP服务器定义-选择是按照IP地址还是按照域名来指定SCP服务器。
•IP版本-选择使用IPv4还是IPv6地址。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPv6类型，可从其他网络查看和访问。
•链路本地接口-从列表中选择链路本地接口。
•SCP服务器IP地址/名称-输入SCP服务器的IP地址或域名。
•（用于升级）源文件名-输入源文件的名称。
•（用于备份）目的文件名-输入备份文件的名称。
步骤6单击应用。
如果文件、密码和服务器地址正确，会出现以下其中一种结果：思科200系列智能型交换机管理指南 34 管理：文件管理下载/备份配置/日志
5 •如果已启用SSH服务器验证（在“SSH服务器验证”页面）且SCP服务器处于受信状态，则该操作便会成功。
如果SCP服务器处于非受信状态，则该操作将失败并显示错误。
•如果未启用SSH服务器验证，则该操作针对任何SCP服务器都会成功。
下载/备份配置/日志通过“下载/备份配置/日志”页面，可实现以下操作：•将配置文件或日志从设备备份到外部设备中。
•将配置文件从外部设备还原到设备中。
将配置文件还原至当前配置时，导入的文件会添加旧文件中不存在的任何配置命令，并覆盖现有配置命令中的所有参数值。
将配置文件还原至启动配置或备份配置文件时，新文件会替换旧文件。
还原至启动配置时，必须重启设备，才能将还原的启动配置作为当前配置使用。
可以使用管理接口一节中介绍的流程重启设备。
配置文件向后兼容性将配置文件从外部设备还原到设备时，如果设备和新配置文件中的系统模式不同，则可能会出现兼容性问题。
此时： •如果配置文件已下载到设备中（使用“下载/备份配置/日志”页面），操作将中止，并且将显示一条消息，表示必须在“系统设置”页面更改系统模式。
•如果配置文件已在自动配置过程中下载，将删除启动配置文件，且设备会在新的系统模式下自动重启。
将使用空的配置文件配置设备。
下载或备份配置或日志文件备份或还原系统配置文件的步骤：步骤1单击管理>文件管理>下载/备份配置/日志。
步骤2选择传输方法。
步骤3如果选择了通过TFTP，请输入参数。
否则，请跳至步骤
4。
思科200系列智能型交换机管理指南 35 管理：文件管理下载/备份配置/日志
5 选择下载或备份作为保存操作。
下载-指定将使用其他设备上的文件替换本设备上的文件类型。
输入以下字段： a.TFTP服务器定义-选择是按照IP地址还是按照域名来指定TFTP服务器。
b.IP版本-选择使用IPv4还是IPv6地址。
注如果在“服务器定义”中按照名称选择了服务器，则无需选择与IP版本相关的选项。
c.IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
d.链路本地接口-从列表中选择链路本地接口。
e.TFTP服务器IP地址/名称-输入TFTP服务器的IP地址或名称。
f.源文件名-输入源文件名。
文件名不能包含斜线（\或/），不能以句点(.)开头，且包含的字符数必须在1到160之间。
（有效字符为：A-Z、a-z、0-
9、"."、"-"、"_"）。
g.目的文件类型-输入目的配置文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
备份-指定要复制到其他设备上的某个文件的文件类型。
输入以下字段： a.TFTP服务器定义-选择是按照IP地址还是按照域名来指定TFTP服务器。
b.IP版本-选择使用IPv4还是IPv6地址。
c.IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：•链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
•全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
d.链路本地接口-从列表中选择链路本地接口。
e.TFTP服务器IP地址/名称-输入TFTP服务器的IP地址或名称。
f.源文件类型-输入源配置文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
g.敏感数据-选择应如何将敏感数据包含在备份文件中。
可能的选项有：-排除-不将敏感数据包含在备份中。
思科200系列智能型交换机管理指南 36 管理：文件管理下载/备份配置/日志
5 -加密-将敏感数据以加密的形式包含在备份中。
-明文模式-将敏感数据以明文模式包含在备份中。
注可用的敏感数据选项由当前用户的SSD规则决定。
有关详情，请参阅“安全敏感数据管理>SSD规则”页面。
h.目的文件名-输入目的文件名。
文件名不能包含斜线（\或/）、文件名的首字母不能为句点(.)，且文件名的字符数必须在1到160之间。
（有效字符为：A-Z、a-z、0-
9、"."、"-"、"_"）。
i.单击应用。
将升级或备份该文件。
步骤4如果选择了通过HTTP/HTTPS，请按本步骤中所述输入参数。
选择保存操作。
如果保存操作为下载（用其他设备上的新版本替换设备上的文件），请执行以下操作。
否则，请执行本步骤中的下一个操作。
a.源文件名-单击浏览选择文件或输入要在传输中使用的路径和源文件名。
b.目的文件类型-选择配置文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
c.单击应用。
将从其他设备将该文件传输到本设备上。
如果保存操作为备份（将文件复制到其他设备中），请执行以下操作： a.源文件类型-选择配置文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
b.敏感数据-选择应如何将敏感数据包含在备份文件中。
可能的选项有： -排除-不将敏感数据包含在备份中。
-加密-将敏感数据以加密的形式包含在备份中。
-明文模式-将敏感数据以明文模式包含在备份中。
注可用的敏感数据选项由当前用户的SSD规则决定。
有关详情，请参阅“安全敏感数据管理>SSD规则”页面。
c.单击应用。
将升级或备份该文件。
步骤5如果选择了通过SCP（藉由SSH），请参阅GUI中的SSH客户端配置以了解说明。
然后输入以下字段： •远程SSH服务器验证-要启用SSH服务器验证（默认情况下为禁用），请单击编辑，它会将您带到SSH服务器验证页面以配置服务器，然后再返回该页面。
使用SSH服务器验证页面可选择SSH用户验证方法（密码或公共/专用密钥），在设备上设置用户名和密码（如果已选中密码方法），以及根据需要生成RSA或DSA密钥。
思科200系列智能型交换机管理指南 37 管理：文件管理下载/备份配置/日志
5 SSH客户端验证-可通过以下方式进行客户端验证：•使用SSH客户端系统凭证-设置永久性SSH用户凭证。
单击系统凭证可转至“SSH用户验证”页面，在该页面设置一次用户/密码即可供日后永久性使用。
•使用SSH客户端一次性凭证-输入以下内容：-用户名-为该复制操作输入用户名。
-密码-为该副本输入密码。
•保存操作-选择是备份还是还原系统配置文件。
•SCP服务器定义-选择是按照IP地址还是按照域名来指定SCP服务器。
•IP版本-选择使用IPv4还是IPv6地址。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下： -链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口。
•SCP服务器IP地址/名称-输入SCP服务器的IP地址或名称。
如果保存操作为下载（用其他设备上的新版本替换本设备上的文件），请输入以下字段。
•源文件名-输入源文件的名称。
•目的文件类型-选择配置文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
如果保存操作为备份（将文件复制到其他设备中），请输入以下字段（除应输入以上列出的那些字段外）：•源文件类型-选择配置文件类型。
只会显示有效的文件类型。
（这些文件类型在文件和文件类型一节中做了说明）。
•敏感数据-选择应如何将敏感数据包含在备份文件中。
可能的选项有：-排除-不将敏感数据包含在备份中。
-加密-将敏感数据以加密的形式包含在备份中。
-明文模式-将敏感数据以明文模式包含在备份中。
注可用的敏感数据选项由当前用户的SSD规则决定。
有关详情，请参阅“安全敏感数据管理>SSD规则”页面。
思科200系列智能型交换机管理指南 38 管理：文件管理配置文件属性 •目的文件名-复制操作的目标文件的名称。
步骤6单击应用。
将升级或备份该文件。

5 配置文件属性 “配置文件属性”页面显示各种系统配置文件的创建时间。
通过它还可以删除启动配置和备份配置文件。
您无法删除其他配置文件类型。
要对是否创建镜像配置文件进行设置，请清除配置文件并查看配置文件的创建时间：步骤1单击管理>文件管理>配置文件属性。
此页面显示了以下字段： •配置文件名称-系统文件类型。
•创建时间-文件的修改日期和时间。
步骤2如有必要，禁用自动镜像配置。
这将禁止自动创建镜像配置文件。
禁用该功能后，系统将删除镜像配置文件（如有）。
请参阅系统文件以了解镜像文件的说明以及可能需要自动创建镜像配置文件的原因。
步骤3如有必要，选择启动配置或备份配置或同时选中两者，然后单击清除文件以删除这些文件。
复制/保存配置在任意窗口上单击应用，仅会将设备配置设置的更改存储在当前配置中。
要保留当前配置中的参数，必须将当前配置复制到其他配置类型或保存到其他设备上。
!
注意除非将当前配置复制到启动配置或其他配置文件，否则自上次复制文件后所做的所有更改将会在设备重启后全部丢失。
思科200系列智能型交换机管理指南 39 管理：文件管理通过DHCP进行自动配置/映像更新
5 允许以下内部文件类型复制组合：•从当前配置到启动配置或备份配置。
•从启动配置到当前配置、启动配置或备份配置。
•从备份配置到当前配置、启动配置或备份配置。
•从镜像配置到当前配置、启动配置或备份配置。
将一种类型的配置文件复制到另一种类型的配置文件的步骤：步骤1单击管理>文件管理>复制/保存配置。
步骤2选择要复制的源文件名。
仅显示有效的文件类型（这些文件类型在文件和文件类型
一节中做了说明）。
步骤3选择将由源文件覆盖的目的文件名。
步骤4如果您要备份某个配置文件，请选择敏感数据选项，然后为该备份文件选择以下一种格式。
-排除-敏感数据将不包含在备份文件中。
-加密-敏感数据将以加密的形式包含在备份文件中。
-明文模式-敏感数据将以纯文本形式包含在备份文件中。
注可用的敏感数据选项由当前用户的SSD规则决定。
有关详情，请参阅“安全敏感数据管理>SSD规则”页面。
步骤5保存图标闪烁字段将表明在有未保存的数据时图标是否会闪烁。
要禁用/启用该功能，可单击禁用/启用保存图标闪烁。
步骤6单击应用。
文件将被复制。
通过DHCP进行自动配置/映像更新自动配置/映像更新功能提供了一种在网络中自动配置CiscoSmallBusiness200、300和500交换机以及升级其固件的便捷方法。
通过该过程，管理员可以在网络中远程确保这些设备的配置和固件为最新。
此功能包含以下部分： •自动映像更新-自动从远程TFTP/SCP服务器下载固件映像。
自动配置/映像更新过程结束时，设备将使用该固件映像自动重启。
思科200系列智能型交换机管理指南 40 管理：文件管理通过DHCP进行自动配置/映像更新
5 •自动配置-自动从远程TFTP/SCP服务器下载配置文件。
自动配置/映像更新过程结束时，设备将使用该配置文件自动重启。
注如果同时请求自动映像更新和自动配置，系统将先执行自动映像更新，然后在重启后执行自动配置，再执行最终重启。
要使用此功能，请使用设备的配置文件和固件映像的位置和名称，在网络中配置DHCP服务器。
设备在网络中默认配置为DHCP客户端。
当DHCP服务器为设备分配IP地址时，设备还会收到有关配置文件和固件映像的信息。
如果配置文件和/或固件映像与设备上当前使用的文件和/或映像不同，设备会在下载文件和/或映像后自动重启。
本节将介绍这些过程。
除了可以在网络中让设备的配置文件和固件映像保持最新以外，自动更新/配置功能还可以在网络中快速安装新设备，因为开箱即用设备配置为从网络检索其配置文件和软件映像，而无需系统管理员进行任何手动干预。
设备首次向DHCP服务器申请IP地址时，会下载DHCP服务器指定的配置文件和/或映像，并使用这些文件和/或映像自动重启。
在自动配置过程中可以使用安全复制协议(SCP)和安全敏感数据(SSD)功能下载含有敏感信息（例如RADIUS服务器密钥和SSH/SSL密钥）的配置文件（请参阅SSH客户端验证和安全：安全敏感数据管理）。
下载协议（TFTP或SCP）配置文件和固件映像可以从TFTP或SCP服务器下载。
用户可对要使用的协议进行如下配置： •按文件扩展名自动执行-（默认）如果选择了该选项，用户定义的文件扩展名表示带有此扩展名的文件将使用SCP（藉由SSH）下载，而带有其他扩展名的文件将使用TFTP下载。
例如，如果指定的文件扩展名为.xyz，则可使用SCP下载带有.xyz扩展名的文件，而带有其他扩展名的文件可使用TFTP下载。
默认扩展名为.scp。
•仅TFTP-无论配置文件名的文件扩展名是什么，都通过TFTP进行下载。
•仅SCP-无论配置文件名的文件扩展名是什么，都通过SCP（藉由SSH）进行下载。
SSH客户端验证 SCP基于SSH。
默认情况下，禁用远程SSH服务器验证，因此，设备将接受任何开箱使用的远程SSH服务器。
您可以启用远程SSH服务器验证，以便仅允许使用信任服务器列表中的服务器。
客户端（即设备）需要SSH客户端验证参数才能访问SSH服务器。
默认的SSH客户端验证参数为： •SSH验证方法：按用户名/密码 •SSH用户名：anonymous •SSH密码：anonymous 注当手动下载文件（即未通过DHCP自动配置/映像更新功能进行的下载）时，也可使用SSH客户端验证参数。
思科200系列智能型交换机管理指南 41 管理：文件管理通过DHCP进行自动配置/映像更新
5 自动配置/映像更新过程 DHCP自动配置功能使用所接收DHCP消息中的配置服务器名称/地址和配置文件名/路径（如果有）。
此外，DHCP映像更新使用消息中的固件间接文件名（如果有）。
在来自DHCPv4服务器的Offer消息和来自DHCPv6服务器的信息应答消息中，这些信息会被指定为DHCP选项。
如果在DHCP服务器消息中找不到这些信息，系统将使用在“DHCP自动配置/映像更新”页面中配置的备份信息。
当触发自动配置/映像更新过程后（请参阅自动配置/映像更新的触发），会按顺序发生下述事件。
自动映像更新开始： •交换机使用来自所接收DHCP消息中的选项125(DHCPv4)和选项60(DHCPv6)（如果有）的间接文件名。
•如果DHCP服务器未发送固件映像文件的间接文件名，系统将使用“备份间接映像文件名”（来自“DHCP自动配置/映像更新”页面）。
•交换机将下载间接映像文件，并从中提取TFTP/SCP服务器的映像文件名。
•交换机会将TFTP服务器映像文件的版本与交换机活动映像的版本相比较。
•如果这两个版本不同，则将新版本载入非活动映像，然后执行重启，非活动映像将成为活动映像。
•使用SCP协议时，系统将生成系统日志消息，通知您重启即将开始。
•使用SCP协议时，系统将生成系统日志消息，确认自动更新过程已完成。
•使用TFTP协议时，系统日志消息通过复制过程生成。
自动配置开始： •设备使用来自所接收DHCP消息的TFTP/SCP服务器名称/地址和配置文件名/路径（DHCPv4选项：66、150和67；DHCPv6选项：59和60）（如果有）。
•如果DHCP服务器未发送这些信息，系统将使用“备份服务器IP地址/名称”和“备份配置文件名”（来自“DHCP自动配置/映像更新”页面）。
•如果新配置文件的名称与设备上之前使用的配置文件的名称不同，或设备从未进行过配置，系统将使用新配置文件。
•自动配置/映像更新过程结束时，设备将使用新配置文件重启。
•系统日志消息通过复制过程生成。
思科200系列智能型交换机管理指南 42 管理：文件管理通过DHCP进行自动配置/映像更新
5 缺失选项 •如果DHCP服务器未在DHCP选项中发送TFTP/SCP服务器地址，且备份TFTP/SCP服务器地址参数未配置，那么：-SCP-自动配置过程将停止。
-TFTP-设备将向其IP接口上的有限广播地址（针对IPv4）或ALLNODES地址（针对IPv6）发送TFTP请求消息，并使用第一个应答的服务器继续自动配置/映像更新过程。
下载协议选项 •选择复制协议(SCP/TFTP)，如下载协议（TFTP或SCP）中所述。
SCP •当使用SCP下载时，在以下任一情况下，设备将接受任何指定的SCP/SSH服务器（且不对其进行验证）：-SSH服务器验证过程为禁用状态。
SSH服务器验证在默认情况下为禁用状态，这样便可以为带有出厂默认配置的设备（例如开箱设备）下载配置文件。
-SSH服务器将在SSH信任服务器列表中配置。
如果已启用SSH服务器验证过程但在SSH信任服务器列表中未找到SSH服务器，则自动配置过程将停止。
•如果信息可用，系统将访问SCP服务器，以从中下载配置文件或映像。
自动配置/映像更新的触发满足以下条件时，会触发通过DHCPv4进行自动配置/映像更新的功能：•设备的IP地址在重启时动态分配或续订、通过管理操作显式续订或者由于租用到期而自动续订。
可以在“IPv4接口”页面激活显性续订。
•如果启用自动映像更新，当从DHCP服务器接收到间接映像文件名或已配置备份间接映像文件名时，将触发自动映像更新过程。
间接意味着这不是映像本身，而是包含映像路径名称的文件。
•如果启用自动配置，当从DHCP服务器接收到配置文件名或已配置备份配置文件名时，将触发自动配置过程。
满足以下条件时，会触发通过DHCPv6进行自动配置/映像更新的功能：•DHCPv6服务器向设备发送信息时。
这发生在以下情况下：-当一个启用了IPv6的接口被定义为DHCPv6无状态配置客户端时。
-收到来自服务器的DHCPv6消息时（例如，当您按“IPv6接口”页面上的重新启动按钮时）。
-设备刷新DHCPv6信息时。
思科200系列智能型交换机管理指南 43 管理：文件管理通过DHCP进行自动配置/映像更新
5 -在启用无状态DHCPv6客户端时重启设备后。
•DHCPv6服务器数据包中包含配置文件名选项时。
•当DHCP服务器提供间接映像文件名或已配置备份间接映像文件名时，将触发自动映像更新过程。
间接意味着这不是映像本身，而是包含映像路径名称的文件。
确保正确执行为确保自动配置/映像更新功能正常工作，请注意以下几点：•存放在TFTP/SCP服务器上的配置文件必须符合所支持配置文件的形式和格式要求。
在将文件加载到启动配置之前，会检查文件的形式和格式，但不会检查配置参数的有效性。
•在IPv4中，为确保设备在自动配置/映像更新过程中下载预期的配置和映像文件，建议始终为设备分配相同的IP地址。
这可以确保始终为设备分配相同的IP地址，并获取在自动配置/映像更新中使用的相同信息。
DHCP自动配置/映像更新可使用以下GUI页面配置设备：•管理>文件管理>DHCP自动配置/映像更新-将设备配置为DHCP客户端。
•管理>管理接口>IPv4接口（在第2层）或IP配置>IPv4管理和接口>IPv4接口（在第3层）-当设备处于第2层系统模式下时，通过DHCP续订IP地址。
默认设置和配置系统中存在以下默认设置：•自动配置处于启用状态。
•自动映像更新处于启用状态。
•设备作为DHCP客户端启用。
•远程SSH服务器验证为禁用状态。
开始自动配置/映像更新过程之前的准备工作要使用此功能，设备必须配置为DHCPv4或DHCPv6客户端。
在设备上定义的DHCP客户端类型与在设备上定义的接口类型相关联。
思科200系列智能型交换机管理指南 44 管理：文件管理通过DHCP进行自动配置/映像更新
5 服务器上的自动配置准备工作要准备DHCP和TFTP/SCP服务器，请进行以下操作： TFTP/SCP服务器 •将配置文件放置到工作目录下。
此文件可以通过从设备复制配置文件进行创建。
设备启动时，此文件将成为当前配置文件。
DHCP服务器使用以下选项配置DHCP服务器：•DHCPv4：-66（单个服务器地址）或150（服务器地址列表）-67（配置文件名称）•DHCPv6-选项59（服务器地址）-选项60（配置文件名加间接映像文件名，以逗号分隔）自动映像更新准备工作要准备DHCP和TFTP/SCP服务器，请进行以下操作： TFTP/SCP服务器
1.在主目录下创建一个子目录。
在其中放置软件映像文件。

2.创建包含固件版本的路径和名称的间接文件（例如，包含cisco\cisco-version.ros的indirect-cisco.txt）。

3.将此间接文件复制到TFTP/SCP服务器的主目录思科200系列智能型交换机管理指南 45 管理：文件管理通过DHCP进行自动配置/映像更新
5 DHCP服务器使用以下选项配置DHCP服务器•DHCPv4-选项125（间接文件名）•DHCPv6-选项60（配置文件名加间接映像文件名，以逗号分隔） DHCP客户端工作流程步骤1在“管理”>“文件管理”>“DHCP自动配置/映像更新”页面中，配置“自动配置”和/或“自动映像更新”参数。
步骤2在“管理”>“管理接口”>“IPv4接口”页面中，将“IP地址类型”设置为“动态”。
Web配置配置自动配置和/或自动更新的步骤：步骤1单击管理>文件管理>DHCP自动配置/映像更新。
步骤2输入值。
•通过DHCP自动配置-选择该字段可启用DHCP自动配置。
该功能在默认状态下为启用状态，但是可在此处禁用。
•下载协议-选择以下其中一种选项：-按文件扩展名自动执行-选择该选项可指示自动配置根据配置文件的扩展名使用TFTP或SCP协议。
如果选中该选项，则无需给出配置文件的扩展名。
如果未给出扩展名，则使用默认的扩展名（如下所示）。
-SCP的文件扩展名-如果选中按文件扩展名自动执行，便可以在此注明文件扩展名。
使用SCP便可下载任何带有该扩展名的文件。
如果未输入扩展名，则将使用默认的文件扩展名.scp。
-仅TFTP-选择该选项可指示仅使用TFTP协议进行自动配置。
-仅SCP-选择该选项可指示仅使用SCP协议进行自动配置。
•通过DHCP自动更新映像-选择该字段可启用来自DHCP服务器的固件映像更新。
该功能在默认状态下为启用状态，但是可在此处禁用。
•下载协议-选择以下其中一种选项：-按文件扩展名自动执行-选择该选项可指示自动更新根据映像文件的扩展名使用TFTP或SCP协议。
如果选中该选项，则无需给出映像文件的扩展名。
如果未给出扩展名，则使用默认的扩展名（如下所示）。
思科200系列智能型交换机管理指南 46 管理：文件管理通过DHCP进行自动配置/映像更新
5 -SCP的文件扩展名-如果选中按文件扩展名自动执行，便可以在此注明文件扩展名。
使用SCP便可下载任何带有该扩展名的文件。
如果未输入扩展名，则将使用默认的文件扩展名.scp。
-仅TFTP-选择该选项可指示仅使用TFTP协议进行自动更新。
-仅SCP-选择该选项可指示仅使用SCP协议进行自动更新。
•SCP的SSH设置-当使用SCP下载配置文件时，请选择以下选项之一：•远程SSH服务器验证-单击启用/禁用链接以导航至“SSH服务器验证”页面。
您可在该页面启用下载需使用的SSH服务器验证并在必要时输入信任SSH服务器。
•SSH客户端验证-单击“系统凭证”链接以在“SSH用户验证”页面输入用户凭证。
•备份服务器定义-选择是按照IP地址还是按照名称来配置备份服务器。
•IP版本-选择使用IPv4还是IPv6地址。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口（如果使用IPv6）。
步骤3输入以下可选信息，以便在DHCP服务器未提供所需信息时使用。
•备份服务器IP地址/名称-输入备份服务器IP地址或名称。
•备份配置文件名-输入备份配置文件名。
•备份间接映像文件名-输入要使用的间接映像文件名。
这是包含映像路径的文件。
间接映像文件名的一个示例是：indirect-cisco.scp。
此文件包含固件映像的路径和名称。
此时将显示以下字段： •最近自动配置/映像服务器IP地址-最近备份服务器的地址。
•最近自动配置文件名称-最近配置文件名称。
步骤4单击应用。
参数将复制到当前配置文件中。
思科200系列智能型交换机管理指南 47 管理本节介绍如何在设备上查看系统信息和配置各种选项。
其中包含以下主题： •设备型号•系统设置•管理接口•用户帐户•定义闲置会话超时•时间设置•系统日志•文件管理•重启设备•状况•诊断•发现-Bonjour•发现-LLDP•发现-CDP•Ping 设备型号所有型号均可通过基于Web的交换机配置实用程序进行全面管理。
注有关端口命名约定，请参阅接口命名约定。
思科200系列智能型交换机管理指南 6 48 管理设备型号下表介绍了不同型号、设备上的端口数量和类型及其PoE信息。

6 型号名称 SG200-18SG200-26SG200-26P SG200-50SG200-50P SF200-24SF200-24P SF200-48SF200-48PSG200-10FPSF200-24FPSG200-26FPSG200-50FP 产品ID(PID) 设备上的端口说明 PoE专用功率 SLM2016TSLM2024TSLM2024PT 16个GE端口+2个GE特殊用途组合端口24个GE端口+2个GE特殊用途组合端口24个GE端口+2个GE特殊用途组合端口无无100W SLM2048TSLM2048PT 48个GE端口+2个GE特殊用途组合端口48个GE端口+2个GE特殊用途组合端口无180W SLM224GTSLM224PT 24个FE端口+2个GE特殊用途组合端口24个FE端口+2个GE特殊用途组合端口无100W SLM248GT SLM248PTV.0 SG20010FPV.0 SF20024FPV.0 SG20026FPV.0 SG20050FPV.0 48个FE端口+2个GE特殊用途组合端口48个FE端口+2个GE特殊用途组合端口无180W 10端口千兆PoE智能型交换机 62W 24端口10/100PoE智能型交换机 180W 26端口千兆PoE智能型交换机 180W 50端口千兆PoE智能型交换机 375W 支持PoE的端口数无无12个端口FE1-FE6，FE13-FE18无24个端口FE1-FE12，FE25-FE36无12个端口FE1-FE6，FE13-FE18无24PoE端口 8 24 24 48 思科200系列智能型交换机管理指南 49 管理系统设置
6 系统设置 “系统摘要”页面提供了设备的图形视图，并显示设备状态、硬件信息、固件版本信息、一般PoE状态以及其他项目。
显示系统摘要查看系统信息的步骤：步骤1单击状态和统计信息>系统摘要。
系统信息： •系统说明-系统的说明。
•系统位置-设备的实际位置。
单击编辑可前往“系统设置”页面输入此信息。
•系统联系人-联系人的姓名。
单击编辑可前往“系统设置”页面输入此信息。
•主机名-设备的名称。
单击编辑可前往“系统设置”页面输入此信息。
默认情况下，设备主机名由单词 device与设备MAC地址的三个最低有效位（最右侧的六个十六进制数字）组合而成。
•系统对象ID-实体（在SNMP中使用）中包含的网络管理子系统的唯一供应商标识。
•系统运行时间-自上次重启以来所运行的时间。
•当前时间-当前系统时间。
•基本MAC地址-设备MAC地址。
•巨型帧-巨型帧支持状态。
可以使用“端口管理”菜单的“端口设置”页面启用或禁用此支持。
注巨型帧支持仅在启用且重启设备之后才会生效。
软件信息： •固件版本-活动映像的固件版本号。
•固件MD5校验和-活动映像的MD5校验和。
•启动版本-启动版本号。
•启动MD5校验和-启动版本的MD5校验和。
•区域设置-第一语言的区域设置。
（第一语言始终是英文。
）•语言版本-第一语言或英语的语言包版本。
•语言MD5校验和-语言文件的MD5校验和。
思科200系列智能型交换机管理指南 50 管理系统设置
6 TCP/UDP服务状态：•HTTP服务-显示HTTP服务是处于启用状态还是禁用状态。
•HTTPS服务-显示HTTPS服务是处于启用状态还是禁用状态。
•SNMP服务-显示SNMP服务是处于启用状态还是禁用状态。
PoE电源信息：（在支持PoE的设备上）•最大可用PoE功率(W)-PoE可提供的最大可用功率。
•总PoE功率(W)-为连接的PoE设备提供的总PoE功率。
•PoE供电模式-端口限制或类别限制。
系统设置输入系统设置的步骤：步骤1单击管理>系统设置。
步骤2查看或修改系统设置。
•系统说明-显示设备说明。
•系统位置-输入设备的物理位置。
•系统联系人-输入联系人姓名。
•主机名-选择此设备的主机名。
在CLI命令的提示符中会使用此主机名：-使用默认设置-这些交换机的默认主机名（系统名称）为：switch123456，其中123456代表设备MAC地址的最后三个字节（以十六进制格式表示）。
-用户定义-输入主机名。
只能使用字母、数字和连字符。
主机名不能以连字符开头或结尾。
其他符号、标点符号字符或空格均不允许使用（如RFC1033、1034、1035中规定）。
•自定义横幅设置-可设置以下横幅：-登录横幅-输入登录前显示在“登录”页面上的文本。
单击预览查看结果。
-欢迎横幅-输入登录后显示在“登录”页面上的文本。
单击预览查看结果。
注当您通过基于Web的配置实用程序定义登录横幅时，也会为CLI接口（Console、和SSH）激活该横幅。
步骤3单击应用，在当前配置文件中保存这些值。
思科200系列智能型交换机管理指南 51 管理管理接口
6 管理接口请参阅IPv4管理和接口。
用户帐户请参阅配置安全性。
定义闲置会话超时空闲会话超时可配置HTTP会话经过多长时间的空闲后会超时，超时后您必须重新登录才能重建会话。
•HTTP会话超时•HTTPS会话超时设置HTTP或HTTPS会话空闲会话超时的步骤：步骤1单击管理>空闲会话超时。
步骤2从相应列表中为每个会话选择超时时间。
超时时间的默认值为10分钟。
步骤3单击应用，在设备上设置这些配置设置。
时间设置请参阅管理：时间设置。
系统日志请参阅管理：系统日志。
思科200系列智能型交换机管理指南 52 管理文件管理
6 文件管理请参阅管理：文件管理。
重启设备某些配置更改（例如启用巨帧支持）需要重启系统才能生效。
但是，重启设备会删除当前配置，因此在重启设备之前先将当前配置保存到启动配置至关重要。
单击应用不会将配置保存到启动配置。
有关文件和文件类型的详情，请参阅系统文件部分。
可以使用管理>文件管理>保存/复制配置或单击窗口顶部的保存来备份设备配置。
也可以从远程设备上传配置。
请参阅下载/备份配置/日志一节。
您可能希望将重启时间设置在将来的某个时间。
例如，在以下某种情况下，可能会出现这种需求： •您正在远程设备上执行操作，且这些操作可能会导致与远程设备的连接中断。
预安排的重启可以恢复工作配置并恢复与远程设备的连接。
如果这些操作成功，则可以取消延迟重启。
•重载设备会导致网络连接中断，因而通过使用延迟重启，您可以在用户更加方便的时间（例如深夜）安排重启。
重启设备的步骤：步骤1单击管理>重启。
步骤2单击重启按钮可重启设备。
•重启-可重启设备。
由于当前配置中任何未保存的信息在设备重启后都会被丢弃，因此必须单击任何窗口右上角的保存，以便重启后仍保留当前配置。
如果未显示“保存”选项，则表示当前配置与启动配置相同，不需要执行任何操作。
•取消重启-如果为将来某个时间安排了重启，可将其取消。
可能的选项有： -立即-立即重启。
-日期-输入计划重启的日期（月/日）和时间（小时和分钟）。
此操作计划在特定时间（使用24小时制）执行软件的重载。
如果您指定月和日，重载将在指定的时间和日期按计划执行。
如果您未指定月份和日期，重载将在当天的指定时间执行（如果指定时间晚于当前时间），或者在次日的指定时间执行（如果指定时间早于当前时间）。
指定00:00可在午夜进行重载。
重载必须在24天内进行。
注仅当系统时间通过手动设置或由SNTP设置时，才能使用此选项。
-在-在指定的小时和分钟数之内重启。
最长时间为24天。
思科200系列智能型交换机管理指南 53 管理状况
6 •使用出厂默认设置重启-使用出厂默认配置重启设备。
此过程会擦除启动配置文件和备份配置文件。
恢复出厂默认设置时，不会删除镜像配置文件。
•清除启动配置文件-选中此项可在下次启动设备时清除启动配置。
注清除启动配置文件并重启，不同于使用出厂默认设置重启。
使用出厂默认设置重启更具侵入性。
状况 “状况”页面监控配备风扇的所有设备上的风扇状态。
根据型号，设备上可能有一个或多个风扇。
某些型号根本没有风扇。
某些设备具有温度传感器，可在过热时保护其硬件。
在此情况下，设备在过热时以及过热后的冷却期间会执行以下操作：事件至少有一个温度传感器超出Warning阈值至少有一个温度传感器超出Critical阈值超出Critical阈值后的冷却期（所有传感器都比Warning阈值至少低2°C）。
操作会生成以下信息： •系统日志消息 •SNMPTrap会生成以下信息： •系统日志消息 •SNMPTrap 将执行以下操作：•系统LED设置为琥珀色常亮（如果硬件支持）。
•禁用端口-超出Critical温度两分钟时，将关闭所有端口。
•（在支持PoE的设备中）禁用PoE电路，以减少功耗和释放的热量。
所有传感器均冷却到比Warning阈值至少低2°C后，将重新启用PHY，且所有端口也将重新开启。
如果风扇状态为“正常”，端口将启用。
（在支持PoE的设备中）PoE电路将启用。
思科200系列智能型交换机管理指南 54 管理诊断要查看设备状况参数，请单击状态和统计信息>状况。
“状况”页面将显示以下字段： •风扇状态-风扇状态。
可能的值如下所示：-正常-风扇运转正常。
-失败-风扇无法正常运转。
-无-风扇ID不适用于特定型号。
•风扇方向-（在适用设备中）风扇转动的方向（例如：从前往后）。
•温度-选项包括： -正常-温度低于警告阈值。
-警告-温度介于警告阈值与临界阈值之间。
-严重-温度高于临界阈值。
诊断请参阅管理：诊断。
发现-Bonjour 请参阅Bonjour。
发现-LLDP 请参阅配置LLDP。
思科200系列智能型交换机管理指南 6 55 管理发现-CDP
6 发现-CDP 请参阅配置CDP。
Ping Ping实用程序用于测试是否可以访问远程主机，并测量从设备到目的设备发送数据包所用的往返时间。
Ping通过向目的主机发送互联网控制消息协议(ICMP)回显请求数据包并等待ICMP响应来运行，有时称为pong。
它可以测量往返时间并记录任何数据包丢失。
Ping主机的步骤：步骤1单击管理>Ping。
步骤2通过输入以下字段配置Ping：•主机定义-选择是按IP地址还是名称来指定源接口。
此字段会影响源IP字段中显示的接口，如下所述。
•IP版本-如果源接口根据其IP地址来进行标识，则选择IPv4或IPv6来指示将以选定格式对其进行输入。
•源IP-选择其IPv4地址将在与目标的通信中用作源IPv4地址的源接口。
如果“主机定义”为“按名称”，则此下拉字段中会显示所有IPv4和IPv6地址。
如果“主机定义”为“按IP地址”，则仅显示“IP版本”字段中指定类型的现有IP地址。
注如果选择“自动”选项，系统将根据目的地址计算源地址。
•目标IPv6地址类型-选择“链路本地”或“全局”作为要输入的目的IP地址的类型。
-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-如果IPv6地址类型为“链路本地”，请选择接收的来源。
•目标IP地址/名称-要对其执行Ping操作的设备的地址或主机名。
是IP地址还是主机名则取决于主机定义。
•Ping间隔-在Ping数据包之间系统等待的时间长度。
Ping操作会按照Ping数量字段中配置的值重复执行相应次数，而不论成功还是失败。
选择使用默认间隔，或者指定您自定的值。
•Ping数量-Ping操作的执行次数。
选择使用默认设置，或者指定您自定的值。
•状态-显示Ping是成功还是失败。
思科200系列智能型交换机管理指南 56 管理 Ping
6 步骤3单击激活Ping来Ping主机。
将会显示Ping状态，并且消息列表中会添加一条消息，显示Ping操作的结果。
步骤4在本页面的Ping计数器和状态部分中查看Ping结果。
思科200系列智能型交换机管理指南 57
7 管理：时间设置系统时钟同步提供了网络上所有设备之间的参考帧。
网络管理、保护、规划和调试的各个方面都涉及确定事件的发生时间，因此网络时间同步至关重要。
如果没有时钟同步，当跟踪安全漏洞或网络使用率时，就无法在设备之间准确关联日志文件。
不论文件系统位于哪台计算机上，保持修改时间的一致性都十分重要，因此时间同步还能使共享文件系统更加有序。
鉴于以上原因，在网络上的所有设备上准确配置时间就显得尤为重要。
注设备支持简单网络时间协议(SNTP)，如果启用了该协议，设备会动态同步设备时间与SNTP服务器时间。
设备仅作为SNTP客户端工作，且无法为其他设备提供时间服务。
本节介绍用于配置系统时间、时区和夏令时(DST)的选项。
其中包含以下主题：•系统时间选项•SNTP模式•配置系统时间系统时间选项系统时间可由用户手动设置，或从SNTP服务器动态设置，也可以与运行GUI的PC保持同步。
如果选择使用SNTP服务器，则与该服务器建立通信后将会覆盖手动时间设置。
作为启动过程的一部分，设备始终会配置时间、时区和DST。
这些参数可以通过以下方式获取：通过运行GUI的PC、通过SNTP、通过手动设置值，或者在所有其他方式均失败的情况下通过出厂默认值获取。
思科200系列智能型交换机管理指南 58 管理：时间设置系统时间选项
7 时间以下方法可用于设置设备上的系统时间：•手动-用户必须手动设置时间。
•通过PC-可以使用浏览器信息通过PC接收时间。
来自计算机的时间配置将保存到当前配置文件。
要让设备能够在重启之后使用来自计算机的时间，必须将当前配置复制到启动配置。
第一个WEB登录到设备期间，将设置重启后的时间。
首次配置此功能时，如果尚未设置时间，设备将通过PC设置时间。
这种时间设置方法需要配合HTTP和HTTPS连接使用。
•SNTP-可以通过SNTP时间服务器接收时间。
SNTP使用SNTP服务器作为时钟源，可确保将设备的网络时间同步精确到毫秒。
指定SNTP服务器时，如果选择通过主机名进行识别，则GUI中会给出三个建议：-time-a.timefreq.bldrdoc.gov -time-b.timefreq.bldrdoc.gov -time-c.timefreq.bldrdoc.gov通过以上任意一个时间源设置时间之后，浏览器将不会再次设置时间。
注SNTP是建议使用的时间设置方法。
时区和夏令时(DST) 可以通过以下方式在设备上设置时区和DST：•通过DHCP服务器动态配置设备，其中：-动态DST（如果已启用且可以使用）将始终优先于DST的手动配置。
-如果提供源参数的服务器发生故障或者用户禁用了动态配置，则将使用手动设置。
-IP地址的租用期限到期后，时区和DST的动态配置将继续有效。
•仅当禁用了动态配置或者该功能发生故障时，手动配置的时区和DST才会成为运行时区和DST。
注DHCP服务器必须提供DHCP选项100，才能进行动态时区配置。
思科200系列智能型交换机管理指南 59 管理：时间设置 SNTP模式
7 SNTP模式设备可以通过以下其中一种方式从SNTP服务器接收系统时间：•客户端广播接收(被动模式)-SNTP服务器广播时间，而设备则监听这些广播。
如果设备处于该模式，将无需定义单播SNTP服务器。
•客户端广播传输（主动模式）-作为SNTP客户端的设备会定期请求SNTP时间更新。
此模式以下列任何一种方式工作：-SNTP任播客户端模式-设备向子网中的所有SNTP服务器广播时间请求数据包，然后等待服务器响应。
-单播SNTP服务器模式-设备将单播查询发送到一组手动配置的SNTP服务器，然后等待服务器响应。
设备支持同时启用以上两种模式，并根据基于最近层级（距参考时钟的距离）的算法，选择从SNTP服务器接收的最佳系统时间。
配置系统时间选择系统时间源使用“系统时间”页面选择系统时间源。
如果要以手动方式确定源，请在此处输入时间。
!
注意如果系统时间为手动设置并且重启设备，则必须重新输入手动时间设置。
定义系统时间的步骤：步骤1单击管理>时间设置>系统时间。
此时将显示以下字段： •实际时间(静态)-设备上的系统时间。
此字段显示DHCP时区或用户定义时区的缩写词（如果用户进行了定义）。
•最近同步的服务器-上次从其获取系统时间的SNTP服务器的地址、层级和类型。
思科200系列智能型交换机管理指南 60 管理：时间设置配置系统时间
7 步骤2输入以下参数：时钟源设置-选择用于设置系统时钟的时钟源。
•主时钟源(SNTP服务器)-如果启用此功能，将从SNTP服务器获得系统时间。
要使用此功能，还必须在“SNTP接口设置”页面中配置到SNTP服务器的连接。
或者，使用“SNTP验证”页面强制执行SNTP会话验证。
•备选时钟源(使用活动HTTP/HTTPS会话的PC)-选择该选项会通过HTTP协议使用配置计算机提供的时间设置日期和时间。
注需要将“时钟源设置”设置为以上任何一种模式，RIPMD5验证才能工作。
手动设置-手动设置日期和时间。
在没有替代时间源（如SNTP服务器）的情况下使用本地时间： •日期-输入系统日期。
•本地时间-输入系统时间。
时区设置-通过DHCP服务器或时区偏移使用本地时间。
•从DHCP获取时区-选择该选项可实现通过DHCP服务器动态配置时区和DST。
能够配置其中一个参数还是两个参数，取决于在DHCP数据包中找到的信息。
如果启用该选项，必须在设备上启用DHCP客户端。
注DHCP客户端支持提供动态时区设置的选项100。
•来自DHCP的时区-显示从DHCP服务器配置的时区的缩写词。
缩写词显示在实际时间字段中•时区偏移-选择格林威治标准时间(GMT)与本地时间之间的时差（以小时为单位）。
例如，巴黎的“时区偏移”为GMT+
1，而纽约的“时区偏移”为GMT–
5。
•时区缩写-输入表示此时区的名称。
缩写词显示在实际时间字段中。
夏令时设置-选择定义DST的方式：•夏令时-选择该选项可启用夏令时时间。
•时间设置偏移-输入相对于GMT偏移的分钟数（范围为1到1440）。
默认为60。
•夏令时类型-单击以下选项之一： -美国-依据在美国使用的日期设置DST。
-欧洲-依据在欧盟及其他使用此标准的国家/地区使用的日期设置DST。
-按日期-手动设置DST，通常针对除美国或欧盟国家/地区以外的国家/地区。
按照以下说明输入参数。
-循环-每年在同一天开始实行DST。
思科200系列智能型交换机管理指南 61 管理：时间设置配置系统时间
7 选择按日期可以自定义DST的开始时间和结束时间：-起始时间-DST开始的日期和时间。
-结束时间-DST结束的日期和时间。
选择循环可以使用其他方法自定义DST的开始时间和结束时间：•起始时间-每年开始实行DST的日期。
-日期-每年开始实行DST的日期（星期几）。
-周-每年开始实行DST的星期（在某月的第几个星期）。
-月-每年开始实行DST的月份。
-时间-每年开始实行DST的时间。
•结束时间-每年结束DST的日期。
例如，DST每年在本地时间十月的第四个星期五的早上5:00点结束，参数如下：-日期-每年结束DST的日期（星期几）。
-周-每年结束DST的星期（在某月的第几个星期）。
-月-每年结束DST的月份。
-时间-每年结束DST的时间。
步骤3单击应用。
系统时间值将写入当前配置文件。
添加单播SNTP服务器最多可配置16台单播SNTP服务器。
注要按名称指定单播SNTP服务器，必须先在设备上配置DNS服务器（请参阅DNS设置）。
添加单播SNTP服务器的步骤：步骤1单击管理>时间设置>SNTP单播。
步骤2输入以下字段：•SNTP客户端单播-选择该选项可让设备将预定义了SNTP的单播客户端与组播SNTP服务器配合使用。
•IPv4源接口-选择其IPv4地址将用作与SNTP服务器通信中消息的源IPv4地址的IPv4接口。
•IPv6源接口-选择其IPv6地址将用作与SNTP服务器通信中消息的源IPv6地址的IPv6接口。
思科200系列智能型交换机管理指南 62 管理：时间设置配置系统时间
7 注如果已选择“自动”选项，系统将使用传出接口上定义的IP地址的源IP地址。
本页面会显示每台单播SNTP服务器的以下信息： •SNTP服务器-SNTP服务器IP地址。
根据服务器层级选择首选服务器或主机名。
•轮询间隔-显示是否启用了轮询。
•验证密钥ID-在SNTP服务器和设备之间通信所使用的密钥ID。
•层级-距参考时钟的距离（用数值表示）。
除非已启用轮询间隔，否则SNTP服务器无法成为主服务器（层级1）。
•状态-SNTP服务器状态。
可能的值包括：-启用-SNTP服务器目前正常运行。
-禁用-SNTP服务器目前不可用。
-未知-目前设备正在搜索SNTP服务器。
-正在进行-SNTP服务器未完全信任其自有时间服务器时（例如首次启动SNTP服务器时），会发生这种情况。
•最近响应-上次从该SNTP服务器收到响应的日期和时间。
•偏移-服务器时钟相对于本地时钟的预计偏差（以毫秒为单位）。
主机使用RFC2030中介绍的算法确定此偏差的值。
•延迟-沿服务器时钟与本地时钟之间的网络路径，服务器时钟相对于本地时钟的预计往返延迟。
主机使用RFC2030中介绍的算法确定此延迟的值。
•源-如何定义SNTP服务器，例如：手动定义或从DHCPv6服务器定义。
•接口-接收数据包的接口。
步骤3要添加单播SNTP服务器，请启用SNTP客户端单播。
步骤4单击添加。
步骤5输入以下参数： •服务器定义-选择按照SNTP服务器的IP地址识别SNTP服务器，还是按照名称从列表中选择已知的SNTP服务器。
注要指定已知的SNTP服务器，必须将设备连接到互联网并配置一个DNS服务器，或者配置为使用DHCP可以识别DNS服务器。
（请参阅DNS设置）•IP版本-选择IP地址版本：版本6或版本
4。
思科200系列智能型交换机管理指南 63 管理：时间设置配置系统时间
7 •IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下： -链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口（如果选择的IPv6地址类型为“链路本地”）。
•SNTP服务器IP地址-输入SNTP服务器的IP地址。
格式取决于所选的地址类型。
•SNTP服务器-从已知NTP服务器列表中选择SNTP服务器的名称。
如果选择其他，请在旁边的字段中输入SNTP服务器的名称。
•轮询间隔-选择该选项将启用针对系统时间信息对SNTP服务器的轮询。
将会对注册供轮询的所有NTP服务器进行轮询，并将从所能访问的层级（距参考时钟的距离）最低的服务器选择时钟。
具有最低层级的服务器将被视为主服务器。
具有次低层级的服务器为次服务器，以此类推。
如果主服务器出现故障，设备将轮询所有启用了轮询设置的服务器，并选择具有最低层级的服务器作为新的主服务器。
•验证-选择该复选框将启用验证。
•验证密钥ID-如果启用了验证，请选择密钥ID值。
（使用“SNTP验证”页面创建验证密钥。
）步骤6单击应用。
将添加STNP服务器，并返回主页。
配置SNTP模式设备可以处于主动和/或被动模式（请参阅SNTP模式了解详情）。
启用从子网上的所有服务器接收SNTP数据包和/或启用将时间请求传输到SNTP服务器的步骤：步骤1单击管理>时间设置>SNTP组播/任播。
步骤2请从以下选项中进行选择：•SNTPIPv4组播客户端模式(客户端广播接收)-选择该选项可从子网上的任何SNTP服务器接收系统时间IPv4组播传输。
•SNTPIPv6组播客户端模式(客户端广播接收)-选择该选项可从子网上的任何SNTP服务器接收系统时间IPv6组播传输。
•SNTPIPv4任播客户端模式(客户端广播传输)-选择该选项可传输请求系统时间信息的SNTPIPv4同步数据包。
数据包传输至子网中的所有SNTP服务器。
思科200系列智能型交换机管理指南 64 管理：时间设置配置系统时间
7 •SNTPIPv6任播客户端模式(客户端广播传输)-选择该选项可传输请求系统时间信息的SNTPIPv6同步数据包。
数据包传输至子网中的所有SNTP服务器。
步骤3单击应用，以将设置保存到当前配置文件中。
定义SNTP验证 SNTP客户端可以使用HMAC-MD5验证响应。
SNTP服务器与密钥相关联，当与响应本身一起输入MD5函数时会使用该密钥；MD5的结果也包括在响应数据包中。
使用“SNTP验证”页面可配置与需要验证的SNTP服务器通信时使用的验证密钥。
验证密钥在SNTP服务器上通过独立过程创建，该过程取决于用户使用的SNTP服务器类型。
请咨询SNTP服务器系统管理员，了解详情。
工作流程步骤1在“SNTP验证”页面中启用验证功能。
步骤2在“SNTP验证”页面中创建一个密钥。
步骤3在“SNTP单播”页面中将此密钥与SNTP服务器相关联。
启用SNTP验证和定义密钥的步骤：步骤1单击管理>时间设置>SNTP验证。
步骤2选择SNTP验证，以支持对设备和SNTP服务器之间的SNTP会话进行验证。
步骤3单击应用更新设备。
步骤4单击添加。
步骤5输入以下参数：•验证密钥ID-输入用于内部识别此SNTP验证密钥的数字。
•验证密钥-输入用于验证的密钥（最多八个字符）。
SNTP服务器必须发送此密钥，设备才会与之同步。
•信任密钥-选择该选项，可使设备使用此验证密钥仅从SNTP服务器接收同步信息。
步骤6单击应用。
SNTP验证参数将写入当前配置文件。
思科200系列智能型交换机管理指南 65
8 管理：诊断本节包含有关配置端口镜像、运行电缆测试和查看设备工作信息的信息。
其中包含以下主题： •铜缆端口测试•显示光纤模块状态•配置端口和VLAN镜像•查看CPU使用率和安全的核心技术铜缆端口测试 “铜缆测试”页面将显示虚拟电缆测试器(VCT)对铜质电缆执行的集成电缆测试的结果。
VCT执行两种测试： •TimeDomainReflectometry(TDR)技术测试连接到端口的铜质电缆的质量和特性。
最长可以测试140米的电缆。
这些结果将在“铜缆测试”页面“测试结果”框中显示。
•可对活动的GE链路执行基于DSP的测试，以测量电缆长度。
这些结果将在“铜缆测试”页面“高级信息”框中显示。
运行铜缆端口测试的前提条件运行该测试之前，请执行以下操作：•（强制）禁用短距模式（请参阅“端口管理>绿色以太网>属性”页面）•（可选）禁用EEE（请参阅“端口管理>绿色以太网>属性”页面）使用VCT测试电缆时，会使用一条CAT5数据电缆。
测试结果的准确率可以有一个错误范围，高级测试的错误范围为+/-10，基本测试的错误范围为+/-
2。
思科200系列智能型交换机管理指南 66 管理：诊断铜缆端口测试
8 !
注意测试端口时，会将端口设置为中断状态，通信会被中断。
测试后，端口会恢复连接状态。
不建议在用于运行基于Web的交换机配置实用程序的端口上运行铜缆端口测试，因为这会中断与该设备之间的通信。
测试连接到端口的铜质电缆的步骤：步骤1单击管理>诊断>铜缆测试。
步骤2选择要进行铜缆测试的端口。
步骤3单击铜缆测试。
步骤4当显示该消息时，单击确定确认链路可以中断，或单击取消中止测试。
在“测试结果”框中将显示以下字段：•最近更新-上次在端口上执行测试的时间。
•测试结果-电缆测试结果。
可能的值包括：-良好-电缆通过测试。
-无电缆-电缆没有连接到端口。
-开放电缆-电缆只有一端连接。
-短电缆-电缆发生短路。
-未知测试结果-发生错误。
•与故障的距离-端口与电缆上的故障点之间的距离。
•运行端口状态-显示端口处于连接还是中断状态。
如果正在测试的端口是一个千兆端口，高级信息框包含以下信息（每次进入该页面，都将刷新该信息框）：•电缆长度：提供长度的估计值。
•对-所测试的电缆对。
•状态-线对状态。
红色表示发生故障，绿色表示状态良好。
•通道-电缆通道表示该线缆是直通电缆还是交叉电缆。
•极性-指示是否为线对激活了自动极性检测和更正。
•对间偏移-线对间延迟的差异。
注当端口速度为每秒10Mbit，不能执行TDR测试。
思科200系列智能型交换机管理指南 67 管理：诊断显示光纤模块状态
8 显示光纤模块状态 “光纤模块状态”页面会显示由SFP（小型封装可热插拔）收发器报告的工作状况。
对于不支持数字诊断监控标准SFF-8472的SFP，可能不会提供某些信息。
MSA兼容SFP 支持以下FESFP(100Mbps)收发器：•MFEBX1：适用于单模光纤（1310nm波长）的100BASE-BX-20USFP收发器，有效距离可达20km。
•MFEFX1：适用于多模光纤（1310nm波长）的100BASE-FXSFP收发器，有效距离可达2km。
•MFELX1：适用于单模光纤（1310nm波长）的100BASE-LXSFP收发器，有效距离可达10km。
支持以下GESFP(1000Mbps)收发器：•MGBBX1：适用于单模光纤（1310nm波长）的1000BASE-BX-20USFP收发器，有效距离可达40km。
•MGBLH1：适用于单模光纤（1310nm波长）的1000BASE-LHSFP收发器，有效距离可达40km。
•MGBLX1：适用于单模光纤（1310nm波长）的1000BASE-LXSFP收发器，有效距离可达10km。
•MGBSX1：适用于多模光纤（850nm波长）的1000BASE-SXSFP收发器，有效距离可达550m。
•MGBT1：适用于5类铜缆的1000BASE-TSFP收发器，有效距离可达100m。
要查看光纤测试的结果，请单击管理>诊断>光纤模块状态。
此页面显示了以下字段： •端口-连接SFP的端口的端口号。
•说明-光纤收发器的说明。
•序列号-光纤收发器的序列号。
•PID-VLANID。
•VID-光纤收发器的ID。
•温度-SFP的工作温度（以摄氏度为单位）。
•电压-SFP的工作电压。
•电流-SFP的当前功耗。
•输出功率-传输的光功率。
思科200系列智能型交换机管理指南 68 管理：诊断配置端口和VLAN镜像
8 •输入功率-接收的光功率。
•发射器故障-远程SFP报告信号丢失。
值为“True”、“False”和“无信号(N/S)”。
•信号丢失-本地SFP报告信号丢失。
值为“True”和“False”。
•数据就绪-SFP在工作。
值为“True”和“False”。
配置端口和VLAN镜像在网络设备上，可使用端口镜像将单个设备端口、多个设备端口或整个VLAN上看到的网络数据包的副本发送到设备上另一端口上的网络监控连接。
它经常用于需要进行网络流量监控的网络应用（例如入侵检测系统）。
连接到监控端口的网络分析器会处理用于进行诊断、调试和性能监控的数据包。
最多可以镜像四个源。
这可以是四个独立端口和/或VLAN的任意组合。
在分配给要进行镜像的VLAN的网络端口上收到的数据包将被镜像到分析器端口，即使该数据包最终会被拦截或丢弃亦如此。
如果激活了“传输(Tx)镜像”，将会镜像由设备发送的数据包。
镜像并不保证在分析器（目的）端口上收到来自源端口的所有流量。
如果向分析器端口发送的数据超出了其能够接收的量，则某些数据可能会丢失。
只有一个镜像实例是全系统支持的。
分析器端口（或VLAN镜像或端口镜像的目的端口）对于所有已镜像的VLAN或端口是相同的。
启用镜像的步骤：步骤1单击管理>诊断>端口和VLAN镜像。
此时将显示以下字段： •目的端口-要向其复制流量的端口，即分析器端口。
•源接口-要自其向分析器端口发送流量的接口、端口或VLAN。
•类型-监控类型：传入端口（接收）、从端口传出（传输）或两者。
•状态-显示以下内容之一： -活动-源和目的接口都处于连接状态，并在转发流量。
-未就绪-出于某种原因，源或目的接口（或者两者都）处于中断状态，没有转发流量。
步骤2单击添加添加要镜像的端口或VLAN。
思科200系列智能型交换机管理指南 69 管理：诊断查看CPU使用率和安全的核心技术
8 步骤3输入参数：•目的端口-选择要向其复制数据包的分析器端口。
系统会将网络分析器（例如运行Wireshark的PC）连接到此端口。
如果将一个端口确定为分析器目的端口，它会保留分析器目的端口，直到删除所有条目。
•源接口-选择从其中镜像流量的源端口或源VLAN。
•类型-选择要将传入流量、传出流量还是这两种类型的流量镜像到分析器端口。
如果选择端口，选项如下： -仅接收-对传入数据包进行端口镜像。
-仅发送-对传出数据包进行端口镜像。
-发送和接收-对传入和传出数据包均进行端口镜像。
步骤4单击应用。
端口镜像将添加到当前配置。
查看CPU使用率和安全的核心技术除终端用户流量之外，设备还处理以下类型的流量：•管理流量•协议流量•Snooping流量过多的流量会使CPU不堪重负，并可能影响正常的设备运行。
设备使用安全的核心技术(SCT)功能，可以确保设备无论接收的总流量是多少，都能够接收并处理管理和协议流量。
默认情况下，SCT在设备上已启用，且不能被禁用。
该功能与其他功能间没有交互。
显示CPU使用率的步骤：步骤1单击管理>诊断>CPU使用率。
将显示“CPU使用率”页面。
“CPU输入速率”字段将显示每秒向CPU输入帧的速率。
思科200系列智能型交换机管理指南 70 管理：诊断查看CPU使用率和安全的核心技术
8 该窗口包含CPU使用率图表。
Y轴表示占用百分比，X轴为样本号。
步骤2确保“CPU使用率”复选框处于启用状态。
步骤3选择刷新速率，即刷新统计信息的时间间隔（以秒为单位的时间段）。
为每个时间段创建一个新样本。
步骤4单击应用。
思科200系列智能型交换机管理指南 71
9 管理：发现协议本节提供了有关配置发现的信息。
其中包含以下主题： •Bonjour•LLDP和CDP•配置LLDP•配置CDP Bonjour 作为Bonjour客户端，设备会定期将Bonjour发现协议数据包广播给直接连接的IP子网，以通告它的存在以及它所提供的服务，例如HTTP或HTTPS。
（可使用“安全>TCP/UDP服务”页面启用或禁用设备服务。
）网络管理系统或其他第三方应用可发现设备。
默认情况下，Bonjour已启用并在管理VLAN上运行。
BonjourConsole会自动检测并显示该设备。
第2层系统模式下的Bonjour Bonjour发现只能全局启用，而无法针对每个端口或每个VLAN启用它。
设备会通告由管理员启用的服务。
同时启用Bonjour发现和IGMP时，Bonjour的IP组播地址会显示在“添加IP组播组地址”页面上。
若禁用Bonjour发现，设备会停止服务类型通告，且不会对来自网络管理应用程序的服务请求作出响应。
默认情况下，会在作为管理VLAN成员的所有接口上启用Bonjour。
全局启用Bonjour的步骤：步骤1单击管理>发现-Bonjour。
步骤2选择启用以在设备上全局启用Bonjour发现。
步骤3单击应用。
将根据您的选择，在设备上启用或禁用Bonjour。
思科200系列智能型交换机管理指南 72 管理：发现协议 LLDP和CDP
9 LLDP和CDP LLDP（链路层发现协议）和CDP（思科发现协议）都是链路层协议，支持LLDP和CDP的直接连接邻居可使用这两种协议通告自身及其功能。
默认情况下，设备会定期向所有接口发送LLDP/CDP通告，并按照协议的要求处理入站LLDP及CDP数据包。
LLDP和CDP协议下，通告将在数据包中编码为TLV（类型、长度、值）。
应用以下CDP/LLDP配置说明： •CDP/LLDP可全局或按端口启用或禁用。
仅当全局启用CDP/LLDP时，端口的CDP/LLDP功能才有意义。
•如果全局启用CDP/LLDP，设备将滤除来自已禁用CDP/LLDP端口的入站CDP/LLDP数据包。
•如果全局禁用CDP/LLDP，设备可配置为丢弃、可识别VLAN泛洪或无法识别VLAN泛洪所有入站CDP/LLDP数据包。
可识别VLAN泛洪会将入站CDP/LLDP数据包泛洪到接收数据包的VLAN，其中不包括入站端口。
无法识别VLAN泛洪会将入站CDP/LLDP数据包泛洪到除入站端口外的所有端口。
全局禁用CDP/LLDP时，系统默认丢弃CDP/LLDP数据包。
您可以分别在“CDP属性”页面和“LLDP属性”页面配置入站CDP/LLDP数据包的丢弃/泛洪操作。
•自动智能端口需要启用CDP和/或LLDP。
自动智能端口会根据接口接收的CDP/LLDP通告，自动对接口进行配置。
•CDP和LLDP终端设备（如IP电话）会从CDP和LLDP通告中学习语音VLAN配置。
默认情况下，设备会根据所配置的语音VLAN发送CDP和LLDP通告。
有关详细信息，请参阅语音VLAN。
注如果端口位于LAG中，CDP/LLDP将不作区分。
如果多个端口位于LAG中，CDP/LLDP将在各端口上传输数据包，而不会考虑它们在LAG中这一事实。
CDP/LLDP的操作不受接口STP状态的影响。
如果接口已启用802.1x端口访问控制，仅当该接口经过验证和授权的情况下，设备才可在其上收发CDP/LLDP数据包。
如果端口是镜像目标，则CDP/LLDP会将其视为处于关闭状态。
注CDP和LLDP都是链路层协议，支持CDP/LLDP的直接连接设备可使用这两种协议通告自身及其功能。
如果部署中支持CDP/LLDP的设备不是直接连接且与不支持CDP/LLDP的设备相分离，则仅当不支持CDP/LLDP的设备泛洪发送所接收CDP/LLDP数据包的情况下，它们才能接收来自其他设备的通告。
如果不支持CDP/LLDP的设备执行可识别VLAN泛洪，则支持CDP/LLDP的设备只有在位于同一VLAN中时才能互相接收通告。
如果不支持CDP/LLDP的设备泛洪发送CDP/LLDP数据包，支持CDP/LLDP的设备可以接收来自多个设备的通告。
思科200系列智能型交换机管理指南 73 管理：发现协议配置LLDP
9 配置LLDP 本节介绍如何配置LLDP。
其中包含以下主题：•LLDP概述•LLDP属性•LLDP端口设置•LLDPMED网络策略•LLDPMED端口设置•LLDP端口状态•LLDP本地信息•LLDP邻居信息•LLDP统计信息•LLDP过载 LLDP概述 LLDP可使网络管理员在多供应商环境中排除故障并强化网络管理。
LLDP提供了标准化的方法，便于网络设备向其他系统通告自身并存储已发现的信息。
LLDP可让设备向相邻设备通告其身份、配置和功能，然后这些相邻设备会将这些数据存储在管理信息库(MIB)中。
网络管理系统会通过查询这些MIB数据库来为网络拓扑建模。
LLDP是一种链路层协议。
默认情况下，设备会按照协议的要求终止并处理所有入站LLDP数据包。
LLDP协议有一个名为LLDP媒体终端发现(LLDP-MED)的扩展协议，该扩展协议可提供和接受来自VoIP电话和视频电话等媒体终端设备的信息。
有关LLDP-MED的更多信息，请参阅LLDPMED网络策略。
LLDP配置工作流程以下是可使用LLDP功能执行的操作示例，请按建议的顺序执行。
如需有关LLDP配置的其他说明，请参阅"LLDP/CDP"一节。
LLDP配置页面可在管理>发现LLDP菜单下打开。

1.使用“LLDP属性”页面输入LLDP全局参数，如发送LLDP更新的时间间隔。

2.使用“端口设置”页面按端口配置LLDP。
在该页面上，接口可配置为接收/传输LLDPPDU、发送SNMP通知、指定要通告的TLV，以及通告设备的管理地址。

3.使用“LLDPMED网络策略”页面创建LLDPMED网络策略。
思科200系列智能型交换机管理指南 74 管理：发现协议配置LLDP
9 4.使用“LLDPMED端口设置”页面将LLDPMED网络策略和可选LLDP-MEDTLV与所需的接口关联。

5.若要使自动智能端口检测LLDP设备的功能，请在“智能端口属性”页面中启用LLDP。

6.使用“LLDP过载”页面显示过载信息。
LLDP属性使用“属性”页面可输入LLDP一般参数，例如全局启用/禁用功能和设置定时器。
输入LLDP属性的步骤：步骤1单击管理>发现协议-LLDP>属性。
步骤2输入参数。
•LLDP状态-选择该选项可启用设备上的LLDP（默认启用）。
•LLDP帧处理-如果未启用LLDP，选择在收到符合所选条件的数据包时要执行的操作：-过滤-删除数据包。
-泛洪-将数据包转发给所有VLAN成员。
•TLV通告间隔-输入发送LLDP通告更新的速率（以秒为单位）或使用默认值。
•拓扑更改SNMP通知间隔-输入SNMP通知之间的最小时间间隔。
•保留时间(以倍数表示)-输入在丢弃LLDP数据包之前保留这些数据包的时间（以TLV通告间隔的倍数计量）。
例如，如果“TLV通告间隔”为30秒，而“保留时间(以倍数表示)”为
4，则系统会在120秒后丢弃LLDP数据包。
•重新初始化延迟-输入在一个LLDP启用/禁用周期之后，禁用LLDP与重新初始化LLDP之间的时间间隔（以秒为单位）。
•传输延迟-输入由LLDP本地系统MIB中的更改而引发的连续LLDP帧传输之间的时间（以秒为单位）。
•机箱ID通告-为LLDP消息中的通告选择以下一个选项：-MAC地址-通告设备的MAC地址。
-主机名-通告设备的主机名。
步骤3在快速启动重复计数字段中，输入初始化LLDP-MED快速启动机制时发送LLDP数据包的次数。
有新的端点设备连接至设备时会发生这种情况。
有关LLDPMED的说明，请参阅“LLDPMED网络策略”一节。
步骤4单击应用。
LLDP属性会添加至当前配置文件。
思科200系列智能型交换机管理指南 75 管理：发现协议配置LLDP
9 LLDP端口设置使用“端口设置”页面可针对每个端口激活LLDP和SNMP通知，并输入在LLDPPDU中发送的TLV。
要通告的LLDP-MEDTLV可在“LLDPMED端口设置”页面进行选择，并且可以配置设备的管理地址TLV。
定义LLDP端口设置的步骤：步骤1单击管理>发现协议-LLDP>端口设置。
此页面包含端口LLDP信息。
步骤2选择一个端口，然后单击编辑。
此页面提供了以下字段： •接口-选择要编辑的端口。
•管理状态-为端口选择LLDP发布选项。
这些值包括： -仅发送-只发布不发现。
-仅接收-只发现不发布。
-发送和接收-发布并发现。
-禁用-表示在该端口上禁用LLDP。
•SNMP通知-如果选择启用，则会在发生拓扑更改时向SNMP通知接收者（例如SNMP管理系统）发送通知。
在“LLDP属性”页面的“拓扑更改SNMP通知间隔”字段中，可输入发送通知的时间间隔。
使用“SNMP>通知接收设备SNMPv1，2”和/或“SNMP>通知接收设备SNMPv3”页面，可定义SNMP通知接收方。
•选定的可选TLV-通过将TLV从可用的可选TLV列表移至此列表，来选择要由设备发布的信息。
可用TLV包含以下信息：-端口说明-有关端口的信息，包括制造商、产品名称和硬件/软件版本。
-系统名称-系统的指定名称（使用字母数字格式）。
该值与sysName对象相等。
-系统说明-对网络实体的描述（使用字母数字格式）。
它包括系统名称、硬件版本、操作系统和设备支持的网络软件。
该值与sysDescr对象相等。
-系统功能-设备的主要功能，以及是否已在设备中启用这些功能。
这些功能由两个八进制数表示。
0到7位分别表示其他、中继器、网桥、WLANAP、路由器、电话、DOCSIS电缆设备以及工作站。
8到15位为保留位。
思科200系列智能型交换机管理指南 76 管理：发现协议配置LLDP
9 -802.3MAC-PHY-双工和比特率功能以及发送设备的当前双工和比特率设置。
它还表明当前设置是通过自动协商还是手动配置而产生的。
-802.3链路聚合-是否可以聚合链路（与用于传输LLDPPDU的端口相关联）。
它还表明链路当前是否已聚合；如果是，则提供聚合的端口标识符。
-802.3最大帧大小-MAC/PHY实施的最大帧大小功能。
管理地址可选TLV： •通告模式-选择以下其中一种通告设备IP管理地址的方法：-自动通告-指定软件从所有设备的IP地址中自动选择一个管理地址进行通告。
如果有多个IP地址，软件将选择动态IP地址中的最小IP地址。
如果无动态地址，软件将选择静态IP地址中的最小IP地址。
-无-不通告管理IP地址。
-手动通告-选择该选项以及要通告的管理IP地址。
•IP地址-如果选择手动通告，则请从提供的地址中选择管理IP地址。
以下字段与802.1VLAN和协议相关： •PVID-选择该选项可在TLV中通告PVID。
•端口和协议VLANID-选择该选项可通告端口和协议VLANID。
•VLANID-选择将通告的VLAN。
•协议ID-选择将通告的协议。
•选定的协议ID-显示选定的协议。
步骤3输入相关信息，然后单击应用。
端口设置将写入当前配置文件中。
LLDPMED网络策略 LLDP媒体终端发现(LLDP-MED)是LLDP的扩展协议，可提供以下附加功能来支持媒体终端设备：•实现实时应用（如语音和/或视频）的网络策略通告和发现。
•发现设备位置以让您创建位置数据库；对于IP电话(VoIP)、紧急电话服务(E-911)，则使用IP电话位置信息。
•故障排除信息。
LLDPMED会向网络管理员发送以下警报：-端口速度与双工模式相冲突-QoS策略配置不正确思科200系列智能型交换机管理指南 77 管理：发现协议配置LLDP
9 设置LLDPMED网络策略 LLDP-MED网络策略是某特定实时应用（如语音或视频）的一组相关配置设置。
配置之后，网络策略将包含在出站LLDP数据包中发送到相连接的LLDP媒体终端设备。
媒体终端设备必须根据所接收网络策略中的规定发送流量。
例如，可以为VoIP流量创建一个策略，以便指引VoIP电话： •在VLAN10上将语音流量作为已标记数据包进行发送，并设定802.1p优先级为
5。
•使用DSCP46发送语音流量。
使用“LLDPMED端口设置”页面可将网络策略与端口相关联。
管理员可手动配置一个或多个网络策略以及要发送策略的接口。
管理员负责根据网络策略及其关联的接口，手动创建VLAN及其端口成员关系。
此外，管理员还可指引设备根据其保留的语音VLAN，自动生成并通告语音应用的网络策略。
有关设备如何保留其语音VLAN的详情，请参阅“自动语音VLAN”一节。
定义LLDPMED网络策略的步骤：步骤1单击管理>发现协议-LLDP>LLDPMED网络策略。
此页面包含之前创建的网络策略。
步骤2若要使设备自动根据其保留的语音VLAN，自动生成并通告语音应用的网络策略，请为语音应用的“LLDP-MED网络策略”选择自动。
注选中此框后，用户将无法手动配置语音网络策略。
步骤3单击应用将此设置添加到当前配置文件。
步骤4要定义新策略，请单击添加。
步骤5输入以下值： •网络策略编号-选择要创建的策略编号。
•应用-选择正为何种类型的应用（流量类型）定义网络策略。
•VLANID-输入必须向其发送流量的VLANID。
•VLAN类型-选择是否为流量添加标记。
•用户优先级-选择要应用于此网络策略所定义流量的流量优先级。
这是CoS值。
•DSCP值-选择要与邻居所发送应用数据相关联的DSCP值。
该值可告诉邻居要如何标记它们发送给设备的应用流量。
步骤6单击应用。
系统将定义网络策略。
注对于出站LLDP数据包，您必须使用“LLDPMED端口设置”页面手动配置接口，以便将所需的手动定义网络策略包括在内。
思科200系列智能型交换机管理指南 78 管理：发现协议配置LLDP
9 LLDPMED端口设置使用“LLDPMED端口设置”页面可选择LLDP-MEDTLV和/或网络策略，使之包含在所需接口的出站LLDP通告中。
网络策略使用“LLDPMED网络策略”页面进行配置。
注如果语音应用的“LLDP-MED网络策略”（“LLDP-MED网络策略”页面）为“自动”且自动语音VLAN正在运行，则对于所有已启用LLDP-MED且属于语音VLAN成员的端口，设备将自动为其生成语音应用的“LLDP-MED网络策略”。
在每个端口上配置LLDPMED的步骤：步骤1单击管理>发现协议-LLDP>LLDPMED端口设置。
此页面将为所有端口显示以下LLDPMED设置（仅列出编辑页面中未介绍的字段）： •位置-显示是否传输位置TLV。
•PoE-显示是否传输POE-PSETLV。
•清单-显示是否传输清单TLV。
步骤2该页面顶部的消息表明是否自动生成语音应用的LLDPMED网络策略（参阅LLDP概述）。
单击该链接以更改模式。
步骤3要将其他LLDPMEDTLV和/或一个或多个用户定义的LLDPMED网络策略与某端口相关联，选择该端口，然后单击编辑。
步骤4输入参数： •接口-选择要配置的接口。
•LLDPMED状态-在此端口上启用/禁用LLDPMED。
•SNMP通知-选择在发生拓扑更改时，是否在发现支持MED的终端工作站（例如，SNMP管理系统）时，针对每个端口发送SNMP通知。
•选定的可选TLV-通过将TLV从可用的可选TLV列表移至“选定的可选TLV”列表中，来选择可由设备发布的TLV。
•可用的网络策略-通过将LLDPMED策略从可用的网络策略列表移至“选定的网络策略”列表中，来选择将由LLDP发布的LLDPMED策略。
这些策略在“LLDPMED网络策略”页面中进行创建。
要在通告中包括一个或多个用户定义的网络策略，您还须从可用的可选TLV中选择网络策略。
注必须按照LLDP-MED标准(ANSI-TIA-1057_final_for_publication.pdf)中定义的精确数据格式，使用十六进制字符在以下字段中输入内容： -位置坐标-输入要由LLDP发布的坐标位置。
-位置城市地址-输入要由LLDP发布的城市地址。
思科200系列智能型交换机管理指南 79 管理：发现协议配置LLDP -位置ECSELIN-输入要由LLDP发布的紧急电话服务(ECS)ELIN位置。
步骤5单击应用。
LLDPMED端口设置将写入当前配置文件中。

9 LLDP端口状态 “LLDP端口状态表”页面包含每个端口的LLDP全局信息。
步骤1要查看LLDP端口状态，请单击管理>发现协议-LLDP>LLDP端口状态。
步骤2单击LLDP本地信息详情，查看发送给邻居的LLDP和LLDP-MEDTLV的详情。
步骤3单击LLDP邻居信息详情，查看邻居发送来的LLDP和LLDP-MEDTLV的详情。
LLDP端口状态全局信息•机箱ID子类型-机箱ID的类型（例如，MAC地址）。
•机箱ID-机箱的标识符。
如果机箱ID子类型为MAC地址，则会显示设备的MAC地址。
•系统名称-设备的名称。
•系统说明-对设备的描述（使用字母数字格式）。
•支持的系统功能-设备的主要功能，例如，网桥、WLANAP或路由器。
•已启用的系统功能-设备已启用的主要功能。
•端口ID子类型-显示的端口标识符的类型。
LLDP端口状态表•接口-端口标识符。
•LLDP状态-LLDP发布选项。
•LLDPMED状态-已启用或已禁用。
•本地PoE-通告的本地PoE信息。
•远程PoE-邻居通告的PoE信息。
•邻居数量-发现的邻居数目。
•第一台设备的邻居功能-显示邻居的主要功能，例如：网桥或路由器。
思科200系列智能型交换机管理指南 80 管理：发现协议配置LLDP
9 LLDP本地信息查看在端口上通告的LLDP本地端口状态的步骤：步骤1单击管理>发现协议-LLDP>LLDP本地信息。
步骤2选择要显示LLDP本地信息的接口。
此页面将为选定接口显示以下字段：全局 •机箱ID子类型-机箱ID的类型。
（例如，MAC地址。
）•机箱ID-机箱的标识符。
如果机箱ID子类型为MAC地址，则会显示设备的MAC地址。
•系统名称-设备的名称。
•系统说明-对设备的描述（使用字母数字格式）。
•支持的系统功能-设备的主要功能，例如，网桥、WLANAP或路由器。
•已启用的系统功能-设备已启用的主要功能。
•端口ID子类型-显示的端口标识符的类型。
•端口ID-端口的标识符。
•端口说明-有关端口的信息，包括制造商、产品名称和硬件/软件版本。
管理地址显示本地LLDP代理的地址表。
其他远程管理员可以使用该地址获取与本地设备相关的信息。
该地址由以下元素组成： •地址子类型-在“管理地址”字段中列出的管理IP地址的类型，例如IPv4。
•地址-返回的最适合管理用途的地址。
•接口子类型-用于定义接口编号的编号方法。
•接口编号-与此管理地址相关联的具体接口。
MAC/PHY详情 •支持自动协商-端口速度自动协商支持状态。
•已启用自动协商-端口速度自动协商活动状态。
思科200系列智能型交换机管理指南 81 管理：发现协议配置LLDP
9 •自动协商通告功能-端口速度自动协商功能，例如，1000BASE-T半双工模式、100BASE-TX全双工模式。
•运行MAU类型-介质连接单元(MAU)类型。
MAU可执行物理层功能，包括通过对以太网接口进行冲突检测来转换数字数据和在网络中插入位，例如100BASE-TX全双工模式。
802.3详情 •802.3最大帧大小-支持的最大IEEE802.3帧大小。
802.3链路聚合 •聚合功能-表明是否可以聚合接口。
•聚合状态-表明是否已聚合接口。
•聚合端口ID-通告的聚合接口ID。
802.3节能以太网(EEE)（如果设备支持EEE） •本地发送-表明传输链路伙伴在离开低功耗空闲（LPI模式）后，开始传输数据之前所等待的时间（微秒）。
•本地接收-表明接收链路伙伴要求传输链路伙伴在低功耗空闲（LPI模式）后，开始传输数据之前所等待的时间（微秒）。
•远程发送回波-表明本地链路伙伴反射远程链路伙伴的发送值。
•远程接收回波-表明本地链路伙伴反射远程链路伙伴的接收值。
MED详情 •支持的功能-端口上支持的MED功能。
•当前功能-端口上启用的MED功能。
•设备类-LLDP-MED端点设备类。
设备类可能为： -第1类端点-一般端点类，提供基本LLDP服务。
-第2类端点-介质端点类，提供介质流功能以及所有第1类功能。
-第3类端点-通信设备类，提供所有第1类和第2类功能以及位置、911、第2层设备支持和设备信息管理功能。
•PoE设备类型-端口PoE类型，例如，已打开电源。
•PoE电源-端口电源。
思科200系列智能型交换机管理指南 82 管理：发现协议配置LLDP
9 •PoE电源优先级-端口电源优先级。
•PoE功率值-端口电源值。
•硬件版本-硬件版本。
•固件版本-固件版本。
•软件版本-软件版本。
•序列号-设备序列号。
•制造商名称-设备制造商名称。
•型号名称-设备型号。
•资产ID-资产ID。
位置信息 •城市-街道地址。
•坐标-地图坐标：纬度、经度和海拔高度。
•ECSELIN-紧急电话服务(ECS)紧急位置标识号(ELIN)。
网络策略表 •应用类型-网络策略应用类型，例如语音。
•VLANID-为其定义网络策略的VLANID。
•VLAN类型-为其定义网络策略的VLAN类型。
该字段可能的值包括： -Tagged-指示网络策略是为TaggedVLAN定义的。
-Untagged-指示网络策略是为UntaggedVLAN定义的。
•用户优先级-网络策略用户优先级。
•DSCP-网络策略DSCP。
步骤3在页面底部，单击LLDP端口状态表可在LLDP端口状态表中查看详情。
思科200系列智能型交换机管理指南 83 管理：发现协议配置LLDP
9 LLDP邻居信息 “LLDP邻居信息”页面包含从邻居设备接收到的信息。
超时（根据在其间未收到邻居发送的LLDPPDU的邻居活动时间TLV发送的值）后，将会删除该信息。
查看LLDP邻居信息的步骤：步骤1单击管理>发现协议-LLDP>LLDP邻居信息。
步骤2选择要显示LLDP邻居信息的接口。
此页面将为选定接口显示以下字段：•本地端口-要将邻居与其连接的本地端口号。
•机箱ID子类型-机箱ID的类型（例如，MAC地址）。
•机箱ID-802LAN相邻设备机箱的标识符。
•端口ID子类型-显示的端口标识符的类型。
•端口ID-端口的标识符。
•系统名称-已发布的设备名称。
•存活时间-在其后删除该邻居的信息的时间间隔（以秒为单位）。
步骤3选择一个本地端口，然后单击详情。
“LLDP邻居信息”页面包含以下字段：端口详情 •本地端口-端口号。
•MSAP条目-设备介质服务接入点(MSAP)条目编号。
基本详情 •机箱ID子类型-机箱ID的类型（例如，MAC地址）。
•机箱ID-802LAN相邻设备机箱的标识符。
•端口ID子类型-显示的端口标识符的类型。
•端口ID-端口的标识符。
•端口说明-有关端口的信息，包括制造商、产品名称和硬件/软件版本。
•系统名称-已发布的系统名称。
思科200系列智能型交换机管理指南 84 管理：发现协议配置LLDP
9 •系统说明-对网络实体的描述（使用字母数字格式）。
它包括系统名称、硬件版本、操作系统和设备支持的网络软件。
该值与sysDescr对象相等。
•支持的系统功能-设备的主要功能。
这些功能由两个八进制数表示。
0到7位分别表示其他、中继器、网桥、WLANAP、路由器、电话、DOCSIS电缆设备以及工作站。
8到15位为保留位。
•已启用的系统功能-设备已启用的主要功能。
管理地址表 •地址子类型-管理的地址子类型，例如MAC或IPv4。
•地址-管理的地址。
•接口子类型-端口子类型。
•接口编号-端口编号。
MAC/PHY详情 •支持自动协商-端口速度自动协商支持状态。
值可能为True和False。
•已启用自动协商-端口速度自动协商活动状态。
值可能为True和False。
•自动协商通告功能-端口速度自动协商功能，例如，1000BASE-T半双工模式、100BASE-TX全双工模式。
•运行MAU类型-介质连接单元(MAU)类型。
MAU可执行物理层功能，包括通过对以太网接口进行冲突检测来转换数字数据和在网络中插入位，例如100BASE-TX全双工模式。
通过MDI提供的802.3电源 •MDI电源支持端口类-通告的电源支持端口类。
•PSEMDI电源支持-表明端口上是否支持MDI电源。
•PSEMDI电源状态-表明是否已在端口上启用MDI电源。
•PSE电源对控制功能-表明端口上是否支持电源对控制。
•PSE电源对-端口上支持的电源对控制类型。
•PSE电源类-通告的电源端口类。
802.3详情 •802.3最大帧大小-端口上支持的最大通告帧大小。
思科200系列智能型交换机管理指南 85 管理：发现协议配置LLDP
9 802.3链路聚合 •聚合功能-表明是否可以聚合端口。
•聚合状态-表明当前是否已聚合端口。
•聚合端口ID-通告的聚合端口ID。
802.3节能以太网(EEE) •远程传输-表明传输链路伙伴在离开低功耗空闲（LPI模式）后，开始传输数据之前所等待的时间（微秒）。
•远程接收-表明接收链路伙伴要求传输链路伙伴在低功耗空闲（LPI模式）后，开始传输数据之前所等待的时间（微秒）。
•本地传输回波-表明本地链路伙伴反射远程链路伙伴的传输值。
•本地接收回波-表明本地链路伙伴反射远程链路伙伴的接收值。
MED详情 •支持的功能-已在端口上启用的MED功能。
•当前功能-由端口通告的MEDTLV。
•设备类-LLDP-MED端点设备类。
设备类可能为： -第1类端点-表明一般端点类，提供基本LLDP服务。
-第2类端点-表明介质端点类，提供介质流功能以及所有第1类功能。
-第3类端点-表明通信设备类，提供所有第1类和第2类功能以及位置、911、第2层交换机支持和设备信息管理功能。
•PoE设备类型-端口PoE类型，例如，已打开电源。
•PoE电源-端口的电源。
•PoE电源优先级-端口电源优先级。
•PoE功率值-端口电源值。
•硬件版本-硬件版本。
•固件版本-固件版本。
•软件版本-软件版本。
•序列号-设备序列号。
思科200系列智能型交换机管理指南 86 管理：发现协议配置LLDP •制造商名称-设备制造商名称。
•型号名称-设备型号。
•资产ID-资产ID。
802.1VLAN和协议 •PVID-通告的端口VLANID。
PPVIDPPVID表 •VID-协议VLANID。
•支持-支持的端口和协议VLANID。
•已启用-启用的端口和协议VLANID。
VLANIDVLANID表 •VID-端口和协议VLANID。
•VLAN名称-通告的VLAN名称。
协议ID •ProtocolID-通告的协议ID。
位置信息按ANSI-TIA-1057标准中的10.2.4款所述，以十六进制字符输入以下数据结构：•城市-城市地址或街道地址。
•坐标-位置地图坐标-纬度、经度和海拔高度。
•ECSELIN-设备紧急电话服务(ECS)紧急位置标识号(ELIN)。
•未知-未知的位置信息。

9 思科200系列智能型交换机管理指南 87 管理：发现协议配置LLDP
9 网络策略网络策略表 •应用类型-网络策略应用类型，例如语音。
•VLANID-为其定义网络策略的VLANID。
•VLAN类型-为其定义网络策略的VLAN类型（Tagged或Untagged）。
•用户优先级-网络策略用户优先级。
•DSCP-网络策略DSCP。
步骤4选择端口并单击LLDP端口状态表可在“LLDP端口状态表”中查看详情。
LLDP统计信息 “LLDP统计信息”页面会显示每个端口的LLDP统计信息。
查看LLDP统计信息的步骤：步骤1单击管理>发现协议-LLDP>LLDP统计信息。
会为每个端口显示以下字段： •接口-接口的标识符。
•发送帧(总数)-已传输的帧数。
•接收的帧数 -总数-已接收的帧数。
-丢弃-丢弃的已接收帧的总数。
-错误-已接收的错误帧总数。
•接收的TLV-丢弃-丢弃的已接收TLV的总数。
-未识别-未识别的已接收TLV的总数。
•邻居的信息删除计数-接口上删除的邻居数。
步骤2单击刷新查看最新统计信息。
思科200系列智能型交换机管理指南 88 管理：发现协议配置LLDP
9 LLDP过载 LLDP会将信息作为LLDP和LLDP-MEDTLV添加到LLDP数据包中。
当LLDP数据包中包含的信息总量过大，超过接口支持的最大PDU大小时，就会发生LLDP过载。
“LLDP过载”页面会显示LLDP/LLDP-MED信息的字节数、其他LLDP信息的可用字节数，以及所有接口的过载状态。
查看LLDP过载信息的步骤：步骤1单击管理>发现协议-LLDP>LLDP过载。
此页面包含每个端口的以下字段： •接口-端口标识符。
•正在使用的字节总数-每个数据包中LLDP信息的总字节数。
•剩余可用字节-要添加到各数据包中其他LLDP信息的剩余可用字节总数。
•状态-正在传输TLV还是已过载。
步骤2要查看端口的过载详细信息，请选择该端口，然后单击详情。
此页面包含在该端口上发送的每个TLV的以下信息： •LLDP强制TLV-大小(字节)-强制TLV的字节总数。
-状态-正在传输强制TLV组，还是TLV组已过载。
•LLDPMED功能-大小(字节)-LLDPMED功能数据包的字节总数。
-状态-LLDPMED功能数据包已发送还是已过载。
•LLDPMED位置-大小(字节)-LLDPMED位置数据包的字节总数。
-状态-LLDPMED位置数据包已发送还是已过载。
•LLDPMED网络策略-大小(字节)-LLDPMED网络策略数据包的字节总数。
-状态-LLDPMED网络策略数据包已发送还是已过载。
思科200系列智能型交换机管理指南 89 管理：发现协议配置CDP •通过MDI提供的LLDPMED扩展电源-大小(字节)-通过MDI提供的LLDPMED扩展电源数据包的总字节数。
-状态-通过MDI提供的LLDPMED扩展电源数据包已发送还是已过载。
•802.3TLV-大小(字节)-LLDPMED802.3TLV数据包的总字节数。
-状态-LLDPMED802.3TLV数据包已传输还是已过载。
•LLDP可选TLV-大小(字节)-LLDPMED可选TLV数据包的总字节数。
-状态-LLDPMED可选TLV数据包已传输还是已过载。
•LLDPMED清单-大小(字节)-LLDPMED清单TLV数据包的总字节数。
-状态-LLDPMED清单数据包已传输还是已过载。
•总计-总数(字节)-每个数据包中LLDP信息的总字节数。
-剩余可用字节-每个数据包中，可用于发送其他LLDP信息的剩余可用字节总数。
配置CDP 本节介绍如何配置CDP。
其中包含以下主题： •CDP属性•CDP接口设置•CDP本地信息•CDP邻居信息•CDP统计信息思科200系列智能型交换机管理指南 9 90 管理：发现协议配置CDP
9 CDP属性与LLDP相似，思科发现协议(CDP)也是一种便于直接连接邻居相互通告自身及其功能的链路层协议。
与LLDP不同的是，CDP是一种思科专有的协议。
CDP配置工作流程以下是在设备上配置CDP的工作流程示例。
您也可以参阅“LLDP/CDP”部分，了解其他CDP配置指南。
步骤1使用“CDP属性”页面输入CDP全局参数步骤2使用“接口设置”页面按接口配置CDP步骤3如果使用自动智能端口检测CDP设备的功能，请在“智能端口属性”页面中启用 CDP。
有关如何使用CDP标识智能端口设备功能的说明，请参阅标识智能端口类型。
输入CDP一般参数的步骤：步骤1单击管理>发现-CDP>属性。
步骤2输入参数。
•CDP状态-选择启用设备上的CDP。
•CDP帧处理-如果未启用CDP，选择在收到符合所选条件的数据包时要执行的操作：-桥接-根据VLAN转发数据包。
-过滤-删除数据包。
-泛洪-无法识别VLAN的泛洪，会将传入CDP数据包转发到除入站端口外的所有端口。
•CDP语音VLAN通告-选择该选项后，设备会在支持CDP且属于语音VLAN成员的所有端口上，通告CDP中的语音VLAN。
语音VLAN在“语音VLAN属性”页面中进行配置。
•CDP强制TLV验证-如果选择，系统将丢弃不包含强制TLV的传入CDP数据包，并且无效错误计数器将递增。
•CDP版本-选择要使用的CDP版本。
•CDP保持时间-丢弃CDP数据包之前保留这些数据包的时间（以TLV通告间隔的倍数计量）。
例如，如果“TLV通告间隔”为30秒，而“保留时间(以倍数表示)”为
4，则系统会在120秒后丢弃LLDP数据包。
可能的选项有：-使用默认设置-使用默认时间（180秒）-用户定义-输入时间（秒）。
思科200系列智能型交换机管理指南 91 管理：发现协议配置CDP
9 •CDP传输速率-发送CDP通告更新的速率（以秒为单位）。
可能的选项有：-使用默认设置-使用默认速率（60秒）-用户定义-输入速率（秒）。
•设备ID格式-选择设备ID的格式（MAC地址或序列号）。
可能的选项有：-MAC地址-使用设备的MAC地址作为设备ID。
-序列号-使用设备的序列号作为设备ID。
-主机名-使用设备的主机名作为设备ID。
•源接口-要在帧TLV中使用的IP地址。
可能的选项有：-使用默认设置-使用传出接口的IP地址。
-用户定义-使用地址TLV中接口（在接口字段中）的IP地址。
•接口-如果为源接口选择用户定义，请选择接口。
•系统日志语音VLAN不匹配-选中后，当检测到语音VLAN不匹配后，系统将发送系统日志消息。
这意味着传入帧中的语音VLAN信息与本地设备通告的信息不匹配。
•系统日志本征VLAN不匹配-选中后，当检测到本征VLAN不匹配后，系统将发送系统日志消息。
这意味着传入帧中的本征VLAN信息与本地设备通告的信息不匹配。
•系统日志双工模式不匹配-选中后，当双工模式信息不匹配时，系统将发送系统日志消息。
这意味着传入帧中的双工模式信息与本地设备通告的信息不匹配。
步骤3单击应用。
将定义LLDP属性。
CDP接口设置使用“接口设置”页面可以针对每个端口激活LLDP和远程日志服务器通知，并选择LLDPPDU中包含的TLV。
设置这些属性后，便能够选择为支持LLDP协议的设备所提供的各种类型的信息。
要通告的LLDP-MEDTLV可在“LLDPMED接口设置”页面中进行选择。
定义CDP接口设置的步骤：步骤1单击管理>发现-CDP>接口设置。
此页面会为每个接口显示以下CDP信息。
•CDP状态-端口的CDP发布选项。
思科200系列智能型交换机管理指南 92 管理：发现协议配置CDP
9 •报告与CDP邻居冲突-在编辑页面中启用/禁用的报告选项的状态（语音VLAN/本征VLAN/双工）。
•邻居数量-检测到的邻居数。
该页面底部有四个按钮：•复制设置-选中后，会将配置从一个端口复制到其他端口。
•编辑-下文步骤2中解释的字段。
•CDP本地信息详情-引导至“管理>发现协议-CDP>CDP本地信息”页面。
•CDP邻居信息详情-引导至“管理>发现协议-CDP>CDP邻居信息”页面。
步骤2选择一个端口，然后单击编辑。
此页面提供了以下字段： •接口-选择要定义的接口。
•CDP状态-选择启用/禁用端口的CDP发布选项。
注当设备设置为向管理站发送Trap时，以下三个字段属于可选字段。
•系统日志语音VLAN不匹配-选择该选项可以在检测到语音VLAN不匹配时，发送系统日志消息。
这意味着传入帧中的语音VLAN信息与本地设备通告的信息不匹配。
•系统日志本征VLAN不匹配-选择该选项可以在检测到本征VLAN不匹配时，发送系统日志消息。
这意味着传入帧中的本征VLAN信息与本地设备通告的信息不匹配。
•系统日志双工模式不匹配-选择该选项可以在检测到双工模式信息不匹配时，发送系统日志消息。
这意味着传入帧中的双工模式信息与本地设备通告的信息不匹配。
步骤3输入相关信息，然后单击应用。
端口设置将写入当前配置。
CDP本地信息查看由CDP协议通告的、与本地设备有关的信息的步骤：步骤1单击管理>发现-CDP>CDP本地信息。
步骤2选择一个本地端口，然后将显示以下字段：•接口-本地端口的编号。
•CDP状态-显示是否已启用CDP。
思科200系列智能型交换机管理指南 93 管理：发现协议配置CDP
9 •设备IDTLV-设备ID类型-设备IDTLV中通告的设备ID类型。
-设备ID-设备IDTLV中通告的设备ID。
•系统名称TLV-系统名称-设备的系统名称。
•地址TLV-地址1-3-IP地址（设备地址TLV中通告的）。
•端口TLV-端口ID-端口TLV中通告的端口标识符。
•功能TLV-功能-端口TLV中通告的功能。
•版本TLV-版本-设备正在运行的软件版本信息。
•平台TLV-平台-在平台TLV中通告的平台标识符。
•本征VLANTLV-本征VLAN-在本征VLANTLV中通告的本征VLAN标识符。
•全/半双工TLV-双工-端口在全双工/半双工TLV中通告的是处于全双工还是半双工模式。
•设备TLV-设备ID-在设备TLV中通告的、连接到端口的设备类型。
-设备VLANID-设备所使用设备上的VLAN，例如，如果设备是IP电话，该ID为语音VLAN。
•扩展信任TLV-扩展信任-启用后，表明端口可以信任，就是说所接收数据包的来源主机/服务器可以信任，可以自我标记数据包。
这种情况下，此类端口上接收的数据包不会重新标记。
禁用此项表明端口不可信任，此时以下字段将有意义。
思科200系列智能型交换机管理指南 94 管理：发现协议配置CDP
9 •用于不信任端口TLV的CoS-用于不可信端口的CoS-如果在端口上禁用扩展信任，此字段将显示第2层CoS值，表示802.1D/802.1p优先级值。
这是COS值，设备将使用该值对不信任端口上所接收的所有数据包进行重新标记。
•功率TLV-请求ID-最后接收的电源请求ID会回显在电源请求TLV中最后接收的请求ID字段。
如果自接口上次转换为“开启”状态以来未收到电源请求TLV，该值为
0。
-电源管理ID-每发生以下一个事件，该值将增加1（或
2，避免0）。
可用功率或管理电源等级字段值发生更改收到电源请求TLV，其中请求ID字段与最后接收的集（或收到首个值时）不同接口转换为“关闭”-可用功率-端口消耗的电源量。
-管理电源等级-显示供电器对受电设备功耗TLV的请求。
设备总是在此字段中显示“无偏好”。
CDP邻居信息 “CDP邻居信息”页面显示从邻居设备接收到的CDP信息。
超时（根据在其间未收到邻居发送的CDPPDU的邻居活动时间TLV发送的值）后，将会删除该信息。
查看CDP邻居信息的步骤：步骤1单击管理>发现协议-CDP>CDP邻居信息。
步骤2要选择过滤器，请单击过滤器复选框，选择本地接口，然后单击执行。
此时将触发过滤器，而且清除过滤器按钮会被激活。
步骤3单击清除过滤器可停止过滤。
“CDP邻居信息”页面包含链路伙伴（邻居）的以下字段：•设备ID-邻居的设备ID。
•系统名称-邻居的系统名称。
•本地接口-要将邻居与其连接的本地端口号。
•通告版本-CDP协议版本。
思科200系列智能型交换机管理指南 95 管理：发现协议配置CDP
9 •存活时间(秒)-在其后删除该邻居的信息的时间间隔（以秒为单位）。
•功能-邻居通告的功能。
•平台-来自邻居平台TLV的信息。
•邻居接口-邻居的传出接口。
步骤4选择一个设备，然后单击详情。
此页面包含有关邻居的以下字段： •设备ID-邻居设备的标识符。
•系统名称-邻居设备ID的名称。
•本地接口-帧到达所经由的端口的接口编号。
•通告版本-CDP的版本。
•存活时间-在其后删除该邻居的信息的时间间隔（以秒为单位）。
•功能-设备的主要功能。
这些功能由两个八进制数表示。
0到7位分别表示其他、中继器、网桥、WLAN AP、路由器、电话、DOCSIS电缆设备以及工作站。
8到15位为保留位。
•平台-邻居的平台的标识符。
•邻居接口-帧到达所经由的邻居的接口编号。
•本征VLAN-邻居的本征VLAN。
•应用-邻居上所运行应用的名称。
•双工-邻居接口处于半双工还是全双工模式。
•地址-邻居的地址。
•机动-接口上由邻居消耗的电源量。
•版本-邻居的软件版本。
注如果使用CDP，单击清除表按钮将断开所有已连接的设备，如果启用自动智能端口，所有端口类型都将更改为默认值。
思科200系列智能型交换机管理指南 96 管理：发现协议 CDP统计信息
9 CDP统计信息 “CDP统计信息”页面显示与从某端口收发的CDP帧有关的信息。
CDP数据包从与交换机接口连接的设备接收，并供智能端口功能使用。
有关详情，请参阅配置CDP。
仅当在全局和某端口上启用了CDP时，才会显示该端口的CDP统计信息。
此操作在“CDP属性”页面和“CDP接口设置”页面进行。
查看CDP统计信息的步骤：步骤1单击管理>发现-CDP>CDP统计信息。
将为每个接口显示以下字段：接收/传输的数据包数: •版本1-接收/发送的CDP版本1数据包数。
•版本2-接收/发送的CDP版本2数据包数。
•总数-接收/发送的CDP数据包总数。
“CDP错误统计信息”部分显示CDP错误计数器。
•非法校验和-所接收的具有非法校验和值的数据包数。
•其他错误-除非法校验和外，所接收的其他错误数据包数。
•邻居数超过最大值-由于缺少空间，导致无法在缓存中存储数据包信息的次数。
要清除所有接口的所有计数器，请单击清除所有接口的计数器。
要清除某接口的所有计数器，请选择该接口并单击清除接口计数器。
思科200系列智能型交换机管理指南 97 端口管理 10 本节介绍端口配置、链路聚合和绿色以太网功能。
其中包含以下主题： •配置端口•环回检测•链路聚合•UDLD•配置绿色以太网配置端口工作流程要配置端口，请执行以下操作：
1.使用“端口设置”页面配置端口。

2.使用“LAG管理”页面启用/禁用链路聚合控制(LAG)协议，并将潜在成员端口配置为所需的LAG。
默认情况下，所有LAG均为空。

3.使用“LAG设置”页面配置以太网参数，例如LAG的速度和自动协商。

4.使用LACP页面为作为动态LAG成员或候选成员的端口配置LACP参数。

5.使用“属性”页面配置绿色以太网和802.3节能以太网。

6.使用“端口设置”页面配置每端口的绿色以太网能源模式和802.3节能以太网。

7.如果设备支持并启用PoE，则按端口管理：PoE中所述配置该设备。
思科200系列智能型交换机管理指南 98 端口管理配置端口 10 端口配置可在以下页面配置端口。
端口设置 “端口设置”页面显示所有端口的全局设置和每端口设置。
此页面可使您通过“编辑端口设置”页面选择并配置所需端口。
配置端口设置的步骤：步骤1单击端口管理>端口设置。
步骤2选择巨型帧以支持最大为10Kb的数据包。
如果未启用（默认）巨型帧，则系统可支持最大为2,000字节的数据包。
要使巨型帧生效，必须在启用该功能之后重启设备。
步骤3单击应用以更新全局设置。
巨型帧配置更改仅在使用“复制/保存配置”页面将当前配置文件明确保存到启动配置文件，然后重启设备之后才会生效。
步骤4要更新端口设置，请选择所需端口，然后单击编辑。
步骤5修改以下参数：•接口-选择端口编号。
•端口说明-输入用户定义的端口名称或备注。
•端口类型-显示端口类型和速度。
可能的选项有：-铜缆端口-常规端口而非组合端口，支持以下值：10M、100M和1000M（类型：铜缆）。
-组合铜缆端口-与铜质CAT5电缆连接的组合端口，支持以下值：10M、100M和1000M（类型：组合铜缆）。
-组合光纤-SFP光纤千兆位接口转换器端口，支持以下值：100M和1000M（类型：组合光纤）。
-10G光纤-速度为1G或10G的端口。
注同时使用两个端口时，在组合端口中SFP光纤优先级较高。
•管理状态-选择重启设备时端口必须处于“启用”状态还是“禁用”状态。
•运行状态-显示端口当前是否处于“启用”状态。
如果端口由于错误而关闭，将会显示错误描述。
•链路状态SNMP陷阱-选择该选项可生成SNMPTrap，可通知端口链路状态的更改。
•自动协商-选择该选项可在端口上启用自动协商。
自动协商可使端口向端口链路伙伴通告其传输速度、双工模式和流量控制能力。
思科200系列智能型交换机管理指南 99 端口管理配置端口 10 •运行自动协商-显示端口上的当前自动协商状态。
•管理端口速度-选择端口的速度。
端口类型可确定可用的速度。
仅当禁用端口自动协商时，您才可以指定管理速度。
•运行端口速度-显示作为协商结果的当前端口速度。
•管理双工模式-选择端口双工模式。
仅当禁用自动协商时才会配置此字段，并且端口速度会设置为10M 或100M。
端口速度为1G时，始终处于全双工模式。
可能的选项有：-半双工-接口仅支持设备和客户端之间在某一时刻的单向传输。
-全双工-接口支持设备和客户端之间的同时双向传输。
•运行双工模式-显示端口当前的双工模式。
•自动通告-选择启用自动协商后，要由其通告的功能。
选项如下：-最大容量-可以接受所有端口速度和双工模式设置。
-10半双工-10Mbps速度和半双工模式。
-10全双工-10Mbps速度和全双工模式。
-100半双工-100Mbps速度和半双工模式。
-100全双工-100Mbps速度和全双工模式。
-1000全双工-1000Mbps速度和全双工模式。
•运行通告-显示当前发布到端口邻居的功能。
管理通告字段中指定了以下可能的选项。
•偏好模式-为自动协商操作选择接口的主从模式。
请选择以下其中一个选项：-从-以设备端口在自动协商过程中为从的偏好设置开始协商。
-主-以设备端口在自动协商过程中为主的偏好设置开始协商。
•邻居通告-显示通过邻居设备（链路伙伴）通告的功能。
•背压-在端口上选择“背压”模式（配合使用半双工模式），以降低设备拥挤时的数据包接收速度。
它会禁用远程端口，从而避免其通过拥堵信令来发送数据包。
•流量控制-启用或禁用802.3x流量控制，或在端口上启用流量控制的自动协商（仅适用于全双工模式）。
•MDI/MDIX-端口上的介质相关接口(MDI)/具有正反接线自适应功能的介质相关接口(MDIX)状态。
选项如下：-MDIX-选择该项可交换端口的传输和接收对。
-MDI-选择该选项可使用直通电缆将此设备连接到工作站。
-自动-选择该选项可将此设备配置为自动检测连接到其他设备的正确引出线。
思科200系列智能型交换机管理指南 100 端口管理配置端口 •运行MDI/MDIX-显示当前的MDI/MDIX设置。
•LAG中的成员-显示端口是否为LAG中的成员。
步骤6单击应用。
“端口设置”将写入当前配置文件中。
错误恢复设置利用此页面，可以在自动恢复间隔过后，自动重新激活因错误情况而关闭的端口。
配置错误恢复设置的步骤：步骤1单击端口管理>错误恢复设置。
步骤2输入以下字段：•自动恢复间隔-指定在端口关闭后进行自动错误恢复的时间延时（如果启用）。
端口假死自动恢复•端口安全-选择该选项可在端口因违反安全规则而关闭时，启用自动错误恢复。
•802.1x单主机违反规则-选择该选项可在802.1x关闭端口时，启用自动错误恢复。
•STP环回防护-在STP环回防护关闭端口时，启用自动恢复。
•环回检测-选择该选项可为环回检测关闭的端口启用错误恢复机制。
步骤3单击应用以更新全局设置。
手动重新激活端口的步骤：步骤1单击端口管理>错误恢复设置。
将显示未激活端口及其挂起原因的列表。
步骤2选择要重新激活的接口。
步骤3单击重新激活。
10 思科200系列智能型交换机管理指南 101 端口管理环回检测 10 环回检测环回检测(LBD)通过将环路协议数据包传输到已启用环路保护的端口之外，来提供环路保护。
当交换机发出环路协议数据包，然后又收到相同的数据包时，会关闭接收到该数据包的端口。
环回检测独立于STP运行。
发现环路后，系统会将接收到环路的端口置于关闭状态。
系统还将发送陷阱，并记录该事件。
网络管理员可以定义检测间隔来设置LBD数据包之间的时间间隔。
环回检测协议可以检测以下环路情况： •短路-环回所有接收流量的端口。
•直接多端口环路-交换机通过多个端口连接到其他交换机，同时STP会被禁用。
•LAN区段环路-交换机通过一个或多个端口连接到存在环路的LAN区段。
LBD的工作方式 LBD协议定期广播环回检测数据包。
交换机在接收自己的LBD数据包时会检测环路。
要使LBD对端口有效，以下条件必须成立： •全局启用LBD。
•在端口上启用LBD。
•端口工作状态为运行。
•端口处于STP转发/禁用状态（MSTP实例转发状态，实例0）。
LBD帧通过最高优先级队列在启用LBD的端口上传输（如果是LAG，则LBD会在LAG中的每个活动端口成员上传输）。
如果检测到环路，交换机将执行以下操作：•将接收端口或LAG设置为错误禁用状态。
•发出相应的SNMP陷阱。
•生成相应的系统日志消息。
配置环回检测默认设置和配置默认情况下，环回检测为禁用状态。
思科200系列智能型交换机管理指南 102 端口管理环回检测与其他功能进行交互如果在已启用环回检测的端口上启用STP，该端口必须为STP转发状态。
配置LBD工作流程启用和配置LBD的步骤：步骤1在“环回检测设置”页面中为整个系统启用环回检测。
步骤2在“环回检测设置”页面中为访问端口启用环回检测。
步骤3在“错误恢复设置”页面中为环回检测启用自动恢复。
配置环回检测的步骤：步骤1单击端口管理>环回检测设置。
步骤2在环回检测全局字段中选择启用以启用此功能。
步骤3输入检测间隔。
这是传输LBD数据包的间隔。
步骤4单击应用，以将配置保存到当前配置文件中。
系统还将对每个接口显示以下有关环回检测状态的字段：•管理-环回检测已启用。
•运行-环回检测已启用，但在接口上无效。
步骤5在接口类型为字段中选择是在端口上还是在LAG上启用LBD。
步骤6选择要启用LBD的端口或LAG，然后单击编辑。
步骤7在“环回检测状态”字段中为选定的端口或LAG选择启用。
步骤8单击应用，以将配置保存到当前配置文件中。
10 思科200系列智能型交换机管理指南 103 端口管理链路聚合 10 链路聚合本节介绍如何配置LAG。
其中包含以下主题：•链路聚合概述•默认设置和配置•静态和动态LAG工作流程•定义LAG管理•配置LAG设置•配置LACP 链路聚合概述链路聚合控制协议(LACP)是IEEE规格(802.3az)的一部分，可使您将多个物理端口捆绑在一起以形成单个逻辑通道(LAG)。
LAG可使设备之间的带宽成倍增加、增强端口灵活性并提供链路冗余。
支持两种类型的LAG： •静态-如果在LAG上禁用了LACP，则LAG为静态。
分配给静态LAG的端口组始终为活动成员。
手动创建LAG之后，无法添加或删除LACP选项，直到编辑LAG并删除一个成员（应用之前可以添加回去），之后LACP按钮才会变为可编辑。
•动态-如果在LAG上启用了LACP，则LAG为动态。
分配给动态LAG的端口组为候选端口。
LACP可确定哪个候选端口为活动成员端口。
非活动候选端口是准备替换任何失败的活动成员端口的备用端口。
负载均衡转发到LAG的流量在活动成员端口上呈负载均衡状态，从而可获得接近于LAG的所有活动成员端口的聚合带宽的有效带宽。
LAG的活动成员端口上的流量负载均衡由散列式分布函数管理，该函数可根据第2层或第3层数据包报头信息分布单播和组播流量。
设备支持两种模式的负载平衡： •按MAC地址-根据所有数据包的目的和源MAC地址。
•按IP和MAC地址-根据IP数据包的目的和源IP地址以及非IP数据包的目的和源MAC地址。
思科200系列智能型交换机管理指南 104 端口管理链路聚合 10 LAG管理通常，系统会将LAG处理为单个逻辑端口。
特别是，LAG具有类似于普通端口的端口属性，例如状态和速度。
设备支持8个LAG。
每个LAG均具有以下特性： •LAG中的所有端口必须属于相同的介质类型。
•要将端口添加到LAG，该端口不能属于任何VLAN（默认VLAN除外）。
•不得将某LAG中的端口分配给其他LAG。
•为静态LAG最多分配八个端口，并且最多有16个端口可以作为动态LAG的候选端口。
•LAG中的所有端口必须禁用自动协商，但是LAG可以启用自动协商。
•将端口添加到LAG后，LAG的配置将应用至该端口。
从LAG中删除端口后，将重新应用其原始配置。
•生成树等协议将LAG中的所有端口视作一个端口。
默认设置和配置默认情况下，端口不是LAG的成员，并且不能作为候选端口加入LAG。
静态和动态LAG工作流程手动创建LAG之后，无法添加或删除LACP，直到编辑LAG并删除一个成员之后，LACP按钮才会变为可编辑。
要配置静态LAG，请执行以下操作：
1.在LAG上禁用LACP以将其变为静态。
从端口列表中选择端口并将其移动到LAG成员列表，从而为静态 LAG最多分配八个成员端口。
选择LAG的负载均衡算法。
在“LAG管理”页面中执行这些操作。

2.使用“LAG设置”页面配置LAG的各个方面，例如速度和流量控制。
要配置动态LAG，请执行以下操作：
1.在LAG上启用LACP。
使用“LAG管理”页面从端口列表中选择端口并将其移动到LAG成员列表，从而为动态LAG最多分配16个候选端口。

2.使用“LAG设置”页面配置LAG的各个方面，例如速度和流量控制。

3.使用LACP页面设置LAG中的LACP优先级和端口超时。
思科200系列智能型交换机管理指南 105 端口管理链路聚合 10 定义LAG管理 “LAG管理”页面显示全局设置和每个LAG的设置。
该页面还可使您在“编辑LAG成员关系”页面上配置全局设置并选择和编辑所需LAG。
选择LAG的负载均衡算法的步骤：步骤1单击端口管理>链路聚合>LAG管理。
步骤2选择以下负载均衡算法之一：•MAC地址-按所有数据包上的源和目的MAC地址执行负载均衡。
•IP/MAC地址-按IP数据包上的源和目的IP地址以及非IP数据包上的目的和源MAC地址执行负载均衡。
步骤3单击应用。
负载均衡算法将保存至当前配置文件中。
在LAG中定义成员或候选端口的步骤：步骤1选择要配置的LAG，然后单击编辑。
系统将对每个LAG显示以下字段（仅介绍“编辑”页面中没有的字段）： •链路状态-显示端口处于连接还是中断状态。
•活动成员-LAG中的活动端口。
•备用成员-此LAG的候选端口。
步骤2为以下字段输入值：•LAG-选择LAG号。
•LAG名称-输入LAG名称或备注。
•LACP-选择该选项可在选择的LAG上启用LACP。
此操作可使其成为动态LAG。
仅在将端口移动到下
一字段中的LAG之后，才可启用此字段。
•端口列表-将那些要分配给LAG的端口从端口列表移动到LAG成员列表中。
可以为每个静态LAG最多分配八个端口，为动态LAG最多分配16个端口。
这些端口为候选端口。
步骤3单击应用。
LAG成员关系将保存至当前配置文件中。
思科200系列智能型交换机管理指南 106 端口管理链路聚合 10 配置LAG设置 “LAG设置”页面显示所有LAG的当前设置表。
您可以通过启动“编辑LAG设置”页面来配置所选LAG的设置并重新激活挂起的LAG。
配置LAG设置或重新激活挂起的LAG的步骤：步骤1单击端口管理>链路聚合>LAG设置。
步骤2选择一个LAG，然后单击编辑。
步骤3为以下字段输入值：•LAG-选择LAGID号。
•LAG类型-显示组成LAG的端口类型。
•说明-输入LAG名称或备注。
•管理状态-将选定的LAG设置为“启用”或“禁用”。
•运行状态-显示LAG当前是否处于运行状态。
•链路状态SNMP陷阱-选择该选项可生成SNMPTrap，可通知LAG中端口链路状态的更改。
•重新激活挂起的LAG-选择该选项可重新激活端口（如果已通过锁定端口安全性选项<300-500>或ACL配置禁用LAG）。
•管理自动协商-在LAG上启用或禁用自动协商。
自动协商是两个链路伙伴之间的协议，可使LAG向其伙伴通告自己的传输速率和流量控制（流量控制默认为已禁用）。
建议在聚合链路的两端同时启用或同时禁用自动协商，从而确保链路速度保持一致。
•运行自动协商-显示自动协商设置。
•管理速度-选择LAG速度。
•运行LAG速度-显示LAG运行时的当前速度。
•管理通告-选择要由LAG通告的功能。
选项如下：-最大容量-所有LAG速度和两种双工模式均可用。
-10全双工-LAG可通告10Mbps速度，模式为全双工。
-100全双工-LAG可通告100Mbps速度，模式为全双工。
-1000全双工-LAG可通告1000Mbps速度，模式为全双工。
-10000全双工-LAG可通告10000Mbps速度，模式为全双工。
•运行通告-显示“管理通告”状态。
LAG可将其功能通告给相邻的LAG，以开始协商流程。
管理通告字段中指定了以下可能值。
思科200系列智能型交换机管理指南 107 端口管理链路聚合 10 •管理流量控制-在LAG上将“流量控制”设置为启用或禁用，或者启用流量控制的自动协商。
•运行流量控制-显示当前的流量控制设置。
步骤4单击应用。
将更新当前配置文件。
配置LACP 动态LAG启用了LACP；在LAG中定义的每个候选端口上均运行LACP。
LACP优先级和规则 LACP系统优先级和LACP端口优先级均用来确定哪些候选端口会成为配有八个以上候选端口的动态LAG中的活动成员端口。
LAG中选择的候选端口全都连接到同一远程设备。
本地交换机和远程交换机均具有LACP系统优先级。
以下算法用来确定LACP端口优先级来自本地设备还是来自远程设备：将本地LACP系统优先级与远程LACP系统优先级作比较。
优先级最低的设备将控制LAG的候选端口选择。
如果二者优先级相同，则会比较本地MAC地址和远程MAC地址。
MAC地址优先级最低的设备将控制LAG的候选端口选择。
动态LAG最多可具有16个相同类型的以太网端口。
最多可有八个端口处于活动状态，而处于备用模式的端口也不能超过八个。
如果动态LAG中的端口数超过8个，链路控制端上的设备将使用端口优先级来确定将哪些端口捆绑到LAG中，以及使哪些端口处于热备份模式。
系统将忽略另一个设备（链路的非控制端）上的端口优先级。
以下是在动态LACP中选择活动端口或备用端口所使用的其他规则： •以不同于最高速活动成员的速度运行或以半双工模式运行的任何链路均处于备用状态。
动态LAG中的所有活动端口均以相同波特率运行。
•如果链路的端口LACP优先级低于当前活动的链路成员，并且活动成员的数量已达到最大数，则该链路将处于非活动状态和备用模式。
无链路伙伴的LACP 为了让LACP创建LAG，应该针对LACP配置链路两端上的端口（即端口发送LACPPDU并处理已接收的PDU）。
但是，存在暂时未针对LACP配置其中一个链路伙伴的情况。
例如，链路伙伴处于正在使用自动配置协议接收配置的设备上。
此设备的端口尚未配置为LACP。
如果LAG链路无法启用，则无法配置设备。
双NIC网络引导计算机（例如PXE）也会出现类似情况，它们只有在启动后才能接收LAG配置。
配置多个已配置LACP的端口后，如果在一个或多个端口中启用链路，但是链路伙伴没有对这些端口提供任何LACP响应，那么第一个连接的端口将添加到LACPLAG并处于激活状态（其他端口将成为非候选端口）。
例如，通过这种方式，邻居设备便可以使用DHCP获取IP地址，并使用自动配置获取配置。
思科200系列智能型交换机管理指南 108 端口管理 UDLD 10 设置LACP参数设置使用LACP页面为LAG配置候选端口并针对每个端口配置LACP参数。
在所有因素相同的情况下，当LAG配有的候选端口数大于活动端口允许的最大数（8个）时，设备会从具有最高优先级的设备上的动态LAG中选择作为活动端口的端口。
注LACP设置与不是动态LAG成员的端口不相关。
定义LACP设置的步骤：步骤1单击端口管理>链路聚合>LACP。
步骤2输入LACP系统优先级。
请参阅LACP优先级和规则。
步骤3选择一个端口，然后单击编辑。
步骤4为以下字段输入值：•端口-选择要为其指定超时值或优先级值的端口号。
•LACP端口优先级-输入端口的LACP优先级值。
请参阅设置LACP参数设置。
•LACP超时-连续LACPPDU的发送与接收之间的时间间隔。
选择以较快还是较慢的传输速度来定期传输LACPPDU，具体取决于明确的LACP超时首选。
步骤5单击应用。
将更新当前配置文件。
UDLD 请参阅端口管理：单向链路检测。
PoE 请参阅端口管理：PoE。
思科200系列智能型交换机管理指南 109 端口管理配置绿色以太网 10 配置绿色以太网本节介绍旨在节省设备电源的绿色以太网功能。
其中包括以下各节内容： •绿色以太网概述 •全局绿色以太网属性 •绿色以太网端口属性绿色以太网概述绿色以太网是一组功能的通称，这些功能专为保护环境而设计，可降低设备的功耗。
绿色以太网与EEE的不同之处在于，所有设备上都可启用绿色以太网电量检测，而EEE只能在千兆端口上启用。
绿色以太网功能通过以下方法降低总电能使用量： •电量检测模式-在非活动链路上，端口会转变为非活动模式，从而节省电能，同时使端口的管理状态保持“启用”状态。
从此模式恢复为完全运行模式的过程既快速又明显，而且不会丢失任何帧。
GE和FE端口均支持此模式。
•短距模式-该功能可在长度较短的电缆上提供节能功能。
分析电缆长度之后，将针对各种电缆长度调整电能使用量。
如果电缆短于50米，则设备将使用较少电能来通过电缆发送帧，从而节省能源。
仅在RJ45GE端口上支持此模式；此模式不会应用到组合端口。
默认情况下，此模式为全局禁用状态。
如果启用了EEE模式，则无法启用短距模式（见下文）。
除了上述绿色以太网功能之外，还可在支持GE端口的设备上启用802.3az节能以太网(EEE)。
EEE可在端口上没有流量时降低功耗。
请参阅802.3az节能以太网功能了解详情（仅在GE模式下可用）。
默认情况下，EEE为全局启用状态。
在指定端口上，如果启用了EEE，则将禁用短距模式。
如果启用了短距模式，EEE将变成灰色。
这些模式在每个端口进行配置，无需考虑端口的LAG成员关系。
设备LED是消耗电能的产品。
设备在大多数时间都是处于闲置状态，因此让这些LED亮着是对能源的一种浪费。
通过绿色以太网功能，您可以在不需要端口LED（用于监控链路、速度和PoE）时将其禁用，也可以在需要时（调试、连接其他设备等）启用这些LED。
在“系统摘要”页面上，设备板图片上显示的LED不受LED禁用的影响。
可以监控节能量、当前功耗和累计节省的电量。
节能总量可看作物理接口若不在绿色以太网模式下运行而本应消耗的电能百分比。
显示的节能量仅为绿色以太网的节能量。
不会显示EEE的节能量。
思科200系列智能型交换机管理指南 110 端口管理配置绿色以太网 10 通过禁用端口LED节能通过禁用端口LED功能，可以节约设备LED消耗的电量。
由于设备经常处于闲置状态，因此让这些LED亮着是对能源的一种浪费。
通过绿色以太网功能，您可以在不需要端口LED（用于监控链路、速度和PoE）时将其禁用，也可以在需要时（调试、连接其他设备等）启用这些LED。
在“系统摘要”页面上，设备板图片上显示的LED不受LED禁用的影响。
可以在“绿色以太网>属性”页面禁用端口LED。
802.3az节能以太网功能本节介绍802.3az节能以太网(EEE)功能。
其中包含以下主题： •802.3azEEE概述•通告功能协商•802.3azEEE链路级发现•802.3azEEE的可用性•默认配置•功能之间的交互•802.3azEEE配置工作流程 802.3azEEE概述 802.3azEEE旨在在链路上没有流量时节省能源。
绿色以太网功能是在端口关闭时节省电量。
使用802.3azEEE，可在端口处于启用状态（端口上没有流量）时节省能源。
仅在具有GE端口的设备上支持802.3azEEE。
使用802.3azEEE时，链路两端的系统均可禁用部分自身功能，在没有流量时节省能源。
802.3azEEE支持IEEE802.3MAC操作，速度为100Mbps和1000Mbps：LLDP用于为两台设备选择最佳参数集。
如果链路伙伴不支持LLDP或已禁用LLDP，802.3azEEE仍可运行，但可能不会处于最佳运行模式。
802.3azEEE功能是通过使用名为低功耗闲置(LPI)模式的端口模式实施的。
如果端口上没有流量并启用了该功能，则端口将被置于可大幅降低功耗的LPI模式。
连接的两端（设备端口和连接的设备）均必须支持802.3azEEE，以便其顺利运行。
没有流量时，两端均会发送信令，表示将要减低功耗。
端口接收到来自两端的信令之后，“保持活动”信令表示端口处于LPI状态下（未处于“禁用”状态）并且已降低功耗。
要使端口一直处于LPI模式，必须从两端不断接收“保持活动”信令。
思科200系列智能型交换机管理指南 111 端口管理配置绿色以太网 10 通告功能协商自动协商阶段，将通告802.3azEEE支持。
使用自动协商，连接的设备可以检测链路另一端设备所支持的能力（运行模式）、确定共用能力，并配置自身设置以便进行联合运行。
自动协商可在连接时执行，可按照管理系统命令执行，也可以在检测到链接错误时执行。
链路建立过程中，链路伙伴的双方将交换各自的802.3azEEE功能。
在设备上启用自动协商之后，该功能可自动运行，无需用户交互。
注如果端口上未启用自动协商，那么将禁用EEE。
唯一的例外情况是，如果链路速度为1GB，那么即使禁用了自动协商，EEE仍将保持启用状态。
802.3azEEE链路级发现除了上述功能之外，还将根据IEEE标准802.1AB协议(LLDP)的附录G中定义的组织特定的TLV，使用帧来通告802.3azEEE的功能和设置。
LLDP用于完成自动协商后，进一步优化802.3azEEE运行。
802.3azEEETLV用来调整系统苏醒和刷新周期。
802.3azEEE的可用性请查看版本备注，获得支持EEE产品的完整列表。
默认配置默认情况下，802.3azEEE和EEELLDP处于全局启用和每端口启用状态。
功能之间的交互以下内容将介绍802.3azEEE与其他功能的交互：•如果端口上未启用自动协商，那么将禁用802.3azEEE运行状态。
唯一的例外情况是，如果链路速度为1GB，那么即使禁用了自动协商，EEE仍将保持启用状态。
•如果已启用802.3azEEE且将启用端口，那么将根据端口苏醒时间的最大值立即开始工作。
•在GUI上，如果选中端口上的“短距模式”选项，则该端口的EEE字段不可用。
•如果将GE端口上的端口速度更改为10Mbit，则将禁用802.3azEEE。
仅在GE模式下支持。
802.3azEEE配置工作流程本节介绍如何配置802.3azEEE功能，以及查看其计数器的方法。
步骤1打开端口管理>端口设置页面，确保已在端口上启用自动协商。
a.选择一个端口，打开“编辑端口设置”页面。
b.选择自动协商字段，确保已启用该字段。
步骤2确保“端口管理>绿色以太网>属性”页面中的802.3节能以太网(EEE)已全局启用（默认情况下，此功能处于启用状态）。
该页面还会显示已节省的能源量。
思科200系列智能型交换机管理指南 112 端口管理配置绿色以太网 10 步骤3打开“绿色以太网>端口设置”页面，确保已在端口上启用802.3azEEE。
a.选择一个端口，打开“编辑端口设置”页面。
b.在端口上选中802.3节能以太网(EEE)模式（默认情况下，此功能处于启用状态）。
c.在802.3节能以太网(EEE)LLDP中选择是否禁用通过LLDP通告802.3azEEE功能（默认情况下，此功能处于启用状态）。
步骤4要在本地设备上查看与802.3EEE相关的信息，请打开“管理>发现协议-LLDP>LLDP本地信息”页面，查看“802.3节能以太网(EEE)”部分中的信息。
步骤5要在远程设备上显示802.3azEEE的信息，请打开“管理>发现协议-LLDP>LLDP邻居信息”页面，查看“802.3节能以太网(EEE)”部分中的信息。
全局绿色以太网属性 “属性”页面显示设备的绿色以太网模式配置，还可用来对该模式进行配置。
它还会显示当前的节电量。
启用绿色以太网和EEE并查看节电量的步骤：步骤1单击端口管理>绿色以太网>属性。
步骤2为以下字段输入值：•电量检测模式-默认情况下，此模式处于禁用状态。
单击该复选框可启用此模式。
•短距-如果设备上有GE端口，则全局启用或禁用短距模式。
注如果启用了短距，则必须禁用EEE。
•端口LED-选择该选项可启用端口LED。
如果将这些端口LED禁用，它们将无法显示链路状态、活动等。
•节能-显示运行环保以太网和短距所节约的电能百分比。
显示的节能量仅指短距模式和电量检测模式节约的电能。
EEE节能量是以端口利用率为基础的，所以具有动态性，因而不会将其考虑在内。
通过比较未启动节能时的最大功耗和当前消耗来计算节约的电能。
•累计节省的电量-显示自上一次重启设备所节省的电量。
每当出现影响节电量的事件时都会更新此值。
•802.3节能以太网(EEE)-全局启用或禁用EEE模式。
步骤3单击重置节能计数器-重置“累计节省的电量”信息。
步骤4单击应用。
绿色以太网属性将写入当前配置文件。
思科200系列智能型交换机管理指南 113 端口管理配置绿色以太网 10 绿色以太网端口属性 “端口设置”页面显示每个端口当前的绿色以太网和EEE模式，使用“编辑端口设置”页面可配置端口上的绿色以太网。
要在端口上运行绿色以太网模式，必须在“属性”页面中全局激活相应模式。
仅显示具有GE端口的设备的EEE设置。
仅在端口设置为自动协商时，EEE才会运行。
例外情况是，如果端口的速度为1GB或更高，那么即使已禁用自动协商，EEE仍会运行。
定义每端口绿色以太网设置的步骤：步骤1单击端口管理>绿色以太网>端口设置。
“端口设置”页面显示以下字段： •全局参数状态-描述启用的功能。
对于每个端口，系统将会列出以下字段： •端口-端口号。
•电量检测-有关电量检测模式的端口状态： -管理-显示是否启用了电量检测模式。
-运行-显示电量检测模式当前是否处于运行状态。
-原因-如果电量检测模式未处于运行状态，则显示原因。
•短距-有关短距模式的端口状态：-管理-显示是否启用了短距模式。
-运行-显示短距模式当前是否处于运行状态。
-原因-如果短距模式为处于运行状态，则显示原因。
-电缆长度-显示VCT返回的电缆长度（以米为单位）。
注仅在RJ45GE端口上支持短距模式；此模式不会应用到组合端口。
•802.3节能以太网(EEE)-有关EEE功能的端口状态：-管理-显示是否启用了EEE模式。
-运行-显示EEE目前是否在本地端口上运行。
显示是否启用过此功能（管理状态）、是否在本地端口上已启用此功能，以及此功能是否在本地端口上运行。
-LLDP管理-显示是否启用了通过LLDP通告EEE计数器。
-LLDP运行-显示当前是否正在运行通过LLDP通告EEE计数器。
-EEE远程支持-显示链路伙伴上是否支持EEE。
本地和远程链路伙伴必须均支持EEE。
思科200系列智能型交换机管理指南 114 端口管理配置绿色以太网 10 注该窗口将显示各个端口的短距、电量检测和EEE设置；但是，除非已使用“属性”页面全局启用上述模式，否则这些模式在所有端口上均为禁用状态。
要全局启用短距和EEE，请参阅全局绿色以太网属性。
步骤2选择一个端口，然后单击编辑。
步骤3选择在该端口上启用还是禁用电量检测模式。
步骤4如果设备上带有GE端口，选择在该端口上启用还是禁用短距模式。
步骤5如果设备上带有GE端口，选择在该端口上启用还是禁用802.3节能以太网(EEE)模式。
步骤6如果设备上带有GE端口，选择在该端口上启用还是禁用802.3节能以太网(EEE)LLDP模式（通过LLDP通告EEE功能）。
步骤7单击应用。
绿色以太网端口设置将写入当前配置文件。
思科200系列智能型交换机管理指南 115 端口管理：单向链路检测 11 本部分介绍单向链路检测(UDLD)功能如何发挥作用。
其中包含以下主题： •UDLD概述•UDLD操作•使用指南•与其他功能的依赖性•默认设置和配置•使用说明•常见UDLD任务•配置UDLD UDLD概述 UDLD是一个第2层协议，可使通过光纤或双绞线以太网电缆连接的设备检测单向链路。
每当本地设备收到来自相邻设备的流量，但邻居未收到来自本地设备的流量时，就发生了单向链路。
UDLD的目的是检测邻居未收到本地设备流量的端口（单向链路），并关闭这些端口。
所有连接的设备都必须支持UDLD，才能让协议成功检测到单向链路。
如果仅本地设备支持UDLD，则设备无法检测链路状态。
在这种情况下，链路的状态将设置为待定。
用户可以进行配置，是关闭处于待定状态的端口还是仅触发通知。
思科200系列智能型交换机管理指南 116 端口管理：单向链路检测 UDLD操作 11 UDLD操作 UDLD状态和模式根据UDLD协议，端口将分配以下状态：•检测-系统正在尝试确定链路是双向还是单向。
这是一种临时状态。
•双向-本地设备发送的流量会由其邻居接收，且来自邻居的流量会由本地设备接收。
•关闭-链路为单向。
本地设备发送的流量会由其邻居接收，但来自邻居的流量未被本地设备接收。
•待定-由于发生了以下情况之
一，系统无法确定端口的状态：-邻居不支持UDLD。
或-邻居未收到来自本地设备的流量。
此时，UDLD的行为取决于设备的UDLD模式，如下所述。
UDLD支持以下操作模式：•正常如果系统确定端口的链路状态为双向并且UDLD信息超时，同时端口上的链路仍在运行，则UDLD将尝试重新建立端口状态。
•积极如果系统确定端口的链路状态为双向并且UDLD信息超时，则UDLD将在较长一段时间后可以确定链路出现故障时关闭该端口。
UDLD的端口状态将标记为待定。
发生以下一种情况时，端口上将启用UDLD：•端口为光纤端口且UDLD已全局启用。
•端口为铜缆端口，且您专门在端口上启用了UDLD。
UDLD的工作方式 UDLD在端口上启用后，将执行以下操作：•UDLD启动端口检测状态。
在此状态下，UDLD在每个活动接口上定期向所有邻居发送消息。
这些消息包含所有已知邻居的设备ID。
它会根据用户定义的消息时间发送这些消息。
思科200系列智能型交换机管理指南 117 端口管理：单向链路检测 UDLD操作 11 •UDLD接收来自相邻设备的UDLD消息。
它会缓存这些信息，直到过期时间（消息时间的3倍）个结束。
如果在过期之前收到新消息，则新消息中的信息将替换旧消息。
•过期时间结束后，设备会对收到的信息执行以下操作：-如果邻居消息包含本地设备ID-端口的链路状态将设置为双向。
-如果邻居消息不包含本地设备ID-端口的链路状态将设置为单向，且端口将关闭。
•如果在过期时间范围内未从相邻设备收到UDLD消息，端口的链路状态将设置为待定，且会发生以下情况：-如果设备在正常UDLD模式下：将发出通知。
-如果设备在积极UDLD模式下：端口将关闭。
如果接口处于双向或待定状态，则设备将每隔消息时间（秒）就定期发送一条消息。
上述步骤将一再重复执行。
已关闭的端口可在“端口管理>错误恢复设置”页面手动重新激活。
有关详情，请参阅重新激活关闭的端口。
如果一个接口已关闭且UDLD已启用，设备将删除所有邻居信息，并向邻居发送至少一条ULDL消息，告知它们端口已关闭。
端口开启后，UDLD状态将更改为“检测”。
UDLD在邻居上不受支持或已禁用如果UDLD在邻居上不受支持或已禁用，那么设备不会从邻居收到任何UDLD消息。
在这种情况下，设备无法确定链路是单向还是双向。
然后，接口的状态将设置为待定。
重新激活关闭的端口您可以使用以下方式之一重新激活被UDLD关闭的端口：•自动-您可以在“端口管理>错误恢复设置”页面将系统配置为自动激活由UDLD关闭的端口。
在这种情况下，如果端口被UDLD关闭，则在自动恢复间隔到期后，端口会自动重新激活。
UDLD会再次开始在端口上运行。
例如，如果链路仍然为单向，则在UDLD过期时间结束后，UDLD会再次将其关闭。
•手动-您可以在“端口>错误恢复设置”页面重新激活端口。
思科200系列智能型交换机管理指南 118 端口管理：单向链路检测使用指南 11 使用指南思科不建议您在与不支持或禁用UDLD的设备连接的端口上启用UDLD。
如果在与不支持UDLD的设备连接的端口上发送UDLD数据包，则会导致端口上出现更多流量，不会提供任何益处。
此外，配置UDLD时请考虑以下事项： •根据关闭单向链接端口的紧急程度设置消息时间。
消息时间越短，发送和分析的UDLD数据包就越多，但如果链路为单向，则端口关闭的速度就越快。
•如果希望在铜缆端口上启用UDLD，则必须在每个端口上启用。
如果全局启用UDLD，则UDLD仅会在光纤端口上启用。
•如果只希望在确信链路为单向时关闭端口，请将UDLD模式设置为正常。
•如果您希望在单向和双向链路均丢失时才关闭端口，请将UDLD模式设置为积极。
与其他功能的依赖性 •UDLD和第1层。
如果UDLD已在端口上启用，则UDLD会在端口启用时在端口上活跃运行。
如果端口关闭，UDLD会进入UDLD关闭状态。
在此状态下，UDLD会删除所有已学习的邻居。
如果端口已从关闭更改为开启，UDLD会恢复积极运行状态。
•UDLD和第2层协议UDLD的运行独立于同一端口上运行的其他第2层协议，如STP或LACP。
例如，无论端口的STP状态如何，也无论端口是否属于LAG，UDLD都会向端口分配一个状态。
默认设置和配置此功能存在以下默认设置：•默认状态下，UDLD在设备的所有端口上都为禁用状态。
•默认消息时间为15秒。
•默认过期时间为45秒（消息时间的3倍）。
思科200系列智能型交换机管理指南 119 端口管理：单向链路检测使用说明 11 •默认端口UDLD状态：-光纤接口处于全局UDLD状态。
-非光纤接口处于禁用状态。
使用说明无需执行任何预备任务。
常见UDLD任务本部分介绍设置UDLD的一些常见任务。
工作流程1：要在光纤端口上全局启用UDLD，请执行以下步骤：步骤1打开端口管理>UDLD全局设置页面。
a.在消息时间字段中输入值。
b.在“光纤端口UDLD默认状态”字段中，输入已禁用、正常或积极作为全局UDLD状态。
步骤2单击应用工作流程2：要更改光纤端口的UDLD配置或要在铜缆端口上启用UDLD，请执行以下步骤：步骤1打开端口管理>UDLD全局设置页面。
a.选择一个端口。
b.选择默认、已禁用、正常或Aggressive作为端口的UDLD状态。
如果选择了“默认”，则端口会接收全局设置。
步骤2单击应用。
思科200系列智能型交换机管理指南 120 端口管理：单向链路检测配置UDLD 11 工作流程3：要在端口被UDLD关闭且未配置自动重新激活的情况下开启端口，请执行以下步骤：步骤1打开端口管理>错误恢复设置页面。
a.选择一个端口。
b.单击重新激活。
配置UDLD 可同时针对所有光纤端口配置UDLD功能（位于“UDLD全局设置”页面），也可以对每个端口单独配置（位于“UDLD接口设置”页面）。
UDLD全局设置 “光纤端口UDLD默认状态”仅适用于光纤端口。
“消息时间”字段适用于铜缆端口和光纤端口。
全局配置UDLD的步骤：步骤1单击端口管理>UDLD>UDLD全局设置。
步骤2输入以下字段：•消息时间-输入发送UDLD消息的时间间隔。
此字段适用于光纤端口和铜缆端口。
•光纤端口UDLD默认状态-此字段仅适用于光纤端口。
铜缆端口的UDLD状态必须在“UDLD接口设置”页面单独设置。
可能的状态包括：-已禁用-UDLD在设备的所有端口上都为禁用状态。
-正常-如果链路为单向，设备将关闭接口。
如果链路为待定，则将发送通知。
-积极-如果链路为单向，设备将关闭接口。
如果链路为单向，则在UDLD信息超时后，设备将关闭。
端口状态将标记为待定。
步骤3单击应用，以将设置保存到当前配置文件中。
思科200系列智能型交换机管理指南 121 端口管理：单向链路检测配置UDLD 11 UDLD接口设置使用“UDLD接口设置”页面更改特定端口的UDLD状态。
此处的状态可针对铜缆或光纤端口设置。
要将一组特定的值复制到不止一个端口，请设置一个端口的值，并使用复制按钮将其复制到其他端口。
为接口配置UDLD的步骤：步骤1单击端口管理>UDLD>UDLD接口设置。
系统将针对所有启用了UDLD的端口显示信息，或者，如果您仅筛选了某一组端口，则将针对这组端口显示信息。
•端口-端口标识符。
•UDLD状态-可能的状态有：-已禁用-UDLD在设备的所有光纤端口上都为禁用状态。
-正常-如果设备检测到链路为单向，则将关闭接口。
如果链路为待定，则将发出通知。
-积极-如果链路为单向，设备将关闭接口。
如果链路为单向，则在UDLD信息超时后，设备将关闭。
端口状态将标记为待定。
•双向状态-为选定端口选择此字段的值。
可能的状态包括：-检测-端口的最新UDLD状态正在确定过程中。
从上次确定（如有）或UDLD开始在端口上运行开始，过期时间尚未结束，因此，状态还不确定。
-双向-本地设备发送的流量会由其邻居接收，且来自邻居的流量会由本地设备接收。
-待定-端口及其连接端口之间的链路状态无法确定，原因可能为未收到UDLD消息，或者UDLD消息中未包含本地设备ID。
-已禁用-UDLD已在此端口上禁用。
-关闭-由于端口与连接设备之间的链路在积极模式下为待定，因此端口已关闭。
•邻近数量-检测到的已连接设备数量。
步骤2要为特定端口修改UDLD状态，请选择端口并单击编辑。
步骤3修改UDLD状态的值。
如果选择默认，端口会接收“全局UDLD设置”页面中光纤端口UDLD默认状态的值。
步骤4单击应用，以将设置保存到当前配置文件中。
思科200系列智能型交换机管理指南 122 端口管理：单向链路检测配置UDLD 11 UDLD邻近查看所有与本地设备连接的设备的步骤：步骤1单击端口管理>UDLD>UDLD邻近。
以下字段会对所有启用了UDLD的端口显示： •接口名称-启用了UDLD的本地端口的名称。
•邻近信息： -设备ID-远程设备的ID。
-设备MAC-远程设备的MAC地址。
-设备名称-远程设备的名称。
-端口ID-远程端口的名称。
•状态-本地端口上本地设备与相邻设备之间的链路状态。
可能的值如下所示：-检测-端口的最新UDLD状态正在确定过程中。
从上次确定（如有）或UDLD开始在端口上运行开始，过期时间尚未结束，因此，状态还不确定。
-双向-本地设备发送的流量会由其邻居接收，且来自邻居的流量会由本地设备接收。
-待定-端口及其连接端口之间的链路状态无法确定，原因可能为未收到UDLD消息，或者UDLD消息中未包含本地设备ID。
-已禁用-UDLD已在此端口上禁用。
-关闭-由于端口与连接设备之间的链路在积极模式下为待定，因此端口已关闭。
•邻近到期时间(秒)-显示在设备尝试确定端口UDLD状态之前必须经历的时间。
此时间为消息时间的三倍。
•邻近消息时间(秒)-显示UDLD消息之间的时间。
思科200系列智能型交换机管理指南 123 智能端口 12 本文档介绍智能端口功能。
其中包含以下主题： •综述•什么是智能端口•智能端口类型•智能端口宏•宏失败和重置操作•智能端口功能如何运作•自动智能端口•错误处理•默认配置•与其他功能的关系和向后兼容性•常见智能端口任务•使用基于Web的界面配置智能端口•内置智能端口宏综述智能端口功能提供了一种简便的方法来保存和共享通用配置。
通过将同一智能端口宏应用到多个接口，这些接口可以共享一组通用配置。
智能端口宏可按与宏关联的智能端口类型应用到接口。
思科200系列智能型交换机管理指南 124 智能端口什么是智能端口 12 可通过两种方法按智能端口类型将智能端口宏应用到接口：•静态智能端口-您可手动将智能端口类型分配到接口。
最终将相应的智能端口宏应用到接口。
•自动智能端口-自动智能端口会等待设备连接到接口，然后再应用配置。
当从接口检测到设备时，会自动应用与连接设备的智能端口类型相对应的智能端口宏（如果已分配）。
智能端口功能包含多种组件，并与设备上的其他功能相互配合。
这些组件和功能将在下文予以说明：•本节介绍了智能端口、智能端口类型和智能端口宏。
•语音VLAN一节中介绍了语音VLAN和智能端口。
•分别在配置LLDP和配置CDP部分介绍了智能端口LLDP和智能端口CDP。
此外，常见智能端口任务一节还将介绍典型工作流程。
什么是智能端口智能端口是可应用内置宏的接口。
这些宏旨在提供一种快速配置设备的方法，从而支持通信要求并利用各种网络设备的功能。
如果接口与IP电话、打印机或路由器和/或接入点(AP)连接，网络接入和QoS要求可能不同。
智能端口类型智能端口类型是指已与智能端口连接或将与之连接的设备的类型。
设备支持以下智能端口类型：•打印机•台式机•访客•服务器•主机•IP摄像机•IP电话•IP电话+台式机•交换机•路由器•无线接入点思科200系列智能型交换机管理指南 125 智能端口智能端口类型 12 智能端口类型都进行命名，以便其描述与接口连接的设备类型。
每种智能端口类型都与两个智能端口宏关联。
其中一个宏称为“宏”，用于应用所需的配置。
另一个宏称为“反宏”，用于在接口成为其他智能端口类型时，撤销“宏”执行的所有配置。
下表列出了智能端口类型和自动智能端口的关系智能端口类型未知默认打印机台式机访客服务器主机IP摄像机IP电话IP电话台式机交换机路由器无线接入点得到自动智能端口支持否否否否否否是否是是是是是默认得到自动智能端口的支持否否否否否否否否是是是否是特殊智能端口类型有两种特殊的智能端口类型；默认和未知。
这两种类型不与宏关联，但是它们存在的目的是显示与智能端口有关的接口状态。
以下是对这些特殊智能端口类型的介绍： •默认本身未分配（尚未分配）智能端口类型的接口具有“默认”智能端口状态。
如果自动智能端口已向接口分配智能端口类型，而该接口未配置为“自动智能端口永久”状态，则其智能端口类型将在以下情况下重新初始化为“默认”状态： -在该接口上执行断开/连接操作。
-重启设备。
-与该接口连接的所有设备都已过期，过期的定义是在规定的时间内，没有来自设备的CDP和/或LLDP通告。
思科200系列智能型交换机管理指南 126 智能端口智能端口宏 12 •未知如果将智能端口宏应用到接口后发生错误，该接口将被分配“未知”状态。
这种情况下，智能端口和自动智能端口功能不会在该接口上运行，直到您修正错误，并应用“重置”动作（在“接口设置”页面执行）重新设置智能端口状态。
有关故障排除的提示，请参阅常见智能端口任务一节中的工作流程部分。
注在本节中，“过期”一词用来描述通过其TTL的LLDP和CDP消息。
如果已启用自动智能端口同时禁用永久状态，且在最新CDP和LLDP数据包的TTL降为0之前不再接收CDP或LLDP消息，则反宏将运行，同时智能端口类型将返回默认值。
智能端口宏智能端口宏是脚本，用来为特定网络设备配置适宜的接口。
智能端口宏不能与全局宏混为一谈。
全局宏对设备进行全局配置，而智能端口宏的范围限于所应用的接口。
要查找宏源，可在“智能端口类型设置”页面上单击查看宏源按钮。
宏与对应的反宏相互配对，并与各智能端口类型相关联。
宏应用配置，而反宏移除配置。
两个智能端口宏按照其名称配对，如下所示： •macro_name（如：printer）•no_macro_name（如：no_printer，智能端口宏打印机的反智能端口宏）有关各设备类型的内置智能端口宏的列表，请参阅内置智能端口宏。
将智能端口类型应用到接口将智能端口类型应用到接口后，智能端口类型和关联智能端口宏中的配置将保存在当前配置文件中。
如果管理员将当前配置文件保存到启动配置文件中，设备重启后会将智能端口类型和智能端口宏应用到接口，具体包括以下几种情况： •如果启动配置文件未为接口指定智能端口类型，它的智能端口类型将设为“默认”。
•如果启动配置文件指定了静态智能端口类型，接口的智能端口类型将设为此静态类型。
•如果启动配置文件指定了由自动智能端口动态分配的智能端口类型： -如果已全部启用自动智能端口全局运行状态、接口自动智能端口状态和永久状态，智能端口类型将设为此动态类型。
-否则将应用对应的反宏，并且接口状态将设为“默认”。
思科200系列智能型交换机管理指南 127 智能端口宏失败和重置操作 12 宏失败和重置操作如果接口的现有配置与智能端口宏之间存在冲突，智能端口宏可能失败。
智能端口宏失败时，系统将发送包含以下参数的系统日志消息： •端口编号•智能端口类型•宏中失败CLI命令的行号当接口上的智能端口宏失败时，该接口的状态将设为未知。
失败原因可显示在“接口设置”页面、显示诊断弹出窗口上。
在确定问题来源并修正现有配置或智能端口宏之后，必须先对接口执行重置操作，然后才可重新应用智能端口类型（在“接口设置”页面中）。
有关故障排除的提示，请参阅常见智能端口任务一节中的工作流程部分。
智能端口功能如何运作智能端口宏可按或与宏关联的智能端口类型应用到接口。
某些设备不允许使用CDP和/或LLDP进行搜索，系统会为与这些设备对应的智能端口类型提供支持，因此这些智能端口类型必须静态分配到所需的接口。
要执行此操作，可导航至“接口设置”页面，选择所需接口的单选按钮，然后单击编辑。
接着，选择想要分配的智能端口类型，根据需要调整参数，然后单击应用。
可通过两种方法按智能端口类型将智能端口宏应用到接口： •静态智能端口您可手动将智能端口类型分配到接口。
相应的智能端口宏会应用到接口。
您可在“接口设置”页面手动将智能端口类型分配到接口。
•自动智能端口当从接口检测到设备时，会自动应用与连接设备的智能端口类型相对应的智能端口宏（如果有）。
自动智能端口默认在全局和接口层启用。
两种情况下，当从接口移除智能端口类型时系统都会运行关联的反宏，并且反宏会以完全相同的方式运行，从而移除所有的接口配置。
思科200系列智能型交换机管理指南 128 智能端口自动智能端口 12 自动智能端口为使自动智能端口自动向接口分配智能端口类型，必须在全局启用自动智能端口功能的同时还要在允许配置自动智能端口的相关接口上启用该功能。
默认情况下，将启用自动智能端口并且允许配置所有接口。
各接口分配的智能端口类型由各接口上分别接收的CDP和LLDP数据包决定。
•如果多个设备与接口连接，适合所有设备的配置模板将应用到接口（如果可能）。
•如果设备已过期（不再接收来自其他设备的通告），接口配置会根据其永久状态进行更改。
如果已启用永久状态，接口配置将得以保留。
如果未启用，智能端口类型将恢复为“默认”。
启用自动智能端口在“属性”页面上，可通过以下方法全局启用自动智能端口：•已启用-这将手动启用自动智能端口，并立即使其生效。
•通过自动语音VLAN启用-如果已启用自动语音VLAN且其处于运行状态，通过该选项便可运行自动智能端口。
“通过自动语音VLAN启用”是默认设置。
注除全局启用自动智能端口外，您还必须在所需接口启用自动智能端口。
默认情况下，所有接口都启用自动智能端口。
有关启用自动语音VLAN的详情，请参阅语音VLAN 标识智能端口类型如果全局启用自动智能端口（在“属性”页面）并在某接口启用（在“接口设置”页面）该功能，设备会根据连接设备的智能端口类型，将智能端口宏应用到接口。
自动智能端口会根据设备通告的CDP和/或LLDP，获取连接设备的智能端口类型。
例如，如果IP电话与端口连接，它将传输CDP或LLDP数据包来通告其功能。
在接收到这些CDP和/或LLDP数据包之后，设备将获取适用于电话的智能端口类型，然后将对应的智能端口宏应用到连接IP电话的接口。
除非接口上已启用永久自动智能端口，否则，当连接设备过期、断开、重启或接收到冲突功能时，自动智能端口应用的智能端口类型和结果配置将被移除。
过期次数由特定时间内，未收到设备的CDP和/或LLDP通告来决定。
使用CDP/LLDP信息标识智能端口类型设备根据CDP/LLDP功能检测与端口连接的设备类型。
思科200系列智能型交换机管理指南 129 智能端口自动智能端口该映射显示于以下各表中：CDP功能到智能端口类型的映射功能名路由器TB网桥SR网桥交换机主机IGMP有条件过滤中继器VoIP电话远程管理设备CAST电话端口二端口MAC中继 CDP位0x010x020x040x080x100x200x400x800x1000x2000x400 智能端口类型路由器无线接入点忽略交换机主机忽略忽略ip_phone忽略忽略忽略 LLDP功能到智能端口类型的映射功能名其他中继器IETFRFC2108MAC网桥IEEE标准802.1DWLAN接入点IEEE标准802.11MIB路由器IETFRFC1812电话IETFRFC4293DOCSIS电缆设备IETFRFC4639和IETFRFC4546 仅站IETFRFC4293VLAN网桥IEEE标准的C-VLAN组件802.1Q LLDP位1234567 89 智能端口类型忽略忽略交换机无线接入点路由器ip_phone忽略主机交换机思科200系列智能型交换机管理指南 12 130 智能端口自动智能端口 12 LLDP功能到智能端口类型的映射（续）功能名VLAN网桥IEEE标准的S-VLAN组件802.1Q 二端口MAC中继(TPMR)IEEE标准802.1Q 保留 LLDP位10 11 12-16 智能端口类型交换机忽略忽略注仅当设定IP电话和主机位之后，智能端口类型才可为ip_phone_。
多设备与端口连接设备通过连接设备在其CDP和/或LLDP数据包中通告的功能，来获取设备的智能端口类型。
如果多个设备通过某个接口与该设备连接，自动智能端口将考虑通过该接口接收的每个功能通告，以便分配正确的智能端口类型。
类型分配根据以下算法进行： •如果接口上的所有设备都通告相同的功能（无冲突），交换机会将匹配的智能端口类型应用到接口。
•如果其中某个设备是交换机，将使用交换机智能端口类型。
•如果其中某个设备是接入点，将使用无线接入点智能端口类型。
•如果其中某个设备是IP电话，而另一个设备是主机，将使用ip_phone_智能端口类型。
•如果其中某个设备是IP电话台式机，而另一个设备是IP电话或主机，将使用ip_phone_智能端口类型。
•其他所有情况下都将使用默认智能端口类型。
有关LLDP/CDP的详情，请分别参阅配置LLDP和配置CDP部分。
永久自动智能端口接口如果已在接口上启用永久状态，即使在连接设备过期、接口关闭以及设备重启（假设配置已保存）后，自动智能端口已动态应用的接口智能端口类型和配置仍将得到保留。
除非自动智能端口检测到具有其他智能端口类型的连接设备，否则接口的智能端口类型和配置不会发生更改。
如果接口禁用永久状态，当与其连接的设备过期、接口关闭或设备重启后，该接口将恢复为默认智能端口类型。
接口启用永久状态后将消除设备检测延迟，否则该延迟将不可避免。
注只有当应用于接口的、具有智能端口类型的当前配置保存到启动配置文件中时，应用到接口的智能端口类型的永久状态在重启后才会有效。
思科200系列智能型交换机管理指南 131 智能端口错误处理 12 错误处理如果智能端口宏无法应用到接口，您可在“接口设置”页面检查故障点，并在“接口设置”页面和“编辑接口设置”页面修正错误之后，重置端口并重新应用宏。
默认配置智能端口始终可用。
默认情况下，自动智能端口由自动语音VLAN启用，并依靠CDP和LLDP检测连接设备的智能端口类型，同时检测智能端口类型IP电话、IP电话+台式机、交换机和无线接入点。
有关语音出厂默认设置的说明，请参阅语音VLAN。
与其他功能的关系和向后兼容性交换机默认启用自动智能端口，也可禁用该功能。
电话OUI无法与自动智能端口及自动语音VLAN同时运行。
要启用电话OUI，必须先禁用自动智能端口。
常见智能端口任务本节介绍一些设置智能端口和自动智能端口的常见任务。
工作流程1：要在设备上全局启用自动智能端口，以及在端口上配置自动智能端口，请执行以下步骤：步骤1要在设备上启用自动智能端口功能，请打开“智能端口>属性”页面。
将管理自动智能端口设为启用或通过语音VLAN启用。
步骤2选择是否要使设备处理来自连接设备的CDP和/或LLDP通告。
步骤3在自动智能端口设备检测字段中选择将要检测的设备类型。
步骤4单击应用步骤5要在一个或多个接口上启用启用自动智能端口功能，请打开“智能端口>接口设置” 页面。
步骤6选择接口，然后单击编辑。
步骤7在智能端口应用字段中选择自动智能端口。
思科200系列智能型交换机管理指南 132 智能端口常见智能端口任务 12 步骤8必要时选中或取消选中永久状态。
步骤9单击应用。
工作流程2：要将接口配置为静态智能端口，请执行以下步骤：步骤1要在接口上启用自动智能端口功能，请打开“智能端口>接口设置”页面。
步骤2选择接口，然后单击编辑。
步骤3在智能端口应用字段中选择要分配给接口的智能端口类型。
步骤4根据需要设置宏参数。
步骤5单击应用。
工作流程3：要调整智能端口宏参数默认值，请执行以下步骤：通过该步骤，您可完成以下操作：•查看宏源。
•更改参数默认值。
•将参数默认值恢复为出厂设置。

1.打开“智能端口>智能端口类型设置”页面。

2.选择智能端口类型。

3.单击查看宏源，查看与所选智能端口类型关联的当前智能端口宏。

4.单击编辑以打开一个新窗口，在该窗口中您可修改与该智能端口类型绑定的宏中的默认参数值。
当自动智能端口将所选智能端口类型（如适用）应用到某接口时，将使用这些参数默认值。

5.在“编辑”页面中，修改字段。

6.如果参数已更改，单击应用重新运行宏；或在必要时单击恢复默认设置，恢复内置宏的默认参数值。
工作流程4：要在智能端口宏失败后重新运行，请执行以下步骤：步骤1在“接口设置”页面，选择一个智能端口类型为“未知”的接口。
步骤2单击显示诊断查看问题。
步骤3排除故障，然后修正问题。
请参考下文中的故障排除提示。
步骤4单击编辑。
将显示一个新窗口，您可在其中单击重置以重新设置接口。
思科200系列智能型交换机管理指南 133 智能端口使用基于Web的界面配置智能端口 12 步骤5返回主页面并使用重新应用（适用于非交换机、路由器或AP的设备）或重新应用智能端口宏（适用于交换机、路由器或AP）重新应用该宏，从而实现该智能端口宏在接口上的运行。
第二种重置单一或多个未知接口的方法是：步骤1在“接口设置”页面中，选择与复选框相同的端口类型。
步骤2选择未知，然后单击转至。
步骤3单击重置所有未知智能端口。
然后，按上述重新应用该宏。
提示该宏运行失败的原因可能是与在应用该宏之前所进行的配置间存在冲突（最经常遇到的是与安全性和风暴控制设置间的冲突）、端口类型错误、用户定义的宏中有错字或错误命令，以及无效的参数设置。
在尝试应用宏之前未选中类型及边界参数，因此在应用宏时，输入错误或无效的参数值几乎必然会导致失败。
使用基于Web的界面配置智能端口智能端口功能在“智能端口>属性”、“智能端口类型设置”和“接口设置”页面中进行配置。
有关语音VLAN配置的信息，请参阅语音VLAN。
有关LLDP/CDP配置的信息，请分别参阅配置LLDP和配置CDP部分。
智能端口属性全局配置智能端口功能的步骤：步骤1单击智能端口>属性。
步骤2输入参数。
•管理自动智能端口-选中后将全局启用或禁用自动智能端口。
可能的选项有：-禁用-选中后，将在设备上禁用自动智能端口。
-启用-选中后，将在设备上启用自动智能端口。
-通过自动语音VLAN启用-选中该选项后将启用自动智能端口，但是只有在启用自动语音VLAN并使之运行后，自动智能端口才能正常运行。
“通过自动语音VLAN启用”是默认设置。
思科200系列智能型交换机管理指南 134 智能端口使用基于Web的界面配置智能端口 12 •运行自动智能端口-显示自动智能端口状态。
•自动智能端口设备检测方法-选择是否使用传入CDP、LLDP类型的数据包（或同时使用两种）检测连接设备的智能端口类型。
要使自动智能端口可对设备进行标识，必须至少选中一个类型。
•运行CDP状态-显示CDP的运行状态。
要使自动智能端口根据CDP通告检测智能端口类型，请启用CDP。
•运行LLDP状态-显示LLDP的运行状态。
要使自动智能端口根据LLDP/LLDP-MED通告检测智能端口类型，请启用LLDP。
•自动智能端口设备检测-选择各种设备类型，自动智能端口会将智能端口类型分配到这些设备的接口。
如果未选中，则自动智能端口不会将该智能端口类型分配到任何接口。
步骤3单击应用。
这将在设备上设置全局智能端口参数。
智能端口类型设置使用“智能端口类型设置”页面，编辑智能端口类型设置并查看宏源。
默认情况下，每种智能端口类型都与一对内置智能端口宏相关联。
要进一步了解有关宏与反宏的信息，请参阅智能端口类型。
内置宏或用户定义的宏可以有参数。
内置宏最多可有三个参数。
在“智能端口类型设置”页面中，编辑智能端口类型的这些参数（由自动智能端口应用），会对这些参数的默认值进行配置。
自动智能端口将使用这些默认值。
注如果自动智能端口已将自动智能端口类型分配给接口，则更改该类型将会使新设置应用到这些接口中。
在这种情况下，绑定无效的宏或设置无效的默认参数值会导致所有此智能端口类型的端口都变为未知。
步骤1单击智能端口>智能端口类型设置。
步骤2要查看与某智能端口类型关联的智能端口宏，请选择该智能端口类型，然后单击查看宏源。
步骤3要修改宏的参数，请选择智能端口类型，然后单击编辑。
步骤4输入各个字段。
•端口类型-选择一种智能端口类型。
•宏名称-显示当前与该智能端口类型关联的智能端口宏的名称。
思科200系列智能型交换机管理指南 135 智能端口使用基于Web的界面配置智能端口 12 •宏参数-在宏中显示以下三种参数的字段： -参数名称-宏中的参数名称。
-参数值-宏中的当前参数值。
可在此更改该值。
-参数说明-参数说明。
可通过单击恢复默认设置来恢复默认参数值。
步骤
5 单击应用，将更改保存到当前配置。
如果修改与智能端口类型关联的智能端口宏和/或它的参数值，自动智能端口会自动将该宏重新应用到当前已获得由自动智能端口分配的智能端口类型的接口。
自动智能端口不会将更改应用到通过静态分配方式获得智能端口类型的接口。
注因为宏参数不存在类型关联，因此无法验证宏参数。
此时，输入任何值都是有效的。
但是，当将智能端口类型分配到接口并应用关联的宏时，无效的参数值可能导致出错。
智能端口接口设置使用“接口设置”页面可执行以下任务： •将特定智能端口类型静态应用到接口（具有接口特定的宏参数值）。
•在接口上启用自动智能端口。
•对应用失败并导致智能端口类型变为未知的智能端口宏进行诊断。
•智能端口宏运行失败后，将其重新应用到以下其中一种接口类型：交换机、路由器和AP。
单击重新应用之前，应进行必要的修正。
有关故障排除的提示，请参阅常见智能端口任务一节中的工作流程部分。
•将智能端口宏重新应用到接口。
在某些情况下，您可能需要重新应用智能端口宏，以便接口上的配置保持最新。
例如，在设备接口上重新应用交换机智能端口宏，将使该接口成为自上次应用宏之后创建的VLAN的一个成员。
您必须熟悉设备上的当前配置以及宏的定义，以便确定重新应用宏是否会对接口产生任何影响。
•重置未知接口。
这将使未知接口模式设置为默认模式。
应用智能端口宏的步骤：步骤1单击智能端口>接口设置。
可通过以下方式重新应用关联智能端口宏： •选择一组智能端口类型（交换机、路由器或AP），然后单击重新应用智能端口宏。
宏随即会应用到所有选中的接口类型。
思科200系列智能型交换机管理指南 136 智能端口使用基于Web的界面配置智能端口 12 •选择一个处于连接状态的接口，然后单击重新应用以重新应用最近应用到该接口的宏。
该重新应用操作还会将该接口添加到所有新创建的VLAN。
步骤2智能端口诊断。
如果智能端口宏失败，接口的智能端口类型将为“未知”。
选择未知类型的接口，然后单击显示诊断。
这会显示导致宏应用失败的命令。
有关故障排除的提示，请参阅常见智能端口任务一节中的工作流程部分。
纠正该问题后，继续重新应用宏。
步骤3将所有未知接口重置为默认类型。
•选择与复选框相同的端口类型。
•选择未知，然后单击转至。
•单击重置所有未知智能端口。
然后，按上述重新应用该宏。
这样便会在所有类型为“未知”的接口上执行重置，这也就意味着所有接口将返回到默认类型。
修正宏错误或当前接口配置错误（或二者皆有）后，可应用新宏。
注重置未知类型的接口不会重置失败宏所执行的配置。
此操作必须通过手动进行。
将智能端口类型分配到接口或在接口上激活自动智能端口的步骤：步骤1选择一个接口，并单击编辑。
步骤2输入各个字段。
•接口-选择端口或LAG。
•智能端口类型-显示当前分配到端口/LAG的智能端口类型。
•智能端口应用-从智能端口应用下拉菜单中选择智能端口类型。
•智能端口应用方法-如果选中自动智能端口，自动智能端口将根据从连接设备接收的CDP和/或LLDP通告，自动分配智能端口类型，同时应用相应的智能端口宏。
要将智能端口类型静态分配给接口并应用相应的智能端口宏，请选择所需的智能端口类型。
•永久状态-选中后将启用永久状态。
如果启用，即使接口关闭或设备重启，智能端口类型仍会与接口关联。
仅当接口的智能端口应用为“自动智能端口”时，永久状态才适用。
接口启用永久状态后将消除设备检测延迟，否则该延迟将不可避免。
•宏参数-在宏中至多显示以下三种参数的字段：-参数名称-宏中的参数名称。
-参数值-宏中的当前参数值。
可在此更改该值。
-参数说明-参数说明。
思科200系列智能型交换机管理指南 137 智能端口内置智能端口宏 12 步骤3单击重置可将处于“未知”状态（由未成功应用宏所致）的接口设置为默认接口。
该宏可在主页面上重新应用。
步骤4单击应用更新更改，并将智能端口类型分配到接口。
内置智能端口宏下文介绍各智能端口类型的内置宏对。
每种智能端口类型都有一个用于配置接口的宏，以及一个用于移除配置的反宏。
在此提供以下智能端口类型的宏代码： •台式机•打印机•访客•服务器•主机•ip_camera •ip_phone •ip_phone_ •交换机•路由器•接入点台式机 [台式机]#interfaceconfiguration,forworksecurityandreliabilitywhenconnectinga device,suchasaPC,toaswitchport. #macrodescription #macrokeywords$native_vlan$max_hosts # #macrokeydescription:$native_vlan:将在端口上配置的UntaggedVLAN ##DefaultValuesare $max_hosts:端口上允许设备的最大数量 #$native_vlan=DefaultVLAN #$max_hosts=10 # #theporttypecannotbedetectedautomatically # #thedefaultmodeistrunk 思科200系列智能型交换机管理指南 138 智能端口内置智能端口宏 smartportswitchporttrunknativevlan$native_vlan#portsecuritymax$max_hostsportsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@ no_ [no_]#macrodescriptionNo#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ 打印机 [打印机]#macrodescriptionprinter#macrokeywords$native_vlan##macrokeydescription:$native_vlan:将在端口上配置的#DefaultValuesare#$native_vlan=DefaultVLAN##theporttypecannotbedetectedautomatically#switchportmodeessswitchportessvlan$native_vlan##singlehostportsecuritymax1 Untagged VLAN 思科200系列智能型交换机管理指南 12 139 智能端口内置智能端口宏 portsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@ no_printer [no_printer]#macrodescriptionNoprinter#noswitchportessvlannoswitchportmode#noportsecuritynoportsecuritymode#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ guest [访客]#macrodescriptionguest #macrokeywords$native_vlan # #macrokeydescription:#DefaultValuesare $native_vlan:将在端口上配置的 #$native_vlan=DefaultVLAN # #theporttypecannotbedetectedautomatically # switchportmodeess switchportessvlan$native_vlan # #singlehost portsecuritymax1 portsecuritymodemax-addresses portsecuritydiscardtrap60 # smartportstorm-controlbroadcastlevel10 Untagged VLAN 思科200系列智能型交换机管理指南 12 140 智能端口内置智能端口宏 smartportstorm-controlsmartportstorm-control#spanning-treeportfast#@ include-multicastbroadcastenable no_guest]] [no_guest]#macrodescriptionNoguest#noswitchportessvlannoswitchportmode#noportsecuritynoportsecuritymode#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ 服务器 [服务器]#macrodescriptionserver #macrokeywords$native_vlan$max_hosts # #macrokeydescription:$native_vlan:将在端口上配置的Untagged # $max_hosts:端口上允许设备的最大数量 #DefaultValuesare #$native_vlan=DefaultVLAN #$max_hosts=10 # #theporttypecannotbedetectedautomatically # #thedefaultmodeistrunk smartportswitchporttrunknativevlan$native_vlan # portsecuritymax$max_hosts portsecuritymodemax-addresses portsecuritydiscardtrap60 # smartportstorm-controlbroadcastlevel10 smartportstorm-controlbroadcastenable # VLAN 思科200系列智能型交换机管理指南 12 141 智能端口内置智能端口宏 spanning-treeportfast#@ no_server [no_server]#macrodescriptionNoserver#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevel#spanning-treeportfastauto#@ 主机 [主机]#macrodescriptionhost #macrokeywords$native_vlan$max_hosts # #macrokeydescription:$native_vlan:将在端口上配置的Untagged # $max_hosts:端口上允许设备的最大数量 #DefaultValuesare #$native_vlan=DefaultVLAN #$max_hosts=10 # #theporttypecannotbedetectedautomatically # #thedefaultmodeistrunk smartportswitchporttrunknativevlan$native_vlan # portsecuritymax$max_hosts portsecuritymodemax-addresses portsecuritydiscardtrap60 # smartportstorm-controlbroadcastlevel10 smartportstorm-controlinclude-multicast smartportstorm-controlbroadcastenable # spanning-treeportfast # @ VLAN 思科200系列智能型交换机管理指南 12 142 智能端口内置智能端口宏 no_host [no_host]#macrodescriptionNohost#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ ip_camera [ip_camera]#macrodescriptionip_camera#macrokeywords$native_vlan##macrokeydescription:$native_vlan:将在端口上配置的#DefaultValuesare#$native_vlan=DefaultVLAN#switchportmodeessswitchportessvlan$native_vlan##singlehostportsecuritymax1portsecuritymodemax-addressesportsecuritydiscardtrap60#smartportstorm-controlbroadcastlevel10smartportstorm-controlinclude-multicastsmartportstorm-controlbroadcastenable#spanning-treeportfast#@ Untagged VLAN no_ip_camera [no_ip_camera]#macrodescriptionip_camera#noswitchportessvlannoswitchportmode 思科200系列智能型交换机管理指南 12 143 智能端口内置智能端口宏 #noportsecuritynoportsecuritymode#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ ip_phone [ip_phone] #macrodescriptionip_phone #macrokeywords$native_vlan$voice_vlan$max_hosts # #macrokeydescription:$native_vlan:将在端口上配置的Untagged # $voice_vlan:语音VLANID ##DefaultValuesare $max_hosts:端口上允许设备的最大数量 #$native_vlan=DefaultVLAN #$voice_vlan=
1 #$max_hosts=10 # #thedefaultmodeistrunk smartportswitchporttrunkallowedvlanadd$voice_vlan smartportswitchporttrunknativevlan$native_vlan # portsecuritymax$max_hosts portsecuritymodemax-addresses portsecuritydiscardtrap60 # smartportstorm-controlbroadcastlevel10 smartportstorm-controlinclude-multicast smartportstorm-controlbroadcastenable # spanning-treeportfast # @ VLAN no_ip_phone [no_ip_phone]#macrodescriptionnoip_phone#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID##DefaultValuesare#$voice_vlan=
1 思科200系列智能型交换机管理指南 12 144 智能端口内置智能端口宏 #smartportswitchporttrunkallowedvlanremovenosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremove#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ $voice_vlanall ip_phone_ [ip_phone_] #macrodescriptionip_phone_ #macrokeywords$native_vlan$voice_vlan$max_hosts # #macrokeydescription:$native_vlan:将在端口上配置的Untagged # $voice_vlan:语音VLANID ##DefaultValuesare $max_hosts:端口上允许设备的最大数量 #$native_vlan=DefaultVLAN #$voice_vlan=
1 #$max_hosts=10 # #thedefaultmodeistrunk smartportswitchporttrunkallowedvlanadd$voice_vlan smartportswitchporttrunknativevlan$native_vlan # portsecuritymax$max_hosts portsecuritymodemax-addresses portsecuritydiscardtrap60 # smartportstorm-controlbroadcastlevel10 smartportstorm-controlinclude-multicast smartportstorm-controlbroadcastenable # spanning-treeportfast # @ VLAN no_ip_phone_ [no_ip_phone_]#macrodescriptionnoip_phone_ 思科200系列智能型交换机管理指南 12 145 智能端口内置智能端口宏 #macrokeywords$voice_vlan# #macrokeydescription:$voice_vlan:语音VLANID##DefaultValuesare#$voice_vlan=1#smartportswitchporttrunkallowedvlanremove$voice_vlannosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#noportsecuritynoportsecuritymodenoportsecuritymax#nosmartportstorm-controlbroadcastenablenosmartportstorm-controlbroadcastlevelnosmartportstorm-controlinclude-multicast#spanning-treeportfastauto#@ 交换机 [交换机]#macrodescriptionswitch #macrokeywords$native_vlan$voice_vlan # #macrokeydescription:$native_vlan:将在端口上配置的 ##DefaultValuesare $voice_vlan:语音VLANID #$native_vlan=DefaultVLAN #$voice_vlan=
1 # #thedefaultmodeistrunk smartportswitchporttrunkallowedvlanaddall smartportswitchporttrunknativevlan$native_vlan # spanning-treelink-typepoint-to-point # @ Untagged VLAN no_switch [no_switch]#macrodescriptionNoswitch#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID# 思科200系列智能型交换机管理指南 12 146 智能端口内置智能端口宏 nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#nospanning-treelink-type#@ 路由器 [路由器]#macrodescriptionrouter #macrokeywords$native_vlan$voice_vlan # #macrokeydescription:$native_vlan:将在端口上配置的 # $voice_vlan:语音VLANID # #DefaultValuesare #$native_vlan=DefaultVLAN #$voice_vlan=
1 # #thedefaultmodeistrunk smartportswitchporttrunkallowedvlanaddall smartportswitchporttrunknativevlan$native_vlan # smartportstorm-controlbroadcastlevel10 smartportstorm-controlbroadcastenable # spanning-treelink-typepoint-to-point # @ Untagged VLAN no_router [no_router]#macrodescriptionNorouter#macrokeywords$voice_vlan##macrokeydescription:$voice_vlan:语音VLANID#nosmartportswitchporttrunknativevlansmartportswitchporttrunkallowedvlanremoveall#nosmartportstorm-controlbroadcastenable 思科200系列智能型交换机管理指南 12 147 智能端口内置智能端口宏 nosmartportstorm-controlbroadcastlevel#nospanning-treelink-type#@ 接入点 [接入点]#macrodescriptionap#macrokeywords$native_vlan$voice_vlan##macrokeydescription:$native_vlan:将在端口上配置的 Untagged VLAN 12 思科200系列智能型交换机管理指南 148 端口管理：PoE 13 以太网供电(PoE)功能仅在基于PoE的设备上提供。
如需基于PoE的设备列表，请参阅“设备型号”一节。
本节介绍如何使用PoE功能。
其中包含以下主题： •设备上的PoE•PoE属性•PoE设置设备上的PoE PoE设备为供电设备(PSE)，可通过现有的铜质电缆为连接的受电设备(PD)供电，而不会影响网络流量，也无需更新物理网络或修改网络基础架构。
有关各种型号上PoE支持的信息，请参阅设备型号。
PoE功能 PoE有如下功能：•可消除为有线LAN上的所有设备输送110/220VAC电能的需求。
•可消除将所有网络设备靠近电源放置的必要性。
•可消除在企业中部署双线系统的需求，大大降低安装成本。
只要企业网络部署连接到以太网LAN的功率相对较低的设备，就可以使用以太网供电，这类低功率设备包括：•IP电话•无线接入点•IP网关•音频和视频远程监控设备思科200系列智能型交换机管理指南 149 端口管理：PoE 设备上的PoE 13 PoE工作 PoE分以下几个阶段实施：•检测-在铜质电缆上发送特殊脉冲。
如果另一端连接了PoE设备，该设备会对这些脉冲做出响应。
•分类-检测阶段结束后，开始供电设备(PSE)与受电设备(PD)之间的协商。
在协商过程中，PD指定其类别，这是PD所耗的最大功率。
•功耗-分类阶段结束后，PSE将为PD供电。
如果PD支持PoE，但未进行分类，则会将其假设为类别0（最大）。
如果PD尝试消耗的功率超过了标准所允许的最大功率，则PSE会停止为该端口供电。
PoE支持两种模式：•端口限制-设备同意提供的最大功率取决于系统管理员配置的值，与分类结果无关。
•类别功率限制-设备同意提供的最大功率取决于分类阶段的结果。
这表示将根据客户端的请求设置最大功率。
PoE配置注意事项使用PoE功能需要考虑两个因素：•PSE可以提供的功率•PD实际尝试消耗的功率可以进行以下配置：•允许PSE向PD提供的最大功率。
•在设备工作期间，将模式从类别功率限制更改为端口限制及从端口限制更改为类别功率限制。
会保留为端口限制模式配置的针对端口的功率值。
注在设备运行时将模式从“级别限制”更改为“端口限制”会强制PD重启，反之亦然。
•所允许的针对端口的最大端口限制（以mW为单位的数值限制），限于端口限制模式。
•当PD尝试消耗过多功率时生成Trap，以及生成Trap时PD所耗功率占最大功率的百分比。
PoE特定硬件会自动检测PD类别，并根据连接到每个特定端口的设备的类别检测其功率限制（限于类别限制模式）。
如果在连接的任意时刻，所连接的PD从设备请求超过所配置的功率分配所允许的功率（不论设备是类别限制模式还是端口限制模式），设备将： •维持PoE端口链路的连接/中断状态•停止向PoE端口供电思科200系列智能型交换机管理指南 150 端口管理：PoE PoE属性 13 •记录停止供电的原因 •生成SNMPTrap !
注意连接具有PoE功能的交换机时，请注意以下事项： PoE型号的Sx200、Sx300和SF500系列交换机为PSE，可向连接的PD供应直流电。
这些设备包括VoIP电话、IP摄像头和无线接入点。
PoE交换机可以检测出非标准的旧式PoEPD并为其供电。
由于要支持旧式PoE，作为PSE的PoE设备可能会发生检测错误，将连接的PSE（包括其他PoE交换机）也当成旧式PD并为其供电。
尽管Sx200/300/500PoE交换机是PSE，且因此应采用交流电供电，但它们也可能由于检测错误而被另一PSE当作旧式PD供电。
发生这种情况时，PoE设备可能无法正常工作，并且可能无法正确地为所连接的PD供电。
为防止检测错误，您应禁用PoE交换机上用于连接PSE的端口的PoE功能。
您还应先接通PSE设备的电源，然后再将其连接至PoE设备。
如果某设备被错误地检测为PD，您应断开该设备与PoE端口的连接，并使用交流电源为其供电，然后再将其重新连接到PoE端口。
PoE属性 PoE“属性”页面可选择采用端口限制还是类别限制PoE模式，及指定生成PoETrap。
这些设置需提前输入。
当PD实际连接并消耗功率时，所消耗的功率可能比所允许的最大功率少得多。
在加电重启、初始化和系统配置过程中禁用功率输出，以确保不会损坏PD。
在设备上配置PoE和监控当前功率使用的步骤：步骤1单击端口管理>PoE>属性。
步骤2为以下字段输入值：•供电模式-请选择以下选项之一：-端口限制-由用户配置针对每个端口的最大功率限制。
-类限制-由设备类别（从分类阶段获取）决定每个端口的最大功率限制。
注从“端口限制”更改为“级别限制”时（反之亦然），必须禁用PoE端口，并更改功率配置后再次启用。
思科200系列智能型交换机管理指南 151 端口管理：PoE PoE设置 13 •Trap-启用或禁用Trap。
如果已启用Trap，您还必须启用SNMP，并配置至少一个SNMP通知接收设备。
•功率Trap阈值-输入使用率阈值，该值为功率限制的百分比。
如果功率超过了该值，便会发出告警。
将显示如下计数器： •标称功率-设备可以为连接的所有PD提供的总功率。
•已消耗功率-当前由PoE端口消耗的功率。
•可用功率-标称功率减去已消耗的功率所得的值。
步骤3单击应用，保存PoE属性。
PoE设置 “PoE设置”页面会显示关于在接口上启用PoE和监控每个端口的当前功率使用和最大功率限制的系统PoE信息。
本页面会根据供电模式，通过两种方式限制每个端口的功率： •端口限制：将功率限制为指定的瓦特数。
要使这些设置生效，系统必须为PoE端口限制模式。
该模式在PoE“属性”页面中进行配置。
当端口消耗的功率超过端口限制时，将会停止为端口供电。
•类别限制：根据连接的PD的类别限制功率。
要使这些设置生效，系统必须为PoE类别限制模式。
该模式在PoE“属性”页面中进行配置。
当端口消耗的功率超过类别限制时，将会停止为端口供电。
PoE优先级示例：假设：一个48端口设备提供375瓦的总功率。
管理员将所有端口配置为最大可分配30瓦。
这样一来，48个端口乘以30瓦就等于1440瓦，这个数字显然是太大了。
设备无法为每个端口提供足够的功率，因此会根据优先级提供功率。
管理员针对每个端口设置优先级，为其分配可获得的功率量。
这些优先级在“PoE设置”页面中输入。
有关支持PoE的设备型号以及可向PoE端口分配的最大功率说明，请参阅设备型号。
思科200系列智能型交换机管理指南 152 端口管理：PoE PoE设置 13 配置PoE端口设置的步骤：步骤1单击端口管理>PoE>设置。
下面的列表中是关于“端口限制”供电模式的字段。
如果供电模式为“级别限制”，这些字段会略有不同。
步骤2选择一个端口，然后单击编辑。
步骤3为以下字段输入值： •接口-选择要配置的端口。
•PoE管理状态-在端口上启用或禁用PoE。
•电源优先级-选择供电不足时使用的端口优先级：低、高或重要。
例如，如果供电使用率在99%，端口1的优先级为高，而端口3的优先级为低，则将为端口1供电，而拒绝为端口3供电。
•管理功率分配-仅当在PoE“属性”页面中将供电模式设置为“端口限制”才会显示该字段。
如果供电模式为“功率限制”，则请输入为该端口分配的功率（以毫瓦为单位）。
•最大功率分配-仅当在PoE“属性”页面中将供电模式设置为“功率限制”才会显示该字段。
显示在此端口上所允许的最大功率。
•功耗-显示分配给连接到所选接口的受电设备的功率（以毫瓦为单位）。
•类-仅当在PoE“属性”页面中将供电模式设置为“级别限制”，该字段才允许进行输入。
类别将决定功率等级：类别设备端口提供的最大功率
0 15.4瓦特
1 4.0瓦特
2 7.0瓦特
3 15.4瓦特
4 30.0瓦特 •过载计数器-显示功率过载情况发生的总次数。
•短路计数器-显示功率不足情况发生的总次数。
•拒绝供电计数器-显示拒绝为受电设备供电情况发生的次数。
•缺席计数器-显示由于检测不到受电设备，而停止为其供电的情况发生的次数。
思科200系列智能型交换机管理指南 153 端口管理：PoE PoE设置 13 •无效签名计数器-显示收到无效签名的次数。
PSE需通过签名来识别受电设备。
签名在受电设备的检测、分类或维护过程中生成。
步骤4单击应用。
端口的PoE设置将写入当前配置文件。
思科200系列智能型交换机管理指南 154 VLAN管理 14 本节包括以下主题：•综述•常规VLAN•语音VLAN 综述 VLAN是一个端口逻辑组，与其相关联的设备不论连接到桥接网络的哪个物理LAN段，都可以通过以太网MAC层互相通信。
VLAN是一个端口逻辑组，与其相关联的设备不论连接到桥接网络的哪个物理LAN段，都可以通过以太网MAC层互相通信。
VLAN说明系统会使用1到4094之间的值为每个VLAN配置一个唯一的VLANID(VID)。
如果桥接网络中的设备上的端口能够向VLAN发送数据并从VLAN接收数据，则该端口便为该VLAN的成员。
如果进入VLAN的指定给某端口的所有数据包都不包含VLAN标记，则该端口为VLAN的Untagged成员。
如果进入VLAN的指定给某端口的所有数据包都包含VLAN标记，则该端口为VLAN的Tagged成员。
一个端口可以仅是一个UntaggedVLAN的成员，也可以是多个TaggedVLAN的成员。
处于“VLAN访问”模式的端口只能是一个VLAN的成员。
处于“一般”模式或“中继”模式的端口可以是一个或多个VLAN的成员。
VLAN解决了安全性和可扩展性问题。
从VLAN发送的流量会始终处于VLAN之内，并且终止于VLAN中的设备。
VLAN通过逻辑方式连接设备，无需实际改变这些设备的位置，因此还可以简化网络配置。
如果帧为VLAN-tagged帧，则会将一个4字节的VLAN标签添加到每个以太网帧。
该标签中包含一个1到4094之间的VLANID和一个0到7之间的VLAN优先级标签(VPT)。
有关VPT的详情，请参阅服务质量。
当帧进入可识别VLAN的设备时，设备会根据帧中的4字节VLAN标记将该帧分类为属于某个VLAN。
思科200系列智能型交换机管理指南 155 VLAN管理综述 14 如果帧中不包含VLAN标记，或者仅为帧添加了优先级标记，则会根据于接收帧的入站端口处配置的PVID（端口VLAN标识符）将该帧分类为属于某个VLAN。
如果启用了入站过滤功能，并且入站端口不是数据包所属VLAN的成员，则此帧将于入站端口处被丢弃。
仅当帧的VLAN标记中的VID为0时，才会将该帧视为添加了优先级标记。
属于某VLAN的帧会始终处于该VLAN之内。
这可以通过仅向作为目的VLAN成员的出站端口发送或转发帧来实现。
出站端口可以是VLAN的Tagged成员或Untagged成员。
出站端口： •如果出站端口是目的VLAN的Tagged成员，并且原始帧不包含VLAN标记，则会为此帧添加VLAN标记。
•如果出站端口是目的VLAN的Untagged成员，并且原始帧包含VLAN标记，则会删除此帧的VLAN标记。
VLAN角色所有VLAN流量（单播/广播/组播）均将处于其VLAN之内。
连接到不同VLAN的设备无法通过以太网MAC层彼此直接连接。
设备VLAN仅能以静态方式创建。
某些VLAN可能具有其他角色，包括： •语音VLAN：有关详情，请参阅“语音VLAN”一节。
•访客VLAN：在“编缉VLAN验证”页面中设置。
•默认VLAN：有关详情，请参阅“配置默认VLAN设置”一节。
•管理VLAN：有关详情，请参阅“配置IP信息”一节。
QinQ QinQ提供服务提供商网络与客户网络间的隔离。
该设备是一个提供商网桥，支持基于端口、已添加c标记的服务接口。
设备使用QinQ为流量添加称为服务标记(S-tag)的ID标记，然后将其通过网络进行转发。
S-tag用于在保留客户VLAN标记的同时，分离不同客户间的流量。
无论客户流量最初已包含c标记还是未标记，都通过一个TPID0x8100的S-tag进行封装。
利用S-tag，系统可将此流量看作提供商网桥网络中的一个聚合，在该网络中，只能根据S-tagVID(S-VID)进行桥接。
当通过网络服务提供商的基础架构转发流量时，S-Tag将被保留，并在稍后由出站设备将其删除。
QinQ的另一个优势是，无需配置客户的边缘设备。
思科200系列智能型交换机管理指南 156 VLAN管理常规VLAN 14 QinQ在“VLAN管理>接口设置”页面中启用。
常规VLAN 本节将介绍用于配置各种VLAN的GUI页面。
本节将介绍以下过程：•VLAN配置工作流程•默认VLAN设置•VLAN设置-创建VLAN•接口设置•VLAN成员关系•端口到VLAN•端口VLAN成员关系 VLAN配置工作流程配置VLAN的步骤：
1.如果需要，按照默认VLAN设置一节的说明更改默认VLAN。

2.按照VLAN设置-创建VLAN一节的说明，创建所需VLAN。

3.按照接口设置一节的说明，根据需要设置VLAN相关端口的配置，并在接口上启用QinQ。

4.按照端口到VLAN一节或端口VLAN成员关系一节的说明，将接口分配给VLAN。

5.按端口VLAN成员关系一节的说明，查看所有接口的目前VLAN端口成员关系。
默认VLAN设置在出厂默认设置下，设备会自动创建VLAN1作为默认VLAN，所有端口的默认接口状态为“中继”，并且会将所有端口配置为默认VLAN的Untagged成员。
默认VLAN具有以下特性： •该VLAN是独特的非静态/非动态VLAN，并且在默认情况下，所有端口都是它的Untagged成员。
•该VLAN无法删除。
思科200系列智能型交换机管理指南 157 VLAN管理常规VLAN 14 •无法为该VLAN指定标签。
•不能为该VLAN指定任何特殊的角色（例如未经验证的VLAN或语音VLAN）。
这仅适用于已启用OUI的语音VLAN。
•如果某端口不再是任何VLAN的成员，则设备会自动将该端口配置为默认VLAN的Untagged成员。
在以下情况下，端口将不再是VLAN的成员：VLAN已被删除或者已将该端口从VLAN删除。
如果默认VLAN的VID发生更改，则在保存配置和重启设备后，设备会在VLAN中的所有端口上执行以下操作： •从原始默认VLAN中删除端口的VLAN成员关系（在重启后生效）。
•将端口的PVID（端口VLAN标识符）更改为新的默认VLAN的VID。
•从设备上删除原始默认VLANID。
该ID必须经过重新创建，然后才能使用。
•将端口添加为新的默认VLAN的未添加VLAN标记成员。
更改默认VLAN的步骤：步骤1单击VLAN管理>默认VLAN设置。
步骤2为以下字段输入值：•当前默认VLANID-显示目前的默认VLANID。
•重启后的默认VLANID-输入要在重启后用于取代默认VLANID的新VLANID。
步骤3单击应用。
步骤4单击保存（位于窗口的右上角），将当前配置保存到启动配置。
重启设备后，重启后的默认VLANID的值将成为当前默认VLANID。
VLAN设置-创建VLAN 您可以创建VLAN，但需通过手动或自动的方式将该VLAN连接到一个以上的端口，该VLAN才会生效。
端口必须始终属于一个或多个VLAN。
200系列设备最多可支持256个VLAN（包括默认VLAN）。
必须使用1到4094之间的值为每个VLAN配置一个唯一的VID。
设备会将VID4095保留为丢弃VLAN。
所有分类为属于丢弃VLAN的数据包都会在入站处被丢弃，而不会被转发到端口。
思科200系列智能型交换机管理指南 158 VLAN管理常规VLAN 14 创建VLAN的步骤：步骤1单击VLAN管理>VLAN设置。
此时将显示所有已定义VLAN的信息。
字段将在下面的添加页面下进行定义。
以下字段不在添加页面上。
•发起人-VLAN的创建方式：-静态-VLAN为用户定义。
-默认-VLAN为默认VLAN。
步骤2单击添加来添加一个或多个新VLAN。
使用该页面可创建单个VLAN或一系列VLAN。
步骤3要创建单个VLAN，请选择VLAN单选按钮，输入VLANID及VLAN名称（可选）。
要创建一个VLAN范围，请选择范围单选按钮，然后通过输入起始VID和结束VID（包含在内）来指定要创建的VLAN的范围。
使用范围功能时，一次可以创建的最多VLAN数量是100。
步骤4为新VLAN添加以下字段：•VLAN接口状态-选择该选项可关闭VLAN。
在此状态下，VLAN不会接收来自更高级别的消息，•或将消息传输至更高级别。
例如，如果您关闭已配置IP接口的VLAN，•至VLAN的桥接会继续，但是交换机无法在VLAN上传输和接收IP流量。
•链路状态SNMP陷阱-选择该选项可生成链路状态SNMP陷阱。
步骤5单击应用，创建VLAN。
接口设置使用“接口设置”页面可显示和配置所有接口的VLAN相关参数。
配置VLAN设置的步骤：步骤1单击VLAN管理>接口设置。
步骤2选择接口类型（端口或LAG），然后单击转至。
此时将显示端口或LAG及其VLAN 参数。
步骤3选择要配置的端口或LAG，然后单击编辑。
思科200系列智能型交换机管理指南 159 VLAN管理常规VLAN 14 步骤4为以下字段输入值： •接口-选择端口/LAG。
•接口VLAN模式-选择VLAN的接口模式。
选项如下： -一般-接口可以支持IEEE802.1q规格中定义的所有功能。
接口可以为一个或多个VLAN的Tagged成员或Untagged成员。
-访问-接口为单个VLAN的Untagged成员。
在此模式下配置的端口称为访问端口。
-中继-接口最多可作为一个VLAN的Untagged成员，或者作为零个或更多VLAN的Tagged成员。
在此模式下配置的端口称为中继端口。
-客户-选中此选项可使接口处于QinQ模式。
这可让您在提供商网络间使用自有的VLAN部署(PVID)。
如果设备拥有一个或更多客户端口，它将处于Q-in-Q模式。
请参阅QinQ。
•管理PVID-输入传入的Untagged和添加了优先级标记的帧的所属VLAN的端口VLANID(PVID)。
可能的值为1到4094。
•帧类型-选择接口可以接收的帧类型。
不属于所配置的帧类型的帧将在入站处被丢弃。
这些帧类型仅在“一般”模式下可用。
可能的值包括： -全部接受-接口接受所有类型的帧：Untagged帧、Tagged帧和添加优先级标记的帧。
-只接受Tagged-接口仅接受添加标记的帧。
-只接受Untagged-接口仅接受Untagged帧和优先级帧。
•入口过滤-（仅在“一般”模式下可用）选择该选项可启用入站过滤功能。
如果对接口启用了入站过滤功能，当传入帧所属的VLAN不包括该接口时，接口会丢弃这些传入帧。
入口过滤功能可以在一般端口上禁用或启用，而该功能在访问端口和中继端口上始终启用。
步骤5单击应用。
参数将写入当前配置文件中。
VLAN成员关系 “端口到VLAN”和“端口VLAN成员关系”页面会以多种形式显示端口的VLAN成员关系。
可以使用其向VLAN添加成员关系或从VLAN删除成员关系。
如果对端口禁止默认VLAN成员关系，该端口将不能成为任何其他VLAN的成员。
将为该端口分配4095作为其内部VID。
若要正确转发数据包，必须手动配置沿终端节点间的路径传输VLAN流量的可识别VLAN的中间设备。
两个可识别VLAN的设备（没有可识别VLAN的设备介于两者之间）之间的Untagged端口成员关系必须属于同一VLAN。
换言之，如果这两个设备之间的端口向VLAN发送Untagged数据包或从VLAN接收Untagged数据包，则端口上的PVID必须相同。
否则，流量可能会从一个VLAN泄露到另一个VLAN。
思科200系列智能型交换机管理指南 160 VLAN管理常规VLAN 14 VLAN-tagged帧可以通过可识别VLAN或无法识别VLAN的网络设备传输。
如果目的终端节点可识别VLAN，但将从VLAN接收流量，则上一个可识别VLAN的设备（如果存在）必须将目的VLAN的帧发送到Untagged终端节点。
端口到VLAN 使用“端口到VLAN”页面显示和配置特定VLAN中的端口。
将端口或LAG映射到VLAN的步骤：步骤1单击VLAN管理>端口到VLAN。
步骤2选择VLAN和接口类型（端口或LAG）并单击转至，以针对VLAN显示或更改端口特性。
每个端口或LAG的端口模式都会显示为从“接口设置”页面配置的目前端口模式（“访问”、“中继”、“一般”或“客户”）。
每个端口或LAG均将与其对VLAN的目前注册一起显示。
步骤3通过从以下列表中选择接口名称并选择所需的选项，来更改接口对VLAN的注册：•VLAN模式-VLAN中端口的类型。
•成员关系类型： -已禁止-不允许接口加入VLAN。
如果端口不是任何其他VLAN的成员，在端口上启用该选项会使该端口成为内部VLAN4095（保留VID）的成员。
-已排除-接口目前不是VLAN的成员。
这是在新创建VLAN时所有端口和LAG的默认选项。
-Tagged-接口是VLAN的Tagged成员。
-Untagged-接口为VLAN的非标记成员。
会将UntaggedVLAN帧发送到接口VLAN。
-PVID-选择该选项会将接口的PVID设置为VLAN的VID。
PVID是一个针对端口的设置。
步骤4单击应用。
会将接口分配给VLAN，并写入当前配置文件中。
选择另一个VLANID，可以继续显示和/或配置另一个VLAN的端口成员关系。
思科200系列智能型交换机管理指南 161 VLAN管理常规VLAN 14 端口VLAN成员关系 “端口VLAN成员关系”页面将显示设备上的所有端口以及一个各端口所属VLAN的列表。
如果某接口基于端口的验证方法为802.1x，并且“管理端口控制”为“自动”，那么： •在对端口进行验证之前，会将其排除在所有VLAN之外（访客和未经验证的端口除外）。
在“VLAN到端口”页面中，端口标记有大写的
P。
•当对端口进行验证时，该端口将接收在其中进行配置的VLAN中的成员关系。
将端口分配给一个或多个VLAN的步骤：步骤1单击VLAN管理>端口VLAN成员关系。
步骤2选择接口类型（端口或LAG），然后单击转至。
会针对所选类型的所有接口显示以下字段：•接口-端口/LAGID。
•模式-在“接口设置”页面中选择的接口VLAN模式。
•管理VLAN-显示接口可能所属的所有VLAN的下拉列表。
•运行VLAN-显示接口目前所属的所有VLAN的下拉列表。
•LAG-如果选择的接口为端口，则会显示该端口所属的LAG。
步骤3选择端口，然后单击加入VLAN按钮。
步骤4为以下字段输入值：•接口-选择端口或LAG。
•模式-显示在“接口设置”页面中选择的端口VLAN模式。
•选择VLAN-要将端口与VLAN关联，请使用箭头键将左侧列表中的VLANID移到右侧列表。
如果默认VLAN添加了标记，则可能会显示在右侧列表中，但无法选择。
•标记-选择以下添加标记/PVID选项之一：-已禁止-不允许接口加入VLAN（即使通过GVRP注册也不行）。
如果端口不是任何其他VLAN的成员，在端口上启用该选项会使该端口成为内部VLAN4095（保留VID）的成员。
-Tagged-选择端口是否Tagged。
-Untagged-选择端口是否Untagged。
该选项不适用于访问端口。
思科200系列智能型交换机管理指南 162 VLAN管理语音VLAN 步骤5单击应用。
将修改设置，并将其写入当前配置文件中。
要查看接口上的管理和运行VLAN，请单击详情。
14 语音VLAN 在LAN中，如果IP电话、VoIP端点等语音设备和语音系统位于同一个VLAN中，则这种VLAN被称为语音VLAN。
如果语音设备位于不同的语音VLAN中，就需要使用IP（第3层）路由器来进行通信。
本节包含以下主题： •语音VLAN概述•语音VLAN配置•电话OUI 语音VLAN概述本节包含以下主题：•动态语音VLAN模式•自动语音VLAN、自动智能端口、CDP和LLDP•语音VLANQoS•语音VLAN限制•语音VLAN工作流下面是使用适当配置的典型语音部署方案：•UC3xx/UC5xx托管：所有思科电话和VoIP端点都支持此部署模型。
对于此模型，UC3xx/UC5xx、思科电话和VoIP端点都位于同一个语音VLAN中。
UC3xx/UC5xx语音VLAN的默认值为VLAN100。
•第三方IPPBX托管：思科SBTGCP-79xx、SPA5xx电话和SPA8800端点支持此部署模型。
在此模型中，电话使用的VLAN由网络配置确定。
语音和数据VLAN可以分开，也可以不分开。
电话和VoIP端点通过内建IPPBX注册。
•IPCentrex/ITSP托管：思科CP-79xx、SPA5xx电话和SPA8800端点支持此部署模型。
对于此模型，电话使用的VLAN由网络配置确定。
语音和数据VLAN可以分开，也可以不分开。
电话和VoIP端点通过“云”中的一个远端SIP代理注册。
思科200系列智能型交换机管理指南 163 VLAN管理语音VLAN 14 从VLAN的角度来看，上述模型可以在可识别VLAN和不可识别VLAN中运行。
在可识别VLAN环境中，语音VLAN是安装中配置的很多VLAN中的一个。
不可识别VLAN方案与可识别VLAN相同，只是语音VLAN是唯一一个VLAN。
设备始终作为可识别VLAN交换机运行。
该设备支持单一语音VLAN。
默认情况下，语音VLAN为VLAN1。
语音VLAN的默认值为VLAN1。
您可以手动配置不同的语音VLAN。
当自动语音VLAN启用时，还可以动态学习语音VLAN。
要将端口手动添加至语音VLAN，可根据“配置VLAN接口设置”一节中所述使用基本VLAN配置实现，或者手动将语音相关的智能端口宏应用到端口。
或者，如果该设备处于“电话OUI”模式，或已启用“自动智能端口”，您也可以动态添加端口。
动态语音VLAN模式设备支持两种动态语音VLAN模式：电话OUI（组织唯一标识符）模式和自动语音VLAN模式。
这两种模式将影响到语音VLAN和/或语音VLAN端口成员关系的配置。
这两种模式是相互排斥的。
•电话OUI 在“电话OUI”模式中，语音VLAN必须是一个手动配置的VLAN，而不能是默认的VLAN。
当设备处于“电话OUI”模式中，且端口已手动配置成为加入语音VLAN的候选端口时，如果设备收到包含与其中一个已配置电话OUI相匹配的源MAC地址的数据包时，设备会将该端口动态添加至语音VLAN中。
OUI是以太网MAC地址的前三个字节。
有关电话OUI的详情，请参阅电话OUI。
•自动语音VLAN 在“自动语音VLAN”模式中，语音VLAN可以是默认的语音VLAN，可以手动进行配置，也可以从UC3xx/5xx等外部设备以及在CDP或VSDP中通告语音VLAN的交换机学习。
VSDP是一个思科定义的语音服务发现协议。
与电话OUI模式根据电话OUI检测语音设备不同，自动语音VLAN模式根据自动智能端口将端口动态添加至语音VLAN。
如果已启用自动智能端口，且检测到某端口附加设备通过CDP和/或LLDP-MED将其自身通告为电话或媒体端点，则会将端口添加至语音VLAN。
语音端点要使语音VLAN正常工作，则必须将思科电话和VoIP端点等语音设备分配给发送和接收语音流量的语音VLAN。
以下列举了一些可能的方案： •电话/端点可以静态配置语音VLAN。
•电话/端点可以在从TFTP服务器下载的启动文件中获得语音VLAN。
当为电话分配一个IP地址时，DHCP服务器可以指定启动文件和TFTP服务器。
•电话/端点从邻居语音系统和交换机的CDP和LLDP-MED通告中，获得语音VLAN信息。
思科200系列智能型交换机管理指南 164 VLAN管理语音VLAN 14 设备希望附加语音设备向语音VLAN发送Tagged数据包。
在语音VLAN同时也是本征VLAN的端口上，也可发送语音VLANUntagged数据包。
自动语音VLAN、自动智能端口、CDP和LLDP 默认设置出厂默认情况下，设备上的CDP、LLDP和LLDP-MED已启用，自动智能端口模式已启用，基本QoS连同信任DSCP已启用，并且所有端口都是默认VLAN1的成员，其中VLAN1也是默认的语音VLAN。
此外，动态语音VLAN模式默认为根据触发启用，自动智能端口默认为根据自动语音VLAN启用。
语音VLAN触发如果动态语音VLAN模式为“启用自动语音VLAN”，则只有出现一个或多个触发时，语音VLAN模式才可运行。
触发可以是静态语音VLAN配置、在邻居CDP通告中接收的语音VLAN信息，以及在语音VLAN发现协议(VSDP)中接收的语音VLAN信息。
您可以在必要时立即激活自动语音VLAN，而无需等待触发。
如果根据自动语音VLAN模式启用自动智能端口，则当自动语音VLAN运行时，将启用自动智能端口。
您还可以在必要时不考虑自动语音VLAN，独自启用自动智能端口。
注此处的默认配置列表适用于固件版本支持开箱即用自动语音VLAN的交换机。
该列表还适用于已升级至支持自动语音VLAN的固件版本的未配置交换机。
注默认设置和语音VLAN触发不会对没有语音VLAN的任何安装和已进行配置的交换机产生任何影响。
您可以按需手动禁用和启用自动语音VLAN和/或自动智能端口，使之适应您的部署。
自动语音VLAN 自动语音VLAN负责维护语音VLAN，但是需要根据自动智能端口维护语音VLAN端口成员关系。
当运行自动语音VLAN模式时，将执行以下功能： •从直连邻居设备的CDP通告中发现语音VLAN信息。
•如果多台邻居交换机和/或路由器（例如，思科统一通信[UC]设备）通告其语音VLAN，将使用MAC地址最低的设备的语音VLAN。
注如果将设备连接至一台思科UC设备，您可能需要使用switchportvoicevlan命令配置UC设备上的端口，以确保UC设备在端口CDP中通告其语音VLAN。
•通过使用语音服务发现协议(VSDP)，可以同步语音VLAN相关参数和其他已启用自动语音VLAN的交换机。
设备始终使用来自其已识别的优先级最高的源的语音VLAN对自身进行配置。
该优先级基于提供语音VLAN信息的源的源类型和MAC地址。
源类型优先级从高到低分别为：VLAN配置、CDP通告、基于已更改的默认VLAN的默认配置和默认语音VLAN。
数值低的MAC地址比数值高的MAC地址优先级更高。
•在发现来自优先级更高的源的新语音VLAN之前，或者在用户重启自动语音VLAN之前，系统将始终保留该语音VLAN。
重启时，设备将语音VLAN重置为默认语音VLAN，并重启自动语音VLAN发现。
思科200系列智能型交换机管理指南 165 VLAN管理语音VLAN 14 •当配置/发现新的语音VLAN时，设备将自动创建该语音VLAN，并将现有语音VLAN的所有端口成员关系全部替换为新的语音VLAN。
这可能会中断或终止现有的语音会话，当更改网络拓扑时预期也会导致此结果。
自动智能端口与CDP/LLDP配合使用，可以在从端口检测到语音端点时维护语音VLAN的端口成员关系： •当CDP和LLDP启用时，设备会定期发送CDP和LLDP数据包，向使用的语音端点通告语音VLAN。
•当连接至某端口的设备通过CDP和/或LLDP将自身作为一个语音端点通告时，自动智能端口会为该端口应用相应的智能端口宏，从而自动将该端口添加至语音VLAN（如果不存在来自该端口的任何其他设备通告一个冲突或更高级的功能）。
如果某设备将自身作为一台电话通告，则默认的智能端口宏是电话。
如果某设备将自身作为电话与主机或者电话与网桥通告，则默认的智能端口宏是电话+桌面。
语音VLANQoS 语音VLAN可通过使用LLDP-MED网络策略传递CoS/802.1p和DSCP设置。
如果某设备发送LLDP-MED数据包，则LLDP-MED将默认设置为响应语音QoS设置。
支持MED的设备必须使用与LLDP-MED响应所接收的相同的CoS/802.1p和DSCP值发送其语音流量。
您可以禁止在语音VLAN和LLDP-MED间进行自动更新，并使用其自有网络策略。
若在OUI模式下，设备可以根据OUI另外配置语音流量的映射和重新标记(CoS/802.1p)。
默认情况下，所有接口都是CoS/802.1p信任接口。
设备将根据语音流中找到的CoS/802.1p值应用服务质量。
对于电话OUI语音流，您可以通过指定所需的CoS/802.1p值，并使用“电话OUI”下面的重新标记选项，覆盖服务质量，并可以选择重新标记语音流的802.1p。
语音VLAN限制存在以下限制： •只支持一个语音VLAN。
•定义为语音VLAN的VLAN无法删除。
此外，以下限制也适用于电话OUI： •语音VLAN不能是VLAN1（默认VLAN）。
•语音VLAN不能启用智能端口。
•语音VLANQoS决策的优先级高于任何其他QoS决策（策略决策除外）。
•仅在当前的语音VLAN没有候选端口时，才能为语音VLAN配置新的VLANID。
•候选端口的接口VLAN必须处于“一般”模式或“中继”模式下。
•语音VLANQoS将应用于已加入语音VLAN的候选端口以及静态端口。
思科200系列智能型交换机管理指南 166 VLAN管理语音VLAN 14 •如果转发数据库(FDB)可学习MAC地址，将接受语音流。
（如果FDB中没有可用空间，则不会发生任何操作。
）语音VLAN工作流设备的自动语音VLAN、自动智能端口、CDP和LLDP默认设置涵盖大多数常见的语音部署方案。
本节介绍了当未应用默认配置时，如何部署语音VLAN。
工作流程1：配置自动语音VLAN的步骤：步骤1打开“VLAN管理>语音VLAN>属性”页面。
步骤2选择语音VLANID。
不能将其设置为VLANID1（动态语音VLAN无需此步骤）。
步骤3设置动态语音VLAN为“启用自动语音VLAN”。
步骤4选择自动语音VLAN激活方法。
注如果设备目前正处于“电话OUI”模式中，则您必须先将其禁用，方可配置自动语音Vlan。
步骤5单击应用。
步骤6按常见智能端口任务一节中所述配置智能端口。
步骤7按配置LLDP和配置CDP节中所述，分别配置LLDP/CDP。
步骤8使用“智能端口>接口设置”页面启用相关端口上的智能端口特性。
注步骤7和步骤8是可选的，因为这两项在默认情况下处于启用状态。
工作流程2：配置电话OUI方法的步骤步骤1打开“VLAN管理>语音VLAN>属性”页面。
设置动态语音VLAN为“启用电话OUI”。
注如果设备目前正处于“自动语音VLAN”模式中，则在您可以配置电话OUI之前，必须将其禁用。
步骤2在“电话OUI”页面中配置电话OUI。
步骤3在“电话OUI接口”页面中为端口配置电话OUIVLAN成员关系。
思科200系列智能型交换机管理指南 167 VLAN管理语音VLAN 14 语音VLAN配置本节介绍了如何配置语音VLAN。
其中包含以下主题：•配置语音VLAN属性•自动语音VLAN设置•电话OUI 配置语音VLAN属性使用“语音VLAN属性”页面完成以下操作：•查看当前语音VLAN的配置情况。
•配置语音VLAN的VLANID。
•配置语音VLANQoS设置。
•配置语音VLAN模式（电话OUI或自动语音VLAN）。
•配置自动语音VLAN的触发方式。
查看和配置语音VLAN属性的步骤：步骤1单击VLAN管理>语音VLAN>属性。
•语音VLAN设置（管理状态）框中将显示设备上配置的语音VLAN设置。
•语音VLAN设置（运行状态）框中将显示实际应用于语音VLAN部署的语音VLAN设置。
步骤2为以下字段输入值：•语音VLANID-输入要作为语音VLAN的VLAN。
注语音VLANID、CoS/802.1p和/或DSCP中的更改会导致设备将管理语音VLAN作为静态语音VLAN通告。
如果选择由外部语音VLAN触发自动语音VLAN激活，则需要保持默认值。
•CoS/802.1p-选择一个LLDP-MED要用作语音网络策略的CoS/802.1p值。
详情请参阅管理>发现>LLDP>LLDPMED网络策略。
•DSCP-选择LLDP-MED要用作语音网络策略的DSCP值。
详情请参阅管理>发现>LLDP>LLDPMED网络策略。
•动态语音VLAN-选择此字段，通过以下一种方式禁用或启用语音VLAN特性：-启用自动语音VLAN-在“自动语音VLAN”模式中启用动态语音VLAN。
思科200系列智能型交换机管理指南 168 VLAN管理语音VLAN 14 -启用电话OUI-在“电话OUI”模式中启用动态语音VLAN。
-禁用-禁用自动语音Vlan或电话OUI。
•自动语音VLAN激活-如果已启用自动语音VLAN，可以选择以下选项中的一种激活自动语音VLAN：-立即-如果启用，将立即激活设备上的自动语音VLAN，并使之生效。
-通过外部语音VLAN触发器-只有当设备检测到某设备通告语音VLAN时，才能激活设备上的自动语音VLAN，并使之生效。
注手动重新配置语音VLANID、CoS/802.1p和/或DSCP，更改其默认值会产生一个静态语音VLAN，该静态语音VLAN的优先级高于从外部源学习的自动语音VLAN。
步骤3单击应用。
VLAN属性将写入当前配置文件中。
自动语音VLAN设置如果已启用自动语音VLAN模式，可以使用自动语音VLAN页面查看相关全局和接口参数。
您还可以单击重启自动语音VLAN，使用此页面手动重启自动语音VLAN。
短暂延时之后，此操作将重置语音VLAN为默认语音VLAN，并在已启用自动语音VLAN的LAN中所有交换机上重启自动语音VLAN发现和同步流程。
注如果源类型处于非活动状态，此操作只会将语音VLAN重置为默认语音VLAN。
查看自动语音VLAN参数的步骤：步骤1单击VLAN管理>语音VLAN>自动语音VLAN。
此页面上的运行状态框将显示有关当前语音VLAN及其源的信息： •自动语音VLAN状态-显示是否已启用自动语音VLAN。
•语音VLANID-当前语音VLAN标识符•源类型-显示根设备发现的语音VLAN的源类型。
•CoS/802.1p-显示LLDP-MED会用作语音网络策略的CoS/802.1p值。
•DSCP-显示LLDP-MED会用作语音网络策略的DSCP值。
•根交换机MAC地址-发现或配置语音VLAN的根设备的MAC地址（语音VLAN就是从该设备中学习到的）。
•交换机MAC地址-设备的基本MAC地址。
如果该设备的交换机MAC地址是根交换机MAC地址，则该设备即为自动语音VLAN根设备。
思科200系列智能型交换机管理指南 169 VLAN管理语音VLAN 14 •语音VLANID更改时间-上次更新语音VLAN的时间。
步骤2单击重启自动语音VLAN，重置语音VLAN为默认语音VLAN，并在LAN中的所有已启用自动语音VLAN的交换机上重启自动语音VLAN发现流程。
语音VLAN本地表会显示设备上配置的语音VLAN，以及由直连邻居设备通告的任意语音VLAN配置。
其中包含以下字段： •接口-显示在其上接收或配置语音VLAN配置的接口。
如果显示“无”，则表示设备自身已完成配置。
如果显示接口，则表示已从邻居接收语音配置。
•源MAC地址-从其接收语音配置的UC的MAC地址。
•源类型-从其接收语音配置的UC的类型。
可能的选项有： -默认-设备上的默认语音VLAN配置-静态-设备上用户定义的语音VLAN配置。
-CDP-通告的语音VLAN配置正在运行CDP的UC。
-LLDP-通告的语音VLAN配置正在运行LLDP的UC。
-语音VLANID-所通告或配置的语音VLAN的标识符•语音VLANID-当前语音VLAN的标识符。
•CoS/802.1p-LLDP-MED要用作语音网络策略的通告或配置的CoS/802.1p值。
•DSCP-LLDP-MED要用作语音网络策略的通告或配置的DSCP值。
•最佳本地源-显示设备是否已使用此语音VLAN。
可能的选项有： -是-设备使用此语音VLAN同步已启用自动语音VLAN的其他交换机。
除非发现来自更高优先级源的语音VLAN，否则，此语音VLAN便为该网络的语音VLAN。
只能有一个本地源成为最佳本地源。
-否-此本地源并非最佳本地源。
步骤3单击刷新，刷新页面上的信息电话OUI OUI是由InstituteofElectricalandElectronicsEngineers,Incorporated（电气电子工程师学会，IEEE）注册机构分配的。
由于IP电话制造商数量有限且被熟知，因此已知的OUI值会导致将相关帧以及在其上发现这些帧的端口自动分配给语音VLAN。
OUI全局表最多可包含128个OUI。
思科200系列智能型交换机管理指南 170 VLAN管理语音VLAN 14 本节包含以下主题：•电话OUI表•电话OUI接口电话OUI表使用“电话OUI”页面可配置电话OUIQoS属性。
此外，您还可以配置自动成员关系过期时间。
如果指定的时间段内没有电话活动，则该端口将从语音VLAN中删除。
使用“电话OUI”页面可查看现有OUI，并添加新的OUI。
配置电话OUI和/或添加新的语音VLANOUI的步骤：步骤1单击VLAN管理>语音VLAN>电话OUI。
“电话OUI”页面包含以下字段： •电话OUI运行状态-显示OUI是否用于标识语音流量。
•CoS/802.1p-选择将要分配给语音流量的CoS队列。
•重新标记CoS/802.1p-选择是否重新标记出站流量。
•自动成员关系过期时间-输入在端口上所有检测到的电话MAC地址过期之后，从语音VLAN删除端口的时间延时。
步骤2单击应用，使用这些值更新设备的当前配置。
此时将显示电话OUI表：•电话OUI-为OUI保留的MAC地址的前六位。
•说明-用户指定的OUI说明。
步骤3单击恢复默认OUI可删除所有用户创建的OUI，而仅在表中保留默认的OUI。
恢复完成之前，OUI信息可能不准确。
这可能需要几秒钟时间。
几秒钟过后，通过退出并重新进入页面来刷新页面。
要删除所有OUI，请选择顶部的复选框。
将选择所有OUI，并可通过单击删除将它们删除。
然后，如果您单击恢复，系统将恢复已知的OUI。
步骤4要添加新的OUI，请单击添加。
步骤5为以下字段输入值：•电话OUI-输入新的OUI。
思科200系列智能型交换机管理指南 171 VLAN管理语音VLAN 14 •说明-输入OUI名称。
步骤6单击应用。
将OUI添加至电话OUI表。
电话OUI接口在以下一种模式下，QoS属性可按端口分配给语音数据包：•全部-为语音VLAN配置的服务质量(QoS)值将应用于在接口上收到的被分类为属于语音VLAN的所有传入帧。
•电话源MAC地址(SRC)-为语音VLAN配置的QoS值会应用到分类为属于语音VLAN，且在源MAC地址中包含一个OUI，与已配置电话OUI相匹配的所有传入帧。
使用“电话OUI接口”页面，根据OUI标识符将接口添加至语音VLAN，并配置语音VLAN的OUIQoS模式。
在接口上配置电话OUI的步骤：步骤1单击VLAN管理>语音VLAN>电话OUI接口。
“电话OUI接口”页面包含所有接口的语音VLANOUI参数。
步骤2若要将接口配置为基于电话OUI的语音VLAN的候选端口，请单击编辑。
步骤3为以下字段输入值：•接口-选择接口。
•电话OUIVLAN成员关系-如果已启用，则该接口即为基于电话OUI的语音VLAN的候选端口。
当接收到的数据包与一个已配置电话OUI匹配时，即可将该端口添加至语音VLAN。
•语音VLANQoS模式-选择以下选项中的一个：-全部-QoS属性应用于分类为属于语音VLAN的所有数据包上。
-电话源MAC地址-QoS属性仅应用于来自IP电话的数据包上。
步骤4单击应用。
将添加OUI。
思科200系列智能型交换机管理指南 172 15 生成树本节介绍了生成树协议(STP)（IEEE802.1D和IEEE802.1Q），具体包括以下主题：•STP模式•STP状态和全局设置•生成树接口设置•快速生成树设置 STP模式 STP通过选择性地将链路设置为备用模式，以避免形成环路，从而防止第2层广播域发生广播风暴。
在备用模式下，这些链路会暂时性地停止传输用户数据。
当拓扑发生变化以便能够传输数据时，系统会自动重新激活这些链路。
当主机之间存在备用路由时，产生环路。
扩展网络中的环路可导致交换机无限制转发流量，从而造成流量负载增加、网络效率降低。
STP提供了一种树状拓扑，该拓扑可在网络上的终端工作站之间创建唯一的路径，从而消除环路，其适用于任意部署的交换机和互联链路。
设备支持以下生成树协议版本： •传统STP-在任意两个终端工作站之间提供单条路径，从而避免和消除环路。
•快速STP(RSTP)-检测网络拓扑，以提供更快的生成树聚合。
本协议在网络拓扑本身为树状结构，从而可以实现快速聚合的情况下最有效。
默认情况下，系统会启用RSTP。
注200系列交换机不支持MSTP。
思科200系列智能型交换机管理指南 173 生成树 STP状态和全局设置 15 STP状态和全局设置 “STP状态和全局设置”页面包含用于启用STP或RSTP的参数。
使用“STP接口设置”页面和“RSTP接口设置”页面将端口分别配置为相应模式。
设置STP状态和全局设置的步骤：步骤1单击生成树>STP状态和全局设置。
步骤2输入参数。
全局设置：•生成树状态-选择该选项可在设备上启用。
•STP环回防护-选择该选项可在设备上启用环回防护。
•STP运行模式-选择一种STP模式。
•BPDU处理-选择在端口或设备上禁用STP时如何管理网桥协议数据单元(BPDU)数据包。
BPDU用于传输生成树信息。
-过滤-在接口上禁用生成树时，过滤BPDU数据包。
-泛洪-在接口上禁用生成树时，泛洪BPDU数据包。
•路径成本默认值-选择用于为STP端口分配默认路径成本的方式。
分配给接口的默认路径成本随选择的方式而变化。
-短-为端口路径成本指定1到65,535的范围。
-长-为端口路径成本指定1到200,000,000的范围。
网桥设置：•优先级-设置网桥优先级值。
交换BPDU后，优先级最低的设备将成为根网桥。
如果所有网桥具有相同的优先级，将使用它们的MAC地址来确定根网桥。
网桥优先级值的增量为4096。
例如4096、8192、12288等。
•HelloTime-设置根网桥在配置消息之间等待的时间间隔（以秒为单位）。
•最长不过期时间-设置设备在尝试重新定义其自身配置之前，可用来等待接收配置消息的时间间隔（以秒为单位）。
•转发延迟-设置网桥在转发数据包之前保持为学习状态的时间间隔（以秒为单位）。
有关详情，请参阅生成树接口设置。
思科200系列智能型交换机管理指南 174 生成树生成树接口设置 15 指定的根：•网桥ID-网桥优先级与设备的MAC地址串联在一起。
•根网桥ID-根网桥优先级与根网桥的MAC地址串联在一起。
•根端口-可提供从该网桥到根网桥的最低成本路径的端口。
（这在网桥不为根网桥的情况下效果很显著。
）•根路径成本-从该网桥到根网桥的路径成本。
•拓扑更改总数-已发生的STP拓扑更改总数。
•最近拓扑更改-自上次拓扑更改发生以来所用的时间间隔。
该时间以“天/小时/分钟/秒”的格式显示。
步骤3单击应用。
STP全局设置将写入当前配置文件。
生成树接口设置使用“STP接口设置”页面可针对每个端口配置STP，及查看该协议学习的信息，例如指定的网桥。
输入的定义的配置对于任何模式的STP协议均有效。
在接口上配置STP的步骤：步骤1单击生成树>STP接口设置。
步骤2选择一个接口，并单击编辑。
步骤3输入参数•接口-选择要在其上配置生成树的端口或LAG。
•STP-在端口上启用或禁用STP。
•边缘端口-在端口上启用或禁用快速链路。
如果针对端口启用了快速链路模式，则当端口链路连接时，系统会自动将端口状态设置为转发状态。
快速链路会优化STP协议聚合。
选项如下：-启用-立即启用快速链路。
-自动-在接口开始活动后的几秒内启用快速链路。
这样可让STP在启用快速链路之前，解决环路问题。
-禁用-禁用快速链路。
注建议将值设置为“自动”，以便在主机连接到设备后，该设备将端口设置为快速链路模式，或者在连接到其他设备后，将端口设置为常规STP端口。
这有助于避免形成环路。
思科200系列智能型交换机管理指南 175 生成树快速生成树设置 15 •BPDU处理-选择在端口或设备上禁用STP时如何管理BPDU数据包。
BPDU用于传输生成树信息。
-使用全局设置-选择该选项以使用“STP状态和全局设置”页面中定义的设置。
-过滤-在接口上禁用生成树时，过滤BPDU数据包。
-泛洪-在接口上禁用生成树时，泛洪BPDU数据包。
•路径成本-设置端口产生的根路径成本，或使用系统生成的默认成本。
•优先级-设置端口的优先级值。
如果网桥在一个环路中连接了两个端口，则优先级值会影响端口选择。
优先级是从0到240的值，设置增量为16。
•端口状态-显示端口的目前STP状态。
-已禁用-目前在端口上禁用STP。
端口在学习MAC地址的同时转发流量。
-阻塞-端口目前被阻塞，无法转发流量（BPDU数据除外）或学习MAC地址。
-监听-端口处于监听模式。
端口无法转发流量，也无法学习MAC地址。
-学习-端口处于学习模式。
端口无法转发流量，但能够学习新的MAC地址。
-转发-端口处于转发模式。
端口可以转发流量且学习新的MAC地址。
•指定的网桥ID-显示指定网桥的网桥优先级和MAC地址。
•指定的端口ID-显示所选端口的优先级和接口。
•指定成本-显示加入STP拓扑的端口的成本。
如果STP检测到环路，则成本越低的端口越不容易被阻塞。
•转发转换-显示端口从阻塞状态变成转发状态的次数。
•速度-显示端口速度。
•LAG-显示端口所属的LAG。
如果端口是某LAG的成员，则LAG设置会覆盖端口设置。
步骤4单击应用。
接口设置将写入当前配置文件。
快速生成树设置使用快速生成树协议(RSTP)，可实现更快的STP聚合，而不会创建转发环路。
使用“RSTP接口设置”页面可针对每个端口配置RSTP。
如果将全局STP模式设置为RSTP，则在此页面上完成的任何配置均有效。
思科200系列智能型交换机管理指南 176 生成树快速生成树设置 15 输入RSTP设置的步骤：步骤1单击生成树>STP状态和全局设置。
启用RSTP。
步骤2单击生成树>RSTP接口设置。
此时将显示“RSTP接口设置”页面：步骤3选择一个端口。
注仅在选择连接至所测试的网桥伙伴的端口之后，“激活协议迁移”才可用。
步骤4如果使用STP发现了链路伙伴，请单击激活协议迁移运行协议迁移测试。
这可确定使用STP的链路伙伴是否仍然存在，如果存在，可确定该链路伙伴是否已迁移到RSTP。
如果其仍作为STP链路存在，则设备将继续使用STP与其进行通信。
或者，如果它已经迁移到RSTP，设备将相应地使用RSTP。
步骤5选择一个接口，并单击编辑。
步骤6输入参数： •接口-设置接口，并指定要配置RSTP的端口或LAG。
•点到点管理状态-定义点到点的链路状态。
定义为全双工的端口会被视为点到点端口链路。
-启用-如果启用了此功能，该端口便是一个RSTP边缘端口，它可以迅速地进入转发模式（通常在2秒以内）。
-禁用-不会出于RSTP目的将该端口视为点到点端口，这表示STP在该端口上将以正常速度而非高速工作。
-自动-使用RSTPBPDU自动确定设备状态。
•点到点运行状态-如果将点到点运行状态设置为“自动”，则显示点到点运行状态。
•角色-显示由STP指定的端口角色，以提供STP路径。
可能的角色有： -根-将数据包转发给根网桥的最低成本路径。
-指定-网桥通过其连接至LAN的接口，可提供从LAN到根网桥的最低成本路径。
-备选-提供从根接口到根网桥的备用路径。
-备份-提供指向生成树叶节点的指定端口路径的备份路径。
这会提供一种配置，其中一个环路中的两个端口会通过一条点到点链路进行连接。
如果LAN具有两条或更多条已建立的、至一个共享网段的连接，则也会使用备份端口。
-已禁用-端口不会加入生成树。
•模式-显示目前的生成树模式：传统STP或RSTP。
思科200系列智能型交换机管理指南 177 生成树快速生成树设置 15 •快速链路运行状态-显示接口上的快速链路（边缘端口）模式状态：已启用、已禁用或自动。
这些值包括：-已启用-启用快速链路。
-已禁用-禁用快速链路。
-自动-在接口开始活动后的几秒内启用快速链路模式。
•端口状态-显示特定端口上的RSTP状态。
-已禁用-目前在端口上禁用STP。
-阻塞-端口目前被阻塞，其无法转发流量或学习MAC地址。
-监听-端口处于监听模式。
端口无法转发流量，也无法学习MAC地址。
-学习-端口处于学习模式。
端口无法转发流量，但能够学习新的MAC地址。
-转发-端口处于转发模式。
端口可以转发流量且学习新的MAC地址。
步骤7单击应用。
将更新当前配置文件。
思科200系列智能型交换机管理指南 178 管理MAC地址表 16 本节介绍了如何将MAC地址添加到系统。
其中包含以下主题： •静态MAC地址 •动态MAC地址有两种类型的MAC地址：静态地址和动态地址。
根据MAC地址的类型，可将其与VLAN和端口信息一起存储在静态地址表或动态地址表中。
静态地址由用户进行配置，因此不会过期。
在到达设备的帧中显示的新源MAC地址会添加到动态地址表中。
此MAC地址会根据配置保留一段时间。
如果在这段时间结束之前没有使用相同源MAC地址的其他帧到达设备，则MAC条目将过期并从动态地址表中删除。
当帧到达设备时，设备会搜索静态或动态地址表中响应/匹配的目的MAC地址。
如果找到匹配项，则将此帧标记为通过地址表中指定的端口输出。
如果帧的目的MAC地址不在这两个地址表中，则会将这些帧传输/广播到相应VLAN上的所有端口。
此类帧也称为未知的单播帧。
设备最多支持8,000个静态和动态MAC地址。
静态MAC地址可以将静态MAC地址分配给设备上的特定物理接口和VLAN。
如果在其他接口上检测到静态地址，那么，系统会忽略该地址，也不会将其写入地址表。
定义静态地址的步骤：步骤1单击MAC地址表>静态地址。
“静态地址”页面包含当前已定义的静态地址。
步骤2单击添加。
步骤3输入参数。
•VLANID-为端口选择VLANID。
思科200系列智能型交换机管理指南 179 管理MAC地址表动态MAC地址 16 •MAC地址-输入接口MAC地址。
•接口-为条目选择一个接口（端口或LAG）。
•状态-选择条目的处理方式。
选项如下： -永久-系统永远不会删除此MAC地址。
如果静态MAC地址保存在启动配置中，则重启后会保留该地址。
-重置即删除-重置设备时，会删除静态MAC地址。
-超时即删除-当该MAC地址过期时将其删除。
-安全-当接口为传统锁定模式（请参阅配置端口安全）时，MAC地址是安全的。
步骤4单击应用。
将在地址表中显示一个新条目。
动态MAC地址动态地址表（桥接表）中包含通过监控进入设备的帧源地址而获取的MAC地址。
为了防止此表溢出并为新MAC地址腾出空间，如果在特定的时间段（称为“过期时间”）内没有接收到相应的流量，系统会删除该地址。
配置动态MAC地址过期时间配置动态地址过期时间的步骤：步骤1单击MAC地址表>动态地址设置。
步骤2在过期时间字段中输入值。
过期时间值介于用户配置的值与该值的两倍减1之间。
例如，如果输入300秒，则过期时间将介于300到599秒之间。
步骤3单击应用。
将更新过期时间。
思科200系列智能型交换机管理指南 180 管理MAC地址表动态MAC地址 16 查询动态地址查询动态地址的步骤：步骤1单击MAC地址表>动态地址。
步骤2在过滤框中，您可以输入以下查询条件：•VLANID-输入要在地址表中查询的VLANID。
•MAC地址-输入要在地址表中查询的MAC地址。
•接口-选择要在地址表中查询的接口。
查询功能可以搜索特定单元/插槽、端口或LAG。
步骤3单击转至。
将对动态MAC地址表进行查询并显示结果。
-要删除所有动态MAC地址，请单击清除表。
思科200系列智能型交换机管理指南 181 17 组播本节介绍了组播转发功能，具体包括以下主题：•组播转发•组播属性•MAC组地址•IP组播组地址•IPv4组播配置•IPv6组播配置•IGMP/MLDSnoopingIP组播组•组播路由器端口•全部转发•未注册的组播组播转发组播转发实现了一对多的信息传递。
组播应用对于将信息传递给多个客户端非常有用，在这种情况下客户端不需要接收全部内容。
类似于有线电视的服务是一种典型应用，在这种情况下客户端可以加入传输中心的频道，并在结束之前离开。
仅将数据发送给相关端口。
仅对相关端口转发数据可节省链接上的带宽和主机资源。
默认情况下，会将所有组播帧泛洪到VLAN的所有端口。
通过在“组播>属性”页面中启用网桥组播过滤状态，可以选择性地仅转发到相关端口并过滤（丢弃）其余端口上的组播。
如果启用过滤，则会将多播帧转发到相关VLAN中端口的子网，如多播转发数据库(MFDB)中所定义。
将对所有流量实施组播过滤。
思科200系列智能型交换机管理指南 182 组播组播转发 17 表示组播成员关系的常见方法是(
S,G)标记法，其中S是指发送数据组播流的（单个）源，G是指IPv4或IPv6组地址。
如果组播客户端可以从特定组播组的任何源接收组播流量，则保存为(*,G)。
可以配置以下组播帧转发方法之一： •MAC组地址-根据以太网帧中的目的MAC。
注可将一个或多个IP组播组地址映射至一个MAC组地址。
根据MAC组地址进行转发，可导致IP组播流被转发至没有流接收器的端口。
•IP组地址-根据IP数据包的目的IP地址(*,G)。
•源特定IP组地址-根据IP数据包的目的IP地址和源IP地址(
S,G)。
IGMPv3和MLDv2支持(
S,G)，而IGMPv1/2和MLDv1仅支持恰好为组ID的(*.G)。
设备最多支持256个静态和动态组播组地址。
只能为每个VLAN配置上述选项之
一。
典型的组播设置当组播路由器在IP子网间路由组播数据包时，能进行组播的第2层交换机会将组播数据包转发到LAN或VLAN中已注册的节点。
典型设置包括在专用和/或公共IP网络间转发组播流的路由器、采用IGMP/MLDSnooping功能的设备以及要接收组播流的组播客户端。
在此设置中，路由器会定期发送IGMP/MLD查询。
组播操作在第2层组播服务中，第2层交换机会接收发送给特定组播地址的单帧。
它会为在每个相关端口上传输的帧创建副本。
当设备启用IGMP/MLDSnooping并接收组播流的帧时，它会将组播帧转发到经过注册可使用IGMP/MLD加入消息接收组播流的所有端口。
系统会维护每个VLAN的组播组列表，并且这会管理每个端口应接收的组播信息。
使用IGMP或MLD协议侦听可以静态地配置或动态地学习组播组及其进行接收的端口。
思科200系列智能型交换机管理指南 183 组播组播转发 17 组播注册(IGMP/MLDSnooping) 组播注册是监听组播注册协议并对其作出响应的程序。
提供的协议有针对IPv4的IGMP和针对IPv6的MLD协议。
当在VLAN上启用设备中的IGMP/MLDSnooping时，该设备会分析其接收的所有IGMP/MLD数据包（来自连接到设备的VLAN和网络中的组播路由器）。
当设备了解到主机正在使用IGMP/MLD消息进行注册以接收组播流时（或者从特定源进行接收），该设备会在其MFDB中添加注册。
系统可支持以下版本： •IGMPv1/v2/v3 •MLDv1/v2 注设备仅在静态VLAN上支持IGMP/MLDSnooping。
它不支持动态VLAN上的IGMP/MLDSnooping。
全局启用IGMP/MLDSnooping后，所有IGMP/MLD数据包都将被转发至CPU。
CPU则会分析传入的数据包，然后确定以下信息： •哪些端口要求加入哪个VLAN上的哪些组播组。
•将哪些端口连接到了生成IGMP/MLD查询的组播路由器(Mrouter)。
•哪些端口正在接收PIM、DVMRP或IGMP/MLD查询协议。
这些VLAN均显示在“IGMP/MLDSnooping”页面上。
要求加入特定组播组的端口将发送IGMP/MLD报告来指定主机要加入的组。
这将在组播转发数据库中创建转发条目。
组播地址属性组播地址具有以下属性：•每个IPv4组播地址均处于224.0.0.0到239.255.255.255的地址范围之内。
•IPv6组播地址为FF00:/8。
•将IP组播组地址映射至第2层组播地址的步骤：-通过从IPv4地址中取得23个低序位并将它们添加到01:00:5e前缀之后，可以映射IPv4。
标准情况下，前九位IP地址会被忽略，并且会将任何仅不同于这前几位值的IP地址映射至同一第2层地址，这是因为所使用的后23位相同。
例如，会将234.129.2.3映射至MAC组播组地址01:00:5e:01:02:03。
会将最多32个IP组播组地址映射至同一第2层地址。
思科200系列智能型交换机管理指南 184 组播组播转发 17 -通过取得32个低序位组播地址并添加前缀33:33，可映射IPv6。
例如，会将IPv6组播地址FF00:1122:3344映射至第2层组播33:33:11:22:33:44。
IGMP/MLD代理 IGMP/MLD代理是一种简单的IP组播协议。
使用IGMP/MLD代理复制设备上的组播流量（例如，边缘盒），可以大大简化这些设备的设计和实施。
不支持更加复杂的组播路由协议，如协议独立组播(PIM)或距离矢量组播路由协议(DVMRP)，不仅减少了设备的成本，而且也减少了运行开销。
另一项优点在于可以让代理设备不受核心网络路由器使用的组播路由协议影响。
因而可以将代理设备轻松部署到任何组播网络中。
IGMP/MLD代理树 IGMP/MLD代理在一个简单的树拓扑中工作，无需运行复杂的组播路由协议（例如，PIM）。
这足以基于学习组成员关系信息和代理组成员关系信息使用简单的IPM协议，并基于这些信息转发组播路由数据包，此树必须通过在每台代理设备上指定上游和下游接口来手动配置。
此外，还应配置适用于代理树拓扑的IP寻址方案，确保代理设备可以赢得IGMP/MLD查询器选择，以便能够转发组播流量。
在树中除了代理设备不应有其他组播路由器，而且树的根应连接到更广泛的组播基础设施。
执行基于IGMP/MLD的转发的代理设备具有一个上游接口，以及一个或多个下游接口。
这些设置均为显式配置；没有协议用于确定每个接口的类型。
代理设备通过其下游接口执行IGMP/MLD的路由器部分，通过其上游接口执行IGMP/MLD的主机部分。
只支持一个树。
转发规则和查询器应用以下规则： •仅当代理设备为接口上的查询器时，上游接口接收的组播数据包才会转发到所有请求数据包的下游接口。
•如果代理设备不是接口上的查询器，则会丢弃下游接口接收的组播数据包。
•仅当代理设备为接口上的查询器时，代理设备为查询器的下游接口接收的组播数据包才会转发到上游接口和所有请求数据包的下游接口。
下游接口保护默认情况下，系统会转发到达IGMP/MLD树的接口的IP组播流量。
您可以禁用到达下游接口的IP组播流量转发。
此设置可以在全局范围内实现，也可以在指定的下游接口上实现。
思科200系列智能型交换机管理指南 185 组播组播属性 17 组播属性启用组播过滤并选择转发方法的步骤：步骤1单击组播>属性。
步骤2输入参数。
•网桥组播过滤状态-选择该选项可启用过滤功能。
•VLANID-选择VLANID可设置其转发方法。
•IPv6的转发方法-将以下方法之一设置为IPv6地址的转发方法：“MAC组地址”、“IP组地址”或“源特定IP组地址”。
•IPv4的转发方法-将以下方法之一设置为IPv4地址的转发方法：“MAC组地址”、“IP组地址”或“源特定IP组地址”。
步骤3单击应用。
将更新当前配置文件。
MAC组地址 “MAC组地址”页面具有以下功能：•查询并查看来自组播转发数据库(MFDB)的与特定VLANID或特定MAC地址组相关的信息。
可通过IGMP/MLDSnooping动态获取或通过手动输入静态获取此数据。
•添加或删除MFDB的静态条目，该MFDB可根据MAC目的地址来静态转发信息。
•显示作为每个VLANID和MAC地址组成员的所有端口/LAG的列表，并输入是否对其转发流量。
定义和查看MAC组播组的步骤：步骤1单击组播>MAC组地址。
步骤2输入“过滤器”参数。
•VLANID为-设置要显示的组的VLANID。
•MAC组地址为-设置要显示的组播组的MAC地址。
如果未指定MAC组地址，页面将包含来自所选VLAN的所有MAC组地址。
步骤3单击转至，将在下侧块中显示MAC组播组地址。
思科200系列智能型交换机管理指南 186 组播 IP组播组地址 17 此时将显示在此页面和“IP组播组地址”页面创建的条目。
对于那些在“IP组播组地址”页面中创建的条目，IP地址将转换为MAC地址。
步骤4单击添加以添加静态MAC组地址。
步骤5输入参数。
•VLANID-定义新组播组的VLANID。
•MAC组地址-定义新组播组的MAC地址。
步骤6单击应用，MAC组播组将保存至当前配置文件中。
要配置和显示组中接口的注册，请选择一个地址，然后单击详情。
该页面显示：•VLANID-定于组播组的VLANID。
•MAC组地址-组的MAC地址。
步骤7从过滤器：接口类型菜单选择端口或LAG。
步骤8单击转至以显示VLAN的端口或LAG成员关系。
步骤9选择每个接口与组播组进行关联的方法：•静态-将接口作为静态成员连接到组播组。
•动态-表示由于IGMP/MLDSnooping已将接口添加到组播组。
•已禁止-指定禁止此端口加入此VLAN上的这个组播组。
•无-指定端口目前不是此VLAN上该组播组的成员。
步骤10单击应用，将更新当前配置文件。
注无法在此页面中删除在“IP组播组地址”页面中创建的条目（即使已选定这些条目）。
IP组播组地址除组播组由IP地址确定之外，“IP组播组地址”页面与“MAC组地址”页面在其他方面均相似。
使用“IP组播组地址”页面可查询和添加IP组播组。
思科200系列智能型交换机管理指南 187 组播 IP组播组地址 17 定义和查看IP组播组的步骤：步骤1单击组播>IP组播组地址。
该页面包含通过Snooping学习的所有IP组播组地址。
步骤2输入进行过滤所需的参数。
•VLANID为-定义要显示的组的VLANID。
•IP版本为-选择IPv6或IPv4。
•IP组播组地址为-定义要显示的组播组的IP地址。
这仅在转发模式为(
S,G)时才相关。
•源IP地址为-定义发送设备的源IP地址。
如果模式为(
S,G)，则输入发送者
S。
这与IP组地址一起作为要显示的组播组ID(
S,G)。
如果模式为(*.G)，则输入*以表示组播组仅由目的定义。
步骤3单击转至。
结果将显示在选择下侧块中。
步骤4单击“Add”以添加静态IP多播组地址。
步骤5输入参数。
•VLANID-定义要添加的组的VLANID。
•IP版本-选择IP地址类型。
•IP组播组地址-定义新组播组的IP地址。
•源特定-表示该条目包含特定源，并在“IP源地址”字段中添加地址。
否则，该条目将添加为(*,G)条目，即来自任何IP源的IP组地址。
•源IP地址-定义要包括的源地址。
步骤6单击应用。
将添加IP组播组，并更新设备。
步骤7要配置和显示IP组地址的注册，请选择一个地址，然后单击详情。
选定的VLANID、IP版本、IP组播组地址和源IP地址将以只读的方式显示在窗口的顶端。
您可以选择过滤器类型：•接口类型为-选择显示端口还是LAG。
步骤8为每个接口选择其关联类型。
选项如下：•静态-将接口作为静态成员连接到组播组。
•动态-将接口作为动态成员连接到组播组。
•已禁止-指定禁止将此端口添加到此VLAN上的这个组。
思科200系列智能型交换机管理指南 188 组播 IPv4组播配置 17 •无-表示端口目前不是此VLAN上该组播组的成员。
默认情况下选定此项，直到选择“静态”或“已禁止”。
步骤9单击应用。
将更新当前配置文件。
IPv4组播配置以下页面用于配置IPv4组播配置：•IGMPSnooping配置•IGMPVLAN设置 IGMPSnooping配置要支持选择的IPv4组播转发，必须启用网桥组播过滤（在“组播>属性”页面中），并且必须在IGMPSnooping页面中针对每个相关VLAN全局启用IGMPSnooping。
在VLAN上启用IGMPSnooping并识别作为IGMPSnooping查询器的设备的步骤：步骤1单击组播>IPv4组播配置>IGMPSnooping。
全局启用IGMPSnooping时，监控网络流量的设备可确定哪些主机已请求接收组播流量。
仅当同时启用IGMPSnooping和网桥组播过滤时，设备才会执行IGMPSnooping。
步骤2启用或禁用以下功能： •IGMPSnooping状态-选择该选项可在所有接口上全局启用IGMPSnooping。
步骤3要在接口上配置IGMP代理，请选择一个静态VLAN并单击编辑。
输入以下字段： •IGMPSnooping状态-选择该选项可在VLAN上启用IGMPSnooping。
设备会监控网络流量，以确定哪些主机已要求接收组播流量。
仅当同时启用IGMP侦听和网桥组播过滤时，设备才会执行IGMP侦听。
•组播路由器端口自动学习-选择该选项可启用组播路由器的自动学习。
•立即离开-选择该选项可使交换机删除从转发表发送离开消息的接口，而不必首先向接口发出基于MAC的一般查询。
从主机接收到IGMP组离开消息时，系统会从表条目中删除主机端口。
在中继来自组播路由器的IGMP查询后，如果未从组播客户端接收到任何IGMP成员关系报告，系统会定期检测条目。
启用时，此功能会减少用来阻止发送到设备端口的多余IGMP流量的时间。
•最近成员查询计数器-设备中假定不再存在组成员之前所发送的特定于IGMP组的查询数（如果该设备是选择的查询器）。
步骤4选择一个VLAN，然后单击编辑。
思科200系列智能型交换机管理指南 189 组播 IPv6组播配置 17 步骤5按照以上说明输入参数。
步骤6单击应用。
将更新当前配置文件。
注IGMPSnooping定时器配置中的更改，如“查询健壮性”、“查询间隔”等，在已创建的定时器上不起作用。
IGMPVLAN设置在特定VLAN上配置IGMP的步骤：步骤1单击组播>IPv4组播配置>IGMPVLAN设置。
对于每个启用了IGMP的VLAN，将显示以下字段： •接口名称-在其中定义IGMPSnooping的VLAN。
•路由器IGMP版本-IGMPSnooping的版本。
•查询健壮性-输入链路上的预期数据包丢失数。
•查询间隔(秒)-当此设备是选择的查询器时要使用的普通查询的时间间隔。
•查询最大响应间隔(秒)-用来计算插入定期普通查询的最大响应代码的延迟时间。
•最近成员查询间隔(毫秒)-输入要使用的最大响应延迟时间（如果设备无法从所选查询器发送的特定于组的查询读取最大响应时间值）。
步骤2选择一个接口并单击“Edit”。
输入上述字段的值。
步骤3单击应用。
将更新当前配置文件。
IPv6组播配置以下页面用于配置IPv6组播配置：•MLDSnooping•MLDVLAN设置 MLDSnooping 要支持选择的IPv6组播转发，必须启用网桥组播过滤（在“组播>属性”页面中），并且必须在MLDSnooping页面中针对每个相关VLAN全局启用MLDSnooping。
思科200系列智能型交换机管理指南 190 组播 IPv6组播配置 17 在VLAN上启用MLDSnooping并进行配置的步骤：步骤1单击组播>IPv6组播配置>MLDSnooping。
全局启用MLDSnooping时，监控网络流量的设备可确定哪些主机已请求接收组播流量。
如果同时启用了MLDSnooping和网桥组播过滤，则设备将执行MLDSnooping。
步骤2启用或禁用以下功能： •MLDSnooping状态-选择该选项可在所有接口上全局启用MLDSnooping。
步骤3要在接口上配置MLD代理，请选择一个静态VLAN并单击编辑。
输入以下字段： •MLDSnooping状态-选择该选项可在VLAN上启用MLDSnooping。
设备会监控网络流量，以确定哪些主机已要求接收组播流量。
仅当同时启用MLDSnooping和网桥组播过滤时，设备才会执行MLDSnooping。
•组播路由器端口自动学习-选择该选项可启用组播路由器的自动学习。
•立即离开-选择该选项可使交换机删除从转发表发送离开消息的接口，而不必首先向接口发出基于MAC的一般查询。
从主机接收到MLD组离开消息时，系统会从表条目中删除主机端口。
在中继来自组播路由器的MLD查询后，如果未从组播客户端接收到任何MLD成员关系报告，系统会定期检测条目。
启用时，此功能会减少用来阻止发送到设备端口的多余MLD流量的时间。
•最近成员查询计数器-设备中假定不再存在组成员之前所发送的特定于MLD组的查询数（如果该设备是选择的查询器）。
-使用查询健壮性-此值在MLDVLAN设置页面中设置。
-用户定义-输入一个用户定义的值。
步骤4选择一个VLAN，然后单击编辑。
步骤5按照以上说明输入参数。
步骤6单击应用。
将更新当前配置文件。
注MLDSnooping定时器配置中的更改，如“查询健壮性”、“查询间隔”等，在已创建的定时器上不起作用。
思科200系列智能型交换机管理指南 191 组播 IGMP/MLDSnoopingIP组播组 17 MLDVLAN设置在特定VLAN上配置MLD的步骤：步骤1单击组播>IPv6组播配置>MLDVLAN设置。
对于每个启用了MLD的VLAN，将显示以下字段： •接口名称-显示其MLD信息的VLAN。
•路由器MLD版本-MLD路由器的版本。
•查询健壮性-输入链路上的预期数据包丢失数。
•查询间隔(秒)-当此设备是选择的查询器时要使用的普通查询的时间间隔。
•查询最大响应间隔(秒)-用来计算插入定期普通查询的最大响应代码的延迟时间。
•最近成员查询间隔(毫秒)-输入要使用的最大响应延迟时间（如果设备无法从所选查询器发送的特定于组的查询读取最大响应时间值）。
步骤2要配置某个VLAN，请选中该VLAN，然后单击编辑。
输入上述字段。
步骤3单击应用。
将更新当前配置文件。
IGMP/MLDSnoopingIP组播组 “IGMP/MLDSnoopingIP组播组”页面显示从IGMP/MLD消息学习的IPv4和IPv6组地址。
此页面上的信息与“MAC组地址”页面上的信息可能有所不同。
示例如下：假定系统根据基于MAC的组和请求加入以下组播组224.1.1.1和225.1.1.1的端口进行过滤，两者均被映射到同一MAC组播地址01:00:5e:01:01:01中。
在这种情况下，“MAC组播”页面中有一个条目，而此页面上则有两个条目。
查询IP组播组的步骤：步骤1单击组播>IGMP/MLDSnoopingIP组播组。
步骤2设置要搜索的Snooping组类型：IGMP或MLD。
步骤3输入以下查询过滤条件的一部分或全部：•组地址为-定义要查询的组播组MAC地址或IP地址。
•源地址为-定义要查询的发送者地址。
思科200系列智能型交换机管理指南 192 组播组播路由器端口 •VLANID为-定义要查询的VLANID。
步骤4单击转至。
将为每个组播组显示以下字段： •VLAN-VLANID。
•组地址-组播组MAC地址或IP地址。
•源地址-所有指定组端口的发送者地址。
•包括的端口-组播流目的端口的列表。
•排除的端口-不包括在组中的端口的列表。
•兼容模式-通过设备在IP组地址上接收的主机注册的最旧版本的IGMP/MLD。
17 组播路由器端口组播路由器(Mrouter)端口是连接至组播路由器的端口。
当设备转发组播流和IGMP/MLD注册消息时，会包括组播路由器端口编号。
为使所有组播路由器都可以反过来将组播流转发到其他子网并将注册消息传递到其他子网，这是必需的。
静态配置或动态监测端口连接至组播路由器的步骤：步骤1单击组播>组播路由器端口。
步骤2输入以下查询过滤条件的一部分或全部：•VLANID为-为介绍的路由器端口选择VLANID。
•IP版本为-选择组播路由器支持的IP版本。
•接口类型为-选择显示端口还是LAG。
步骤3单击转至。
此时将显示与查询条件相匹配的接口。
步骤4为每个端口选择其关联类型。
选项如下：•静态-将端口静态配置为组播路由器端口。
•动态-（仅显示）通过MLD/IGMP查询将端口动态配置为组播路由器端口。
要启用动态学习组播路由器端口，请转至组播>IGMPSnooping和组播>MLDSnooping页面。
•已禁止-不将此端口配置为组播路由器端口，即使此端口上接收IGMP或MLD查询。
如果端口上已启用“已禁止”，此端口上将无法学习组播路由器（即此端口上未启用“组播路由器端口自动学习”）。
思科200系列智能型交换机管理指南 193 组播全部转发 •无-端口当前不是组播路由器端口。
步骤5单击应用更新设备。
17 全部转发使用“全部转发”页面，可以配置要从特定VLAN接收组播流的端口和/或LAG。
此功能需要在“属性”页面中启用网桥组播过滤。
如果禁用网桥组播过滤，则所有组播流量均会被泛洪到设备中的所有端口。
如果连接到端口的设备不支持IGMP和/或MLD，您可以将该端口静态配置为“全部转发”。
IGMP或MLD消息不会被转发到定义为全部转发的端口。
注该配置仅会影响作为所选VLAN的成员的端口。
定义“全部转发”组播的步骤：步骤1单击组播>全部转发。
步骤2定义以下选项：•VLANID为-将显示的端口/LAG的VLANID。
•接口类型为-定义显示端口还是LAG。
步骤3单击转至。
此时将显示所有端口/LAG的状态。
步骤4选择要通过使用以下方法来定义为“全部转发”的端口/LAG：•静态-端口接收所有组播流。
•已禁止-端口无法接收任何组播流，即使IGMP/MLDSnooping已指定端口加入组播组。
•无-端口当前不是“全部转发”端口。
步骤5单击应用。
将更新当前配置文件。
思科200系列智能型交换机管理指南 194 组播未注册的组播 17 未注册的组播此功能可用于确保客户仅接收请求的组播组（已注册），而不接收可能在网络中传输的其他组播组（未注册）。
通常会将未注册的组播帧转发到VLAN中的所有端口。
您可以选择一个端口来接收或拒绝（过滤）未注册的组播流。
该配置适用于其端口为成员（或将成为成员）的任何VLAN。
定义未注册的组播设置的步骤：步骤1单击组播>未注册的组播。
步骤2选择接口类型为-查看端口或LAG。
步骤3单击转至。
步骤4定义以下选项：•端口/LAG-显示端口ID或LAGID。
•显示所选接口的转发状态。
可能的值包括：-转发-可将未注册的组播帧转发到选择的接口。
-过滤-可过滤（拒绝）到所选接口的未注册的组播帧。
步骤5单击应用。
将保存设置，并更新当前配置文件。
思科200系列智能型交换机管理指南 195 18 IP配置 IP接口地址由用户手动配置或由DHCP服务器自动配置。
本节介绍关于手动定义设备IP地址，或通过将设备设置为DHCP客户端来定义其IP地址的信息。
本节包含以下主题： •综述 •IPv4管理和接口 •域名综述第2层IP寻址此类设备在管理VLAN中最多有一个IPv4地址和两个IPv6接口（“本地”接口或隧道）。
此IP地址和默认网关可手动配置，也可由DHCP进行配置。
静态IP地址和默认网关在“IPv4接口”页面上进行配置。
设备使用默认网关（如果已配置）来和与该设备位于不同IP子网的设备进行通信。
默认情况下，VLAN1为管理VLAN，但可修改此设置。
仅可通过设备的管理VLAN在配置的IP地址上访问设备。
IPv4地址配置的出厂默认设置为DHCPv4。
这表示设备被用作DHCPv4客户端，并在启动期间发出DHCPv4请求。
如果设备收到DHCPv4服务器使用IPv4地址进行的DHCPv4响应，它会发送地址解析协议(ARP)数据包，来确认该IP地址是唯一的。
如果ARP响应显示该IPv4地址正在使用中，则设备会向提供IPv4地址的DHCP服务器发送一条DHCPDECLINE消息，并发送另一个重新启动该过程的DHCPDISCOVER数据包。
如果设备在60秒内未收到DHCPv4响应，它会继续发送DHCPDISCOVER查询并采用默认IPv4地址：192.168.1.254/24. 如果同一IP子网内的多个设备使用同一IP地址，则会发生IP地址冲突。
地址冲突需要对与设备发生冲突的DHCP服务器和/或设备执行管理操作。
将VLAN配置为使用动态IP地址后，设备会发出DHCPv4请求，直到DHCPv4服务器为其分配IPv4地址。
管理VLAN可以使用静态或动态IP地址进行配置。
思科200系列智能型交换机管理指南 196 IP配置综述 18 设备的IP地址分配规则如下：•除非使用静态IPv4地址配置设备，否则设备会发出DHCPv4查询，直到收到DHCPv4服务器的响应。
•如果设备上的IP地址发生更改，设备会向相应的VLAN发出免费ARP数据包，来检查IP地址冲突问题。
将设备恢复到默认IP地址时，此规则也适用。
•收到来自DHCP服务器的新的唯一IP地址时，系统状态LED会产生变化。
如果已设置静态IP地址，则系统状态LED也会变为以绿色持续亮起。
如果设备正获取IP地址并且当前正在使用出厂默认IP地址192.168.1.254，则LED会闪烁。
•如果客户端必须在其到期日期之前通过DHCPREQUEST消息续租，则相同的规则也适用。
•在出厂默认设置下，如果没有静态定义的IP地址或DHCP获取的IP地址可用，则会使用默认IP地址。
有其他IP地址可用时，会自动使用这些地址。
默认IP地址始终在管理VLAN上。
环回接口概述环回接口是操作状态始终启用的虚拟接口。
如果此虚拟接口上配置的IP地址用作与远程IP应用通信时的本地地址，那么，即使到远程应用的实际路由更改，此通信也不会中止。
环回接口的操作状态始终启用。
您可以在上面定义IP地址，并将此IP地址用作与远程IP应用进行IP通信的本地IP地址。
只要能够从交换机的任一活动（非环回）IP接口访问远程应用，通信就会保持完整。
另一方面，如果使用IP接口的IP地址与远程应用通信，当IP接口关闭时，通信将终止。
环回接口不支持桥接；它无法成为任何VLAN的成员，也不支持任何第2层协议。
IPv6链路本地接口标识符为
1。
当交换机处于第2层模式时，支持以下规则： •只支持一个环回接口。
•可配置两个IPv4接口：一个在VLAN或以太网端口上，另一个在环回接口上。
•如果在默认VLAN上配置IPv4地址，而默认VLAN更改，则交换机会将IPv4地址移动到新的默认 VLAN上。
配置环回接口要配置IPv4环回接口，请执行以下操作：•在第2层中，在“管理>管理接口>IPv4接口”页面启用“环回接口”并配置其地址。
•在第3层中，在“IP配置>IPv4管理和接口>IPv4接口”中添加一个环回接口。
思科200系列智能型交换机管理指南 197 IP配置 IPv4管理和接口 18 IPv4管理和接口在第2层系统模式下定义IPv4接口要使用基于Web的配置实用程序管理设备，必须定义并知道IPv4设备管理IP地址。
设备IP地址可以手动配置或从DHCP服务器自动获得。
配置IPv4设备IP地址的步骤：步骤1单击管理>管理接口>IPv4接口。
步骤2为以下字段输入值：•管理VLAN-选择用于通过或WebGUI访问设备的管理VLAN。
VLAN1为默认的管理VLAN。
•IP地址类型-选择以下其中一个选项：-动态-使用DHCP从管理VLAN发现IP地址。
-静态-手动定义静态的IP地址。
注如果设备为DHCP客户端，则支持DHCP选项12（主机名选项）。
如果DHCP选项12是从DHCP服务器获取的，则会保存为该服务器的主机名。
设备不会发出DHCP选项12请求。
无论哪种请求，DHCP服务器均必须配置为发送选项12，才能使用此功能。
要配置静态IP地址，请配置以下字段。
•IP地址-输入IP地址，并配置以下掩码字段之一：-网络掩码-选择并输入IP地址掩码。
-前缀长度-选择并输入IPv4地址前缀的长度。
•环回接口-选择该选项可启用环回接口配置（请参阅环回接口）。
•环回IP地址-输入环回接口的IPv4地址。
填写环回掩码的以下字段之一：-网络掩码-输入环回接口IPv4地址的掩码。
-前缀长度-输入环回接口IPv4地址的前缀长度。
•管理默认网关-选择用户定义并输入默认网关IP地址，或选择无以从接口中删除选择的默认网关IP地址。
•运行默认网关-显示当前的默认网关状态。
注如果未使用默认网关配置设备，则它无法与同一IP子网内的其他设备进行通信。
思科200系列智能型交换机管理指南 198 IP配置 IPv4管理和接口 18 如果从DHCP服务器检索动态IP地址，请选择以下启用的字段： •立即更新IP地址-可在DHCP服务器分配IP地址后的任何时间更新设备动态IP地址。
请注意，根据您的DHCP服务器配置，设备可能会在续订后收到新的IP地址，从而需要将基于Web的配置实用程序设置为新的IP地址。
•通过DHCP进行自动配置-显示自动配置功能的状态。
您可以通过管理>文件管理>DHCP自动配置配置此功能。
步骤3单击应用。
IPv4接口设置将写入当前配置文件。
-本地-表示该路由为本地路径。
该类型不能选择，而是由系统创建。
ARP 设备会为位于其直接连接的IP子网内的所有已知设备维护一个ARP（地址解析协议）表。
直接连接的IP子网是指设备的IPv4接口所连接的子网。
当设备需要将数据包发送/路由至本地设备时，它会搜索ARP表以取得该设备的MAC地址。
ARP表包含静态地址和动态地址。
静态地址是手动配置的，不会过期。
设备会根据其收到的ARP数据包创建动态地址。
动态地址会在超过配置的时间之后过期。
注ARP表中的IP/MAC地址映射用于转发由设备生成的流量。
定义ARP表的步骤：步骤1单击IP配置>IPv4管理和接口>ARP。
步骤2输入参数。
•ARP条目过期时间-输入动态地址可在ARP表中保留的时间（秒数）。
当动态地址在该表中的时间超过“ARP条目过期时间”时间后，动态地址便会过期。
动态地址过期后，将从表中删除该地址，需要重新学习该地址才能回到表中。
•清除ARP表条目-选择要从系统中清除的ARP条目类型。
-全部-立即删除所有静态地址和动态地址。
-动态-立即删除所有动态地址。
-静态-立即删除所有静态地址。
-正常过期时间-根据配置的“正常过期时间”时间删除动态地址。
步骤3单击应用。
ARP全局设置将写入当前配置文件。
ARP表将显示以下字段：•接口-IP设备所在的直接连接的IP子网的IPv4接口。
•IP地址-IP设备的IP地址。
思科200系列智能型交换机管理指南 199 IP配置 IPv4管理和接口 18 •MAC地址-IP设备的MAC地址。
•状态-是手动输入条目还是动态学习条目。
步骤4单击添加。
步骤5输入参数：•IP版本-主机支持的IP地址格式。
仅支持IPv4格式。
•接口-显示管理VLANID。
对于处于第2层模式下的设备，只有一个直接连接的IP子网，该IP子网始终位于管理VLAN中。
ARP表中的所有静态地址和动态地址都位于管理VLAN中。
•IP地址-输入本地设备的IP地址。
•MAC地址-输入本地设备的MAC地址。
步骤6单击应用。
ARP条目将保存至当前配置文件。
IPv6全局配置定义IPv6全局参数和DHCPv6客户端设置的步骤：步骤1单击管理>管理接口>IPv6全局配置。
步骤2为以下字段输入值：•ICMPv6限速单位时间间隔-输入生成ICMP错误消息的频率。
•ICMPv6限速单位时间间隔最大消息数-输入在每个间隔时间内设备可发送的ICMP错误消息的最大数目。
DHCPv6客户端设置•唯一标识符(DUID)格式-DHCP客户端的唯一标识符，DHCP服务器使用其定位客户端。
可采用以下格式之一：-链接层-（默认）。
如果选择该选项，将使用设备MAC地址。
-企业编号-如果选择该选项，请输入以下字段。
•企业编号-供应商注册的专用企业编号，由IANA维护。
•标识符-供应商定义的十六进制字符串（最多64个十六进制字符）。
如果字符数量不为偶数，则在右端添加数字零。
每2个十六进制字符可由句点或冒号隔开。
•DHCPv6唯一标识符(DUID)-显示所选标识符。
步骤3单击应用。
更新IPv6全局参数和DHCPv6客户端设置。
思科200系列智能型交换机管理指南 200 IP配置 IPv4管理和接口 18 IPv6接口可以在端口、LAG、VLAN、环回接口或隧道上配置IPv6接口。
与其他类型的接口不同，隧道接口应先在“IPv6隧道”页面进行创建，然后在此页面中的隧道上配置IPv6接口。
定义IPv6接口的步骤：步骤1单击管理>管理接口>IPv6接口。
步骤2单击应用配置默认区域。
步骤3单击添加，在启用了IPv6的接口上添加新的接口。
步骤4填写以下字段：•IPv6接口-选择IPv6地址的具体端口、LAG、VLAN、环回接口或ISATAP隧道。
步骤5要将接口配置为DHCPv6客户端，即使接口能够接收来自DHCPv6服务器的信息（例如SNTP配置和DNS信息），请输入DHCPv6客户端字段：•无状态-选择该字段可将接口启用为无状态DHCPv6客户端。
这样可支持从DHCP服务器接收配置信息。
•最小信息刷新时间-此值用于设定刷新时间值的下限。
如果服务器发送的刷新时间选项小于此值，则将使用此值。
选择无限期（除非服务器发送此选项，否则不进行刷新）或者用户定义来设定值。
•信息刷新时间-此值表示设备对接收自DHCPv6服务器的信息进行刷新的频率。
如果未从服务器收到该选项，将使用此处输入的值。
选择无限期（除非服务器发送此选项，否则不进行刷新）或者用户定义来设定值。
步骤6要配置其他IPv6参数，请输入以下字段：•IPv6地址自动配置-选择该字段可启用来自邻居发送的路由器通告的自动地址配置。
注设备不支持来自DHCPv6服务器的有状态地址自动配置。
•DAD尝试次数-输入对接口的单播IPv6地址执行重复地址检测(DAD)时发送的连续邻居请求消息的数目。
DAD分配地址之前会验证新的单播IPv6地址的唯一性。
在DAD验证期间，新的地址会保持暂定状态。
在此字段中输入0可禁用对指定接口执行的重复地址检测处理。
在此字段中输入1表示没有后续传输的单次传输。
•发送ICMPv6消息-可生成提示无法访问的目的消息。
步骤7单击应用可对选择的接口进行IPv6处理。
常规IPv6接口已自动配置以下地址：•根据设备的MAC地址使用EUI-64格式的接口ID的链路本地地址•所有节点链路本地组播地址(FF02::1)•请求的节点组播地址（格式为FF02::1:FFXX:XXXX）思科200系列智能型交换机管理指南 201 IP配置 IPv4管理和接口 18 步骤8单击IPv6地址表可为接口手动分配IPv6地址（如果需要）。
有关该页面的描述，请参阅“定义IPv6地址”一节。
步骤9要添加隧道，请选择IPv6隧道表中的一个接口（在“IPv6接口”页面定义为隧道），然后单击IPv6隧道表。
请参阅IPv6隧道步骤10按重新启动按钮开始刷新接收自DHCPv6服务器的无状态信息。
DHCPv6客户端详细信息详细信息按钮显示接口上接收自DHCPv6服务器的信息。
当所选接口定义为DHCPv6无状态客户端时，该按钮可用。
按下按钮后，将显示以下字段（针对接收自DHCP服务器的信息）： •DHCPv6运行模式-满足以下条件时显示“已启用”：-接口已启用。
-已启用IPv6。
-已启用DHCPv6无状态客户端。
•无状态服务-客户端是否定义为无状态（从DHCP服务器接收配置信息）。
•最小信息刷新时间-见上文。
•信息刷新时间-见上文。
•已接收的信息刷新时间-从DHCPv6服务器接收的刷新时间。
•剩余信息刷新时间-下次刷新之前的剩余时间。
•DNS服务器-接收自DHCPv6服务器的DNS服务器列表。
•DNS域搜索列表-接收自DHCPv6服务器的域列表。
•SNTP服务器-接收自DHCPv6服务器的SNTP服务器列表。
•POSIX时区字符串-接收自DHCPv6服务器的时区。
•配置服务器-包含了接收自DHCPv6服务器的配置文件的服务器。
•配置路径名称-从接收自DHCPv6服务器的位于配置服务器上的配置文件路径。
思科200系列智能型交换机管理指南 202 IP配置 IPv4管理和接口 18 IPv6隧道隧道实现了IPv6数据包在IPv4网络上的传输。
每个隧道都有一个源IPv4地址，如果是手动隧道，还有一个目的IPv4地址。
IPv6数据包封装在这些地址之间。
ISATAP隧道可在设备上配置的隧道类型称为站内自动隧道寻址协议(ISATAP)隧道，是一种点对多点隧道。
源地址是设备的IPv4地址。
配置ISATAP隧道时，目的IPv4地址由路由器提供。
请注意以下方面： •会将IPv6链路本地地址分配给ISATAP接口。
会将初始IP地址分配给该接口，然后再启用该接口。
•如果一个ISATAP接口处于活动状态，则会使用ISATAP至IPv4映射，通过DNS来解析ISATAP路由器 IPv4地址。
如果未解析ISATAPDNS记录，则会在主机映射表中搜索ISATAP主机名至地址映射。
•如果未通过DNS过程解析ISATAP路由器IPv4地址，则ISATAPIP接口仍处于活动状态。
但是，系统没有用于ISATAP流量的默认路由器，直到解析DNS过程。
配置隧道注配置隧道后，在“IPv6接口”页面配置IPv6接口。
配置IPv6隧道的步骤：步骤1单击管理>管理接口>IPv6隧道。
步骤2为以下字段输入值：•隧道编号-显示自动隧道路由器域号。
•隧道类型-始终为ISATAP。
•源IPv4地址-当前设备上所选接口的IPv4地址，用于组成IPv6地址。
-自动-自动从设备上配置的所有IPv4接口中选择最低的IPv4地址。
该选项与第3层上的“接口”选项相同，因为第2层上只有一个接口。
注如果IPv4地址更改，隧道接口的本地地址也会更改。
-手动-输入要使用的源IPv4地址。
配置的IPv4地址必须为设备IPv4接口上的IPv4地址之
一。
-接口-（在第3层上）选择要使用的IPv4接口。
•ISATAP路由器名-表示特定自动隧道路由器域名的整体字符串。
该名称可以为默认名称(ISATAP)或用户定义的名称。
思科200系列智能型交换机管理指南 203 IP配置 IPv4管理和接口 18 •ISATAP请求间隔-没有ISATAP路由器处于活动状态时，ISATAP路由器请求消息之间的秒数。
该间隔可以为默认值或用户定义的间隔。
•ISATAP健壮性-用于计算DNS或路由器请求查询的间隔。
数字越大，查询越频繁。
注如果IPv4接口不在使用中，则ISATAP隧道不可用。
步骤3单击应用。
隧道将保存至当前配置文件。
注要创建ISATAP隧道，请单击创建ISATAP隧道按钮。
ISATAP隧道将使用源IPv4地址自动创建。
创建ISATAP隧道后，此按钮将变为删除ISATAP隧道。
单击此按钮可删除ISATAP隧道。
注要关闭隧道，请单击编辑并取消选择“隧道状态”。
定义IPv6地址为IPv6接口分配IPv6地址的步骤：步骤1单击管理>管理接口>IPv6地址步骤2要过滤表格，请选择一个接口名称，然后单击转至。
会在“IPv6地址表”中显示该接口。
步骤3单击添加。
步骤4为以下字段输入值。
•IPv6接口-显示在其上定义IPv6地址的接口。
如果显示*，则代表IPv6未启用但已配置。
•IPv6地址类型-选择要添加的IPv6地址类型。
-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
-任播-IPv6地址为任播地址。
该地址会分配到通常属于不同节点的一组接口。
发送到任播地址的数据包将传输到任播地址确定的最近接口（由使用的路由协议定义）。
•IPv6地址-在第2层中，设备只支持一个IPv6接口。
除了默认链路本地地址和组播地址外，设备将根据它接收的路由器通告自动向接口添加全局地址。
该设备在接口上支持最多128个地址。
每个地址必须是使用以冒号分隔的16位值以十六进制格式指定的有效IPv6地址。
思科200系列智能型交换机管理指南 204 IP配置 IPv4管理和接口 18 以下类型的地址可以添加到各种类型的隧道： -添加到手动隧道-全局或任播地址 -添加到ISATAP隧道-含EUI-6的全局地址 -6to4隧道-无 •前缀长度-全局IPv6前缀的长度，是0-128间的值，表示构成前缀（地址的网络部分）的地址高位的连续位数。
•EUI-64-选择该选项可使用EUI-64参数来根据设备的MAC地址，使用EUI-64格式标识全局IPv6地址的接口ID部分。
步骤5单击应用。
将更新当前配置文件。
IPv6默认路由器列表使用“IPv6默认路由器列表”页面可配置和查看默认IPv6路由器地址。
该列表中包含一些候选路由器，这些路由器可能成为用于非本地流量（可能为空）的设备默认路由器。
设备会从列表中随机选择一个路由器。
设备支持一个静态IPv6默认路由器。
动态默认路由器是将路由器通告发送给设备IPv6接口的路由器。
添加或删除IP地址时，会发生以下事件： •删除IP接口时，所有默认路由器IP地址都会被删除。
无法删除动态IP地址。
•尝试插入多个用户定义的地址后，会显示一个警报消息。
•尝试插入非链路本地类型的地址（即“fe80:”）时，会显示一个警报消息。
定义默认路由器的步骤：步骤1单击管理>管理接口>IPv6默认路由器列表。
该页面将为每个默认路由器显示以下字段： •接口-默认路由器所在的传出IPv6接口。
•默认路由器IPv6地址-默认路由器的链路本地IP地址。
•类型-默认路由器配置，包括以下选项： -静态-通过添加按钮将默认路由器添加到此表格。
-动态-动态配置默认路由器。
思科200系列智能型交换机管理指南 205 IP配置 IPv4管理和接口 •状态-指定路由器状态。
这些值包括：-可以访问-已知可以访问路由器。
-无法访问-已知无法访问路由器。
步骤2单击添加以添加静态默认路由器。
步骤3输入以下字段： •链路本地接口(第2层)-显示传出链路本地接口。
•默认路由器IPv6地址-默认路由器的IP地址步骤4单击应用。
默认路由器将保存至当前配置文件。
18 定义IPv6邻居信息使用“IPv6邻居”页面可以配置和查看IPv6接口上的IPv6邻居列表。
IPv6邻居表（也称为IPv6邻居发现缓存）会显示与设备位于同一IPv6子网内的IPv6邻居的MAC地址。
该表格是与IPv4ARP表格对等的IPv6表格。
当设备需要与其邻居进行通信时，设备会使用IPv6邻居表来根据邻居的IPv6地址确定MAC地址。
该页面会显示自动检测条目或手动配置条目的邻居。
每个条目都会显示与该邻居相连接的接口、该邻居的IPv6地址和MAC地址、条目类型（静态或动态）以及该邻居的状态。
定义IPv6邻居的步骤：步骤1单击管理>管理接口>IPv6邻居您可以选择一个清除表选项，以清除IPv6邻居表中的部分或全部IPv6地址。
•仅静态-删除静态IPv6地址条目。
•仅动态-删除动态IPv6地址条目。
•全部动态和静态-删除静态和动态IPv6地址条目。
会为相邻接口显示以下字段：•接口-相邻IPv6接口类型。
•IPv6地址-邻居的IPv6地址。
•MAC地址-映射到指定IPv6地址的MAC地址。
•类型-邻居发现高速缓存信息条目类型（静态或动态）。
思科200系列智能型交换机管理指南 206 IP配置 IPv4管理和接口 18 •状态-指定IPv6邻居状态。
这些值包括：-不完整-正在解析地址。
邻居尚未作出响应。
-可以访问-已知可以访问邻居。
-过时-无法访问之前已知的邻居。
在必须发送流量之前不会执行任何操作来验证其可访问性。
-延迟-无法访问之前已知的邻居。
接口处于“延迟”状态（根据预定义的延迟时间）。
如果收不到任何可访问性确认，状态将更改为“探测”。
-探测-无法再访问邻居，并且正发送单播邻居请求探测器，以确认可访问性。
•路由器-指定邻居是否为路由器（是或否）。
步骤2要将邻居添加到表格中，请单击添加。
步骤3为以下字段输入值： •接口-要添加的相邻IPv6接口。
•IPv6地址-输入为该接口分配的IPv6网络地址。
该地址必须为有效的IPv6地址。
•MAC地址-输入映射到指定IPv6地址的MAC地址。
步骤4单击应用。
将更新当前配置文件。
步骤5要将IP地址类型从动态更改为静态，请选择地址，然后单击编辑，并使用“编辑IPv6 邻居”页面。
前缀列表将配置为包含允许或拒绝关键字，以根据匹配条件允许或拒绝前缀。
隐式拒绝可应用于不匹配任何前缀列表条目的流量。
前缀列表条目包含一个IP地址和一个位掩码。
IP地址可用于有类网络、子网或单个主机路由。
位掩码为介于1至32的数字。
前缀列表经过配置，使用ge和le关键字时，可根据精确前缀长度的匹配或范围内的匹配过滤流量。
大于和小于参数用于指定前缀长度的范围，并提供比仅使用网络/长度参数更灵活的配置。
未指定大于或小于参数时，将使用精确匹配处理前缀列表。
如果仅指定了大于参数，则范围在为大于输入的值到完整的32位长度之间。
如果仅指定了小于，则范围在为网络/长度参数和小于输入的值之间。
如果大于和小于参数都输入了，则范围在用于大于和小于的值之间。
思科200系列智能型交换机管理指南 207 IP配置 IPv4管理和接口 18 查看IPv6路由表 IPv6转发表包括多个已配置的路由。
其中一个路由是默认路由（IPv6address:0），该路由使用从“IPv6默认路由器列表”中选择的默认路由器，将数据包传送给与设备不在同一IPv6子网内的目的设备。
除了包含默认路由之外，该表格还包含动态路由，这些动态路由是使用ICMP重定向消息从IPv6路由器接收的ICMP重定向路由。
如果设备使用的默认路由器不是将流量传输到设备要与其进行通信的IPv6子网的路由器，则会发生这种情况。
查看IPv6路由的步骤：步骤1单击管理>管理接口>IPv6路由。
此页面显示了以下字段： •IPv6地址-IPv6子网地址。
•前缀长度-目的IPv6子网地址的IP路由前缀长度。
它前面有一个正斜杠。
•接口-用于转发数据包的接口。
•下一跳-将数据包转发到的地址。
通常，该地址为相邻路由器的地址。
可采用以下类型之
一。
-链路本地-IPv6接口和IPv6地址用于唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
-点到点-点到点隧道。
•度量标准-用于将该路由与IPv6路由器列表中目的相同的其他路由进行比较的值。
所有默认路由具有相同值。
•有效期限-在删除数据包之前可将其发送和再次发送的时间段。
•路由类型-连接目的的方法以及用于获取条目的方法。
值如下：-本地-一种直接连接的网络，其前缀衍生自手动配置的设备IPv6地址。
-动态-目的地址是间接连接的（远程）IPv6子网地址。
条目是通过ND或ICMP协议动态获取的。
-静态-条目是由用户手动配置的。
思科200系列智能型交换机管理指南 208 IP配置域名 18 域名域名系统(DNS)会将域名转换为IP地址，以找到这些主机并对其进行寻址。
作为一个DNS客户端，设备可通过使用一个或多个配置的DNS服务器将域名解析为IP地址。
DNS设置使用“DNS设置”页面可启用DNS功能、配置DNS服务器，以及设置设备使用的默认域名。
步骤1单击IP配置>域名系统>DNS设置。
步骤2输入参数。
•DNS-选择该选项可将设备指定为一个DNS客户端，它可通过一个或多个配置的DNS服务器将DNS名称解析为IP地址。
•轮询重试次数-输入在设备决定DNS服务器不存在之前向DNS服务器发送DNS查询的次数。
•轮询超时-输入设备等待DNS查询响应的时间（以秒为单位）。
•轮询间隔-输入超出重试次数后设备发送DNS查询数据包的间隔时间（以秒为单位）。
-使用默认设置-选择使用默认值。
此值=2*（轮询重试次数+1）*轮询超时-用户定义-选择该选项可输入用户定义的值。
•默认参数-输入以下默认参数：-默认域名-输入用于完成不合格主机名的DNS域名。
设备会对非完全限定的域名(NFQDN)进行追加，以将其转换为FQDN。
注不要加入使不合格名称与域名（例如）分离开的起始句点。
-DHCP域搜索列表-单击详情查看设备上配置的DNS服务器列表。
步骤3单击应用。
将更新当前配置文件。
DNS服务器表：将为每个配置的DNS服务器显示以下字段：•DNS服务器-DNS服务器的IP地址。
•偏好-每个服务器都有偏好值，值越低代表使用几率越高。
•源-服务器IP地址源（静态、DHCPv4或DHCPv6）•接口-服务器IP地址接口。
步骤4您最多可定义八个DNS服务器。
要添加DNS服务器，请单击添加。
思科200系列智能型交换机管理指南 209 IP配置域名 18 输入参数。
•IP版本-为IPv6选择“版本6”，或为IPv4选择“版本4”。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下： -链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-如果IPv6地址类型为“链路本地”，请选择接收的接口。
•DNS服务器IP地址-输入DNS服务器的IP地址。
•偏好-选择可确定域使用顺序（从低到高）的值。
该选项可有效确定在DNS查询过程中不合格名称的完成顺序。
步骤5单击应用。
DNS服务器将保存至当前配置文件。
搜索列表搜索列表包含一个由用户使用“DNS设置”页面定义的静态条目和接收自DHCPv4与DHCPv6服务器的动态条目。
查看设备上已配置的域名的步骤：步骤1单击IP配置>域名系统>搜索列表。
将为设备上配置的每个DNS服务器显示以下字段。
•域名-设备上可使用的域的名称。
•源-该域的服务器IP地址源（静态、DHCPv4或DHCPv6）•接口-该域的服务器IP地址接口。
•偏好-使用域的顺序（从低到高）。
该选项可有效确定在DNS查询过程中不合格名称的完成顺序。
主机映射主机名/IP地址映射存储在主机映射表（DNS缓存）中。
该缓存可包含以下类型的条目： •静态条目-手动添加到缓存的映射对。
最多64条静态条目。
思科200系列智能型交换机管理指南 210 IP配置域名 18 •动态条目-这些映射可以在用户使用后由系统添加，也可以是DHCP针对设备上配置的每个IP地址添加的条目。
可以有256条动态条目。
名称解析始终从检查这些静态条目开始、然后继续检查动态DNS条目，最后向外部DNS服务器发送请求。
可以针对每个主机名的每个DNS服务器支持8个IP地址。
添加主机名及其IP地址的步骤：步骤1单击IP配置>域名系统>主机映射。
步骤2如果需要，选择清除表选项，以清除主机映射表中的部分或全部条目。
•仅静态-删除静态主机。
•仅动态-删除动态主机。
•全部动态和静态-删除静态和动态主机。
主机映射表将显示以下字段：•主机名-用户定义的主机名或完全合格的名称。
•IP地址-主机IP地址。
•IP版本-主机IP地址的IP版本。
•类型-对缓存而言是动态还是静态条目。
•状态-显示尝试访问主机的结果-确定-尝试已成功。
-负高速缓存-尝试失败，请勿再次尝试。
-未响应-没有响应，但系统可稍后继续尝试。
•TTL(秒)-如果是动态条目，将在缓存中保存的时间。
•剩余TTL(秒)-如果是动态条目，还能在缓存中保存的时间。
步骤3要添加主机映射，请单击添加。
步骤4输入参数。
•IP版本-为IPv6选择版本
6，或为IPv4选择版本
4。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
思科200系列智能型交换机管理指南 211 IP配置域名 18 -全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-如果IPv6地址类型为“链路本地”，请选择接收的接口。
•主机名-输入用户定义的主机名或完全合格的名称。
主机名只能包含从A到Z的ASCII字母、数字0到
9、下划线和连字符。
句点(.)用于分隔标签。
•IP地址-输入单个IP地址或最多八个相关的IP地址（IPv4或IPv6）。
步骤5单击应用。
设置将保存到当前配置文件中。
思科200系列智能型交换机管理指南 212 19 安全本节介绍设备安全和访问控制。
系统可处理多种类型的安全。
以下主题列表描述了本节中所介绍的多种类型的安全功能：某些功能用于多种类型的安全或控制，因此它们会在下面的主题列表中出现两次。
以下各节介绍了管理设备的权限： •配置安全性•配置RADIUS•管理访问方法•管理访问验证•安全敏感数据管理•SSL服务器以下各节介绍了针对设备CPU的防攻击保护：•配置TCP/UDP服务•定义风暴控制以下各节介绍了如何通过设备控制终端用户对网络的访问：•管理访问方法•管理访问方法•配置RADIUS•配置端口安全•802.1X以下各节介绍了对其他网络用户的防御。
这些攻击通过设备进行，而非针对设备。
•DoS防护•SSL服务器•定义风暴控制•配置端口安全思科200系列智能型交换机管理指南 213 安全配置安全性 19 配置安全性默认的用户名/密码为cisco/cisco。
第一次使用默认用户名和密码登录时，您需要输入新密码。
默认情况下，将启用密码复杂性设置。
如果您选择的密码不够复杂（已在“密码强度”页面中启用密码复杂性设置），系统将提示您创建其他密码。
设置用户帐户使用“用户帐户”页面可添加有权访问设备（只读或读写）的用户，或更改现有用户的密码。
添加用户后（如下所述），将从系统中移除默认用户。
注系统不允许删除所有用户。
如果选择所有用户，删除按钮会被禁用。
添加新用户的步骤：步骤1单击管理>用户帐户。
此页面显示系统中定义的用户及其用户权限等级。
步骤
2 选择密码恢复服务，启用此功能。
当此功能启用时，具有设备Console端口物理访问权限的最终用户可以进入引导菜单，并触发密码恢复流程。
当引导系统流程结束时，您无需密码验证即可登录该设备。
只有通过Console，且只有当该Console连接至具有物理访问权限的设备时，才可以进入该设备。
禁用密码恢复机制时，依然可用访问启动菜单，您可以触发密码恢复流程。
区别在于，在此情况下，在系统引导进程期间将移除所有配置和用户文件，并为终端生成适用的日志消息。
步骤3单击添加以添加新用户，或单击编辑以修改用户。
步骤4输入参数。
•用户名-输入新用户名，长度应介于0到20个字符之间。
不允许使用UTF-8字符。
•密码-输入一个密码（不允许使用UTF-8字符）。
如果已定义密码强度和复杂性，则用户密码必须与设置密码强度规则中配置的策略相符。
•确认密码-再次输入密码。
•密码强度计-显示密码的强度。
密码强度和复杂性的策略在“密码强度”页面中配置。
步骤5单击应用。
用户将添加到设备的当前配置文件中。
思科200系列智能型交换机管理指南 214 安全配置安全性 19 设置密码强度规则密码用于验证访问设备的用户。
简单的密码可能会危害安全。
因此，默认情况下，将实施密码复杂性要求，并可在必要时进行配置。
密码复杂性要求在密码强度页面上进行配置，该页面可通过安全下拉菜单打开。
此外，还可以在此页面上配置密码过期时间。
定义密码复杂性规则的步骤：步骤1单击安全>密码强度。
步骤2输入以下密码过期参数：•密码过期-如果选择此选项，则当密码过期时间到期时，系统将提示用户更改密码。
•密码过期时间-输入在提示用户更改密码之前可经过的天数。
注密码过期时间适用于零长度密码（无密码）。
步骤3选择密码复杂性设置启用密码复杂性规则。
如果已启用密码复杂性，新密码必须符合下列默认设置：•密码最小长度为8个字符。
•包含至少三个字符类别的字符（大写字母、小写字母、数字和标准键盘上可用的特殊字符）。
•不同于当前密码。
•不得包含连续重复3次以上的字符。
•不能与用户名重复，不能是以反向顺序排列的用户名，或者是通过更改字符大小写产生的任意变体。
•不能与制造商名重复，不能是以反向顺序排列的制造商名，或者是通过更改字符大小写产生的任意变体。
步骤4如果密码复杂性设置已启用，可以配置以下参数：•最短密码长度-输入密码所需的最小字符数。
注可以设置零长度密码（无密码），而且依然可以为其分配密码过期时间。
•允许的字符重复-字符可以重复输入的次数。
•最少字符类别数-输入密码中必须提供的字符类别数。
字符类别包括小写字母
(1)、大写字母
(2)、数字
(3)和符号或特殊字符
(4)。
•新密码必须与当前密码不同-如果选择此选项，则更改密码时新密码不能与当前密码相同。
步骤5单击应用。
密码设置将写入当前配置文件中。
思科200系列智能型交换机管理指南 215 安全配置RADIUS 19 配置RADIUS 远程授权拨入用户服务(RADIUS)服务器提供了集中的802.1X或基于MAC的网络访问控制。
设备是一种RADIUS客户端，可以使用RADIUS服务器来提供集中的安全保护。
组织可建立远程身份验证拨入用户服务(RADIUS)服务器，为所有设备提供集中的802.1X或基于MAC的网络访问控制。
通过这种方式，对组织内所有设备的验证和授权可在一台服务器上执行。
设备可作为RADIUS客户端工作，使用RADIUS服务器执行以下服务： •验证-对使用用户名和用户定义的密码登录到设备的常规用户和802.1X用户进行验证。
•授权-在登录时执行此服务。
验证会话完成之后，将使用经验证的用户名开始授权会话。
然后，RADIUS 服务器将检查用户权限。
•帐务-使用RADIUS服务器启用登录会话帐务功能。
让系统管理员可以从RADIUS服务器生成帐务报告。
使用RADIUS服务器的帐务用户可使用RADIUS服务器启用登录会话帐务功能。
用于RADIUS服务器帐务且可由用户配置的TCP端口是用于RADIUS服务器验证与授权的同一TCP端口。
默认设置以下默认设置与此功能相关：•默认情况下未定义默认RADIUS服务器。
•配置RADIUS服务器时，默认情况下帐务功能会禁用。
与其他功能进行交互无。
RADIUS工作流程要使用RADIUS服务器，请执行以下操作：步骤1在RADIUS服务器上开立一个设备帐户。
步骤2在RADIUS页面和“添加RADIUS服务器”页面配置服务器和其他参数。
思科200系列智能型交换机管理指南 216 安全配置RADIUS 19 注如果配置了多个RADIUS服务器，设备将使用已配置的可用RADIUS服务器优先级选择设备要使用的RADIUS服务器。
设置RADIUS服务器参数的步骤：步骤1单击安全>RADIUS。
步骤2若需要，输入默认的RADIUS参数。
在“默认参数”中输入的值适用于所有服务器。
如果没有（在“添加RADIUS服务器”页面中）为特定服务器输入值，则设备将使用这些字段中的值。
•重试次数-输入在认为已发生故障之前发送到RADIUS服务器之请求的传输次数。
•应答超时-输入设备在重试查询或转换到下一个服务器之前等待从RADIUS服务器中返回响应的秒数。
•无响应时间-输入服务请求绕过无响应RADIUS服务器之前经过的分钟数。
如果值为
0，则表示未绕过服务器。
•密钥字符串-输入用于在设备与RADIUS服务器之间进行验证和加密的默认密钥字符串。
此密钥必须与在RADIUS服务器上配置的密钥相匹配。
密钥字符串用于加密使用MD5进行的通信。
密钥可以以加密或明文的形式进行输入。
如果您没有加密的密钥字符串（从其他设备获得），可以以明文模式输入密钥字符串，并单击应用。
系统将生成并显示加密的密钥字符串。
如果已定义密钥字符串，这将会覆盖默认的密钥字符串。
•源IPv4接口-选择要在与RADIUS服务器通信的消息中使用的设备IPv4源接口。
•源IPv6接口-选择要在与RADIUS服务器通信的消息中使用的设备IPv6源接口。
注如果已选择“自动”选项，系统将使用传出接口上定义的IP地址的源IP地址。
步骤3单击应用。
设备RADIUS默认设置将在当前配置文件中更新。
若要添加RADIUS服务器，请单击添加。
步骤4在字段中输入每个RADIUS服务器的值。
要使用在RADIUS页面中输入的默认值，请选择使用默认设置。
•服务器定义-选择是按照IP地址还是名称来指定RADIUS服务器。
•IP版本-选择RADIUS服务器IP地址的版本。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下： -链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
思科200系列智能型交换机管理指南 217 安全管理访问方法 19 •链路本地接口-从列表中选择链路本地接口（如果选择的IPv6地址类型为“链路本地”）。
•服务器IP地址/名称-按照IP地址或名称输入RADIUS服务器。
•优先级-输入服务器的优先级。
优先级可确定设备尝试联系服务器以验证用户的顺序。
设备将首先从优先级最高的RADIUS服务器开始。
0代表最高优先级。
密钥字符串-输入用于验证和加密在设备与RADIUS服务器之间通信的密钥字符串。
此密钥必须与在RADIUS服务器上配置的密钥相匹配。
密钥可以加密或明文形式输入。
如果选择使用默认设置，设备将尝试使用默认的密钥字符串验证RADIUS服务器。
•应答超时-选择用户定义并输入设备在重试查询或切换到下一个服务器（如果已达最大重试次数）之前等待RADIUS服务器返回响应的秒数。
如果选择使用默认设置，设备将使用默认的超时值。
•验证端口-输入用于验证请求的RADIUS服务器端口UDP端口号。
•帐务端口-输入用于帐务请求的RADIUS服务器端口UDP端口号。
•重试次数-选择用户定义并输入在认为已发生故障之前发送到RADIUS服务器的请求次数。
如果选择使用默认设置，设备将使用重试次数的默认值。
•无响应时间-选择用户定义并输入服务请求绕过无响应RADIUS服务器之前必须经过的分钟数。
如果选择使用默认设置，设备将使用无响应时间的默认值。
如果输入0分钟，则表示没有无响应时间。
•用途类型-输入RADIUS服务器的验证类型。
选项如下： -登录-RADIUS服务器用于验证想要管理设备的用户。
-802.1X-RADIUS服务器用于802.1x验证。
-全部-RADIUS服务器用于验证想要管理设备的用户和802.1X验证。
步骤5单击应用。
RADIUS服务器定义将添加到设备的当前配置文件中。
步骤6要以明文形式显示页面中的敏感数据，请单击将敏感数据显示为明文模式。
管理访问方法访问模板用于确定如何验证和授权通过各种访问方法访问设备的用户。
访问模板可以限制来自特定源的管理访问。
只有通过活动的访问模板和管理访问验证方法的用户才会获得对设备的管理访问权限。
在任何时间设备上只能有一个访问模板处于活动状态。
访问模板由一个或多个规则组成。
按照访问模板中规则的优先级顺序（从上到下）执行这些规则。
思科200系列智能型交换机管理指南 218 安全管理访问方法 19 规则由包括以下元素的过滤器组成：•访问方法-访问和管理设备的方法：-超文本传输协议(HTTP)-安全HTTP(HTTPS)-简单网络管理协议(SNMP)-以上全部•操作-允许或拒绝访问接口或源地址。
•接口-被允许或拒绝访问基于Web的配置实用程序的端口、LAG或VLAN。
•源IP地址-可允许访问的IP地址或子网。
当前选中的访问模板 “访问模板”页面可显示已定义的访问模板，并可用来选择一个将要处于活动状态的访问模板。
当用户尝试通过一种访问方法访问设备时，设备需要查看活动的访问模板是否明确允许通过此方法对设备进行管理访问。
如果找不到匹配项，则拒绝进行访问。
当访问设备的尝试违反了活动的访问模板时，设备会生成一条系统日志消息来向系统管理员发送有关该尝试的警报。
有关详情，请参阅定义模板规则。
使用“访问模板”页面可以创建访问模板，并添加第一个规则。
如果访问模板只包含一个规则，则添加工作即已完成。
若要向模板添加其他规则，请使用“模板规则配置”页面。
步骤1单击安全>管理访问方法>访问模板。
此页面显示所有处于和未处于活动状态的访问模板。
步骤2要更改当前选中的访问模板，请从当前选中的访问模板下拉菜单中选择一个模板，然后单击应用。
此操作可使选择的模板成为当前选中的访问模板。
当您选择任何其他访问模板时，系统会根据选择的访问模板显示警告消息，提醒您系统可能会断开您与基于Web的配置实用程序的连接。
步骤3单击确定以选择当前选中的访问模板，或单击取消以停止此操作。
步骤4单击添加以打开“添加访问模板”页面。
您可以使用该页面配置新模板和一个规则。
步骤5输入访问模板名称。
此名称可包含最多32个字符。
步骤6输入参数。
思科200系列智能型交换机管理指南 219 安全管理访问方法 19 •规则优先级-输入规则优先级。
当数据包与规则相匹配时，系统会允许或拒绝用户组访问设备。
由于根据首次匹配原则对数据包进行匹配，因此在将数据包与规则进行匹配时，规则优先级至关重要。
1代表最高优先级。
•管理方法-选择为其定义了规则的管理方法。
选项如下：-全部-将所有管理方法分配给规则。
-HTTP-符合HTTP访问模板标准的用户，在请求访问设备时，会获得允许或遭到拒绝。
-安全HTTP(HTTPS)-符合HTTPS访问模板标准的用户，在请求访问设备时，会获得允许或遭到拒绝。
-SNMP-符合SNMP访问模板标准的用户，在请求访问设备时，会获得允许或遭到拒绝。
•操作-选择规则所关联的操作。
选项如下：-允许-如果用户与模板中的设置相匹配，则允许该用户访问设备。
-拒绝-如果用户与模板中的设置不匹配，则拒绝该用户访问设备。
•应用到接口-选择规则所关联的接口。
选项如下：-全部-适用于所有端口、VLAN和LAG。
-用户定义-适用于选中的接口。
•接口-输入接口编号（如果已选择“用户定义”）。
•应用到源IP地址-选择访问模板适用的源IP地址类型。
源IP地址字段适用于子网。
请选择以下其中
一个值：-全部-适用于所有类型的IP地址。
-用户定义-仅适用于在该字段中定义的IP地址类型。
•IP版本-输入源IP地址版本：“版本6”或“版本4”。
•IP地址-输入源IP地址。
•掩码-为源IP地址选择子网掩码的格式，并在以下其中一个字段中输入值：-网络掩码-选择源IP地址所归属的子网，并按照点分十进制格式输入子网掩码。
-前缀长度-选择前缀长度，并输入组成源IP地址前缀的位数。
步骤7单击应用。
访问模板将写入当前配置文件中。
现在，您可以选择此访问模板作为当前选中的访问模板。
思科200系列智能型交换机管理指南 220 安全管理访问方法 19 定义模板规则访问模板最多可包含128个规则，以确定有权管理和访问设备的人以及可能使用的访问方法。
访问模板中的每个规则均包含要匹配的操作和条件（一个或多个参数）。
每个规则均具有优先级；会首先检查优先级最低的规则。
如果传入数据包与规则相匹配，则会执行与规则相关联的操作。
如果在活动的访问模板中找不到匹配的规则，则会丢弃数据包。
例如，您可以限制所有IP地址对设备的访问，仅允许分配到IT管理中心的IP地址访问设备。
这样一来，仍可以管理设备，并使其获得另一层的安全。
将模板规则添加到访问模板的步骤：步骤1单击安全>管理访问控制>模板规则。
步骤2选择“过滤器”字段，然后选择一个访问模板。
单击转至。
选择的访问模板将显示在模板规则表中。
步骤3单击添加添加一条规则。
步骤4输入参数。
•访问模板名称-选择一个访问模板。
•规则优先级-输入规则优先级。
当数据包与规则相匹配时，系统会允许或拒绝用户组访问设备。
由于根据首次匹配原则对数据包进行匹配，因此在将数据包与规则进行匹配时，规则优先级至关重要。
•管理方法-选择为其定义了规则的管理方法。
选项如下：-全部-将所有管理方法分配给规则。
-HTTP-将HTTP访问分配给规则。
符合HTTP访问模板标准的用户，在请求访问设备时，会获得允许或遭到拒绝。
-安全HTTP(HTTPS)-符合HTTPS访问模板标准的用户，在请求访问设备时，会获得允许或遭到拒绝。
-SNMP-符合SNMP访问模板标准的用户，在请求访问设备时，会获得允许或遭到拒绝。
•操作-选择允许以允许尝试使用配置的访问方法通过按照此规则定义的接口或IP源来访问设备的用户进行访问。
或选择拒绝以拒绝访问。
•应用到接口-选择规则所关联的接口。
选项如下：-全部-适用于所有端口、VLAN和LAG。
-用户定义-仅适用于选择的端口、VLAN或LAG。
•接口-输入接口编号。
思科200系列智能型交换机管理指南 221 安全管理访问验证 19 •应用到源IP地址-选择访问模板适用的源IP地址类型。
源IP地址字段适用于子网。
请选择以下其中一个值：-全部-适用于所有类型的IP地址。
-用户定义-仅适用于在该字段中定义的IP地址类型。
•IP版本-选择支持的源地址IP版本：IPv6或IPv4。
•IP地址-输入源IP地址。
•掩码-为源IP地址选择子网掩码的格式，并在以下其中一个字段中输入值： -网络掩码-选择源IP地址所归属的子网，并按照点分十进制格式输入子网掩码。
-前缀长度-选择前缀长度，并输入组成源IP地址前缀的位数。
步骤5单击应用，将规则添加到访问模板。
管理访问验证您可以为各种管理访问方法分配验证方法，例如SSH、Console、HTTP和HTTPS。
可以在本地或在RADIUS服务器上执行此验证。
如果启用授权，系统会验证用户的身份和读/写权限。
如果未启用授权，系统仅验证用户的身份。
使用的授权/验证方法取决于选择验证方法的顺序。
如果第一种验证方法不可用，则使用选择的下一个方法。
例如，如果选择的验证方法为“RADIUS”和“本地”，并且以优先级顺序对所有已配置RADIUS服务器进行查询但未获得响应，则会在本地对用户进行授权/验证。
如果启用授权，并且验证方法失败或用户的权限级别不足，则系统会拒绝用户访问设备。
换句话说，如果某种验证方法验证失败，则设备会停止验证尝试；设备不会继续工作，且不会尝试使用下一个验证方法。
同样，如果未启用授权并且某种方法验证失败，则设备会停止验证尝试。
为访问方法定义验证方法的步骤：步骤1单击安全>管理访问验证。
步骤2输入管理访问方法的应用（类型）。
步骤3选择验证按照下述方法列表启用用户验证和授权。
如果未选择该字段，则仅执行验证。
如果启用授权，系统会检查用户的读/写权限。
此权限级别在“用户帐户”页面中设置。
思科200系列智能型交换机管理指南 222 安全安全敏感数据管理 19 步骤4使用箭头在可选方法列与选定的方法列之间移动授权/验证方法。
系统按照方法的显示顺序尝试各个方法。
步骤5使用箭头在可选方法列与选定的方法列之间移动验证方法。
选择的第一种方法即为使用的第一种方法。
•RADIUS-在RADIUS服务器上对用户进行授权/验证。
您必须已配置了一个或多个RADIUS服务器。
为了使RADIUS服务器能够授予对基于Web的配置实用程序的访问权限，RADIUS服务器必须返回ciscoavpair=shell:priv-lvl=15。
•无-允许用户在未经授权/验证的情况下访问设备。
•本地-根据存储在本地设备上的数据检查用户名和密码。
这些用户名和密码对是在“用户帐户”页面中定义的。
注必须始终最后选择本地或无验证方法。
在本地或无之后选择的所有验证方法均会被忽略。
步骤6单击应用。
选择的验证方法将与访问方法相关联。
安全敏感数据管理请参阅安全：安全敏感数据管理。
SSL服务器本节介绍安全套接字层(SSL)功能。
SSL概述安全套接字层(SSL)功能用于为设备打开HTTPS会话。
HTTPS会话可以使用设备上存在的默认证书打开。
某些浏览器在使用默认证书时会生成警告，因为此证书未由证书颁发机构(CA)签名。
最好使用由可信任CA签名的证书。
思科200系列智能型交换机管理指南 223 安全 SSL服务器 19 要使用用户创建的证书打开HTTPS会话，请执行以下操作：
1.生成证书。

2.请求CA认证证书。

3.将已签名证书导入设备。
默认设置和配置默认情况下，设备包含可以进行修改的证书。
默认情况下，系统会启用HTTPS。
SSL服务器验证设置可能需要生成新的证书才能替换设备上的默认证书。
新建证书的步骤：步骤1单击安全>SSL服务器>SSL服务器验证设置。
SSL服务器密钥表中会显示证书1和2的信息。
除以下字段之外，相关字段会在编辑页面中定义： •有效起始日期-指定证书有效期的开始日期。
•有效终止日期-指定证书有效期的结束日期。
•证书来源-指定证书是由系统生成（自动生成）还是由用户生成（用户定义）。
步骤2选择活动证书。
步骤3单击生成证书请求。
步骤4输入以下字段：•证书ID-选择活动证书。
•通用名称-指定完全合格的设备URL或IP地址。
如果未指定，会默认为设备的最小IP地址（证书生成时）。
•组织单元-指定组织单元或部门名称。
•组织名称-指定组织名称。
•位置-指定位置或城市名称。
•省/自治区/直辖市-指定省/自治区/直辖市名称。
•国家/地区-指定国家/地区名称。
思科200系列智能型交换机管理指南 224 安全 SSH客户端 19 •证书请求-显示按生成证书请求按钮时创建的密钥。
步骤5单击生成证书请求。
此操作将会生成密钥，必须在证书颁发机构(CA)中输入该密钥。
从证书请求字段复制该密钥。
导入证书的步骤：步骤1单击安全>SSL服务器>SSL服务器验证设置。
步骤2单击导入证书。
步骤3输入以下字段：•证书ID-选择活动证书。
•证书来源-显示证书为用户定义。
•证书-复制到已收到证书中。
•导入RSA密钥对-选择此项可复制到新RSA密钥对中。
•公共密钥-复制到RSA公共密钥中。
•专用密钥(加密模式)-选择并复制到加密形式的RSA专用密钥中。
•专用密钥(明文模式)-选择并复制到明文形式的RSA专用密钥中。
步骤4单击应用将更改应用到当前配置。
步骤5单击将敏感数据显示为加密模式可以加密模式显示此密钥。
单击此按钮后，专用密钥会以加密形式写入配置文件（单击“应用”后）。
当文本以加密形式显示时，此按钮会变为将敏感数据显示为明文模式，让您可以再次以明文形式查看文本。
详情按钮显示证书和RSA密钥对。
这用于将证书和RSA密钥对复制到其他设备（使用复制/粘贴）。
单击将敏感数据显示为加密模式后，密钥会以加密形式显示。
SSH客户端请参阅安全：SSH客户端。
配置TCP/UDP服务出于安全考虑，通常会通过“TCP/UDP服务”页面在设备上启用基于TCP或基于UDP的服务。
思科200系列智能型交换机管理指南 225 安全配置TCP/UDP服务 19 设备可提供以下TCP/UDP服务：•HTTP-出厂默认设置为启用•HTTPS-出厂默认设置为启用•SNMP-出厂默认设置为禁用此窗口中还会显示活动的TCP连接。
配置TCP/UDP服务的步骤：步骤1单击安全>TCP/UDP服务。
步骤2根据显示的服务启用或禁用以下TCP/UDP服务。
•HTTP服务-表示HTTP服务是处于启用状态还是禁用状态。
•HTTPS服务-表示HTTPS服务是处于启用状态还是禁用状态。
•SNMP服务-表示SNMP服务是处于启用状态还是禁用状态。
步骤3单击应用。
服务将写入当前配置文件中。
TCP服务表显示了每个服务的以下字段：•服务名称-设备正通过其提供TCP服务的访问方法。
•类型-服务所使用的IP协议。
•本地IP地址-设备正通过其提供服务的本地IP地址。
•本地端口-设备正通过其提供服务的本地TCP端口。
•远程IP地址-正请求服务的远程设备的IP地址。
•远程端口-正请求服务的远程设备的TCP端口。
•状态-服务的状态。
UDP服务表显示以下信息：•服务名称-设备正通过其提供UDP服务的访问方法。
•类型-服务所使用的IP协议。
•本地IP地址-设备正通过其提供服务的本地IP地址。
•本地端口-设备正通过其提供服务的本地UDP端口。
•应用实例-UDP服务的服务实例。
（例如，两个发送者向同一目的地发送数据的情况。
）思科200系列智能型交换机管理指南 226 安全定义风暴控制 19 定义风暴控制接收到广播帧、组播帧或未知的单播帧后，系统会对它们进行复制，并将副本发送到所有可能的出口端口。
这意味着，实际上已将它们发送到属于相关VLAN的所有端口。
这样一来，一个入口帧会转变为多个入口帧，因此会产生流量风暴隐患。
您可以通过风暴保护来限制进入设备的帧数，并定义计入此限制的帧类型。
如果广播、组播或未知单播帧速率高于用户定义的阈值，超过阈值的帧将被丢弃。
定义风暴控制的步骤：步骤1单击安全>风暴控制。
在“编辑风暴控制”页面中，对此页面上除风暴控制速率阈值(%)之外的所有字段进行了介绍。
它显示了在端口上应用风暴控制之前未知的单播、组播和广播数据包的总可用带宽的百分比。
默认值为端口最大速率的10%，它是在“编辑风暴控制”页面中设置的。
步骤2选择一个端口，然后单击编辑。
步骤3输入参数。
•接口-选择已启用风暴控制的端口。
•风暴控制-选择该选项可启用风暴控制。
•风暴控制速率阈值-输入可用来转发未知数据包的最大速率。
此阈值的默认值为10,000（针对FE设备）和100,000（针对GE设备）。
•风暴控制模式-选择其中一种模式：-未知单播、组播和广播-将未知的单播、广播和组播流量计入带宽阈值。
-组播和广播-将广播和组播流量一起计入带宽阈值。
-仅广播-仅将广播流量计入带宽阈值。
步骤4单击应用。
将修改风暴控制，并更新当前配置文件。
配置端口安全限制用户通过特定的MAC地址访问端口可增强网络安全。
可以动态地学习或静态地配置MAC地址。
端口安全功能可监控接收的和学习的数据包。
限制用户通过特定的MAC地址访问锁定的端口。
思科200系列智能型交换机管理指南 227 安全配置端口安全 19 端口安全具有四种模式： •传统锁定-端口上学习的所有MAC地址均被锁定，并且端口未学习任何新MAC地址。
学习的地址不会过期或无需重新学习。
•有限动态锁定-设备学习的MAC地址数不超过配置的允许地址极限。
达到极限之后，设备不会学习其他地址。
在这种模式下，地址不会过期且无需重新学习。
•永久安全-保持当前的动态MAC地址与端口相关联，并最多学习端点上允许的最大地址数量（由允许的最大地址数量设定）。
禁用重新学习和老化。
•重置即安全删除-重置后删除当前与端口相关联的动态MAC地址。
新的MAC地址可作为重置即删除地址学习，数量最多为端口上允许的最大地址数量。
禁用重新学习和老化。
当在新MAC地址未经授权的端口（该端口已按照传统模式进行锁定且具有新MAC地址，或者该端口已被动态锁定且已超过了允许地址的最大数量）上检测到来自该地址的帧时，会调用保护机制，并且可能会执行以下操作之一： •丢弃帧 •转发帧 •关闭端口当在另一个端口上发现安全MAC地址时，将转发帧，但不会学习该端口上的MAC地址。
除了以上这些操作，您还可以生成Trap，并限制其频率和数量以避免设备过载。
注若要在端口上使用802.1X，则端口必须处于多主机或多会话模式。
如果端口处于单个模式，则不能在端口上设置安全（请参阅802.1x“主机和会话验证”页面）。
配置端口安全的步骤：步骤1单击安全>端口安全。
步骤2选择要修改的接口，然后单击编辑。
步骤3输入参数。
•接口-选择接口名称。
•接口状态-选择该选项可锁定端口。
•学习模式-选择端口锁定的类型。
要配置此字段，必须取消锁定“接口状态”。
仅当锁定接口状态字段时，才会启用“学习模式”字段。
要更改学习模式，必须清除“锁定接口”。
更改模式之后，可以恢复“锁定接口”的设置。
选项如下：-传统锁定-立即锁定端口，而不考虑已学习的地址数量。
-有限动态锁定-通过删除与端口相关联的当前动态MAC地址来锁定端口。
端口最多可学习端口上允许的最大地址数量。
同时启用MAC地址的重新学习和过期机制。
思科200系列智能型交换机管理指南 228 安全 802.1X 19 -永久安全-保持当前的动态MAC地址与端口相关联，并最多学习端点上允许的最大地址数量（由允许的最大地址数量设定）。
启用重新学习和老化。
-重置即安全删除-重置后删除当前与端口相关联的动态MAC地址。
新的MAC地址可作为重置即删除地址学习，数量最多为端口上允许的最大地址数量。
禁用重新学习和老化。
•允许的最大地址数量-输入当选择有限动态锁定学习模式时可在端口上学习的MAC地址的最大数。
数值0表示接口上仅支持静态地址。
•违反规则响应措施-选择对到达锁定端口的数据包所应用的操作。
选项如下： -丢弃-丢弃来自任何未学习源的数据包。
-转发-转发来自任何未知源的数据包，而无需学习MAC地址。
-关闭-丢弃来自任何未学习源的数据包，并关闭端口。
在重新激活端口或重启设备之前，该端口将保持关闭状态。
•Trap-选择该选项可在锁定端口接收到数据包时启用Trap。
这与违反锁定的行为有关。
对于传统锁定，这是指任何接收到的新地址。
对于有限动态锁定，这是指超过允许地址数量的任何新地址。
•Trap频率-输入Trap之间的最短时间间隔（以秒为单位）。
步骤4单击应用。
将修改端口安全，并更新当前配置文件。
802.1X 请参阅安全：802.1x验证一章，了解有关802.1X验证的信息。
DoS防护拒绝服务(DoS)攻击是指黑客企图使用户无法使用设备。
DoS攻击使用外部通信请求让设备饱和，导致其无法响应合法的流量。
此类攻击通常会导致设备CPU过载。
安全的核心技术(SCT) 设备用于抵御DoS攻击的方法之一是使用SCT。
在默认情况下，SCT在设备上已启用，且不能被禁用。
思科设备是一种高级设备，除最终用户(TCP)流量之外还可以处理管理流量、协议流量和Snooping流量。
思科200系列智能型交换机管理指南 229 安全 DoS防护 19 SCT确保设备可以接收和处理管理和协议流量，无论收到的总流量为多少。
这可通过限制流向CPU的TCP流量速率来实现。
该功能与其他功能间没有交互。
SCT可在“DoS>DoS防护>安全套件设置”页面中进行监控（详情按钮）。
DoS攻击类型 DoS攻击可通过以下方式发起（仅列举部分）：•TCPSYN数据包-TCPSYN数据包洪流（通常带有错误的发送者地址）可引发攻击。
每个数据包通过发回TCP/SYN-ACK数据包（确认）并等待来自发送者地址的数据包（响应ACK数据包）导致设备生成半开放式连接。
但是，由于发送者地址是错误的，所以永远不会收到响应。
这种半开放式连接导致设备原先可提供的可用连接数减少，因此无法响应合法请求。
此外，CPU可接收的潜在数据包数量有限，而攻击流量可能会占用此数据包数量。
可在“SYN保护”页面阻塞这些数据包。
•TCPSYN-FIN数据包-发送SYN数据包可创建新的TCP连接。
发送TCPFIN数据包可关闭连接。
不能存在同时带有SYN和FIN标签的数据包。
因此，这些数据包可能会攻击设备，应将其阻塞。
可在“SYN保护”页面设置构成SYN攻击的定义。
当设备在接口上发现此类攻击时，将在此页面进行报告。
针对DoS攻击的防御措施拒绝服务(DoS)防护功能通过以下方式帮助系统管理员抵御DoS攻击：•启用TCPSYN保护。
如果启用了此功能，系统将在发现SYN数据包攻击时发送报告。
如果每秒SYN数据包数超出用户配置的阈值，将判断为SYN攻击。
•可阻塞SYN-FIN数据包。
功能之间的依赖性此功能与其他功能不相互依赖。
默认配置 DoS防护功能有以下默认设置：•默认情况下，DoS防护功能为禁用状态。
思科200系列智能型交换机管理指南 230 安全 DoS防护 19 •默认启用SYN-FIN防护（即使已禁用DoS防护）。
•如果启用了SYN保护，默认设置为“报告”。
默认阈值为每秒30个SYN数据包。
•默认情况下，其他所有DoS防护功能均为禁用状态。
配置DoS防护可使用以下页面配置此功能。
安全套件设置配置DoS防护全局设置并监控SCT的步骤：步骤1单击安全>DoS防护>安全套件设置，此时将显示安全套件设置。
CPU保护机制：已启用表示SCT已启用。
步骤2单击CPU使用率旁边的详情，以转到“CPU使用率”页面并查看CPU资源利用率信息。
步骤3单击TCPSYN保护旁边的编辑，以转到“SYN保护”页面并启用此功能。
SYN保护在SYN攻击中，黑客可能利用网络端口对设备进行攻击，这将消耗TCP资源（缓存）和CPU功率。
由于CPU使用SCT进行保护，流向CPU的TCP流量会受到限制。
但是，如果一个或多个端口受到高速SYN数据包的攻击，CPU仅接收攻击程序的数据包，从而导致拒绝服务。
使用SYN保护功能时，CPU计算每秒从每个网络端口进入CPU的SYN数据包数。
如果该数量高于阈值，将生成系统日志消息，但不会阻塞数据包。
配置SYN保护的步骤：步骤1单击安全>DoS防护>SYN保护。
步骤2输入参数。
•阻塞SYN-FIN数据包-选择以启用此功能。
如果检测到同时带SYN和FIN标签的TCP数据包，将生成系统日志消息。
•SYN保护模式-在以下三种模式间选择：-禁用-在特定接口上禁用此功能。
-报告-生成系统日志消息。
超过阈值时端口状态会更改为被攻击。
思科200系列智能型交换机管理指南 231 安全 DoS防护 19 •SYN保护阈值-SYN数据包阻塞前每秒可通过的SYN数据包数（将对端口应用符合MAC-to-me规则的拒绝SYN）。
步骤3单击应用。
将定义SYN保护，并更新当前配置文件。
SYN保护接口表显示以下针对各端口或LAG（根据用户请求）的字段。
•当前状态-接口状态。
可能的值包括：-正常-此端口上未发现攻击。
-被攻击-此端口上发现攻击。
•上一个攻击-系统发现上一个SYN-FIN攻击并采取系统操作（已报告）的日期。
思科200系列智能型交换机管理指南 232 安全：802.1x验证 20 本部分介绍802.1X验证。
其中包含以下主题： •802.1X概述•验证方概述•常见任务•通过GUI进行802.1X配置 802.1X概述 802.1x验证可限制未经授权的客户端通过可公开访问的端口连接到局域网。
802.1x验证是一种客户端-服务器模型。
在此模型中，网络设备具有以下特定角色。
•客户端或请求方•验证方•验证服务器如下图所示：思科200系列智能型交换机管理指南 233 安全：802.1x验证 802.1X概述 20 网络设备可以作为每个端口的客户端/请求方或验证方，或者兼此二职。
客户端或请求方客户端或请求方是请求访问局域网的网络设备。
客户端连接到验证方。
如果客户端使用802.1x协议进行验证，则它会运行802.1x协议的请求方部分以及EAP协议的客户端部分。
验证方验证方是提供网络服务的网络设备，是请求方端口连接的对象。
以下端口验证模式可受支持（这些模式在“安全>802.1X>主机和会话验证”中设置）： •单个主机-以每个端口单个客户端的方式支持基于端口的验证。
•多个主机-以每个端口多个客户端的方式支持基于端口的验证。
•多会话-以每个端口多个客户端的方式支持基于客户端的验证。
有关详情，请参阅端口主机模式。
在基于802.1x的验证中，验证方从802.1x消息（EAPOL帧）中提取EAP消息，并将其传递到验证服务器，在此过程中会使用RADIUS协议。
验证服务器验证服务器执行实际的客户端验证。
设备的验证服务器是带有EAP扩展的RADIUS验证服务器。
开放式访问开放式（监控）访问功能可在802.1x环境中为由于误配置和/或缺少资源引起的故障而导致的真正的单纯验证失败提供帮助。
开放式访问可帮助系统管理员了解连接到网络的主机的问题、监控不良状况并使这些问题得以修复。
在接口上启用开放式访问时，交换机会将从RADIUS服务器接收的所有失败视为成功，无论验证结果如何，都允许访问连接到接口的工作站网络。
开放式访问可在启用验证的端口上更改阻止流量的正常行为，直到验证和授权成功执行。
验证的默认行为仍然是阻止所有流量，但局域网的可扩展鉴权协议(EAPoL)除外。
但是，开放式访问让管理员可以为所有流量提供不受限制的访问，即便是在启用了验证（基于802.1X、MAC和/或WEB的验证）的情况下。
当启用RADIUS记帐时，您可以记录验证尝试以及通过审计跟踪了解有哪些人员和设备连接到您的网络。
完成所有这一切操作都不会影响最终用户或与网络连接的主机。
开放式访问可以在802.1X端口验证页面中激活。
思科200系列智能型交换机管理指南 234 安全：802.1x验证验证方概述 20 验证方概述端口管理验证状态端口管理状态可确定客户端是否已被授予访问网络的权限。
端口管理状态可在“安全>802.1X>端口验证”页面配置。
可用值如下： •强制授权端口验证禁用，并且端口会根据其静态配置传输所有流量，无需请求任何验证。
交换机在收到802.1xEAPOL-start消息时，会发送带有EAPess消息的802.1xEAP数据包。
此为默认状态。
•强制未授权端口验证禁用，并且端口会通过访客VLAN以及未经验证的VLAN传输所有流量。
有关详情，请参阅定义主机和会话验证。
交换机在收到802.1xEAPOL-Start消息时，会发送带有EAPfailure消息的802.1xEAP数据包。
•自动根据配置的端口主机模式和端口上配置的验证方法启用802.1x验证。
端口主机模式端口可置于以下端口主机模式（在“安全>802.1X>主机和会话验证”页面配置）：•单个主机模式如果有一个经过授权的客户端，则对一个端口进行授权。
一个端口上只能对一台主机进行授权。
如果端口未经授权且访客VLAN为启用状态，则Untagged流量将重新映射到访客VLAN。
除非Tagged流量属于访客VLAN或未经验证的VLAN，否则会被丢弃。
如果端口上未启用访客VLAN，则只有属于未经验证的VLAN的Tagged流量才会被桥接。
如果端口经过授权，来自授权主机的Untagged流量和Tagged流量将根据静态VLAN成员关系端口配置进行桥接。
来自其他主机的流量会被丢弃。
用户可以指定将来自授权主机的Untagged流量重新映射到RADIUS服务器在验证过程中分配的VLAN。
除非Tagged流量属于RADIUS分配的VLAN或未经验证的VLAN，否则会被丢弃。
端口上的RadiusVLAN分配可在“安全>802.1X>端口验证”页面设置。
思科200系列智能型交换机管理指南 235 安全：802.1x验证验证方概述 20 •多个主机模式如果至少有一个授权客户端，则对端口进行授权。
如果端口未经授权且访客VLAN为启用状态，则Untagged流量将重新映射到访客VLAN。
除非Tagged流量属于访客VLAN或未经验证的VLAN，否则会被丢弃。
如果端口上未启用访客VLAN，则只有属于未经验证的VLAN的Tagged流量才会被桥接。
如果端口经过授权，来自所有与端口连接的主机的Untagged流量和Tagged流量都将根据静态VLAN成员关系端口配置进行桥接。
您可以指定将来自授权端口的Untagged流量重新映射到RADIUS服务器在验证过程中分配的VLAN。
除非Tagged流量属于RADIUS分配的VLAN或未经验证的VLAN，否则会被丢弃。
端口上的RadiusVLAN分配可在“端口验证”页面配置。
•多会话模式与单个主机和多个主机模式不同，多会话模式下的端口不具有验证状态。
此状态会分配给每个与端口连接的客户端。
此模式需要TCAM查询。
由于第3层模式交换机没有为多会话模式分配的TCAM查询，因此，它们支持有限形式的多会话模式，该模式不支持访客VLAN和RADIUSVLAN属性。
端口上允许的最大授权主机数量在“端口配置”页面配置。
无论主机是否经过授权，属于未经验证VLAN的Tagged流量始终会被桥接。
如果VLAN上已定义和启用访客VLAN，那么来自未经授权主机且不属于未经验证VLAN的Tagged流量和Untagged流量将重新映射到访客VLAN；如果端口上未启用访客VLAN，则此类流量会被丢弃。
如果RADIUS服务器为授权主机分配了一个VLAN，则其所有不属于未经验证VLAN的Tagged和Untagged流量都将通过VLAN进行桥接；如果未分配VLAN，其所有流量都将根据静态VLAN成员关系端口配置进行桥接。
基于802.1x的验证基于802.1x的验证方依赖于802.1x请求方和验证服务器之间透明的EAP消息。
请求方和验证方之间的EAP消息将封装到802.1x消息中，而验证方和验证服务器之间的EAP消息将封装到RADIUS消息中。
思科200系列智能型交换机管理指南 236 安全：802.1x验证验证方概述如下所示：图1基于802.1x的验证 20 如标准中所述，设备支持802.1x验证机制，以便对802.1x请求方进行验证和授权。
违例模式在单个主机模式下，您可以配置未经授权端口上未经授权的主机尝试访问接口时要采取的操作。
此配置可以在“主机和会话验证”页面完成。
可能的选项有： •限制-当MAC地址不是请求方MAC地址的站尝试访问接口时，生成一个Trap。
Trap之间的最短时间间隔为1秒。
将转发这些帧，但不会学习其源地址。
•保护-丢弃源地址不是请求方地址的帧。
•关闭-丢弃源地址不是请求方地址的帧，并关闭端口。
您还可以将设备配置为发送SNMPTrap，且连续Trap之间具有可配置的最短时间间隔。
如果间隔秒数=
0，将禁用Trap。
如果未指定最短时间间隔，则限制模式默认为1秒，其他模式默认为
0。
静默期静默期是端口（单个主机或多个主机模式）或客户端（多会话模式）在验证交换失败之后无法尝试验证的时段。
在单个主机或多个主机模式下，该时段按端口进行定义；在多会话模式下，该时段按客户端进行定义。
在该静默期内，交换机不接受也不发出验证请求。
您还可以指定触发静默期的最大登录尝试次数。
数值0表示不限制登录尝试次数。
静默期的持续时间和最大登录尝试次数可在“端口验证”页面设置。
思科200系列智能型交换机管理指南 237 安全：802.1x验证常见任务常见任务工作流程1：在端口上启用802.1x验证：步骤1单击安全>802.1X>属性。
步骤2启用基于端口的验证。
步骤3选择验证方法。
步骤4单击应用，将更新当前配置文件。
步骤5单击安全>802.1X>主机和会话验证。
步骤6选择所需端口，然后单击编辑。
步骤7选择主机验证模式。
步骤8单击应用，将更新当前配置文件。
步骤9单击安全>802.1X>端口验证。
步骤10选择一个端口，然后单击编辑。
步骤11将“管理端口控制”字段设置为自动。
步骤12定义验证方法。
步骤13单击应用，将更新当前配置文件。
工作流程2：配置Trap 步骤1单击安全>802.1X>属性。
步骤2选择所需Trap。
步骤3单击应用，将更新当前配置文件。
工作流程3：配置基于802.1x的验证步骤1单击安全>802.1X>端口验证。
步骤2选择所需端口，然后单击编辑。
步骤3输入对端口必填的字段。
此页面中的字段如802.1X端口验证中所述。
步骤4单击应用，将更新当前配置文件。
使用复制设置按钮将设置从一个端口复制到另一个端口。
思科200系列智能型交换机管理指南 20 238 安全：802.1x验证通过GUI进行802.1X配置 20 工作流程4：配置静默期步骤1单击安全>802.1X>端口验证。
步骤2选择一个端口，然后单击编辑。
步骤3在“静默期”字段中输入静默期。
步骤4单击应用，将更新当前配置文件。
通过GUI进行802.1X配置定义802.1X属性 802.1X“属性”页面用于在全局启用802.1X，并定义端口如何进行验证。
要发挥802.1X的作用，必须在每个端口上全局且单独地激活802.1X。
定义基于端口的验证的步骤：步骤1单击安全>802.1X>属性。
步骤2输入参数。
•基于端口的验证-启用或禁用基于端口的验证。
如果禁用此选项，则802.1X将禁用。
•验证方法-选择用户验证方法。
选项如下：-RADIUS，无-首先使用RADIUS服务器执行端口验证。
如果未从RADIUS接收到任何响应（例如，如果服务器已停机），则不会执行验证，且允许进行会话。
-RADIUS-在RADIUS服务器上验证用户。
如果未执行验证，则不允许进行会话。
-无-不验证用户。
允许进行会话。
•Trap设置-要启用Trap，请选择以下一个或多个选项：-802.1x验证失败陷阱-选择该选项可在802.1x验证失败时生成Trap。
-802.1x验证成功陷阱-选择该选项可在802.1x验证成功时生成Trap。
步骤3单击应用。
802.1X属性将写入当前配置文件中。
思科200系列智能型交换机管理指南 239 安全：802.1x验证通过GUI进行802.1X配置 20 802.1X端口验证 “端口验证”页面可配置每个端口的802.1X参数。
因为仅当端口处于强制授权状态时，某些配置更改才有可能实现，例如主机验证，因此我们建议您在进行更改之前，将端口控制更改为“强制授权”。
完成配置之后，将端口控制恢复为以前状态。
注其上定义了802.1x的端口不能成为LAG的成员。
定义802.1X验证的步骤：步骤1单击安全>802.1X验证>端口验证。
此页面显示所有端口的验证设置。
步骤2选择一个端口，然后单击编辑。
步骤3输入参数。
•接口-选择端口。
•当前端口控制-显示当前端口授权的状态。
如果状态为已授权，则端口可能已经过验证，或者管理端口控制为强制授权。
反之，如果状态为未授权，则端口可能未经验证，或者管理端口控制为强制未授权。
•管理端口控制-选择管理端口授权状态。
选项如下：-强制未授权-通过将接口转变为未授权状态来拒绝接口访问。
设备不为通过接口的客户端提供验证服务。
-自动-在设备上启用基于端口的验证和授权。
接口根据设备与客户端之间的验证交换在授权状态和未经授权状态之间转换。
-强制授权-对接口进行授权，但不进行验证。
•开放式访问-选择即使端口验证失败，也成功验证端口。
请参阅开放式访问。
•基于802.1X的验证-802.1X验证是在端口上执行的唯一一种验证方法。
•基于MAC的验证-根据请求方的MAC地址验证端口。
仅可在端口上使用8种基于MAC的验证。
注要成功进行MAC验证，RADIUS服务器请求方的用户名和密码必须为请求方的MAC地址。
MAC地址必须为小写字母，并且在输入时不包含.或-分隔符；例如：。
•基于Web的验证-选择该选项可在交换机上启用基于web的验证。
•定期重新验证-选择该选项可在指定的重新验证时段之后尝试重新验证端口。
•重新验证间隔-输入经过多少秒后对选定端口进行重新验证。
•立即重新验证-选择该选项可立即对端口进行重新验证。
思科200系列智能型交换机管理指南 240 安全：802.1x验证通过GUI进行802.1X配置 20 •验证方状态-显示定义的端口授权状态。
选项如下：-初始化-处于启动阶段。
-强制授权-受控的端口状态设置为“强制授权”（转发流量）。
注如果端口未处于“强制未授权”状态，则处于自动模式下，且验证方会显示进行中的验证状态。
对端口进行验证之后，状态会显示为“已验证”。
•时间范围-在已启用802.1x（选中“基于端口”验证）时对经授权可供使用的特定端口进行时间限制。
•时间范围名称-选择指定时间范围的模板。
•最大主机数-输入主机上允许的最大授权主机数量。
选择无限期不进行限制，或选择用户定义设置限制。
注将此值设置为
1，可在多会话模式下模拟基于web验证的单个主机模式。
•静默期-输入在验证交换失败之后设备保持静默状态的秒数。
•重新发送EAP-输入在重新发送请求之前设备等待来自请求方（客户端）的对可扩展验证协议(EAP)请求/身份帧的响应的秒数。
•最大EAP请求-输入可发送的EAP请求的最大数。
如果在定义时段（请求方超时）之后未接收到响应，则重新启动验证程序。
•请求方超时-输入将EAP请求重新发送到请求方之前经过的秒数。
•服务器超时-输入设备将请求重新发送到验证服务器之前经过的秒数。
步骤4单击应用。
端口设置将写入当前配置文件中。
定义主机和会话验证使用“主机和会话验证”页面可定义802.1X在端口上的运作模式以及当检测到违例行为时要执行的操作。
有关这些模式的说明，请参阅端口主机模式。
为端口定义802.1X高级设置的步骤：步骤1单击安全>802.1X验证>主机和会话验证。
会说明所有端口的802.1X验证参数。
在编辑页面中介绍了除以下字段以外的所有字段。
•反入侵次数-显示在单台主机模式下从其MAC地址不是请求方MAC地址的主机到达接口的数据包数量。
步骤2选择一个端口，然后单击编辑。
步骤3输入参数。
思科200系列智能型交换机管理指南 241 安全：802.1x验证通过GUI进行802.1X配置 20 •接口-输入为其启用了主机验证的端口号。
•主机验证-选择其中一种模式。
这些模式在上面的端口主机模式部分进行了介绍。
单个主机违反规则设置（仅在主机验证为“单个主机”时显示）：•违反规则响应措施-选择对在单会话/单台主机模式下从其MAC地址不是请求方MAC地址的主机到达的数据包所应用的操作。
选项如下：-保护(丢弃)-丢弃数据包。
-限制(转发)-转发数据包。
-关闭-丢弃数据包并关闭端口。
在重新激活端口或重启设备之前，端口将保持关闭状态。
•Traps-选择该选项可启用陷阱。
•TrapFrequency-定义向主机发送陷阱的频率。
仅当禁用多台主机时才可定义此字段。
步骤4单击应用。
设置将写入当前配置文件中。
查看经验证的主机查看有关经验证的用户详情的步骤：步骤1单击安全>802.1X>已验证的主机。
此页面显示了以下字段： •用户名-在每个端口上进行了验证的请求方名称。
•端口-端口号。
•会话时间(DD:HH:MM:SS)-请求方在端口上保持登录状态的时间量。
•验证服务器-RADIUS服务器。
•MAC地址-显示请求方的MAC地址。
注多达5个HTTP用户和1个HTTPS用户可以同时请求基于web的验证。
当这些用户进行验证时，可以有更多用户请求验证。
思科200系列智能型交换机管理指南 242 安全：SSH客户端 21 本节介绍了作为SSH客户端的设备。
其中包含以下主题： •安全复制(SCP)和SSH•保护方法•SSH服务器验证•SSH客户端验证•使用准备•常见任务•GUI中的SSH客户端配置安全复制(SCP)和SSH SecureShell(SSH)是一种网络协议，可在SSH客户端（在此情况下，指设备）与SSH服务器之间的安全通道上实现数据交换。
SSH客户端可帮助用户管理由一个或多个交换机组成的网络，其中的各种系统文件均存储在中央SSH服务器中。
通过网络传输配置文件时，安全复制（SecureCopy，简称SCP，一种利用SSH协议的应用程序）可确保用户名/密码等敏感数据不会遭到拦截。
安全复制(SCP)用于将固件、引导映像、配置文件和日志文件从中央SCP服务器安全传输到设备。
就SSH而言，设备上运行的SCP是一种SSH客户端应用程序，而SCP服务器则是一种SSH服务器应用程序。
通过TFTP或HTTP下载文件时，无法确保数据传输的安全性。
如果通过SCP下载文件，则会通过安全通道将信息从SCP服务器下载到设备上。
此安全通道可在验证之前创建，以确保允许用户执行此操作。
虽然本指南未介绍服务器操作，但是设备和SSH服务器上的验证信息必须由用户输入。
思科200系列智能型交换机管理指南 243 安全：SSH客户端保护方法下图说明了可能会在其中使用SCP功能的典型网络配置。
典型网络配置 21 保护方法将数据从SSH服务器传输到设备（客户端）时，SSH服务器会使用多种方法验证客户端。
具体方法如下所述。
密码要使用密码方法，首先要确保SSH服务器上已建立用户名/密码。
尽管此操作无法通过设备的管理系统完成，但是，在服务器上建立用户名后，可以通过设备的管理系统更改服务器密码。
然后，必须在设备上创建用户名/密码。
将数据从服务器传输到设备时，设备提供的用户名/密码必须与服务器上的用户名/密码相匹配。
可以使用在会话期间协商的一次性对称密钥来加密数据。
虽然多台交换机可使用相同的用户名/密码，但是经管理的每台设备都必须具有自身的用户名/密码。
密码方法是设备上的默认方法。
公共/专用密钥要使用公共/专用密钥方法，需在SSH服务器上创建用户名和公共密钥。
在设备上生成公共密钥（如下所述），然后将其复制到服务器。
本指南未介绍在服务器上创建用户名以及将公共密钥复制到服务器这两项操作。
启动设备时，系统会为其生成RSA和DSA默认密钥对。
其中一个密钥用于加密从SSH服务器下载的数据。
默认情况下，使用RSA密钥。
思科200系列智能型交换机管理指南 244 安全：SSH客户端 SSH服务器验证 21 如果用户删除了其中一个密钥或将其全部删除，系统会重新生成。
公共/专用密钥存储于设备内存中，并在其中进行加密。
密钥是设备配置文件的一部分，专用密钥可以以加密形式或明文形式对用户显示。
因为无法将专用密钥直接复制为其他设备的专用密钥，所以出现了一种可将专用密钥从一台设备复制到另一台设备的导入方法（如导入密钥中所述）。
导入密钥使用该密钥方法，必须为每个单独的设备创建单独的公共/专用密钥，并且出于安全性的考虑，不能将这些专用密钥从一台设备直接复制到另一台设备。
如果网络中存在多台交换机，因为公共/专用密钥必须逐个创建然后还要加载到SSH服务器，所以为所有交换机创建公共/专用密钥的过程便可能会很耗时。
要加速此过程，可使用其他功能，将加密的专用密钥安全传输到系统中的所有交换机。
在设备上创建专用密钥后，还可以创建相关联的密码。
此密码用于加密专用密钥以及将其导入其余交换机中。
通过这种方法，所有交换机都可以使用相同的公共/专用密钥。
SSH服务器验证作为SSH客户端的设备仅与信任的SSH服务器进行通讯。
如果禁用SSH服务器验证（默认设置），则所有SSH服务器均被视为信任服务器。
如果启用SSH服务器验证，用户必须将信任服务器的条目添加到信任的SSH服务器表中。
此表可为每台信任的SSH服务器（最多16台服务器）存储以下信息，具体包括： •服务器IP地址/主机名•服务器公共密钥指纹启用SSH服务器验证后，在设备上运行的SSH客户端会使用以下验证过程来验证SSH服务器：•设备计算接收的SSH服务器公共密钥的指纹。
•设备在信任的SSH服务器表中搜索SSH服务器的IP地址/主机名。
可能会出现以下其中一种情况： -如果未找到服务器IP地址/主机名及其指纹的匹配项，将对服务器进行验证。
-如果已找到匹配的IP地址/主机名，但没有匹配的指纹，搜索将继续进行。
如果找不到匹配的指纹，将完成搜索，但无法进行验证。
-如果找不到匹配的IP地址/主机名，将完成搜索，但无法进行验证。
•如果在信任服务器列表中找不到SSH服务器的条目，该过程将无法进行。
思科200系列智能型交换机管理指南 245 安全：SSH客户端 SSH客户端验证 21 SSH客户端验证默认情况下，启用藉由密码进行SSH客户端验证，此时用户名/密码是“匿名”的。
用户必须配置以下信息才能进行验证： •要使用的验证方法。
•用户名/密码或公共/专用密钥对。
为了支持自动配置开箱即用型设备（采用出厂默认配置的设备），SSH服务器验证默认为禁用状态。
支持的算法在设备（作为SSH客户端）与SSH服务器之间建立连接后，该客户端和SSH服务器会交换数据，以确定要在SSH传输层中使用的算法。
客户端上支持以下算法： •密钥交换算法-diffie-hellman•加密算法 -aes128-cbc-3des-cbc-arcfour-aes192-cbc-aes256-cbc•消息验证码算法-hmac-sha1-hmac-md5 注不支持压缩算法。
使用准备必须先执行以下操作，然后再使用SCP功能：•使用密码验证方法时，必须在SSH服务器上设置用户名/密码。
•使用公共/专用密钥验证方法时，必须将公共密钥存储在SSH服务器上。
思科200系列智能型交换机管理指南 246 安全：SSH客户端常见任务 21 常见任务本节介绍了一些使用SSH客户端执行的常见任务。
参考的所有页面均可在菜单树的“SSH客户端”分支下找到。
工作流程1：要配置SSH客户端以及将数据传输到SSH服务器/传输来自SSH服务器的数据，请执行以下步骤：步骤1确定要使用的验证方法：密码或公共/专用密钥。
使用“SSH用户验证”页面。
步骤2如果已选择密码方法，请执行以下步骤：a.能够实现真正的安全数据传输后，在“SSH用户验证”页面中创建全局密码，或者在“升级/备份固件/语言”或“下载/备份配置/日志”页面中创建临时密码。
b.在“升级/备份固件/语言”页面中选择通过SCP(藉由SSH)选项，以使用SCP来升级固件、引导映像或语言文件。
可以在此页面中直接输入密码，或者可以使用在“SSH用户验证”页面中输入的密码。
c.在“下载/备份配置/日志”页面中选择通过SCP(藉由SSH)选项，以使用SCP来下载/备份配置文件。
可以在此页面中直接输入密码，或者可以使用在“SSH用户验证”页面中输入的密码。
步骤3在SSH服务器上设置用户名/密码，或者在SSH服务器上修改密码。
此操作取决于服务器，在此不做说明。
步骤4如果使用的是公共/专用密钥方法，请执行以下步骤：a.选择使用RSA密钥还是DSA密钥，创建用户名，然后生成公共/专用密钥。
b.单击详情按钮查看生成的密钥，然后将用户名和公共密钥传输到SSH服务器。
此操作取决于服务器，本指南中不做说明。
c.在“升级/备份固件/语言”页面中选择通过SCP(藉由SSH)选项，以使用SCP来升级/备份固件或语言文件。
d.在“下载/备份配置/日志”页面中选择通过SCP(藉由SSH)选项，以使用SCP来下载/备份配置文件。
工作流程2：将公共/专用密钥从一台设备导入另一台设备的步骤：步骤1在“SSH用户验证”页面中生成公共/专用密钥。
步骤2在“安全敏感数据管理>属性”页面中设置SSD属性，并创建一个新的本地密码。
步骤3单击详情查看生成的已加密密钥，然后将它们（包括开始页脚和结束页脚）从“详情”页面复制到外部设备。
分别复制公共密钥和专用密钥。
步骤4登录到其他设备，然后打开“SSH用户验证”页面。
选择所需密钥的类型，然后单击编辑。
粘贴公共/专用密钥。
思科200系列智能型交换机管理指南 247 安全：SSH客户端 GUI中的SSH客户端配置 21 步骤5单击应用，将公共/专用密钥复制到第二台设备上。
工作流程3：在SSH服务器上更改密码的步骤：步骤1在“更改SSH服务器的用户密码”页面中识别服务器。
步骤2输入新密码。
步骤3单击应用。
GUI中的SSH客户端配置本节介绍了用于配置SSH客户端功能的页面。
SSH用户验证使用此页面可选择一种SSH用户验证方法。
如果选择密码方法，可设置设备的用户名和密码；如果选择公共/专用密钥方法，可生成RSA或DSA密钥。
选择一种验证方法并设置用户名/密码/密钥的步骤：步骤1单击安全>SSH客户端>SSH用户验证。
步骤2选择一种SSH用户验证方法。
这是针对安全复制(SCP)定义的全局方法。
请选择以下选项之一：•藉由密码-此选项为默认设置。
如果选择此选项，请输入一个密码或保留默认密码。
•藉由RSA公共密钥-如果选择此选项，请在SSH用户密钥表框中创建一个RSA公共/专用密钥。
•藉由DSA公共密钥-如果选择此选项，请在SSH用户密钥表框中创建一个DSA公共/专用密钥。
步骤3输入用户名（无论选择什么方法），或者使用默认用户名。
此用户名必须与在SSH服务器上定义的用户名相匹配。
步骤4如果已选择藉由密码方法，请输入一个密码（加密模式或明文模式），或者保留默认的已加密密码。
步骤5请执行以下操作之一：•应用-选择的验证方法与访问方法相关。
•恢复默认凭证-将恢复默认的用户名和密码（匿名）。
•将敏感数据显示为明文模式-当前页面的敏感数据将显示为明文模式。
思科200系列智能型交换机管理指南 248 安全：SSH客户端 GUI中的SSH客户端配置 21 SSH用户密钥表针对每个密钥包含以下字段：•密钥类型-RSA或DSA。
•密钥来源-自动生成或用户定义。
•指纹-从密钥生成的指纹。
步骤6要处理RSA或DSA密钥，请选择RSA或DSA，然后执行以下操作之一：•生成-生成一个新密钥。
•编辑-显示要复制/粘贴到其他设备的密钥。
•删除-删除密钥。
•详情-显示密钥。
SSH服务器验证启用SSH服务器验证以及定义信任服务器的步骤：步骤1单击安全>SSH客户端>SSH服务器验证。
步骤2选择启用以启用SSH服务器验证。
•IPv4源接口-选择其IPv4地址将用作与IPv4SSH服务器通信中所用消息的源IPv4地址的源接口。
•IPv6源接口-选择其IPv6地址将用作与IPv6SSH服务器通信中所用消息的源IPv6地址的源接口。
注如果已选择“自动”选项，系统将使用传出接口上定义的IP地址的源IP地址。
步骤3单击添加，然后针对信任的SSH服务器输入以下字段：•服务器定义-选择以下其中一种方法来识别SSH服务器：-按IP地址-如果选择此选项，请在下面的字段中输入服务器的IP地址。
-按名称-如果选择此选项，请在服务器IP地址/名称字段中输入服务器的名称。
•IP版本-如果选择按IP地址指定SSH服务器，请选择IP地址是IPv4还是IPv6地址。
•IP地址类型-如果SSH服务器IP地址是IPv6地址，请选择IPv6地址类型。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
思科200系列智能型交换机管理指南 249 安全：SSH客户端 GUI中的SSH客户端配置 21 •链路本地接口-从接口列表中选择链路本地接口。
•服务器IP地址/名称-输入SSH服务器的IP地址或服务器名称（取决于服务器定义中的选择）。
•指纹-输入SSH服务器的指纹（从该服务器进行复制）。
步骤4单击应用。
信任服务器定义将存储在当前配置文件中。
在SSH服务器上更改用户密码在SSH服务器上更改密码的步骤：步骤1单击安全>SSH客户端>更改SSH服务器的用户密码。
步骤2输入以下字段：•服务器定义-选择按IP地址或按名称定义SSH服务器。
在服务器IP地址/名称字段中输入服务器的名称或IP地址。
•IP版本-如果选择按IP地址指定SSH服务器，请选择IP地址是IPv4还是IPv6地址。
•IP地址类型-如果SSH服务器IP地址是IPv6地址，请选择IPv6地址类型。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从接口列表中选择链路本地接口。
•服务器IP地址/名称-输入SSH服务器的IP地址或服务器名称（取决于服务器定义中的选择）。
•用户名-此用户名必须与服务器上的用户名相匹配。
•旧密码-此密码必须与服务器上的密码相匹配。
•新密码-输入新密码，然后在确认密码字段中进行确认。
步骤3单击应用。
将修改SSH服务器中的密码。
思科200系列智能型交换机管理指南 250 安全：安全敏感数据管理 22 安全敏感数据(SSD)是一种能够加强设备上敏感数据（例如：密码和密钥）保护的结构。
该工具利用密码、加密、访问控制和用户验证来提供一种管理敏感数据的安全解决方案。
该工具还可用于保护配置文件的完整性，确保配置过程的顺利进行以及支持SSD零接触自动配置。
•简介•SSD规则•SSD属性•配置文件•SSD管理通道•菜单CLI和密码恢复•配置SSD 简介 SSD可保护设备上的敏感数据（例如密码和密钥），允许和拒绝对基于用户凭证和SSD规则加密的明文模式敏感数据的访问，并可保护包含敏感数据的配置文件，使其免遭破坏。
此外，通过SSD还可确保含有敏感数据的配置文件在备份和共享过程中的安全。
用户可通过SSD灵活配置所需的敏感数据保护级别；可对明文模式的敏感数据不设保护，可通过基于默认密码加密进行最低程度的保护，也可通过基于用户定义的密码加密实现更有效的保护。
SSD将根据SSD规则，仅向经过验证和授权的用户授予敏感数据的读取权限。
设备将通过用户验证程序验证管理权限并将其授予用户。
无论是否使用SSD，我们都建议管理员使用本地验证数据库来确保验证程序的顺利进行，并/或确保能够与用户验证程序中使用的外部验证服务器进行安全通信。
总之，SSD可通过SSD规则、SSD属性和用户验证来保护设备上的敏感数据。
设备的SSD规则、SSD属性和用户验证配置本身作为敏感数据也将受到SSD的保护。
思科200系列智能型交换机管理指南 251 安全：安全敏感数据管理 SSD规则 22 SSD管理 SSD管理包括对敏感数据的处理方法和安全性进行定义的诸多配置参数的管理。
SSD配置参数本身作为敏感数据也将受到SSD的保护。
SSD的所有配置将通过SSD页面执行，只有具有正确权限的用户才能访问这些页面（请参阅SSD规则）。
SSD规则 SSD规则对授予管理通道上用户会话的读取权限和默认读取模式作出定义。
SSD规则将由其用户通过SSD管理通道进行唯一识别。
不同的SSD规则可能适用于同一用户但同时适用于不同的通道，反之，不同的规则也可能适用于同一通道但同时适用于不同的用户。
读取权限将决定敏感数据的查看方式：仅以加密模式、仅以明文模式、两种模式兼而有之或不允许查看敏感数据。
SSD规则本身作为敏感数据也将受到保护。
一台设备总共可支持32条SSD规则。
当SSD规则与用户身份/用户凭证以及作为用户目前/将要访问敏感数据的管理通道的类型实现最佳匹配时，设备将向用户授予该规则的SSD读取权限。
设备会自带一套默认的SSD规则。
管理员可按需要添加、删除和更改SSD规则。
注设备可能并非支持SSD定义的所有通道。
SSD规则的内容 SSD规则包含以下内容：•用户类型-以下是按最高优先级到最低优先级顺序支持的用户类型：（如果用户与多条SSD规则匹配，则应用具有最高优先级用户类型的规则）。
-特定-该规则应用于特定用户。
-默认用户(cisco)-该规则应用于默认用户(cisco)。
-第15级-该规则应用于具有15级权限的用户。
-全部-该规则应用于所有用户。
•用户名-如果用户类型为“特定”，则需要提供用户名。
思科200系列智能型交换机管理指南 252 安全：安全敏感数据管理 SSD规则 22 •通道。
规则适用的SSD管理通道类型。
受支持的通道类型有： -安全-指定该规则仅应用于安全通道。
根据不同的设备，可能会支持以下部分或所有的安全通道：控制台端口界面、SCP、SSH和HTTPS。
-不安全-指定该规则仅应用于不安全通道。
根据不同的设备，可能会支持以下部分或所有的不安全通道：、TFTP和HTTP。
-安全XMLSNMP-指定该规则仅应用于带保密功能的XMLoverHTTPS或SNMPv3。
设备可能支持或不支持所有的XML和SNMP安全通道。
-不安全XMLSNMP-指定该规则仅应用于不带保密功能的XMLoverHTTP或SNMPv1/v2和SNMPv3。
设备可能支持或不支持所有的XML和SNMP安全通道。
•读取权限-读取权限与各规则相关联。
这些权限可分为以下类别： -（最低）无-不允许用户访问任何形式的敏感数据。
-（一般）仅加密模式-仅允许用户访问加密的敏感数据。
-（较高）仅明文模式-仅允许用户访问明文模式的敏感数据。
用户还将拥有SSD参数的读取和写入权限。
-（最高）所有模式-用户拥有加密和明文模式两种权限，并可访问加密模式和明文模式的敏感数据。
用户还将拥有SSD参数的读取和写入权限。
每一管理通道都允许特定的读取权限。
以下是对上述内容的总结。
管理通道安全不安全安全XMLSNMP不安全XMLSNMP 允许的读取权限选项所有模式、仅加密模式所有模式、仅加密模式无、仅明文模式无、仅明文模式 •默认读取模式-所有的默认读取模式均受规则读取权限的限制。
存在以下选项，但有些选项可能会被拒绝，这取决于读取权限。
例如，如果用户的用户定义的读取权限为“无”且默认读取模式为“加密模式”，则以用户定义的读取权限为准。
-无-不允许读取敏感数据。
-加密模式-以加密形式显示敏感数据。
-明文模式-以明文形式显示敏感数据。
思科200系列智能型交换机管理指南 253 安全：安全敏感数据管理 SSD规则 22 每一管理通道都允许特定的读取权限。
以下是对上述内容的总结。
读取权限无仅加密模式仅明文模式所有模式允许的默认读取模式无*加密模式*明文模式*明文模式、加密模式 *如果新的读取模式不违反读取权限，可在SSD“属性”页面临时更改会话的读取模式。
注请注意以下方面： •安全XMLSNMP和不安全XMLSNMP管理通道的默认读取模式必须与各自的读取权限保持一致。
•只有安全XMLSNMP和不安全XMLSNMP管理通道才允许使用读取权限“无”；常规安全和不安全通道不允许使用读取权限“无”。
•在安全和不安全XML-SNMP管理通道中不包含敏感数据表示敏感数据将显示为0（即：空字符串或数字0）。
如果用户想查看敏感数据，则必须将规则更改为明文模式。
•默认情况下，带保密功能和安全通道上XML读取权限的SNMPv3用户将被视为第15级用户。
•在不安全XML和SNMP（不带保密功能的SNMPv1、v2和v3）通道上的SNMP用户将被视为“所有用户”。
•SNMP社团名称将不用作与SSD规则匹配的用户名。
•可通过配置用户名与SNMPv3用户名相匹配的SSD规则来控制特定SNMPv3用户的访问权限。
•必须始终至少有一条具有读取权限的规则：仅明文模式或所有模式，因为只有具有这些权限的用户才能访问SSD页面。
•在规则的默认读取模式和读取权限中所做的更改将生效，并将立即应用于受到影响的用户和所有处于活动状态的管理会话的通道，但不包括正在进行更改的会话，即使该规则适用于该会话。
当规则更改（添加、删除或编辑）后，系统将更新所有受到影响的CLI/GUI会话。
注当在会话登录时应用的SSD规则在该会话内部更改后，用户必须先退出，然后重新登录以查看更改的内容。
注在执行由XML或SNMP命令发起的文件传输时，优先使用的协议是TFTP。
因此，将应用不安全通道的SSD规则。
思科200系列智能型交换机管理指南 254 安全：安全敏感数据管理 SSD规则 22 SSD规则和用户验证 SSD将根据SSD规则，仅向经过验证和授权的用户授予SSD权限。
设备依靠其用户验证程序来验证和授予管理权限。
要保护设备和其数据（包括敏感数据和SSD配置），使其免遭未授权访问，我们建议在设备上执行用户验证程序。
要确保用户验证程序的顺利进行，您可以使用本地验证数据库，同时确保能够通过外部验证服务器（例如RADIUS服务器）进行安全通信。
外部验证服务器的安全通信配置作为敏感数据将受到SSD的保护。
注本地验证的数据库中的用户凭证已受到与SSD无关的机制的保护如果来自某通道的用户发布了一个使用备选通道的操作，则设备将应用SSD规则中与该用户凭证和备选通道相匹配的读取权限和默认读取模式。
例如，如果用户通过某安全通道登录并开始TFTP上传会话，则系统将应用不安全通道(TFTP)上用户的SSD读取权限默认SSD规则设备具有以下出厂默认规则：表
1 规则密钥用户第15级第15级第15级全部通道安全XMLSNMP安全不安全不安全XMLSNMP 全部安全全部不安全规则操作读取权限仅明文模式所有模式所有模式无仅加密模式仅加密模式默认读取模式明文模式加密模式加密模式无加密模式加密模式可以修改默认规则，但无法删除它们。
如果已更改SSD默认规则，则还可以将它们恢复。
SSD默认读取模式会话覆盖系统将根据用户的读取权限和默认读取模式，在会话中包含加密模式或明文模式的敏感数据。
只要默认读取模式不与会话的SSD读取权限相冲突，便可以临时覆盖它。
该更改将立即在当前会话中生效，直至出现下列情况： •用户再次进行更改。
•会话终止。
•应用于会话用户的SSD规则的读取权限将发生更改且将不再与该会话的当前读取模式兼容。
在这种情况下，该会话读取模式将返回该SSD规则的默认读取模式。
思科200系列智能型交换机管理指南 255 安全：安全敏感数据管理 SSD属性 22 SSD属性 SSD属性是一组参数，这些参数将与SSD规则一起定义和控制设备的SSD环境。
SSD环境由以下属性组成：•控制敏感数据的加密方式。
•控制配置文件的安全强度。
•控制当前会话内敏感数据的查看方式。
密码密码是SSD功能中安全机制的基础，用于为敏感数据的加密和解密生成密钥。
拥有相同密码的Sx200、Sx300、Sx500和SG500X/SG500XG/ESW2-550X系列交换机能够解密彼此的敏感数据，这些数据通常通过从密码中生成的密钥进行了加密。
密码必须符合以下规则： •长度-在8到16个字符之间。
•字符类别数-密码必须至少包含一个大写字符、一个小写字符、一个数字字符和一个特殊字符（例如： #、$）。
默认密码和用户定义的密码所有设备均提供开箱即用的默认密码，用户可以查看。
默认密码不会显示在配置文件或CLI/GUI中。
如果希望进一步加强保护和提高安全性，管理员应在设备上配置SSD以使用用户定义的密码而不是默认密码。
用户定义的密码应严格对外保密，以便有效保障设备上敏感数据的安全性。
用户定义的密码可以明文模式进行手动配置。
也可以衍生自配置文件。
（请参阅敏感数据零接触自动配置）。
设备始终会显示用户定义的加密密码。
本地密码设备将维护本地密码，该密码是设备当前配置的密码。
SSD通常会通过从本地密码生成的密钥执行敏感数据的加密和解密。
本地密码可配置为默认密码或用户定义的密码。
默认情况下，本地密码和默认密码是一致的。
可通过命令行界面（如可用）或基于Web的界面上的管理操作更改本地密码。
当启动配置成为设备的当前配置后，本地密码将自动更改为启动配置文件中的密码。
当设备重置回出厂默认配置后，本地密码将重置为默认密码。
思科200系列智能型交换机管理指南 256 安全：安全敏感数据管理 SSD属性 22 配置文件密码控制文件密码控制为用户定义的密码以及在基于文本的配置文件中通过从用户定义的密码生成的密钥来加密的敏感数据提供了进一步的保护。
以下是现有的密码控制模式： •无限制（默认情况下）-设备在创建配置文件时会将其密码包含在内。
这就使任何接受配置文件的设备都能从文件中学习密码。
•已限制-设备将限制向配置文件导入其密码。
已限制模式可防止没有密码的设备访问配置文件中加密的敏感数据。
如果用户不希望在配置文件中显示密码，则应使用该模式。
当设备重置回出厂默认配置后，其本地密码将重置为默认密码。
设备将因此无法解密任何加密的敏感数据，无论是基于从管理会话(GUI/CLI)输入的用户定义的密码加密的敏感数据，还是在任何带有限制模式的配置文件（包括设备重置回出厂默认配置前由其创建的文件）中加密的敏感数据。
这种情况将一直持续到通过用户定义的密码手动重新配置该设备或该设备从配置文件中学习用户定义的密码为止。
配置文件完整性控制用户可通过“配置文件完整性控制”创建配置文件，藉此使配置文件免遭破坏或修改。
我们建议当设备通过“无限制配置文件密码控制”使用用户定义的密码时应启用“配置文件完整性控制”。
!
注意对受完整性保护的配置文件所做的任何修改都将被视为对该文件的破坏。
设备可通过检查配置文件的“SSD控制”块中的“文件完整性控制”命令来确定配置文件的完整性是否受到了保护。
如果文件的完整性受到保护但设备却发现文件的完整性并不完整，则设备将拒绝该文件。
否则，将接受该文件以作进一步处理。
当基于文本的配置文件下载或复制到启动配置文件中时，设备将检查该文件的完整性。
读取模式每一会话都有一种读取模式。
这将决定敏感数据的显示方式。
读取模式可以为明文模式，敏感数据在其中将显示为常规文本；也可以为加密模式，敏感数据在其中将以加密的形式显示。
思科200系列智能型交换机管理指南 257 安全：安全敏感数据管理配置文件 22 配置文件配置文件中包含设备的配置。
设备中将包含一个当前配置文件、一个启动配置文件、一个镜像配置文件（可选）和一个备份配置文件。
用户可以将配置文件手动上传和下载到远程文件服务器上，反之亦可。
设备在使用DHCP进行自动配置时，可自动从远程文件服务器上下载其启动配置。
存储在远程文件服务器上的配置文件称为远程配置文件。
当前配置文件中含有设备正在使用的配置。
重启后，启动配置中的配置将变成当前配置。
当前配置文件和启动配置文件的格式均为内部格式。
镜像配置文件、备份配置文件和远程配置文件均为基于文本的文件，保留它们的目的通常是为了存档、记录或恢复。
在复制、上传和下载源配置文件的过程中，如果配置文件和目标文件的格式不同，设备会自动将源内容的格式转换成目标文件的格式。
文件SSD指示器在将当前配置文件或启动配置文件复制到基于文本的配置文件中时，设备会生成文件SSD指示器并将其置入基于文本的配置文件中，以显示文件中是含有加密的敏感数据、明文模式的敏感数据，还是不包含敏感数据。
•如果存在SSD指示器，则其必须置于配置标题文件中。
•不包含SSD指示器的基于文本的配置将视为其中不包含敏感数据。
•SSD指示器可用于强制执行基于文本的配置文件的SSD读取权限，但在将配置文件复制到当前配置文件或启动配置文件中时，可将其忽略。
在复制文件过程中，可根据用户的说明将文件中的SSD指示器设置为文件中包含机密模式或明文模式的敏感数据或不包含敏感数据。
SSD控制块如果用户要求在文件中包含敏感数据，则设备在从其启动配置文件或当前配置文件创建基于文本的配置文件时，会在该文件中插入一个SSD控制块。
SSD控制块可免遭破坏且其中含有正在创建该文件的设备的SSD规则和SSD属性。
SSD控制块以“ssd-control-start”开始，以“ssd-control-end”结束。
启动配置文件设备目前支持将当前配置文件、备份配置文件和远程配置文件复制到启动配置文件中。
重启后，启动配置中的配置将生效并变成当前配置。
用户可根据SSD读取权限和管理会话的当前SSD读取模式，在启动配置文件中检索加密模式或明文模式的敏感数据。
如果启动配置文件中的密码与本地密码不同，则将不包括启动配置中任何形式的敏感数据的读取权限。
思科200系列智能型交换机管理指南 258 安全：安全敏感数据管理配置文件 22 SSD在将备份配置文件、镜像配置文件和远程配置文件复制到启动配置中时会添加以下规则： •当设备重置回出厂默认配置后，其所有配置（包括SSD规则和属性）都将重置回默认配置。
•如果源配置文件中包含加密的敏感数据但缺少SSD控制块，则设备将拒绝该源文件且会造成复制失败。
•如果源配置文件中没有SSD控制块，启动配置文件中的SSD配置将重置回默认配置。
•如果源配置文件的SSD控制块中含有密码，且文件中加密的敏感数据并未通过SSD控制块中的密码生成的密钥进行加密，则设备将拒绝该源文件并会造成复制失败。
•如果源配置文件中含有SSD控制块且该文件的SSD完整性检查和/或文件完整性检查失败，则设备将拒绝该源文件并会造成复制失败。
•如果源配置文件的SSD控制块中部含有密码，则该文件中所有加密的敏感数据必须通过从本地密码生成的密钥进行加密，或通过从默认密码生成的密钥进行加密，但不能通过前述两种方式同时加密。
否则，设备将拒绝该源文件并会造成复制失败。
•无论是源配置文件中的SSD控制块还是启动配置文件，设备都会对密码、密码控制和文件完整性（如有）进行配置。
设备配置启动配置文件所用的密码将用于生成解密源配置文件中的敏感数据所需的密钥。
未发现的任何SSD配置都将重置回默认配置。
•如果源配置文件中含有SSD控制块，且该文件中含有明文模式的敏感数据但不含有SSD控制块中的SSD配置，则设备将接受该文件。
当前配置文件当前配置文件中含有设备正在使用的配置。
用户可根据SSD读取权限和管理会话的当前SSD读取模式，在当前配置文件中检索加密模式或明文模式的敏感数据。
用户可通过由CLI、XML和SNMP等产生的其他管理操作来复制备份配置文件或镜像配置文件，从而更改当前配置。
当用户直接更改当前配置中的SSD配置时，设备将应用以下规则： •如果已打开管理会话的用户没有SSD权限（即所有模式或仅明文模式的读取权限），则设备将拒绝所有的SSD命令。
•当从源文件进行复制时，既不会验证文件SSD指示器、SSD控制块完整性和SSD文件完整性，也不会增强它们。
•当从源文件进行复制时，如果源文件中的密码为明文模式，则复制将失败。
如果密码为加密模式，则忽略不计。
•当在当前配置中直接配置密码（非文件复制）时，必须以明文形式输入命令中的密码。
否则，命令将被拒绝。
•配置命令中所含的加密敏感数据将通过由本地密码生成的密钥进行加密，且配置命令将配置为当前配置。
否则，配置命令将显示错误并将不会纳入当前配置文件中。
思科200系列智能型交换机管理指南 259 安全：安全敏感数据管理配置文件 22 备份配置文件和镜像配置文件如果已启用自动镜像配置服务，设备将定期通过启动配置文件生成其镜像配置文件。
设备始终都会生成带有机密敏感数据的镜像配置文件。
因此，镜像配置文件中的文件SSD指示器会始终显示文件中是否含有加密的敏感数据。
默认情况下，自动镜像配置服务为启用状态。
要将自动镜像配置配置为启用或禁用，请单击管理>文件管理>配置文件属性。
用户可以按如下所述显示、复制和上传完整的镜像和备份配置文件以及会话中的当前读取模式以及源文件中的文件SSD指示器（根据SSD读取权限）： •如果镜像配置文件或备份配置文件中不含有文件SSD指示器，则所有用户均可访问该文件。
•具有“所有权限”读取权限的用户可访问所有的镜像配置文件和备份配置文件。
但是，如果会话的当前读取模式与文件SSD指示器不同，则用户会看到一个提示窗口，该窗口显示不允许进行该操作。
•如果具有“仅明文模式”权限的用户的文件SSD指示器显示“无”或“仅明文模式”敏感数据，则这些用户可以访问镜像和备份配置文件。
•如果具有“仅加密模式”权限的用户的文件SSD指示器显示“无”或“加密模式”敏感数据，则这些用户可以访问镜像和备份配置文件。
•如果具有“无”权限的用户的文件SSD指示器显示包含加密模式或明文模式的敏感数据，则这些用户不能访问镜像和备份配置文件。
用户不应手动更改与敏感数据有冲突的文件SSD指示器（若文件中存在）。
否则，可能会意外地明文显示敏感数据。
敏感数据零接触自动配置 SSD零接触自动配置是使用加密的敏感数据对目标设备进行自动配置，而无需使用密码（其密钥用于加密模式的敏感数据）对目标设备进行预先手动配置。
该设备目前支持自动配置，默认情况下即已启用。
如果设备已启用自动配置，将收到DHCP选项，指定文件服务器和引导文件，该设备会将引导文件（远程配置文件）从文件服务器下载至启动配置文件中，然后重启。
注文件服务器可由bootpsiaddr和sname字段以及DHCP选项150指定，也可以在设备上进行静态配置。
用户通过先从包含自动配置的设备中创建要在该配置中使用的配置文件，可以使用加密的敏感数据安全地对目标设备进行自动配置。
必须对设备进行配置和指引，以： •加密文件中的敏感数据 •提高文件内容的完整性 •包括安全的验证配置命令和SSD规则，正确控制和保护对设备和敏感数据的访问思科200系列智能型交换机管理指南 260 安全：安全敏感数据管理 SSD管理通道 22 如果配置文件使用用户密码生成，且SSD文件密码控制已受限，则可使用产生的配置文件对期望的目标设备进行自动配置。
但是，要想使用用户定义的密码成功进行自动配置，必须对目标设备进行预先手动配置，使其与生成该文件的设备使用相同的密码，此过程不是零接触。
如果创建该配置文件的设备处于未限制密码控制模式，则该设备在文件中已包括密码。
因此，用户可使用该配置文件对目标设备进行自动配置，包括并非开箱即用或者处于出厂默认设置的设备，而无需使用密码对目标设备预先进行手动配置。
这是零接触过程，因为目标设备可直接从配置文件学习密码。
注开箱即用或者处于出厂默认状态的设备使用默认的匿名用户访问SCP服务器。
SSD管理通道可通过、SSH和Web等管理通道对设备进行管理。
SSD根据通道的安全性和/或协议将其分成以下几类：安全、不安全、安全-XML-SNMP和不安全-XML-SNMP。
下面我们将介绍SSD认为每种管理通道安全与否。
如果认为该通道不安全，表中将会指出类似的安全通道。
管理通道 GUI/HTTPGUI/HTTPSXML/HTTPXML/HTTPS不带保密功能的SNMPv1/v2/v3带保密功能的SNMPv3 TFTPSCP（安全复制）基于HTTP的文件传输基于HTTPS的文件传输 SSD管理通道类型不安全安全不安全-XML-SNMP安全-XML-SNMP不安全-XML-SNMP 安全-XML-SNMP（第15级用户）不安全安全不安全安全类似的安全管理通道GUI/HTTPSXML/HTTPS安全-XML-SNMP SCP基于HTTPS的文件传输思科200系列智能型交换机管理指南 261 安全：安全敏感数据管理菜单CLI和密码恢复 22 菜单CLI和密码恢复只有读取权限为“所有模式”或“仅明文模式”的用户允许使用菜单CLI接口。
拒绝其他用户使用。
菜单CLI中的敏感数据始终以明文模式显示。
目前，密码恢复可从引导菜单激活，用户无需身份验证即可登录到终端。
如果支持SSD，只有当本地密码与默认密码相同时，才允许使用此选项。
如果设备已配置用户定义的密码，则该用户将不能激活密码恢复。
配置SSD 在以下页面中配置SSD功能：•在“属性”页面中设置SSD属性。
•在“SSD规则”页面中定义SSD规则。
SSD属性只有具有“仅明文模式”或“所有模式”SSD读取权限的用户允许设置SSD属性。
配置全局SSD属性的步骤：步骤1单击安全>安全敏感数据管理>属性。
将显示以下字段：•当前本地密码类型-显示当前正在使用的是默认密码还是用户定义的密码。
步骤2输入以下永久设置字段：•配置文件密码控制-按照配置文件密码控制中的说明选择选项。
•配置文件完整性控制-选择后，将启用此功能。
请参阅配置文件完整性控制。
步骤3为当前会话选择读取模式（请参阅SSD规则的内容）。
步骤4单击应用。
设置将保存到当前配置文件中。
更改本地密码的步骤：步骤1单击更改本地密码，然后输入新的本地密码：•默认-使用设备的默认密码。
•用户定义(明文模式)-输入新密码。
思科200系列智能型交换机管理指南 262 安全：安全敏感数据管理配置SSD •确认密码-确认新密码。
步骤2单击应用。
设置将保存到当前配置文件中。
22 SSD规则配置只有具有“仅明文模式”或“所有模式”SSD读取权限的用户允许设置SSD规则。
配置SSD规则的步骤：步骤1单击安全>安全敏感数据管理>SSD规则。
此时将显示当前定义的规则。
步骤2要添加新规则，请单击添加。
输入以下字段：•用户-此字段定义规则所应用的用户。
请选择以下其中一个选项： -特定用户-选择并输入此规则所应用的特定用户名（不一定非要定义此用户）。
-默认用户(cisco)-表示此规则所应用的默认用户。
-第15级-表示此规则应用于具有15级权限的所有用户。
-全部-表示此规则应用于所有用户。
•通道-此字段定义规则所应用的输入通道的安全级别：请选择以下其中一个选项：-安全-表示此规则仅应用于安全通道（Console、SCP、SSH和HTTPS），不包括SNMP和XML通道。
-不安全-表示此规则仅应用于不安全通道（、TFTP和HTTP），不包括SNMP和XML通道。
-安全XMLSNMP-表示此规则仅应用于带保密功能的XMLoverHTTPS和SNMPv3。
-不安全XMLSNMP-表示此规则仅应用于不带保密功能的XMLoverHTTP或/和SNMPv1/v2与 SNMPv3。
•读取权限-读取权限与规则相关联。
这些权限可分为以下类别： -无-级别最低的读取权限。
用户不允许以任何形式获取敏感数据。
-仅明文模式-高于上述级别的读取权限。
用户只允许以明文模式获取敏感数据。
-仅加密模式-中等级别的读取权限。
用户只允许以加密模式获取敏感数据。
-所有模式(明文模式和加密模式)-级别最高的读取权限。
如果用户同时具有加密模式和明文模式权限，可允许以加密模式和明文模式获取敏感数据。
思科200系列智能型交换机管理指南 263 安全：安全敏感数据管理配置SSD 22 •默认读取模式-所有默认读取模式需遵循规则的读取权限。
存在以下选项，但根据规则的读取权限，有些选项可能会被拒绝。
-无-不允许读取敏感数据。
-加密模式-敏感数据以加密模式提供。
-明文模式-敏感数据以明文模式提供。
步骤3单击应用。
设置将保存到当前配置文件中。
步骤4可以对选定的规则执行以下操作： •添加、编辑或删除规则•恢复为默认设置-将用户修改的默认规则恢复为默认规则。
思科200系列智能型交换机管理指南 264 服务质量 23 在整个网络中应用服务质量功能，可确保根据所需条件设置网络流量的优先级，从而优先处理所需的流量。
本节包含以下主题： •QoS功能和组件•配置QoS-一般•管理QoS统计信息 QoS功能和组件 QoS功能可用于优化网络性能。
QoS可实现： •根据以下属性将传入流量分为不同的流量类：-设备配置-入口接口-数据包内容-以上属性的组合 QoS包括：•流量分类-根据数据包内容和/或端口，将每个传入数据包分类为属于特定数据流。
分配至硬件队列-将传入数据包分配给转发队列。
数据包所属流量类所具有的功能会将数据包发送到特定的队列进行处理。
请参阅配置QoS队列。
•其他流量类处理属性-将QoS机制应用到各种类，包括带宽管理。
思科200系列智能型交换机管理指南 265 服务质量配置QoS-一般 23 QoS操作使用QoS功能时将对类相同的所有流量进行相同的处理，其中包括根据传入帧中指明的QoS值确定出口端口上的出口队列的唯一QoS操作。
这是第2层中的VLAN优先级标记(VPT)802.1p值和第3层中的IPv4差分服务代码点(DSCP)值或IPv6流量类(TC)值。
在基本模式下工作时，设备信任此外部分配的QoS值。
数据包的外部分配QoS值将决定其流量类和QoS。
QoS工作流程要配置一般QoS参数，请执行以下操作：步骤1通过使用“QoS属性”页面选择信任模式来启用QoS。
然后使用“接口设置”页面在端口上启用QoS。
步骤2使用“QoS属性”页面为每个接口指定一个默认的CoS或DSCP优先级。
步骤3使用“队列”页面为出口队列指定调度方法（“严格优先级”或“WRR”）及WRR 的带宽分配。
步骤4使用“DSCP到队列”页面，为每个IPDSCP/TC值指定一个出口队列。
如果设备处于DSCP信任模式，则会根据传入数据包的DSCP/TC值将传入数据包放入出口队列。
步骤5为每个CoS/802.1p优先级指定一个出口队列。
如果设备处于CoS/802.1信任模式，则会根据传入数据包中的CoS/802.1p优先级将所有传入数据包放入指定的出口队列。
此项操作可使用“CoS/802.1p到队列”页面完成。
步骤6在以下页面中输入带宽和速率限制：a.使用“每队列出口整形”页面设置每队列的出口整形。
b.使用“带宽”页面设置每端口的入口速率限制和出口整形速率。
配置QoS-一般 “QoS属性”页面包含用于启用QoS并选择要使用的信任模式的字段。
此外，还可以使用该页面来定义每个接口的默认CoS优先级或DSCP值。
思科200系列智能型交换机管理指南 266 服务质量配置QoS-一般 23 设置QoS属性启用QoS的步骤：步骤1单击服务质量>一般>QoS属性。
步骤2在设备上启用QoS。
步骤3选择一种信任模式（CoS/802.1p或DSCP）步骤4通过选中相应框启用“覆盖入口DSCP”，然后单击应用。
步骤5如果您选择了DSCP，转至步骤6；如果选择了CoS，则继续进行下一步操作。
步骤6选择端口/LAG并单击转至以显示/修改设备上的所有端口/LAG及其CoS信息。
以下字段会对所有端口/LAG显示：•接口-接口类型。
•默认CoS-不包含VLAN标记的传入数据包的默认VPT值。
默认CoS为
0。
该默认值仅在选择了“信任CoS”时对Untagged帧有效。
选择恢复默认设置会为此接口还原出厂CoS默认设置。
步骤7单击DSCP覆盖表输入DSCP值。
步骤8“传入DSCP”会显示需要重新标记为替代值的传入数据包DSCP值。
选择可取代传入值的新DSCP值。
选择“恢复默认设置”可恢复出厂DSCP值。
步骤9单击应用。
将更新当前配置文件。
要在接口上设置QoS，先选择该接口，然后单击编辑。
步骤1输入参数。
•接口-选择端口或LAG。
•默认CoS-选择要为不包含VLAN标记的传入数据包指定的默认CoS（服务等级）值。
步骤2单击应用。
接口默认CoS值将保存至当前配置文件。
思科200系列智能型交换机管理指南 267 服务质量配置QoS-一般 23 接口QoS设置使用“接口设置”页面可在设备的每个端口上配置QoS，如下所示：已在接口上禁用QoS状态-端口上的所有入口流量均被映射到尽力服务队列，并且不进行任何分类/优先级划分。
已启用端口的QoS状态-端口将根据在整个系统中配置的信任模式（CoS/802.1p信任模式或DSCP信任模式），为入口流量设置优先级。
输入每个接口的QoS设置的步骤：步骤1单击服务质量>一般>接口设置。
步骤2选择端口或LAG以显示端口或LAG列表。
会显示端口/LAG的列表。
QoS状态会显示是否在接口上启用了QoS。
步骤3选择一个接口，并单击编辑。
步骤4选择端口或LAG接口。
步骤5单击以针对该接口启用或禁用QoS状态。
步骤6单击应用。
将更新当前配置文件。
配置QoS队列有两种方式可确定队列中流量的处理方式：“严格优先级”和“加权轮循(WRR)”。
•严格优先级-最先传输最高优先级队列中的出口流量。
最高优先级队列传输完毕后，才会处理更低优先级队列中的流量，从而为编号最高的队列提供最高的流量处理优先级。
•加权轮循(WRR)-在WRR模式下，从队列发送的数据包数量与队列加权成正比（加权越高，发送的帧越多）。
例如，如果最多只可能有四个队列且四个队列都为WRR模式且使用默认加权，则队列1将接收1/15的带宽（假设所有队列均饱和且存在拥塞）、队列2接收2/15的带宽、队列3接收4/15的带宽、队列4接收8/15的带宽。
设备中使用的WRR算法类型并非标准的DeficitWRR(DWRR)，而是ShapedDeficitWRR(SDWRR)。
排队模式可以在“队列”页面中选择。
如果排队模式为“严格优先级”，则优先级将决定处理队列的顺序，从队列4或队列8（最高优先级队列）开始处理，每当完成一个队列后就继续处理下一优先级的队列。
如果排队模式为“加权轮循”，则会按照配额处理队列，在一个队列的配额用尽后开始处理另一个队列。
思科200系列智能型交换机管理指南 268 服务质量配置QoS-一般 23 也可以将部分较低优先级的队列指定为WRR模式，同时保持部分较高优先级的队列为“严格优先级”模式。
在这种情况下，“严格优先级”队列中的流量会始终先于WRR队列中的流量发送。
仅当“严格优先级”队列中的流量发送完毕后才会转发WRR队列中的流量。
（每个WRR队列的相对配额取决于其加权）。
选择优先级方法及输入WRR数据的步骤：步骤1单击服务质量>一般>队列。
步骤2输入参数。
•队列-显示队列编号。
•调度方法：请选择以下其中一个选项：-严格优先级-针对所选队列及所有更高优先级队列的流量调度将严格遵循队列优先级。
-WRR-针对所选队列的流量调度将遵循WRR。
在不为空的WRR队列（表示队列具有要输出的描述符）之间划分时段。
仅当“严格优先级”队列为空时，才会采用此方法。
-WRR加权-如果选择了WRR，请输入为队列分配的WRR加权。
-WRR带宽百分比-显示已为队列分配的带宽。
这些值表示WRR加权的百分比。
步骤3单击应用。
将配置队列，并更新当前配置文件。
将CoS/802.1p映射到队列使用“CoS/802.1p到队列”页面，可以将802.1p优先级映射到出口队列。
“CoS/802.1p到队列表”可根据传入数据包VLAN标记中的802.1p优先级确定数据包的出口队列。
对于传入的Untagged数据包，802.1p优先级是指定给入口端口的默认CoS/802.1p优先级。
下表介绍4个队列时的默认映射： 802.1p值（0-7，7为最高优先）队列（4个队列1-4，4为最高优先级）
0 1
1 1
2 2
3 3
4 3 注后台尽力服务最大努力关键应用-LVS电话SIP视频思科200系列智能型交换机管理指南 269 服务质量配置QoS-一般 23 802.1p值（0-7，7为最高优先）队列（4个队列1-4，4为最高优先级）
5 4
6 4
7 4 注语音-默认思科IP电话交互操作控制-LVS电话RTP网络控制通过更改“CoS/802.1p到队列”映射（CoS/802.1p到队列）和队列调度方法及带宽分配（“队列”页面），可以在网络中达到所需的服务质量。
“CoS/802.1p到队列”映射仅在CoS/802.1p为信任模式并且数据包属于CoS信任数据流时才适用。
队列1的优先级最低，队列4或8的优先级最高。
将CoS值映射到出口队列的步骤：步骤1单击服务质量>一般>CoS/802.1p到队列。
步骤2输入参数。
•802.1p-显示要指定给出口队列的802.1p优先级标记值，其中0为最低优先级，7为最高优先级。
•输出队列-选择802.1p优先级所映射的出口队列。
支持4或8个出口队列，其中队列4或队列8优先级最高，队列1优先级最低。
步骤3针对每个802.1p优先级，选择它所映射的出口队列。
步骤4单击应用、取消或恢复默认设置。
801.1p优先级值将映射到队列，并更新当前配置文件，输入的更改将取消或恢复之前定义的值。
将DSCP映射到队列使用“DSCP（IP差分服务代码点）到队列”页面，可以将DSCP值映射到出口队列。
“DSCP到队列表”可根据传入IP数据包的DSCP值确定数据包的出口队列。
数据包的原始VPT（VLAN优先级标记）不会发生更改。
只需更改“DSCP到队列”映射和队列调度方法及带宽分配，即可在网络中达到所需的服务质量。
“DSCP到队列”映射仅当DSCP为信任模式时适用于IP数据包。
非IP数据包始终分类为尽力服务队列。
思科200系列智能型交换机管理指南 270 服务质量配置QoS-一般以下各表介绍4队列系统的默认DSCP到队列映射： DSCP 63 55 47 39 31 23 15
7 队列
3 3
4 3
3 2
1 1 DSCP 62 54 46 38 30 22 14
6 队列
3 3
4 3
3 2
1 1 DSCP 61 53 45 37 29 21 13
5 队列
3 3
4 3
3 2
1 1 DSCP 60 52 44 36 28 20 12
4 队列
3 3
4 3
3 2
1 1 DSCP 59 51 43 35 27 19 11
3 队列
3 3
4 3
3 2
1 1 DSCP 58 50 42 34 26 18 10
2 队列
3 3
4 3
3 2
1 1 DSCP 57 49 41 33 25 17
9 1 队列
3 3
4 3
3 2
1 1 DSCP 56 48 40 32 24 16
8 0 队列
3 3
4 3
3 2
1 1 将DSCP映射到队列的步骤：步骤1单击服务质量>一般>DSCP到队列。
“DSCP到队列”页面包含入口DSCP。
它将显示传入数据包中的DSCP值及其关联类。
步骤2选择DSCP值所映射的出口队列（流量转发队列）。
步骤3选择“RestoreDefaults”会为此接口还原出厂CoS默认设置。
步骤4单击应用。
将更新当前配置文件。
23 思科200系列智能型交换机管理指南 271 服务质量配置QoS-一般 23 配置带宽使用“带宽”页面，用户可以定义两组值（入口速率限制和出口整形速率）来确定系统可以接收和发送的流量。
入口速率限制是入口接口每秒能够接收的位数。
超过此限制的带宽将被丢弃。
为出口整形输入以下值： •承诺的信息传输速率(CIR)设置允许在出口接口上发送的平均最大数据量，以“位/秒”为单位•承诺突发数据大小(CBS)，即允许发送的突发数据量（即使数据量超出CIR也会照常发送）。
该值以数据字节数定义。
输入带宽限制的步骤：步骤1单击服务质量>一般>带宽。
“带宽”页面会显示每个接口的带宽信息。
%列为端口带宽除以总端口带宽所得的入口速率限制。
步骤2选择一个接口，并单击编辑。
步骤3选择端口或LAG接口。
步骤4针对选择的接口，为以下字段输入值：•入口速率限制-选择该选项将启用入口速率限制，该限制在下面的字段中定义。
•入口速率限制-输入接口所允许的最大带宽。
注当接口类型为LAG时，不会显示这两个入口速率限制字段。
•入口承诺突发数据大小(CBS)-以数据字节数的形式输入入口接口的最大突发数据大小。
即使此数据量会暂时增大带宽，使其超出允许的限制，仍可发送这些数据。
该字段仅在接口为端口时可用。
•出口整形速率-选择该选项将在接口上启用出口整形。
•承诺的信息传输速率(CIR)-输入出口接口的最大带宽。
•出口承诺突发数据大小(CBS)-以数据字节数的形式输入出口接口的最大突发数据大小。
即使此数据量会暂时增大带宽，使其超出允许的限制，仍可发送这些数据。
步骤5单击应用。
带宽设置将写入当前配置文件。
思科200系列智能型交换机管理指南 272 服务质量管理QoS统计信息 23 配置每队列的出口整形除限制每端口的传输速率（在“带宽”页面中完成）之外，设备还可以在每队列每端口基础上，限制所选出站帧的传输速率。
出口速率限制由输出负载整形功能执行。
设备将限制除管理帧以外的所有帧。
在速率计算中将忽略所有未限制的帧，表示其大小不包括在总限制之内。
可以禁用每队列出口速率整形功能。
定义每队列出口整形功能的步骤：步骤1单击服务质量>一般>每队列出口整形。
“每队列出口整形”页面会显示每队列的速率限制和突发数据大小。
步骤2选择接口类型（端口或LAG），然后单击转至。
步骤3选择一个端口/LAG，然后单击编辑。
使用该页面可对每个接口上最多八个队列的出口进行整形。
步骤4选择接口。
步骤5针对每个所需队列，为以下字段输入值：•启用整形-选择该选项可针对队列启用出口整形功能。
•承诺的信息传输速率(CIR)-以千位每秒(Kbps)为单位输入最大速率(CIR)。
CIR是能够发送的平均最大数据量。
•承诺突发数据大小(CBS)-以字节为单位输入最大突发数据量(CBS)。
CBS是在突发数据量超过CIR的情况下允许发送的最大突发数据量。
步骤6单击应用。
带宽设置将写入当前配置文件。
•默认CoS-不包含VLAN标记的传入数据包的默认VPT值。
默认CoS为
0。
该默认值仅在选择了“信任CoS”时对Untagged帧有效。
步骤7选择恢复默认设置会为此接口还原出厂CoS默认设置。
管理QoS统计信息您可以从此页面管理队列统计信息。
思科200系列智能型交换机管理指南 273 服务质量管理QoS统计信息 23 查看队列统计信息 “队列统计信息”页面会根据接口、队列和丢弃优先级显示队列统计信息，包括已转发和已丢弃的数据包的统计信息。
查看队列统计信息的步骤：步骤1单击服务质量>QoS统计信息>队列统计信息。
此页面显示了以下字段： •刷新速率-选择刷新接口以太网统计信息的间隔时间。
可用选项有：-无刷新-不刷新统计信息。
-15秒-每隔15秒刷新统计信息。
-30秒-每隔30秒刷新统计信息。
-60秒-每隔60秒刷新统计信息。
•计数器设置-选项如下：-设置1-显示“设置1”（包含所有具有高DP[丢弃优先级]的接口和队列）的统计信息。
-设置2-显示“设置2”（包含所有具有低DP的接口和队列）的统计信息。
•接口-显示此接口的队列统计信息。
•队列-从此队列转发的数据包或丢弃的尾部数据包。
•丢弃优先级-最低的丢弃优先级表示被丢弃的优先级最低。
•数据包总数-被转发的数据包或被丢弃的尾部数据包的数量。
•丢弃的尾部数据包-被丢弃的尾部数据包所占的百分比。
步骤2单击添加。
步骤3输入参数。
•计数器设置-选择计数器集：-设置1-显示“设置1”（包含所有具有高DP[丢弃优先级]的接口和队列）的统计信息。
-设置2-显示“设置2”（包含所有具有低DP的接口和队列）的统计信息。
•接口-选择要显示其统计信息的端口。
选项如下：-端口-选择所选单元号上要显示其统计信息的端口。
-全部端口-指定将显示所有端口的统计信息。
思科200系列智能型交换机管理指南 274 服务质量管理QoS统计信息 •队列-选择要显示其统计信息的队列。
•丢弃优先级-输入丢弃优先级，以表示被丢弃的优先级。
步骤4单击应用。
将添加队列统计信息计数器，并更新当前配置文件。
23 思科200系列智能型交换机管理指南 275 24 SNMP 本节介绍简单网络管理协议(SNMP)功能，该功能提供了一种管理网络设备的方法。
其中包含以下主题： •SNMP版本和工作流程•型号OID•SNMP引擎ID•配置SNMP视图•创建SNMP组•管理SNMP用户•定义SNMP社区•定义陷阱设置•通知接收设备•SNMP通知过滤器 SNMP版本和工作流程设备可作为SNMP代理，并且支持SNMPv1、v2和v3。
交换机还会使用支持的MIB（管理信息库）中定义的Trap，将系统事件报告给Trap接收器。
SNMPv1和v2 为控制对系统的访问，系统中会定义一个社区条目列表。
每个社区条目由一个社区字符串及其访问权限组成。
系统仅会对指定具有恰当权限和正确操作的社团的SNMP消息作出响应。
SNMP代理会维护用于管理设备的变量列表。
这些变量在管理信息库(MIB)中定义。
注由于其他版本具有安全漏洞，因此建议使用SNMPv3。
思科200系列智能型交换机管理指南 276 SNMP SNMP版本和工作流程 24 SNMPv3 除具备SNMPv1和v2提供的功能外，SNMPv3还可将访问控制和新的Trap机制应用到SNMPv1和SNMPv2PDU。
SNMPv3还可定义用户安全模式(USM)，该模式包括： •验证-提供数据完整性和数据源验证。
•隐私-防止消息内容泄露。
使用密码块链接(CBC-DES)技术进行加密。
可以只对SNMP消息启用验证功能，也可以一并启用验证和保密功能。
但无法在不启用验证功能的情况下单独启用保密功能。
•时效性-防止消息延迟或反演攻击。
SNMP代理会将传入消息的时间戳与消息的到达时间进行比较。
SNMP工作流程注出于安全方面的考虑，默认情况下应禁用SNMP。
必须先在“安全>TCP/UDP服务”页面打开SNMP，才能通过SNMP管理设备。
建议使用下面的一系列操作来配置SNMP：如果决定使用SNMPv1或v2，请执行以下操作：步骤1导航至“SNMP->社团”页面并单击添加。
可以将该社区与访问权限和视图相关联（在基本模式下），也可以将其与组相关联（在高级模式下）。
有两种方式可以定义社区的访问权限： •基本模式-可以将社区的访问权限配置为“只读”、“读写”或“SNMP管理”。
此外，还可以将社团的访问权限限制为只能通过视图访问特定的MIB对象。
视图在“视图”页面中定义。
•高级模式-社区的访问权限由组定义（在“组”页面中定义）。
可以使用特定的安全模式来配置组。
组的访问权限为“读取”、“写入”和“通知”。
步骤2选择是将SNMP管理站点限制在一个地址，还是允许来自所有地址的SNMP管理。
如果选择将SNMP管理限制在一个地址，则在“IP地址”字段中输入SNMP管理PC的地址。
步骤3在“社区字符串”字段中输入唯一的社区字符串。
步骤4使用“Trap设置”页面启用Trap（可选）。
步骤5使用“通知过滤器”页面定义通知过滤器（可选）。
步骤6在“通知接收设备SNMPv1，2”页面配置通知接收设备。
思科200系列智能型交换机管理指南 277 SNMP 型号OID 24 如果决定使用SNMPv3，请执行以下操作：步骤1使用“引擎ID”页面定义SNMP引擎。
可创建唯一引擎ID或使用默认引擎ID。
应用引擎ID配置会清除SNMP数据库。
步骤2使用“视图”页面定义SNMP视图（可选）。
这会限制社团或组可用的OID范围。
步骤3使用“组”页面定义组。
步骤4使用“SNMP用户”页面定义用户，在该页面中可以将用户与组相关联。
如果未设置 SNMP引擎ID，那么将无法创建用户。
步骤5使用“Trap设置”页面启用或禁用Trap（可选）。
步骤6使用“通知过滤器”页面定义通知过滤器（可选）。
步骤7使用“通知接收设备SNMPv3”页面定义通知接收设备。
支持的MIB 如需支持的MIB列表，请访问以下URL，并导航到名为思科MIBS的下载区域：型号OID 以下为设备型号对象ID(OID)：型号名称SG200-18SG200-26SG200-26PSG200-50SG200-50PSF200-24SF200-24P 说明16个GE端口+2个GE特殊用途组合端口24个GE端口+2个GE特殊用途组合端口24个GE端口+2个GE特殊用途组合端口48个GE端口+2个GE特殊用途组合端口48个GE端口+2个GE特殊用途组合端口24个FE端口+2个GE特殊用途组合端口24个FE端口+2个GE特殊用途组合端口对象ID9.6.1.88.18.19.6.1.88.26.19.6.1.88.26.29.6.1.88.50.19.6.1.88.50.29.6.1.87.24.19.6.1.87.24.2 思科200系列智能型交换机管理指南 278 SNMP SNMP引擎ID 24 型号名称SF200-48SF200-48P SG200-10FPSF200-24FPSG200-26FPSG200-50FP 说明48个FE端口+2个GE特殊用途组合端口FE1-FE48，GE1-GE4。
48个FE端口+2个GE特殊用途组合端口10端口千兆PoE智能型交换机24端口10/100PoE智能型交换机26端口千兆PoE智能型交换机50端口千兆PoE智能型交换机对象ID9.6.1.87.48.19.6.1.87.48.2 9.6.1.88.10.39.6.1.88.24.39.6.1.88.26.39.6.1.88.50.3 专用对象ID被置于enterprises
(1).cisco
(9).otherEnterprises
(6).ciscosb
(1).switch001(101)下面。
SNMP引擎ID 引擎ID由SNMPv3实体用来唯一标识其自身。
SNMP代理被视为权威SNMP引擎。
这表示该代理会响应传入消息（"Get"、"GetNext"、"GetBulk"、"Set"），并将Trap消息发送给管理器。
该代理的本地信息会封装在消息的字段中。
每个SNMP代理都会保留SNMPv3消息交换中使用的本地信息。
默认的SNMP引擎ID由企业编号和默认MAC地址组成。
引擎ID对于管理域必须唯
一，以便在一个网络中不会出现拥有相同引擎ID的两个设备。
本地信息存储在以下四个只读MIB变量中：snmpEngineId、snmpEngineBoots、snmpEngineTime和snmpEngineMaxMessageSize。
!
注意如果引擎ID发生更改，将会删除所有已配置的用户和组。
定义SNMP引擎ID的步骤：步骤1单击SNMP>引擎ID。
步骤2选择用于本地引擎ID的选项。
•使用默认设置-选择该选项将使用设备生成的引擎ID。
默认的引擎ID以设备MAC地址为基础，并且根据标准进行定义，具体如下：-前4个八位字节-第一位=
1，其余为IANA企业编号。
-第五个八位字节-设置为3以表示随后的MAC地址。
-后6个八位字节-设备的MAC地址。
思科200系列智能型交换机管理指南 279 SNMP 配置SNMP视图 24 •无-不使用引擎ID。
•用户定义-输入本地设备引擎ID。
该字段值是一个十六进制字符串（范围为10-64)。
该十六进制字符串中的每个字节都由两个十六进制数字表示。
所有远程引擎ID及其IP地址均显示在远程引擎ID表中。
步骤3单击应用。
将更新当前配置文件。
远程引擎ID表显示引擎的IP地址与引擎ID之间的映射。
添加引擎ID的IP地址的步骤：步骤4单击添加。
输入以下字段：•服务器定义-选择是按照IP地址还是名称来指定引擎ID服务器。
•IP版本-选择支持的IP格式。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下： -链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口（如果选择的IPv6地址类型为“链路本地”）。
•服务器IP地址/名称-输入日志服务器的IP地址或域名。
•引擎ID-输入引擎ID。
步骤5单击应用。
将更新当前配置文件。
配置SNMP视图视图是MIB子树集合的用户定义标签。
每个子树ID均由相应子树根节点的对象ID(OID)定义。
可以使用熟悉的名称来指定所需子树的根，也可以输入OID（请参阅型号OID）。
每个子树要么包括在所定义的视图中，要么被排除在该视图之外。
使用“视图”页面可创建和编辑SNMP视图。
默认视图（“默认”、“DefaultSuper”）无法更改。
可以在“组”页面中将视图绑定到组，或通过“社团”页面将视图绑定到使用基本访问模式的社团。
思科200系列智能型交换机管理指南 280 SNMP 创建SNMP组 24 定义SNMP视图的步骤：步骤1单击SNMP>视图。
步骤2单击添加定义新视图。
步骤3输入参数。
•视图名称-输入视图名称（长度为0到30个字符）。
•对象ID子树-选择MIB树中包括在所选SNMP视图中或被排除在该视图之外的节点。
用于选择对象的选项如下：-从列表中选择-使用该选项可以导航MIB树。
按向上箭头可前往所选节点的父节点层或兄弟节点层；按向下箭头可进入所选节点的子节点层。
单击视图中的节点可从一个节点到达其兄弟节点。
使用滚动条可在视图中显示兄弟节点。
-用户定义-输入从列表中选择选项中未提供的OID（如果需要）。
步骤4选择或取消选择包含在视图中。
如果选择了此项，会将选定的MIB包含在视图中，否则不会包含这些MIB。
步骤5单击应用。
步骤6要验证您的视图配置，请从过滤器：视图名称列表中选择用户定义的视图。
默认情况下，存在以下视图：•默认-可读和可读写视图的默认SNMP视图。
•DefaultSuper-管理员视图的默认SNMP视图。
可以添加其他视图。
•对象ID子树-显示要包括在SNMP视图中或要排除在该视图之外的子树。
•对象ID子树视图-显示是否将已定义的子树包括在所选的SNMP视图中或排除在该视图之外。
创建SNMP组在SNMPv1和SNMPv2中，社区字符串会随SNMP帧一起发送。
社区字符串将作为访问SNMP代理的密码。
但是，帧和社区字符串均未加密。
因此SNMPv1和SNMPv2不安全。
在SNMPv3中，可配置以下安全机制。
•验证-设备会检查SNMP用户是否是获授权的系统管理员。
该验证会针对每个帧进行。
•隐私-SNMP帧可以传输加密数据。
思科200系列智能型交换机管理指南 281 SNMP 创建SNMP组 24 因此，在SNMPv3中，存在以下三个安全等级：•无安全验证（不验证且无隐私）•验证（验证且无隐私）•验证和隐私 SNMPv3提供了一种方式来控制每个用户能够读取或写入的内容，以及他们会收到的通知。
组将定义读/写权限和安全等级。
与SNMP用户或社区关联时便可运行。
注要将非定义视图关联至组，请先在“视图”页面中创建一个视图。
创建SNMP组的步骤：步骤1单击SNMP>组。
此页面包含现有的SNMP组及其安全等级。
步骤2单击添加。
步骤3输入参数。
•组名称-输入新的组名称。
•安全模式-选择要应用到该组的SNMP版本（SNMPv1、v2或v3）。
可以定义三种类型的具有多种安全等级的视图。
对于每种安全等级，可通过输入以下字段针对“读取”、“写入”和“通知”权限选择视图：•启用-选择此字段可启用“安全等级”。
•安全等级-定义要应用到该组的安全等级。
SNMPv1和SNMPv2不支持“验证”和“隐私”。
如果选择了SNMPv3，则选择以下选项之一：-不验证且无隐私-既不为组指定“验证”安全等级，也不为其指定“隐私”安全等级。
-验证且无隐私-验证SNMP消息，并确保SNMP消息源经过验证，但不对消息加密。
-验证和隐私-验证SNMP消息并对它们加密。
•视图-选择将视图与组的访问权限（读取、写入和/或通知）相关联可将MIB树的范围限制在组具有访问权限（读取、写入和通知）的范围内。
-读取-所选视图的管理访问权限为只读。
否则，与该组关联的用户或社区将能够读取除控制SNMP本身的MIB之外的所有MIB。
-写入-所选视图的管理访问权限为可写。
否则，与该组关联的用户或社区将能够写入除控制SNMP本身的MIB之外的所有MIB。
思科200系列智能型交换机管理指南 282 SNMP 管理SNMP用户 24 -通知-将Trap可用的内容限制在选定视图包含的范围内。
否则，将不对Trap内容进行限制。
只能针对SNMPv3选择该选项。
步骤4单击应用。
SNMP组将保存至当前配置文件中。
管理SNMP用户 SNMP用户由登录凭证（用户名、密码和验证方法），及其工作（通过与组和引擎ID关联实现）的环境和范围定义。
经过配置的用户具有其组的属性，并具有在关联的视图中配置的访问权限。
网络管理员可使用组将访问权限分配给整组用户而非单个用户。
一个用户只能属于一个组。
要创建SNMPv3用户，必须先满足以下条件： •事先在设备上配置一个引擎ID。
此项操作可在“引擎ID”页面中完成。
•必须有一个可用的SNMPv3组。
可在“组”页面中定义SNMPv3组。
显示SNMP用户和定义新用户的步骤：步骤1单击SNMP>用户。
此页面包含现有用户。
步骤2单击添加。
此页面将提供有关将SNMP访问控制权限指定给SNMP用户的信息。
步骤3输入参数。
•用户名-为该用户输入名称。
•引擎ID-选择该用户要连接的本地或远程SNMP实体。
更改或删除本地SNMP引擎ID会删除SNMPv3 用户数据库。
要想一并接收通知消息和请求信息，必须定义本地和远程两种用户。
-本地-该用户将连接到本地设备。
-远程IP地址-用户除本地设备之外，还将连接其他SNMP实体。
如果定义了远程引擎ID，则远程设备可以接收通知消息，但无法请求信息。
输入远程引擎ID。
思科200系列智能型交换机管理指南 283 SNMP 定义SNMP社区 24 •组名称-选择该SNMP用户所属的SNMP组。
SNMP组在“添加组”页面中定义。
注属于已删除的组的用户仍会保留，但会处于非活动状态。
•验证方法-选择会根据分配的组名称而变化的验证方法。
如果组不需要验证，则用户无法配置任何验证。
选项如下：-无-不使用用户验证。
-MD5-通过MD5验证方法生成密钥所使用的密码。
-SHA-通过SHA（安全散列算法）验证方法生成密钥所使用的密码。
•验证密码-如果通过MD5或SHA密码实施验证，请在加密模式或明文模式下输入本地用户密码。
系统会将本地用户密码与本地数据库进行比较，本地用户密码最多可以包含32个ASCII字符。
•隐私方法-选择以下选项之一：-无-未加密私有密码。
-DES-根据数据加密标准(DES)加密私有密码。
•私有密码-如果选择了DES隐私方法，则需要16个字节（DES加密密钥）。
此字段的长度必须是32个十六进制字符。
可以选择加密或明文模式。
步骤4单击应用保存您的设置。
定义SNMP社区 SNMPv1和SNMPv2中的访问权限通过在“社团”页面中定义社团进行管理。
社区名称是在SNMP管理站点和设备之间共享的一种密码。
该名称用于验证SNMP管理站点。
由于SNMPv3面向用户而非社区，因此社区只能在SNMPv1和v2中定义。
用户属于具有访问权限的组。
通过“社团”页面可以将社团与访问权限相关联，可以直接关联（基本模式），也可以通过组进行关联（高级模式）。
•基本模式-可以将社区的访问权限配置为“只读”、“读写”或“SNMP管理”。
此外，还可以将社团的访问权限限制为只能通过视图访问特定的MIB对象。
视图在“SNMP视图”页面中定义。
•高级模式-社区的访问权限由组定义（在“组”页面中定义）。
可以使用特定的安全模式来配置组。
组的访问权限为“读取”、“写入”和“通知”。
思科200系列智能型交换机管理指南 284 SNMP 定义SNMP社区 24 定义SNMP社区的步骤：步骤1单击SNMP>社区。
此页面包含记录已配置的SNMP社团及其属性的表格。
步骤2单击添加。
使用此页面，网络管理员可以定义和配置新的SNMP社团。
步骤3SNMP管理站点-单击用户定义，输入可以访问SNMP社区的管理站点IP地址。
单击全部，表示任何IP设备均可以访问该SNMP社区。
•IP版本-选择IPv4或IPv6。
•IPv6地址类型-选择支持的IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-如果IPv6地址类型为“链路本地”，请选择通过VLAN还是ISATAP接收。
•IP地址-输入SNMP管理站点IP地址。
•社区字符串-输入用于验证设备管理站点的社区名称。
•基本-为所选社区选择此模式。
在此模式下，不存在到任何组的连接。
您可以只选择社区访问级别（“只读”、“读写”或“管理”），也可以进一步授予社区对特定视图的访问权限。
默认情况下，该模式会应用到整个MIB。
如果选择该模式，请为以下字段输入值：-访问模式-选择社区的访问权限。
选项如下：只读-将管理访问权限限制为只读。
不能更改社区。
读写-管理访问权限为可读写。
可以对设备配置进行更改，但不能更改社区。
SNMP管理-用户具有所有设备配置选项的访问权限，以及修改社区的权限。
对于除SNMPMIB之外的所有MIB，“SNMP管理”等同于“读写”。
要访问SNMPMIB，需要具有“SNMP管理”权限。
-视图名称-选择SNMP视图（要授予对其的访问权限的MIB子树集合）。
•高级-为选定的社团选择此模式。
-组名称-选择确定访问权限的SNMP组。
步骤4单击应用。
将定义SNMP社区，并更新当前配置文件。
思科200系列智能型交换机管理指南 285 SNMP 定义陷阱设置 24 定义陷阱设置使用“Trap设置”页面可配置是否从设备发送SNMP通知，以及在哪些情况下发送通知。
可以在“通知接收设备SNMPv1，2”页面或“通知接收设备SNMPv3”页面中配置SNMP通知的接收设备。
定义Trap设置的步骤：步骤1单击SNMP>Trap设置。
步骤2对SNMP通知选择启用，将指定设备可以发送SNMP通知。
步骤3对验证通知选择启用将启用SNMP验证失败通知。
步骤4单击应用。
SNMPTrap设置将写入当前配置文件。
通知接收设备系统会生成Trap消息来报告系统事件（如RFC1215中所定义）。
系统可以生成在支持的MIB中定义的Trap。
Trap接收器（亦称通知接收设备）是接收设备发送的Trap消息的网络节点。
系统会定义一系列通知接收设备作为Trap消息的接收设备。
Trap接收器条目中包含的节点IP地址和SNMP凭证与Trap消息中包括的节点IP地址和SNMP凭证相对应。
当发生要求发送Trap消息的事件时，系统会将Trap消息发送到通知接收设备表上所列的每个节点。
使用“通知接收设备SNMPv1，2”页面和“通知接收设备SNMPv3”页面可配置SNMP通知的接收设备，以及向每个接收设备发送的SNMP通知的类型（Trap或通知）。
使用“添加/编辑”弹出式窗口可配置通知的属性。
SNMP通知是设备向SNMP管理站点发送的消息，在其中说明发生了某个事件，例如链路连接/中断。
您还可以过滤特定通知，这可以通过在“通知过滤”页面中创建过滤器并将其应用到SNMP通知接收设备来实现。
使用通知过滤器，可以根据将要发送的通知的OID，过滤发送到管理站点的SNMP通知的类型。
思科200系列智能型交换机管理指南 286 SNMP 通知接收设备 24 定义SNMPv1，2通知接收设备定义SNMPv1，2中的接收设备的步骤：步骤1单击SNMP>通知接收设备SNMPv1，
2。
此页面会显示SNMPv1，2的接收设备。
步骤2输入以下字段：•通知IPv4源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口。
•TrapIPv4源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口。
•通知IPv6源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口。
•TrapIPv6源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口。
注如果已选择“自动”选项，系统将使用传出接口上定义的IP地址的源IP地址。
步骤3单击添加。
步骤4输入参数。
•服务器定义-选择是按照IP地址还是名称来指定远程日志服务器。
•IP版本-选择IPv4或IPv6。
•IPv6地址类型-选择链路本地或全局。
-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-如果IPv6地址类型为“链路本地”，请选择通过VLAN还是ISATAP接收。
•接收方IP地址/名称-输入接收Trap的IP地址或服务器名称。
•UDP端口-输入接收设备上用于接收通知的UDP端口。
•通知类型-选择发送Trap还是发送通知。
如果需要发送两种类型的通知，则必须创建两个接收设备。
•超时-输入重新发送通知之前，设备等待的时间（以秒为单位）。
•重试次数-输入设备重新发送通知请求的次数。
•社区字符串-从下拉列表中选择Trap管理器的社区字符串。
社区字符串名称从“社区”页面中所列出的内容中产生。
思科200系列智能型交换机管理指南 287 SNMP 通知接收设备 24 •通知版本-选择TrapSNMP版本。
SNMPv1和SNMPv2均可作为Trap版本使用，但一次只能启用一个版本。
•通知过滤器-选择该选项，将可以过滤发送到管理站点的SNMP通知类型。
过滤器在“通知过滤”页面中创建。
•过滤条目名称-选择定义Trap中包含的信息的SNMP过滤器（在“通知过滤”页面中定义）。
步骤5单击应用。
SNMP通知接收设备设置将写入当前配置文件。
定义SNMPv3通知接收设备定义SNMPv3中的接收设备的步骤：步骤1单击SNMP>通知接收设备SNMPv3。
此页面会显示SNMPv3的接收设备。
•通知IPv4源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口。
•TrapIPv4源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口。
•通知IPv6源接口-选择其IPv4地址将用作与IPv4SNMP服务器通信中通知消息的源IPv4地址的源接口。
•TrapIPv6源接口-选择其IPv6地址将用作与IPv6SNMP服务器通信中Trap消息的源IPv6地址的源接口。
步骤2单击添加。
步骤3输入参数。
•服务器定义-选择是按照IP地址还是名称来指定远程日志服务器。
•IP版本-选择IPv4或IPv6。
•IPv6地址类型-选择IPv6地址类型（如果使用IPv6）。
选项如下：-链路本地-IPv6地址唯一识别单条网络链路上的主机。
链路本地地址具有前缀FE80，无法路由，并且只能用于本地网络上的通信。
仅支持一个链路本地地址。
如果接口上存在链路本地地址，此条目会替换配置中的地址。
-全局-IPv6地址为全局单播IPV6类型，可从其他网络看到和访问。
•链路本地接口-从列表中选择链路本地接口（如果选择的“IPv6地址类型”为“链路本地”）。
•接收方IP地址/名称-输入接收Trap的IP地址或服务器名称。
•UDP端口-输入接收设备上用于接收通知的UDP端口。
思科200系列智能型交换机管理指南 288 SNMP SNMP通知过滤器 24 •通知类型-选择发送Trap还是发送通知。
如果需要发送两种类型的通知，则必须创建两个接收设备。
•超时-输入重新发送通知/Trap之前，设备等待的时间（以秒为单位）。
超时范围：1到300，默认值15 •重试次数-输入设备重新发送通知请求的次数。
重试次数:1到255，默认值：
3 •用户名-从下拉列表中选择接收SNMP通知的用户。
要接收通知，必须已在“SNMP用户”页面定义该用户，且其引擎ID必须为远程。
•安全等级-选择将对数据包应用的验证。
注此处的“安全等级”取决于选定的“用户名”。
如果将该“用户名”配置为“不验证”，那么“安全等级”仅为“不验证”。
但是，如果在“用户”页面上将该“用户名”分配为“验证和隐私”，那么此页面上的安全等级可以为“不验证”、“仅验证”或“验证和隐私”。
选项如下：-不验证-表示既不对数据包进行验证，也不对其加密。
-验证-表示对数据包进行验证，但不对其加密。
-隐私-表示既要对数据包进行验证，又要对其加密。
•通知过滤器-选择该选项，将可以过滤发送到管理站点的SNMP通知类型。
过滤器在“通知过滤”页面中创建。
•过滤条目名称-选择定义Trap中包含的信息的SNMP过滤器（在“通知过滤”页面中定义）。
步骤4单击应用。
SNMP通知接收设备设置将写入当前配置文件。
SNMP通知过滤器使用“通知过滤”页面可配置SNMP通知过滤器和要检查的对象ID(OID)。
创建通知过滤器后，可以在“通知接收设备SNMPv1，2”页面和“通知接收设备SNMPv3”页面中将其绑定到通知接收设备。
使用通知过滤器，可以根据要发送的通知的OID，过滤发送到管理站点的SNMP通知的类型。
定义通知过滤器的步骤：步骤1单击SNMP>通知过滤。
“通知过滤”页面包含每个过滤的通知信息。
该表格可以通过“过滤器名称”来过滤通知条目。
步骤2单击添加。
步骤3输入参数。
思科200系列智能型交换机管理指南 289 SNMP SNMP通知过滤器 24 •过滤器名称-输入名称（长度为0到30个字符）。
•对象ID子树-选择MIB树中包括在所选SNMP过滤器中或被排除在该过滤器之外的节点。
用于选择对象的选项如下： -从列表中选择-使用该选项可以导航MIB树。
按向上箭头可前往所选节点的父节点层或兄弟节点层；按向下箭头可进入所选节点的子节点层。
单击视图中的节点可从一个节点到达其兄弟节点。
使用滚动条可在视图中显示兄弟节点。
-如果使用对象ID，则是否将输入的对象标识符包括在视图中将取决于是否选择包含在过滤中选项。
步骤4选择或取消选择包含在过滤器中。
如果选择了此项，会将选定的MIB包含在过滤器中，否则不会包含这些MIB。
步骤5单击应用。
将定义SNMP视图，并更新当前配置文件。
思科200系列智能型交换机管理指南 290 25 Cisco和Cisco徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
若要查看思科的商标列表，请访问此URL：/go/trademarks。
文中提及的第三方商标为其相应所有人的财产。
使用“合作伙伴”一词并不意味着思科和任何其他公司之间存在合伙关系。
(1110R) 思科200系列智能型交换机管理指南 291

本文地址：https://www.apjn.cn/w/57/3887.html

声明：该资讯来自于互联网网友发布，如有侵犯您的权益请联系我们。

标签： #怎么做 #文件夹 #文件 #文件 #英语 #工具 #文件 #过高