极进 EXTREME交换机设备操作手册

1.1.2.5   禁止 telnet 访问

 

 

在默认情况下，交换机允许启动 telnet 服务，如果您想禁止 telnet 访问，可 以使用以下命令：

disable telnet 重新启动 telnet 服务 enable telnet

（执行以上操作需要有管理员权限）

 

 

1.1.3   用 SSH 登陆

 

 

传统的网络服务程序，如：ftp、pop 和 telnet 在本质上都是不安全的，因为 它们在网络上使用明文传输口令和数据，别有用心的人非常容易就可以截获这些 口令和数据。而且这些数据程序的安全验证方式也是有其弱点的，就是很容易受 到“中间人”(man-in-the-middle)的攻击。所谓“中间人”的攻击方式，就是“中 间人”冒充真正的服务器接收到你传给服务器的数据，然后再冒充你把数据传给 真正的服务器。服务器和你之间的数据传输被“中间人”一转手做了手脚之后， 就会出现很严重的问题。

从前，一个名为 tatu ylnen 的芬兰程序员开赴了一种网络协议和服务软件， 称为 SSH(secure shell 的缩写)。

通过使用 SSH，你可以把所有传输的数据进行加密，这样“中间人”这种 攻击方式就不可以能实现了，而其也能够防止 DNS 和 IP 欺骗。还有一个额外的 好处就是传输的数据时经过压缩的，所以可以加快传输的速度。SSH 有很多功 能，虽然许多人吧 Secure Shell 仅当做 Telnet 的替代物，但你可以使用它来保 护你的网络连接的安全。你可以通过本地或远程系统上的 Secure Shell 转发其 他网络通讯，如 POP、X、PPP、FTP。你还可以转发其他类型的网络通信，包 括 CVS 和任意其他的 TCP 通信。另外，你可以使用带 TCP 包装的 Secure Shell， 以加强连接的安全性，除此之外，SSH 还有一些其他的方便的功能，可用于诸如 Oracle 之类的应用，也可以将它用于远程备份和想 SecurID 卡一样的附加认证。

SSH 服务在 Extreme 交换机中默认是没有被安装的，因此需要我们在使用 ssh 服务的时候自己去安装 ssh 服务功能包，安装 ssh 服务功能包的具体操作如 下：

1)    为交换机的管理 vlan 配置一个 IP 地址

2    Config vlan mgmt ipaddress

2    E.g：config vlan mgmt ipaddress 192.168.1.1/24

2)     将 TFTP Server 与交换机的 Management 接口相连，从 TFTP Server 上 ping mgmt vlan 的地址，确保能够连通后，执行第三步。

3)     从 TFTP Server 上下载 ssh 服务功能包并安装

2    Download image

2    E.g：download image 192.168.1.2 bd8800-12.3.3.6-ssh.xmod

4)    待安装完成后运行更新

2    Run update

5)    重启 thttpd 服务进程

2    Restart process thttpd

6)    创建一个新的 ssh2 key 文件

2    Config ssh2 key 7)      启用 ssh 登录

2    Enable ssh2

8)    使用 SSH 终端测试  （测试的时候可以选用第三方关于 SSH 的登录软件， 例如：CRT）

 

1.1.4   用 Web 登陆

Extreme 设备能够为不熟悉 Extreme 设备操作管理的人

1)    配置 vlan 的 IP 地址（同以上 Telnet 配置方法相同）

2)    开启 web 服务功能

enable web http

3)    关闭 web 服务功能

 disable web http

1.1.5   用 SNMP 登陆 

交换机支持 simple network management protocol (SNMP)，在相关的管理 信息库 management information base（MIB）正确安装完成后，任何基于 SNMP 的网络管理系统均可以用来管理交换机。

 

1.1.5.1 访问交换机的 SNMP 代理

 

vlan

为了访问在交换机上的 SNMP 代理，至少需要一个已经分配了 IP 地址的

 

1.1.5.2 配置 SNMP 

您可以配置交换机上的一下 SNMP 参数：

2    团体名（community）——团体名允许交换机和管理者之间进行简单 的验证，Extreme 交换机支持两种团体，只读和读写（readonly/readwrite）。 只读是只允许交换机拥有“只读”权限，读写出允许管理者访问交换机外， 还允许管理者对交换机设置进行修改。缺省的只读团体为“public”，缺省 的读写团体名为“private”，交换机最多支持 8 个团体名，每个团体名称最

多可达 127 个字符。

为了安全性，建议用如下命令删除缺省的 community“public”“private” config snmp delete community readonly public

config snmp delete community readwrite private

再添加你自己的 community：

config snmp add community readonly config snmp add community readwrite < string >

2    系统联系人选项（syscontact）——以文本形式表示的负责管理交换

机的人员，联系人最多可由 255 个字符组成。

config snmp syscontact

 

2    交换机名称（sysname）——指定交换机的名称，名称最多有 255

个字符组成。

config snmp sysname

2    指定系统所在位置选项(syslocation)——指定系统所在位置，系统所

在位置最多可有 255 个字符组成。

config snmp syslocation

2 启用/禁止 SNMP 访问 使用以下命令启用/禁止 SNMP 访问 [enable|disable] snmp access

 

1.2 管理级别

Extreme 交换机支持两级管理,这两级管理分别是 User 和 Administrator。

 

1.2.1  administration 权限账户

具有 administrator 管理权限的帐户可以访问和更改所有的交换机参数，而 且可以添加和删除用户，以及更改所有帐户的口令。管理员帐户可以终止通过 Telnet 建立的连接进程。如果管理员帐户选择终止某个进程，则所有通过 Telnet 登录的用户将得到提示连接进程已经终止。

administration 权限的用户登录时，提示符以“#”结尾，如：

BD-8810.1 # BD-8810.1 # BD-8810.1 #

 

1.2.2  user 权限账户

具有 User 管理权限的帐户可以访问除以下两项外的所有可管理项目：

A：用户帐户数据库；

B：SNMP 团体名（Community Strings）。

具有 User 权限的帐户可以使用“ping”命令以检测设备是否可达，以及更改

自己的口令。 当具有 User 权限的用户登录时，提示符以“>”结尾，如：

BD-8810.1 > BD-8810.1 > BD-8810.1 >

1.2.3   缺省帐户

Extreme 交换机有两个缺省帐户，分别是 admin(administrator 级别帐户)和

user(user 级别帐户)。

1.2.3.1 更改缺省口令

缺省帐户没有口令。口令必须是不少于 4 个字符且不多于 12 个字符的字符 串。帐户和口令都是区分大小写的。

请按照以下步骤为缺省的 admin 帐户添加口令：

1)  以 admin 用户名登录；

2)  在口令提示符下，按回车键；

3)  使用以下命令添加口令：

config account admin

4)  在提示符下，键入新口令；

5)  在提示符下，键入第四部口令以确认

1.2.4 建立管理账户

Extreme 交换机最多允许建立 16 个管理账户，用户可以使用缺省的 admin

和 user 账户，也可以另行建立账户和口令。Admin 账户不能被删除。 请按照以下步骤建立新账户：

1)  以 admin 账户登陆；

2)  在口令提示符下，按回车键进入系统

3)  使用以下命令建立新账户：

creat account [admin | user]

4)  在提示符下，键入新口令

5)  在提示符下，键入第 4 步口令以确认

1.2.5 修改账户密码

必须拥有管理员权限，才能修改账户密码。修改账户密码使用以下命令：

configur account 此时系统会出现以下提示，输入当前密码和新密码即可： current password:

password:  reenter password:

1.2.6 查看账户信息

必须拥有管理员权限，才能够查看账户信息。查看账户信息使用以下命令：

show account

1.2.7 删除账户

必须拥有管理员权限，才能够删除账户信息。删除账户信息使用以下命令：

delete account

1.3 命令语法介绍

请按照以下步骤使用命令行:

A. 进行配置钱，请确认您有必要的权限。执行大多数命令需要您有

administration 权限。

B. 键入命令

如果键入的命令未包括参数，请转到第 3 步，如果键入的命令需要参数，请 继续。

l     如果该命令有附件选项，请在键入命令是输入；

l     如果该命令包括参数，请键入参数名称和数值；

C. 当完整的命令输入完成后，按回车键

1.3.1 语法检测功能

Extreme 交换机内置有语法检查功能，如果您不能确定某个命令的完整语法，请输入尽量多的命令，语法检查功能将提供可能选项的列表。如果您输入了错误 的命令，语法检查功能还可以提供帮助。

1.3.2 使用语法检查功能完成命令

如果您只键入部分命令，请按[Tab]键得到可能的命令列表，并选择合适的命令。

1.3.3 命令的缩略

在不引起歧义的前提下，您可以只键入命令的前几个字母来代表整个命令。 另外，所有可以命名的部件必须有一个唯一的名称。当您配置一个已经命名的部件时，您可以直接键入该部件名称，而不需要输入代表该部件的关键词，例 如，以下命令用于建立 VLAN（您必须输入一个唯一的 VLAN 名称）。

creat vlan red

一旦您输入了改命令，在其后涉及 vlan 的命令中，您可以省略关键词 vlan， 直接输入 vlan 名称即可，例如：

config vlan red delete port 1-3,6

命令可以只输入以下内容即可：

config red delete port 1-3,6

1.3.4 接口数字范围

如端口数目，可以表示为某个范围的数字； port 1-3 可以通过逗号分开，表示多个端口：

port 1-3,6,8

1.4 交换机配置的基本命令

1.4.1 编辑特性

1.4.2 历史命令

Extreme 交换机可以“记住”用户输入的最后 49 个命令，您可以使用 history来显示历史命令。

1.4.3 常用命令

 unconfig switch {all}

【功能】将所有交换机参数（出已经定义的账户）充值为出厂缺省设置。如 果使用参数 all，包括已经定义的账户在内的所有交换机参数将被重 置。

【范例】unconfig switch all

config banner

【功能】配置边界，用户可以配置登录提示符出现前显示的内容，最长可达24 行，80 列。

【范例】config banner “that is Extreme BD8810 switch”

creat account [admin|user] {password}

【功能】建立账户

【范例】creat account admin wf-admin nihao123！

 config account encrypted {e_password}

【功能】配置用户名及加密口令

【范例】Config account wf-admin encrypted nihao123！

2    Help

【功能】显示帮助信息

【范例】help

2    show switch

【功能】查看交换机当前所使用的系统名称、运行时间、系统时间、当前状 态、软件版本等信息

【范例】show switch

2    show management

【功能】查看交换机当前的系统设置，可以看到 CLI、telnet、ssh、web access、 snmp 等的设置情况

【范例】show management

2    config port auto off {speed [10 | 100|1000]} duplex [half | full]

【功能】手动配置一个/多个端口的端口速度、全/半双工状态

【范例】config port 1-24 auto off speed 100 duplex full

2    config iproute add default

【功能】配置交换机的默认网关

【范例】conf iproute add default 192.168.1.1

2    show iparp

【功能】显示 ARP 表中的内容

【范例】show iparp

 ping ip-addresss

【功能】查看某个远程主机是否可以到达

【范例】ping 192.168.1.1

traceroute ip-address

【功能】跟踪路由所经过的路径

【范例】tracert 1.1.1.1

1.4.4 配置交换机的系统时间和 SNTP 协议

1.4.4.1 配置交换机的系统时间 使用如下命令可以配置交换机的系统时间：

config time time month day year hour minute second

【功能】配置系统时间和日期

【说明】格式为：

month：month 1-12             Day：day of month 1-31 Year：year YYYY                                      Hour：hour 0-23 Minute：minutes 0-59                                                 seconds：seconds 0-59

【范例】conf time 5 4 2010 15 10 20

1.4.4.2 配置 sntp 同步系统时间

Extreme交换机支持简单网络时间协议（simple network time

protocol-SNTP，第三版，在RFC1769中有详细定义）的客户端功能。往事时间 协议SNTP是一种同步客户和服务器时间的网络协议，服务器的时间源可以通过 收音机、卫星接收器或modem接受精确时钟设备的时间。

个人电脑（包括交换机、路由器、甚至昂贵的工作站）主机板上所使用的 redl-time-clock芯片不够准确是众所皆知的，因此不能直接使用系统时间，而必 须使用精确时钟设备的时间。这些服务器使用高精度的晶体振荡计时器或GPS 接收器来保证时间的精度，网络中其他主机可以通过这些时间服务同步来获得准确的时间，也就是和他们对表。这样获得的时间精度，是用通过电视或电话的方法手工对表无论如果不可能获得的，几乎可以达到个人用常规方法能达到的精度 极限。

时间服务器分为阶层一和阶层二两个档次，各有一批服务器，阶层一得精度更高，实际上阶层二的精度已经高得对普通用户没什么意义了。手工设置时间一 方面是不方便的，另一方面也依耐与本地管理员的始终的正确性，这样网络上不同的管理员管理的计算机时间必然有偏差，不同计算机的时间偏差就会对一切要 求时间同步的服务产生影响。使用它SNTP时间协议解决这种问题就很简单了， 即连接到一个能提供精确时间的服务器上进行时间同步。

当交换机连接到了Internet之后，就能同Internet上存在的很多时间服务器通 信，以获得精确的时间。在Internet上提供NTP服务的站点有clock.cuhk.edu.hk 、 ben.cs.wisc.edu和truechimer.waikato.ac.nz等。NTP协议本身考虑了网络延迟， 然而网络延迟毕竟会对时间的精确性造成影响，因此应该选用一个离本地计算机最近的时间服务器。利用NTP可以使局域网中机器的时钟同步到时差小于１毫秒， 在广域网中也可使机器时钟的时差在几十毫秒之内。

1.4.4.3 使用 SNTP

 您可以通过以下步骤使用交换机的 SNTP 客户端功能：

1) 定位NTP服务器。另外，通过何种方式与NTP服务器通讯也需要确定。常用 的两种方案是：NTP服务器发送广播和交换机定时向NTP服务器发送查询请 求。也可以同时采用这两种方案。

2)    使用以下命令配置本地时间相对格林威治标准时的偏移量及是否使用夏时 制等选项：

Config timezong {name } noautodst 3)    使用以下命令在交换机上启动SNTP客户端功能:

Enable sntp-client

启动此功能后，交换机将定时发送对时请求给NTP服务器，或听取NTP服务 器发送的时间广播，得到的时间信息将保留在交换机的实时时钟内。使用以下命 令在交换机上关闭SNTP客户端功能：

disable sntp-client

4)    配置交换机定时发送对时请求给NTP服务器采用下述命令。如果选择听取

NTP服务器的时间广播，则这一步骤可以省略：

config sntp-client [primary-server | secondary-server | update-interval] [ip_address |hostname]

NTP请求将首先发送给主要的服务器（primary）。如果主要服务器在一秒

钟内没有响应，或未能同步，则发送请求给次要的服务器（secondary）。如果 依然得不到响应，则重新启动请求过程。缺省的更新时间周期为64秒。

5)    使用以下命令确认SNTP配置:

show snmp-client   显示SNTP的相关统计信息，与SNTP服务器的连接状况等。

 show switch          显示本地时间相对格林威治标准时的偏移量及是夏时制等 选项信息。

世界时区分布

1.5 软件映像和配置文件管理

1.5.1 交换机软件映像管理

新版本软件映象可以通过Extreme官方网站下载

（http://www.extremenetworks.com/），将下载后的软件存储在TFTP服务器上。

tftp server 指定映像软件目录，并按照以下步骤更新软件： 1) 启动交换机，进入配置界面，为管理 vlan 配置 ip 地址 config vlan mgmt ipaddress 192.168.1.1/24

2)    使用交换机的 secondary 分区启动系统，并保存重启交换机：

use image secondary save

reboot

3)    待交换机完成重启完成后，将 TFTP server 连接到 switch 的 management 接 口上，ping 测试：

ping vr vr-mgmt

4)    确定 tftp server 与交换机连接正常后，使用以下命令升级交换机的软件版本

（TFTP Server 的配置与使用这里不再陈述）

download image [ipaddress    file_name] primary

参数说明：

Ipaddress------TFTP Server 的 ip 地址

File_name-----映像文件名称

交换机在进行软件升级安装的过程中，会持续大约15分钟左右，在软件升级 安装的过程中，请勿强行使交换机断电，否则交换机将无法完成软件的安装， 再次启动switch时，设备将无法正常启动。

5)    完成安装之后，使用如下命令确定软件安装是否正常

show version image

6)    配置交换机从 primary 分区启动系统并保存配置、重启交换机：

use image primary save

reboot

7)    待交换机完成重启后，show version 查看交换机当前版本

show version

1.5.2 上传/下载配置文件管理

通过该功能可以交换机上的配置文件上传到 TFTP 服务器，或从 TFTP 服 务器下载启动配置文件并应用到本交换机上：

upload config [ip-address file_name] download config [ip-address file_name]

如果从TFTP服务器上下载配置文件到交换机上，交换机需要重新启动。如果不重新启动交换机，交换机将运行现有配置，如果save操作执行成功后， 交换机的配置信息仍然是本地交换机的配置数据；如果没有执行save命令， 重启交换机，则交换机将运行于下载文件的配置数据。

1.5.3 保存配置信息

您对交换机所作的任何配置在正式保存前，将被暂存在 SDRAM 中，重新启动交换机后，保存在 SDRAM 中的信息将不会被保留。为将配置信息永久保留， 您必须将配置信息保存在 FLASH 中，使用 save 命令保存配置文件。

注意：如果交换机在保存配置文件过程中重新启动，出厂的缺省配置将 被采用。

1.5.4 出厂配置文件

使用 unconfig switch 命令将重置所有配置信息（除已经定义的用户账户为 出厂）为出厂缺省配置文件

使用 unconfig switch all 命令将重置所有配置信息（包括已经定义的用户账 户）为出厂缺省配置文件

1.5.5 重启交换机

使用 reboot 命令重启交换机，交换机将立刻重启。