MD550005第5章 网管配置.docx
- 文档编号:11167733
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:20
- 大小:94.95KB
MD550005第5章 网管配置.docx
《MD550005第5章 网管配置.docx》由会员分享,可在线阅读,更多相关《MD550005第5章 网管配置.docx(20页珍藏版)》请在冰点文库上搜索。
MD550005第5章网管配置
目录
第5章网管配置5-1
5.1概述5-1
5.2带外网管配置5-1
5.2.1配置以太网接口5-1
5.2.2配置路由5-2
5.2.3配置防火墙5-2
5.2.4配置网管工作站5-3
5.3带内网管配置5-3
5.3.1配置ATM网络维护接口5-4
5.3.2配置ARP表5-4
5.3.3配置路由5-6
5.3.4配置防火墙5-7
5.3.5配置网管工作站5-7
5.4网管工作站配置5-7
5.4.1增加网管工作站5-7
5.4.2激活网管工作站5-8
5.4.3其它相关操作5-8
5.5配置实例5-9
5.5.1带外网管配置实例5-9
5.5.2带内网管配置实例-IPoA5-10
5.5.3带内网管配置实例-RFC1483B5-14
第5章网管配置
5.1概述
MD5500同时支持带外、带内网管功能。
带外网管通过主控板以太网接口实现。
带内网管的实现基于ATM业务,支持IPoA(RFC1483R)和RFC1483B两种带内网管方式。
它能够充分解决对MD5500/UA5000联合组网时的带内网络管理需求。
本章包括如下内容。
●带外网管配置
●带内网管配置
●网管工作站配置
●配置实例
5.2带外网管配置
带外网管配置过程如下。
(1)配置以太网接口
(2)配置路由
(3)配置防火墙
(4)配置网管工作站
5.2.2配置以太网接口
1.查询维护网口的IP地址
系统提供一个Ethernet维护网络接口(对应主控板面板上的ETH接口),其接口号固定为1。
该接口不能删除,可以通过命令showatmlannetif和showatmlanip-address来查询。
2.修改维护网口的IP地址
使用命令atmlanip-addressethernet更改以太网口的IP地址和掩码。
如果路由表中存在与原以太网口IP地址对应(指路由项的网关IP地址和以太网接口IP地址处在同一网段)的路由项,必须删除该路由项后才能重新设置以太网接口IP地址。
例如:
修改以太网接口IP地址为10.11.116.55。
huawei#atmlanip-addressethernet10.11.116.55255.255.255.0
5.2.3配置路由
当网络接口与网管工作站的IP地址不在同一网段时,要实现双方的互通,必须增加路由功能。
即到这些网管主机去的IP包必须经过路由转发到指定网关,然后由网关再转发到目的主机,否则在IP层处理的时候将被丢弃。
设置路由信息需要了解整个IP网络的配置。
命令atmlanip-route用于配置接口路由,noatmlanip-route用来删除接口路由。
可用showatmlanip-route命令查询配置结果。
注意:
在添加了网管接口(ethernet/atm)后,系统会自动添加上到该网段的相应路由。
如添加ATM网管接口10.11.146.1/24(掩码255.255.255.0),则系统自动将到目的网段10.11.146.0/24的数据包从该接口转发。
5.2.4配置防火墙
系统有带外和带内两个防火墙,分别对应系统的以太网接口地址和ATM接口地址。
带外防火墙缺省情况下是关闭的,可以使用atmlanfirewallethernet命令打开或关闭。
带内防火墙一直处于打开状态,不能通过命令对其进行控制。
说明:
通过以太网接口进行带外网管时,如果带外防火墙已经打开,则只有那些在ip-access地址列表内,并且不在ip-refuse地址列表内的IP地址可以访问到MD5500设备。
1.增加和删除可接受的IP地址
使用命令atmlanip-access增加一段允许访问系统的主机地址。
命令noatmlanip-access用来删除那些不再允许访问系统的IP地址。
防火墙方案变更时应删除那些不安全的地址。
使用showatmlanip-access查询当前可接受的所有IP地址段。
2.增加和删除拒绝接受的IP地址
使用命令atmlanip-refuse将一段存在潜在危险的IP地址段排除在外。
如果希望从一段地址中拒绝其中的一小段,则可以首先增加可接受地址,然后增加拒绝地址,使用这种方法有时非常方便。
比如从可接受段(10.11.0.0~10.11.255.255,掩码255.255.0.0)中拒绝地址段(10.11.2.10~10.11.3.20,掩码255.255.252.0)。
命令noatmlanip-refuse用来从拒绝地址表中删除不允许访问系统的地址段。
使用showatmlanip-refuse查询出当前所有拒绝的IP地址。
3.打开/关闭以太网防火墙开关
使用命令atmlanfirewallethernet打开以太网防火墙开关,可接受IP地址、拒绝接受IP地址功能开始发挥作用。
使用命令noatmlanfirewallethernet关闭以太网防火墙开关,此时只要路由正确,任何一个主机都可以访问到MD5500的以太网接口。
使用命令showatmlanfirewallethernet查询当前防火墙开关的状态。
5.2.5配置网管工作站
网管工作站的配置请参见本章5.4网管工作站配置。
5.3带内网管配置
由于带外网管方式需要组建一个管理网络,在设备地理位置相距较远的情况下,带外网管方式就存在很大的局限性,不能充分满足用户对设备的管理要求,因此需要实现带内网管。
带内网管的配置过程如下。
(1)配置ATM网络维护接口
(2)配置ARP表
(3)配置路由
(4)配置防火墙
(5)配置网管工作站
5.3.2配置ATM网络维护接口
1.创建ATM网络维护接口
带内网管实现的所有功能都要建立在ATM网络接口增加成功的基础之上。
MD5500共支持四个ATM网络接口,一个网段只允许增加一个ATM网络接口。
使用命令atmlannetifipaddressmask增加一个ATM网络接口,指定其IP地址和掩码。
在接口配置后,可以使用showatmlannetif查询增加的接口信息,也可以使用noatmlannetif命令删除不再需要的ATM网络接口。
说明:
如果接口配置了arp映射或路由表,则要首先删除arp映射和路由才能删除接口。
2.修改ATM网络维护接口的IP地址
对于已有的ATM网络维护接口,可以使用命令atmlanip-addressatmipaddressmaskifnum更改其IP地址和掩码。
如果路由表中已经建立了通过该ATM接口的路由表项,则必须先删除对应的路由表项以后,才能修改该ATM接口的IP地址和掩码。
5.3.3配置ARP表
atmlanarp命令用于配置ARP表,即建立从MD5500设备到对端设备的带内网管PVC(PermanentVirtualChannel)连接,网管配置信息需要通过该通路进行传送。
系统可采用IPoA和RFC1483B两种方式进行封装。
支持带内网管通道的端口、其所在单板及其支持的封装方式如表5-1所示。
表5-1支持带内网管通道的端口
端口
所在单板
支持的封装方式
ATM
AIC、AIU
IPoA、RFC1483B
E3
AIU
IMA
IMU、AIU
ATMUNI
CES、EA16
LAN
LAN
说明:
在配置中,进行连接的VPI/VCI的值应保持一致。
2.IPoA方式
建立网管PVC时,采用IPoA协议配置步骤如下。
(1)选择协议类型
huawei#atmlanarp
{rfc1483b
ipoa
(2)输入对端IPoA接口的IP地址
{ip-address}:
192.168.1.15
(3)输入承载网管通道的框/槽/端口号
如果是IMA端口,则输入框/槽号后,继续输入IMA组号。
此处输入ATM端口0/11/0。
{frame/slot/port<5,8>|frame/slot<3,4>}:
0/11/0
(4)设置连接VPI、VCI
此处的VPI、VCI值必须与对端设备的设置相同。
一般建议,PVC的VPI设置为0,VCI从100开始按局点递增。
{vpi<0,4095>}:
0
{vci<32,65535>}:
100
(5)选用流量类型
网管PVC的发送和接收流量建议使用系统默认的流量表项(流量索引为3,类型为nrt-vbr,SCR=600bit/s)。
{
此处直接回车采用系统默认流量表项,命令执行完毕。
3.RFC1483B方式
建立网管PVC时,采用RFC1483B协议配置步骤如下。
(1)选择协议类型
huawei#atmlanarp
{rfc1483b
rfc1483b
(2)选择封装格式
MD5500设备支持LLC封装和基于VC的复用。
LLC封装允许在一条ATM的VC上进行多协议的封装。
基于VC的复用是由ATM的每条VC承载约定的高层协议来实现复用。
主要用于能够快速、动态创建大量ATMVC的环境中。
VC的复用条件要求较高,常用的是LLC封装。
设置的封装格式必须和对端设备保持一致。
{llc
llc
(3)输入承载网管通道的框/槽/端口号
如果是IMA端口,则输入框/槽号后,继续输入IMA组号。
此处输入ATM端口0/11/0。
{frame/slot/port<5,8>|frame/slot<3,4>}:
0/11/0
(4)设置连接VPI、VCI
此处的VPI、VCI值必须与对端设备的设置相同。
一般建议,PVC的VPI设置为0,VCI从100开始按局点递增。
{vpi<0,4095>}:
0
{vci<32,65535>}:
100
(5)选用流量类型
网管PVC的发送和接收流量可以根据对接设备进行设置,一般情况下,建议使用系统默认的流量表项(流量索引为3,类型为nrt-vbr,SCR=600bit/s)。
{
此处直接回车采用系统默认流量表项,命令执行完毕。
配置ARP映射,系统会自动添加一条指定端口到主控板SAR的PVC连接。
此PVC可以通过showpvc命令查看;删除ARP映射,系统会自动删除该PVC连接。
可用showatmlanarp来查询配置结果,也可用命令noatmlanarp来删除ARP表项。
在系统数据受到损坏出现异常情况下,如果删除ARP映射,而PVC仍然存在,则可以使用nopvc命令手工删除该PVC。
说明:
系统共支持64条带内网管PVC。
5.3.4配置路由
路由配置包括:
增加和删除路由、显示路由配置。
参见本章5.2.2配置路由一节。
5.3.5配置防火墙
系统有带外和带内两个防火墙,分别对应系统的以太网地址和ATM地址。
带外防火墙缺省情况下是关闭的,可以使用atmlanfirewallethernet命令打开或关闭带外防火墙。
带内防火墙一直处于打开状态,不能通过命令对防火墙进行控制。
说明:
通过带内网管接口进行网管时,只有那些在ip-access地址列表内,并且不在ip-refuse地址列表内的IP地址可以访问到MD5500设备。
增加和删除可接受的IP地址、增加和删除拒绝接受的IP地址,这些操作与带外网管中的操作一样,请参见本章5.2.3配置防火墙一节中相应内容。
5.3.6配置网管工作站
网管工作站的配置请参见本章5.4网管工作站配置。
5.4网管工作站配置
iManagerN2000固定网综合管理系统对MD5500、UA5000、交换机等设备和网络进行充分有效管理,提供图形界面,操作直观方便。
iManagerN2000固定网络管理系统可以在UNIX或者Windows2000Server操作系统上运行。
基于对安全性的考虑,可以通过对网管工作站参数表的配置来实现对网管工作站的维护管理。
5.4.1增加网管工作站
在通过网管工作站管理MD5500前,必须先在该MD5500中增加该网管工作站的参数,否则系统将不会处理网管的请求报文,用户无法通过网管维护该设备。
增加一个网管工作站,需要填写如下参数。
(1)网管名称
给网管取的唯一的标识。
网管名称必须在系统内全局唯一,即一个MD5500内不能有两个相同名称的网管存在。
(2)网管的GET/SET团体名
GET/SET团体名(GET/SETCommunity)是一个任意的字符串(要求少于15个字符)。
团体名是SNMP(SimpleNetworkManagementProtocol)提供的简单安全性保证,相当于用户操作密码一样,它通过比较用户设定的设备GET/SET团体名和网管设定的GET/SET团体名是否一致来决定是否处理网管的请求。
默认情况下,GET操作的团体名为public,SET操作的团体名为private,用户可根据需要进行修改。
(3)网管IP地址
网管工作站的IP地址。
例如:
增加一个工作站huawei。
huawei>nmsnamehuawei10.11.123.33publicprivate
说明:
在配置网管工作站时应注意以下问题:
(1)增加网管工作站时必须保证网管工作站的IP地址及网管名称唯一。
(2)网管工作站参数增加后必须激活才能生效。
(3)团体名字符串是区别大小写的,即相同字符串但大小写不一致也会认为是两个不同的团体名字符串。
5.4.2激活网管工作站
新增加的网管工作站,并不能立即生效,必须被激活后,才能正常工作。
激活网管工作站时,输入的参数可以是网管工作站的名称或IP地址。
例如:
激活网管工作站huawei。
huawei>nmsactivatenamehuawei
5.4.3其它相关操作
1.查询网管工作站参数
查询网管工作站参数主要是查询网管工作站的网管名称、GET/SET团体名、网管当前状态(激活、未激活)、IP地址。
例如:
查询所有管理本设备的网管工作站的参数。
huawei>shownms
nmsrocordno:
0
nmsname:
huawei
nmsGetcomm:
public
nmsSetcomm:
private
nmsaddress:
10.11.123.33
state:
active
2.去激活网管工作站
暂时屏蔽一个网管工作站。
不允许用户通过该网管工作站维护设备时,去激活该工作站。
去激活后,MD5500不处理该网管工作站的请求报文,用户暂时无法通过该网管工作站维护设备。
去激活网管工作站时,输入的参数可以是网管工作站的名称或IP地址。
例如:
去激活名称为huawei的网管工作站。
huawei>nmsdeactivatenamehuawei
3.删除网管工作站
如果需要长期禁止某个网管工作站维护该MD5500,可以彻底删除该网管工作站。
网管工作站的删除必须在网管去激活的情况下才能进行。
删除命令nonms{namename|ipaddress}
例如:
删除网管工作站huawei。
huawei>nonmsnamehuawei
4.修改网管工作站
如果一个网管工作站的IP地址、名称或网管的GET/SET团体名改变,可以通过命令nmsmodify根据网管工作站的名称或IP地址进行修改。
网管工作站参数表修改必须在网管去激活的情况下才能进行。
5.网管终端输出控制管理
通过设置网管终端的信息输出控制开关和级别,可以完成对输出到网管终端的信息的过滤控制。
具体操作步骤请参考本书“基本操作”部分,“信息终端输出控制”一章。
5.5配置实例
5.5.1带外网管配置实例
(1)简要说明
网管工作站通过广域网与MD5500主控板的维护网口(以太网口)相连。
网管工作站和主控板的以太网口分别位于不同网段,网管工作站的设备IP地址为10.25.1.1,子网掩码为255.255.255.0,只允许该网段的主机通过以太网口访问MD5500,缺省网关为10.25.1.10;MD5500以太网口对应的IP地址为10.50.1.1,子网掩码为255.255.255.0。
如图5-1所示。
图5-1远程带外网管组网示意图
(2)配置步骤
●设置ETH网络接口
设置ETH网络接口,IP地址为10.50.1.1,子网掩码为255.255.255.0。
huawei#atmlanip-addressethernet10.50.1.1255.255.255.0
●配置到网管工作站的接口路由
huawei#atmlanip-route10.25.1.0255.255.255.010.50.1.10
●配置IP地址访问表
huawei#atmlanip-access10.25.1.010.25.1.255255.255.255.0
●打开以太网口防火墙开关
huawei#atmlanfirewallethernet
5.5.2带内网管配置实例-IPoA
1.组网需求
在MD5500和UA5000的组网环境中,网管工作站通过带外的方式实现对MD5500-1的管理,然后通过MD5500-1采用IPoA方式来实现对UA5000和MD5500-2的带内管理。
下面以图5-2为例,介绍如何配置MD5500和UA5000的带内网管。
网管工作站通过网口与MD5500-1主控板ASX上维护网口(以太网口)相连。
以该MD5500-1作为网管网关设备,其位于10槽位的AIC板0端口通过光纤与UA5000相连,11槽位的AIC板0端口通过光纤与MD5500-2相连。
图5-1MD5500和UA5000的带内网管组网图-IPoA
2.简要说明
网管工作站和MD5500的以太网口位于同一网段10.12.3.0/24。
●设置网管工作站的设备IP地址为10.12.3.20/24,网管工作站上缺省网关为10.12.3.64。
●MD5500的以太网口对应的设备IP地址为10.12.3.64/24。
在MD5500-1上增加两个ATM网络接口:
●对应UA5000的ATM网络接口IP地址为10.50.2.1/24。
●对应MD5500-2的ATM网络接口IP地址为10.50.1.1/24。
在UA5000和MD5500-2上要设置ATM接口的IP地址,创建到MD5500-1的IPoA映射,并增加到网管工作站的路由和允许访问列表。
最后需要在所有设备(MD5500、UA5000)上增加和激活网管工作站。
3.MD5500-1的数据配置
(1)创建ATM网络接口
huawei#atmlannetif10.50.1.1255.255.255.0//增加对应MD5500-2的ATM网络接口,IP为10.50.1.1/24
huawei#atmlannetif10.50.2.1255.255.255.0//增加对应UA5000的ATM网络接口,IP为10.50.2.1/24
说明:
当MD5500管理IP地址不在同一网段的多个设备时,需要在MD5500上配置多个ATM网络接口;
当被管设备的数量不是很多时,可以将所有被管设备的带内网管地址设在同一网段,此时在MD5500上只需要建立一个ATM网络接口。
这样从MD5500上可以管理多个被管设备,被管设备之间将无法通过该带内管理通道相通。
(2)配置IP-PVC映射关系表(ARP表)
●配置到MD5500-2的IP-PVC映射关系表。
huawei#atmlanarpipoa10.50.1.20/11/00100//对应端口为0/11/0,vpi/vci为0/100,对端IP地址为10.50.1.2
●配置到UA5000的IP-PVC映射关系表。
huawei#atmlanarpipoa10.50.2.20/10/00100//对应端口为0/10/0,vpi/vci为0/100,对端IP地址为10.50.2.2
(3)配置IP地址访问表
huawei#atmlanip-access10.12.3.010.12.3.255255.255.255.0//NMS所在网段
huawei#atmlanip-access10.50.1.010.50.1.255255.255.255.0//MD5500-2ATM网络接口所在网段
huawei#atmlanip-access10.50.2.010.50.2.255255.255.255.0//UA5000ATM网络接口所在网段
(4)配置网管工作站
huawei#nmsnamehuawei10.12.3.20publicprivate
huawei#nmsactivatenamehuawei
4.MD5500-2的数据配置
(1)创建ATM网络接口
huawei#atmlannetif10.50.1.2255.255.255.0//增加一个ATM网络接口,IP为10.50.1.2/24
(2)配置IP-PVC映射关系表(ARP表)
huawei#atmlanarpipoa10.50.1.10/10/00100//配置到MD5500-1的IP-PVC映射关系,端口为0/10/0,vpi/vci为0/100,对端地址为10.50.1.1
(3)配置到网管工作站的路由
huawei#atmlanip-route10.12.3.0255.255.255.010.50.1.1
(4)配置IP地址访问表
huawei#atmlanip-access10.12.3.010.12.3.255255.255.255.0//NMS所在的网段
huawei#atmlanip-access10.50.1.010.50.1.255255.255.255.0//网关所在的网段
(5)配置网管工作站
huawei#nmsnamehuawei10.12.3.20publicprivate
huawei#nmsactivatenamehuawei
5.UA5000的数据配置
(1)创建ATM网络接口
huawei#atmlannetif10.50.2.2255.255.255.0//增加一个ATM网络接口,IP为10.50.2.2/24
(2)配置IP-PVC映射关系表(ARP表)
配置到MD5500-1的IP-PVC映射关系。
huawei#atmlanarpipoa10.50.2.10/11/00100//端口为0/11/0,vpi/vci为0/100,对端(MD5500-1)地址为10.50.2.1
(3)配置到网管工作站的接口路由
huawei#atmlanip-route10.12.3.0255.255.255.010.50.2.1
(4
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MD550005第5章 网管配置 MD550005 网管 配置