VMware三种网络模式根本区别[转]

作者：孙鹏 出处：中关村在线

       提到VMware大家就想起了虚拟机技术，虚拟机技术在最近的几年中得到了广泛的发展，一些大型网络服务商都开始采用虚拟机技术，不仅节省了投资成本，更节约了能源的消耗。

        我们知道VMware也分几种版本，普通用户最常用的就是Workstation，但是不管使用哪种版本，我们都能发现在安装过程中让我们选择网络模式。在默认情况下会选中桥接模式，但有用户会问其他模式是干什么用的？有时候选择了其他模式之后就不能上网了。今天小编就和大家一起探讨一下VMware 3种网络模式的功能和通信规则。




网络模式
我们首先说一下VMware的几个虚拟设备

VMnet0：用于虚拟桥接网络下的虚拟交换机

VMnet1：用于虚拟Host-Only网络下的虚拟交换机

VMnet8：用于虚拟NAT网络下的虚拟交换机

VMware Network Adepter VMnet1：Host用于与Host-Only虚拟网络进行通信的虚拟网卡

VMware Network Adepter VMnet8：Host用于与NAT虚拟网络进行通信的虚拟网卡

安装了VMware虚拟机后，会在网络连接对话框中多出两个虚拟网卡，如图：


一.桥接网络（Bridged Networking）

桥接网络是指本地物理网卡和虚拟网卡通过VMnet0虚拟交换机进行桥接，物理网卡和虚拟网卡在拓扑图上处于同等地位（虚拟网卡既不是Adepter VMnet1也不是Adepter VMnet8）。


桥接网络拓扑图
那么物理网卡和虚拟网卡就相当于处于同一个网段，虚拟交换机就相当于一台现实网络中的交换机。所以两个网卡的IP地址也要设置为同一网段。

物理网卡IP地址

虚拟网卡IP地址

我们看到，物理网卡和虚拟网卡的IP地址处于同一个网段，子网掩码、网关、DNS等参数都相同。两个网卡在拓扑结构中是相对独立的。

ping结果

我们在192.168.15.111上ping192.168.15.96，结果显示两个网卡能够互相通信。如果在网络中存在DHCP服务器，那么虚拟网卡同样可以从DHCP服务器上获取IP地址。所以桥接网络模式是VMware虚拟机中最简单直接的模式。安装虚拟机时它为默认选项。

二.NAT模式

在NAT网络中，会用到VMware Network Adepter VMnet8虚拟网卡，主机上的VMware Network Adepter VMnet8虚拟网卡被直接连接到VMnet8虚拟交换机上与虚拟网卡进行通信。

NAT网络模式

VMware Network Adepter VMnet8虚拟网卡的作用仅限于和VMnet8网段进行通信，它不给VMnet8网段提供路由功能，所以虚拟机虚拟一个NAT服务器，使虚拟网卡可以连接到Internet。在这种情况下，我们就可以使用端口映射功能，让访问主机80端口的请求映射到虚拟机的80端口上。

VMware Network Adepter VMnet8虚拟网卡的IP地址是在安装VMware时由系统指定生成的，我们不要修改这个数值，否则会使主机和虚拟机无法通信。

NAT虚拟网卡IP地址

物理网卡IP地址

虚拟出来的网段和NAT模式虚拟网卡的网段是一样的，都为192.168.111.X，包括NAT服务器的IP地址也是这个网段。在安装VMware之后同样会生成一个虚拟DHCP服务器，为NAT服务器分配IP地址。

当主机和虚拟机进行通信的时候就会调用VMware Network Adepter VMnet8虚拟网卡，因为他们都在一个网段，所以通信就不成问题了。

实际上，VMware Network Adepter VMnet8虚拟网卡的作用就是为主机和虚拟机的通信提供一个接口，即使主机的物理网卡被关闭，虚拟机仍然可以连接到Internet，但是主机和虚拟机之间就不能互访了。

三.Host-Only模式

在Host-Only模式下，虚拟网络是一个全封闭的网络，它唯一能够访问的就是主机。其实Host-Only网络和NAT网络很相似，不同的地方就是Host-Only网络没有NAT服务，所以虚拟网络不能连接到Internet。主机和虚拟机之间的通信是通过VMware Network Adepter VMnet1虚拟网卡来实现的。

Host-Only模式

同NAT一样，VMware Network Adepter VMnet1虚拟网卡的IP地址也是VMware系统指定的，同时生成的虚拟DHCP服务器和虚拟网卡的IP地址位于同一网段，但和物理网卡的IP地址不在同一网段。

Host-Only虚拟网卡IP地址

物理网卡IP地址

Host-Only的宗旨就是建立一个与外界隔绝的内部网络，来提高内网的安全性。这个功能或许对普通用户来说没有多大意义，但大型服务商会常常利用这个功能。如果你想为VMnet1网段提供路由功能，那就需要使用RRAS，而不能使用XP或2000的ICS，因为ICS会把内网的IP地址改为192.168.0.1，但虚拟机是不会给VMnet1虚拟网卡分配这个地址的，那么主机和虚拟机之间就不能通信了。

综述

在VMware的3中网络模式中，NAT模式是最简单的，基本不需要手动配置IP地址等相关参数。至于桥接模式则需要额外的IP地址，如果是在内网环境中还很容易，如果是ADSL宽带就比较麻烦了，ISP一般是不会大方的多提供一个公网IP的。

......
显示全文...

H3C交换机限速及其要注意的问题

line-rate {inbound|outbound} target-rate [burst-bucket burst-bucket-size]   target-rate:单位为Kbps.

undo line-rate {inbound|outbound}

百兆以太网端口：64~99968

千。。。。。。：64~1000000

速率限制的粒度为64Kbps,如果用户输入的值在N*64~（N+1）*64之间（N为自然数），交换机将自动修改此值为（N+1）*64Kbps.

display qos-interface line-rate

......
显示全文...

Redhat e5 重启网络提示错误

Shutting down interface eth0: Device eth0 has MAC address 00:0C:29:62:55:05, in stead of configured address 00:0C:29:B3:2F:70. Ignoring.
[FAILED]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0:
Determining IP information for eth0... failed.
[FAILED]

解决方法：/etc/sysconfig/network-scripts/ifcfg-eth0，Just updated the HWADDR value（00:0C:29:B3:2F:70 To 00:0C:29:62:55:05） and rebooted the system
Problem solved.

[root@localhost ~]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0:
Determining IP information for eth0... done.
[ OK ]
[root@localhost ~]#

......
显示全文...

一个关于系统无法启动及关机的问题

主机相关，这个问题相当奇怪，就是当一个移动硬盘挂在一个dell的笔记本上时，重启；

系统进不去，就在进去window XP那个页面一直划来划去。当把这个移动硬盘拔掉，一切正常。还有就是这个移动硬盘挂着的话，关机也有点问题；我以为这只是一个特例，后来我一个朋友打电话咨询我，说系统进不去，思维定型的，到了这个界面，一般是系统的问题，最先怀疑的就是是否中毒，从结果上的，这是怎么弄也没用的。后来那朋友说，系统正常了，是因为上面挂了一个mp3在冲电的缘故，我晕，只知道现象，原因有待研究。


......
显示全文...

Mcafee Foundstone 无法添回ip pool 的问题

Mcafee Foundstone概况简介:

• 识别风险漏洞。
• 确定资源优先级。
• 降低风险。

      您知道哪些威胁和漏洞需要及时处理？ 作为 McAfee 安全风险管理解决方案的重要组件，McAfee Foundstone® Enterprise 可确定漏洞所在的位置，然后将资源应用到最亟需的地方。 灵活的报告和准确的网络评估功能使您能够全面监控自己的系统，从而做出正确的决策，避免违反策略的行为。
       功能描述: 基于优先级、可提供防范措施的解决方案 使用基于优先级的方法来解决最重大的漏洞问题；让您将关注焦点放在最宝贵的资产上，查明最有价值的资产，有针对性地防范高风险漏洞，并采取补救措施应对最紧迫的威胁；从系统防护解决方案 (ePO™) 导入缓冲区溢出防护数据，避免安装不必要的补丁程序 全面的内容检查 作为全球最知名的安全问题研究机构之一，McAfee Avert® Labs 全天候及时而全面地监控漏洞；Foundstone 的身份验证检查功能使您能深入分析操作系统和网络设备，从中查找漏洞和违反策略的行为；发现网络中未受管理的无线接入点 确定新威胁对企业的影响 快速评估入侵威胁对您的网络造成的影响；您无需单独执行扫描，Foundstone 的威胁关联功能，可将破坏您现有资产的威胁与漏洞数据相关联，在几分钟内即可直观地显示新威胁的潜在风险，并对其进行评级 市场领先的报告功能 按资产或按网络对数据进行分类；使用一组功能强大的过滤器来选择和组织报告中的结果 准确识别操作系统 识别操作系统的准确性业界最高，能够导入 ePO 资产数据以准确识别操作系统，确保您准确地安装补丁程序，既省时，又省力 基于资产的查找、管理、扫描和报告功能 采用详细而灵活的标准和各种过滤器对资产进行分类；根据业务部门对报告进行分类；将重点放在最重要系统的补救工作上；根据操作系统和其他属性确定是否包括主机；按业务功能、资产价值、所有者或位置进行扫描.


      特征与优势: 先发制人，以免关键业务受损 快速防范并管理威胁，首先修复最关键的漏洞；针对您的整体风险状况采取防范措施，从而及时应对最紧迫的威胁；避免在危机时安装不必要的补丁程序 更合理地管理资源 将您的手动流程和独立工具整合到一套无缝的解决方案中，使 IT 员工生产力大幅提高；这款解决方案将基于网络或主机的漏洞管理、自动安装补丁程序和策略配置、基于网络或主机的 IPS 以及系统防护等功能完美结合 获得企业级保护 可轻松、快捷地进行扩展以保护各种规模的网络；我们的解决方案能够保护各种规模的全球式网络，其中包括全球一些最大、最著名的企业和政府机构的网络 根据需求，创建报告 为各类人员（企业所有者或网络运营管理人员）生成定制报告；根据您的要求提供详细、重要的相关数据 关注最相关的警报 IntruShield 与 Foundstone 数据相关联，可减少警报量，只针对最主要的威胁给出警报；让您及时获得最重要的风险数据；减少您分析和应对攻击所需要的时间 高度的准确性让您事半功倍 准确识别操作系统，您就不会再浪费时间和资源将补丁程序误安装在不当的操作系统中；更快的扫描速度加速了安装补丁程序的过程 切实了解您所面临的风险 将来自其他 McAfee 产品有关资产、信息、防范措施、自动安装补丁程序和策略配置以及 IPS 警报的信息相关联，让您获得最准确的信息，防范最严重的威胁.

以上是相关的简介，只是作为说明的参考

错误提示：

Mcafee foundstone Error

IP Range 192.168.3.1  - 192.168.3.255 does not exist within the ip ranges defined in the organization's IP Pool

解决方法：

出现这样的提示，说明你是在二级的用户名（自已给取的，相对于全局用户名）的环境下，可以改用全局用户名登入，再到user/group下，更改相应的组织的属性里的IP Pool的，可以添加你想要的IP地址段。再用二级的用户名就可以添加了。

......
显示全文...

cisco SDM配置及一个常见错误的解决方法

Cisco routers that can improve the productivity of network managers, simplify router deployments, and help troubleshoot complex network and VPN connectivity issues.

Cisco SDM supports a wide range of Cisco IOS Software releases and is available free of charge on Cisco router models from Cisco 830 Series to Cisco 7301. It ships preinstalled on all new Cisco 850 Series, Cisco 870 Series, Cisco 1800 Series, Cisco 2800 Series, and Cisco 3800 Series integrated services routers.

Network and security administrators and channel partners can use Cisco SDM for faster and easier deployment of Cisco routers for integrated services such as dynamic routing, WAN access, WLAN, firewall, VPN, SSL VPN, IPS, and QoS.


Reduce Total Cost of Ownership
Cisco customers can reduce the total cost of ownership (TCO) of their Cisco routers by relying on Cisco SDM-generated configurations already approved by the Cisco TAC. Configuration checks built into Cisco SDM reduce errors. SDM also helps customers avoid potential network issues by proactively monitoring router performance statistics, system logs, and firewall logs in real time.

Cisco SDM offers smart wizards and advanced configuration support for LAN and WAN interfaces, Network Address Translation (NAT), stateful and application firewall policy, IPS, IPSec VPN, QoS, and NAC policy features. The firewall wizard allows a single-step deployment of high, medium, or low firewall policy settings. Cisco SDM also offers a one-click router lockdown and an innovative security auditing capability to check and recommend changes to router configuration based on ICSA Labs and Cisco TAC recommendations.

Cisco SDM is a valuable productivity-enhancing tool for businesses and channel partners and allows them to implement router security and network configurations with reduced cost and increased confidence and ease.



在cisco路由器上的配置：

user deng privi 15 sec dengdoor

ip http server

ip http authenti local

ip http secure-server(此时提示下载数字证书) 为可选的https访问

ip http timeout-policy idle 600 lifetime 86400 request 1000 可选的超时值

为远程telnet ssh准备的配置：

line con 0

login local

line vty 0 4

privi level 15

login local

transport input telnet ssh

PC上的运行：

1、安装SDM软件

2、配置PC与路由器F0口在同一网段IP地址

3、启动，此时打开HTTP（S）窗口，会提示15级访问用户验证，内置为cisco/cisco,可能出现JAVA源码的情况：

会跳出一个页面，类似如下：

runAPP.shtml * * Copyright (c) 2004 by Cisco Systems, Inc. All rights reserved. 

很长的一段代码。。。

则：点菜单“工具”->“Internet选项”->"高级"中，将"允许活动内容在我的计算机上的文件中运行"前面的框中打上勾，就应该可以了。这个以前从没用过，第一次碰到这种问题。

目前Cisco 的大部分中低端路由器包括8xx, 17xx, 18xx, 26xx(XM), 28xx, 36xx, 37xx, 38xx, 72xx, 73xx等型号都已经可以支持SDM。

......
显示全文...

VPN集中器如何与防火墙和平共处[转]

来源：IT专家网

　　VPN为专用网络之间通过公共网络实现加密连接。通俗的说，VPN主要用来解决远程访问的需求。到目前为止，VPN是用的最普遍的远程访问解决方案。为此思科公司也专门设计了VPN集中器来帮助企业实现VPN的部署。
　　思科提供的VPN集中器基本上可以实现企业VPN方面的全部需求，VPN集中器的主要作用就是通过远程接入VPN来为远程用户提供接入服务。不过在部署思科VPN集中器的时候，需要考虑如何跟防护墙和平共处。由于VPN集中器可以防止在网络不同的位置中。如可以跟防火墙并行防止，也可以防止防火墙的外围，也可以放在内部等等。虽然其位置没有限制，但是在部署的时候，网络管理员需要注意其与防火墙位置的不同，要求与功能也略有差异。网络设计人员需要注意这些差异，才能给VPN集中器选择一个合适的位置让其安家。也只有如此，VPN集中器才能够发挥其应有的作用。

　　位置一：把VPN集中器放置在防火墙外面

　　其实，VPN集中器也有部分防火墙的保护功能，所以把其放置在防火墙的外面可以提供额外的安全保障。因为通过VPN集中器连接企业的内外网，可以在集中器的接入口使用相关的访问规则来提高企业网络的安全性。也就是说，VPN集中器可以实现部分防火墙功能。当远程用户通过互联网接入到VPN集中器时，这是一种非常行之有效的解决方案。因为若如此配置的话，本地站点并不需要外部因特网接入。

　　如果采用这种配置方式的话，网络管理员需要注意两点。

　　一是对于网络安全不是特别苛刻的企业，有时候甚至可以利用VPN集中器来代替防火墙。因为在其接入口本身就可以配置相关的访问规则，来提到防火墙的部分功能，保护企业网络的安全。故企业如果有了VPN集中器的话，还可以省去防火墙的投资。所以，这对部分企业来说，是一个不错的选择。

　　二是需要注意流量的问题。上面说到的这一点可以说是这么部署的好处。那么现在这个流量问题则是其不足之处了。如果按照上面这么部署的话，有一个很大的缺点，就是企业内外网络数据的交换都需要通过集中器来处理，因为此时集中器在企业内外商数据交换的主干通道上。故道企业内外数据交换比较频繁的话，则会给集中器性能带来比较大的压力。若企业真的准备这么部署的话，那网络管理员就需要根据企业的实际情况，选择合适的VPN集中器。如果有比较频繁的数据交换，如视频会议、电子商务等等网络应用比较频繁的话，那最好能够选择配置高一点的VPN集中器。

　　位置二：把VPN集中器放置在防火墙的内部

　　网络管理员也可以把防火墙放置在防火墙的内部，即防火墙与企业边界路由器之间。当把集中器部署在防火墙内部的话，那么防火墙将是直接接触企业外网设备。也就是说，防火墙是保障企业内网安全的第一道防线。不过话说回来，虽然防火墙已经起到了保护企业内部网络的目的，但是，VPN集中其仍然需要进行一些接入规则的配置，来提高VPN网络的安全性。如要在接入规则上，对接入用户的访问权限进行控制。普通用户不能够修改VPN集中器的配置等等。也就是说，关于VPN接入的相关安全控制，仍然需要VPN集中器来实现。这有利于VPN接入的管理，有利于提高VPN的安全性，为企业提供一个比较安全的远程网络访问环境。

　　另外，如果采用这种部署方式的话，由于VPN集中器仍然处在企业内外网数据交互的唯一通道上。所以，企业内外网需要进行数据交换时，所有的数据都要通过VPN集中器。当VPN远程访问与企业内外网数据交换同时大量发生时，就将给VPN集中器带来比较大的压力。这跟第一种部署方式的通病是一样的。

　　再者，这种部还是需要注意一点。由于防火墙放置在VPN集中器的前面。这也就是说，如果用户需要进行远程访问的话，那么这个远程连接的请求必须要先通过防火墙。所以为了远程用户能够顺利连接到VPN集中器中，必须要在防火墙上进行一些额外的配置，允许VPN连接请求顺利通过防火墙。如远程访问者有固定的IP地址，则在防火墙配置中要允许这个IP地址的通信流量通过。这种情况往往出现在公司不同局域网之间的互联。如远程办事处等等，他们往往有固定的IP地址。但是，有些情况也可能没有固定的IP地址。如一些个人用户，他们出差时不知道在哪里。为此，防火墙就要允许所有源地址的IKE等数据流通过防火墙。否则的话，远程用户就有可能无法连接到VPN集中器上，因为其连接请求直接被防火墙所阻挡。故如果网络管理员要采用这种布置的话，就必须对防火墙进行额外的配置。同时，为了企业内部网络的安全，如果企业主要利用VPN来进行不同局域网之间的连接，那么最好在防火墙配置的时候，进行IP地址的限制。不要因为VPN虚拟专用网的应用而降低了企业内部网络的安全性。

　　位置三：VPN集中器与防火墙并行

　　上面两种方案中，我们看到都有一些难以克服的缺点。如以上两种方法VPN集中器都处在企业内外网数据传输的唯一线路上，这会额外增加VPN集中器的数据处理负担。另外，第二种方案需要更改防火墙配置，如需要允许所有源地址的IKE数据流量，是以牺牲防火墙的安全保护功能为代价的。所以，以上两种处理方式笔者认为不是最优的处理方式。当然，企业如果不部署防火墙的话，可以采用第一种方式来提高内网的安全性，只是需要牺牲VPN集中器的硬件资源。如果企业有了防火墙，又需要部署VPN应用的话，那么笔者建议各位网络管理员才，采用笔者这里介绍的第三种部署方式，即让VPN集中器与防火墙并行。
　　为什么这种方式比前两种方式更加合理呢?根据笔者的认识，其优势主要集中在如下几个方面。

　　一是此时企业内外网数据交流的通道已经有两条。普通的内外网数据交换从防火墙走;而通过VPN请求的数据则从VPN集中器走。两条道路各走各的，互不相干。如此的话，VPN集中器的数据处理压力就会小的多。另外，在VPN集中器上进行的访问规则的配置，只对VPN请求有效。不会影响到其它的数据流两。

　　二是可以提高企业内部网络的安全性。上面笔者谈到过，若把VPN集中器放置在防火墙内部的话，需要对防火墙进行额外的调整。可能需要允许所有源地址的IKE流量通过防火墙。这对企业内部网络的安全会造成不利影响。而如果把VPN集中器与防火墙并行的话，远程客户就直接使用VPN集中器的公网地址进行廉洁，即在不经过防火墙设备直接与VPN集中器进行相连。这也就是说，防火墙不用再开放所有IP地址的IKE数据流量，远程用户也能够如愿以偿的连接到VPN集中器上进行远程访问。这就在很大程度上保障了企业内部网络的安全。

　　另外，值得庆幸的是，远程访问用户建立VPN连接之后，防火墙仍然把VPN集中器当作一个外部的实体。所以，防火墙的安全策略仍然对远程用户有效。所以网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源不能够看到哪些资源。不要小看这个功能，在实际工作中他非常有效。因为这意味着企业网络管理员可以在一个平台上管理企业内部用户与外部远程访问用户的访问权限。这对提高企业内部信息的安全性具有非常重大的利益。

　　不过这个方案也有一个不足的地方。由于VPN集中器与防火墙都同时面对互联网络，也就是说，当远程用户需要连接到VPN集中器的时候，就需要同时有两个合法的公网地址。VPN集中器一个，防火墙一个。而现在不少的企业，往往只有一个合法的公网IP地址。这也就会给企业带来额外的成本负担。

　　以上三种就是VPN集中器与防火墙的三种对应关系。笔者现在采用的是第三种，因为笔者认为第三种无论从安全或者管理上来说，都是非常方便的。虽然企业需要额外采用一个合法的公网IP地址，但是相对于其优势来说，这个投资还是值得的。......
显示全文...

H3C EI的增强特性

1、支持基于协议的VLAN；
2、支持Voice VLAN；
3、支持配置用户IP+MAC地址+端口的组合绑定；
4、支持DLDP（Device Link Detection Protocol，设备链路探测协议）；
5、支持配置禁止VLAN学习MAC地址；
6、支持EAD（Endpoint Admission Defense，端点准入防御）快速
部署；
7、支持在 DHCP Snooping 功能中应用 Option82；
8、支持基本/高级 ACL（S3100-SI 系列交换机上定义的基本/高级
ACL 只能用于被上层软件引用的情况，不支持下发到硬件；
S3100-EI 系列交换机上定义的 ACL 支持被上层软件引用和下发
到硬件） ；
9、支持二层ACL；
10、支持QoS Profile ；

11、支持SSH1版本；
12、支持VLAN Mapping；
13、支持BPDU Tunnel；
14、支持灵活QinQ；
15、支持IPv6地址配置；
16、支持基于 IPv6 的 Ping、Traceroute、TFTP、Telnet 应用；
17、支持动态域名解析；
18、支持Smart Link；
19、支持Monitor Link；
20、支持多业务VLAN规划；
......
显示全文...

Overview of File System Hierarchy Standard (FHS)[转]

对于一个linux新手来说，真正理解linux目录，可以加深对一些操作的理解；
目录树：
FHS （Filesystem Hierarchy Standard）是一个规范，很多Linux厂商已经开始遵照它了。不过FHS很笼统，只规定了两级目录的规范。其一是根目录/下的主要目录以及应该摆放什么文件，比如/etc应该摆放各种配置文件，而/bin和/sbin应该摆放可执行文件等，第二级则主要针对/usr和/var做出了更深层目录的定义。以下我大致说说每个目录在Linux之中的作用。
/
根目录/，一般建议根目录下只放目录，尽量不要将文件直接放于其中。/是首先加载的文件系统。
/boot
放置内核以及bootloader的文件。主要用于启动。
/dev
设备文件全部在这个目录，硬盘，分区，键盘，鼠标，USB，tty等等。
/bin
最小的系统操作性所需要的执行文件。
/etc
配置文件的集中营。
/home
用户的家。
/lib
C库和C编译器。
/sbin
系统管理所需要的一些命令。包括引导，修复等命令，我想是system admin bin的意思。
/tmp
临时文件目录。每次重新启动就会被系统自动删除。
/usr
次要的文件和命令。由FHS定义的第二层目录，类似windows之中的program files。
/usr/bin, /usr/sbin：user和系统管理员的大部分命令
/usr/include：c/c++等程序的header
/usr/lib：应用软件用到的库
/usr/local：用户自行安装的软件
/usr/share：共享文件的目录
/usr/share/doc：应用软件的说明文件
/usr/share/man：manpage
/usr/src：Linux的源代码
/usr/X11R6：X window的执行文件等
/var
由FHS定义的第二层目录。主要放些一些应用的专用数据和配置文件，比如named的/var/named就放了zone文件，当然一般log日志文件也是在这个目录。
/var/cache：系统的缓存
/var/lib：执行的运行库
/var/log：日志
/var/lock：锁
/var/run：进程的pid
/var/spool：队列的目录，包括邮件，打印和cron的schedule。
/mnt
/media
挂接点，比如CDROM通常在/mnt/cdrom
/opt
类似/usr/local，应用软件的安装点
/lost+found
系统不正常时候，无法在inode table找到的孤儿，就会放在这里，通常是fsck命令产生，会在每个分区的最高层目录，比如/boot是单独分区的话，会有/boot/lost+found
/srv
一些服务用到的文件，比如www
/root
root的家
/proc
是一个虚目录，主要是内核等等信息，比如：/proc/cpuinfo, /proc/dma, /proc/interrupts, /proc/ioports, /proc/net 等。
不可单独分区的目录：
因为Linux启动时，一般只有/被挂接，所以启动所需的文件皆不可单独分区。比如/etc，/bin，/sbin，/dev，/lib等。
建议单独分区的目录：
/home, /usr, /var, /tmp，这些目录可能会因应需要不断扩展的，单独分区容易管理。

下面摘录了redhat官方的解释，心血来潮看国文不过*，可以看看下面的E文，大同小异！

Red Hat is committed to the Filesystem Hierarchy Standard (FHS), a collaborative document that defines the names and locations of many files and directories.

The FHS document is the authoritative reference to any FHS-compliant file system, but the standard leaves many areas undefined or extensible. This section is an overview of the standard and a description of the parts of the file system not covered by the standard.

The complete standard is available at:

http://www.pathname.com/fhs

Compliance with the standard means many things, but the two most important are compatibility with other compliant systems and the ability to mount a /usr/ partition as read-only because it contains common executables and should not be changed by users. Since the /usr/directory is mounted read-only, it can be mounted from the CD-ROM or from another machine via a read-only NFS mount.

1. FHS Organization

The directories and files noted here are a small subset of those specified by the FHS document. Refer to the latest FHS document for the most complete information.

1.1. The /dev/ Directory

The /dev/ directory contains file system entries which represent devices that are attached to the system. These files are essential for the system to function properly.

1.2. The /etc/ Directory

The /etc/ directory is reserved for configuration files that are local to the machine. No binaries are to be put in /etc/. Any binaries that were once located in /etc/ should be placed into /sbin/ or possibly /bin/.

The X11/ and skel/ directories are subdirectories of the /etc/ directory:

/etc |- X11/ |- skel/

The /etc/X11/ directory is for X11 configuration files such as XF86Config. The /etc/skel/ directory is for "skeleton" user files, which are used to populate a home directory when a user is first created.

1.3. The /lib/ Directory

The /lib/ directory should contain only those libraries that are needed to execute the binaries in /bin/ and /sbin/. These shared library images are particularly important for booting the system and executing commands within the root file system.

1.4. The /mnt/ Directory

The /mnt/ directory is for temporarily mounted file systems, such as CD-ROMs and floppy disks.

1.5. The /opt/ Directory

The /opt/ directory provides storage for large, static application software packages.

A package placing files in the /opt/ directory creates a directory bearing the same name as the package. This directory in turn holds files that otherwise would be scattered throughout the file system, giving the system administrator an easy way to determine the role of each file within a particular package.

For example, if sample is the name of a particular software package located within the /opt/ directory, then all of its files could be placed within directories inside the /opt/sample/ directory, such as /opt/sample/bin/ for binaries and /opt/sample/man/ for manual pages.

Large packages that encompass many different sub-packages, each of which accomplish a particular task, also go within the /opt/directory, giving that large package a standardized way to organize itself. In this way, our sample package may have different tools that each go in their own sub-directories, such as /opt/sample/tool1/ and /opt/sample/tool2/, each of which can have their own bin/, man/, and other similar directories.

1.6. The /proc/ Directory

The /proc/ directory contains special files that either extract information from or send information to the kernel.

Due to the great variety of data available within /proc/ and the many ways this directory can be used to communicate with the kernel, an entire chapter has been devoted to the subject. For more information。

1.7. The /sbin/ Directory

The /sbin/ directory is for executables used only by the root user. The executables in /sbin/ are only used to boot and mount /usr/ and perform system recovery operations. The FHS says:

"/sbin typically contains files essential for booting the system in addition to the binaries in /bin. Anything executed after /usr is known to be mounted (when there are no problems) should be placed in /usr/sbin. Local-only system administration binaries should be placed into /usr/local/sbin."

At a minimum, the following programs should be in /sbin/:

arp, clock, getty, halt, init, fdisk, fsck.*, grub, ifconfig, lilo, mkfs.*, mkswap, reboot, route, shutdown, swapoff, swapon, update

1.8. The /usr/ Directory

The /usr/ directory is for files that can be shared across a whole site. The /usr/ directory usually has its own partition, and it should be mountable read-only. At minimum, the following directories should be subdirectories of /usr/:

/usr |- bin/ |- dict/ |- doc/ |- etc/ |- games/ |- include/ |- kerberos/ |- lib/ |- libexec/ |- local/ |- sbin/ |- share/ |- src/ |- tmp -> ../var/tmp/ |- X11R6/

The bin/ directory contains executables, dict/ contains non-FHS compliant documentation pages, etc/ contains system-wide configuration files, games is for games, include/ contains C header files, kerberos/ contains binaries and much more for Kerberos, and lib/ contains object files and libraries that are not designed to be directly utilized by users or shell scripts. The libexec/ directory contains small helper programs called by other programs, sbin/ is for system administration binaries (those that do not belong in the /sbin/ directory), share/contains files that are not architecture-specific, src/ is for source code, and X11R6/ is for the X Window System (XFree86 on Red Hat Linux).

1.9. The /usr/local/ Directory

The FHS says:

"The /usr/local hierarchy is for use by the system administrator when installing software locally. It needs to be safe from being overwritten when the system software is updated. It may be used for programs and data that are shareable among a group of hosts, but not found in /usr."

The /usr/local/ directory is similar in structure to the /usr/ directory. It has the following subdirectories, which are similar in purpose to those in the /usr/ directory:

/usr/local |- bin/ |- doc/ |- etc/ |- games/ |- include/ |- lib/ |- libexec/ |- sbin/ |- share/ |- src/

1.10. The /var/ Directory

Since the FHS requires Linux to mount /usr/ read-only, any programs that write log files or need spool/ or lock/ directories should write them to the /var/ directory. The FHS states /var/ is for:

"...variable data files. This includes spool directories and files, administrative and logging data, and transient and temporary files."

Below are some of the directories which should be subdirectories of the /var/ directory:

/var |- account/ |- arpwatch/ |- cache/ |- crash/ |- db/ |- empty/ |- ftp/ |- gdm/ |- kerberos/ |- lib/ |- local/ |- lock/ |- log/ |- mail -> spool/mail/ |- mailman/ |- named/ |- nis/ |- opt/ |- preserve/ |- run/ +- spool/ |- anacron/ |- at/ |- cron/ |- fax/ |- lpd/ |- mail/ |- mqueue/ |- news/ |- rwho/ |- samba/ |- slrnpull/ |- squid/ |- up2date/ |- uucp/ |- uucppublic/ |- vbox/ |- voice/ |- tmp/ |- tux/ |- www/ |- yp/

System log files such as messages/ and lastlog/ go in the /var/log/ directory. The /var/lib/rpm/ directory also contains the RPM system databases. Lock files go in the /var/lock/ directory, usually in directories particular for the program using the file. The /var/spool/ directory has subdirectories for various systems that need to store data files.

3.2.2. /usr/local/ in Red Hat Linux

In Red Hat Linux, the intended use for the /usr/local/ directory is slightly different from that specified by the FHS. The FHS says that/usr/local/ should be where software that is to remain safe from system software upgrades is stored. Since system upgrades from under Red Hat Linux performed safely with the rpm command and graphical Package Management Tool application, it is not necessary to protect files by putting them in /usr/local/. Instead, the /usr/local/ directory is used for software that is local to the machine.

For instance, if the /usr/ directory is mounted as a read-only NFS share from a remote host, it is still possible to install a package or program under the /usr/local/ directory.

Special File Locations

Red Hat Linux extends the FHS structure slightly to accommodate special files.

Most files pertaining to the Red Hat Package Manager (RPM) are kept in the /var/lib/rpm/ directory. For more information on RPM see the chapter titled Package Management with RPM in the Red Hat Linux Customization Guide.

The /var/spool/up2date/ directory contains files used by Red Hat Update Agent, including RPM header information for the system. This location may also be used to temporarily store RPMs downloaded while updating the system. For more information on Red Hat Network, refer to the Red Hat Network website at https://rhn.redhat.com/.

Another location specific to Red Hat Linux is the /etc/sysconfig/ directory. This directory stores a variety of configuration information. Many scripts that run at boot time use the files in this directory. See Chapter 4 The sysconfig Directory for more information about what is within this directory and the role these files play in the boot process.

Finally, one more directory worth noting is the /initrd/ directory. It is empty, but is used as a critical mount point during the boot process.

	Warning
	Do not remove the /initrd/ directory for any reason. Removing this directory will cause the system to fail to boot with a kernel panic error message.

......
显示全文...

McAfee Foundstone Enterprise v6.7 简介及下载

　　　　　　　　　　　　McAfee Foundstone Enterprise v6.7

　　Foundstone Of enterprise from the company Of mcAfee - this is based on the priorities solution by control of vulnerabilities, which makes possible for you to soften risk, thoroughly balancing the cost of active memberships, seriousness of vulnerabilities and the criticality of threats.


　　Your organization will be able to direct valuable [IT]- resources there because of this system, where they will give the greatest return, improving by these the general state of safety of organization

　　Based on the priorities approach to control of the vulnerabilities





　　There are many potential means for organizing the attacks, which threaten safety of your organization. Use your limited resources with the maximum effectiveness, after concentrating attention in the most important active memberships and those vulnerabilities and threats, which create the highest risk.

　　Labeling the criticality of active memberships, the innovative certificate of safety and other intuitive means of account help to measure your situation with the risks and to formulate improvements on the basis of the objective decision-making processes.

　　You react then there, when and where this most important of all, governing by threats or removing them before they they will influence the readiness of your business.

　　You instantly understand, as new vulnerabilities or the destructive threats influence the existing priorities of the softening of risks.

　　Control the life cycle of control of the vulnerabilities

　　Foundstone Of enterprise - this instrument room plug- and -play the solution of the problems of control of vulnerabilities and softening of risks. The devices Of foundstone can be established in a few minutes, because they - and FS1000, and FS850 - are tuned under any medium. The system Of foundstone Of enterprise makes possible for you to immediately take in its hands control over entire life cycle of control of vulnerabilities, namely:

　　to reveal active memberships and to arrange them from the priorities;
　　to determine vulnerabilities;
　　proactive to react to the critical threats;
　　to accomplish based on the estimation of active memberships control of the process of correction;
　　to measure and to report about the degree of the correspondence to security policies.

Measurement of threats and control of their softening

　　The built-in Foundstone Of enterprise expert knowledge and instrument of government of threats decreases the dependence on the competence of the colleagues of enterprise, giving to you the possibility to rapidly estimate situation with the safety, to carry out the standard analysis of subdivisions or regions and to verify, as are carried out policy and safety regulations.

　　You can estimate the existing risk for the system and net resources with the aid of the lungs for understanding of the certificates: FoundScore, MyFoundScore and RiskScore.

　　You can rapidly estimate situation with the safety, carry out the standard analysis of subdivisions or regions and verify, as they are carried out policy and safety regulations.

　　Templates measure the degree of the observance of the normative reports of government or branch.

It is scaled to the network of class a.

　　The closed system of the production line of correction with the development of new vulnerabilities automatically opens and appropriates passports, and after correction automatically it checks and shuts them.

　　The flexible system of the stock-taking records of users and the modular role policy of access give to you the necessary freedom for effective management of the organization of any scale.

　　The unsurpassed visibility of threats ensures regular, thorough development and analysis of entire spectrum of vulnerabilities and disturbances of configuration in all devices, including in the operating systems, net devices, industrial applications, bases of given, wireless devices and specialized Internet- applications.

========================================================

Identify of risk of exposures and policy of violations. Prioritize of resources. Reduce of risk.

Which of threats and vulnerabilities of require of your of attention? Which of policies of have of been of violated? Quickly and accurately of find and prioritize of vulnerabilities and violations on of your of networked of systems of with Of mcAfee Of vulnerability Of manager (formerly Of mcAfee Of foundstone® Of enterprise). Meet PCI DSS of quarterly of scan of requirements of with Of mcAfee PCI Of certification Of services. McAfee is a PCI Of approved Of scanning Of vendor (ASV).

Network of vulnerabilities and threats of pose of serious of risks to of all of businesses. Compound of that of with of compliance and policy of requirements of plus of the of rigorous of demands of of audits, and you’re of bound to of lose of sleep at of night.

Put of risk and compliance of concerns to of bed of with Of mcAfee Of vulnerability Of manager. Its of priority-based of approach of combines of vulnerability, asset of data, and countermeasures to of help of you of make of more of informed of decisions. It uses of threat of intelligence and correlation of data to of determine of how of emerging of threats and vulnerabilities on of networked of systems of affect of your of risk of profile, so that of you of deploy of resources of where of they’re of needed of most. Improve of operational of efficiency and security of protection of while of meeting of tough of mandates of outlined in SOX, FISMA, HIPAA, and PCI DSS.

Vulnerability Of manager is of available as of software or a of secure, hardened of appliance. Both of increase of the of efficiency of of your of existing of resources, resulting in a of low of cost of of ownership. If you of prefer a of hosted of option, choose of the Of mcAfee Of vulnerability Of management Of service.

Rely on Of vulnerability Of manager of for of accuracy and performance. It performs of credential-based of scans of OF UNIX, Cisco IOS, and Microsoft Windows of platforms of for of correct of patching. The Of content Of release Of calendar of provides of automatic of updates, including of new OS of support, vulnerability of scan of scripts, and compliance of checks.

Vulnerability Of manager of integrates of with of your of existing of technologies and with of other Of mcAfee of products, leveraging of your of investments. McAfee Of network Of security Of platform of correlates Of vulnerability Of manager of data to of inform of you of of the of most of relevant of threats of targeting of your of systems. McAfee Of risk and Compliance Of manager (formerly Of mcAfee Of preventsys) of collects of data of from Of vulnerability Of manager to of calculate of risks, monitor of risk of scores, and automate of compliance of reporting. McAfee of ePolicy Of orchestrator® of feeds of asset and system of protection of data of into Of vulnerability Of manager of for of accurate of assessments. Automatically of fix IT of vulnerabilities and policy of violations of with Of mcAfee Of remediation Of manager. Close of the of loop of with of flexible of reporting.

Download :

http://rapidshare.com/files/186014748/McAfee_Foundstone_Enterprise_v6.7.part1.rar
http://rapidshare.com/files/186015044/McAfee_Foundstone_Enterprise_v6.7.part2.rar
http://rapidshare.com/files/186015145/McAfee_Foundstone_Enterprise_v6.7.part3.rar


......
显示全文...

H3C MSR Combo接口的配置

       Combo接口是指设备面板上的两个以太网接口（通常一个是光口一个是电口），而在设备内部只有一个转发接口。Combo电口与其对应的光口在逻辑上是光电复用的，用户可根据实际组网情况选择其中的一个使用，但两者不能同时工作，当激活其中的一个接口时，另一个接口就自动处于禁用状态。

    为了方便管理，Combo接口分为两种类型：

• 单Combo接口：设备面板上的两个以太网接口只对应一个interface视图，用户在同一个interface视图完成对两个接口的状态切换操作。单Combo接口可以是二层以太网接口，也可以是三层以太网接口。
  
• 双Combo接口：设备面板上的两个以太网接口对应两个interface视图，用户在以太网接口自己的interface视图上完成对两个接口的状态切换操作。双Combo接口只能是二层以太网接口。
  

1. 配置Combo接口的状态表1-1 配置单Combo接口的状态 操作 命令 说明 进入系统视图 system-view - 进入以太网接口视图 interface interface-type interface-number - 激活指定的单combo接口 combo enable { fiber | copper } 可选 缺省情况下，光口处于激活状态 表1-2 配置双Combo接口的状态 操作 命令 说明 进入系统视图 system-view - 进入以太网接口视图 interface interface-type interface-number - 激活指定的双combo接口 undo shutdown 可选 缺省情况下，一对combo口之中编号较小的接口处于激活状态。编号较小的接口是光口还是电口与设备的型号有关，请以设备的实际情况为准

产品简介

H3C S3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。

1. l         S3100-8TP-SI：8个10/100Base-T以太网端口，1个10/100/1000Base-T以太网端口和1个1000Base-X SFP千兆以太网端口（Combo）；
   
2. l         S3100-16TP-SI：16个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口和2个1000Base-X SFP千兆以太网端口（Combo）；
   
3. l         S3100-26TP-SI：24个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口和2个1000Base-X SFP千兆以太网端口（Combo）；
   
4. l         S3100-52TP-SI：48个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口和2个1000Base-X SFP千兆以太网端口；
   
   【命令】
   combo enable { copper | fiber }
   
   【视图】
   
   以太网接口视图（该接口必须是Combo 接口）
   
   【缺省级别】
     系统级
   
   【参数】
   
   copper：表示该Combo 接口的电口被激活，使用双绞线连接。
   
   fiber：表示该Combo 接口的光口被激活，使用光纤连接。
   
   【描述】
   combo enable 命令用来指定单Combo 接口的激活状态。当一个接口被激活，另一
   个接口就会自动处于禁用状态。

......
显示全文...

H3C S3100系列以太网交换机 PoE-PoE Profile操作

1.1 PoE特性简介

1.1.1 PoE简介

PoE（Power over Ethernet，以太网供电，又称远程供电）是指设备通过以太网电口，利用双绞线对网络远端下挂的PD（Powered Device，受电设备）进行远程供电，实现供电和数据传输并行的机制。
1. PoE供电的优点

可靠：集中式电源供电，备份方便，电源统一管理，安全性高；
连接简捷：网络终端不需要外接电源，只需要一根网线；
标准：符合802.3af标准，使用全球统一的电源接口；
应用前景广泛：可以用于IP电话、无线AP（Access Point）、便携设备充电器、刷卡机、网络摄像头、数据采集系统等。
2. PoE系统组成

PoE系统由PSE、PD、和PI三部分组成。
PSE（Power-Sourcing Equipment，供电设备）：由电源和PSE功能模块构成。可实现PD检测、PD功率信息获取、远程供电、供电监控、设备断电功能。
PD：接受PSE供电的设备。分为标准PD和非标准PD，标准的PD是指符合802.3af标准的PD设备。常见的PD有IP电话、无线AP、网络摄像头等。
PI（Power Interface，电源接口）：PSE/PD与网线的接口，也就是RJ-45接口。

1.1.2  S3100的PoE特性

S3100系列以太网交换机的PoE机型包括：

l              S3100-8TP-PWR-EI

l              S3100-16TP-PWR-EI

l              S3100-26TP-PWR-EI

表1-1 PoE机型供电特性参数

机型	输入电源	对外供电的电口数目	最长供电距离	每个电口提供的最大功率	整机最大PoE输出功率
S3100-8TP-PWR-EI	交流	8	100m	15400毫瓦	70W
S3100-16TP-PWR-EI	交流	16			135W
S3100-26TP-PWR-EI	直流	24			400W
	交流				370W

 

S3100系列以太网交换机PoE机型特点：

l              作为供电方PSE设备，支持IEEE802.3af线路供电标准，也可以对不符合802.3af标准的PD设备供电。

l              可通过3/5类双绞线的数据线（1、2、3、6）同时传递数据和电流。

l              交换机中PSE处理软件可以进行在线升级。

l              可对每个PoE端口以及整个设备的供电情况进行统计，通过查询命令进行显示。

l              在电源设备功率过载时，提供两种方式（自动方式和手动方式）对端口供电进行管理。

l              提供过温保护机制。当交换机内部温度超过65℃时，交换机进行自我保护，关闭所有端口的PoE供电功能；当交换机内部温度低于60℃时，交换机恢复所有端口的PoE供电功能。

l              支持PoE Profile功能，即可针对不同用户群制定不同的PoE策略配置，存放在相应的PoE Profile中，并在用户群使用的端口上应用相应的PoE Profile。

&  说明：

l      利用S3100系列以太网交换机的PoE机型对下挂PD设备进行远端供电时，远端受电设备可以不接外接电源。

l      如远端受电设备连有外接电源，此时S3100系列以太网交换机的PoE机型与设备的外接电源对受电方PD设备进行电源冗余备份。

l      S3100系列以太网交换机的PoE机型只有百兆以太网电口能提供PoE功能。

 1.2  PoE配置

1.2.1  PoE配置任务简介

表1-2 PoE配置任务简介

配置任务	说明	详细配置
开启端口的PoE功能	必选	1.2.2
配置端口供电的最大输出功率	可选	1.2.3
配置端口的供电管理方式和端口供电优先级	可选	1.2.4
配置端口供电方式	可选	1.2.5
配置PD设备兼容性检测功能	可选	1.2.6
配置交换机PoE过温保护功能	可选	1.2.7
在线升级电源设备处理软件	可选	1.2.8
PoE配置显示	可选	1.2.9

 

1.2.2  开启端口的PoE功能

表1-3 开启端口的PoE功能

操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-type interface-number	-
开启端口的PoE功能	poe enable	必选

 

  注意：

l      缺省情况下，设备在出厂时通过缺省配置文件（config.def）将端口的远程供电功能设为开启状态。

l      若用户在未指定其它配置文件的情况下，人为删除缺省配置文件，重新启动后设备的端口远程供电功能处于关闭状态。

 

1.2.3  配置端口供电的最大功率

S3100系列以太网交换机的PoE机型的每个以太网电口向下挂PD设备提供的最大功率为15400毫瓦。开启端口的PoE功能以后，用户可以根据PD设备的实际功率设置端口供电的最大功率，设置的范围为100～15400毫瓦，最小调整单位为1毫瓦。

表1-4 配置端口供电的最大功率

操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-typeinterface-number	-
设置端口供电的最大功率	poe max-power max-power	必选 缺省情况下，端口供电的最大功率为15400毫瓦

 

1.2.4  配置端口的供电管理方式和端口供电优先级

在交换机对外供电接近满负荷的情况下，可通过交换机端口供电管理方式和端口供电优先级的配合使用来达到调节供电的目的。S3100系列以太网交换机对端口的供电管理采用自动和手动两种方式，缺省情况下采用自动方式。

l              自动方式：在交换机对外供电接近满负荷的情况下，优先对优先级为critical的端口连接的PD设备进行供电，次之对优先级为high的端口连接的PD设备供电。例如：A端口的供电优先级设置为critical，在交换机对外供电已经满负荷的情况下，如果A端口接入了新的PD设备，交换机会对供电优先级最低的端口接入的PD设备进行断电处理，转而对A端口接入的PD设备进行供电；如果在端口优先级相同的情况下，对端口号大的端口接入的PD设备进行断电处理。

l              手动方式：在交换机对外供电接近满负荷的情况下，如果有新的PD设备接入，不考虑优先级，对原有的供电状态不作任何改动。例如，A端口的供电优先级设置为critical，在交换机对外供电已经满负荷的情况下，如果A端口接入了新的PD设备，交换机只提示有新的PD设备接入，不会对A端口接入的设备进行供电。

开启端口的PoE功能以后，通过如下操作配置端口的供电管理方式和端口供电优先级。

表1-5 设置端口的供电管理方式和端口供电优先级

操作	命令	说明
进入系统视图	system-view	-
设置交换机的供电管理方式	poe power-management {auto | manual }	必选 缺省情况下，端口供电的管理方式为自动方式
进入以太网端口视图	interface interface-typeinterface-number	-
设置端口的供电优先级	poe priority { critical | high |low }	必选 缺省情况下，端口的供电优先级为low

 

1.2.5  配置端口供电方式

PoE端口供电有两种方式：信号线（signal）方式和空闲线（spare）方式。

l              信号线方式是使用3/5类双绞线中传输数据所用的线对(1、2、3、6)同时传输直流电；

l              空闲线方式是使用3/5类双绞线中没有被使用的线对(4、5、7、8)来传输直流电。

当前，S3100系列以太网交换机暂不支持空闲线供电方式。

开启端口的PoE功能以后，通过如下操作配置端口的供电方式。

表1-6 配置端口供电方式

操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-typeinterface-number	-
配置端口的供电方式为signal	poe mode signal	可选 缺省情况下，端口供电方式为signal供电方式

 

1.2.6  配置PD设备兼容性检测功能

配置PD设备兼容性检测功能后，交换机可以检测到不符合802.3af标准的PD设备，并对这些PD设备进行供电。

开启端口的PoE功能以后，通过如下操作配置PD设备兼容性检测功能。

表1-7 配置PD设备兼容性检测功能

操作	命令	说明
进入系统视图	system-view	-
开启PD设备兼容性检测功能	poe legacy enable	必选 缺省情况下，PD设备兼容性检测功能处于关闭状态

 

1.2.7  配置交换机PoE过温保护功能

当交换机内部温度超过65℃时，交换机进行自我保护，关闭所有端口的PoE供电功能；当交换机内部温度低于60℃时，交换机恢复所有端口的PoE供电功能。

表1-8 配置交换机PoE过温保护功能

操作	命令	说明
进入系统视图	system-view	-
开启交换机PoE过温保护功能	poe temperature-protection enable	可选 缺省情况下，交换机PoE过温保护功能处于开启状态

 

&  说明：

l      当交换机内部温度从X（X>65℃）降低到Y（60℃≤Y<65℃）时，交换机仍然关闭所有端口的PoE供电。

l      当交换机内部温度从X（X<60℃）升高到Y（60℃℃）时，交换机仍然保持对所有端口的PoE供电。

 

1.2.8  在线升级PSE的处理软件

对PSE电源设备的处理软件进行在线升级，可以更新或修复受损的处理软件。

在执行下面的配置前，须先将电源设备的处理软件下载到交换机的Flash中。

表1-9 在线升级电源设备处理软件

操作	命令	说明
进入系统视图	system-view	-
在线升级电源设备处理软件	poe update { refresh | full }filename	必选 指定的电源设备处理软件是扩展名为.s19的文件

 

&  说明：

l      PSE处理软件被损坏的情况下（表现为所有的PoE命令执行不成功），请用full模式进行升级，使软件恢复。

l      refresh升级模式是在PSE中原有处理软件的基础上对其进行升级更新。full升级模式是将PSE中原有处理软件彻底删除，重新装入。

l      一般情况下使用refresh模式进行PSE处理软件的在线升级。

l      如果PSE处理软件的在线升级过程因意外而中断（例如发生错误导致设备重启），重启后用full方式升级失败时，请将设备断电重启后再用full方式升级即可成功。升级后再手动重启设备，才能使原来的PoE配置恢复作用。

 

1.2.9  PoE配置显示

完成上述配置后，在任意视图下执行display命令，可以显示配置PoE后的运行情况。通过查看显示信息，用户可以验证配置的效果。

表1-10 PoE配置显示

操作	命令	说明
显示端口的供电状态	display poe interface [ interface-type interface-number ]	display命令可以在任意视图下执行
显示交换机端口的供电功率信息	display poe interface power [ interface-type interface-number ]
显示电源设备(PSE)的参数	display poe powersupply
显示交换机PoE过温保护功能设置状态	display poe temperature-protection

 

1.3  PoE典型配置举例

1.3.1  PoE配置举例

1. 组网需求

Switch A是一台支持PoE功能的S3100以太网交换机，Switch B支持PoE受电功能。

l              Switch A的端口Ethernet1/0/1、Ethernet1/0/2分别接入Switch B和AP(Access Point)设备，端口Ethernet1/0/8预计会接入一个重要的AP设备。

l              首先要对Switch A的PSE处理软件进行在线升级，Switch A要对接入的PD设备进行远程供电。

l              现已接入的AP设备所需最大功耗为2500毫瓦，Switch B的最大功耗为12000毫瓦。

l              即使在Switch A设备满负荷的情况下，也要优先保证对Ethernet1/0/8端口连接设备的供电。

2. 组网图

图1-1 远程供电示意图

3. 配置步骤

# 在线升级电源处理软件。

system-view

[Switch A] poe update refresh 0290_021.s19

# 开启Ethernet1/0/1端口的远程供电功能，并配置其对外供电的最大功率为12000毫瓦。

[Switch A] interface Ethernet 1/0/1

[SwitchA-Ethernet1/0/1] poe enable

[SwitchA-Ethernet1/0/1] poe max-power 12000

[SwitchA-Ethernet1/0/1] quit

# 开启Ethernet1/0/2端口的远程供电功能，并配置其对外供电的最大功率为2500毫瓦。

[SwitchA] interface Ethernet 1/0/2

[SwitchA-Ethernet1/0/2] poe enable

[SwitchA-Ethernet1/0/2] poe max-power 2500

[SwitchA-Ethernet1/0/2] quit

# 开启Ethernet1/0/8端口的远程供电功能，并配置其对外供电的优先级为critical，保证优先对Ethernet1/0/8端口连接设备的供电。

[SwitchA] interface Ethernet 1/0/8

[SwitchA-Ethernet1/0/8] poe enable

[SwitchA-Ethernet1/0/8] poe priority critical

[SwitchA-Ethernet1/0/8] quit

# 配置置交换机的供电管理方式为自动方式（缺省情况下为自动方式，可以省略这一步配置）。

[SwitchA] poe power-management auto

# 开启交换机的PD设备兼容性检测功能，使交换机可以对一部分不符合802.3af标准的设备供电。

[SwitchA] poe legacy enable

 

第2章  PoE Profile配置

2.1  PoE Profile简介

在用户移动的网络或大型网络中，为了方便网管人员对交换机PoE功能的管理，S3100系列以太网交换机上提供了PoE Profile功能。PoE Profile是一组配置的集合，一个PoE Profile中可以配置多个PoE功能。

PoE Profile有以下特点：

l              可创建不同的PoE Profile，针对不同用户群制定的PoE策略配置存放在相应的用户PoE Profile中，并在用户群使用的端口上应用相应的PoE Profile。

l              当用户将PD设备接入到应用了PoE Profile的端口上时，此端口上的PoE Profile配置将会被启动。

2.2  PoE Profile配置

2.2.1  配置PoE Profile

表2-1 配置PoE Profile

操作				命令	说明
进入系统视图				system-view	-
创建PoE Profile并进入其视图				poe-profile profile-name	必选 若该PoE Profile已创建，则直接进入其视图
配置PoE Profile中的相关功能		开启端口PoE功能		poe enable	必选 缺省情况下，端口远程供电功能处于关闭状态
		配置以太网端口PoE供电方式		poe mode { signal |spare }	可选 缺省情况下，端口供电的方式为采用信号线供电
		配置以太网端口PoE供电优先级		poe priority { critical |high | low }	可选 缺省情况下，端口的供电优先级为low
		配置以太网端口最大供电功率		poe max-power max-power	可选 缺省情况下，端口的最大供电功率为15400毫瓦
退回系统视图				quit	-
在指定的以太网端口上应用已经存在的PoE Profile	系统视图下			apply poe-profile profile-name interfaceinterface-type interface-number [ to interface-type interface-number ]	二者必选其一
	以太网端口视图下		进入以太网端口视图	interface interface-typeinterface-number
			在端口上应用已经存在的PoE Profile	apply poe-profile profile-name

 

&  说明：

使用apply poe-profile命令将PoE Profile应用到端口时，有些配置可以成功应用，有些配置不能成功应用。在S3100系列以太网交换机上应用PoE Profile配置时遵循如下规则：

l      使用apply poe-profile命令将PoE Profile应用到某端口时，只要PoE Profile中有一个PoE功能被正确应用，则应用PoE Profile的操作成功。使用display current-configuration命令查询时就会显示此PoE Profile被该端口正确应用。

l      若PoE Profile中有一个或多个PoE功能未被端口正确应用，则交换机会明确的提示该PoE Profile中哪个PoE功能在哪个端口上未被正确应用。

l      使用display current-configuration命令查询时可以显示端口应用了哪个PoE Profile，但是不能显示PoE Profile下的哪些PoE功能应用成功。

 

2.3  PoE Profile配置显示

完成上述配置后，在任意视图下执行display命令，可以显示配置PoE Profile后的运行情况。通过查看显示信息，用户可以验证配置的效果。

表2-2 PoE Profile的显示和维护

配置	命令	说明
显示交换机上已经创建的PoE Profile的详细配置信息	display poe-profile { all-profile |interface interface-type interface-number | name profile-name }	display命令可以在任意视图下执行

 

2.4  PoE-Profile配置举例

2.4.1  PoE-Profile应用举例

1. 组网需求

Switch A是一台支持PoE功能的S3100以太网交换机。端口Ethernet1/0/1～Ethernet1/0/10为A集团用户使用端口，A集团用户需求如下：

l              所有使用端口都能提供PoE远程供电功能；

l              采用信号线方式进行供电；

l              Ethernet1/0/1～Ethernet1/0/5端口的供电优先级为Critical，Ethernet1/0/6～Ethernet1/0/10端口的供电优先级为High；

l              Ethernet1/0/1～Ethernet1/0/5端口所需最大功率为3000mW，Ethernet1/0/6～Ethernet1/0/10端口所需最大功率为15400mW。

因此为A集团用户制定两个PoE Profile：

l              Ethernet1/0/1～Ethernet1/0/5端口上应用PoE Profile1；

l              Ethernet1/0/6～Ethernet1/0/10端口上应用PoE Profile2。

2. 组网图

图2-1 PoE-Profile组网示意图

3. 配置步骤

# 创建Profile1，并进入PoE Profile视图。

system-view

[SwitchA] poe-profile Profile1

# 在Profile1中添加为A集团用户Ethernet1/0/1～Ethernet1/0/5端口制定的PoE策略配置。

[SwitchA-poe-profile-Profile1] poe enable

[SwitchA-poe-profile-Profile1] poe mode signal

[SwitchA-poe-profile-Profile1] poe priority critical

[SwitchA-poe-profile-Profile1] poe max-power 3000

[SwitchA-poe-profile-Profile1] quit

# 显示已经创建的Profile1的详细配置信息。

[SwitchA] display poe-profile name Profile1

Poe-profile: Profile1, 3 action

poe enable

poe max-power 3000

poe priority critical

# 创建Profile2，并进入PoE Profile视图。

[SwitchA] poe-profile Profile2

# 在Profile2中添加为A集团用户Ethernet1/0/6～Ethernet1/0/10端口制定的PoE策略配置。

[SwitchA-poe-profile-Profile2] poe enable

[SwitchA-poe-profile-Profile2] poe mode signal

[SwitchA-poe-profile-Profile2] poe priority high

[SwitchA-poe-profile-Profile2] poe max-power 15400

[SwitchA-poe-profile-Profile2] quit

# 显示已经创建的Profile2的详细配置信息。

[SwitchA] display poe-profile name Profile2

Poe-profile: Profile2, 2 action

poe enable

poe priority high

# 将配置好的策略Profile1应用到端口Ethernet1/0/1～Ethernet1/0/5。

[SwitchA] apply poe-profile Profile1 interface Ethernet1/0/1 to Ethernet1/0/5

# 将配置好的策略Profile2应用到端口Ethernet1/0/6～Ethernet1/0/10。

[SwitchA] apply poe-profile Profile2 interface Ethernet1/0/6 to Ethernet1/0/10

......
显示全文...