- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-EPA配置
本章節下載: 09-EPA配置 (293.56 KB)
目 錄
使用EPA(Endpoint Analysis,終端分析)功能,可以在H3C設備上監控通過H3C設備接入IP網絡的終端(如攝像頭、IP電話等)的上下線信息。
EPA功能監控終端在本設備上的上下線信息。這裏的設備可以是一台獨立運行的設備,也可以是IRF組網,對於IRF組網,EPA功能監控終端在所有成員設備上的上下線信息,將監控到的信息統一彙總到主設備處理。
圖1-1 非SmartMC應用場景組網圖
在SmartMC網絡中,終端設備可以通過管理設備或任一成員設備接入網絡,由管理設備統一彙總、顯示整個組網中的終端上下線信息。管理設備上的EPA配置會同步到成員設備,保證成員設備的配置與管理設備保持一致。因此,本功能隻需在管理設備上配置。
圖1-2 SmartMC組網應用場景組網圖
EPA支持通過靜態識別方式來識別終端:該方式下,需要管理員在監控設備上通過命令行手工指定終端的MAC地址。通過匹配MAC地址表項來判斷終端的上下線。該方式適用於終端數量較少的網絡,且識別到的終端種類固定為Camera,不能識別終端的廠商和操作係統。
EPA通過監控設備學習到的MAC地址表項以及MAC地址表項的老化實現對終端在二層以太網接口上的上下線信息的監控,且隻監控和接入接口在同一網段的終端的上下線信息。有關MAC地址表項的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“MAC地址表”。
當設備學習到了新的MAC地址表項時,會使用MAC地址、VLAN ID和配置的監控規則進行比較:
· 如果匹配到了監控規則,則產生終端上線信息。
¡ 在非SmartMC應用場景下,上線信息直接在本機處理。
¡ 在SmartMC組網應用場景下,上線信息由管理設備統一處理。
· 如果沒有匹配到監控規則,則認為該終端不需要進行監控。
· 對於已經上線的終端,當其對應的MAC地址表項老化後,EPA判斷終端已經下線:
· 在非SmartMC應用場景下,下線信息會在本設備上保存7天。
· 在SmartMC組網應用場景下,下線信息在管理設備上保存7天。
在SmartMC網絡中,終端監控規則統一在管理設備上配置,成員設備上不能配置終端監控規則,管理設備將配置的終端監控規則同步給所有成員設備,所配置的終端監控規則在管理設備和成員設備上均生效。如果成員設備監控到了指定終端的上下線信息,統一上報給管理設備處理,管理設備進行彙總、分析,計算出終端的上下線位置,用戶可以在管理設備上查看整個SmartMC網絡中的終端上下線信息。有關SmartMC的詳細介紹,請參見“網絡管理和監控配置指導”中的“SmartMC”。
當EPA通過MAC地址靜態識別終端時,請不要使用mac-address dynamic命令配置其對應的動態MAC地址表項。否則,可能會對該終端是否上線造成誤判。
基於SmartMC組網使用EPA功能時,請注意:
· 在SmartMC組網中,如果要使用EPA功能,請確認組網中的設備均支持EPA功能。
· 請在管理設備上統一配置終端監控規則,不允許在成員設備上配置終端監控規則。
· EPA是基於MAC地址表項的老化來判斷終端下線的,請將SmartMC組網中所有設備的MAC地址表項的老化時間配置一致,以免影響管理設備對終端上下線信息的分析。有關MAC地址表項的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“MAC地址表”。
· 請在管理設備上統一查看SmartMC網絡中終端的上下線信息。在成員設備上執行display epa monitor-information命令隻能查看到本成員設備上的終端上線信息,查看不到本成員設備上的終端下線信息。
配置EPA終端靜態識別規則時,請注意:
· 如果已經配置在指定的VLAN內監控某終端,不能再配置在所有的VLAN內監控該終端,反之亦然。如果終端所在VLAN明確,請配置在指定的VLAN內監控該終端,以免影響EPA功能的性能。
· 若配置了在所有VLAN內監控某終端,請保證該終端實際上線的VLAN數量不要超過10個。
· EPA功能最多可下發1024條配置,但是為了保證EPA功能的整體性能,建議配置的規則總數不要超過512條。
· 用戶在配置監控規則時可以指定規則編號,也可以不指定。當不指定規則編號時,係統會自動為其分配當前可用的最小的規則編號。
· 不支持通過多次執行epa monitor-rule命令,修改已有的規則。如需修改已有的規則,請先執行undo epa monitor-rule刪除已有的規則,再做修改。
(1) 進入係統視圖。
system-view
(2) 配置EPA終端靜態識別規則。
epa monitor-rule [ monitor-rule-id ] mac mac-address [ mask mac-mask ] [ vlan vlan-id ]
缺省情況下,未配置EPA終端靜態識別規則,EPA功能處於關閉狀態。
缺省情況下,當終端上下線時,EPA模塊會生成本設備的終端上下線日誌信息,提醒網絡管理員。當監控終端頻繁上下線時,設備可能會打印大量終端上下線日誌信息。此時,為了不影響設備性能,建議用戶關閉EPA模塊打印本設備的終端上下線日誌信息功能。
(1) 進入係統視圖。
system-view
(2) 關閉EPA模塊打印本設備的終端上下線日誌信息功能。
epa online-offline-log disable
缺省情況下,EPA模塊打印本設備的終端上下線日誌信息功能處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後EPA功能的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 EPA顯示和維護
|
操作 |
命令 |
|
顯示EPA模塊監控到的終端上下線信息 |
display epa monitor-information [ online | offline ] [ device device-id | mac mac-address [ vlan vlan-id ] ] [ verbose ] |
SmartMC網絡的物理連接如圖1-3所示,TM為管理設備,TC 1~TC 3為成員設備,通過靜態方式建立SmartMC網絡。Camera 1(MAC地址為1-1-1)通過TC 1的GigabitEthernet1/0/1接口接入SmartMC網絡,Camera 2(MAC地址為2-2-2)通過TC 3的GigabitEthernet1/0/1接口接入SmartMC網絡。現需要實現:SmartMC網絡設備能識別Camera 1和Camera 2的上線和下線。
圖1-3 EPA終端靜態識別配置組網圖
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TM> system-view
[TM] interface vlan-interface 1
[TM-Vlan-interface1] ip address 192.168.2.2 24
[TM-Vlan-interface1] quit
# 開啟HTTP、HTTPS、Telnet服務。
[TM] ip http enable
[TM] ip https enable
[TM] telnet server enable
# 開啟基於HTTP的NETCONF over SOAP功能。
[TM] netconf soap http enable
# 開啟全局LLDP功能。
[TM] lldp global enable
# 配置本地用戶admin,密碼為hello12345、服務類型為Telnet、HTTP和HTTPS、RBAC角色為network-admin。
[TM] local-user admin
[TM-luser-manage-admin] password simple hello12345
[TM-luser-manage-admin] service-type telnet http https
[TM-luser-manage-admin] authorization-attribute user-role network-admin
[TM-luser-manage-admin] quit
# 配置VTY用戶線0~63的認證方式為scheme。
[TM] line vty 0 63
[TM-line-vty0-63] authentication-mode scheme
[TM-line-vty0-63] quit
# 開啟SmartMC功能並配置設備角色為管理設備,用戶名為admin,明文密碼為hello12345。
[TM] smartmc tm username admin password simple hello12345 enable
(2) 配置EPA靜態識別規則(規則為上線設備的MAC地址)
# 在TM上配置EPA靜態識別規則。
[TM] epa monitor-rule mac 1-1-1
[TM] epa monitor-rule mac 2-2-2
(1) 配置SmartMC功能
# 配置VLAN1接口。
<TC1> system-view
[TC1] interface vlan-interface 1
[TC1-Vlan-interface1] ip address 192.168.2.1 24
[TC1-Vlan-interface1] quit
# 開啟HTTP、HTTPS/Telnet服務。
[TC1] ip http enable
[TC1] ip https enable
[TC1] telnet server enable
# 開啟基於HTTP的NETCONF over SOAP功能。
[TC1] netconf soap http enable
# 開啟全局LLDP功能。
[TC1] lldp global enable
# 配置本地用戶admin,密碼為admin、服務類型為Telnet、HTTP和HTTPS、RBAC角色為network-admin。設置密碼前,先降低設備對本地用戶密碼複雜度的要求。
[TC1] local-user admin
[TC1-luser-manage-admin] password-control length 4
[TC1-luser-manage-admin] password-control composition type-number 1 type-length 1
[TC1-luser-manage-admin] undo password-control complexity user-name check
[TC1-luser-manage-admin] password simple admin
[TC1-luser-manage-admin] service-type telnet http https
[TC1-luser-manage-admin] authorization-attribute user-role network-admin
[TC1-luser-manage-admin] quit
# 配置VTY用戶線0~63的認證方式為scheme。
[TC1] line vty 0 63
[TC1-line-vty0-63] authentication-mode scheme
[TC1-line-vty0-63] quit
# 開啟SmartMC功能,並配置設備角色為成員設備。
[TC1] smartmc tc enable
配置同TC 1,不再贅述。
# 在TC 1上顯示EPA模塊監控到的終端上下線信息。
[TC1] display epa monitor-information verbose
Auto identification : Disabled
Local device type : SmartMC TC
Local device ID : 3acc-58e2-0100
Total endpoints identified by EPA: 1
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 1
IP address : -
Interface : GigabitEthernet1/0/1 Status: Online
Category : Camera Vendor: -
OS : -
# 在TM上顯示EPA模塊監控到的終端上下線信息。
[TM] display epa monitor-information verbose
Auto identification : Disabled
Local device type : SmartMC TM
Local device ID : 90bc-1b85-0300
Total endpoints identified by EPA: 2
Access device ID: 3acc-58e2-0100
MAC address : 0001-0001-0001 VLAN : 1
IP address : 192.168.2.11
Interface : GigabitEthernet1/0/1 Status: Online
Category : Camera Vendor: -
OS : -
Access device ID: 3acc-58e2-0300
MAC address : 0002-0002-0002 VLAN : 1
IP address : 192.168.2.12
Interface : GigabitEthernet1/0/1 Status: Online
Category : Camera Vendor: -
OS : -
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
