#1

CNMATRIX版本4.1-R3现在可用https://support.cambiumnetworks.com/files/cnmatrix/

This release is compatible with EX2K, EX1K, and TX2K cnMatrix models.

cnmatrix-EXTX Release Notes - 4.1-r3.pdf(849.0 KB)

What’s New in 4.1

CNMATRIX软件版本4.1在所有CNMATRIX硬件平台上都支持:EX2K,EX1K和TX2K。

The cnMatrix 4.1 software archive file can be loaded on both EX and TX models. The archive file name contains EX and TX model names -cnmatrix-extx-4.1-r3.img.tar.gz

支持新的TX模型

版本4.1支持新的TX模型,CNMATRIX TX2028RF-P

IPv6 ND RA Guard

此功能可防止恶意和不知情的IPv6邻居发现路由器广告数据包进入边缘网络。可以按轨道启用此功能。

cnmatrix(config-if)#ipv6 nd raguard attact-policy {主机|路由器}

By attaching the “host” policy to a port, the IPv6 ND RA packets received on that port will be dropped at ingress. By attaching the “router” policy, the IPv6 ND RA packets will be allowed on that port.

默认情况下,所有端口都附加了“路由器”策略。

To view the per-port configuration and statistics, use the command:

cnmatrix# show ipv6 nd raguard IPv6 Neigbor Discovery RA Guard: Port Policy Dropped Forwarded RAs RAs ------ ------ --------- --------- Gi0/1 Router 189 ...

MAC身份验证旁路 - mab

(also known as MAC Based Port Network Access Control)

这是允许根据其MAC地址对非802.1X验证设备进行身份验证的功能。该交换机可以使用本地DOT1X数据库或半径(用户服务中的远程身份验证拨号)服务器来验证MAC地址。对于本地数据库,请使用没有任何分离器作为用户名和密码的MAC地址,如本示例所示:

dot1x本地数据库aabbccddeeff密码aabbccddeeff允许允许

启用MAB时,身份验证过程将首先尝试识别端口上连接的任何DOT1X设备。失败时,将花费相同的时间来尝试获取设备的MAC地址。一旦获得MAC地址,该开关将检查其在本地或使用RADIUS服务器的网络访问。如果在此期间尚未获得MAC地址,则身份验证过程将重新开始。尽管在MAC地址采集期间没有发送任何身份重试消息,但该开关仍将收听EAP启动消息,并一旦收到此消息,就会启动DOT1X身份验证。

要在端口上启用mab,您需要键入以下命令:

命令 解释
配置终端 输入全局配置模式
接口GigabitEthernet 0/1 输入接口配置模式
dot1x port-control auto 在端口上启用身份验证
dot1x mac-auth-bypass 启用mab
dot1x Reauth-Max 3 (Optional) Configure the number of times the switch will try to authenticate dot1x devices.
dot1x timeout tx-period 30 (可选)配置时间等待dot1x设备响应。
结尾 返回特权执行模式
显示dot1x接口GigabitEthernet 0/1 显示接口DOT1X配置。

使用MAB对设备进行身份验证后,进一步的重新验证尝试将使用相同的MAC地址。要替换MAC地址,必须弹跳链接管理状态或DOT1X端口控制。

何时在单主机模式,交换机将获取第一个MAC地址,仅允许此地址访问网络。

多主持人mode, the switch will acquire the first MAC address and then allow any MAC address to access the network.

Port Network Access Control: Authorization

此功能添加了根据从RADIUS服务器收到的属性更改访问VLAN和802.1p优先级的功能。默认情况下禁用授权,可以使用以下命令启用授权:

命令 解释
配置终端 输入全局配置模式
AAA授权网络默认组半径 将全局dot1x授权方法设置为半径
结尾 返回特权执行模式
显示dot1x Displays global dot1x configuration

为了授权工作,必须满足以下要求:

  • The authentication method is set to RADIUS.
  • 该端口处于访问模式。

For dynamically assigning the VLAN, the switch expects the following attributes from the RADIUS server:

  • 隧道类型
  • 隧道式型
  • 隧道 - 私人群体ID

必须将隧道型属性设置为VLAN,必须将隧道 - 密西型属性设置为IEEE-802,并且隧道 - 私加组 - 组ID属性必须包含VLAN ID作为字符串。

为了动态分配802.1p优先级,该开关期望用户优先表属性包含所需的优先级重复8次。原因是CNMATRIX 1K和2K系列仅支持具有单个值的优先级。

这是Freeradius的示例用户配置:

bob clearText-password:=“ hello” service-type = framed-user,auth-type:= accept,tunnel-type = vlan,tunnel-meDium-type = ieee-802,隧道 - 私人物 - 私人 - 群 -  group-id =“ 70“,用户优先级=“ 44444444”

CNMAESTRO中的MSTP支持

Starting with version 4.1-r3, cnMatrix supports MSTP configuration and monitoring from cnMaestro.

新的MSTP配置:

  • MSTP enable/disable
  • 区域名称
  • 修订名称
  • 实例到VLAN映射
  • 实例优先
  • priority per port-instance and port-channel group instance.

CNMAESTRO还将监视每个端口企业的MSTP状态。

STP Path Cost method

The switch will allow the user to select between the IEEE 802.1D-1998 (short) and the IEEE802.1T (long) default STP path cost values. This is a per-switch (global) STP configuration and can be set in each STP operating mode (RSTP, PVRST, MSTP). The default method is “long”.

要通过CLI配置路径成本方法,请运行以下命令:

cnmatrix(config)# spanning-tree pathcost method { long | short}

对于每个STP模式,该配置也可在Web GUI中获得。

路径成本值将立即在操作端口上修改,并且STP树将相应地重新计算。手动设定成本的端口将不会受到此全球环境的影响。

端口安全:MAC地址学习限制

此功能旨在根据其MAC地址将对网络的访问限制为每个端口的一定数量的设备,为切换提供一种方法。通常,在访问端口上,只有一台设备可以访问网络,并且通过使用此功能,网络管理员确保其他设备不会使用用户的连接来访问网络。

The feature allows the network administrator to configure the maximum number of devices that can access the network from a specific port, and the action to be taken in case the configured number is exceeded.

通过CLI配置此功能:

This command enables the feature and set the default maximum to “1” and “protect” as the default action:

cnmatrix(config-if)#switchport端口 - 安全性

此命令禁用该功能:

cnmatrix(config-if)#无switchport端口安全性

此命令设置每个端口允许的最大MAC地址:

cnmatrix(config-if)#switchport端口 - 安全性maximum <1-1000>

此命令设置要采取的操作,以防超过配置的数字:

cnmatrix(config-if)#switchport港口安全违规{protect |严格}

保护- When the number of port secure MAC addresses reaches the maximum limit allowed on the port, packets with unknown source addresses are dropped until you remove a sufficient number of secure MAC addresses to drop below the maximum value or increase the number of maximum allowable addresses. The violation counter increments. You are not notified that a security violation has occurred.

严格- 当安全MAC地址的数量达到端口上允许的限制时,删除了未知源地址的数据包,直到您删除足够数量的安全MAC地址或增加最大允许地址的数量。发送了一个SNMP陷阱,记录了Syslog消息以及违规计数器增量。默认情况下,该功能被禁用。启用后,将允许的MAC地址的最大数量设置为1,并将操作设置为保护

CNMATRIX支持CNMAESTRO SNMP代理配置

4.1-R3版本包括针对以下设置的配置支持:

  • SNMP代理启用/禁用
  • SNMPv2c Read-Only Community Name
  • snmpv2c读写社区名称
  • Trap Receiver IPv4 Address
  • SNMPV3用户名
  • SNMPV3用户密码
  • SNMPV3用户访问(仅阅读,读写)
  • SNMPV3用户身份验证协议
  • SNMPv3 User Privacy enable/disable

To display the entries that are created via cnMaestro, use the following command:

cnmatrix(config)#show running-config snmp

注意:条目是只读的,但显示为注释,以提供当前配置的完整图片。

Energy Efficient Ethernet

Energy Efficient Ethernet (EEE) is an 802.3az standard that is designed to reduce the power consumption of copper interfaces during idle periods.

可以在支持低功率空闲(LPI)模式的设备上启用EEE。当设备进入LPI模式时,通过关闭闲置期间不需要的某些服务来降低功耗。

For EEE to function, both devices must support LPI mode and they must have EEE enabled.

要通过CLI启用/禁用EEE,请使用节能 - 埃特内特从接口配置中命令。

或者,从Web GUI:导航到系统Energy Efficient Ethernet

此功能为开关提供了一种计算每个端口链接过渡事件数量的方法。并向用户显示此计数。可以通过显示接口命令以及通过显示接口链接传输CLI命令,并且在端口基本设置page in the Web GUI.

Counter for link-up/down events

The Link-Transitions Count feature provides a way for the switch to count the number of link transition events per port. The feature shows the number of link transition events on a per-port basis, for all ports available and the timestamp of the last transition.

接口描述历史记录

为了帮助跟踪连接设备的状态,现在可以使用一个简短的接口描述历史记录。CNMATRIX同时维护当前接口描述(手动配置或基于LLDP/PBA处理)和先前的接口描述。将接口描述更新为新值会自动保存先前的接口描述值。先前的接口描述值使用CLI显示显示界面command and through the统计数据界面接口统计Web page.

固定问题

追踪 产品 特征 描述
3404 All SSH 使用监视工具连接到开关的SSH时遇到的异常
3433 All SSH 在网络监视工具(例如PRTG)上启用多个SSH传感器时,内存泄漏
3475 All DHCP 服务器DHCP池名称未正确生成显示Running-Config。当从CNMAESTRO推动CLI模板时,这可能会导致配置故障。
3533 All Spanning-Tree 启用S​​NTP并同步时,根桥不断变化
3562 All SFP+ Ubiquiti BiTi transceiver not configured by auto-detect. The transceiver type is listed as N/A, the wavelength is displayed incorrectly.
3573 All lldp 基于LLDP的PBA策略现在允许同一端口上的多个LLDP邻居。IP电话等设备可以使用PBA策略使用LLDP检测
3574 All SSH 运行持续性Nessus软件工具时SSH分割故障

版本4.1-R3中的已知问题

追踪 产品 描述 解决方法
388 All DHCP Relay: The switch doesn’t relay all DHCP Release and Renew packets if there are more than 360 DHCP clients connected to the switch. 使用CNMATRIX SWEECT可为少于360个DHCP客户端提供中继DHCP数据包。
460 All lldp port-id-subtype设置和DHCP服务器主机硬件类型3设置在引导后丢失。 如果重新启动后丢失了设置,请重新配置设置。
519 All UP7流量如果从2个不同的端口收到-SP调度程序,则无法平等维修 N/A。
695 All 当STP模式为pvrST时,PING在1/10 GB接口或1/10 GB端口通道之间不起作用,创建了9个以上的VLAN。 N/A。
838 All DHCP侦听:在全球禁用DHCP侦听时,DHCP侦听VLAN配置将被清除。 每个VLAN的重新配置DHCP侦听。
848 All Auto Attach: For phone detection it is advisable not to use rules with LLDP-CAP “phone” as matching criteria. 可以使用其他数据LLDP数据(例如系统说明,系统名称或机箱ID)来识别电话。
946 All 使用静态ARP时,路由在路由端口上不起作用 仅适用于VLAN接口。
985 All 重新启动后,Exectimout设置将丢失。重新启动后重新配置此设置。
1056 All 在远程对等方执行启动默认值之后,属于端口通道一部分的物理端口正在返回VLAN 1。
  1. 删除端口通道时,链接未恢复到原始VLAN
  2. When link member is not part of the bundle, it is assigned to VLAN 1
 N/A。
1555 All 使用SSH/Telnet会话中的SFTP下载代理时,下载进度显示在控制台界面上,而不是在当前会话中。 N/A。
1828年 All 在两个CNMATRIX设备之间建立SSH会话不起作用。 N/A。
2103 All CnMaestro Router Port configuration from CLI Templates will result in faulty port performance tracking N/A。
2122 All RIPv1/RIPv1 compatible updates are not sent to the RIP neighbors (3.0.1-r4 does not work with RIPv1 RIP router) Only connect cnMatrix 3.0.1-r4 to RIPv2 neighbors, and set the RIP send update to RIPv2 mode
3669 All 802.1X:单主机 - 在Switch上配置的所有VLAN中学习客户端的MAC地址 N/A。
3513 All CNMAESTRO MSTP:在某些情况下,对于与MSTP实例相关的非常长的VLAN列表,配置可能会失败 N/A。
3514 All CNMAESTRO MSTP:当更新VLAN-INSANCE映射时,用户可能会遇到暂时的流量下降 N/A。
3646 All 802.1x: Vlan Priority Attribute can be configured on Radius server with the standard attribute User-Priority-Table and the value accepted is in the format “xxxxxxxx”. ( 8x ) N/A。
3677 All 802.1x : Single Host - Multiple hosts can be authenticated on the same port N/A。
3586 All 风暴控制无法在带有1G收发器的SFP+端口上正常工作。该端口的数据包以10个时间刨丝器的限制,而不是1G端口。 N/A。
3683 All 端口MAC限制:在新端口上达到限制后,未从软件FDB表中删除迁移的MAC地址。 这是一个显示问题。请忽略此输出。

功能注释

  • If you remove the default IP address from mgmt0 interface and save the running-config the default IP address is restored after boot.
  • 默认情况下,从VLAN 1上启用了DHCP客户端。
    • 在EX1028和EX1028P上,VLAN 1具有默认IP地址192.168.1.1
  • 带外端口具有以下默认IP地址:192.168.0.1。

Limitations

追踪 产品 描述 解决方法
265 命令显示接口流控制显示的流控制计数器在极端以太网接口(10GBPS)上没有增加。
437 All 广播和多播模式不支持SNTP身份验证。
2103 All CLI模板的路由器端口配置将导致端口性能跟踪故障 Configuring a router port from a template can lead to unexpected monitoring behavior. The setting is not recommended while using cnMaestro.
2603 All 如果通过CLI/Web在L3接口上设置了静态IP,则CNMAESTRO不会触发异步条件。
Dot1X MAB or LLDP Blocked Port Passthrough Support?