本示例中，两个 IP 子网通过工业以太网交换机连接。此划分是从 NAT 接口 10.0.0.155 角度 来看的。通过 NAT/NAPT 执行 PC2 和 PC1 之间的通信。 PC1 的实际 IP 地址（内部局部）通过 NAT 进行静态分配。对于 PC2，可以通过内部全局地 址访问 PC1。计算容量 由于 CPU 存在负载限制，设备每秒钟可接收的数据包数目Zui多为 300 个。这意味着，Zui大 数据吞吐量为 1.7 Mbps。该负载限制的对象并非每个接口，而是针对发往 CPU 的全部数据包。 整个 NAT 通信通过 CPU 进行，因此会与发往 CPU 的 IP 通信，例如 WBM 和 Telnet。 请注意，使用 NAT 时会占用很大一部分计算容量。这可以减缓通过 Telnet 或 WBM 的访问。 NAT 利用网络地址转换 (NAT)，可将数据包中的 IP 地址替换为另一个。NAT 通常用在内部网络和 外部网络之间的网关上。 对于源 NAT，NAT 设备会将内部网络中设备的 IP 数据包的内部局部源地址重写到网关处的 内部全局地址中。 对于目标 NAT，NAT 设备会将外部网络中设备的 IP 数据包的内部全局源地址重写到网关处 的内部局部地址中。NAT 设备会维护转换列表，以将内部 IP 地址转换为外部 IP 地址以及反向转换。地址既可以 动态分配，也可以静态分配。NAT 在“第 3 层 (IPv4) > NAT”(Layer 3 (IPv4) > NAT) (页 2962) 中组态。 NAPT 在“网络地址端口转换”(NAPT) 中，多个内部源 IP 地址被转换为同一个外部 IP 地址。为了 识别各个节点，内部设备的端口也会存储在 NAT 设备的转换列表中并针对外部地址进行转 换。 如果多个内部设备通过 NAT 设备向同一外部目标 IP 地址发送查询，NAT 设备会在这些转发 帧的帧头中输入其自身的外部源 IP 地址。由于转发的帧具有同一个外部源 IP 地址，NAT 设 备会通过不同的端口号将帧分配各个设备。 如果外部网络中的设备要使用内部网络中的服务，则需组态静态地址分配的转换列表。NAPT 在“第 3 层 (IPv4) > NAT > NAPT”(Layer 3 (IPv4) > NAT > NAPT) (页 2965) 中组态。 NAT/NAPT 和 IP 路由 可以同时启用 NAT/NAPT 和 IP 路由。在这种情况下，需要使用 ACL 规则来控制外部网络对 内部地址的访问。 单跳 VLAN 间路由 简介 物理网络由 VLAN 分成广播域和子网。 VLAN 中的设备（主机）可通过第 2 层直接与其它设备通信。帧转发至基于 MAC 地址的相 关设备。 来自不同 VLAN 的设备无法直接通过第 2 层相互通信。数据通信必须基于 IP 地址路由。 属于不同 VLAN 的设备无需路由器即可通过单跳 VLAN 间路由功能互相通信。 要求 • 工业以太网交换机可以管理多个 IP 地址： • 该交换机是待路由的 VLAN 成员。 • 在主机中，VLAN 的 IP 地址作为默认网关输入。 单跳 VLAN 间路由 工业以太网交换机接收帧并识别在另一 VLAN 的设备中寻址。它在 VLAN 中将帧转发至相关 端口。工业以太网交换机仅能识别与其直接相连的 VLAN (Connected)。通过单跳 VLAN 间路由，仅 可在两本地 IP 接口间路由。 示例 在本例中，主机 A 通过 VLAN1 连接到 IE 开关。主机 A 通过 VLAN2 连接到 IE 开关。在主机 A 中，VLAN 1 的 IP 地址作为默认网关输入。在主机 B 中，VLAN 2 的 IP 地址作为默认网关输入。链路汇聚 链路汇聚 通过链路汇聚，能够将传输速率相同的多个并行物理连接分组到一起，构成传输速率更高的 逻辑连接。 这种基于 IEEE 802.3ad 的方法又称为端口聚合或信道捆绑。 链路汇聚仅适用于点对点模式下传输速率相同的全双工连接。 该技术可加倍提升带宽或传 输速率。 如果其中部分连接失败，将通过剩余的连接进行数据通信。 可使用 Link Aggregation Control Layer (LACL) 和 Link Aggregation Control Protocol (LACP) 进行监控。 服务质量 Quality of Service (QoS) 是一种有助于高效利用网络中现有带宽的方法。 QoS 通过排定数据传输的优先级来实现。传入帧根据特定优先级分类到 Queue 中，然后进 行进一步处理。这为帧分配了特定的优先级。

             各种不同的 QoS 方法相互影响，并按下列顺序加以考虑： 1. 交换机首先检查传入帧是广播帧还是代理帧。 → 第一个条件满足时，交换机将考虑“常规 (页 2872)”页上设置的优先级。 交换机将根据“CoS 映射 (CoS Map) (页 2872)”页面上的分配将帧分类到队列中。 2. 如果第一个条件不满足，交换机将检查帧是否包含 VLAN 标记。 → 如果第二个条件满足，交换机将检查“常规 (页 2872)”页面上的优先级设置。交换机将检 查是否为优先级设置了“非强制”(Do not force) 以外的值。 如果设置了优先级，交换机将根据“CoS 映射 (CoS Map) (页 2872)”页面上的分配将帧分类到 队列中。 3. 如果第二个条件也不满足，则将根据信任模式对帧进行进一步处理。信任模式在“QoS 信任 (QoS Trust) (页 2874)”页面上组态。 验证 用户管理概述 通过可组态的用户设置来管理对设备的访问。使用密码设置用户以供验证。为用户分配具有 适当权限的角色。 用户的身份验证可在本地由设备执行，也可由外部 RADIUS 服务器执行。可在“安全 > AAA > 常规”(Security > AAA > General) 页面中组态身份验证的处理方式。 向 TIA 传送设备组态时，不会传送已组态的用户、角色和组。 与先前版本的兼容性 对于固件版本 5.1，用户管理通过 RADIUS 身份验证模式“供应商特定”扩展。为确保对 5.0 及以下固件版本的兼容性，选择的默认设置应保证，在固件升级后，之前的身份验证模式“传 统”(conventional) 将继续使用。 本地登录 用户本地登录时设备的工作方式如下： 1. 用户通过用户名和密码在设备上登录。 2. 设备检查是否存在该用户的条目。 → 如果存在条目，该用户成功登录并具有所关联角色的权限。 → 如果不存在相应的条目，则拒绝该用户登录。 通过外部 RADIUS 服务器登录 RADIUS（Remote Authentication Dial-In User Service，拨入用户远程认证服务）是通过集中 存储用户数据的服务器来验证用户和为用户授权的协议。根据您在“安全 > AAA > RADIUS 客户端”(Security > AAA > RADIUS Client) 页面中所选择的 RADIUS 身份验证模式，设备可评估 RADIUS 服务器的不同信息。 RADIUS 身份验证模式“conventional” 如果已设置身份验证模式“conventional”，则用户在 RADIUS 服务器上的身份验证将按如下方 式运行： 1. 用户通过用户名和密码在设备上登录。 2. 设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。 3. RADIUS 服务器执行检查并将结果发送回设备。 – RADIUS 服务器报告身份验证成功，并向设备的属性“Service Type”返回值 “Administrative User”。 → 用户登录并带有管理员权限。 – RADIUS 服务器会报告身份验证成功，并会向设备的属性“Service Type”返回差异或甚 至是无值。 → 用户登录并具有读取权限。 – RADIUS 服务器向设备报告身份验证失败： → 用户被拒绝访问。 RADIUS 身份验证模式“供应商特定” 要求 对于 RADIUS 验证模式“供应商特定”(Vendor Specific)，需要在 RADIUS 服务器上设置以下 需求：如果已设置身份验证模式“供应商特定”(Vendor Specific)，则用户在 RADIUS 服务器上的身 份验证将按如下方式运行： 1. 用户通过用户名和密码在设备上登录。 2. 设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。 3. RADIUS 服务器执行检查并将结果发送回设备。 情况 A：RADIUS 服务器报告身份验证成功，并向设备返回已为用户分配的组。 – 组已在设备中已知，但用户并未在表“External User Accounts”中输入。 → 用户将登录并具有所分配组的权限。 – 组已在设备中已知，且用户并已在表“External User Accounts”中输入。 → 已为用户分配了更高的权限，用户会登录并拥有这些权限。 – 组已在设备中未知，且用户并已在表“External User Accounts”中输入。 → 用户将登录并具有已链接到用户帐户的角色所对应的权限。 – 组已在设备中未知，但用户并未已在表“External User Accounts”中输入。 → 用户将登录并具有“Default”角色的权限。 情况 B：RADIUS 服务器会报告身份验证成功，但不会向设备返回一个组。 – 用户已在“External User Accounts”表中输入： → 用户将登录并具有所链接角色的权限。 – 用户未在“External User Accounts”表中输入： → 用户将登录并具有“Default”角色的权限。 情况 C：RADIUS 服务器向设备报告身份验证失败： – 用户被拒绝访问。 验证方法 您可以分别为每个端口组态验证方法“802.1x”和“MAC 身份验证”(MAC Authentication) 以及 “Guest VLANGuest VLAN”选项。 这些功能按层级顺序排列。如果启用了全部三项功能，则Zui初会尝试使用“802.1x”对终端设 备进行身份验证。如果验证不成功，将启动“MAC 身份验证”(MAC Authentication)。如果验 证还不成功，则允许终端设备在“Guest VLAN”中通信。必须至少有一种身份验证方法激活， 才能使用“Guest VLAN”。 这两种身份验证方法都取决于终端设备。如果终端设备支持 EAP（Extensible Authentication Protocol，可扩展身份验证），则可使用“802.1X”方法进行身份验证。如果终端设备不支持 EAP，则可使用“MAC 身份验证”(MAC Authentication) 进行身份验证。在这种情况下，工业 以太网交换机采用终端设备的角色，并将设备的 MAC 地址用作身份验证参数。