| 有一些問題看似簡單但是實際碰到了又不能確定答案。 有一些問題淹沒在產品文檔里碰到之后無心查找。 有一些問題別人已經問過但是我卻不知道。 ? 快來看看別人打400電話時都問了哪些問題讓客服服務中心都感到很頭疼吧 一、為什么三層口不能配置風暴控制 三層轉發的流量不會廣播不需要風暴控制所以三層口不支持風暴控制。 二、從V200R009C00降級到V200R008C00license是否需要重新申請 升降級前版本的License均可以在升降級后的設備上繼續使用無需重新申請License。 ? 三、如何清除display alarm active顯示的告警信息 <Quidway> system-view [Quidway] alarm [Quidway-alarm] clear alarm active all ? 四、當有遠程桌面連接訪問時Windows PC為什么802.1x認證失敗 當有遠程桌面連接訪問已經802.1x認證成功的Windows PC時訪問2分鍾左右連接丟失。該原因是PC上802.1x認證的身份驗證模式為用戶身份驗證。需將其改為“用戶或計算機身份驗證”或“計算機身份驗證”。修改方法為進入“控制面板\網絡和Internet\網絡連接”右鍵點擊所使用網絡連接彈出“屬性”對話框。依次選擇“身份驗證”、“其他設置”將“指定身份驗證模式”修改為“用戶或計算機身份驗證”或“計算機身份驗證”。 五、如何查詢單板的版本配套關系 查詢單板在哪些軟件版本支持主要有以下幾種方式 1、查看對應產品的《硬件描述》手冊該手冊中會詳細寫明每個單板與軟件版本的配套關系。 2、通過版本配套查詢工具來查詢。 六、如何處理S2700的CPU高導致的設備卡頓、敲入命令慢的問題 S2700是二層設備三層建議只用於管理。因此S2700有可能是S2700中配置了三層協議造成請使用display cpu-usage查看CPU占用率如果發現有三層業務CPU高請重新規划網絡。 七、如何處理從終端電話往外網呼電話 可以接通但是沒有聲音的問題 此問題一般是因為終端電話沒有回包或者回包沒有送到交換機上照成的可以在交換機上配置鏡像功能獲取報文或者流量統計的方法確認終端是否能夠正常回包。具體流量統計的方法請參見http://support.huawei.com/onlinetoolsweb/tsrev/cn/content/s/10_edesk_Ping_Fail/edesk_Ping_Fail_edesk007.html 如果終端不能正常回包請確認終端的網關地址配置是否正確並確認其他路由是否會導致終端回包送到其他設備上。具體路由確認方法請參見http://support.huawei.com/onlinetoolsweb/tsrev/cn/content/s/10_edesk_Ping_Fail/edesk_Ping_Fail_edesk004.html 八、為什么Eth-Trunk負載分擔不能完全均勻 交換機僅支持逐流的負載分擔。如果端口流量過大必然會導致從某個端口出去的流量過大這種場景下Eth-Trunk是無法達到HASH均勻的。 ? 九、為什么MAC地址無法老化 設備上有端口頻繁UP/DOWN全局MAC老化定時器不斷被刷新導致設備的MAC無法老化。 ? 十、 客戶需要使用MPLS特性申請了license由於license授權版本低激活后無效。由於當時着急上線客戶使用了臨時license。現在臨時license快過期了客戶想使用正式的license需要原來的失效碼可是客戶對臨時license進行過失效處理現在顯示的失效碼是臨時license的。如何才能獲取原來的失效碼激活正式的license 授權版本過低的正式license激活失敗對新的正式license激活沒有影響。臨時license執行過失效操作對正式license激活沒有影響。此情況不需要獲取任何失效碼只需要申請新的license按正常步驟加載激活即可。 ? 十一、如何處理批量升級一批S5700交換機其中部分交換機升級失敗的情況
這種情況的原因可能是交換機上的新版本系統軟件不完整。判斷方法是在電腦上查看新版本系統軟件的字節數再使用DIR命令查看上傳到交換機的新版本系統軟件的字節數判斷兩者是否一致。如果不一致那么重新上傳一遍該系統軟件即可。
? 十二、接口視圖下配置了免認證規則和流策略為什么流策略無法生效 接口視圖下的免認證規則free-rule比流策略優先級高所以生效的是免認證規則。 ? 十三、為什么無線用戶漫游時需要較長時間才能上線 無線用戶進行漫游時切換VLAN和接入端口后無法立即上線。這是因為表項老化需要一定的時間。對於V200R010之前的版本只能等到表項老化后才能再次發起認證所以需要等幾分鍾。如果需要立即上線可升級到V200R010 版本並配置MAC遷移功能。
十四、為什么V100R005版本的S3328不建議使用N:1 VLAN Mapping
V100R005版本的S3328創建多個N:1 VLAN Mapping會導致設備CPU使用率過高業務受損因此不建議使用N:1 VLAN Mapping功能。
十五、如何關閉V100R002版本的S9300頻繁打印CPCAR丟棄報文的日志
首先執行命令
display channel確認下設備上日志上報網管通道然后再執行命令
info-center source QOSE channel channelid log state off關閉打印CPCAR丟棄報文的日志。
十六、S7700下掛S5700S5700連OceanStor S2600T存儲設備OceanStor S2600T經常異常離線如何判斷故障點是否在交換機上
在S7700和S5700上分別配置流量統計功能進行分析經過流量統計分析確認非交換機問題是OceanStor S2600T存儲設備的問題。
以在S7700設備上做ICMP報文的流量統計為例介紹流量統計功能的配置方法
# 配置進入S7700報文的流量統計。
1.配置ACL規則。
<SwitchA> system-view
[SwitchA] acl number 3000
[SwitchA-acl-adv-3000] rule permit icmp source 192.168.2.21 0 destination 192.168.2.20 0
[SwitchA-acl-adv-3000] quit
2.配置流分類。
[SwitchA] traffic classifier 3000
[SwitchA-classifier-3000] if-match acl 3000
[SwitchA-classifier-3000] quit
3.配置流行為。
[SwitchA] traffic behavior 3000
[SwitchA-behavior-3000] statistic enable
[SwitchA-behavior-3000] quit
4.配置流策略。
[SwitchA] traffic policy 3000
[SwitchA-trafficpolicy-3000] classifier 3000 behavior 3000
[SwitchA-trafficpolicy-3000] quit
5.在接口上應用流策略
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] traffic-policy 3000 inbound
[SwitchA-GigabitEthernet1/0/1] quit
# 配置離開S7700報文的流量統計。
1.配置ACL規則。
<SwitchA> system-view
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit icmp source 192.168.2.20 0 destination 192.168.2.21 0
[SwitchA-acl-adv-3001] quit
2.配置流分類。
[SwitchA] traffic classifier 3001
[SwitchA-classifier-3001] if-match acl 3001
[SwitchA-classifier-3001] quit
3.配置流行為。
[SwitchA] traffic behavior 3001
[SwitchA-behavior-3001] statistic enable
[SwitchA-behavior-3001] quit
4.配置流策略。
[SwitchA] traffic policy 3001
[SwitchA-trafficpolicy-3001] classifier 3001 behavior 3001
[SwitchA-trafficpolicy-3001] quit
5.在接口上應用流策略
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] traffic-policy 3001 outbound
[SwitchA-GigabitEthernet1/0/1] quit
配置完成后通過display traffic policy statistics interface gigabitethernet 1/0/1 inbound verbose rule-base和display traffic policy statistics interface gigabitethernet 1/0/1 outbound verbose rule-base命令查看接口流量統計信息。這里以查看接口GE1/0/1入方向的流量統計結果為例。
[HUAWEI] display traffic policy statistics interface gigabitethernet 1/0/1 inbound verbose rule-base
Interface: GigabitEthernet1/0/1
Traffic policy inbound: 3000
Rule number: 1
Current status: success
Statistics interval: 300
---------------------------------------------------------------------
Classifier: 3000 operator and
Behavior: 3000
Board : 1
rule 5 permit icmp source 192.168.2.21 0 destination 192.168.2.20 0 (match-counter 0)
---------------------------------------------------------------------
Passed | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
Dropped | Packets: 0
| Bytes: 0
| Rate(pps): 0
| Rate(bps): 0
---------------------------------------------------------------------
十七、為什么機框替換后網絡中出現了MAC地址漂移 把V100R002版本上的所有業務單板全部更換到V200R008版本的機框上主控板沒有更換更換后交換機上頻繁記錄用戶MAC地址漂移的告警。 經過對比分析發現用戶在V100R002版本上配置了undo mac-learning priority 0 allow-flapping不允許相同優先級的接口發生MAC地址漂移而V200R008版本的主控板上並沒有該配置所以更換前沒有MAC地址漂移更換后出現大量MAC地址漂移。 十八、為什么在S5720EI上對PPPoE報文進行流鏡像時基於IP的流鏡像不生效基於VLAN的流鏡像生效 因為流鏡像中的ACL無法匹配PPPoE報文內層的IP信息只能匹配外層的以太信息MAC或VLAN。 十九、為什么S9300升級到V200R010C00后ME60無法Ping通S9300 S9300開啟快ping功能后ME60無法ping通交換機。而V200R010版本開始S9300上的快ping功能改為默認開啟。因此S9306升級到V200R010C00后ME60無法Ping通S9300。 二十、如何確認接口板FIB是否超規格 使用display fib slot-id statisticsall命令。如果回顯中IPv4 FIB Route Prefix Capacity字段和IPv4 FIB Total Route Prefix Count 字段的值一樣說明該接口板FIB表已被全部使用。 二十一、已經使能了BFD功能的OSPF鏈路去使能BFD功能是否會導致OSPF鏈路down 不會。 二十二、MSTP狀態變化時為什么部分接口需要30秒才變為轉發狀態邊緣端口在從Down變為Up時為避免臨時環路會有一個Learning到Forwarding的過程在1秒內完成屬於正常現象。如果是非邊緣端口在從Down變為Up時要經過30秒才能正常轉發報文。 二十三、如何配置同一流策略下同時匹配IPv4 ACL和IPv6 ACL如果需要IPv4 ACL和IPv6 ACL配置在同一個流策略下那么需要配置兩個流分類分別匹配IPv4 ACL和IPv6 ACL。舉例配置如下<HUAWEI> system-view[HUAWEI] acl name test1[HUAWEI-acl-adv-test1] rule 1 deny ip source 86.108.150.48 0[HUAWEI-acl-adv-test1] quit[HUAWEI] traffic classifier c1[HUAWEI-classifier-c1] if-match acl test1[HUAWEI-classifier-c1] quit[HUAWEI] traffic behavior b1[HUAWEI-behavior-b1] permit[HUAWEI-behavior-b1] quit[HUAWEI] acl ipv6 name test2[HUAWEI-acl6-adv-test2] rule 2 deny ipv6 source fc00:1::1/64[HUAWEI-acl6-adv-test2] quit[HUAWEI] traffic classifier c2[HUAWEI-classifier-c2] if-match ipv6 acl test2[HUAWEI-classifier-c2] quit[HUAWEI] traffic behavior b2[HUAWEI-behavior-b2] permit[HUAWEI-behavior-b2] quit[HUAWEI] traffic policy p1[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1[HUAWEI-trafficpolicy-p1] classifier c2 behavior b2[HUAWEI-trafficpolicy-p1] quit 二十四、S3300端口隔離和MFF的應用場景是什么S3300上不建議同時配置端口隔離和MFF兩者的應用場景如下。端口隔離為了實現報文之間的二層隔離用戶可以將不同的端口加入不同的VLAN但這樣會浪費有限的VLAN資源。采用端口隔離功能可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。如果用戶希望隔離同一VLAN內的廣播報文但是不同端口下的用戶還可以進行三層通信則可以將隔離模式設置為二層隔離三層互通如果用戶希望同一VLAN不同端口下用戶徹底無法通信則可以將隔離模式配置為二層三層均隔離即可。端口隔離的方法和應用場景如圖 1 端口隔離示例?所示。PC1、PC2和PC3同屬於VLAN10將PC1與PC2對應的端口GE0/0/1和GE0/0/2加入端口隔離組后PC1與PC2在VLAN10內不能互相訪問但是PC3與PC1之間可以互相訪問PC3與PC2之間也可以互相訪問。 ?圖1 端口隔離示例  MFF為同一廣播域內實現客戶端主機間的二層隔離和三層互通提供了一種解決方案。MFF截獲用戶的ARP請求報文通過ARP代答機制構造源MAC為網關MAC地址的ARP應答報文發給用戶。通過這種方式強制用戶將所有流量發送到網關使網關可以監控數據流量防止用戶之間的惡意攻擊更好地保障網絡部署的安全性。如圖 2 通過MFF實現二層網絡隔離所示用戶流量不能從二層匯聚節點直接通過而是從網關通過實現了二層隔離。 圖2 通過MFF實現二層網絡隔離  二十五、交換機沒有路由器端口時IGMP Report報文無法轉發如何處理 如圖 路由器端口介紹 所示三層設備Router從組播源接收數據並向下游轉發在二層組播設備SwitchA和SwitchB上分別運行IGMP SnoopingHostA、HostB和HostC為接收者主機即組播組成員。 路由器端口介紹 
交換機沒有路由器端口時IGMP Report報文無法轉發可以在接口視圖下執行命令igmp-snooping static-router-port vlan { vlan-id1 [ to vlan-id2 ]}&<1-10>配置該接口作為指定VLAN內的靜態路由器端口。 二十六、S3300 CPU高的常見原因有哪些S3300 CPU高常見的原因有缺省情況下接口下所有的BPDU報文都上送CPU處理。即使對應的協議沒有使能收到的BPDU報文也會上送例如STP沒有使能但是STP協議對應的BPDU報文也會上送CPU處理因此容易導致CPU高。建議現網在不使用二層協議如STP的接口下配置bpdu disableBPDU不再上送CPU處理。V100R006C05之前的版本S3300會默認將reseved mulitcast保留組播上送到CPU從而引起CPU高。可以在防攻擊策略視圖下執行命令deny packet-type reserved-multicast將上送CPU的reseved mulitcast報文丟棄掉。 二十七、BFD與接口聯動時BFD Down后接口shutdown但是執行undo shutdown后為什么接口仍然不能UP如圖 BFD與接口聯動組網 所示SwitchA和SwitchB之間配置BFD與接口聯動。由於某些原因SwitchB上的BFD和接口聯動功能被刪除了此時BFD狀態變為Down同時接口GE1/0/1也被shutdown了。在接口GE1/0/1下執行undo shutdown接口仍然Down此時需要將該接口下的BFD與接口聯動配置oam-bind ingress bfd-session bfd-session trigger if-down egress interface gigabitethernet 1/0/1刪除配置刪除后接口才變為UP。 BFD與接口聯動組網圖  二十八、交換機和服務器對接為什么交換機能Ping通服務器而服務器無法Ping通交換機當服務器Ping交換機時如果ICMP報文的MAC地址為交換機的MAC地址則能Ping通否則Ping不通。服務器無法Ping通交換機時是因為ICMP報文的目的MAC變化導致的。 二十九、機場場景下為什么S12700+ACU2下無線用戶漫游過程無法Ping通業務網關而定點上網正常終端漫游無線並沒有斷開業務不通是終端ARP請求應答較慢或丟失導致。AP會收到大量廣播和組播導致CPU升高所以需要在接AP的交換機上以及一直到網關交換機上配置端口隔離。 三十、對於QinQ報文為什么使用remark 8021p重標記內層VLAN的8021p優先級不成功 remark 8021p只支持重標記外層VLAN的8021p優先級不支持重標記內層VLAN的8021p優先級。 三十一、端口配置信任端口后為什么配置的IPSG功能不生效 端口配置成信任端口后所有的報文不會被檢查直接轉發所以導致配置的IPSG功能不生效。 三十二、交換機是否支持在Super VLAN和MUX VLAN上配置VRRP交換機支持在Super VLAN上配置VRRP可以通過使用 命令vrrp advertise send-mode決定在哪個Sub-VLAN中發送VRRP心跳。交換機不支持在MUX VLAN上配置VRRP也不建議VRRP和MUX VLAN聯用MUX VLAN一般使用在二層互通場景中。 三十三、光模塊與光電模塊的區別是什么什么是光模塊 信號在光網絡中傳輸時必須進行光/電轉換。光模塊就是專門在光網絡中完成光/電轉換工作的部件。光模塊的外觀結構如下圖所示。 圖1-1 光模塊的外觀結構  ?
以SFP/eSFP封裝光模塊為例光模塊的外觀如下圖所示。 圖1-2 SFP/eSFP封裝光模塊的外觀  ? 什么是光電模塊也叫電模塊 與光模塊不同光電模塊不進行光電轉換。通過電模塊的轉接可以用網線將兩個光接口連接起來。目前華為只提供GE光電模塊接口為RJ45接口使用5類網線支持1000BASE-TIEEE 802.3ab標准最大傳輸距離為100m。 GE光電模塊的外觀如下圖所示。 圖1-3 GE光電模塊的外觀  ? 光模塊和光電模塊都是用在光接口上的其中光模塊配套光纖使用而光電模塊配套網線使用。 不是所有的光接口都能使用光電模塊可以使用硬件查詢工具查詢具體設備或單板是否支持光電模塊。 三十四、流策略中配置了2個classifier+behavior其中一個classifier+behavior匹配了自定義ACL但是流策略卻沒有生效原因是什么如果其中一個classifier+behavior匹配了自定義ACL而流策略的匹配順序配置成了config流策略就會不生效。需要將流策略的匹配順序需要配置成auto即traffic policy policy-name match-order auto 。 三十五、交換機下行口和V100R005C01版本的S5700或S5300相連為什么下行口會被STP阻塞導致業務不通下行口被阻塞的原因是因為指定端口收到了STP報文。V100R005C01版本的S5700或S5300默認沒有使能bpdu enable因此收到交換機發來的BDPU報文沒有上送所以S5700或S5300一直以為自己是根會向交換機一直發送BPDU報文。 框式交換機V100R001S3300&S5300、S3700&S5700 V100R003、V100R005版本參與STP計算的端口需要配置bpdu enable否則對於收到的STP報文不處理不會影響STP報文發送。S3300&S5300、S3700&S5700的Eth-trunk接口下最容易遺漏該配置。 框式交換機V100R002及后續版本參與STP計算的端口不需要配置bpdu enable默認bpdu disable/bpdu bridge disable。 盒式交換機V100R006版本開始端口默認bpdu enable。 三十六、設備上的報文進行三層轉發防火牆重定向為什么無法生效如下圖所示在GE1/8/10上配置重定向通過Eth-Trunk19引流到防火牆報文再從Eth-Trunk20回到交換機SwitchA。 由於PC和Server在不同的網段報文在SwitchA上走三層轉發所以會替換源MAC為VLANIF3三層出接口GE1/8/12屬於VLAN3的MACEth-Trunk20進入到SwitchA的源MAC就是VLANIF3的MAC。設備SwitchA會默認丟棄源MAC為VLANIF的MAC的報文因此在PC上沒有收到報文PC Ping不通Server。 
三十七、交換機沒有接任何業務接口全部都是Down的為什么CPU占用率仍然高
交換機上配置了IP地址192.168.1.1/172192.168.1.1/172被許多主機設置為DNS服務器。交換機上收到了大量的DNS、TCP報文導致CPU占用率高修改交換機的IP地址CPU占用率恢復正常。
措施一、可能由於多個終端同時訪問S
交換機導致S
交換機SNMP
模塊並行響應多個終端用戶導致延時。用戶可以嘗試執行命令
snmp-agent acl
配置SNMP
的訪問控制列表限制其他用戶訪問。
例如配置如下 # 設置滿足ACL 2000 匹配條件的網管可以通過SNMP 訪問設備。 <HUAWEI> system-view [HUAWEI] acl 2000 [HUAWEI-basic-2000] rule permit source192.168.10.10 0 [HUAWEI-basic-2000] quit [HUAWEI] snmp-agent acl 2000 措施二、嘗試在SNMP 網管側修改SNMP 請求頻率1 分鍾或者修改一下超時重發時間當前應該是0.5s 。 措施三、升級到最新版本查看問題是否解決。 三十九、 為什么S5700-10P-LI網絡位置由二層轉發設備切換為三層網關用戶上網速度變慢 S5700-10P-LI 一般在網絡規划中屬於二層設備當作為三層轉發設備時默認軟件轉發性能較差因此需要修改配置轉化為硬件轉發。即執行命令 assign ipv4-forward-modehardware 然后重啟才可以生效。硬件轉發模式后設備還有一些使用限制。因此不建議用戶將S5700-10P-LI 作為三層網關使用。. 四十、為什么 交換機與服務器對接修改端口自協商模式后后仍然上傳文件緩慢 交換機與服務器對接用戶從客戶端上傳文件至服務器速度很慢 50k 的文件上傳需要花費幾分鍾沒有丟包延時也不大。 當前接口為自協商模式協商的速率只有10M 。嘗試執行命令 undo negotiation auto 配置為非自協商模式然后執行命令 speed 1000 強制速率到1000M 如果問題還是沒有解決可嘗試聯系對端的服務器端技術人員分析解決。 四十一、為什么框式設備使用新版本主控板后就會存在MAC漂移 框式設備先前使用的是V100R003 版本的主控板用戶更換為V200R008 版本主控板並且連線和先前保持一致的情況是下出現MAC 漂移。此時您要比對版本之間配置的命令行差異。經比對發現V100R003 版本的主控板配置了命令 undo mac-learning priority 0 allow-flapping 而V200R008 版本主控板上沒有配置此命令。 在新版本上配置此命令后問題解決。 該命令功能為配置不允許相同優先級的接口發生MAC 地址漂移。 雖然配置此命令后MAC 漂移不再產生但是還是建議用戶排查網絡拓撲徹底排除環路。 四十二、為什么端口沒連接網線指示燈也亮 可能原因有兩個。 原因一、用戶在端口下配置 loopback internal 使能了內環回功能。 您可以在相應接口視圖下執行命令 display this interface 查看端口信息。 重點查看 Loopback 字段如果顯示為INTERNAL 則表示配置了此功能需要執行命令 undo loopback 去使能此功能。 原因二、如果上述步驟 Loopback 字段顯示為 NONE 則設備未配置此功能並且用戶沒有插網線情況下很可能是硬件故障請聯系技術支持人員。 四十三、用戶如何將低級別用戶提升到高級別用戶 用戶可以通過如下方式修改自己的用戶級別。1. 管理員配置用戶提升用戶級別為15 級時的密碼。 <HUAWEI> system-view [HUAWEI] super password level 15 cipherHuawei@5678 2. 普通用戶通過Telnet 登錄設備后在線修改自己的用戶級別。 <HUAWEI> super 15 Password: // 輸入密碼Huawei @5678 Now user privilege is 15 level, and only those commands whose level is equal too r less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE // 用戶提升用戶級別成功 四十四、如何通過MIB節點查詢設備補丁信息
通過MIB
節點查詢設備補丁信息的OID
為1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4
。
例如用戶在網管設備上查看此信息輸出結果如下 [DEVICE] $ snmpwalk -v 2c -c Community Hostname1.3.6.1.4.1.2011.5.25.19.1.8.5.1.1.4 SNMPv2-SMI::enterprises.2011.5.25.19.1.8.5.1.1.4. 0.50 = STRING: "V200R007SPH001" SNMPv2-SMI::enterprises.2011.5.25.19.1.8.5.1.1.4. 1.50 = STRING: "V200R007SPH001" 查詢結果可以看出補丁版本號為V200R007SPH001 。上述回顯信息中對於[0.50][1.50] 其中0 和1 均表示堆疊系統的堆疊ID50 表示補丁中包含50 個補丁單元。 四十五、為什么S2700和S5700設備對接S5700收發正常但S2700入方向有大量的錯包統計
S5700
與S2700
對接執行命令
display interface
interface-type interface-number
查看接口報文計數發現S2700
入方向報文統計持續增加但是S5700
無錯包統計。通過分析發現S5700
交換機允許通過的最大幀長度為9216
字節支持通過命令行
jumboframe enable
value
調整配置但是S2700
允許通過的最大幀長度為1600
字節並且不支持命令行。因此當鏈路中存在大於1600
但是小於9216
字節的報文時S2700
報文統計會統計在錯包中但是S5700
上統計為正常報文。
四十六、為什么堆疊成員退出堆疊再加入堆疊后配置文件丟失了 兩台S5700 設備通過堆疊卡組建堆疊其中備交換機異常下電重啟重啟后再加入堆疊系統時發現備交換機配置文件丟失您可以通過查看用戶操作日志排查原因 May 26 2017 09:29:39 CDGT-HUAWEI-5720FSP/4/STACKMEMBER_LEAVE:OID 1.3.6.1.4.1.2011.5.25.183.1.22.7 Slot 2 leaves fromstack. May 26 2017 09:33:01 CDGT-HUAWEI-5720%SHELL/6/CMDCONFIRM_UNIFORMRECORD(s)[743844]:Record command information.(Task=VT0, IP=113.215.2.220, VpnName=, User=admin, Command="sa",PromptInfo="The current configuration will be written to the device.Areyou sure to continue?[Y/N]", UserInput=Y) May 26 2017 09:33:01 CDGT-HUAWEI-5720 /4/SAVE(s)[743845]:The user choseY when deciding whether to save the configuration to the device. May 26 2017 14:38:30 CDGT-HUAWEI-5720 %LOAD/6/SLOTJOINED(l)[751557]:Slot 2joined the stack. 通過上述用戶操作日志可以得出用戶在設備下電並上電后執行了命令行 save 配置文件操作然后備交換機再次加入堆疊系統經過研發工程師分析堆疊實現流程發現如果堆疊離開后保存配置文件然后再加入堆疊原堆疊配置就會丟失。 因此建議用戶后續出現類似故障時異常下電並上電后不要執行 save 即保存配置文件的操作。 四十七、設備Ping網管地址有丟包需要先檢查什么 首先需要檢查設備是否正確學習到了網關IP 地址對應的ARP 表項即執行命令 display arp network net-number 查看ARP 表項中網關IP 地址對應的MAC 地址是否和實際網關MAC 地址一致。如果錯誤則很有可能網絡中出現IP 地址沖突有其他網絡設備誤配置IP 和網關IP 重復從而在設備上Ping 網關IP 地址會出現丟包。 四十八、配置peer connect-interface時針對源接口和源地址注意事項是什么
使用非直連物理接口建立BGP
連接時需要在兩端均配置
peer connect-interface
命令以保證兩端連接的正確性。否則可能導致BGP
連接建立失敗。
如果對端跟本端的loopback 口建立鄰居需要在本端指定源接口是loopback 口如果對端跟本端物理口建立鄰居需要在本端指定源接口是物理口。 為了使物理接口在出現問題時設備仍能發送BGP 報文建議將發送BGP 報文的源接口配置成Loopback 接口。在使用Loopback 接口作為BGP 報文的源接口時必須確認BGP 對等體的Loopback 接口的地址是可達的。 例如SwitchA 和SwitchB 建立BGP 連接時針對peer connect-interface 配置如下 SwitchA 配置如下 <SwitchA> system-view [SwitchA] bgp 100 [SwitchA-bgp] peer 10.16.6.6 as-number 100 [SwitchA-bgp] peer 10.16.6.6 connect-interface loopback0 10.18.8.8 SwitchB 配置如下 <SwitchB> system-view [SwitchB] bgp 100 [SwitchB-bgp] peer 10.18.8.8 as-number 100 [SwitchA-bgp] peer 10.18.8.8 connect-interface loopback0 10.16.6.6 四十九、SSH 1.x和SSH2.0有什么區別 SSH2.0 和SSH1.x 均表示SSH 服務器及客戶端支持的版本。 服務器會比較客戶端發來的SSH 版本號並根據自身是否已經執行了命令 ssh server compatible-ssh1x enable 配置SSH 服務器兼容低版本功能來決定是否能同客戶端一起工作。如果已經使能SSH 服務器兼容低版本功能則 l 如果客戶端的協議版本號低於1.3 或高於2.0 則版本協商失敗斷開連接。 l 如果客戶端的協議版本為大於等於1.3 並且小於1.99 系統配置為兼容SSH1.x 方式則進入SSH1.5 SERVER 模塊后續進行SSH1.x 協議流程否則版本協商失敗斷開與客戶端的連接。 l 如客戶端協議版本為1.99 或2.0 則進入SSH2.0 SERVER 模塊后續進行SSH2.0 協議流程。 S 交換機V200R006 及之前版本設備默認使能SSH 服務器兼容低版本功能對於V200R007 以及之后版本出於網絡安全考慮設備默認未使能SSH 服務器兼容低版本功能。如果設備是從低版本升級至V200R007 以及之后版本升級前SSH 服務器兼容低版本功能處於默認的使能狀態出於升級兼容考慮升級后設備的SSH 服務器兼容低版本功能將仍處於使能狀態。 SSH2.0 協議相比SSH1.X 協議來說在結構上做了擴展可以支持更多的認證方法和密鑰交換方法安全性更高可以規避SSH1.x 存在的安全風險推薦用戶使用SSH2.0 。建議您升級后使用命令 undo ssh server compatible-ssh1x enable 去使能SSH 服務器兼容低版本功能提升設備安全性。 五十、執行reset arp staic命令清除ARP表項后還有什么其他影響 用戶執行 reset arpstatic 命令清除靜態ARP 表項的同時還會清除配置靜態ARP 表項的的命令。 例如 [Quidway] arp static 1.1.1.1 0efc-0505-86e3 [Quidway] display current-configuration | include arp static arp static 1.1.1.1 0efc-0505-86e3 [Quidway] quit <Quidway> reset arp static Warning: This operation will reset all static ARP entries, and clear theconfigurations of all static ARP, continue?[Y/N]:y <Quidway> displaycurrent-configuration | include arpstatic // 先前配置命令 arp static 1.1.1.1 0efc-0505-86e3 已經刪除 <Quidway> 五十一、為什么設備Ping網絡號網絡地址設備顯示會收到回應報文
交換機SwitchA
上直連交換機SwitchB
的管理網口。在SwitchA
上Ping 192.168.16.0
這個網絡號設備上會顯示收到回應報文。
交換機SwitchA 上Ping 網絡號時SwitchA 設備發送的ICMP 報文的目的MAC 是FFF-FFFF-FFFF 如果交換機SwitchB 業務口收到這種報文是不會上送軟件處理的軟件只上送到本機的ICMP 單播請求報文。但是如果是從SwitchB 管理網口接收的話可以上送處理因此SwitchA 能收到SwitchB 返回的ICMP REPLY 報文。 五十二、配置部分VTY用戶通過ACL控制后用戶VTY登錄實現機制是怎樣的 交換機設置最大登錄用戶數是15 在vty0-4 下配置了acl 控制列表在vty5-14 下未做控制列表當前只占用vty0 的情況下通過控制列表外的IP 地址訪問設備能夠成功登錄查看占用的vty5 通道。 <HUAWEI> display user-interface maximum-vty Maximum of VTY user:15 <HUAWEI> displaycurrent-configuration | begin user-interface user-interface maximum-vty 15 user-interface con 0 authentication-mode aaa idle-timeout 0 0 screen-length 25 user-interface vty 0 4 acl 2000 inbound authentication-mode aaa user privilege level 3 idle-timeout 0 0 screen-length 25 protocol inbound telnet user-interface vty 5 14 authentication-mode aaa user privilege level 3 idle-timeout 0 0 screen-length 25 protocol inbound telnet user-interface vty 16 20 # <9312> display acl 2000 Basic ACL 2000, 3 rules Acl's step is 5 rule 1 permit source 10.0.5.0 0.0.0.255 rule 2 permit source 10.0.9.0 0.0.0.255 rule 10 deny <9312> display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 0 CON 0 24:49:10 pass no Username : admin + 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin 使用另外一個終端IP 地址為10.1.18.213 再登錄設備登錄成功執行 display users 查看用戶信息如下 <HUAWEI> display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 0 CON 0 24:50:00 pass no Username : admin + 34 VTY 0 00:00:00 TEL 10.0.9.10 pass no Username : admin 39 VTY 5 00:00:02 TEL 10.1.18.213 pass noUsername : admin 對於IP 地址為10.1.18.213 的終端客戶使用V2R10C00 版本可以登陸但是V2R1C00 不可以登陸成功原因如下V200R010 的版本用戶登錄時會遍歷VTY 通道非法IP 在VTY0- 4 被拒絕之后會向后遍歷VTY 5-14 。對於V200R001 版本如果在VTY0 拒絕了就不會向后遍歷因此老版本會登錄失敗。 五十三、框式集群業務口堆疊連線如何保證可靠性 業務口集群按照鏈路的分布有兩種組網形式。 l 1+0 組網每台成員交換機配置一個邏輯集群端口物理成員端口分布在一塊業務板上依靠一塊業務板上物理成員端口與對框的物理成員端口實現集群連接。 l 1+1 組網每台成員交換機配置兩個邏輯集群端口物理成員端口分布在兩塊業務板上不同業務板上的集群鏈路形成備份。 說明 集群連線時需注意以下幾點 一個邏輯集群端口下的物理成員端口只能與對框的一個邏輯集群口下物理成員端口相連。 在1+1 組網中建議兩塊單板上的集群鏈路數量保持一致。 出於可靠性考慮組建上述兩種業務口集群組網形式需注意以下幾點 l 出於高可靠性要求推薦您使用1+1 組網並且推薦配置多主檢測功能。 l 一塊業務板上建議至少有兩個物理成員端口加入到一個邏輯集群端口並且建議加入邏輯集群端口的物理成員口都和對端成員交換機互連。在這些鏈路上都有堆疊狀態心跳檢測機制可以更好監控堆疊狀態。 l 上行端口和配置多主檢測端口不建議部署在組建集群的業務板上。 五十四、鏡像配置中觀察端口占用的單板資源如何計算 A 單板上配置觀察端口將B 單板鏡像端口綁定到A 單板上的觀察端口時將占用B 單板上所有鏡像端口可綁定的觀察端口規格數量。 例如1 槽位單板屬於E 系列單板最多可配置6 個觀察端口所有鏡像端口入方向加起來最多可以綁定4 個觀察端口出方向加起來最多可以綁定2 個觀察端口。如果鏡像端口入方向和出方向綁定到了同一個觀察端口並且這個觀察端口是配置在槽位2 的單板上則入方向可以綁定的剩余觀察端口數量為3 出方向可以綁定的剩余觀察端口數量為1 那么剩余可用觀察端口數量都是按照槽位1 規格來計算為3+1=4 並非是6-1=5 。 <HUAWEI> system-view [HUAWEI] observe-port 1 interfacegigabitethernet 2/0/2 [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] port-mirroringto observe-port 1 both 五十五、OSPF優選路由和等價路由的處理機制是什么 如果您希望查看優選路由表項可執行命令 display ip routing-table 回顯信息中僅顯示激活路由的概要信息。如果希望查看激活和未激活路由的詳細信息可執行命令 display ip routing-tableverbose 。 對於OSPF 路由您還可以在診斷視圖下執行命令 display ospf [ p***ess-id ] routing [ ip-address ] verbose 查看OSPF 的鏈路狀態數據庫信息。 <HUAWEI> system-view [HUAWEI] diagnose [HUAWEI-diagnose] display ospf routing80.80.1.0 verbose OSPF P***ess 1 with Router ID 1.1.1.1 Destination : 80.80.1.0/24 AdverRouter : 23.23.23.23 Tag : 1 Cost : 1 Type : Type2 NextHop : 80.80.1.1 Interface : Ethernet1/0/0 Priority : Medium Age : 00h00m19s OrigLSAType : None Locks : PRC RouteFlags : ADD2RM | POLPASS | RMELIG | T2EXT FlagValue : 0XE1008063 RtSource 1 : LsId(Key) : 6.6.6.6 Type(Key) : External AreaId(Key) : 0.0.0.0 AdvRouter(Key) : 1.1.1.3 LsaCost :1 EffectiveCost : 1 CostType : Type-2 DnBit : Un-Set Tag : 1 FwdAddr : 0.0.0.0/0 Flag : REACHABLE | BESTPATH | ELIGIBLE |T2EXT | LEARNT | MAXRTELIG FlagValue : 0xE0191B48 OSPF 優選和等價路由的處理機制可以重點查看上述回顯信息中的LsaCost( 度量值) 和EffectiveCost 實際生效的cost 主要用於Type5 類路由。 l 優先查看LsaCost 數值數值小的的路由表項將作為優選路由。 l 如果LsaCost 數值相同則將LsaCost+EffectiveCost 數值總和加起來比較數值總和小的路由表項將作為優選路由如果仍然一樣則兩條路由將作為等價路由進行負載分擔。
五十六、S交換機和語音服務器對接是否可以在S交換機上將連接服務器的端口配置為鏡像功能中觀察端口配置
不建議這樣配置如果鏡像端口和觀察端口屬於同一VLAN
則鏡像端口發送一份報文在語音服務器上就會受到兩份報文影響業務。
五十七、S交換機雙鏈路備份和友商設備對接為什么主備接口切換后部分ARP表項未及時刷新
該場景依賴對端設備發送免費ARP
報文來更新主接口的ARP
表項。建議用戶減小對端設備發送免費ARP
的時間間隔來解決。
五十八、組建堆疊后為什么網管設備通過SNMP獲取信息緩慢
盒式設備組建堆疊時台數越多網管設備通過SNMP
獲取信息越緩慢。原因是由於獲取端口相關信息需要遍歷的節點太多台數越多耗時越長。
五十九、用戶是否可以自行修改配置文件並指定為下次啟動使用的配置文件 startupsaved-configuration 命令用來配置系統下次啟動時使用的配置文件。 用戶請勿自行手動修改配置文件並指定為下次啟動時的配置文件否則可能會造成設備啟動異常。例如用戶私自修改配置文件中的BGP 相關配置則就有可能因為# 后是否有空格導致配置文件下發異常。 六十、如何判斷設備是否出現RouterID沖突異常 任意視圖下執行命令 display logbuff 查看設備是否出現OSPF/4/CONFLICT_ROUTERID_INTF 日志。 <Quidway> displaylogbuffer ... ... May 4 2017 00:17:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[311]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) May 4 2017 00:15:57+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[312]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) May 4 2017 00:13:56+02:00 NEOTEL-S9306-2%OSPF/4/CONFLICT_ROUTERID_INTF(l)[313]:OSPF Router id conflict is detectedon interface. (P***essId=43, RouterId=10.228.233.194, AreaId=0.0.0.0,InterfaceName=Vlanif102, IpAddr=41.48.16.21, PacketSrcIp=41.48.16.21) 如果出現上述告警則設備出現了Router ID 沖突一般情況下可以執行命令執行 ospf router-id router-id 命令修改設備的Router ID 。 特殊情況下如果設備RouterID 沖突日志信息中源IP 地址PacketSrcIp=41.48.16.21 為自身設備上的IP 地址則表示設備收到了本接口發出去的報文您需要排查網絡中是否存在環路並獲取OSPF 報文中MAC 地址信息進行定位排查具體哪個設備將報文轉發回來。 六十一、交換機是否根據UDP端口號過濾出PPPoE、MPLS報文 交換機對於PPPoE 、MPLS 、 Tunnel 、CAPWAP 隧道封裝等報文交換機ACL 過濾時目前無法解析報文內部IP 信息。 例如用戶在交換機設備嘗試配置如下步驟通過ACL 流過濾獲取特定報文。 在入接口配置了一條流策略到鏡像端口要求只接收到UDP53 端口的報文。 <HUAWEI> system-view [HUAWEI] observe-port 1 interfaceGigabitEthernet 0/0/14 [HUAWEI] acl number 3001 [HUAWEI--acl-adv-3001] rule 5 permit udpdestination-port eq 53 [HUAWEI--acl-adv-3001] quit [HUAWEI] traffic classifier a1 operatorand [HUAWEI-classifier-a1] if-match acl 3001 [HUAWEI-classifier-a1] quit [HUAWEI] traffic behavior b1 [HUAWEI-behavior-b1] permit [HUAWEI-behavior-b1] mirroring toobserve-port 1 [HUAWEI-behavior-b1] quit [HUAWEI]traffic policy yagoo [HUAWEI-trafficpolicy-yagoo]classifier a1 behavior b1 [HUAWEI-trafficpolicy-yagoo]quit [HUAWEI]interface GigabitEthernet 0/0/4 [HUAWEI-GigabitEthernet0/0/4]traffic-policy yagoo inbound 結果是客戶能獲取到以太網類型的到目的端口53 的報文但是獲取不到PPP 類型的到目的端口53 的報文。原因就是上述描述的PPPoE 等類型的封裝報文S 交換機ACL 過濾時無法獲取內部IP 信息。 六十二、交換機用戶登錄及文件管理相關功能的默認開啟情況是什么 交換機用戶登錄及文件管理功能主要涉及FTP/SFTP 、Telnet/STelnet 、HTTP/HTTPS 。各版本默認開啟情況及相關配置命令如下 FTP ftp server enable 命令用來開啟設備的FTP 服務器功能允許FTP 用戶登錄。 undo ftp server 命令用來關閉設備的FTP 服務器功能禁止FTP 用戶登錄。 缺省情況下FTP 服務器功能處於去使能狀態。 SFTP sftp server enable 命令用來使能SSH 服務器端的SFTP 服務功能。 undo sftp server enable 命令用來關閉SSH 服務器端的SFTP 服務功能。 缺省情況下SSH 服務器端的SFTP 服務功能處於去使能狀態。 Telnet telnet server enable 命令用來啟動Telnet 服務器。 undo telnet server enable 命令用來關閉Telnet 服務器。 缺省情況下對於V200R003 及之前版本Telnet 服務器功能處於使能狀態對於V200R005 及之后版本Telnet 服務器功能處於去使能狀態。 STelnet stelnet server enable 命令用來使能SSH 服務器端的STelnet 服務。 undo stelnet server enable 命令用來關閉SSH 服務器端的STelnet 服務。 缺省情況下SSH 服務器端的STelnet 服務處於去使能狀態。 HTTP http server enable 命令用來使能HTTP 服務功能。 undo http server enable 命令用來去使能HTTP 服務功能。 缺省情況下HTTP 服務功能處於使能狀態。 HTTPS http secure-server enable 命令用來使能安全HTTP 服務功能。 undo http secure-server enable 命令用來去使能安全HTTP 服務功能。 缺省情況下安全HTTP 服務功能處於使能狀態。 六十三、VTY用戶登錄是否需要配置ACL控制規則 出於網絡安全考慮建議用戶配置VTY 通道ACL 過濾規則防止大量Telnet 攻擊導致所有VTY 通道被占滿正常用戶沒有可使用的VTY 通道導致無法登錄設備。例如可配置如下規則 <HUAWEI> display user-interface maximum-vty Maximum of VTY user:15 <HUAWEI> displaycurrent-configuration | begin user-interface user-interface maximum-vty 15 user-interface con 0 authentication-mode aaa idle-timeout 0 0 screen-length 25 user-interface vty 0 14 acl 2000 inbound authentication-mode aaa user privilege level 3 idle-timeout 0 0 screen-length 25 protocol inbound telnet # <9312> display acl 2000 Basic ACL 2000, 3 rules Acl's step is 5 rule 1 permit source 10.0.5.0 0.0.0.255 rule 2 permit source 10.0.9.0 0.0.0.255 rule 10 deny 六十四、S交換進對於轉發面和控制面的報文是否都分片 通過配置MTU 值接口的最大傳輸單元) 可以控制一次能夠發送IP 報文的最大字節數如果MTU 值生效並且傳送報文長度大於MTU 值報文才會分片否則即使報文長度很大也不會分片。因此判斷轉發面和控制面的報文是否會分片需要先看MTU 值的生效情況。 l 對於框式交換機 配置MTU 對控制平面的數據報文生效。對於V200R010 及之后版本LE1D2S04SEC0 、LE1D2X32SEC0 、LE1D2H02QEC0 和X 系列單板需要執行 ipv4 fragment enable 命令使能報文分片功能后配置的MTU 值才對轉發平面的數據報文生效對於以上描述之外的單板配置MTU 值對轉發平面的數據報文無法生效。 對於V200R009 及之前版本配置MTU 僅對控制平面的數據報文生效對轉發平面的數據報文無法生效即轉發平面報文不會分片。 l 對於盒式交換機 配置MTU 對控制平面的數據報文生效。對於V200R010 及之后版本S320HI 及S5720HI 設備需要執行 ipv4 fragment enable 命令使能報文分片功能后配置的MTU 值才對轉發平面的數據報文生效對於以上描述之外的設備配置MTU 值對轉發平面的數據報文無法生效。 對於V200R009 及之前版本配置MTU 僅對控制平面的數據報文生效對轉發平面的數據報文無法生效即轉發平面報文不會分片。 六十五、 雙電源設備重啟可能原因是什么 兩台S6720-30C-EI- 組建堆疊其中只有一台設備異常重啟兩台交換機是插在機房同一個插排的。設備當前是雙電源供電基本排除兩個電源模塊同時故障的可能懷疑是外部供電導致。 六十六、 為什么 S 交換機和 NE 設備對接時會出現 Ping 大包不通 S 交換機和NE 設備對接時在NE 設備上 Ping -s 1555 192.168.1.3( 此IP 地址為交換機地址) 無法Ping 通但是 Ping -s 1554 192.168.1.3 可以Ping 通。 登錄S 交換機進入交換機對接NE 設備的接口視圖並執行命令 display this interface 查看報文統計信息。通過回顯信息發現接口 Giants 字段報文統計計數為90 即接口收到了超過Jumbo 最大幀長度。Ping 大包可能是超過了接口允許的最大幀長。用戶可嘗試配置 jumboframe enable value 調整以太網接口允許通過的最大幀長。 <SwitchC> system-view [SwitchC] interface GigabitEthernet 0/0/2 [SwitchC-GigabitEthernet0/0/2] displaythis interface GigabitEthernet0/0/2 current state : UP Line protocol current state : UP Description:HUAWEI, Quidway Series, GigabitEthernet0/0/2 Interface Switch Port, TPID : 8100(Hex), The Maximum Frame Length is 1600 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 2cab-0083-3880 Port Mode: COMMON FIBER Speed : 1000, Loopback: NONE Duplex: FULL, Negotiation: DISABLE Last 300 seconds input rate 184 bits/sec, 0 packets/sec Last 300 seconds output rate 376 bits/sec, 0 packets/sec Input peak rate 78224 bits/sec, Record time: 2008-01-01 01:21 Output peak rate 93152 bits/sec, Record time: 2008-01-01 01:21 Input: 31511 packets, 2595452 bytes Unicast : 29140, Multicast : 2249 Broadcast : 0, Jumbo : 32 CRC : 0, Giants : 90 Jabbers : 0, Fragments : 0 Runts : 0, DropEvents : 0 Alignments : 0, Symbols : 0 Ignoreds : 0, Frames : 0 Discard : 0, Total Error : 90 Pause : 0 Output: 55317 packets, 4341335 bytes Unicast : 52978, Multicast : 2276 Broadcast : 0, Jumbo : 63 Collisions : 0, Deferreds : 0 Late Collisions: 0,ExcessiveCollisions: 0 Buffers Purged : 0 Discard : 0, Total Error : 0 Pause : 0 Input bandwidth utilization threshold: 100.00% Output bandwidth utilizationthreshold: 100.00% Input bandwidth utilization : 0.01% Output bandwidth utilization : 0.01% [SwitchC-GigabitEthernet0/0/2] jumboframeenable 1700 六十六、 問什么網管上接口錯包統計信息和設備上顯示的不一致 清除網管的接口流量統計信息需要在S 交換機設備用戶視圖上執行命令r eset counters if-mib interface 清除設備接口的統計信息需要在S 交換機設備用戶視圖上執行命令 reset counters interface 。 上述兩條命令相互獨立即執行命令 reset counters if-mibinterface 對命令 display interface 顯示的接口流量統計信息不影響。當需要清除命令 display interface 查看到的接口統計信息時可以執行命令 reset counters interface 。同樣執行命令 reset counters interface 對於網管上查看的報文統計計數也不影響當需要清除網管上查看到的接口統計信息時可以執行命令r eset counters if-mibinterface 。 六十七、如何理解日志抑制的實現機制 用戶可以在系統視圖下執行命令 info-centerstatistic-suppress enable 使能連續重復日志的統計抑制功能。 有一些業務特性如ARP 和VRRP 等在ARP 攻擊、路由鏈路故障等場景下會短時間產生大量重復日志這樣既浪費系統的存儲空間又浪費系統的CPU 資源用戶一般不希望看到這些重復冗余的日志信息。可以執行命令info-center statistic-suppress enable 使能連續重復日志的統計抑制功能避免系統受到沖擊而影響其他日志的記錄。 只有日志ID 和全部參數完全相同且中間無其它日志的兩條日志才可判定為連續重復日志。 對於重復次數的輸出采用3 種時間長度控制第一次是30 秒輸出一次統計情況然后是120 秒輸出一次統計信息最后是每600 秒輸出一次統計信息。 缺省情況下信息中心每收到一條日志后立刻輸出。對於后來連續產生的重復日志只輸出重復次數直到收到其他日志為止。例如某模塊生成日志序如下A1(T1) A2(T2) A3(T2) B1(T3) B2(T4) B3(T4) C1(T5) C2(T6) A4(T7)B4(T8) B5(T8) B5(T8) B7(T9) A5(T9) B8(T10) D1(T11) A6(T11) A7(T12) A8(T12)A9(T13) A10(T14) A11(T15) A12(T16) A13(T17) A14(T18) B9(T18) 其中An 和Bn 是相同的日志即A1A2A3A14 是相同日志B1B9 是相同日志Cn 和D 是不相同的日志即C1C2 是不相同日志Tn 表示序列號。則輸出結果為 T1:A1 T3(1): last message repeated 2 times T3:B1 T5: last message repeated 2 times T5:C1 T6:C2 T7:A4 T8:B4 T9(1): last message repeated 3 times T9:A5 T10:B8 T11:D1 T11:A6 T13(2): last message repeated 3 times T18(2): last message repeated 5 times T18:B9 對信息中心顯示該業務模塊的內容說明如下 l 觸發連續重復日志輸出方法有兩個 a. 下一條是非重復的日志會觸發上一條連續重復日志記錄輸出如 1 b. 連續重復日志的統計時間超過閾值30 秒、120 秒、600 秒由該重復日志的一條觸發之前的統計情況輸出如 2 l 每次輸出統計信息后業務模塊重新啟動計數即在T11 到T18 階段A 日志重復了1+3+5=9 條 l 信息中心對日志輸出依照日志產生順序方便后續日志的回溯信息和場景復原 說明 日志序為A B A B A B A B 的振盪日志由於不是連續重復日志執行info-centerstatistic-suppress enable 命令無法達到統計抑制效果。 舉例1 端口頻繁UP/DOWN 震盪日志就無法抑制。 Nov 18 2017 10:12:15+08:00HNSY-WGX-ZXJ-SW1-S9306 %IFNET/4/IF_STATE(l)[4059453]:InterfaceGigabitEthernet6/0/45 has turned into UPstate. Nov 18 2017 10:12:18+08:00 HNSY-WGX-ZXJ-SW1-S9306 %IFNET/4/IF_STATE(l)[4059454]:InterfaceGigabitEthernet6/0/45 has turned into DOWNstate. Nov 18 2017 10:12:20+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059455]:Interface GigabitEthernet6/0/45 has turnedinto UP state. Nov 18 2017 10:12:29+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059456]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. Nov 18 2017 10:12:31+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059457]:Interface GigabitEthernet6/0/45 has turnedinto UP state. 舉例2 如果重復的日志打印過程中出現其他不同日志則抑制就會被打斷 Nov 18 2017 12:32:02+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059459]:Last message repeated 1times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) Nov 18 2017 12:46:05+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059460]:Last message repeated 4times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) Nov 18 2017 14:26:25+08:00 HNSY-WGX-ZXJ-SW1-S9306D/4/CPCAR_DROP_LPU(l)[4059461]:Some packets are dropped by cpcar on theLPU in slot 3. (Protocol=arp-reply, Drop-Count=0123)// 出現不同日志則原先的抑制會中斷重新記錄 Nov 18 2017 17:56:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059462]:Last message repeated 2times.(InfoID=4280946691, ModuleName=DEFD, InfoAlias=CPCAR_DROP_LPU) Nov 18 2017 18:06:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059463]:Last message repeated 1times.(InfoID=4280946691, ModuleName=DEFD, InfoAlias=CPCAR_DROP_LPU) Nov 18 2017 18:30:00+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059464]:Interface GigabitEthernet6/0/45 has turned intoDOWN state. Nov 18 2017 18:31:22+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059465]:Interface GigabitEthernet6/0/45 has turnedinto UP state. Nov 18 2017 18:31:25+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059466]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. Nov 18 2017 18:31:27+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059467]:Interface GigabitEthernet6/0/45 has turnedinto UP state. Nov 18 2017 18:31:37+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059468]:Interface GigabitEthernet6/0/45 has turnedinto DOWN state. Nov 18 2017 18:31:38+08:00 HNSY-WGX-ZXJ-SW1-S9306%IFNET/4/IF_STATE(l)[4059469]:Interface GigabitEthernet6/0/45 has turnedinto UP state. Nov 18 2017 23:28:09+08:00 HNSY-WGX-ZXJ-SW1-S9306 %INFO/6/SUPPRESS_LOG(l)[4059470]:Lastmessage repeated 1 times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) Nov 18 2017 23:46:05+08:00 HNSY-WGX-ZXJ-SW1-S9306%INFO/6/SUPPRESS_LOG(l)[4059471]:Last message repeated 15times.(InfoID=5246983, ModuleName=IFNET, InfoAlias=IF_STATE) 六十八、為什么交換機的VLANIF接口帶寬在U2000網管上顯示為1Gbit/s VLNIF 接口屬於邏輯接口沒有物理接口的帶寬概念交換機側本身也不會提供VLANIF 的帶寬利用率。對於網管側獲取的VLNIF 帶寬信息是其根據RFC 規則描述給予以太網VLNIF 接口賦予的默認值1Gbit/s 。 六十九、框式交換機NTP的狀態信息顯示時鍾已設定但時鍾頻率沒有確定的原因是什么 交換機上執行命令 display ntp-service status 查看NTP 的狀態信息如下。 [HUAWEI] display ntp-service status clock status: synchronized clock stratum: 5 reference clock ID: 192.168.30.1 nominal frequency: 100.0000 Hz actual frequency: 100.0000 Hz clock precision: 2^18 clock offset: 1.5096 ms root delay: 109.93 ms root dispersion: 5.94 ms peer dispersion: 178.51 ms reference time: 08:03:54.402 UTC May 5 2017(DCB6B06A.6713AD5B) synchronization state: clock set butfrequency not determined 其中本地時鍾的同步狀態synchronizationstate 顯示時鍾已設定但時鍾頻率沒有確定。通過查看設備中時間設置相關的操作日志懷疑用戶修改時區引發NTP 重新同步。 如果NTP 服務器狀態穩定的NTPv3 的頻率同步完成時間一般在8 個同步校准周期即8*64 秒 ---- 8*1024 秒。確認服務器穩定並觀察一段時間后2 小時之后再次執行 display ntp-service status 命令發現時鍾同步已經完成。 七十、為什么用戶通過HWTACACS以及Radius認證方式進行Telnet登錄設備時密碼過長會導致認證失敗 當S 交換機為V200R003及之前版本 交換機識別的密碼長度都是16 位因此如果用戶配置的密碼的長度過長用戶在登錄交換機並輸入密碼時長度大於16 位將會因為密碼交互異常導致登錄失敗。建議您修改密碼長度長度小於16 位或者升級S 交換機設備到V200R005 或之后版本。
七十一、為什么無線局域網內共享文件做下載測試下載速率慢
適用版本及形態:支持WLAN-AC的所有款型和版本。
建鏈速率越大終端可能達到的下載速率越大。建鏈速率取決於射頻工作頻寬、GI模式等因素。
如果想到達到更高的速率可以配置較高的工作帶寬如40MHz2.4G頻段不建議配置並配置GI模式為short。如果當前使用的是非11ac類型AP和終端可以嘗試更換為11ac類型的AP和終端如Macbook配置工作帶寬為80MHz並配置GI模式為short。 此外如果當前使用的業務數據轉發模式是隧道轉發可以考慮修改為直接轉發並且在做下載速率測試的AP上僅生成一個VAP。 但是共享文件的測試方式受限於終端的讀寫性能如果終端讀寫達到瓶頸無線鏈路的速率再怎么提高也沒有用。可以使用speedtest進行下載速率測試。
七十一、為什么無線用戶經常掉線
適用版本及形態:V200R005C00、V200R006C00、V200R007C00和V200R008C00版本所有支持WLAN-AC的款型。
如果同一個AP上同時綁定的多個服務集的SSID相同但是業務VLAN不同則會出現無線用戶經常掉線的情況。例如以下配置是錯誤的。
service-set name ser-employee id 1 forward-mode tunnel wlan-ess 1 ssid chinamoney-2F traffic-profile id 1 security-profile id 1 service-vlan 207 service-set name ser-guest id 2 forward-mode tunnel wlan-ess 2 ssid chinamoney-2F-guest traffic-profile id 1 security-profile id 2 service-vlan 208 service-set name ser-employee-vlan209 id 3 forward-mode tunnel wlan-ess 1 ssid chinamoney-2F traffic-profile id 1 security-profile id 1 service-vlan 209 service-set name peixun id 4 forward-mode tunnel wlan-ess 4 ssid peixun traffic-profile id 1 security-profile id 0 service-vlan 206 ap 0 radio 0 radio-profile id 0 service-set id 1 wlan 1 service-set id 2 wlan 2 service-set id 3 wlan 3 service-set id 4 wlan 4 ap 0 radio 1 radio-profile id 0 service-set id 1 wlan 1 service-set id 2 wlan 2 service-set id 3 wlan 3 service-set id 4 wlan 4 七十二、為什么SNMP同時配置read權限和write權限不同時生效?
snmp-agent community命令配置讀寫團體名的時候,同一個團體名只能配置一種權限,如果同一個團體名既配置了只讀權限又配置了讀寫權限,只有后配置的權限生效。
七十三、能否通過SNMP網管對S交換機接口下發shutdown/undo shutdown配置
SNMP協議設計上不是面向配置的協議,缺乏有效的安全性和配置事務提交機制,所以SNMP多用於設備性能和監控,不適用於網絡設備的配置。如果想要通過SNMP網管給交換機下發配置,則需要有對應的MIB節點支持,目前沒有MIB節點支持通過SNMP給S交換機下發下發shutdown/undo shutdown配置。NETCONF協議是一種基於XML的網絡管理協議,它提供一套可編程的網絡設備管理機制,用戶可以使用這套機制增加、修改、刪除網絡設備的配置以及獲取網絡設備的配置和狀態信息。用戶可以考慮使用支持NETCONF協議的網管或者控制器對網絡設備進行配置和管理。
七十四、S系列交換機是否支持將網管通過SNMP登錄設備成功的信息記錄到日志里面?
按照S系列交換機當前的實現機制,網管通過SNMP周期性登錄交換機獲取交換機性能監控信息,這種機制也叫輪詢。輪詢成功不會記錄日志,只有輪詢失敗才會記錄日志,SNMP登錄失敗的時候,會產生如下日志:SNMP/4/SNMP_FAIL:Failed to login through SNMP. (Ip=[STRING], Times=[ULONG], Reason=[STRING], VPN=[STRING])在絕大多數場景下,這個實現機制是合理的,因為輪詢成功也記錄日志的話會導致產生大量日志,導致產生很多冗余性日志信息。
七十五、為什么通過NQA測試例與通過ping測試得到的報文時延不一樣?
【問題背景】
某局點客戶在S6720交換機上配置了NQA測試例,測試源IP地址172.16.1.6和目的IP地址172.16.1.5之間的鏈路質量。
具體配置如下: # nqa test-instance admin huawei test-type icmp destination-address ipv4 172.16.1.5 source-address ipv4 172.16.1.6 frequency 300 probe-count 15 datasize 56 start now # 【客戶疑問】 如下所示,發現NQA測試例的時間延遲在20ms左右,而通過ping測試發現時間延遲在2ms左右,兩者不一致,且差距較大,這是為什么? <HUAWEI>display nqa history NQA entry(1065635,huawei) history: Index T/H/P Response Status Address Time 46 46284/1/1 20ms success 172.18.1.5 2008-01-01 01:21.326 47 46284/1/2 21ms success 172.18.1.5 2008-01-01 01:21.326 48 46284/1/3 19ms success 172.18.1.5 2008-01-01 01:21.326 49 46284/1/4 19ms success 172.18.1.5 2008-01-01 01:21.386 50 46284/1/5 29ms success 172.18.1.5 2008-01-01 01:21.386 <HUAWEI> ping -a 172.16.1.6 172.16.1.5 PING 172.18.1.5: 56 databytes, pressCTRL_C to break Reply from172.18.1.5:bytes=56 Sequence=1 ttl=64 time=2 ms Reply from172.18.1.5:bytes=56 Sequence=2 ttl=64 time=2 ms Reply from172.18.1.5:bytes=56 Sequence=3 ttl=64 time=2 ms Reply from172.18.1.5:bytes=56 Sequence=4 ttl=64 time=6 ms Reply from172.18.1.5:bytes=56 Sequence=5 ttl=64 time=2 ms ---172.16.1.5 ping statistics--- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-tripmin/avg/max = 2/2/6ms 【問題分析】 在S系列交換機上,Ping和NQA測試例是兩個不同的任務,時間延遲的計算方式不一樣。Ping的時間延遲是物理端口發送和接收的ICMP數據包之間的時間。而NQA測試例的時間延遲是Ping時間+CPU處理時間,因為NAQ與CPU一起參與處理,而CPU需要時間來處理那些數據包。所以會看到在同一段鏈路之間,NQA測試例的時間延遲會大於Ping測試的時間延遲,這取決於交換機CPU處理報文需要花費的時間。
七十六、為什么交換機會產生大量NTP時鍾同步變化日志?
如果多次執行
ntp-service unicast-peer命令配置了多個遠端對等體,或多次執行
ntp-service unicast-server命令配置了多個遠端服務器,交換機同步時鍾時會在不同的對等體或服務器之間反復震盪切換,從而導致交換機時間頻繁變化而觸發大量日志。
可以在配置某一個對等體或服務器時指定 preference參數規避該問題。 七十七、交換機做DHCP服務器時,無法在Windows DNS服務器上通過查詢PC的IP地址獲取其主機名,如何解決? 配合Windows DNS服務器,若S系列交換機作為DHCP服務器,且PC從交換機獲取IP地址,那么默認情況下,Windows DNS服務器上只有A記錄,卻沒有PTR記錄。A記錄通過查詢域名獲取IP地址,而PTR記錄是查詢IP地址獲取域名。 這是因為,作為DHCP服務器的S系列交換機,不支持通知DNS服務器終端的域名和IP綁定關系。因此,若需要在Windows DNS服務器上通過查詢PC的IP地址獲取其主機名,可以使PC自行通知DNS服務器。有如下兩種解決方法(以Windows 10環境為例):
Client上創建、刪除VLAN和修改VLAN名稱、描述的信息不會在域內傳播,但會被Server發送的VLAN信息覆蓋。
由於DHCP客戶端發送的請求報文(DHCP DISCOVER報文)是廣播的,如果同一網段內存在多個DHCP服務器(例如,私自部署的DHCP服務器等),可能會導致客戶端從錯誤的服務器申請IP地址。通過配置DHCP Snooping功能,使客戶端僅從信任的DHCP服務器接收DHCP報文,從而保證客戶端從正確的服務器獲取IP地址。
對於AC+FIT AP場景配置DHCP Snooping功能時需要注意:
FIT AP設備的DHCP snooping功能接收到DHCP客戶端和服務器的DHCP報文時支持記錄日志(DHCP/6/SNP_RCV_MSG),查看該日志時,需要開啟FIT AP上送日志到日志主機的功能,並且保證FIT AP和日志主機網絡互通,在日志主機上查看日志。
八十、如何配置DHCP Snooping?
在二層網絡的接入設備或第一個DHCP中繼上,配置DHCP Snooping功能防止從仿冒的DHCP服務器獲取IP地址。
說明:
|
【交換機在江湖】疑難FAQ匯總(每周更新)
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。