-
低端交换机案例集锦
文
档
密
级:
内部公开
低端交换机
案例集锦
声明
版权所有
?
华为技术有限公司
2006
。
保留一切权利。
非经本公司书面许可
,
任何单位和个人不得擅自摘抄、
复制本文档内容的部分或全部
,
并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
由于
产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文
档仅作为
使用指导,
本文档中的所有陈述、
信息和建议不构成任何明示或
暗示的担保。
技术支持
技术支援网址:
客户服务电话:
8008302118
地址:深圳市龙岗区坂田华为总部办公楼
客户服务邮箱:
support@
传真:
邮编:
518129
2013-8-6
华为机密,未经许可不得扩散
第
1
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
更新说明
更新时间
2006/11/20
2006/11/30
?
?
更新说明
初稿
更改文档模板,增加
support
网站案例编号,并新增部分案例
2013-8-6
华为机密,未经许可不得扩散
第
2
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
目
录
声明
.........................
..................................................
..................................................
.....................
1
技术支持
............................
..................................................
..................................................
...........
1
更新说
明
......................................
..................................................
..................................................
.
2
1.
硬件系统
.
..................................................
..................................................
..............................
8
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
S3026C
部分端口不可用
.
..............................
..................................................
.........
8
FAQ-S
3900SI
和
S3900EI
的硬件
差别
.
.............
..................................................
......
8
FAQ-
交换机端口容量如何计算
.....................
..................................................
.......
8
FAQ-S39
00
系列交换机堆叠口是否可以用作普通以太口进行级联
.
...................
8
FAQ-
什么是远程供电交换机中的信号线供电和空闲线供电
.
.............................
8
FAQ-
中低端哪些交换机支持远程供电
.
.
..................................................
..............
9
FAQ-S3900
的交换容量和吞吐率分别是多少
....
..................................................
.
9
FAQ-
不同款
S5600
电源供电有哪些特点
............................................... ................
9
Quidway S3050C
启动最大地址学习个数功能导致
CPU
占用率明显升高
.
..........
9
FAQ-
华为交换机产品的后缀是什么意思
.
..................................................
.........
1
0
FAQ-
S3900
的电源可以实现主备冗余吗
..........
..................................................
.
1
1
FAQ-
< br>如何判断中低端交换机接口是否正常
.
..............................................
.........
1
1
2.
版本规格
.
..................................................
..................................................
............................
1
2
2.1.
2.2.
2.3.
数目
2.4.
FAQ-
二层交换机上提示
No
enough routing domain
resource
的含义是什么
......
1
2
FAQ-
哪些中低端交换机支持环路检测
.
..................................................
.............
1
2
FAQ-S3552
交换机哪个版本支持可以控制同一时间上送
CPU
的
ARP
请求报文
12
FAQ-
哪些中低端交换机支持
vlan disable
功能
..................................................
1
3
3.
系统管理
.
..................................................
..................................................
............................
1
3
3.1.
3.2.
3.3.
2013-8-6
FAQ-200
0C
能否和全网进行时钟同步
.
.........................................
.......................
1
3 <
/p>
FAQ-
如何处理交换机的
CONSOL
E
口密码丢失问题
.......................................
1
3
如何强制让一个
telnet
到
S2403H
的用户下线
...........
........................................
1
3
华为机密,未经许可不得扩散
第
3
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
3.4.
3.5.
3.6.
置
3.7.
3.8.
3.9.
FAQ-
如何灵活使用
execute
命令恢复
S3528G
的配置
..........................................
1
4
FAQ-
如何远程修改交换机管理
vlan
的配置
.
........................
................................
1
4
FAQ-
为什么
S3552F VTY
0~4
模式下配置了密文口令后查看配置显示为多行配
15 <
/p>
NTP
服务器更改时间后
client<
/p>
系统时间没有跟着改变
.
........................................
1
5
FAQ-
如何为
S2403H
CONSOLE
接口登录设置密码
...........................................
1
6
FAQ-S3526
如何使用
command-privilege
使
level1
的用户能对端口进行
s
hut
undo shut
操作
.......................................
..................................................
..............................
1
6
4.
以太网端口
.
.................................................
..................................................
.........................
1
7
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
FAQ-
哪些低端交换机支
持
PORT-
ISOLATE
端口隔离方式
.
...............................
1
7
规格限制导致
< br>S2000C
交换机跨芯片和跨
vlan
的镜像不成功
.............................
1
7
FAQ-
如何使用
AM
命令配置低端交换机端口隔离
< br> .............................................
1
8
FAQ-S3528
Port-isolate
实现隔离的端口是否支持端口聚合
..............................
1
8
单链路环回检测导致光口指示灯不亮
.
......................................
..........................
1
8
S3552F
< br>环路导致
OSFP
邻居
down
.......................................
...................................
1
9
FAQ-
中低端交换机端口设置最大
mac
学习数目为零后不允许通过
的
mac
的数
据包如何处理
.
....................
..................................................
..................................................
2
0
4.8.
4.9.
4.10.
4.11.
4.12.
4.13.
4.14.
4.15.
FAQ-S5600
系列
交换机上的
SFP
接口是否支持热插拔
.
...........................
...........
2
0
FA
Q-
中低端交换机端口
CRC
错误帧的
定义
.
.............
..........................................
2
0
FAQ-
低端
lsw
各产品端口
ignore
错误统计的说明
.........
.......................................
2
0
S3526E
< br>广播流量溢出导致下挂
PC
不可正常学习网关
ARP
.
.................
..............
2
1
FAQ-VLAN
passing
参数与
VLAN
allowed
参数的区别是什么?
.......................
2
2
FAQ-S3528G
中命令
loopback-detection
control enable
有什么功能
..................
2
3
FAQ-
中低端交换机如何和
C
厂商交换机进行链路聚合
.....................................
2
3
交换机端口聚合汇总
.
.............................................
...............................................
2
4
5.
VLAN ..................................
..................................................
.................................................
2
6
5.1.
5.2.
5.3.
2013-8-6
FAQ-S35
28vlan
接口可以支持从地址个数
...........
................................................
2
6
S2403H vlan
透传配置错误导致部分
vlan
不能透传
.............................................
2
6
FAQ-
哪些低端交换机支持
QinQ
.
...........................
...............................................
2
6
华为机密,未经许可不得扩散
第
4
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
5.4.
5.5.
5.6.
5.7.
5.8.
5.9.
5.10.
5.11.
FAQ-GVRP
和
VTP
两个协议有何异同点
.......................
......................................
2
6
FAQ-S2008C
应用了
vlan
disable
后能否继续做端口隔离
.
...................................
2
7
FAQ-S2000C-SI/S3000C-SI
端口配置
成
hybrid
类型后
vlan
tag
的说明
..............
2
7
S3026C-SI
配置错误导致配置了
vlan
disable
之后业务不通
..............................
2
7
FAQ-S3500
系列交换机支持多少个三层
VLAN
接口
..........................................
2
8
FAQ-
交换机
vlan disab
le
时创建管理
vlan
的方法
.
..................
...............................
2
8
2403H-EI
配置
VLAN
512
时提示
“VLAN ID out of range
”
.
..............
...................
2
8
低端交换机如何更改端口
isolate-user-
vlan
配置
..................................................
2
9
6.
HGMP
.......................
..................................................
..................................................
..........
2
9
6.1.
6.2.
6.3.
6.4.
FAQ-
中低端交换机支持
HGMP
的类型汇总
.......
.................................................
2
9
由于
HGMP v2
的部署不当导致广播域过大
...............
.......................................
3
0
成员交换机集群名称错误导致部
分成员交换机无法加入正常加入集群
.........
3
1
HGMP
特性导致成员交换机掉电重启后无法被管理
.........................................
3
2
7.
网络协议
.
..................................................
..................................................
............................
3
3
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.
FAQ-S3500
系列<
/p>
lanswitch
是否支持
NAT
地址转换功能
......................................
3
3
FAQ-
哪几款交换机可以支持
DHCP Server.................
.........................................
3
3
上层设备配置静态
arp
绑定了
S3528G
的桥
MAC
地址导致
S3528GCP
U
利用率高
33
FAQ-
典型企业网组网规划的几点建议
.
.............................................
..................
3
3
FAQ-S3500
交换机开启
DHCP-
Snooping
功能来过滤非法
DHCP-Server
.
...........
3
4
FAQ-
如何限制
DHCP
用户只能有一台设备获取
< br>ip
.
.....................
........................
3
4
S3526
关于
arp
和
mac
冲突造成的告警
<
/p>
........................................
...........................
3
5
8.
生成树协议
.
.................................................
..................................................
.........................
3
6
8.1.
8.2.
使能
STP
的非边缘端口接入
PC
时不能立即访问网络
.........................................
3
6
STP
模式迁移到
MSTP
模式时收敛不成功的问题
< br>
.
.......................
........................
3
7
9.
地址管理
.
....................................
..................................................
..........................................
3
7
9.1.
9.2.
10.
3552 MAC
地址学习案例分析
.
...........................
..................................................
.
3
7
S3526E
如何修改主机
mac .
..................................................
..................................
3
9
路由协议
.
..................................................
..................................................
....................
4
2
2013-8-6
华为机密,未经许可不得扩散
第
5
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
10.1.
10.2.
10.3.
10.4.
11. <
/p>
S3526E
的三层接口
down
形成路由环路导致
S3526E
的
CPU
占用率达到
100%
..
4
2
关于
S3528
组网
OSPF
收敛速度问题
.........................
............................................
4
2
硬件限制导致
< br>S3528
在启用
OSPF
后<
/p>
ping
不通直连用户的地址
..........................
4
3
S3526
交换机下挂用户上网慢问题处理
.
.................................................
.............
4
4
组播
.
..
..................................................
..................................................
..........................
4
5
11.1.
11.2.
11.3.
FAQ-S
2000EI
如何设置丢弃未知组播报文
.
....................................
.....................
4
5
S3026C
启用
igmp
fast-leave
为何不生效
............
..................................................
.
4
5
FAQ-S3528
如何有效处理未知组播
....................
.................................................
4
5
12.
QACL
.
...........
..................................................
..................................................
..............
4
5
12.1.
12.2.
12.3.
12.4.
12.5.
12.6.
12.7.
12.8.
12.9.
12.10.
12.11.
12.12.
12.13.
12.14.
12.15.
12.16.
12.17.
12.18.
12.19.
2013-8-6
FAQ-S3528G
做了
port-
isolate
后是否还可以下发防病毒列表
............................
4
5
FAQ-S2000EI
系列交换机是否支持
acl
下发
.................................
........................
4
6
FAQ-S3526e
上如何使用用户自定义访问列表禁止
ttl=1
的报文上报
cpu......
.....
4
6
FAQ-ICMP
报文所带
802.1P
优先级经过
S3X26E
系列交换机后为什么被修改为
4
46
FAQ-
哪些中低端交换机同
时支持端口镜像和流镜像
.
....
...................................
4
6
FAQ-S3528G
如何统计某个
ip
新发起的
TCP
连接数
............................................
4
6
关于
S
3552
系列的
acl
规格
................................
..................................................
....
4
7
FAQ-S3526
E/S3528/S3552
重定向的应用
........
..................................................
..
4
7
FAQ-
哪些以太网交换机支持
Traffic-redirect
< br>............................................... ........
4
8
FAQ-S
3552F-HI
基于
VLAN
下发限
速的效果是怎样的
.
.......
...............................
4
8
FAQ-S3528G
如何在端口上同时下发二三层访问列表
.
......................................
4
8
FAQ-
如何在
S3526
上进行三层抓包
..................................................
...................
4
9
S3552
端口限速和端口隔离下发顺序不当导致其
ARP
学习失败
.......................
4
9 <
/p>
FAQ-S3050C
如何做出方向端口流量统计
.
......................
....................................
5
0
FAQ-S5012
如何配置
ACL
阻断除
D
HCP
和
ARP
之外的广播报文
.......................
5
1
FAQ-S3528G
如何实现捕获
e0/2
和
e0/3
口每小时前
5
分钟的流量<
/p>
.......................
5
2
S3526ACL
配置不当导致下发失败
.
..................................................
....................
5
3
S3528
因外网攻击导致用户掉线问题的处理
.
...........................
...........................
5
4
由于禁止了
netbios
协议,导致
S3526E
< br>同一个
VLAN
内的
PC
机无法找到网上邻
华为机密,未经许可不得扩散
第
6
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
居
13.
56
集中管理
.
....................................
..................................................
..................................
5
7
13.1.
13.2.
13.3.
13.4.
13.5.
13.6.
13.7.
13.8.
14.
FAQ-S35
28G
能否与
S3026E
通过堆叠模
块互连
.
............
.....................................
5
7
FAQ-S2000B
交换机是否可以配置
snmp ..................
............................................
5
7
交换机
Cluster
Server
迁移的操作
.
...........................................
..............................
5
7
FAQ-S5600
堆叠时注意事项
..................................................
...............................
5
7
FAQ-
交换机端口发出协议号为
0X88A7
的包是什么类型报文<
/p>
..........................
5
8
FAQ-S3026e
集群新特性中如何禁止某台设备加入集群
.<
/p>
...................................
5
8
FAQ-
如何对
Cluster
中成员交换机远程升级
.............................................
...........
5
8
使用
集群方式对
S2016C
进行升级
<
/p>
........................................
................................
5
8
安全
.
...........................
..................................................
..................................................
.
6
0
14.1.
14.2.
14.3.
14.4.
14.5.
FAQ-
中低端交换机是
否支持
802.1x eap
的
pea
p
加密方式
.
..................................
6
0
FAQ-
中低端交换机
Stp
和
Loopba
ck-detection
特性有何异同
..............................
6
1
FAQ-
在重新配置
AM IP-Po
ol
的
Range
参数时应该注意的问
题
.
.........................
6
2
通过使能
DHCP
安全特性解决
S3526E
被
ARP
攻击导致用户不能上网的问题
..
6
2
VRRP
攻击导致
S3552
设备
OS
PF
邻居振荡
.
< br>............................................... .........
6
3
15.
可靠性
.
.
..................................................
..................................................
.......................
6
6
15.1.
15.2.
S3528
G
对未知协议报文的处理机制导致
CPU
利用率过高
................................
6
6
由于
r
educed
参数配置过小导致
S3500
系列交换机
vrrp
无法倒换
.
.......................
6
6
16.
其他
.
..
..................................................
..................................................
..........................
6
7
16.1.
16.2.
16.3.
16.4.
16.5.
16.6.
16.7.
S2008C
修改
MAC
地址的方法
.
.....
..................................................
.......................
6
7
S3206E
历史命令记录答疑
.
..................................................
...............................
6
7
FAQ-
如何将
S3526E/C
交换机
de
bug ni all
报文转换为
cap
文件进行分析
...........
6
7
广播包问题导致网络性能下降(
无法获得
ip
地址、获得地址慢、掉线)
......
6
8
大量
icmp
报文加路由环路导致交换机
S352
6Ccpu
利用率过高
..........................
6
9
关于
S
3526E
二层三层混用时会出现的问题
.........
...............................................
7
0
FAQ-
中低端交换机命名规则
..
..................................................
...........................
7
1
2013-8-6
华为机密,未经许可不得扩散
第
7
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
低端交换机案例集锦
1.
硬件系统
1.1.
S3026C
部分端口不可用
现象描述:
交换机
S3026C
部分端口下业务中断,而其它端口运行正常。
告警信息:
无
原因分析:
只是部分端口不可用,推断应为端口阻塞引起。
处理过程:
手工复位芯片:在隐藏模式下执行命令
_debug rescue
。
该命令执行需要时间不超过
100ms
,正
常情况下不会影响业务。
SUPPORT
网站案例编号:
SC
1.2.
FAQ-S3900SI<
/p>
和
S3900EI
的硬件差别
EI
提供直
/
交流双路电源,
SI
只有交流电源。
EI Flash
大小为
16M
,
SI Flash
大小为
8M
。
SUPPORT
网站案例编号:
SC
1.3.
FAQ-
交换机端口容量如何计算
<
/p>
端口容量计算方式:假设可提供
A
个
100M
端口和
B
个
1000M
端口,端口容
量=
2*
(
A*100Mbps+B*1000M
bps
)。
SUPPORT
网站案例编号:
SC
1.4.
FAQ-S3900
系列交换机堆叠口是否可以用作普通以太口进行级联
S3900
系列交换机的堆叠口可以当作普通以太网口进行级联,前提是这两个
端
口不使能堆叠功能。
SUPPORT
网站案例编号:
SC
1.5.
FAQ-
什么是远程供电交换机中的信号线供电和空闲线供电<
/p>
普通的双绞线在传输
10/100M<
/p>
以太网信号的时候只用到了序号为
1
、<
/p>
2
、
3
、
6
的四根线,对于
MDI
接口来说,
1
、
2
是发,
3
、
6
是收,
MDI-X
接口则收发相
2013-8-6
华为机密,未经许可不得扩散
第
8
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
反。一般来说,标准的
PD
< br>设备必须支持两种受电方式,信号线供电是使用
Alternative A
1,2,3,6
(
信
号
线
)
对
设
备
供
电
;
空
闲
线
供
电<
/p>
是
Alternative B
4,5,7,8
(空闲线)对设备供电。
SUPPORT
网站案例编号:
SC
1.6.
FAQ-
中低端哪些交换机支持远程供电
S3952P-P
WR
、
S3928P-PWR
、
S5624P-PWR
、
S5648P-PW
R
、
S3026C-PWR
支持远程供
电,
其中
S3026C-PWR
最多可
以向
24
台下挂以太网交换机进行远
程
供电,最长供电距离为
100m
。每个以太网口向下挂设备提供
的最大功率为
15.4W
。
S2016-EI
的直流机型支持远程受电,满足
802.3af
标准。
S2016
C
的直流机型支持远程受电,满足
802.3af
标准。
S2008B/S2016B
上行口支持远程以太网受电。
SUPPORT
网站案例编号:
SC
1.7.
FAQ-S3900
的交换容量和吞吐率分别是多少
S3924-SI
交换容量:
4.8Gbps
吞吐率:
3.57Mpps
S3952P-SI/S3952P-EI/S3952P-PWR-EI
交
换
容
量
:
13.6Gbps
吞
吐
率
:
10.12Mpps
S3928P-SI/S3928P-EI/S3928P-PWR-
EI/S3928F-EI/S3928TP-SI
交换容量:
12.8Gbps
吞吐率:
9.52Mpps
SUPPORT
网站案例编号:
SC
1.8.
FAQ-
< br>不同款
S5600
电源供电有哪些特点
< br>
S5600
有两款电源:
1
、
130/180W
标准电源,
AC
和
DC
同时供电的时候,以
AC
供电为主。
130W
的电源只用于
S5624P
上;
180W
的电源用于
S5648P
、
S5624P
和
S5624F
上。
这种双输入电源可以实现主
备冗余,
即在
AC
供电出现故障时,<
/p>
DC
可以完全承
担为设备供电的任务。<
/p>
2
、
480W
POE
电源,
AC
和
< br>DC
同时供电的时候,
以
DC<
/p>
供电为主。
480W POE
电
源
又
可
以
分
为
480W-24P
和<
/p>
480W-48P
两
种
< br>,
480W-24P
只
可
用
于
S5624P-PWR
< br>上,而
480W-48P
可用于
S5648P-PWR
和
S5624P-PWR
上。
这种双输入电源可以实现主备冗余,
即在
DC
供电出现故障时,
AC
可以完全承
担为设备供电的任务。
SUPPORT
网站案例编号:
SC
1.9.
Quidway S305
0C
启动最大地址学习个数功能导致
CPU
占用率明显升高
现象描述:
2013-8-6
华为机密,未经许可不得扩散
第
9
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
为了限制
Quidway
S3050
C
某端口下的接入用户数,在端口上启动最大地址
学习个数功能
,发现
CPU
占用率明显升高,正常时为
30%
左右,在某一时间
会升高到
5
0%-60%
。
告警信息:
无
原因分析:
1
、设备可能受到某种攻击,导致
CPU
占用率升高。
2
、
在端口上启动最大地址学习个数功能后,
MAC
地址
的学习机制发生了改变。
处理过程:
1
、通过在网络上抓包、监控,没有发现异常报文,排除受到攻击的可能。
2
、在启动最大地址学习个数功能端口上抓包,
发现当有很多未知源
MAC
报文
进入交
换机时,
CPU
占用率会明显升高。
原来,
在端口上启动最大地址学习个数功能后,
MAC
地址的学习机制发生了改
变,原本由硬件完成的
MAC
地址学习需要改由软件来实现,即需要上到
CPU
学习,
所以当有很多未知源
< br>MAC
报文进入交换机时,
CPU
占用率会明显升高。
关闭最大地址学习个数功能后,问题解决。
建议与总结:
请谨慎使用最大
MAC
地址个数学习功能。
SUPPORT
网站案例
编号:
SC
1.10.
FAQ-
华为交换机产品的后缀是什么意思
后缀名为
LI
(
Lite software
Image
)表示设备为弱特性版本。
后缀名为
SI
(
Standard software Image
)
表示设备为标准版本,
包含基础特性。
后缀名为
EI
(<
/p>
Enhanced software Image
)表示设备为
增强版本,包含某些增
强级特性。
后
缀名为
HI
(
Hyper
software Image
)表示设备为高级版本,包含某些高级特
性。
后缀名为
Z
,表示没有上行接口(新产品不允许设置此位)。
后缀名为
G
,表示上行
GBIC
接口。
后缀名为
P
,表示上行
SFP
接口。
后缀名为
T
,表示上行
RJ45
接口。
后缀名为
V
,表示上行
VDSL<
/p>
接口。
后缀名为
W
,表示上行可配置
WAN
接口。<
/p>
后缀名为
C
,
表示上行接口可选配。
后缀名为
M<
/p>
,表示上行接口为多模光口。
后缀名为
S
,表示上行接口为单模光口。
后缀名为
F
,表示上行接口为光纤接口。<
/p>
2013-8-6
华为机密,未经许可不得扩散
第
10
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
后缀名为
B
,表示为
楼道交换机或基带交换机。
后缀名为
H
,没有特殊含义(仅
S2403H
使
用该后缀)。
后缀名为
E
,
表示为增强型产品,
指提供可扩充的模块插槽<
/p>
(在
S6500
和
S8500
系列交换机的后缀有
E
的
时候,也代表
POE
远程供电机型)。
后缀名为
PWR
的,表示为
POE
远程供电机型。
SUPPORT
网站案例编号:
SC<
/p>
1.11.
FAQ-S3900
的电源可以实现主备冗余吗
S3900
共有
3
款电源:
1
、
54W
电源,单交流输入,配合的设备为
S3924
< br>、
S3928-SI
、
S395
2-SI
和
S3928TP
,这种单输
入电源是不能实现主备冗余的。
2
、
66W
电源,交直流输入,配合的设备为
S3928-EI
、
S3952-EI
和
S3928FX
,
这种双输入电源
的
AC
和
DC
是可以同时使用的,没有谁优先的问题,两者是
同等地位,可以实现主备冗余。即任何一
个电源输入(
AC
或者
DC
)发生故障
时,另一个电源(
DC
或者
AC
)可以完全承担为设备的供电任务。
3
、
380W
电源,
交直流输入,
配合的设备为
S3928-PWR- EI
和
S3952-PWR-EI
,<
/p>
这种双输入电源在
AC
和
DC
同时供电时,是以
DC
直
流供电为主的,可以实
现主备冗余。即在
DC
< br>供电发生故障时,
AC
可以完全承担为设备的供电任务。
SUPPORT
网站案例编号:
SC
1.12.
FAQ-
如何判断中低端交换机接口是否正常
< br>
1
、注意查看交换机启动过程中
phy
selftest
是否正常。
**********************************************
*
*
* Quidway S3026C-SI BOOTROM,
Version 201 *
*
*
**********************************************
Copyright(C) 2003-2004 by HUAWEI
TECHNOLOGIES CO.,LTD.
Creation
Date : Mar 22 2005, 15:23:29
CPU Type : ARM
CPU Clock
Speed : 50MHz
Memory Size :
32MB
Initialize LS4ALTSU
......................OK!
SDRAM
selftest............................OK!
FLASH
selftest............................OK!
CPLD
selftest.............................OK!
Switch chip
selftest......................OK!
Port 25 has no module
Port 26 has
no module
PHY
selftest..............................OK!
Please check port
leds..............finished!
The
switch Mac is: 00E0-FC45-DC4B
2013-8-6
华为机密,未经许可不得扩散
第
11
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
2
、
在端口输入
loopback internal
后如果出现如下的信息,
表明端口正常
(会自
动解除芯片内环)。<
/p>
[Quidway-
Ethernet0/1]loopback internal
%Jan 1 23:02:32 2002 Quidway
L2INF/5/PORT LINK STATUS CHANG
E:Slot=1;
Ethernet0/1: turns
into UP state
%Jan 1
23:02:33 2002 Quidway L2INF/5/VLANIF LINK STATUS
CHAN
GE:Slot=1;
Vlan-interface1: turns into UP state
%Jan 1 23:02:33 2002
Quidway IFNET/5/UPDOWN:Slot=1;Line
protoco
l on the interface Vlan-
interface1 turns into UP state
%Jan 1 23:02:33 2002 Quidway
DRV/5/LOOP BACK:Slot=1;
Loopback does exist on port 1 vlan 1,
please check it
Loop internal successes!
SUP
PORT
网站案例编号:
SC
2.
版本规格
2.1.
FAQ-
二层交换机上提示
No
enough routing domain
resource
的含义是什么
二层
交换机上只能配置一个三层
VLAN
接口,如果配置第二个三层
VLAN
接口
时,系统会自动提示“<
/p>
no enough routing domain resource!
”,表示接口数量
超过了限制。
SUPPORT
网站案例编号:
SC
2.2.
FAQ-
< br>哪些中低端交换机支持环路检测
以下交换机都支持环路检测:
S24
03H
、
S2026
、
S2008
、
S2016
、<
/p>
S2000EI
系列、
S2000C
系列、
S3026SI
系列、
S3026
、
S3026E
、
S3026CGT
、
S3026C-
PW
、
S3026EF
、
S3026F
、
S3526E
、
S3526C
、
S3526EF<
/p>
、
S3526
、
S3526F
、
S3528/52
系列
、
S3050C
、
S3900
系列以及
S5600
系列。
SUPPORT
网站案例编号:
SC
2.3.
FAQ-S3552
交换机哪个版本支持可以控制同一时间上送
CPU
的
ARP
请求报
文数目
1
、
3552-352
8-VRP310-0025
版本开始增加控制同一时间上送
C
PU
的
ARP
请
求报文的数目。
2013-8-6
华为机密,未经许可不得扩散
第
12
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
2
、命令
arp
rate-limit packet-number
设置
A
RP
请求报文上
CPU
个数限制。
3
、
undo
arp rate-limit
命令将该设置恢复缺省值。
SUPPORT
网站案例编号:
SC<
/p>
2.4.
F
AQ-
哪些中低端交换机支持
vlan disable
功能
1
、<
/p>
E
系列以太网交换机中,
E026/E0
50
以太网交换机支持
vlan
disable
功能。
2
、
S2000-EI
系列以太网交换机支持
vlan disable
功能。
3
、
S2000C
系列
以太网交换机支持
vlan
disable
功能。
4
、
S3000-EI
系列以太网交换机支持
vlan disable
功能。
5
、
在
S3000
系
列
以
太
网
交
换
机
中
,
S3026/S3026E/S3026E
FM/S3026E FS/S3050C-48
以
太
网
交
换
机
支
持
vlan
disable
功能。
6
、在
S3500
系列以太网交换机中,
S3526E/S3526E FM/S3526E FS/S3526C
以太网交换机支持
vlan
disable
功能。
SUPPOR
T
网站案例编号:
SC
3.
系统管理
3.1.
FAQ-2000C
能否和全网进行时钟同步
不能进行全网的时钟同步:
1
、因为没有时钟芯片,设置时间后重启设备会重置;
2
、不支持
ntp
特性,不能
从
ntp server
获得时间。
SUPPORT
网站案例编号:
SC
3.2.
FAQ-
如何处理交换机的
CONSO
LE
口密码丢失问题
1
、
重启
c
trl+b
进入
bootrom
菜单,此时会提示输入
bootrom
密码
,默认情
况该密码为空,
如果设置了
bootrom
< br>密码又不记得该密码
,
可以根
据交换机的
mac
地址
(重启的启动信
息中会有交换机的
mac
,
把这个
mac
反馈给
800
)
来
确定超级
bootrom
密码。
2
、在
bootrom
菜单中选择
delete file from flash
项
,然后删除
文件。重启后为出厂配置,出厂配
置没有
console
密码,根据业务需要重新设
置。
SUPPORT
网站
案例编号:
SC
3.3.
如何强制让一个
telnet
到
S2403H
的用户下线
2013-8-6
华为机密,未经许可不得扩散
第
13
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
1
、用户视图下
,
display users
,可以查看到
telnet
用户对
应的
vty
端口。
2
、用户视图下
,
free user-interface vty xx
可以强制该
vty
端口对应的
telnet
用户下线。
SUPPORT
网站案例编号:
SC
3.4.
FAQ-
如何灵活使用
execute
命令恢复
S3528G
的配置
现象描述:
升级
S3528G
后因为不想使用现有
,直接
del
,修改配置
后保存,提示空间不够。此时设备被重新启动,结果启动后没有配置文件
。
处理过程:
因为是空配置启动,考虑到快速恢复业务采用如下操作:
1
、
undel
恢复原配置文件。
2
、
sys
进入系统视图。
3
、
execute
以脚本的方式执行原配置文件(快
速的恢复
ip
,路由,
使能业务并能进
行
ftp
上传等)。
4
、
reset rycycle-
bin
清空回收站。
5
、
rename
。
6
、开启
ftp server
,并将想要使用的
文件导入。
7
、重新执行
execute
。
所有业务在没有系统重启的情况下恢复。
SUPPORT
网站案例编号:
SC
3.5.
FAQ-
如何远程修改交换机管理
vl
an
的配置
因为修改交换机涉及到影
响管理
vlan
通讯的配置会导致不能进行后续的操作。
可以灵活使用
Execute
命令实现,具体如下:
比如要把
< br>S3026E
的管理
vlan
从
vlan1
改到
vlan3
,在删除
vlan1
后就不能和
< br>此交换机正常通信了,也就不能建立
vlan3
了。
我们可以先写好一个脚本,脚本内容如下:
undo int vlan 1
vlan 3
quit
int g1/1
port trunk permit vlan 3
quit
int vlan 3
ip add 10.0.0.111 255.255.255.0
quit
ip route 0.0.0.0
0.0.0.0 10.0.0.254
2013-8-6
华为机密,未经许可不得扩散
第
14
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
保存到
并把这个文件
使用
ftp
放到交换机的
flash<
/p>
中,使用命令
execute
在交换机本
地运行
这个脚本就可以完成一定要在本地
console
口登陆才能完成的配置了。
[3026e]execute
SUPPORT
网站案例编号:
SC
3.6.
FAQ-
为什么
S3552F VTY
0~4
模式下配置了密文口令后查看配置显示为多
行配置
现象描述:
配置明文口令时:
[Quidway-ui-vty0-4]
set
authentication
password
simple
huawei
查看配置
dis
cur
可以看到
user-
interface vty 0 4
set
authentication password simple demonred
#
而配置密文口令时:
[Quidway-ui-vty0-4]
set
authentication
password
cipher
huawei
查看配置
dis
cur
看到的是
user-
interface vty 0
set
authentication password cipher
GR^>[064$$J]LREA2*R_HQ!!
user-interface
vty 1
set authentication
password cipher GR^>[064$$J^'TT)$$ETS4B!!!
user-interface vty 2
set authentication password cipher
GR^>[064$$J_.FaW^T*0M/Q!!
user-interface
vty 3
set authentication
password cipher GR^>[064$$J^/[NO/:X$$!(Q!!
user-interface vty 4
set authentication password cipher
GR^>[064$$J]-`FIa#9aC0A!!
处理过程:
因为密文加密是对每个
vty
通道分别进行加密计算的,加密
出来的结果不同,
故每个
vty
通道都
会单独显示一行配置信息。
明文加密则不同,
对每个
vty
加密
结果是一样的,所以只显示一行的配置
信息。
SUPPORT
网站案例编号:
SC
3.7.
NTP
服务器更改时间后
client
系统时间没有跟着改变
原因分析:
2013-8-6
华为机密,未经许可不得扩散
第
15
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
产生这个故障的原因和
NTP
的工作模式有关系,
该局配置的
NTP
工作模式为
NTP
服务器模
式,在这个模式下,只能是本地客户机同步到远程服务器,而远
程服务器不会同步到本地
客户机。所以当服务器更改时间的时候并不会把相应
的消息发给
client
发给客户机,只有当客户机同步到服务器的时候才会更改为
新的时间。
处理过程:
1
、更改
NTP
工作模式为
NTP
对等体模式,在该模式下本地以太网交换机能
同步到远程服务器,远程服务器也能同步到本地服务器。
2
、
更改
NTP
工作模式为
NTP
广播服务器模式,
在这个模式下,
作为广播服务
器周期性地发送广播消息到广播客
户端。所以当服务器更改时间后,在配置的
时间段内,服务器会把新的消息发送给客户机
。
SUPPORT
网站案例编号:
SC
3.8.
FAQ-
如何为
S2403H
CONSOLE
接口登录设置密码
1
、密码验证,登录密码为
huawei
[Quidway] user-interface
aux 0
[Quidway-ui-aux0]
authentication-mode password
[Quidway-ui-aux0] set authentication
password simple huawei
2
、本地用户名和口令验证使用
authentication-
mode
scheme
命令,表示需要
进行本地用户名和口令认证。
设置用户从
CONSOLE
用户界面登录时需要进行
用户名和口令验证,且登录用户名和口令分
别为
zbr
和
huawei
。
[Quidway-ui-aux0] authentication-mode
scheme
[Quidway-ui-aux0]
quit
[Quidway] local-user
zbr
[Quidway-luser-zbr]
password simple huawei
[Quidway-luser-zbr] service-type telnet
level 3
3
、不验证
[Quidway-ui-aux0] authentication-mode
none
SUPPORT
网站案例编号:
SC
3.9.
FAQ-S3526
如何使用
command-
privilege
使
level1
的用户能对端口进行
shut
undo shut
操作
用用户名
/
密码的方式
telnet
到
S3526
,默认的用户的级别是
leve
l 1
,但是如
果需要进行一些简单的操作(比如对端口实行
shut/undo
shut
操作),可以用
command-
privilege
命令来实现。
具体的配置如下:
command-privilege level 1 view user system-view
command-privilege level 1 view system
interface eth 0/1
command-privilege
level 1 view system quit
command-
privilege level 1 view ethernet shutdown
2013-8-6
华为机密,未经许可不得扩散
第
16
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
command-privilege level 1 view
ethernet undo shutdown
结果如下:
Login authentication
Username:aaa
Password:
<Quidway>
%Apr 2
23:32:58 2000 Quidway SHELL/5/LOGIN: aaa login
from Aux0/0?
User view commands:
cluster Run cluster command
debugging Enable system
debugging functions
display
Display current system information
language-mode Specify the language environment
ping Ping function
quit Exit from current
command view
reset Reset
operation
send Send
information to other user terminal interface
super Privilege specified
user priority level
system-view
Enter the system view
telnet
Establish one TELNET connection
terminal Specify the terminal
characteristics
tracert Trace
route function
undo Cancel
current setting
<Quidway>sys
Enter system view, return to user view
with Ctrl+Z.
[Quidway]int e 0/1
[Quidway-Ethernet0/1]shut
[Quidway-Ethernet0/1]undo shut
[Quidway-Ethernet0/1]q
以上的配置同时可以对其他的
ethernet
端口进行
shut/undo
shut
操作。
SUPPORT<
/p>
网站案例编号:
SC
4.
以太网端口
4.1.
FAQ-
< br>哪些低端交换机支持
PORT-
ISOLATE
端口隔离方式
目前低端交换机支持此功能特性的有
2000EI
、
2000SI
、
200
0C
、
3528
、
3552
、
3026C-SI
。<
/p>
SUPPORT
网站案例编号:
SC
4.2.
<
/p>
规格限制导致
S2000C
交换机跨芯片
和跨
vlan
的镜像不成功
原因分析:
2013-8-6
华为机密,未经许可不得扩散
第
17
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
S2016C
有两
个芯片,
S2024C
有三个芯片。
处理过程:
S2000C
系列交换机不支持跨芯片和跨
vlan
的镜像。
SUPP
ORT
网站案例编号:
SC
4.3.
FAQ-
< br>如何使用
AM
命令配置低端交换机端口隔离
采用
AM
物理端口隔离方
法实现隔离效果。
配置步骤如下:
1
、
全局开启访问管理功能
[Quidway] am enable
2
、
进入某端口
[Quidway]
interface Ethernet 0/1
3
、设置端口的二层隔离功能
排除需要隔离的端口
其余的为可互通端口
[Quidway-Ethernet0/1] am isolate
Ethernet0/2 to Ethernet0/23
4
、显示当前的端口访问控制配置信息
[Quidway] display am
SUPPORT
网站案例编号:
SC
4.4.
FAQ-S3528
Port-isolate
实现隔离的端口是否支持端口聚合
port-isolate
做
vla
n
隔离后,不能在包含此
valn
的端
口进行聚合,提示信息如
下:
[Quidway-vlan4]port-isolate en
Operation error, There
should not aggregation ports in isolated
vlan,please
disable the aggregation
first!
SUPPORT
网站案例编号:
SC
4.5.
单链路环回检测导致光口指示灯不亮
现象描述:
S8016
光口接
S3026
,
S3026
侧光口指示灯不亮,在
S801
6
上执行
undo
shutdown
后光口指示灯亮
30
秒后又熄掉。在两
端端口强制全双工、速率,然
后再执行
shutdown
和
undo
shutdown
,仍然不可以。
告警信息:
登陆设备后发现有如下提示:
%Aug 29 09:51:16 2005
Quidway DRV_NI/5/LOOP BACK:
Loopback
does exist on port Gibit1/1 vlan 1, please check
it
原因分析:
单链路环回检测检测到环路使上行端口处于受控状态,导致光口指示灯不亮。
处理过程:
2013-8-6
华为机密,未经许可不得扩散
第
18
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
端口处于受控状态的时候光口指示灯是不亮
的,关闭端口环回检测后问题解
决。
建议与总结:
设备检测到环路,
说明网络中是存在
环路的,
我们在解决端口不
up
的问题
后,
更要解决环路问题,避免出现其它问题。
SUPPORT
网站案例编号:
SC
4.6.
S3552F
环路导致
OSFP
邻居
down
现象描述:
组网:
S3552F-----
其他三层交换机
两台设备之间启
OSPF
,但邻居最近总是无故中断,导致业务异常。
告警信息:
S3552F
邻居经常
down
,查
看
log
提示:
%Jul
25
13:47:06
2005
hx02
RM/5/RTLOG:OSPF
Neighbor
State
Change:Down ROUTER ID:
222.171.5.16
LOCAL
ADDRESS:
222.171.3.241
REMOTE
ADDRESS:
222.171.3.242
REASON:
DeadInterval timer
overtime
同时该邻居建立的端口存在环路告警:
%Jul 25 13:47:04 2005 hx02
DRV_NI/5/LOOP BACK:
Loopback does exist on port 2 vlan
2384, please check it
原因分析:
提示:
DeadInterval
timer overtime
,说明是在
40
S
的
dead time
内没有收到<
/p>
对端的
hello
报文而认为邻居
down
。
很明显
,该问题是环路检测使能,检测到环路后将该端口禁掉,而不能收到对
端发送的
hello
报文,导致
OSPF
Neighbor Change Down
。
处理过程:
解决环路一般处理方法:
1
、查找环路源。将环路清除是最治本的方法,推荐使用这种方案。
2
、
若网络环境非常复杂,
实在查找不出环路所在,
也可以将
trunk
和
hybrid
端
口的
环路受控功能关闭,这样即使检测到环路,系统只上报
trap
,不禁端口,
暂时对业务不会有影响。但环路始终存在,从长远来讲,这是一个隐患,建
议
在不影响业务的情况下,对网络进行环路隔离或优化。
建议与总结:
2013-8-6
华为机密,未经许可不得扩散
第
19
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
在配置端口环路检测的时候,一定要注意上行
trunk
或者
hybrid
端口的配置,
注意配置为不受控。
SUPPORT
网站案例编号:
SC
4.7.
FAQ-
< br>中低端交换机端口设置最大
mac
学习数目为零后不允许
通过的
mac
的
数据包如何处理
首先端口计数会增加,然后将此
mac
的数据包丢弃,包括广播、多播和单播报
文。
SUPPORT
网站案例编号:
SC
4.8.
FAQ-S5600
系列交换机上的
SFP
接口是否支持热插拔<
/p>
S5600
系列交换机上的
SFP
接口都是支持热插拔的,在
S5624P/S5648P
上
的
< br>SFP
接口和设备上的后四个固定千兆以太网口为
com
bo
口关系,
即
SFP
接
口和对应的千兆以太网口同一时间只可使用一个。
S5624P/S5624P-PWR/S5624F
上的对应
关系为:
25
-
22
,
26
-
24
,
27
-
21
,
28-23
;
S5648P/S5648P-PWR
上的对应关
系为:
49
-
46
,
50
-
48
,
51
-
45
,
52
-
47
。
SUPPORT
网站案例编号:
SC
4.9.
FAQ-
< br>中低端交换机端口
CRC
错误帧的定义
< br>
1
、
以
太
网
帧
(
数
据
链
路
层
)
格
式
:
(
总
长
度
64~1518
字
节
=
60~1514 + 4bytes CRC
)
最后四字节为数据链路层
CRC
校验值。
2
、
CRC
错误而数据段正常
(60-1514)
则为普通<
/p>
CRC
校验错误。
3
、
CRC
正确而数据段
<60
字节,则被称为
Runt
错误。
4
、
CRC
正确而数据段
>1514
字节,则被称为
Oversize
错误。
5
、
CRC
错误且数据段
<60
字节,则被称为
Fragment(
碎片
)
。
6
、
CRC
错误且数据段
>1514
字节被称为
Jabber
。
7<
/p>
、一个数据帧尾没有形成一个完整的
Byte
时被称为
alignment
错误。
8
、
当产生
JAM
信号,
并且出现
Runt/F
ragment/CRC
错误时候,
则为
collision
。
SUPPO
RT
网站案例编号:
SC
4.10.
FAQ-
低端
lsw
各产品端口
ign
ore
错误统计的说明
低端产品众多
,采用的芯片也多种多样。由于芯片的不同,对于一些错误值的
统计也可能存在不一样,
下面就
ignore
错误,
针对各个系列的产品作一个说明。
产品:
S3026E
,
S3026C
,
S3026T
,
S3026
G
,
S3026C-PW
,
S3026EF
,
S3526E
< br>,
S3526EF
,
S3526
C
,
S3050
2013-8-6
华为机密,未经许可不得扩散
第
20
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
含义:
packets that are
discarded because the interface hardware does not
have enough internal buffers.
由于接口内部
buffer
满,丢弃的帧。
< br>
出现情况:
1
、线速转发的帧,在多接口满带宽输入,单接口输出等情况下,由于输出接口
的带宽不足,数据帧将内部缓存占满,导致从接口输入的帧在进入内部缓存之
前被丢弃,
以及进入内部缓存的帧超时无法输出,计入此项。
2
、上传到
CPU
的帧,由于
CPU
处理能力限制,
toCPU
的缓存满,导致被丢
弃,也计入此项。
产品:
S3526
,
S3526F<
/p>
,
S3026F
,
S3026SI
,
S2026SI
含义:
Events
count
on
received
frames
that
are
dropped
due
to
buffer
availability.
< br>端口因为
Buffer
满原因丢弃的报文。
出现情况:端口因为
B
UFFER
缺乏原因不能及时转发报文而丢弃。
产品:
S2000EI
,
2
000C
含义:
The number of good
packets received by a port that were dropped due
to
lack
of
resources
(lack
of
input
buffers)
or
were
dropped
due
to
lack
of
resources before a
determination of the validity of the packet was
able to be
made (e.g., receive FIFO
overflow)
出现情况:
1
、因为端口缺乏资源(主要就是
bu
ffer
)导致丢弃。
2
、进入端口缓存,但是还没有来得及检查报文的合法性而被丢弃的报文。
产品:
S5012G
,
S5012T
,
S5024G
,
S3528
,
S3552
,
S3552F
,
S35
52HI
芯片不支持该统计。
SU
PPORT
网站案例编号:
SC
4.11.
S3526E
广播流量溢出导致下挂
PC
不可正常学习网关
ARP
现象描述:
S3526E
上连和下挂用户端口做
相同的广播抑制比,广播流量溢出导致下挂
PC
不可正常学习网
关
ARP
。
网络拓扑:
R2631---S3526E---
终端
PC
(
PC
网关为
R2631
的以太网接口地址)
故障现象:终端
PC PING
网关前
10~25
秒内不通,此时查看
ARP
缓存表,发
现
PC
学习不到网关的
ARP
信息,学习到网关<
/p>
ARP
后
PING
网关不丢包。
原因分析:
S3526E
做了
isolate-
user-vlan
,
E0/1
接口上
连,用户将
S3526E
所有接口均
设
置广播抑制为
5%
,包括上连和下连接口,而故障时
E0/24
和
E0/1
接
口广播
流量比较大。
所有接口下挂
PC
均不可正常学习网关
ARP
信息。
分析原因应为
E0/1
接口广播抑制为
5%
,广播流量过大溢出后,
PC
发
ARP
请求给网关时直
接被丢弃,直至广播流量稍小时才可以将
PC
正常的
ARP
请求报文转发至
2013-8-6
华为机密,未经许可不得扩散
第
21
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
R2631
,然后
P
C
才可以学习到
R2631
的
MAC
地址,之后通信为单播流量,
所以
PING
网关不丢包。
处理过程:
取消上连接口
E0/1
的广播抑制设置:
interface e 0/1
undo broadcast-
suppression
。
建议与总结:
5M
的广播流量相对来说不正常,建议检查一下广播来源并排除。
< br>
SUPPORT
网站案例编
号:
SC
4.12.
FAQ-VLAN
passing
参数与
VLAN
allowed
参数的区别是什么?
原因分析:
A
:
配置如下:
vlan 100
vlan 200
interface
Ethernet0/8
port link-type
trunk
port trunk permit
vlan 1 100 200 1000 2000
显示端口状态时:
[Quidway-Ethernet0/8] dis interface
Ethernet 0/8
Ethernet0/8
current state : DOWN
IP
Sending
Frames'
Format
is
PKTFMT_ETHNT_2,
Hardware
address
is
00e0-fc44-ff90
The Maximum Transmit Unit is 1500
Media type is twisted pair,
loopback not set
Port
hardware type is 100_BASE_TX
Unknown-speed mode, unknown-duplex mode
Link speed type is
autonegotiation, link duplex type is
autonegotiation
Flow-
control is not enabled
Port-flow-constrain has not been
configured completely
The
Maximum Frame Length is 1552
Broadcast MAX-ratio: 100%
PVID: 1
Mdi
type: auto
2013-8-6
华为机密,未经许可不得扩散
第
22
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
Port link-type:
trunk
VLAN
passing : 1(default vlan), 100, 200
VLAN allowed : 1(default vlan), 100,
200, 1000, 2000
处理过程:
VLAN passing
:
设备上透传的
vlan
。
< br>
VLAN allowed
:用户配置允许透传的<
/p>
vlan
。
SUPPORT
网站案例编号:
SC<
/p>
4.13.
FAQ-S3528G
中命令
loopback-detection
control enable
有什么功能
1
、
loopback-
detection control enable
命令用来开启
Trunk
和
Hybrid
端口环
回
监测受控功能,
即当系统发现
Tru
nk
或
Hybrid
端口上某个
VLAN
中的端口被环
回时,
则将该
Trunk
或
Hybr
id
端口处于受控工作状态,
同时删除该端口对应的
MAC
地址表项。
2
、
[S3528g]dis mac
MAC ADDR VLAN ID STATE
PORT INDEX AGING TIM
E
00e0-fc00-0011 1 Learned
Ethernet0/1 AGING
00e0-fc09-bcf9 1 Learned
Ethernet0/1 AGING
3
、当
S3528G
设备有环路产生的时候:
[S3528g]dis mac
No
Mac addresses found
。
SUPPORT
网站案例编号:
SC
< br>
4.14.
FAQ-
中低端交换机如何和
C
厂商交换机进行链路聚
合
s3528
这端只要进行端口配置
,然后使用
link-aggreation
进行捆绑就可以了
。
以下是
C
厂商交换机的配置(配置不
正确端口会全红,
port-channel
会提示
noconnect
):
1
、
C
厂商交换机是使用一个逻辑接
口进行聚合的,
物理接口只需要配置一些物
理属性并加入聚合端
口就可以了,比如
speed
和
dup
lex
,具体如下:
Switch(config-if)#int fa0/33
Switch(config-if)#channel-group 1 mode
on
Switch(config-if)#int fa0/34
Switch(config-if)#channel-group 1 mode
on
Switch(config-if)#speed 100
Switch(config-if)#int fa0/33
Switch(config-if)#speed 100
Switch(config-if)#int fa0/34
Switch(config-if)#duplex
Switch(config-if)#duplex full
Switch(config-if)#int fa0/33
Switch(config-if)#duplex full
2013-8-6
华为机密,未经许可不得扩散
第
23
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
2
、然后在聚合口中配置
vlan
等信息:
Switch(config-if)#int port 1
Switch(config-if)#switchport tr en
dot1q
Switch(config-if)#sw mo t
Switch(config-if)#sw tr all vlan 10
Switch(config-if)#sw tr all vlan add 12
3
、建立一个三层
vlan
接口,并指定
ip
为
1.
1.1.1
:
Switch(config)#int vlan 10
Switch(config-if)#ip add 1.1.1.2
255.255.255
4
、没
pi
ng
之前的聚合口学习到的
mac
情况
,是我们的协议
mac
(和
cisoc
对
接最好关闭我们的私有协议,比如
l
oopback-detection,ndp,ntdp
),
ping
一下
学习到了我们的设备
ma
c
,注意物理接口不学习
mac
。
Switch#show mac add int port
1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type
Ports
---- -----------
-------- -----
10 9 DYNAMIC
Po1
Switch#ping 1.1.1.1
Type
escape sequence to abort.
Sending 5,
100-byte ICMP Echos to 1.1.1.1, timeout is 2
seconds:
!!!!!
Success rate
is 100 percent (5/5), round-trip min/avg/max =
1/202/1000 ms
Switch#show mac add int
port 1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type
Ports
---- -----------
-------- -----
10 16.d421
DYNAMIC Po1
Total Mac Addresses for
this criterion: 1
Switch#show mac add
int fa0/33
Mac Address Table
---------------------------------------
----
Vlan Mac Address Type
Ports
---- -----------
-------- -----
SUPPORT
网站案例编号:
SC
4.15.
交换机端口聚合汇总
原因分析:
端口汇聚是将多个端口聚合在一起形成
1
个汇聚组,以实现出
/
入负荷在各成
员端口中的分担,同时
也提供了更高的连接可靠性。
2013-8-6
华为机密,未经许可不得扩散
第
24
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口
。同一
个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口
为
Trunk
端口,
则成员端口也为
Trunk
端口;
如
主端口的链路类型改为
Access
端口,则成员端口的链路类
型也变为
Access
端口。
处理过程:
一台
S3026
以太网交换机只能有
1
个汇聚组,
1
个汇聚组最多可以有<
/p>
4
个端
口。另外,两个扩展模块可以汇聚
成
1
个汇聚组。组内的端口号必须连续,但
对起始端口无特殊要求。
一台
S
3026E/S3050C-48
以太网交换机最多可以有
6<
/p>
个汇聚组,
1
个汇聚组最
多可以有
8
个端口。另外,两个扩展模块可以汇聚成<
/p>
1
个汇聚组。组内的端口
号必须连续,但
对起始端口无特殊要求。
一台
S3026
FM/S3026
FS
以太网交换机最多可以有
4
个汇聚组,
1
个汇聚组
最
多
可
以
有
8
个
端
口
。
端
口
起
始
值
只
能
为
Ethernet0/1
、
Ethernet0/9
、
Ethernet1/5
、
Gigabitethernet3/1
,如
果组内的端口跨越了两个槽,则槽号必须
连续。
一台
S3026E FM/S3026E FS
以太网交换机最多可以有
6
个汇聚组,
1
个汇聚
组最多可以有
8
个端口。如果组内的端口跨越了两个槽,则槽号必须连续
一台
S3526
以太网交换机最多可以有
4
个汇聚组,
1
个汇
聚组最多可以有
8
个
固定端口或
2
个扩展模块端口。端口起始值只能为
Eth
ernet0/1
、
Ethernet0/9
< br>、
Ethernet0/17
、
Gigabitethernet1/1
,且组内的端口号必须连续。
< br>
一台
S3526E/S3526C
以太网交换机最多可以有
6
个汇聚组,
1
个汇聚组最多
可以有
8
个固定端口或
2
个扩展模块端口。组内的端口号
必须连续,但对起始
端口无特殊要求。
一台
S3526
FM/S3526
FS
以太网交换机最多可以有
4
个汇聚组,
1
个汇聚组
最
多
可
以
有
8
个
端
口
。
端
口
起
始
值
只
能
为
Ethernet0/1
、
Ethernet0/9
、
Ethernet1/5
、
Gigabitethernet3/1
,如
果组内的端口是同一槽内的端口,则端口
号必须连续;如果组内的端口跨越了两个槽,则
同一槽内的端口号必须连续,
槽号必须连续,且只能从第二个槽第
1
个端口开始加入汇聚组。
一台
S3526E FM/S3526E FS
以太网交换机最多可以有
6
个汇聚组,
1
个汇聚
组最多可以有
8
个端口。如果组内的端口是同一槽内的端口,则端口号必须连
续;如
果组内的端口跨越了两个槽,则同一槽内的端口号必须连续,槽号必须
连续,且只能从第
二个槽第
1
个端口开始加入汇聚组。
一台
S3552G/S3552P/S3528G/S3528
P/S3552F-SI
以太网交换机最多可以有
6
个百兆端口汇聚组及
1
个千兆端口汇聚组,
1
个汇聚组最多可以有
8
个百兆
端口或
4
个千兆端口。组内
的端口号必须连续,但对起始端口无特殊要求。
2013-8-6
华为机密,未经许可不得扩散
第
25
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
SUPPORT
网站案例编号:
SC
5.
VLAN
5.1.
FAQ-S3528vla
n
接口可以支持从地址个数
S352
8/3552
系列交换机
vlan
接口
可以配置
9
个从地址。
SUPPORT
网站案例编号:
SC
5.2.
S2403H
vlan
透传配置错误导致部分
vlan
不能透传
S2403H
的上下行口都配置了:
port
link trunk
port trunk permit vlan all
但是
S2403H
上没有创建相应的需
要透传的
vlan
,
在交换机上创建
需要透传的
vlan
,问题解决。
<
/p>
SUPPORT
网站案例编号:
SC
5.3.
FAQ-
哪些低端交换机支持
QinQ
S3528
,
S3552
系列,
S3900
,
S56
00
,支持普通
QinQ
。
注意:
1
、
S3528
,
S355
2
系列交换机的
S3528_S3552-VRP310-R0
016
及以后的版
本可以很好的实现
Q
inQ
,之前的版本在使用上存在缺陷,不建议使用。
2
、
S3900
交换
机中的
3900-SI-VRP310-0019
及后续版本支
持
QINQ
,但
3900-SI-VR
P310-0022
版本不支持
QINQ
。
3
、
S
5600
交换机中的
5600-VRP310-r0035
及后续版本支持
QINQ
功能。
SUPPORT
网站案例编号:
SC
5.4.
FAQ-GVRP
和
VTP
两个协议有何异同点
相同点主要有:
二者都是对跨以太网交换机的
VLAN
进行动态注册和删除的二
层协议,交换机之间的协议报文交互都必须在<
/p>
VLAN Trunk
链路上进行。
不同点有:
1
、
GVRP
(
GARP VLAN Registration Protocol
)是
IEEE
制定的基于
G
ARP
(
General
Attribute
Registration
Protocol
)的协议;而
VTP
(
VLAN
Trunk
Protocol
)是
C
友商开发的
私有协议。
2
、
< br>GVRP
协议是通过属性的声明-注册机制将本地的
VL
AN
信息通告给其他
交换机;而
VTP
协议是通过检查通告报文中的配置版本号信息(
configu
ration
revision number
),版本号低
的交换机向版本号高的交换机进行学习,从而实
现
VLAN
信息的共享。
3
、支持
VLAN
数目不同,
GVRP
协议所支持的
VLAN
ID
范围为
1-4094
,而
VTP
协议只支持
1-1001
号的
VLAN
。
2013-8-6
华为机密,未经许可不得扩散
第
26
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
SUPPORT
网站案例编号:
SC
5.5.
FAQ-S2008C
应用了
vlan
disable
后能否继续做端口隔离
可以
配置举例:
vlan 1
port-isolte enable
quit
int
e0/9
port-isolate uplink vlan 1
quit
vlan
disable
即先配置端口隔离,再配置
vlan
disable
。
SUPPORT<
/p>
网站案例编号:
SC
5.6.
FAQ-S2000C-SI/S3000C-SI
端口配置
成
hybrid
类型后
vlan
tag
的说明
S2000C-SI/S3000C-SI
端口配置成
hybrid
类型后,对于普通业务报文,只能
将
vlan
untag
出去(
port hybrid vlan 10
untagged
),不能
vlan tag
< br>。对于本交
换机
cpu
始发
(可以理解为管理
vlan
)
的报文可以
vlan
tag
出去
(
port hybrid
vlan
4000 tagged fromcpu
)。
另外,
对于
trunk
端口也有不同,
在
trunk
端口允许通过的
vlan
和
pvid
一样时,
不剥离
tag
头,依然会将此
vlan
tag
出去。
SUPPORT
网站案例编号:
SC
5.7.
S3026C-SI
配置错误导致配置了
vlan
disable
之后业务不通
现象描述:
组网:用户——
S3026C-SI
——
MA5200
用户测透传上来的
vlan
数目大于
S3026C-SI
支持的
< br>vlan
数目(
128
个),此
时需要将
S3026C-SI
设置为<
/p>
vlan disable
来实现所有
v
lan
不检测
tag
头直接透
传到上连的
MA5200
。但在
S3026C-SI
配置
vlan
disable
之后业务不通。
原因分析:
因规格的的不同,
S3026C-SI
设备配置了
vlan
disable
之后,数据报文是否
带
tag
头通过交换机需要配置才能完成。即如果不配置端口为
trunk
,则接受的
所有报文也是会转发出去,只是全部去掉
< br>tag
头发送出去,此时下挂业务就无
法带着
vlan tag
透传到上层设备进行认证,导致业务不通。
处理过程:
此型号交换机不同于其他低端交换机,启用
vlan disa
ble
就可以不检测数据报
文
tag<
/p>
头而透传所有
vlan
,在配置了
vlan
disable
之后,必须再将进
出端口配
置为
trunk
端口,这样才
可以实现
vlan
disable
的功能。
SUPPORT
网站案例编号:
SC
2013-8-6
华为机密,未经许可不得扩散
第
27
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
5.8.
FAQ-
S3500
系列交换机支持多少个三层
VLAN
接口
S3526E
交换机支
持
32
个三层
VLAN
接口。
S3552F-HI
交换机支持
512
个三层
VLAN
接口。
S3552G/P
交换机支持
256
个三层
VL
AN
接口。
S3528G/P
交换机支持
256
个三层
VLAN
接口。
SUPPORT
网站案例编号:
SC
5.9.
FAQ-
交换机
vlan disab
le
时创建管理
vlan
的方法
现象描述:
不同型号交换机在配置了
vlan disable
后,
部分交换机部分版本只能使用
vlan1
配置来管理地址,但有的交换机也可以使用其他
vlan
配置管理地址。
处理过程:
在汇聚交换机上启用
VLAN
DISABLE
:
< br>1
、当汇聚交换机是
S3026E/C
< br>时,启用了
vlan disable
后,只能在
vlan 1
上
配置管理地址,也不能创建其他
vlan
。
2
、当汇聚交换机是
S3026
时:
(
1
)在
0027
以及以上版
本启用
vlan disable
后可以配置其他
vlan
,也可以将
管理地址创建在其他
vlan
上。
(
2
)
0027
之前
的版本,
只能在
vlan 1
上配置
管理地址,
也不能创建其他
vlan
。
3
、当汇聚交换机是
S2403H-EI
时:
(
1
)版本为:
0010
、
0020
时,启用
vlan
disable
后,可以创建其他
vlan
< br>同时
也可以在其他
vlan
上配置管理地址。
(
2
)
版本为
0013
、
0014
、
0017
、
0018
时,
启用
vlan disable
后只能在
vlan 1
上配置管理地
址,也不能创建其他
vlan
。
4
、
S2000B
系列不支持。
SUPPORT
网站案例编号:
SC
5.10.
2403H-EI
配置
VLAN
512
时提示
“VLAN ID out of range
”
1
、
2403H-EI
的默认
VLAN
RANG
是
1-511
2
、可以通过命令:
vlan
rang
改变默认值
[2403]vlan rang ?
1-511 use range 1-511
512-1023 use range 512-1023
1024-1535 use range 1024-1535
1536-2047 use range 1536-2047
2048-2559 use range 2048-2559
2560-3071 use range 2560-3071
2013-8-6
华为机密,未经许可不得扩散
第
28
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
3072-3583 use range
3072-3583
3584-4094 use range 3584-4094
3
、
2403H-EI
的支持的
512
个
VLAN
必须在一个连续的区域
SUPPORT
网站案例编号:
SC
5.11.
低端交换机如何更改端口
isolate-user-
vlan
配置
现象描述:
交换机机使能了
isolate-user-vlan
,
要把
e0/20
接口
的
vlan
从
22
改到
20
,
e0/21
接口的
vlan
从
21<
/p>
改到
20
。
原因分析:
交换机机使能了
isolate-user-vlan
后不能更改接口子
vlan
配置,要想更改需<
/p>
要解除主从
vlan
的映射。
考虑到对业务产生尽量少的影响,采取了命令行脚本的技巧。
处理过程:
undo isolate 10 secondary 20 to 22
#
解除主从
vlan
的映射
< br>
int
e0/20
#
删除接
口原来的配置
undo port
link-type
int e0/21
undo
port link-type
vlan
20
#
将接口
添
加到
vlan20
中
port e0/20 to e0/21
isolate
10 secondary 20 22
#
重新进
行主从
vlan
映射
#
这里有一
个隐含的回车符,保证最后一条命令可以执行
在配置模式下,
将以上内容直接拷贝到交换机上,这样就可以在几秒钟内完成
对端口
vlan
的切换,而且对业务影响比较小。
SUPPORT
网站案例编号:
SC
6.
HGMP
6.1.
FAQ-
中低端交换机支持
HGMP
< br>的类型汇总
设备型号
HGMP V1 HGMP V2
S2403F
支持
不支持
S2008B/S2016B/S2026B
支持
不支持
2013-8-6
华为机密,未经许可不得扩散
第
29
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
S2008/S2016/2026/2403H
支持
支持
S2008C/S2016C/S2024C
不支持
支持
S2016-EI/S2403H-EI
不支持
支持
S2026C/Z-SI
支持
支持
S3026/S3026F
支持
支持
S3026E/S3026EF
支持
支持
S3026C/G/T
、
S3050C
支持
支持
S3526/S3526F
支持
支持
S3526E/S3526EF/S3526C
支持
支持
S3528P/G
、
S3552P/G/F
支持
支持
SUPPORT
网站案例编号:
SC
6.2.
由于
HGMP v2
的部署不当导致广播域过大
现象描述:
组网:
8512
|
============
|
|
|
3552F
3552F
3552F
|
|
|
2000c
2000c
2000c
部署
HGMP V2
,
使用默认
vlan
1
做为
HGMP v2
的管理
vlan
,
部署后发现网
络经常出现大量用户掉线。
告警信息:
logbuffer
:大量
vlan
1
环路告警
原因分析:
1
、该种方式部署,每个
3552F
的
vlan
1
都要透传到
S8512
,造成广播域过
大
//
网管要求必须是
HGMP
v2
管理
vlan
所在的三层接口<
/p>
IP
地址添加到网管
< br>2
、
2000C
系列交换机默认
开启了环路检测功能,当检测到环路后,会自动
shutdown
检测到环路端口,
底端
2000C
交换机物理成环,
造成
VLAN 1
在整
网透传,出现
vlan 1
环路,当
3552F
在上行接口检测到环路时
,会
shutdown
3552F
的上行接口,造成用户大面积掉线。
处理过程:
1
、使用
HGMP v2 Nm
特性,更改
3552F
上行
< br>vlan
为非
vlan
1
,应用该特性
转换:
2013-8-6
华为机密,未经许可不得扩散
第
30
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
cluster
nm-interface
vlan
xx
//
分割广播域
注:
NM
特性,
3552F
只有在
0025
sp3
以后才有良好的支持。
2
、关闭环路控制功能:
undo loop-detection control
enable
建议与总结:
如果成员交换机较多,而且,命令交换机的上行设备为交换机
时,建议使用
NM
特性
,防止广播域过大。
SUPPORT
网站案例编号:
SC
6.3.
成员交换机集群
名称错误导致部分成员交换机无法加入正常加入集群
现象描述:
组网:
S3552F
(
0025sp
03
)
--------------- 2000C
(
0018
)
*57<
/p>
(台)
现象:部分成员交换机无法加入正常加入集群
原因分析:
1
、由于
cluster
的运行是以
NTDP
正常运行为基础,首先判断成员交换机的
NTDP
运行是否正常,可以在
NTDP
拓扑中发现;
2
、如果
成员交换机
NTDP
正常,通过
dis
p ntdp dev ver
察看其运行的详细情
况,是否
由于某些参数不匹配导致无法加入(如:
CLUSTER
NAME
)。
处理过程:
1
、
ntdp explore
收集拓扑。
2
、
disp ntdp
device-list verbose
察看到一共发现
57
台设备,但其中有些设
备的
Cluster
:
Member switch of cluster DM
与目前运行
cluster name
DM-A
不同。
3
、
cluster
解散现有集群。
undo build
4
、
cluster
build
DM
建立与部分设备中保存的集群名称相同的集群。
auto-build
5
、在运行步骤
3
解散集群。
6
、执行步骤
4
建立
DM-A
集群,通过
disp
cluster
mem
察看所有成员交换
机是否全部
正常加入集群。
建议与总结:
2013-8-6
华为机密,未经许可不得扩散
第
31
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
由于
S2000C
-0019
之前版本不支持即插即用,导致成员交换机在没有正常退
出其它集群时,使系统内仍然保存原集群名称,这样无法加入新集群,需要命
令交换
机恢复对其管理,让其正常退出原集群,再加入新集群。
<
/p>
SUPPORT
网站案例编号:
SC
6.4.
<
/p>
HGMP
特性导致成员交换机掉电重启后无法被管理
现象描述:
1
、版本信息:
S3528G
3552-3528-VRP310-0020
S3026C 3026EFGTC-E026-E026T-VRP310-0036
2
、组网信息:
S3528G(HGMP
server)------------------------S3026C(HGMP client)
3
、现象:
S3026C
断电重启后在
S3528G<
/p>
查看管理状态是
DOWN
的,需要手工再
次添加或者重建集群才能够管理。
原因分析:
当
HGMP
建立集群后:
1
、在成员交换机上会增加一条
build
:
cluster
administrator-
address 00e0-fc0f-2240
(
S3528
G
的
MAC
)
name huawei
#
保存配置后,如果成员重启,会根据这条命令加入集群。
2
、同时在命令交换机也会建立命令:
cluster
ip-pool 1.1.1.1 255.255.255.0
build huawei
add-member 1
mac-address 00e0-fc0c-cc36
(成员交换机
MAC
)
保存配置后,如果命令交换机重启,会根据这条命令去添加成员。
如果成员交换机是集群增强版本,
在成员上不会增加相应的命令行,命
令交换机不重启,成员交换机重启,成员也不会自动
加入集群。
S3026C
0033
以上版本是集
群增强版本,
S3528G
0020
版本不是集群
增强版本。所以
S3528G
不会去自动添加新成员,导致成员无法自动加入,造
成该故障。
处理过程:
升级
S3528G
版本到
00
25P02
以上,即支持该集群增强特性,问题解决。
2013-8-6
华为机密,未经许可不得扩散
第
32
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
SUPPORT
网
站案例编号:
SC
7.
网络协议
7.1.
FAQ-S3500
系列
lanswitch
< br>是否支持
NAT
地址转换功能
目
前中
低端的
LANSWITCH(S3526/S3526E/S3528/5516/S6506)
都
不支
持
nat
转换的功能。
SUPPORT
网站案例编号:
SC
7.2.
FAQ-
< br>哪几款交换机可以支持
DHCP Server
S80
16
、
S3500
系列中
S3552
、
S3528
、
3526e
系列可以支持
DHCP
Server
。
SUPPORT
网站案例编号:
SC
7.3.
上层设备配置静态
arp
绑定了
S3528G
的桥
MAC
地址导致
S3528G
CPU
利用率
高
现象描述:
组网:
PC
+
S3528G
(
PC
的网关)+
CX
XXX
原因分析:
1
、经抓包分析发现对端
CXXXX
设备发来的数据包中返回的目的
MAC
为
S3528G
的桥
< br>MAC
,
由于经桥
MAC
转发的报文为软件转发,
故消耗大量
CPU<
/p>
资源。
2
、检
查后发现
CXXXX
中做了静态
ARP
,绑定了
S3528G
的桥
mac
地址。
3
、去掉
CXXXX
中的
ARP
绑定设置后
S3528G
的<
/p>
CPU
利用率恢复正常。
处理过程:
目的
MAC
为桥
MAC
的报文全部上
CPU
处理,对端设备如需进行
ARP
绑定
应使用
V
LAN
接口的虚
MAC
地址进行绑定。
SUPPORT
< br>网站案例编号:
SC
7.4.
FAQ-
< br>典型企业网组网规划的几点建议
网络拓扑:
internet-----router----
L3siwtch----L2switch
1
、
ip
和
vlan
规划:<
/p>
router
和
L3siwtch
之间启用只包括二者的单独
vlan
和
30
位掩码的
ip
段
。为内部局域网分配各自的
vlan
和
ip
段,并将
vlan
终结在
L3siwtch
。这样规划一是考虑网络结构清晰,另外更重要的是考
虑到广播域尽
量小,不要使局域网的广播影响
router
的性能。
2
、<
/p>
路由规划:
router
使用默认路由和
回程路由;
L3siwtch
直接使用默认路由就
可以了,考虑到有些
vlan
三层接口
down
的时候会在
router
< br>和
L3siwtch
之间
201
3-8-6
华为机密,未经许可不得扩散
第
33
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
形成路由环路,可以在
L3siwtch
上写一条内部网段的汇聚黑洞路由。这样由
L3siwtch
负责内网路由及灵活的访问控制,由
router
负责访问
internet
,这样
可以有效的分配流量,不至于使
router
负担过重。
3
、其他附加规划:
L2switch
可以使用端口隔离有效隔离广播等。
SUPPORT
网站案例编号:
SC
7.5.
FAQ
-S3500
交换机开启
DHCP-
Snooping
功能来过滤非法
DHCP-Server
现象描述:
S3500
系列交换机下挂一个二层网络
(未配置端口隔离)
,
网络中的主机均采
用
DHCP
方式获取地址上网。为防止有恶意用户非法开启
DHCP-Server
功能
对网络进行攻击,需要开启交换
机的
DHCP-
Snooping
功能。
处理过程:
1
、使用
dhcp-
snooping
命令来开启交换机
DHCP-Snoopin
g
功能(缺省情况
下,
DHCP-Sn
ooping
功能处于关闭状态
)
。<
/p>
2
、使用
dhcp-snooping
trust
命令来配置端口为信任端口(缺省情况下,交换
机端口均为不信任端口)
;
配置时,
将连接合法
DHCP-Server
的交换机
端口设
置为信任端口,其他端口均设为不信任端口。
3
、信任端口可以正常接收并转发
DHCP O
ffer
报文,而不信任端口会将接收到
的
DHCP Offer
报文丢弃。
这样,
< br>除信任端口外,
其他端口接入的
DHCP Server
都被视为非法,防止了恶意用户非法开启
DHCP-
Server
功能对网络进行攻击。
建议与总结:
注意点:
1
、
DHCP-snooping
功能启用的前提条件:
交换机的
DHCP
Relay
功能关闭
(没
有任何三层接
口被配置
DHCP Server
)。
2
、目前支持
DHCP-
Snooping Trust
特性的低端交换机主要有:
S3
026E
系列、
S3050C
系列和<
/p>
S5000
系列交换机。
SUPPORT
网站案例编号:
SC
7.6.
FAQ-
如何限制
DHCP
用户只能有一台设备获取
ip
组网:
3552g------
2403h-ei-----
用户
|---2403h-ei-----
用户
要求:
3552g
< br>进行
dhcp
地址分配的时候只为用户分配一个
ip
地址
实现方法一:
3552
使能静态绑定,
并开启
dhcp
detect
防止此广播域内出现非法
dhcp
server
,
具体命令如下:
2013-8-6
华为机密,未经许可不得扩散
第
34
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
[Quidway-Vlan-interface1] dhcp
server static-bind 10.1.1.1 0000-e03f-0305
或者
[Quidway-
dhcp-0] static-bind ip-address 10.1.1.1 mask
255.255.255.0
[Quidway-dhcp-0] static-
bind mac-address 0000-e03f-0305
使能伪
DHCP
服务器检测功能:
[Quidway] dhcp-server detect
注:把暂时不用的
ip
绑定到伪
ma
c
上,以防被盗用。
优点:在
3552g
上集中部署
缺点:要先知道用户网络设备的
mac
地址,
用户设备坏或者更换设备后需要手
工修改
实现方法二:
在接入交换机上进行静
态
mac
绑定
,
具体命令如下:
[Quidway]mac static
000f-e203-c4ce interface Ethernet 0/1 vlan 1
[Quidway-Ethernet0/1]mac-address mac-
learning disable
或者
[Quidway-Ethernet0/1]mac-address max-
mac-count 0
优点:能严格限制用户
缺点:同方法一,实施和维护比较麻烦
实现方法三:
在接入交换机上设置端
口能学习最大
mac
数为一,具体命令如下:
< br>
[Quidway-Ethernet0/1]mac-address
max-mac-count 1
优点:实施和维护比较简单
缺点:如
果此接口所处的广播域内包含多台主机,分配地址具有不确定性;如
果用户的接入设备会
自动发送协议报文,比如
ndp
等,这个报文携带的原
mac
会把端口允许学习的
mac
数占掉,
导致用户不能获取
ip
,
所以要求用户侧组网
尽量简单,
比如直接连代理服务器
/
路由器,
如果
连接的是交换机,
要求关闭
ndp
,<
/p>
ntdp
功能。
SUPPORT
网站案例编号:
SC
7.7.
S3526
关于
arp
和
mac
冲突造成的告警
现象描述:
组网图:
S3526
(vlan1) e0/1
e0/2(vlan20)
|
|
|
|
(vlan1)e0/1
e0/1(vlan1)
S3528P
S3528G
(trunk)e0/2--------
e0/2(trunk)
2013-8-6
华为机密,未经许可不得扩散
第
35
页
,
共
72
页
低端交换机案例集锦
文
档
密
级:
内部公开
S3526
上
valn-
inerface
1
和
vlan-
interface
20
,
ip
分别为
192.168.1.1
和
192.168.2.1
,
物理端口
e0/1
属于
vlan1
,
并且下挂
S3528P vlan1
内的
e0/1
物
理端口,
ip
地址为
192.168.1.2
,完成三层的通信。物理端口
e0/2
属于
vlan20
并且下挂
S3528G vlan1
内的
e0/1
物理端口,
ip
地址为
192.168.2.2,
完成三层
的通信,
S3528P
的
e0/2
物理端口与
S3528
G
的
e0/2
物理端口通过
trunk
互连,
并允许所有的
< br>vlan
通过。
告警信息:
在
S3526
交换机上提示:
%Aug 26 19:34:37
2005 Quidway SYSM/5/IP MOVE:Rcv src IP 192.168.1.2
packet
from
port
2
but
it's
nexthop
arp
192.168.1.2
with
00e0-fc2c-ff83
resided in
port1
%Aug
26
19:34:42
2005
Quidway
SYSM/5/MAC
MOVE:MAC
addr
00e0-fc2c-ff82 will move to port 2 from
port 1
原因分析:
提示分析:从端口
e0/2
接收来自源
ip192.168.1.2
的报文,但是
arp
表
192.168.1.2
下一跳口为
e0/1
,并且
mac
地址从
e0/1
飘移至
e0/2
端口。
S3526
的物理端口
e0/1
和
e0/2
都会学习
mac
添加到
mac-address
表,
e0/1
通过
S3528P
的物理端口
e0/
1
学习到了
vlan-interface
< br>1
接口的
mac
地址,
S3528G
的
e0/2
端口通过
S3528P
的
e0/2<
/p>
端口学习到了
S3528P
的
vlan-interface 1
接口的
mac
地址(属于同一
vlan
,并被
trunk
透传),并通过
e0/1
端口被
S3526
的
e
0/2
交换机学习到,
造成
mac-a
ddress
表和
arp
表冲突。
处理过程:
1
、打开
S3526
交换机的
mac-address
表,发现
e0/1<
/p>
和
e0/2
端口都学习到
S3528P vlan-interface1
接口的
mac
地址为:
00e0-fc2c-ff83
,
查看
arp
表,
vlan1
接口通过
arp
动态学习到了
192.168.1.2
00e0-fc2c-ff82
。
<
/p>
2
、将
S3528P
和
S3528G
之间
trunk<
/p>
中的
vlan
1
拒绝透传后,问题解决。
SUPPORT
网站案例编号:
SC
8.
生成树协议
8.1.
使能
STP
的非边缘端口接入
PC
时不能
立即访问网络
现象描述:
用户网络交换机都运行
STP
协议后,
每次
PC
开
机后
10
秒左右才能正常访问
网络,并
且这期间也
PING
不通网关。
原因分析:
1
、交换机运行
STP
后,华为交换机默认
STP
模式为
RSTP
,并且所有端口
都参与
运算
STP
。
2013-8-6
华为机密,未经许可不得扩散
第
36
页
,
共
72
页
-
-
-
-
-
-
-
-
-
上一篇:培训效果评估方案.doc
下一篇:莎士比亚经典语句