国家 / 地区

H3C S12500 用户FAQ-R1825P01-6W100

手册下载

H3C S12500 用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2013杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 


 

1 硬件类FAQ.. 1

S12500设备分哪几类产品?.. 1

S12500是否支持PoE(以太网远程供电)?.. 2

S12500能否支持直流电源?.. 2

S12500的电源模块是否支持热插拔?.. 2

S12500电源模块风扇噪声大是否正常?.. 2

S12500电源模块输出电流很小是否正常?.. 2

S12500交换网板是否支持热插拔?.. 3

S12500是否支持主控板热备份?.. 3

如何查看S12500的单板序列号或者制造信息?.. 3

S12500是否支持风扇调速?.. 4

LST2XP32非线速单板收敛情况是怎样的?.. 5

2 软件类FAQ.. 5

S12500BootWare是否支持向前兼容?.. 5

S12500如何查看当前运行的版本和运行时间?.. 5

S12500为何需要升级主机软件版本以及升级注意事项?.. 5

S12500升级成功后主机软件文件是否可以删除?.. 5

S12500如何查看已删除文件?.. 5

S12500如何清除回收站中的文件?.. 6

S12500是否支持热补丁?.. 6

S12500加载新的补丁需要删除原有补丁吗?.. 6

S12500设备的默认启动文件名是什么?.. 6

S12500加载补丁文件有哪些注意事项?.. 6

为何S12500无法显示已经保存的配置文件?.. 6

3 系统管理维护类FAQ.. 6

超级终端连接主控板的配置串口有时为何显示不正常?.. 6

S12500如何配置才能使用AUX登录?.. 7

如何清除Telnet进程?.. 7

S12500能支持Telnet用户名包含@字符吗?.. 7

通过reset counters interface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化?.. 7

如何在BootWare中格式化FLASHCF卡?.. 7

如何进行开机前内存全面自检?.. 9

S12500主备倒换后MAC表、ARP表、路由表需要重新学习吗?.. 9

为什么所有业务板没有正常运行前不能执行save命令保存配置文件?.. 9

S12500管理以太网接口没有配置IP地址能够直接UP吗?.. 10

为什么使用TFTP获取S12500上的文件时传输到32M左右时失败?.. 10

S12500是否支持作为TFTP服务器?.. 10

设备是否可以快速上下电?.. 10

流量转发到备用主控板管理以太网接口后设备如何处理?.. 10

为什么sflow的会话包里面,input interface value(入端口采样个数)或output interface value(出端口采样个数)都会有一个是0的接口?.. 10

4 网络安全与防攻击FAQ.. 11

S12500支持哪些攻击防御功能?.. 11

S12500支持SSH的版本号.. 12

S12500是否支持本地用户先认证然后在远程进行Radius认证?.. 12

为何S12500登录采用Radius认证,服务器采用ACSconsole方式无法登录?.. 12

为何S12500RadiusACS对接时,用户是否只能控制到一级权限?.. 12

S12500HWTACACS认证失败后能在本地继续认证吗? .. 13

S12500支持和第三方服务器TACACS对接吗?.. 13

S12500配置RADIUS认证时是否需要配置server-type extend类型?.. 13

用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项?.. 13

S12500如何设置命令级别?.. 13

S12500 HWTACACSCiscoACS的级别是如何对应的?.. 13

用远程认证方式,telnet到设备时,VTY用户界面下和RADIUSTACAS服务器上用户名都设置了权限,以哪个为准?   13

S12500作为网关设备,如何配置防止下面用户的仿冒网关攻击?.. 14

S12500支持哪些OAA单板?.. 14

5 网络接入类FAQ.. 14

S12500的端口计数值最大到几位?.. 14

S12500同一接口上单播报文、广播报文和组播报文是否能够同时进行抑制?.. 14

使用命令display interface显示的端口统计中INPUTOUTPUT中各错包字段的含义?.. 14

S12500是否支持jumbo帧?.. 15

S12500各业务板中MAC地址表内容是否一样?.. 15

动态MAC地址表项的老化时间是多少,如何老化?.. 15

MAC地址学习数目设置为0业务能否正常转发?.. 15

端口下配置了不学习MAC功能(mac-address max-mac-count 0),但是查看端口的MAC表项,还是存在MAC表项信息?   16

为什么一个MAC地址会学习到多个VLAN中?.. 16

S12500链路聚合时流量如何分担?.. 16

S12500的静态MAC是否可以在聚合口上配置?.. 16

S12500设备配置链路聚合后是否还支持RRPP.. 16

如果一条链路的两条光纤都是断开的,然后连接上其中一根光纤,DLDP是否起作用?.. 16

设备显示的光模块光功率信息有哪些?.. 16

端口速率百分比的计算公式?.. 16

GE端口与10GE端口聚合,成员端口选中情况是怎样的?.. 17

S12500与其他设备端口对接,为什么对端DOWN、本端没有DOWN.. 18

环路监测功能如何使用,有哪些注意事项?.. 18

6 STP/RSTP/MSTP FAQ.. 19

S12500支持的STP协议有哪些?.. 19

业界有哪些生成树协议?.. 19

STP拓扑变化时对ARPMAC地址如何处理?.. 20

MSTP TC BPDU报文产生的条件是什么?.. 20

为何有时S12500设备MSTP配置正确,但是MSTP状态却错误?.. 21

RSTPMSTP是否都有TCN报文?.. 21

S12500和思科设备组网,在S12500端口去使能MSTP时,思科设备出现端口DOWN.. 21

S12500MSTP如何和思科设备对接以及注意事项?.. 21

7 IP转发业务类FAQ.. 22

S12500是否支持在物理端口上配置IP地址.. 22

S12500是否支持VLAN接口添加从地址?.. 22

VLAN接口主地址删除后,从地址是否能正常工作?.. 22

VLAN接口MAC地址有何作用?.. 22

S12500ARP表项超过规格后会发送TRAP告警信息吗?.. 22

S12500等价路由负载分担方式是怎样实现的?.. 22

S12500是否支持带权重的路由分担方式?.. 23

S12500VRRP监视接口功能有何作用?.. 23

S12500 VRRP是否支持在Master上配置Track项关联某个物理端口?.. 23

S12500的路由协议下发的路由和ARP主机路由哪个优先?.. 23

DHCP服务器检测功能在S12500作为二层设备的情况下能否有效?.. 23

S12500如何处理超过1500字节的ICMP PING报文?.. 23

S12500ICMP PING报文发送时间间隔能否设置?.. 23

使用URPF功能需要注意什么?.. 24

MTU值的设置如何实现?.. 24

S12500 OAA单板的内联口的链路类型为TRUNK,将其加入某个VLAN并配置IPv6地址,为什么会产生地址冲突?   24

S12500从什么版本Super VLAN开始支持IPv6.. 24

8 IP路由类FAQ.. 24

S12500支持黑洞路由吗?.. 24

S12500OSPFCost值是否与二层以太网接口有关?.. 24

不同路由协议及其发现路由的优先级是怎样的?.. 25

设备打印OSPF CONFIG ERROR有哪些原因?.. 25

什么情况下OSPF ERROR 记录中有LS ACK: Bad ack计数?.. 25

S12500静态路由下一跳失效时路由为什么会迭代到黑洞路由?.. 26

OSPF Router ID冲突的日志信息如何产生的?.. 26

9 MPLSFAQ.. 27

S12500Juniper MX900设备VPLS对接注意事项?.. 27

S12500 LSP未超规格的情况下如何过滤非32位地址的LSP.. 27

PBB组网中BVLANCVLAN可以配置一样吗?.. 27

10 IP组播类FAQ.. 28

S12500支持的组播协议有哪些?.. 28

S12500支持的IGMP版本有哪些?.. 28

S12500组播是否支持静态RP功能?.. 28

S12500是否支持组播静态路由?.. 28

如何从配置上限制非法组播源?.. 28

S12500是否支持组播组过滤规则?.. 29

S12500组播RPF检测失败后如何实现组播按需转发?.. 29

S12500 PIM-SM域间的MSDP对等体切换时发现RPF检查失败的可能原因?.. 30

S12500的命令link-aggregation load-sharing mode对组播的负载分担生效吗?.. 30

S12500到组播源的路由下一条能否为VRRP虚拟IP地址?.. 30

S12500是否支持auto-rp.. 30

11 QACLFAQ.. 30

S12500是否支持跨板配置端口镜像和流镜像?.. 30

S12500是否支持跨框配置端口镜像和流镜像?.. 30

S12500配置端口镜像有哪些注意事项?.. 30

S12500流镜像支持配置多少目的端口?.. 31

S12500端口镜像支持多少目的端口.. 31

S12500流镜像与端口镜像可以同时使用吗?.. 31

S12500配置包过滤对端口镜像有无影响?.. 31

S12500配置镜像在什么情况会打印这个源端口硬件不支持信息?.. 31

S12500是否支持跨框端口镜像和重定向到端口功能.. 31

S12500是否支持出方向QoS策略?.. 31

S12500QoS策略匹配顺序是怎样的?.. 32

S12500VLAN中的QoS策略有哪些限制?.. 32

S12500的全局QoS策略有哪些限制?.. 32

S12500ACL规则匹配顺序是怎样的?.. 32

S12500ACL规则permitdeny在不同应用中有什么区别?.. 32

为何S12500在下发了策略路由后外网无法Ping通接口地址?.. 33

S12500应用在端口的ACL规则在单板重启后配置恢复顺序是怎样的?.. 33

S12500的流规则能识别二三层转发报文吗?.. 33

S12500是否支持同时匹配二层ACL和三层ACL规则?.. 33

S12500支持访问控制(包过滤)吗?.. 33

S12500如何配置访问控制(报文过滤packet-filter).. 33

S12500支持对多个端口整体流量监管(流量限速CAR)吗?.. 34

S12500端口配置流量限速后,查看端口流量为何没有变化?.. 34

S12500是否支持重定向功能.. 34

S12500的重定向到下一跳是强策略路由还是弱策略路由?.. 34

为何S12500配置PBR后还是能够Tracert通?.. 34

S12500如何清除流量统计计数?.. 34

PPPoE封装的ICMP报文能否匹配ACL规则?.. 35

S12500端口上配置的qos priority dot1pqos trust dot1p什么作用.. 35

S12500默认信任报文的优先级吗?.. 35

S12500MPLS网络的P设备时是否信任报文的exp字段?.. 35

为什么SPWRR混合调度的时候有时候会调度不准确?.. 35

队列调度WRR可以与流量整形GTS一起使用吗?.. 36

S12500上由于拥塞导致端口丢包应当怎么处理?.. 36

S12500是否支持VLAN接口上的流量统计?.. 36

S12500出方向被QoS策略过滤的报文能够进行端口队列统计计数吗?.. 36

IRF模式下,流镜像和端口镜像有哪些限制?.. 36

12 QinQFAQ.. 36

什么是QinQ.. 36

S12500QinQ有几种实现方式?.. 36

QinQ主要解决哪些问题?.. 37

用户侧上来的报文已经有两层Tag,可否再做QinQ.. 37

流分类规则中service-vlan-idcustomer-vlan-id分别表示什么含义?.. 37

灵活QinQ中,外层Tagcos值是如何得到的?.. 37

灵活QinQ中可以修改内层Tagcos值吗?.. 37

S12500基本QinQ和灵活QinQ是否学习MAC.. 37

为何S12500与其他厂商设备QinQ对接会失败?.. 37

13 IRFFAQ.. 37

S12500可以与哪些产品组成IRF.. 37

S12500 IRF最多支持多少台成员设备?.. 38

配置IRF端口时,需要注意什么?.. 38

S12500 IRF支持哪些拓扑?.. 38

IRF支持跨成员设备的以太网聚合链路吗?.. 38

IRF支持将多条IRF物理链路与同一条IRF链路绑定吗?.. 38

组成IRF的成员设备编号可以相同吗?.. 38

组成IRF的成员设备上,哪些配置必须相同?.. 38

使能IRF增强模式后设备就不能配置三层以太网接口吗?.. 39

如何才能取消IRF增强模式?.. 39

配置LACP MAD时,对中间设备有要求吗?.. 39

为何在IRF模式下,全局使能STP之后,BFD MAD会不生效.. 39

为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的?.. 39

用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失?.. 39

为何IRF分裂后Slave会自动重启?.. 40

为什么IRF端口配置流量分担跨框转发不能达到线速?.. 40

为什么在IRF分裂之后Master执行save操作,Slave重启、重新加入IRF之后,IRF分裂之前的Slave业务配置仍在?   40

 


1  硬件类FAQ

S12500设备分哪几类产品

H3C S12500系列产品包括:H3C S12504H3C S12508H3C S12518

·     H3C S12504有两个主控板槽位,分别在0槽和1槽,25槽位是业务板槽位;

·     H3C S12508有两个主控板槽位,分别在0槽和1槽,29槽位是业务板槽位;

·     H3C S12518有两个主控板槽位,分别在0槽和1槽,219槽位业务板槽位;

各型号设备外观如下(从左至右依次为S12504S12508S12518):

图1 设备前视图

 

S12500是否支持PoE(以太网远程供电)

不支持。

S12500能否支持直流电源

可以。S12500系列目前支持的电源包括直流电源和交流电源。

S12500的电源模块是否支持热插拔

S12500系列的电源模块支持热插拔,只要电源模块的功率满足当前设备运行功率要求就能够保证S12500正常运行。

S12500电源模块风扇噪声大是否正常

S12500的交流电源模块无电流或者电流很小(小于5A)时,电源模块采用硬开关技术,发热大,这时风扇转速较高。当电源模块负载稍大、电流大于5A时,采用软开关技术,发热量变小,风扇转速会降低。但满载时,其输出功率大,内部发热大,风扇转速也很高。由于电源系统的备份作用,在位的电源模块风扇会根据自身温度调节自身风扇的转速,在一定的时间内出现轻载导致风扇转速高属于正常现象,电源模块也不会告警。如果电源模块发生故障,会主动上报故障告警。

S12500直流电源模块如果噪声很大,一般都是负载较高、发热量大造成的。

S12500电源模块输出电流很小是否正常

查看S12500电源模块输出电流时发现部分数值很小,甚至为0,如下:

<Sysname>display power-supply verbose

 

Power info on chassis 0:

System power-supply policy: enable

System power-module redundant(configured): 1

System power usable: 22000 Watts

System power redundant(actual): 2000 Watts

System power allocated: 6930 Watts

 

……

DC output current information:

Total current(A): 90.20

Branch   Value(A)

------   --------

1/1     0.00             ---- 显示输出电流 0

1/2      8.20

1/3      8.40

1/4      8.40

1/5      8.80

1/6      8.20

2/1      8.20

2/2      8.20

2/3      8.20

2/4      8.20

2/5      7.20

2/6      8.20

系统电源负载小于25%时,个别模块的输出电流数值相对其它电源模块可能会很小甚至为0,这种现象是正常的。这时该电源模块虽然几乎没有输出电流,但其仍旧具有备份的作用,当系统负载增加或者某个电源模块被拔出,电源监控软件会自动调整输出电流的大小,显示的value值也会相应增大。

如果随着系统负载增加或在用电源模块减少,某电源模块的输出电流并没有相应增大、始终接近0,那么此电源模块可能存在问题。

S12500交换网板是否支持热插拔

支持热插拔。

S12500是否支持主控板热备份

S12500支持主控板热备份,主用主控板故障时能自动切换到备用主控板而不中断业务。主备主控板运行的软件版本必须一致。也可以使用命令进行手工的主备倒换:

独立运行模式

[Sysname]slave switchover

Caution!!! Confirm to switch slave to master? [Y/N]:y

IRF模式

<Sysname>reboot chassis <id> slot <id>

手工倒换前备用主控板板必须已经将主用主控板信息备份完成,即处于实时备份状态。如果正在备份过程中,系统会提示倒换不成功,可以使用命令display switchover state查看备用主控板的状态:

<Sysname> display switchover state

如何查看S12500的单板序列号或者制造信息

可以在设备上用以下命令查看。

<Sysname>display device manuinfo

Chassis self

 Slot 0:

DEVICE_NAME          : LST1GT48LEC1

DEVICE_SERIAL_NUMBER : 210231A85N0099000041

MAC_ADDRESS          : NONE

MANUFACTURING_DATE   : 2012-10-21

VENDOR_NAME          : H3C

Slot 2:

DEVICE_NAME          : LST1GT48LEC1

DEVICE_SERIAL_NUMBER : 210231A85N0099000041

MAC_ADDRESS          : NONE

MANUFACTURING_DATE   : 2012-10-21

VENDOR_NAME          : H3C

S12500是否支持风扇调速

H3C S12500系列支持风扇的调速功能,能够根据机框内的温度高低来自动调整风扇运行转速。可以使用命令display fan verbose查看风扇转速等信息:

<Sysname>display fan verbose

Fan-tray verbose state on chassis 2:

Fan-tray 1:

Software version: 105

Hardware version: Ver.A

CPLD version: 002

Fan number: 12

Temperature: 37 °C

High temperature alarm threshold: 60 °C

Low speed alarm threshold: 750 rpm

Fan  Status      Speed(rpm)

---  ----------  ----------

 1   normal      4320

 2   normal      4440

 3   normal      4380

 4   normal      4740

 5   normal      4080

 6   normal      4440

 7   normal      4320

 8   normal      4320

 9   normal      4380

10   normal      4560

11   normal      4500

12   normal      4500

Fan-tray 2:

Software version: 105

Hardware version: Ver.A

CPLD version: 002

Fan number: 12

Temperature: 37 °C

High temperature alarm threshold: 60 °C

Low speed alarm threshold: 750 rpm

Fan  Status      Speed(rpm)

---  ----------  ----------

 1   normal      4320

 2   normal      4440

 3   normal      4380

 4   normal      4740

 5   normal      4080

 6   normal      4440

 7   normal      4320

 8   normal      4320

 9   normal      4380

10   normal      4560

11   normal      4500

12   normal      4500

LST2XP32非线速单板收敛情况是怎样的?

LST2XP32单板支持3210GE4:1收敛的非线速单板,其中用户端口号为1,5,9,13为一个收敛组;4,8,12,16为一个收敛组,2,6,10,14为一个收敛组,3,7,11,15为一个收敛组,其他的收敛组照此类推,每个收敛组共有10G带宽。

2  软件类FAQ

S12500BootWare是否支持向前兼容

S12500BootWare向前兼容因此升级软件后如果回退主机版本可以不回退BootWare

S12500如何查看当前运行的版本和运行时间

可以使用命令display version查看系统当前运行的主机程序版本、BootWare版本和设备运行时间。

S12500为何需要升级主机软件版本以及升级注意事项

为满足客户需求和解决问题,软件会不断的增加新功能和新特性、修正软件错误、优化程序以提高设备性能、提高设备稳定性、提高设备抗攻击能力等等。应用新特性以及避免已知的问题出现影响业务需要通过升级主机软件版本解决。

为避免升级后出现命令行兼容问题,需要核对升级后的配置和原有配置的差别。由于配置文件比较大,很难看出哪些配置信息没有被恢复,所以最好用文件对比工具(例如Beyond Compare)对升级前后的配置文件进行比较(不适合V5升级到V7的情况。V5升级到V7的方法请用户参见《S12500 V5V7版本升级指导书》)。具体方法如下:

(1)     升级前用命令save保存配置文件,通过FTP将配置文件下载到PC机;

(2)     升级完成等所有单板正常运行后,再用命令save保存配置文件,通过FTP将配置文件下载到PC机;

(3)     请通过文件比较工具对文件进行比较,确定哪些配置被没有正确恢复,然后通过手工配置。

S12500升级成功后主机软件文件是否可以删除

主机软件版本文件中包含主控板软件和业务板软件两部分,而主控板和业务板每次启动时都要读取,所以不能删除。

S12500如何查看已删除文件

S12500提供回收站功能,使用delete命令删除的文件会保留在回收站中,只有使用delete /unreserved命令才能彻底删除文件。可以使用undelete来恢复没有彻底删除的文件。

使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir /all命令才能显示回收站中的文件,这些文件的文件名被“[ ]”包含。

S12500如何清除回收站中的文件

S12500使用reset recycle-bin命令清除回收站中的文件彻底释放空间。如果回收站的中文件损坏则可以在命令后加force参数强制删除。

S12500是否支持热补丁

S12500支持热补丁功能。

S12500加载新的补丁需要删除原有补丁吗

S12500的新补丁都会包含原有补丁内容,在加载新补丁前需要手工删除存储介质中的原有补丁,不能够直接覆盖。

S12500设备的默认启动文件名是什么?

缺省情况下,S12500设备的启动文件为flash:/config.cfg

S12500加载补丁文件有哪些注意事项

需要确认要加载的补丁文件位于FLASHCF卡中。

设置的补丁加载目录和存放目录保持一致。

主备主控板上补丁文件存放目录保持一致,并且补丁文件都存在。

为何S12500无法显示已经保存的配置文件

当设备出厂后第一次启动的时候,是无法显示已经保存的配置文件的。

<Sysname>display startup

MainBoard:

   Startup saved-configuration file:          NULL

   Next startup saved-configuration file:     flash:/config.cfg

SlaveBoard:

   Startup saved-configuration file:          NULL

   Next startup saved-configuration file:     flash:/config.cfg

3  系统管理维护类FAQ

超级终端连接主控板的配置串口有时为何显示不正常

如果交换机上电后配置终端无显示信息,首先请排除以下方面的问题:

·       电源系统是否正常;

·       主控板是否正常;

·       是否已将配置电缆接到主控板的配置口(Console)。

如果以上检查未发现问题,很可能有如下原因:

配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符);

·       配置终端参数设置错误;

·       配置电缆本身有问题。

·       如果配置终端上显示乱码,很可能是配置终端参数设置错误

正确设置为:波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100

需要注意的是:对于SecureCRT终端软件,需要在连接设置时取消Flow-control中的DTR/DSR或者RTS/CTS,而SecureCRT的默认配置为勾选“RTS/CTS”。

S12500如何配置才能使用AUX登录

S12500可以通过Aux口登录设备,配置方法如下:

[Sysname]user-interface aux 0

[Sysname-ui-aux0] authentication-mode none

[Sysname-ui-aux0] user privilege level 3

如何清除Telnet进程?

通过在用户视图下执行命令free user-interface vty number可以清除Telnet进程。

S12500能支持Telnet用户名包含@字符吗

S12500不支持本地用户名包含@字符。

通过reset counters interface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化?

命令行端口上计数与通过MIB获取的计数有所不同。通过reset counters interface命令清除端口的计数时,虽然会清除接口管理模块对应接口上的计数信息,但并不会清除底层的硬件计数信息。通过MIB获取端口计数是通过获取底层硬件的计数器进行累加的,因此不会受到影响。

如何在BootWare中格式化FLASHCF

设备启动时根据提示按Ctrl + B进入bootrom菜单,选择当前操作的设备类型为FLASHCF卡,然后按键Ctrl + F进行当前存储器的格式化操作(缺省的当前存储器为Flash,如果要格式化CF卡,可以在BootWare菜单中修改当前操作的存储空间为CF)

=============<EXTEND-BOOTWARE MENU>===============

|<1> Boot System

|<2> Enter Serial SubMenu

|<3> Enter Ethernet SubMenu

|<4> File Control

|<5> Restore to Factory Default Configuration                              |

|<6> BootWare Operation Menu

|<7> Clear Super Password

|<8> Storage Device Operation

|<9> Product Special Operation

|<0> Reboot

============================================================================

Ctrl+Z: Access EXTEND-ASSISTANT MENU

Ctrl+F: Format File System

Enter your choice(0-9): 8

 

==============================<DEVICE CONTROL>==============================

|<1> Display All Available Nonvolatile Storage Device(s)                   |

|<2> Set The Operating Device

|<3> Set The Default Boot Device

|<0> Exit To Main Menu

============================================================================

Enter your choice(0-3): 2

 

Please set the operating device:

============================================================================

|Note:the operating device is cfa0                                         |

|NO.  Device Name  File System  Total Size  Available Space

|1    flash        VFS          132909056   132892672

|2    cfa0         FAT          1044549632  282378240

|0    Exit

============================================================================

Enter your choice(0-2):1

Set the operation device successful!

 

==============================<DEVICE CONTROL>==============================

|<1> Display All Available Nonvolatile Storage Device(s)                   |

|<2> Set The Operating Device

|<3> Set The Default Boot Device

|<0> Exit To Main Menu

============================================================================

Enter your choice(0-3): 0

 

===========================<EXTEND-BOOTWARE MENU>===========================

|<1> Boot System

|<2> Enter Serial SubMenu

|<3> Enter Ethernet SubMenu

|<4> File Control

|<5> Restore to Factory Default Configuration                              |

|<6> BootWare Operation Menu

|<7> Clear Super Password

|<8> Storage Device Operation

|<9> Product Special Operation

|<0> Reboot

============================================================================

Ctrl+Z: Access EXTEND-ASSISTANT MENU

Ctrl+F: Format File System

Enter your choice(0-9):

Warning:All files on flash will be lost! Are you sure to format? [Y/N]

如何进行开机前内存全面自检

在交换机上电后,还没有输出启动信息之前,按键Ctrl + T可进行内存5步测试;如果按键Ctrl + Y可进行9步内存全面测试。

五步测试结果显示如下:

%Jun  4 10:47:23:092 2013 H3C DEVM/5/SYSTEM_REBOOT: System is rebooting now.

DDR2 SDRAM test successful.

Press Ctrl+T to start five-step full RAM test...

Press Ctrl+Y to start nine-step full RAM test...

Running five-step RAM test...

This operation may take several minutes. Please wait...

DDR2 SDRAM dataline testing...                    [ PASS ]

DDR2 SDRAM addressline testing...                 [ PASS ]

Five-step RAM test succeeded.

System is starting...

九步测试结果显示如下:

DDR2 SDRAM test successful.

Starting Nine-Step ram test.

DDR2 SDRAM dataline testing...                    [ PASS ]

DDR2 SDRAM addressline testing...                 [ PASS ]

DDR2 SDRAM unit testing...                        [ PASS ]

Nine-Step ram test successful.

System is starting...

Booting Normal Extend BootWare

The Extend BootWare is self-decompressing.....................Done!

S12500主备倒换后MAC表、ARP表、路由表需要重新学习吗

MAC表项存在于业务板,主备倒换不需要重新学习,转发不受影响。

ARP表项在备用主控板上会进行备份,主备倒换不需要重新学习,转发不受影响。

FIB表在备用主控板上会进行备份,如果路由协议配置GRNSR,主备倒换之后路由协议不中断,路由表项重新学习,但转发不受影响;如果路由协议没有配置GR,对端设备协议中断,路由表项也会重新学习,导致转发受到影响。

为什么所有业务板没有正常运行前不能执行save命令保存配置文件

S12500的配置信息保存在Flash的配置文件中,单板启动时会读取配置文件恢复对此单板的配置信息,并在内存中保留一份当前运行的配置信息。在系统启动阶段,如果所有接口还没有正常运行,即配置文件还未完全恢复到内存中,此时执行命令save保存,就会以内存中不完整的配置信息覆盖配置文件,会造成部分配置信息丢失。

S12500管理以太网接口没有配置IP地址能够直接UP吗?

S12500的管理以太网接口只要二层连接就能够UP,且软件已经作了流量限制,不会因为报文冲击导致系统运行异常。

为什么使用TFTP获取S12500上的文件时传输到32M左右时失败

传输到32M左右中断和TFTP服务器的机制相关,和S12500不相关,TFTP协议规定每个块标记(2字节)是从065535,刚好32M;当传输到32M时,有些TFTP服务器的标记块到达FFFF后没有跳转到0000,也就没有再向S12500请求传输报文,所以传输中断,请更换TFTP服务器软件。

S12500是否支持作为TFTP服务器

不支持。

设备是否可以快速上下电

建议上下电的时候应该逐一关闭所有电源开关,并等待3-5S待机框内电源释放干净以后再依次开启所有电源开关。

流量转发到备用主控板管理以太网接口后设备如何处理

这类报文还是会占用CPU处理的,但是会进行判断,如果是备用主控板,把这类报文直接丢弃,主用主控板才会对报文上送平台做进一步处理;

对于主控板CPU接收到管理以太网接口(不管主用还是备用)报文会有每秒钟最多处理2000个报文的限制。

为什么sflow的会话包里面,input interface value(入端口采样个数)或output interface value(出端口采样个数)都会有一个是0的接口

入方向采样的报文只有入端口报文个数,没有出端口报文个数信息,出方向采样的报文只有出端口的报文个数,没有入端口的报文个数信息。

图2 入方向采样

 

图3 出方向采样

 

4  网络安全与防攻击FAQ

S12500支持哪些攻击防御功能?

表1 S12500攻击防御功能简介

攻击防御分类

攻击防御措施

功能描述

链路层攻击防御

MAC地址防攻击

设定端口可以学习到的最大MAC地址数目,避免被大量源MAC地址频繁变化或者VLAN频繁变化的报文攻击

STP的防攻击

主要的防护措施有BPDU保护、根保护、环路保护、防TC报文攻击、防止STP协议状态混乱

ARP攻击防御

ARP源抑制功能

用于防止设备被固定源发送的IP报文攻击

ARP黑洞路由功能

用于防止设备被不固定的源发送的IP报文攻击

ARP主动确认功能

用于防止攻击者仿冒用户欺骗设备

MAC地址固定的ARP攻击检测

用于防止设备被同一MAC地址源发送的攻击报文攻击

ARP报文源MAC一致性检查功能

用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击

IP层攻击防御

URPF检查

用于防止基于源地址欺骗的网络攻击行为

ICMP防攻击

为了防止ICMP分片报文攻击,用户可以关闭设备的ICMP分片报文转发功能,对于收到的ICMP分片报文不进行转发。

TTL报文防攻击

通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击

传输层攻击防御

防止Syn-flood攻击

当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击

防止Naptha攻击

设备周期性地检测处于各TCP连接状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数,则加速该状态下TCP连接的老化,降低了服务器遭受Naptha攻击的风险

S12500支持SSH的版本号

版本/功能

SSH1版本

SSH2版本

S12500

只支持作为服务器端

支持作为服务器端和客户端

 

S12500是否支持本地用户先认证然后在远程进行Radius认证

H3C S12500不支持先本地认证再RADIUS认证,只能先RADIUS认证再本地认证,而且是必须要在RADIUS无响应的情况下才执行本地认证。

为何S12500登录采用Radius认证,服务器采用ACSconsole方式无法登录

需要将ACS上面的Login-service选项去除,这样才可以允许Console口用户登录。

为何S12500RadiusACS对接时,用户是否只能控制到一级权限?

下面三项中的任意一项没有设置正确,就会出现问题描述的现象:

·     S12500配置RADIUS并和思科的ACS对接,需要在设备上配置server-typeextend

·     ACS上的2011/002私有属性没有配置完整。

·     ACS上没有配置Login-service属性。

S12500HWTACACS认证失败后能在本地继续认证吗?

S12500支持在HWTACACS服务器不能连接后启用本地认证方式,但对于HWTACACS服务器正常,但认证失败(即用户名/密码错误)的情况则不会启用本地认证。在需要启用这个功能的domain下在HWTACACS scheme后配置local即可,类似如下命令:

domain isp-name

authentication default hwtacacs-scheme hwtacacs-scheme-name local

S12500支持和第三方服务器TACACS对接吗

只要第三方的TACACS服务器按照标准RADIUS协议实现,S12500即可和该服务器对接,包括思科的ACS以及Free TACACS等开源的TACACS服务器。

S12500配置RADIUS认证时是否需要配置server-type extend类型

S12500如果配置RADIUS认证时需要指定访问路径而不是缺省的Flash或者Telnet用户需要下发权限级别而不是缺省的0级权限,则需要配置server-typeextend,其他情况可以不用配置

用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项?

这取决于服务器设置,S12500不关注“login-service”选项,但对“service-type”需要处理。

S12500如何设置命令级别

可以使用命令user privilege level X配置从当前用户界面登录系统的用户所能访问的命令级别。

本地用户下通过authorization-attribute level命令来决定;

支持使用HWTACACS计费功能在服务器上配置命令的级别。如果支持HWTACACS计费功能,通常在实际网络中采用在服务器上设置命令级别。

S12500 HWTACACSCiscoACS的级别是如何对应的?

H3C S12500HWTACACS0~2级对应ACS0~2级,ACS316级对应HWTACACS3级。

用远程认证方式,telnet到设备时,VTY用户界面下和RADIUSTACAS服务器上用户名都设置了权限,以哪个为准?

先以RADIUS或者TACAS服务器上用户名配置权限为准,再以本地配置的VTY用户界面下权限为次之。默认权限都是0级。

例如:

如果VTY 配置了3级权限,服务器上配置的用户名没有权限,那么使用用户名telnet登录后只有0级权限。

如果VTY没有配置权限或配置了任意权限,服务器上配置的用户名有3级权限,那么使用用户名telnet登录后只有3级权限。

实际上VTY用户界面下配置的权限是在不认证情况下,即在设备配置了 [Sysname-ui-vty0]authentication-mode nonepassword时才发生作用的。

S12500作为网关设备,如何配置防止下面用户的仿冒网关攻击?

如果S12500收到有设备冒充自己的ARP报文,会主动发送一个免费ARP报文,来修改下挂被欺骗的ARP表项。如果攻击报文较多,可以查找出攻击报文的入端口,抓取报文,获取报文特征,再下发ACL规则进行过滤。

S12500支持哪些OAA单板

S12500支持防火墙(FW)类型、NetStreamNSM)类型、负载均衡(LB)类型、千兆入侵防御(IPS)类型和应用控制网关(ACG)类型OAA单板。

5  网络接入类FAQ

S12500的端口计数值最大到几位?

H3C S12500的端口计数最大64bit,超过64bit范围便重新计数。

S12500同一接口上单播报文、广播报文和组播报文是否能够同时进行抑制

可以同时抑制,但需要对单播报文、广播报文和组播报文分别配置,并且抑制值必须相同。

·     [Sysname-GigabitEthernet1/5/0/24] unicast-suppression  [pps | kbps] xxx

·     [Sysname-GigabitEthernet1/5/0/24] multicast-suppression  [pps | kbps] xxx

·     [Sysname-GigabitEthernet1/5/0/24]broadcast-suppression  [pps | kbps] xxx

使用命令display interface显示的端口统计中INPUTOUTPUT中各错包字段的含义

表2 INPUT

 

 

runts

超短帧,即端口收到帧长小于64字节,且没有CRC校验错误的帧;

giants

超长帧,即端口收到帧长大于允许通过的最大长度,且没有CRC校验错误的帧;

throttles

超小而且CRC错误的帧;

CRC

校验和错误,即端口收到的帧CRC校验和错误;

frame

错误帧,即端口收到未知错误的帧;

overruns

overrun帧,由于端口输入速率超过接受方处理能力,导致丢包,在网络出现拥塞时会导致overrun的出现;

aborts

输入描述符错误,S12500交换机不存在该错误帧;

 

表3 OUTPUT

 

 

underruns

帧下溢错误,S12500交换机不存在该错误帧;

buffer failures

缓冲失败,S12500交换机不存在该错误帧;

aborts

帧丢失,当网络存在拥塞时,导致报文不能从MAC层转发,会出现aborts错误;

deferred

帧延时,半双工模式下,在以太网帧数据部分的前64字节进入线路后,由于检测到冲突,当时没有发出的包;

collisions

冲突帧;

late collisions

滞后冲突帧,帧在MAC层中缓存,被滞后发送;

lost carrier

滞后发送帧,S12500交换机不存在该错误帧;

no carrier

载波丢失帧,S12500交换机不存在该错误帧;

 

output error的情况很少会碰到。大部分问题都是input error,如果收到runtsgiantsthrottlesCRCframe等错帧,需要检查对端设备或者中间的传输链路是否存在问题;如果收到overruns等错帧,需要确定本端的链路带宽是否足够。

S12500是否支持jumbo帧?

S12500支持Jumbo帧设置,最长可以设置到9216字节,对于LST1XP16LEB1LST1XP16LEC1单板的jumbo帧最大则为8168字节。

S12500各业务板中MAC地址表内容是否一样?

各业务板中MAC地址表项内容不一定相同。每块业务板只包含端口所属VLANMAC地址;如果VLAN分布在多个业务板上,则MAC地址需要在业务板间同步。

动态MAC地址表项的老化时间是多少,如何老化?

动态MAC地址表项的老化时间默认5分钟,命令mac-address timer aging可以修改MAC地址动态表项的老化时间。

MAC地址的老化时间更新机制:某条数据流进入端口后,MAC地址进行动态学习。如果该数据流一直存在,则此MAC地址老化时间会一直刷新,不会进行老化。当数据流停止,MAC地址经过老化时间后自动老化。

目前不支持对某个动态MAC地址老化剩余时间的查询。

MAC地址学习数目设置为0业务能否正常转发

MAC地址学习数目设置为0后,端口的MAC地址不学习,缺省情况下报文仍然会采用广播的方式在VLAN内转发。如果需要报文不转发,可以在端口/聚合接口/VLAN视图下配置达到MAC学习数目后不转发:mac-address max-mac-count disable-forwarding

端口下配置了不学习MAC功能(mac-address max-mac-count 0),但是查看端口的MAC表项,还是存在MAC表项信息

这些MAC表项是在配置MAC不学习之前学习到的,在配置不学习MAC命令时软件不会主动删除这些MAC表项,需要等到时间后自行老化。

为什么一个MAC地址会学习到多个VLAN中?

S12500MAC地址学习是基于MACVLAN方式进行学习的,如果多个VLAN收到相同MAC地址的报文,则多个VLAN下都会学习到相同的MAC地址。

S12500链路聚合时流量如何分担

通过命令行link-aggregation load-sharing mode可以改变负载分担的模式、灵活地实现聚合组流量的负载分担,系统利用Hash算法来计算负载分担的模式,该算法可依据报文中携带的MPLS标签、服务端口号、IP地址、MAC地址、报文入端口等信息及其组合进行计算。

S12500的静态MAC是否可以在聚合口上配置

S12500的静态MAC可以配置在聚合端口上。

S12500设备配置链路聚合后是否还支持RRPP

支持

如果一条链路的两条光纤都是断开的,然后连接上其中一根光纤,DLDP是否起作用

在链路两边状态都是down的情况下,DLDP邻居没有建立,DLDP不起作用。

设备显示的光模块光功率信息有哪些

S12500支持光模块的诊断功能,当光模块接收或发送光功率异常时,有可能导致端口DOWN,需要检查两端光模块类型是否匹配,链路是否正常;光功率的常见信息说明如下:

·     RX power is high!”――光模块接收光功率高

·     RX power is low!”――光模块接收光功率低

·     RX power is normal!”――光模块接收光功率正常

·     TX power is high!”――光模块发送光功率高

·     TX power is low!”――光模块发送光功率低

·     TX power is normal!”――光模块发送光功率正常

端口速率百分比的计算公式

端口速率百分比是端口实际流量和端口总带宽的比值,用来描述端口带宽的实际使用率。端口速率百分比的计算主要在于要加上帧间隙和前导码:

(ulActualSpeed + 20(前导码+帧间隙)*ulPktSpeed)*8/ulRatedSpeed

ulActualSpeed为下面显示的字节速率(红色字体),ulPktSpeed为下面显示的报文速率(蓝色字体),ulRatedSpeed为端口速率,比如10GE端口则为10 000 000 000 bps

[Sysname-Ten-GigabitEthernet5/0/2]display interface Te5/0/2

 Ten-GigabitEthernet5/0/2 current state: DOWN

 IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 00e0-fc00-0000

 Description: Ten-GigabitEthernet5/0/2 Interface

 Loopback is not set

……

 Peak value of input: 0 bytes/sec, at 2000-04-26 12:00:32

 Peak value of output: 0 bytes/sec, at 2000-04-26 12:00:32

 Last 300 seconds input:  0 packets/sec 0 bytes/sec      0%

 Last 300 seconds output:  0 packets/sec 0 bytes/sec     0%

 Input (total):  0 packets, 0 bytes

          - unicasts, - broadcasts, - multicasts

 Input (normal):  0 packets, 0 bytes

          0 unicasts, 0 broadcasts, 0 multicasts

 Input:  0 input errors, 0 runts, 0 giants, 0 throttles

          0 CRC, 0 frame, 0 overruns, - aborts

          - ignored, - parity errors

 Output (total): 0 packets, 0 bytes

          - unicasts, - broadcasts, - multicasts, - pauses

 Output (normal): 0 packets, 0 bytes

          0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses

 Output: 0 output errors, - underruns, - buffer failures

          0 aborts, 0 deferred, 0 collisions, 0 late collisions

          - lost carrier, - no carrier

GE端口与10GE端口聚合,成员端口选中情况是怎样的

端口聚合分为两种模式:静态聚合和动态聚合。下面在端口优先级相同的情况下分别就两种模式介绍端口选中情况:

·     静态聚合:

由于静态聚合按照端口的全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且第二类配置(关于“第二类配置”的定义,请参见二层技术-以太网交换配置指导中的“以太网链路聚合”)与对应聚合接口相同的端口作为该组的参考端口,所以10GE端口会选择为参考端口。故最终10GE端口为选中端口,GE端口为非选中端口。

·     动态聚合:

动态聚合比较的是端口号,端口号最小的作为参考端口。该端口号并不对应用户端口号,而是一个16bit的索引。可通过命令display link-aggregation member-port查到。所以是GE端口还是10GE端口成为选中端口取决于具体的端口号。

[Sysname-Ten-GigabitEthernet15/0/1]dis link-aggregation member-port Ten-GigabitEther

net 15/0/1

Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,

       D -- Synchronization, E -- Collecting, F -- Distributing,

       G -- Defaulted, H -- Expired

 

Ten-GigabitEthernet15/0/1:

Aggregation Interface: Bridge-Aggregation5

Local:

    Port Number: 105

    Port Priority: 32768

    Oper-Key: 4

    Flag: {AC}

Remote:

    System ID: 0x8000, 3822-d659-7c00

    Port Number: 112

    Port Priority: 32768

    Oper-Key: 1

    Flag: {AC}

Received LACP Packets: 3 packet(s)

Illegal: 0 packet(s)

Sent LACP Packets: 3 packet(s)

注意:IRF物理端口由于是产品自行对端口进行加入/退出聚合组操作的,所以是不区分GE10GE口的。IRF物理端口同时有GE10GE端口时要保证经过任何一个IRF物端口的流量不大于GE流量,否则当流量到GE端口时会出现丢包。

S12500与其他设备端口对接,为什么对端DOWN、本端没有DOWN

对于GE光口互连,如果配置了强制速率双工,只要S12500端口可以接收光信号,端口就可以UP;如果是自协商,则如果对端DOWN,本端也应该会DOWN

对于10GE光口互连,如果是S12500之间互连,那么端口MAC层之间会有协商,一端如果检测到Local Fault,该端口会DOWN并且会发送Remote Fault通知对端,对端检测到Remote Fault也会将本端口DOWN掉。如果是S12500与其他设备端口对接,对端端口DOWN,但是发光是好的,并且没有发送Remote Fault,则本端不会DOWN掉。

环路监测功能如何使用,有哪些注意事项?

·     环路监测功能原理

设备通过发送环路监测报文、并监测其是否返回本设备以确认是否存在环路。若某端口收到了由本设备发出的环路监测报文,就确认该端口存在环路。此功能不需要下游设备感知和配合。

环路监测是基于VLAN进行的,但不排除存在因QinQVLAN映射等特性的配置错误而产生环路的情况,也不能排除互连端口的PVID配置的不一样,导致的跨VLAN环路(尽管发出和收到的报文所携带的VLAN信息不同,但仍认为存在环路)。

·     注意事项

只建议针对可疑VLAN配置,或者下挂设备比较多可能存在环路的VLAN,不建议对所有VLAN配置,避免占用大量系统资源。如果规划链路本身就是要冗余备份的,配置STP即可,而不是环路检测。

环路监测和STP不冲突,但我们建议优先选择单独配置STP

环路监测的好处:只要环路中一台设备配置就可以监测到环路,而STP需要所有设备参与。但我们建议默认使用STP来检测整个网络的环路,因为环路检测无法找到环路原因,只能检测出环路,而STP则从全局网络拓扑的角度出发,来切断环路的可能,且链路之间可以冗余备份切换。我们仅仅建议在故障排查的时候,使用环路检测来快速找到环路的端口。如果两者配合使用,环路监测也不要配置shutdown模式,否则环路检测的shutdown端口的动作可能会干扰到STP的动作。

如果VLAN内已使能了环路监测功能,那么在属于该VLAN的端口上不建议再配置端口镜像功能,否则可能引起环路监测功能出错。

配置loopback-detection action none后,监测到环路会打印logtrap,不解决环路。但注意如果一旦环路长期没有解决,则环路检测报文本身可能会加剧这种环路的广播流量。

配置loopback-detection action shutdown,在使能了环路监测的vlan内,所有收到“源MAC是本设备桥MAC的报文”的端口都会被down掉,即这个VLAN的所有环路端口都会DOWN掉了,而STP则只会DOWN掉少量的端口来保证整个网络没有环路。且除非用户通过undo shutdown命令进行手工开启,否则被环路监测Shutdown模式所关闭的端口将一直维持关闭状态,这可能导致该端口上流量中断;最好有管理员在场,解决环路问题后undo shutdown端口。

1825及之后的版本支持MAC地址迁移日志上报功能,通过此功能也可以发现可能存在的二层环路,且对业务无影响。

6  STP/RSTP/MSTP FAQ

S12500支持的STP协议有哪些?

S12500支持现有标准生成树协议:STPRSTPPVSTMSTP,默认使用MSTP协议,兼容STPRSTP

·     STPSpanning Tree Protocol),生成树协议;

·     RSTPRapid Spanning Tree Protocol),快速生成树协议,兼容STP

·     MSTPMultiple Spanning Tree Protocol),多生成树协议,兼容STPRSTP

·     PVSTPer VLAN Spanning Tree,每VLAN生成树)则可以在每个VLAN内都拥有一棵生成树,能够有效地提高链路带宽的利用率。

业界有哪些生成树协议

表4 业界生成树协议介绍

协议全称

中文名称

标准

目的MAC

优点

缺点

Spanning Tree Protocol

生成树协议

IEEE802.1d

01-80-c2-00-00-00

消除回路,阻止广播风暴,链路备份

收敛慢

Rapid Spanning Tree Protocol

快速生成树协议

IEEE802.w

01-80-c2-00-00-00

改进收敛速度(可选和备份端口、点对点链路、边缘端口)

整网只有一颗树,拓扑改变影响大;TRUNK口产生环路;链路阻塞带宽浪费

Per VLAN Spanning Tree

VLAN生成树协议

Cisco

01-00-0c-cc-cc-cd

实现VLAN认知和负载均衡

VLAN通信量大;不兼容STP/RSTP

Per VLAN Spanning Tree+

改进VLAN生成树协议

Cisco

01-00-0c-cc-cc-cd

VLAN1运行STP协议,其他VLAN上运行PVST协议

VLAN通信量大

Multi-Instance Spanning Tree Protocol

多实例生成树协议

Cisco

01-80-c2-00-00-00

实现VLAN认知和负载均衡;低CPU占用率

不兼容STP/RSTP/PVST协议

Multi-Instance Spanning Tree Protocol -- Per VLAN Spanning Tree+

多实例生成树协议和改进VLAN生成树协议中间模式

Cisco

01-80-c2-00-00-00

MISTPPVST+中间模式,兼容MISTPPVST+

私有协议不便于普及

Multiple Spanning Tree

多生成树协议

Cisco

01-80-c2-00-00-00

实现VLAN认知和负载均衡;低CPU占用率;端口快速切换;可以向下兼容STP/RSTP/PVST+,发送Cisco自定义报文格式

不兼容IEEE802.1s标准MSTP报文格式

Multiple Spanning Tree Protocol

多生成树协议

IEEE 802.1s

01-80-c2-00-00-00

实现VLAN认知和负载均衡;低CPU占用率;端口快速切换;可以向下兼容STP/RSTP/PVST+,发送标准报文格式

 

 

STP拓扑变化时对ARPMAC地址如何处理

STP拓扑变化会及时删除端口上的MAC表项;

STP拓扑变化会将对应的ARP表项置为无效表项,同时发出ARP请求报文,如果收到ARP回应报文则会更新ARP表项,否则删除对应的ARP表项;

如果STP拓扑变化之后又重新学习到了MAC,这个MAC也会同时更新MAC对应的ARP表项。

MSTP TC BPDU报文产生的条件是什么

依据IEEE Std 802.1s MSTP标准协议,如下三个条件同时成立时端口会产生TC

·     端口不是stp edged port

·     端口角色从Alternate/Backup/Disabled转化成Root/Designated/Master

·     端口状态从Discarding/Learning转化成Forwarding

上述条件一样适用于我们的STP模式和RSTP模式。实际网络中如下几种触发因素导致STP重计算时可能产生TC

·     设备故障或恢复;

·     端口链路状态变化;

·     设备配置改变;

·     BPDU收发出现不正常。

为何有时S12500设备MSTP配置正确,但是MSTP状态却错误?

S12500运行在MSTP模式时,端口可以有两种工作模式:STP兼容模式、MSTP模式。如果端口连接到运行STP的交换机,端口会自动迁移到STP兼容模式,但是端口连接设备改成MSTP设备后,端口不会主动切换回MSTP模式,此时在MSTP计算时就会出现错误,需要在该端口视图下配置stp mcheck 命令才能让MSTP运行正常。在应用MSTP配置时需要注意,更改过STP Mode后需要在端口应用stp mcheck 命令。

RSTPMSTP是否都有TCN报文

RSTP没有TCN报文,当拓扑结构发生改变时,RSTPBPDU中的TC位置1,然后向根端口发送。

S12500和思科设备组网,在S12500端口去使能MSTP时,思科设备出现端口DOWN

这是因为S12500去使能MSTP后会透传思科设备的STP报文,思科设备在收到自己发送出去的STP报文后将端口DOWN掉。

S12500MSTP如何和思科设备对接以及注意事项

S12500可以与思科设备的MSTPPVST+在MSTI 0对接,但是不能与PVST对接。由于思科设备采用的MSTP实现和我司采用的不一致,所以尽管域配置信息相同,双方设备还是都认为自己是MSTP的域根,导致两台设备不能在同一个域中,即两台设备之间实际上运行的是RSTP

S12500能够支持和思科设备进行MSTP的对接,但是必须在端口视图下配置:

stp config-digest-snooping

S12500能够根据收到的STP报文自动进行调整和适应,需要在端口视图下配置:

stp compliance auto

·     注意一

如果和S12500对接的设备是发送和接收标准格式的802.1s报文,要求S12500也收发标准格式的802.1s报文。在S12500的端口上面配置stp compliance dot1s,该端口就可以发送和接收标准的802.1s格式报文。

·     注意二

stp config-digest-snooping命令如果只是端口配置了,全局没有使能此命令,摘要侦听不生效。如果接的是其他厂商设备,可能导致认为是在不同的域中。

摘要侦听功能一定要在域内所有与其他厂商相连的交换机的域配置完全相同的条件下使能,否则可能因为各交换机VLAN与实例映射关系不一致导致广播风暴。

在域内某些交换机使能摘要侦听功能的情况下,不能直接更改域配置。请在更改域配置之前去使能该域内所有交换机的摘要侦听功能,否则在更改域配置的过程中可能因为各交换机VLAN与实例映射关系不一致导致广播风暴。

使能摘要侦听功能后,交换机内一直保存着最新接收的配置摘要,即使使能摘要侦听功能的端口失效,此前接收的配置摘要仍然生效。

必须在使能端口摘要侦听特性后,才可以使能全局摘要侦听特性。

必须是在与其他厂商的交换机相连时才使能,否则不必要使能摘要侦听特性。

使能摘要侦听特性时要求与其他厂商的交换机配置完全相同。

域内与其他厂商交换机互连的端口必须全部使能摘要侦听特性。

在域内的边界端口不允许使能摘要侦听特性。

7  IP转发业务类FAQ

S12500是否支持在物理端口上配置IP地址

S12500支持在物理以太网端口上配置IP地址,但要先使用port link-mode route命令设置以太网接口工作在三层模式。缺省情况下以太网接口工作在二层模式。

S12500是否支持VLAN接口添加从地址

S12500支持VLAN接口配置从地址,从地址和主地址的功能基本一致,唯一需要注意的从地址不支持组播,使用从地址网段用户不能正常点播组播业务,从地址也不支持建立OSPF邻居。另外,任何三层接口,比如三层以太网接口(子接口)、三层聚合接口(子接口)等,都支持配置从地址。

VLAN接口主地址删除后,从地址是否能正常工作?

在删除主IP地址前必须先删除对应的所有从IP地址(不管是VLAN接口还是三层接口)。VLAN接口主地址删除后,从地址无法正常工作。

[Sysname-Vlan-interface1]undo ip address 1.1.1.1 24

Warning: Must delete sub address before deleting primary address!

VLAN接口MAC地址有何作用?

S12500判断报文是进行二层转发还是三层转发,在端口设置为桥模式时(配置为port link-mode bridge)是根据报文的目的MAC地址是否是VLAN接口MAC地址。如果报文目的MAC地址是接口MAC地址,则该报文进行三层转发或者是MPLS转发;否则,进行二层转发。

S12500ARP表项超过规格后会发送TRAP告警信息吗

目前ARP表项在超过规格后不支持发送TRAP,但在日志中会打印资源不足消息。

%Oct  5 09:53:33:655 2010 H3C DRVL3/3/DRVL3_LOG_EMERG: No enough resource!

S12500等价路由负载分担方式是怎样实现的?

基于报文的目的MAC、源MAC、源IP、目的IPTCP/UDP源目的端口等信息进行负载分担。用户可以根据需要调节等价路由负载分担的方法,具体方法同聚合负载分担调节方法,参见“二层技术-以太网交换配置指导”的“链路聚合配置”(对应命令:link-aggregation load-sharing mode)。

说明:通过link-aggregation load-sharing mode命令配置链路聚合负载分担类型时,除mpls-label1mpls-label2mpls-label3per-packet之外的所有其他分担类型对单播流量的等价路由负载分担也会生效,即等价路由流量会按照这些分担类型进行负载分担;链路聚合支持per-packet逐包分担,而等价路由是不支持的。

S12500是否支持带权重的路由分担方式

不支持。

S12500VRRP监视接口功能有何作用

VRRP的监视接口功能在被监视的接口处于DownRemoved状态时,拥有这个接口的交换机的优先级会自动降低一个数额(value-reduced),可能导致备份组内其他交换机的优先级高于这个交换机的优先级,从而使得其他优先级高的交换机转变为MasterS12500只能监视三层以太网接口、VLAN接口、三层聚合接口,如果VLAN接口对应的VLAN中包含多个物理端口,只要有1个端口是UP就不会降低优先级。

S12500 VRRP是否支持在Master上配置Track项关联某个物理端口

支持。VRRP可以通过Track项关联,跟踪某个物理端口状态来调整VRRP的优先级。

S12500的路由协议下发的路由和ARP主机路由哪个优先?

S12500的路由协议(比如:BGP/OSPF/ISIS/RIP)下发的32位掩码路由的优先级要比ARP主机路由优先级高。

DHCP服务器检测功能在S12500作为二层设备的情况下能否有效?

无效。

使能/禁止伪DHCP服务器检测功能时,必须要DHCP模块才能处理(DHCP服务器和DHCP Relay都可以)。如果S12500只做二层转发,DHCP报文上不了CPU,则S12500无法进行伪DHCP服务器的检测。

S12500如何处理超过1500字节的ICMP PING报文

S12500 CPU对报文长度(包含IP头)超过软件设置的MTU(缺省为1500字节)ICMP PING报文,采用分片方式发送,如果设置-f(不分片)标记,则报文无法对外发送。

如果S12500单板接口上配置了允许jumbo帧通过,则设备可以接收超过1500字节的ICMP报文,且该报文可以上送CPU,同时设备也可以回应该ICMP报文,但是如果回应报文长度超出1500字节,也会被分片。

S12500ICMP PING报文发送时间间隔能否设置

S12500如果是回应对方的PING报文,CPU收到以后就直接回应;

如果是S12500发出ICMP PING报文,缺省情况下收到回应后马上发送下一报文;如果没有收到对方的回应,在达到超时时间后发送下一报文,超时时间可以设置,缺省为2秒;

如果设置了ping –m interval参数,则报文在收到回应后间隔interval时间后发送下一ICMP请求。

使用URPF功能需要注意什么

URPF只在VLAN接口下支持,三层以太网接口和三层聚合口等都不支持;若等价路由下一跳表项数超过8条,则设备不支持URPF检查。当系统工作模式为标准模式时,如果VPN实例没有配置保留VLAN,则该VPN实例绑定的私网VLAN接口上不能配置URPF功能,URPF检查仅对接口收到的报文有效。

MTU值的设置如何实现

MTU设置对于IPV4软件转发有效,硬件转发无效;IPV6支持软硬件设置,对软硬件转发都有效,但设备最多只能设置14MTU值。IPV4IPV6两种设置分别如下:

[Sysname-Vlan-interface30]mtu ?

INTEGER<64-9198>  MTU value

[Sysname-Vlan-interface30]ipv6 mtu  ?

INTEGER<1280-9198>  MTU (bytes)

S12500 OAA单板的内联口的链路类型为TRUNK,将其加入某个VLAN并配置IPv6地址,为什么会产生地址冲突

在该VLAN接口上配置IPv6地址后,接口会发送IPv6 DAD协议报文(NS消息)进行重复地址检测,该报文先被送到OAA前插板处理,处理完后被送到OAA后插板处理,处理完后再上送CPU,此时设备会将上送CPU的报文当作NA消息处理,所以认为地址冲突。

S12500从什么版本Super VLAN开始支持IPv6

17XX18XX版本Super VLAN支持IPv6

8  IP路由类FAQ

S12500支持黑洞路由吗

所谓黑洞路由就是当去往某一目的地的静态路由出接口均为NULL 0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。在网络遭受IP攻击的情况下,可以通过配置黑洞路由丢弃去往目的地址的报文,配置举例如下:

<Sysname>system-view

[Sysname]ip route-static 1.1.1.1 32 null 0 preference 1

S12500OSPFCost值是否与二层以太网接口有关

S12500OSPF Cost值与二层以太网接口速率无关,默认为10,配置在VLAN接口下。

不同路由协议及其发现路由的优先级是怎样的?

到相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但并非这些路由都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。这样,各路由协议(包括静态路由)都被赋予了一个优先级,这样当存在多个路由信息源时,具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级(数值越小表明优先级越高)。

表5 路由协议及其发现路由的优先级

路由协议或路由种类

相应路由的优先级

DIRECT

0

OSPF

10

IS-IS

15

STATIC

60

RIP

100

OSPF ASE

150

OSPF NSSA

150

IBGP

255

EBGP

255

UNKNOWN

256

 

其中:0表示直连路由,256表示任何来自不可信源端的路由。

设备打印OSPF CONFIG ERROR有哪些原因

设备打印ospf config error的原因通常为配置错误导致,有如下两种情况:

交换机同一VLAN广播域内存在其他设备配置了相同网段的接口地址,但是两台设备上的区域不相同。

对端设备配置了Virtual-link到本设备,但是本设备没有配置对应的Vritual-link邻居,在收到对端Vlink发送的报文时发送Trap信息。

什么情况下OSPF ERROR 记录中有LS ACK: Bad ack计数

在链型组网SwitchA----SwitchB----SwtichCSwitchASwitchBSwitchC简称为ABC)情况下:

(1)     A 发送新的LSA-1B B转发送至C,并加重传列表,C收到更新,但尚未回复ACK

(2)     A 再次更新LSA-1BB再次转发至C,并加重传列表,由于尚未收到C的回复ACK,因此替换掉老的重传结点,发送UpdaterC

(3)     C 没收到最近的LSA,发送上次更新的ACK

(4)     B 收到的ACK与重传列表上的比较,发觉新旧不一致,就做计数,记录错误码:Bad ACK.

S12500静态路由下一跳失效时路由为什么会迭代到黑洞路由?

配置如下:

ip route-static 110.75.4.0 23 Null0 preference 240 description HZCM4_T18_VIP_BGP_Advertise

ip route-static 110.75.4.0 24 110.75.0.234 description HZCM4_T18_VIP

ip route-static 110.75.4.0 24 110.75.0.254 preference 240 description HZCM4_T18_VIP

110.75.4.0的路由下一跳110.75.0.234失效的时候,到达110.75.4.0的下一跳的出接口为NULL0

dis fib 110.75.4.0

Destination count: 1   FIB entry count: 1

Flag:

  U:Useable   G:Gateway   H:Host   B:Blackhole   D:Dynamic   S:Static

  R:Relay

Destination/Mask   Nexthop         Flag    OutInterface    InnerLabel Token

110.75.4.0/24      110.75.0.234    USB     NULL0           Null       Invalid

通过在配置静态路由时指定出接口可以避免路由迭代,这样在下一跳110.75.0.234不可达时,会重新选择另一条路由,配置如下:

ip route-static 110.75.4.0 24 vlan-interface 100 110.75.0.254 preference 240 description HZCM4_T18_VIP

OSPF Router ID冲突的日志信息如何产生的?

Trap格式:

Originate new LSA AreaId  [STRING]  LsdbType  [STRING]  LsdbLsid  [STRING]  LsdbRouterId  [STRING]  Router  [STRING] .

变量格式:

·     $1: Area ID

·     $2: LSDB Type

·     $3: LSDB link state ID

·     $4: LSDB Router ID

·     $5: Router ID

解释:

频繁打印上面的生成新的LSA信息时,可能是OSPF router ID冲突,也可能是网络振荡导致的,需要进一步排查。

举例:

#Sep 14 11:28:58:993 2012 H3C OSPF/6/ORIGINATE_LSA: OSPF TrapID1.3.6.1.2.1.14.16.2.12<ospfOriginateLsa>: Originate new LSA AreaId 0.0.0.0 LsdbType 1 LsdbLsid 11.11.11.11 LsdbRouterId 11.11.11.11 Router 11.11.11.11.

另,如果是直连的OSPF router ID冲突,有如下trap信息打印:

Trap格式:

Non-virtual Interface [STRING] index 0 Router [STRING] received error packet from [STRING] PacketType 1.

变量格式:

·     $1interface ID

·     $2Router ID

·     $3peer interface ID

解释:

直连的OSPF router ID冲突,显示接收到错误的报文,报文类型为1hello报文)。

举例:

#Sep 17 10:59:49:558 2012 H3C OSPF/4/IF_BAD_RX: OSPF TrapID1.3.6.1.2.1.14.16.2.8

<ospfIfRxBadPacket>: Non-virtual Interface 10.10.30.2 index 0 Router 11.11.11.11 received error packet from 10.10.30.1 PacketType 1.

9  MPLSFAQ

S12500Juniper MX900设备VPLS对接注意事项

PW封装模式设置为bgp-vpls

VPLS实例站点设置offset必须是1

Juniper背靠背组网时,公网端口不可以是Access类型,必须使用Trunk类型端口

S12500 LSP未超规格的情况下如何过滤非32位地址的LSP

当设备日志中有如下记录时,表明LDP LSP下游控制块超规格:

*Nov  1 11:07:18:368 2011 SG-ZQD-12508 LDP/7/Error:

 Can't create Downstream Control Block: Up the maximum limitation.

如果设备使能了非32位路由触发LSP,导致很多非32位路由形成LSP,出现了LSP超规格或者LDP LSP下游控制块超规格的情况,这时如果想将非32位路由的LSP过滤掉不使其占用LSP资源,可以配置策略来实现。假设需要过滤LDP邻居1.1.1.9的非32位路由LSP,可以配置策略如下:

[Sysname]ip ip-prefix host index 10 permit 0.0.0.0 0 greater-equal 32 less-equal 32

[Sysname]mpls ldp

[Sysname-mpls-ldp]accept-label peer 1.1.1.9 ip-prefix host

这条策略配置完成即生效,将非32位路由的LSP过滤掉。但是如果要取消策略形成非32位路由的LSP,则取消配置后还需要reset mpls ldp peer才能生效。

PBB组网中BVLANCVLAN可以配置一样吗?

组网中尽量不要将BVLANCVLAN配置一样,因为这样会导致PBB公网口过来的非PBB的广播报文广播到私网侧。BvlanCvlan配置不同的VLANPBB私网侧端口不permit Bvlan,则普通带Bvlan tag的广播报文是不会广播到私网的。

根据PBB的报文转发流程,BvlanCvlan一样(假设为vlan20)时:

PBB公网上行口过来的普通非PBBtag20的广播报文,会广播到绑定s-vid20的私网端口出去的,因为该端口一定permit vlan20

PBB公网口过来的PBBtag20的广播报文,到达公网口后进行PBB解封装,然后重定向查找mac,走二层转发,要看解封装后的用户报文,解封装后的用户报文所携带的tag是什么就在哪个vlan内广播。

10  IP组播类FAQ

S12500支持的组播协议有哪些

S12500支持的组播协议有IGMPIGMP SnoopingPIM DMPIM SMMSDP以及MBGP

S12500支持的IGMP版本有哪些

S12500支持IGMPV1V2V3版本。

S12500组播是否支持静态RP功能

S12500支持静态RP功能。在PIM视图下使用static-rp rp-address [ acl-number ] [ preferred ] [ bidir ]命令配置静态RP,同时可以选择使用ACL规则配置RP过滤策略;S12500最多可以配置10个静态RP

注意:

·     BSR机制选举产生的动态RP有效的情况下,静态RP不起作用。

·     PIM域内所有路由器必须同时配置该命令并且指定同一RP地址。

S12500是否支持组播静态路由

S12500支持组播静态路由,可以利用组播静态路由来改变或衔接RPFReverse Path Forwarding,逆向路径转发)路由。

如何从配置上限制非法组播源

可以通过配置ACL规则限制非法组播源的组播转发。比如某局点只想对源地址是99.100.100.4、组地址是225.1.1.1的组播组建立组播表项,进行转发,则可以配置如下:

(1)     配置ACL规则:

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 0 permit ip source 99.100.100.4 0 destination 225.1.1.1 0

[Sysname-acl-adv-3000] rule 1 deny ip

(2)     PIM视图下设置路由策略source-policy

[Sysname-pim] source-policy 3000

这样在交换机上就只能建立S99.100.100.4G225.1.1.1的组播表项,其他组播表项都无法建立。

S12500是否支持组播组过滤规则

S12500支持组播组过滤规则。可以通过在以二层太网端口或者二层聚合接口上配置命令igmp-snooping group-policy acl-number [ vlan vlan-list ]来实现。

注意:

·     当指定的ACL不存在或者其规则为空时,将过滤掉所有的组播组,即主机不能加入任何组播组。主机只能加入与该ACL规则中permit语句匹配的组播组。

·     组播组过滤功能对指定VLAN内的所有成员都生效。

·     组播组过滤规则对本设备配置的静态成员端口加入不生效。

S12500组播RPF检测失败后如何实现组播按需转发

图4 组播示意图

 

在特定组网环境中,上图组网中组播流会按照下面路径进行转发(因为组播会首先转发到DR):

组播源------>Switch A-----> Switch B-------> Switch A------>点播者。

由于从组播源到Switch A的组播报文的RPF接口为Vlan-int10,所以这样的组播流在Switch A上会因为RPF检查失败而被丢弃,导致点播者无法接收到组播流。

可通过下面两种方式解决此问题:

·     改变组网使Switch A被选举为DR。由于IP大的交换机会成为DR(注意接口上配置的VRPP 虚拟IP不参与选举),所以配置Switch AVlan-int20IP地址大于Switch BVlan-int20IP地址。

·     RFP检测失败后,在Switch A上配置组播数据报文在VLAN20内组播,配置命令为multicast rpf-fail-pkt bridgingmulticast forwarding on-demand

S12500 PIM-SM域间的MSDP对等体切换时发现RPF检查失败的可能原因?

·     检查是否配置了静态RPF对等体(命令static-rpf-peer),如果该配置不当(如过滤策略指定的不正确),就容易发生RPF检查失败的情形。

·     正常的网络中也可能产生,比如网络中MSDP对等体存在环路,导致报文从非RPF接口进入,此时就会发生RPF检查失败。

S12500的命令link-aggregation load-sharing mode对组播的负载分担生效吗

不生效。

S12500到组播源的路由下一条能否为VRRP虚拟IP地址

不能。

S12500是否支持auto-rp

S12500设备不是完全支持auto-rp,设备上配置auto-rp enable后,只能是接收自动RP宣告(Announce)和发现(Discovery)报文,但是不能往外发布RP信息。

11  QACLFAQ

S12500是否支持跨板配置端口镜像和流镜像?

S12500支持跨板配置端口镜像和流镜像。

S12500是否支持跨框配置端口镜像和流镜像?

S12500不支持跨框配置端口镜像,即目的端口和源端口(或源VLAN中的端口)不能位于IRF的不同成员设备上。

S12500不支持跨框配置流镜像,即被监控流量的入端口与流镜像的目的地(目的端口、目的VLAN内的端口、目的CPU)不能位于IRF的不同成员设备上,但可以支持跨框流镜像到OAA单板内联端口,也可以流镜像到跨框聚合口(镜像到跨框聚合口的流量只能从本框聚合成员端口出去,如果本框的聚合成员端口处于down状态,镜像报文不会从跨框的聚合成员端口上转发出去)。

S12500配置端口镜像有哪些注意事项

S12500端口镜像应用过程中需要注意以下事项:

·     S12500支持多对一的镜像,即将多个源端口的报文复制到一个目的端口上;

·     S12500支持跨板镜像,即源端口和目的端口可以位于不同的业务板;

·     同一个端口不可以作为不同镜像组的源端口和目的端口。

S12500流镜像支持配置多少目的端口?

S12500只支持入方向流镜像,包括流镜像到端口、流镜像到聚合口、流镜像到VLAN、以及流镜像到CPU(流镜像到VLAN时有如下限制:对于LST1XP16LEB1LST1XP16LEC1 LST1XP16LEC2单板,配置流镜像到指定VLAN时,功能不支持。)。

流镜像到CPU固定占用一个目的端口资源,其他的三种流镜像合计每板最多配置6个目的端口资源。

S12500端口镜像支持多少目的端口

端口镜像支持同方向的目的端口数量存在下面的限制:

·     对于48个端口的GE单板,1块单板支持配置2个监控端口,其中前24个端口支持配置1个监控端口,后24个端口支持配置1个监控端口;

·     对于10GE单板(除了LST1XP32REB1LST1XP32REC1 LST2XP32REC2LST1XP16LEB1LST1XP16LEC1LST1XP16LEC2单板之外),按照端口顺序,单板上每210GE端口只支持配置1个监控端口;

·     对于LST1XP32REB1LST1XP32REC1LST2XP32REC2单板,1个单板支持配置4个监控端口;

·     对于LST1XP16LEB1LST1XP16LEC1LST1XP16LEC2单板,1个单板支持配置8个监控端口,每相隔的210GE端口支持配置一个监控端口。

S12500流镜像与端口镜像可以同时使用吗?

S12500流镜像和端口镜像可以同时配置使用,流镜像和端口镜像的目的端口不共用。

S12500配置包过滤对端口镜像有无影响

没有影响,S12500端口上收到的所有数据包都会无条件被镜像至目的端口。

S12500配置镜像在什么情况会打印这个源端口硬件不支持信息?

IRF模式下,设备不支持跨框配置端口镜像。如果配置镜像的目的端口和源端口(或源VLAN中的端口)位于IRF模式下的两台不同成员设备上,就会打印提示信息“Error: Failed to configure port mirroring due to hardware unsupported!”。

S12500是否支持跨框端口镜像和重定向到端口功能

IRF模式下,S12500不支持端口镜像和流镜像到跨框的普通目的端口,也不支持重定向到跨框的出端口,但可以支持跨框镜像到OAA单板内联端口。

S12500是否支持出方向QoS策略?

S12500支持出方向QoS策略,出方向QoS策略只支持报文过滤、流量监管、流量统计、dscp/dot1p/exp优先级重标记和带颜色的dscp/dot1p/exp优先级重标记、修改外层VLAN等动作。

S12500QoS策略匹配顺序是怎样的?

QoS策略的优先级由高到低依次为:全局QoS策略、接口QoS策略、VLAN中的QoS策略。

S12500VLAN中的QoS策略有哪些限制

VLAN中的QoS策略最后匹配,当全局QoS策略和接口QoS策略没有匹配后才能匹配VLAN-ACL

基于VLAN应用的QoS策略需要下发到所有接口板,如果遇到某个接口板硬件资源不足等情况,会导致策略在该接口板下发失败。此时主控板及其他接口不回退该策略的配置,需要用户手工将该策略的相关配置清除。类似地,动态修改过程中,如果基于VLAN应用的QoS策略在某个接口板刷新时遇到硬件资源不足等情况,下发失败,也需要用户手工将该策略的配置清除。

S12500的全局QoS策略有哪些限制

全局QoS策略优先匹配当全局QoS策略匹配后不再匹配接口QoS策略与VLAN中的QoS策略。

基于全局应用的QoS策略需要下发到所有接口板,如果遇到某个接口板硬件资源不足等情况,会导致策略在该接口板下发失败。此时主控板及其他接口不回退该策略的配置,需要用户手工将该策略的相关配置清除。类似地,动态修改过程中,如果基于全局应用的QoS策略在某个接口板刷新时遇到硬件资源不足等情况,下发失败,也需要用户手工将该策略的配置清除。

S12500ACL规则匹配顺序是怎样的?

S12500ACL匹配顺序有以下两种方式:

·     配置顺序:按照规则编号由小到大进行匹配。

·     自动排序:按照“深度优先”原则由深到浅进行匹配。

用户自定义ACL的规则只能按照配置顺序进行匹配;其他类型的ACL则可选择按照配置顺序或自动顺序进行匹配。缺省情况为配置顺序。

通过命令display acl acl-number显示的ACL规则顺序就是实际ACL规则匹配顺序:

[Sysname]display acl 3000

Advanced ACL  3000, named -none-, 3 rules, match-order is auto,

ACL's step is 5

 rule 10 permit tcp source 10.11.0.0 0.0.255.255

 rule 5 permit ip source 10.11.113.0 0.0.0.255

 rule 0 permit ip

S12500ACL规则permitdeny在不同应用中有什么区别?

S12500ACL规则中permitdeny在应用中的区别:

·     当在QoS流分类if-match中引用ACL时,rule中定义的deny参数表示匹配的报文不执行C-B对中的动作,rule中定义的permit表示匹配的报文执行C-B对中的动作。

·     在报文过滤中引用ACL时,只有匹配rule deny的报文将被丢弃,没有匹配rule deny的报文都允许通过。

·     当在策略路由中引用ACL时,该ACL仅用于识别流,rule中的denypermit参数实际无意义。

·     除上述三种以外的其他情况下引用ACL时,对于没有匹配到rule permit的报文,都会被认为rule deny

为何S12500在下发了策略路由后外网无法Ping通接口地址?

S12500ICMP PING报文是通过查找FIB路由表转发到CPU处理,而ACL引擎在IPv4引擎前面,匹配规则后的报文会直接查找到策略路由的下一跳,而上不了CPU,从而不能回应ICMP PING请求报文,导致不能PING通。

在配置策略路由前建议配置Packet-filterPermit的规则,让匹配的目的MACVLAN接口的MAC,上送CPU处理。

S12500应用在端口的ACL规则在单板重启后配置恢复顺序是怎样的?

S12500的端口ACL规则的配置恢复顺序就是在端口上通过display acl acl-number命令查看到的ACL规则顺序。

S12500的流规则能识别二三层转发报文吗?

只能通过在流分类中通过if-match forwarding-layer { bridge | route }命令来匹配2层报文或者3层报文。

匹配2层报文和3层报文是互斥的。流分类中的forwarding-layer参数必须和其他参数配合使用,不允许单独配置;且不论类操作符是andor,同时配置的其他参数都不允许和forwarding-layer参数冲突。

S12500是否支持同时匹配二层ACL和三层ACL规则?

S12500在流分类下的规则之间是逻辑或的关系时,支持同时匹配二层ACL和三层ACLQoS策略;在流分类下的规则之间是逻辑与的关系时,不支持同时匹配二层ACL和三层ACLQoS策略,但是在流分类中,二层ACL和三层ACL可以分别配合if-match其他的匹配规则使用。

S12500支持访问控制(包过滤)吗?

S12500支持在以太网接口上和VLAN接口上配置包过滤命令packet-filter,包括入方向的包过滤和出方向的包过滤。

VLAN接口上执行本命令,入方向只对三层单播报文生效,出方向对所有报文生效;在以太网接口上执行packet-filter命令,对二/三层报文均生效。

通过packet-filter forwarding-layer route outbound命令用来使能以太网接口板VLAN接口出方向报文过滤限制功能。执行本命令后,如果再在以太网接口板上的VLAN接口出方向配置IPv4报文过滤功能(即配置packet-filter命令),IPv4报文过滤将只对VLAN接口出方向的三层单播报文生效。

S12500如何配置访问控制(报文过滤packet-filter)

先配置ACL规则,再在接口上应用ACL规则进行报文过滤。示例如下:

配置ACL规则。

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 0 deny ip source 192.168.1.2 0

应用ACL规则对VLAN接口上匹配的报文进行过滤。

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] packet-filter 2009 inbound

[Sysname-Vlan-interface2] quit

S12500支持对多个端口整体流量监管(流量限速CAR)

S12500支持对多个端口整体流量监管,通过在对应的端口上配置聚合CAR来实现。

S12500端口配置流量限速后,查看端口流量为何没有变化?

端口配置流量限速CAR后,端口信息显示的入流量统计信息仍然没有变化,是因为端口统计的流量在流量限速CAR之前,先统计端口流量,后进行流量限速CAR,所以通过display interfacee命令显示的端口流量没有变化。

S12500是否支持重定向功能

S12500支持入方向重定向功能而且报文可以重定向输出到CPU、普通端口、聚合接口、下一跳IP地址。在IRF模式可以支持跨框重定向到OAA单板上的端口;

S12500的重定向到下一跳是强策略路由还是弱策略路由?

所谓强策略路由,即把某条流重定向到下一跳地址之后,如果该下一跳地址不存在,报文丢失;所谓弱策略路由,即把某条流重定向到下一跳地址之后,如果该下一跳地址不存在,报文不进行重定向,而是按照报文的目的IP地址进行路由选路和处理。在支持配置重定向下一跳失败的处理动作时,如果不配置处理动作,默认的处理动作是转发。

S12500可以通过命令行关键字redirect next-hop ipv4-add1 fail-action { discard | forward }来设置采用强策略路由还是弱策略路由。

为何S12500配置PBR后还是能够Tracert通?

S12500根据策略路由转发时,TTL也会减1,如果TTL1则上送CPU,因此Tracert的报文可以上CPU正常处理。

S12500如何清除流量统计计数?

可以通过reset counters interface interface-type interface-number命令来清除流量统计计数:

<Sysname>reset counters interface g7/0/17

<Sysname>display qos policy interface g7/0/17

  Interface: GigabitEthernet7/0/17

  Direction: Inbound

  Policy: p1

   Classifier: c1

     Operator: AND

     Rule(s) : If-match acl 2020

     Behavior: b1

      Accounting Enable:

        0 (Packets)

PPPoE封装的ICMP报文能否匹配ACL规则?

S12500上只能识别PPPOE的控制报文与数据报文,对于PPPOE报文里面的字段是无法通过二层ACL规则和三层ACL规则进行匹配,但是可以分析PPPOE封装的ICMP报文的特征,配置自定义ACL规则来匹配。

S12500端口上配置的qos priority dot1pqos trust dot1p什么作用

端口可以通过配置qos priority dot1p命令来修改端口的dot1p优先级端口默认dot1p优先级为0

当端口上默认配置的时候报文会取用端口默认的dot1p/exp/dscp/lp/dp优先级报文转发出去时设备不会修改原有报文各种优先级。

当端口配置了qos priority dot1p优先级,所有报文都会采用端口dot1p优先级,报文转发出去时,设备会将报文的dot1p优先级修改为入端口的dot1p优先级,其他各种优先级不变。

当端口配置了qos trust dot1p命令,对应taged报文,会根据报文tag中的dot1p值查找各种映射表(dot1p-expdot1p-dscpdot1p-lpdot1p-dp);对于untag报文,会使用通过qos priority dot1p命令修改后的dot1p优先级值,如果没有通过qos priority dot1p命令修改dot1p优先级值,则取用端口默认的dot1p优先级值。

当端口配置了qos trust dot1p overide命令,对应taged报文,会根据报文tag中的dot1p值查找dot1p-dot1p映射表来映射dot1p值,然后再根据映射后的dot1p值查找查找各种映射表(dot1p-expdot1p-dscpdot1p-lpdot1p-dp);对于untag报文,会使用通过qos priority dot1p命令修改后的dot1p优先级值,如果没有通过qos priority dot1p命令修改dot1p优先级值,则取用端口默认的dot1p优先级值。

报文转发出去时,如果配置了qos trust,设备会修改报文的各种优先级(dot1p/exp/dscp)。

S12500默认信任报文的优先级吗?

S12500默认不信任报文的任何优先级,即不信任报文的dot1p优先级,也不信任报文的dscp字段和exp字段。在端口默认配置下,报文会取用端口默认的(dot1p/exp/dscp/ lp/dp)优先级,报文转发出去时,设备不会修改原有报文各种优先级。

S12500MPLS网络的P设备时是否信任报文的exp字段?

S12500P设备,不会自动信任MPLS报文的exp字段,如果需要在P设备上信任MPLS报文的exp值,可以在报文的入端口上配置qos trust exp命令。

为什么SPWRR混合调度的时候有时候会调度不准确?

混合调度的时候,需要将WRR组内的队列设置成连续的队列,否则调度不准确。

队列调度WRR可以与流量整形GTS一起使用吗?

队列调度WRR与流量整形GTS同时使用会引起WRR调度不准确,应尽量避免出端口上同时配置WRRGTS

S12500上由于拥塞导致端口丢包应当怎么处理?

S12500上由于拥塞导致端口丢包,可以通过命令buffer-manage egress slot slotnum share-size buf-size来适当增加buffer共享大小来缓解端口丢包。

S12500是否支持VLAN接口上的流量统计?

不支持。

S12500出方向被QoS策略过滤的报文能够进行端口队列统计计数吗?

不能。

IRF模式下,流镜像和端口镜像有哪些限制?

IRF模式下,流镜像支持镜像到VLAN,但镜像报文不会从VLAN中跨框的端口转发出去;

IRF模式下,设备不支持将指定源VLAN的报文镜像到目的端口。

12  QinQFAQ

什么是QinQ

QinQ802.1Q in 802.1Q的简称(也称为802.1Q Tunneling),是基于IEEE 802.1Q技术的一种比较简单的二层VPN协议。通过将一层VLAN Tag封装到私网报文上,使其携带两层VLAN Tag穿越运营商的骨干网络(又称公网)。

S12500QinQ有几种实现方式?

S12500 QinQ的实现方式可分为以下两种:

(1)      基本QinQ

基本QinQ是基于端口方式实现的。当端口上配置了基本QinQ功能后,不论从该端口收到报文是否带有VLAN Tag,设备都会为该报文打上本端口缺省VLANTag

·     如果收到的是带有VLAN Tag的报文,该报文就成为带双Tag的报文;

·     如果收到的是不带VLAN Tag的报文,该报文就成为带有本端口缺省VLAN Tag的报文。

(2)      灵活QinQ

灵活QinQ是基于端口与VLAN相结合的方式实现的,它对QinQ的功能进行了扩展,是对QinQ的一种更灵活的实现。灵活QinQ除了能实现所有基本QinQ的功能外,对于从同一个端口收到的报文,还可以根据VLAN的不同进行不同的操作,包括:

·     为匹配流分类的报文添加外层VLAN Tag

·     根据报文内层VLAN802.1p优先级标记外层VLAN802.1p优先级。

通过使用灵活QinQ技术,在能够隔离运营商网络和用户网络的同时,又能够提供丰富的业务特性和更加灵活的组网能力。

QinQ主要解决哪些问题?

·     缓解日益紧缺的公网VLAN ID资源问题。

·     用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突。

·     为小型城域网或企业网提供一种较为简单的二层VPN解决方案。

·     当升级网络时,用户网络不必更改原有配置,使用户网络具有了较强的独立性。

用户侧上来的报文已经有两层Tag,可否再做QinQ

用户侧上来的报文已经有两层TagS12500还可以再做QinQ

流分类规则中service-vlan-idcustomer-vlan-id分别表示什么含义?

customer-vlan-id表示入报文有多层tag时的内层tag

service-vlan-id表示入报文有两层tag时的外层tag,或者入报文只有一层tag时的外层tag;当入报文没有tag时,service-vlan-id就是端口的pvid

灵活QinQ中,外层Tagcos值是如何得到的?

Nested-vlan方式实现的灵活QinQ中,在增加外层VLAN的同时可以自动将内层VLANcos值复制给外层VLAN。也可以通过优先级重标记的方式修改外层VLANcos值。

灵活QinQ中可以修改内层Tagcos值吗?

S12500上灵活QinQ不支持修改内层Tagcos值。

S12500基本QinQ和灵活QinQ是否学习MAC

S12500基本QinQ和灵活QinQ都会在外层VLAN内学习MAC,通过查找MAC表进行转发。

为何S12500与其他厂商设备QinQ对接会失败?

某些厂商的设备将QinQ报文外层TagTPID值设置为0x91000x9200。为了和这些设备兼容,S12500可以通过修改的QinQ报文TPID值来实现QinQ成功对接。

设置端口采用的TPID值:qinq ethernet-type tpid-value

13  IRFFAQ

S12500可以与哪些产品组成IRF

S12500交换机只支持与其他S12500交换机之间建立IRF,不能与不同系列的交换机产品建立IRF

S12500 IRF最多支持多少台成员设备?

IRF缺省只能支持两台成员设备。只有配置了IRF增强功能后,IRF最多可以支持4台成员设备。

配置IRF端口时,需要注意什么?

配置IRF端口时,本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连,本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定。

S12500 IRF支持哪些拓扑?

·     如果没有配置IRF增强功能,可以使用中继设备,但只能使用链形拓扑;

·     果配置了IRF增强功能后,不能使用中继设备,且只能使用环形拓扑。

IRF支持跨成员设备的以太网聚合链路吗?

支持。

IRF支持将多条IRF物理链路与同一条IRF链路绑定吗?

支持。只要将对应成员设备上的IRF物理端口与IRF端口绑定,这些IRF物理端口就会自动聚合,无需使用聚合端口。

组成IRF的成员设备编号可以相同吗?

成员设备的成员编号不能相同,在组建IRF之前要求将所有设备配置不同的成员编号后再进行组建;同一成员设备的两块主控板成员编号要求一致,如果不一致,备用主控板会重启一下然后把成员编号改成和主用主控板一致。

组成IRF的成员设备上,哪些配置必须相同?

建立IRF前,确保多台设备的系统工作模式必须相同,否则不能形成IRF

建立IRF前,确保设备的acl ipv6必须配置一致,即都为acl ipv6 enable或都为acl ipv6 disable,否则不能形成IRF

建立IRF前,确保设备的acl mode必须配置一致,即都为acl mode advanced或都为acl mode standard,否则不能形成IRF

建立IRF前,确保设备的vpn popgo必须配置一致,即都为vpn popgo或都为undo vpn popgo,否则不能形成IRF

建立IRF前,确保设备的Portal用户迁移功能必须配置一致,即都为portal-roaming enable或都为undo portal-roaming enable,否则不能形成IRF

建立IRF前,需确保IRF增强功能配置一致,即都配置IRF增强功能或者都不配置IRF增强功能,否则不能形成IRF

使能IRF增强模式后设备就不能配置三层以太网接口吗?

是的,在使能IRF增强模式前,若存在三层以太网接口则需要切换为二层以太网接口。使能IRF增强模式后,不能再创建三层以太网接口/子接口,三层聚合接口/子接口。

如何才能取消IRF增强模式?

首先必须保证成员设备小于等于两台且每台成员设备上只有一个IRF端口,再执行undo irf mode enhanced命令,否则IRF增强功能无法取消。

配置LACP MAD时,对中间设备有要求吗?

如果配置LACP MAD检测方式,组网中需要使用中间设备,中间设备必须满足下列条件:

·     必须为H3C的交换机设备;

·     使用的软件版本必须能够识别、处理携带了ActiveID值的LACP PDU协议报文。

·     LACP MAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。否则可能造成LACP MAD检测异常,甚至导致业务中断。

为何在IRF模式下,全局使能STP之后,BFD MAD会不生效?

IRF两台成员设备间启用BFD MAD检测时,要求MAD VLAN物理上保持互通,且不能存在环路,也不能配置其他业务;如果在全局视图下使能了STP功能, BFD MAD检测使用的VLAN包含的物理端口会收到对端成员设备的STP报文,在IRF状态下,系统会认为是收到了自身发送的STP报文,网络存在环路,从而把BFD MAD使用的物理端口Block,导致BFD MAD不生效。在系统全局使能STP的情况下,需要在BFD MAD使用的物理端口上去使能STP功能,这样BFD MAD才能真正生效。

为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的?

如果IRF启用了MAD,在IRF分裂之后处于Recovery状态的IRF上所有业务端口会被Shutdown,此时重启处于Active状态的IRF上,在IRF重新合并(merge)时,处于Recovery状态的IRF会重新加入IRF,此时软件不会自动让重新加入的成员设备的端口自动up起来,避免再次有同样的原因导致IRF分裂。需要通过mad restore命令把MAD DOWN的端口重新UP起来。如果重启的是处于Recovery状态的IRF,则不会存在这个问题。

用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失?

IRF分裂之后,两台成员设备都是Master,在某一台成员设备上新增配置并保存,虽然在本设备上确实保存了新配置,但是如果这台成员设备重新形成IRF之后成了Slave,那么由于这些配置没有同步到MasterSlave仍然按照Master的配置执行,最终Slave独自新增的配置丢失了。

为何IRF分裂后Slave会自动重启?

如果IRF Hello报文超时导致IRF分裂,但IRF端口没有变化过,在IRF hello报文恢复正常后,设备重新形成IRF时优先级低的框会自动复位;

如果IRF hello报文超时导致IRF分裂,且IRF端口发生过变化,在IRF hello又恢复正常后,设备重新形成IRF时,会提示用户人工重启;如果没有配置MAD,软件会提示优先级最低的框重启;如果配置了MAD,那么软件会提示成员设备编号大的设备重启

为什么IRF端口配置流量分担跨框转发不能达到线速?

有多种原因。比如:

·     IRF跨成员设备的两端口类型不一致,一侧Access口、一侧Trunk口,报文会多带了4字节的vlan tag

·     因为IRF口流量分担会根据报文的源MAC、目的MAC、源IP、目的IP等由Hash算法计算出出端口,如果报文的这些属性相同,其Hash的出端口也相同;

·     MasterSlave之间需要同步一些数据,这也会占用端口的带宽。

为什么在IRF分裂之后Master执行save操作,Slave重启、重新加入IRF之后,IRF分裂之前的Slave业务配置仍在?

IRF分裂之后save,会将Master当前在用的配置存储到配置文件中,配置文件中不包含Slave的业务配置;

但是Master当前的buildrun配置中,却包含Slave的配置,只是display current-configuration无法显示出来;

Slave重新加入IRF系统后,由于Master未重启,所以Slave的配置仍然会继续存在;

只有IRF分裂之后save,然后Master重启,这时候是从配置文件中读取配置的,再形成IRF,这时候才不会包含Slave的业务配置。