手册下载
H3C S12500 用户FAQ-R7328-6W101-整本手册.pdf (1.09 MB)
H3C S12500 用户FAQ
Copyright © 2014杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
丝印后缀为FD、FG的接口板,在什么系统工作模式下可以支持?
通过reset counters interface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化?
S12500主备倒换后MAC表、ARP表、路由表需要重新学习吗?
为什么所有业务板没有正常运行前不能执行save命令保存配置文件?
为什么使用TFTP获取S12500上的文件时传输到32M左右时失败?
为什么sflow的会话包里面,input interface value(入端口采样个数)或output interface value(出端口采样个数)都会有一个是0的接口?
诊断信息压缩后传到主机上用WINRAR解压缩,提示文件损坏,解压缩后的文件出现乱码,是什么原因?
S12500设备是否支持License授权?哪些功能受License控制?
S12500是否支持本地用户先认证然后在远程进行RADIUS认证?
为何S12500登录采用RADIUS认证,服务器采用ACS,console方式无法登录?
为何S12500的RADIUS和ACS对接时,用户是否只能控制到一级权限?
S12500的HWTACACS认证失败后能在本地继续认证吗?
用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项?
S12500 HWTACACS和Cisco的ACS的级别是如何对应的?
用远程认证方式,telnet到设备时,VTY用户界面下和RADIUS或HWTACACS服务器上用户名都设置了权限,以哪个为准?
S12500作为网关设备,如何配置防止下面用户的仿冒网关攻击?
S12500同一接口上单播报文、广播报文和组播报文是否能够同时进行抑制?
使用命令display interface显示的端口统计中INPUT和OUTPUT中各错包字段的含义?
端口下配置了不学习MAC功能(mac-address max-mac-count 0),但是查看端口的MAC表项,还是存在MAC表项信息?
如果一条链路的两条光纤都是断开的,然后连接上其中一根光纤,DLDP是否起作用?
S12500与其他设备端口对接,为什么对端DOWN、本端没有DOWN?
S12500是否支持Private VLAN(双层VLAN结构)?
为何有时S12500设备MSTP配置正确,但是MSTP状态却错误?
S12500和思科设备组网,在S12500端口去使能MSTP时,思科设备出现端口DOWN?
S12500在ARP表项超过规格后会发送TRAP告警信息吗?
S12500 VRRP是否支持在Master上配置Track项关联某个物理端口?
伪DHCP服务器检测功能在S12500作为二层设备的情况下能否有效?
S12500如何处理超过1500字节的ICMP PING报文?
S12500的OSPF的Cost值是否与二层以太网接口有关?
什么情况下OSPF ERROR 记录中有LS ACK: Bad ack计数?
S12500静态路由下一跳失效时路由为什么会迭代到黑洞路由?
S12500到组播源的路由下一跳能否为VRRP虚拟IP地址?
S12500的命令link-aggregation global load-sharing mode对组播的负载分担生效吗?
S12500的ACL规则permit和deny在不同应用中有什么区别?
为何S12500在下发了策略路由后外网无法Ping通接口地址?
S12500应用在端口上的ACL规则在单板重启后配置恢复顺序是怎样的?
S12500如何配置访问控制(报文过滤packet-filter)?
S12500支持对多个端口整体流量监管(流量限速CAR)吗?
S12500端口上配置的qos priority dot1p和qos trust dot1p有什么作用?
S12500做MPLS网络的P设备时是否信任报文的exp字段?
S12500出方向被QoS策略过滤的报文能够进行端口队列统计计数吗?
S12500 基于控制平面应用QoS策略支持对哪些协议报文的限速?
S12500作为OpenFlow交换机,支持哪些Controller?
S12500设备一个OpenFlow实例最多可以连接多少个控制器?
流分类规则中service-vlan-id与customer-vlan-id分别表示什么含义?
在IRF分裂之后,下次合并之前,可以修改成员设备上MDC的相关配置吗?
为何在IRF模式下,全局使能STP之后,BFD MAD会不生效?
为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的?
用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失?
EVI隧道可以配置多个ENDS(EVI Neighbor Discovery Server)吗?
H3C S12500系列产品包括:H3C S12504,H3C S12508及H3C S12518。
· H3C S12504有两个主控板槽位,分别在0号槽位和1号槽位,2~5号槽位是业务板槽位;
· H3C S12508有两个主控板槽位,分别在0号槽位和1号槽位,2~9号槽位是业务板槽位;
· H3C S12518有两个主控板槽位,分别在0号槽位和1号槽位,2~19号槽位业务板槽位;
各型号设备外观如下(从左至右依次为S12504、S12508、S12518):
图1 设备前视图
不支持。
可以。S12500系列目前支持的电源包括直流电源和交流电源。
S12500系列的电源模块支持热插拔,只要电源模块的功率满足当前设备运行功率要求就能够保证S12500正常运行。
正常。
S12500的交流电源模块无电流或者电流很小(小于5A)时,电源模块采用硬开关技术,发热大,这时风扇转速较高。当电源模块负载稍大、电流大于5A时,采用软开关技术,发热量变小,风扇转速会降低。但满载时,其输出功率大,内部发热大,风扇转速也很高。由于电源系统的备份作用,在位的电源模块风扇会根据自身温度调节自身风扇的转速,在一定的时间内出现轻载导致风扇转速高属于正常现象,电源模块也不会告警。如果电源模块发生故障,会主动上报故障告警。
S12500直流电源模块如果噪声很大,一般都是负载较高、发热量大造成的。
查看S12500电源模块输出电流时发现部分数值很小,甚至为0,如下:
<Sysname>display power-supply verbose
Power info on chassis 0:
System power-supply policy: enable
System power-module redundant(configured): 1
System power usable: 22000 Watts
System power redundant(actual): 2000 Watts
System power allocated: 6930 Watts
……
DC output current information:
Total current(A): 90.20
Branch Value(A)
------ --------
1/1 0.00 《---- 显示输出电流 0
1/2 8.20
1/3 8.40
1/4 8.40
1/5 8.80
1/6 8.20
2/1 8.20
2/2 8.20
2/3 8.20
2/4 8.20
2/5 7.20
2/6 8.20
系统电源负载小于25%时,个别模块的输出电流数值相对其它电源模块可能会很小甚至为0,这种现象是正常的。这时该电源模块虽然几乎没有输出电流,但其仍旧具有备份的作用,当系统负载增加或者某个电源模块被拔出,电源监控软件会自动调整输出电流的大小,显示的value值也会相应增大。
如果随着系统负载增加或在用电源模块减少,某电源模块的输出电流并没有相应增大、始终接近0,那么此电源模块可能存在问题。
支持热插拔。
S12500支持主控板热备份,主用主控板故障时能自动切换到备用主控板而不中断业务。主备主控板运行的软件版本必须一致。也可以使用命令进行手工的主备倒换:
· 独立运行模式
reboot [ slot slot-number ] [ force ]
· IRF模式
reboot [ chassis chassis-number [ slot slot-number ] ] [ force ]
手工倒换前备用主控板板必须已经将主用主控板信息备份完成,即处于实时备份状态。如果正在备份过程中,系统会提示倒换不成功。
可以在设备上用以下命令查看。
<Sysname>display device manuinfo
Chassis self
Slot 0:
DEVICE_NAME : LST1MRPNC1
DEVICE_SERIAL_NUMBER : 210231A9680112000022
MAC_ADDRESS : 3822-D645-EC00
MANUFACTURING_DATE : 2012-10-21
VENDOR_NAME : H3C
Slot 2:
DEVICE_NAME : LST1GT48LEC1
DEVICE_SERIAL_NUMBER : 210231A85L0123456789
MAC_ADDRESS : NONE
MANUFACTURING_DATE : 2012-10-21
VENDOR_NAME : H3C
H3C S12500系列支持风扇的调速功能,能够根据机框内的温度高低来自动调整风扇运行转速。可以使用命令display fan verbose查看风扇转速等信息:
<Sysname>display fan verbose
Fan-tray verbose state on chassis 2:
Fan-tray 1:
Software version: 105
Hardware version: Ver.A
CPLD version: 002
Fan number: 12
Temperature: 37 °C
High temperature alarm threshold: 60 °C
Low speed alarm threshold: 750 rpm
Fan Status Speed(rpm)
--- ---------- ----------
1 normal 4320
2 normal 4440
3 normal 4380
4 normal 4740
5 normal 4080
6 normal 4440
7 normal 4320
8 normal 4320
9 normal 4380
10 normal 4560
11 normal 4500
12 normal 4500
Fan-tray 2:
Software version: 105
Hardware version: Ver.A
CPLD version: 002
Fan number: 12
Temperature: 37 °C
High temperature alarm threshold: 60 °C
Low speed alarm threshold: 750 rpm
Fan Status Speed(rpm)
--- ---------- ----------
1 normal 4320
2 normal 4440
3 normal 4380
4 normal 4740
5 normal 4080
6 normal 4440
7 normal 4320
8 normal 4320
9 normal 4380
10 normal 4560
11 normal 4500
12 normal 4500
LST2XP32单板支持32个4:1收敛的10GE端口,其中端口号1、5、9、13为一个收敛组,2、6、10、14为一个收敛组,3、7、11、15为一个收敛组,4、8、12、16为一个收敛组,其他的收敛组照此类推,每个收敛组共有10G带宽,整板80G带宽。
LST1CP4单板支持4个2:1收敛的100GE端口,其中端口号1、2为一个收敛组,3、4为一个收敛组。每个收敛组共有100G带宽,整板200G带宽。
LST1XP40RFD和LST1XP40RFG单板均支持40个10GE端口,其中端口号1~20为一个收敛组,21~40为一个收敛组,每个收敛组共有160G带宽,整板320G带宽。
支持40G和100G接口。
40G接口单板为LST1XLP16RFD1、LST1XLP16RFD2;100G接口单板为LST1CP4RFD1、LST1CP4RFD2、LST1CP4RFG1、LST1CP4RFG2。
40GE接口支持拆分为4个10GE接口;100GE接口不支持拆分。
LST1XP40、LST1XP20、LST1XP48单板的万兆接口均支持千兆光模块。
任何系统工作模式均支持。
不过,当12500上业务板槽位安装的单板都是丝印后缀为FD或FG的接口板时,为使接口板达到最佳性能,建议配置系统工作模式为grand模式。
S12500的BootWare支持向前兼容。因此,升级软件后,如果回退主机版本,可以不回退BootWare版本。
可以使用命令display version查看系统当前运行的主机程序版本、BootWare版本和设备运行时间。
为满足客户需求和解决问题,软件会不断的增加新功能和新特性、修正软件错误、优化程序以提高设备性能、提高设备稳定性、提高设备抗攻击能力等等。应用新特性以及避免已知的问题出现影响业务需要通过升级主机软件版本解决。
为避免升级后出现命令行兼容问题,需要核对升级后的配置和原有配置的差别。由于配置文件比较大,很难看出哪些配置信息没有被恢复,所以最好用文件对比工具(例如Beyond Compare)对升级前后的配置文件进行比较(不适合V5升级到V7的情况。V5升级到V7的方法请用户参见《S12500 V5至V7版本升级指导书》)。具体方法如下:
(1) 升级前用命令save保存配置文件,通过FTP将配置文件下载到PC机;
(2) 升级完成等所有单板正常运行后,再用命令save保存配置文件,通过FTP将配置文件下载到PC机;
(3) 请通过文件比较工具对文件进行比较,确定哪些配置被没有正确恢复,然后通过手工配置。
主机软件版本文件中包含主控板软件和业务板软件两部分,而主控板和业务板每次启动时都要读取,所以不能删除。
S12500提供回收站功能,使用delete命令删除的文件会保留在回收站中,只有使用delete /unreserved命令才能彻底删除文件。可以使用undelete来恢复没有彻底删除的文件。
使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir /all命令才能显示回收站中的文件,这些文件的文件名被“[ ]”包含。
S12500使用reset recycle-bin命令清除回收站中的文件,彻底释放空间。如果回收站中的文件损坏,则可以在命令后加/force参数强制删除。
S12500支持热补丁功能。
S12500的新补丁都会包含原有补丁内容,在加载新补丁前需要手工删除存储介质中的原有补丁,不能够直接覆盖。
缺省情况下,S12500设备的启动配置文件为flash:/config.cfg。
需要确认要加载的补丁文件位于Flash或CF卡中。
设置的补丁加载目录和存放目录保持一致。
主备主控板上补丁文件存放目录保持一致,并且补丁文件都存在。
当设备出厂后第一次启动的时候,是无法显示已经保存的配置文件的。
<Sysname>display startup
MainBoard:
Startup saved-configuration file: NULL
Next startup saved-configuration file: flash:/config.cfg
SlaveBoard:
Startup saved-configuration file: NULL
Next startup saved-configuration file: flash:/config.cfg
如果交换机上电后配置终端无显示信息,首先请排除以下方面的问题:
· 电源系统是否正常;
· 主控板是否正常;
· 是否已将配置电缆接到主控板的配置口(Console)。
如果以上检查未发现问题,很可能有如下原因:
· 配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符);
· 配置终端参数设置错误;
· 配置电缆本身有问题,请尝试更换配置电缆。
· 如果配置终端上显示乱码,很可能是配置终端参数设置错误。正确设置为:波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100。
需要注意的是:对于SecureCRT终端软件,需要在连接设置时取消Flow-control中的DTR/DSR或者RTS/CTS,而SecureCRT的默认配置为勾选“RTS/CTS”。
S12500可以通过Aux口登录设备,配置方法如下:
# 进入Aux0用户界面视图。
<Sysname> system-view
[Sysname] line aux 0
# 设置用户通过AUX用户界面登录设备时,不需要认证。
[Sysname-line-aux0] authentication-mode none
# 设置用户通过AUX用户界面登录设备时,用户角色为network-admin。
[Sysname-line-aux0] user-role network-admin
通过在用户视图下执行命令free user-interface vty number可以清除Telnet进程。
S12500不支持本地用户名包含@字符。
命令行端口上计数与通过MIB获取的计数有所不同。通过reset counters interface命令清除端口的计数时,虽然会清除接口管理模块对应接口上的计数信息,但并不会清除底层的硬件计数信息。通过MIB获取端口计数是通过获取底层硬件的计数器进行累加的,因此不会受到影响。
请按以下步骤进行:
(1) 使系统进入BootWare扩展段主菜单。
(2) 进入存储介质操作子菜单,选择当前操作的存储介质为Flash或CF卡。
(3) 键入<Ctrl+F>格式化当前操作的存储介质(缺省情况下,存储介质为Flash)。
下面以格式化Flash为例。
(1) 设备启动后,当终端屏幕上显示信息“Press Ctrl+B to access EXTENDED-BOOTWARE MENU...”的3秒钟之内,键入<Ctrl+B>,系统进入BootWare扩展段主菜单。
RAM test successful.
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Booting Normal Extended BootWare
The Extended BootWare is self-decompressing...........................Done.
****************************************************************************
* *
* H3C S12500 BootWare, Version 1.01 *
* *
****************************************************************************
Compiled Date : Mar 27 2013
CPU Type : P5040
CPU L1 Cache : 32KB
CPU L2 Cache : 1024KB
CPU Clock Speed : 1800MHz
Memory Type : DDR3 SDRAM
Memory Size : 8192MB
Memory Speed : 1066MHz
BootWare Size : 8MB
Flash Size : 512MB
cfa0 Size : 4002MB
NVRAM Size : 1024KB
BASIC CPLD Version : 001C
EXTENDED CPLD Version : 001C
PCB Version : Ver.A
Board self testing...........................
Board steady testing... [ PASS ]
Board SlotNo... [ 0 ]
DX246 testing... [ PASS ]
PHY88E1111 testing... [ PASS ]
CPLD1 testing... [ PASS ]
CPLD2 testing... [ PASS ]
NS16550 register testing... [ PASS ]
The switch's Mac address... [00:0F:E2:0E:08:03]
CF Card testing... [ PASS ]
BootWare Validating...
Press Ctrl+B to access EXTENDED-BOOTWARE MENU...
(2) 键入<8>,回车后,系统进入存储介质操作子菜单。
Password recovery capability is enabled.
Note: The current operating device is cfa0
Enter < Storage Device Operation > to select device.
==========================<EXTENDED-BOOTWARE MENU>==========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> BootWare Operation Menu |
|<7> Skip Authentication for Console Login |
|<8> Storage Device Operation |
|<9> Product Special Operation |
|<0> Reboot |
============================================================================
Ctrl+Z: Access EXTENDED ASSISTANT MENU
Ctrl+F: Format File System
Enter your choice(0-9): 8
(3) 键入<2>,设置当前操作的存储介质,然后选择<1>为Flash(选择<2>为CF卡)。
==============================<DEVICE CONTROL>==============================
|<1> Display All Available Nonvolatile Storage Device(s) |
|<2> Set The Operating Device |
|<3> Set The Default Boot Device |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-3): 2
Please set the operating device:
============================================================================
|Note:the operating device is cfa0 |
|NO. Device Name File System Total Size Available Space |
|1 flash VFS 132909056 132892672 |
|2 cfa0 FAT 1044549632 282378240 |
|0 Exit |
============================================================================
Enter your choice(0-2):1
Set the operation device successful!
==============================<DEVICE CONTROL>==============================
|<1> Display All Available Nonvolatile Storage Device(s) |
|<2> Set The Operating Device |
|<3> Set The Default Boot Device |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-3): 0
(4) 键入<Ctrl+F>,格式化当前操作的储存介质Flash。
==========================<EXTENDED-BOOTWARE MENU>==========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> BootWare Operation Menu |
|<7> Skip Authentication for Console Login |
|<8> Storage Device Operation |
|<9> Product Special Operation |
|<0> Reboot |
===========================================================================
Ctrl+Z: Access EXTENDED ASSISTANT MENU
Ctrl+F: Format File System
Enter your choice(0-9):
Warning:All files on flash will be lost! Are you sure to format? [Y/N] Y
该方法仅适用于LST1MRPNC1主控板。
在交换机上电后,根据Bootware的提示信息,按键Ctrl+T可进行内存5步测试;如果按键Ctrl+Y可进行9步内存全面测试。
五步测试结果显示如下:
DDR2 SDRAM test successful.
Press Ctrl+T to start five-step full RAM test...
Press Ctrl+Y to start nine-step full RAM test...
Running five-step RAM test...
This operation may take several minutes. Please wait...
DDR2 SDRAM dataline testing... [ PASS ]
DDR2 SDRAM addressline testing... [ PASS ]
Five-step RAM test succeeded.
System is starting...
九步测试结果显示如下:
DDR2 SDRAM test successful.
Press Ctrl+T to start five-step full RAM test...
Press Ctrl+Y to start nine-step full RAM test...
Running Nine-Step RAM test…
This operation may take several minutes. Please wait...
DDR2 SDRAM dataline testing... [ PASS ]
DDR2 SDRAM addressline testing... [ PASS ]
DDR2 SDRAM unit testing... [ PASS ]
Nine-Step ram test successful.
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Booting Normal Extend BootWare
The Extend BootWare is self-decompressing.....................Done!
MAC表项存在于业务板,主备倒换不需要重新学习,转发不受影响。
ARP表项在备用主控板上会进行备份,主备倒换不需要重新学习,转发不受影响。
FIB表在备用主控板上会进行备份,如果路由协议配置GR或NSR,主备倒换之后路由协议不中断,路由表项重新学习,但转发不受影响;如果路由协议没有配置GR,对端设备协议中断,路由表项也会重新学习,导致转发受到影响。
S12500的配置信息保存在Flash或CF卡的配置文件中,单板启动时会读取配置文件恢复对此单板的配置信息,并在内存中保留一份当前运行的配置信息。在系统启动阶段,如果所有接口还没有正常运行,即配置文件还未完全恢复到内存中,此时执行命令save保存,就会以内存中不完整的配置信息覆盖配置文件,会造成部分配置信息丢失。
S12500的管理以太网接口只要二层连接就能够UP,且软件已经作了流量限制,不会因为报文冲击导致系统运行异常。
传输到32M左右中断和TFTP服务器的机制相关,和S12500不相关,TFTP协议规定每个块标记(2字节)是从0到65535,刚好32M;当传输到32M时,有些TFTP服务器的标记块到达FFFF后没有跳转到0000,也就没有再向S12500去请求传输报文,所以传输中断,请更换TFTP服务器软件。
不支持。
建议上下电的时候应该逐一关闭所有电源开关,并等待10s待机框内电源释放干净以后再依次开启所有电源开关。
这类报文还是会占用CPU处理的,但是会进行判断,如果是备用主控板,把这类报文直接丢弃,主用主控板才会对报文上送平台做进一步处理;
对于主控板CPU接收到管理以太网接口(不管主用还是备用)报文会有每秒钟最多处理2000个报文的限制。
入方向采样的报文只有入端口报文个数,没有出端口报文个数信息,出方向采样的报文只有出端口的报文个数,没有入端口的报文个数信息。
图2 入方向采样
图3 出方向采样
用FTP传送到主机的文件是可以用WINRAR解压缩的,但必须通过binary命令设置文件传输的模式为二进制模式,不能用ASCII模式。
如果用ASCII模式,将压缩方式为gz的压缩文件传送到主机后,再解压缩会出现乱码。
如果用ASCII模式,将已经在设备上解压缩的文件传送到主机,那么会看到文件里面每一行末尾多了一个问号。
支持。EVI、MDC、SPB、FCoE特性受License控制。
表1 S12500 License授权类型与授权的特性
License授权类型 |
授权的特性 |
园区网功能授权 |
MDC |
数据中心功能授权 |
EVI、SPB、FcoE、MDC |
表2 S12500攻击防御功能简介
攻击防御分类 |
攻击防御措施 |
功能描述 |
链路层攻击防御 |
MAC地址防攻击 |
设定端口可以学习到的最大MAC地址数目,避免被大量源MAC地址频繁变化或者VLAN频繁变化的报文攻击 |
STP的防攻击 |
主要的防护措施有BPDU保护、根保护、环路保护、防TC-BPDU攻击保护 |
|
ARP攻击防御 |
ARP源抑制功能 |
用于防止设备被固定源发送的IP报文攻击 |
ARP黑洞路由功能 |
用于防止设备被不固定的源发送的IP报文攻击 |
|
ARP主动确认功能 |
用于防止攻击者仿冒用户欺骗设备 |
|
源MAC地址固定的ARP攻击检测 |
用于防止设备被同一MAC地址源发送的攻击报文攻击 |
|
ARP报文源MAC一致性检查功能 |
用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击 |
|
ARP报文限速 |
防止大量ARP报文的攻击 |
|
授权ARP功能 |
动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习 |
|
ARP detection功能 |
对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击 |
|
IP层攻击防御 |
URPF检查 |
用于防止基于源地址欺骗的网络攻击行为 |
TTL报文防攻击 |
通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击 |
|
传输层攻击防御 |
防止Syn-flood攻击 |
当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击 |
版本/功能 |
SSH1版本 |
SSH2版本 |
S12500 |
设备作为服务器端且运行于非FIPS模式 |
支持作为服务器端和客户端 |
H3C S12500不支持先本地认证再RADIUS认证,只能先RADIUS认证再本地认证,而且是必须要在RADIUS无响应的情况下才执行本地认证。
需要将ACS上面的Login-service选项去除,这样才可以允许Console口用户登录。
下面三项中的任意一项没有设置正确,就会出现问题描述的现象:
· ACS上的2011/002私有属性没有配置完整。
· ACS上没有配置Login-service属性。
S12500支持在HWTACACS服务器不能连接后启用本地认证方式,但对于HWTACACS服务器正常,但认证失败(即用户名/密码错误)的情况则不会启用本地认证。在需要启用这个功能的domain下在HWTACACS scheme后配置local即可,类似如下命令:
domain isp-name
authentication default hwtacacs-scheme hwtacacs-scheme-name local
只要第三方的TACACS服务器按照标准RADIUS协议实现,S12500即可和该服务器对接,包括思科的ACS以及Free TACACS等开源的TACACS服务器。
这取决于服务器设置,S12500不关注“login-service”选项
· 用户线视图/用户线类视图下使用user-role命令配置从当前用户线登录系统的用户角色;
· 本地用户视图下通过authorization-attribute user-role命令用来指定本地用户的授权用户角色;
· 采用AAA远程认证方式时,在远程服务器上设置用户角色。
H3C S12500的HWTACACS的0~16级与ACS的0~16级是一一对应的。
先以RADIUS或者HWTACACS服务器上用户名配置权限为准,再以本地配置的VTY用户界面下权限为次之。默认用户角色都是network-operator。
例如:
· 如果VTY 配置了network-admin或者level 15角色,服务器上配置的用户名没有用户角色,那么使用用户名telnet登录后用户角色为network-operator。
· 如果VTY没有配置权限或配置了任意权限,服务器上配置的用户角色为level 15,那么使用用户名telnet登录后用户角色为level 15。
实际上VTY用户界面下配置的用户角色是在VTY用户界面配置了authentication-mode none或password时才发生作用的。
如果S12500收到有设备冒充自己的ARP报文,会主动发送一个免费ARP报文,来修改下挂被欺骗的ARP表项。如果攻击报文较多,可以查找出攻击报文的入端口,抓取报文,获取报文特征,再下发ACL规则进行过滤。
H3C S12500的端口计数最大64bit,超过64bit范围便重新计数。
可以同时抑制,但需要对单播报文、广播报文和组播报文分别配置,并且配置的抑制值必须相同。
· [Sysname-GigabitEthernet1/5/0/24] unicast-suppression [pps | kbps] xxx
· [Sysname-GigabitEthernet1/5/0/24] multicast-suppression [pps | kbps] xxx
· [Sysname-GigabitEthernet1/5/0/24]broadcast-suppression [pps | kbps] xxx
表3 INPUT
字 段 |
含 义 |
runts |
超短帧,即端口收到帧长小于64字节,且没有CRC校验错误的帧; |
giants |
超长帧,即端口收到帧长大于允许通过的最大长度,且没有CRC校验错误的帧; |
throttles |
超小而且CRC错误的帧; |
CRC |
校验和错误,即端口收到的帧CRC校验和错误; |
frame |
错误帧,即端口收到未知错误的帧; |
overruns |
overrun帧,由于端口输入速率超过接受方处理能力,导致丢包,在网络出现拥塞时会导致overrun的出现; |
aborts |
输入描述符错误,S12500交换机不存在该错误帧; |
表4 OUTPUT
字 段 |
含 义 |
underruns |
帧下溢错误,S12500交换机不存在该错误帧; |
buffer failures |
缓冲失败,S12500交换机不存在该错误帧; |
aborts |
帧丢失,当网络存在拥塞时,导致报文不能从MAC层转发,会出现aborts错误; |
deferred |
帧延时,半双工模式下,在以太网帧数据部分的前64字节进入线路后,由于检测到冲突,当时没有发出的包; |
collisions |
冲突帧; |
late collisions |
滞后冲突帧,帧在MAC层中缓存,被滞后发送; |
lost carrier |
滞后发送帧,S12500交换机不存在该错误帧; |
no carrier |
载波丢失帧,S12500交换机不存在该错误帧; |
output error的情况很少会碰到。大部分问题都是input error,如果收到runts,giants,throttles,CRC,frame等错帧,需要检查对端设备或者中间的传输链路是否存在问题;如果收到overruns等错帧,需要确定本端的链路带宽是否足够。
S12500支持Jumbo帧设置,最长可以设置到9216字节,对于LST1XP16LEB1和LST1XP16LEC1单板的jumbo帧最大则为8164字节。
各业务板中MAC地址表项内容不一定相同。每块业务板只包含端口所属VLAN的MAC地址;如果VLAN分布在多个业务板上,则MAC地址需要在业务板间同步。
动态MAC地址表项的老化时间默认5分钟,命令mac-address timer aging可以修改MAC地址动态表项的老化时间。
MAC地址的老化时间更新机制:某条数据流进入端口后,MAC地址进行动态学习。如果该数据流一直存在,则此MAC地址老化时间会一直刷新,不会进行老化。当数据流停止,MAC地址经过老化时间后自动老化。
目前不支持对某个动态MAC地址老化剩余时间的查询。
MAC地址学习数目设置为0后,端口的MAC地址不学习,缺省情况下报文仍然会采用广播的方式在VLAN内转发。如果需要报文不转发,可以在端口/聚合接口/VLAN视图下配置达到MAC学习数目后不转发:undo mac-address max-mac-count enable-forwarding。
这些MAC表项是在配置MAC不学习之前学习到的,在配置不学习MAC命令时软件不会主动删除这些MAC表项,需要等到时间后自行老化。
S12500的MAC地址学习是基于MAC+VLAN方式进行学习的,如果多个VLAN收到相同MAC地址的报文,则多个VLAN下都会学习到相同的MAC地址。
通过命令行link-aggregation global load-sharing mode可以改变负载分担的模式、灵活地实现聚合组流量的负载分担,系统利用Hash算法来计算负载分担的模式,该算法可依据报文中携带的MPLS标签、服务端口号、IP地址、MAC地址、报文入端口等信息及其组合进行计算。
S12500的静态MAC可以配置在聚合端口上。
支持。
在链路两边状态都是down的情况下,DLDP邻居没有建立,DLDP不起作用。
S12500支持光模块的诊断功能,当光模块接收或发送光功率异常时,有可能导致端口DOWN,需要检查两端光模块类型是否匹配,链路是否正常;光功率的常见信息说明如下:
· “RX power is high!”――光模块接收光功率高
· “RX power is low!”――光模块接收光功率低
· “RX power is normal!”――光模块接收光功率正常
· “TX power is high!”――光模块发送光功率高
· “TX power is low!”――光模块发送光功率低
· “TX power is normal!”――光模块发送光功率正常
端口速率百分比是端口实际流量和端口总带宽的比值,用来描述端口带宽的实际使用率。端口速率百分比的计算主要在于要加上帧间隙和前导码:
(ulActualSpeed + 20(前导码+帧间隙)*ulPktSpeed)*8/ulRatedSpeed
ulActualSpeed为下面显示的字节速率(红色字体),ulPktSpeed为下面显示的报文速率(蓝色字体),ulRatedSpeed为端口速率,比如10GE端口则为10 000 000 000 bps。
[Sysname-Ten-GigabitEthernet5/0/2]display interface Te5/0/2
Ten-GigabitEthernet5/0/2 current state: DOWN
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 00e0-fc00-0000
Description: Ten-GigabitEthernet5/0/2 Interface
Loopback is not set
……
Peak value of input: 0 bytes/sec, at 2000-04-26 12:00:32
Peak value of output: 0 bytes/sec, at 2000-04-26 12:00:32
Last 300 seconds input: 0 packets/sec 0 bytes/sec 0%
Last 300 seconds output: 0 packets/sec 0 bytes/sec 0%
Input (total): 0 packets, 0 bytes
- unicasts, - broadcasts, - multicasts
Input (normal): 0 packets, 0 bytes
0 unicasts, 0 broadcasts, 0 multicasts
Input: 0 input errors, 0 runts, 0 giants, 0 throttles
0 CRC, 0 frame, 0 overruns, - aborts
- ignored, - parity errors
Output (total): 0 packets, 0 bytes
- unicasts, - broadcasts, - multicasts, - pauses
Output (normal): 0 packets, 0 bytes
0 unicasts, 0 broadcasts, 0 multicasts, 0 pauses
Output: 0 output errors, - underruns, - buffer failures
0 aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
端口聚合分为两种模式:静态聚合和动态聚合。下面在端口优先级相同的情况下分别就两种模式介绍端口选中情况:
· 静态聚合:
由于静态聚合按照端口的全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且第二类配置(关于“第二类配置”的定义,请参见二层技术-以太网交换配置指导中的“以太网链路聚合”)与对应聚合接口相同的端口作为该组的参考端口,所以10GE端口会选择为参考端口。故最终10GE端口为选中端口,GE端口为非选中端口。
· 动态聚合:
动态聚合比较的是端口号,端口号最小的作为参考端口。该端口号并不对应用户端口号,而是一个16bit的索引。可通过命令display link-aggregation member-port查到。所以是GE端口还是10GE端口成为选中端口取决于具体的端口号。
[Sysname-Ten-GigabitEthernet15/0/1]display link-aggregation member-port Ten-GigabitEther
net 15/0/1
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Ten-GigabitEthernet15/0/1:
Aggregation Interface: Bridge-Aggregation5
Local:
Port Number: 105
Port Priority: 32768
Oper-Key: 4
Flag: {AC}
Remote:
System ID: 0x8000, 3822-d659-7c00
Port Number: 112
Port Priority: 32768
Oper-Key: 1
Flag: {AC}
Received LACP Packets: 3 packet(s)
Illegal: 0 packet(s)
Sent LACP Packets: 3 packet(s)
注意:IRF物理端口由于是产品自行对端口进行加入/退出聚合组操作的,所以是不区分GE、10GE口的。IRF物理端口同时有GE、10GE端口时要保证经过任何一个IRF物端口的流量不大于GE流量,否则当流量到GE端口时会出现丢包。
对于GE光口互连,如果配置了强制速率双工,只要S12500端口可以接收光信号,端口就可以UP;如果是自协商,则如果对端DOWN,本端也应该会DOWN。
对于10GE光口互连,如果是S12500之间互连,那么端口MAC层之间会有协商,一端如果检测到Local Fault,该端口会DOWN并且会发送Remote Fault通知对端,对端检测到Remote Fault也会将本端口DOWN掉。如果是S12500与其他设备端口对接,对端端口DOWN,但是发光是好的,并且没有发送Remote Fault,则本端不会DOWN掉。
· 环路监测功能原理
设备通过发送环路监测报文、并监测其是否返回本设备以确认是否存在环路。若某端口收到了由本设备发出的环路监测报文,就确认该端口存在环路。此功能不需要下游设备感知和配合。
环路监测是基于VLAN进行的,但不排除存在因QinQ或VLAN映射等特性的配置错误而产生环路的情况,也不能排除互连端口的PVID配置的不一样,导致的跨VLAN环路(尽管发出和收到的报文所携带的VLAN信息不同,但仍认为存在环路)。
· 注意事项
只建议针对可疑VLAN配置,或者下挂设备比较多可能存在环路的VLAN,不建议对所有VLAN配置,避免占用大量系统资源。如果规划链路本身就是要冗余备份的,配置STP即可,而不是环路检测。
环路监测和STP不冲突,但我们建议优先选择单独配置STP;
环路监测的好处:只要环路中一台设备配置就可以监测到环路,而STP需要所有设备参与。但我们建议默认使用STP来检测整个网络的环路,因为环路检测无法找到环路原因,只能检测出环路,而STP则从全局网络拓扑的角度出发,来切断环路的可能,且链路之间可以冗余备份切换。我们仅仅建议在故障排查的时候,使用环路检测来快速找到环路的端口。如果两者配合使用,环路监测也不要配置shutdown模式,否则环路检测的shutdown端口的动作可能会干扰到STP的动作。
如果VLAN内已使能了环路监测功能,那么在属于该VLAN的端口上不建议再配置端口镜像功能,否则可能引起环路监测功能出错。
配置loopback-detection action none后,监测到环路会打印log和trap,不解决环路。但注意如果一旦环路长期没有解决,则环路检测报文本身可能会加剧这种环路的广播流量。
配置loopback-detection action shutdown,在使能了环路监测的vlan内,所有收到“源MAC是本设备桥MAC的报文”的端口都会被down掉,即这个VLAN的所有环路端口都会DOWN掉了,而STP则只会DOWN掉少量的端口来保证整个网络没有环路。且除非用户通过undo shutdown命令进行手工开启,否则被环路监测Shutdown模式所关闭的端口将一直维持关闭状态,这可能导致该端口上流量中断;最好有管理员在场,解决环路问题后undo shutdown端口。
支持。
Private VLAN采用Primary VLAN和Secondary VLAN两层VLAN结构,用于简化网络配置,节省VLAN资源。
· Primary VLAN用于上行,一个Primary VLAN可以和多个Secondary VLAN相对应。上行连接的设备只知道Primary VLAN,而不必关心Secondary VLAN,Primary VLAN下面的Secondary VLAN对上行设备不可见。
· Secondary VLAN用于连接用户,Secondary VLAN之间二层报文互相隔离。如果希望实现同一Primary VLAN下Secondary VLAN用户之间报文的互通,可以通过配置上行设备(如图1-1中的Device A)的本地ARP/ND代理功能来实现三层报文的互通;或者通过在本地设备(如图1-1中的Device B)上配置Primary VLAN下指定Secondary VLAN间三层互通,并在Primary VLAN interface上配置IP地址和本地ARP/ND代理功能。
如图1-1所示,设备Device B上启动了Private VLAN功能。其中VLAN 10是Primary VLAN;VLAN 2、VLAN 5、VLAN 8是Secondary VLAN;VLAN 2、VLAN 5、VLAN 8都映射到VLAN 10;VLAN 2、VLAN 5、VLAN 8对Device A不可见。
支持。
二层聚合组分为以下两种类型:
· 普通二层聚合组
对应的聚合接口称为普通二层聚合接口。独立运行模式下的单台设备和一个IRF最多支持240个普通二层聚合组。对于一个普通二层聚合组,单台设备上最多支持的选中端口数为12个;当设备处于IRF模式时,该聚合组内可达到的最大选中端口数=12×成员设备数量。
· 精简型二层聚合组
仅在IRF模式下支持,其对应的聚合接口称为精简型二层聚合接口。一个IRF最多支持1024个精简型二层聚合组。对于一个精简型二层聚合组,IRF中每台成员设备上的选中端口数最多为1,该聚合组内可达到的最大选中端口数=成员设备数量。
S12500支持现有标准生成树协议:STP、RSTP、MSTP和PVST,默认使用MSTP协议。
· STP(Spanning Tree Protocol),生成树协议;
· RSTP(Rapid Spanning Tree Protocol),快速生成树协议,兼容STP;
· MSTP(Multiple Spanning Tree Protocol),多生成树协议,兼容STP和RSTP;
· PVST(Per VLAN Spanning Tree),每VLAN生成树。PVST模式与其它模式的兼容性如下:
¡ 对于Access端口:PVST模式在任意VLAN中都能与其它模式互相兼容。
¡ 对于Trunk端口或Hybrid端口:PVST模式仅在VLAN 1中能与其它模式互相兼容。
STP拓扑变化会及时删除端口上的MAC表项;
STP拓扑变化会将对应的ARP表项置为无效表项,同时发出ARP请求报文,如果收到ARP回应报文则会更新ARP表项,否则删除对应的ARP表项;
如果STP拓扑变化之后又重新学习到了MAC,这个MAC也会同时更新MAC对应的ARP表项。
依据IEEE Std 802.1s MSTP标准协议,如下三个条件同时成立时端口会产生TC BPDU:
· 端口不是STP边缘端口;
· 端口角色从Alternate/Backup/Disabled转化成Root/Designated/Master;
· 端口状态从Discarding/Learning转化成Forwarding。
上述条件一样适用于S12500的STP模式和RSTP模式。实际网络中如下几种触发因素导致STP重计算时可能产生TC BPDU:
· 设备故障或恢复;
· 端口链路状态变化;
· 设备配置改变;
· BPDU收发出现不正常。
S12500运行在MSTP模式时,端口可以有两种工作模式:STP兼容模式、MSTP模式。如果端口连接到运行STP的交换机,端口会自动迁移到STP兼容模式,但是端口连接设备改成MSTP设备后,端口不会主动切换回MSTP模式,此时在MSTP计算时就会出现错误,需要在该端口视图下配置stp mcheck 命令才能让MSTP运行正常。在应用MSTP配置时需要注意,更改过STP Mode后需要在端口应用stp mcheck 命令。
RSTP没有TCN报文,当拓扑结构发生改变时,RSTP将BPDU中的TC位置1,然后向根端口发送。
这是因为S12500去使能MSTP后会透传思科设备的STP报文,思科设备在收到自己发送出去的STP报文后将端口DOWN掉。
S12500可以与思科设备的MSTP和PVST+在MSTI 0对接,但是不能与PVST对接。由于思科设备采用的MSTP实现和我司采用的不一致,所以尽管域配置信息相同,双方设备还是都认为自己是MSTP的域根,导致两台设备不能在同一个域中,即两台设备之间实际上运行的是RSTP。
S12500能够支持和思科设备进行MSTP的对接,但是必须在端口视图下配置:
stp config-digest-snooping
S12500能够根据收到的STP报文自动进行调整和适应,需要在端口视图下配置:
stp compliance auto
· 注意一
如果和S12500对接的设备是发送和接收标准格式的802.1s报文,要求S12500也收发标准格式的802.1s报文。在S12500的端口上面配置stp compliance dot1s,该端口就可以发送和接收标准的802.1s格式报文。
· 注意二
stp config-digest-snooping命令如果只是端口配置了,全局没有使能此命令,摘要侦听不生效。如果接的是其他厂商设备,可能导致认为是在不同的域中。
摘要侦听功能一定要在域内所有与其他厂商相连的交换机的域配置完全相同的条件下使能,否则可能因为各交换机VLAN与实例映射关系不一致导致广播风暴。
在域内某些交换机使能摘要侦听功能的情况下,不能直接更改域配置。请在更改域配置之前去使能该域内所有交换机的摘要侦听功能,否则在更改域配置的过程中可能因为各交换机VLAN与实例映射关系不一致导致广播风暴。
使能摘要侦听功能后,交换机内一直保存着最新接收的配置摘要,即使使能摘要侦听功能的端口失效,此前接收的配置摘要仍然生效。
必须在使能端口摘要侦听特性后,才可以使能全局摘要侦听特性。
必须是在与其他厂商的交换机相连时才使能,否则不必要使能摘要侦听特性。
使能摘要侦听特性时要求与其他厂商的交换机配置完全相同。
域内与其他厂商交换机互连的端口必须全部使能摘要侦听特性。
在域内的边界端口不允许使能摘要侦听特性。
S12500支持在物理以太网端口上配置IP地址,但要先使用port link-mode route命令设置以太网接口工作在三层模式。缺省情况下,以太网接口工作在二层模式。
S12500支持VLAN接口配置从地址,从地址和主地址的功能基本一致,唯一需要注意的从地址不支持组播,使用从地址网段用户不能正常点播组播业务,从地址也不支持建立OSPF邻居。另外,任何三层接口,比如三层以太网接口(子接口)、三层聚合接口(子接口)等,都支持配置从地址。
在删除主IP地址前必须先删除对应的所有从IP地址(不管是VLAN接口还是三层接口)。VLAN接口主地址删除后,从地址无法正常工作。
[Sysname-Vlan-interface1]undo ip address 1.1.1.1 24
Warning: Must delete sub address before deleting primary address!
S12500判断报文是进行二层转发还是三层转发,在端口设置为桥模式时(配置为port link-mode bridge)是根据报文的目的MAC地址是否是VLAN接口MAC地址。如果报文目的MAC地址是接口MAC地址,则该报文进行三层转发或者是MPLS转发;否则,进行二层转发。
目前ARP表项在超过规格后不支持发送TRAP,但在日志中会打印资源不足消息。
%Oct 5 09:53:33:655 2012 H3C DRVL3/3/DRVL3_LOG_EMERG: No enough resource!
基于报文的目的MAC、源MAC、源IP、目的IP、TCP/UDP源目的端口等信息进行负载分担。用户可以根据需要调节等价路由负载分担的方法,具体方法同聚合负载分担调节方法,参见“二层技术-以太网交换配置指导”的“链路聚合配置”(对应命令:link-aggregation global load-sharing mode)。
说明:通过link-aggregation global load-sharing mode命令配置链路聚合负载分担类型时,除mpls-label1、mpls-label2、mpls-label3、per-packet之外的所有其他分担类型对单播流量的等价路由负载分担也会生效,即等价路由流量会按照这些分担类型进行负载分担;链路聚合支持per-packet逐包分担,而等价路由是不支持的。
不支持。
VRRP监视接口功能需要与Track联动实现。当被监视的接口处于Down或Removed状态时,拥有这个接口的交换机的VRRP优先级会自动降低一个数额(value-reduced),可能导致备份组内其他交换机的VRRP优先级高于这个交换机的VRRP优先级,从而使得其他优先级高的交换机转变为Master。S12500只能监视三层以太网接口、VLAN接口、三层聚合接口,如果VLAN接口对应的VLAN中包含多个物理端口,只要有1个端口是UP就不会降低优先级。
支持。VRRP可以通过Track项关联,跟踪某个物理端口状态来调整VRRP的优先级。
S12500的路由协议(比如:BGP/OSPF/ISIS/RIP)下发的32位掩码路由的优先级要比ARP主机路由优先级高。
无效。
使能/禁止伪DHCP服务器检测功能后,DHCP报文只有上送到CPU后DHCP模块才能处理,如果S12500作为二层设备,只做二层转发,DHCP报文上不了CPU,则S12500无法进行伪DHCP服务器检测。
S12500 CPU对报文长度(包含IP头)超过软件设置的MTU((缺省为1500字节)的ICMP PING报文,采用分片方式发送,如果设置-f(不分片)标记,则报文无法对外发送。
如果S12500单板接口上配置了允许jumbo帧通过,则设备可以接收超过1500字节的ICMP报文,且该报文可以上送CPU,同时设备也可以回应该ICMP报文,但是如果回应报文长度超出1500字节,也会被分片。
S12500如果是回应对方的PING报文,CPU收到以后就直接回应;
如果是S12500发出ICMP PING报文,缺省情况下收到回应后马上发送下一报文;如果没有收到对方的回应,在达到超时时间后发送下一报文,超时时间可以设置,缺省为2秒;
如果设置了ping –m interval参数,则报文在收到回应后间隔interval时间后发送下一ICMP请求。
URPF只在VLAN接口下支持,三层以太网接口和三层聚合口等都不支持;若等价路由下一跳表项数超过8条,则设备不支持URPF检查。当系统工作模式为标准模式时,如果VPN实例没有配置保留VLAN,则该VPN实例绑定的私网VLAN接口上不能配置URPF功能。
对URPF的链路层检查(参数link-check),不支持等价路由方式。如果存在等价路由,则不要启用链路层检查功能。URPF检查仅对接口收到的报文有效。
MTU设置对于IPv4软件转发有效,硬件转发无效;IPv6支持软硬件设置,对软硬件转发都有效,但设备最多只能设置14个MTU值。IPv4和IPv6两种设置分别如下:
[Sysname-Vlan-interface30]mtu ?
INTEGER<64-9198> MTU value
[Sysname-Vlan-interface30]ipv6 mtu ?
INTEGER<1280-9198> MTU (bytes)
所谓黑洞路由就是当去往某一目的地的静态路由出接口均为NULL 0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。在网络遭受IP攻击的情况下,可以通过配置黑洞路由丢弃去往目的地址的报文,配置举例如下:
<Sysname>system-view
[Sysname]ip route-static 1.1.1.1 32 null 0 preference 1
S12500的OSPF Cost值与二层以太网接口速率无关。缺省情况下,VLAN接口按照当前自身的带宽自动计算接口运行OSPF协议所需的开销。
到相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但并非这些路由都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。这样,各路由协议(包括静态路由)都被赋予了一个优先级,这样当存在多个路由信息源时,具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级(数值越小表明优先级越高)。
表5 路由协议及其发现路由的优先级
路由协议或路由种类 |
相应路由的优先级 |
DIRECT |
0 |
OSPF |
10 |
IS-IS |
15 |
STATIC |
60 |
RIP |
100 |
OSPF ASE |
150 |
OSPF NSSA |
150 |
IBGP |
255 |
EBGP |
255 |
UNKNOWN |
256 |
其中:0表示直连路由,256表示任何来自不可信源端的路由。
设备打印ospf config error的原因通常为配置错误导致,有如下两种情况:
交换机同一VLAN广播域内存在其他设备配置了相同网段的接口地址,但是两台设备上的区域不相同。
对端设备配置了Virtual-link到本设备,但是本设备没有配置对应的Vritual-link邻居,在收到对端Vlink发送的报文时发送Trap信息。
在链型组网SwitchA----SwitchB----SwtichC(SwitchA、SwitchB、SwitchC简称为A、B、C)情况下:
(1) A 发送新的LSA-1到B, B转发送至C,并加重传列表,C收到更新,但尚未回复ACK;
(2) A 再次更新LSA-1到B,B再次转发至C,并加重传列表,由于尚未收到C的回复ACK,因此替换掉老的重传结点,发送Updater至C;
(3) C 没收到最近的LSA,发送上次更新的ACK;
(4) B 收到的ACK与重传列表上的比较,发觉新旧不一致,就做计数,记录错误码:Bad ACK。.
配置如下:
ip route-static 110.75.0.0 23 Null0 preference 240 description HZCM4_T18_VIP_BGP_Advertise
ip route-static 110.75.4.0 24 110.75.0.234 description HZCM4_T18_VIP
ip route-static 110.75.4.0 24 110.75.0.254 preference 240 description HZCM4_T18_VIP
当前往110.75.4.0/24网段的路由下一跳110.75.0.234失效的时候, 110.75.0.234被迭代到第一条静态路由,即设备认为可以通过第一条静态路由到达110.75.0.234,从而到达110.75.4.0/24。于是到达110.75.4.0/24的下一跳的出接口迭代为NULL0:
display fib 110.75.4.0
Destination count: 1 FIB entry count: 1
Flag:
U:Useable G:Gateway H:Host B:Blackhole D:Dynamic S:Static
R:Relay F:FRR
Destination/Mask Nexthop Flag OutInterface/Token Label
110.75.4.0/24 110.75.0.234 USB NULL0 Null
通过在配置静态路由时指定出接口可以避免路由迭代,这样在下一跳110.75.0.234不可达时,会重新选择另一条路由,配置如下:
ip route-static 110.75.4.0 24 vlan-interface 100 110.75.0.234 preference 240
S12500支持在VLAN接口上配置MAC地址偏移来改变接口缺省MAC地址,具体命令为mac-address offset value。
配置注意事项:
· 不同VLAN接口可以配置相同的偏移值。
· VLAN接口不支持同时配置MAC地址偏移量和BFD MAD检测功能。如果在VLAN接口上配置了BFD MAD检测功能,则优先生效BFD MAD检测功能,配置的MAC地址偏移量不会生效。
· 请不要在B-VLAN、使能FCoE功能的VLAN对应的VLAN接口上配置MAC地址偏移,否则会导致流量不通。
· 在配置Private VLAN时,可以在Primary VLAN的对应VLAN接口上配置MAC地址偏移。对于Secondary VLAN的对应VLAN接口,配置的MAC地址偏移不会生效,而是以该Secondary VLAN映射的Primary VLAN的VLAN接口的MAC地址为准;如果对应的Primary VLAN interface未创建,则Secondary VLAN interface使用VLAN接口的缺省MAC地址;只有当Secondary VLAN恢复为普通VLAN后,其对应VLAN接口上配置的MAC地址偏移量才能生效。
支持。
可以通过配置ACL规则限制非法组播源的组播转发。比如某局点只想对源地址是99.100.100.4、组地址是225.1.1.1的组播组建立组播表项,进行转发,则可以配置如下:
(1) 配置ACL规则:
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 permit ip source 99.100.100.4 0 destination 225.1.1.1 0
[Sysname-acl-adv-3000] rule 1 deny ip
(2) 在PIM视图下设置路由策略source-policy:
[Sysname-pim] source-policy 3000
这样在交换机上就只能建立S为99.100.100.4,G为225.1.1.1的组播表项,其他组播表项都无法建立。
S12500支持组播组过滤规则。可以通过在二层以太网端口、二层聚合接口或端口组上配置命令igmp-snooping group-policy acl-number [ vlan vlan-list ]来实现。
注意:
· 当指定的ACL不存在或者其规则为空时,将过滤掉所有的组播组,即主机不能加入任何组播组。主机只能加入与该ACL规则中permit语句匹配的组播组。
· 组播组过滤功能对指定VLAN内的所有成员都生效。
· 组播组过滤规则对本设备配置的静态成员端口加入不生效。
图4 组播示意图
在特定组网环境中,上图组网中组播流会按照下面路径进行转发(因为组播会首先转发到DR):
组播源------>Switch A-----> Switch B-------> Switch A------>点播者。
由于从组播源到Switch A的组播报文的RPF接口为Vlan-int10,所以这样的组播流在Switch A上会因为RPF检查失败而被丢弃,导致点播者无法接收到组播流。
可通过下面两种方式解决此问题:
· 改变组网使Switch A被选举为DR。由于IP大的交换机会成为DR(注意接口上配置的VRPP 虚拟IP不参与选举),所以配置Switch A的Vlan-int20的IP地址大于Switch B的Vlan-int20的IP地址。
· RFP检测失败后,在Switch A上配置组播数据报文在VLAN20内组播,配置命令为multicast rpf-fail-pkt flooding和multicast rpf-fail-pkt bridging。
不能。
不生效。
12500支持双向PIM。
需要注意的是:
· 系统工作模式为标准模式时,设备不支持双向PIM。
· 当双向PIM的组播转发表项中(S,G)项的入接口或出接口为隧道接口时,会导致组播流量转发不通(组播转发表项可使用display multicast forwarding-table命令查看)。所以双向PIM的组网中,请不要使用隧道接口。
S12500支持跨板配置端口镜像和流镜像。
S12500不支持跨框配置端口镜像,即目的端口和源端口(或源VLAN中的端口)不能位于IRF的不同成员设备上。
S12500不支持跨框配置流镜像,即被监控流量的入端口与流镜像的目的地(目的端口、目的VLAN内的端口、目的CPU)不能位于IRF的不同成员设备上;但可以流镜像到跨框聚合口(镜像到跨框聚合口的流量只能从本框聚合成员端口出去,如果本框的聚合成员端口处于down状态,镜像报文不会从跨框的聚合成员端口上转发出去)。
· 在IRF模式下,流镜像支持镜像到VLAN,但镜像报文不会从VLAN中跨框的端口转发出去;
· 在IRF模式下,设备不支持将指定源VLAN的报文镜像到目的端口;
· 在IRF模式下,S12500不支持端口镜像和流镜像到跨框的普通目的端口,但可以配置跨框端口镜像和流镜像到OAA单板上的内联接口。
S12500端口镜像应用过程中需要注意:
· 请不要将源端口加入到源VLAN中,否则会影响镜像功能的正常使用;
· 如果源端口上配置了outbound关键字,则不能在该端口上配置Flow采样功能;
· 一个镜像组内可以配置多个源端口,但只能配置一个目的端口;
· 同一个端口不可以作为不同镜像组的源端口和目的端口;
· 请不要将目的端口加入到源VLAN中,或在目的端口上使能生成树协议,否则会影响镜像功能的正常使用;
· 当二层聚合接口作为目的端口时,请勿将其成员端口配置为源端口或将其加入源VLAN,否则会影响镜像功能的正常使用;
· 从目的端口发出的报文包括镜像报文和其他端口正常转发来的报文。为了保证数据监测设备只对镜像报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
S12500只支持入方向流镜像,包括流镜像到端口、流镜像到聚合口、流镜像到VLAN、以及流镜像到CPU(流镜像到VLAN时有如下限制:对于LST1XP16LEB1、LST1XP16LEC1、 LST1XP16LEC2单板,配置流镜像到指定VLAN时,功能不支持。)。
流镜像到CPU固定占用一个目的端口资源,其他的三种流镜像合计每板最多配置6个目的端口资源。
表6 S12500 以太网接口板上同方向的镜像支持目的端口的数量
单板类型 |
支持的目的端口个数 |
详细说明 |
48端口千兆以太网接口板 |
2 |
前24个接口支持1个,后24个接口支持1个 |
4端口万兆以太网接口板 |
2 |
每2个接口支持1个 |
8端口万兆以太网接口板 |
4 |
每2个接口支持1个 |
16端口万兆以太网接口板 |
8 |
每2个奇数位接口支持1个,每2个偶数位接口支持1个 |
20端口万兆以太网接口板 |
1 |
支持1个 |
32端口万兆以太网接口板 |
4 |
接口1、3、5、7、9、11、13、15支持1个; 接口2、4、6、8、10、12、14、16支持1个; 接口17、19、21、23、25、27、29、31支持1个; 接口18、20、22、24、26、28、30、32支持1个 |
40端口万兆以太网接口板 |
2 |
前20个接口支持1个,后20个接口支持1个 |
48端口万兆以太网接口板 |
4 |
接口1~12支持1个; 接口13~24支持1个; 接口25~36支持1个; 接口37~48支持1个 |
16端口40G以太网接口板 |
4 |
接口1~4支持1个; 接口5~8支持1个; 接口9~12支持1个; 接口13~16支持1个 |
4端口100G以太网接口板 |
2 |
前2个接口支持1个,后2个接口支持1个 |
S12500流镜像和端口镜像可以同时配置使用,但流镜像和端口镜像的目的端口不共用。
没有影响,S12500端口上收到的所有数据包都会无条件被镜像至目的端口。
S12500 QoS策略支持以下5种应用方式:
· 基于接口应用QoS策略:QoS策略对通过接口接收或发送的流量生效。
· 基于VLAN应用QoS策略:QoS策略对通过同一个VLAN内所有接口接收或发送的流量生效。
· 基于全局应用QoS策略:QoS策略对所有流量生效。
· 基于控制平面应用QoS策略:QoS策略对通过控制平面接收的流量生效。
· 基于管理口控制平面应用QoS策略:QoS策略对通过管理口接收的流量生效。
S12500支持出方向QoS策略,出方向QoS策略只支持报文过滤、流量监管、流量统计、dscp/dot1p/exp优先级重标记和带颜色的dscp/dot1p/exp优先级重标记、修改外层VLAN等动作。
QoS策略的优先级由高到低依次为:全局QoS策略、接口QoS策略、VLAN中的QoS策略。
VLAN中的QoS策略最后匹配,当全局QoS策略和接口QoS策略没有匹配后才能匹配VLAN中QoS策略。
基于VLAN应用的QoS策略需要下发到所有接口板,如果遇到某个接口板硬件资源不足等情况,会导致策略在该接口板下发失败。此时主控板及其他接口不回退该策略的配置,需要用户手工将该策略的相关配置清除。类似地,动态修改过程中,如果基于VLAN应用的QoS策略在某个接口板刷新时遇到硬件资源不足等情况,下发失败,也需要用户手工将该策略的配置清除。
全局QoS策略优先匹配,当全局QoS策略匹配后不再匹配接口QoS策略与VLAN中的QoS策略。
基于全局应用的QoS策略需要下发到所有接口板,如果遇到某个接口板硬件资源不足等情况,会导致策略在该接口板下发失败。此时主控板及其他接口不回退该策略的配置,需要用户手工将该策略的相关配置清除。类似地,动态修改过程中,如果基于全局应用的QoS策略在某个接口板刷新时遇到硬件资源不足等情况,下发失败,也需要用户手工将该策略的配置清除。
S12500的ACL匹配顺序有以下两种方式:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配。
用户自定义ACL的规则只能按照配置顺序进行匹配;其他类型的ACL则可选择按照配置顺序或自动顺序进行匹配。缺省情况为配置顺序。
通过命令display acl acl-number显示的ACL规则顺序就是实际ACL规则匹配顺序:
[Sysname]display acl 3000
Advanced ACL 3000, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit tcp source 10.11.0.0 0.0.255.255
rule 5 permit ip source 10.11.113.0 0.0.0.255
rule 0 permit ip
S12500的ACL规则中permit和deny在应用中的区别:
· 当在QoS流分类if-match中引用ACL时,rule中定义的deny参数表示匹配的报文不执行C-B对中的动作,rule中定义的permit表示匹配的报文执行C-B对中的动作。
· 在报文过滤中引用ACL时,只有匹配rule deny的报文将被丢弃,没有匹配rule deny的报文都允许通过。
· 在配置策略路由时,创建策略节点和设置策略节点下的ACL匹配规则时都会指定permit或deny,两者组合的处理结果如下:
¡ Node permit:ACL rule permit
- 匹配成功:设置的下一跳有效,则直接转发;设置的下一跳无效则走普通转发
- 匹配失败:继续下一个Node的匹配
¡ Node permit:ACL rule deny
- 匹配成功:继续下一个Node的匹配
- 匹配失败:继续下一个Node的匹配
¡ Node deny:ACL rule permit
- 匹配成功:走普通转发
- 匹配失败:继续下一个Node的匹配
¡ Node deny:ACL rule deny
- 匹配成功:继续下一个Node的匹配
- 匹配失败:继续下一个Node的匹配。
· 除上述三种以外的其他情况下引用ACL时,对于没有匹配到rule permit的报文,都会被认为rule deny。
S12500的ICMP PING报文是通过查找FIB路由表转发到CPU处理,而ACL引擎在IPv4引擎前面,匹配规则后的报文会直接查找到策略路由的下一跳,而上不了CPU,从而不能回应ICMP PING请求报文,导致不能PING通。
在配置策略路由前建议配置Packet-filter的Permit的规则,让匹配的目的MAC为VLAN接口的MAC,上送CPU处理。
S12500应用在端口上的ACL规则的配置恢复顺序就是在端口上通过display acl acl-number命令查看到的配置顺序。
S12500上由于拥塞导致端口丢包,可以通过命令buffer egress slot slot-number packet total-shared size-value来适当增加数据缓冲区中共享区域大小来缓解端口丢包,然后再执行buffer apply命令应用数据缓冲区的配置。
只能通过在流分类中通过if-match forwarding-layer { bridge | route }命令来匹配2层报文或者3层报文。
匹配2层报文和3层报文是互斥的。流分类中的forwarding-layer参数必须和其他参数配合使用,不允许单独配置;且不论类操作符是and或or,同时配置的其他参数都不允许和forwarding-layer参数冲突。
S12500在流分类下的规则之间是逻辑或的关系时,支持同时匹配二层ACL和三层ACL的QoS策略;在流分类下的规则之间是逻辑与的关系时,不支持同时匹配二层ACL和三层ACL的QoS策略,但是在流分类中,二层ACL和三层ACL可以分别配合if-match其他的匹配规则使用。
先配置ACL规则,再在接口上应用ACL规则进行报文过滤。示例如下:
配置ACL规则。
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 deny ip source 192.168.1.2 0
应用ACL规则对VLAN接口上匹配的报文进行过滤。
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] packet-filter 3000 inbound
[Sysname-Vlan-interface2] quit
S12500支持对多个端口整体流量监管,通过在同一个转发模块对应的端口上配置聚合CAR来实现。
端口配置流量限速CAR后,端口信息显示的入流量统计信息仍然没有变化,是因为端口统计的流量在流量限速CAR之前,先统计端口流量,后进行流量限速CAR,所以通过display interface命令显示的端口流量没有变化。
S12500只支持入方向重定向功能,而且报文可以重定向输出到CPU、普通端口、聚合接口。
S12500根据策略路由转发时,TTL也会减1,如果TTL为1则上送CPU,因此Tracert的报文可以上CPU正常处理。
可以通过reset counters interface interface-type interface-number命令来清除流量统计计数:
<Sysname>reset counters interface g7/0/17
<Sysname>display qos policy interface g7/0/17
Interface: GigabitEthernet7/0/17
Direction: Inbound
Policy: p1
Classifier: c1
Operator: AND
Rule(s) : If-match acl 2020
Behavior: b1
Accounting Enable:
0 (Packets)
S12500上只能识别PPPOE的控制报文与数据报文,对于PPPOE报文里面的字段是无法通过二层ACL规则和三层ACL规则进行匹配,但是可以分析PPPOE封装的ICMP报文的特征,配置自定义ACL规则来匹配。
端口可以通过配置qos priority dot1p命令来修改端口的dot1p优先级,端口默认dot1p优先级为0。
当端口上默认配置的时候,报文会取用端口默认的(dot1p/exp/dscp/lp/dp)优先级,报文转发出去时,设备不会修改原有报文各种优先级。
当端口配置了qos priority dot1p优先级,所有报文都会采用端口dot1p优先级,报文转发出去时,设备会将报文的dot1p优先级修改为入端口的dot1p优先级,其他各种优先级不变。
当端口配置了qos trust dot1p命令,对应taged报文,会根据报文tag中的dot1p值查找各种映射表(dot1p-exp、dot1p-dscp、dot1p-lp、dot1p-dp);对于untag报文,会使用通过qos priority dot1p命令修改后的dot1p优先级值,如果没有通过qos priority dot1p命令修改dot1p优先级值,则取用端口默认的dot1p优先级值。
当端口配置了qos trust dot1p overide命令,对应taged报文,会根据报文tag中的dot1p值查找dot1p-dot1p映射表来映射dot1p值,然后再根据映射后的dot1p值查找查找各种映射表(dot1p-exp、dot1p-dscp、dot1p-lp、dot1p-dp);对于untag报文,会使用通过qos priority dot1p命令修改后的dot1p优先级值,如果没有通过qos priority dot1p命令修改dot1p优先级值,则取用端口默认的dot1p优先级值。
报文转发出去时,如果配置了qos trust,设备会修改报文的各种优先级(dot1p/exp/dscp)。
S12500默认不信任报文的任何优先级,即不信任报文的dot1p优先级,也不信任报文的dscp字段和exp字段。在端口默认配置下,报文会取用端口默认的(dot1p/exp/dscp/ lp/dp)优先级,报文转发出去时,设备不会修改原有报文各种优先级。
S12500做P设备,不会自动信任MPLS报文的exp字段,如果需要在P设备上信任MPLS报文的exp值,可以在报文的入端口上配置qos trust exp命令。
混合调度的时候,需要将WRR组内的队列设置成连续的队列,否则调度不准确。
可以。
不支持。
不能。
目前,S12500基于控制平面应用QoS策略支持对以下协议报文限速:ARP,BGP,DHCP,DHCP Snooping,DHCPv6,DLDP,GVRP,ICMP,ICMPv6,IGMP,ISIS,LACP,LDP,LLDP,MLD,NTP,OAM,OSPF,PIM,PORTAL,RIP,RIPng,SNMP,STP,TACACS,UDP Helper,VRRP,TELNET。
支持。
OpenFlow交换机是指支持OpenFlow协议的交换机,OpenFlow交换机根据对OpenFlow协议的支持程度不同又分为如下两种:
· OpenFlow-Only Switch:专门为支持OpenFlow而设计的交换机。仅支持OpenFlow转发,不支持普通交换机的转发功能。
· OpenFlow-Hybrid Switch:既支持OpenFlow转发,也支持普通交换机的正常转发。S12500即属于OpenFlow-Hybrid Switch类型。
OpenFlow网络由OpenFlow网络设备(Switch)和控制器(Controller)通过安全通道(Secure channel)组成。 OpenFlow允许控制器直接访问和操作网络设备的转发平面,将控制平面和数据平面分离。OpenFlow交换机依据控制器下发的流表(Flow Table)对报文进行匹配和转发,而普通交换机的控制和转发平台没有实现分离。
目前S12500支持的OpenFlow协议版本是1.3.1,兼容1.0.0。
目前S12500作为OpenFlow交换机,支持的Controler有H3C VCF(Virtual Converged Framework,虚拟应用融合架构)控制器、HP VAN SDN Controller。
一个OpenFlow实例最多可以连接64个控制器。
QinQ是802.1Q in 802.1Q的简称(也称为802.1Q Tunneling),是基于IEEE 802.1Q技术的一种比较简单的二层VPN协议。通过将一层VLAN Tag封装到私网报文上,使其携带两层VLAN Tag穿越运营商的骨干网络(又称公网)。
当端口上配置了QinQ功能后,不论从该端口收到的报文是否带有VLAN Tag,设备都会为该报文添加本端口缺省VLAN的Tag:
· 如果收到的是带有VLAN Tag的报文,该报文就成为带两层Tag的报文;
· 如果收到的是不带VLAN Tag的报文,该报文就成为带有本端口缺省VLAN Tag的报文。
QinQ功能是以端口来划分用户或用户网络,但当多个不同用户以不同的VLAN接入到同一个端口时则无法区分用户。在运营商接入环境中往往需要根据用户的应用或接入地点(设备)来区分用户,这种应用可以通过VLAN映射功能实现。
· 缓解日益紧缺的公网VLAN ID资源问题。
· 用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID冲突。
· 为小型城域网或企业网提供一种较为简单的二层VPN解决方案。
· 当升级网络时,用户网络不必更改原有配置,使用户网络具有了较强的独立性。
用户侧上来的报文已经有两层Tag,S12500还可以再做QinQ。
customer-vlan-id表示入报文有多层tag时的内层tag;
service-vlan-id表示入报文有两层tag时的外层tag,或者入报文只有一层tag时的外层tag;当入报文没有tag时,service-vlan-id就是端口的pvid。
S12500 的QinQ会在外层VLAN内学习MAC,通过查找MAC表进行转发。
S12500交换机只支持与其他S12500交换机之间建立IRF,不能与不同系列的交换机产品建立IRF。
IRF缺省只能支持两台成员设备。只有配置了IRF增强功能后,IRF最多可以支持4台成员设备。
配置IRF端口时,本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连,本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定。
在将物理端口加入IRF端口或者从IRF端口中删除前,必须先将涉及到的物理端口执行shutdown命令;执行添加或者删除操作后,再将该物理端口执行undo shutdown命令;在备框上的最后一个IRF物理端口不能够执行shutdown命令。
IRF支持两种拓:链型拓扑和环形拓扑。
· 如果没有配置IRF增强功能,可以使用中继设备,但只能使用链形拓扑;
· 如果配置了IRF增强功能后,不能使用中继设备,且只能使用环形拓扑。
支持。
支持。只要将对应成员设备上的IRF物理端口与IRF端口绑定,这些IRF物理端口就会自动聚合,无需使用聚合端口。
两个框的成员编号不能相同,在组建IRF之前要求两台设备配置不同的成员编号后再进行组建;同框的两块主控板成员编号要求一致,如果不一致,备用主控板会重启一下然后把成员编号改成和主用主控板一致。
建立IRF前,确保多台设备的系统工作模式必须相同,否则不能形成IRF。
建立IRF前,确保设备的acl hardware-mode ipv6必须配置一致,即都为acl hardware-mode ipv6 enable或都为acl hardware-mode ipv6 disable,否则不能形成IRF。
建立IRF前,需确保IRF增强功能配置一致,即都配置IRF增强功能或者都不配置IRF增强功能,否则不能形成IRF。
在IRF模式下,默认情况支持版本自动加载功能,主备单板软件版本号不一致,则自动从全局主用主控板下载启动文件,然后使用新的系统启动文件重启,重新加入IRF;但是如果主备主控板软件版本不配套,自动加载功能可能不能正常工作(是否配套依赖于两个版本的差异大小,有时候即使两个相邻的版本也会不配套,需查看版本说明书中的具体说明),此时需要手工升级全局备用主控板。
不可以。如果修改了成员设备上MDC的相关配置,成员设备可能无法合并为IRF。
是的,在使能IRF增强模式前,若存在三层以太网接口则需要切换为二层以太网接口。使能IRF增强模式后,不能再创建三层以太网接口/子接口,三层聚合接口/子接口。
首先必须保证成员设备小于等于两台且每台成员设备上只有一个IRF端口,再执行undo irf mode enhanced命令,否则IRF增强功能无法取消。
LACP MAD和其他MAD不能共存。BFD MAD和ARP MAD可以共存。
如果配置LACP MAD检测方式,组网中需要使用中间设备,中间设备必须满足下列条件:
· 必须为H3C的交换机设备;
· 使用的软件版本必须能够识别、处理携带了ActiveID值的LACP PDU协议报文。
· 在LACP MAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。否则可能造成LACP MAD检测异常,甚至导致业务中断。
IRF两台成员设备间启用BFD MAD检测时,要求MAD VLAN物理上保持互通,且不能存在环路,也不能配置其他业务;如果在全局视图下使能了STP功能, BFD MAD检测使用的VLAN包含的物理端口会收到对端成员设备的STP报文,在IRF状态下,系统会认为是收到了自身发送的STP报文,网络存在环路,从而把BFD MAD使用的物理端口Block,导致BFD MAD不生效。在系统全局使能STP的情况下,需要在BFD MAD使用的物理端口上去使能STP功能,这样BFD MAD才能真正生效。
如果IRF启用了MAD,在IRF分裂之后处于Recovery状态的IRF上所有业务端口会被Shutdown,此时重启处于Active状态的IRF上,在IRF重新合并(merge)时,处于Recovery状态的IRF会重新加入IRF,此时软件不会自动让重新加入的成员设备的端口自动up起来,避免再次有同样的原因导致IRF分裂。需要通过mad restore命令把MAD DOWN的端口重新UP起来。如果重启的是处于Recovery状态的IRF,则不会存在这个问题。
IRF分裂之后,两台成员设备都是Master,在某一台成员设备上新增配置并保存,虽然在本设备上确实保存了新配置,但是如果这台成员设备重新形成IRF之后成了Slave,那么由于这些配置没有同步到Master,Slave仍然按照Master的配置执行,最终Slave独自新增的配置丢失了。
如果IRF Hello报文超时导致IRF分裂,但IRF端口没有变化过,在IRF hello报文恢复正常后,设备重新形成IRF时优先级低的成员设备会自动复位;
如果IRF hello报文超时导致IRF分裂,且IRF端口发生过变化,在IRF hello又恢复正常后,设备重新形成IRF时,会提示用户人工重启;如果没有配置MAD,软件会提示优先级最低的框重启;如果配置了MAD,那么软件会提示成员设备编号大的设备重启。
有多种可能的原因。比如:
· IRF成员设备的业务端口链路类型为Access类型,当业务报文从IRF物理出来时,会去掉4字节的vlan tag;
· IRF物理端口的流量分担是根据报文的源MAC、目的MAC、源IP和目的IP等参数使用Hash算法计算出不同的出端口,但是如果报文的这些属性相同,计算出的出端口也相同,没有达到负载分担的效果;
· Master和Slave之间需要同步一些协议报文(例如IRF的hello报文等),这些协议报文也会占用端口的带宽。
可以,一般最多配置2个ENDS,形成备份。
· EVI Link:在同一个EVI网络实例中,边缘设备之间的一条双向的虚拟通道,完成站点数据在边缘设备之间的透明传输。该通道由EVI隧道承载,一条EVI隧道上可以承载多条EVI Link,可以用EVI-Link接口和远端边缘设备的IP地址来标识一条EVI Link。
· EVI隧道:用于承载EVI Link的GRE隧道,一条EVI隧道上可以承载多条EVI Link(最多为32条)。EVI隧道是点到多点的隧道,本地站点的边缘设备通过一条EVI隧道可以和多个邻居站点的边缘设备建立连接,其中每一个连接对应一条EVI Link。
EVI域中边缘设备称为ED(Edge Device),PE是MPLS域中的运营商边缘设备PE(Provider Edge)。二者是两个不同域的边缘设备。
在EVI域中,扩展VLAN也就是私网VLAN,一个扩展VLAN只能和一个EVI实例绑定。
在EVI域中,MAC在本地学习后通过EVI IS-IS发布到远端的ED设备,所有实例内的ED设备都会学习该MAC。但是有些Customer MAC是用户自定义的,不能作为源MAC被正常学习到,也不能被正常发布到远端ED。为了转发这种目的是Customer MAC的报文,EVI定义了泛洪MAC,用户可以手工配置指定实例、指定私网VLAN下的泛洪MAC,ED将目的地址是该MAC的报文广播到所有ED对端和本地VLAN内所有成员口。
在EVI域中,公网侧接收到的报文,包括单播、组播和广播报文都不允许再次转发到公网侧,只能转发到用户侧。这种行为称为水平分割,其目的是为了防止EVI域内的广播环路。
EVI域中,未知单播、未知组播只能在本地VLAN内转发,不能广播到远端ED设备,广播报文会在EVI实例内广播,包括本地VLAN和远端ED设备。
使用display spbm peer命令查看SPBM的邻居信息时,与邻居间的连接处于Up*状态,此时该邻居不承载流量,表明配置有误,需要在本端和对端设备上做以下检查:
(1) 用display stp region-configuration命令检查如下字段,确保邻居间这些字段的值相同:
¡ Region name:域名,可使用命令region-name来配置。
¡ Revision level:修订级别(缺省为0,无需配置),可使用命令revision-level来配置。
¡ VLANs Mapped:VLAN映射表,可使用命令instance来配置。
(2) 用display spbm ect命令查看ECT算法信息和使用该ECT算法的B-VLAN,确保邻居间B-VLAN和ECT算法的映射关系一致。可使用ect命令用来配置B-VLAN与ECT算法之间的映射关系。
(3) 用display spbm bvlan-info命令查看B-VLAN信息,确保邻居间的B-VLAN配置一致。
SPBM必须运行在MST 4092实例,instance-id值必须配置为4092。查看方法:
[sysname]stp region-configuration
[sysname-mst-region]display this
#
stp region-configuration
region-name spb
instance 4092 vlan 3001 to 3028
active region-configuration
#
return
支持组播核心复制模式功能的产品,缺省会使用同一B-VLAN来承载单播流量和组播流量。由于芯片限制会出现组播报文无法复制的问题,此时通过双B-VLAN功能可以解决该问题。
双B-VLAN功能使用奇数B-VLAN(B-VLAN值为奇数)来承载单播流量,使用偶数B-VLAN(B-VLAN值为偶数)来承载组播流量。SPB IS-IS协议报文中仅携带奇数B-VLAN,链路计算时会使用奇数B-VLAN来生成对应的单播转发表,同时使用对应的偶数B-VLAN(偶数B-VLAN值=对应奇数B-VLAN值+1)来生成对应的组播B-VLAN。后续用户侧报文入SPBN时,会在奇数B-VLAN内进行单播发送,在偶数B-VLAN内进行组播发送。
BEB设备在用户侧接口的以太网服务实例中绑定的私网VLAN(用encapsulation命令匹配的外层VLAN)不能再配置其他业务(包括二层,三层业务)。
SPBN中B-VLAN禁止用于除SPBM外的其他任何功能,例如EVI扩展VLAN(因为该VLAN不学习MAC,会影响EVI的基本转发功能)、三层VLAN接口等。在配置B-VLAN前,用户需删除配置在该VLAN上的其他功能。
SPBN整网各节点独立收集拓扑信息,并进行独立计算转发路径。网络拓扑震荡时,各节点收敛速度可能不一致,导致各节点计算的速度不一致,网络瞬间可能形成环路。SPB通过AP(Agreement Protocol,一致协议)协议来解决环路问题。SPB AP协议目的是解决瞬时环路,其基本思想是延迟表项下发的时机。拓扑计算后,转发表项不会立即下发,只有与邻居的拓扑已同步时才允许下发转发表项。
配置AP模式后,对应的表项在生效前需进行AP检测,检测通过(即链路状态数据库同步完成)后,才能指导转发,检测不通过则表项不生效。
SPB如果使能了双B-VLAN功能(相关命令为multicast-bvlan enable),不支持与其他厂商设备对接。
SPB和PBB是不同的协议标准,不支持对接。原有PBB网络不能直接升级为SPB,必须所有设备都支持SPB才能部署SPB网络。
SPB不支持静态ESP(Ethernet Switch Path),所有B-MAC转发路径都是经过IS-IS协议计算得来。
建议使能LDP、RSVP、OSPF、ISIS、BGP和FSPF等协议的GR或NSR功能,否则ISSU升级期间可能会出现业务中断的现象。
建议去使能LDP、RSVP、OSPF、ISIS、RIP、BGP、VRRP、NQA等协议的BFD功能,否则ISSU升级期间可能会出现业务中断的现象。
软重启时,需要将接口板运行的状态保存到内存中,所以支持软重启的接口板需要有1G内存。
软重启期间不能拔插接口板端口的网线,不能执行用户命令行,因为在软重启期间必须确保系统处于稳定状态。
系统会将所有网板逐个进行重启,重启下一块网板时软件会确保前一块网板已经正常启动。
对于使用LST1MRPNE1或LST1MRPNE2主控板的S12500,最多支持9个MDC(包括缺省MDC);
对于使用LST1MRPNC1或LST2MRPNC1主控板的S12500,最多支持4个MDC(包括缺省MDC)。
不同种类的接口板,最多可以被分配给几个MDC,请参见表7。
接口板类型 |
最多可以被分配给几个MDC |
|
内存为512M的接口板 |
1(包括缺省MDC) |
|
内存为1G的接口板 |
2(包括缺省MDC) |
|
内存为4G的接口板 |
LST1XP20RFD1、LST1XP20RFD2 |
1(包括缺省MDC) |
LST1XP48LFD1、LST1XP48LFD2、LST1XLP16RFD1、LST1XLP16RFD2 |
4(包括缺省MDC) |
|
其余型号的4G接口板 |
2(包括缺省MDC) |
主控板要求4G内存。
如果当前物理设备要和别的设备组成IRF,建议将当前物理设备加入IRF之后再划分MDC以及MDC的相关配置,因为设备加入IRF后,会以IRF中Master的配置重启,除设备上的IRF端口配置外,之前的其它配置将不再生效。
IRF增强模式不支持MDC。
如果IRF中存在跨成员设备的MDC,该MDC必须有可用的IRF端口。两台设备间数据流量的转发,需要通过该MDC的IRF端口完成。
· 多MDC下IRF配置和IRF状态只在管理MDC下可以查看和设置。IRF状态是基于整系统,而不是基于每MDC维护;
· 只有所有IRF链路都失效,才会进入“IRF分裂”状态。任意MDC内有一根UP的IRF链路,系统都不会IRF分裂;
· MAD只有“IRF分裂”的时候才会生效,生效后对全局有效,即会把成员编号大的设备上所有物理端口都MAD DOWN(无论该端口属于哪个MDC);
· MAD可以在每个MDC内配置,也可以在一个MDC内配置多种MAD检测。各种MAD检测之间互相不干扰。
· 如果IRF没有分裂,但是某个MDC内的IRF链路失效了,该MDC在成员编号较大设备上的端口也会被shutdown掉,这个不是通过MAD检测、而是MDC内部IRF状态检测实现的。